Makale numaras�: 816514 - Son G�zden Ge�irme: 03 Aral�k 2007 Pazartesi - G�zden ge�irme: 6.4

Nas�l yap�l�r: Windows Server 2003'te �psec t�nel yap�land�rma

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Sistem �pucuBu makale, kulland��n�zdan farkl� bir i�letim sistemine y�neliktir. Sizinle ilgili olmayabilecek makale i�eri�i devre d�� b�rak�ld�.

Bu makalenin Microsoft Windows 2000 s�r�m� i�in bkz: 252735� (http://support.microsoft.com/kb/252735/EN-US/ ) .

�ste

Internet ileti�im kural� (IP) paketlerini �ifreleyebilir ve iste�e ba�l� olarak bunlar� �ifrelemek i�in IP g�venli�i (�psec) t�nel modunda kullanabilirsiniz. Windows Server 2003'te (bazen "yaln�zca �psec t�neli" denir), �psec t�nel modu kullan�larak temel nedeni Microsoft d�� y�nlendiricileri veya desteklemeyen a� ge�itleri birlikte �al��abilirlik 2 T�nel Protokol� (L2TP) katman / �psec veya PPTP sanal �zel a� (VPN) t�nel olu�turma teknolojisi kullan�l�r.

back to the top

�ste

Windows Server 2003, hem t�nel biti� noktalar�, statik IP adresleri oldu�u durumlar i�in �psec t�neli destekler. Bu a� ge�idi a� ge�idine uygulamalar�nda kullan��l�d�r. Ancak, bu da bir a� ge�idi veya y�nlendirici ve sunucu aras�nda �zel bir a� g�venlik senaryolar� i�in �al��mayabilir. (I� yolu, d�� istemcilere hizmetleri sa�layan bir i� sunucuya bir �psec T�nel olu�turarak g�venlik alt�na alan bir i� Windows Server 2003 tabanl� bir bilgisayarda, d�� arabirimden trafi�i y�nlendirir, �rne�in, bir Windows Server 2003 y�nlendiricisi).

Istemci uzaktan eri�im VPN a�a��daki �nternet Engineering Task Force (IETF) �psec istekleri (RFC'ler), �u anda �nternet anahtar de�i�imi (IKE) bir <a0>Uzaktan eri�im ��z�m� sa�lad�� i�in kullanmak i�in Windows Server 2003 �psec t�nelinin desteklenmiyor ge�idine istemci ba�lant�lar� i�in ileti�im kural�. Cisco, Microsoft ve di�erleri taraf�ndan istemci uzaktan eri�im VPN ba�lant�lar� sa�lamak i�in IETF RFC 2661 katman iki t�nel ileti�im kural� "L2TP", �zel olarak geli�tirilmi�tir. Windows Server 2003'te, istemci uzaktan eri�im VPN ba�lant�lar�, �psec ta��ma modu kullanan otomatik olarak olu�turulan bir �psec ilkesi kullan�larak korunan (modu t�nel de�il) L2TP t�nelin t�r� ne zaman se�ilir.

Windows Server 2003 �psec t�nelinin de �zel ileti�im kural� ve ba�lant� noktas�na �zg� t�nelleri desteklemez. �psec ilkesi Microsoft Y�netim Konsolu'nu (MMC) ek bile�eni, �ok genel, herhangi bir t�r filtre bir t�nel ile ili�kilendirmek sa�lar, ancak, T�nel kural� i�in bir s�zge� belirtimi, adres bilgilerini kulland��n�zdan emin olun.

�psec ve IKE protokolleri nas�l �al��t�� hakk�nda daha fazla bilgi i�in bkz: Windows Server 2003 Resource Kit.

�psec yap�land�rma bu makalede, Windows Server 2003 �al��an bir a� ge�idi olan t�nel. �psec t�neli yaln�zca belirtilen trafi�i g�venlik alt�na al�r, ��nk�, yap�land�rma, bu da d��nda t�nelin al�nan veya iletilen trafi�i engellemek i�in Y�nlendirme ve Uzaktan Eri�im hizmeti s�zge�lerini yap�land�rmak makalede �psec filtre uygular. Bu makalede, yap�land�rma ad�mlar� kolayla�t�rmak i�in a�a��daki senaryoyu kullan�r:

Bu tabloyu kapaBu tabloyu a�

NetA-CVE-2006-
WIN2003intIP-CVE-2006-

-Windows Server 2003 a� ge�idini-
-WIN2003extIP-

-�nternet-

Microsoft - olmayan - a� ge�idi-CVE-2006-
-3rdExtIP-

-NetB
-3rdIntIP

NetAWindows Server 2003 a� ge�idi i� a�da a� kimli�idir.

WIN2003intIPWindows Server 2003 a� ge�idi i� a� ba�da�t�r�c�s�na atanan IP adresidir.

WIN2003extIPWindows Server 2003 a� ge�idi d�� a� ba�da�t�r�c�s�na atanan IP adresidir.

3rdExtIPMicrosoft'a ait olmayan bir a� ge�idi d�� a� ba�da�t�r�c�s�na atanan IP adresidir.

