DHCP Üzerinde NAP Network Access Protection – Bölüm4

22.04.2008 | 16:04 Dokümanlar , Windows Server 16 Yorum

Bir önceki bölümde NAP Client ayarları için GPO yapılandırmasını tamamlamıştık. Bu noktadan sonra NAP ortamı hazır sayılır. Artık Client üzerindeki ayarlara ve testlere geçebiliriz.

NPS01 üzerindeki yapılandırmalar esnasında bazı noktaları bilerek atlamıştım. Bu ayarları client testleri sırasında yapacağız. Böylece kilit noktaları daha iyi kavrayabileceksiniz. Yeni kurulmuş bir Windows Vista Business Edition ile testlere başlıyoruz.

NAP Client Ayarları ve Testleri

Vista kurulumundan sonra ilk kez oturum açtığımızda “Select your computer’s current location” penceresinde “Work” seçeneği ile devam etmeyi unutmayın. Bu, bilgisayarımızı iş ortamında kullanacağımız anlamına geliyor ve Work ortamına uygun profili almayı sağlıyor (güvenlik duvarı vs.. ayarları için.)

Client’ın ismi Client-130

Öncelikle Local Area Connection özelliklerine geliyoruz ve IPv6 öğesini devre dışı bırakıyoruz. Ayrıca IPv4 için Obtain an IP address automatically ve Obtain DNS server address automatically seçili olduğundan emin oluyoruz.
NAP Client Ayarları 1Bu ayarlar doğrultusunda ve normal bir network yapısında client-130 bilgisayarının DHCP den TCP/IP ayarlarını almış olması ve network’teki kaynaklara erişebilir durumda olması gerekirdi. Çünkü normal şartlarda Windows Server 2003 üzerinde hizmet veren DHCP servisi, kendisinden IP isteyen client’ların kim olduğunu kontrol etme yeteneğine sahip değildir. Her gelen yeni bilgisayara aynı doğrultuda TCP/IP bilgisi atar, gerisine karışmaz.

Windows Server 2008 üzerinde çalışan ve NAP kontrolü için yapılandırdığımız DHCP servisi ise çok daha yetenekli ve kontrolcü bir kimlik kazanmış durumda.

Şimdi Client-130 bilgisayarının ağa erişim durumunu kontrol edelim.

Öncelikle main-dc yani 192.168.5.10 server’ımıza ping atarak sonucu izliyoruz.

Start> Run> cmd ile açılan pencerede ping 192.168.5.10 yazıyoruz ve enter yapıyoruz. Dönen yanıt aşağıdaki gibi olacaktır.

NAP Client Ayarları 2PING: transmit failed, error code 1231.

Gördüğünüz gibi main-dc server’ına ping atamıyoruz. Bunun nedeni main-dc üzerindeki bir güvenlik önlemi yada benzer bir durum değil, tamamen NAP ortamının sağlamış olduğu bir kontroldür.

Bu durum, network içerisindeki diğer IP adresleri ve sistemlere erişmek isteyince de aynıdır.

Peki Client-130 bilgisayarının IP adresi nedir? Acaba doğru IP adresini almış mıdır?

Hemen Client-130 IP bilgisine bakıyoruz.

Aynı CMD ekranında IPCONFIG yazıyoruz ve enter yapıyoruz. Çıktı aşağıdaki gibi olacaktır.

NAP Client Ayarları 3Gördüğünüz gibi 192.168.5.100 olarak DHCP den IP adresi almış ama alt ağ maskesi 255.255.255.255 . Yani herhangi bir network ü temsil etmiyor. Bu nedenle 192.168.5.10 sunucusuna ulaşamadı.

IPCONFIG çıktısında bir başka dikkat çeken nokta ise Connection-specific DNS Suffix olarak restricted-zone.test.local yazıyor olması. Hatırlarsanız bu DNS Suffix’i, ağımıza kısıtlı şekilde erişecek client’lara atanması için belirlemiştik.

