Anhang C: Testen und Überwachen der VPN-Verbindung

Standort-zu-Standort-VPN
in ISA Server 2004
Microsoft Internet Security &
Acceleration (ISA) Server 2004
Einführung
Microsoft® Internet Security & Acceleration (ISA) Server 2004 bietet sichere Standort-zuStandort-VPNs (Virtual Private Network).
Virtuelle private Netzwerke
Ein virtuelles privates Netzwerk (VPN) ist die Erweiterung eines privaten Netzwerks, das
Verbindungen über gemeinsam verwendete oder öffentliche Netzwerke (z. B. das Internet)
hinweg umfasst. Mit einem VPN können Sie Daten zwischen zwei Computern über ein
gemeinsam verwendetes oder öffentliches Netzwerk mithilfe eines Verfahrens übertragen, durch
das eine private Punkt-zu-Punkt-Verbindung emuliert wird. Der Aufbau eines virtuellen privaten
Netzwerks umfasst dessen Erstellung und Konfiguration.
Zum Emulieren einer Punkt-zu-Punkt-Verbindung werden Daten eingekapselt („verpackt“) und
mit einem Header versehen, der Weiterleitungsinformationen enthält. Mithilfe dieser Angaben
können die Daten über ein gemeinsam genutztes oder öffentliches Netzwerk zu ihrem Endpunkt
übertragen werden. Um eine private Verbindung zu emulieren, werden die Daten aus
Sicherheitsgründen verschlüsselt. Daten, die im gemeinsam genutzten oder öffentlichen
Netzwerk abgefangen werden, sind ohne die Verschlüsselungsschlüssel nicht lesbar. Eine
Verbindung, bei der private Daten eingekapselt und verschlüsselt werden, wird als VPNVerbindung bezeichnet.
VPN-Verbindungen ermöglichen es Benutzern, die von zu Hause aus oder unterwegs arbeiten,
eine RAS-Verbindung zum Server eines Unternehmens herzustellen. Hierbei wird die
Infrastruktur eines öffentlichen Netzwerks (z. B. das Internet) genutzt. Aus der Sicht der
Benutzer ist VPN eine Punkt-zu-Punkt-Verbindung zwischen seinem Computer (dem VPN-
2 Standort-zu-Standort-VPN in ISA Server 2004
Client) und einem Server des Unternehmens (dem VPN-Server). Die genaue Infrastruktur des
gemeinsam verwendeten oder öffentlichen Netzwerks ist nicht von Bedeutung, da die Daten wie
über eine dedizierte private Verbindung übertragen werden.
VPN-Verbindungen ermöglichen Organisationen außerdem Routingverbindungen mit sicherer
Datenübertragung zu anderen Organisationen (z. B. zwischen geographisch getrennten
Niederlassungen) über ein öffentliches Netzwerk wie das Internet. Eine VPN-Routingverbindung
über das Internet entspricht logisch einer dedizierten WAN-Verbindung (Wide Area Network).
Durch Verwendung des ISA Server-Computers als VPN-Server können Sie Standort-zuStandort-VPN-Verbindungen und den Zugriff von VPN-Clients auf das Firmennetzwerk
verwalten. Alle VPN-Verbindungen mit dem ISA Server-Computer werden in der
Firewallprotokollierung erfasst, so dass Sie VPN-Verbindungen überwachen können.
ISA Server ermöglicht den VPN-Clientzugriff mit L2TP (Layer 2 Tunneling-Protokoll) über
IPSec (Internet Protocol Security). Dieses Protokoll bietet größere Sicherheit als das von VPNServern üblicherweise verwendete Standardprotokoll PPTP (Point-to-Point Tunneling-Protokoll).
VPN-Verbindungen
Es gibt zwei Arten von VPN-Verbindungen:

RAS-VPN-Verbindung

Standort-zu-Standort-VPN-Verbindung
RAS-VPN-Verbindung
Ein RAS-Client stellt eine RAS-VPN-Verbindung mit einem privaten Netzwerk her. ISA Server
ermöglicht den Zugriff auf das gesamte Netzwerk, mit dem der VPN-Server verbunden ist. Die
Konfiguration von RAS-VPN-Verbindungen wird im Dokument Mobile VPN-Clients in ISA
Server 2004 (http://go.microsoft.com/fwlink?linkid=20745) erläutert.
Standort-zu-Standort-VPN-Verbindung
Eine Standort-zu-Standort-VPN-Verbindung wird zwischen zwei Teilen eines privaten
Netzwerks über einen Router hergestellt. ISA Server stellt eine Verbindung mit dem Netzwerk
bereit, an das der ISA Server-Computer angeschlossen ist. In diesem Dokument werden
Standort-zu-Standort-VPN-Verbindungen erläutert.
VPN-Protokolle
Es gibt drei VPN-Protokolle für Standort-zu-Standort-Verbindungen:

PPTP (Point-to-Point Tunneling-Protokoll)

L2TP (Layer 2 Tunneling-Protokoll) über IPSec (IP Security)

