Remoteverwaltung von ISA Server 2004 Microsoft Internet Security & Acceleration (ISA) Server 2004 Einführung Mit Microsoft® Internet Security & Acceleration (ISA) Server 2004 können Sie ISA ServerComputer über andere Computer verwalten. Alle ISA Server-Verwaltungsaufgaben können per Remoteverbindung von einem Computer durchgeführt werden, auf dem ein Terminaldienstclient wie z. B. Remotedesktopverbindung ausgeführt wird, oder mit einer auf dem Remotecomputer installierten Microsoft Management Console (MMC). Außerdem können Sie mehrere ISA Server-Computer über einen einzigen ISA ServerComputer verwalten. Terminalserver und Microsoft Management Console Terminalserver und MMC verfügen beide über Vorzüge hinsichtlich der Verwaltung eines ISA Server-Computers. Mithilfe von Terminalserver kann der Desktop des ISA Server-Computers so angezeigt werden wie auf dem Bildschirm des ISA Server-Computers. Dies führt zu schnelleren Aktualisierungsraten, da die Aktualisierung vom ISA Server-Computer selbst ausgeführt wird und lediglich die Informationen der Bildschirmanzeige auf den Remotecomputer übertragen werden müssen. Mit Terminalserver ist jedoch nur die Anzeige eines einzigen ISA Server-Computers möglich. MMC verfügt über langsamere Aktualisierungsraten als Terminalserver, da die von Ihnen durchgeführten Konfigurationsänderungen auf den Remotecomputer übertragen werden müssen. Mithilfe von MMC können jedoch Verbindungen zu mehreren ISA ServerComputern gleichzeitig hergestellt und deren Informationen angezeigt werden. Dies ist besonders bei der Verwaltung von geographisch weit voneinander entfernten ISA ServerComputern hilfreich oder in Situationen, in denen Sie als Berater für mehrere Unternehmen 2 Remoteverwaltung von ISA Server 2004 tätig sind, die ISA Server einsetzen. MMC ist Bestandteil der typischen ISA ServerInstallation, kann jedoch auch als eigenständige Komponente für die Verwaltung von ISA Server-Computern verwendet werden. Anmerkung Bei der Verwaltung von ISA Server über einen VPN-Client ist die Verwendung von Terminalserver der Verwendung von MMC vorzuziehen. Für manche Verwaltungsvorgänge in ISA Server ist ein Neustart der Dienste erforderlich. Der Routing- und RAS-Dienst (Remote Access Service) gehört dabei zu den Diensten, die beendet werden. Dies führt wiederum zu einer Beendigung der Remote-MMC-Verbindung, bevor die Dienste neu gestartet werden können. Dieses Problem tritt nicht bei der Terminalserver-Remoteverwaltung auf. Szenarien In der Regel befindet sich ein ISA Server-Computer gemeinsam mit anderen Unternehmensservern an einem zentralen Ort und nicht in der Nähe des Filialenstandorts. ISA Server kann von einem Computer im selben Netzwerk wie der ISA Server-Computer oder vom Privatcomputer verwaltet werden. Sie können auch Beratungsdienste für Kunden anbieten, die ISA Server zur Netzwerksicherung einsetzen und die Verantwortung für die Wartung und Überwachung der ISA Server-Computer übernehmen. Möglicherweise möchten Sie mehrere ISA Server-Computer auf unterschiedlichen Netzwerken verwalten. In allen diesen Fällen können Sie ISA Server per Remoteverwaltung verwalten. Lösungen Es gibt zwei Verfahren für die Remoteverwaltung: Remoteverwaltung mithilfe von Terminaldiensten. Dieses Verfahren empfiehlt sich bei der Verwaltung über einen VPN-Client. Remoteverwaltung über die Microsoft Management Console (MMC). MMC ist Bestandteil von ISA Server, kann jedoch auch ohne die ISA ServerFirewallfunktionalität, d. h. nur zur Verwaltung, installiert werden. Anmerkung Wenn Sie mehrere ISA Server-Computer über einen einzigen ISA ServerComputer verwalten möchten, müssen Sie eine Zugriffsregel erstellen, um Verbindungen vom ISA Server-Verwaltungscomputer zu anderen ISA ServerComputern zuzulassen. Dieser Vorgang wird in diesem Dokument unter Kurzanleitung zur Remoteverwaltung – Schritt 