Windows 2000’deki Yönlendirme ve Uzaktan Erişim Hizmetinde Yenilikler Nelerdir

 

(Bu yazı Windows 2000 Magazine dergisinin 2001 Haziran sayısında yayınlanan bir yazının çevirisidir. Murat Yıldırımoğlu)

 

RRAS: Geçmiş ve Bugün

NT 4.0’daki RAS (Uzaktan Erişim Hizmeti), NT 4.0 Option Pack ile birlikte RRAS’a güncellenmişti. Win2K’deki Yönlendirme ve Uzaktan Erişim işte bu hizmetlerin yeni sürümü oluyor. NT 4.0’daki RRAS yeni özellikler ve yetenekler getiriyordu. Aynı şekilde Win2K’deki Yönlendirme ve Uzaktan Erişim da NT 4.0’daki RRAS’ın işlevlerini arttırıyor. Yönlendirme ve Uzaktan Erişim bulunan yeniliklerin yanısıra Microsoft  bir önceki sürümdeki bazı önemli yetersizlikleri de giderdi.

 

Yetersizliklerden birisi yönetim konusundaydı. NT 4.0’ın RAS sunucularını yönetiyorsanız yönetim programının çok kolay anlaşılır bir program olmadığını görmüşsünüzdür. Örneğin, RRAS temelli LAN-dan-LAN’a VPN bağlantıları kurmak RRAS’ın eski sürümünde mümkün olmasına karşın yönetim araçlarının ve dökümantasyonun kötülüğü yüzünden bu tür bir kurulumu yapmak zordu.

 

Bir başka sorun kararlılık (stability) idi. Aslında bu da yalnızca RRAS’ın değil NT 4.0’ın sorunuydu. İşletim sistemindeki kararlılık sorunları NT RRAS temelli VPN ya da yönlendirme çözümlerini kullanmayı da engelleyebiliyordu-özellikle de bu çözümleri donanım temelli yönlendirme çözümleriyle karşılaştırdığımızda. Sistem yöneticilerinden bu ve diğer RRAS sorunları konusunda yakınmalar alan Microsoft, Win2K’in Yönlendirme ve Uzaktan Erişimini bu sorunları giderecek şekilde geliştirdi.

 

Yapılandırma ve Yönetim

Microsoft’un RRAS’ı geliştirmek için yaptığı çabalar Yönlendirme ve Uzaktan Erişim ile çalışmaya başladığınzı anda hissediliyor. NT’dekinin tersine, Win2K, Yönlendirme ve Uzaktan Erişimi ayrı  bir hizmet olarak kurmuyor; artık bu hizmeti kurmak için Control Panel’e gidip Network uygulamasını açmak gerekmiyor. Microsoft bu hizmeti Win2K Server, Win2K Advanced Server ve Win2K Datacenter Server’ın temel kurulumuna yerleştirmiş. Bu sayede Yönlendirme ve Uzaktan Erişim için gereken dosyalar sistemde zaten var. Size düşen yalnızca bu hizmeti yapılandırmak. Yine NT 4.0 RAS ve RRAS’ında bulunan üç parçalı kuruluma (yani, RAS’ı CD-ROM’dan kurma, RRAS güncellemesini yükleme ve hizmet paketini tekrar uygulama) burada rastlamıyoruz.

 

Yönlendirme ve Uzaktan Erişim başta etkin değil ama kolayca yapılandırılıp etkinleştirilebiliyor. Yönlendirme ve Uzaktan Erişimi yapılandırmak için Şekil 1’de görüldüğü gibi, Routing and Remote Access konsolunu çalıştırın. Bu konsolu Start, Programs, Administrative Tools altından çalıştırabilirsiniz. Bu konsol yardımıyla konsolun yüklü olduğu bilgisayardaki Yönlendirme ve Uzaktan Erişimi yönetebileceğiniz gibi başka bir bilgisayardaki hizmeti de yönetebilirsiniz. Hatta bu programı bir Win2K Pro’ya da kurabilirsiniz. Yönlendirme ve Uzaktan Erişim konsolunu bir Win2K Pro’ya kurmak için Win2K Server CD-ROM’unda \i386 klasöründe bulunan adminpak.msi dosyasını Win2K Pro’ya kurun. (Kurmak için yalnızca adminpak.msi dosyasının üzerine çift tıklamanız yeterlidir.)

 

Kurulum Yardımcı Programı (Setup  Wizard)

Artık çalışır durumda bir Yönlendirme ve Uzaktan Erişim yönetim konsoluna sahip olduğumuz için artık sunucumuzu yapılandırabiliriz. Sol bölümde sunucunuzun adını işaretleyin ve konsolun Action menüsünden Configure and Enable Routing and Remote Access (Yönlendirme ve Uzaktan Erişim Hizmetini Yapılandır ve Etkinleştir) şıkkını seçin. Bunu seçtiğinizde karşınıza Routing and Remote Access Server Setup Wizard (Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Yardımcısı) çıkacaktır.

