Standort-zu-Standort-VPN in ISA Server 2004 Microsoft Internet Security & Acceleration (ISA) Server 2004 Einführung Microsoft® Internet Security & Acceleration (ISA) Server 2004 bietet sichere Standort-zuStandort-VPNs (Virtual Private Network). Virtuelle private Netzwerke Ein virtuelles privates Netzwerk (VPN) ist die Erweiterung eines privaten Netzwerks, das Verbindungen über gemeinsam verwendete oder öffentliche Netzwerke (z. B. das Internet) hinweg umfasst. Mit einem VPN können Sie Daten zwischen zwei Computern über ein gemeinsam verwendetes oder öffentliches Netzwerk mithilfe eines Verfahrens übertragen, durch das eine private Punkt-zu-Punkt-Verbindung emuliert wird. Der Aufbau eines virtuellen privaten Netzwerks umfasst dessen Erstellung und Konfiguration. Zum Emulieren einer Punkt-zu-Punkt-Verbindung werden Daten eingekapselt („verpackt“) und mit einem Header versehen, der Weiterleitungsinformationen enthält. Mithilfe dieser Angaben können die Daten über ein gemeinsam genutztes oder öffentliches Netzwerk zu ihrem Endpunkt übertragen werden. Um eine private Verbindung zu emulieren, werden die Daten aus Sicherheitsgründen verschlüsselt. Daten, die im gemeinsam genutzten oder öffentlichen Netzwerk abgefangen werden, sind ohne die Verschlüsselungsschlüssel nicht lesbar. Eine Verbindung, bei der private Daten eingekapselt und verschlüsselt werden, wird als VPNVerbindung bezeichnet. VPN-Verbindungen ermöglichen es Benutzern, die von zu Hause aus oder unterwegs arbeiten, eine RAS-Verbindung zum Server eines Unternehmens herzustellen. Hierbei wird die Infrastruktur eines öffentlichen Netzwerks (z. B. das Internet) genutzt. Aus der Sicht der Benutzer ist VPN eine Punkt-zu-Punkt-Verbindung zwischen seinem Computer (dem VPN- 2 Standort-zu-Standort-VPN in ISA Server 2004 Client) und einem Server des Unternehmens (dem VPN-Server). Die genaue Infrastruktur des gemeinsam verwendeten oder öffentlichen Netzwerks ist nicht von Bedeutung, da die Daten wie über eine dedizierte private Verbindung übertragen werden. VPN-Verbindungen ermöglichen Organisationen außerdem Routingverbindungen mit sicherer Datenübertragung zu anderen Organisationen (z. B. zwischen geographisch getrennten Niederlassungen) über ein öffentliches Netzwerk wie das Internet. Eine VPN-Routingverbindung über das Internet entspricht logisch einer dedizierten WAN-Verbindung (Wide Area Network). Durch Verwendung des ISA Server-Computers als VPN-Server können Sie Standort-zuStandort-VPN-Verbindungen und den Zugriff von VPN-Clients auf das Firmennetzwerk verwalten. Alle VPN-Verbindungen mit dem ISA Server-Computer werden in der Firewallprotokollierung erfasst, so dass Sie VPN-Verbindungen überwachen können. ISA Server ermöglicht den VPN-Clientzugriff mit L2TP (Layer 2 Tunneling-Protokoll) über IPSec (Internet Protocol Security). Dieses Protokoll bietet größere Sicherheit als das von VPNServern üblicherweise verwendete Standardprotokoll PPTP (Point-to-Point Tunneling-Protokoll). VPN-Verbindungen Es gibt zwei Arten von VPN-Verbindungen: RAS-VPN-Verbindung Standort-zu-Standort-VPN-Verbindung RAS-VPN-Verbindung Ein RAS-Client stellt eine RAS-VPN-Verbindung mit einem privaten Netzwerk her. ISA Server ermöglicht den Zugriff auf das gesamte Netzwerk, mit dem der VPN-Server verbunden ist. Die Konfiguration von RAS-VPN-Verbindungen wird im Dokument Mobile VPN-Clients in ISA Server 2004 (http://go.microsoft.com/fwlink?linkid=20745) erläutert. Standort-zu-Standort-VPN-Verbindung Eine Standort-zu-Standort-VPN-Verbindung wird zwischen zwei Teilen eines privaten Netzwerks über einen Router hergestellt. ISA Server stellt eine Verbindung mit dem Netzwerk bereit, an das der ISA Server-Computer angeschlossen ist. In diesem Dokument werden Standort-zu-Standort-VPN-Verbindungen erläutert. VPN-Protokolle Es gibt drei VPN-Protokolle für Standort-zu-Standort-Verbindungen: PPTP (Point-to-Point Tunneling-Protokoll) L2TP (Layer 2 Tunneling-Protokoll) über IPSec (IP Security) IPSec-Tunnelmodus (Internet Protocol Security) Einführung 3 PPTP PPTP (Point-to-Point Tunneling-Protokoll) ist ein Netzwerkprotokoll, das eine sichere Datenübertragung von einem Remoteclient zu einem privaten Unternehmensserver ermöglicht, indem über TCP/IP-basierte Netzwerke ein VPN eingerichtet wird. PPTP unterstützt bedarfsgesteuerte, Multiprotokoll- und VPN-Verbindungen über öffentliche Netzwerke wie beispielsweise das Internet. Mit PPTP kann der IP-Datenverkehr verschlüsselt und anschließend in einen IP-Header eingekapselt werden, der dann über ein IP-Unternehmensnetzwerk oder ein öffentliches IP-Netzwerk wie das Internet gesendet wird. L2TP über IPSec L2TP (Layer 2 Tunneling-Protokoll) ist der Industriestandard für Internet-Tunneling-Protokolle, das die Einkapselung von PPP-Frames (Point-to-Point-Protokoll) zum Senden über paketorientierte Medien ermöglicht. Mit L2TP kann der IP-Datenverkehr verschlüsselt und anschließend über ein beliebiges Medium gesendet werden, das eine Punkt-zu-Punkt-Zustellung von Datagrammen unterstützt (z. B. IP). Die Microsoft-Implementierung des Protokolls L2TP verwendet IPSec-Verschlüsselung (Internet Protocol Security), um den Datenstrom vom VPNClient zum VPN-Server zu schützen. Der IPSec-Tunnelmodus ermöglicht das Verschlüsseln von IP-Paketen und das anschließende Einkapseln in einen IP-Header, um sie über ein IPUnternehmensnetzwerk oder ein öffentliches IP-Netzwerk wie das Internet zu senden. PPTP-Verbindungen erfordern nur eine Authentifizierung auf Benutzerebene über ein PPPbasiertes Authentifizierungsprotokoll. Bei Verbindungen mit L2TP über IPSec ist auch eine Authentifizierung auf Benutzerebene und zusätzlich eine Authentifizierung auf Computerebene über Computerzertifikate erforderlich. 4 Standort-zu-Standort-VPN in ISA Server 2004 Wichtig PPTP- bzw. L2TP-über IPSec-Verbindungen VPN-Server, auf denen Microsoft Windows Server™ 2003 ausgeführt wird, unterstützen sowohl PPTP als auch L2TP. Für die Entscheidung zwischen Router-zu-Router-VPN-Lösungen mit PPTP und L2TP über IPSec sollten Sie Folgendes berücksichtigen: PPTP kann bei Routern, auf denen Windows Server 2003, Windows® 2000 Server oder Windows NT® Server 4.0 mit RRAS (Routing and Remote Access Service) ausgeführt wird, für Router-zu-Router-VPN-Verbindungen verwendet werden. PPTP benötigt zum Ausstellen von Computerzertifikaten keine PKI (Public Key Infrastructure). Durch Verschlüsselung wird bei PPTP-basierten VPN-Verbindungen die Vertraulichkeit der Daten gewährleistet. Abgefangene Daten können ohne den Verschlüsselungsschlüssel nicht ausgewertet werden. PPTP-basierte VPN-Verbindungen bieten jedoch keine Datenintegrität (Nachweis, dass die Daten während der Übertragung nicht geändert wurden) und keine Authentifizierung der Herkunft der Daten (Nachweis, dass die Daten durch den autorisierten Benutzer gesendet wurden). L2TP kann nur mit Routern verwendet werden, auf denen das Betriebssystem Windows Server 2003 oder Windows 2000 Server ausgeführt wird. Wenn beide Routertypen verwendet werden, ist eine PKI (Public Key Infrastructure) erforderlich, um Computerzertifikate an alle Router auszustellen. Router, auf denen das Betriebssystem Windows Server 2003 ausgeführt wird, unterstützen außerdem einen gemeinsamen, auf dem antwortenden und allen rufenden Routern vorinstallierten Schlüssel. Mithilfe von IPSec gewährleisten L2TP-über-IPSec-Verbindungen Datenverschlüsselung, Datenintegrität und Authentifizierung der Herkunft der Daten. IPSec-Tunnelmodus Als Tunneling wird der gesamte Vorgang von Einkapselung, Weiterleitung und Entkapselung bezeichnet. Beim Tunneling wird das Ursprungspaket in ein neues Paket „verpackt“ oder eingekapselt. Dieses neue Paket kann neue Adressierungs- und Weiterleitungsinformationen enthalten, anhand der es über ein Netzwerk übertragen werden kann. Wenn Tunneling mit Datenverschlüsselung kombiniert wird, sind die ursprünglichen Paketdaten (wie die ursprünglichen Angaben zu Quelle und Ziel) für niemanden erkennbar, der den Datenverkehr im Netzwerk abhört. Wenn die eingekapselten Pakete ihr Ziel erreichen, wird die Kapselung entfernt, und das Originalpaket wird anhand des Originalheaders an den Endpunkt der Übertragung geleitet. Der Tunnel selbst ist der logische Datenpfad, über den die eingekapselten Pakete geleitet werden. Für den ursprünglichen Quell- und Zielpeer ist der Tunnel in der Regel transparent und wird wie jede andere Punkt-zu-Punkt-Verbindung im Netzwerkpfad wahrgenommen. Für die Peers existieren keine Router, Switches, Proxyserver oder andere Sicherheitsgateways zwischen dem Anfangs- und dem Endpunkt des Tunnels. Wenn Tunneling mit Datenverschlüsselung kombiniert wird, kann damit ein VPN aufgebaut werden. Szenarien 5 Die eingekapselten Pakete werden im Tunnel über das Netzwerk gesendet. In diesem Beispiel ist das Netzwerk das Internet. Das Gateway kann beispielsweise ein Edgegateway sein, das sich zwischen dem Internet und dem privaten Netzwerk befindet. Bei dem Edgegateway kann es sich um einen Router, einen Firewall, einen Proxyserver oder ein anderes Sicherheitsgateway handeln. Darüber hinaus kann der Datenverkehr in nicht vertrauenswürdigen Teilen des Netzwerks mithilfe von zwei Gateways innerhalb des privaten Netzwerks geschützt werden. Bei Verwendung im Tunnelmodus gewährleistet IPSec (Internet Protocol Security) selbst Einkapselung nur für IP-Datenverkehr. Der wichtigste Grund für die Verwendung des IPSecTunnelmodus liegt in der Interoperabilität mit Routern, Gateways oder Endsystemen, die L2TPüber-/IPSec oder PPTP-VPN-Tunneling nicht