3rdIntIPMicrosoft'a ait olmayan bir a� ge�idi i� a� ba�da�t�r�c�s�na atanan IP adresidir.

NetBMicrosoft'a ait olmayan bir a� ge�idi i� a�da a� kimli�idir.

Windows Server 2003 a� ge�idini ve Microsoft'a ait olmayan a� ge�idi i�in NetBNetA trafi�i yeniden y�nlendirilmesi veya; bu nedenle trafi�i g�venli bir oturum �zerinden y�nlendirilir NetB gelen trafik i�in NetA y�nlendirilmesi gerekir, bir �psec t�neli olu�turmak i�in amac� i�indir.

�psec ilkesi yap�land�rmak istiyorsan�z, iki s�zge� olu�turmal�s�n�z: NetANetB (t�nelin 1) i�in gelen, giden paketleri e�le�tirmek i�in bir s�zge� ve NetBNetA (t�nelin 2) i�in gelen, giden paketleri e�le�tirmek i�in bir s�zge�. T�nelin nas�l g�venlik alt�na belirtmek i�in bir s�zme eylemi i�in yap�land�rman�z gerekir (olu�turulan iki kural i�in bir t�nel bir kuralla g�sterilir).

back to the top

�ste

Ipsec ilkesi olu�turma

Yerel bir �psec ilkesi olu�turulur; b�ylece tipik olarak, Windows Server 2003 �al��an bir a� ge�idi, bir etki alan�n�n �yesi de�il. Bu, Windows Server 2003 a� ge�idi, etki alan� �yeleri i�in varsay�lan olarak uygulanan �psec ilkesine sahip bir etki alan�n�n �yesi ise, yerel bir �psec ilkesi sahip'den Windows Server 2003 a� ge�idi engeller. Bu durumda, Active Directory'de kurulu� birimi olu�turmak, Windows Server 2003 a� ge�idi, bu kurulu� biriminin �ye olun ve atayabilirsiniz �psec ilkesi Grup ilke nesnesine (GPO), kurulu� birimi. Daha fazla bilgi i�in �evrimi�i Yard�m, Windows Server 2003'�n "olu�turma, de�i�tirme ve �psec ilkeleri atama" b�l�m�ne bak�n.

Ba�lat ' � t�klat�n, �al��t�r ' � t�klat�n ve sonra IP g�venlik ilkesi Y�netimi ek bile�enini ba�latmak i�in secpol.msc yaz�n.
Yerel bilgisayardaki IP g�venlik ilkeleri ' ni sa� t�klat�n ve IP g�venlik ilkesi olu�tur</a1>'� t�klat�n.
Ileri ' yi t�klat�n ve sonra ilkenizde (�rne�in, Ipsec t�nel ile olmayan-Microsoft Gateway) i�in bir ad yaz�n. Ileri ' yi t�klat�n.

Not Bilgi yer <a1>A��klama</a1> kutusuna da yazabilirsiniz.
Varsay�lan yan�t kural�n� etkinle�tir</a0> onay kutusunu temizlemek �zere t�klat�n ve sonra ileri ' yi t�klat�n.
Son (D�zenle onay kutusunu se�ili b�rak�n) t�klat�n.

Not �psec ilkesini, IKE varsay�lan ayarlarla olu�turulur ana mod. Ipsec T�nel iki kural olu�ur. Her kural i�in bir t�nel biti� noktas� belirtir. Iki t�nel biti� noktas� i�in iki kural vard�r. Her kural�n s�zge�leri, bu kural t�nel biti� noktas� i�in g�nderilen IP paketlerinin kaynak ve hedef IP adreslerini g�stermelidir.

back to the top

�ste

Bir s�zge� listesi i�in NetB NetA olu�turma

Yeni ilke �zelliklerinde <a0>Ekleme Sihirbaz�n� Kullan</a0> onay kutusunu temizlemek i�in t�klat�n ve sonra yeni bir kural olu�turmak i�in Ekle ' yi t�klat�n.
IP s�zge� listesi</a0> sekmesini t�klat�n ve sonra Ekle ' yi t�klat�n.
S�zge� listesi i�in uygun bir ad yaz�n <a0>Ekleme Sihirbaz�n� Kullan</a0> onay kutusunu temizlemek i�in t�klat�n ve sonra Ekle ' yi t�klat�n.
Kaynak adres kutusuna Belirli BIR IP alt a�� ' n� t�klat�n ve sonra NetA i�in IP adresi ve alt a� maskesi yaz�n.
Hedef adres kutusuna Belirli BIR IP alt a�� ' n� t�klat�n ve sonra NetB i�in IP adresi ve alt a� maskesi yaz�n.
Yans�mal�</a0> onay kutusunu t�klat�p temizleyin.
Protokol� sekmesini ileti�im kural�'n� yaz�nherhangi biri i�in ayarland��ndan emin olun �psec t�nel olu�turur, ��nk� t�klat�n, protokole �zg� veya ba�lant� noktas�na �zg� s�zge�ler desteklenmez.
Filtre i�in bir a��klama girmek, A��klama sekmesini t�klat�n. S�zgeci, s�zge� listesi i�in kulland��n�z ayn� ad� vermek i�in genelde iyi bir fikirdir. S�zge� ad�, t�nel etkin oldu�unda �psec izleyicisi g�r�nt�lenir.
Tamam ' � t�klat�n.