 

Yardımcının Şekil 2’de görülen ikinci diyalog kutusunda beş standart yapılandırma seçeneğinden birisini seçebiliyorsunuz: Internet connection server (Internet bağlantı sunucusu), Remote access server (Uzaktan erişim sunucusu), Virtual private network (VPN) server (Sanal özel ağ sunucusu), Network router (Ağ yönlendiricisi) ya da Manually configured server (Elle yapılandırılan sunucu). Bu yararlı diyalog kutusu Yönlendirme ve Uzaktan Erişim sunucularının basit bir şekilde yapılandırılmasını sağlıyorlar. Eğer sunucuyu ağırlıklı olarak bu listedeki işlevlerden birisi için kullanmayı düşünüyorsanız bu kutudaki seçenekler işinizi çok kolaylaştıracak. Ama sunucunuzu birden fazla iş için yapılandırmak da isteyebilirsiniz. Bu durumda iki seçeneğiniz var: Ya var olan seçeneklerden birisini seçip daha sonra bu seçenekteki işe ek olarak diğer işleri işaretleyebilirsiniz ya da sunucuyu doğrudan elle yapılandırabilirsiniz.

 

Elle yapılandırılan sunucu seçeneği dışında yardımcının karşımıza çıkardığı standart seçeneklerde sizden bazı bilgiler istenecek, bu bilgilere göre yapılandırma gerçekleştirilecektir. Örneğin, Internet bağlantı sunucu seçeneğini seçtiğinizde Internet Connection Sharing (Internet Bağlantı Paylaşımı:ICS) ya da Network Address Translation (Ağ Adresi Dönüşümü :NAT) seçeneklerinden hangisini kullanacağınız sorulacak. Bu şıklardan birisini seçtiğinizde seçtiğiniz şıkka göre yeni bilgiler istenecek. Uzaktan erişim sunucusu seçeneğini seçtiğinizde gelen bağlantıların kullanabileceği  protokollerin hangisi olduğu sorulacaktır. Seçtiğiniz protokole göre de bu sefer protokol yapılandırma bilgileri sorulacaktır. Örneğin, gelen istemciler TCP/IP protokolünü kullanacaksa IP adreslerinin DHCP aracılığı ile mi verileceği, kullanıcı onay mekanizması olarak Remote Authentication Dial-in User Service (RADIUS) mekanizmasının mı kullanılacağı vb sorular sorulur.    

 

Birçok durumda yardımcı işini tamamladığında elle ek ayarların yapılması gerekir. Ama genel olarak yardımcı program gereken işlerin çoğunu halleder.

 

Yeni Yönlendirme Özellikleri

Yönlendirme ve Uzaktan Erişim hizmetinin asıl olarak uzaktan gelen kullanıcılara hizmet verdiğini düşünebilirsiniz ama bu hizmetin adındaki Yönlendirme ifadesi de çok önemli bir işleve işaret ediyor. Yönlendirme ve Uzaktan Erişim hizmeti, aynen NT 4.0’daki kuzeni RRAS gibi, eksiksiz ve yazılım temelli bir yönlendirici hizmeti sağlıyor.

 

Win2K içindeki Yönlendirme ve Uzaktan Erişim hizmetinin en önemli yönlendirme özelliklerinden birisi NAT desteğidir. RFC 1631 ile tanımlanan NAT özelliği Win2K Server, Win2K Pro, Windows Millennium Edition (Windows Me) ve Windows 98 Second Edition (Win98SE) işletim sistemlerinde bulunan Internet Bağlantı Paylaşımı (ICS) özelliğine benzer. ICS’de olduğu gibi NAT’ta da iç ağda kullanılan özel, yönlendirilemeyen IP adresleri sunucunun yönlendirilebilir, kayıtlı IP adreslerine dönüştürülür. Bu sayede bir makinanın Internet  çıkışını iç ağdaki diğer makinalar da kullanabilir. ICS’in tersine NAT, yalnızca Win2K sunucu sürümlerine yüklenebilir.

 

NAT’I Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Yardımcısının Internet bağlantı sunucusu seçeneği ile kurabilirsiniz. Bir başka seçenek de, yardımcı program tamamlandıktan sonra  NAT’ı Yönlendirme ve Uzaktan Erişim yönetim konsolundan kurmaktır. İkinci seçenek için, şekil 3’de görüldüğü gibi, IP Routing altındaki General bölümüne sağ tıklayın, New Routing Protocol (Yeni Yönlendirme Protokolü) şıkkını seçin ve karşınıza çıkan listeden Network Address Translation (NAT)’ı seçin.

 

NAT’ı kurduktan sonra sunucu üzerindeki iç (yani, LAN) ve dış (yani, Internet) bağlantılarını tanımlamalısınız. Bunu yapmak için karşınzıa çıkan ağ bağlatı listesindeki her bir bağlantının üzerine gelin, sağ tıklayın, Properties’i seçin, karşınıza çıkan diyalog kutusunda uygun seçeneği işaretleyin: Private interface to be connected to the private network (İç ağa bağlanacak iç bağlantı) ya da  Public interface connected to the Internet (Internete bağlanacak dış bağlantı). Bu işlemi her iki bağlantı için de yapmayı unutmayınız.

 

NAT, ICS’ye göre bazı öemli avantajlara sahip.  Birincisi, NAT sayesinde Yönlendirme ve Uzaktan Erişim sunucu, NAT istemcileri için WINS vekil ajanı (proxy agent) ya da DNS vekil ajanı olarak çalışabiliyor. Bu özellik sayesinde istemcilerin isim çzöümleme istekleri NAT üzerinden bir WINS sunucuya aktarılabiliyor. (Ama istemcilerin yalnızca isim çözümleme istekleri WINS sunucuya aktarılıyor. İstemcilerin isimleri WINS sunucuya aktarılmıyor. İç ağda kullanabileceğimiz IP adresleri konusunda da NAT’ta daha büyük bir esneklik var: ICS iç ağda yalnızca 192.168.x.x şeklindeki adresleri kabul ediyor. ICS sunucunun adresinin ise kesinlikle 192.168.0.1 olması gerekiyor. NAT’ta bu kısıtlamalar yok. Yine ICS dış bağlantı için yalnızca tek bir IP adresini kullanabilirken, NAT birden fazla IP adresini kullanabiliyor. Aynı zamanda NAT PPTP gibi istemci protokollerine de destek veriyor ve bunları başarılı bir şekilde dönüştürebiliyor (ICS’in yapamadığı bir şey). Son olarak,, ICS’nin  tersine NAT sayesinde iç ağımızdaki hizmetler (Web sunucular, FTP sunucular gibi) Internetten gelen istemcilere açılabiliyor.

