Windows 2000’deki Yönlendirme ve Uzaktan Erişim Hizmetinde Yenilikler Nelerdir
(Bu yazı Windows 2000 Magazine dergisinin 2001 Haziran
sayısında yayınlanan bir yazının çevirisidir. Murat Yıldırımoğlu)
RRAS: Geçmiş ve Bugün
NT 4.0’daki RAS (Uzaktan Erişim Hizmeti), NT 4.0 Option Pack
ile birlikte RRAS’a güncellenmişti. Win2K’deki Yönlendirme ve Uzaktan Erişim
işte bu hizmetlerin yeni sürümü oluyor. NT 4.0’daki RRAS yeni özellikler ve
yetenekler getiriyordu. Aynı şekilde Win2K’deki Yönlendirme ve Uzaktan Erişim
da NT 4.0’daki RRAS’ın işlevlerini arttırıyor. Yönlendirme ve Uzaktan Erişim
bulunan yeniliklerin yanısıra Microsoft
bir önceki sürümdeki bazı önemli yetersizlikleri de giderdi.
Yetersizliklerden birisi yönetim konusundaydı. NT 4.0’ın RAS
sunucularını yönetiyorsanız yönetim programının çok kolay anlaşılır bir program
olmadığını görmüşsünüzdür. Örneğin, RRAS temelli LAN-dan-LAN’a VPN bağlantıları
kurmak RRAS’ın eski sürümünde mümkün olmasına karşın yönetim araçlarının ve
dökümantasyonun kötülüğü yüzünden bu tür bir kurulumu yapmak zordu.
Bir başka sorun kararlılık (stability) idi. Aslında bu da
yalnızca RRAS’ın değil NT 4.0’ın sorunuydu. İşletim sistemindeki kararlılık
sorunları NT RRAS temelli VPN ya da yönlendirme çözümlerini kullanmayı
da engelleyebiliyordu-özellikle de bu çözümleri donanım temelli yönlendirme
çözümleriyle karşılaştırdığımızda. Sistem yöneticilerinden bu ve diğer RRAS
sorunları konusunda yakınmalar alan Microsoft, Win2K’in Yönlendirme ve Uzaktan
Erişimini bu sorunları giderecek şekilde geliştirdi.
Yapılandırma ve Yönetim
Microsoft’un RRAS’ı geliştirmek için yaptığı çabalar
Yönlendirme ve Uzaktan Erişim ile çalışmaya başladığınzı anda hissediliyor.
NT’dekinin tersine, Win2K, Yönlendirme ve Uzaktan Erişimi ayrı bir hizmet olarak kurmuyor; artık bu hizmeti
kurmak için Control Panel’e gidip Network uygulamasını açmak gerekmiyor.
Microsoft bu hizmeti Win2K Server, Win2K Advanced Server ve Win2K Datacenter
Server’ın temel kurulumuna yerleştirmiş. Bu sayede Yönlendirme ve Uzaktan
Erişim için gereken dosyalar sistemde zaten var. Size düşen yalnızca bu hizmeti
yapılandırmak. Yine NT 4.0 RAS ve RRAS’ında bulunan üç parçalı kuruluma (yani,
RAS’ı CD-ROM’dan kurma, RRAS güncellemesini yükleme ve hizmet paketini tekrar
uygulama) burada rastlamıyoruz.
Yönlendirme ve Uzaktan Erişim başta etkin değil ama kolayca
yapılandırılıp etkinleştirilebiliyor. Yönlendirme ve Uzaktan Erişimi
yapılandırmak için Şekil 1’de görüldüğü gibi, Routing and Remote Access
konsolunu çalıştırın. Bu konsolu Start, Programs, Administrative Tools altından
çalıştırabilirsiniz. Bu konsol yardımıyla konsolun yüklü olduğu bilgisayardaki
Yönlendirme ve Uzaktan Erişimi yönetebileceğiniz gibi başka bir bilgisayardaki
hizmeti de yönetebilirsiniz. Hatta bu programı bir Win2K Pro’ya da
kurabilirsiniz. Yönlendirme ve Uzaktan Erişim konsolunu bir Win2K Pro’ya kurmak
için Win2K Server CD-ROM’unda \i386 klasöründe bulunan adminpak.msi dosyasını
Win2K Pro’ya kurun. (Kurmak için yalnızca adminpak.msi dosyasının üzerine çift
tıklamanız yeterlidir.)
Kurulum Yardımcı Programı (Setup Wizard)
Artık çalışır durumda bir Yönlendirme ve Uzaktan Erişim
yönetim konsoluna sahip olduğumuz için artık sunucumuzu yapılandırabiliriz. Sol
bölümde sunucunuzun adını işaretleyin ve konsolun Action menüsünden Configure
and Enable Routing and Remote Access (Yönlendirme ve Uzaktan Erişim Hizmetini
Yapılandır ve Etkinleştir) şıkkını seçin. Bunu seçtiğinizde karşınıza Routing
and Remote Access Server Setup Wizard (Yönlendirme ve Uzaktan Erişim Sunucusu
Kurulum Yardımcısı) çıkacaktır.