back to the top

�ste

Bir s�zge� listesi i�in NetA NetB olu�turma

IP s�zge� listesi</a0> sekmesini t�klat�n ve sonra Ekle ' yi t�klat�n.
S�zge� listesi i�in uygun bir ad yaz�n <a0>Ekleme Sihirbaz�n� Kullan</a0> onay kutusunu temizlemek i�in t�klat�n ve sonra Ekle ' yi t�klat�n.
Kaynak adres kutusuna Belirli BIR IP alt a�� ' n� t�klat�n ve sonra NetB i�in IP adresi ve alt a� maskesi yaz�n.
Hedef adres kutusuna Belirli BIR IP alt a�� ' n� t�klat�n ve sonra NetA i�in IP adresi ve alt a� maskesi yaz�n.
Yans�mal�</a0> onay kutusunu t�klat�p temizleyin.
Filtre i�in bir a��klama girmek, A��klama sekmesini t�klat�n.
Tamam ' � t�klat�n.

back to the top

�ste

Bir kural i�in bir NetA ve NetB t�neli yap�land�rma

IP s�zge� listesi</a0> sekmesini t�klat�n ve sonra olu�turdu�unuz bir s�zge� listesi se�mek i�in t�klat�n.
T�nel Ayarlar�</a0> sekmesini t�klat�n, T�nel biti� noktas� bu IP adresi taraf�ndan belirtilen kutusunu t�klat�n ve sonra 3rdextip (burada 3rdextip Microsoft'a ait olmayan bir a� ge�idi d�� a� ba�da�t�r�c�s�na atanan IP adresidir) yaz�n.
Ba�lant� t�r�</a0> sekmesini t�klat�n, t�m a� ba�lant�lar� ' n� t�klat�n (veya WIN2003extIP PPP, ISDN veya do�rudan ba�lant� seri bir ba�lant� de�ilse, yerel a� (LAN)'i t�klat�n).
S�zme eylemi</a0> sekmesini t�klat�n <a0>Ekleme Sihirbaz�n� Kullan</a0> onay kutusunu temizlemek i�in t�klat�n ve sonra varsay�lan eylemler, d�z metin olarak gelen trafi�e izin vermek i�in yeni bir s�zge� eylemi olu�turmak i�in Ekle ' yi t�klat�n.
Etkinle�tirilmi� <a1>G�venli�i �nceden belirle</a1> se�ene�ini korumak ve G�venli olmayan ileti�imi kabul ederken her zaman �psec'i kullanarak yan�t ver onay kutusunu temizlemek i�in t�klat�n. G�venli i�lem i�in bunu yapmal�s�n�z.

NotS�zme eylemi</a0> ileti�im kutusunun alt�ndaki onay kutular�n�n hi�biri olarak bir ba�lang�� yap�land�rmas� i�in t�nel kurallar� i�in uygulanan bir s�zme eylemi se�ilir. Yaln�zca oturum anahtar� kusursuz iletme gizlili�i (PFS) kullan onay kutusunu, t�nelin di�er ucundaki de PFS kullanmak �zere yap�land�r�l�rsa, bir ge�erli t�nelleri i�in ayarlama olur.
Ekle ' yi t�klat�n ve b�t�nl�k ve �ifreleme se�ene�i se�ili kalmas�n� (veya belirli algoritmalar�n� ve oturum anahtar� ya�am s�releri tan�mlamak istiyorsan�z, �zel (Uzman Kullan�c�lar i�in) se�ene�ini se�in). Kaps�llenen G�venlik Y�k� (ESP), iki �psec ileti�im kurallar� biridir.
Tamam ' � t�klat�n. Genel sekmesini t�klat�n, yeni s�zge� eylemi i�in bir ad yaz�n (�rne�in, �psec t�neli: ESP DES/MD5) ve sonra Tamam ' � t�klat�n.
Yeni olu�turdu�unuz s�zge� eylemini se�mek i�in t�klat�n.
Kimlik do�rulama y�ntemleri</a0> sekmesini t�klat�n, istedi�iniz (�nceden payla��lan anahtar, s�nama i�in kullanman�z ve aksi durumda, sertifikalar� kullanan) kimlik do�rulama y�ntemi olarak yap�land�r�n. T�nelin her iki ucunun g�venilen etki alanlar�ndaki ve her g�venilen (bunu kurulmadan �nce) etki alan�n�n IP adresi (IP adresi bir etki alan� denetleyicisinin) t�nelin IKE anla�mas� s�ras�nda T�nelin iki ucu olarak a� �zerinde eri�ilebilir teknik olas� Kerberos'tur. Ancak bu durum nadiren olu�ur.
Kapat ' � t�klat�n.

