Işık hızında küresel içerik dağıtım ağına bağlanın ve web varlığınızı güçlendirin

Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma

Kimlik Doğrulama Akışı

  1. Uzak Masaüstü Ağ Geçidi sunucusu, Uzak Masaüstü oturumu gibi bir kaynağa bağlanmak için uzak masaüstü kullanıcısından bir kimlik doğrulama isteği alır. RADIUS istemcisi görevi gören Uzak Masaüstü Ağ Geçidi sunucusu, isteği RADIUS Erişim İsteği mesajına dönüştürür ve mesajı NPS uzantısının yüklü olduğu RADIUS (NPS) sunucusuna gönderir.
  2. Kullanıcı adı ve şifre kombinasyonu Active Directory’de doğrulanır ve kullanıcının kimliği doğrulanır.
  3. NPS Bağlantı İsteğinde ve Ağ İlkelerinde belirtilen tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı, Azure MFA ile ikincil kimlik doğrulama isteğini tetikler.
  4. Azure MFA, Azure AD ile iletişim kurar, kullanıcının ayrıntılarını alır ve desteklenen yöntemleri kullanarak ikincil kimlik doğrulamayı gerçekleştirir.
  5. MFA mücadelesinin başarısı üzerine Azure MFA, sonucu NPS uzantısına iletir.
  6. Uzantının yüklü olduğu NPS sunucusu, Uzak Masaüstü Ağ Geçidi sunucusuna RD CAP ilkesi için bir RADIUS Erişim-Kabul mesajı gönderir.
  7. Kullanıcıya, RD Ağ Geçidi aracılığıyla istenen ağ kaynağına erişim izni verilir.

Önkoşullar

  • Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) altyapısı
  • Azure MFA Lisansı
  • Windows Sunucu yazılımı
  • Ağ İlkesi ve Erişim Hizmetleri (NPS) rolü
  • Azure Active Directory, şirket içi Active Directory ile senkronize edildi
  • Azure Active Directory GUID Kimliği

Ağ İlkesi ve Erişim Hizmetleri (NPS) rolü

NPS rol hizmeti, RADIUS sunucusu ve istemci işlevselliğinin yanı sıra Ağ Erişim Politikası sağlık hizmetini de sağlar. Bu rolün altyapınızdaki en az iki bilgisayara yüklenmesi gerekir: Uzak Masaüstü Ağ Geçidi ve başka bir üye sunucu veya etki alanı denetleyicisi. Varsayılan olarak rol, Uzak Masaüstü Ağ Geçidi olarak yapılandırılan bilgisayarda zaten mevcuttur. NPS rolünü en azından etki alanı denetleyicisi veya üye sunucu gibi başka bir bilgisayara da yüklemelisiniz. NPS rol hizmetini Windows Server 2012 veya daha eski sürümlere yükleme hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme . NPS’yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere, NPS’ye yönelik en iyi uygulamaların açıklaması için bkz. NPS için En İyi Uygulamalar .

  1.  NPS rolünü barındırmak için sanal makine oluşturma gerekir.
  2. NPS rol kurulumu.
  3. Azure yüklemesi için NPS uzantısı .

NPS Uzantı sunucusu için NPS Rolünü yükleyin

Sonraki adımlar yeni sunucunuza NPS rolünü yükleyecektir:

  1. Sunucu  Yöneticisi’ni açın  ve  Yönet’e tıklayın , ardından  Rol ve Özellik Ekle’ye tıklayın.
  2. Başlamadan önce sayfasında   , öğesine tıklayın.
  3. Kurulum Türünü Seçin sayfasında  Rol/Özellik Tabanlı Kurulum’a  ve   ardından
  4. Hedef sunucuyu seç sayfasında   ,  Sunucu havuzundan bir sunucu seçin seçeneğine tıklayın , NPS’yi yüklemek istediğiniz yeni sunucunun adına tıklayın ve ardından  İleri’ye tıklayın .
  5. Sunucu Rollerini Seçin sayfasında   ,  Ağ İlkesi ve Erişim Hizmetleri’ne tıklayın ve ardından  üç kez İleri’ye tıklayın  . Rol hizmetlerini seçin sayfasında   ,  Ağ İlkesi Sunucusu’na tıklayın ve  Rol ve Özellik Ekleme Sihirbazı iletişim kutusunda, Yönetim araçlarını dahil et (varsa)  seçeneğinin belirlendiğini   doğrulayın  , Özellik Ekle’ye tıklayın ve ardından  İleri’ye tıklayın .
  1. Özellikleri seçin sayfasında   ,  .NET Framework 3.5 Özellikleri’ne ve ardından  İleri’ye tıklayın .
  2. Yükleme seçimlerini onayla sayfasında  Yükle’yi  tıklayın  .