unterstützen. Informationen über Interoperabilität finden Sie auf der Website des Virtual Private Network Consortium (Virtuelles privates Netzwerk, Website nur auf Englisch verfügbar: http://www.vpnc.org). Anmerkung Um ein Remotestandortnetzwerk zu erstellen, das den IPSecProtokolltunnelmodus auf einem Computer mit Windows 2000 verwendet, müssen Sie das Tool IPSecPol installieren, das auf der Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=16466) zur Verfügung steht. Das Tool muss im ISA Server-Installationsordner installiert werden. Wenn Sie ein Remotestandortnetzwerk erstellen, in dem das IPSecTunneling-Protokoll verwendet wird, modifiziert der Microsoft-Firewalldienst beim Neustart des Firewalldienstes die IPSec-Filter auf dem Computer. Dieser Vorgang kann in Abhängigkeit von der Anzahl der Subnetze, die in den Adressbereichen des Netzwerks enthalten sind, einige Minuten dauern. Um diese Zeitspanne zu verringern, sollten Sie IP-Adressbereiche definieren, die mit den Subnetzgrenzen übereinstimmen. Szenarien Große Unternehmen verfügen häufig über mehrere Standorte, die untereinander kommunizieren müssen, z. B. eine Unternehmenszentrale in München und eine Vertriebsniederlassung in Berlin. Die beiden Filialen können mithilfe eines Standort-zu-Standort-VPN sicher über das Internet verbunden werden. Internet Security & Acceleration (ISA) Server 2004 bietet drei Verfahren zum Herstellen einer Standort-zu-Standort-VPN-Verbindung: IPSec-Tunnelmodus (Internet Protocol Security), L2TP (Layer 2 Tunneling-Protokoll) über IPSec und PPTP (Point-to-Point Tunneling-Protokoll). In diesem Dokument werden zwei Szenarien behandelt: Der Standort, mit dem Sie eine Verbindung herstellen, verwendet als VPN-Server das Produkt eines Drittanbieters. In diesem Szenario sollten Sie die IPSec-Tunnelmoduslösung verwenden. 6 Standort-zu-Standort-VPN in ISA Server 2004 Der Standort, mit dem Sie eine Verbindung herstellen, verwendet als VPN-Server ISA Server 2004, ISA Server 2000, Windows Server 2003 oder Windows 2000 Server. In diesem Szenario können Sie entweder die L2TP-über-IPSec-Lösung oder die PPTP-Lösung verwenden. L2TP über IPSec gilt als die Lösung, die größere Sicherheit bietet. Lösungen Bei Verwendung von Internet Security & Acceleration (ISA) Server 2004 wird eine Standort-zuStandort-VPN-Verbindung in den folgenden Hauptschritten konfiguriert. Konfigurieren Sie den lokalen VPN-Server, bei dem es sich in diesem Fall um den ISA Server-Computer handelt. Hierbei wird ein Protokoll für die VPN-Verbindung ausgewählt. Konfigurieren Sie die ISA Server-Netzwerkregeln und die Zugriffsrichtlinie. Für L2TP über IPSec und für PPTP müssen Sie die allgemeinen VPN-Eigenschaften für Verbindungen konfigurieren, die von VPN-Remotestandorten initiiert wurden, da solche Standorte von ISA Server als VPN-Clients angesehen werden. Konfigurieren Sie die automatische Einwahl, wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist. Konfigurieren Sie den VPN-Remoteserver. Sie können die VPN-Verbindung mit einem dieser drei Protokolle erstellen: IPSec-Tunnelmodus (Internet Protocol Security) L2TP (Layer 2 Tunneling-Protokoll) über IPSec PPTP (Point-to-Point Tunneling-Protokoll) In der folgenden Tabelle werden die drei Protokolle miteinander verglichen. Lösungen 7 Protokoll Verwendung Sicherheitsstufe Kommentare IPSecTunnelmodus Verbindung zu VPN-Servern von Drittanbietern Hoch Für Verbindungen zu VPN-Servern anderer Hersteller als Microsoft können Sie nur diese Option verwenden. L2TP über IPSec Verbindung zu einem ISA Server 2004Computer, ISA Server 2000Computer oder Windows-VPNServer Hoch Verwendet Routing und RAS. Weniger kompliziert als die IPSecTunnellösung. Der Remote-VPNServer muss jedoch ein ISA ServerComputer oder ein Windows-VPNServer sein. PPTP Verbindung zu einem ISA Server 2004Computer, ISA Server 2000Computer oder Windows-VPNServer Mittel Verwendet Routing und RAS. Gleiche Einschränkungen wie für L2TP, dabei jedoch etwas einfacher zu konfigurieren. L2TP gilt als das sicherere Protokoll, da IPSecVerschlüsselung verwendet wird. Die folgenden Abschnitte enthalten eine Kurzanleitung zu jedem dieser Protokolle. Kurzanleitung zur IPSec-Tunnellösung Verwenden Sie die IPSec-Tunnellösung in einem Szenario, in dem Sie ISA Server 2004 als VPN-Server einsetzen und der Standort, mit dem Sie eine Verbindung herstellen, als VPN-Server ein Produkt von Drittanbietern oder ISA Server 2004 verwendet. Dieses Szenario wird im folgenden Abschnitt zur Netzwerktopologie erläutert. Netzwerktopologie der IPSec-Tunnellösung In der folgenden Abbildung ist eine mögliche Netzwerktopologie für die IPSec-Tunnellösung dargestellt. 8 Standort-zu-Standort-VPN in ISA Server 2004 Wie aus der Abbildung ersichtlich ist, verwendet die Hauptniederlassung ISA Server 2004 als VPN-Server. ISA Server 2004 ist auf einem Computer mit Windows Server 2003 oder Windows 2000 Server installiert. In der Zweigniederlassung kann sich ein VPN-Server eines Drittanbieters befinden. Informationen über die Konfiguration für VPN-Server von Drittanbietern finden Sie auf der Website des Virtual Private Network Consortium (Virtuelles privates Netzwerk, Website nur auf Englisch verfügbar: http://www.vpnc.org). In der Zweigniederlassung kann jedoch als VPNServer auch ISA Server 2004, Windows Server 2003 oder Windows 2000 Server eingesetzt werden. Kurzanleitung zur IPSec-Tunnellösung – Schritt 1: Hinzufügen eines Remotestandortnetzwerks Wenn Sie in ISA Server ein Standort-zu-Standort-VPN konfigurieren, richten Sie ein neues Netzwerk ein: den Remotestandort, der vom ISA Server-Computer als Remote-VPN behandelt wird. Das Netzwerk wird wie folgt eingerichtet. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus. 4. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Remotestandortnetzwerk hinzufügen, um den Assistenten für ein neues Netzwerk zu starten. 5. Geben Sie auf der Seite Willkommen einen Namen für das neue Netzwerk an, z. B. IPSecTunnel für Niederlassung Berlin, und klicken Sie dann auf Weiter. Die Länge des Netzwerknamens ist auf 200 Zeichen begrenzt. 6. Wählen Sie auf der Seite VPN-Protokoll die Option IPSec-Tunnelmodus (IP SecurityProtokoll) aus, und klicken Sie dann auf Weiter. Lösungen 9 7. Auf der Seite Verbindungseinstellungen müssen Sie die IP-Adresse des Remote- und lokalen VPN-Servers angeben. Geben Sie unter IP-Adresse des Remote-VPN-Gateways die IP-Adresse an, über die der VPN-Remoteserver die Verbindung mit dem Internet herstellt. Im Beispiel lautet die IP-Adresse des Remote-VPN-Gateways 208.147.66.1 (siehe Abbildung). 8. Klicken Sie auf Netzwerke, um das Dialogfeld Zugriffsnetzwerke zu öffnen. Wählen Sie das als VPN-Gateway für den ISA Server-Computer fungierende Netzwerk aus. In der Regel (und in der Standardeinstellung) ist dies das Netzwerk Extern, da die VPN-Verbindung über das Internet hergestellt wird. Klicken Sie auf OK, um das Dialogfeld Zugriffsnetzwerke zu schließen. 9. Wählen Sie unter IP-Adresse des lokalen VPN-Gateways die IP-Adresse des Netzwerkadapters aus, über den die Verbindung des ISA Server-Computers mit dem im vorhergehenden Schritt ausgewählten Netzwerk erfolgt. In der Abbildung lautet die IPAdresse des Netzwerkadapters, über den der ISA Server-Computer mit dem externen Netzwerk verbunden ist, beispielsweise 157.54.0.1. 10. Wählen Sie auf der Seite IPSec-Authentifizierung die Option Vorinstallierten Schlüssel für Authentifizierung verwenden aus. Dies ist die standardmäßige IPSecAuthentifizierungsmethode für die IPSec-Tunnellösung. Geben Sie den vorinstallierten Schlüssel ein, und klicken Sie anschließend auf Weiter. 11. Klicken Sie auf der Seite Netzwerkadressen auf Hinzufügen, und fügen Sie die Adressbereiche des Remotenetzwerks hinzu. Sie erhalten diese Informationen vom Administrator des Remotenetzwerks. 12. Überprüfen Sie auf der Zusammenfassungsseite die Konfiguration, und klicken Sie dann auf Fertig stellen. 13. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die Änderungen zu übernehmen. Anmerkung Vor- und Nachteile vorinstallierter Schlüssel Für die Authentifizierung mit vorinstallierten Schlüsseln sind nicht die Investitionen in Hardware und Konfiguration erforderlich, wie dies bei einer PKI (Public Key Infrastructure) der Fall ist, die für die Verwendung von Computerzertifikaten zur IPSec-Authentifizierung benötigt wird. Vordefinierte Schlüssel können auf einem lokalen VPN-Server einfach konfiguriert werden. Im Gegensatz zu Zertifikaten kann der Ursprung und der Verlauf eines vorinstallierten Schlüssels nicht ermittelt werden. Aus diesen Gründen wird die Verwendung von vorinstallierten Schlüsseln zum Authentifizieren von IPSec-Verbindungen als relativ unsichere Authentifizierungsmethode angesehen. Wenn Sie eine langfristige, sichere Authentifizierungsmethode verwenden möchten, sollten Sie die Verwendung einer PKI in Betracht ziehen. Dies erfordert die Installation digitaler Zertifikate von derselben Authentifizierungsstelle auf dem lokalen und dem Remote-VPN-Server. Weitere Informationen über digitale Zertifikate finden Sie in diesem Dokument in Anhang A: Installieren digitaler Zertifikate auf dem lokalen und Remote-VPN-Server. 