Toparlarsak; Client-130 bilgisayarı DHCP sunucumuzdan IP adresi almış ama şu an kısıtlı alanda bulunuyor ve ağ kaynaklarına hiçbir şekilde erişemiyor. Client-130’u ağımıza erişmek isteyen herhangi bir bilgisayar gibi düşünebilirsiniz. Bu, misafirlerimizin notebook’ları olabileceği gibi ağa yetkisiz olarak erişmek isteyen birileri de olabilir.

Peki Client-130 bilgisayarı neden şu an kısıtlı alanda bulunuyor? Ve nasıl ağımıza erişmesini sağlayacağız?

Client-130’un kısıtlı alanda bulunmasının temel nedeni, henüz NAP kontrolüne tabi tutulamamış olması. Dikkat edin NAP kontrolünden başarılı şekilde geçemediği için demiyorum. NAP kontrolüne tabi tutulmadığı için diyorum çünkü henüz tam anlamıyla NAP kontrolü yapılmadı.

Hatırlarsanız NAP gerekliliklerinin (SHVs yapılandırmasında belirlediğimiz) kontrolünün yapılması için, Client üzerinde çalışması ve tanımlanmış olması gereken 3 temel nokta vardı.

  • NAP enforcement clients
  • NAP Agent service
  • Security Center user interface

Öncelikle bu 3 ayarın Client-130 üzerinde tanımlı olması gerekiyor ki NAP kontrolü yapılabilsin. Bu 3 ayar tanımlandıktan sonra, bu sefer de diğer gerekliliklerin uygunluğu kontrol edilecek (SHVs tanımları) ve uygunsa tam erişim verilecek, değilse kısıtlı alanda kalmaya devam edecek.

Peki Client üzerinde bu tanımları nasıl yapacağız?

NAP kontrolü için gerekli bu ayarları Client üzerinde local policy ayarları ile yapabiliriz. Ama örneğin 50 client’ımız varsa local policy ile uğraşmak çok anlamsız olur. İşte tam bu noktada devreye Remediation Server lar giriyor. Bu gurupta tanımlayacağımız serverlar, ağa erişmek isteyen client’lara yardımcı olacak.

(Hatırlarsanız NAP yapılandırması sırasında Remediation Server yapılandırmasını atlamıştık. Remediation Server ‘ı az sonra yapılandıracağız ve ne işe yaradığını daha iyi kavrayacaksınız.)

Örnek yapımızdaki Client-130 üzerinden gidersek; bu Client’a, ağa erişmesi için nasıl yardımcı olabiliriz bir bakalım.

Hatırlarsanız NAP Client Ayarları isimli bir policy oluşturmuştuk. Bu policy NAP kontrolü için gerekli olan 3 temel özelliği aktif yapıyordu (NAP Client Settings). Eğer ki bu policy ayarını ağa erişmek isteyen client’a uygulayabilirsek, gerekli olan 3 temel özelliği aktif yapmış oluruz ve client’ın NAP kontrolüne girmesini sağlayabiliriz.

Biliyorsunuz ki GPO ayarları domain’e dahil olan bilgisayarlara uygulanabilir. Bu nedenle, öncelikle Client-130 bilgisayarını domain’e almamız gerekiyor. Bunun için de, öncelikle DNS ve DC hizmeti veren, yani main-dc server’ına erişmesini sağlamamız gerekiyor.

Bu noktada main-dc server’ını Remediation Server olarak tanımlayacağız. Client’ların bu gurup altındaki serverlara yada makinelere (NAP kontrolünden geçememiş olsalar dahi) erişimleri olacak.

Client-130’u, Main-dc’e eriştikten sonra domain’e join edeceğiz. Böylece GPO ayarlarını almasını ve NAP kontrolüne girmesini sağlayacağız.

dc-main server’ını Remediation Server olarak tanımlamak için aşağıdaki adımları izliyoruz.