4: Erstellen einer Zugriffsregel beschrieben. Netzwerktopologie In den folgenden Abschnitten wird die Netzwerktopologie für die Remoteverwaltung beschrieben. Lösungen 3 Systemanforderungen für ISA Server MMC ISA Server MMC wird auf Computern unter Windows® XP, Windows 2000 Professional oder Windows 2000 Server ausgeführt. ISA Server Die Platzierung von ISA Server im Verhältnis zu anderen Netzwerken wirkt sich auf die Wahl des Verfahrens der Remoteverwaltung nur hinsichtlich der Authentifizierung des Remoteclients aus. Die Angabe von Authentifizierungsinformationen ist unterschiedlich, wenn der ISA Server-Computer in einer Arbeitsgruppe und nicht auf einer Domäne installiert ist, deren Domänencontroller Benutzerinformationen erkennt. Beide Situationen werden in den in diesem Dokument vorgestellten Verfahren behandelt. Remoteverwaltung – Kurzanleitung In dieser Kurzanleitung sind die Schritte aufgeführt, die zur Remoteverwaltung eines ISA Server-Computers erforderlich sind. Kurzanleitung zur Remoteverwaltung – Schritt 1: Exportieren der Systemrichtlinie Für die Konfiguration der Remoteverwaltung sind Änderungen der Systemrichtlinie des ISA Server-Computers erforderlich. Es empfiehlt sich, die Konfiguration der Systemrichtlinie in eine Datei zu exportieren, bevor Sie Änderungen vornehmen. So können Sie bei Bedarf die ursprüngliche Richtlinie problemlos wiederherstellen. Befolgen Sie diese Schritte für den Export der Systemrichtlinie. 1. Öffnen Sie die ISA Server-Verwaltung, erweitern Sie den Knoten des ISA ServerComputers, und klicken Sie auf Firewallrichtlinie. 2. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Systemrichtlinie exportieren, um das Dialogfeld Konfiguration exportieren zu öffnen. 3. Geben Sie den Pfad und den Namen der Datei an, in der die Konfiguration gespeichert werden soll. Für eine einfachere Identifizierung sollten Sie das Datum des Exportvorgangs im Dateinamen mit angeben, beispielsweise ExportSystemricht2Juni2004. 4. Klicken Sie auf Exportieren. 5. Klicken Sie nach Abschluss des Exportvorgangs auf OK. Kurzanleitung zur Remoteverwaltung – Schritt 2: Konfigurieren der Remoteverwaltung auf dem ISA Server-Computer Bei der Installation von ISA Server ist die Remoteverwaltung standardmäßig aktiviert. Sie ist jedoch nur für den Computersatz Remoteverwaltungscomputer aktiviert, der in der Standardeinstellung leer ist. Befolgen Sie dieses Verfahren, um sicherzustellen, dass die Remoteverwaltung aktiviert ist, und um zu konfigurieren, für welche Netzwerke 4 Remoteverwaltung von ISA Server 2004 Remoteverwaltung zugelassen ist. In diesem Verfahren wird außerdem angegeben, wie die Remoteverwaltung deaktiviert wird. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung, erweitern Sie den Knoten des ISA Server-Computers, und klicken Sie auf Firewallrichtlinie. 2. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Systemrichtlinie bearbeiten, um den Systemrichtlinien-Editor zu öffnen. 3. Suchen Sie unter Konfigurationsgruppen den Eintrag Remoteverwaltung, und wählen Sie Microsoft Management Console (MMC) aus. Wählen Sie auf der Registerkarte Allgemein die Option Aktivieren aus, um die Remoteverwaltung mithilfe von MMC zu aktivieren. (Dies ist die Standardeinstellung bei der Installation von ISA Server.) 