1. Ana Sayfa
  2. Server 2008
  3. Terminal Services Gateway ile Uzaktan Güvenli Erişim Nasıl Gerçekleştirilir?

Terminal Services Gateway ile Uzaktan Güvenli Erişim Nasıl Gerçekleştirilir?

MVPUzaktan erişimlerde akla gelen ilk konu güvenliktir. Özellikle bir sistem yöneticileri için bu durum rahatsız edici ve oldukça düşündürücüdür. Windows ile gelen özelliği RDP bağlantılarını güvenli hale getirmiştir. Bu makalemizde TS ’e bir ( Socket Layer) sertifikası ile güvenli RDP bağlantısı yapıp giden gelen trafiği ile koruma altına nasıl alınır onu inceleyeceğiz. Aşağıda anlatılanları test ortamınızda yapabilmeniz için 3 adet işletim sistemine ihtiyacınız olacaktır. Bunlar;

NYC-DC1: (Domain Controller, , )

NYC-CLI1: Windows Vista Enterprise (Client 1)

NYC-CLI2: Windows Vista Enterprise (Client 2)

Bu aşamada TS GAteway server’ı a erişim için bir oluşturup bunu TS Gateway rolüne sahip sunucuya map edeceğiz. Bunun için aşağıdaki adımları uygulayabilirsiniz.

1) NYC-DC1 sunucusunda TS Gateway Manager’ı açın. Actions menüsünden Properties’e tıklayın.

Terminal Services Gateway
Resim-1

2) NYC-DC1 Properties diyalog kutusunda SSL Certificate tabına gelin ve Create a self-signed certificate for SSL encryption kutucuğunu işaretleyin.


Resim-2

3) Create Certificate kutucuğuna basın ve oluşturacağınız sertifikanın export edileceği bir klasör seçip Ok tuşuna basın. Sertifikanın kaydedildiğine dair diyalog kutusunu ok ile kapatın.


Resim-3

4) Bir mmc konsolu açın ve Add/Remove Snap-in bölümünden Certificates konsolunu işaretleyin, Add tuşuna basın ve Computer account kutucuğunu işaretleyip Next tuşuna basın. Select computers diyalog kutusundan  local computer seçeneğini tıklayın ve Finish ile tamamlayın.


Resim-4

5) MMC konsolunda sırasıyla, Certificates, Trusted Root Certification Authority bölümlerini genişletin Certificates seçeneğine sağ tıklayın ve All Tasks bölümünden Import’a tıklayın.


Resim-5

6) Certificate Import Wizard ekranını next ile geçin, File to import ekranında 3.ncü adımda oluşturduğumuz sertifikanın yolunu gösterin ve next ile devam edin, Certificate Store ekranında Place all certificates in the following store seçeneğini seçin ve next ile devam edin. Finish ile wizard’ı kapatın.


Resim-6

Bu aşamadan sonra oluşturduğumuz bu güvenlik sertifikasını group policy ile dağıtma işlemini yapacağız.

7) Group policy management konsolunu açın. Default domain policy’i editleyin. Computer Configuration, Policies, Windows Settings, Security Settings, Public Key Policies, bölümlerini genişletin. Trusted Root Certification Authorities seçeneğine tıklayın. Action menüsünden Import seçeneğine tıklayın.


Resim-7

8) Certificate Import Wizard penceresini next ile geçin, File to import penceresinde oluşturduğumuz sertifikanı yolunu yazıp, Next tuşuna basın, Next ve Finish ile wizard’ı sonlandırın.


Resim-8

9) NYC-CLI2 bilgisayarına log on olun ve Remote Desktop tabında Allow connections from computers … (less secure) seçeneğini işaretleyin ve Select Users bölümünden düşük güvenlik bağlantısı ile bağlanacak kullanıcıları ekleyin.


Resim-9

Bu aşamada TS Gateway üzerinde Connection Authorization Policy (CAP) oluşturarak ’e bağlanacak kullanıcılara izin vereceğiz.

NOT: CAP ayrıca daha detaylı bağlantı istekleri, domain üyeliği ve smart card istekleri ile ilgili gereksinimlere de destek vermektedir.

10) TS Gateway Manager konsolundan policies bölümünü genişletin, Connection Authorization Policies’e tıklayın ve Action bölümünden Create a new policy ile sihirbazı başlatın.


Resim-10

11) Sihirbaz başladıktan sonra, Authorization Policies ekranında Create only a TS CAP kutucuğunu işaretleyin ve next tuşuna basın.


Resim-11

12) TS CAP için bir isim verin ve Next tuşuna basın.


