Windows Servers

Untangle Site To Site OpenVPN Konfigürasyonu

2008-07-10T20:17:02Z

Kurulum (Server side)

Kurulum tamamlandıktan sonra VPN bağlantısı sağlanması için VPN modülü kurulmalıdır. Kurulum tamamlandıkan sonra OpenVPN aktif olabilmesi için ayarlanması gerekmektiğini bildiren bir ekran gelecektir.OpenVPN i kurabilmek için show settings kısmında bulunan sihirbaz ekranı gelecektir. Bu ekranda kurulumun Server modunda olması gerektiğinden dolayı "Configure As Server" seçilir.

Bir sonraki aşama bizi kurulum sihirbazına götürecektir. Karşılama ekranı geçildikten sonra OpenVPN sertifikasını oluşturacağımız ekrana geliriz. Burada gereken bilgiler doldurarak sonraki aşamaya geçeriz.

Bir sonraki basamakta bölge ofislerimizin bağlanması için VPN IP havuzlarının oluşturulması gerekecektir. Burada önemli husus oluşturulan havuzların hiç bir şekilde internal veya external networkler ile aynı olmamasıdır.Bu havuzla VPN Clients veya VPN sites ekranında yeniden karşılacağız.

Daha sonra geçeceğimiz "Add Exports" menüsünde Untangle server arkasından publish edilecek networkümüzü belirleriz. Bu network direk olarak Untangle server internal interface network ID sinde olmasına gerek yoktur. İstenilirse sadece tek makinada 255.255.255.255 maskeleme ile publish edilebilir.

Eğer "Client to Side" yapacak isek "Add VPN Clients" Site - Site yapacak isek "Add VPN Sites" menüsü ile ilerleriz. Örnekte Site - Site yapacağız. Bu nedenle benzesiz bir bir "Site Name" oluştururuz. Aynı menüden Adress Pool olarak bağlanacak hardware clientların IP alacağı havuzlar belirlenecektir. Bu noktada Network ID olarak branch ofisimizde bulunan Untangle sunucusunun internal interface network ID sini atarız.

İşlem sonlandıktan sonra open VPN miz hazırdır.İşlem tamamlanınca OpenVPN server portu eğer başka bir firewall arkasında ise yönlendirilmesi gerekecektir. Varsayılan olarak OpenVPN UDP 1194 kullanacaktır. Sistem başlangıçta "Off" konumunda gelmektedir Bu nedenle open vpn i power butonuna basmak suretiyle aktive ederiz.

Server kurulumu bitince artık branch office client kurulumunu yapabiliriz. Settings tıklanıldığında karşımıza gelen ekranda "Next" ile ilerleriz.

İkinci basamakta karşımıza konfigürasyonun nereden alıncağı sorulmaktadır. Biz konfigürasyonu Mail veya USB üzerinden iki sekilde alabiliyoruz.

İlk önce serverdan konfigürasyonu export etmemiz gerekecektir. Bunun için Server tarafında bulunan VPN Clients/Sites tabında VPN Sites alt tabına geçeriz. Bu menüde "Secure Key Distribution" kolonu altındaki "Distribute Client" butonuna tıklarız.

Sistem bize E-mail veya USB ile dağıtımlardan bir tanesi seçmemizi isteyecektir.E-Mail ile seçtiğimizde bizden geçerli bir e-mail adresi girmemizi isteyecek ve maili o adrese gönderecektir.

Mail adresimizin mutlaka SPAM mail kısmını kontrol etmemiz gerekecektir. Sistem bize server IP si ve paroladan oluşan bir mail gönderecektir.

Mailimize gelen bilgileri VPN client tarafında ilgili alanlara doldururuz.

Next ile download işlemini gerçekleştiririz.

İşlem bittiğinde Power Butonu ile sistem çalıştırılabilir. Server tarafında OpenVPN modül konsolunda bulunan EventLog ile sistemin bağlantısını kontrol ederiz.

NOT: Open VPN Programı kurulduktan sonra branş ofisimizden merkez LAN interface i pingleyemeyeceğiz bunun nedeni packet filterin devrede olması ve Block All olarak işaretli olmasıdır. Bu sorunu çözebilmek için sol konsolda bulunan config tabı altında "Networking" Butonunu tıklarız.

Bu buton bize networking ayarlamalarını açacaktır. Ekranın sağ tarafında advanced butonuna tıklayarak ileri ayarlamları yapabileceğimiz "Advanced" moda geçiş yaparız. Buradan paket filtrelerine ek kural oluşturmak için "Packet Filter" menüsüne ulaşırız.

"Add" butonu ile yeni bir kural ekleyerek VPN bacağına izin veririz

Artık uzaklardaki bölge ofisleri sisteme bağlanabilecektir.

DELEGATE CONTROL USER (Domain ortamında Kullanıcı Yetkilendirme)

2008-04-14T06:54:41Z

Sorumlu olduğumuz bilgi işlem departmanında sistem sorumlusu olarak büyük veya büyüyen bir firmada ya da açılan veya açık olan şubelerimizde yapmamız veya takip etmemiz gereken birçok işin arasında bir de gün içerisinde çıkan yeni işe başlayan bir çalışan için kullanıcı oluşturma veya var olan kullanıcıların şifrelerini değiştirme, hesap kilitlerini kaldırma, izne çıktı hesabını devre dışı bırakma gibi takip etmemiz gerekli olan birçok işler çıkmakta bunlar aslında çok kolay görünen fakat zaman alan işlemlerdir.

Özellikle sistem sorumlusu olarak tek veya az bir çalışanla bunu idare etmeye çalışıyorsak veya uzaktan şubemize de desteği biz veriyorsak bu işler zamanla bir angarya’ya dönüşmekte veya bilgi işlemde çalışan kişiler için sunuculara domain admin gibi tam yetkiler vermekten çekiniyorsak güvenlik, sistemde oluşabilecek bir hatayı önlemek için hem kendi bünyemizde hem de istediğimiz kullanıcılarımıza istediğimiz yetkileri vererek bu yetkileri sınırlandırarak hem kendiişlerimizi hafifletmiş hem de gerekli güvenliğimizden ödün vermemiş olabiliriz. İşte biz buna kullanıcı yetkilendirme diyoruz.

Not: Burada vereceğimiz yetkiler kullanıcılara domain admins gibi yetki vermek değildir.

Yetkilendirme işlemine başlıyoruz.

Resim 1

Bunun için ilk önce yetkili kullanıcılarımız için active directory user and computer kısmında bir ou oluşturuyoruz

Resim 2

Ve isim olarak Delegation ismini veriyoruz ki burada yetki vereceğimiz kişiler için gruplar oluşturarak onları kontrol altında tutarak yönetebilmeyi kolaylaştıracağız.

Resim 3

Şimdi ise oluşturduğumuz ou içerisine yeni bir grup koyuyoruz ve ismini anlaşılabilmesi için delega_muhasebe diyoruz. Biz burada muhasebe departmanında bulunan adem kılıç adlı kullanıcıya yetki vererek muhasebe departmanı kısmı için şifre değiştirme ve hesap kilitleme gibi yetkiler vereceğiz. Grubumuzu oluşturduktan sonra âdem kılıç adlı kullanıcıyı gruba ekliyoruz.

Resim 4

Daha sonra active directory’deki muhasebe ou’su üzerinde sağa tıklayarak delegate control bölümünü seçerek yetkilendirmeye başlıyoruz.

Resim 5

Karşımıza delegate control ayarlamaları için bir sihirbaz çıkacaktır ve burayı ileri diyerek devam ediyoruz.

Resim 6

Delegation yetkilerini vereceğimiz kullanıcı(ları) ve Grup(ları) ekle kısmından ekleyerek ileri düğmesi ile devam ediyoruz yetkilendirmeye

Resim 7

İster 1. seçenekten hızlı bir şekilde kullanıcı oluşturma silme ve yönetme ile birlikte kullanıcı şifrelerini değiştirme seçenekleri işaretleyerek ileri diyerek bitirebiliriz. Veya yetkilendirme olayını biraz daha derinlemesine inmek için ise 2. seçenekle devam ederiz. Biz 1. seçenekle devam ediyoruz. Kullanıcılar için yönetme yeni kullanıcı oluşturma ve şifre değiştirme yetkilerini veriyoruz. Ve ileri diyoruz.

Resim 8

Ve en son yaptığımız işlemleri gösteren bir pencere ile Bitti düğmesi ile işlemimizi bitiriyoruz. Ve böylece Muhasebe ou'su için yetkili bir kullanıcı atamış olduk.

Resim 9

Şimdi ise yaptığımız ayarları denemek amaçlı âdem kılıç kullanıcısı ile giriş yapıyoruz.

Yönetimsel araçlar ekranda olmadığı için

Başlat > Çalıştır > Mmc yazarak managment konsolu açarak add\remove snap-in sekmesinden active directory user and computer kısmını ekliyoruz.

Resim 10

Ve Genel MD ou’su içerisindeki Ahmet YALCINKAYA adlı kullanıcın şifresini değiştirmeye çalıştığımızda yeni şifrelerini yazdıktan sonra

Resim 11

Karşımıza erişimin engellendiğine dair bir uyarı mesajı ile karşılaşıyoruz.

Resim 12

Şimdi ise muhasebe ou’su içerisinde ki Hasan Bakan beyin şifresini değiştirmeye çalışıyoruz ve yeni şifrelerini girdikten sonra tamam düğmesine tıkladığımızda değiştirebildiğimizi göreceğiz. (Resim 13)

Resim 13

Bu işlemlerden sonra yetki verdiğimiz kullanıcıya bu yetkilerini kullanacağı bir pencere ayarlamak gerekiyor zira bütün active directory yapımızı göz önüne sermiş olacağız. Ve

Resim 14

Demin oluşturduğumuz mmc konsolunun üzerinde eklemelerimizi yaptıktan sonra muhasebe üzerinde sağa tıklayarak new taskpad view diyoruz.

Resim 15

Karşımıza gelen sihirbaza ileri diyerek devam ediyoruz. Böylece sadece muhasebe ou’sunu âdem kılıç adlı kullanıcı için mmc konsolumuzu değiştirerek kullanıcıya kolay bir kullanım penceresi ayarlamış olacağız.

Resim 16

Gelen pencerede görev penceresinin görünümünü ayarlıyoruz. Ve ileri diyerek devam ediyoruz.

Resim 17

Burada da gelen pencerede all tree items that are the same type ad the selected tree item diyerek devam ediyoruz.

Resim 18

Oluşturduğumuz görünüme bir isim ve açıklama girerek ileri diyoruz

Resim 19

Görünüm penceresi ayarlarımızı tamamladığımızı gösteren bir uyarı ile karşılaşıyoruz ve burada görev penceresine görev eklemek için ekle sekmesini işaretliyerek Bitti diyerek görev yolunun görünümünü ayarladıktan sonra buraya görevleri eklemek kaldı

Resim 20

Gelen pencereden menü command seçerek ileri diyoruz.

Resim 21

Âdem kılıç beyin kullanacağı özellikleri tek tek ekliyoruz. Zira birer tane seçme durumumuz var.

Resim 22

Eklediğimiz araçın ismini ve açıklamasını giriyoruz.

Resim 23

Ve aracımız için bir ikon seçiyoruz.

Resim 24

Eklediğimiz görevleri bitti diyerek ayarlarımızı sonlandırıyoruz.

Resim 25

Mmc konsolumuzdan muhasebe ou’su üzerinde sağ tıklayarak new Windows from here diyerek sadece muhasebe ou’sunu görünümünü ayarlamış oldu ve artık âdem bey için gerekli kullanıcı yetkilendirmeleri ve kullanım penceresi hazır.

Resim 26

Artık âdem bey muhasebe ou’su içinde ki kullanıcıların şifrelerini ister üzerlerinde sağa tıklayarak isterse de aşağıda ki hızlı butonlarla değiştirebilir bunun için muhasebe ou’su içindeki kullanıcılardan birini işaretlemesi yeterli olacaktır.

Resim 27

Eğer ki bu görünümü ve araçları değiştirmek istenirse muhasebe ou’su üzerinde sağa tıklanılarak edit taskpad view denilerek hem görünüm hem de işlem araçları için pencereler gelecektir.

Resim 28

Resim 29

Artık çalışanlarımızdan birine ve departman bazında bu şekilde yetkiler vererek kullanıcılarımıza daha hızlı problemlerini giderirken bizlerde yoğunluğumuzu bu şekilde düşürebiliriz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

ADDITIONAL DOMAIN CONTROLLER KURULUMU

2008-04-01T21:38:14Z

(EK ETKİ ALANI DENETLEYİCİSİ)

Additional domain controller “Not: Bazı yerlerde kısaca ADC diyeceğiz” “Ek etki alanı denetleyicisi” sistemimizde kurulu olan domain controller serverımızın çalışan bir yedeğidir. Büyüyen bir yapıda veya oluşabilecek bir hata sonucu domain controllerımızın çalışmaması gibi durumlarda kısa bir sürede FSMO Rollerinin taşıma işlemini yaparak sistemimizi ayağa kaldırabiliriz. Domain controllerın kontrol ettiği kullanıcı, bilgisayar, policy ve active directory database’in iki farklı veya yapımıza göre daha fazla sunucu üzerinde paylaştırılması için kullanılır.

Aynı network üzerinde ADC’nin kullanım amacı daha cok DC’mizin bir yedeği gibi algılanabir.

Fakat farklı network yapılarında ise yani şubemizdeki çalışanların logon olma policy gibi active directory işlemleri için domain controllerımıza bağlanarak işlem yapılmaktadır. Şube hatlarımızın bant genişlikleri yereldeki active directory işlemlerinden küçük olması her sabah şubemizin bağlanması ve aktif olarak işleme geçmesi bant genişliğinin yetersiz kalma gibi durumlarda zaman ve para kaybına sebebiyet verecektir. İşte burada devreye ADC devreye girerek şube ADC’si ile merkez DC arasında belli aralıklarla replikasyon yaparak kullanıcılarımızın logon gibi işlemlerini hızlı bir şekilde gerçekleştirebiliriz.

Kuruluma başlamak için

Resim 1

(Resim 1) Başlat > Çalıştır > dcpromo yazıyoruz.

Resim 2

(Resim 2) Yazdıktan sonra karşımıza active directory kurulum sihirbazı açılacaktır.

Resim 3

(Resim 3) Karşımıza active directory kurulumu için gerekli uyumluluk bilgilerini içiren bir yazı gelecek burada ileri (Next) diyerek kuruluma devam ediyoruz.

Resim 4

(Resim 4) Etki alanı denetleyicisi’nin rolunu seçeceğimiz kısım gelecektir. İki seçenek gelen ekranımızda

Domain Controller for a new domain: Yeni bir domain yapısı oluşturmamızı sağlar
Additional domain controller for an existing domain: Varolan bir etki alanı denetleyicisi ne yardımcı bir additional domain controllereklemek için kullanılır. Biz burada 2. seçeneği seçerek devam ediyoruz.

Resim 5

(Resim 5) İleri diyerek devam ettiğimizde karşımıza dâhil olacağımız domain’in yetkili bir kullanıcı adı “Burada dahil olacağımız domainde Domain admins Administrator veya Enterprise Admin yetkilerine sahip bir kullanıcı” şifre ve domain’e dâhil edeğimiz domain’in ismini yazıyoruz. İleri (Next) diyerek devam ediyoruz.

Resim 6

(Resim 6) Bilgisayarın ek Domain Controller olacağı Domain’in tam DNS ismini yazabilir veya yandaki Browse (Gözat) butonu ile Domain Ağacımızın yapısını görerek ve ek Domain Controller olarak katılmak istediğiniz Domain’i Browse (Gözat) görünümünden de seçebilirsiniz. Domain name’i tanımladıktan sonra ileri (Next) diyerek devam ediyoruz

Resim 7

(Resim 7) Bu ekranda Active Directory veritabanı ve log dosyalarının nerede tutulacağını belirleriz. Varsayılan olarak veritabanı ve loglar da “%SystemRoot%\NTDS” klasörüne yerleştirilir. Bu dizinin farklı bir bölüm veya hdd’ye ayarlanması Active directory Performansında daha iyi bir sonuç verecektir.

Resim 8

(Resim 8) Bu ekranda SYSVOL olarak bilinen Active Directory paylaşım klasörünün yeri belirlenmelidir. Bu klasörün yolu NTFS olarak biçimlendirilmiş bir bölüm veya hdd üzerine oluşturtulmalı. Varsayılan olarak bu klasör “%SystemRoot\SYSVOL” şeklinde oluşturulur. SYSVOL nedir? Oluşturduğumuz Group Policy’ler ya da başlangıç scriptleri bu klasör altında depolanır. Aynı zamanda organizasyondaki diğer dcler’lede sürekli replike halindedir.

Resim 9

(Resim 9) Active directory üzerinde bir sorun oluştuğunda elimizdeki bir yedekten geri dönmemiz gerektiği gibi bir durumda F8 ile directory services restore mode kısmına girdiğimizde kullanıcağımız şifredir. Not: Genelde birçok kişi bu şifreyi kullanılmadığı için unutur veya eski sistem sorumlusu tarafından söylenmediği veya bir yere yazılmadığı için sorun çıktığında aranan bir şifre durumuna gelir. Bu sebeple sistem standartlarımızda bu şifreyi bir yere yazmak gerekmektedir.

Resim 10

(Resim 10) Son olarak buraya kadar yaptığımız kurulum ayarlarının bir özeti ile karşılaşarak ileri (Next) dediğimizde kurulum işlemleri başlayacaktır.

Resim 11

(Resim 11) Additional domain controllerkurulumuna başlıyor.

Resim 12

(Resim 12) Yükleme işlemleri bittiğini ve hangi etki alanı denetleyicisi’ne additional domain controllerolarak kurulum yaptığımızı belirten sihirbaz ile kurulumu bitiriyoruz. Finish (Bitti) düğmesine tıklıyoruz.

Resim 13

(Resim 13) Windows Serverımızın restart ederek değişikliklerin aktif olmasını sağlıyoruz.

Sistemimiz açıldıktan sonra additional domain controllernin doğru şekilde yüklendiğini kontrol etmemizde fayda vardır bunun için

SYSVOL klasörünün oluşturulduğunu ve paylaşımda olması gerektiğini
Active directory veritabanı ve Log dosyalarının oluştuğuna, NTDS. DIT klasörün altında Ntds. Dit, Edb.*, Res*.log dosyalarının oluşması gerekmektedir.
Olay görüntüleyicisi kontrolü yapılarak additional domain controllerkurulumu sırasında oluşabilecek hatalar buraya kaydedileceği için incelemek lazım.
DNS kayıtlarının doğru şekilde oluşup oluşmadığını incelemek gerekli.

DC ve ADC arasında belli sürelerde replikasyonlar yapılmaktadır. Active directory’de belli bir değişiklik olduğunda kullanıcı eklenmesi silinmesi gibi işlemlerde iki dc arasında replikasyon işlemi gerçekleştirerek dc ile adc arasında bilgi alış verişi yapılır. Kullanıcı kilitlenmeleri gibi önemli durumlarda replikasyonlar anlık yapılmaktadır.

Elle (Manuel) replikasyonu başlatmak için Başlat >Yönetimsel araçlar > Active Directory Site and Services kısmına geliniz. Buradan konsol ağacından sites > default first site name > servers altında replikasyona sokacağımız diğer dc’yi seçiyoruz. Sağ tarafta connection’a sağ tıklıyoruz ve replicate now diyoruz.

Yeni bir yazıda buluşmak üzere

Saygılarımla…

TERMİNAL SERVER KURULUM VE KONFİGÜRASYON

2008-03-24T06:20:12Z

Terminal Server günümüzde bütün şirketlerin kullanmaya başladığı bir server hizmetidir. Microsoft tarafında Terminal Server teknolojisini incelersek NT 4,0’dan başlayan bir süreç karşımıza çıkar. İlk olarak Windows NT 4,0 Terminal Server Edition adıyla farklı bir sürüm olarak son kullanıcıya sunulan bu teknoloji Windows 2000 ve 2003 Server işletim sistemleriyle bütünleşmiş sunulmuştur.

Windows NT 4,0 ile RDP 4,0 sürümü kullanılırken Windows 2000 server da RDP 5,0 ve 2003 Serverlarda ise RDP 5,2 sürümleri kullanılmaya başlandı. Microsoft Windows XP sürümünde 5,1 (Yeni bir güncelleme ile bu 6,0) sürümü kullanılmaktadır.

RDP Nedir?

Remote Desktop Protokol (RDP) Kullanıcı bilgisayarın Terminal Server üzerinde oturum açabilmesi için kullandığı RDP, default olarak TCP 3389 portunu kullanan bir protokoldür.

Windows server 2000 ve 2003’lerde iki tür erişim modu vardır.

1. Uzaktan yönetim modu lisans gerektirmez ve aynı anda yalnızca 2 oturum açılmasına izin verir.

Windows 2003 Serverımızı sadece uzaktan yönetmek için Control Panel (Denetim Masası) > System (Sistem) > Remote (Uzak) sekmesindeki Remote Desktop (Uzak Masaüstü) sekmesini işaretlemek gerekmektedir. Select Remote Users kısmından bağlanmasını istediğimiz kullanıcıları belirliyebiliriz. (Şekil 1)

Şekil 1

2. Uygulama dağıtmak olunca kullanıcı sayısı artacağı için daha fazla oturum açmaya ihtiyaç duyacağız. Bu durumda 120 günlük deneme süresinden sonra oturum açacak her kullanıcı veya bağlantı yapacak her aygıt başına Terminal Server CAL (Client Access License) temin etmemiz gerekecektir. Terminal Serverın kullanım süresinden sonra da hizmet verebilmesi için ortamda Lisans dağıtımından sorumlu olan bir Lisans Server olmalıdır. Bu hizmeti verecek bilgisayara Terminal Server Licensing hizmeti kurulmalıdır ve çevrimiçi olarak etkinleştirilmelidir. Ardından bağlantı yapan her kullanıcıya ya da aygıta Lisans Server tarafından bir lisans atanacaktır. Terminal Server Lisanslama ile ilgili daha ayrıntılı bilgi için http://technet2.microsoft.com/WindowsServer/tr/Library/ed83c01f-8937-4cab-9191-9228a821ee9f1055.mspx?mfr=true adresiniz ziyaret edebilirsiniz.

Terminal Server Hizmetinin bize getirdiği faydaları sıralarsak

1. Şirket bazında hem donanımsal hem de yazılımsal olarak maliyetleri düşürmesi

2. Sistemde çıkabilecek problemlere hızlı müdahele etmek.

3. Sistemi daha kontrollü ve daha yapısal yönetmek

4. Uygulamaları yükleme ve kullanma.

5. Sistem yöneticilerinin iş yüklerinin azalmasına

6. Kullanıcılara uzaktan bağlanabilme ve yönetebilme

7. Merkezi bir veritabanına sahip uygulamalara erişip kullanabilme ve verilerin yedeklenmesi ve güncellenmesi gibi birçok avantajları vardır.

Terminal Hizmetleri Windows kurulumu sırasında default olarak kurulmaz.

Kurmadan önce Terminal serverdan daha iyi yararlanamabilmek ve performans almak için

a. Terminal serverı Tek başına bir server olarak kurmak, herhangi bir DC veya başka bir Server üzerine yüklememek.

b. Terminal server’ı NTFS dosya sistemi üzerine kurmak ki zira güvenlik açısından gerekli

c. Lisans server’ınızı düzenli olarak yedeklemek

d. Terminal serversunu kapatırken Başlat > Kapat yerine tsshutdn komutunu kullanarak kapatmak lazım ki zira böylece daha kontrollü kapatmış oluruz.

e. Terminal server’a program yüklemek için Denetim Masasi > Program Ekle Kaldır’ı kullanılması ki bu sayede çoklu oturumlara programı kurabiliriz.

f. Bir veya daha çok terminal serversunu yapılandırmak veya Terminal Server kullanıcı ayarlarını yönetmek için Terminal Hizmetleri Grup İlkesi'ni kullanın

g. Terminal Hizmetleri'ne özgü gruplar kullanma: Terminal Hizmetleri kullanıcılarına özgü Kullanıcı Grupları oluşturun

h. Terminal Hizmetleri'ne özgü profiller kullanma: Terminal Hizmetleri'nde oturum açmak için ayrı bir profil atayın. Profillerde saklanan ekran koruyucu ve canlandırmalı menü etkileri gibi ortak seçeneklerin çoğu, Terminal Hizmetleri kullanılırken istenmez

i. Süre sınırları ayarlama: İstemci bağlantılarının süreleri için sınırlamalar belirlemek server performansını artırabilir. Bir oturumun süresini, bağlantısı kesilmiş bir oturumun serverda etkin durumda ne kadar kalacağını ve bir oturumun boş durumda ne kadar bağlı kalacağını ayarlayabilirsiniz.

j. Programı başlatırken seçeneğini kullanma: Terminal serverındaki tek bir uygulamaya erişmesi gereken kullanıcılarıınz varsa, kullanıcıların o uygulamaya erişimlerini kolaylaştırmak için Programı başlatırken seçeneğini kullanın

k. Kullanıcılar veya kullanıcı grupları için önceden yapılandırılmış bağlantı dosyaları oluşturma

l. Terminal Hizmetlerine bağlanmayı kolaylaştırmak için, kullanıcılara önceden yapılandırılmış bağlantı dosyaları sağlayabilirsiniz. Kuruluşunuz içindeki farklı bölümler veya farklı görev tanımları için de bağlantı dosyası grupları oluşturulabilir.

m. Terminal Server kullanıcılarının profillerinin oluştuğu Document and Settings kısmında ki yeri değiştirme.

n. Kuruluma aşağıdaki yolu izyerek başlıyoruz.

Başlat (Start) > Denetim Masası (Control Panel) > Program Ekle Kaldır (Add or Remove Programs) > Windows Component Wizard’ı seçeriz.

www.sistemdoktoru.com

Harun KORKMAZ

Şekil 2

Buradan Terminal Serverı ve Terminal Server Licensing işaretleyerek kuruluma başlıyabiliriz ve İleri diyerek devam ediyoruz. Network’ta ilk terminal server olacağı için buraya terminal server licensing hizmetini de kuruyorum. Sadece Terminal Server dediğimizde security ayarlarından sonra yüklemeye geçecektir.

Şekil 3

Karşımıza Terminal server kurulumu ve lisansız olarak 120 gün -ki bu süre Windows 2000 Terminal Hizmeti için 90 gündür- kullanabileceğimizi belirten yazı ile karşılaşıyoruz ve ileri diyerek devam ediyoruz.

Şekil 4

Karşımıza Güvenlik ayarlarını sececeğimiz bir pencere gelecektir. Bunlar Full Security ve Relaxed Securitydir kısaca bahsedecek olursak;

Full Security: Windows serverına bağlanan Kullanıcıların sistem dosyalarına, regedit ve windows yapılandırmalarına erişimini engeller. Kullanıcıların verebilecekleri hata ve zararlara engel olur. Ve eskiye dönük özellikle registry erişimi gerektiren uygulamarda çalışmayacaklardır.

Relaxed Security: Windows server ayarlarına kullanıcıların ulaşmasını ve yapılandırmalarına erişimi sağlar ve sistem için açık bir tehlike meydana getirmektedir ve registry erişimi gerektiren uygulamalar çalışmaktadır. Full Security diyerek devam ediyoruz.

Şekil 5

Güvenlik ayarlarını seçtikten sonra karşımıza Lisans server seçeneği gelir. Sistemimiz üzerinde Lisans Servermız varsa elle ip’sini yazarak veya otomatik olarak arattırarak terminal serverımız için lisans serverı atayabiliriz. Biz ilk defa kurulum yaptığımızdan 120 günlük olarak ayarlayacağız daha sonra elle de terminal server lisansını elle girebiliriz. 120 günlük süreç terminal servera yapılan ilk bağlantı ile başlar ve 120 gün sonunda biter ve lisans girmemiz gerekecektir.

Şekil 6

İleri diyerek Lisanslama yapılandırmasını yaparız. Burada Per Device (Cihaz Başına) ve Per User (Kullanıcı Başına) mode’ları görülmektedir. Aralarında ki farklar

Cihaz Başına yaparsak her istemciye ve aygıta terminal servera erişim hakkı verilir.

Kullanıcı Başına ise kullanıcıya sınırsız sayıda aygıttan terminal servera bağlanma hakkı verilir. Kullanıcı başına yapılandırmak daha doğru olacaktır.

Şekil 7

Lisans serverımızı nereye kurmak istediğinizi belirtiyor. Biz Burada 1.sini secerek devam ediyoruz. Lisans serverı başka bir bilgisayara kurmak için altaki secenek secilir.

Şekil 8

Terminal serverımız yüklenmeye başladı.

Şekil 9

Yükleme işleminden sonra Finish Düğmesine tıkladıktan sonra bizden restart etmemizi isteyecektir.

Şekil 10

Resetleme işleminden sonra Manage Your Server ekranında terminal server bölümünü ve bu hizmeti yönetmek için kullanacağımız Terminal Hizmetleri Yapılandırma ve Terminal Hizmetleri Yönetim konsolları eklenmiş olacaktır.

Şekil 11

Terminal Hizmetleri Yönetici ekranı Networkte terminal hizmeti veren tüm serverların ve onların üzerinde hesap açan terminal servera bağlanan kullanıcılarımızı görebileceğimiz ve bunların sisteme Giriş saatlerini görebilir, üzerinde sağa tıkladığımızda ise gelen menuden ekranına bağlantı yapabilir, terminal bağlantısını kesebilir, Tek veya seçtiğimiz kullanıcılara mesaj gönderebilir, Uzaktan denetim ve resetleme menuleri gelmektedir ve yönetici ekranında sağ taraftan kullanıcıların üzerine tıkladığımızda çalıştırdıkları programları görebiliriz. Terminal hizmetleri yönetici ekranını açmak için komut satırından tsadmin dememiz yeterli olacaktır.

Şekil 12

Evet, şimdi ise Terminal Hizmetleri Yapılandırma penceresini inceleyelim.

Şekil 13

Terminal hizmetleri yapılandırma penceresi kullanıcılar ile server arasında ki iletişimin güvenlik ve oturum açma bilgilerini ve yetkilerini ayarladığımız konsolumuzdur. Terminal hizmetleri yapılandırma girdiğimizde Connections ve Server Settings ayarları görünmektedir. Connections da bağlantı ile ilgili ayarlarımızı olan kullanıcıların oturum açmadan kapamaya kadar ekran ve ses ayarlarını düzenliyoruz.

Şekil 14

8 farklı sekmeden oluşan RDP-Tcp üzerinde sağa tıklayıp özelliklere giriyoruz.

Şekil 15

Genel kısımda Bağlantılarımızın Güvenlik ile ilgili ayarlarını istersen Uzak bağlantılarda Sertifika kullanarak bağlanmamız için gerekli ayarlar yapılıyor. Kullanıcılar ile server arasında ki iletişimin şifreleme seviyesini belirliyebiliriz. 56 bit şifrelemeden başlayan 4 faklı şifreleme sistemi vardır. Dikkat edilmesi gereken şey ise kullanıcı tarafından desteklenmesi gerekmektedir.

Şekil 16

Logon Settings (Oturum açma ayarları) Sekmesi oturum açarken kimlik doğrulaması yapılacak kullanıcının bağlanması gerektiği durumlarda kullanılır. Buraya gireceğiniz kullanıcı bilgileri uzaktan erişmek isteyen herkes için geçerli olacaktır. Burada kullanıcı adı şifresi domain bilgilerinin girilmesi gerekmektedir. Kullanıcıların hepsi kendi hesapları ile açılması gerektiği için kullanılmaması gerekmektedir.

Şekil 17

Sessions (Oturumlar) Terminal servera bağlanan kullanıcıların kullanıcıların bağlantıları koptuğu halde kullanıcının hesabının aktif kaldığı zaman ne zaman bağlantının kesileceğini ayarlayabiliriz. Burada yapılan ayarlamalar bütün bağlantı yapan kullanıcıları etkileyecektir.

Şekil 18

Ortam ise terminal servera bağlanacak kullanıcıların tek bir uygulamayı çalıştırmasını istiyorsak çalıştıracağı programı ayarlayabiliriz.

Şekil 19

Terminal servera bağlanan kullanıcılara uzak masaüstü yapabilmemiz için gerekli ayarları yapıyoruz.

Şekil 20

Client Settings (İstemci ayarları): Kullanıcıların bağlandıklarında ki ekran rengi ayarları bağlandıkları terminal üzerinde ses çaldıklarında duymak için ayarlarını buradan düzenleyebiliriz. Ses kullanılmayacaksa kapatılması uygundur.

Şekil 21

Network Adaptor (Ağ Bağdaştırıcısı): terminal bağlantısının hangi network kartı üzerinden ve kaç kullanıcının bağlanabileceğini ayarlayabiliriz.

Şekil 22

Permisisions (İzinler) : Terminal serverına bağlanacak kullanıcıların izinlerini ayarlayabiliriz. Buraya Domain Users, Remeto desktop users gibi veya bağlanmasını istediğimiz kullanıcı ve grupları ekleyebiliriz.

Burada üç farklı yetkilendirme bulunmaktadır.

Guest: Kullanıcılara sadece oturum açma yetkisini verir

User: Oturum açtıktan sonra oturumlara mesaj gönderme diğer oturumlara bağlanabilme yetkilerine sahip olurlar.

Full Control: User ayarlarına ek olarak oturum açmış kullanıcılara uzaktan yönetme ve resetleme gibi işlemleri yapabilirler

Şekil 23

Terminal Hizmetleri yapılandırmada connectios (Bağlantılar) yapılandırmasından sonra server ayarları kısmında ise

Olarak ayarlarız.

GROUP POLICY ÜZERİNDEKİ TERMİNAL SERVER AYARLARI

Group Policy üzerinde terminal serverla ilgili Bilgisayar yapılandırma yapabiliriz.

Bunun için Başlat > Çalıştır > gpedit.msc diyerek gelen group policy object editor penceresi gelecektir. Buradab Computer Settings > Adminisrative Templates > Terminal Services kısmında gerekli bağlantılarla alakalı ayarları yapabilirsiniz.

Şekil 24

ve aynı zaman da aynı kullanıcı yapılandırması kısmında da administrative templates > Terminal Services kısmından da ayarları yapabiliriz.

Şekil 25

Client(istemci) : Kullanıcınn terminal hizmetleri istemcisi kullanarak parolaları kaydedip kaydedemeyeceğini denetler

Sessions(Oturumlar): Terminal hizmetleri için bağlantı sınırı, bağlantısı kesilmiş oturumların zaman sınırı, sınıra ulaştığında oturumları sonlandırma gibi ayarlamalar yapılabilir.

Start a program on connections: Terminal hizmetlerine bağlanıldığında program çalıştırır.

Sets rules for remote control of terminal services user sessions: Terminal hizmetlerinde yetkisi kullanıcıların diğer kullanıcılara uzaktan bağlanıp oturuma uzaktan katılabilir.

TERMİNAL HİZMETLERİ'Nİ KOMUT İSTEMİNDEN YÖNETME

Komut satırı yardımcı programlarını kullanarak kullanıcıları, oturumları, işlemleri ve terminal sunucularını yönetebilirsiniz. Aşağıdaki tabloda, komut satırından çağırabileceğiniz Terminal Hizmetleri yönetim yardımcı programları listelenmektedir.

Not: Tablo Microsoft Sitesinden Alınmıştır.

· Kullanıcı Profilleri normalde sistemi hangi partition’a kurduysanız oradaki Documents and Settings klasörünün altına oluşturulmaktadır. Oluşan profilları birkaç ayarla farklı bir partitionda oluşturarak hem bilgilerin yedeklenmesi hemde herhangi bir sistem arızasında kurtarma imkânımızı daha yükseltir. Bunun için aşağıdaki yolu izlemeyerek yapabiliriz.

Başlat > Çalıştır > Regedit dedikten sonra

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList’e gelip Sağa ekranda ki ProfileDirectory’de tanımlı olan adresi istediğiniz şekilde değiştirerek düzenliyoruz. Ve yönlendirdiğimiz adrese documents and settings deki Default ve All user klasörlerini kopyalamamız gerekmektedir.

Terminal hizmetleri konusunda çalışma prensibi, bileşenleri, kurulum ve yönetimi konusunda yeterli bilgiyi edindiğimize inanaraktan bu konumuzun sonuna da geldik.

Ayrıca aşağıda ki adresten de terminal hizmetleri konusunda bilgi alabilirsiniz.

http://technet2.microsoft.com/windowsserver/tr/library/c8788dd5-5fae-453e-84df-efdd1dce8f5a1055.mspx?mfr=true

Saygılarımla…

Roaming User Profile

2008-03-20T07:24:58Z

Kullanıcı Profili (User Profile); bir bilgisayarda ilk kez oturum açıldığında otomatik olarak yaratılan ve oturum açtığımız bilgisayarım Document and Settings\%username% Klasörü altında saklanan ntuser.dat isimli bir dosyadır. Oturum açtıktan sonra profilimizde yaptığımız tüm değişiklikler (görüntü ayarları, masa üstü ayarları vb.) bu dosya içine kaydedilir. Bu dosya Lokal makinenin sabit diskinde tutulduğu için profil ayarları sadece daha önce bu bilgisayarda oturum açmış kullanıcıların profil ayarlarını içerir. Bu yüzden bu profile local user profile denir.

Roaming User Profile (Gezici Kullanıcı Profili) ise her kullanıcının kendine ait profilinin merkezi bir sunucuda oluşturduğumuz paylaştırılmış bir klasörde tutulması ve kullanıcının bir sonraki oturum acışında bu profil dosyasını kullanmasıdır. Arka planda Roaming User Profile sahip bir kullanıcı ilk kez bir bilgisayardan oturum açtığında oturum açtığı bilgisayarda bulunan Default User Profile kullanarak oturum açar ve oturum kapattığında ise profil dosyası sunucu üzerindeki paylaştırılmış klasöre kopyalanır. Daha sonra kullanıcı her oturum açtığında profil dosyasına Sunucu üzerinden kullanıcını oturum açmak istediği bilgisayarın sabit diskine kopyalanır ve kullanıcı kendi profiline ait ayarlar ve dosyalara erişir.

Roaming User Profile’ın avantajlarından bazıları ise kullanıcılara ait bilgi ve belgelerin merkezi bir yerde tutulduğu için yedeğinin kolay alınmasıdır. Ayrıca herhangi bir kullanıcının bilgisayarı arızalandığında ona yeni tahsis edilen bilgisayara kullanıcı profil bilgilerini kopyalamak zorunda kalmayız.

Bunun yanında Roaming User Profile’ın dezavantajı ise kullanıcın ayarlarının tutulduğu profile dosyasının boyutunun büyük olması halinde kullanıcının otur açma ve kapatma sürelerinin uzaması ve buna bağlı olarak oluşan network trafiğidir.

Adım Adım Roaming User Profile Oluşturulması:

1. adımda Öncelikle Profilleri tutmak istediğimiz sunucuda profillerin tutulacağı bir Klasör oluşturulur ve bu klasör paylaşıma açılır. Bunun için: Profiller klasörüne sağ tıklanarak “Sharing and Security” Seçilir.

Aşağıdaki ekranda ise Klasörü paylaşıma açmak için “Share this Folder” Seçilir. Ayrıca burada bulunan ve opsiyonel olan “Comment” bölümüne klasöre ait bir açıklama yazılabilir. “User Limit” Bölümüyle ise aynı anda bu klasöre erişebilecek kullanıcı sayısını belirleyebiliriz.

“Permissions” butonuna basarak Roaming User profile oluşturmak istediğimiz kullanıcıya bu klasör için Full Control (Tam Denetim) hakkı vermek için Add butonuna basarak kullanıcımızı ekliyoruz.

Sonraki adımda eklediğimiz kullanıcı için bu klasörde Full Control hakkı veriyoruz.

2. Adım olarak;

StartàProgramsàAdministrative Toolsà Active Directory Users and Computers programı açılır. Burada hangi kullanıcının profilini Roaming User profile yapmak istiyorsak o kullanıcıyı seçeriz.

Kullanıcı adı üzerine çift tıklayarak kullanıcı özelliklerine eriştikten sonra Profile Tabına geçilir ve kullanıcı profilinin depolanacağı yeri gösteren “Profile Path” kısmına daha önce paylaştırdığımız klasörün yolu yazılır. Yolun sonuna yazılan %username% bir system değişkeni olup hangi kullanıcı için bu işlem yapılırsa default olarak o kullanıcının adı anlamına gelir.

Son olarak Apply ve Ok basılarak Ekran kapatılır. Kullanıcı ilk otur açtığında artık profili Roaming User Profile olacaktır.

Not:

1-) Roaming User Profile genelde kullanılmaz çünkü her sabah oturum açan 200 kullanıcımız olursa network trafiği gözle görünür derecede artar ve oturum açma süresi çok uzar ama illaki Roaming User Profile kullanmanız gerekiyorsa profillerin ayrı bir Dosya sunucusunda tutulması tavsiye olunur.

2-) Roaming User profile sahip bir kullanıcı oturumu kapattığı zaman profilinin bir kopyası kendi local hard diskinde kalır. Bu da sabit diskin kullanım alanının azalması anlamına gelecektir. Oturum kapatıldığı zaman sabit diskte kopyalanmış olan profilleri silmek için:

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon ‘a giderek DeleteRoamingCache değerini 1’e çekin. Eğer bu değer yoksa oluşturup değerini 1 yapın.

Sharing Design

2007-10-07T18:28:27Z

Merhaba bu Yazımızda Paylaşımla ilgili hassas konulara ve paylaşım esnasında birde dizayn ile ilgili örnekler vermeye çalışacağım...

Diyelim ki; Şirket profiliniz çok geniş (muhasebe, finans, operasyon, satış) gibi bölümleriniz var.

Burada mantıklı bir strateji geliştirirseniz kullanım rahatlığını elde edersiniz... Benim size burada göstermek istediğim örneğin bir dosyayı tıklayacağımızda ve burada şirketinize ait bölümlerle ilgili olan folder’ları göreceksiniz permissions hakkınız varsa buraya ulaşacaksınız.

Ben test amaçlı file server’ımda shared diye folder açıp Sharing edeceğim bunun için;

Shared folder üzerine sağ click yapı Sharing and security tıklayalım sonra=>share this folder tıklayıp

Permissions acın everyone grubuna full hak verelim bu verdiğimiz hak Ntfs izni idi...

bunu da yaptıktan sonra bu folder içine muhasebe ve satış folder larını yerleştirelim. Bu kısımdaki işimiz bu kadar dı!

Şimdi Domain Cont.olan sistemimde gurup yaratalım;

Muhasebe ve Satış adı altında iki grup ve grupların içine kullanıcıları yerleştirelim;

Grupları açtıktan sonra Şimdi bu grupların içine kullanıcılarımızı members edelim.Bu grupları nasıl oluştururuz v.s gibilerinden adım adım anlatmıyorum bunları bildiğinizi düşünerek yüzeysel geçiyorum..

Şimdi grup’larımızı da yarattıktan sonra asıl işimize gecelim..

File server üzerinde paylaşıma vermek istediğim folder ‘im(shared) idi benim (d ) partition üzerinde

Buradaki security’i düzenleyeceğim;

Bu sürücünün üzerindeki Everyone ve users gruplarını kaldıralım bunu yaptıktan sonra en önemli ve hassas noktaya dikkat edelim buraya Authenticated Users grubunu ekleyip sadece read hakkını verip

Apply ok!sonra advanced tıklayalım permissions tabın’da görüldüğü üzere Authenticated users tıklayalım special permissions ekranın açılacak! Dikkat burada gördüğünüz ekranda read permissions kaldıralım aşağıdaki resimden anlaşılacağı gibi üç seçeneğimiz kaldı bunlara dokunmayalım

Bunu da yaptıktan sonra ok yapıp ,çıkalım!Buraya kadar neler oldu? Tepeden uyguladığımız security gruplar folder içindeki tüm file ve folder miras bırakacak(inherit).Dikkat ederseniz hala hangi grupların buraya ulaşıp ulaşmayacağını belirlemedik.. Şimdi shared altındaki (Muhasebe ve Satış )Klasörüne bu security gruplarından Authenticated users grubunun inmesini(inherit)keselim! Bu çok önemli.

Shared folder içine girip muhasebe dosyanın üzerine gelip sağ click properties tıklayalım,security tıkladığımızda grupları görüyoruz

Buradan advanced tabını tıklayalım permission ekranı acılıyor karsımıza

Muhasebe folder Authenticated user grubundan aldığı mirası reddedelim J

Alttan ikinci seçeneği (inherit from parent the permission entires that apply to child objects) devam eden satırdaki butonu tıklayalım alttaki ekran karsımıza çıkacak

Cancel dersek işlemi iptal ederiz.Remove derseniz tepeden gelen izinleri silersiniz Bunu yapmayacağız Copy dersek ki diyelim lütfen J burada şunu yapıyorsunuz;Ya ben muhasebe folder ile ilgili degişiklik yapacağım ama tepeden gelen izinleri sen bozma

ben buradan silmek istediğim security gurubu sileyim.Benim altımdaki folder veya file uygula!Sanırım anlaşıldı copy tıklayalım

Şimdi değişiklik yapabiliriz Authenticated user a tıklayın Remove edelim görüldüğü üzere üç gurup kaldı (Local administrator grubu-Creator owner-system) ok yapıp onaylayalım!

Sıra geldi muhasebe gurubunu eklemeye

Muhasebe grubunu da ekledim

Dipnot: Arkadaşlar gruplara hiç bir zaman Full Kontrol hakkı vermeyin bunu yaparsanız bu gruba üye olan kullanıcıların folder üzerinde security hakları ile oynama hakkını vermiş olusunuz bu çok tehlikeli...

Grubuda ekledikten sonra haklarımızıda verdik bu işlemin aynısını Satış folder için de yapın!

Neler olmuş bakalım;

Ben file server ulaştığımda shared görüyorum domain de Authenticated olduğum için shared

İçine girebiliyorum istediğimiz Shared Design buydu düzenli bir dizayn seklimiz oldu...Ben muhasebe grubuna dahil değilim aldığım hata mesajı tahmin edelecegi üzere

Erişim engellendi!

Satış gurubuna dahilim buraya girebiliyorum

Dip Not; Authenticated users grubunu inherit (miras) etseydik eğer; yaptıklarımızın hiç bir önemi kalmayacaktı sanırım önemini kavradık.. Aslına bakarsanız Authenticated user grubu shared folder için acık kapı yaptı buradan herken girebilir ama hakkınız varsa nimetlerden yararlanırsınız

Sertifika Kullanılarak Uzak Masa Üstü Uygulaması

2007-05-30T13:21:00Z

Yaygın tehditler

Önce bazı yaygın tehditlere göz atarak başlayalım. Hiçbirimiz sunucularımıza yetkisiz kişilerin erişmesini istemeyiz. Ama sunucularımızda uzak masaüstünü etkinleştirdiğimizde http://sistemdoktoru.com/blogs/ceh/archive/2007/04/25/terminal-server-hacking-and-vulnerability-scanning.aspx ilgili linkinde anlatıldığı gibi bu saldırılara karşı korunmak gerçekten zor bir hale gelir.

Eğer domain’inizdeki password policy, belli bir oturum açma girişiminden sonra kullanıcı hesaplarını kilitlemek üzere konfigure edilmemişse o zaman uzak masaüstü etkinleştirilmiş sunucunuz kullanıcı bazlı Dos atakları için uygun bir ortam teşkil etmiş olur. İp’nizi bilen herhangi biri kolaylıkla terminal sunucunuza bağlanabilir ve çeşitli kullanıcı adı ve parolalarla oturum açma girişiminde bulunabilir. Password policy’lerine bağlı olarak, denenen kullanıcının hesabı kilitlenebilir böylece gerçek kullanıcının oturum açması engellenebilir.

Buna ek olarak eğer zayıf parolalar kullanılıyorsa, üzerinde Windows terminal Hizmetleri çalışan sunuculara karşı hacking toolları kullanılarak dictionary saldırıları yapılabilir. Bu toollar aynı zamanda daha önce bahsedilen Dos saldırılarını da gerçekleştirebilirler.

Bu tehlike eğer internetten bu sunucuya 3389 nolu porttan ulaşılabiliyorsa çok daha büyük bir hale gelir.

Ama tabi ki bu tehlikeye de bir çözüm var çok şükür. Bu çözüm sertifika bazlı bilgisayar kimlik doğrulamasıdır. Eğer bilgisayar, bağlanmaya çalıştığı terminal sunucuya geçerli bir sertifika sunarak kimliğini doğrulayamazsa kullanıcı oturum açmaya fırsat bulamadan RDP bağlantısı düşecektir.

TLS/SSL Bazlı Kimlik Doğrulama nasıl etkinleştirilir?

Başlamadan önce dikkat etmemiz gereken bazı hususlara değinelim;

Sunucu tarafında aşağıdaki şartlar yerine getirilmelidir;

Terminal Sunucunuzda Windows Server 2003 SP1 yüklü olduğundan emin olun.

Ayrıca aşağıdaki özelliklere sahip bir TLS/SSL sertifikasına ihtiyacınız olacak:

Sertifika bilgisayar bazlı olmalı

Sertifikanın amacı sunucu kimlik doğrulaması olmalı

Sertifikanın private key’i mevcut olmalı.

Bilgisayar bazlı sertifika olduğundan terminal sunucunun bilgisayar hesabının sertifika deposunda saklanmalı.

İstemci tarafında aşağıdakiler gerekmektedir:

● İstemci bilgisayarda Microsoft Windows 2000, Windows XP, Windows Server 2003 veya Windows Vista yüklü olmalı.

● Windows 2000, XP ve Windows Server 2003 için, uzak masaüstü versiyon 5.2 veya daha yeni bir sürüm kullanılmalı. Bu versiyon bir Windows 2003 SP1 sunucuda şu klasörde bulunabilir:

%systemroot%\system32\clients\tsclient\win32\msrdpcli.msi

● Son bir önemli şart da sadece yetkili istemcilerin Terminal sunucuda bulunan bilgisayar bazlı sertifikayı basan Kök Sertifikasyon Otoritesine güvenebilmesi gerektiğidir.

Şartları gördüğümüze göre şimdi nasıl yapılması gerektiğine gelelim.

BİR TLS/SSL SERTİFİKASI TALEP ETMEK

Yapmamız gereken ilk şey terminal sunucumuza bilgisayar bazlı bir TLS/SSL sertifikası yüklemek.

Yapımızda daha önceden Microsoft Sertifika Hizmetlerinin kurulmuş olduğunu varsayıyoruz. TLS/SSL bazlı sertifikamızı Active Directory’ye entegre bir enterprise CA veya stand-alone bir CA’dan talep etmeyi seçebiliriz. Biz bu makale için enterprise CA kullanmayı seçiyoruz.

1.Terminal Sunucumuzun Start menüsünden Run’ı tıklayıp mmc yazıyor sonra da OK’i tıklıyoruz.

2.File Menu’den Add/Remove Snap-in’i tıklıyoruz.

3.Add’i tıklayıp Add Standalone snap-in penceresinde Certificates’i tıklayıp Add diyoruz.

4. Computer Account’ı seçip sonra Next’i tıklıyoruz.

5. Local Computer’i seçip sonra Finish’i tıklıyoruz.

6. Add Standalone Snap-in penceresinde Close’u tıklayıp sonra OK’i tıklıyoruz.

7. MMC konsolünde Certificates’in üzerine geliyoruz.

8. View Menu’den Options’ı seçiyoruz.

9. View Options kutusunda Certificate Purpose’ı seçip OK’i tıklıyoruz.

10. Server Authentication’a sağ tıklayıp All Tasks’den Request New Certificate’i tıklıyoruz.

11. Certificate Request Wizard başlıyor, Next’i tıklıyoruz.

12. Certificate Types Listesinde Server Authentication veya Computer sertifikasını seçmemiz gerekiyor ama bizim sunucumuz aynı zamanda bir domain controller olduğu için biz Domain Controller Authentication’i seçiyoruz. Advanced kutucuğunu da işaretleyip Next diyoruz.

13. (Bu adım ve seçenekleri sertifika çeşidine göre farklılık gösterebilir.)

Bir sonraki pencerede Cryptographic Service Providers listesini görüyoruz. Burada Microsoft RSA SChannel Cryptographic Provider’ı seçiyoruz. Key Length’i varsayılan 1024’te bırakıyoruz. Ve gerektiğinde sertifikayı başka bir bilgisayara kopyalamak için Mark this key as exportable kutusunu işaretliyoruz. Next diyoruz.

14. Sertifikasyon Otoritemizi seçip, sertifikamıza bir isim belirliyoruz Next ve Finish diyerek bitiriyoruz.

Terminal Hizmetler Konfigurasyonu

Şimdi de terminal hizmetlerde TLS/SSL’i etkinleştirelim.

Administrative Tools menüsünden Terminal Services Configuration’ı başlatıyoruz. Sol tarafta Connections’ı tıklıyoruz. Sağ bölmede RDP-Tcp’ye sağ tıklayıp Properties’i seçiyoruz.

Öncelikle bir önceki bölümde yarattığımız sertifikayı seçmemiz gerekecek.

1. General sekmesinde Edit düğmesini tıklıyoruz.

2. Sertifikayı seçip OK diyoruz.

3. Yine General sekmesinde security layer olarak SSL’i seçip, encryption level’ı High’a getirip OK’i tıklıyoruz.

Sunucumuz artık hazır şimdi istemci bilgisayara geçelim.

İstemci Konfigürasyonu

İlk yapmamız gereken şey istemciyi terminal sunucunun sunucu sertifikasını basan CA’e güvenecek şekilde konfigüre etmek. Bunu yapmanın en iyi yolu grup policy ama basitlik adına güvenilen kök CA’i bir web tarayıcısı kullanarak istemcimize yükleyeceğiz.

İstemcinin tarayıcısından aşağıdaki URL’yi giriyoruz:

http://server/certsrv

sunucu adı CA’in yüklü olduğu bilgisayar ismi olmalı.

Download a CA certificate, certificate chain, or CRL’ye tıklıyoruz.
Ekranın sağ üst köşesindeki Install this CA certificate chain’e tıklıyoruz.

Bu web sitesine güvenip güvenmediğiniz uyarı çıkacaktır, Yes’i seçin ve sertifikayı yüklemek için bir daha Yes’i seçin.

Bir sonraki yapmamız gereken şey remote desktop client’ımızı versiyon 5.2 veya daha yüksek bir sürüme yükseltmek.

Ön şartlarda da daha önce belirtildiği gibi desteklenen remote desktop client’ımızı terminal sunucuda şu lokasyonda bulabiliriz:

%systemroot%\system32\clients\tsclient\win32\msrdpcli.msi

Yeni remote desktop’umuzu basitçe bu lokasyondan istemci bilgisayarımıza kuralım.

Not: Yeni remote desktop’umuz XP içinde önceden var olan remote desktop’umuzu yükseltmeyecektir. Bilgisayarımızda iki ayrı versiyon remote desktop olmasını istemiyorsak %ProgramFiles%\Remote Desktop içinde bulunan iki dosyayı aşağıdaki lokasyonlara kopyalamamız gerekmektedir.

%systemdrive%\Windows\System32\dllcache

%systemdrive%\Windows\System32

Bir sonraki adımda yeni Remote Desktop’umuzu başlatıyor ve eski versiyonda bulunmayan Security sekmemizi seçiyoruz.

Authentication(Kimlik Doğrulama) Listesinde Attempt Authentication(tesviye edilen) veya Require Authentication’ı seçiyoruz.

Bu uyarı ekranını Yes diyerek geçiyoruz.

Artık terminal sunucumuza bağlanıp oturum açabiliriz. Sol üst köşedeki küçük kilit ikonu, bağlantımızın güvenli olduğunu göstermektedir.
Eğer isterseniz CA’imizin sertifika zincirini, bilgisayarına yüklememiş bir istemciyle test yapabilirsiniz. Bu istemcinin kesinlikle bağlanamadığını göreceksiniz…

Kaynaklar:

http://www.windowsecurity.com/articles/Secure-remote-desktop-connections-TLS-SSL-based-authentication.html

http://support.microsoft.com/kb/895433/en-us