NAP Remediation Server Nasıl Yapılandırılır

NPS01 üzerinde start> run> nps.msc konsolunu açıyoruz.

Policies altında Network Policies ‘e geliyoruz ve NAP DHCP Non NAP-Capable ‘a çift tıklıyoruz.

NAP Remediation Server Nasıl Yapılandırılır 1

Açılan pencerede Setings tabına geçiyoruz ve NAP Enforcement ‘a gelip Remediation Server Group and Troubleshooting URL altında Configure diyoruz.

NAP Remediation Server Nasıl Yapılandırılır 2

Gelen pencerede New Group tıklıyoruz.

NAP Remediation Server Nasıl Yapılandırılır 3

Gelen pencerede guruba bir isim veriyoruz ve Add diyoruz. Bu gurup altında birçok Remediation Server toplayabiliriz.

NAP Remediation Server Nasıl Yapılandırılır 4

Add dedikten sonra gelen pencerede, Remediation Server olarak görev yapacak serverları giriyoruz.

Bizim yapımızda main-dc olacak. Remediation server’ın Windows Server 2008 çalıştırması gibi bir gereklilik yok.

NAP Remediation Server Nasıl Yapılandırılır 6

Ok dedikten sonra Remediation Servers and Troubleshooting URL penceresine geri dönüyoruz ve oluşturduğumuz gurubun Remediation Servers Group altında seçili olduğundan emin olduktan sonra OK diyerek pencereleri kapatıyoruz.

NAP Remediation Server Nasıl Yapılandırılır 7Aynı işlemi NAP DHCP Noncompliant için de yapıyoruz.

Tekrar Policies altında Network Policies ‘e geliyoruz ve NAP DHCP Noncompliant ‘a çift tıklayarak açıyoruz.

NAP Remediation Server Nasıl Yapılandırılır 8

Açılan pencerede Setings tabına geçiyoruz ve Configure butonuna tıklıyoruz.

NAP Remediation Server Nasıl Yapılandırılır 9

Gelen pencerede; Remediation Server Group olarak açılır listeden RS-Group1 seçiyoruz ve OK ile onaylayarak pencereleri kapatıyoruz. (RS-Group1 ‘I önceden tanımladığımız için tekrar tanımlamıyoruz, sadece listeden seçiyoruz.)

NAP Remediation Server Nasıl Yapılandırılır 10

Böylece her iki durumdaki (Non NAP-Capable ve Noncompliant) client’lar içinde Remediation Server tanımlamış olduk.

Şimdi tekrar Client-130 bilgisayarına geliyoruz ve start> run> cmd aracını açıp ipconfig /renew diyerek DHCP ye bir IP isteği gönderiyoruz. Ardından Remediation Server olarak tanımladığımız main-dc makinesine ping atmayı deniyoruz.

Ping 192.168.5.10

Ping cevabı aşağıdaki gibi olacaktır.

NAP Remediation Server Nasıl Yapılandırılır 11

Gördüğünüz gibi artık 192.168.5.10 sunucusunu pingleyebiliyoruz.

İpconfig komutu ile IP yapılandırma bilgisini alalım ve bir değişiklik var mı göz atalım. Çıktı aşağıdaki gibi olacaktır.

NAP Remediation Server Nasıl Yapılandırılır 12

Gördüğünüz gibi değişen bir şey yok. Client-130 hala kısıtlı alanda bulunuyor. Main-dc’ye erişebilmesinin nedeni, bu server’ı Remediation Server olarak belirlememizdir.

Client-130, ağ içerisindeki diğer kaynaklara hala erişemiyor.

Evet, artık main-dc ye erişebildiğimize göre Client-130 bilgisayarını domain’e join edebiliriz.

Normal bir join işlemi ile Client-130’u test.local domain’ine alıyoruz. Domain join işleminden ayrıca bahsetmiyorum.