4. Auf der Registerkarte Von in der Liste Diese Regel betrifft Datenverkehr von diesen Quellen ist der Computersatz Remoteverwaltungscomputer standardmäßig aufgeführt. Dies besagt, dass Computer in diesem Computersatz eine Remoteverwaltung des ISA Server-Computers über MMC durchführen können. Das Netzwerk, der Computersatz oder ein anderes Netzwerkobjekt, das Computer enthält, für die eine Remoteverbindung zulässig ist (und nur dieses Netzwerkobjekt) müssen aufgeführt sein. Weitere Informationen zu Netzwerkobjekten finden Sie in diesem Dokument in Anhang B: Regelelemente für Netzwerkobjekte. Sie können diese Liste mithilfe der Schaltflächen Hinzufügen, Bearbeiten und Entfernen ändern. Ebenso können Sie die Liste Ausnahmen mithilfe der entsprechenden Schaltflächen Hinzufügen, Bearbeiten und Entfernen ändern. Beispielsweise können Sie für alle Computer auf einem bestimmten Netzwerk mit Ausnahme eines spezifischen Satzes von Computern Remoteverwaltungszugriff zulassen. In diesem Fall müssten Sie das Netzwerk zur Liste Diese Regel betrifft Datenverkehr von diesen Quellen hinzufügen, einen Computersatz mit auszuschließenden Computern erstellen und dann diesen Satz zur Liste Ausnahmen hinzufügen. Anmerkung Der Computersatz Remoteverwaltungscomputer ist ein leerer Computersatz, der bei der Installation von ISA Server erstellt wurde. Um zu diesem Computersatz Computer hinzuzufügen, befolgen Sie die Anweisungen in diesem Dokument in Anhang A: Hinzufügen von Computern zum Computersatz Remoteverwaltungscomputer. 5. Suchen Sie unter Konfigurationsgruppen den Eintrag Remoteverwaltung, und wählen Sie Terminalserver aus. Wählen Sie auf der Registerkarte Allgemein die Option Aktivieren aus, um die Remoteverwaltung mithilfe von Terminalserver zu aktivieren. (Dies ist die Standardeinstellung bei der Installation von ISA Server.) 6. Auf der Registerkarte Von in der Liste Diese Regel betrifft Datenverkehr von diesen Quellen ist der Computersatz Remoteverwaltungscomputer standardmäßig aufgeführt. Dies besagt, dass Computer in diesem Computersatz eine Remoteverwaltung des ISA Server-Computers über Terminalserver durchführen können. Das Netzwerk, der Computersatz oder ein anderes Netzwerkobjekt, das Computer enthält, für die eine Remoteverbindung zulässig ist (und nur dieses Netzwerkobjekt) müssen aufgeführt sein. Weitere Informationen zu Netzwerkobjekten finden Sie in diesem Dokument in Anhang B: Regelelemente für Netzwerkobjekte. Sie können diese Liste mithilfe der Schaltflächen Hinzufügen, Bearbeiten und Entfernen ändern. Ebenso können Sie die Lösungen 5 Liste Ausnahmen mithilfe der entsprechenden Schaltflächen Hinzufügen, Bearbeiten und Entfernen ändern. Beispielsweise können Sie für alle Computer auf einem bestimmten Netzwerk mit Ausnahme eines spezifischen Satzes von Computern Remoteverwaltungszugriff zulassen. In diesem Fall müssten Sie das Netzwerk zur Liste Diese Regel betrifft Datenverkehr von diesen Quellen hinzufügen, einen Computersatz mit auszuschließenden Computern erstellen und dann diesen Satz zur Liste Ausnahmen hinzufügen. Wichtig Remoteverwaltete Sitzungen, die zum Zeitpunkt der Änderung eines Kontrollkästchens Aktivieren der Remoteverwaltung aktiv sind, können fortgesetzt werden, bis sie durch die Remoteverbindung beendet werden, wie in diesem Dokument unter Kurzanleitung zur Remoteverwaltung – Schritt 6: Trennen der Verbindung mit einem ISA Server-Computer beschrieben. Kurzanleitung zur Remoteverwaltung – Schritt 3: Konfigurieren des Remotecomputers Sie können den Remotecomputer für den Zugriff auf den ISA Server-Computer über Terminalserver oder MMC konfigurieren. Die Vor- und Nachteile beider Verfahren werden in diesem Dokument unter Terminalserver und Microsoft Management Console beschrieben. Konfigurieren eines Terminaldienstclients Für die Remoteverwaltung eines ISA Server-Computers mithilfe von Terminalserver muss auf dem Remotecomputer ein Terminaldienstclient erstellt werden. In Windows Server™ 2003 und Windows XP kann die Remotedesktopverbindung als Terminaldienstclient verwendet werden. Führen Sie diese Schritte durch, um einen Terminaldienstclient auf einem Computer unter Windows 2000, Windows NT® 4.0, Windows 98 oder Windows 95 manuell zu installieren. 