IPSec-Tunnelmodus (Internet Protocol Security)
Einführung 3
PPTP
PPTP (Point-to-Point Tunneling-Protokoll) ist ein Netzwerkprotokoll, das eine sichere
Datenübertragung von einem Remoteclient zu einem privaten Unternehmensserver ermöglicht,
indem über TCP/IP-basierte Netzwerke ein VPN eingerichtet wird. PPTP unterstützt
bedarfsgesteuerte, Multiprotokoll- und VPN-Verbindungen über öffentliche Netzwerke wie
beispielsweise das Internet. Mit PPTP kann der IP-Datenverkehr verschlüsselt und anschließend
in einen IP-Header eingekapselt werden, der dann über ein IP-Unternehmensnetzwerk oder ein
öffentliches IP-Netzwerk wie das Internet gesendet wird.
L2TP über IPSec
L2TP (Layer 2 Tunneling-Protokoll) ist der Industriestandard für Internet-Tunneling-Protokolle,
das die Einkapselung von PPP-Frames (Point-to-Point-Protokoll) zum Senden über
paketorientierte Medien ermöglicht. Mit L2TP kann der IP-Datenverkehr verschlüsselt und
anschließend über ein beliebiges Medium gesendet werden, das eine Punkt-zu-Punkt-Zustellung
von Datagrammen unterstützt (z. B. IP). Die Microsoft-Implementierung des Protokolls L2TP
verwendet IPSec-Verschlüsselung (Internet Protocol Security), um den Datenstrom vom VPNClient zum VPN-Server zu schützen. Der IPSec-Tunnelmodus ermöglicht das Verschlüsseln von
IP-Paketen und das anschließende Einkapseln in einen IP-Header, um sie über ein IPUnternehmensnetzwerk oder ein öffentliches IP-Netzwerk wie das Internet zu senden.
PPTP-Verbindungen erfordern nur eine Authentifizierung auf Benutzerebene über ein PPPbasiertes Authentifizierungsprotokoll. Bei Verbindungen mit L2TP über IPSec ist auch eine
Authentifizierung auf Benutzerebene und zusätzlich eine Authentifizierung auf Computerebene
über Computerzertifikate erforderlich.
4 Standort-zu-Standort-VPN in ISA Server 2004
Wichtig
PPTP- bzw. L2TP-über IPSec-Verbindungen
VPN-Server, auf denen Microsoft Windows Server™ 2003 ausgeführt wird,
unterstützen sowohl PPTP als auch L2TP. Für die Entscheidung zwischen
Router-zu-Router-VPN-Lösungen mit PPTP und L2TP über IPSec sollten Sie
Folgendes berücksichtigen:
PPTP kann bei Routern, auf denen Windows Server 2003, Windows® 2000
Server oder Windows NT® Server 4.0 mit RRAS (Routing and Remote Access
Service) ausgeführt wird, für Router-zu-Router-VPN-Verbindungen verwendet
werden. PPTP benötigt zum Ausstellen von Computerzertifikaten keine PKI
(Public Key Infrastructure). Durch Verschlüsselung wird bei PPTP-basierten
VPN-Verbindungen die Vertraulichkeit der Daten gewährleistet. Abgefangene
Daten können ohne den Verschlüsselungsschlüssel nicht ausgewertet
werden. PPTP-basierte VPN-Verbindungen bieten jedoch keine
Datenintegrität (Nachweis, dass die Daten während der Übertragung nicht
geändert wurden) und keine Authentifizierung der Herkunft der Daten
(Nachweis, dass die Daten durch den autorisierten Benutzer gesendet
wurden).
L2TP kann nur mit Routern verwendet werden, auf denen das
Betriebssystem Windows Server 2003 oder Windows 2000 Server
ausgeführt wird. Wenn beide Routertypen verwendet werden, ist eine PKI
(Public Key Infrastructure) erforderlich, um Computerzertifikate an alle
Router auszustellen. Router, auf denen das Betriebssystem Windows
Server 2003 ausgeführt wird, unterstützen außerdem einen gemeinsamen,
auf dem antwortenden und allen rufenden Routern vorinstallierten
Schlüssel. Mithilfe von IPSec gewährleisten L2TP-über-IPSec-Verbindungen
Datenverschlüsselung, Datenintegrität und Authentifizierung der Herkunft
der Daten.
IPSec-Tunnelmodus
Als Tunneling wird der gesamte Vorgang von Einkapselung, Weiterleitung und Entkapselung
bezeichnet. Beim Tunneling wird das Ursprungspaket in ein neues Paket „verpackt“ oder
eingekapselt. Dieses neue Paket kann neue Adressierungs- und Weiterleitungsinformationen
enthalten, anhand der es über ein Netzwerk übertragen werden kann. Wenn Tunneling mit
Datenverschlüsselung kombiniert wird, sind die ursprünglichen Paketdaten (wie die
ursprünglichen Angaben zu Quelle und Ziel) für niemanden erkennbar, der den Datenverkehr im
Netzwerk abhört. Wenn die eingekapselten Pakete ihr Ziel erreichen, wird die Kapselung
entfernt, und das Originalpaket wird anhand des Originalheaders an den Endpunkt der
Übertragung geleitet.
Der Tunnel selbst ist der logische Datenpfad, über den die eingekapselten Pakete geleitet werden.
Für den ursprünglichen Quell- und Zielpeer ist der Tunnel in der Regel transparent und wird wie
jede andere Punkt-zu-Punkt-Verbindung im Netzwerkpfad wahrgenommen. Für die Peers
existieren keine Router, Switches, Proxyserver oder andere Sicherheitsgateways zwischen dem
Anfangs- und dem Endpunkt des Tunnels. Wenn Tunneling mit Datenverschlüsselung
kombiniert wird, kann damit ein VPN aufgebaut werden.
Szenarien 5
Die eingekapselten Pakete werden im Tunnel über das Netzwerk gesendet. In diesem Beispiel ist
das Netzwerk das Internet. Das Gateway kann beispielsweise ein Edgegateway sein, das sich
zwischen dem Internet und dem privaten Netzwerk befindet. Bei dem Edgegateway kann es sich
um einen Router, einen Firewall, einen Proxyserver oder ein anderes Sicherheitsgateway
handeln. Darüber hinaus kann der Datenverkehr in nicht vertrauenswürdigen Teilen des
Netzwerks mithilfe von zwei Gateways innerhalb des privaten Netzwerks geschützt werden.
Bei Verwendung im Tunnelmodus gewährleistet IPSec (Internet Protocol Security) selbst
Einkapselung nur für IP-Datenverkehr. Der wichtigste Grund für die Verwendung des IPSecTunnelmodus liegt in der Interoperabilität mit Routern, Gateways oder Endsystemen, die L2TPüber-/IPSec oder PPTP-VPN-Tunneling nicht unterstützen. Informationen über Interoperabilität
finden Sie auf der Website des Virtual Private Network Consortium (Virtuelles privates
Netzwerk, Website nur auf Englisch verfügbar: http://www.vpnc.org).
Anmerkung
Um ein Remotestandortnetzwerk zu erstellen, das den IPSecProtokolltunnelmodus auf einem Computer mit Windows 2000 verwendet,
müssen Sie das Tool IPSecPol installieren, das auf der Microsoft-Website
(http://go.microsoft.com/fwlink/?LinkId=16466) zur Verfügung steht. Das
Tool muss im ISA Server-Installationsordner installiert werden.
Wenn Sie ein Remotestandortnetzwerk erstellen, in dem das IPSecTunneling-Protokoll verwendet wird, modifiziert der Microsoft-Firewalldienst
beim Neustart des Firewalldienstes die IPSec-Filter auf dem Computer.
Dieser Vorgang kann in Abhängigkeit von der Anzahl der Subnetze, die in
den Adressbereichen des Netzwerks enthalten sind, einige Minuten dauern.
Um diese Zeitspanne zu verringern, sollten Sie IP-Adressbereiche definieren,
die mit den Subnetzgrenzen übereinstimmen.
Szenarien
Große Unternehmen verfügen häufig über mehrere Standorte, die untereinander kommunizieren
müssen, z. B. eine Unternehmenszentrale in München und eine Vertriebsniederlassung in Berlin.
Die beiden Filialen können mithilfe eines Standort-zu-Standort-VPN sicher über das Internet
verbunden werden. Internet Security & Acceleration (ISA) Server 2004 bietet drei Verfahren
zum Herstellen einer Standort-zu-Standort-VPN-Verbindung: IPSec-Tunnelmodus (Internet
Protocol Security), L2TP (Layer 2 Tunneling-Protokoll) über IPSec und PPTP (Point-to-Point
Tunneling-Protokoll).
In diesem Dokument werden zwei Szenarien behandelt:

Der Standort, mit dem Sie eine Verbindung herstellen, verwendet als VPN-Server das
Produkt eines Drittanbieters. In diesem Szenario sollten Sie die IPSec-Tunnelmoduslösung
verwenden.
6 Standort-zu-Standort-VPN in ISA Server 2004

Der Standort, mit dem Sie eine Verbindung herstellen, verwendet als VPN-Server ISA
Server 2004, ISA Server 2000, Windows Server 2003 oder Windows 2000 Server. In diesem
Szenario können Sie entweder die L2TP-über-IPSec-Lösung oder die PPTP-Lösung
verwenden. L2TP über IPSec gilt als die Lösung, die größere Sicherheit bietet.
Lösungen
Bei Verwendung von Internet Security & Acceleration (ISA) Server 2004 wird eine Standort-zuStandort-VPN-Verbindung in den folgenden Hauptschritten konfiguriert.

