Windows 2008 sunucu ile birlikte Terminal Servis uygulamaları büyük ölçüde değişmiş bulunmaktadır. Yeni gelen birçok özellik kullanıcıların sunucu üzerindeki kaynaklarına daha rahat ve daha güvenli ulaşmasını sağlamaktadır.
Yeni gelen özelliklerden en önemlilerinden biride “Remote Desktop Gateway” uygulamasıdır. Bu uygulamada istemci makine sertifika güvenliği ile uzak masaüstü bağlantı yapmakta ve böylelikle kaynaklara daha güvenli bir şekilde erişim sağlamaktadır.
Remote desktop gateway kullanılarak internet üzerinden gelen kullanıcı ilk olarak gateway üzerinden karşılanmaktadır. Güvenlik sertifikası doğrulandıktan sonra ise içerideki kaynaklara kullanıcının güvenli olarak erişimi sağlanmaktadır.
Remote Desktop gateway kurmak için ilk önce bir windows 2008 r2 sunucuda “server manager” ı açıyorum. Rollerden “Remote Desktop Services” ı seçiyorum. Açılan menuden ise “Remote Desktop Gateway” i seçiyorum. Sunucuyada aynı zamanda remote desktop session host u da kurdum daha öncesinden.
Bazı IIS bileşenlerininde kurulacağı uyarısı geliyor. Gerekli eklentilerin kurulmasını seçiyorum.
Bu uygulamanın en önemli kısmı şüphesiz sertifika kısmıdır. Güvenlik sertifikası yaratılmalı yada mevcut CA sertifikası kullanılmalıdır. Daha sonra bu sertifika istemci makinalarada yüklenecektir.
Bu aşamada eğer ortamımızda bir CA var ise ilk kutuda sertifika çıkacaktır. Yada dışırdan gelen bağlantılar için alınmış bir sertifika bu bölümde seçilebilinir.
Eğer CA yok ise uygulama self-signed sertifikası yaratbilir. Fakat bu sertifika ile sadece içerinden bağlantı sağlayabiliriz.
RDP gateway için bazı yetkilendirme ayarlarının yapılması gerekmektedir. Bu ayarları sonrada yapabiliriz. Ben şimdi yapacak şekilde seçiyorum.
Kimlerin gateway üzerinden bağlanacağını belirliyorum. RDP yapacak kullanıcılarınız için bir grup yaratıp buradan ekliyebilirsiniz.
TS_CAP uygulaması gateway üzerinden gelecek kullanıcıların yetkilendirme şeklini belirler. Parola yada smart card ile yetkilendirme sağlanabilinir. İkis aynı anda da kullanılabilinir. Parolayı seçip devam ediyorum.
TS_RAP gateway gelecek bağlantıların hangi bilgisayarlardan yapılacağını belirler. Gene sadece belirli bir grup bilgisayar için grup yaratıp buraya ekliyebiliriz. Yada ağ üzerindeki herhangi bir bilgisayar olarak ayarlama yapabiliriz.
Güvenlik tarafında birde NPS i kullanabiliyoruz. Böylelikle gateway e gelen kullanıcılar için firewall kontrolü, anti-virüs kontrolü ve anti-spam kontrolü yaptırtabiliriz. Örneğin firewall u kapalı olan makinaleın RDP yapamamasını sağlayabiliriz.
Sadece NPS i seçip devam ediyorum.
Gerekli IIS bileşenlerini seçip devam ediyorum.
Kurulum kısa bir süre sonra bitecektir. Session hostu da yüklediyeseniz sunucu yeniden başlatmanız gerekecektir.
Gateway ayarlarına erişebilmek için yönetici konsolunu açıyorum.
Sunucumu seçip özelliklerine erişiyorum.
Açılan pencerede ikinci sekmesinde “SSL Certificate” bölümü yer almaktadır. Burada “Import certificate” e tıklarsak eğer kurulum sırasında oluşturduğumuz self-sign sertifikasını göreceğiz.
Sunucumun ismi ile aynı bir sertifika oluşmuş durumdadır. Bu sertifikayı bilgisayara kaydetmek için “view certificate” ile ilk önce görüntüleyeceğim.
“Details” bölümünden “copy to file” ile sertifikayı kaydetme ekranına geçiyorum.
Private key i export edeceğim. Bu işlem sırasında parolada belirleyip hard diskimden bir yere sertifikayı kaydediyorum.
Bu aşamadan sonra istemci makinaya sertifikayı yüklemeniz gerekmektedir. Bunun için iki yol vardır. Birincisi elle yükleme ikincisi ise group policy yolu ile uzaktan yapma.
Group policy ile yapmak için ilgili policyde computer configuration > Policies > windows Settings > Security Settings > Public Key Policies de “Trusted root certification authories” üzerine sağ tıklayıp “Import” seçeneği seçmeniz yeterlidir. Çıkan pencerede bir önceki adımda yaratmış olduğunuz sertifikayı gösterip parolanızıda girerseniz tüm istemci makinalara policy üzerinden dağıtmış olursunuz.
Elle yapmak isterseniz windows 7 makinasını geçiyoruz. MMC konsolunu açıyorum ve sertifika konsolunu ekliyorum. Mutlaka Local Computers olarak ekleme yapmanız gerekiyor.
“Trusted root certification Authories” e geliyorum.
Üzerinde sağ tıklayıp All Task > Import seçeneğini seçiyorum.
Sunucuda yaratmış olduğum sertiifkayı gösteriyorum.
Sertifikayı dışarı alırken girmiş olduğum parolamı giriyorum.
Nerede sertifikanın tutulacağını belirliyorum.
Sertifikanın geldiğini kontrol ediyorum.
Windows 7 de uzak masa üstü bağlantısını açıyoruz. “Advanced” sekmesine gelip “Settings” i seçiyorum.
Açılan pencereden sunucu ismine gateway sunucumun ismini yazıyorum. Bağlantı metotlarından NTLM i seçiyorum. Ve mutlaka “Bypass RD Gateway…” kutusunu boşaltıyorum. Çünkü aynı ağda gateway üzerinden bağlantı gerçekleştiremezsiniz bu seçenek ile.
Bağlantı yapacağım sunucunun IP sini yazıp RDP yapabilecek bir hesabı giriyorum.
Parola ekranı çıkıyor. Dikkat ederseniz pencerenin en üstünde gateway sunucumun ismi ile RDP yapacağım sunucunun IP si yer alıyor.
İşlemler burada bitiyor. Artık sertifika güvenliği ile gateway üzerinden bağlantı gerçekleştirebiliriz.
Yapılan bağlantının gözlenebilmesi için Remote Desktop Gateway sunucunu açıyorum. Yönetim konsolundan “Monitoring “ e geliyorum.
Ortadaki bölümde bağlantı yapan bilgisayarı görmekteyiz