 

Eğer yardımcının Internet bağlantı sunucusu seçeneğini seçerseniz, Yönlendirme ve Uzaktan Erişim, NAT’ın kuruluşunu ve yapılandırmasını otomatik olarak yapar. Bu durumda NAT kurulur ve sizden iç bağlantınız ile Internet bağlantınızı belirlemeniz istenir. Gerekiyorsa, NAT’ın Internet bağlantısı olarak sizden ISP’ye giden istek üzerine arama (dial-on-demand) hattınızı kurmasını da isteyebilirsiniz.  Eğer bir etki alanı ortamında değilseniz yardımcı program sizden NAT yerine ICS’I kurmak isteyip istemediğinizi sorar. ICS ve NAT özelliklerininkarşılaştırması için Tablo 1’e bakınız. ICS ve NAT’a ilişkin daha ayrıntılı bilgi için “Önceki Sayılarda Yer Alan İlişkili Makaleler” köşesine bakınız.

 

Bir başka yeni ve az bilinen özellik de Yönlendirme ve Uzaktan Erişimdeki Internet Group Management Protocol (IGMP) desteği. TCP/IP kullanan bilgisayarlar kendi IP multicast grup üyelik bilgilerini IGMP destekli yönlendiricilere bildirmek için IGMP’yi kullanıyorlar. Yönlendirme ve Uzaktan Erişim  içinde IGMP yönlendirici ve vekil bileşenleri var. IGMP yönlendirici bileşeni LAN’de bulunan istemcilerin multicast grup üyeliklerini takip ediyor. IGMP vekil bileşeni ise IGMP grup üyelik paketlerini dış bağlantısından (ya da bağlantılarından) göndermeye yarıyor. IGMP’nin ana amacı LAN istemcilerinin IP multicast uygulamalarını çalıştırabilmeleridir. Multicast teknolojisi giderek yayılıyor çünkü bu teknoloji yüksek bantgenişliği gerektiren uygulamaların çok verimli bir şekilde çok sayıdaki istemciye dağıtılabilmesine olanak sağlıyor.

 

Yönlendirme ve Uzaktan Erişim sunucusu üzerinde IGMP yönlendirici bileşenini bağlantı başına tanımlayabilirsiniz. Ama IGMP vekil bileşeni tek bir bağlantı üzerinde tanımlanabilir. IGMP yönlendirici ya da vekil desteğini eklemek için Yönlendirme ve Uzaktan Erişimin yönetim konsolunun sol bölümündeki IP Routing kısmından, General’a  sağ tıklayın ve New Routing Protocol şıkkından IGMP’yi seçin. Sonra da IGMP’yi etkinleştireceğiniz arayüzü (ağ bağlantısı; menüde interface olarak geçiyor) seçin.

 

Sunucunuz üzerinde bir ya da birden fazla IP multicast adres aralığı da kurmanız gerekiyor. IP multicast adresleri   239.0.0.0 ile 239.254.255.25 arasında yer alıyor. Yönlendirme ve Uzaktan Erişim yönetim konsolunda IP Routing/General’ı sağ tıklayıp Properties şıkkını seçin, Multicast Scopes sekmesinden gerekli adres bilgilerini girin. NAT ve IGMP gibi yeni yönlendirme protokollerine ek olarak Yönlendirme ve Uzaktan Erişim,  NT 4.0’daki RRAS’ın desteklediği dinamik yönlendirme protokolleri olan, Open Shortest Path First (OSPF) ve Routing Information Protocol version 2 (RIP2) protokollerini desteklemeye de devam ediyor. 

 

DHCP’deki Yenilikler

Yönlendirme ve Uzaktan Erişim, DHCP ile ilgili çok sayıda yeni özelliği içeriyor. Özelliklerden birisi NAT’ın içinde yer alan DHCP Allocator (DHCP Adres Atayıcı).  DHCP Adres Atayıcı temelde biraz kırpılmış bir DHCP sunucu. Bu sayede NAT sunucu, NAT istemcilerine IP adresleri dağıtabiliyor. Bir başka özellik, IP Routing, General’dan yükleyebileceğiniz ve yapılandırabileceğiniz geliştirilmiş DHCP Relay Agent (DHCP Röle Ajanı) protokolü. Şekil 4’de görülen DHCP Röle Ajanı, aynen NT 4.0’daki karşılığı gibi, Yönlendirme ve Uzaktan Erişim sunucunun bir segmentte yayınlanan DHCP Discover mesajlarının (istemcinin IP adresi istediği mesaj) diğer segmentteki DHCP sunuculara aktarılabilmesine olanak sağlıyor.

 

DHCP Röle Ajanı, DHCP Informa adı verilen yeni bir DHCP teknolojisini de destekliyor. Yalnızca Win2K, Windows Me ve Win98 işletim sistemleri tarafından desteklenen bu teknoloji, çevirmeli hatlardan bağlanan DHCP istemcilerinin DHCP sunucudan adres alırken ek IP adresi yapılandırma bilgilerini de alabilmelerini sağlıyor.