Resim-12

13) Requirements ekranında authentication metodu olarak Password, User Group Membership bölümüne de daha önce oluşturduğumuz uzak kullanıcılar grubunu ekleyin. (bu grupta uzaktan bağlanmasını istediğim kullanıcıları bu gruba üye yapmıştım.) Client computer group membership bölümüne ekleme yapmadan Next tuşuna basın. (Resim-13) Finish ile sihirbazı kapatın.


Resim-13

14) Device Redirection ekranında Enable device redirection for all client drivers seçeneğini işaretleyip Next tuşuna basın.


Resim-14

Bu aşamada, TS Gateway’e gelen uzak bağlantı isteklerini bizim istediğimiz bilgisayarların bağlanması için bilgisayar grubu oluşturacağız. Bu yapılandırma bize belirttiğimiz bilgisayarlar dışındakilerin bağlantısına izin vermeyecektir.

15) TS Gateway Manager’dan policies’i genişletin ve Resource Authorization Policies’e tıklayın. Buradan Manage Local Computer Groups seçeneğine tıklayın.


Resim-15

16) Açılan ekranda Create  Group tuşuna basın ve açılan pencerede oluşturacağınız grup için bir isim verin. Network Resources tabında NYC-CLI-01,02 ve NYC-DC01 bilgisayarlarını ekleyin.


Resim-16

Bu aşamada Resource Authorization Policy (RAP) oluşturacağız. RAP, TS Gateway’e hangi bilgisayarların TS Gateway’e bağlanacağını belirler.

17) TS Gateway Manager’dan Policies’i genişletin, Resource Authorization Policies’e sağ tıklayın ve create a new policy ile yeni bir policy sihirbazı başlatın.


Resim-17

18) Create only a TS RAP kutucuğunu işaretleyin ve Next tuşuna basın.


Resim-18

19) TS RAP için bir isim verin ve Next tuşuna basın.


Resim-19

20) Computer Group ekranında An existing TS Gateway-managed computer group, or create a new one kutucuğunu işaretleyip Next tuşuna basın.  Select an existing TS Gateway-managed computer group kutucuğu işaretleyip Next tuşuna basın.


Resim-20

21) Allowed ports bölümünde Allow connections only through TCP port 3389 kutucuğunu işaretleyip Next tuşuna basın. Finish ile sihirbazı kapatın.


Resim-21

22) TS Gateway yapılandırmasını tamamladıktan sonra artık sıra uzak masaüstü ile bağlanmaya geldi. NYC-CLI-01 bilgisayarına ahmetmutlu2 kullanıcısı ile log on olun. Windows firewall’dan 3389 portu ile erişime izin verin.  RDP ekranını açın ve NYC-CLI02 ye uzak masaüstü bağlantısı yapmaya çalışın. Olmadığını göreceksiniz.

Remote desktop connection ekranında advanced tabına gelin ve Settings kutucuğuna tıklayın. Use these TS Gateway server settings kutucuğunu seçin ve TS Gateway’in IP adresini yazın, logon method olarak Ask for password seçeneğini seçin.


Resim-22

23) RDP ekranında General sekmesine gelin ve NYC-CLI-02 yazıp, kullanıcı adı ve parolasını giriniz. (ahmetmutlu2 kullanıcısı ile tekrar log on olmaya çalışın.)


Resim-23

24) Bağlantı sağlandıktan sonra resimdeki gibi artık rdp bağlantılarınız şifreli olarak gidip gelecektir.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Terminal Services Gateway (TS Gateway)

Yorum Yap

Yazar Hakkında

Ahmet MUTLU 1976'da İzmir'de doğdu. Ege Üniversitesi Sağlık Bilimleri Enstitüsü Yüksek Lisans mezunu. 1994 yılında bilgisayar ile tanıştıktan sonra şirketlerin IT departmanlarında çalıştı. 1.5 yıl bir eğitim merkezinde Microsoft MCSE eğitmenliği yaptı. 5.5 Yıl Birim Bilgi Teknolojileri T.A.S'nde Teknik Destek Takım Lideri olarak çalıştıktan sonra,Mayıs 2010 tarihinden itibaren Superonline Bünyesinde çalışmaya başladı. 2007'den beri çeşitli community'ler de yaptığı çalışmalardan dolayı Virtualization dalında Microsoft Most Valuable Professional ödülüne layık görülmüştür. Sahip olduğu sertifikalar: MVP-Virtualization MCT MCSE:2003 M-S MCSA:2003 M-S MCTS: Vista Configuration CCNA

Yorum Yap