Bildiğiniz gibi NAP, Windows Vista™ ve Windows Server® 2008 ile gelen yeni bir teknoloji. İlerleyen günlerde Windows XP sistemler de NAP Client olarak kullanılıyor olacak.
NAP’i kısaca, ağımızdaki bilgisayarların sağlıklı olup olmadığını kontrol etmemizi sağlayan bir mekanizma olarak tanımlayabiliriz.
Peki, nedir sağlıktan kasıt?
Örneğin; client için güncelleme paketlerinin yüklenip yüklenmediği, güvenlik duvarı ayarlarının uygunluğu veya güvenlik duvarının açık olup olmadığı, virüsten korunma yazılımının doğru çalışıp çalışmadığı ve güncellik durumu gibi, işletim sistemlerinin stabil çalışmasına yardımcı olan ve burada sayamadığımız noktaların tümüdür.
NAP mekanizması bu noktaları kontrol ederek, bizim belirlediğimiz kurallar doğrultusunda gerekli önlemleri alıyor ve ağımızdaki bodyguard görevini üstleniyor.
Örneğin;
Belirlediğimiz kurullara uymayan bilgisayarların (yani sağlıklı olmayan bilgisayarlar) ağımıza erişmesine engel oluyor, çünkü bu bilgisayarlar ağımız için tehlike arz ediyor. Tabi sadece engel olmakla kalmıyor. Aynı zamanda bu bilgisayarların sorunlarının giderilmesi için de yardımcı oluyor.
NAP kontrolü, aşağıdaki 5 temel noktada uygulanabiliyor.
DHCP
VPN
IPSEC
802.1x (wried-wiriless)
Terminal Services Gateway
Bu makalede, en çok uygulanacağını düşündüğüm “DHCP ile NAP” konusunu ele alıyoruz.
Oluşturmuş olduğum örnek yapıda aşağıdaki bilgisayarlar yer alıyor:
1 Adet Windows 2003 Server STD Server: Active Directory ortamı için, DC ve DNS rolünde.
1 Adet Windows 2008 Server STD: DHCP ve NPS (Network Policy Server) rolünde.
1 Adet Windows Vista Business: Testler için Domain Client rolünde.
Örnek diyagram ve bilgisayarların IP yapılandırması ise aşağıdaki gibidir.
NAP Topoloji Diyagramı
Network’ümüzde domain controller olan server main-dc dir. Üzerinde test.local domain’ini barındırıyor ve DNS hizmeti veriyor. TCP/IP yapılandırma bilgisi ise, yukarıdaki topoloji diyagramında görüldüğü gibidir.
DC makinemizin bahsettiğim şekilde yapılandırıldığını varsayarak devem ediyorum. Main-dc üzerinde yapacağımız başka bir işlem yok. Bizim için Active directory ve DNS hizmetini doğru bir şekilde verebiliyor olması yeterli.
Ayrıca yeri gelmişken hemen belirtelim, NAP ortamında DC’nin Windows Server 2008 olması gibi bir gereklilik yok. Örnek topolojide de görüldüğü üzere DC’miz Windows Server 2003 R2 dir.
Network’ümüzde Policy Server olarak görev yapacak makinemiz ise NPS01 dir. Üzerinde NPS servisi ve DHCP servisi çalıştırıyor olacak ve client’ların uygunluğu için gerekli kriterleri tutacak.
Şimdi NPS01 makinemiz ile yapılandırmaya başlayalım.
Yeri gelmişken hemen belirtelim, NPS makinemiz (yani NPS01) Windows Server 2008 çalıştıran bir server olmak zorunda.
NPS01 üzerinde Local Area Connection özelliklerine geliyoruz ve TCP/IPv4 ayarları ile başlıyoruz. Yapılandırma, aşağıda ve topoloji diyagramında görüldüğü gibidir.
IP : 192.168.5.20
Mask : 255.255.255.0
DNS : 192.168.5.10
DNS olarak main-dc’i gösteriyoruz çünkü az sonra makineyi domain’e join edeceğiz.
Ayrıca NPS01 üzerinde TCP/IPv6 ’yı disable ediyoruz. IPv6 ’ya ihtiyacımız yok. Bunun için tekrar Local Area Connection özelliklerine geliyoruz ve Internet Protocol Version 6 (TCP/IPv6) ‘nın solundaki check box’ı boşaltıp onaylıyoruz.
Artık NPS01 serverımızı tets.local domain’ine join edebiliriz. Normal bir join işleminden farkı yok.
Computer> Properties> Advenced System Settings> Computer Name> Change> Member Of bölümünden Domain’i seçiyoruz ve test.local yazıyoruz.
