Kimlik Doğrulama Akışı
- Uzak Masaüstü Ağ Geçidi sunucusu, Uzak Masaüstü oturumu gibi bir kaynağa bağlanmak için uzak masaüstü kullanıcısından bir kimlik doğrulama isteği alır. RADIUS istemcisi görevi gören Uzak Masaüstü Ağ Geçidi sunucusu, isteği RADIUS Erişim İsteği mesajına dönüştürür ve mesajı NPS uzantısının yüklü olduğu RADIUS (NPS) sunucusuna gönderir.
- Kullanıcı adı ve şifre kombinasyonu Active Directory’de doğrulanır ve kullanıcının kimliği doğrulanır.
- NPS Bağlantı İsteğinde ve Ağ İlkelerinde belirtilen tüm koşullar karşılanırsa (örneğin, günün saati veya grup üyeliği kısıtlamaları), NPS uzantısı, Azure MFA ile ikincil kimlik doğrulama isteğini tetikler.
- Azure MFA, Azure AD ile iletişim kurar, kullanıcının ayrıntılarını alır ve desteklenen yöntemleri kullanarak ikincil kimlik doğrulamayı gerçekleştirir.
- MFA mücadelesinin başarısı üzerine Azure MFA, sonucu NPS uzantısına iletir.
- Uzantının yüklü olduğu NPS sunucusu, Uzak Masaüstü Ağ Geçidi sunucusuna RD CAP ilkesi için bir RADIUS Erişim-Kabul mesajı gönderir.
- Kullanıcıya, RD Ağ Geçidi aracılığıyla istenen ağ kaynağına erişim izni verilir.
Önkoşullar
- Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) altyapısı
- Azure MFA Lisansı
- Windows Sunucu yazılımı
- Ağ İlkesi ve Erişim Hizmetleri (NPS) rolü
- Azure Active Directory, şirket içi Active Directory ile senkronize edildi
- Azure Active Directory GUID Kimliği
Ağ İlkesi ve Erişim Hizmetleri (NPS) rolü
NPS rol hizmeti, RADIUS sunucusu ve istemci işlevselliğinin yanı sıra Ağ Erişim Politikası sağlık hizmetini de sağlar. Bu rolün altyapınızdaki en az iki bilgisayara yüklenmesi gerekir: Uzak Masaüstü Ağ Geçidi ve başka bir üye sunucu veya etki alanı denetleyicisi. Varsayılan olarak rol, Uzak Masaüstü Ağ Geçidi olarak yapılandırılan bilgisayarda zaten mevcuttur. NPS rolünü en azından etki alanı denetleyicisi veya üye sunucu gibi başka bir bilgisayara da yüklemelisiniz. NPS rol hizmetini Windows Server 2012 veya daha eski sürümlere yükleme hakkında bilgi için bkz. NAP Sistem Durumu İlkesi Sunucusu Yükleme . NPS’yi bir etki alanı denetleyicisine yükleme önerisi de dahil olmak üzere, NPS’ye yönelik en iyi uygulamaların açıklaması için bkz. NPS için En İyi Uygulamalar .
- NPS rolünü barındırmak için sanal makine oluşturma gerekir.
- NPS rol kurulumu.
- Azure yüklemesi için NPS uzantısı .
NPS Uzantı sunucusu için NPS Rolünü yükleyin
Sonraki adımlar yeni sunucunuza NPS rolünü yükleyecektir:
- Sunucu Yöneticisi’ni açın ve Yönet’e tıklayın , ardından Rol ve Özellik Ekle’ye tıklayın.
- Başlamadan önce sayfasında , öğesine tıklayın.
- Kurulum Türünü Seçin sayfasında Rol/Özellik Tabanlı Kurulum’a ve ardından
- Hedef sunucuyu seç sayfasında , Sunucu havuzundan bir sunucu seçin seçeneğine tıklayın , NPS’yi yüklemek istediğiniz yeni sunucunun adına tıklayın ve ardından İleri’ye tıklayın .