1. Geben Sie auf einem Computer, auf dem ein Betriebssystem der Windows Server 2003Familie installiert ist, den Clientinstallationsordner frei. 2. Stellen Sie von Computern, auf denen Windows 2000, Windows NT 4.0, Windows 98 oder Windows 95 ausgeführt wird, eine Verbindung zum lokalen Netzwerk (LAN) her, in dem sich der Computer mit einem Betriebssystem der Windows Server 2003-Familie befindet. 3. Klicken Sie auf Start und anschließend auf Ausführen. 4. Geben Sie im Feld Öffnen Folgendes ein: \\computername\Tsclient\Win32\Setup.exe Computername ist dabei der Netzwerkcomputername des Computers, auf dem das Betriebssystem der Windows Server 2003-Familie ausgeführt wird. Klicken Sie auf OK. Befolgen Sie die angezeigten Anweisungen. Konfigurieren eines Computers mit MMC 6 Remoteverwaltung von ISA Server 2004 Für die Remoteverwaltung eines ISA Server-Computers mithilfe von MMC muss der MMCClient installiert werden. Wird die Verwaltung von einem ISA Server-Computer aus durchgeführt, kann dieser Schritt ausgelassen werden. 1. Legen Sie die ISA Server 2004-CD ein. Der Installationsbildschirm wird angezeigt. Wenn der Bildschirm nicht automatisch angezeigt wird, führen Sie Isaautorun.exe aus. 2. Klicken Sie auf ISA Server 2004 installieren. 3. Klicken Sie auf der Seite Willkommen auf Weiter. 4. Lesen Sie auf dem Bildschirm Lizenzvertrag den Lizenzvertrag. Wenn Sie zustimmen, wählen Sie Ich stimme den Bedingungen des Lizenzvertrags zu aus, und klicken Sie auf Weiter. 5. Geben Sie auf der Seite Kundeninformationen Benutzernamen, Organisation und Seriennummer ein, und klicken Sie dann auf Weiter. 6. Wenn der MMC-Client auf einem Computer mit einem anderen Betriebssystem als Windows Server 2003 oder Windows 2000 Server installiert wird, wird vom Installationsprogramm die Seite Zusammenfassung der Installationsanforderungen angezeigt. Auf dieser Seite wird darauf hingewiesen, dass ISA ServerFirewallkomponenten nicht installiert werden können. Die Installation des MMC-Clients ist jedoch möglich. Klicken Sie auf Weiter. 7. Wenn Sie den MMC-Client auf einem Computer mit Windows Server 2003 oder Windows 2000 Server installieren, wählen Sie auf der Seite Setup-Typ die Option Benutzerdefiniert aus. 8. Auf der Seite Benutzerdefinierte Installation sollte nur ISA Server-Verwaltung ausgewählt sein. Zum Entfernen anderer Elemente klicken Sie auf das Festplattensymbol neben jedem Element, und wählen Sie dann die Option Nicht verfügbar aus. Klicken nach der Konfiguration der Funktionen auf Weiter. 9. Klicken Sie auf Installieren. Kurzanleitung zur Remoteverwaltung – Schritt 4: Erstellen einer Zugriffsregel Dieses Verfahren ist nur auf die Verwaltung von ISA Server-Computern von einem ISA Server-Computer aus anwendbar. Wenn Sie ISA Server von einem anderen Computer mithilfe von MMC oder Terminaldienstclients verwalten, überspringen Sie diesen Schritt. Um die Datenübertragung zwischen dem lokalen ISA Server-Computer und anderen ISA Server-Computern zuzulassen, muss eine Zugriffsregel erstellt werden. Die anderen ISA Server-Computer müssen sich in einem Netzwerk befinden, das mit dem lokalen ISA Server-Computer verbunden ist. Führen Sie dieses Verfahren auf dem ISA ServerComputer aus, von dem aus die Remoteverwaltung durchgeführt werden soll. Führen Sie zum Erstellen einer Zugriffsregel diese Schritte durch. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung, erweitern Sie den Knoten des ISA Server-Computers, und klicken Sie auf Firewallrichtlinie. 2. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue Zugriffsregel erstellen aus, um den Assistenten für neue Zugriffsregeln zu starten. Lösungen 7 3. Geben Sie auf der Seite Willkommen den Namen für die Zugriffsregel ein, beispielsweise Verwaltung anderer ISA Server-Computer zulassen. Klicken Sie dann auf Weiter. 4. Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, und klicken Sie dann auf Weiter. 