DHCP üzərində NAP (NPS serverin qurulumu) (2)
Salam dostlar. NAP haqqında birinci məqaləmizdə NAP`ın nə olduğundan, hansı məqsədlə istifadə edildiyindən bəhs etmişdik. Bu məqaləmizdə praktiki olaraq DHCP üzərindən NAP`dan bəhs edəcəyik.
Bu praktikada:
Windows Server 2012 Standart (Domain Controller, DNS) –DC -192.168.1.6
Windows Server 2012 Standart (NPS, NAP Server, DHCP) – NPS – 192.168.1.5
Windows 8 Enterprise (NAP Client)
Buradakı ssenari, DHCP`dən IP alan hər client komputer NAP tərəfindən lazımı “sağlamlıq” kriteryalarının yoxlanılmasıdır (test edilməsi.)
Əgər client komputer test`dən keçərsə normal (məhdudiyyətsiz) şəbəkəyə daxil ediləcək, əgər testdən keçə bilməzsə məhdudiyyətli bir şəbəkəyə daxil olacaq. Bundan başqa Remedation server də quraraq, “sağlamlaşdırma” prosessini avtomatik şəkildə həyata keçirildilməsini təmin edəcəyik.
DC`ni qurulmuş olduğunu nəzərə alaraq, biz birbaşa NAP serverin qurulmasından bəhs edəcəyik. DC`ni qurmaq üçün bu linkə baxın: http://www.technet.az/2012/12/25/windows-server-2012-active-directory-qurulumu/
NAP və DHCP qurmaq üçün:
NPS adlı serverimizə keçib, Server Manager içərisindən “Network Policy and Access Services” və “DHCP Server” rulunu quraq.
“Network Policy and Access Services” rol servislərindən sadəcə “Network Policy Server” qurmağımızı kifayətdir.
Hansı rulların və servislərin qurulacağını seçdikdən sonra, “Install” düyməsi ilə quruluma başlayaq.
DHCP qurulması haqqında məqalələrin saytımızda olduğunu nəzərə alıb, DHCP`nin qurulmasından bəhs etməyəcəm. DHCP Qurulumuna bu məqalələrdən baxa bilərsiniz.
http://www.technet.az/2012/08/29/windows-server-2008-r2-uz%C9%99rind%C9%99-dhcp-serverin-sazlanmasi/
Qurulma mərhələsi bitdikdən sonra, Server Manager içərisindən “Network Policy Server” açın.
NPS konsolunda, “Configure NAP” deyərək lazımı əməliyyatlara başlayaq.
NAP xidmətini hans servis üçün istifadə edəcəksinizsə, o metodu seçin. Bu məqaləmizdə DHCP metodunu seçirik. Policy adını avtomatik olaraq NAP DHCP olaraq təyin edəcək. İstəsəniz adını dəyişdirə bilərsiniz.
Aşağıdakı pəncərədə; DHCP server onsuzda NAP serverimizin üstündə qurulmuş olduğu üçün heç bir nizamlama etmədən davam edirik. Əgər DHCP Serverimiz başqa bir server üzərində qurulmuş olsaydı o zaman həmin serveri “ADD” düyməsi ilə göstərməli olcaqdıq.
Daha sonra NAP servisinin hansı DHCP Scope və ya Scoplar üçün istifadə edəcəyiksə onu qeyd edib davam edirik. Mənim DHCP serverimdə “NAP Scope” adlandırdığım bir scop`um var. Lakin, bu pəncərədə heç bir dəyişiklik etmədən davam edirəm. Daha sonra, həmin scope`dan istifadə edəcəm.
Bu policy`nin hansı komputer qruplarına tətbiq ediləcəyini müəyyən edirik, “ADD” düyməsi ilə həmin qrupu əlavə edə bilərik. Mən daha sonra Active Directoryada “NAP Clients” adlı qrup yaradıb və bu qrupa domainimdə olan komputerlərin bəzilərini daxil edəcəm. Ona görə də hələlik bu sahəni boş saxlayıram. Əlavə olaraq qeyd edim ki, əgər heç bir qrup seçilməzs isə policy bütün komputerlərə tətbiq olunacaq.
Əgər “sağlamlıq” vəziyyəti kriteryalara uyğun olmayan komputerlərin “sağlamlıq” vəziyyətini avtomatik olaraq kriteryalara uyğun hala gətirəcək server ya da server qruplarımız varsa, həmin serverləri seçə bilərik. Bunlara Remediation Serverlər deyilir.
“Remediation Server Group” yaratmaq üçün. New Group düyməsini sıxırıq, “New Remediation Server Group” pəncərəsi qarşımıza çıxacaq. “Group Name” altında qrupumuza ad veririk. Daha sonra ADD düyməsini sıxırıq, qarşımıza “ADD New Server” pəncərəsi çıxacaq. Bu pəncərədə “Friendly name” altında serverimizin adını (istənilən ad yaza bilərik) və IP address or DNS Name`də isə serverimizin IP`sini ya da FQDN adını yaza bilərik.
Nəticədə belə bir görüntü alacağıq. Next düyməsi ilə davam edək.
NAP qurulumundan sonra, default olaraq “Windows Security Health Validator” adında bir policy yaradılır. Sonradan istəsəniz siz də başqa bir policy yarada bilərsiniz.
Aşağıdakı “Define NAP Health Policy” pəncərəsində “Windows Security Health Validator” və “Enable auto-remediation of client computers” seçimlərinin seçili olduğundan əmin olaq.