Kurulumun tamamlanması birkaç dakika sürecektir. Kurulum Sonuçları sayfasında   kurulumun başarılı olduğunu doğrulayın ve ardından  Kapat öğesine tıklayın .

NPS uzantısının yapılandırmasının bir parçası olarak Azure AD kiracınız için yönetici kimlik bilgilerini ve Azure AD kimliğini sağlamanız gerekir. Aşağıdaki adımlar kiracı kimliğini nasıl alacağınızı gösterir:

Azure AD kimliğini alın

  1. Azure kiracısının genel yöneticisi olarak Azure portalında ( https://portal.azure.com ) oturum açın.
  2. Sol gezinme bölümünde  Azure Active Directory’yi seçin
  3. Özellikler’i seçin  .
  4. Özellikler dikey penceresinde, Dizin Kimliğinin yanında,   kimliği panoya kopyalamak için aşağıda gösterildiği gibi Kopyala simgesine tıklayın.

NPS uzantısını yükleyin

  1. NPS uzantısını bu web sitesinden indirin .
  2. Kurulum yürütülebilir dosyasını NPS sunucusuna kopyalayın.
  3. NPS sunucusunda yürütülebilir dosyaya çift tıklayın. İstenirse  Çalıştır’ı tıklayın .
  4. Azure MFA için NPS Uzantısı iletişim kutusunda, yazılım lisans koşullarını gözden geçirin,  lisans hüküm ve koşullarını kabul ediyorum seçeneğini işaretleyin ve  Yükle’ye tıklayın .
  5. Azure MFA için NPS Uzantısı iletişim kutusunda  Kapat’a tıklayın .Bu adımda, güvenli iletişim sağlamak için NPS uzantısına yönelik sertifikaları yapılandırmanız gerekir. NPS bileşenleri, NPS ile kullanılmak üzere otomatik olarak imzalanan bir sertifikayı yapılandıran bir Windows PowerShell betiği içerir.Bu komut dosyası aşağıdaki eylemleri gerçekleştirir:

NPS uzantısıyla kullanılacak sertifikaları yapılandırma

  • Kendinden imzalı bir sertifika oluşturur
  • Sertifikanın ortak anahtarını Azure AD’deki hizmet sorumlusuyla ilişkilendirir
  • Sertifikayı yerel makine deposunda saklar
  • Ağ kullanıcısına sertifikanın özel anahtarına erişim izni verir
  • Ağ İlkesi Sunucusu hizmetini yeniden başlatır

Betiği kullanmak için uzantıya Azure AD Yönetici kimlik bilgilerinizi ve daha önce kopyaladığınız Azure AD kiracı kimliğini sağlayın. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın. Daha sonra aşağıdakileri yapın:

  1. Yönetimsel bir Windows PowerShell istemi açın.
  2. cd ‘c:\Program Files\Microsoft\AzureMfa\Config’ komutunu yürütün  .
  3. .\AzureMfaNpsExtnConfigSetup.ps1 komutunu yürütün  . betik, Azure Active Directory modülünün yüklü olup olmadığını kontrol eder, yüklü değilse betik, modülü sizin için yükler.
  4. Betik, PowerShell modülünün kurulumunu doğruladıktan sonra Azure Active Directory PowerShell modülü iletişim kutusunu görüntüler. İletişim kutusunda, Azure AD yönetici kimlik bilgilerinizi ve parolanızı girin ve  Oturum Aç’a tıklayın .
  5. İstendiğinde, daha önce kopyaladığınız kiracı kimliğini panoya yapıştırın ve  Enter tuşuna basın .
  6. Komut dosyası, kendinden imzalı bir sertifika oluşturur ve NPS’nin bu bölümünü yapılandırır. Çıktı aşağıda gösterilen resme benzer olmalıdır.

RD Ağ Geçidi Sunucusunu Yükleme

Sonraki adımlar yeni sunucunuza NPS rolünü yükleyecektir:

  1. Sunucu  Yöneticisi’ni açın  ve  Yönet’e tıklayın , ardından  Rol ve Özellik Ekle’ye tıklayın.
  2. Başlamadan önce sayfasında   , öğesine tıklayın.
  3. Kurulum Türünü Seçin sayfasında  Rol/Özellik Tabanlı Kurulum’a  ve   ardından
  4. Hedef sunucuyu seç sayfasında   ,  Sunucu havuzundan bir sunucu seçin seçeneğine tıklayın , NPS’yi yüklemek istediğiniz yeni sunucunun adına tıklayın ve ardından  İleri’ye tıklayın .
  5. Sunucu Rollerini Seçin sayfasında   ,  Uzak Masaüstü Hizmetleri’ne ve ardından  İleri’ye tıklayın .