5. Wählen Sie auf der Seite Protokolle die Option Ausgewählte Protokolle aus, und klicken Sie auf Hinzufügen. Erweitern Sie im Feld Protokolle hinzufügen die Option Alle Protokolle, und wählen Sie MS-Firewallsteuerung aus. Klicken Sie auf Hinzufügen und anschließend auf Schließen, um das Dialogfeld Protokolle hinzufügen zu schließen. Klicken Sie auf der Seite Protokolle auf Weiter. 6. Klicken Sie auf der Seite Zugriffsregelquellen auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Erweitern Sie Netzwerke, wählen Sie Lokaler Host aus, klicken Sie auf Hinzufügen und anschließend auf Schließen. Klicken Sie auf der Seite Zugriffsregelquellen auf Weiter. 7. Klicken Sie auf der Seite Zugriffsregelziele auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Erweitern Sie Netzwerke, wählen Sie das Netzwerk aus, das den zu verwaltenden ISA Server-Computer enthält, klicken Sie auf Hinzufügen und anschließend auf Schließen. Klicken Sie auf der Seite Zugriffsregelziele auf Weiter. 8. Wenn die Regel für alle Benutzer gilt, kann auf der Seite Benutzersätze der Benutzersatz Alle Benutzer unverändert bleiben. Wechseln Sie zur nächsten Seite des Assistenten. Wenn die Regel nur für bestimmte Benutzer gilt, wählen Sie Alle Benutzer aus, und klicken Sie dann auf Entfernen. Klicken Sie anschließend auf Hinzufügen, um das Dialogfeld Benutzer hinzufügen zu öffnen. Fügen Sie den Benutzersatz hinzu, für den die Regel gilt. Im Dialogfeld Benutzer hinzufügen kann über das Menüelement Neu auf den Assistenten für neue Benutzersätze zugegriffen werden. Klicken Sie nach abgeschlossener Auswahl des Benutzersatzes auf Weiter. 9. Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und klicken Sie dann auf Fertig stellen. 10. Klicken Sie im Detailbereich der Firewallrichtlinie auf Übernehmen, um die neue Zugriffsregel zu übernehmen. Das Übernehmen der Regel kann einige Sekunden in Anspruch nehmen. Beachten Sie, dass Zugriffsregeln sortiert werden. Wenn eine andere Regel eher in der Reihenfolge den Zugriff verweigert, wird die neue Regel nicht die gewünschte Wirkung haben. Anmerkung Wiederholen Sie dieses Verfahren, um Zugriffsregeln für die Datenübertragung zwischen dem lokalen ISA Server-Computer und ISA Server-Computern in anderen Netzwerken zu erstellen. Kurzanleitung zur Remoteverwaltung – Schritt 5: Verwalten des ISA Server-Computers von einem Remotecomputer Der ISA Server-Computer kann vom Remotecomputer aus mithilfe von Terminaldiensten oder MMC verwaltet werden. 8 Remoteverwaltung von ISA Server 2004 Verwalten des ISA Server-Computers mit Terminaldiensten Führen Sie diese Schritte durch, um einen ISA Server-Computer von einem Remotecomputer aus über Terminaldienste zu verwalten. 1. Klicken Sie auf dem Remotecomputer auf Start, zeigen Sie auf Programme und dann auf Zubehör. Zeigen Sie auf Kommunikation, und klicken Sie anschließend auf Remotedesktopverbindung. 2. Geben Sie unter Remotedesktopverbindung in Computer den Namen des ISA ServerComputers ein. 3. Geben Sie nach dem Herstellen einer Verbindung Benutzernamen und Kennwort ein. Beachten Sie, dass der Benutzer über die entsprechenden Berechtigungen verfügen muss, um den ISA Server-Computer zu verwalten. 4. Der Desktop des ISA Server-Computers wird angezeigt. Öffnen Sie im Menü Start die ISA Server-Verwaltung, und beginnen Sie mit dem Verwalten von ISA Server. Verwalten des ISA Server-Computers mit MMC Führen Sie diese Schritte durch, um einen ISA Server-Computer von einem Remotecomputer aus über MMC zu verwalten. 1. Klicken Sie auf dem Remotecomputer auf Start, zeigen Sie auf Programme und dann auf Microsoft ISA Server. Klicken Sie anschließend auf ISA Server-Verwaltung. 2. Klicken Sie in der ISA Server-Verwaltung auf den obersten Knoten Microsoft Internet Security & Acceleration Server 2004. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Verbindung herstellen mit lokalem oder Remote-ISA Server. 