- Sunucu Rollerini Seçin sayfasında , Ağ İlkesi ve Erişim Hizmetleri’ne tıklayın ve ardından üç kez İleri’ye tıklayın . Rol hizmetlerini seçin sayfasında , Ağ İlkesi Sunucusu’na tıklayın ve Rol ve Özellik Ekleme Sihirbazı iletişim kutusunda, Yönetim araçlarını dahil et (varsa) seçeneğinin belirlendiğini doğrulayın , Özellik Ekle’ye tıklayın ve ardından İleri’ye tıklayın .
- Özellikleri seçin sayfasında , .NET Framework 3.5 Özellikleri’ne ve ardından İleri’ye tıklayın .
- Yükleme seçimlerini onayla sayfasında Yükle’yi tıklayın .
Kurulumun tamamlanması birkaç dakika sürecektir. Kurulum Sonuçları sayfasında kurulumun başarılı olduğunu doğrulayın ve ardından Kapat öğesine tıklayın .
NPS uzantısının yapılandırmasının bir parçası olarak Azure AD kiracınız için yönetici kimlik bilgilerini ve Azure AD kimliğini sağlamanız gerekir. Aşağıdaki adımlar kiracı kimliğini nasıl alacağınızı gösterir:
Azure AD kimliğini alın
- Azure kiracısının genel yöneticisi olarak Azure portalında ( https://portal.azure.com ) oturum açın.
- Sol gezinme bölümünde Azure Active Directory’yi seçin
- Özellikler’i seçin .
- Özellikler dikey penceresinde, Dizin Kimliğinin yanında, kimliği panoya kopyalamak için aşağıda gösterildiği gibi Kopyala simgesine tıklayın.
NPS uzantısını yükleyin
- NPS uzantısını bu web sitesinden indirin .
- Kurulum yürütülebilir dosyasını NPS sunucusuna kopyalayın.
- NPS sunucusunda yürütülebilir dosyaya çift tıklayın. İstenirse Çalıştır’ı tıklayın .
- Azure MFA için NPS Uzantısı iletişim kutusunda, yazılım lisans koşullarını gözden geçirin, lisans hüküm ve koşullarını kabul ediyorum seçeneğini işaretleyin ve Yükle’ye tıklayın .
- Azure MFA için NPS Uzantısı iletişim kutusunda Kapat’a tıklayın .Bu adımda, güvenli iletişim sağlamak için NPS uzantısına yönelik sertifikaları yapılandırmanız gerekir. NPS bileşenleri, NPS ile kullanılmak üzere otomatik olarak imzalanan bir sertifikayı yapılandıran bir Windows PowerShell betiği içerir.Bu komut dosyası aşağıdaki eylemleri gerçekleştirir:
NPS uzantısıyla kullanılacak sertifikaları yapılandırma
- Kendinden imzalı bir sertifika oluşturur
- Sertifikanın ortak anahtarını Azure AD’deki hizmet sorumlusuyla ilişkilendirir
- Sertifikayı yerel makine deposunda saklar
- Ağ kullanıcısına sertifikanın özel anahtarına erişim izni verir
- Ağ İlkesi Sunucusu hizmetini yeniden başlatır
Betiği kullanmak için uzantıya Azure AD Yönetici kimlik bilgilerinizi ve daha önce kopyaladığınız Azure AD kiracı kimliğini sağlayın. Betiği, NPS uzantısını yüklediğiniz her NPS sunucusunda çalıştırın. Daha sonra aşağıdakileri yapın:
- Yönetimsel bir Windows PowerShell istemi açın.
- cd ‘c:\Program Files\Microsoft\AzureMfa\Config’ komutunu yürütün .
- .\AzureMfaNpsExtnConfigSetup.ps1 komutunu yürütün . betik, Azure Active Directory modülünün yüklü olup olmadığını kontrol eder, yüklü değilse betik, modülü sizin için yükler.
- Betik, PowerShell modülünün kurulumunu doğruladıktan sonra Azure Active Directory PowerShell modülü iletişim kutusunu görüntüler. İletişim kutusunda, Azure AD yönetici kimlik bilgilerinizi ve parolanızı girin ve Oturum Aç’a tıklayın .
- İstendiğinde, daha önce kopyaladığınız kiracı kimliğini panoya yapıştırın ve Enter tuşuna basın .
