Yazı dizimize kaldığımız yerden devam ediyoruz.
Artık Edge sunucu kurulumumuza başlayabiliriz.
1- Öncelikle, Edge kurulacak sunucuya Tablo 1’de desteklenen işletim sistemlerinden birini kurunuz. Ben Windows Server 2003 R2-SP2-X64 kullandım. Kurulumdan sonra tüm güncel sürücüleri yükleyiniz. Edge sunucunuzda iki adet ethernet kartı olmalıdır. Bunlardan içe bakacak olan bacağa Private, dışa bakacak olan bacağa Public adı verin. Private'ın bir adet internal, Public'in ise üç adet Public (NAT'lı yada Real) Ip adresi olmalıdır. Bu ip adreslerinin ne olacağını, önceki makalemde anlatmıştım. Önemli Nokta: Default Gateway'i, kesinlikle Public bacağa verin.
2- OCS 2007 R2 kurulum medyasını takınız. Mevcut Front-End kurulumunuz Standard Edition ise, D:\setup\amd altında deployse.exe’yi tıklayınız. Enterprise Edition ise, deployee.exe tıklayınız. Bizim örneklerimiz, Standard Edition ile verilmiştir.
3- Deploy Other Server Roles tıklayınız.
4- Install Files for Edge Server kısmında, Install’a tıklayınız.
5- Install Location kısmında, uygun yeri seçerek OK tıklayınız.
6- Activate Edge Server kısmında Run’ı tıklayınız.
7- Next ile ilerleyiniz.
8- RTCProxyService hesabı için şifre belirleyiniz. Diğer tüm hizmet hesapları gibi, bu hesap da ‘password never expires’ özeliğine sahip olmalıdır. Bu hesap, lokal bir hesaptır.
9- Next ile ilerleyiniz.
10- İşlem bir süre sonra tamamlanacaktır. Bununla ilgili bir bilgi verilecektir.
11- Gördüğünüz gibi, işlemin tamamlandığı ancak bazı uyarılar olduğu belirtilmiş. Next’e tıklayınca, bu durumla ilgili bir rapor sunulacaktır.
12- Gördüğünüz gibi, aslında işlem başarı ile sonuçlandı. "Warning" bulunduğu ifadesi, bizim için önemli değil. Aslında kurulum programı, setup sırasında bazı bileşenler aktif edilmediği için uyarı veriyor ancak önemli bir durum yok, herşey yolunda. Devam edebiliriz.
13- Run ile bir sonraki adımdan devam ediyoruz.
14- Next ile ilerliyoruz.
15- Aşağıdaki ekranda, Edge Sunucumuzun internal arabiriminin ait olduğu IP adresini yazıyoruz. FQDN kısmında ise, Edge sunucumuzun FQDN adresini yazıyoruz. Edge sunucumuz her ne kadar Domain’e ait olmasa da, yine de FQDN adresi olarak “adı + iç domain adı” olarak düşünebiliriz. Bu adıma geçmeden önce, internal arabiriminize iç ağ ile uyumlu 1 adet, external arabiriminize de dış ağ ile uyumlu 3 adet IP adresi verdiğinizden emin olunuz. Bunları sağladıysanız, bilgileri aşağıdaki ekranlarda verildiği gibi ancak elbette kendi organizasyonunuza uygun olacak şekilde giriniz.
(Aşağıdaki adreslerin, External DNS'te açtığımız adresler ile aynı olduğuna dikkat ediniz)
16- Bu ekranda, istediğiniz özellikleri açınız. Edge sunucu kurduğumuza göre, en azından User Access Settings kısmındaki ayarları seçmek isteyeceksiniz.
17- Aşağıdaki ekranda, “next hop server”ı belirtiyoruz. Bu sunucu, tipik olarak bizim Front-End sunucumuzdur. Böylece Edge sunucuya gelen iletişimin, Front-End sunucuya yönlendirilmesi gerektiğini söylüyoruz. (Tabiki kurulum bittikten sonra aynı işlemi Front-End sunucuda da yapacağız ki, o da kendisine içeriden gelen ve internet’e yönlendirilmesi gereken tüm mesajları Edge sunucuya yönlendirebilsin.)
18- Bu ekranda, kurumunuzda desteklenen SIP domain’leri gireceğiz.
19- Bu ekranda, bize bağlanmaya yetkili internal sunucuları belirtiyoruz. Listede, aşağıdaki gibi Front End sunucunuz yer almalıdır.
20- Next’e ve Finish’e tıklayarak bu adımı da tamamlıyoruz.
21- Artık aşağıdaki gibi bir ekrana sahip olmalıyız.
