Bir önceki makalemizde W2008 Terminal Services Gateway teknolojisinden önce yaşamış olduğumuz problemlerin analizini yapmış, yaşamış olduğumuz sıkıntıları masaya yatırmıştık. Bu makalemizde ve sonraki makale dizelerimiz de kurulumu, kullanımı ve getirmiş olduğu avantajları inceleyeceğiz.
Yukarıda ki örnekde basit bir diyagram görünmekte olup, W2008 Terminal Services Gateway teknolojisini kuracak olduğumuz networkün, kurulumdan sonra alacak olduğu dizaynı görebilmekteyiz.
Dış (External) firewallımız üzerinde sadece 443 numaralı HTTPS portu, iç networkümüzde bulunan W2008 Terminal Services Gateway serverimiza yönlendirilmiş bulunup, Dış dünyadan gelecek olan Terminal Servis isteklerini karşılayacak ve iç networkümüzde bulunan, internal firewall üzerinde Terminal Services portu aktif durumda olan ve uzak masa üstü istekleri açılmış bulunan serverlara, istemci bilgisayarlara bizi yönlendirecektir.
W2008 Terminal Services Gateway bilgisayarımızı, yukarıda ki dizayna göre Active Directory serverimiz üzerine kuracağız. Dizaynımıza göre Terminal Services Gateway serverimizi ayrı bir servera yani Active Directory yapısına üye yapılmışi server üzerine de kurabiliriz. W2008 Terminal Services Gateway serverimiz üzerinde 3389 numaralı RDP (Remote Desktop Protokol) portunun açık olmasına gerek yoktur ve açılmamıştır.
W2008 Terminal Services Gateway olacak olan Active Directory Domain Controller Serverimiz üzerinde yüklü olan servisleri görebilmekteyiz. İhtiyaç duymuş olduğumuz Active Directory Certificate Services daha önceden kurulmuş bulunup server manager içinden Terminal Services Rolünü seçip ilerliyoruz.
Terminal Services Rolü altında bulunan TS Gateway özelliğini seçiyoruz ve bunun neticesinde ihtiyaç duyulacak olan diğer Rollerin, özelliklerin ve Servislerin yüklenmesi için Add role Services and features required for TS Gateway bölümünü görüyoruz. Bu bölümü ekledikten sonra kuruluma devam ediyoruz. Kurulum aşamasında diğer özellik olan Network Access Protection (NAP) servisi içinde benzer bir eklenti yükleme ekranı ile karşılaşacağımızı hatırlatmak isterim.
Yüklenecek olan TS Gateway rolü ile ilgili iki açıklama yapmak isterim ;
- Active Directory Servicesin yüklü bulunmuş olduğu Server üzerine Terminal Services hizmetinin, rolünün eklenmesi tavsiye edilmez. Bunun nedeni bir güvenlik açığı olup ileride yayınlamayı düşündüğümüz Terminal Services Güvenliği ve Dizaynı makalelerinde detaylı bir şekilde nedenlerini paylaşacağım. Bizler bu bölümde sadece ama sadece Terminal Services Gateway rolünü yüklüyoruz. Terminal Server rolünü yüklemiyoruz ve bu sebepten herhangi bir açığa zemin hazırlamamış oluyoruz. Onun için bu bölüme özellikle dikkat etmenizi isteyeceğim. Sadece TS Gateway rolünü yüklüyorum.
- İkinci bilinmesi gereken özellik ise bilindiği üzere Terminal Server hizmeti Windows CAL haricinde ayrıca lisanslanması zorunlu olan bir servistir. Bizler Terminal Services özelliğini yüklemediğimiz için sadece TS Gateway yükleyerek Terminal Services CAL almamıza gerek yoktur.
TS Gateway bölümünü seçerek ilerliyoruz.
Terminal Server Gateway üzerine yüklemiş olduğumuz bir Sertifika varsa eğer bu ekranda seçebileceğimiz gibi kurulum sonrası TS Gateway Manager içinde de sonradan yükleyebilmekteyiz. Sertifikamızı daha sonradan yüklememiz gerektiğini belirterek ilerliyoruz. Server ve client için Sertifika yüklemesini detaylı olarak bir sonraki makalemizde anlatacağız.
CAP (Connection Authorization Policies (Bağlantı Kuracak Kullanıcıları Yetkilendirme Politikası)
TS CAP policysini kurarak Terminal Services Gateway Serverimizi kullanacak olan, TS Gateway üzerinden iç networkümüzde bulunan Terminal Serverlarımıza veya Uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan kullanıcıları/ kullanıcı grupklarını belirliyoruz. Bu kullanıcılarımız sahip olduğumuz Active Directory Servisi için de açmış olduğumuz Domain Kullanıcıları olabileceği gibi TS Gateway Serverimizi Local Server olarak kurduysak eğer Local kullancıları da tanımlamamız mümkündür.
CAP Policymiz için daha önceden hazırlamış olduğumuz RemoteAPP grubunu ve Administrator kullanıcısını ekleyerek ilerliyoruz.
CAP Policymize isim vererek ilerliyoruz. Kimlik doğrulamayı Active Directory kullanarak yapılması gerektiğini belirtiyoruz. İsteğe bağlı olarak Smart Kart kullanımını seçerek Güvenliğimizi daha üst seviyeye çıkartabiliriz.
Bu bölümde ki gerekliği değişikliği, ileride güvenlik politikamıza bağlı olarak, kurulum sonrası TS Gateway Manager içinden tekrardan düzenleyebileceğiz.
RAP (Resource Authorization Policies (Kaynak Yetkilendirme Politikası)
TS RAP policysini kurarak Terminal Services Gateway Serverimizi kullanacak olan, TS Gateway üzerinden iç networkümüzde bulunan Terminal Serverlarımıza veya Uzak masa üstü aktif duruma getirilmiş bilgisayarlarımıza bağlantı kuracak olan bigisayarları/ bilgisayar gruplarını belirliyoruz. Bu kullanıcılarımız sahip olduğumuz Active Directory Servisi için de açmış olduğumuz bilgisayar hesapları olabileceği gibi iç networkümüz haricinde bulunan uzak bilgisayarlarımızı da belirleyebiliyoruz.
TS RAP policiysi ile bağlantı kuracak olan bilgisayarların, bağlantı sırasında kullanacak olduğu kaynakları (Sürücüler, Yazıcılar, Kamera vb.) aygıtları da merkezi olarak yönetebilmekteyiz.
TS Gateway Manager konsolu üzerinden bu policymizi daha, kurulum sonrası ihtiyaçlarımıza göre tekrardan düzenleyebilmekteyiz.
TS Gateway Rolu IIS servisi haricinde TS CAP ve TS RAP policylerini kullanabilmek için Network Access Protection (NAP) servisine de ihtiyaç duymaktadır. NAP kurulumunun yapılması gerektiğinin bilgisini bizlere vermekte olup ilerliyoruz.
Varsayılan olarak gelen bölümde herhangi bir değişiklik yapmadan kuruluma devam ediyoruz. Gerekli bileşenleri Serverimiz kendisi otomatik yükleyecektir.
Yüklenecek olan diğer IIS Servisi ve bileşenleri hakkında detaylı bilgileri görebilmekteyiz.
Terminal Services Gateway Rolünü ve yüklenecek olan bileşenlerin özetini görebilmekteyiz. Rapor içerisinde TS Gateway üzerinde bir Sertifika (TS Gateway will not be operation without a certificate) yüklemesi yapmadığımızın uyarısı belirtilmekte olup bu sertifikayı daha sonrada TS Gateway Manager Konsolu yardımı ile yükleyeceğiz.
Kurulum başarılı bir şekilde ilerlemekte olup kurulum sonrası serverimizi yeniden başlatmamıza gerek bulunmamaktadır.
TS Gateway Rolü Kurulum Sonrası Genel Kontroller
TS Gateway Rolümüz Serverimiz üzerine başarılı bir şekilde kurulduktan sonra, TS Gateway ile birlikte kurulan IIS 7.0 üzerinde ki Default Web Site mizi yapılandırmamız gerekmektedir. IIS Manager konsolu üzerinden Default Web site üzerinde Sağ tuş yaparak Manage Web Site bölümü üzerinden Advanced Settings bölümüne ulaşıyoruz.
Advanced Setting bölümü altında Web sitemizin serverimzi ilk açıldığında otomatik olarak başlaması için Start Automatically bölümü üzerinde True olarak ayarlıyoruz. Sertifika Servisi için zorunlu bir bölüm olup sertifikanın doğrulanması için yapılandırılması gereken bölümdür.
Son kontrol olarak Windows Firewall üzerinde HTTPS protokolünü yani 443 numaralı port üzerinden gelen istekleri aktif duruma getirmemiz gerekmektedir.
Fatih KARAALIOGLU