- Komut dosyası, kendinden imzalı bir sertifika oluşturur ve NPS’nin bu bölümünü yapılandırır. Çıktı aşağıda gösterilen resme benzer olmalıdır.
RD Ağ Geçidi Sunucusunu Yükleme
Sonraki adımlar yeni sunucunuza NPS rolünü yükleyecektir:
- Sunucu Yöneticisi’ni açın ve Yönet’e tıklayın , ardından Rol ve Özellik Ekle’ye tıklayın.
- Başlamadan önce sayfasında , öğesine tıklayın.
- Kurulum Türünü Seçin sayfasında Rol/Özellik Tabanlı Kurulum’a ve ardından
- Hedef sunucuyu seç sayfasında , Sunucu havuzundan bir sunucu seçin seçeneğine tıklayın , NPS’yi yüklemek istediğiniz yeni sunucunun adına tıklayın ve ardından İleri’ye tıklayın .
- Sunucu Rollerini Seçin sayfasında , Uzak Masaüstü Hizmetleri’ne ve ardından İleri’ye tıklayın .
- Yükleme seçimlerini onayla sayfasında Yükle’yi tıklayın .
- Kurulumun tamamlanması birkaç dakika sürecektir. Kurulum Sonuçları sayfasında kurulumun başarılı olduğunu doğrulayın ve ardından Kapat öğesine tıklayın .
RD Ağ Geçidi sunucusunda NPS bileşenlerini yapılandırma
RDS ortamınızda çalışan bir NPS sunucunuz olduğunda, RD Ağ Geçidi bağlantı yetkilendirme ilkelerini NPS sunucusuyla çalışacak şekilde yapılandırmanız gerekir. Kimlik doğrulama akışı, RD Ağ Geçidi ile NPS sunucusu arasında RADIUS mesajlarının alınıp verilmesini gerektirir. Bu, RADIUS istemci ayarlarının hem RD Ağ Geçidi hem de NPS sunucusunda yapılandırılması gerektiği anlamına gelir.Uzak Masaüstü bağlantı yetkilendirme ilkeleri (RD CAP’ler), RD Ağ Geçidi sunucusuna bağlanma gereksinimlerini belirtir. Varsayılan olarak RD CAP’ler yerel olarak depolanır ve MFA bunların NPS çalıştıran merkezi bir RD CAP deposunda saklanmasını gerektirir. Merkezi mağaza kullanımını yapılandırmak için aşağıdaki adımları izleyin.
- RD Ağ Geçidi bağlantı yetkilendirme ilkelerini merkezi bir depo kullanacak şekilde yapılandırma
- RD Ağ Geçidi sunucusunda Sunucu Yöneticisi’ni açın .
- Menüde Araçlar’a tıklayın, Uzak Masaüstü Hizmetleri’nin üzerine gelin ve ardından Uzak Masaüstü Ağ Geçidi Yöneticisi’ne tıklayın .
- RD Ağ Geçidi Yöneticisi’nde, [Sunucu Adı] (Yerel) öğesine sağ tıklayın ve Özellikler öğesine tıklayın .
- Özellikler iletişim kutusunda RD CAP Deposu’nu seçin
- RD CAP Deposu sekmesinde , NPS çalıştıran Merkezi Sunucu’yu seçin .
- NPS çalıştıran sunucu için bir ad veya IP adresi girin alanına , NPS sunucusunun IP adresini veya Tam Nitelikli Etki Alanı Adını (FQDN) yazın. Ekle’yi tıklayın .
- Paylaşılan Sır iletişim kutusunda , paylaşılan bir sır girin ve ardından Tamam’a tıklayın . Bu paylaşılan sırrı kaydettiğinizden ve kaydı güvenli bir şekilde sakladığınızdan emin olun.
- RD Ağ Geçidi Özellikleri iletişim kutusunu kapatmak için Tamam’a tıklayın NPS uzantısıyla NPS sunucusuyla iletişim kurmasına izin vermek için RD Ağ Geçidi sunucusunda bir NPS istemcisi tanımlamanız gerekir.