 

DHCP Inform önemli çünkü RAS istemcileri adreslerini RAS sunucudan alırlar; bu durumda DHCP sunucudaki ek bilgilerden yararlanamazlar. Ya da RAS sunucuyu, istemcilere  vereceği adresleri bir DHCP sunucudan alacak şekilde ayarlayabilirsiniz. Bu durumda RAS sunucu, DHCP sunucuya gidip adres ve diğer bilgileri alıp onları istemcilere aktarır. Yani, normalde istemci bilgisayarlar DHCP sunucuya doğrudan ulaşmazlar. Ama Win2K, Windows Me ve Win98 RAS istemcileri DHCPINFORM mesajları yollayabiliyorlar. Bu mesajlar yardımıyla RAS istemcileri IP yapılandırma bilgilerini bir DHCP sunucudan alabiliyorlar. Bu şekilde aldıkları bilgi RAS istemcilerin Yönlendirme ve Uzaktan Erişim sunucusunda aldıkları bilgilerin yerine geçiyor ya da onu genişletiyor.

 

Yönlendirme ve Uzaktan Erişim sunucusu istemcilerden gelen DHCPINFORM mesajlarını DHCP sunucuya geçirir, DHCP sunucudan aldığı bilgiyi de istemciye aktarır. Aktarılan bilgi yapılandırma bilgisini (örneğin, ek WINS ya da DNS sunucular), bir DNS etki alanı adı ve bir varsayılan ağ geçitini içerir. Eğer istemci, Yönlendirme ve Uzaktan Erişim sunucusundan alınan DHCP seçeneklerinin yerine geçecek seçenekleri almışsa bunlar eski bilgileri iptal eder. Bu özelliğin çalışabilmesi için Yönlendirme ve Uzaktan Erişim sunucusunun bağlı olduğu LAN’lerden birinde bir DHCP sunucu bulunmalıdır. Aynı zamanda DHCP röle desteği istediğiniz ağ arayüzlerini yönetim konsolundaki  IP Routing/DHCP Relay Agent bölümüne eklemelisiniz. (Sistem, özel bir iç arayüzü otomatik olarak ekler ve etkinleştirir.)  

 

Win2K Tarzında VPN’ler

Yönlendirme ve Uzaktan Erişimde, VPN ile ilgili  birçok yenilik var. Bir yenilik Layer 2 Tunneling Protocol (L2TP) desteği. RFC 2661’de tanımlanan L2TP, daha önceleri firmaların kendilerine özel olarak geliştirdiği tünelleme protokollerinin (Microsoft’un PPTP ya da Cisco’nun Layer 2 Forwarding (L2F)) devamı niteliğindedir. Win2K’deki L2TP uygulamasında, bir VPN bağlantısı üzerinden geçen PPP datagramlarını güvenli hale getirmek ve kriptolamak için PPTP’de olduğu gibi Microsoft Point-to-Point Encryption (MPPE) yöntemi değil IP Security (IPSec) kullanılır. Bu yüzden L2TP kullanmak isteyen bir RAS istemcisi hem IPSec’i, hem de L2TP’yi desteklemelidir. Şu anda yalnızca bir işletim sistemi-Win2K- bu özelliğe sahiptir.

 

Bir başka önemli yenilik VPN yönetiminin geliştirilmiş olmasıdır. Bunun içinde, daha önce söz ettiğim Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Yardımcısı da var. Yardımcının diğer seçenekleri gibi Virtual private network (VPN) server (Sanal özel ağ sunucusu) seçeneğinde de VPN sunucu yapılandırmasını tamamlamak için gereken bütün bilgiler sizden sorulacaktır. Bu bilgilerin içinde Internete bağlı olan arayüzün belirlenmesi de var. (Bu bağlantı bir çevirmeli bağlantı olamaz, bir  ağ kartı olmalıdır. Bu yüzden VPN sunucu yapmak istediğiniz sunucuda en az iki ağ kartınız olmalıdır.) Yardımcı, Yönlendirme ve Uzaktan Erişim sunucusunda otomatik olarak 128 PPTP ve 128 L2TP bağlantısı yapılandırır. (Diğer yapılandırma seçeneklerinde 5 PPTP ve 5 L2TP portu yapılandırılır.)

 

Eğer bu varsayılan rakamları sonradan elle değiştirmek isterseniz RRAS yönetim konsolunda Ports’a sağ tıklayın ve Properties’i seçin. Bu seçimi yaptığınızda Yönlendirme ve Uzaktan Erişim sunucusunda bulunan bütün portlar görüntülenecektir. Bunların içinde PPTP ve L2TP için WAN miniport sürücüleri de vardır. Her protokol için tanımlı olan portların sayısını değiştirmek ve bağlantının yönünü (yani, içeri doğru mu, dışarı doğru mu) belirlemek için protokolü seçin, Configure (Yapılandır) seçeneğini tıklayın ve Şekil 5’de görüldüğü gibi Configure Device (Aygıtı Yapılandır) kutusunda istediğiniz değerleri girin.