3. Stellen Sie sicher, dass im Dialogfeld Verbindung herstellen die Option Anderem Computer (Remoteverwaltung) ausgewählt ist. Geben Sie den Namen des ISA ServerComputers ein, oder klicken Sie auf Durchsuchen, um den Computer zu suchen. 4. Wenn sich der ISA Server-Computer, zu dem die Verbindung besteht, und Ihr Computer in der gleichen Domäne befinden und der Domänencontroller die Anmeldeinformationen anerkennt, und wenn Sie auf dem ISA Server-Computer Administrator sind, wählen Sie Verbindung mit dem aktuellen Benutzerkonto herstellen aus. Wenn sich der ISA Server-Computer in einer anderen Domäne oder einer anderen Arbeitsgruppe befindet, werden die Anmeldeinformationen nicht anerkannt. Wählen Sie in diesem Fall die Option Verbindung mit anderen Benutzerinformationen herstellen aus, und geben Sie Benutzername, Kennwort und Domäne eines Benutzers an, der auf dem ISA Server-Computer über Administratorrechte verfügt. 5. Sie können jetzt Verwaltungsaufgaben auf dem Remote-ISA Server-Computer ausführen. Anmerkung Wiederholen Sie dieses Verfahren, um Verbindungen zu weiteren ISA ServerComputern herzustellen und diese zu verwalten. Lösungen 9 Kurzanleitung zur Remoteverwaltung – Schritt 6: Trennen der Verbindung mit einem ISA Server-Computer Befolgen Sie diese Anweisungen, um die Verbindung von einem Remotecomputer zum ISA Server-Computer zu trennen. Trennen der Verbindung mit einem ISA Server-Computer bei Verwendung von Terminaldiensten Führen Sie diese Schritte durch, um die Verbindung von einem Remotecomputer mit einem ISA Server-Computer bei Verwendung von Terminaldiensten zu trennen. 1. Klicken Sie auf dem Remotecomputer im Fenster Remotedesktopverbindung auf Start, und klicken Sie dann auf Abmelden. 2. Klicken Sie im Dialogfeld Von Windows abmelden auf Abmelden. Trennen der Verbindung mit einem ISA Server-Computer bei Verwendung von MMC 1. Klicken Sie auf dem Remotecomputer in der Konsolenstruktur der ISA ServerVerwaltung auf den Namen des ISA Server-Computers, zu dem eine bestehende Verbindung getrennt werden soll. 2. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Ausgewählten Server von Verwaltungskonsole trennen. Klicken Sie im Dialogfeld Bestätigung auf Ja, um zu bestätigen, dass die Verbindung getrennt werden soll. Kurzanleitung zur Remoteverwaltung – Schritt 7: Ausführen von Skripts auf einem Remotecomputer Das Erstellen von Skripts ermöglicht die Verwendung von ISA Server-Verwaltungsobjekten für den Zugriff auf und die Steuerung von Richtlinien und Konfigurationen eines Unternehmens oder eines ISA Server-Arrays innerhalb einer Organisation. Die Verwendung von Verwaltungsskripts in ISA Server bietet einige Vorteile. Für Aufgaben, die wiederholt oder für mehrere Server oder Arrays ausgeführt werden, ergibt sich beispielweise eine Zeitersparnis. Weitere Informationen zum Erstellen von Verwaltungsskripts in ISA Server finden Sie in der Hilfe des ISA Server Software Development Kit. Es können ISA Server-Verwaltungsskripts erstellt werden, die auf Remotecomputern ausgeführt werden. Zwischen Skripts und Programmen, die auf ISA Server-Computern und solchen, die auf Remotecomputern ausgeführt werden, bestehen folgende Unterschiede: Stammobjekte für Skripts zur Ausführung auf Remotecomputern müssen FPCDS sein, nicht FPC. Von Skripts oder Programmen auf einem Remotecomputer muss eine Verbindung zum ISA Server-Computer hergestellt werden. Erstellen des Stammobjekts Verwenden Sie den folgenden Code, um ein Stammobjekt für eine Remoteverwaltung zu erstellen. VBScript Set objFPC = CreateObject ("FPCDS.Root") 10 Remoteverwaltung von ISA Server 2004 JScript objFPCRoot = new ActiveXObject ("FPCDS.Root"); Visual Basic Dim objFPC As New FPCLib.FPCDS oder Dim objFPC As New FPCLib.FPC Set objFPC = CreateObject ("FPCDS.Root") Verbinden mit einem ISA Server-Computer Verwenden Sie zum Herstellen einer Verbindung zu einem Remote-ISA Server-Computer die Methode