22- Bir sonraki adım, sertifikaların alınması ve gerekli işlemlerininin yapılmasını içeriyor. Bu işlemin gerçekleşmesi için, iç ağınızda CA (Certification Authority) yani sertifika sunucu bulunmalıdır. Bu sunucu Enterprise CA olursa rahat edersiniz. Ayrıca, makine sertifikaları alabilmek için admin yetkilerine sahip olmanız gerekebilir.
Edge sunucumuz için iki tür sertifika sunucuya ihtiyacımız var. Internal arabirimin sertifikaları için, internal CA’den sertifika almalısınız. External arabirimi için ise, 2 seçeneğe sahipsiniz. Internette yeralan ve kendi kök sertifikası her türlü istemcide yeralan tanınmış bir sertifika sağlayıcıdan sertifika alabilirsiniz. Yerli üreticiler de artık bu listede yer alıyor, bu yüzden önce onları örnek veriyorum:
TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcı
TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcı
e-Guven Kok Elektronik Sertifika Hizmet Sağlayıcısı
Verisign
GlobalSign
GoDaddy
Digicert
Vb...
Edge sunucumuz için external seritikayı bu sertifika yayıncılardan alırsak, istemci tarafında fazladan iş yapmamıza gerek kalmaz. İstemci, edge sunucuya bağlanırken edge’in kendi sertifikasını aldığı yayımcının, kendi “güvenilen kök CA sunucular” listesinde olduğunu görür ve bağlantıya izin verir. Ancak bu opsiyon maliyetlidir. CA sunucudan en az 3 adet sertifika almak gerekir. (2 adet edge sunucu için, 1 adet Reverse Proxy için)
Diğer seçenek ise Edge (ve Reverse Proxy) için sertifikaları yine Internal sunucudan almaktır. Bu işlem, maliyetsizdir ancak istemci tarafında (istemci sayısına bağlı olarak) çokca iş çıkarabilir. Eğer bütçeniz varsa, External bir yayıncıdan sertifika almanızı tavsiye ederim. Yoksa, kendi CA sunucunuzu kullanabilirsiniz ancak biraz uğraşmayı göze almalısınız.
İç ağdaki DC isimli domain kontrolcüsü makinemde, aynı zamanda CA hizmeti de yüklü durumda. Buraya web sayfası ile bağlanıyorum. Nedeni ise, işlem yaptığımız Edge sunucunun, domain üyesi olmaması. Bu yüzden, bu CA sunucuya güvenmeyecektir. Güvenmesini sağlamamız gerekiyor. İşlemleri, aşağıdaki gibi yapalım.
Download a CA certificate.. i seçiniz.
,Download a CA Cerificate... seçiniz. Kaydettiğiniz yerde çift tıklayarak çalıştırınız.
Install Certificate... tıklayınız.
Alttaki seçeneği seçerek, Trusted Root Certification Authorities seçiniz.
Finish tıklayınız.
Yes'e tıklayınız.
Şu anda Edge sunucumuz, DC isimli CA sunucuya güveniyor ancak tam olarak bizim istediğimiz gibi değil. Biraz önce yaptıpımız işlemle, DC'nin sertifikasını kullanıcı sertifikası olarak güvenilir bölgeye kaydettik. Bunun, makine sertifikası olarak güvenilir olması gerekiyor.,
Aşağıdaki şekilde, Start>Run>mmc yazarak MMC konsolunu açınız.
Aşağıdaki ekrana geliniz. Certificates kısmında Add butonuna tıklayınız. Çıkan seçeneklerden, önce "user account" seçiniz ve Finish'e tıklayınız. Bu işlem, ekrana bir adet snap-in ekleyecektir. Deminki (Add) işlemi tekrarlayınız. Bu sefer, çıkan ekranda sırasıyla "Computer Account > Local Computer" seçiniz. Artık ekranda, iki adet mmc snap-in bulunacaktır.
Artık aşağıdaki ekranı görüyor olmalıyız. Sırasıyla, "Console Root > Certificates - Current User > Trusted Root Certification Authorities > Certificates" seçiniz. Aşağıdaki ekranla karşılaşacaksınız. Ve biraz once import ettiğiniz CA sunucunuz, burada gözüküyor olacak. Bizimkisinin adı "dcroot". Sizinkinin adı farklı olabilir. Sağ tıklayıp "Copy" ile kopyalıyoruz.
Şimdi de, sırasıyla "Console Root > Certificates - (Local Computer) > Trusted Root Certification Authorities > Certificates" tıklıyoruz. Certificates klasörüne sağ tıklayıp, "paste" ile sertifikayı yapıştırıyoruz. Böylece "dcroot" CA sunucusu, bilgisayar hesabı gerektiren işlemlerde de güvenilen bir CA sunucu haline geldi.
Yazımızın kalanına, üçüncü bölümde devam edelim :)
Görüşmek üzere.
Yasin
.jpg)
0 yorum:
Yorum Gönder