Yardımcının Şekil 2’de görülen ikinci diyalog kutusunda beş
standart yapılandırma seçeneğinden birisini seçebiliyorsunuz: Internet
connection server (Internet bağlantı sunucusu), Remote access server (Uzaktan
erişim sunucusu), Virtual private network (VPN) server (Sanal özel ağ
sunucusu), Network router (Ağ yönlendiricisi) ya da Manually configured server
(Elle yapılandırılan sunucu). Bu yararlı diyalog kutusu Yönlendirme ve Uzaktan
Erişim sunucularının basit bir şekilde yapılandırılmasını sağlıyorlar. Eğer
sunucuyu ağırlıklı olarak bu listedeki işlevlerden birisi için kullanmayı
düşünüyorsanız bu kutudaki seçenekler işinizi çok kolaylaştıracak. Ama
sunucunuzu birden fazla iş için yapılandırmak da isteyebilirsiniz. Bu durumda
iki seçeneğiniz var: Ya var olan seçeneklerden birisini seçip daha sonra bu
seçenekteki işe ek olarak diğer işleri işaretleyebilirsiniz ya da sunucuyu
doğrudan elle yapılandırabilirsiniz.
Elle yapılandırılan sunucu seçeneği dışında yardımcının
karşımıza çıkardığı standart seçeneklerde sizden bazı bilgiler istenecek, bu
bilgilere göre yapılandırma gerçekleştirilecektir. Örneğin, Internet bağlantı
sunucu seçeneğini seçtiğinizde Internet Connection Sharing (Internet Bağlantı
Paylaşımı:ICS) ya da Network Address Translation (Ağ Adresi Dönüşümü :NAT)
seçeneklerinden hangisini kullanacağınız sorulacak. Bu şıklardan birisini
seçtiğinizde seçtiğiniz şıkka göre yeni bilgiler istenecek. Uzaktan erişim
sunucusu seçeneğini seçtiğinizde gelen bağlantıların kullanabileceği protokollerin hangisi olduğu sorulacaktır.
Seçtiğiniz protokole göre de bu sefer protokol yapılandırma bilgileri
sorulacaktır. Örneğin, gelen istemciler TCP/IP protokolünü kullanacaksa IP adreslerinin
DHCP aracılığı ile mi verileceği, kullanıcı onay mekanizması olarak Remote
Authentication Dial-in User Service (RADIUS) mekanizmasının mı kullanılacağı vb
sorular sorulur.
Birçok durumda yardımcı işini tamamladığında elle ek
ayarların yapılması gerekir. Ama genel olarak yardımcı program gereken işlerin
çoğunu halleder.
Yeni Yönlendirme Özellikleri
Yönlendirme ve Uzaktan Erişim hizmetinin asıl olarak uzaktan
gelen kullanıcılara hizmet verdiğini düşünebilirsiniz ama bu hizmetin adındaki
Yönlendirme ifadesi de çok önemli bir işleve işaret ediyor. Yönlendirme ve
Uzaktan Erişim hizmeti, aynen NT 4.0’daki kuzeni RRAS gibi, eksiksiz ve yazılım
temelli bir yönlendirici hizmeti sağlıyor.
Win2K içindeki Yönlendirme ve Uzaktan Erişim hizmetinin en
önemli yönlendirme özelliklerinden birisi NAT desteğidir. RFC 1631 ile
tanımlanan NAT özelliği Win2K Server, Win2K Pro, Windows Millennium Edition
(Windows Me) ve Windows 98 Second Edition (Win98SE) işletim sistemlerinde
bulunan Internet Bağlantı Paylaşımı (ICS) özelliğine benzer. ICS’de olduğu gibi
NAT’ta da iç ağda kullanılan özel, yönlendirilemeyen IP adresleri sunucunun
yönlendirilebilir, kayıtlı IP adreslerine dönüştürülür. Bu sayede bir makinanın
Internet çıkışını iç ağdaki diğer
makinalar da kullanabilir. ICS’in tersine NAT, yalnızca Win2K sunucu
sürümlerine yüklenebilir.
NAT’I Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum
Yardımcısının Internet bağlantı sunucusu seçeneği ile kurabilirsiniz. Bir başka
seçenek de, yardımcı program tamamlandıktan sonra NAT’ı Yönlendirme ve Uzaktan Erişim yönetim konsolundan
kurmaktır. İkinci seçenek için, şekil 3’de görüldüğü gibi, IP Routing altındaki
General bölümüne sağ tıklayın, New Routing Protocol (Yeni Yönlendirme
Protokolü) şıkkını seçin ve karşınıza çıkan listeden Network Address
Translation (NAT)’ı seçin.
NAT’ı kurduktan sonra sunucu üzerindeki iç (yani, LAN) ve
dış (yani, Internet) bağlantılarını tanımlamalısınız. Bunu yapmak için
karşınzıa çıkan ağ bağlatı listesindeki her bir bağlantının üzerine gelin, sağ
tıklayın, Properties’i seçin, karşınıza çıkan diyalog kutusunda uygun seçeneği
işaretleyin: Private interface to be connected to the private network (İç ağa
bağlanacak iç bağlantı) ya da Public
interface connected to the Internet (Internete bağlanacak dış bağlantı). Bu
işlemi her iki bağlantı için de yapmayı unutmayınız.
NAT, ICS’ye göre bazı öemli avantajlara sahip. Birincisi, NAT sayesinde Yönlendirme ve
Uzaktan Erişim sunucu, NAT istemcileri için WINS vekil ajanı (proxy agent) ya
da DNS vekil ajanı olarak çalışabiliyor. Bu özellik sayesinde istemcilerin isim
çzöümleme istekleri NAT üzerinden bir WINS sunucuya aktarılabiliyor. (Ama
istemcilerin yalnızca isim çözümleme istekleri WINS sunucuya aktarılıyor.