Yine aynı penceredeki More butonuna tıklıyoruz ve Primary DNS suffix of this computer olarak ta test.local yazıyoruz.
Pencereleri onayladıktan sonra gelen username/password ekranında, domaine join etmeye yetkili bir hesap bilgisi giriyoruz ve bir kez daha onaylıyoruz.
welcoming you to the … mesajından sonra sistemi yeniden başlatıyoruz. (Join işlemini, Server Manager konsolunu kullanarak da yapabiliriz)
NPS01 açıldıktan sonra, artık domain de oturum açmamız gerekiyor. Bunun için, domain de Admin yetkili bir hesap kullanmalıyız (test\administrator yada Domain Admins gurubuna üye başka bir hesap)
Domain de oturum açtığımız NPS01 üzerinde DHCP ve Network Policy and Access Services rollerini yükleyerek devam ediyoruz.
Start menüsünden Server Manager konsolunu açıyoruz ve sunucuya yeni bir rol eklemek için kullanılan, Add Roles’e tıklıyoruz.
Gelen pencerede; Next ile ilerliyoruz.
Gelen “Select Server Roles” penceresinde; sunucu üzerine ekleyebileceğimiz roller listeleniyor. Bu bölümü kullanarak birçok rol ekleyip, wizard ile yapılandırabiliriz. Biz, NAP için gerekli olan DHCP Server ve Network Policy and Access Services rollerinin check box’larını dolduruyoruz ve Next ile ilerliyoruz.
Gelen bilgi penceresini Next ile geçiyoruz.
Aşağıda gördüğünüz “Select Role Services” penceresinde; Network Policy and Access Services için ekleyebileceğimiz alt roller listeleniyor. NAP için gerekli olan Network Policy Server rolünü tıklayarak ilerliyoruz.
Gelen pencerede; Next ile ilerliyoruz.
Yukarıdaki pencerede sarı çerçeve içine aldığım bölümler, başta eklediğimiz iki role ait.
Önce Network Policy and Access Services rolünü ve alt rollerini yapılandırdık. Şimdi ise DHCP rolünü ve ayarlarını yapılandırıyoruz.
Yani aynı wizard içinde birçok farklı rolü yapılandırabiliriz. Bu, Windows Server 2008 Server Manager‘a ait bir özellik.
Gelen “Select Network Connection Bindings” penceresinde; DHCP hizmetinin verileceği ağ bağlantısını seçerek devam ediyoruz.
Gelen pencerede; Parent Domain ve DNS adreslerini belirliyoruz. Ben tek DNS adresi ile geçiyorum. İhtiyaca göre diğerini de yapılandırabilirsiniz. Validate butonuna tıklayarak Valid uyarısını gördükten sonra Next ile devam ediyoruz.
Gelen pencerede; WINS Server’a ihtiyacım olmadığı için ayarları değiştirmeden Next ile ilerliyorum.
Gelen “Add or Edit DHCP Scope” penceresinde, Add butonuna basarak yeni bir scope oluşturuyoruz ve yapılandırıyoruz.
Havuzun ismini, dağıtılacak ip adreslerinin başlangıç ve bitiş değerlerini, alt ağ maskesi ve eğer kullanılacak ise varsayılan ağ geçidi bilgilerini giriyoruz (benim yapımda gerekli olmadığı için, ağ geçidini boş bırakıyorum) ve Active this scope check box’ının tıklı olduğundan emin olduktan sonra Ok diyerek onaylıyoruz. Next ile devam ediyoruz.
Gelen pencerede; Network’ümde IPv6 yapısı kullanmadığım için, IPv6 disable olarak Next ile devam ediyorum.
Active Directory ortamında yetkilendirilmesi gereken DHCP hizmeti için, yetkilendirmede kullanılacak bir hesap tanımlıyoruz. Ben administrator hesabını kullanıyorum. Domain ortamında admin yetkili bir hesap olmalı.
NPS01 üzerinde test\administrator hesabı ile oturum açtığım için aşağıdaki ekranda Use Current Credentials seçili şekilde Next ile ilerliyorum.
Aşağıdaki pencerede; bize yaptığımız ayarlar ile ilgili bir rapor sunuluyor. Eğer bir problem yada eksik görmüyor isek, Install diyerek kurulumu başlatıyoruz.
Kurulum tamamlanınca gelen ekranında Succeeded! Bilgilerini görüyoruz ve Close ile kurulumdan çıkıyoruz.
Böylece NPS01 sunucumuz üzerine DHCP Server ve Network Policy and Access Services rollerini yüklemiş ve temel ayarlarını yapmış olduk.
Diğer bölümde görüşmek üzere.
Serhat AKINCI – IT Professional