  1. Yükleme seçimlerini onayla sayfasında  Yükle’yi  tıklayın  .
  2. Kurulumun tamamlanması birkaç dakika sürecektir. Kurulum Sonuçları sayfasında   kurulumun başarılı olduğunu doğrulayın ve ardından  Kapat öğesine tıklayın .

RD Ağ Geçidi sunucusunda NPS bileşenlerini yapılandırma

RDS ortamınızda çalışan bir NPS sunucunuz olduğunda, RD Ağ Geçidi bağlantı yetkilendirme ilkelerini NPS sunucusuyla çalışacak şekilde yapılandırmanız gerekir. Kimlik doğrulama akışı, RD Ağ Geçidi ile NPS sunucusu arasında RADIUS mesajlarının alınıp verilmesini gerektirir. Bu, RADIUS istemci ayarlarının hem RD Ağ Geçidi hem de NPS sunucusunda yapılandırılması gerektiği anlamına gelir.Uzak Masaüstü bağlantı yetkilendirme ilkeleri (RD CAP’ler), RD Ağ Geçidi sunucusuna bağlanma gereksinimlerini belirtir. Varsayılan olarak RD CAP’ler yerel olarak depolanır ve MFA bunların NPS çalıştıran merkezi bir RD CAP deposunda saklanmasını gerektirir. Merkezi mağaza kullanımını yapılandırmak için aşağıdaki adımları izleyin.

  1. RD Ağ Geçidi bağlantı yetkilendirme ilkelerini merkezi bir depo kullanacak şekilde yapılandırma
  2. RD Ağ Geçidi sunucusunda Sunucu Yöneticisi’ni açın  .
  3. Menüde  Araçlar’a tıklayın, Uzak Masaüstü Hizmetleri’nin üzerine gelin  ve ardından  Uzak Masaüstü Ağ Geçidi Yöneticisi’ne tıklayın .
  1. RD Ağ Geçidi Yöneticisi’nde,  [Sunucu Adı] (Yerel) öğesine sağ tıklayın ve  Özellikler öğesine tıklayın .
  1. Özellikler iletişim kutusunda  RD CAP Deposu’nu  seçin 
  2. RD CAP Deposu sekmesinde   ,  NPS çalıştıran Merkezi Sunucu’yu seçin .
  3. NPS çalıştıran sunucu için bir ad veya IP adresi girin alanına   , NPS sunucusunun IP adresini veya Tam Nitelikli Etki Alanı Adını (FQDN) yazın. Ekle’yi tıklayın  .
  1. Paylaşılan Sır iletişim kutusunda   , paylaşılan bir sır girin ve ardından  Tamam’a tıklayın . Bu paylaşılan sırrı kaydettiğinizden ve kaydı güvenli bir şekilde sakladığınızdan emin olun.
  2. RD Ağ Geçidi Özellikleri  iletişim kutusunu  kapatmak için  Tamam’a tıklayın NPS uzantısıyla NPS sunucusuyla iletişim kurmasına izin vermek için RD Ağ Geçidi sunucusunda bir NPS istemcisi tanımlamanız gerekir.
    1. RD Ağ Geçidi NPS’de RADIUS istemcisini yapılandırma
  3. RD Ağ Geçidi sunucusunda,  Sunucu Yöneticisi’nde Araçlar’a ve ardından  Ağ İlkesi Sunucusu’na tıklayın  . NPS (Yerel) konsolunda  , RADIUS İstemcileri ve Sunucuları öğesini  genişletin  , RADIUS İstemcileri öğesine sağ tıklayın  ve ardından  Yeni öğesine tıklayın .
  4. RADIUS Sunucusu Ekle iletişim kutusunda   , RD Ağ Geçidi sunucusunun FQDN’sini yazın ve  Doğrula… seçeneğine tıklayın . Sunucu adının doğru olduğundan emin olun ve  Tamam’ı tıklayın .
  1. Yeni eklenen RADIUS sunucusunu seçin ve ardından  Düzenle’yi tıklayın .
  2. Yük Dengeleme sekmesinde   ,  İsteğin bırakıldığı kabul edilmeden önce yanıt verilmeyen saniye sayısı  ve  Sunucunun kullanılamaz olarak tanımlandığı istekler arasındaki saniye sayısı alanlarında  , varsayılan değeri 3’ten 60 saniyeye eşit veya daha büyük bir değere değiştirin. RD Ağ Geçidi sunucusunda RADIUS zaman aşımını yapılandırırken daha önce ayarladığınız değerlerin aynısını kullandığınızdan emin olun.
  3. Tamam’ı tıklayın  .