 

Sanal özel ağ sunucusu seçeneği de DHCP röle ajanını yapılandırır. Bu sayede RAS istemcileri DHCP Inform ve IGMP desteğini kullanarak IP multicast uygulamalarını çalıştırabilirler. Bu seçenek varsayılan uzaktan erişim ilkesini de yapılandırır ve Internete çıkan arayüzde filtreler yaratır. Bu filtreler sayesinde Yönlendirme ve Uzaktan Erişim sunucusu yalnızca PPTP ve L2TP bağlantılarını kabul eder, diğer tüm trafiği reddeder. Bu özellik NT 4.0’ın PPTP filtreleme özelliğine benzer. Eğer yapılandırmanız ek trafiklere izin verilmesini gerektiriyorsa ya da sonradan Yönlendirme ve Uzaktan Erişim sunucusunun yapılandırmasını değiştirip başka görevleri de üstelenmesini istiyorsanız bu filtreleri değiştirebilir ya da   filtreleri kaldırabilirsiniz. 

 

Yönlendirme ve Uzaktan Erişimin VPN özellikleri LAN ya da çevirmeli ağ bağlantıları üzerinden VPN temelli LAN-dan-LAN’a yönlendirmeyi desteklemektedir. (Bu yönlendirme  içinde artık PPTP’nin yanısıra L2TP de bulunmaktadır.) Şu anda VPN temelli LAN-dan-LAN’a yönlendirmeyi  kurma süreci NT 4.0’ınkinden çok daha kolaydır. Bu özelliği yapılandırmak için “Önceki Sayılarda Yer Alan İlişkili Makaleler” köşesine bakınız.

 

İlkelerin Gücü

Yönlendirme ve Uzaktan Erişimdeki en anlamlı yeniliklerden birisi uzaktan erişim ilkelerinin kullanımıdır. NT 4.0 altında RAS bağlantıları için yapılandırabileceğiniz ilkeler yalnızca kullanıcıların çevirmeli bağlantıdan gelme izinleri ile geri arama özellikleriydi. Yönlendirme ve Uzaktan Erişimin ilkeleriyse olağanüstü esnek ve kullanıcıların ne zaman ve nasıl RAS sunucuya bağlanabilecekleri konusunda denetiminizi arttırıyor. 

 

Bir uzaktan erişim ilkesi bağlantı isteklerinin onaylanması için uyulması gereken koşulları ve bağlantı ayarlarını içerir. Yönlendirme ve Uzaktan Erişimin  yönetim konsolunun Remote Access Policies (Uzaktan Erişim İlkeleri) bölümünden ayarlanan ilkeler aşağıdaki ölçütlere göre bağlantı için onay verirler ya da bağlantıyı reddederler:

 

*   Kullanıcının bağlanmak istediği aygıt tipi (örneğin, modem ya da VPN portu gibi)

*   Arayanı tanımlayan bilgiler (arayanın numarası ya da aranan sistem gibi)

*   Haftanın günü ve günün saati

*   Win2K grup üyeliği

 

Yönlendirme ve Uzaktan Erişim ile birlikte Internet Authentication Service (IAS)’ı kullanan ortamlarda başka bazı ölçütlere de uyulmalıdır.

 

Uzaktan erişim ilkeleri, bir çevirmeli bağlantı için çok sayıda seçeneği  yapılandırmanıza izin verir. Örneğin, maksimum izin verilen bağlantı süresini sınırlayabilir, kullanıcı onay ve kriptolama düzeyini belirleyebilir ve çoklu (multilink) bağlantılarda  bantgenişliğini dinamik olarak ayarlayabilirsiniz. Uzaktan erişim ilkeleri, bir bağlantı isteğine ancak tanımlamış olduğunuz ilkelerden en az birisine uyuluyorsa onay verecektir. Eğer bağlantı isteği hiçbir ilkeye uymuyorsa, kullanıcının çevirmeli bağlantı izni olsun olmasın, bağlantıya izin verilmez. Uzaktan erişim ilkeleri Yönlendirme ve Uzaktan Erişim sunucularının üzerinde ya da RADIUS temelli kullanıcı onayı için IAS kullanmak üzere yapılandırılmış RAS sunucular durumunda, IAS sunucu üzerinde yer alır. IAS seçeneği ilkelerin yönetimini merkezileştirdiği için çok sayıda Yönlendirme ve Uzaktan Erişim sunucusu içeren ortamlarda IAS kullanmak çok iyi olacaktır.

 

Varsayılan olarak, Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Yardımcısı yalnızca bir ilke tanımlar. Bu ilke de, kullanıcı için çevirmeli bağlantıya izin verilmişse  bağlantıya izin verir. Bu varsayılan ilke NT 4.0 User Manager’ından kullanıcıya çevirmeli bağlantı izni vermekle eşdeğerdir. Ek ilkeler yaratmak için Yönlendirme ve Uzaktan Erişim yönetim konsolunda Remote Access Policies (Uzaktan Erişim İlkeleri) bölümüne gidin. Action menüsünden New Remote Access Policy (Yeni Uzaktan Erişim İlkesi) şıkkını seçerek Add Remote Access Policy Wizard’ı (Uzaktan Erişim İlkesi Ekleme Yardımcısı) başlatın. (Bu işi Remote Access Policies’e sağ tıklayıp çıkan menüden aynı şıkkı seçerek de yapabilirsiniz.). Uzaktan erişim ilkelerine ilişkin daha ayrıntılı bilgi için “Önceki Sayılarda Yer Alan İlişkili Makaleler” köşesine bakınız.

