DMZ’de RDP Sunucusu ve AD Entegrasyonu İçin Edge Sunucu Mimarisi
Bu mimariyi kurmak için aşağıdaki adımları takip edebilirsiniz. Yapı üç temel bileşenden oluşacak: iç ağda AD sunucusu, DMZ’de RD Session Host sunucusu ve aralarında köprü görevi gören RD Gateway sunucusu.
1. Fiziksel/Ağ Altyapısı Kurulumu
Ağ Segmentleri:
- İç Ağ (Güvenli Bölge): 192.168.1.0/24
- DMZ: 172.16.1.0/24
- İnternet/Dış Ağ: Genel IP adresi
Güvenlik Duvarı Yapılandırması:
- Dış ağdan DMZ’ye sadece port 443 (HTTPS) açık
- DMZ’den iç ağa sadece AD kimlik doğrulama portları açık:
- LDAP (389/TCP)
- LDAPS (636/TCP)
- Kerberos (88/TCP/UDP)
- DNS (53/TCP/UDP)
- NTP (123/UDP)
2. Sunucu Kurulumları
İç Ağda AD Sunucusu Kurulumu:
- Windows Server 2022 kurulumu
- Active Directory Domain Services (AD DS) rolünü yükleyin
- Yeni bir domain oluşturun (örneğin: company.local)
- DNS hizmetini yapılandırın
- RDP kullanıcıları için AD grupları oluşturun (örneğin: RDPUsers)
DMZ’de RD Session Host Sunucusu Kurulumu:
- Windows Server 2022 kurulumu
- Sunucuyu AD domainine katın (company.local)
Add-Computer -DomainName company.local -Credential (Get-Credential) - RD Session Host rolünü yükleyin:
Install-WindowsFeature RDS-RD-Server -IncludeManagementTools - Gerekli uygulamaları yükleyin (RemoteApp için kullanılacak)
RD Gateway (Edge Sunucu) Kurulumu:
- DMZ’de Windows Server 2022 kurulumu
- Sunucuyu AD domainine katın
- RD Gateway rolünü yükleyin:
Install-WindowsFeature RDS-Gateway -IncludeManagementTools - Geçerli bir SSL sertifikası edinin ve yükleyin (wildcard veya RD Gateway sunucusu için)
3. RD Gateway Yapılandırması
- RD Gateway Yönetim Konsolunu açın
- Connection Authorization Policies (CAP) oluşturun:
- RDPUsers AD grubuna üye kullanıcıların bağlanmasına izin verin
- Resource Authorization Policies (RAP) oluşturun:
- RD Session Host sunucusuna hangi kaynaklara erişilebileceğini tanımlayın
- SSL Sertifikası yapılandırmasını tamamlayın
- RD Gateway Özelliklerinde, istemci ayarlarını yapılandırın:
- Oturum zaman aşımı
- İstemci adres alanı kısıtlamaları
- Şifreleme gereksinimleri
4. RD Session Host Yapılandırması
- RemoteApp programlarını yapılandırın:
- RemoteApp Manager’ı açın
- “Publish RemoteApp Programs” ile uygulamaları ekleyin
- Kullanıcı deneyimi ayarlarını yapılandırın:
- Masaüstü teması
- Oturum sınırlamaları
- Kaynak yönlendirmeleri (yazıcı, disk, vb.)
- Grup ilkelerini ayarlayın:
- AD’den güvenlik politikalarını uygulayın
- Kullanıcı deneyimi ayarlarını yapılandırın
5. RD Web Access Kurulumu (İsteğe Bağlı)
RD Gateway sunucusuna RD Web Access rolünü ekleyerek kullanıcılara web tabanlı erişim de sağlayabilirsiniz:
- RD Web Access rolünü yükleyin:
Install-WindowsFeature RDS-Web-Access -IncludeManagementTools - RD Web sayfasını yapılandırın
- SSL sertifikasını bu web hizmeti için de kullanın
6. Kullanıcı Erişimi Kurulumu
RDP İstemcilerini Yapılandırma:
- RD Gateway sunucusu için bir .rdp dosyası oluşturun:
full address:s:rdsessionhost.company.localalternate full address:s:rdsessionhost.company.localgatewayhostname:s:rdgateway.company.comgatewayusagemethod:i:1gatewayprofileusagemethod:i:1gatewayauthentication method:i:1 - Bu dosyayı kullanıcılara dağıtın veya grup ilkeleri ile otomatik yapılandırın
7. Güvenlik ve Test
- Tüm sunucularda Windows güncelleştirmelerini yapın
- Antivirus yazılımı yükleyin ve yapılandırın
- İç ağdan bağlantıları test edin
- Dış ağdan bağlantıları test edin
- Kaynak kullanımını izleyin ve gerekirse performans ayarlamaları yapın
Kullanıcı Deneyimi
Tüm bu kurulum tamamlandığında, kullanıcılar:
- RD Gateway’e HTTPS üzerinden bağlanacak (443 portu)
- AD kimlik bilgileriyle kimlik doğrulaması yapacak
- RD Gateway sunucusu iletişimi iç ağdaki AD ile doğrulayacak
- Doğrulama başarılı olursa, RDP trafiği DMZ’deki RD Session Host’a yönlendirilecek
- Kullanıcı RemoteApp uygulamalarına veya tam masaüstüne erişebilecek
Bu mimari, güvenliği üst düzeyde tutarken AD entegrasyonunun avantajlarından yararlanmanıza olanak tanır.