back to the top

�ste

Bir kural i�in bir NetB ve NetA t�neli yap�land�rma

Ipsec ilkesinin �zelliklerinde, yeni bir kural olu�turmak i�in Ekle'yi t�klat�n.
IP s�zge� listesi</a0> sekmesini t�klat�n, (NetANetB taraf�ndan) olu�turulan bir s�zge� listesi se�mek i�in t�klat�n.
T�nel Ayarlar�</a0> sekmesini t�klat�n, T�nel biti� noktas� bu IP adresi taraf�ndan belirtilen kutusunu t�klat�n ve sonra WIN2003extIP (burada WIN2003extIP Windows Server 2003 a� ge�idi d�� a� ba�da�t�r�c�s�na atanan IP adresidir) yaz�n.
Ba�lant� t�r�</a0> sekmesini t�klat�n, t�m a� ba�lant�lar� ' n� t�klat�n (veya WIN2003extIP PPP, ISDN veya do�rudan ba�lant� seri bir ba�lant� de�ilse, yerel a� (LAN)'i t�klat�n). Arabirim t�r� s�zge�leri ile e�le�en herhangi bir giden trafik i�in kuralda belirtilen t�nel biti� noktas� t�nel dener. �psec t�neli taraf�ndan g�venli ald�� gerekir ��nk� s�zge�lerle e�le�en gelen trafik g�z ard� edilir.
S�zme eylemi</a0> sekmesini t�klat�n ve sonra olu�turdu�unuz filtre eylemini se�mek i�in t�klat�n.
Kimlik do�rulama y�ntemleri</a0> sekmesini t�klat�n ve sonra kulland��n�z ayn� y�ntemi (ayn� y�ntemi, her iki kurallar�nda kullan�lmal�d�r) ilk kural� yap�land�r�n.
Emin olun, olu�turdu�unuz her iki kural� ilkenizde etkinle�tirilir ve tekrar Tamam ' � t�klat�n, Tamam ' � t�klat�n.

back to the top

�ste

Bilgisayar�n�z� Windows Server 2003 a� ge�idi bilgisayar�n�z� yeni bir �psec ilkesi atama

IP g�venlik ilkelerini yerel bilgisayar MMC ek bile�eni hakk�nda yeni ilkenizle sa� t�klat�n ve sonra da <a2>Ata</a2>'� t�klat�n. Ye�il bir ok ilkenizi yan�ndaki klas�r simgesi g�r�n�r.

Ilkenizi'de atand�ktan sonra iki ek Etkin s�zge� sahip (Y�nlendirme ve Uzaktan eri�im, L2TP trafi�i i�in �psec filtrelerini otomatik olarak olu�turur). Etkin s�zge� g�rmek i�in <a0></a0>, komut isteminde a�a��daki komutu yaz�n:

netdiag/test: IPSec Debug

Bu nedenle, bir metin d�zenleyicisinde (�rne�in, Not Defteri'nde) g�r�nt�leyebilirsiniz iste�e ba�l� olarak a�a��daki komutu yazarak bir metin dosyas�na bu komutun ��kt�s�n� y�nlendirebilirsiniz:

/ Debug netdiag/test: IPSec >filename .txt

Microsoft Windows Server 2003 Destek Ara�lar�'n� y�kledikten sonra netdiag</a0> komutu kullan�labilir. Destek ara�lar�n� y�klemek i�in <a0></a0>, Windows Server 2003 CD-ROM'undaki Support\Tools klas�r�n� bulun, sonra da Suptools.msi dosyas�n� sa� t�klat�n ve sonra da <a2>Y�kle</a2>'yi t�klat�n. Y�kleme sonras�nda, netdiag</a0> komutu (burada %SystemRoot% Windows Server 2003'�n y�kl� oldu�u s�r�c�d�r) %SystemRoot% Files\Support Tools klas�r�ne y�klenir �al��t�rman�z gerekebilir.

T�nel s�zge�leri a�a��daki �rne�e benzer:

Local IPSec Policy Active: 'IPSec tunnel with {tunnel endpoint}' IP Security Policy Path:
SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{-longnumber-} 

There are two filters
From NetA to NetB
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetA Src Mask: -subnet mask-
Dest Addr: NetB Dest Mask: -subnet mask-
Tunnel Addr: 3rdExtIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags : Outbound
From NetB to NetA
Filter ID: {-long number-}
Policy ID: {-long number-}
IPSEC_POLICY PolicyId = {-long number-}
Flags: 0x0
Tunnel Addr: 0.0.0.0
PHASE 2 OFFERS Count = 1
Offer #0:
ESP[ DES MD5 HMAC] 
Rekey: 0 seconds / 0 bytes. 
AUTHENTICATION INFO Count = 1
Method = Preshared key: -actual key-
Src Addr: NetB Src Mask: -subnet mask-
Dest Addr: NetA Dest Mask: -subnet mask-
Tunnel Addr: W2KextIP Src Port: 0 Dest Port: 0
Protocol: 0 TunnelFilter: Yes
Flags: Inbound

