Bildiğimiz gibi Windows Server 2008 sürümünden beri NAP senaryolarını kullanmaktayız. Ağımızdaki istemcilerimizin sağlık durumlarına göre onlara kaynak erişimi sağlayan yada kısıtlı bir bölgeye alarak ağımızı koruyan NAP mimarisinde DHCP, 802.1x , RDS, IPSec ve VPN enforcement’lar bulunmaktadır. Bu yapı yaşantımıza girdikten sonra benim gerek kurumsal eğitimlerimde gerekse danışmanlık hizmeti verdiğim kurumlarda 802.1x, Ipsec ve DHCP enforcement uygulamalarım oldu.
Burada paylaşmak istediğim ise, Windows Server 2008 R2 ile NAP Dhcp enforcement senaryosudur. Step by step NAP senaryoları internet ve çeşitli portallarda mevcuttur. Benim anlatımım kişisel yorumum şekilde olacaktır.
Dhcp enforcement yapıladırması için Dhcp servisinin ve NAP servisinin sunucunuza kuruluduğunu var sayıyorum. Sonrasındaki ilk işlem NPS ile NAP konfigürasyonu olacaktır.
Resim-1
Configure NAP ile DHCP enforcement seçerek hızlıca ilk yapılandırmayı tamamlıyoruz. Ardından System Healt Validator ile neyi kontrol edeceğimizi belirlemeliyiz. Buradaki konsolu görünümü ilk zamanlarına göre bir miktar değişmiş.
Resim-2
Bence daha kullanışlı olmuş. Benim şu anki uygulamamda automatic update önemliydi.
Resim-3
Error Codes kısmında da, SHV herhangi bir sebepten dolayı istenilen kontrolü yapmazsa, client’lara nasıl davransın sorusunun cevabı mevcuttur.
Resim-4
Üstte görüleceği gibi, sorun varsa NAP’a istemcilerin tamamı “uygun değil” biçiminde değerlendirilecektir. Sonrasında ilgili DHCP scope’u üzerinde NAP’ı devre almayı unutmamak gerekiyor.
Resim-5
Yine DHCP’se NAP Class tanımlamasını uygun option’lar ile yapınız.
Resim-6
NAP yapılandırmasını istemcilere, GPO ile yada istemciler üzerinde NAP client configuration konsolundan yapabilirsiniz.(NAPclcfg.msc)
Resim-7
İstemcilerdeki Security Center’ın Statement of Health paketlerini ürettiğini ve bu paketlerin NPS server’a ulaşması sonucunda yapılan denetime göre istemcilerinizin kısıtlı yada kısıtsız erişimden yararlanacağını unutmayınız!!! Security Center istemcilerde çalışmalıdır.
Eğer uygulamayı production ortamında devre alacaksanız DHCP scope’u üzerinde NAP’ı devreye alma aşamasını son olarak yapınız.
1- NPS kurulumu
2- DHCP class yapılandırması
3- GPO ile Security Center ve NAP client konfigürasyonu
4- Remediation Server yapıladırması
5- DHCP scope’u üzerinde NAP’ın devreye alınması. şeklinde bir sıralama uygun olabilir.
Genel problemler ve hızlı çözümler için, http://technet.microsoft.com/en-us/library/dd348494(WS.10).aspx adresinden faydalanabilirsiniz. Gözlem için Performance monitörden erişebileceğiniz NPS counter’larını ( örneğin SHV durumunu gibi ) kullanabilirsiniz.
Step by step NAP test ortamı denemeleri için http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2409 link’indeki rehberlerden faydalanabilirsiniz.
Bu konuyla ilgili sorularınızı Http://forum.mshowto.org alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