10 Standort-zu-Standort-VPN in ISA Server 2004 Wichtig Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie im Detailbereich auf der Registerkarte Alarme nach dem Alarm Ein Neustart des ISA Server-Computers ist erforderlich. Die Beschreibung zu diesem Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer neu starten. Kurzanleitung zur IPSec-Tunnellösung – Schritt 2: Erstellen von Netzwerkregeln und Firewallrichtlinien Nachdem Sie das Remote-VPN erstellt haben, wird dieses von ISA-Server wie jedes andere Netzwerk betrachtet, das mit dem ISA Server-Computer verbunden ist. Sie müssen nun folgende Elemente erstellen: Netzwerkregeln, um festzulegen, ob das Netzwerk über ein NAT- (Network Address Translation) oder Routeverhältnis mit den anderen Netzwerken verfügt, die mit dem ISA Server-Computer verbunden sind. Richten Sie ein Routeverhältnis ein, da eine bidirektionale Kommunikation zwischen den VPNs erforderlich ist. Ein NAT-Verhältnis ist unidirektional. Wenn die Computer, die zwischen den verschiedenen Netzwerken kommunizieren müssen, über öffentliche IP-Adressen verfügen, kann ohne Bedenken hinsichtlich doppelter Adressen ein Routeverhältnis erstellt werden, da öffentliche IP-Adressen eindeutig sind. Wenn die Computer über private IP-Adressen verfügen, z. B. im Bereich 0.10.10.0 – 10.255.255.255, besteht die Gefahr, dass die VPNs doppelte Adressen enthalten. Damit ein Routeverhältnis eingerichtet werden kann, müssen die Administratoren der Netzwerke sicherstellen, dass für die Computer der beiden zu verbindenden VPN keine doppelten IP-Adressen vergeben sind. Anmerkung Bei einem NAT-Verhältnis zwischen zwei VPNs schlägt die Kommunikation zwischen den Netzwerken fehl. Wenn jedoch für eins der Netzwerke ein Routeverhältnis festgelegt wurde, kann für das andere Netzwerk ein NATVerhältnis konfiguriert werden. Die Kommunikation ist dann möglich. Zugriffsregeln zum Steuern des Zugriffs auf das Remotenetzwerk und des Zugriffs vom Remotenetzwerk. Beim Erstellen von Zugriffsregeln können Sie festlegen, dass mit den Regeln übereinstimmende Anforderungen in die ISA Server-Protokollierung geschrieben werden. Sie können dann auf die Protokollierung zugreifen, um den Zugriff vom und auf das Remotestandortnetzwerk zu überprüfen. Lösungen 11 Beispiele möglicher Firewallrichtlinien für Standort-zu-Standort-VPN-Szenarien finden Sie in diesem Dokument in Anhang D: Firewallrichtlinien für Standort-zu-Standort-VPNs. Das Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden des Assistenten für neue Zugriffsregeln beschrieben. Informationen über Netzwerk- und Zugriffsregeln finden Sie in der ISA Server 2004-Hilfe. Kurzanleitung zur IPSec-Tunnellösung – Schritt 3: Konfigurieren der automatischen Einwahl Wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist, können Sie ISA Server so konfigurieren, dass eine automatische Einwahl erfolgt, sobald ein Clientcomputer eine Anfrage an das Remote-VPN sendet. Das Verfahren zum Konfigurieren der automatischen Einwahl wird in diesem Dokument in Anhang B: Konfigurieren der automatischen Einwahl beschrieben. Kurzanleitung zur IPSec-Tunnellösung – Schritt 4: Konfigurieren des Remote-VPN-Servers Der VPN-Remoteserver muss so konfiguriert werden, dass die Verbindung zum ISA ServerComputer entsprechend den Herstelleranweisungen im IPSec-Tunnelmodus hergestellt wird. Auf der Website des Virtual Private Network Consortium (Virtuelles privates Netzwerk, Website nur auf Englisch verfügbar: http://www.vpnc.org) finden Sie möglicherweise weitere nützliche Informationen. ISA Server bietet eine Übersicht über die zur Konfiguration des Remoteservers erforderlichen Informationen. Um diese Übersichtsinformationen anzuzeigen, gehen Sie wie folgt vor. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus. 4. Wählen Sie das Netzwerk aus, das Sie in Schritt 1 erstellt haben. 5. Klicken Sie auf der Registerkarte Aufgaben im Aufgabenbereich auf IPSec-Richtlinie anzeigen. Das nun angezeigte Dialogfeld enthält die Informationen, die der Administrator des Remote-VPN-Servers zum Konfigurieren der Verbindung vom Remote-VPN-Server zum ISA Server-Computer benötigt. Kurzanleitung zur IPSec-Tunnellösung – Schritt 5: Testen der Verbindung Testen Sie die VPN-Verbindung, wie in diesem Dokument in Anhang C: Testen und Überwachen der VPN-Verbindung beschrieben. Zwar wird im Anhang sowohl das Testen als auch das Überwachen beschrieben, doch wird für diesen Schritt nur das Verfahren zum Testen verwendet. 12 Standort-zu-Standort-VPN in ISA Server 2004 Kurzanleitung zur IPSec-Tunnellösung – Schritt 6: Konfigurieren der erweiterten IPSec-Einstellungen Sie können erweiterte IPSec-Einstellungen konfigurieren, insbesondere die IKEProtokolleinstellungen (Internet Key Exchange) Phase I und Phase II. Gehen Sie wie folgt vor, um die Einstellungen aufzurufen. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus, und doppelklicken Sie auf das Remotestandortnetzwerk, für das Sie die IKE-Einstellungen konfigurieren möchten. Die entsprechende Eigenschaftenseite wird geöffnet. 4. Klicken Sie auf der Registerkarte Verbindung auf IPSec-Einstellungen, um das Dialogfeld IPSec-Konfiguration zu öffnen. In diesem Dialogfeld können Sie die Registerkarten Phase I und Phase II auswählen und anschließend die Einstellungen ändern. 5. Klicken Sie auf OK, um das Dialogfeld IPSec-Konfiguration zu schließen, und klicken Sie anschließend erneut auf OK, um das Eigenschaftendialogfeld für das Netzwerk zu schließen. 6. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Kurzanleitung zur L2TP-über-IPSec-Lösung Verwenden Sie die L2TP-über-IPSec-Lösung in einem Szenario, in dem Sie ISA Server 2004 als VPN-Server einsetzen und am Standort, mit dem Sie eine Verbindung herstellen, als VPN-Server Windows Server 2003, Windows 2000 Server, ISA Server 2004 oder ISA Server 2000 ausgeführt wird. ISA Server 2004 verwendet zum Herstellen der VPN-Verbindung mit L2TP über IPSec die Windows-Komponente Routing und RAS. Netzwerktopologie für die L2TP-über-IPSec-Lösung In der folgenden Abbildung ist eine mögliche Netzwerktopologie für die L2TP-über-IPSecLösung dargestellt. Lösungen 13 Wie aus der Abbildung ersichtlich ist, verwendet die Hauptniederlassung einen ISA Server 2004Computer als VPN-Server. ISA Server 2004 ist auf einem Computer mit Windows Server 2003 oder Windows 2000 Server installiert. In der Zweigniederlassung wird als VPN-Server Windows Server 2003, Windows 2000 Server, ISA Server 2004 oder ISA Server 2000 ausgeführt. Kurzanleitung zu L2TP über IPSec – Schritt 1: Hinzufügen eines Remotestandortnetzwerks Wenn Sie in ISA Server ein Standort-zu-Standort-VPN konfigurieren, richten Sie ein neues Netzwerk ein: den Remotestandort, der vom ISA Server-Computer als Remote-VPN behandelt wird. Das Netzwerk wird wie folgt eingerichtet. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus. 4. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Remotestandortnetzwerk hinzufügen, um den Assistenten für ein neues Netzwerk zu starten. 5. Geben Sie auf der Seite Willkommen einen Namen für das neue Netzwerk an, z. B. L2TP über IPSec für Niederlassung Berlin, und klicken Sie dann auf Weiter. 6. Wählen Sie auf der Seite VPN-Protokoll die Option L2TP (Layer Two TunnelingProtokoll) über IPSec aus, und klicken Sie dann auf Weiter. 7. Geben Sie auf der Seite Remotestandortgateway den Namen oder die IP-Adresse für die Remote-VPN-Server an, und klicken Sie dann auf Weiter. Im Beispiel lautet die IP-Adresse des Remote-VPN-Gateways 208.147.66.1 (siehe Abbildung). 8. Auf der Seite Remoteauthentifizierung können Sie festlegen, dass ausgehende Verbindungen vom lokalen Standort zum Remotestandort zugelassen werden. Wenn Sie 14 Standort-zu-Standort-VPN in ISA Server 2004 diese Option aktivieren, müssen Sie einen Benutzernamen, eine Domäne und ein Kennwort für die Verbindung angeben. Wenn Sie diese Option nicht aktivieren, können Sie keine ausgehenden Verbindungen mit dem VPN-Remotestandort einrichten, obwohl Sie Verbindungen von diesem Standort annehmen können. Klicken Sie auf Weiter. 9. Die Seite Lokale Authentifizierung enthält einen Hinweis, dass für das lokale Netzwerk ein Benutzer mit Einwähleigenschaften konfiguriert sein muss, damit das Remotenetzwerk eine Verbindung mit dem lokalen Netzwerk initiieren kann. Der Name dieses Benutzers muss mit dem Namen des Remotenetzwerks identisch sein. Anmerkung Um einen Benutzer mit Einwähleigenschaften zu konfigurieren, öffnen Sie die Computerverwaltung. (Klicken Sie auf dem Desktop mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Verwalten.) Klicken Sie unter Lokale Benutzer und Gruppen mit der rechten Maustaste auf Benutzer, und wählen Sie dann Neuer Benutzer aus. Nehmen Sie Eingaben in die Felder des Dialogfelds Neuer Benutzer vor, und stellen Sie dabei sicher, dass der von Ihnen angegebene Name mit dem Namen des Remotenetzwerks übereinstimmt. Doppelklicken Sie auf den Namen des neuen Benutzers, damit dessen Eigenschaften angezeigt werden, und wählen Sie die Registerkarte Einwählen aus. Wählen Sie unter RASBerechtigung (Einwählen oder VPN) die Option Zugriff gestatten aus. Klicken Sie zum Schließen des Dialogfelds auf OK. 10. Klicken Sie auf der Seite Lokale Authentifizierung auf Weiter. 