FPCArrays.Connect. Für diese Methode werden folgende Parameter verwendet: Server [in] BSTR zur Angabe des Servers, zu dem die Verbindung hergestellt werden soll UserName [in, optional] BSTR zur Angabe des Benutzernamens. Der Standardwert ist eine leere Zeichenfolge (BSTR). Domain [in, optional] BSTR zur Angabe des Namens der Benutzerdomäne. Der Standardwert ist eine leere Zeichenfolge (BSTR). Password [in, optional] BSTR zur Angabe des Kennworts. Der Standardwert ist eine leere Zeichenfolge (BSTR). Anmerkung Nach dem Fertigstellen des Skripts oder Programms wird die Verbindung zum ISA Server-Computer beendet. Anhang A: Hinzufügen von Computern zum Computersatz Remoteverwaltungscomputer Befolgen Sie diese Anweisungen, um Computer zum Computersatz "Remoteverwaltungscomputer" hinzuzufügen. 1. Öffnen Sie die ISA Server-Verwaltung, erweitern Sie den Knoten des ISA ServerComputers, und klicken Sie auf Firewallrichtlinie. 2. Klicken Sie im Aufgabenbereich auf der Registerkarte Toolbox auf den Header Netzwerkobjekte, und erweitern Sie die Computersätze. 3. Doppelklicken Sie auf Remoteverwaltungscomputer, um das Dialogfeld Eigenschaften von Remoteverwaltungscomputer zu öffnen. 4. Klicken Sie auf Hinzufügen, und wählen Sie aus, ob Sie einen Computer, Adressbereich oder ein Subnetz hinzufügen möchten. Geben Sie die erforderlichen Lösungen 11 Informationen zur IP-Adresse ein, und klicken Sie dann auf OK. Klicken Sie zum Schließen des Dialogfelds Eigenschaften von Remoteverwaltungscomputer auf OK. 5. Klicken Sie im Detailbereich auf Übernehmen, um die Änderungen zu übernehmen. Anhang B: Regelelemente für Netzwerkobjekte Ein ISA Server-Regelelement ist ein Objekt, mit dem ISA Server-Richtlinien genauer definiert werden können. Ein Regelelement für ein Subnetz repräsentiert beispielsweise ein Subnetz innerhalb eines Netzwerks. Sie können eine Regel erstellen, die nur für ein Subnetz gilt, oder eine Regel, die für das ganze Netzwerk mit Ausnahme des Subnetzes gilt. Netzwerkobjekt-Regelelemente ermöglichen das Erstellen von Computersätzen, auf die eine Richtlinie angewendet wird, oder die von einer Richtlinie ausgenommen werden. Netzwerkobjekte können verwendet werden, um die Computer einzuschränken, die über Remotezugriff auf den ISA Server-Computer verfügen. In Regelelementen für Netzwerkobjekte können Computer auf verschiedene Arten erfasst werden. Die folgenden Regelelemente eignen sich zur Konfiguration von Systemrichtlinien für die Remoteverwaltung von ISA Server: Netzwerk. Ein Netzwerkregelelement repräsentiert ein Netzwerk. Dieses besteht aus allen Computern, die (direkt oder über Router) mit einem einzelnen Netzwerkadapter auf einem ISA Server-Computer verbunden sind. Netzwerksatz. Ein Netzwerksatz-Regelelement steht für eine Gruppe von einem oder mehreren Netzwerken. Dieses Regelelement kann verwendet werden, um Regeln auf mehr als ein Netzwerk anzuwenden. Computer. Ein Computerregelelement steht für einen einzelnen Computer, der über seine IP-Adresse identifiziert wird. Computersatz. Ein Computersatz-Regelelement besteht aus einem Satz von Computern, Adressbereichen und Subnetzen. Adressbereich. Ein Adressbereich-Regelelement steht für einen Satz von Computern, die durch einen fortlaufenden Bereich von IP-Adressen gekennzeichnet werden. Subnetz. Ein Subnetz-Regelelement stellt ein Subnetz in einem Netzwerk dar, das durch eine Netzwerkadresse und eine Maske bezeichnet wird. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, EMail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten und Ereignissen ist rein zufällig. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig 12 Remoteverwaltung von ISA Server 2004 davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken, Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2004 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.