İstemcilerin isimleri WINS sunucuya aktarılmıyor. İç ağda kullanabileceğimiz IP
adresleri konusunda da NAT’ta daha büyük bir esneklik var: ICS iç ağda yalnızca
192.168.x.x şeklindeki adresleri kabul ediyor. ICS sunucunun adresinin ise
kesinlikle 192.168.0.1 olması gerekiyor. NAT’ta bu kısıtlamalar yok. Yine ICS
dış bağlantı için yalnızca tek bir IP adresini kullanabilirken, NAT birden
fazla IP adresini kullanabiliyor. Aynı zamanda NAT PPTP gibi istemci
protokollerine de destek veriyor ve bunları başarılı bir şekilde
dönüştürebiliyor (ICS’in yapamadığı bir şey). Son olarak,, ICS’nin tersine NAT sayesinde iç ağımızdaki
hizmetler (Web sunucular, FTP sunucular gibi) Internetten gelen istemcilere
açılabiliyor.
Eğer yardımcının Internet bağlantı sunucusu seçeneğini
seçerseniz, Yönlendirme ve Uzaktan Erişim, NAT’ın kuruluşunu ve
yapılandırmasını otomatik olarak yapar. Bu durumda NAT kurulur ve sizden iç
bağlantınız ile Internet bağlantınızı belirlemeniz istenir. Gerekiyorsa, NAT’ın
Internet bağlantısı olarak sizden ISP’ye giden istek üzerine arama (dial-on-demand)
hattınızı kurmasını da isteyebilirsiniz.
Eğer bir etki alanı ortamında değilseniz yardımcı program sizden NAT
yerine ICS’I kurmak isteyip istemediğinizi sorar. ICS ve NAT
özelliklerininkarşılaştırması için Tablo 1’e bakınız. ICS ve NAT’a ilişkin daha
ayrıntılı bilgi için “Önceki Sayılarda Yer Alan İlişkili Makaleler” köşesine
bakınız.
Bir başka yeni ve az bilinen özellik de Yönlendirme ve
Uzaktan Erişimdeki Internet Group Management Protocol (IGMP) desteği. TCP/IP
kullanan bilgisayarlar kendi IP multicast grup üyelik bilgilerini IGMP destekli
yönlendiricilere bildirmek için IGMP’yi kullanıyorlar. Yönlendirme ve Uzaktan
Erişim içinde IGMP yönlendirici ve
vekil bileşenleri var. IGMP yönlendirici bileşeni LAN’de bulunan istemcilerin
multicast grup üyeliklerini takip ediyor. IGMP vekil bileşeni ise IGMP grup
üyelik paketlerini dış bağlantısından (ya da bağlantılarından) göndermeye
yarıyor. IGMP’nin ana amacı LAN istemcilerinin IP multicast uygulamalarını
çalıştırabilmeleridir. Multicast teknolojisi giderek yayılıyor çünkü bu
teknoloji yüksek bantgenişliği gerektiren uygulamaların çok verimli bir şekilde
çok sayıdaki istemciye dağıtılabilmesine olanak sağlıyor.
Yönlendirme ve Uzaktan Erişim sunucusu üzerinde IGMP
yönlendirici bileşenini bağlantı başına tanımlayabilirsiniz. Ama IGMP vekil
bileşeni tek bir bağlantı üzerinde tanımlanabilir. IGMP yönlendirici ya da
vekil desteğini eklemek için Yönlendirme ve Uzaktan Erişimin yönetim konsolunun
sol bölümündeki IP Routing kısmından, General’a sağ tıklayın ve New Routing Protocol şıkkından IGMP’yi seçin.
Sonra da IGMP’yi etkinleştireceğiniz arayüzü (ağ bağlantısı; menüde interface
olarak geçiyor) seçin.
Sunucunuz üzerinde bir ya da birden fazla IP multicast adres
aralığı da kurmanız gerekiyor. IP multicast adresleri 239.0.0.0 ile 239.254.255.25 arasında yer alıyor. Yönlendirme ve
Uzaktan Erişim yönetim konsolunda IP Routing/General’ı sağ tıklayıp Properties
şıkkını seçin, Multicast Scopes sekmesinden gerekli adres bilgilerini girin.
NAT ve IGMP gibi yeni yönlendirme protokollerine ek olarak Yönlendirme ve
Uzaktan Erişim, NT 4.0’daki RRAS’ın
desteklediği dinamik yönlendirme protokolleri olan, Open Shortest Path First
(OSPF) ve Routing Information Protocol version 2 (RIP2) protokollerini
desteklemeye de devam ediyor.
DHCP’deki Yenilikler
Yönlendirme ve Uzaktan Erişim, DHCP ile ilgili çok sayıda
yeni özelliği içeriyor. Özelliklerden birisi NAT’ın içinde yer alan DHCP
Allocator (DHCP Adres Atayıcı). DHCP
Adres Atayıcı temelde biraz kırpılmış bir DHCP sunucu. Bu sayede NAT sunucu,
NAT istemcilerine IP adresleri dağıtabiliyor. Bir başka özellik, IP Routing,
General’dan yükleyebileceğiniz ve yapılandırabileceğiniz geliştirilmiş DHCP
Relay Agent (DHCP Röle Ajanı) protokolü. Şekil 4’de görülen DHCP Röle Ajanı,
aynen NT 4.0’daki karşılığı gibi, Yönlendirme ve Uzaktan Erişim sunucunun bir
segmentte yayınlanan DHCP Discover mesajlarının (istemcinin IP adresi istediği
mesaj) diğer segmentteki DHCP sunuculara aktarılabilmesine olanak sağlıyor.