Client-130’u domain’e aldıktan sonra, main-dc üzerinde active directory yönetim konsolunu açıyoruz ve Client-130 bilgisayar hesabını, NAP Computers gurubuna üye yapıyoruz.

NAP Remediation Server Nasıl Yapılandırılır 13

Hatırlarsanız oluşturmuş olduğumuz NAP Client Ayarları isimli GPO yu, gereksiz makinelere etki etmemesi için, yalnızca NAP Computers gurubuna üye bilgisayarlara etki edecek şekilde filtrelemiştik. Bu nedenle Client-130 bilgisayar hesabını, Active Directory içinde NAP Computers gurubuna üye yapıyoruz ve Client-130’u restart ediyoruz.

Client-130 açıldıktan sonra, domain’de yetkili bir hesap ile oturum açıyoruz.

Biraz beklerseniz ilk olarak aşağıdaki gibi bir uyarı göreceksiniz

NAPBu noktada GPO ayarlarının başarılı bir şekilde uygulandığını kabul edebiliriz çünkü NAP kontrolü yapılmış ve uygun olmadığı bilgisi verilmiş.

Hemen arkasından aşağıdaki gibi bir uyarı gelecektir.

NAP 2

Bu uyarı geldiğinde NAP kontrolünde başarılı olamayan Client-130 üzerinde otomatik iyileştirme işlemi yapıldığını ve uyumlu hale getirildiğini anlayabiliriz.

Biz yine de GPO ayarlarını bir kontrol edelim.

Start> run> cmd ile komut satırını açıyoruz ve aşağıdaki komutu giriyoruz.

netsh nap client show grouppolicy

Çıktı aşağıdaki gibi olacaktır.

NAP Remediation Server Nasıl Yapılandırılır 13

Gördüğünüz gibi DHCP Quarantine Enforcement Client için belirlemiş olduğumuz Enable ayarı doğru şekilde uygulanmış.

Yine CMD komut satırında aşağıdaki komutu giriyoruz.

netsh nap client show state

Çıktı aşağıdaki gibi olacaktır.

NAP Remediation Server Nasıl Yapılandırılır 14

DHCP Quarantine Enforcement Client altında Initialized durumunun Yes olduğunu görüyoruz. Sonuçlar bu şekilde ise, GPO ayarı başarı ile uygulanmıştır.

GPO ayarları başarılı bir şekilde uygulandığına göre artık Client-130 bilgisayarı NAP kontrolü için uygun hala gelmiş demektir ki bu kontrol GPO ayarları uygulandıktan hemen sonra yapıldı bile.

Toparlarsak; NAP kontrolü için gerekli olan tanımları GPO üzerinden Client-130’a uyguladık. Bu GPO ayarları Client-130 üzerinde aktif olduktan sonra sistem NAP kontrolüne girdi. NAP kontrolünde zorunlu koştuğumuz güvenlik duvarının açık olması koşulu kontrol edildi ve Client-130 ağa tam erişim hakkı kazandı. Çünkü üzerinde güvenlik duvarı açık durumda.

Ipconfig ile IP yapılandırmasını kontrol ediyoruz. Çıktı aşağıdaki gibi olacak.

NAP Remediation Server Nasıl Yapılandırılır 15Gördüğünüz gibi Client-130, artık kısıtlı alanda değil ve 255.255.255.0 subnet mask’ına sahip. Yani artık ağımıza tam olarak erişebilir ve kaynakları kullanabilir durumda. Peki çalışma anında kullanıcı güvenlik duvarını kapatırsa ne olacak? Bu durum bizim politikamıza aykırı bir durum.

Hemen test ediyoruz.

Client-130 üzerinde güvenlik duvarını kapatıyoruz.

Control Panel> Security altında Windows Firewall ayarına geliyoruz ve Off konumuna getiriyoruz.