Bağlantı isteği ilkeleri oluşturma

Tıpkı RD Ağ Geçidi sunucusunda olduğu gibi, RD Ağ Geçidi sunucusuna/sunucusundan mesajlaşma alışverişini yönetmek için ilkeler tanımlamanız gerekir.

  1. “RD Ağ Geçidinden” bağlantı isteği ilkesi oluşturma
  2. NPS sunucusunda,  NPS (Yerel) konsolunda, İlkeler’i  genişletin  , Bağlantı İsteği İlkeleri’ne sağ tıklayın  ve  Yeni’yi seçin .
  1. Ağ erişim sunucusu türü kutusunda  Uzak Masaüstü Ağ Geçidi  seçeneğini seçin  . Daha sonra İleri’ye tıklayın  .
  2. Koşullar  iletişim kutusunda Ekle… öğesine tıklayın  ,  İstemci Kolay  Adı öğesini seçin . Daha sonra Ekle’yi tıklayın  .
  3. İstemci Kolay Adı iletişim kutusunda   , daha önce NPS sunucusunda RADIUS İstemcisini tanımlarken kullandığınız kolay adın aynısını yazın.  İletişim kutusunu kapatmak için  Tamam’a tıklayın  ve ardından İleri’ye tıklayın .

Kimlik Doğrulama ayarlarında  , bu sunucudaki Kimlik Doğrulama isteklerinin  varsayılan değerini bıraktığınızdan emin olun  . Daha sonra İleri’ye tıklayın  .

  1. Kimlik Doğrulama ayarlarında  , bu sunucudaki Kimlik Doğrulama isteklerinin  varsayılan değerini bıraktığınızdan emin olun  . Daha sonra İleri’ye tıklayın  .Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  2.  Diğer tüm ayarları varsayılan değerlerinde bırakmak için iki kez daha İleri’ye tıklayın  .  Son olarak politikayı oluşturmak için Son’a tıklayın  .
  3. Politika ayrıntılarının aşağıdaki resimdeki gibi göründüğünden emin olun:
  4. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
    1. “RD Ağ Geçidine” bağlantı isteği ilkesi oluşturma
  5. NPS sunucusunda,  NPS (Yerel) konsolunda, İlkeler’i  genişletin  , Bağlantı İsteği İlkeleri’ne sağ tıklayın  ve  Yeni’yi seçin .
  6. İlke adı alanına  RD Ağ Geçidine  yazın  .Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  7. Ağ erişim sunucusu türü kutusunda  Uzak Masaüstü Ağ Geçidi  seçeneğini seçin  . Daha sonra İleri’ye tıklayın  .
  8. Koşullar  iletişim kutusunda Ekle… öğesine tıklayın  ,  aşağıya doğru kaydırın ve  NAS Bağlantı Noktası Türü öğesini seçin . Daha sonra Ekle’yi tıklayın  .
  9. NAS Bağlantı Noktası Türü iletişim kutusunda  Sanal (VPN)  seçeneğini işaretleyin  . Tamam’ı ve ardından  İleri’yi tıklayın  .Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım KorumaAzure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım KorumaAzure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  10. Kimlik doğrulama ayarlarında  İsteği aşağıdaki uzak RADIUS sunucu grubu kimlik doğrulamasına ilet  seçeneğini seçin  ve listeden mevcut RADIUS sunucu grubunu seçin.Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  11. Hesaplama ayarlarında  , Hesaplama isteklerini bu uzak RADIUS sunucu grubuna ilet  seçeneğini işaretleyin  ve listeden mevcut RADIUS sunucu grubunu seçin. Daha sonra İleri’ye tıklayın  .Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  12.  Diğer ayarları varsayılan değerlerinde bırakmak için İleri’ye tıklayın  .  Son olarak politikayı oluşturmak için Son’a tıklayın  .Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  13. Politika ayrıntılarının aşağıdaki resimdeki gibi göründüğünden emin olun:
  14. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Korumaİki yeni politikayı ekledikten sonra politikaların durumunun ve işlenme sırasının doğru olduğundan emin olmanız gerekir. Politika listeniz aşağıdaki resimdeki gibi görünmelidir:Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım KorumaMFA uzantılı NPS sunucusu, RD CAP’ler için merkezi ilke deposu olarak belirlendiğinden, geçerli bağlantı isteklerini yetkilendirmek için NPS sunucusunda yeni bir ilke uygulamanız gerekir.

