Bir önceki makalemde ISA 2004 üzerinde kullanılabilecek 3 farklı istemci türünü ayrıntılı olarak tanımlamış ve bunların kullanımlarını, farklarını belirtmiştim. Bu istemciler içerisinde bizler için en fazla işlevi ve Güvenliği Firewall Client (FWC) sağlıyor. Ancak FWC’nin bir dezavantajı yükleme zorluğu. FWC yazılımı ISA server’a bağlanacak her bilgisayara yüklenmesi gerektiği için özellikle çok sayıda bilgisayar bulunan organizasyonlarda dağıtımı sıkıntı yaratabilir. FWC yükleme şekillerini kısaca hatırlamak gerekirse;
1. Manuel yükleme: \\ISA_SERVER\mspclnt paylaştırılmış klasöründe bulunan setup.exe ya da MS_FWC.msi yükleme dosyaları ile her bilgisayara ayrı ayrı yüklenebilir. İstenirse komut satırı kullanılarak unattended kurulum yapılabilir.
2. System Management Server 2003: MS_FWC.msi dosyası import edilerek bir SMS yükleme paketi istemcilere dağıtılabilir.
3. Active directory GPO: Group Policy ile yazılım dağıtma ilkesi ile yüklemeler istemcilere iletilebilir.
Şimdi 3. Yöntem olan Group Policy yöntemini ayrıntılı olarak inceleyelim. İlk önce ISA FWC yazılımının dosyalarının paylaştırılmış bir klasörde olması gerekiyor. ISA 2004 kurulumu sırasında bu işlemi otomatik olarak yapabilirsiniz. Eğer kurulumda Firewall Client Installation Share seçeneğini yüklemediyseniz Add/Remove programs menüsünden ISA Server setup tekrar çalıştırılarak yüklemeyi gerçekleştirebilirsiniz.
Şekil-1
Bu işlemden sonra ISA FWC yükleme dosyaları varsayılan olarak \\ISA_Server\mspclnt klasörü altında paylaşıma sunulmuş olacaktır. ISA FWC yazılımı istemci bilgisayara yüklendiğinde istenirse ISA server’ı otomatik olarak algılayabilir ancak bunu yapabilmesi için DHCP, DNS ve ISA Server üzerinde bazı ayarlar yapılmalıdır. İlk etapta yapılması gereken işlem ISA Server üzerinde FWC yazılımına destek verebilmesi için FWC desteğini etkinleştirmektir. Bunun için ISA Server Management > Configuration > Networks > Internal üzerinde sağ tıklayıp Properties’e girelim. Firewall Client sekmesine geçelim ve Enable Firewall Client Support For This Network kutusunu işaretleyelim ve ISA server’ın adını ya da IP adresini yazalım. İstersek burada FWC yüklenecek bilgisayarın Web tarayıcısının Proxy ayarlarını da belirleyebiliriz.
Şekil-2
Daha öncede belirttiğimiz gibi FWC istersek ağda bulunan ISA server’ı otomatik olarak algılayabilir ya da istersek ISA Server bilgilerini manuel olarak girebiliriz. Peki FWC ISA server’ı nasıl tespit edecek? İlk önce bu işlemin teknik terimini söyleyelim: Automatic discovery.
Automatic Discovery özelliği nedir ve nasıl çalışır?
Web Proxy Client ya da Firewall Client kullandığınızda istemci istekleri ISA Server bilgisayarınıza yönlendirilir. Eğer ISA server kullanılamaz duruma gelmişse ya da siz ağınızda bulunan farklı bir ISA server’ı kullanmak isterseniz ayarlarınızı istemci ISA server’a bağlanmadan değiştirmek zorundasınız.
Automatic Discovery özelliğini etkinleştirdiğinizde Firewall ya da Web Proxy clientlar ağınızda bulunan ISA server’ı otomatik olarak bulabilirler. Bu özelliği kullanmak istemci ve sunucu tarafındaki bağlantı sorunlarını çözmenize yardımcı olacaktır. Web Proxy Client’lar Web Proxy AutoDiscovery Protocol (WPAD) bilgisi kullanarak otomatik tespit işlemini gerçekleştirir. Firewall Clientlar ise Winsock Proxy AutoDetect Protocol (WSPAD) bilgisini kullanır. Automatic Discovery özelliği en çok istemci bilgisayarlarınızı bir ağdan başka bir ağa taşıdığınızda kullanışlıdır. Peki bu işlem nasıl gerçekleşir?
1. Automatic Discovery etkin ise, istemci ISA server’ı kullanacak bir istek yapar, örneğin bir web sayfası çağırır. ISA server yanıt veremiyorsa ya da istemci için Automatic Discovery etkinleştirilmişse süreç başlatılır.
2. İstemci ISA server konum bilgisini alabilmek için DHCP ya da DNS’e bağlanır.
3. İstemci WPAD bilgisini ISA server’ı tespit etmek için kullanır.
4. İstemci WPAD bilgisinden konumunu öğrendiği bilgi ile ISA server’a bağlanır, ardından WSPAD ya da WPAD protokolünü kullanarak yapılandırma bilgilerini alır. Bu bağlantı 80 portunu kullanır.
5. İstemci aldığı yapılandırma bilgilerine göre kendisini konfigüre eder.
Automatic Discovery özelliği nasıl etkinleştirilir?
1- ISA server üzerinde ISA Server Management > Configuration > Networks > Internal üzerinde sağ tıklayarak Auto Discovery sekmesine gelin. Burada Publish Automatic Discovery Information kutusunu işaretleyin. İsterseniz Automatic Discovery bilgisinin yayınlanacağı portu da burada değiştirebilirsiniz.
Şekil-3
2- DNS sunucunuzda DNS konsolunu açın. Forward Lookup Zones altında Domain isminize sağ tıklayın ve New Alias komutunu verin. Alias Name kutusuna WPAD yazın ve Fully Qualified Domain Name for target host kutusuna Isa server’ın adını yazın ya da Browse komutuyla konumlandırın, OK butonuna basarak kaydı oluşturun.
Şekil-4
3- DHCP kullanıyorsanız, DHCP konsolu üzerinde DHCP sunucu ismine sağ tıklayın ve Set Predifined Options komutunu verin. Gelen pencerede Add butonuna basın ve Option Type penceresini açın. Burada Name kutusuna WPAD, Data kutusuna String, Code kutusuna 252 bilgilerini verelim ve OK butonuna tıklayalım. Value kutusuna http://sunucu_adınız_fqdn:80/wpad.dat değerini verelim ve OK botununa basalım. Daha sonra kullanmış olduğumuz DHCP skopunu genişletelim ve Scope Options bölümüne sağ tıklayarak Configure Options komutunu verelim. Gelen listeden 252 WPAD kutusunu işaretleyip Ok diyelim ve DHCP konsolunu kapatalım.
Şekil-5
Bu işlemlerden sonra FWC yüklü olan istemci bilgisayarlarımız kullanmış olduğumuz ISA server’ı otomatik olarak konumlandırıp ayarlamalarını yapabilirler. Bu özellik kullanımı zorunlu değildir, istenirse ayarlamalar manuel olarak yapılabilir. Dikkat edilmesi gereken nokta eğer Isa server üzerinde IIS gibi 80 portunu kullanan uygulamalar varsa automatic discovery özelliğinin çalışmayabileceğidir. Sorunu çözmek için 80 portunu kullanan servisi geçici olarak devre dışı bırakın.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