11. Auf der Seite L2TP/IPSec-Authentifizierung steht die Option Vorinstallierten Schlüssel für IPSec-Authentifizierung als sekundäre (alternative) Authentifizierungsmethode zulassen zur Verfügung. Bei Auswahl dieser Option müssen Sie den vordefinierten Schlüssel angeben. Als primäre Authentifizierungsmethode werden digitale Zertifikate verwendet, wenn Sie sowohl auf dem lokalen als auch dem Remote-VPN-Server digitale Zertifikate (IPSec) von derselben vertrauenswürdigen Zertifizierungsstelle installiert haben. Weitere Informationen über digitale Zertifikate finden Sie in diesem Dokument in Anhang A: Installieren digitaler Zertifikate auf dem lokalen und Remote-VPN-Server. Klicken Sie auf Weiter. Lösungen 15 Anmerkung Vor- und Nachteile vorinstallierter Schlüssel Für die Authentifizierung mit vorinstallierten Schlüsseln sind nicht die Investitionen in Hardware und Konfiguration erforderlich, wie dies bei einer PKI (Public Key Infrastructure) der Fall ist, die für die Verwendung von Computerzertifikaten zur IPSec-Authentifizierung benötigt wird. Vordefinierte Schlüssel können auf einem lokalen VPN-Server einfach konfiguriert werden. Ein einzelner lokaler VPN-Server kann nur einen einzigen vorinstallierten Schlüssel für alle L2TP-über-IPSec-Verbindungen verwenden, die einen vorinstallierten Schlüssel zur Authentifizierung erfordern. Daher müssen Sie im L2TP über IPSec-Szenario denselben vorinstallierten Schlüssel an alle VPN-Remotestandorte ausgeben, die mithilfe eines vorinstallierten Schlüssels eine Verbindung mit dem lokalen VPN-Server herstellen. Diese Einschränkung reduziert die Sicherheit der Bereitstellung und erhöht gleichzeitig die Wahrscheinlichkeit von Fehlern. Wenn der vorinstallierte Schlüssel auf einem lokalen VPN-Server geändert wird, kann ein RemoteVPN-Server mit einem manuell konfigurierten vorinstallierten Schlüssel so lange keine Verbindung mit diesem Server herstellen, bis der vorinstallierte Schlüssel auf dem Remote-VPN-Server geändert wird. Im Gegensatz zu Zertifikaten kann der Ursprung und der Verlauf eines vorinstallierten Schlüssels nicht ermittelt werden. Aus diesen Gründen wird die Verwendung von vorinstallierten Schlüsseln zum Authentifizieren von IPSec-Verbindungen als relativ unsichere Authentifizierungsmethode angesehen. Wenn Sie eine langfristige, sichere Authentifizierungsmethode verwenden möchten, sollten Sie die Verwendung einer PKI in Betracht ziehen. Dies erfordert die Installation digitaler Zertifikate von derselben Authentifizierungsstelle auf dem lokalen und dem Remote-VPN-Server. Weitere Informationen über digitale Zertifikate finden Sie in diesem Dokument in Anhang A: Installieren digitaler Zertifikate auf dem lokalen und Remote-VPN-Server. 12. Klicken Sie auf der Seite Netzwerkadressen auf Hinzufügen, und fügen Sie die Adressbereiche des Remotenetzwerks hinzu. Sie erhalten diese Informationen vom Administrator des Remotenetzwerks. Nachdem Sie die Adressbereiche hinzugefügt haben, klicken Sie auf der Seite Netzwerkadressen auf Weiter. 13. Überprüfen Sie auf der Zusammenfassungsseite die Konfiguration, und klicken Sie dann auf Fertig stellen. Kurzanleitung zu L2TP über IPSec – Schritt 2: Festlegen der allgemeinen VPN-Eigenschaften ISA Server verwendet beim Authentifizieren der durch den Remotestandort initiierten Standortzu-Standort-VPN-Verbindungen die Eigenschaften der allgemeinen VPN-Konfiguration. Um sicherzustellen, dass eine sichere Verbindung hergestellt werden kann, müssen Sie die allgemeinen VPN-Eigenschaften konfigurieren. 16 Standort-zu-Standort-VPN in ISA Server 2004 Anmerkung Wenn Sie im Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) die allgemeine VPN-Konfiguration festlegen, werden die Einstellungen auf jede durch einen Remoteclient initiierte VPN-Verbindung angewendet, unabhängig davon, ob es sich um einen mobilen Client oder einen Remotestandort handelt. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben unter Allgemeine VPNKonfiguration auf Zugriffsnetzwerke auswählen. Dadurch wird das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) geöffnet und die Registerkarte Zugriffsnetzwerke angezeigt. Wählen Sie auf dieser Registerkarte das von Ihnen erstellte Remote-VPN aus, so dass das Remotenetzwerk eine Verbindung mit dem lokalen VPNServer initiieren kann. 4. Wählen Sie die Registerkarte Adresszuweisung aus. Es wird empfohlen, einen DHCPServer (Dynamic Host Configuration-Protokoll) zu verwenden, um VPN-Clients beim Herstellen der Verbindung IP-Adressen dynamisch zuzuweisen. Wählen Sie Dynamic Host Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, um anzugeben, dass sich der DHCP-Server im internen Netzwerk befindet. Klicken Sie auf OK. Tipp Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung dargestellt. Lösungen 17 Stattdessen können Sie auch einen Router speziell zum Durchleiten von DHCP-Anforderungen an einen DHCP-Server hinter dem Router oder einen DHCP-Relayagent auf dem ISA Server-Computer konfigurieren. Wenn Sie kein DHCP konfigurieren möchten, wählen Sie in diesem Schritt nicht Dynamic Host Configuration-Protokoll (DHCP), sondern Statischer Adresspool aus. Klicken Sie dann auf Hinzufügen, um dem statischen Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen. Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.) Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem statischen Adresspool hinzugefügt werden können. Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in der ISA Server-Verwaltung den Knoten Konfiguration, und klicken Sie dann auf Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte Adressen einen Bereich von IP-Adressen aus, und klicken Sie auf Entfernen, um diesen Bereich zu entfernen. Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig zugewiesen werden. 5. Klicken Sie auf die Registerkarte Authentifizierung, und wählen Sie die Authentifizierungsmethoden aus, die für die Anforderungen eingehender Verbindungen verwendet werden. Wenn für die Verbindung ein vordefinierter Schlüssel verwendet wird, wählen Sie außerdem IPSec-Richtlinie für L2TP-Verbindung zulassen aus, und geben Sie den vordefinierten Schlüssel an. 6. Wenn der Benutzer, dessen Anmeldeinformationen für die Remote-VPN-Verbindung verwendet werden, mithilfe von RADIUS authentifiziert wird, wählen Sie die Registerkarte RADIUS aus, und konfigurieren Sie die Verwendung von RADIUS. 7. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) zu schließen. 8. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. 18 Standort-zu-Standort-VPN in ISA Server 2004 Wichtig Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie auf der Registerkarte Alarme nach dem Alarm Ein Neustart des ISA ServerComputers ist erforderlich. Die Beschreibung zu diesem Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer neu starten. Kurzanleitung zu L2TP über IPSec – Schritt 3: Erstellen von Netzwerkregeln und Firewallrichtlinien Nachdem Sie das Remote-VPN erstellt haben, wird dieses von ISA-Server wie jedes andere Netzwerk betrachtet, das mit dem ISA Server-Computer verbunden ist. Sie müssen nun folgende Elemente erstellen: Netzwerkregeln, um festzulegen, ob das Netzwerk über ein NAT- (Network Address Translation) oder Routeverhältnis mit den anderen Netzwerken verfügt, die mit dem ISA Server-Computer verbunden sind. Richten Sie ein Routeverhältnis ein, da eine bidirektionale Kommunikation zwischen den VPNs erforderlich ist. Ein NAT-Verhältnis ist unidirektional. Wenn die Computer, die zwischen den verschiedenen Netzwerken kommunizieren müssen, über öffentliche IP-Adressen verfügen, kann ohne Bedenken hinsichtlich doppelter Adressen ein Routeverhältnis erstellt werden, da öffentliche IP-Adressen eindeutig sind. Wenn die Computer über private IP-Adressen verfügen, z. B. im Bereich 0.10.10.0 – 10.255.255.255, besteht die Gefahr, dass die VPNs doppelte Adressen enthalten. Damit ein Routeverhältnis eingerichtet werden kann, müssen die Administratoren der Netzwerke sicherstellen, dass für die Computer der beiden zu verbindenden VPN keine doppelten IP-Adressen vergeben sind. Verwenden Sie zum Erstellen einer Netzwerkregel das in diesem Dokument in Anhang H: Erstellen einer neuen Netzwerkregel beschriebene Verfahren. Anmerkung Bei einem NAT-Verhältnis zwischen zwei VPNs schlägt die Kommunikation zwischen den Netzwerken fehl. Wenn jedoch für eins der Netzwerke ein Routeverhältnis festgelegt wurde, kann für das andere Netzwerk ein NATVerhältnis konfiguriert werden. Die Kommunikation ist dann möglich. Zugriffsregeln zum Steuern des Zugriffs auf das Remotenetzwerk und des Zugriffs vom Remotenetzwerk. Beim Erstellen von Zugriffsregeln können Sie festlegen, dass mit den Regeln übereinstimmende Anforderungen in die ISA Server-Protokollierung geschrieben werden. Sie können dann auf die Protokollierung zugreifen, um den Zugriff vom und auf das Remotestandortnetzwerk zu überprüfen. Beispiele möglicher Firewallrichtlinien für Standort-zu-Standort-VPN-Szenarien finden Sie in diesem Dokument in Anhang D: Firewallrichtlinien für Standort-zu-Standort-VPNs. Das Lösungen 19 Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden des Assistenten für neue Zugriffsregeln beschrieben. Informationen über Netzwerk- und Zugriffsregeln finden Sie in der ISA Server 2004-Hilfe. Kurzanleitung zu L2TP über IPSec – Schritt 4: Konfigurieren der automatischen Einwahl Wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist, können Sie ISA Server so konfigurieren, dass eine automatische Einwahl erfolgt, sobald ein Clientcomputer eine Anfrage an das Remote-VPN sendet. Das Verfahren zum Konfigurieren der automatischen Einwahl wird in diesem Dokument in Anhang B: Konfigurieren der automatischen Einwahl beschrieben. Kurzanleitung zu L2TP über IPSec – Schritt 5: Konfigurieren des Remote-VPN-Servers Konfigurieren Sie den Remote-VPN-Server so, dass Verbindungen mit dem ISA ServerComputer im L2TP über IPSec-Modus hergestellt werden. Befolgen Sie zum Konfigurieren des Remote-VPN-Servers die Anweisungen des Herstellers. Wenn der Remoteserver beispielsweise ein ISA Server 2004-Computer ist, führen Sie zum Konfigurieren des ISA Server 2004Remotecomputers die Schritte dieser durch. Kurzanleitung zu L2TP über IPSec – Schritt 6: Testen und Überwachen der Verbindung Testen und überwachen Sie die VPN-Verbindung, wie in diesem Dokument in Anhang C: Testen und Überwachen der VPN-Verbindung beschrieben. Kurzanleitung zur PPTP-Lösung Verwenden Sie die PPTP-Lösung in einem Szenario, in dem Sie ISA Server 2004 als VPNServer einsetzen und am Standort, mit dem Sie eine Verbindung herstellen, als VPN-Server Windows Server 2003, Windows 2000 Server, ISA Server 2004 oder ISA Server 2000 ausgeführt wird. ISA Server 2004 verwendet zum Herstellen der VPN-Verbindung mit PPTP die WindowsKomponente Routing und RAS. Netzwerktopologie für die PPTP-Lösung In der folgenden Abbildung ist eine mögliche Netzwerktopologie für die PPTP-Lösung dargestellt. 