Server
0

Windows Server Üzerinde Network Policy Server (NPS) Kurulumu ve Temel Yapılandırması

Windows Server Üzerinde Network Policy Server (NPS) Kurulumu ve Temel Yapılandırması

Network Policy Server (NPS), Microsoft’un RADIUS (Remote Authentication Dial-In User Service) sunucusu uygulamasıdır. NPS, merkezi bir noktadan ağ erişim kimlik doğrulama, yetkilendirme ve muhasebe (AAA – Authentication, Authorization, Accounting) hizmetlerini sunarak ağ güvenliğini önemli ölçüde artırır.

Bu rehber, bir Active Directory (AD) ortamında NPS rolünün nasıl kurulacağını ve bir RADIUS istemcisi (örneğin bir Access Point veya Switch) ile temel iletişimin nasıl yapılandırılacağını açıklamaktadır.

(Not: NPS sunucusu, Active Directory Domain Services (AD DS) üyesi olmalıdır.)

Bölüm 1: NPS Rolünün Kurulumu

NPS, Windows Server’da Network Policy and Access Services (NPAS) rolü altında yer alır.

Rol Ekleme Sihirbazını Başlatma

  1. Server Manager Konsolunu açın.
  2. Manage (Yönet) menüsünden Add Roles and Features (Rol ve Özellik Ekle) seçeneğine tıklayın.
  3. Installation Type (Kurulum Türü) ve Server Selection (Sunucu Seçimi) ekranlarını ilerleyerek geçin.

NPS Rolünü Seçme

  1. Server Roles (Sunucu Rolleri) listesinde Network Policy and Access Services (NPAS) rolünü bulun ve işaretleyin.
  2. Açılan pencerede bu rol için gerekli yönetim araçlarının eklenmesini onaylayın (Add Features).
  3. Next ile ilerleyin ve Features (Özellikler) ekranında ek seçim yapmadan devam edin.
  4. Confirmation (Onay) ekranında Install (Kur) butonuna tıklayarak rolün yüklenmesini başlatın.

Bölüm 2: NPS’in Active Directory’ye Kaydedilmesi

NPS’in, AD üzerindeki kullanıcı ve grup bilgilerini sorgulayabilmesi için etki alanına kayıt olması (register) ve gerekli izinleri alması gerekir.

NPS Konsolunu Başlatma

  1. Kurulum tamamlandıktan sonra, Server Manager‘dan Tools (Araçlar) menüsüne gidin ve Network Policy Server konsolunu açın.
  2. NPS konsolunda (NPS Local) üzerine sağ tıklayın veya orta paneldeki Standard Configuration bölümünden Register server in Active Directory bağlantısını tıklayın.
  3. Açılan pencerede OK diyerek sunucunun RAS and IAS Servers grubuna eklenmesini onaylayın.
    • Alternatif Yöntem: Bu işlemi bir komut isteminde (Command Prompt – CMD) yönetici olarak çalıştırarak da yapabilirsiniz: netsh nps register

Bölüm 3: RADIUS İstemcisinin (Client) Tanımlanması

NPS, bir RADIUS sunucusudur. Ağ erişim cihazları (Access Point, Switch vb.) kimlik doğrulama taleplerini NPS’e gönderir. Bu cihazlara RADIUS İstemcisi denir. Bu istemcilerin NPS üzerinde tanımlanması gerekir.

Yeni RADIUS İstemcisi Ekleme

  1. NPS konsolunda, sol menüden RADIUS Clients and Servers bölümünü genişletin.
  2. RADIUS Clients üzerine sağ tıklayın ve New (Yeni) seçeneğini seçin.

İstemci Ayarları:

  • Friendly Name (Tanımlayıcı İsim): Cihazı tanımlayacak bir isim girin (Örn: AP-Merkez-Kat1).
  • Address (IP veya DNS): RADIUS isteğini gönderecek cihazın (AP/Switch) Statik IP adresini girin.
  • Shared Secret (Paylaşımlı Gizli Anahtar): Güvenli bir parola belirleyin. Bu parola, RADIUS istemcisi cihazın kendi ayarlarında (AP/Switch) tanımlayacağınız parola ile kesinlikle aynı olmalıdır.

Bağlantı İsteği İlkesi (Connection Request Policy)

Bu kısım genellikle varsayılan ayarlarda bırakılır, ancak gelen isteklerin nasıl işleneceğini kontrol eder.

  • Sol menüden Connection Request Policies sekmesini kontrol edin.
  • Varsayılan ilkenin (genellikle Use Windows authentication for all users) geçerli olduğunu ve tüm istekleri yerel olarak (NPS üzerinde) işlediğini doğrulayın.

Bölüm 4: Ağ İlkesinin (Network Policy) Oluşturulması

Bu, kimlerin, ne zaman ve hangi koşullarda ağa erişeceğini belirleyen ana güvenlik katmanıdır.

Yeni Ağ İlkesi Oluşturma

  1. NPS konsolunda, sol menüden Policies (İlkeler) bölümünü genişletin.
  2. Network Policies üzerine sağ tıklayın ve New (Yeni) seçeneğini seçin.

İlke Yapılandırması:

  • Specify Network Connection Method (Ağ Bağlantı Yöntemini Belirleme): Bu ilkenin hangi erişim senaryosu için geçerli olduğunu seçin (Örn: Unspecified veya kablosuz kimlik doğrulama için özel bir tip).
  • Specify Conditions (Koşulları Belirleme): Bu ilkenin uygulanacağı koşulları tanımlayın. En yaygın kullanılanlar:
    • User Groups: Hangi AD gruplarındaki kullanıcıların erişime sahip olacağını belirleyin (Örn: Domain Users veya özel bir WiFi-Erisim grubu).
    • Client IPv4 Address: İsteğin hangi RADIUS İstemcisi IP’sinden geldiğini kontrol etmek için eklenebilir.
  • Specify Access Permission (Erişim İzinlerini Belirleme): Koşullar sağlandığında erişime izin verilip verilmeyeceğini seçin:
    • Access granted (Erişime izin verilir): Koşullar uygunsa ağ erişimi sağlanır.
  • Configure Authentication Methods (Kimlik Doğrulama Yöntemlerini Yapılandırma):
    • Genellikle kablosuz (802.1X) için PEAP (Protected Extensible Authentication Protocol) ve alt yöntem olarak MS-CHAP v2 kullanılır. Gerekli sertifika ayarlarını burada yapmanız gerekebilir.

İlkeyi Sonlandırma

  • Gelen diğer ekranları ihtiyacınıza göre ayarlayın (Örn: Kısıtlamalar veya Şifreleme ayarları).
  • Sihirbazı tamamlayın ve yeni oluşturduğunuz ağ ilkesinin etkin (Enabled) olduğundan emin olun. Ağdaki erişim kontrolü artık bu ilke tarafından yönetilecektir.

Bu adımlar, Windows Server NPS rolünün kuruluşunu ve temel RADIUS hizmeti için yapılandırılmasını kapsar. Ağ erişim cihazlarınızın (AP/Switch) RADIUS ayarlarını da bu NPS sunucusuna yönlendirdiğinizde, merkezi kimlik doğrulama sistemi devreye girmiş olacaktır.

Etiketler :

Bu yazıya ait etiket bulunamadı.

Bir Yorum Yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer Yazılar