Forum

Bildirimler
Hepsini Temizle

Hyper V Üzerinde Direct Accesses

9 Yazılar
2 Üyeler
0 Reactions
1,120 Görüntüleme
(@TanerSencan)
Gönderiler: 95
Estimable Member
Konu başlatıcı
 

Merhaba


Şirketimizide Hyper V üzerinde Windows Server R2 2008 Direct Accesses kurduk fakat şöyle bir hata alıyorum anlayamadım neden olduğunu yardımcı olursanız sevinirim , Teşekürler .


 Hata


Juniper Firewall : 10.0.0.238  _ ip blockları izinli  


Domain Controller + Dns Server :  10.0.0.2


Windows Server 2008 R2 Certification Server : 10.0.0.101


Direct Acces Server 2008 R2 : internet bacağı: 215.86.115.1,2  local bacağı : 10.0.0.99        netmask: 255.255.255.0 Dns : 10.0.0.2


Konfigrasyonu bu şekilde yine hata alıyorum,


 

 
Gönderildi : 07/07/2010 23:23

(@fatihkaraalioglu)
Gönderiler: 3039
Illustrious Member
 

Merhaba;


Resim içinde Hata mesajını göremiyorum.


Okunabilir bir resim veya Post içine yazı ile hatanızı ekleyebilirmisiniz?

 
Gönderildi : 08/07/2010 00:03

(@TanerSencan)
Gönderiler: 95
Estimable Member
Konu başlatıcı
 

The interface must not be classified as a domain network hata bu.


 

 
Gönderildi : 08/07/2010 00:13

(@fatihkaraalioglu)
Gönderiler: 3039
Illustrious Member
 

Merhaba;


ICMPv4 EchoRequest (Inbound-Outbound)


ICMPv6 EchoRequest (Inbound-Outbound)


yukarıdaki firewall kurallarını uyguladınız mı ?


Problem kaynağı için technet üzerinde verilen bilgi Firewall kuralları yapılandırılmadığı içindir. Detaylı bilgi aşağıda yer almaktadır.


The interface that you have specified for the intranet (internal network) is connected to a network that has been assigned the Private or Public firewall profile. The intranet interface must be connected to a network that has been assigned the Domain profile, which contains a domain controller. Select a different interface.


You can use the netsh advfirewall monitor show currentprofile command to display the networks to which your computer is attached and their assigned profiles. Then, use the Network Connections window to determine the networks to which the interfaces are connected.


 

 
Gönderildi : 08/07/2010 00:36

(@TanerSencan)
Gönderiler: 95
Estimable Member
Konu başlatıcı
 

Bütün ayarlar anlatıldığı gibi yapılmış durumda açmadığım port kalmadı ,Hala aynı hatayı alıyorum .

 
Gönderildi : 08/07/2010 14:57

(@fatihkaraalioglu)
Gönderiler: 3039
Illustrious Member
 

Merhaba;
aşağıdaki makalede ilk yapılandırma için gerekli bilgiler paylaşılmıştır.


incelemenizi istiyorum.


Direct Access hakkında kısa bilgiyi Direct Access nedir başlıklı yazımızda sunmuştuk. Direct Access kurulumunu ise 4 bölüm olarak ele alıp; Domain Controller üzerinde yapılması gerekenler, Uygulama ve Web Serverlar üzerinde yapılması gerekenler, Direct Access Server’ın kurulumu ve Client’lerin bağlantısının hazırlanması olarak açıklayacağız.


Direct Access kurulum işlemlerini açıkladığımız bu makelelerimizde tüm sunucular üzerinde Server 2008 R2  tüm istemciler üzerinde Window 7 Ultimate kullanılmıştır.


Bu bölümde Direct Access teknolojisinin kullanılması için Domain çapında ve Active Directory üzerinde yapılması gerekenleri ele alacağız.


Direct Access Kullanımı için Domain Çapında Yapılması Gerekenler:


Direct Access Server yapılandırma ve Direct Access kullanımı için Domain’in genel yapısı içerisinde Windows Firewall kuralları üzerinde düzenlemeler, Ipv6 tunel için TCP-IP yapılandırma ve düzenlemeleri ile Direct Access kullanımı için sertifika yapılandırma ve dağıtım işlemlerine ihtiyaç vardır.


Domain bünyesinde çalışan tüm bilgisayarlar için Direct Access’in ihtiyaç duyduğu Windows Firewall izinlerini düzenlemek üzere Group Policy aracı ile merkezi olarak Windows Firewall ayarlarını düzenlemeliyiz.