 

RRAS: Yeni Yönetim

Yönlendirme ve Uzaktan Erişimdeki  yönetim yenilikleri daha geliştirilmiş yönetim konsolu ve yapılandırma yardımcılarıyla bitmiyor. Yönlendirme ve Uzaktan Erişim yaşamınızı kolaylaştıracak başka yenilikleri de içeriyor. Bu türlü yeniliklerden birisi RADIUS’tır. Bu hizmet farklı çevirmeli bağlantı donanımı içeren heterojen ortamlarda, kullanıcı onayının, yönetimin ve hesap tutmanın merkezileştirilmesini sağlar. Win2K hem istemci tarafındaki hem de sunucu  tarafındaki RADIUS bileşenlerini desteklemektedir. İstemci tarafındaki destek, bir Yönlendirme ve Uzaktan Erişim sunucusunun bir RADIUS sunucuya bağlanıp kullanıcıyı onaylatması ya da hesap bilgilerini orada tutması anlamına gelir. Yönlendirme ve Uzaktan Erişimin RADIUS desteğinin yararlı bir özelliği kullanıcı onayı ile hesabının ayrı ayrı tutulabilmesidir. Başka bir deyişle, kullanıcı onayı ve hesabının tutulması için Windows ya da RADIUS’u ayrı ayrı kullanılabilirsiniz. Yani, her iki işlem için aynı ortamı kullanmak  zorunda değilsiniz.

 

Microsoft, Yönlendirme ve Uzaktan Erişimin RADIUS istemci desteğini herhangi bir RADIUS sunucu ile çalışabilecek şekilde tasarladı. Win2K’de Microsoft’a özel bir RADIUS sunucu bulunuyor: IAS. RADIUS sunucu olarak IAS kullanmanın önemli bir yararı bütün Yönlendirme ve Uzaktan Erişim sunucularınız için kullandığınız uzaktan erişim ilkelerini merkezi olarak saklayabilmeniz ve yönetebilmenizdir. Eğer heterojen bir LAN ortamını ya da bir ISP ortamını yönetiyorsanız ve RADIUS’ı destekleyen çok çeşitli aygıtları kullanıyorsanız ya da çevirmeli ağdan gelenler için hesap tutuyorsanız IAS’i incelemenizde yarar var. RADIUS’ı destekleyen sunuculara tek bir oturum açma ortamı sağlaması bakımından da RADIUS yararlı olacaktır.

 

Win2K, Yönlendirme ve Uzaktan Erişim sunucularının komut satırından yönetimini de oldukça kolaylaştırmış. Win2K’in Net Shell (Netsh) komutunu kullanarak ağla ilgili birçok bileşeni yapılandırabilir ve yönetebilirsiniz. Netsh ve Netsh Ras komutlarını kullanarak Yönlendirme ve Uzaktan Erişim sunucusunun hemen her türlü özelliğini yapılandırabilirsiniz. Yapılandırılabilecek işler arasında sunucunun Active Directory (AD) içinde yetkilendirilmesi; portların,  protokollerin ve özelliklerin yapılandırılması, eklenmesi, yönetilmesi ve sunucunun yapılandırılma bilgisinin yedeklenmesi ve yedekten döndürülmesi de bulunuyor. Netsh komutlarını betikler içinden çalıştırarak Yönlendirme ve Uzaktan Erişim sunucularınızın kurulum ve yapılandırılmasını tümüyle otomatikleştirebilirsiniz.

 

Netsh komutlarını birkaç şekilde verebilirsiniz. Birinci yol komutları Netsh kabuğunda (etkileşimli ortamında) vermektir. Örneğin, bir sunucu üzerindeki RAS IP yapılandırmasını görmek için komut satırından şu komutu girin:

 

netsh

 

Karşınıza çıkan komut isteminde şunu girin:

 

Ras

 

Karşınıza çıkan ras komut isteminde şunu girin:

 

ip

 

Sonra ras ip komut isteminde şunu girin:

 

show config

 

 

Komutları girmenin ikinci yolu yukarıda tek tek girdiğiniz komutları tek bir satırda girmektir:

 

netsh ras ip show config

 

Hangi yöntemi kullanırsanız kullanın Netsh komutlarını çevrim içi (online) ya da çevrim dışı (offline) olarak girebilirsiniz. Varsayılan çalışma kipi çevrim içidir. Bu kipte komutlar Netsh konsolundan girildikçe sistem bu  komutları işler. Çevrim dışı çalışma kipinde sistem komutları bir kuyrukta bekletir ve siz Commit (Çalıştır) komutunu girmedikçe bu komutlar işlenmez. (Çevrim dışı çalışma sırasında girdiğiniz komutları iptalk etmek isterseniz Abort komutunu girebilirsiniz. Microsoft bu komutu RRAS’ın yardım kısmında yanlış bir şekilde Abort as Flush olarak gösteriyor.) Çevrim içi ve çevrim dışı kipler arasında geçiş yapmak için Netsh komut satırı konsolunda Online ve Offline komutlarını kullanıyorsunuz.

 

Netsh komutlarını girmenin üçüncü yolu bu komutları bir betik ya da toplu iş dosyası içinden çalıştırmaktır. Örneğin, Netsh arayüzünden birden fazla Netsh komutu içeren bir dosyayı çalıştırmak için Exce Scriptfile komutunu verebilirsiniz. Bir başka seçenek de Netsh komut satırında –f anahtarını kullanmaktır. (Bu seçenek için bilgi almak isterseniz Netsh -? Komutunu kullanın.)

