Bu konuda DirectAccess dağıtımının bileşenleri, DirectAccess istemci bağlantı yöntemleri, DirectAccess trafiği için güvenlik duvarı yapılandırması ve akıllı kartlarla tümleştirme hakkında bilgiler sağlanmaktadır.
DirectAccess bileşenleri
DirectAccess dağıtımı, aşağıdaki bileşenlerden oluşur:
- DirectAccess istemcileri
- En az bir DirectAccess sunucusu
- Bir Active Directory® Etki Alanı Hizmetleri (AD DS) etki alanı
- Bir ortak anahtar alt yapısı (PKI)
- Ağ konumu sunucusu
- Internet Protokolü sürüm 6 (IPv6) özelliği olan bir iç ağ ve uygulamalar ya da Ağ Adresi Çevirisi-Bağlantı Noktası Çevirisi (NAT-PT) aygıtları
DirectAccess istemcileri
DirectAccess istemcisi, Windows 7 veya Windows Server 2008 R2 çalıştıran, bir AD DS etki alanına katılmış olan ve bir iç ağa Internet'ten otomatik olarak uzak bağlantı başlatıp devam ettirmek için IPv6 ile Internet Protokolü güvenliğini (IPsec) kullanan bir bilgisayardır.
Bir AD DS etki alanına katılmamış bilgisayarlar ya da Windows'un Windows Vista veya daha önceki bir sürümünü çalıştıran bilgisayarlar DirectAccess'i desteklemez.
En az bir DirectAccess sunucusu
DirectAccess sunucusu, Windows Server 2008 R2 çalıştıran, bir AD DS etki alanına katılmış olan ve Internet'teki DirectAccess istemcilerine yanıt verip onları bir iç ağa saydam bir şekilde bağlamak için IPv6 ile IPsec kullanan bir bilgisayardır.
Bir Active Directory etki alanına katılmamış bilgisayarlar ya da Windows Server'ın Windows Server 2008 veya daha önceki bir sürümünü çalıştıran bilgisayarlar DirectAccess sunucusu işlevini desteklemez.
DirectAccess'i yüklemek için, bkz. DirectAccess'i Yükleme.
DirectAccess sunucularında başka birincil işlev barındırmayın. DirectAccess sunucuları DirectAccess'e adanmalıdır. Dağıtım ve ölçeklenebilirlik gereksinimlerinize bağlı olarak, DirectAccess işlevlerini birden çok sunucu arasında paylaştırmak için birden fazla DirectAccess sunucusuna veya el ile yapılandırmaya gerek olabilir. Çoklu sunucu dağıtımları hakkında daha fazla bilgi için, Microsoft TechNet'teki DirectAccess giriş sayfasına bakın (
DirectAccess sunucusunun gereksinimleri hakkında daha fazla bilgi için, bkz. Denetim Listesi: DirectAccess'i Yapılandırmadan Önce.
Bir AD DS etki alanı
DirectAccess; kimlik doğrulama bilgileri, bilgisayar sertifikalarının otomatik kaydı ve IPsec, IPv6 ile başka ayarların merkezi Grup İlkesi tabanlı yapılandırması için AD DS'yi kullanır. DirectAccess istemcilerinin ve sunucularının bir AD DS etki alanının üyeleri olmaları gerekir.
PKI
DirectAccess, IPsec oturumlarının ve IP-HTTPS tabanlı bağlantıların kimlik doğrulaması için bir Active Directory Sertifika Hizmetleri (AD CS) sertifika yetkilisi tarafından verilen bilgisayar sertifikalarını kullanır.
Ağ konumu sunucusu
Ağ konumu sunucusu, HTTPS tabanlı tekdüzen kaynak konum belirleyicisi (URL) barındıran bir iç ağ sunucusudur. DirectAccess istemcileri, iç ağda bulunup bulunmadıklarını belirlemek için URL'ye erişir. DirectAccess sunucusu ağ konumu sunucusu olabilir, ancak yüksek kullanılabilirliği olan bir Web sunucusu önerilir. Web sunucusunun ağ konumu sunucusu olması için adanmış bir sunucu olması gerekmez.
