Electronic, Inc. için VPN çözümü dağıtmak üzere, ağ yöneticisi bir çözümleme yapar ve aşağıdakilere ilişkin tasarım kararları verir:

• Ağ yapılandırması
  
• Uzaktan erişim ilkesi yapılandırması
  
• Etki alanı yapılandırması
  
• Güvenlik yapılandırması
  

Ağ yapılandırmasının anahtar öğeleri şunlardır:

• Electronic, Inc. şirketi intranet'i alt ağ maskesi 255.240.0.0 olan 172.16.0.0 ve alt ağ maskesi 255.255.0.0 olan 192.168.0.0 özel ağlarını kullanır. Şirket kampüsü ağ kesimleri 172.16.0.0 alt ağlarını ve şubeler 192.168.0.0 alt ağlarını kullanır.
  
• VPN sunucu bilgisayarı T3 (DS-3 olarak da bilinir) ayrılmış geniş ağ bağlantısı kullanarak doğrudan Internet'e iliştirilir.
  
• Electronic, Inc. Internet hizmet sağlayıcısı (ISP) tarafından yerleştirildiği için geniş ağ bağdaştırıcısının Internet'teki IP adresi 207.209.68.1'dir. Geniş ağ bağdaştırıcısının Internet'teki IP adresi, etki alanı adı vpn.electronic.microsoft.com olarak geçer.
  
• VPN sunucu bilgisayarı doğrudan, iş ortağının erişimi için RADIUS sunucusu, dosya ve Web sunucusu ve Electronic, Inc. şirket kampüsü intranet'inin kalan bölüme bağlanan bir yönlendirici içeren intranet ağ kesimine iliştirilir. Intranet ağ kesimi, alt ağ maskesi 255.255.0.0 olan IP ağı kimliği 172.31.0.0'a sahiptir.
  
• VPN sunucu bilgisayarı, uzaktan erişim istemcilerini ve arayan yönlendiricileri yerleştirmek için statik IP adresleri havuzu ile yapılandırılır. Statik IP adresleri havuzu, intranet ağ kesiminin (alt ağ üzerindeki bir adres havuzu) bir alt kümesidir.
  

Aşağıdaki resimde Electronic, Inc. VPN sunucusunun ağ yapılandırması gösteriliyor.

Not

• Şekilde RADIUS sunucusu ile dosya ve Web sunucusu gösterilmektedir, ancak RADIUS sunucusu RADIUS içeren çevirmeli ağ ve VPN’ler konusuna kadar, dosya ve Web sunucuları da İş Ortakları İçin Extranet konusuna kadar ele alınmamaktadır.
  

Electronic, Inc. şirket kampüsü intranet'inin ağ yapılandırmasına bağlı olarak, VPN sunucu bilgisayarı aşağıdaki gibi yapılandırılır.

Intranet kesimine bağlanmak için kullanılan ağ bağdaştırıcısı ve Internet'e bağlanmak için kullanılan geniş ağ bağdaştırıcısı, bağdaştırıcı üreticisinin yönergelerine göre kurulur. Sürücüler yüklendikten ve çalıştıktan sonra, her iki bağdaştırıcı da Ağ Bağlantıları klasöründe yerel ağ bağlantıları olarak görünür.

Yerel ağ bağdaştırıcısı için, alt ağ maskesi 255.255.0.0 olan IP adresi 172.31.0.1 yapılandırılır. Geniş ağ bağdaştırıcısı için, alt ağ maskesi 255.255.255.255 olan IP adresi 207.209.68.1 yapılandırılır. Her iki bağdaştırıcı için de varsayılan ağ geçidi yapılandırılmaz. DNS ve WINS sunucu adresleri de yapılandırılır.

Yönlendirme ve Uzaktan Erişim Sunucusu Kurulum Sihirbazı çalıştırılır. Sihirbazda Uzaktan Erişim (çevirmeli veya VPN) seçeneği seçilir. Daha fazla bilgi için bkz: Yönlendirme ve Uzaktan Erişim hizmetini etkinleştirme.

Sihirbaz çalışırken, statik IP adresi havuzu başlangıç IP adresi 172.31.255.1 ve bitiş IP adresi 172.31.255.254 ile yapılandırılır. Bu en çok 253 VPN istemcisi için statik adres havuzu oluşturur.

Daha fazla bilgi için bkz: Statik IP adres havuzu oluşturma.

Uzaktan erişim ve isteğe bağlı arama arabirimi bağlantılarının varsayılan kimlik doğrulama yöntemi, yalnızca tek VPN sunucusu içeren bu yapılandırma için uygun olan Windows kimlik doğrulamasıdır. Electronic, Inc. RADIUS kimlik doğrulaması kullanma hakkında daha fazla bilgi için bkz: RADIUS içeren çevirmeli ağ ve VPN’ler. Windows ve RADIUS kimlik doğrulamaları hakkında daha fazla bilgi için bkz: Kimlik doğrulaması ve yetkilendirme.

Akıllı kart tabanlı uzaktan erişim VPN istemcilerinin ve sertifika tabanlı arama yönlendiricilerinin kullanımını etkinleştirmek için, ağ yöneticisi VPN sunucusunda Genişletilebilir Kimlik Doğrulaması Protokolü’nü (EAP) etkinleştirir.

Daha fazla bilgi için bkz: EAP’yi Etkinleştirme.

Intranet konumlarına ulaşmak için, statik yol aşağıdaki ayarlarla yapılandırılır:

• Arabirim: Intranet'e iliştirilmiş yerel ağ bağdaştırıcısı
  
• Hedef: 172.16.0.0
  
• Ağ maskesi: 255.240.0.0
  
• Ağ Geçidi: 172.31.0.2
  
• Metrik: 1
  

Bu statik yol, Electronic, Inc. intranet'indeki tüm hedefleri özetleyerek yönlendirmeyi basitleştirir. VPN sunucusunun bir yönlendirme protokolüyle yapılandırılmasına gerek kalmaması için, bu statik yol kullanılır.

Internet konumlarına ulaşmak için, statik yol aşağıdaki ayarlarla yapılandırılır:

• Arabirim: Internet'e geniş ağ bağdaştırıcısı iliştirildi.
  
• Hedef: 0.0.0.0
  
• Ağ maskesi: 0.0.0.0
  
• Ağ Geçidi: 0.0.0.0
  
• Metrik: 1
  

Bu statik yol Internet'teki tüm hedefleri özetler. Bu yol, VPN sunucusunun bir uzaktan erişim istemcisi veya isteğe bağlı arama arabirimi VPN bağlantısını Internet'in her yerinden yanıt verebilmesini sağlar.

Not

• Geniş ağ bağdaştırıcısı ISP'ye noktadan noktaya bağlantı oluşturduğu için, ağ geçidi olarak herhangi bir adres girilebilir. 0.0.0.0 ağ geçidi adresi örnektir. 0.0.0.0 belirsiz IP adresidir.
  

Internet kullanıcılarından gelen VPN bağlantılarını sınırlamak üzere uzaktan erişim ilkelerinin yapılandırılmasına yardımcı olmak için, WAN Miniport (PPTP) ve WAN Miniport (L2TP) aygıtları, VPN sunucusunun Bu aygıtın telefon numarası alanındaki Internet arabiriminde yer alan IP adresiyle değiştirilir. Daha fazla bilgi için bkz: Bağlantı noktasındaki telefon numarasını ayarlama.

Intranet yönlendiricisinden şube konumlarına ulaşmak için, aşağıdaki ayarlarla bir statik yol yapılandırılır:

• Arabirim: Intranet'e iliştirilmiş yerel ağ bağdaştırıcısı
  
• Hedef: 192.168.0.0
  
• Ağ maskesi: 255.255.0.0
  
• Ağ Geçidi: 172.31.0.1
  
• Metrik: 1
  

Bu statik yol, Electronic, Inc. şubelerindeki tüm hedefleri özetleyerek yönlendirmeyi basitleştirir.

Electronic, Inc. bir Windows 2000 yerel etki alanına geçiş yapmıştır ve Electronic, Inc.'nin ağ yöneticisi kararlarını ilkeye göre erişim yönetim modeliyle vermektedir. Tüm kullanıcı hesaplarındaki uzaktan erişim izni, Uzaktan Erişim İlkesi aracılığıyla erişimi denetle olarak ayarlıdır. Bağlantı girişimlerine uzaktan erişim izni verme, eşleşen ilk uzaktan erişim ilkesindeki uzaktan erişim izni ayarıyla denetlenir. Uzaktan erişim ilkeleri, grup üyeliğine bağlı farklı VPN bağlantı ayarlarının uygulamak için kullanılır ve varsayılan uzaktan erişim ilkeleri silinir.

Daha fazla bilgi için bkz: Uzaktan erişim ilkelerine giriş.

VPN bağlantılarının farklı türlerine farklı bağlantı ayarları uygulama özelliğinden yararlanmak için, aşağıdaki Active Directory grupları oluşturulur:

• VPN_Users
  Uzaktan erişim VPN bağlantıları için kullanılır
  
• VPN_Routers
  Electronic, Inc. şubelerinden yönlendiriciden yönlendiriciye VPN bağlantıları için kullanılır
  
• VPN_Partners
  Electronic, Inc. iş ortaklarından yönlendiriciden yönlendiriciye VPN bağlantıları için kullanılır
  

Not

• Bu uygulama örneğindeki tüm kullanıcılar ve gruplar, electronic.microsoft.com Active Directory etki alanında oluşturulur.
  

L2TP/IPSec bağlantılarını, uzaktan erişim istemcileri tarafından akıllı kart kullanımını ve yönlendiriciler tarafından EAP-TLS kullanımını etkinleştirmek için Electronic, Inc. etki alanı bilgisayar sertifikalarını tüm etki alanı üyelerine otomatik olarak kaydetmek üzere yapılandırılır.

Daha fazla bilgi için bkz: VPN Bağlantıları İçin Sertifika Tabanlı Kimlik Doğrulama Dağıtımı.

Notlar

• Windows Server 2003 Web Edition ve Windows Server 2003 Standard Edition’da, en fazla 1.000 Noktadan Noktaya Tünel Protokolü (PPTP) bağlantı noktası ve en fazla 1.000 Katman İki Tünel Protokolü (L2TP) bağlantı noktası oluşturabilirsiniz. Ancak, Windows Server 2003 Web Edition belirli bir anda yalnızca bir sanal özel ağ (VPN) bağlantısı kabul edebilir. Windows Server 2003 Standard Edition, en çok 1.000 eş zamanlı VPN bağlantısı kabul edebilir. 1.000 VPN istemcisi bağlıysa, yeni bağlantı istekleri bağlantı sayısı 1.000'in altına düşene kadar reddedilir.
  
• Burada adı geçen örnek şirketler, kurumlar, insanlar ve olaylar tamamıyla hayalidir. Herhangi bir gerçek şirket, kurum, kişi veya olaylar bir ilişki amaçlanmamaktadır ve bunun amaçlandığı sonucuna varılamaz.