20 Standort-zu-Standort-VPN in ISA Server 2004 Wie aus der Abbildung ersichtlich ist, verwendet die Hauptniederlassung ISA Server 2004 als VPN-Server. ISA Server 2004 ist auf einem Computer mit Windows Server 2003 oder Windows 2000 Server installiert. In der Zweigniederlassung wird als VPN-Server Windows Server 2003, Windows 2000 Server, ISA Server 2004 oder ISA Server 2000 ausgeführt. Kurzanleitung zur PPTP-Lösung – Schritt 1: Hinzufügen eines Remotestandortnetzwerks Wenn Sie in ISA Server ein Standort-zu-Standort-VPN konfigurieren, richten Sie ein neues Netzwerk ein: den Remotestandort, der vom ISA Server-Computer als Remote-VPN behandelt wird. Das Netzwerk wird wie folgt eingerichtet. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus. 4. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Remotestandortnetzwerk hinzufügen, um den Assistenten für ein neues Netzwerk zu starten. 5. Geben Sie auf der Seite Willkommen einen Namen für das neue Netzwerk an, z. B. PPTP für Niederlassung Berlin, und klicken Sie dann auf Weiter. 6. Wählen Sie auf der Seite VPN-Protokoll die Option PPTP (Point-to-Point TunnelingProtokoll) aus, und klicken Sie dann auf Weiter. 7. Geben Sie auf der Seite Remotestandortgateway den Namen oder die IP-Adresse für die Remote-VPN-Server an, und klicken Sie dann auf Weiter. Im Beispiel lautet die IP-Adresse des Remote-VPN-Gateways 208.147.66.1 (siehe Abbildung). 8. Auf der Seite Remoteauthentifizierung können Sie festlegen, dass ausgehende Verbindungen vom lokalen Standort zum Remotestandort zugelassen werden. Wenn Sie Lösungen 21 diese Option aktivieren, müssen Sie einen Benutzernamen, eine Domäne und ein Kennwort für die Verbindung angeben. Wenn Sie diese Option nicht aktivieren, können Sie keine ausgehenden Verbindungen mit dem VPN-Remotestandort einrichten, obwohl Sie Verbindungen von diesem Standort annehmen können. Klicken Sie auf Weiter. 9. Die Seite Lokale Authentifizierung enthält einen Hinweis, dass für das Remotenetzwerk ein Benutzer mit Einwähleigenschaften konfiguriert sein muss. Der Name dieses Benutzers muss mit dem Namen des Remotenetzwerks identisch sein. Klicken Sie auf Weiter. Anmerkung Um einen Benutzer mit Einwähleigenschaften zu konfigurieren, öffnen Sie die Computerverwaltung. (Klicken Sie auf dem Desktop mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Verwalten.) Wählen Sie unter Lokale Benutzer und Gruppen die Option Benutzer aus. Doppelklicken Sie auf den Namen eines Benutzers, um dessen Eigenschaften anzuzeigen, und wählen Sie die Registerkarte Einwählen aus. Wählen Sie unter RAS-Berechtigung (Einwählen oder VPN) die Option Zugriff gestatten aus. Klicken Sie zum Schließen des Dialogfelds auf OK. 10. Klicken Sie auf der Seite Netzwerkadressen auf Hinzufügen, und fügen Sie die Adressbereiche des Remotenetzwerks hinzu. Sie erhalten diese Informationen vom Administrator des Remotenetzwerks. 11. Überprüfen Sie auf der Zusammenfassungsseite die Konfiguration, und klicken Sie dann auf Fertig stellen. 12. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die Änderungen zu übernehmen. Kurzanleitung zur PPTP-Lösung – Schritt 2: Festlegen der allgemeinen VPN-Eigenschaften ISA Server verwendet beim Authentifizieren der durch den Remotestandort initiierten Standortzu-Standort-VPN-Verbindungen die Eigenschaften der allgemeinen VPN-Konfiguration. Um sicherzustellen, dass eine sichere Verbindung hergestellt werden kann, müssen Sie die allgemeinen VPN-Eigenschaften konfigurieren. Anmerkung Wenn Sie im Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) die allgemeine VPN-Konfiguration festlegen, werden die Einstellungen auf jede durch einen Remoteclient initiierte VPN-Verbindung angewendet, unabhängig davon, ob es sich um einen mobilen Client oder einen Remotestandort handelt. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 22 Standort-zu-Standort-VPN in ISA Server 2004 3. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben unter Allgemeine VPNKonfiguration die Option Zugriffsnetzwerke auswählen aus. Dadurch wird das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) geöffnet und die Registerkarte Zugriffsnetzwerke angezeigt. Wählen Sie auf dieser Registerkarte das von Ihnen erstellte Remote-VPN aus, so dass das Remotenetzwerk eine Verbindung mit dem lokalen VPNServer initiieren kann. 4. Wählen Sie die Registerkarte Adresszuweisung aus. Es wird empfohlen, einen DHCPServer (Dynamic Host Configuration-Protokoll) zu verwenden, um VPN-Clients beim Herstellen der Verbindung IP-Adressen dynamisch zuzuweisen. Wählen Sie Dynamic Host Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, um anzugeben, dass sich der DHCP-Server im internen Netzwerk befindet. Klicken Sie auf OK. Tipp Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung dargestellt. Lösungen 23 Stattdessen können Sie auch einen Router speziell zum Durchleiten von DHCP-Anforderungen an einen DHCP-Server hinter dem Router oder einen DHCP-Relayagent auf dem ISA Server-Computer konfigurieren. Wenn Sie kein DHCP konfigurieren möchten, wählen Sie in diesem Schritt nicht Dynamic Host Configuration-Protokoll (DHCP), sondern Statischer Adresspool aus. Klicken Sie dann auf Hinzufügen, um dem statischen Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen. Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.) Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem statischen Adresspool hinzugefügt werden können. Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in der ISA Server-Verwaltung den Knoten Konfiguration, und klicken Sie dann auf Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte Adressen einen Bereich von IP-Adressen aus, und klicken Sie auf Entfernen, um diesen Bereich zu entfernen. Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig zugewiesen werden. 5. Klicken Sie auf die Registerkarte Authentifizierung, und wählen Sie die Authentifizierungsmethoden aus, die für die Anforderungen eingehender Verbindungen verwendet werden. 6. Wenn der Benutzer, dessen Anmeldeinformationen für die Remote-VPN-Verbindung verwendet werden, mithilfe von RADIUS authentifiziert wird, wählen Sie die Registerkarte RADIUS aus, und konfigurieren Sie die Verwendung von RADIUS. a. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) zu schließen. b. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Zeit in Anspruch nehmen. Wichtig Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie auf der Registerkarte Alarme nach dem Alarm Ein Neustart des ISA ServerComputers ist erforderlich. Die Beschreibung zu diesem Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer neu starten. 24 Standort-zu-Standort-VPN in ISA Server 2004 Kurzanleitung zur PPTP-Lösung – Schritt 3: Erstellen von Netzwerkregeln und Firewallrichtlinien Nachdem Sie das Remote-VPN erstellt haben, wird dieses von ISA-Server wie jedes andere Netzwerk betrachtet, das mit dem ISA Server-Computer verbunden ist. Sie müssen nun folgende Elemente erstellen: Netzwerkregeln, um festzulegen, ob das Netzwerk über ein NAT- (Network Address Translation) oder Routeverhältnis mit den anderen Netzwerken verfügt, die mit dem ISA Server-Computer verbunden sind. Richten Sie ein Routeverhältnis ein, da eine bidirektionale Kommunikation zwischen den VPNs erforderlich ist. Ein NAT-Verhältnis ist unidirektional. Wenn die Computer, die zwischen den verschiedenen Netzwerken kommunizieren müssen, über öffentliche IP-Adressen verfügen, kann ohne Bedenken hinsichtlich doppelter Adressen ein Routeverhältnis erstellt werden, da öffentliche IP-Adressen eindeutig sind. Wenn die Computer über private IP-Adressen verfügen, z. B. im Bereich 0.10.10.0 – 10.255.255.255, besteht die Gefahr, dass die VPNs doppelte Adressen enthalten. Damit ein Routeverhältnis eingerichtet werden kann, müssen die Administratoren der Netzwerke sicherstellen, dass für die Computer der beiden zu verbindenden VPN keine doppelten IP-Adressen vergeben sind. Verwenden Sie zum Erstellen einer Netzwerkregel das in diesem Dokument in Anhang H: Erstellen einer neuen Netzwerkregel beschriebene Verfahren. Anmerkung Bei einem NAT-Verhältnis zwischen zwei VPNs schlägt die Kommunikation zwischen den Netzwerken fehl. Wenn jedoch für eins der Netzwerke ein Routeverhältnis festgelegt wurde, kann für das andere Netzwerk ein NATVerhältnis konfiguriert werden. Die Kommunikation ist dann möglich. Zugriffsregeln zum Steuern des Zugriffs auf das Remotenetzwerk und des Zugriffs vom Remotenetzwerk. Beim Erstellen von Zugriffsregeln können Sie festlegen, dass mit den Regeln übereinstimmende Anforderungen in die ISA Server-Protokollierung geschrieben werden. Sie können dann auf die Protokollierung zugreifen, um den Zugriff vom und auf das Remotestandortnetzwerk zu überprüfen. Beispiele möglicher Firewallrichtlinien für Standort-zu-Standort-VPN-Szenarien finden Sie in diesem Dokument in Anhang D: Firewallrichtlinien für