IPv6 özelliği olan iç ağ ve uygulamalar ya da bir NAT-PT aygıtı
DirectAccess istemcileri, iç ağ kaynaklarına erişmek için yalnızca IPv6 kullanır. Bu nedenle, DirectAccess istemcileri yalnızca IPv6 kullanılarak erişilebilen iç ağ sunucularıyla ve kaynaklarıyla iletişim kurabilir. Bir iç ağla IPv6 bağlantısı gerçekleştirmenin üç yolu vardır:
- İç ağ yönlendirme altyapınızı yerel IPv6'yı destekleyecek şekilde yapılandırın. IPv6'yı destekleyen iç ağ sunucuları ve uygulamaları böylece erişilebilir olur. Windows 7, Windows Server 2008 R2, Windows Vista veya Windows Server 2008 çalıştıran bilgisayarlar varsayılan olarak IPv6 kullanacak şekilde yapılandırılır.
- Site İçi Otomatik Tünel Adres Protokolü'nü (ISATAP) iç ağınızda dağıtın. IPv6 özelliğine sahip iç ağ sunucuları ve uygulamaları, ISATAP kullanarak yalnızca IPv4 özelliğine sahip iç ağınızda IPv6 trafiği için tünel oluşturabilir. Windows 7, Windows Server 2008 R2, Windows Vista veya Windows Server 2008 çalıştıran bilgisayarlar ISATAP ana bilgisayar işlevini destekler. ISATAP, bu bilgisayarların yerel IPv6 yönlendirmesi gerekmeden IPv6 kullanmalarını sağlar. DirectAccess sunucusu, iç ağınızda IPv6 bağlantısı yokluğunda kendisini otomatik olarak bir ISATAP yönlendiricisi olarak yapılandırır.
- IPv6 kullanan DirectAccess istemcilerinizle yalnızca IPv4 kullanabilen sunucular ve uygulamalar arasındaki trafiği çevirmek için bir Ağ Adresi Çevirisi-Protokol Çevirisi (NAT-PT) aygıtı kullanın. Windows Server 2008 R2 NAT-PT işlevi sağlamaz. NAT-PT aygıtları, genellikle Katman 2 ve Katman 3 anahtar ve yönlendirici satıcılarında bulunmaktadır. NAT-PT özellikleri ve yapılandırması hakkında bilgiler için anahtar ve yönlendirici belgelerinize bakın.
DirectAccess istemci bağlantı yöntemleri
Aşağıdaki tabloda, olası DirectAccess istemci yapılandırmaları ve bu yapılandırmaların DirectAccess sunucusuna IPv6 trafiği gönderme yöntemi listelenmektedir.
| İstemci yapılandırması | Tercih edilen bağlantı yöntemi |
|---|---|
Genel bir IPv6 adresi atanmış | Genel IPv6 adresi |
Genel bir IPv4 adresi atanmış (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 aralıklarında olmayan adresler) | 6'dan 4'e, genel bir IPv4 adresi olan ana bilgisayarlar veya siteler için IPv4 Internet üzerinden IPv6 bağlantısı sağlayan bir IPv6 geçiş teknolojisi. |
Özel bir IPv4 adresi atanmış (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16 aralıklarında olan adresler) | Teredo, özel bir IPv4 adresi atanmış ve 6'dan 4'e yönlendirici işlevini desteklemeyen bir IPv4 ağ adresi çevirisi (NAT) aygıtının arkasında bulunan ana bigisayarlar için IPv4 Internet üzerinden IPv6 bağlantısı sağlayan bir IPv6 geçiş teknolojisi. |
İstemci 6'dan 4'e veya Teredo kullanarak bağlanamıyor | IP-HTTPS, Windows 7 ve Windows Server 2008 R2 için, IPv4 tabanlı güvenli bir Köprü Metni Aktarım Protokolü (HTTPS) oturumu içinde IPv6 paketlerine tünel oluşturarak, bir Web proxy sunucusu veya güvenlik duvarının gerisindeki ana bilgisayarların bağlantı kurmasını sağlayan yeni bir protokol. IP-HTTPS, genellikle yalnızca istemci diğer IPv6 bağlantı yöntemlerini kullanarak DirectAccess sunucusuna bağlanamıyorsa kullanılır. |
DirectAccess trafiği için güvenlik duvarı yapılandırması
Internet ile çevre ağınızın arasındaki dış güvenlik duvarları, şu trafik türlerini DirectAccess sunucusuna ve sunucudan dışarı geçirebilmelidir:
- Yerel IPv6 trafiği için, IPv6 için Internet Denetim İletisi Protokolü (ICMPv6) trafiği (IPv6 protokol 58) ve IPsec Kapsüllenen Güvenlik Yükü (ESP) trafiği (IPv6 protokol 50).