 

Bir başka yararlı Netsh komutu Dump komutudur. Bu komut, RRAS sunucunun var olan yapılandırmasını temsil eden bir betik dosyası yaratabilmenize olanak sağlar. Netsh’nin Dump komutunu Netsh kabuğunun değişik düzeylerinde çalıştırabilirsiniz. Yaratılan dosyanın içeriği bulunduğunuz yere bağlı olacaktır. Örneğin, Netsh’nin kökünde bu komutu verirseniz makinanın  tüm ağ yapılandırmasını bir dosyaya aktarabilirsiniz. Bu komutu ras komut isteminde verirseniz yalnızca ras ile ilgili yapılandırma bilgilerini alabilirsiniz. Komut satırından vereceğiniz komutlarla ras ve routing ile ilişkili bilgileri bir dosyaya aktarmak isterseniz aşağıdaki komutları verebilirsiniz:

 

netsh ras dump > dosyaadı

netsh routing dump > dosyaadı

 

Yönlendirme ve Uzaktan Erişim sunucusunun yapılandırılmasında bir değişiklik yapmadan önce her zaman Dump komutunu vererek makinanın o andaki yapılandırma bilgilerini saklamakta yarar var. Bu şekilde, bir sorunla karşılaştığınızda geri dönme olanağınız olacaktır.

 

Yönlendirme ve Uzaktan Erişim, günlük kayıtları (izleme: tracing olarak da geçiyor) konusunda da gelişmiş özelliklere sahip. Hizmet üç düzeyde günlük kayıtlarını destekliyor:

 

*   Olay görüntüleme- Yönlendirme ve Uzaktan Erişime ilişkin olaylar sistem günlüğünde tutulur.

Yerel kullanıcı onayı ve hesaplarının günlük kayıtları-Eğer Windows’u Yönlendirme ve Uzaktan Erişim sunucusunun kullanıcı onayı ve hesap tutumu bilgisayarı olarak yapılandırmışsanız sistem bu hizmetlere ilişkin olayları ayrı bir günlük dosyasında tutar. Bu günlük dosyaları \%systemroot%\system32\logfiles klasöründe (örneğin, C:\winnt\system32\logfiles klasörü), Iaslog.log dosyasında tutulur  Günlük dosyası seçeneklerini yapılandırmak için yöetim konsolundaki Remote Access Logging seçeneğinden Local File öğesine sağ tıklayıp Properties kısmına geçmeniz gerekiyor. Buradan hangi olayların kayıtlarının tutulacağını ya da dosya formatının IAS 1.0 mı ODBC formatı mı olacağı gibi özellikleri belirleyebiliyorsunuz.

 

*   RADIUS günlüğü- Kullanıcı onayı ve hesap tutumu için bir RADIUS sunucusu kullanacak şekilde bir yapılandırmaya gitmişseniz  sistemin iki özelllik için de günlük kayıtlarını uzaktaki bir RADIUS sunucuya kaydetmesini sağlayabiliyorsunuz.

 

Ek olarak, artık Yönlendirme ve Uzaktan Erişim hizmetinin hemen her öğesi için günlük kayıtı tutulmasını GUI yönetim konsolu içinden ya da komut satırından  etkinleştirebiliyorsunuz.

 

Günlük kayıtlarını yönetme için kullanabileceğimiz araçlar NT 4.0’dakilere göre karşılaştırılamayacak kadar sezgisel. Yönlendirme ve Uzaktan Erişimdeki her öğenin günlükyapılandırmasını öğenin Properties kısmından yapabiliyorsunuz. Örneğin, genel Yönlendirme ve Uzaktan Erişim sunucu olay kayıtı ve PPP olaylarının kayıtı için yönetim konsolunda Yönlendirme ve Uzaktan Erişim sunucusunun adını sağ tıklayın ve Properties şıkkkını seçin, şekil 6’da görülen Event Logging (Olayların Kayıtını Tutma) sekmesine gidin. Günlük kayıtlarını komut satırından yapılandırmak için aşağıdaki komutu kullanın:

 

netsh ras set tracing öğe <enabled/disabled>

 

Bu komuttaki öğe, günlük kayıtını yapılandıracağınız Yönlendirme ve Uzaktan Erişim öğesidir (örneğin PPP). Bütün Yönlendirme ve Uzaktan Erişim öğelerinin günlük kayıtlarını etkinleştirmek ya da iptal etmek için aşağıdaki komutu girebilirsiniz:

 

netsh ras set tracing * <enabled/disabled>

 

Sistem günlüğüne kaydedilen diğer Yönlendirme ve Uzaktan Erişim  olaylarının tersine, bu öğe düzeyindeki günlük kayıtları sunucunun \%windir%\tracing klasöründe (örneğin,  C:\winnt\tracing gibi) saklanır. Sistem her öğe için bu klasörde ayrı bir günlük dosyası tutar. Dosyaların adları öğelerin adlarını izler. Örneğin, PPP olaylarının kayıtları ppp.log dosyasında tutulur.

 

Diğer Yeni Özellikler

Yönlendirme ve Uzaktan Erişim hoşunuza gidecek başka özellikler de içeriyor. Bu tür özelliklerden birisi NT 4.0’daki sunucu başına 256 port sınırından kurtulmamızdır. Yönlendirme ve Uzaktan Erişimde her sunucu hemen hemen sınırsız sayıda porta sahip olabilir. (Artık port sayısını ağ bantgenişliği, bellek ve CPU’nun özellikleri belirlemektedir.)