DHCP Röle Ajanı, DHCP Informa adı verilen yeni bir DHCP
teknolojisini de destekliyor. Yalnızca Win2K, Windows Me ve Win98 işletim
sistemleri tarafından desteklenen bu teknoloji, çevirmeli hatlardan bağlanan
DHCP istemcilerinin DHCP sunucudan adres alırken ek IP adresi yapılandırma bilgilerini
de alabilmelerini sağlıyor.
DHCP Inform önemli çünkü RAS istemcileri adreslerini RAS
sunucudan alırlar; bu durumda DHCP sunucudaki ek bilgilerden yararlanamazlar.
Ya da RAS sunucuyu, istemcilere
vereceği adresleri bir DHCP sunucudan alacak şekilde ayarlayabilirsiniz.
Bu durumda RAS sunucu, DHCP sunucuya gidip adres ve diğer bilgileri alıp onları
istemcilere aktarır. Yani, normalde istemci bilgisayarlar DHCP sunucuya
doğrudan ulaşmazlar. Ama Win2K, Windows Me ve Win98 RAS istemcileri DHCPINFORM mesajları
yollayabiliyorlar. Bu mesajlar yardımıyla RAS istemcileri IP yapılandırma
bilgilerini bir DHCP sunucudan alabiliyorlar. Bu şekilde aldıkları bilgi RAS
istemcilerin Yönlendirme ve Uzaktan Erişim sunucusunda aldıkları bilgilerin
yerine geçiyor ya da onu genişletiyor.
Yönlendirme ve Uzaktan Erişim sunucusu istemcilerden gelen
DHCPINFORM mesajlarını DHCP sunucuya geçirir, DHCP sunucudan aldığı bilgiyi de
istemciye aktarır. Aktarılan bilgi yapılandırma bilgisini (örneğin, ek WINS ya
da DNS sunucular), bir DNS etki alanı adı ve bir varsayılan ağ geçitini içerir.
Eğer istemci, Yönlendirme ve Uzaktan Erişim sunucusundan alınan DHCP
seçeneklerinin yerine geçecek seçenekleri almışsa bunlar eski bilgileri iptal
eder. Bu özelliğin çalışabilmesi için Yönlendirme ve Uzaktan Erişim sunucusunun
bağlı olduğu LAN’lerden birinde bir DHCP sunucu bulunmalıdır. Aynı zamanda DHCP
röle desteği istediğiniz ağ arayüzlerini yönetim konsolundaki IP Routing/DHCP Relay Agent bölümüne eklemelisiniz.
(Sistem, özel bir iç arayüzü otomatik olarak ekler ve etkinleştirir.)
Win2K Tarzında VPN’ler
Yönlendirme ve Uzaktan Erişimde, VPN ile ilgili birçok yenilik var. Bir yenilik Layer 2
Tunneling Protocol (L2TP) desteği. RFC 2661’de tanımlanan L2TP, daha önceleri
firmaların kendilerine özel olarak geliştirdiği tünelleme protokollerinin
(Microsoft’un PPTP ya da Cisco’nun Layer 2 Forwarding (L2F)) devamı
niteliğindedir. Win2K’deki L2TP uygulamasında, bir VPN bağlantısı üzerinden
geçen PPP datagramlarını güvenli hale getirmek ve kriptolamak için PPTP’de
olduğu gibi Microsoft Point-to-Point Encryption (MPPE) yöntemi değil IP
Security (IPSec) kullanılır. Bu yüzden L2TP kullanmak isteyen bir RAS istemcisi
hem IPSec’i, hem de L2TP’yi desteklemelidir. Şu anda yalnızca bir işletim
sistemi-Win2K- bu özelliğe sahiptir.
Bir başka önemli yenilik VPN yönetiminin geliştirilmiş
olmasıdır. Bunun içinde, daha önce söz ettiğim Yönlendirme ve Uzaktan Erişim
Sunucusu Kurulum Yardımcısı da var. Yardımcının diğer seçenekleri gibi Virtual
private network (VPN) server (Sanal özel ağ sunucusu) seçeneğinde de VPN sunucu
yapılandırmasını tamamlamak için gereken bütün bilgiler sizden sorulacaktır. Bu
bilgilerin içinde Internete bağlı olan arayüzün belirlenmesi de var. (Bu
bağlantı bir çevirmeli bağlantı olamaz, bir
ağ kartı olmalıdır. Bu yüzden VPN sunucu yapmak istediğiniz sunucuda en
az iki ağ kartınız olmalıdır.) Yardımcı, Yönlendirme ve Uzaktan Erişim
sunucusunda otomatik olarak 128 PPTP ve 128 L2TP bağlantısı yapılandırır.
(Diğer yapılandırma seçeneklerinde 5 PPTP ve 5 L2TP portu yapılandırılır.)
Eğer bu varsayılan rakamları sonradan elle değiştirmek
isterseniz RRAS yönetim konsolunda Ports’a sağ tıklayın ve Properties’i seçin.
Bu seçimi yaptığınızda Yönlendirme ve Uzaktan Erişim sunucusunda bulunan bütün
portlar görüntülenecektir. Bunların içinde PPTP ve L2TP için WAN miniport
sürücüleri de vardır. Her protokol için tanımlı olan portların sayısını
değiştirmek ve bağlantının yönünü (yani, içeri doğru mu, dışarı doğru mu)
belirlemek için protokolü seçin, Configure (Yapılandır) seçeneğini tıklayın ve
Şekil 5’de görüldüğü gibi Configure Device (Aygıtı Yapılandır) kutusunda
istediğiniz değerleri girin.
Sanal özel ağ sunucusu seçeneği de DHCP röle ajanını yapılandırır.