 


Direct Access firewall ayarlari

Direct Access firewall ayarlari


İhtiyaç duyulan kurallar;


1.ICMPv4 EchoRequest (Inbound-Outbound)


2.ICMPv6 EchoRequest (Inbound-Outbound)


Windows Firewall kurallarını yapılandırmak için Default Domain Policy üzerinde


 


Direct Access firewall ayarlari

Direct Access firewall ayarlari


Computer Configuration>Windows Settings>Security Policies>Windows firewall with Advanced Security>Inbound Rules üzerine sağ tıklayarak New rule diyoruz.


 


Direct Access firewall ayarlari

Direct Access firewall ayarlari


Rule Type kısmında Custom seçeneği ile devam ediyoruz. Programlar sekmesinde All Programs seçili iken devam ediyoruz.


 


Direct Access firewall ayarlari

Direct Access firewall ayarlari


Protocols and Ports Sekmesinde Protocol Type altından ICMPv4 seçiyoruz ve Customize tabına geçiyoruz.


 


Direct Access firewall ayarlari

Direct Access firewall ayarlari


Customize tabında Specific ICMP types altından Echo Request seçeneğini işaretleyerek devam ediyoruz.. Kuralım oluşturulması sırasında diğer seçenekleri değiştirmeden kural oluşturulmasını tamamlıyoruz  ICMPv4 Echo Request için Inbound Rule olşturduk, Aynı şekilde ICMPv6 Echo Request isteklerine bir kural oluşturmamız gerekiyor. Belirtilen adımları Protocol Type altından ICMPv6 seçerek tekrarlıyor ve ihtiyacımız olan ikinci Inbound Rule’u da oluşturmuş oluyoruz.


Direct Access’in çalışabilmesi için Windows firewall üzerinde Outbound Rule’lar üzerinde de aynı iki protokol içn kural oluşturmalıyız. bunun için;


Computer Configuration>Windows Settings>Security Policies>Windows firewall with Advanced Security>Outbound Rules üzerine sağ tıklayarak New rule seçeneği ile yine aynı adımları takip ederek İCMPv4 ve ICMPv6 protokollerine izin veren iki kural oluşturuyoruz.


Clientlerimizin ve Direct Access ile clientlere hizmet verecek olan sunucularımız oluşturulan kuralları group policy aracılığı ile alıp almadıklarını test ettikten sonra Domain bünyesinde hizmet veren Certification Authority ile Direct Access clientlerin Ipsec bazlı kimlik doğrulamalarını gerçekleştirmelerinde kullanılacak bir custom template oluşturmalıyız.


Root CA’in kurulu olduğu sunucumuda MMC üzerinden Certifiacates Templates snap-in’ini açarak;


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Web Server template’ine sağ tıklayıp Duplicate Template diyoruz. Kopyalama işlemi için bize 2 seçenek sunuyor Server 2003 ve Server 2008. Server 2008 işaretli iken kopyalama işlemine yeni bir isim vererek devam ediyoruz. Karşımıza gelen pencerede Security tabına tıklayarak Authenticated Users için Enroll iznini tanıyoruz. Add diyerek Domain Computers öğresini ekliyor ve Enroll hakkını tanıyoruz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Request Handling tabına geçerek Allow private key to be exported seçeneğini aktif ediyoruz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Bu işlemler sonunda Direct Access için kullanılacak server sertifikasının şablonunu oluşturmuş oluyoruz.Bu işlemler sonrasında Enterprise Root CA için CRL distribution ayarlarını yapılandırma işlemine geçeb,liriz.


Certification Authority yönetim ekranında CA’in kurulu olduğu server ismine sağ tıklayarak Properties seçeneği ile gerekli ayarları düzenleyeceğiz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Properties penceresinde Extensions tabına geçerek Certificate Revocation List (CRL) yolunu belirlemeliyiz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Add diyerek domainimiz için gerekli ayarlamaları yapacağımız ekrana geliyoruz. Location kısmına domain ismimize göre düzenleyerek http://crl.bilgeadam.com/crld/ yazıyoruz. bir alt seçenek olan Variable sekmesinde <CaName> seçili iken insert tuluna basıyoruz aynı değişken ekranından <CRLNameSuffix> ve <DeltaCRLAllowed>  değişkenlerini de ekliyoruz. Location kısmında oluşan web adresininde 3 değişkenin hemen sonunda .crl ekliyerek Ok diyerek kapıyoruz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Oluşturduğumuz yeni CRL adresi seçili iken Include in CRL’s. Clients use this to find Delta CRL locations ve Include in the CDP extensions of issued certificates seçeneklerini işaretliyoruz.