NAP Remediation Server Nasıl Yapılandırılır 15

OK ile onayladığımızda Windows güvenlik duvarı kapanacak ve sistem uyumsuz duruma düşecektir. Ama hemen ardından Windows Güvenlik Duvarı otomatik olarak açılacak ve Client tekrar uyumlu hale gelecektir. Yani güvenlik duvarının kapatılabilmesi söz konu değil.

Makalemizde Windows Güvenlik Duvarı’nın açık olmasını zorunlu koştuğumuz için sadece bu ayarı test etme şansımız oldu. İlerleyen günlerde farklı zorunluluklara da değiniyor olacağız.

Son olarak NAP konusunda yardımcı olacağını düşündüğüm ve sorun giderme işlemleri sırasında kullanabileceğiniz olay kayıtlarının tutulduğu yer konusunda bilgi vermek istiyorum. Bu kayıtlar;

Client üzerinde: eventvwr.msc konsolu içinde Event Viewer(Local)\ Applications and Services Logs\ Microsoft\ Windows\ Network Access Protection\ Operational altında tutuluyor.

NAP Server üzerinde ise: yine eventvwr.msc konsolu içinde Event Viewer(Local)\ Custom Views\ Server Roles\ Network Policy and Access Services altında tutuluyor.

Problem oluştuğunda buradaki kayıtları inceleyebilirsiniz.

NAP konusunu mümkün olduğunca özetleyerek anlatmaya çalıştım ancak gördüğünüz gibi çok derin bir konu.

Çalışmalarınızda başarılar.

Bu Serinin Diğer Bölümleri

DHCP Üzerinde NAP Network Access Protection – Bölüm1

DHCP Üzerinde NAP Network Access Protection – Bölüm2

DHCP Üzerinde NAP Network Access Protection – Bölüm3

Yazı Etiketleri: , , , , , ,

Sayfa Başı ▲

Yorumlar (16)

  1. Burak

    hocam elinize sağlık. eşi benzeri olmayan bir makale serisi hazırlamışsınız.
    nap konusunda örnek gösterilecek bu çalışma için çok teşekkürler.

  2. securitytot

    güzel makale

  3. paşa

    çok faydalı bir yazı olmuş. devamını bekliyoruz

  4. Hasan Mengi

    baştan sona okudum. çok profesyonel bir çalışma olmuş

  5. Erdem Bayazit

    teşekurler.

  6. Serhat AKINCI

    Test MSG

  7. Seymen URAL

    Teşekkürler Hocam.
    Öğrencilerim için iyi bir referans oldu.

  8. Hüseyin KARTAL

    Serhat Hocam harika bir makale çok faydalı oldu benim için çalısacagım yapıda kullanacagım..Teşekkürler

  9. Erdem YARIM

    Hangisi dogru bilmiyorum eline sağlıkmı yoksa emeğinemi bilemedim ama çok teşekkürler ayrıca anlatım dili içinde dahada çok teşekkürler.

  10. Nihat YILMAZ

    hocam eline sağlık harika bir makale dizisi olmuş, devamını bekliyoruz…
    teşekürler

  11. KTURGAY

    Merhabalar 70-643’e Hazırlanıyorum Adım Adım VMware’de Uyguladım ve Başarılı Oldu… Çok Teşekür Ederim Harika Bir Kaynak Olmus Gerçekten…

  12. yalcinocak

    hocam ellerine emeğine sağlık harika bi makale dizisi….

  13. Kenan Mutlu

    Anlatım mükemmel. Sade ve anlaşılır. Teşekkürler

  14. yusuf

    hocam sizden 2008 r2 den hyper v trafından bir 2008 r2 cihazına nasıl en baştan ve en sade şekilde dhcp nap yapılır lütfen yardım edin teşekkürler hocam
    acil

  15. Hicabi Yeniay

    Çokgüzel bir makale
    teşekkürler..

  16. ferdi

    Çok güzel yazı. Elinize sağlık.vakit harcanmış.

Yorum Ekle