back to the top

�ste

Y�nlendirme ve Uzaktan eri�im yap�land�rma s�zme

NetA ya da NetB hedef adresi ya da bir kaynak olan trafi�i engellemek, s�zge� verilenler d��ndaki t�m trafi�in NetANetB i�in b�rak�r b�ylece d�� arabirim i�in bir ��k�� s�zgeci Y�nlendirme ve Uzaktan eri�im MMC i�inde olu�turun. Ayr�ca bir giri� s�zgeci, s�zge� verilenler d��ndaki t�m trafi�in NetBNetA i�in b�rak�r b�ylece olu�turun. T�nelin olu�turuldu�unda, IKE anla�mas� izin vermek i�in gelen WIN2003extIP ve 3rdExtIP trafi�e izin vermek de vard�r. Y�nlendirme ve Uzaktan eri�im s�zme, �psec �zerinden ger�ekle�tirilir. �zellikle IPSec izin gerekmez, hi�bir IP paket s�zme katman eri�ti�i i�in bir ileti�im kural�. A�a��daki �rnek, Windows Server 2003 TCP/�p'yi �ok basit bir g�sterimidir mimarisi:

Application layer 
Transport layer (TCP|UDP|ICMP|RAW) 
---- Network layer start ---- 
IP Packet Filter (where NAT/Routing and Remote Access filtering is done) 
IPSec (where IPSec filters are implemented) 
Fragmentation/Reassembly 
---- Network layer end ------ 
NDIS Interface 
Datalink layer 
Physical layer

s�zge�ler Y�nlendirme ve Uzaktan Eri�im hizmetinde yap�land�rmak i�in <a0></a0>, Y�nlendirme ve Uzaktan eri�im MMC'YI y�klemek ve a�a��daki ad�mlar� izleyin:

Sunucu a�ac�n�z� alt�nda Y�nlendirme ve Uzaktan eri�im'i geni�letin, IP y�nlendirme alt a�ac� geni�letin ve Genel ' i t�klat�n.
WIN2003extIP ' � sa� t�klat�n ve sonra da Properties ' i t�klat�n.
��k�� s�zge�leri ' ni t�klat�n ve sonra da Yeni'yi t�klat�n.
Kaynak a� ile hedef a� onay kutular�n� se�mek i�in t�klat�n.
Kaynak a�</a0> kutusunda, NetA i�in IP adresi ve alt a� maskesi yaz�n.
Hedef a�</a0> kutusunda, NetB i�in IP adresi ve alt a� maskesi yaz�n.
Ileti�im kural� k�mesi herhangi biri i�in tutun ve sonra Tamam ' � t�klat�n.
Yeni ' yi t�klat�n ve sonra kaynak a� ile hedef a� onay kutular�n� se�mek i�in t�klat�n.
Kaynak a�</a0> kutusunda, WIN2003extIP i�in IP adresi ve alt a� maskesi yaz�n.
Hedef a� kutusuna 3rdExtIP (IKE anla�mas�n�n kullan�m� i�in bir alt a� maskesi 255.255.255.255) i�in IP adresi ve alt a� maskesi yaz�n.
Ileti�im kural� k�mesi herhangi biri i�in tutun ve sonra Tamam ' � t�klat�n.
A�a��daki �l��tlere uyanlar d��ndaki t�m paketleri b�rak onay kutusunu t�klat�p se�in ve Tamam ' � t�klat�n.
Giri� s�zge�leri ' ni t�klat�n, Ekle ' yi t�klat�n ve sonra kaynak a� ile hedef a� onay kutular�n� se�mek i�in t�klat�n.
Kaynak a�</a0> kutusunda, NetB i�in IP adresi ve alt a� maskesi yaz�n.
Hedef a�</a0> kutusunda, NetA i�in IP adresi ve alt a� maskesi yaz�n.
Ileti�im kural� k�mesi herhangi biri i�in tutun ve sonra Tamam ' � t�klat�n.
Yeni ' yi t�klat�n ve sonra kaynak a� ile hedef a� onay kutular�n� se�mek i�in t�klat�n.
Kaynak a�</a0> kutusunda, 3rdExtIP i�in IP adresi ve alt a� maskesi yaz�n.
Hedef a� ileti�im kutusuna (IKE anla�mas�n�n kullan�m i�in bir alt a� maskesi 255.255.255.255) WIN2003extIP i�in IP adresi ve alt a� maskesi yaz�n.
Ileti�im kural� k�mesi herhangi biri i�in tutun ve sonra Tamam ' � t�klat�n.
A�a��daki �l��tlere uyanlar d��ndaki t�m paketleri b�rak onay kutusunu t�klat�p se�in ve sonra da iki kez Tamam ' � t�klat�n.