Ağ Politikasını Yapılandır

  1. NPS sunucusunda,  NPS (Yerel) konsolunda İlkeler öğesini  genişletin  ve  Ağ İlkeleri öğesine tıklayın .
  2. Diğer erişim sunucularına bağlantı öğesine sağ tıklayın  ve  İlkeyi çoğalt öğesine tıklayın .
  3. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  4. Bağlantıların diğer erişim sunucularına kopyalanması öğesine sağ tıklayın   ve  Özellikler öğesine tıklayın .
  5. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  6. Bağlantıların diğer erişim sunucularına kopyalanması Özellikler  iletişim  kutusunda,  İlke Adı alanına RDG_CAP gibi uygun bir ad girin  . İlke Etkin seçeneğini işaretleyin  ve  Erişim ver seçeneğini seçin . Ayrıca,  Ağ erişimi türü alanında Uzak Masaüstü Ağ Geçidi seçeneğini seçin  .
  7. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  8. Kısıtlamalar  sekmesine tıklayın  ve  İstemcilerin bir kimlik doğrulama yöntemi üzerinde anlaşmadan bağlanmasına izin ver seçeneğini işaretleyin .
  9. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  10. İsteğe bağlı olarak,  Koşullar  sekmesine tıklayın ve bağlantının yetkilendirilmesi için karşılanması gereken koşulları (örneğin, belirli bir Windows grubuna üyelik) ekleyin.Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım KorumaAzure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  11. Tamam’ı tıklayın  . İlgili Yardım konusunu görüntülemeniz istendiğinde  Hayır’ı tıklayın .
  12. Yeni politikanızın listenin en üstünde olduğundan, politikanın etkinleştirildiğinden ve erişim izni verdiğinden emin olun.Yapılandırmayı doğrulamak için RD ağ geçidi sunucusu aracılığıyla RD dağıtımınıza bağlanmanız gerekir. RD CAP’inizin izin verdiği bir hesap kullandığınızdan emin olun.Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  13. Mevcut kaynaklardan herhangi birini açın. Kimlik bilgilerinizi girmenizi isteyebilir.
  14. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma
  15. Erişim izni verildikten sonra uzak masaüstü bağlantısı devam etmelidir.
  16. Azure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım KorumaAzure MFA ve NPS Uzantısıyla RD Ağ Geçidini Adım Adım Koruma

Donanım Gereksinimleri

Fiziksel/Sanal Sunucular:

SunucuYazılımHafızaİşlemciÇekirdekler(1)Yerel DisklerHarici Depolama ErişimiAğ KartlarıSaymak
NPS Sunucusu rolüWindows 2016 Standardı8 GB4 çekirdek x64100GBHAYIR12
Uzak Masaüstü Ağ Geçidi sunucusuWindows 2016 Standardı8 GB4 çekirdek x64100GBHAYIR12

Referanslar

Aşağıdaki makaleler bu tasarım belgesinde kullanılan referanslardır:

BaşlıkReferans
Azure Aktif Dizinihttps://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis
Özel Alan Adıhttps://docs.microsoft.com/en-us/azure/active-directory/fundamentals/add-custom-domain
Ağ İlkesi Sunucusu (NPS) uzantısını ve Azure AD’yi kullanarak Uzak Masaüstü Ağ Geçidi altyapınızı tümleştirinhttps://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg
Uzak Masaüstü Hizmetleri – Çok Faktörlü Kimlik Doğrulamahttps://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-plan-mfa
RD Web ve Ağ Geçidi web cephesine yüksek kullanılabilirlik ekleyinhttps://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-rdweb-gateway-ha
Uzak Masaüstü Hizmetleri – Yüksek kullanılabilirlikhttps://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-plan-high-availability
Mevcut NPS altyapınızı Azure Multi-Factor Authentication ile tümleştirinhttps://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension

Etiketler: Azure Active Directory , Azure AD , Azure MFA , EMS , MFA , Microsoft 365 , Mobilite ve Güvenlik , NPS , NPS Uzantısı , RD Ağ Geçidi , RDG , Uzak Masaüstü Ağ Geçidi

Kategoriler
ShentaWp Ayar
Duyuru: Web sitemiz aktif edilmiştir

Hemen kapsamlı hizmetlerimizi inceleyin!