- RD Ağ Geçidi NPS’de RADIUS istemcisini yapılandırma
- RD Ağ Geçidi sunucusunda, Sunucu Yöneticisi’nde Araçlar’a ve ardından Ağ İlkesi Sunucusu’na tıklayın . NPS (Yerel) konsolunda , RADIUS İstemcileri ve Sunucuları öğesini genişletin , RADIUS İstemcileri öğesine sağ tıklayın ve ardından Yeni öğesine tıklayın .
- RADIUS Sunucusu Ekle iletişim kutusunda , RD Ağ Geçidi sunucusunun FQDN’sini yazın ve Doğrula… seçeneğine tıklayın . Sunucu adının doğru olduğundan emin olun ve Tamam’ı tıklayın .
- Yeni eklenen RADIUS sunucusunu seçin ve ardından Düzenle’yi tıklayın .
- Yük Dengeleme sekmesinde , İsteğin bırakıldığı kabul edilmeden önce yanıt verilmeyen saniye sayısı ve Sunucunun kullanılamaz olarak tanımlandığı istekler arasındaki saniye sayısı alanlarında , varsayılan değeri 3’ten 60 saniyeye eşit veya daha büyük bir değere değiştirin. RD Ağ Geçidi sunucusunda RADIUS zaman aşımını yapılandırırken daha önce ayarladığınız değerlerin aynısını kullandığınızdan emin olun.
- Tamam’ı tıklayın .
Bağlantı isteği ilkeleri oluşturma
Tıpkı RD Ağ Geçidi sunucusunda olduğu gibi, RD Ağ Geçidi sunucusuna/sunucusundan mesajlaşma alışverişini yönetmek için ilkeler tanımlamanız gerekir.
- “RD Ağ Geçidinden” bağlantı isteği ilkesi oluşturma
- NPS sunucusunda, NPS (Yerel) konsolunda, İlkeler’i genişletin , Bağlantı İsteği İlkeleri’ne sağ tıklayın ve Yeni’yi seçin .
- Ağ erişim sunucusu türü kutusunda Uzak Masaüstü Ağ Geçidi seçeneğini seçin . Daha sonra İleri’ye tıklayın .
- Koşullar iletişim kutusunda Ekle… öğesine tıklayın , İstemci Kolay Adı öğesini seçin . Daha sonra Ekle’yi tıklayın .
- İstemci Kolay Adı iletişim kutusunda , daha önce NPS sunucusunda RADIUS İstemcisini tanımlarken kullandığınız kolay adın aynısını yazın. İletişim kutusunu kapatmak için Tamam’a tıklayın ve ardından İleri’ye tıklayın .
Kimlik Doğrulama ayarlarında , bu sunucudaki Kimlik Doğrulama isteklerinin varsayılan değerini bıraktığınızdan emin olun . Daha sonra İleri’ye tıklayın .
- Kimlik Doğrulama ayarlarında , bu sunucudaki Kimlik Doğrulama isteklerinin varsayılan değerini bıraktığınızdan emin olun . Daha sonra İleri’ye tıklayın .
- Diğer tüm ayarları varsayılan değerlerinde bırakmak için iki kez daha İleri’ye tıklayın . Son olarak politikayı oluşturmak için Son’a tıklayın .
- Politika ayrıntılarının aşağıdaki resimdeki gibi göründüğünden emin olun:
- “RD Ağ Geçidine” bağlantı isteği ilkesi oluşturma
- NPS sunucusunda, NPS (Yerel) konsolunda, İlkeler’i genişletin , Bağlantı İsteği İlkeleri’ne sağ tıklayın ve Yeni’yi seçin .
- İlke adı alanına RD Ağ Geçidine yazın .
- Ağ erişim sunucusu türü kutusunda Uzak Masaüstü Ağ Geçidi seçeneğini seçin . Daha sonra İleri’ye tıklayın .
- Koşullar iletişim kutusunda Ekle… öğesine tıklayın , aşağıya doğru kaydırın ve NAS Bağlantı Noktası Türü öğesini seçin . Daha sonra Ekle’yi tıklayın .
- NAS Bağlantı Noktası Türü iletişim kutusunda Sanal (VPN) seçeneğini işaretleyin . Tamam’ı ve ardından İleri’yi tıklayın .