Not Y�nlendirme ve Uzaktan eri�im sunucusu, �nternet'e ba�lanan birden fazla arabirim varsa ya da birden �ok �psec t�nelleri varsa, her her �nternet arabirimi i�in �psec t�neli (her kaynak ve hedef IP alt a��) i�in Y�nlendirme ve Uzaktan eri�im muafiyet s�zge�leri olu�turun.

back to the top

�ste

Y�nlendirme ve Uzaktan eri�im statik yollar� yap�land�r�n

Windows Server 2003 a� ge�idi, y�nlendirme tablosunu NetB i�in bir yol olmas� gerekir. Bu yol yap�land�rmak i�in <a0></a0>, bir statik yol, Y�nlendirme ve Uzaktan eri�im MMC ekleyin. Windows Server 2003 a� ge�idi, iki veya daha fazla a� ba�da�t�r�c�lar� ayn� d�� a� �zerinde birden �ok ana bilgisayarl� ise (veya hedefe ula�mak iki veya daha �ok a� IP t�nel 3rdExtIP), a�a��daki olas� bulunmaktad�r:

Bir arabirimde giden t�nel ak�� b�rak�r ve farkl� bir arabirimde al�nan gelen t�nel ak��. �psec devretme a� ba�da�t�r�c�lar� kullansan�z bile, yaln�zca giden arabirimi g�venlik ili�kilendirmesi (SA) hafifletebilecek ��nk� (giden t�nel ak�� g�nderilen d��nda) �zerinde farkl� bir arabirim alma �ifreleme donan�m�ndaki, i�lemek al�c� a� ba�da�t�r�c�s�n� izin vermiyor.
Giden T�nel trafi�i, t�nel biti� noktas�n�n IP adresi olan arabirimden farkl� bir arabirim �zerinde b�rak�r. T�nel paketinin kaynak IP kaynak IP giden arabirimindeki ' dir. Bu di�er ucunu beklenen bir kaynak IP de�ilse, de�il olarak t�nel kurulduktan (veya paketleri, t�nelin zaten kuruldu, Uzak biti� noktas� taraf�ndan b�rak�lan).

Yanl�� bir arabirimde giden t�nel trafik g�nderme �nlemek i�in <a0></a0>, trafik NetB i�in uygun d�� arabirim i�in ba�lamak i�in statik bir yol tan�mlar:

Y�nlendirme ve Uzaktan eri�im MMC sunucu a�ac�n�z� geni�letin, IP y�nlendirme alt a�ac� geni�letin, Statik yollar� ' n� sa� t�klat�n ve Yeni statik yolu</a1>'� t�klat�n.
(Bu her zaman giden t�nel ak�� i�in kullanmak istedi�iniz arabirimi) arabirimi kutusuna WIN2003extIP t�klat�n.
Hedef a� ve a� maskesi i�in NetB yaz�n.
A� ge�idi kutusunda 3rdextip yaz�n.
Varsay�lan (1) i�in �l��t de�eri k�mesi tutmak ve Tamam ' � t�klat�n.

Not Yanl�� arabirim �zerinde gelen t�nel trafi�i alma, sorunu gidermek i�in arabirimin IP adresini bir y�nlendirme ileti�im kural�'n� kullanarak bildirilmeyecek. Ayr�ca, bir s�zge� NetA veya WIN2003extIP paketleri, bu makalenin "Configure Routing and Remote Access Filtering" b�l�m�nde belirtildi�i gibi b�rakmak i�in Y�nlendirme ve Uzaktan Eri�im hizmetini yap�land�r�n.

back to the top

�ste

�irketiniz �psec t�nel s�nay�n.

T�nel, bir bilgisayarda NetANetB bir bilgisayara (veya NetBNetA i�in) ping i�lemi ba�latabilirsiniz. S�zge�leri do�ru olarak olu�turulan ve do�ru ilkesi atanm��, ICMP trafi�ini ping komutundan �ifrelenmi� bi�imde g�nderebilirler; b�ylece iki a� ge�idi �psec t�neli olu�turur. Ping komutu �al��yor olsa bile, do�rulay�n ICMP trafi�inin �ifrelenmi� bi�imde gelen a� ge�idi i�in a� ge�idine g�nderilen. Bunu yapmak i�in a�a��daki ara�lar� kullanabilirsiniz.

back to the top

�ste

Oturum a�ma olaylar� ve nesne eri�imi denetimini etkinle�tir

Bu olaylar g�venlik g�nl��ne kaydeder. Bu size bildirir, IKE g�venlik ili�kisi anla�mas� �al��m�� ve, veya ba�ar�l� durumunda.

Grup ilkesi MMC ek bile�enini kullanarak, Yerel bilgisayar ilkesi ' ni, Bilgisayar Yap�land�rmas� ' n� geni�letin, Windows Ayarlar� ' n� geni�letin, G�venlik ayarlar� ' n�, Yerel ilkeleri ' ni geni�letin ve Denetim ilkesi</a1>'� t�klat�n.
Ba�ar�l� ve ba�ar�s�zoturum a�ma olaylar�n� denetle ve Nesne eri�imini denetleme i�in denetimi etkinle�tirin.

