Bildiğiniz gibi NAP, Windows Vistaâ„¢ ve Windows Server® 2008 ile gelen yeni bir teknoloji. Ä°lerleyen günlerde Windows XP sistemler de NAP Client olarak kullanılıyor olacak. NAP’i kısaca, ağımızdaki bilgisayarların sağlıklıolup olmadığınıkontrol etmemizi sağlayan bir mekanizma olarak tanımlayabiliriz.
Peki, nedir sağlıktan kasıt?
Örneğin; client için güncelleme paketlerinin yüklenip yüklenmediği, güvenlik duvarıayarlarının uygunluğu veya güvenlik duvarının açık olup olmadığı, virüsten korunma yazılımının doğru çalışıp çalışmadığıve güncellik durumu gibi, işletim sistemlerinin stabil çalışmasına yardımcıolan ve burada sayamadığımız noktaların tümüdür.
NAP mekanizmasıbu noktalarıkontrol ederek, bizim belirlediğimiz kurallar doğrultusunda gerekli önlemleri alıyor ve ağımızdaki bodyguard görevini üstleniyor.
Örneğin;
Belirlediğimiz kurullara uymayan bilgisayarların (yani sağlıklıolmayan bilgisayarlar) ağımıza erişmesine engel oluyor, çünkü bu bilgisayarlar ağımız için tehlike arz ediyor. Tabi sadece engel olmakla kalmıyor. Aynızamanda bu bilgisayarların sorunlarının giderilmesi için de yardımcıoluyor.
NAP kontrolü, aşağıdaki 5 temel noktada uygulanabiliyor.
Â
VPN
IPSEC
802.1x (wried-wiriless)
Terminal Services Gateway Â
Bu makalede, en çok uygulanacağınıdüşündüğüm “DHCP ile NAP†konusunu ele alıyoruz. Oluşturmuş olduğum örnek yapıda aşağıdaki bilgisayarlar yer alıyor:
1 Adet Windows 2003 Server STD Server: Active Directory ortamıiçin, DC ve DNS rolünde.
1 Adet Windows 2008 Server STD: DHCP ve NPS (Network Policy Server) rolünde.
1 Adet Windows Vista Business: Testler için Domain Client rolünde.
Örnek diyagram ve bilgisayarların IP yapılandırmasıise aşağıdaki gibidir.
Â
                                                          NAP Topoloji Diyagramı
Network’ümüzde domain controller olan server main-dc dir. Ãœzerinde test.local domain’ini barındırıyor ve DNS hizmeti veriyor. TCP/IP yapılandırma bilgisi ise, yukarıdaki topoloji diyagramında görüldüğü gibidir.
DC makinemizin bahsettiğim şekilde yapılandırıldığınıvarsayarak devem ediyorum. Main-dc üzerinde yapacağımız başka bir işlem yok. Bizim için Active directory ve DNS hizmetini doğru bir şekilde verebiliyor olmasıyeterli.
Ayrıca yeri gelmişken hemen belirtelim, NAP ortamında DC’nin Windows Server 2008 olmasıgibi bir gereklilik yok. Örnek topolojide de görüldüğü üzere DC’miz Windows Server 2003 R2 dir.
Network’ümüzde Policy Server olarak görev yapacak makinemiz ise NPS01 dir. Ãœzerinde NPS servisi ve DHCP servisi çalıştırıyor olacak ve client’ların uygunluğu için gerekli kriterleri tutacak.
şimdi NPS01 makinemiz ile yapılandırmaya başlayalım.
Yeri gelmişken hemen belirtelim, NPS makinemiz (yani NPS01) Windows Server 2008 çalıştıran bir server olmak zorunda.
NPS01 üzerinde Local Area Connection özelliklerine geliyoruz ve TCP/IPv4 ayarlarıile başlıyoruz. Yapılandırma, aşağıda ve topoloji diyagramında görüldüğü gibidir.
Â
IPÂ Â Â Â Â Â Â : 192.168.5.20
Mask  : 255.255.255.0
DNSÂ Â Â : 192.168.5.10 Â
DNS olarak main-dc’i gösteriyoruz çünkü az sonra makineyi domain’e join edeceğiz. Ayrıca NPS01 üzerinde TCP/IPv6 ’yıdisable ediyoruz. IPv6 ’ya ihtiyacımız yok. Bunun için tekrar Local Area Connection özelliklerine geliyoruz ve Internet Protocol Version 6 (TCP/IPv6) ‘nın solundaki check box’ıboşaltıp onaylıyoruz.
Â
Artık NPS01 serverımızıtets.local domain’ine join edebiliriz. Normal bir join işleminden farkıyok.
Computer> Properties> Advenced System Settings> Computer Name> Change> Member Of bölümünden Domain’i seçiyoruz ve test.local yazıyoruz.
Yine aynıpenceredeki More butonuna tıklıyoruz ve Primary DNS suffix of this computer olarak ta test.local yazıyoruz.
Pencereleri onayladıktan sonra gelen username/password ekranında, domaine join etmeye yetkili bir hesap bilgisi giriyoruz ve bir kez daha onaylıyoruz.
welcoming you to the … mesajından sonra sistemi yeniden başlatıyoruz. (Join işlemini, Server Manager konsolunu kullanarak da yapabiliriz)
NPS01 açıldıktan sonra, artık domain de oturum açmamız gerekiyor. Bunun için, domain de Admin yetkili bir hesap kullanmalıyız (test\administrator yada Domain Admins gurubuna üye başka bir hesap)
Domain de oturum açtığımız NPS01 üzerinde DHCP ve Network Policy and Access Services rollerini yükleyerek devam ediyoruz.
Start menüsünden Server Manager konsolunu açıyoruz ve sunucuya yeni bir rol eklemek için kullanılan, Add Roles’e tıklıyoruz.
Gelen pencerede; Next ile ilerliyoruz.
Â
Gelen “Select Server Roles†penceresinde; sunucu üzerine ekleyebileceğimiz roller listeleniyor. Bu bölümü kullanarak birçok rol ekleyip, wizard ile yapılandırabiliriz. Biz, NAP için gerekli olan DHCP Server ve Network Policy and Access Services rollerinin check box’larınıdolduruyoruz ve Next ile ilerliyoruz.
Â
Gelen bilgi penceresini Next ile geçiyoruz.
Â
Aşağıda gördüğünüz “Select Role Services†penceresinde; Network Policy and Access Services için ekleyebileceğimiz alt roller listeleniyor. NAP için gerekli olan Network Policy Server rolünü tıklayarak ilerliyoruz.
Â
Gelen pencerede; Next ile ilerliyoruz.
Â
Yukarıdaki pencerede sarıçerçeve içine aldığım bölümler, başta eklediğimiz iki role ait.
Önce Network Policy and Access Services rolünü ve alt rollerini yapılandırdık. şimdi ise DHCP rolünü ve ayarlarınıyapılandırıyoruz.
Yani aynıwizard içinde birçok farklırolü yapılandırabiliriz. Bu, Windows Server 2008 Server Manager‘a ait bir özellik.
Gelen “Select Network Connection Bindings†penceresinde; DHCP hizmetinin verileceği ağ bağlantısınıseçerek devam ediyoruz.
Â
Gelen pencerede; Parent Domain ve DNS adreslerini belirliyoruz. Ben tek DNS adresi ile geçiyorum. Ä°htiyaca göre diğerini de yapılandırabilirsiniz. Validate butonuna tıklayarak Valid uyarısınıgördükten sonra Next ile devam ediyoruz.
Â
Gelen pencerede; WINS Server’a ihtiyacım olmadığıiçin ayarlarıdeğiştirmeden Next ile ilerliyorum.
Â
Gelen “Add or Edit DHCP Scope†penceresinde, Add butonuna basarak yeni bir scope oluşturuyoruz ve yapılandırıyoruz.
Havuzun ismini, dağıtılacak ip adreslerinin başlangıç ve bitiş değerlerini, alt ağ maskesi ve eğer kullanılacak ise varsayılan ağ geçidi bilgilerini giriyoruz (benim yapımda gerekli olmadığıiçin, ağ geçidini boş bırakıyorum) ve Active this scope check box’ının tıklıolduğundan emin olduktan sonra Ok diyerek onaylıyoruz. Next ile devam ediyoruz.
Â
Gelen pencerede; Network’ümde IPv6 yapısıkullanmadığım için, IPv6 disable olarak Next ile devam ediyorum.
Â
Active Directory ortamında yetkilendirilmesi gereken DHCP hizmeti için, yetkilendirmede kullanılacak bir hesap tanımlıyoruz. Ben administrator hesabınıkullanıyorum. Domain ortamında admin yetkili bir hesap olmalı.
NPS01 üzerinde test\administrator hesabıile oturum açtığım için aşağıdaki ekranda Use Current Credentials seçili şekilde Next ile ilerliyorum.
Â
Aşağıdaki pencerede; bize yaptığımız ayarlar ile ilgili bir rapor sunuluyor. Eğer bir problem yada eksik görmüyor isek, Install diyerek kurulumu başlatıyoruz.
Â
Kurulum tamamlanınca gelen ekranında Succeeded! Bilgilerini görüyoruz ve Close ile kurulumdan çıkıyoruz.
Böylece NPS01 sunucumuz üzerine DHCP Server ve Network Policy and Access Services rollerini yüklemiş ve temel ayarlarınıyapmış olduk.
Diğer bölümde görüşmek üzere.
Serhat AKINCI – IT Professional
Powered by MightyAdsense
