Windows Server 2008’in oldukça kullanışlı, şirket içi ve dışından gelen istekleri hazırladığınız filtrelerden geçirerek network’ünüzü korumaya yönelik bir uygulaması olan NAP (Network Access Protection) ile bu makalemizde şirket network’ünüze erişimin, belirlediğiniz şartlar gerçekleştikten sonra sağlamasını göreceğiz. Bu uygulamayı yapabilmek için aşağıdaki gibi yapılandırılmış bilgisayarlara ihtiyacımız olmaktadır.
NYC-CLI-01: Windows Vista Enterprise 32-bit
NYC-DC1: Windows Server 2008 Enterprise Edition 32-Bit (Domain Controller)
NYC-SRV-01: Windows Server 2008 Enterprise Edition 32-Bit (Member Server, NAP Server, AD Certificate Server, IIS Server)
1) NYC-CLI-01 bilgisayarına log on olun ve Windows firewall’u kapatın.
Resim-1
2) Active Directory Users and Computers konsolunu açın ve Domain’de bir OU (Organizational Unit) oluşturun. Resimde gördüğünüz kullanıcı ve grupları oluşturun. (Resim-2) IPSec NAP Exemption security grubuna DC1 ve SVR1 bilgisayar hesaplarını üye yapın.
Resim-2
3) Bu uygulama da öncelikle NAP’ın aktif olmayacağı bilgisayarlar için bir sertifika şablonu oluşturmamız gerekmektedir. NYC-DC1 bilgisayarına log on olun. Administrative Tools’tan Certification Authority’e tıklayın. Konsol ekranından domain adınızın olduğu bölümü genişletin ve Certificate Templates seçeneğine sağ tıklayarak manage seçeneğine tıklayın.
Resim-3
4) Certificate Templates konsolunda Workstation Authentication’a sağ tıklayın ve Duplicate template seçeneğine tıklayın. Duplicate Template diyalog kutusunda OK tuşuna basarak kapatın.
Resim-4
5) Yeni sertifika şablonunu aşağıdaki gibi hazırlayın.
Tablo-1
Resim-5
6) Certificate Templates konsolunda Actions menüsünden New’dan Certificate Template to Issue seçeneğine tıklayın.
Resim-6
7) Açılan Enable Certification Templates diyalog kutusunda biraz önce hazırladığımız ve adına Sistem Sağlık Geçerliliği dediğimiz şablonunu işaretleyip OK tuşuna basın.
Resim-7
8) Certification Authority Management konsolu açın ve Action, All Tasks ve Stop Service’e tıklayarak durdurun ve tekrar başlatın.
Resim-8
9) Şimdi, hazırladığımız bu sertifayı group policy ile domain üyeleri için autoenrollment’ı aktif hale getireceğiz. Group Policy Management konsolundan Default Domain Policy’i editleyin. Computer Configuration, Policies, Windows Settings, Security Settings, Public Key Policies bölümünden Certificate Services Client – Auto-Enrollment’a tıklayın. (Resim-9) ve Properties ile diyalog kutusunu açın.
Resim-9
10) Certificate Services Client – Auto Enrollment Properties diyalog kutusunda
- Configure Model Enable.
- Renew expired certificates, update pending certificatesi and remove… Kutucuğunu işaretleyin.
- Update certificates that use certificate templates Kutucuğunu işaretleyin.
Resim-10
Komut satırından gpupdate /force ile policy’i update edin.
11) Sırada Network Policy Server olarak yapılandırdığımız sunucumuzda bu sertifikayı yayınlamaya geldi. NYC-SVR1 bilgisayarına log on olun. Administrative Tools, Certification Authority konsolunu açın. NYC-SVR1’e sağ tıklayın ve Properties diyalog kutusunu açın.
Resim-11
12) Policy Module tabından Properties kutucuğuna tıklayın. Follow the settings in the certificate template, if applicable. Otherwise, automatically ….. kutucuğunu işaretleyip OK tuşuna basın.
Resim-12
13) Start, Run, regedit yazıp enter tuşuna basın. Registy editör açıldığından sırasıyla, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Server_Adı na gelin ve aşağıdaki tablodaki key değerlerine yeni ayarlarını girin. (Resim-13) NOT: varsayılan değerleri ValidityPeriod, Years; ValidityPeriodUnits ise, 2’dir. Yeni Registy değerlerini girdikten sonra sertifika servisi restart edin.
Tablo-2
Resim-13
14) Certification Authority Management konsolu açın NYC_SVR1’e sağ tıklayın ve Properties penceresini görüntüleyin. Security tabına gelin ve Add tuşuna basın. Object Type olarak Computers’ü işaretleyip OK tuşuna basın. Select Usersi Computers or Groups diyalog kutusunda Enter the object names to select bölümüne NYC-SVR1 seçin ve OK tuşuna basın.
Resim-14
15) Bu aşamada client’ların sertifika isteklerini subordinate CA’dan almasını sağlamak için NAP Server’da health registration authority’yi yapılandıracağız. Öncelikle NYC-SVR1 bilgisayarında Administrative Tools, Network Policy and Access Services bölümünden Health Registration Authority’ye tıklayın.
Resim-15
16) Certification Authoritiesi bölümünden yer alan sertifikaya sağ tıklayın ve Delete ile silin. (Resim-16) Add Certification Authority konsolunu kapatın.
Resim-16
17) Start, run, mmc yazıp enter’a basın. Add/Remove Snap-in bölümünden Certificates seçeneğini işaretleyin ve Add tuşuna basın. Computer account’u seçin, Next tuşuna basın ve Finish ile bitirin.
Resim-17
18) Certificates, Personel bölümünden Certificates seçeneğine sağ tıklayın ve Request New Certificate seçeneğine tıklayın.
Resim-18
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