Not Windows Server 2003 a� ge�idi, bir etki alan�n�n �yesi ise ve bir etki alan� ilkesi denetimi i�in kullan�yorsan�z, etki alan� ilkesi yerel ilkenizi �zerine yazar. Bu durumda, etki alan� ilkesi de�i�tirin.

back to the top

�ste

IP g�venlik izleyicisi

IP g�venlik izleyicisi konsoluna etkin g�venlik ili�kilerinin (SA) ve �psec istatistiklerini g�sterir. Ping komutunu kullanarak, t�nel olu�turmak denedikten sonra bir �A olu�turulmu� olup olmad��n� g�rebilirsiniz (t�nel olu�turma ba�ar�l� olursa, bir �A g�r�nt�lenir). Ping komutu ba�ar�l� olur, ancak hi�bir SA yok, ICMP trafi�i �psec taraf�ndan korunmamas�na. "�nceden yoktu, yaz�l�m ili�kisi" g�r�rseniz, �psec, "a��k" (�ifreleme olmadan) gitmek bu trafi�e izin anla��lan."Yaz�l�m ili�kilendirmeleri" ek bilgi i�in Microsoft Knowledge Base'deki makaleyi g�r�nt�lemek �zere a�a��daki makale numaras�n� t�klat�n:

234580� (http://support.microsoft.com/kb/234580/EN-US/ ) �psec etkin olan ve olmayan �psec-etkin bilgisayarlar aras� "yaz�l�m ili�kileri"

Not Microsoft Windows XP ve Windows Server 2003 ailesi, IP g�venlik izleyici bir Microsoft Y�netim Konsolu'nu (MMC) konsol olarak uygulan�r. IP g�venlik izleyicisi ek bile�enini eklemek i�in a�a��daki ad�mlar� izleyin:

Ba�lat ' � t�klat�n, �al��t�r ' � t�klat�n, MMC yaz�n ve Tamam ' � t�klat�n.
Dosya ' y� t�klat�n, Ek Bile�en Ekle/Kald�r'� t�klat�n ve sonra Ekle ' yi t�klat�n.
IP g�venlik izleyicisi ' ni t�klat�n ve sonra Ekle ' yi t�klat�n.
Kapat ' � t�klat�n ve sonra da Tamam ' � t�klat�n.

back to the top

�ste

A� izleyicisi

Kar��n, bilgisayara ping i�lemi yapmay� deneyin WIN2003extIP arabiriminden giden trafi�i yakalamak i�in A� izleyicisi'ni kullanabilirsiniz. ICMP paketlerini kayna�� olan bir yakalama dosyas�n� ve ping i�lemi bir bilgisayara ping i�lemi yapmak i�in �al��t��n�z bilgisayar ve IP adreslerine kar��l�k gelen bir hedef IP adreslerini g�rebilir, sonra �psec trafi�i koruyor de�il. Bu, ICMP trafi�ini g�rmezsiniz, ancak ISAKMP ve ESP paketleri yerine g�r�yor musunuz, �psec trafi�i koruyor. Yaln�zca kimlik do�rulama �stbilgisi (AH) ve �psec protokol�n� kullan�yorsan�z, ICMP paketleri taraf�ndan izlenen ISAKMP trafik g�r�rs�n�z. ISAKMP paketleri olu�an ger�ek IKE anla�may� ve ESP paketleri �psec ile �ifrelenmesini y�k� veri ileti�im kural�.

A� izleyicisi'ni y�klemek i�in a�a��daki ad�mlar� izleyin:

Ba�lat ' � t�klat�n, Denetim Masas� ' n� t�klat�n, Program Ekle veya Kald�r'� t�klat�n ve ard�ndan Windows Bile�enlerini Ekle/Kald�r'� t�klat�n.
Windows Bile�enleri Sihirbaz�, Y�netim ve izleme ara�lar�'n� t�klat�n ve sonra Ayr�nt�lar ' � t�klat�n.
Alt bile�enleri y�netim ve izleme ara�lar�, A� izleyicisi ara�lar�</a1> onay kutusunu t�klat�p se�in ve Tamam ' � t�klat�n.
Ek dosyalar sa�laman�z istenirse, i�letim sisteminizin y�kleme CD'SINI tak�n veya a� �zerinde dosyalar�n konumunu yaz�n.

back to the top

�ste

Ger�ek bir s�nama

�nce di�er (NetA veya NetB) t�r� ipconfig komut i�in bir alt a� �zerindeki bir bilgisayardan ping i�in deneyin. TCP/IP y��n� ba�lat�lm�� bir a� arabirimi g�r�nt�lenir.
IP g�venlik izleyicisi arac�n� ba�lat�n.
A� izleyicisi'ni ba�latmak ve a�larYakalama men�s�nden'� t�klat�n. WIN2003extIP arabirimi t�klat�n ve sonra Tamam ' � t�klat�n.
Ping i�in bilgisayar� deneyin. Ilk ICMP yank� paketleri, �psec t�nel olu�turulmu� �al��rken zaman a��m�na u�rayabilir. Ping ba�ar�l� de�ilse, g�venlik ve sistem g�nl�klerini denetleyin.
Ping ba�ar�l� olursa, a� izleyicisi yakalamas� durdurmak ve "a��k" ICMP trafi�ini ba�tan sona uygulad�m veya ISAKMP) ve �psec ileti�im kural� paketleri yaln�zca g�r�rseniz bak�n. IP g�venlik izleyici'SA, olu�turdu�unuz NetB s�zgeci NetA kullan�larak olu�turulduysa g�rmek i�in denetleyin. Ayr�ca, g�venlik g�nl��n� denetleyin. Olay KIMLI�I 541 (IKE g�venlik ili�kisi kurulmu�) olarak g�rmelisiniz.
Yeniden oldu�undan hi�bir ek TCP/IP arabirimi t�nelin kullan�mdayken do�rulamak i�in komut isteminde ipconfig yaz�n. Bu davran��, �psec, fiziksel arabirimi (WIN2003extIP) �zerinden trafik koruyor olu�ur.