Oluşturmamız gereken ikinci kayıtta ise Direct Access Server’ımızı belirtmemiz gerekiyor. Bu kayıt için de aynı pencere de Add diyerek yeni bir CRL oluşturuyoruz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Location tabına \\da\crldist$\ adresi ile local networkteki Direct Access serverımızın yolunu belirtiyor ve crldist$ klasorunu gosterıyoruz. Onceki CR’de olduğu gibi yine Variable sekmesinde <CaName> seçili iken insert tuluna basıyoruz aynı değişken ekranından <CRLNameSuffix> ve <DeltaCRLAllowed>  değişkenlerini de ekliyoruz. Location kısmında oluşan web adresininde 3 değişkenin hemen sonunda .crl ekliyerek Ok diyerek kapıyoruz.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Oluşturduğumuz yeni CRL adresi seçili iken Publish CRL’s to this location ve Publish Delta CRLs to this location seçeneklerini işaretliyoruz.


CRL yayınlama işlemlerini tamamladıktan sonra ise sertifika yönetimi adına yapmamız gereken son işlem Root CA’in domain çapında bir Computer sertifikası dağıtmasını sağlamak. Bunun için Group Policy’lerden faydalanacağız.


 


Direct Access için sertifika olusturma

Direct Access için sertifika olusturma


Default Domain Policy’i özelleştirerek gerçekleştireceğimiz bu işlem için;


Computer Configuration>Policies>Windows Settings>Security Settings>Public Key Policies>Automatic Certificate Request Settings  üzerine sağ tıklayarak New>Automatic Certifiace Request ile Computer sertifikasının domain çapında Auto-Enroll olmasını sağlıyoruz.


Active Directory Üzerinde Yapılması Gerekenler:


Domain çapında yapılması gerekenler bu kadar şimdi ise Active Directory üzerinde Direct Access’i kullanacak client bilgisayarlar için bir grup oluşturmalıyız.


 


Direct Access bilgisayar grubu olusturma

Direct Access bilgisayar grubu olusturma


Start>Run>dsa.msc yazarak Active Directory Users and Computers ekranına gelip burada Yeni bir Global Security Group oluşturmamız gerekiyor Bu gruba daha sonra Direct Access ile yerel kaynakları kullanacak, uzak erişim yapacak bilgisayarları belirleyecegiz.


Bu ilk yazımızda Direct Access kurulumu için Domain çapında yapılması gereken ayarlardan bahsederek Active Directory’de Direct Access ile merkeze bağlanacak bilgisayarları belirleyeceğimiz bir grup oluşturduk. Bir sonraki yazımızda Direct Access Server’ın kurulumunu gerçekleştireceğiz.

 
Gönderildi : 09/07/2010 02:25

(@fatihkaraalioglu)
Gönderiler: 3039
Illustrious Member
 

Merhaba;


yukarıdaki makaleyi uygulamadan önce sahip olduğunuz IP yapılandırmasını tekrardan gözden geçirirmisiniz?


İç bacakta Apipa olarak IP almışsınız. iç IP nin 169 olarak görülmekte. Bu yapılandırma ile işlemlere devam edemezsiniz.


Direct access uygulamasını gerçekleştirebilmek için Clasfull IP Bloğu kullanmalısınız.

 
Gönderildi : 09/07/2010 02:56

(@TanerSencan)
Gönderiler: 95
Estimable Member
Konu başlatıcı
 

İlginiz için çok teşekürler ,


 Direct Acces Server 2008 R2 : internet bacağı: 215.86.115.1,2  local bacağı : 10.0.0.99        netmask: 255.255.255.0 Dns : 10.0.0.2 uygulamış olduğum ip ayarları bu şekilde ve yukarıda yazan ayarlar aynen uygulanmış durumda .Sorun


Windows Firewall daki properties > IPsec  Settings > IPsec exemptions > no (default) olarak geliyor. Onu yes yaptıktan sonra problem düzeldi .

 
Gönderildi : 09/07/2010 12:53

(@fatihkaraalioglu)
Gönderiler: 3039
Illustrious Member
 

R/E
Kolay gelsin.

 
Gönderildi : 09/07/2010 15:06

Paylaş: