Microsoft’un yeni nesil sunucu işletim sistemi olan Windows Server 2012 R2’nin özelliklerini incelemeye devam ediyoruz. İki bölümden oluşan makalemizde Windows Server 2012 R2’nin en katma-değerli yeniliklerinden biri olan “WorkPlace Join” yeniliğini inceliyoruz. Makalemizin ilk bölümünde genel olarak WorkPlace Join mimarisini, teknoloji trendlerindeki yerini ve ortam gereksinimlerini anlatıp, WorkPlace Join uygulaması için kullanacağımız laboratuvar ortamını hazırlamıştık. Bu bölümde de bileşenleri yapılandırıp, Windows 8.1 aygıtından testlerimizi gerçekleştiriyor olacağız.
Active Directory Federation Service üzerinde Device Registration Yapılandırması
Bu adımda dışardan bağlanan aygıtların kendisini active directory domainine kaydetme desteği için AD FS üzerinde yapılandırmaları etkinleştireceğiz. Ilk aşamada bu amaçlar için güvenlik sertifikalarının hazırlanması tamamlanacak, servis hesapları ve DNS kayıtlarını oluşturacağız.
ADFS ve ENTERPRISEREGISTRATION Sertifikalarının Oluşturulması:
Bu adımda öncelikle ADFS sunucu üzerinde ADFS ve ENTERPRISEREGISTRATION amaçlı dijital sertifikaları oluşturuyor olacağız. Bu amaçla öncelikle Server2 isimli ADFS sunucusuna Administrator hesabı ile sign-on oluyoruz. Ve aşağıdaki adımları sırayla yerine getiriyoruz:
1. Windows PowerShell komut satırı aracını başlatıyoruz.
2. MMC komutu ile MMC konsolunu başlatıyoruz.
3. File menüsünden Add-Remove Snap-in ile Certificates eklentisini Local Computer (Yerel Bilgisayar) için konsola ekliyoruz.
4. Personal/Certificates altına geliyoruz. Certificates üzerinde sağ tuşa basıp All Tasks menüsünden Request new certificate tıklıyoruz.
5. Certificate Enrollment ekranında Active Directory Enrollment Policy seçili iken Next ile ilerliyoruz.
6. Karşımıza gelen Request Certificates adımında yukarıda uygulama ortamını hazırlarken oluşturduğumuz Contoso Computer (Custom SSN) isimli sertifika şablonu yanındaki kutucuğu işaretleyip, altında gelen “More information is required to enroll for this certificate.Click here to configure settings.” Bağlantısına tıklıyoruz.
7. Karşımıza gelen Certificates Properties ekranında Subject Name listesinden Common Name seçili iken Value metin kutusuna ADFS erişimi için kullanacağımzı adfs.contoso.com isim alanı değerini girip, Add ile sağ tarafa ekliyoruz.
Bu ekrandan çıkmadan yine alt kısımdaki Alternative name listesinden DNS seçeneği seçili iken Value kutusuna adfs.contoso.com değerini girip Add ile sağ taraftaki listeye ekliyoruz.
Benzer şekilde bir de entepriseregistration.contoso.com DNS adresi için değeri girip Add ile ekledikten sonraki son görüntüsü aşağıdaki şekilde olacaktır.
OK ile yapılan işlemleri onaylayarak tekrar Request Certificates ekranına geri dönüyoruz.
Enroll butonuna tıklayarak sertifika isteğini başlatıyoruz.
Sertifika başarıyla alındıktan sonra Certificate Installation Results aşaması Finish butonuna tıklanarak tamamlanmış oluyor.
Certificates konsolunda Personal/Certificates altına sertifikamız oluşmuş olacaktır.
Device Registration Amaçlı DNS Kayıtlarının Açılması:
Bu adımda da WorkPlace Join bağlantısında Device Registration amaçlı kullanılacak DNS kayıtlarının oluşturulmasını gerçekleştireceğiz. Bunun için öncelikle DC isimli Windows Server 2012 R2 domain controller sunucumuza Administrator hesabı ile sign-on olarak aşağıdaki adımları gerçekleştiriyoruz:
1. DNS yönetim konsolunu açıyoruz ve Forward Lookup Zone altında contoso.com isimli DNS zone altına geliyoruz.
2. Contoso.com üzerinde sağ tuş New Alias (CNAME) ile CNAME kaydı oluşturma ekranına geçiyoruz.
3. Bu ekranda öncelikle aşağıdaki şekilde de görüldüğü gibi adfs isimli bir CNAME kaydını server2.contoso.com sunucusuna karşılık gelecek şekilde oluşturuyoruz.
Not: Grafiksel DNS konsolu yerine adfs CNAME kaydını aşağıdaki powershell komutu ile de oluşturabilirsiniz:
Add-DNSServerResourceRecordCName –Name adfs –HostNameAlias server2.contoso.com –ZoneName contoso.com –ComputerName DC
4. Benzer şekilde enterpriseregistration isimli ikinci bir CNAME kaydını oluşturuyoruz.
5. Bunu da yine server2.contoso.com sunucusuna çözümleme yapacak şekilde yapılandırıyoruz.
NOT: Entepriseregistration CNAME kaydını da yine PowerShell komut satırından aşağıdaki şekilde oluşturabilirsiniz:
Add-DNSServerResourceRecordCName –Name enterpriseregistration –HostNameAlias server2.contoso.com –ZoneName contoso.com –ComputerName DC
6. Bu işlemler sonrasında DNS konsolunda adfs ve enterpriseregistration kayıtları aşağıdaki gibi görüntülenecektir.
ADFS Servis Hesabının Oluşturulması :
Bu adımda ADFS yapılandırmasında kullanacağımız ADFS servis hesabı için group managed service account oluşturuyor olacağız. Bu işlem için öncelikle DC bilgisayarına Administrator hesabı ile logon oluyoruz.
1. Windows PowerShell komut satırı aracını başlatıyoruz.
2. Aşağıdaki komutları sırayla çalıştırarak FsGmsa isimli grup-yönetilen-servis hesabını (gMSA) oluşturuyoruz.
Add-KDSRootKey –EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa –DNSHostName adfs.contoso.com –ServicePrincipalNames http/adfs.contoso.com
ADFS Rolünün Yapılandırılması :
Bu adımda da makalemizin başlangıcında kurulumunu yaptığımız Active Directory Federation Service rolünü yapılandırıyor olacağız. Bunun için öncelikle administrator hesabı ile SERVER2 isimli ADFS sunucusuna sign-on oluyoruz. Ve Server Manager konsolunu açıp, AD FS kategorisine geliyoruz.
Üst kısımda gelen Configuration required for ADFS yanında gelen More linkine tıklıyoruz. Gelen All Server Task Details and Notifications ekranında Action kolonunda Configure the federation service linkine tıklıyoruz.
Bu işlem sonrasında Active Directory Federation Service Configuration Wizard çalışmaya başlayacaktır.
Welcome ekranında Create the first federation server in a federation server farm seçeneği seçili iken Next ile sonraki adıma ilerliyoruz.
Connect to Active Directory Domain Services ekranında yapılandırmayı yapacağımız yetkili kullanıcı hesabını gösteriyoruz.
Next ile ilerliyoruz. Specify Service Properties ekranı karşımıza gelecektir.
Bu ekranda da ADFS servisi için kullanacağımız SSL sertifikasını SSL Certificate liste kutusundan seçiyoruz. Federation Service Display Name kutucuğuna da servis için tanımlayıcı bir isim belirtiyoruz. Örneğin; Contoso-ADFS gibi. Next ile sonraki adıma ilerliyoruz.
Karşımıza Specify Service Account ekranı gelecektir. Bu ekranda ADFS için kullanılacak servis hesabını daha önce oluşturduğumuz için “Use existing domain user account or group Manager Service Account” seçeneği seçili iken Select butonuna basarak FSGmsa hesabını gösteriyoruz.
Next ile sonraki adıma ilerliyoruz. Karşımıza Create Configuration Database adımı gelecektir. Bu adımda ADFS yapılandırmasının depolanması için ADFS sunucusu üzerine Windows Internal Database bileşenini kurmak içinCreate a database using Windows Internal Database seçeneği seçili iken ilerliyoruz. Eğer ortamda kurulu bir SQL Server sunucusu varsa ADFS yapılandırmasını o sunucu üzerinde depolamak isterseniz de Specify the location of a SQL Server database seçeneği de seçilebilir. Biz birinci seçeneği seçip, Next ile ilerliyoruz.
Review Options ekranında bir özet bilgi gösteri yapılmaktadır.
Herhangi bir değişiklik ya da yanlışlık yoksa Next ile ilerlediğimizde bir ön gereksinim testi yapılacaktır. ADFS için yapılan seçimlere göre sunucunun ön gereksinimleri karşılayıp karşılamadığı kontrol edilir.
Eğer yukarıdaki gibi All prerequisities checks passed successfully mesajı gelirse Configure butonuna tıklayarak yapılandırma başlayacaktır.
Yapılandırma başarıyla tamamlandıktan sonra aşağıdaki Results ekranı karşımıza gelecektir.
Close ile bu ekranı kapatarak ADFS yapılandırmasını tamamlamış oluyoruz.
Active Directory’de Device Registration Özelliğinin Aktifleştirilmesi :
Bu adım için Server2 isimli ADFS sunucusuna Administrator hesabı ile sign-on oluyoruz. Ve Windows PowerShell komut satırını Run as administrator ile açıp aşağıdaki komutu çalıştıyoruz:
Initialize-ADDeviceRegistration –ServiceAccountName Contoso\FsGmsa$
Enable-AdfsDeviceRegistration
Bu işlemden sonra ADFS sunucusu üzerinde Internet Explorer uygulaması açılarak aşağıdaki adrese bağlantı testi yapılır:
https://enterpriseregistration.contoso.com/enrollmentserver/contract?api-version=1.0.
Bunun sonucunda aşağıdaki gibi bir metin bilgisi geliyorsa yapılandırma başarıyla tamamlanmış anlamına geliyor:
Web Application Proxy Üzerinden AD FS Device Registration’ın Yayınlanması :
Bu adımda da dış dünyadan aygıtların ve domain dışındaki cihazların ağ ortamına bağlanması ve kendilerini active directory ortamında kaydetmeleri için Web Application Proxy üzerinden ilgili servisler yayınlanmış olacaktır. Sonrasında da Windows 8.1 istemcimizle device registration testi yapıyor olacağız. Bu adımda ilk olarak ADFS ve ENTERPRISEREGISTRATION sertifikalarını WAP üzerine yükleyeceğiz. Daha sonra da WAP yapılandırması yapacağız. Proxy isimli Web Application Proxy sunucusuna Administrator hesabı ile sign-on oluyoruz.
1. Windows PowerShell komut satırı aracını başlatıyoruz.
2. MMC komutu ile MMC konsolunu başlatıyoruz.
3. File menüsünden Add-Remove Snap-in ile Certificates eklentisini Local Computer (Yerel Bilgisayar) için konsola ekliyoruz.
4. Personal/Certificates altına geliyoruz. Certificates üzerinde sağ tuşa basıp All Tasks menüsünden Request new certificate tıklıyoruz.
5. Certificate Enrollment ekranında Active Directory Enrollment Policy seçili iken Next ile ilerliyoruz.
6. Karşımıza gelen Request Certificates adımında yukarıda uygulama ortamını hazırlarken oluşturduğumuz Contoso Computer (Custom SSN) isimli sertifika şablonu yanındaki kutucuğu işaretleyip, altında gelen “More information is required to enroll for this certificate.Click here to configure settings.” Bağlantısına tıklıyoruz.
7. Karşımıza gelen Certificates Properties ekranında Subject Name listesinden Common Name seçili iken Value metin kutusuna ADFS erişimi için kullanacağımzı adfs.contoso.com isim alanı değerini girip, Add ile sağ tarafa ekliyoruz.
Bu ekrandan çıkmadan yine alt kısımdaki Alternative name listesinden DNS seçeneği seçili iken Value kutusuna adfs.contoso.com değerini girip Add ile sağ taraftaki listeye ekliyoruz. Benzer şekilde bir deentepriseregistration.contoso.com DNS adresi için değeri girip Add ile ekledikten sonraki son görüntüsü aşağıdaki şekilde olacaktır.
OK ile yapılan işlemleri onaylayarak tekrar Request Certificates ekranına geri dönüyoruz.
Enroll butonuna tıklayarak sertifika isteğini başlatıyoruz.
Sertifika başarıyla alındıktan sonra Certificate Installation Results aşaması Finish butonuna tıklanarak tamamlanmış oluyor.
Certificates konsolunda Personal/Certificates altına sertifikamız oluşmuş olacaktır.
Şimdi de WAP yapılandırması için Server Manager konsolunda WAP rolü altına geliyoruz.
Configuration required uyarı mesajı yanındaki More butonuna tıklayarak Task Details and Notifications ekranına geçiyoruz.
Action kolonu altındaki Open Web Application Proxy Configuration Wizard tıklıyoruz. Web Application Proxy Configuration Wizard ekranı karşımıza gelecektir.
Welcome aşamasında Next ile sonraki adıma ilerliyoruz.
Federation Server adımında yukarıdaki şekildeki gibi bilgileri giriyoruz. Ve Next ile ilerliyoruz.
ADFS Proxy Certificate aşamasında ADFS proxy için kullanılacak adfs.contoso.com dns alanına ait sertifikayı liste kutusundan gösteriyoruz. Ve Next ile ilerliyoruz.
Confirmation aşamasında Configure butonuna tıklayarak yapılandırmayı başlatıyoruz.
Yapılandırma başarıyla tamamlandıktan sonra yukarıdaki ekran karşımıza gelecektir. Close ile kapatıp Remote Access Management Console arayüzüne geçiyoruz.
Bu arayüzde sağda gelen Publish ile WAP üzerinden yayınlanacak içerdeki Lync, SharePoint, Work Folder vb. Uygulamaları tanımlayabilirsiniz. Bu konuda önceki haftalardaki Work Folders makalemizi inceleyebilirsiniz. Önümüzdeki haftalarda SharePoint ya da Lync uygulamalarının WAP üzerinden yayınlanmasına ilişkin makalelerimizi de yayınlıyor olacağız.
Windows 8.1 İle WorkPlace Join Bağlantı Testi
Şimdi de bu adıma kadar yapılandırdığımız altyapıya Windows 8.1 istemcimizden WorkPlace Join bağlantı testini gerçekleştiriyor olacağız.
Client2 isimli istemcimize yerel administrator hesabı ile logon oluyoruz.
Start butonuna basıldıktan sonra açılan aşağıdaki ekranda görüldüğü gibi Search metin kutusuna WorkPlace yazdıktan sonra listelenen WorkPlace Settings bağlantısı üzerine tıklıyoruz.
Karşımıza gelen aşağıdaki WorkPlace ekranına test kullanıcımız olan bensmith@contoso.com hesabını girip, Join butonuna basarak bağlantı sürecini başlatıyoruz.
Connecting to a service ekranından sonra bağlantı başarıyla sağlanırsa aşağıdaki Sign-in ekranı karşımıza gelir:
Bu ekranda active directory içerisindeki kullanıcı adımız ve şifremizi girip Sign-in butonuna tıklayarak sign-in sürecini başlatıyoruz.
Bağlantı sağlandıktan sonra yukarıdaki gibi “This device has joined your workplace network” ifadesi gelecek ve bağlantıyı koparmak için de Leave butonu görünecektir.
Active Directory Veritabanında Device Registration Testi:
WorkPlace Join ile bağlanan istemci ve cihazlar kendisini yetkili bit hesapla sign-in olduktan sonra active directory veritabanına kaydedecektir. Bu kaydın nereden ve nasıl görüntülendiğini görmek için de aşağıdaki adımları yerine getiriyoruz:
1. DC isimli domain controller sunucusuna Administrator hesabı ile sign-in oluyoruz.
2. Active Directory Administrative Center yönetim konsolunu açıyoruz.
3. Treeview görünümünde iken domain altında gelen RegisteredDevices kabı altına geliyoruz.
4. Bu kap altında yukarıdaki şekilde de görüldüğü gibi WorkPlace Join ile bağlanmış ve kendini kaydetmiş cihazların listesini göreceksiniz.
5. Cihaz kaydı üzerine cift tıklayarak gelen aşağıdaki ekranda Attribute Editor sekmesinde displayName özniteliğinde bağlı olan cihazın ya da istemcinin adının geldiğini göreceksiniz.
Sonuç Olarak;
İki bölümden oluşan makalemizde Windows Server 2012 R2’nin en katma-değerli yeniliklerinden biri olan “WorkPlace Join” yeniliğini tüm detaylarıyla uygulamalı olarak inceledik. Yeni makalelerde görüşmek üzere esenkalın.