 

Yönlendirme ve Uzaktan Erişim, çevirmeli Internet bağlantısı ve LAN’ler arası istek üzerine bağlantısı üzerinden istenmeyen çevirmeli bağlantıları azaltacak özellikler de içeriyor. Bu özelliklerin ilki istek üzerine çevirme filtre özelliği. Bu özellik belli tarfik tipleri için istek üzerine çevirmeli bağlantıların kullanılmasını engelliyor. İkincisi, kullanıcıların çevirmeli bağlantılardan arama yapabilecekleri saatlerin belirlenebilmesi.  Zaman içinde her iki özellik de işletmenizin çevirmeli bağlantı faturalarını azaltacaktır.

 

Eğer çok hatlı (multilink) RAS bağlantıları ile ilgileniyorsanız Yönlendirme ve Uzaktan Erişimin Bandwidth Allocation Protocol (BAP) ve Bandwidth Allocation Control Protocol (BACP) desteği ilginizi çekecektir. Çok hatlı bağlantıları içeren donanım temelli yönlendiricilerde genelde kullanılmakta olan bu protokoller, Win2K’in harcanan bantgenişliği ya da geçirilen zamana bağlı olarak, hatları otomatik olarak ekleyip çıkarabilmesi anlamına geliyor. Bantgenişliği ayırma desteğini hem sunucu, hem de istemci üzerinde sağlamanız gerekiyor. Bunun yanısıra gerekli kuralları da Yönlendirme ve Uzaktan Erişim yönetim konsolunun Remote Access Policies (Uzaktan Erişim İlkeleri) bölümünden yapılandırmanız gerekir. Bir Yönlendirme ve Uzaktan Erişim sunusucu için BAP ve BACP desteğini sunucunun Properties diyalog kutusundan yapılandırıyorsunuz. Yönlendirme ve Uzaktan Erişim yönetim konsolunda sunucunun adına sağ tıklayın, Properties şıkkını seçin, PPP sekmesine geçin ve  “Dynamic bandwidth control using BAP or BACP” (BAP ya da BACP’yi kullanarak dinamik bantgenişliği denetimi) şeklindeki onay kutusunu işaretleyin.

 

Yönlendirme ve Uzaktan Erişim içindeki bir başka yenilik de sunucunun çevirmeli bağlantılardan gelen istemciler için birden  fazla adres havuzu tanımlayabilmesidir. (NT 4.0’da tek bir adres havuzu tanımlanabiliyordu.) RRAS, Extensible Authentication Protocol (EAP) ve Microsoft Challenge Handshake Authentication Protocol (MSCHAP 2.0)  desteği de sağlıyor. EAP sayesinde Yönlendirme ve Uzaktan Erişim, akıllı kartlar benzeri cihazlar için destek sağlıyor ve Yönlendirme ve Uzaktan Erişimin kullanıcı onayı konusunda var olan  ve gelecekte çıkacak olan yeni teknolojileri destekleyebilmesi sağlanıyor.  MSCHAP 2.0, bu teknolojiyi destekleyen istemciler için ( Win2K, Windows Me, Win98 ve DUN 1.3 güncellemesine sahip Win95 için) daha iyi kullanıcı onayı güvenliği anlamına geliyor. Protokol parolalar ve parola değişiklikleri konusunda daha kuvvetli kriptolama ve RAS istemcileri ile sunucuları arasında karşılıklı onay desteği de sağlıyor. MSCHAP 1.0’da tek yönlü bir onay mekanizması vardı.

 

Win2K’e Geçişi Düşünmeye Başlayın

Win2K’in Yönlendirme ve Uzaktan Erişim öğesi bir çok yeni ve önemli özellik içeriyor ve NT 4.0’ın RAS ve RRAS’ında rastlanılan yönetim sorunlarını gideriyor. Win2K işletim sistemi ile tam bir bütünleşme, daha iyi bir yönetim arayüzü, ilke temelli istemci izinleri ve ICS ile NAT kullanarak sorunsuz Internet bağlantısı  özellikleri sayesinde yaşamı  kolaylaştırıyor. İşletmeniz henüz AD’ye geçmemiş olsa da NT 4.0 RAS ve RRAS üye sunucularınızı şimdiden Win2K’ye geçirmekte yarar var.

 

ARA METİNLER:

 

Şekil 1:

Yönlendirme ve Uzaktan Erişim yönetim konsolu

 

Şekil 2:

Routing and Remote Access Server Setup Wizard

 

 

Şekil 3:

NAT yönlendirme protokolünü kurma

 

Şekil 4:

DHCP Röle Ajanını Yapılandırma

 

Şekil 5:

Bir VPN cihazının özelliklerini yapılandırma

 

Şekil 6:

PPP günlüğünü etkinleştirme

 

Tablo 1: ICS ve NAT Özelliklerinin Karşılaştırılması

Özellik                                                       ICS   NAT

 

Internete bağlı bilgisayarlardaki IP adreslerini Evet  Evet

LAN istemcilerine paylaştırabilme

İstemciler için DNS desteği                           Evet Evet

İstemciler için WINS desteği                         Hayır         Evet

Sunucudaki birden fazla Internet adresini                Hayır Evet

kullanabilme

İstemcilerin otomatik yapılandırılması için DHCP      Hayır Evet

özelliğini kullanabilme

DHCP Allocator hizmetini yapılandırabilme              Hayır Evet

PPTP desteği                                              Hayır Evet

Ek protokoller ya da portlar için düzenleyici             Hayır Evet

içerme

 

 

Çok sayıda Yönlendirme ve Uzaktan Erişim sunucusu içeren ortamlarda IAS seçeneği çok yararlı olacaktır.

 

Netsh ve Netsh Ras komutlarını kullanarak Yönlendirme ve Uzaktan Erişim sunucusunun hemen her türlü özelliğini yapılandırabilirsiniz.