Bundan başqa policy`yə uyğun gəlməyən komputerlərin şəbəkədə olan resurslardan tam istifadə edə bilməmələri və yalnızca məhdudiyyətli şəbəkəyə daxil olmalarını təmin etmək üçün “Deny Full Network Access to NAP-ineligible client computers. Allow access to restricted network only” seçili olduğundan əmin olaq.
Bütün bu yuxarıdakı sazlamaları tamamladqıdan sonra , 2 ədəd sağlamlıq (health policies) policy`si, 1 ədəd Connection Request Policy`i və 3 ədəd də Network Policy`i yarandığını görürük. Əgər istəsəniz daha sonra bu policy`ləri şirkətinizin tələblərinə uyğun olaraq dəyiştirə bilərsiniz.
Finish düyməsi ilə nizamlamarı bitiririk.
İndi SHVs (System Health Validator) yəni sağlamlıq kriteryalarının nələr olduğunu göstərəcəyimiz yerə gələk. Biz bu nümunəminizdə sağlamlıq kriteryası kimi, “yalnız Firewall`ı açıq olan komputerlərin” şəbəkəmizə tam daxil olmasına icazə verək. Bunun üçün NPS konsolumuzu açırıq , “Network Access Protection” altında “System Health Validators”->“Windows Security Health Validator”->“Settings” linkinə gələk və burada “Deafult Configuration” üzərində sağ düymə ilə “Propertis”inə daxil olaq.
Açılan “Windows Health Security Validator” pəncərəsində “A Firewall is enabled for all network connections” seçərək bildiririk ki, yalnız Firewall`u açıq olan komputerlər bizim şəbəkəyə məhdudiyyətsiz qoşulacaq, əgər komputerdə Firewall açıq deyilsə bu zaman o məhdudiyyətli şəbəkəyə alınacaq, Remedation server vasistəsi ilə avtomatik olaraq Firewallu`u açılıb, daha sonra məhdudiyyətsiz şəbəkəyə göndəriləcək. Sağlamlaşdırma prossesi dediyimiz bu prossesdir.
Əlavə olaraq qeyd edim ki, bu pəncərədə kriteryaları təyin edərkən, sol tərəfdə hansı ƏS`lərinə tətbiq edəcəyinizə diqqət yetirin.
NPS konsolunda Policies->Network Policies altında, yuxarıda qeyd etdiyimiz üç ədəd yeni policy yarandığını görürük.
a) NAP yoxlamasından keçən, sağlam komputerlər. (NAP DHCP Compliant)
b) NAP yoxlamasından keçməyən, sağlam olmayan komputerlər. (NAP DHCP Noncompliant)
c) NAP servisi ilə uyğunlaşmayan komputerlər. (NAP agent`i işə salınmayan komputerlər) (NAP DHCP Non NAP-Capable) NAP agent barədə məqaləmizin növbəti hissələrində bəhs edəcəyik.
Qeyd:Əgər sağlam olmayan komputerlərin, IP almağını istəmiriksə, o zaman NAP DHCP Noncompliant policy`sində Access Type`ı “Deny Acess” olaraq dəyişdirməliyik.
NPS konsolunda, “Remediation Server Group”`muzu görə bilərik. Biz yuxarıda Remediation Server Group`un yaradılmasından bəhs etmişdik. Əgər Remediation serverlərlə bağlı hər hansı bir dəyişiklik istəsək buradan edə bilərik.
NPS konsolunda bir başqa diqqət yeriəcəyimiz hissə “Accounting”dir. NAP ilə bağlı bütün əməliyatların loglarını buradan idarə edə bilərsiniz. Logların yerləşdiyi path`i dəyişdirə, SQL Server Instance`na qoşaraq loglamanı daha ətraflı şəkildə və istəninlən formatda baxa bilərsiniz.
Əziz dostlar məqaləmizin bu hissəsini burada yekunlaşdırıq. Gələn məqaləmizdə NPS üçün DHCP`də lazım olan nizamlamalardan bəhs edəcəyik.
Şərhlər ( 4 )
salam , menimbir sualim var burda DC uzerinde DHCP qurulu deyil?, sadece NAP serveri quracagimiz serverde qurulacaq?
her seyi gosterdiyiniz kimi eledim ama client (windows 8.1) pc de firewall-i off eliyib cmd-de baxiram yene not restricted yazilir ve firewall on olmur , bunun sebebi ne ola biler (forum islemediyine gore burda yazmali oldum)
Salam,
1. Bizim məqaləmizdə, DHCP və NAP eyni server üzərindədir. Əgər sizdə DHCP başqa bir serverdədirsə, o zaman həmin serveri RADIUS client (7-ci şəkil) olaraq göstərin.
2. Active Directory`da client komputerinizi “NAP Clients” adlı komputer qrupuna üzv etdinizmi?
3.NAP Policy`lərin Client komputerə tətbiq olunduğuna tam əmin olmaq istəyirsinizsə, CMD üzərindən “netsh nap client show grouppolicy” əmrini icra edin və “DHCP Quarantine Enforcement Clients= Enabled” olmasına diqqət edin.
4.Bundan başqa CMD`də “netsh nap client show state” əmrini icra edin DHCP Quarantine Enforcement Clients bölməsində “Initialized = YES” olduğuna diqqət edin.
sagolun