Standort-zu-Standort-VPNs. Das Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden des Assistenten für neue Zugriffsregeln beschrieben. Informationen über Netzwerk- und Zugriffsregeln finden Sie in der ISA Server 2004-Hilfe. Kurzanleitung zur PPTP-Lösung – Schritt 4: Konfigurieren der automatischen Einwahl Wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist, können Sie ISA Server so konfigurieren, dass eine automatische Einwahl erfolgt, sobald ein Clientcomputer eine Anfrage an das Remote-VPN sendet. Das Verfahren zum Konfigurieren der Lösungen 25 automatischen Einwahl wird in diesem Dokument in Anhang B: Konfigurieren der automatischen Einwahl beschrieben. Kurzanleitung zur PPTP-Lösung – Schritt 5: Konfigurieren des Remote-VPN-Servers Konfigurieren Sie den Remote-VPN-Server so, dass Verbindungen mit dem ISA ServerComputer im PPTP-Modus hergestellt werden. Kurzanleitung zur PPTP-Lösung – Schritt 6: Testen und Überwachen der Verbindung Testen und überwachen Sie die VPN-Verbindung, wie in diesem Dokument in Anhang C: Testen und Überwachen der VPN-Verbindung beschrieben. Anhang A: Installieren digitaler Zertifikate auf dem lokalen und Remote-VPN-Server Wenn Sie zum Sichern der Standort-zu-Standort-VPN-Verbindung digitale Zertifikate verwenden, müssen Sie die Zertifikate sowohl auf dem lokalen als auch dem Remote-VPNServer installieren. Dieser Anhang enthält eine Anleitung für die Installation. Beachten Sie, dass diese Anleitung für den lokalen und den Remote-VPN-Server gilt. Voraussetzung dafür ist, dass auf dem Remote-VPN-Server Windows Server 2003 oder Windows 2000 Server ausgeführt wird. Zertifizierungsstellen Auf jedem VPN-Server muss die Zertifizierungsstelle des Serverzertifikats der jeweiligen Gegenstelle als vertrauenswürdig eingestuft sein. Ein solches Zertifikatvertrauen beruht darauf, dass ein Stammzertifikat von der ausstellenden Zertifizierungsstelle vorhanden ist. Als Beispiel dient ein Szenario, in dem die Standort-zu-Standort-VPN-Verbindung zwischen einem ISA Server 2004-Computer mit der Bezeichnung Server1 und einem ISA Server 2000Computer mit der Bezeichnung Server2 hergestellt wird. Server1 erhält sein Zertifikat von Zertifizierungsstelle1 (Z-St.1), und Server2 erhält sein Zertifikat von Zertifizierungsstelle2 (ZSt.2). Die Konfiguration der Zertifikate ist in der folgenden Tabelle dargestellt. Servername Serverzertifikat Stammzertifikat Server1 Ausgestellt von Z-St.1 Z-St.2 Server2 Ausgestellt von Z-St.2 Z-St.1 26 Standort-zu-Standort-VPN in ISA Server 2004 Bei Installation eines Zertifikats von einer kommerziellen Zertifizierungsstelle muss kein Stammzertifikat verteilt werden, da die Stammzertifikate mit Windows installiert werden. Wenn Sie Zertifikatdienste auf einem Server mit Windows-Umgebung in Ihrer Organisation installieren und eigene Zertifikate für den lokalen und Remote-VPN-Server ausstellen, müssen Sie dafür sorgen, dass das Stammzertifikat für Ihre Zertifizierungsstelle auf alle VPN-Server übertragen wird, denen mit digitalen Zertifikaten gesicherte Verbindungen gestattet werden sollen. Außerdem müssen Sie die Zertifikate verteilen. Falls keine direkte Verbindung zu dem Computer mit den Zertifikatdiensten besteht, kann der Datenaustausch auch per Wechseldatenträger, CD oder E-Mail erfolgen. (Stellen Sie zuvor sicher, dass Ihr E-Mail-System sicher ist.) Eine Zertifizierungsstelle kann auch mit IIS (Internet Information Services) und Active Server Pages veröffentlicht werden. Da kommerzielle digitale Zertifikate mit Kosten verbunden sind, empfehlen wir für ein Szenario, in dem beide VPN-Server derselben Organisation angehören, eine lokale Zertifizierungsstelle einzurichten und eigene Zertifikate auszugeben. Das entsprechende Verfahren wird in diesem Dokument unter Installieren digitaler Zertifikate – Schritt 1: Einrichten der Zertifizierungsstelle beschrieben. Anmerkung Auf ISA Server 2004-Computern und VPN-Servern mit Windows Server 2003 oder Windows 2000 Server muss das von einer Zertifizierungsstelle erhaltene Serverzertifikat im Speicher für persönliche Zertifikate des ISA Server-Computers gespeichert werden. Das Stammzertifikat für den VPNServer, mit dem die Verbindung hergestellt wird, muss im Speicher für vertrauenswürdige Stammzertifizierungsstellen des ISA Server-Computers gespeichert werden. Installieren digitaler Zertifikate – Schritt 1: Einrichten der Zertifizierungsstelle Sie benötigen IPSec-Zertifikate (Internet Protocol Security), die von einer Zertifizierungsstelle ausgestellt wurden. Da die Zertifikate für die interne Verwendung vorgesehen sind, wird das Erstellen einer lokalen Zertifizierungsstelle empfohlen, so dass kein kommerzielles Zertifikat erworben werden muss. Dieser Schritt wird auf einem Computer durchgeführt, auf dem Windows installiert ist. Für eine eigenständige Stammzertifizierungsstelle kann jeder Computer mit installiertem Windows-Betriebssystem verwendet werden. Eine Stammzertifizierungsstelle für das Unternehmen kann nur auf einem Domänencontroller installiert werden. Mit diesem Verfahren werden auch die Dienste installiert, durch die Computer die Zertifikate über eine Webseite empfangen können. Sie müssen auf dem ISA Server-Computer eine Webveröffentlichungsregel erstellen, damit die Webseite außerhalb des Firmennetzwerks verfügbar ist. Weitere Informationen finden Sie im Dokument Veröffentlichen von Webservern mit ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20744). Wenn Sie ein anderes Verfahren bevorzugen, um Zertifikate für die Computer verfügbar zu machen, müssen Sie die im nachstehenden Verfahren beschriebene Installation von IIS (Internet Information Services) und ASP (Active Server Pages) nicht durchführen. Lösungen 27 1. Öffnen Sie die Systemsteuerung. 2. Doppelklicken Sie auf Software. 3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 4. Doppelklicken Sie auf Anwendungsserver. 5. Doppelklicken Sie auf Internetinformationsdienste (IIS). 6. Doppelklicken Sie auf WWW-Dienst. 7. Wählen Sie Active Server Pages aus. 8. Klicken Sie auf OK, um das Dialogfeld WWW-Dienst zu schließen, klicken Sie auf OK, um das Dialogfeld Internetinformationsdienste (IIS) zu schließen, und klicken Sie dann auf OK, um das Dialogfeld Anwendungsserver zu schließen. 9. Wählen Sie Zertifikatdienste aus. Überprüfen Sie die Warnung zu Computername und Domänenmitgliedschaft. Klicken Sie im Warnungsdialogfeld auf Ja, wenn Sie den Vorgang fortsetzen möchten, und klicken Sie anschließend im Dialogfeld Windows-Komponenten auf Weiter. 10. Wählen Sie auf der Seite Zertifizierungsstellentyp eine der folgenden Optionen aus, und klicken Sie auf Weiter: Stammzertifizierungsstelle des Unternehmens. Eine Stammzertifizierungsstelle für das Unternehmen kann nur auf einem Domänencontroller installiert werden. Die Stammzertifizierungsstelle des Unternehmens gibt Zertifikate automatisch aus, wenn diese von autorisierten Benutzern angefordert werden, die vom Domänencontroller erkannt werden. Eigenständige Stammzertifizierungsstelle. Eine eigenständige Stammzertifizierungsstelle erfordert, dass jedes angeforderte Zertifikat durch den Administrator ausgegeben wird. 11. Geben Sie auf der Seite Informationen über die Zertifizierungsstelle einen allgemeinen Namen für die Zertifizierungsstelle an, überprüfen Sie das Suffix des definierten Namens, wählen Sie einen Gültigkeitszeitraum aus, und klicken Sie anschließend auf Weiter. 12. Überprüfen Sie auf der Seite Einstellungen der Zertifikatdatenbank die Standardeinstellungen. Sie können die Speicherorte der Datenbank ändern. Klicken Sie auf Weiter. 13. Überprüfen Sie die Zusammenfassung auf der Seite Fertigstellen des Assistenten, und klicken Sie dann auf Fertig stellen. Installieren digitaler Zertifikate – Schritt 2: Installieren eines Zertifikats und eines vertrauenswürdigen Stammzertifikats Dieser Schritt wird auf dem ISA Server-Computer und dem VPN-Server des Remotestandorts (wenn auf ihm Windows Server 2003 oder Windows 2000 Server installiert ist) durchgeführt. Wenn Sie keine Stammzertifizierungsstelle für das Unternehmen, sondern eine eigenständige 28 Standort-zu-Standort-VPN in ISA Server 2004 Stammzertifizierungsstelle installiert haben, müssen auch für die Zertifizierungsstelle Aktionen durchgeführt werden. 1. Öffnen Sie Internet Explorer. 2. Wählen Sie im Menü Extras den Befehl Internetoptionen aus. 3. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie unter Wählen Sie eine Webinhaltszone, um deren Sicherheitseinstellungen festzulegen, auf Vertrauenswürdige Sites. 4. Klicken Sie auf die Schaltfläche Sites, um das Dialogfeld Vertrauenswürdige Sites zu öffnen. 5. Geben Sie unter Diese Website zur Zone hinzufügen den Namen der Zertifikatserverwebsite an (http://IP-Adresse des Zertifizierungsstellenservers/certsrv), und klicken Sie auf Hinzufügen. 6. Klicken Sie auf OK, um das Dialogfeld Vertrauenswürdige Sites zu schließen, und klicken Sie anschließend auf OK, um Internetoptionen zu schließen. 7. Navigieren Sie zu folgendem URL: http://IP-Adresse des Zertifizierungsstellenservers/certsrv. 8. Fordern Sie ein Zertifikat an. 9. Wählen Sie Erweiterte Zertifikatanforderung aus. 10. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen (Windows Server 2003-Zertifizierungsstelle) oder Senden Sie ein Zertifikatsanforderungsformular an diese Zertifizierungsstelle (Windows 2000 ServerZertifizierungsstelle) aus. 11. Füllen Sie das Formular aus, und wählen Sie in der Dropdownliste Typ die Option IPSecZertifikat aus. Anmerkung Erläuterungen der auf der Seite Erweiterte Zertifikatanforderung verfügbaren Optionen finden Sie in den folgenden Artikeln zu Windows Server 2003 oder Windows 2000 Server: Verwenden der Webseiten zu Windows Server 2003-Zertifikatsdiensten (http://go.microsoft.com/fwlink/?LinkId=22298) Verwenden der Webseiten zu Windows 2000 Server-Zertifikatsdiensten (http://go.microsoft.com/fwlink/?LinkId=22299) 12. Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren (Windows Server 2003-Zertifizierungsstelle) oder Lokalen Speicher verwenden (Windows 2000 Server-Zertifizierungsstelle) aus, und reichen Sie die Anforderung ein, indem Sie auf Übermitteln klicken. Überprüfen Sie das angezeigte Warnungsdialogfeld, und klicken Sie dann auf Ja. 13. Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf dem Zertifizierungsstellen-Computer die folgenden Schritte durch. Bei einer Lösungen 29 Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch durchgeführt. a. Wechseln Sie zum Snap-In Zertifizierungsstelle der Microsoft Management Console (MMC). Klicken Sie hierzu auf Start, zeigen Sie auf Alle Programme und auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle. b. Erweitern Sie den Zertifikatknoten Zertifizierungsstellenname, wobei Zertifizierungsstellenname der Namen Ihrer Zertifizierungsstelle ist. c. Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten Maustaste auf Ihre Anforderung, wählen Sie Alle Tasks aus, und klicken Sie dann auf Ausstellen. 14. Wechseln Sie auf dem ISA Server-Computer wieder zur Webseite http://IP-Adresse des Zertifikatstellenservers/certsrv, und klicken Sie dann auf Status ausstehender Zertifikatanforderungen anzeigen. 15. Klicken Sie auf Ihre Anforderung, und wählen Sie Dieses Zertifikat installieren aus. 16. Wechseln Sie wieder zur Webseite http://IP-Adresse des Zertifikatstellenservers/certsrv, und klicken Sie auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste (Windows Server 2003) oder auf Zertifizierungsstellenzertifikat oder Zertifikatsperrliste abrufen (Windows 2000 Server). Klicken Sie auf der nächsten Seite auf Download des Zertifizierungsstellenzertifikats. Hierbei handelt es sich um das vertrauenswürdige Stammzertifikat, das auf dem ISA Server-Computer installiert werden muss. Klicken Sie im Dialogfeld Dateidownload auf Öffnen. 17. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren, um den ZertifikatimportAssistenten zu starten. 18. Klicken Sie auf der Seite Willkommen auf Weiter. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie auf Durchsuchen. Wählen Sie im Dialogfeld Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer aus, und klicken Sie anschließend auf OK. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter. 19. Überprüfen Sie die Angaben auf der Zusammenfassungsseite, und klicken Sie dann auf Fertig stellen. 20. Stellen Sie sicher, dass das IPSec-Zertifikat ordnungsgemäß installiert wurde. Öffnen Sie die MMC, und wechseln Sie zum Snap-In Zertifikate. Öffnen Sie Zertifikate (Lokaler Computer), erweitern Sie den Knoten Eigene Zertifikate, klicken Sie auf Zertifikate, und doppelklicken Sie auf das neue IPSec-Zertifikat. Auf der Registerkarte Allgemein sollte der folgende Hinweis angezeigt werden: Sie besitzen einen privaten Schlüssel für dieses Zertifikat. Auf der Registerkarte Zertifizierungspfad sollte ein hierarchisches Verhältnis zwischen Ihrem Zertifikat und dem Stammzertifikat sowie der Hinweis Dieses Zertifikat ist gültig angezeigt werden. 30 Standort-zu-Standort-VPN in ISA Server 2004 21. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde. Öffnen Sie die MMC, und wechseln Sie zum Snap-In Zertifikate. Öffnen Sie Zertifikate (Lokaler Computer), erweitern Sie den Knoten Zertifizierungsstellen des vertrauenswürdigen Stamms, klicken Sie auf Zertifikate, und stellen Sie sicher, dass das Stammzertifikat vorhanden ist. Anhang B: Konfigurieren der automatischen Einwahl 1. Führen Sie zum Konfigurieren der automatischen Einwahl dieses allgemeine Verfahren durch. 2. Öffnen Sie die Microsoft ISA Server-Verwaltung. 3. Erweitern Sie in der Konsolenstruktur den Knoten Konfiguration, und wählen Sie Netzwerke aus. 4. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf DFÜ-Einstellungen angeben, um das Dialogfeld Einwähleinstellungen zu öffnen. 5. Um die automatische Einwahl zu ermöglichen, wählen Sie Automatisches Einwählen in dieses Netzwerk und im Dropdownmenü das von Ihnen erstellte Remote-VPN aus. Beachten Sie, dass Sie die automatische Einwahl nur für ein einziges Netzwerk konfigurieren können. 6. Wenn die DFÜ-Verbindung als Standardgateway fungiert, aktivieren Sie das Kontrollkästchen Diese DFÜ-Verbindung als Standardgateway konfigurieren. 7. Geben Sie unter DFÜ-Verbindung im Feld Folgende DFÜ-Verbindung verwenden den Namen der DFÜ-Verbindung ein, oder klicken Sie auf Auswählen, um eine Verbindung auszuwählen. Anmerkung Erstellen Sie DFÜ-Verbindungen mit dem Windows-Assistenten für neue Verbindungen. Wenn Sie einen DFÜ-Eintrag auswählen, bei dem es sich um eine DFÜVerbindung handelt, treten Verbindungsprobleme auf, da die zum Herstellen von VPN-Verbindungen verwendeten Protokolle PPTP und L2TP über IPSec in ISA Server standardmäßig gesperrt sind. Um dies zu vermeiden, erstellen Sie Zugriffsregeln, die PPTP- und L2TP-über-IPSec-Datenverkehr zulassen. 8. Wenn zum Verwenden der DFÜ-Verbindung ein bestimmtes Konto und ein bestimmtes Kennwort erforderlich sind, klicken Sie unter DFÜ-Konto auf Konto festlegen, und geben Sie die Benutzer- und Kennwortinformationen an. Klicken Sie auf OK, um das Dialogfeld Konto festlegen zu schließen. 9. Klicken Sie auf OK, um das Dialogfeld Einwähleinstellungen zu schließen. Lösungen 31 Anhang C: Testen und Überwachen der VPNVerbindung Führen Sie folgende Schritte durch, um die VPN-Verbindung zu testen und zu überwachen. Anmerkung Das Überwachen von Standort-zu-Standort-Verbindungen im IPSecTunnelmodus wird nicht unterstützt. Testen der Verbindung Nachdem Sie die Verbindung erstellt haben, testen Sie sie, indem Sie von einem Computer im lokalen Netzwerk auf einen Computer im Remotenetzwerk zuzugreifen versuchen (für den die Netzwerkregeln und Zugriffsrichtlinien den Zugriff zulassen). Wenn Sie auf den Computer im Remotenetzwerk zugreifen können, haben Sie die Standort-zu-Standort-VPN-Verbindung ordnungsgemäß konfiguriert. Überprüfen von ISA Server auf Verbindungsinformationen Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt. 1. Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung. Überprüfen Sie im Detailbereich auf der Registerkarte Sitzungen, ob die VPNClientsitzung aufgeführt ist. Die Standort-zu-Standort-VPN-Sitzung verfügt über die folgenden Eigenschaften: der Sitzungstyp lautet VPN-Remotestandort. Unter Clienthostname wird die öffentliche IP-Adresse des Remote-VPN-Servers angezeigt (wenn die Sitzung vom lokalen VPN-Server initiiert wurde, ist dieses Feld leer). Unter Client-IP wird die der VPN-Sitzung zugewiesene IP-Adresse angezeigt. Unter Anwendungsname wird das für die Verbindung verwendete Protokoll sowie eine Kennung angezeigt, dass es sich um eine VPN-Verbindung handelt. Die Spalte Anwendungsname wird standardmäßig nicht angezeigt. Um sie hinzuzufügen, klicken Sie mit der rechten Maustaste auf eine der Spaltenüberschriften der Registerkarte Sitzungen, und wählen Sie Anwendungsname aus. Sie können einen Sitzungsfilter erstellen, so dass ausschließlich Standort-zu-Standort-VPNSitzungen angezeigt werden. Gehen Sie folgendermaßen vor, um einen Filter zu erstellen. 2. Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung, und wählen Sie die Registerkarte Sitzungen aus. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu öffnen. 32 Standort-zu-Standort-VPN in ISA Server 2004 Wählen Sie im Dialogfeld Filter bearbeiten unter Filtern nach die Option Sitzungstyp aus. Wählen Sie unter Bedingung die Option Gleich und unter Wert die Option VPNRemotestandort aus. Klicken Sie auf Zur Liste hinzufügen und dann auf Abfrage starten. Sie müssen auf Abfrage starten klicken, um den Filter zu speichern. Anhang D: Firewallrichtlinien für Standort-zuStandort-VPNs Nachdem Sie das Remote-VPN erstellt haben, sollten Sie Firewallrichtlinien einrichten, durch die die Beziehung zwischen dem Remotestandort und den anderen Netzwerken beschrieben und geregelt wird, die mit dem ISA Server-Computer verbunden sind. In diesem Anhang werden einige Standort-zu-Standort-VPN-Szenarien und Beispiele für Firewallrichtlinien beschrieben, die Sie für diese Szenarien einrichten können. Offene Kommunikation zwischen Zweigniederlassungen In diesem Szenario ist der Remotestandort eine Zweigniederlassung, und der ISA ServerComputer befindet sich in der Hauptniederlassung. Die Zweigniederlassung soll über vollständigen Zugriff auf das interne Netzwerk verfügen. Wenn weitere Zweigniederlassungen vorhanden sind, muss jede Zweigniederlassung über vollständigen Zugriff auf die Ressourcen der anderen Zweigniederlassungen verfügen. Um den vollständigen Zugriff zu ermöglichen, erstellen Sie eine Zugriffsregel, die die Übermittlung sämtlichen Datenverkehrs vom VPN-Standort der Zweigniederlassung zum internen Netzwerk und zu den VPN-Standorten der anderen Zweigniederlassungen zulässt. Das Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden des Assistenten für neue Zugriffsregeln beschrieben. Weitere Informationen zu Zugriffsregeln finden Sie in den Produktinformationen von ISA Server. Gesteuerte Kommunikation zwischen Zweigniederlassungen In diesem Szenario ist der Remotestandort eine Zweigniederlassung, und der ISA ServerComputer befindet sich in der Hauptniederlassung. Die Zweigniederlassung soll über gesteuerten Zugriff auf das interne Netzwerk verfügen. Es sollen insbesondere Firewallrichtlinien erstellt werden, die folgende Arten der Kommunikation zulassen: Der Computer des Netzwerkadministrators und des Zweigniederlassungsleiters verfügen über vollständigen Zugriff auf das interne Netzwerk der Hauptniederlassung. Kundenbetreuern wird der Zugriff auf den SQL-Server im internen Netzwerk der Hauptniederlassung gewährt. Allen Benutzern wird der Zugriff auf den Exchange-Server im internen Netzwerk der Hauptniederlassung gewährt. Lösungen 33 Der Domänencontroller in der Zweigniederlassung kommuniziert mit dem Domänencontroller in der Hauptniederlassung, so dass der Zugriff von Benutzern in der Zweigniederlassung auf den Exchange-Server in der Hauptniederlassung authentifiziert werden kann. Gehen Sie wie folgt vor, um diese Firewallrichtlinien zu erstellen. 1. Erstellen Sie Computersätze, die die Gruppen der Benutzer mit unterschiedlichen Zugriffsrechten darstellen. Sie benötigen einen Computersatz für den Computer des Netzwerkadministrators und des Zweigniederlassungsleiters, einen Computersatz für Kundenbetreuer und einen Computersatz für die Domänencontroller im Remote-VPNNetzwerk. Wenn nur ein einziger Computer vorhanden ist, z. B. ein einzelner Domänencontroller, können Sie statt eines Computersatzes ein Computerobjekt erstellen. Computersätze und Computerobjekte sind Regelelemente. Das Verfahren zum Erstellen von Regelelementen wird in diesem Dokument in Anhang E: Erstellen von Regelelementen beschrieben. 2. Erstellen Sie Computerobjekte, die die Computer darstellen, auf die Benutzer im internen Netzwerk der Hauptniederlassung zugreifen können. Sie benötigen Computerobjekte für den SQL-Server, ein Computerobjekt für den Exchange-Server und ein Computerobjekt für den internen Domänencontroller. Wenn mehrere Server vorhanden sind, z. B. zwei SQL-Server, erstellen Sie anstelle eines Computerobjekts einen Computersatz. 3. Erstellen Sie eine Zugriffsregel, die die Übermittlung sämtlichen Datenverkehrs von den Computern des Netzwerkadministrators und Zweigniederlassungsleiters am VPN-Standort der Zweigniederlassung zum internen Netzwerk der Hauptniederlassung zulässt. Das Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden des Assistenten für neue Zugriffsregeln beschrieben. 4. Erstellen Sie eine Zugriffsregel, die die Protokolle Microsoft SQL (TCP) und Microsoft SQL (UDP) für Datenverkehr vom Computersatz der Kundenbetreuer zum SQL-Server im internen Netzwerk der Hauptniederlassung zulässt. 5. Veröffentlichen Sie den Exchange-Server mit dem Protokoll Exchange-RPC-Server im internen Netzwerk der Hauptniederlassung. Das Verfahren zum Erstellen von MailserverVeröffentlichungsregeln wird in diesem Dokument in Anhang G: Verwenden des Assistenten für neue Serververöffentlichungsregeln beschrieben. 6. Erstellen Sie eine Zugriffsregel, die Datenverkehr mit LDAP, LDAP (UDP), LDAPS, LDAP GC, LDAPS GC, DNS, Kerberos (TCP) und Kerberos (UDP) vom Domänencontroller des Remotestandorts zum internen Domänencontroller der Hauptniederlassung zulässt. Das Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden des Assistenten für neue Zugriffsregeln beschrieben. Anhang E: Erstellen von Regelelementen Führen Sie zum Erstellen eines Regelelements dieses allgemeine Verfahren durch. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Erweitern Sie den Knoten des ISA Server-Computers. 34 Standort-zu-Standort-VPN in ISA Server 2004 3. Wählen Sie Firewallrichtlinie und im Aufgabenbereich die Registerkarte Toolbox aus. 4. Wählen Sie den Typ des Regelelements aus, indem Sie auf die entsprechende Überschrift (Protokolle, Benutzer, Inhaltstypen, Zeitpläne oder Netzwerkobjekte) für dieses Element klicken. 5. Klicken Sie an der obersten Position der Elementliste auf Neu. 6. Geben Sie die erforderlichen Informationen ein. Wenn Sie die Informationen eingegeben und im Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt. Anmerkung Sie müssen im Detailbereich auf Übernehmen klicken, um die Änderungen (einschließlich der neu erstellten Regelemente) zu übernehmen. Sie können auch nach dem Erstellen der Zugriffsregeln auf Übernehmen klicken. Anhang F: Verwenden des Assistenten für neue Zugriffsregeln Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue Zugriffsregeln dar. 1. Wählen Sie in der Konsolenstruktur der ISA Server-Verwaltung die Option Firewallrichtlinie aus. 2. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue Zugriffsregel erstellen aus, um den Assistenten für neue Zugriffsregeln zu starten. 3. Geben Sie auf der Seite Willkommen des Assistenten den Namen für die Zugriffsregel ein, und klicken Sie anschließend auf Weiter. 4. Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, wenn Sie bestimmte Zugriffsrechte zulassen möchten, oder wählen Sie Verweigern aus, wenn Sie bestimmte Zugriffsrechte verweigern möchten. Klicken Sie dann auf Weiter. 5. Wählen Sie auf der Seite Protokolle unter Regel wird angewendet für die Option Gesamten ausgehenden Datenverkehr aus, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Zugriffsregelquellen auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf die Kategorie der Netzwerkidentität, für die Sie eine Zugriffsregel erstellen, wählen Sie die Identität aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite Zugriffsregelquellen auf Weiter. 7. Klicken Sie auf der Seite Zugriffsregelziele auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf Netzwerke, wählen Sie Externes Netzwerk (für das Internet) aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite Zugriffsregelziele auf Weiter. Lösungen 35 8. Geben Sie auf der Seite Benutzersätze mithilfe der Schaltflächen Entfernen und Hinzufügen einen Satz von Benutzern an, und klicken Sie anschließend auf Weiter. 9. Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und klicken Sie dann auf Fertig stellen. 10. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel zu übernehmen. 11. Ordnen Sie im Detailbereich von ISA Server die Zugriffsregeln entsprechend Ihren Internetzugriffsrichtlinien an. Anhang G: Verwenden des Assistenten für neue Mailserver-Veröffentlichungsregeln Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue MailserverVeröffentlichungsregeln dar. 1. Erweitern Sie in der ISA Server-Verwaltung den ISA Server-Computer, und klicken Sie auf Firewallrichtlinie. 2. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Mailserver veröffentlichen aus, um den Assistenten für neue Mailserver-Veröffentlichungsregeln zu starten. 3. Geben Sie auf der Seite Willkommen des Assistenten einen Namen für die Regel an (z. B. Zugriff auf VPN für Exchange-RPC), und klicken Sie anschließend auf Weiter. 4. Wählen Sie auf der Seite Zugriffstyp auswählen die Option Clientzugriff: RPC, IMAP, POP3, SMTP aus, und klicken Sie dann auf Weiter. 5. Wählen Sie auf der Seite Dienste auswählen die Option Outlook (RPC) aus, und klicken Sie dann auf Weiter. 6. Geben Sie auf der Seite Server auswählen die IP-Adresse des Exchange-Servers an, und klicken Sie dann auf Weiter. 7. Wählen Sie auf der Seite IP-Adressen das Netzwerk aus, in dem ISA Server Anforderungen von externen Clients abhört. Da Sie Daten vom externen Netzwerk empfangen möchten, wählen Sie Extern aus, und klicken Sie dann auf Weiter. 8. Führen Sie auf der Seite Fertigstellen des Assistenten einen Bildlauf nach unten durch, um die Konfiguration der Regel zu überprüfen und sicherzustellen, dass die Regel ordnungsgemäß konfiguriert wurde, und klicken Sie anschließend auf Fertig stellen. 9. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die vorgenommenen Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Minuten in Anspruch nehmen. 36 Standort-zu-Standort-VPN in ISA Server 2004 Anhang H: Erstellen einer neuen Netzwerkregel In diesem Verfahren wird das Erstellen einer neuen Netzwerkregel beschrieben. 1. Erweitern Sie in der Konsolenstruktur der ISA Server-Verwaltung den Knoten Konfiguration, und wählen Sie Netzwerke aus. 2. Klicken Sie im Detailbereich auf die Registerkarte Netzwerkregeln. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue Netzwerkregel erstellen aus, um den Assistenten für eine neue Netzwerkregel zu starten. 3. Geben Sie auf der Seite Willkommen des Assistenten den Namen für die Netzwerkregel ein, und klicken Sie anschließend auf Weiter. 4. Klicken Sie auf der Seite Netzwerkdatenverkehrquellen auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen, erweitern Sie Netzwerke, wählen Sie das Quellnetzwerk aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite Netzwerkdatenverkehrquellen auf Weiter. 5. Klicken Sie auf der Seite Netzwerkdatenverkehrsziele auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen, erweitern Sie Netzwerke, wählen Sie das Zielnetzwerk aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen. Klicken Sie auf der Seite Netzwerkdatenverkehrsziele auf Weiter. 6. Wählen Sie auf der Seite Netzwerkverhältnis als Beziehung entweder NAT (Network Address Translation) oder Route aus, und klicken Sie dann auf Weiter. 7. Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und klicken Sie dann auf Fertig stellen. 8. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Netzwerkregel zu übernehmen. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-MailAdressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Lösungen 37 Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken, Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2004 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.