- Kimlik doğrulama ayarlarında İsteği aşağıdaki uzak RADIUS sunucu grubu kimlik doğrulamasına ilet seçeneğini seçin ve listeden mevcut RADIUS sunucu grubunu seçin.
- Hesaplama ayarlarında , Hesaplama isteklerini bu uzak RADIUS sunucu grubuna ilet seçeneğini işaretleyin ve listeden mevcut RADIUS sunucu grubunu seçin. Daha sonra İleri’ye tıklayın .
- Diğer ayarları varsayılan değerlerinde bırakmak için İleri’ye tıklayın . Son olarak politikayı oluşturmak için Son’a tıklayın .
- Politika ayrıntılarının aşağıdaki resimdeki gibi göründüğünden emin olun:
- İki yeni politikayı ekledikten sonra politikaların durumunun ve işlenme sırasının doğru olduğundan emin olmanız gerekir. Politika listeniz aşağıdaki resimdeki gibi görünmelidir:MFA uzantılı NPS sunucusu, RD CAP’ler için merkezi ilke deposu olarak belirlendiğinden, geçerli bağlantı isteklerini yetkilendirmek için NPS sunucusunda yeni bir ilke uygulamanız gerekir.
Ağ Politikasını Yapılandır
- NPS sunucusunda, NPS (Yerel) konsolunda İlkeler öğesini genişletin ve Ağ İlkeleri öğesine tıklayın .
- Diğer erişim sunucularına bağlantı öğesine sağ tıklayın ve İlkeyi çoğalt öğesine tıklayın .
- Bağlantıların diğer erişim sunucularına kopyalanması öğesine sağ tıklayın ve Özellikler öğesine tıklayın .
- Bağlantıların diğer erişim sunucularına kopyalanması Özellikler iletişim kutusunda, İlke Adı alanına RDG_CAP gibi uygun bir ad girin . İlke Etkin seçeneğini işaretleyin ve Erişim ver seçeneğini seçin . Ayrıca, Ağ erişimi türü alanında Uzak Masaüstü Ağ Geçidi seçeneğini seçin .
- Kısıtlamalar sekmesine tıklayın ve İstemcilerin bir kimlik doğrulama yöntemi üzerinde anlaşmadan bağlanmasına izin ver seçeneğini işaretleyin .
- İsteğe bağlı olarak, Koşullar sekmesine tıklayın ve bağlantının yetkilendirilmesi için karşılanması gereken koşulları (örneğin, belirli bir Windows grubuna üyelik) ekleyin.
- Tamam’ı tıklayın . İlgili Yardım konusunu görüntülemeniz istendiğinde Hayır’ı tıklayın .
- Yeni politikanızın listenin en üstünde olduğundan, politikanın etkinleştirildiğinden ve erişim izni verdiğinden emin olun.Yapılandırmayı doğrulamak için RD ağ geçidi sunucusu aracılığıyla RD dağıtımınıza bağlanmanız gerekir. RD CAP’inizin izin verdiği bir hesap kullandığınızdan emin olun.
- Mevcut kaynaklardan herhangi birini açın. Kimlik bilgilerinizi girmenizi isteyebilir.
- Erişim izni verildikten sonra uzak masaüstü bağlantısı devam etmelidir.
Donanım Gereksinimleri
Fiziksel/Sanal Sunucular:
Sunucu | Yazılım | Hafıza | İşlemciÇekirdekler(1) | Yerel Diskler | Harici Depolama Erişimi | Ağ Kartları | Saymak |
NPS Sunucusu rolü | Windows 2016 Standardı | 8 GB | 4 çekirdek x64 | 100GB | HAYIR | 1 | 2 |
Uzak Masaüstü Ağ Geçidi sunucusu | Windows 2016 Standardı | 8 GB | 4 çekirdek x64 | 100GB | HAYIR | 1 | 2 |
Referanslar
Aşağıdaki makaleler bu tasarım belgesinde kullanılan referanslardır:
Etiketler: Azure Active Directory , Azure AD , Azure MFA , EMS , MFA , Microsoft 365 , Mobilite ve Güvenlik , NPS , NPS Uzantısı , RD Ağ Geçidi , RDG , Uzak Masaüstü Ağ Geçidi