Bu sayede RAS istemcileri DHCP Inform ve IGMP desteğini kullanarak IP multicast
uygulamalarını çalıştırabilirler. Bu seçenek varsayılan uzaktan erişim ilkesini
de yapılandırır ve Internete çıkan arayüzde filtreler yaratır. Bu filtreler
sayesinde Yönlendirme ve Uzaktan Erişim sunucusu yalnızca PPTP ve L2TP
bağlantılarını kabul eder, diğer tüm trafiği reddeder. Bu özellik NT 4.0’ın
PPTP filtreleme özelliğine benzer. Eğer yapılandırmanız ek trafiklere izin
verilmesini gerektiriyorsa ya da sonradan Yönlendirme ve Uzaktan Erişim
sunucusunun yapılandırmasını değiştirip başka görevleri de üstelenmesini
istiyorsanız bu filtreleri değiştirebilir ya da filtreleri kaldırabilirsiniz.
Yönlendirme ve Uzaktan Erişimin VPN özellikleri LAN ya da
çevirmeli ağ bağlantıları üzerinden VPN temelli LAN-dan-LAN’a yönlendirmeyi
desteklemektedir. (Bu yönlendirme
içinde artık PPTP’nin yanısıra L2TP de bulunmaktadır.) Şu anda VPN
temelli LAN-dan-LAN’a yönlendirmeyi
kurma süreci NT 4.0’ınkinden çok daha kolaydır. Bu özelliği
yapılandırmak için “Önceki Sayılarda Yer Alan İlişkili Makaleler” köşesine
bakınız.
İlkelerin Gücü
Yönlendirme ve Uzaktan Erişimdeki en anlamlı yeniliklerden
birisi uzaktan erişim ilkelerinin kullanımıdır. NT 4.0 altında RAS bağlantıları
için yapılandırabileceğiniz ilkeler yalnızca kullanıcıların çevirmeli
bağlantıdan gelme izinleri ile geri arama özellikleriydi. Yönlendirme ve
Uzaktan Erişimin ilkeleriyse olağanüstü esnek ve kullanıcıların ne zaman ve
nasıl RAS sunucuya bağlanabilecekleri konusunda denetiminizi arttırıyor.
Bir uzaktan erişim ilkesi bağlantı isteklerinin onaylanması
için uyulması gereken koşulları ve bağlantı ayarlarını içerir. Yönlendirme ve
Uzaktan Erişimin yönetim konsolunun
Remote Access Policies (Uzaktan Erişim İlkeleri) bölümünden ayarlanan ilkeler
aşağıdaki ölçütlere göre bağlantı için onay verirler ya da bağlantıyı
reddederler:
Kullanıcının bağlanmak istediği aygıt
tipi (örneğin, modem ya da VPN portu gibi)
Arayanı tanımlayan bilgiler (arayanın
numarası ya da aranan sistem gibi)
Haftanın günü ve günün saati
Win2K grup üyeliği
Yönlendirme ve Uzaktan Erişim ile birlikte Internet
Authentication Service (IAS)’ı kullanan ortamlarda başka bazı ölçütlere de
uyulmalıdır.
Uzaktan erişim ilkeleri, bir çevirmeli bağlantı için çok
sayıda seçeneği yapılandırmanıza izin
verir. Örneğin, maksimum izin verilen bağlantı süresini sınırlayabilir,
kullanıcı onay ve kriptolama düzeyini belirleyebilir ve çoklu (multilink)
bağlantılarda bantgenişliğini dinamik
olarak ayarlayabilirsiniz. Uzaktan erişim ilkeleri, bir bağlantı isteğine ancak
tanımlamış olduğunuz ilkelerden en az birisine uyuluyorsa onay verecektir. Eğer
bağlantı isteği hiçbir ilkeye uymuyorsa, kullanıcının çevirmeli bağlantı izni
olsun olmasın, bağlantıya izin verilmez. Uzaktan erişim ilkeleri Yönlendirme ve
Uzaktan Erişim sunucularının üzerinde ya da RADIUS temelli kullanıcı onayı için
IAS kullanmak üzere yapılandırılmış RAS sunucular durumunda, IAS sunucu
üzerinde yer alır. IAS seçeneği ilkelerin yönetimini merkezileştirdiği için çok
sayıda Yönlendirme ve Uzaktan Erişim sunucusu içeren ortamlarda IAS kullanmak
çok iyi olacaktır.
Varsayılan olarak, Yönlendirme ve Uzaktan Erişim Sunucusu
Kurulum Yardımcısı yalnızca bir ilke tanımlar. Bu ilke de, kullanıcı için
çevirmeli bağlantıya izin verilmişse
bağlantıya izin verir. Bu varsayılan ilke NT 4.0 User Manager’ından
kullanıcıya çevirmeli bağlantı izni vermekle eşdeğerdir. Ek ilkeler yaratmak
için Yönlendirme ve Uzaktan Erişim yönetim konsolunda Remote Access Policies
(Uzaktan Erişim İlkeleri) bölümüne gidin. Action menüsünden New Remote Access
Policy (Yeni Uzaktan Erişim İlkesi) şıkkını seçerek Add Remote Access Policy
Wizard’ı (Uzaktan Erişim İlkesi Ekleme Yardımcısı) başlatın. (Bu işi Remote
Access Policies’e sağ tıklayıp çıkan menüden aynı şıkkı seçerek de
yapabilirsiniz.). Uzaktan erişim ilkelerine ilişkin daha ayrıntılı bilgi için
“Önceki Sayılarda Yer Alan İlişkili Makaleler” köşesine bakınız.
RRAS: Yeni Yönetim
Yönlendirme ve Uzaktan Erişimdeki yönetim yenilikleri daha geliştirilmiş yönetim konsolu ve
yapılandırma yardımcılarıyla bitmiyor. Yönlendirme ve Uzaktan Erişim yaşamınızı
kolaylaştıracak başka yenilikleri de içeriyor. Bu türlü yeniliklerden birisi
RADIUS’tır. Bu hizmet farklı çevirmeli bağlantı donanımı içeren heterojen
ortamlarda, kullanıcı onayının, yönetimin ve hesap tutmanın
merkezileştirilmesini sağlar. Win2K hem istemci tarafındaki hem de sunucu tarafındaki RADIUS bileşenlerini
desteklemektedir. İstemci tarafındaki destek, bir Yönlendirme ve Uzaktan Erişim
sunucusunun bir RADIUS sunucuya bağlanıp kullanıcıyı onaylatması ya da hesap
bilgilerini orada tutması anlamına gelir. Yönlendirme ve Uzaktan Erişimin
RADIUS desteğinin yararlı bir özelliği kullanıcı onayı ile hesabının ayrı ayrı
tutulabilmesidir. Başka bir deyişle, kullanıcı onayı ve hesabının tutulması
için Windows ya da RADIUS’u ayrı ayrı kullanılabilirsiniz. Yani, her iki işlem
için aynı ortamı kullanmak zorunda
değilsiniz.
Microsoft, Yönlendirme ve Uzaktan Erişimin RADIUS istemci
desteğini herhangi bir RADIUS sunucu ile çalışabilecek şekilde tasarladı.
Win2K’de Microsoft’a özel bir RADIUS sunucu bulunuyor: IAS. RADIUS sunucu
olarak IAS kullanmanın önemli bir yararı bütün Yönlendirme ve Uzaktan Erişim
sunucularınız için kullandığınız uzaktan erişim ilkelerini merkezi olarak
saklayabilmeniz ve yönetebilmenizdir. Eğer heterojen bir LAN ortamını ya da bir
ISP ortamını yönetiyorsanız ve RADIUS’ı destekleyen çok çeşitli aygıtları
kullanıyorsanız ya da çevirmeli ağdan gelenler için hesap tutuyorsanız IAS’i
incelemenizde yarar var. RADIUS’ı destekleyen sunuculara tek bir oturum açma
ortamı sağlaması bakımından da RADIUS yararlı olacaktır.
Win2K, Yönlendirme ve Uzaktan Erişim sunucularının komut
satırından yönetimini de oldukça kolaylaştırmış. Win2K’in Net Shell (Netsh)
komutunu kullanarak ağla ilgili birçok bileşeni yapılandırabilir ve
yönetebilirsiniz. Netsh ve Netsh Ras komutlarını kullanarak Yönlendirme ve
Uzaktan Erişim sunucusunun hemen her türlü özelliğini yapılandırabilirsiniz.
Yapılandırılabilecek işler arasında sunucunun Active Directory (AD) içinde
yetkilendirilmesi; portların,
protokollerin ve özelliklerin yapılandırılması, eklenmesi, yönetilmesi
ve sunucunun yapılandırılma bilgisinin yedeklenmesi ve yedekten döndürülmesi de
bulunuyor. Netsh komutlarını betikler içinden çalıştırarak Yönlendirme ve
Uzaktan Erişim sunucularınızın kurulum ve yapılandırılmasını tümüyle
otomatikleştirebilirsiniz.
Netsh komutlarını birkaç şekilde verebilirsiniz. Birinci yol
komutları Netsh kabuğunda (etkileşimli ortamında) vermektir. Örneğin, bir
sunucu üzerindeki RAS IP yapılandırmasını görmek için komut satırından şu
komutu girin:
netsh
Karşınıza çıkan komut isteminde şunu girin:
Ras
Karşınıza çıkan ras komut isteminde şunu girin:
ip
Sonra ras ip komut isteminde şunu girin:
show config
Komutları girmenin ikinci yolu yukarıda tek tek girdiğiniz
komutları tek bir satırda girmektir:
netsh ras ip show config
Hangi yöntemi kullanırsanız kullanın Netsh komutlarını
çevrim içi (online) ya da çevrim dışı (offline) olarak girebilirsiniz.
Varsayılan çalışma kipi çevrim içidir. Bu kipte komutlar Netsh konsolundan
girildikçe sistem bu komutları işler.
Çevrim dışı çalışma kipinde sistem komutları bir kuyrukta bekletir ve siz
Commit (Çalıştır) komutunu girmedikçe bu komutlar işlenmez. (Çevrim dışı
çalışma sırasında girdiğiniz komutları iptalk etmek isterseniz Abort komutunu
girebilirsiniz. Microsoft bu komutu RRAS’ın yardım kısmında yanlış bir şekilde
Abort as Flush olarak gösteriyor.) Çevrim içi ve çevrim dışı kipler arasında
geçiş yapmak için Netsh komut satırı konsolunda Online ve Offline komutlarını
kullanıyorsunuz.
Netsh komutlarını girmenin üçüncü yolu bu komutları bir
betik ya da toplu iş dosyası içinden çalıştırmaktır. Örneğin, Netsh arayüzünden
birden fazla Netsh komutu içeren bir dosyayı çalıştırmak için Exce Scriptfile
komutunu verebilirsiniz. Bir başka seçenek de Netsh komut satırında –f
anahtarını kullanmaktır. (Bu seçenek için bilgi almak isterseniz Netsh -?
Komutunu kullanın.)
Bir başka yararlı Netsh komutu Dump komutudur. Bu komut,
RRAS sunucunun var olan yapılandırmasını temsil eden bir betik dosyası
yaratabilmenize olanak sağlar. Netsh’nin Dump komutunu Netsh kabuğunun değişik
düzeylerinde çalıştırabilirsiniz. Yaratılan dosyanın içeriği bulunduğunuz yere
bağlı olacaktır. Örneğin, Netsh’nin kökünde bu komutu verirseniz makinanın tüm ağ yapılandırmasını bir dosyaya
aktarabilirsiniz. Bu komutu ras komut isteminde verirseniz yalnızca ras ile
ilgili yapılandırma bilgilerini alabilirsiniz. Komut satırından vereceğiniz
komutlarla ras ve routing ile ilişkili bilgileri bir dosyaya aktarmak
isterseniz aşağıdaki komutları verebilirsiniz:
netsh ras dump > dosyaadı
netsh routing dump > dosyaadı
Yönlendirme ve Uzaktan Erişim sunucusunun
yapılandırılmasında bir değişiklik yapmadan önce her zaman Dump komutunu
vererek makinanın o andaki yapılandırma bilgilerini saklamakta yarar var. Bu şekilde,
bir sorunla karşılaştığınızda geri dönme olanağınız olacaktır.
Yönlendirme ve Uzaktan Erişim, günlük kayıtları (izleme:
tracing olarak da geçiyor) konusunda da gelişmiş özelliklere sahip. Hizmet üç
düzeyde günlük kayıtlarını destekliyor:
Olay görüntüleme- Yönlendirme ve
Uzaktan Erişime ilişkin olaylar sistem günlüğünde tutulur.
Yerel kullanıcı onayı ve hesaplarının günlük kayıtları-Eğer
Windows’u Yönlendirme ve Uzaktan Erişim sunucusunun kullanıcı onayı ve hesap
tutumu bilgisayarı olarak yapılandırmışsanız sistem bu hizmetlere ilişkin
olayları ayrı bir günlük dosyasında tutar. Bu günlük dosyaları
\%systemroot%\system32\logfiles klasöründe (örneğin, C:\winnt\system32\logfiles
klasörü), Iaslog.log dosyasında tutulur
Günlük dosyası seçeneklerini yapılandırmak için yöetim konsolundaki
Remote Access Logging seçeneğinden Local File öğesine sağ tıklayıp Properties
kısmına geçmeniz gerekiyor. Buradan hangi olayların kayıtlarının tutulacağını
ya da dosya formatının IAS 1.0 mı ODBC formatı mı olacağı gibi özellikleri
belirleyebiliyorsunuz.
RADIUS günlüğü- Kullanıcı onayı ve
hesap tutumu için bir RADIUS sunucusu kullanacak şekilde bir yapılandırmaya
gitmişseniz sistemin iki özelllik için
de günlük kayıtlarını uzaktaki bir RADIUS sunucuya kaydetmesini sağlayabiliyorsunuz.
Ek olarak, artık Yönlendirme ve Uzaktan Erişim hizmetinin
hemen her öğesi için günlük kayıtı tutulmasını GUI yönetim konsolu içinden ya
da komut satırından
etkinleştirebiliyorsunuz.
Günlük kayıtlarını yönetme için kullanabileceğimiz araçlar
NT 4.0’dakilere göre karşılaştırılamayacak kadar sezgisel. Yönlendirme ve
Uzaktan Erişimdeki her öğenin günlükyapılandırmasını öğenin Properties
kısmından yapabiliyorsunuz. Örneğin, genel Yönlendirme ve Uzaktan Erişim sunucu
olay kayıtı ve PPP olaylarının kayıtı için yönetim konsolunda Yönlendirme ve
Uzaktan Erişim sunucusunun adını sağ tıklayın ve Properties şıkkkını seçin,
şekil 6’da görülen Event Logging (Olayların Kayıtını Tutma) sekmesine gidin.
Günlük kayıtlarını komut satırından yapılandırmak için aşağıdaki komutu
kullanın:
netsh ras set tracing öğe <enabled/disabled>
Bu komuttaki öğe, günlük kayıtını yapılandıracağınız
Yönlendirme ve Uzaktan Erişim öğesidir (örneğin PPP). Bütün Yönlendirme ve
Uzaktan Erişim öğelerinin günlük kayıtlarını etkinleştirmek ya da iptal etmek
için aşağıdaki komutu girebilirsiniz:
netsh ras set tracing * <enabled/disabled>
Sistem günlüğüne kaydedilen diğer Yönlendirme ve Uzaktan
Erişim olaylarının tersine, bu öğe
düzeyindeki günlük kayıtları sunucunun \%windir%\tracing klasöründe
(örneğin, C:\winnt\tracing gibi)
saklanır. Sistem her öğe için bu klasörde ayrı bir günlük dosyası tutar.
Dosyaların adları öğelerin adlarını izler. Örneğin, PPP olaylarının kayıtları
ppp.log dosyasında tutulur.
Diğer Yeni Özellikler
Yönlendirme ve Uzaktan Erişim hoşunuza gidecek başka
özellikler de içeriyor. Bu tür özelliklerden birisi NT 4.0’daki sunucu başına
256 port sınırından kurtulmamızdır. Yönlendirme ve Uzaktan Erişimde her sunucu
hemen hemen sınırsız sayıda porta sahip olabilir. (Artık port sayısını ağ
bantgenişliği, bellek ve CPU’nun özellikleri belirlemektedir.)
Yönlendirme ve Uzaktan Erişim, çevirmeli Internet bağlantısı
ve LAN’ler arası istek üzerine bağlantısı üzerinden istenmeyen çevirmeli
bağlantıları azaltacak özellikler de içeriyor. Bu özelliklerin ilki istek
üzerine çevirme filtre özelliği. Bu özellik belli tarfik tipleri için istek
üzerine çevirmeli bağlantıların kullanılmasını engelliyor. İkincisi,
kullanıcıların çevirmeli bağlantılardan arama yapabilecekleri saatlerin
belirlenebilmesi. Zaman içinde her iki
özellik de işletmenizin çevirmeli bağlantı faturalarını azaltacaktır.
Eğer çok hatlı (multilink) RAS bağlantıları ile
ilgileniyorsanız Yönlendirme ve Uzaktan Erişimin Bandwidth Allocation Protocol
(BAP) ve Bandwidth Allocation Control Protocol (BACP) desteği ilginizi
çekecektir. Çok hatlı bağlantıları içeren donanım temelli yönlendiricilerde
genelde kullanılmakta olan bu protokoller, Win2K’in harcanan bantgenişliği ya
da geçirilen zamana bağlı olarak, hatları otomatik olarak ekleyip çıkarabilmesi
anlamına geliyor. Bantgenişliği ayırma desteğini hem sunucu, hem de istemci
üzerinde sağlamanız gerekiyor. Bunun yanısıra gerekli kuralları da Yönlendirme
ve Uzaktan Erişim yönetim konsolunun Remote Access Policies (Uzaktan Erişim
İlkeleri) bölümünden yapılandırmanız gerekir. Bir Yönlendirme ve Uzaktan Erişim
sunusucu için BAP ve BACP desteğini sunucunun Properties diyalog kutusundan
yapılandırıyorsunuz. Yönlendirme ve Uzaktan Erişim yönetim konsolunda sunucunun
adına sağ tıklayın, Properties şıkkını seçin, PPP sekmesine geçin ve “Dynamic bandwidth control using BAP or
BACP” (BAP ya da BACP’yi kullanarak dinamik bantgenişliği denetimi) şeklindeki
onay kutusunu işaretleyin.
Yönlendirme ve Uzaktan Erişim içindeki bir başka yenilik de
sunucunun çevirmeli bağlantılardan gelen istemciler için birden fazla adres havuzu tanımlayabilmesidir. (NT
4.0’da tek bir adres havuzu tanımlanabiliyordu.) RRAS, Extensible
Authentication Protocol (EAP) ve Microsoft Challenge Handshake Authentication
Protocol (MSCHAP 2.0) desteği de
sağlıyor. EAP sayesinde Yönlendirme ve Uzaktan Erişim, akıllı kartlar benzeri
cihazlar için destek sağlıyor ve Yönlendirme ve Uzaktan Erişimin kullanıcı
onayı konusunda var olan ve gelecekte
çıkacak olan yeni teknolojileri destekleyebilmesi sağlanıyor. MSCHAP 2.0, bu teknolojiyi destekleyen
istemciler için ( Win2K, Windows Me, Win98 ve DUN 1.3 güncellemesine sahip
Win95 için) daha iyi kullanıcı onayı güvenliği anlamına geliyor. Protokol
parolalar ve parola değişiklikleri konusunda daha kuvvetli kriptolama ve RAS
istemcileri ile sunucuları arasında karşılıklı onay desteği de sağlıyor. MSCHAP
1.0’da tek yönlü bir onay mekanizması vardı.
Win2K’e Geçişi Düşünmeye Başlayın
Win2K’in Yönlendirme ve Uzaktan Erişim öğesi bir çok yeni ve
önemli özellik içeriyor ve NT 4.0’ın RAS ve RRAS’ında rastlanılan yönetim
sorunlarını gideriyor. Win2K işletim sistemi ile tam bir bütünleşme, daha iyi
bir yönetim arayüzü, ilke temelli istemci izinleri ve ICS ile NAT kullanarak
sorunsuz Internet bağlantısı
özellikleri sayesinde yaşamı
kolaylaştırıyor. İşletmeniz henüz AD’ye geçmemiş olsa da NT 4.0 RAS ve
RRAS üye sunucularınızı şimdiden Win2K’ye geçirmekte yarar var.
ARA METİNLER:
Şekil 1:
Yönlendirme ve Uzaktan Erişim yönetim konsolu
Şekil 2:
Routing and Remote Access Server Setup Wizard
Şekil 3:
NAT yönlendirme protokolünü kurma
Şekil 4:
DHCP Röle Ajanını Yapılandırma
Şekil 5:
Bir VPN cihazının özelliklerini yapılandırma
Şekil 6:
PPP günlüğünü etkinleştirme
Tablo 1: ICS ve NAT Özelliklerinin Karşılaştırılması
Özellik ICS NAT
Internete bağlı bilgisayarlardaki IP adreslerini Evet Evet
LAN istemcilerine paylaştırabilme
İstemciler için DNS desteği Evet
Evet
İstemciler için WINS desteği Hayır
Evet
Sunucudaki birden fazla Internet adresini Hayır Evet
kullanabilme
İstemcilerin otomatik yapılandırılması için DHCP Hayır Evet
özelliğini kullanabilme
DHCP Allocator hizmetini yapılandırabilme Hayır Evet
PPTP desteği Hayır Evet
Ek protokoller ya da portlar için düzenleyici Hayır Evet
içerme
Çok sayıda Yönlendirme ve Uzaktan Erişim sunucusu içeren
ortamlarda IAS seçeneği çok yararlı olacaktır.
Netsh ve Netsh Ras komutlarını kullanarak Yönlendirme ve Uzaktan
Erişim sunucusunun hemen her türlü özelliğini yapılandırabilirsiniz.