Windows Server - NPS Kurulum ve Konfigürasyonu #1

 

Merhaba. 

Bu seride Network Policy Server'ın (NPS) kurulum ve konfigürasyonundan bahsedeceğim. 

İçerik, NPS ve VPN Server bazlı olacağından ve VPN Server yapılandırmasını daha önceden anlattığımdan dolayı bu konu içerisinde RRAS rolü hakkında detaylara yer vermeyeceğim. RRAS hakkında detaylı bilgi için linkte yer alan videoları izleyebilirsiniz. 

NPS Nedir?

NPS, VPN bağlantısı yapacak olan kullanıcılarınız için çeşitli güvenlik ve network erişim politikalarınızı oluşturup yönetebileceğiniz bir Windows Server rolüdür. 

Bu seri boyunca yukarıdaki şema üzerinden anlatım yapacağım. 

Eğer ortamınızda bir RRAS makineniz varsa, NPS konsolu bu server üzerinde hali hazırda erişilebilir durumdadır. Şemada da gördüğünüz üzere VPN Server makinem aynı zamanda NPS makinesi olduğundan dolayı ilgili NPS konsoluna doğrudan erişip poliçelerimi oluşturabilecek durumdayım. 

Network Policy Server konsolunu ilk kez çalıştırıyorsanız sunucunun Active Directory'de registered durumda olduğunu mutlaka kontrol edin. Bunun için konsolun solunda yer alan kısımdan NPS (local)'e sağ tıklayıp Register server in Active Directory yazısına tıklayın. 

Eğer yazı aktif durumda değilse DC makineye erişip Active Directory Users and Computers konsolunu açıp Users container'ı altında yer alan RAS and IAS Servers isimli grubun üyelerini kontrol edin. Burada ilgili sunucunun ekli olduğunu gözlemleyin. 

Gelelim bir başka duruma; 

NPS olarak ortamımızdaki RRAS makinesini kullanmak istemiyorsanız veya VPN bağlantılarını sağlayan sistem, herhangi bir markaya ait bir VPN cihazı ise ne yapacağız? 

Böyle durumlarda ağdaki Windows Server yüklü bir sisteme NPS rolünü kurabilirsiniz. 

Bu işlem için Server Manager > Dashboard > Add Roles & Features > Roles: Network Policy and Access Services rolünü yükleyerek bu makine üzerinden oluşturacağınız kurallarla ortamınızı kontrol altında tutabilirsiniz. Kurulumdan sonra yukarıda da bahsettiğim üzere konsolu açıp NPS'i Active Directory'de register etmeniz gerekecek. 

NPS'yi kurduktan sonra konsolun sol tarafındaki Radius Clients and Servers kısmını genişletip Radius Clients'a sağ tıklayıp New Radius Client'a tıkladıktan sonra Address kısmına VPN bağlantılarını sağlayan cihazın IP adresini yazın. Shared secret kısmından da fiziksel VPN cihazı ile authentication'ı sağlayabilmeniz için ortak bir güvenlik anahtarı belirleyin. 

Advanced tab'ına geçip kullandığınız fiziksel VPN cihazının markasını seçin. Bu kısmın Radius Standard olarak kalması çoğu durumda yeterli olacaktır. Böylece Fiziksel VPN cihazınız ile NPS'iniz, Radius protokolü üzerinden haberleşebileceklerdir. 

VPN için kullanılan makine üzerinde aşağıdaki ayarın yapılması gerekmektedir. Örnek olarak RRAS konsolu üzerinden gösterim yapacağım; 

VPN (local) özelliklerindeki Security tab'ından Authentication provider kısmı Radius Authentication'a çekilir ve Configure butonuna tıklanarak ilgili NPS eklenir. Böylece oturum açma talepleri NPS üzerinden kontrol edilebilir hale gelecektir.

İsterseniz erişim loglarını da Radius Server'a devredebilirsiniz. Bunun için Accounting provider kısmından Radius Accounting'i seçtikten sonra ilgili NPS'ı buraya ekleyebilirsiniz. Bu işlemden sonra loglama işleminin kontrolü NPS'te olacaktır.