Uzak a� ge�idi de bir Windows Server 2003 d��mse, unutmay�n:
- Varsay�lan a� ge�idini NetA istemcilerinin WIN2003extIP ' dir. Varsay�lan a� ge�idini NetB istemcilerinin 3rdIntIP ' dir.
- Ipsec t�neli Windows Server 2003 a� ge�idine trafik y�nlendirilece�ini �eklini de�i�tirmez. (Y�nlendirme Y�nlendirme ve Uzaktan Eri�im'de etkinle�tirilmi� oldu�u i�in bu a� ge�idini paketleri y�nlendirebilir. Ger�ek LAN veya WAN arabirimi �l��lerine yine de kullan�l�r.)

back to the top

�ste

Referanslar

Y�nlendirme ve Uzaktan Eri�im hizmeti hakk�nda daha fazla bilgi i�in Windows Server 2003 �evrimi�i yard�m�na bak�n.

Windows Server 2003 Kaynak Seti'ni ve di�er teknik belgeleri g�r�nt�lemek i�in a�a��daki Microsoft Web sitesini ziyaret edin:

http://www.microsoft.com/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/default.mspx)

IETF standartlar� bilgi i�in a�a��daki sitelerini ziyaret edin:

IPsec
http://www.ietf.org/rfc/rfc2401.txt (http://www.ietf.org/rfc/rfc2401.txt)
L2TP
http://www.ietf.org/html.charters/pppext-charter.html (http://www.ietf.org/html.charters/pppext-charter.html)
ftp://ftp.isi.edu/in-notes/rfc2661.txt (ftp://ftp.isi.edu/in-notes/rfc2661.txt)
http://www.ietf.org/html.charters/l2tpext-charter.html (http://www.ietf.org/html.charters/l2tpext-charter.html)

Microsoft, teknik destek bulman�za yard�mc� olmak �zere ��nc� taraf ileti�im bilgilerini sa�lamaktad�r. Bu bilgiler haber verilmeden de�i�ebilir. Microsoft bu ��nc� taraf ileti�im bilgilerinin do�rulu�unu garanti etmez.

�ste

Bu makaledeki bilginin uyguland�� durum:

Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Small Business Server 2003 Standard Edition
Microsoft Windows Small Business Server 2003 Premium Edition

�ste

kbmt kbhowtomaster KB816514 KbMttr

�ste

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:816514� (http://support.microsoft.com/kb/816514/en-us/ )

�ste

This site in other countries/regions:

Nas�l yap�l�r: Windows Server 2003'te �psec t�nel yap�land�rma

Bu g�revde

Bu Sayfada

�zet

Ipsec ilkesi olu�turma

Bir s�zge� listesi i�in NetB NetA olu�turma

Bir s�zge� listesi i�in NetA NetB olu�turma

Bir kural i�in bir NetA ve NetB t�neli yap�land�rma

Bir kural i�in bir NetB ve NetA t�neli yap�land�rma

Bilgisayar�n�z� Windows Server 2003 a� ge�idi bilgisayar�n�z� yeni bir �psec ilkesi atama

Y�nlendirme ve Uzaktan eri�im yap�land�rma s�zme

Y�nlendirme ve Uzaktan eri�im statik yollar� yap�land�r�n

�irketiniz �psec t�nel s�nay�n.

Oturum a�ma olaylar� ve nesne eri�imi denetimini etkinle�tir

IP g�venlik izleyicisi

A� izleyicisi

Ger�ek bir s�nama

Referanslar

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Makale �evirileri

�lgili Destek Merkezleri

This site in other countries/regions:

Nas�l yap�l�r: Windows Server 2003'te �psec t�nel yap�land�rma

Bu g�revde

Bu Sayfada

�zet

Ipsec ilkesi olu�turma

Bir s�zge� listesi i�in NetB NetA olu�turma

Bir s�zge� listesi i�in NetA NetB olu�turma

Bir kural i�in bir NetA ve NetB t�neli yap�land�rma

Bir kural i�in bir NetB ve NetA t�neli yap�land�rma

Bilgisayar�n�z� Windows Server 2003 a� ge�idi bilgisayar�n�z� yeni bir �psec ilkesi atama

Y�nlendirme ve Uzaktan eri�im yap�land�rma s�zme

Y�nlendirme ve Uzaktan eri�im statik yollar� yap�land�r�n

�irketiniz �psec t�nel s�nay�n.

Oturum a�ma olaylar� ve nesne eri�imi denetimini etkinle�tir

IP g�venlik izleyicisi

A� izleyicisi

Ger�ek bir s�nama

Referanslar

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Hemen Yard�m Al

Makale �evirileri

�lgili Destek Merkezleri

Bu makaledeki bilginin uyguland�� durum: