Bu yazımızda Windows ailesinin bir özelliği olan Windows Remote Asisstance özelliğinden bahsedeceğiz. Kısaca özetlemek gerekirse Windows Remote Asistance bir uzak bağlantı hizmetidir. RDP yada diğer uygulamalardan farkına değinecek olursak şöyle açıklayabiliriz. RDP bağlantılarında karşı taraf yaptığımz işlemleri görememektedir. Örnek verecek olursak BT departmanında ki yetkili bir kişi kullanıcıya uzaktan destek vermek istediğinde RDP ile kullanıcının bilgisayarına bağlandığında kullanıcı, BT yetkilisinin yaptığı işlemleri göremez ve sorununu net bir şekilde ifade edemez. İkinci bir fark ise kullanılan 3. parti yazılımlar internet erişimi gerektirmektedir. Örneğin internete erişmeyen kapalı bir networkünüz olması durumunda kullanıcı bilgisayarlarına erişmek yerine yerinde desetek vermeniz gerekebilir. Bu gibi durumlarda çok fazla yaşandığı için zaman ve iş kaybına neden olmaktadır. Internete erişme ihityacı duymayan uzak bağlantı uygulamalarında ise lisans maliyeti karşımıza engel olarak çıkmaktadır. Peki bu sorunlara nasıl bir çözüm sağlayabiliriz ?
Burada devreye Server işletim sistemi ile hizmet olarak gelen , local’ de çalışabilen internet çıkışına ihtiyaç duymayan , destek veren ve destek alan 2 kişininde aynı ekranı görebildiği, anlık mesajlaşma yapabildiği Remote Assistance hizmetini kullanmak daha fazla fayda sağlayacaktır.
Kuruluma başlamadan önce kullanıcılara bağlanabilmek için bir sunucu kurulumu yapmamız ve domaine almamız gerekmektedir. RemoteServer adında bir sunucu kurulumu yaparak domaine dahil etmeliyiz. Daha önceki makalelerimizde de anlatmış olduğumuz sunucu kurulum linkine buradan ulaşabilirsiniz.
Sunucu kurulumunu tamamlayıp domaine dahil ettikten sonra Server Manager üzerinde bulunan Add Roles and Features sihirbazında bulunan Features sekmesinden Remote Assistance kutucuğunu işaretleyerek kurulumu başlatıyorum. (Sihirbazın önceki sekmelerinde herhangi bir değişiklik yapılmadığı için sadece kurulum yapılan bölüm gösterilmiştir.)
RemoteServer kurulumu tamamlandıktan sonra Group Policy ile bazı ayarların client sistemlere uygulanması gerekmektedir.
Bunun için Domain Controller sunucumuza bağlandıktan sonra Group Policy Management konsolunu açıyoruz ve RemoteAssistance_GPO adında yeni bir group policy oluşturuyoruz.
Oluşturduğumuz group policy ilkesini editleyerek aşağıdaki yolu izliyoruz.
Comupter Configuration / Policies / Administrative Templates / System / Remote Assistance
Remote Assistance klasöründe Configure Offer Remote Assistance maddesini yapılandırmamız gerekmektedir. Policy’i aktif ettikten sonra kullanabileceğimiz 2 seçenek karşımıza çıkmaktadır. Allow helpers to remotely control the computer (Bağlantı yapılan bilgisayarın kontrolüne izin ver ) seçeneği seçilmelidir.
Helpers kısmına Show diyerek açılan pencerede sistemimiz içerisindeki uzak bağlantı atmaya yetkili kullanıcı yada grubu girmemiz gerekmektedir. Remote Admins adında yapılandırdığım kullanıcı grubun burada tanılamamız gerekmektedir. Daha sonra farklı kullanıcıları da bu gruba dahil edebilriz .( btcozumleri.local\Remote Admins )
Oluşturduğumuz policy içerisinde diğer yapılandıracağımız kısım ise yine Remote Assistance altında bulunan Configure Solicited Remote Assistance maddesidir. Policy’i aktif ettikten sonra kullanabileceğimiz 4 seçenek karşımıza çıkmaktadır. Allow helpers to remotely control the computer seçeneği ile bilgisayarın kontrol edilmesine izin vermeliyiz. Maximum Ticket Time kısmını 2 olarak ayarlıyoruz. Burada atılan bağlantının max süresi belirlenmiş olur. Method for sending email invitiations kısmında Simple MAPI seçeneği anlık mesajlaşma hizmetini açmış oluyoruz. Diğer seçenek ise mail to seçeneğidir. Mail to özelliği anlık bağlantı ve iletişimde efektif olmayacağı için Simple MAPI olarak yapılandırmak daha doğru olacaktır.
Remote Assistance sekmesi altındaki yapılandırmayı yaptıktan sonra aynı policy içerinde kullanıcıların bilgisayarlarına bağlandıktan sonra yetki problemi yaşamaması açısında aşağıdaki policy kuralını da etkinelştirmemiz gerekmektedir.
Computer Configüration / Policies / Windows Settings / Security Settings / Local policy / Security Options kısmında bulunan User Account Control: Allow UIAccess applications to prompt for elevation without using the secure desktop seçeneğini Enable duruma getiridkten sonra policy ayarlarını tamamlıyoruz.
Policy ayarlarını tamamladıktan sonra kullanıcı bilgisayarlarına bağlanabilmek ve hizmet exe’lerini çalıştırabilmek için firewall kuralı yazmamız ve bu kuralların kullanıcı bilgisayarları tarafında policy ile almasını sağlamamız gerekmektedir. Yine aynı policy üzerinde aşağıdaki ayarları uygulamamız gerekmektedir.
Computer Configüration / Policies / Windows Settings / Security Settings / Windows Firewall / Inbound Rules kısmına geldikten sonra New rule diyerek yeni kural eklenmelidir.
Eklediğimiz kuralda Rule Type olarak Port seçeneği seçilmeli ve TCP 135 Portu için izin verilmelidir.
İkinci olarak eklediğimiz kuralda ise Rule Type olarak Program seçilmelidir. This program path kısmına %WINDIR%\System32\raserver.exe yolunu ekledikten bu kuralımıza da izin vermeliyiz.
Üçüncü ve son firewall kuralı olarak ise Rule Type olarak Program seçilmelidir. This program path kısmına %WINDIR%\System32\msra.exe yolunu ekledikten bu kuralımıza da izin vermeliyiz.
Tüm firewall kurallarını ekledikten sonra kural özeti aşağıdaki gibi olmalıdır.
Buraya kadar yaptığımız işlemlerde Remote Assistance kurulumunu tamamladık ve client sistemlere erişebilmek için gerekli tüm ayarları tamamladık. Oluşturduğumuz group policy ilkesini tüm istemci sistemlere dağıttıktan sonra erişim testlerini yapabiliriz.
Öncelikle RemoteServer sunucmuzuda Başlat/Çalıştır yolunuz izledikten sonra msra /offerra yazıp OK diyoruz. Gelen pencerede Type a computer name or IP Address kısmında bağlanmak istediğmiz client sistemin hostname veya ip adresini yazıp Next diyoruz.
IP adresini yazıp Next dedikten sonra istemci sisteme erişip yetkili kullanıcının bağlanabilmesi için onay isteyecektir.
Remote Server Ekranı
Client kullanıcısı onay verene kadar Remote Server ekranı aşağıdaki gibi beklemektedir.
Client Ekranı
Remote Server üzerinden yetkili bir kullanıcı bağlanmak istediğinde aşağıdaki gibi bir uyarı penceresi gelmektedir. Bu uyarıya onay verene kadar hiçbir şekilde client bilgisayara erişim sağlanmamaktadır.
Kullanıcı erişim iznine onay verdikten sonra, yönetici sadece izleme yetkisine sahip olacaktır. Kontrol yetksi ise Request control butonuna tıkladıktan sonra kullanıcın tekrar onay vermesi durumunda yönetici client üzerinde kontrol etme yetkisine sahip olacaktır.
Yönetici kontrol yetkisini aldıktan sonra client üzerinde değişiklikler yapabilir, admin yetkisini kullanarak uygulama kurabilir ve kullanıcı ile chat yapabilir.
Bu uygulama ile kendi yardım masası hizmetimizi yapılandırmış olduk. Bu sayede kullanıcı bilgisayarına uzaktan bağlanabilir ve kontrol edebiliriz.
Umarım faydalı olmuştur. Başka bir makalede görüşmek üzere.
