Bu noktada ISA server’ın bize tümleşik olarak sunduğu VPN Quarantine hizmetinden yararlanabiliriz.
ISA üzerinde VPN Quarantine konfigüre etmeden önce VPN yapılandıracağız. Domain’i ve ISA server’ı kurarak başlayalım.
Domain kurulumu tamamlandıktan sonra ISA server’ı kuralım.
Install ISA Server ile devam edelim.
Storage server ile birlikte ISA server’ı yada sadece ISA Server’ı yapılandırarak da devam edebiliriz.
İlk ISA server’ı kurduğumuzdan ilk seçeneği seçerek devam ediyoruz.
Internal network’ü belirleyelim ve kurulumu başlatalım. ISA kurulumu bittikten sonra server’ı domain’e katalım.
Domain ve ISA server hazır olduğuna göre başlayabiliriz.
Şimdi ISA server üzerinde VPN konfigürasyonunu yapalım. VPN penceresinde Select Authentication Methods sekmesinden statik ip havuzumuzu belirleyelim. VPN client access sekmesinden VPN client ı aktif hale getirelim ve VPN ile bağlanacak grubu yada grupları seçelim. Yaptığımız ayarlama neticesinde RRAS kendini konfigüre edecektir. VPN ile gelenlerin networkümüze erişimi için access rule belirlemeliyiz. Rule da nerelere erişim hakları olacaksa o portlar göz önüne alınmalıdır!
Access policy’mizi de belirleyelim.
VPN bağlantımızı test edersek;
Herhangi bir sorun olmadığını görüyoruz. Artık VPN Quarantine ya geçebiliriz.
Remote Quarantine servisini kurarak başlayalım.
Quarantine servisi ISA server’a VPN Quarantine desteği sunan servistir ve bu hizmeti verecek sunucuya yüklenmesi gerekir. Ayrıca ISA server’ın bu servisi kullanarak trafiği dinleyebilmesi için konfigüre edilmesi gerekir. En kolay şekilde ISA server’ı ConfigureRQSForISA.vbs script’ini kullanarak konfigüre edebiliriz. Script’i yüklemek için komut satırında
Cscript ConfigureRQSForISA.vbs /install rqtmm
Burada son kısımda yazan rqtmm kelimesi karantinadan çıkmak için client’ın söylemesi gerek kelimedir ve kişiselleştirilebilir. Script’i yükleyelim.
rqtmm kelimesi client tarafında sorgulama sırasında karantinadan çıkmak için kullanılacak profili hazırlarken kullanacağımız kontrol.bat dosyasında da geçmesi gerektiğinden kontrol.bat dosyasını da değiştirelim.
Script’in ISA üzerinde oluşturduğu konfigürasyonu doğrulamak istersek;
client’ın karantinada olduğunu haber verebilmesi için kullanacağı 7250 portunu RQS isimli user-defined protocolden localhosta doğru açtığını ve
rqtmm kelimesini de kayıt defterine işlediğini görebiliriz. Artık karantinaya geçebiliriz.
Network pencerinde Quarantined VPN Clients özelliklerinden karantinayı açalım ve karantinada geçen süreyi 10 saniye olarak ayarlayalım. Policy olarak ISA policy’lerini kullanacağız. ISA server tarafında yapılacak ayarlamaları bitirmiş bulunmaktayız. Şimdi de client’ın kendini karantinadan çıkarası için kullanacağı profili Connection Manager Administration Kit (CMAK) ile hazırlayalım. Öncelikle CMAK’i Windows bileşenlerinden kuralım.
Connection Manager Administration Kit’i bileşenlerden kurduktan sonra Administrative Tools altından çalıştıralım ve yeni bir profil oluşturalım.
“New Custom Action” belirleyelim. Kullandığımız kontrol.bat dosyası client tarafında C:\x.txt dosyasının var olup olmadığını kontrol ediyor ve eğer varsa bir kaç aşama sonrasında kullanacağımız rqc.exe ile ISA server’a rqtmm kelimesini bildiriyor yani karantinadan geçtiğini bildiriyor. Parametreler ise Remote Quarantine Control’un yani rqc.exe in alacağı parametrelerdir ve bağlantı sırasında otomatik olarak doldurulmaktadır. Action type da Post connect seçiyoruz ki ve devam ediyoruz.
Bat dosyamızda görüldüğü üzere eğer client C:\x.txt gibi bir dosyaya sahip değilse rqc.exe, ISA server’a karantinadaki client’ın şartları sağlamadığını bildirecektir.
Son olarak Add’e basarak kullanılacak olan rqc.exe’yi ekleyelim profili tamamlayalım ve CMAK’in C:\Program Files\Cmak\Profiles\RQ klasörü altında oluşturduğu RQ.exe dosyasını client’a gönderelim. Daha sonra client’a gönderdiğimiz RQ.exe dosyasını yükleyelim ve RQ.exe’nin “My Network Places” ’de oluşturduğu bağlantıyı kullanarak bağlanalım.
u1 kullanıcısı ilk aşamada vpn bağlantısı oluşturmakta kullandığımız kullanıcıydı ve dial-in izni vardı. Şifresini yazıp bağlanalım.
Görüldüğü üzere client bilgisayarı karantina şartlarını sağlayamadı çünkü client tarafında C:\x.txt dosyasını oluşturmadık. Şimdi kontrolden geçebilmesi için gerekli olan x.txt dosyamızı oluşturalım.
Tekrar bağlanmayı denersek;
Başarılı bir şekilde karantinadan çıkıp bağlantının sağlandığını görebiliriz.
Client, ISA server üzerinde karantinadan geçtikten sonra VPN client olacağından VPN’den internal’a rule oluşturmak uygun olacaktır ki zaten daha önce oluşturmuştuk. Dolayısıyla remote client’ımız domain e katılabilir yada üyesi olduğu domaine log on olabilir.