- 6'dan 4'e trafik için, IPv6 trafiğini kapsülleyen IPv4 trafiği (IPv4 protokol 41).
- Teredo trafiği için, Kullanıcı Veri Birimi Protokolü (UDP) bağlantı noktası 3544 ile IPv4 trafiği.
- IP-HTTPS trafiği için, İletim Denetimi Protokolü (TCP) bağlantı noktası 443 ile IPv4 trafiği.
Örneğin, dış güvenlik duvarınızın Internet arabirimindeki özel durumlar şu biçimde olacaktır:
Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]
Çevre ağıyla iç ağın arasındaki iç güvenlik duvarları, şu trafik türlerini DirectAccess sunucusuna ve sunucudan dışarı geçirebilmelidir:
- Yerel IPv6 trafiği için, IPv6 trafiğinin tüm türleri.
- ISATAP trafiği için, IPv6 trafiğini kapsülleyen IPv4 trafiği (IPv4 protokol 41).
- IPv4 ve NAT-PT trafiği için, tüm TCP, UDP ve UDP 500 Internet Anahtar Değişimi (IKE)/AuthIP trafiği.
Teredo tabanlı bağlantıya izin vermek için, kuruluşunuzdaki etki alanı üyesi tüm bilgisayarlar için aşağıdaki ek Gelişmiş Güvenlik Özellikleri İçeren Windows Güvenlik Duvarı kurallarını yapılandırmalı ve dağıtmalısınız.
- Gelen ICMPv6 Yankı İsteği iletileri (gereklidir)
- Giden ICMPv6 Yankı İsteği iletileri (önerilir)
Önceden tanımlanmış Dosya ve Yazıcı Paylaşımı (Yankı İsteği - ICMPv6-Gelen) gelen kuralını veya Dosya ve Yazıcı Paylaşımı (Yankı İsteği - ICMPv6-Giden) giden kuralını bu amaçla kullanmayın. Önceden tanımlanmış bu kuralları kullanırsanız, kuruluş içerisinde dosya ve yazıcı paylaşımını kapatarak devre dışı bırakılabilirler, bu da Teredo tabanlı bağlantı eksikliğine neden olur.
Bu Windows Güvenlik Duvarı ayarlarını kuruluşunuzdaki tüm üye bilgisayarlara dağıtmanın en kolay yolu Varsayılan Etki Alanı Grup İlkesi nesnesini (GPO) kullanmaktır. Daha fazla bilgi için, bkz. Denetim Listesi: Temel Güvenlik Duvarı İlkesi Tasarımını Uygulama (
Kural 1: Gelen ICMPv6 Yankı İsteği iletileri
Şu ayarlarla özel bir gelen kuralı oluşturun ve kuralı etkinleştirin.
- Tüm programlar
- Yankı İsteği iletisi olan ICMPv6 protokol türü
- Herhangi yerel veya uzak IP adresi
- Eyleme izin ver
- Tüm profiller (etki alanı, iş, genel)
Bu kural gereklidir.
Kural 2: Giden ICMPv6 Yankı İsteği iletileri
Şu ayarlarla özel bir giden kuralı oluşturun ve kuralı etkinleştirin.
- Tüm programlar
- Yankı İsteği iletisi olan ICMPv6 protokol türü
- Herhangi yerel veya uzak IP adresi
- Eyleme izin ver
- Tüm profiller (etki alanı, iş, genel)
Bu kural, Windows Güvenlik duvarını giden tüm trafiği engellemek için kullanıyorsanız gereklidir, aksi taktirde en iyi yöntem olarak önerilir.
Akıllı kartlarla tümleştirme
DirectAccess istemcileri DirectAccess sunucusuyla bağlantı kurduğunda akıllı kart kullanımını gerektirebilirsiniz. Kullanıcılar bir akıllı kart olmadan bilgisayarlarında oturum açabilir ve Internet'e erişebilir, ancak herhangi bir iç ağ kaynağına erişmek için akıllı kart kimlik doğrulaması gerekebilir.
Ek kaynaklar
Sunucuyla DirectAccess tümleştirmesi, etki alanı yalıtımı ve Ağ Erişim Koruması (NAP) hakkında daha fazla bilgi için, Microsoft TechNet'teki DirectAccess giriş sayfasına bakın (