Konfigurieren Sie den lokalen VPN-Server, bei dem es sich in diesem Fall um den ISA
Server-Computer handelt. Hierbei wird ein Protokoll für die VPN-Verbindung ausgewählt.

Konfigurieren Sie die ISA Server-Netzwerkregeln und die Zugriffsrichtlinie. Für L2TP über
IPSec und für PPTP müssen Sie die allgemeinen VPN-Eigenschaften für Verbindungen
konfigurieren, die von VPN-Remotestandorten initiiert wurden, da solche Standorte von ISA
Server als VPN-Clients angesehen werden.

Konfigurieren Sie die automatische Einwahl, wenn der ISA Server-Computer über eine
DFÜ-Verbindung mit dem Internet verbunden ist.

Konfigurieren Sie den VPN-Remoteserver.
Sie können die VPN-Verbindung mit einem dieser drei Protokolle erstellen:

IPSec-Tunnelmodus (Internet Protocol Security)

L2TP (Layer 2 Tunneling-Protokoll) über IPSec

PPTP (Point-to-Point Tunneling-Protokoll)
In der folgenden Tabelle werden die drei Protokolle miteinander verglichen.
Lösungen 7
Protokoll
Verwendung
Sicherheitsstufe
Kommentare
IPSecTunnelmodus
Verbindung zu
VPN-Servern von
Drittanbietern
Hoch
Für Verbindungen
zu VPN-Servern
anderer Hersteller
als Microsoft
können Sie nur
diese Option
verwenden.
L2TP über IPSec
Verbindung zu
einem ISA
Server 2004Computer, ISA
Server 2000Computer oder
Windows-VPNServer
Hoch
Verwendet Routing
und RAS. Weniger
kompliziert als die
IPSecTunnellösung. Der
Remote-VPNServer muss
jedoch ein
ISA ServerComputer oder ein
Windows-VPNServer sein.
PPTP
Verbindung zu
einem ISA
Server 2004Computer, ISA
Server 2000Computer oder
Windows-VPNServer
Mittel
Verwendet Routing
und RAS. Gleiche
Einschränkungen
wie für L2TP,
dabei jedoch
etwas einfacher zu
konfigurieren.
L2TP gilt als das
sicherere
Protokoll, da
IPSecVerschlüsselung
verwendet wird.
Die folgenden Abschnitte enthalten eine Kurzanleitung zu jedem dieser Protokolle.
Kurzanleitung zur IPSec-Tunnellösung
Verwenden Sie die IPSec-Tunnellösung in einem Szenario, in dem Sie ISA Server 2004 als
VPN-Server einsetzen und der Standort, mit dem Sie eine Verbindung herstellen, als VPN-Server
ein Produkt von Drittanbietern oder ISA Server 2004 verwendet. Dieses Szenario wird im
folgenden Abschnitt zur Netzwerktopologie erläutert.
Netzwerktopologie der IPSec-Tunnellösung
In der folgenden Abbildung ist eine mögliche Netzwerktopologie für die IPSec-Tunnellösung
dargestellt.
8 Standort-zu-Standort-VPN in ISA Server 2004
Wie aus der Abbildung ersichtlich ist, verwendet die Hauptniederlassung ISA Server 2004 als
VPN-Server. ISA Server 2004 ist auf einem Computer mit Windows Server 2003 oder
Windows 2000 Server installiert.
In der Zweigniederlassung kann sich ein VPN-Server eines Drittanbieters befinden.
Informationen über die Konfiguration für VPN-Server von Drittanbietern finden Sie auf der
Website des Virtual Private Network Consortium (Virtuelles privates Netzwerk, Website nur auf
Englisch verfügbar: http://www.vpnc.org). In der Zweigniederlassung kann jedoch als VPNServer auch ISA Server 2004, Windows Server 2003 oder Windows 2000 Server eingesetzt
werden.
Kurzanleitung zur IPSec-Tunnellösung – Schritt 1: Hinzufügen eines
Remotestandortnetzwerks
Wenn Sie in ISA Server ein Standort-zu-Standort-VPN konfigurieren, richten Sie ein neues
Netzwerk ein: den Remotestandort, der vom ISA Server-Computer als Remote-VPN behandelt
wird. Das Netzwerk wird wie folgt eingerichtet.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus.
4.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf
Remotestandortnetzwerk hinzufügen, um den Assistenten für ein neues Netzwerk zu
starten.
5.
Geben Sie auf der Seite Willkommen einen Namen für das neue Netzwerk an, z. B. IPSecTunnel für Niederlassung Berlin, und klicken Sie dann auf Weiter. Die Länge des
Netzwerknamens ist auf 200 Zeichen begrenzt.
6.
Wählen Sie auf der Seite VPN-Protokoll die Option IPSec-Tunnelmodus (IP SecurityProtokoll) aus, und klicken Sie dann auf Weiter.
Lösungen 9
7.
Auf der Seite Verbindungseinstellungen müssen Sie die IP-Adresse des Remote- und
lokalen VPN-Servers angeben. Geben Sie unter IP-Adresse des Remote-VPN-Gateways
die IP-Adresse an, über die der VPN-Remoteserver die Verbindung mit dem Internet
herstellt. Im Beispiel lautet die IP-Adresse des Remote-VPN-Gateways 208.147.66.1 (siehe
Abbildung).
8.
Klicken Sie auf Netzwerke, um das Dialogfeld Zugriffsnetzwerke zu öffnen. Wählen Sie
das als VPN-Gateway für den ISA Server-Computer fungierende Netzwerk aus. In der Regel
(und in der Standardeinstellung) ist dies das Netzwerk Extern, da die VPN-Verbindung über
das Internet hergestellt wird. Klicken Sie auf OK, um das Dialogfeld Zugriffsnetzwerke zu
schließen.
9.
Wählen Sie unter IP-Adresse des lokalen VPN-Gateways die IP-Adresse des
Netzwerkadapters aus, über den die Verbindung des ISA Server-Computers mit dem im
vorhergehenden Schritt ausgewählten Netzwerk erfolgt. In der Abbildung lautet die IPAdresse des Netzwerkadapters, über den der ISA Server-Computer mit dem externen
Netzwerk verbunden ist, beispielsweise 157.54.0.1.
10. Wählen Sie auf der Seite IPSec-Authentifizierung die Option Vorinstallierten Schlüssel
für Authentifizierung verwenden aus. Dies ist die standardmäßige IPSecAuthentifizierungsmethode für die IPSec-Tunnellösung. Geben Sie den vorinstallierten
Schlüssel ein, und klicken Sie anschließend auf Weiter.
11. Klicken Sie auf der Seite Netzwerkadressen auf Hinzufügen, und fügen Sie die
Adressbereiche des Remotenetzwerks hinzu. Sie erhalten diese Informationen vom
Administrator des Remotenetzwerks.
12. Überprüfen Sie auf der Zusammenfassungsseite die Konfiguration, und klicken Sie dann auf
Fertig stellen.
13. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die
Änderungen zu übernehmen.
Anmerkung
Vor- und Nachteile vorinstallierter Schlüssel
Für die Authentifizierung mit vorinstallierten Schlüsseln sind nicht die
Investitionen in Hardware und Konfiguration erforderlich, wie dies bei einer
PKI (Public Key Infrastructure) der Fall ist, die für die Verwendung von
Computerzertifikaten zur IPSec-Authentifizierung benötigt wird. Vordefinierte
Schlüssel können auf einem lokalen VPN-Server einfach konfiguriert werden.
Im Gegensatz zu Zertifikaten kann der Ursprung und der Verlauf eines
vorinstallierten Schlüssels nicht ermittelt werden. Aus diesen Gründen wird
die Verwendung von vorinstallierten Schlüsseln zum Authentifizieren von
IPSec-Verbindungen als relativ unsichere Authentifizierungsmethode
angesehen. Wenn Sie eine langfristige, sichere Authentifizierungsmethode
verwenden möchten, sollten Sie die Verwendung einer PKI in Betracht
ziehen. Dies erfordert die Installation digitaler Zertifikate von derselben
Authentifizierungsstelle auf dem lokalen und dem Remote-VPN-Server.
Weitere Informationen über digitale Zertifikate finden Sie in diesem
Dokument in Anhang A: Installieren digitaler Zertifikate auf dem lokalen und
Remote-VPN-Server.
10 Standort-zu-Standort-VPN in ISA Server 2004
Wichtig
Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den
ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart
erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des
ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie im
Detailbereich auf der Registerkarte Alarme nach dem Alarm Ein Neustart
des ISA Server-Computers ist erforderlich. Die Beschreibung zu diesem
Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart
des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA
Server-Computer neu starten.
Kurzanleitung zur IPSec-Tunnellösung – Schritt 2: Erstellen von
Netzwerkregeln und Firewallrichtlinien
Nachdem Sie das Remote-VPN erstellt haben, wird dieses von ISA-Server wie jedes andere
Netzwerk betrachtet, das mit dem ISA Server-Computer verbunden ist. Sie müssen nun folgende
Elemente erstellen:

Netzwerkregeln, um festzulegen, ob das Netzwerk über ein NAT- (Network Address
Translation) oder Routeverhältnis mit den anderen Netzwerken verfügt, die mit dem ISA
Server-Computer verbunden sind. Richten Sie ein Routeverhältnis ein, da eine bidirektionale
Kommunikation zwischen den VPNs erforderlich ist. Ein NAT-Verhältnis ist unidirektional.
Wenn die Computer, die zwischen den verschiedenen Netzwerken kommunizieren müssen,
über öffentliche IP-Adressen verfügen, kann ohne Bedenken hinsichtlich doppelter Adressen
ein Routeverhältnis erstellt werden, da öffentliche IP-Adressen eindeutig sind. Wenn die
Computer über private IP-Adressen verfügen, z. B. im Bereich 0.10.10.0 – 10.255.255.255,
besteht die Gefahr, dass die VPNs doppelte Adressen enthalten. Damit ein Routeverhältnis
eingerichtet werden kann, müssen die Administratoren der Netzwerke sicherstellen, dass für
die Computer der beiden zu verbindenden VPN keine doppelten IP-Adressen vergeben sind.
Anmerkung
Bei einem NAT-Verhältnis zwischen zwei VPNs schlägt die Kommunikation
zwischen den Netzwerken fehl. Wenn jedoch für eins der Netzwerke ein
Routeverhältnis festgelegt wurde, kann für das andere Netzwerk ein NATVerhältnis konfiguriert werden. Die Kommunikation ist dann möglich.

Zugriffsregeln zum Steuern des Zugriffs auf das Remotenetzwerk und des Zugriffs vom
Remotenetzwerk. Beim Erstellen von Zugriffsregeln können Sie festlegen, dass mit den
Regeln übereinstimmende Anforderungen in die ISA Server-Protokollierung geschrieben
werden. Sie können dann auf die Protokollierung zugreifen, um den Zugriff vom und auf das
Remotestandortnetzwerk zu überprüfen.
Lösungen 11
Beispiele möglicher Firewallrichtlinien für Standort-zu-Standort-VPN-Szenarien finden Sie in
diesem Dokument in Anhang D: Firewallrichtlinien für Standort-zu-Standort-VPNs. Das
Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden
des Assistenten für neue Zugriffsregeln beschrieben.
Informationen über Netzwerk- und Zugriffsregeln finden Sie in der ISA Server 2004-Hilfe.
Kurzanleitung zur IPSec-Tunnellösung – Schritt 3: Konfigurieren der
automatischen Einwahl
Wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist,
können Sie ISA Server so konfigurieren, dass eine automatische Einwahl erfolgt, sobald ein
Clientcomputer eine Anfrage an das Remote-VPN sendet. Das Verfahren zum Konfigurieren der
automatischen Einwahl wird in diesem Dokument in Anhang B: Konfigurieren der
automatischen Einwahl beschrieben.
Kurzanleitung zur IPSec-Tunnellösung – Schritt 4: Konfigurieren des
Remote-VPN-Servers
Der VPN-Remoteserver muss so konfiguriert werden, dass die Verbindung zum ISA ServerComputer entsprechend den Herstelleranweisungen im IPSec-Tunnelmodus hergestellt wird. Auf
der Website des Virtual Private Network Consortium (Virtuelles privates Netzwerk, Website nur
auf Englisch verfügbar: http://www.vpnc.org) finden Sie möglicherweise weitere nützliche
Informationen.
ISA Server bietet eine Übersicht über die zur Konfiguration des Remoteservers erforderlichen
Informationen. Um diese Übersichtsinformationen anzuzeigen, gehen Sie wie folgt vor.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus.
4.
Wählen Sie das Netzwerk aus, das Sie in Schritt 1 erstellt haben.
5.
Klicken Sie auf der Registerkarte Aufgaben im Aufgabenbereich auf IPSec-Richtlinie
anzeigen. Das nun angezeigte Dialogfeld enthält die Informationen, die der Administrator
des Remote-VPN-Servers zum Konfigurieren der Verbindung vom Remote-VPN-Server
zum ISA Server-Computer benötigt.
Kurzanleitung zur IPSec-Tunnellösung – Schritt 5: Testen der
Verbindung
Testen Sie die VPN-Verbindung, wie in diesem Dokument in Anhang C: Testen und
Überwachen der VPN-Verbindung beschrieben. Zwar wird im Anhang sowohl das Testen als
auch das Überwachen beschrieben, doch wird für diesen Schritt nur das Verfahren zum Testen
verwendet.
12 Standort-zu-Standort-VPN in ISA Server 2004
Kurzanleitung zur IPSec-Tunnellösung – Schritt 6: Konfigurieren der
erweiterten IPSec-Einstellungen
Sie können erweiterte IPSec-Einstellungen konfigurieren, insbesondere die IKEProtokolleinstellungen (Internet Key Exchange) Phase I und Phase II. Gehen Sie wie folgt vor,
um die Einstellungen aufzurufen.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus, und doppelklicken Sie
auf das Remotestandortnetzwerk, für das Sie die IKE-Einstellungen konfigurieren möchten.
Die entsprechende Eigenschaftenseite wird geöffnet.
4.
Klicken Sie auf der Registerkarte Verbindung auf IPSec-Einstellungen, um das Dialogfeld
IPSec-Konfiguration zu öffnen. In diesem Dialogfeld können Sie die Registerkarten
Phase I und Phase II auswählen und anschließend die Einstellungen ändern.
5.
Klicken Sie auf OK, um das Dialogfeld IPSec-Konfiguration zu schließen, und klicken Sie
anschließend erneut auf OK, um das Eigenschaftendialogfeld für das Netzwerk zu schließen.
6.
Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die
Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Zeit in
Anspruch nehmen.
Kurzanleitung zur L2TP-über-IPSec-Lösung
Verwenden Sie die L2TP-über-IPSec-Lösung in einem Szenario, in dem Sie ISA Server 2004 als
VPN-Server einsetzen und am Standort, mit dem Sie eine Verbindung herstellen, als VPN-Server
Windows Server 2003, Windows 2000 Server, ISA Server 2004 oder ISA Server 2000 ausgeführt
wird. ISA Server 2004 verwendet zum Herstellen der VPN-Verbindung mit L2TP über IPSec die
Windows-Komponente Routing und RAS.
Netzwerktopologie für die L2TP-über-IPSec-Lösung
In der folgenden Abbildung ist eine mögliche Netzwerktopologie für die L2TP-über-IPSecLösung dargestellt.
Lösungen 13
Wie aus der Abbildung ersichtlich ist, verwendet die Hauptniederlassung einen ISA Server 2004Computer als VPN-Server. ISA Server 2004 ist auf einem Computer mit Windows Server 2003
oder Windows 2000 Server installiert.
In der Zweigniederlassung wird als VPN-Server Windows Server 2003, Windows 2000 Server,
ISA Server 2004 oder ISA Server 2000 ausgeführt.
Kurzanleitung zu L2TP über IPSec – Schritt 1: Hinzufügen eines
Remotestandortnetzwerks
Wenn Sie in ISA Server ein Standort-zu-Standort-VPN konfigurieren, richten Sie ein neues
Netzwerk ein: den Remotestandort, der vom ISA Server-Computer als Remote-VPN behandelt
wird. Das Netzwerk wird wie folgt eingerichtet.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus.
4.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf
Remotestandortnetzwerk hinzufügen, um den Assistenten für ein neues Netzwerk zu
starten.
5.
Geben Sie auf der Seite Willkommen einen Namen für das neue Netzwerk an, z. B. L2TP
über IPSec für Niederlassung Berlin, und klicken Sie dann auf Weiter.
6.
Wählen Sie auf der Seite VPN-Protokoll die Option L2TP (Layer Two TunnelingProtokoll) über IPSec aus, und klicken Sie dann auf Weiter.
7.
Geben Sie auf der Seite Remotestandortgateway den Namen oder die IP-Adresse für die
Remote-VPN-Server an, und klicken Sie dann auf Weiter. Im Beispiel lautet die IP-Adresse
des Remote-VPN-Gateways 208.147.66.1 (siehe Abbildung).
8.
Auf der Seite Remoteauthentifizierung können Sie festlegen, dass ausgehende
Verbindungen vom lokalen Standort zum Remotestandort zugelassen werden. Wenn Sie
14 Standort-zu-Standort-VPN in ISA Server 2004
diese Option aktivieren, müssen Sie einen Benutzernamen, eine Domäne und ein Kennwort
für die Verbindung angeben. Wenn Sie diese Option nicht aktivieren, können Sie keine
ausgehenden Verbindungen mit dem VPN-Remotestandort einrichten, obwohl Sie
Verbindungen von diesem Standort annehmen können. Klicken Sie auf Weiter.
9.
Die Seite Lokale Authentifizierung enthält einen Hinweis, dass für das lokale Netzwerk ein
Benutzer mit Einwähleigenschaften konfiguriert sein muss, damit das Remotenetzwerk eine
Verbindung mit dem lokalen Netzwerk initiieren kann. Der Name dieses Benutzers muss mit
dem Namen des Remotenetzwerks identisch sein.
Anmerkung
Um einen Benutzer mit Einwähleigenschaften zu konfigurieren, öffnen Sie
die Computerverwaltung. (Klicken Sie auf dem Desktop mit der rechten
Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Verwalten.)
Klicken Sie unter Lokale Benutzer und Gruppen mit der rechten Maustaste
auf Benutzer, und wählen Sie dann Neuer Benutzer aus. Nehmen Sie
Eingaben in die Felder des Dialogfelds Neuer Benutzer vor, und stellen Sie
dabei sicher, dass der von Ihnen angegebene Name mit dem Namen des
Remotenetzwerks übereinstimmt. Doppelklicken Sie auf den Namen des
neuen Benutzers, damit dessen Eigenschaften angezeigt werden, und
wählen Sie die Registerkarte Einwählen aus. Wählen Sie unter RASBerechtigung (Einwählen oder VPN) die Option Zugriff gestatten aus. Klicken
Sie zum Schließen des Dialogfelds auf OK.
10. Klicken Sie auf der Seite Lokale Authentifizierung auf Weiter.
11. Auf der Seite L2TP/IPSec-Authentifizierung steht die Option Vorinstallierten Schlüssel
für IPSec-Authentifizierung als sekundäre (alternative) Authentifizierungsmethode
zulassen zur Verfügung. Bei Auswahl dieser Option müssen Sie den vordefinierten
Schlüssel angeben. Als primäre Authentifizierungsmethode werden digitale Zertifikate
verwendet, wenn Sie sowohl auf dem lokalen als auch dem Remote-VPN-Server digitale
Zertifikate (IPSec) von derselben vertrauenswürdigen Zertifizierungsstelle installiert haben.
Weitere Informationen über digitale Zertifikate finden Sie in diesem Dokument in
Anhang A: Installieren digitaler Zertifikate auf dem lokalen und Remote-VPN-Server.
Klicken Sie auf Weiter.
Lösungen 15
Anmerkung
Vor- und Nachteile vorinstallierter Schlüssel
Für die Authentifizierung mit vorinstallierten Schlüsseln sind nicht die
Investitionen in Hardware und Konfiguration erforderlich, wie dies bei einer
PKI (Public Key Infrastructure) der Fall ist, die für die Verwendung von
Computerzertifikaten zur IPSec-Authentifizierung benötigt wird. Vordefinierte
Schlüssel können auf einem lokalen VPN-Server einfach konfiguriert werden.
Ein einzelner lokaler VPN-Server kann nur einen einzigen vorinstallierten
Schlüssel für alle L2TP-über-IPSec-Verbindungen verwenden, die einen
vorinstallierten Schlüssel zur Authentifizierung erfordern. Daher müssen Sie
im L2TP über IPSec-Szenario denselben vorinstallierten Schlüssel an alle
VPN-Remotestandorte ausgeben, die mithilfe eines vorinstallierten
Schlüssels eine Verbindung mit dem lokalen VPN-Server herstellen. Diese
Einschränkung reduziert die Sicherheit der Bereitstellung und erhöht
gleichzeitig die Wahrscheinlichkeit von Fehlern. Wenn der vorinstallierte
Schlüssel auf einem lokalen VPN-Server geändert wird, kann ein RemoteVPN-Server mit einem manuell konfigurierten vorinstallierten Schlüssel so
lange keine Verbindung mit diesem Server herstellen, bis der vorinstallierte
Schlüssel auf dem Remote-VPN-Server geändert wird.
Im Gegensatz zu Zertifikaten kann der Ursprung und der Verlauf eines
vorinstallierten Schlüssels nicht ermittelt werden. Aus diesen Gründen wird
die Verwendung von vorinstallierten Schlüsseln zum Authentifizieren von
IPSec-Verbindungen als relativ unsichere Authentifizierungsmethode
angesehen. Wenn Sie eine langfristige, sichere Authentifizierungsmethode
verwenden möchten, sollten Sie die Verwendung einer PKI in Betracht
ziehen. Dies erfordert die Installation digitaler Zertifikate von derselben
Authentifizierungsstelle auf dem lokalen und dem Remote-VPN-Server.
Weitere Informationen über digitale Zertifikate finden Sie in diesem
Dokument in Anhang A: Installieren digitaler Zertifikate auf dem lokalen und
Remote-VPN-Server.
12. Klicken Sie auf der Seite Netzwerkadressen auf Hinzufügen, und fügen Sie die
Adressbereiche des Remotenetzwerks hinzu. Sie erhalten diese Informationen vom
Administrator des Remotenetzwerks. Nachdem Sie die Adressbereiche hinzugefügt haben,
klicken Sie auf der Seite Netzwerkadressen auf Weiter.
13. Überprüfen Sie auf der Zusammenfassungsseite die Konfiguration, und klicken Sie dann auf
Fertig stellen.
Kurzanleitung zu L2TP über IPSec – Schritt 2: Festlegen der
allgemeinen VPN-Eigenschaften
ISA Server verwendet beim Authentifizieren der durch den Remotestandort initiierten Standortzu-Standort-VPN-Verbindungen die Eigenschaften der allgemeinen VPN-Konfiguration. Um
sicherzustellen, dass eine sichere Verbindung hergestellt werden kann, müssen Sie die
allgemeinen VPN-Eigenschaften konfigurieren.
16 Standort-zu-Standort-VPN in ISA Server 2004
Anmerkung
Wenn Sie im Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN)
die allgemeine VPN-Konfiguration festlegen, werden die Einstellungen auf
jede durch einen Remoteclient initiierte VPN-Verbindung angewendet,
unabhängig davon, ob es sich um einen mobilen Client oder einen
Remotestandort handelt.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben unter Allgemeine VPNKonfiguration auf Zugriffsnetzwerke auswählen. Dadurch wird das Dialogfeld
Eigenschaften von Virtuelle private Netzwerke (VPN) geöffnet und die Registerkarte
Zugriffsnetzwerke angezeigt. Wählen Sie auf dieser Registerkarte das von Ihnen erstellte
Remote-VPN aus, so dass das Remotenetzwerk eine Verbindung mit dem lokalen VPNServer initiieren kann.
4.
Wählen Sie die Registerkarte Adresszuweisung aus. Es wird empfohlen, einen DHCPServer (Dynamic Host Configuration-Protokoll) zu verwenden, um VPN-Clients beim
Herstellen der Verbindung IP-Adressen dynamisch zuzuweisen. Wählen Sie Dynamic Host
Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes
Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, um
anzugeben, dass sich der DHCP-Server im internen Netzwerk befindet. Klicken Sie auf OK.
Tipp
Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden
können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers
innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung
dargestellt.
Lösungen 17
Stattdessen können Sie auch einen Router speziell zum Durchleiten von
DHCP-Anforderungen an einen DHCP-Server hinter dem Router oder einen
DHCP-Relayagent auf dem ISA Server-Computer konfigurieren. Wenn Sie
kein DHCP konfigurieren möchten, wählen Sie in diesem Schritt nicht
Dynamic Host Configuration-Protokoll (DHCP), sondern Statischer
Adresspool aus. Klicken Sie dann auf Hinzufügen, um dem statischen
Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen
im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen.
Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete
Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt
Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.)
Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem
statischen Adresspool hinzugefügt werden können.
Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in
der ISA Server-Verwaltung den Knoten Konfiguration, und klicken Sie dann
auf Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte
Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte
Adressen einen Bereich von IP-Adressen aus, und klicken Sie auf Entfernen,
um diesen Bereich zu entfernen.
Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen
Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen
Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den
DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig
zugewiesen werden.
5.
Klicken Sie auf die Registerkarte Authentifizierung, und wählen Sie die
Authentifizierungsmethoden aus, die für die Anforderungen eingehender Verbindungen
verwendet werden. Wenn für die Verbindung ein vordefinierter Schlüssel verwendet wird,
wählen Sie außerdem IPSec-Richtlinie für L2TP-Verbindung zulassen aus, und geben Sie
den vordefinierten Schlüssel an.
6.
Wenn der Benutzer, dessen Anmeldeinformationen für die Remote-VPN-Verbindung
verwendet werden, mithilfe von RADIUS authentifiziert wird, wählen Sie die Registerkarte
RADIUS aus, und konfigurieren Sie die Verwendung von RADIUS.
7.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Virtuelle private Netzwerke
(VPN) zu schließen.
8.
Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die
Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Zeit in
Anspruch nehmen.
18 Standort-zu-Standort-VPN in ISA Server 2004
Wichtig
Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den
ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart
erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des
ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie auf der
Registerkarte Alarme nach dem Alarm Ein Neustart des ISA ServerComputers ist erforderlich. Die Beschreibung zu diesem Alarm lautet
Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers.
Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer
neu starten.
Kurzanleitung zu L2TP über IPSec – Schritt 3: Erstellen von
Netzwerkregeln und Firewallrichtlinien
Nachdem Sie das Remote-VPN erstellt haben, wird dieses von ISA-Server wie jedes andere
Netzwerk betrachtet, das mit dem ISA Server-Computer verbunden ist. Sie müssen nun folgende
Elemente erstellen:

Netzwerkregeln, um festzulegen, ob das Netzwerk über ein NAT- (Network Address
Translation) oder Routeverhältnis mit den anderen Netzwerken verfügt, die mit dem ISA
Server-Computer verbunden sind. Richten Sie ein Routeverhältnis ein, da eine bidirektionale
Kommunikation zwischen den VPNs erforderlich ist. Ein NAT-Verhältnis ist unidirektional.
Wenn die Computer, die zwischen den verschiedenen Netzwerken kommunizieren müssen,
über öffentliche IP-Adressen verfügen, kann ohne Bedenken hinsichtlich doppelter Adressen
ein Routeverhältnis erstellt werden, da öffentliche IP-Adressen eindeutig sind. Wenn die
Computer über private IP-Adressen verfügen, z. B. im Bereich 0.10.10.0 – 10.255.255.255,
besteht die Gefahr, dass die VPNs doppelte Adressen enthalten. Damit ein Routeverhältnis
eingerichtet werden kann, müssen die Administratoren der Netzwerke sicherstellen, dass für
die Computer der beiden zu verbindenden VPN keine doppelten IP-Adressen vergeben sind.
Verwenden Sie zum Erstellen einer Netzwerkregel das in diesem Dokument in Anhang H:
Erstellen einer neuen Netzwerkregel beschriebene Verfahren.
Anmerkung
Bei einem NAT-Verhältnis zwischen zwei VPNs schlägt die Kommunikation
zwischen den Netzwerken fehl. Wenn jedoch für eins der Netzwerke ein
Routeverhältnis festgelegt wurde, kann für das andere Netzwerk ein NATVerhältnis konfiguriert werden. Die Kommunikation ist dann möglich.

Zugriffsregeln zum Steuern des Zugriffs auf das Remotenetzwerk und des Zugriffs vom
Remotenetzwerk. Beim Erstellen von Zugriffsregeln können Sie festlegen, dass mit den
Regeln übereinstimmende Anforderungen in die ISA Server-Protokollierung geschrieben
werden. Sie können dann auf die Protokollierung zugreifen, um den Zugriff vom und auf das
Remotestandortnetzwerk zu überprüfen.
Beispiele möglicher Firewallrichtlinien für Standort-zu-Standort-VPN-Szenarien finden Sie in
diesem Dokument in Anhang D: Firewallrichtlinien für Standort-zu-Standort-VPNs. Das
Lösungen 19
Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden
des Assistenten für neue Zugriffsregeln beschrieben.
Informationen über Netzwerk- und Zugriffsregeln finden Sie in der ISA Server 2004-Hilfe.
Kurzanleitung zu L2TP über IPSec – Schritt 4: Konfigurieren der
automatischen Einwahl
Wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist,
können Sie ISA Server so konfigurieren, dass eine automatische Einwahl erfolgt, sobald ein
Clientcomputer eine Anfrage an das Remote-VPN sendet. Das Verfahren zum Konfigurieren der
automatischen Einwahl wird in diesem Dokument in Anhang B: Konfigurieren der
automatischen Einwahl beschrieben.
Kurzanleitung zu L2TP über IPSec – Schritt 5: Konfigurieren des
Remote-VPN-Servers
Konfigurieren Sie den Remote-VPN-Server so, dass Verbindungen mit dem ISA ServerComputer im L2TP über IPSec-Modus hergestellt werden. Befolgen Sie zum Konfigurieren des
Remote-VPN-Servers die Anweisungen des Herstellers. Wenn der Remoteserver beispielsweise
ein ISA Server 2004-Computer ist, führen Sie zum Konfigurieren des ISA Server 2004Remotecomputers die Schritte dieser durch.
Kurzanleitung zu L2TP über IPSec – Schritt 6: Testen und
Überwachen der Verbindung
Testen und überwachen Sie die VPN-Verbindung, wie in diesem Dokument in Anhang C: Testen
und Überwachen der VPN-Verbindung beschrieben.
Kurzanleitung zur PPTP-Lösung
Verwenden Sie die PPTP-Lösung in einem Szenario, in dem Sie ISA Server 2004 als VPNServer einsetzen und am Standort, mit dem Sie eine Verbindung herstellen, als VPN-Server
Windows Server 2003, Windows 2000 Server, ISA Server 2004 oder ISA Server 2000 ausgeführt
wird. ISA Server 2004 verwendet zum Herstellen der VPN-Verbindung mit PPTP die WindowsKomponente Routing und RAS.
Netzwerktopologie für die PPTP-Lösung
In der folgenden Abbildung ist eine mögliche Netzwerktopologie für die PPTP-Lösung
dargestellt.
20 Standort-zu-Standort-VPN in ISA Server 2004
Wie aus der Abbildung ersichtlich ist, verwendet die Hauptniederlassung ISA Server 2004 als
VPN-Server. ISA Server 2004 ist auf einem Computer mit Windows Server 2003 oder
Windows 2000 Server installiert.
In der Zweigniederlassung wird als VPN-Server Windows Server 2003, Windows 2000 Server,
ISA Server 2004 oder ISA Server 2000 ausgeführt.
Kurzanleitung zur PPTP-Lösung – Schritt 1: Hinzufügen eines
Remotestandortnetzwerks
Wenn Sie in ISA Server ein Standort-zu-Standort-VPN konfigurieren, richten Sie ein neues
Netzwerk ein: den Remotestandort, der vom ISA Server-Computer als Remote-VPN behandelt
wird. Das Netzwerk wird wie folgt eingerichtet.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Wählen Sie im Detailbereich die Registerkarte Remotestandorte aus.
4.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf
Remotestandortnetzwerk hinzufügen, um den Assistenten für ein neues Netzwerk zu
starten.
5.
Geben Sie auf der Seite Willkommen einen Namen für das neue Netzwerk an, z. B. PPTP
für Niederlassung Berlin, und klicken Sie dann auf Weiter.
6.
Wählen Sie auf der Seite VPN-Protokoll die Option PPTP (Point-to-Point TunnelingProtokoll) aus, und klicken Sie dann auf Weiter.
7.
Geben Sie auf der Seite Remotestandortgateway den Namen oder die IP-Adresse für die
Remote-VPN-Server an, und klicken Sie dann auf Weiter. Im Beispiel lautet die IP-Adresse
des Remote-VPN-Gateways 208.147.66.1 (siehe Abbildung).
8.
Auf der Seite Remoteauthentifizierung können Sie festlegen, dass ausgehende
Verbindungen vom lokalen Standort zum Remotestandort zugelassen werden. Wenn Sie
Lösungen 21
diese Option aktivieren, müssen Sie einen Benutzernamen, eine Domäne und ein Kennwort
für die Verbindung angeben. Wenn Sie diese Option nicht aktivieren, können Sie keine
ausgehenden Verbindungen mit dem VPN-Remotestandort einrichten, obwohl Sie
Verbindungen von diesem Standort annehmen können. Klicken Sie auf Weiter.
9.
Die Seite Lokale Authentifizierung enthält einen Hinweis, dass für das Remotenetzwerk
ein Benutzer mit Einwähleigenschaften konfiguriert sein muss. Der Name dieses Benutzers
muss mit dem Namen des Remotenetzwerks identisch sein. Klicken Sie auf Weiter.
Anmerkung
Um einen Benutzer mit Einwähleigenschaften zu konfigurieren, öffnen Sie
die Computerverwaltung. (Klicken Sie auf dem Desktop mit der rechten
Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Verwalten.)
Wählen Sie unter Lokale Benutzer und Gruppen die Option Benutzer aus.
Doppelklicken Sie auf den Namen eines Benutzers, um dessen
Eigenschaften anzuzeigen, und wählen Sie die Registerkarte Einwählen aus.
Wählen Sie unter RAS-Berechtigung (Einwählen oder VPN) die Option Zugriff
gestatten aus. Klicken Sie zum Schließen des Dialogfelds auf OK.
10. Klicken Sie auf der Seite Netzwerkadressen auf Hinzufügen, und fügen Sie die
Adressbereiche des Remotenetzwerks hinzu. Sie erhalten diese Informationen vom
Administrator des Remotenetzwerks.
11. Überprüfen Sie auf der Zusammenfassungsseite die Konfiguration, und klicken Sie dann auf
Fertig stellen.
12. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die
Änderungen zu übernehmen.
Kurzanleitung zur PPTP-Lösung – Schritt 2: Festlegen der
allgemeinen VPN-Eigenschaften
ISA Server verwendet beim Authentifizieren der durch den Remotestandort initiierten Standortzu-Standort-VPN-Verbindungen die Eigenschaften der allgemeinen VPN-Konfiguration. Um
sicherzustellen, dass eine sichere Verbindung hergestellt werden kann, müssen Sie die
allgemeinen VPN-Eigenschaften konfigurieren.
Anmerkung
Wenn Sie im Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN)
die allgemeine VPN-Konfiguration festlegen, werden die Einstellungen auf
jede durch einen Remoteclient initiierte VPN-Verbindung angewendet,
unabhängig davon, ob es sich um einen mobilen Client oder einen
Remotestandort handelt.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
22 Standort-zu-Standort-VPN in ISA Server 2004
3.
Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben unter Allgemeine VPNKonfiguration die Option Zugriffsnetzwerke auswählen aus. Dadurch wird das Dialogfeld
Eigenschaften von Virtuelle private Netzwerke (VPN) geöffnet und die Registerkarte
Zugriffsnetzwerke angezeigt. Wählen Sie auf dieser Registerkarte das von Ihnen erstellte
Remote-VPN aus, so dass das Remotenetzwerk eine Verbindung mit dem lokalen VPNServer initiieren kann.
4.
Wählen Sie die Registerkarte Adresszuweisung aus. Es wird empfohlen, einen DHCPServer (Dynamic Host Configuration-Protokoll) zu verwenden, um VPN-Clients beim
Herstellen der Verbindung IP-Adressen dynamisch zuzuweisen. Wählen Sie Dynamic Host
Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes
Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, um
anzugeben, dass sich der DHCP-Server im internen Netzwerk befindet. Klicken Sie auf OK.
Tipp
Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden
können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers
innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung
dargestellt.
Lösungen 23
Stattdessen können Sie auch einen Router speziell zum Durchleiten von
DHCP-Anforderungen an einen DHCP-Server hinter dem Router oder einen
DHCP-Relayagent auf dem ISA Server-Computer konfigurieren. Wenn Sie
kein DHCP konfigurieren möchten, wählen Sie in diesem Schritt nicht
Dynamic Host Configuration-Protokoll (DHCP), sondern Statischer
Adresspool aus. Klicken Sie dann auf Hinzufügen, um dem statischen
Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen
im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen.
Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete
Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt
Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.)
Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem
statischen Adresspool hinzugefügt werden können.
Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in
der ISA Server-Verwaltung den Knoten Konfiguration, und klicken Sie dann
auf Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte
Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte
Adressen einen Bereich von IP-Adressen aus, und klicken Sie auf Entfernen,
um diesen Bereich zu entfernen.
Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen
Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen
Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den
DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig
zugewiesen werden.
5.
Klicken Sie auf die Registerkarte Authentifizierung, und wählen Sie die
Authentifizierungsmethoden aus, die für die Anforderungen eingehender Verbindungen
verwendet werden.
6.
Wenn der Benutzer, dessen Anmeldeinformationen für die Remote-VPN-Verbindung
verwendet werden, mithilfe von RADIUS authentifiziert wird, wählen Sie die Registerkarte
RADIUS aus, und konfigurieren Sie die Verwendung von RADIUS.
a.
Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Virtuelle private
Netzwerke (VPN) zu schließen.
b.
Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die
Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Zeit in
Anspruch nehmen.
Wichtig
Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den
ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart
erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des
ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie auf der
Registerkarte Alarme nach dem Alarm Ein Neustart des ISA ServerComputers ist erforderlich. Die Beschreibung zu diesem Alarm lautet
Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers.
Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer
neu starten.
24 Standort-zu-Standort-VPN in ISA Server 2004
Kurzanleitung zur PPTP-Lösung – Schritt 3: Erstellen von
Netzwerkregeln und Firewallrichtlinien
Nachdem Sie das Remote-VPN erstellt haben, wird dieses von ISA-Server wie jedes andere
Netzwerk betrachtet, das mit dem ISA Server-Computer verbunden ist. Sie müssen nun folgende
Elemente erstellen:

Netzwerkregeln, um festzulegen, ob das Netzwerk über ein NAT- (Network Address
Translation) oder Routeverhältnis mit den anderen Netzwerken verfügt, die mit dem ISA
Server-Computer verbunden sind. Richten Sie ein Routeverhältnis ein, da eine bidirektionale
Kommunikation zwischen den VPNs erforderlich ist. Ein NAT-Verhältnis ist unidirektional.
Wenn die Computer, die zwischen den verschiedenen Netzwerken kommunizieren müssen,
über öffentliche IP-Adressen verfügen, kann ohne Bedenken hinsichtlich doppelter Adressen
ein Routeverhältnis erstellt werden, da öffentliche IP-Adressen eindeutig sind. Wenn die
Computer über private IP-Adressen verfügen, z. B. im Bereich 0.10.10.0 – 10.255.255.255,
besteht die Gefahr, dass die VPNs doppelte Adressen enthalten. Damit ein Routeverhältnis
eingerichtet werden kann, müssen die Administratoren der Netzwerke sicherstellen, dass für
die Computer der beiden zu verbindenden VPN keine doppelten IP-Adressen vergeben sind.
Verwenden Sie zum Erstellen einer Netzwerkregel das in diesem Dokument in Anhang H:
Erstellen einer neuen Netzwerkregel beschriebene Verfahren.
Anmerkung
Bei einem NAT-Verhältnis zwischen zwei VPNs schlägt die Kommunikation
zwischen den Netzwerken fehl. Wenn jedoch für eins der Netzwerke ein
Routeverhältnis festgelegt wurde, kann für das andere Netzwerk ein NATVerhältnis konfiguriert werden. Die Kommunikation ist dann möglich.

Zugriffsregeln zum Steuern des Zugriffs auf das Remotenetzwerk und des Zugriffs vom
Remotenetzwerk. Beim Erstellen von Zugriffsregeln können Sie festlegen, dass mit den
Regeln übereinstimmende Anforderungen in die ISA Server-Protokollierung geschrieben
werden. Sie können dann auf die Protokollierung zugreifen, um den Zugriff vom und auf das
Remotestandortnetzwerk zu überprüfen.
Beispiele möglicher Firewallrichtlinien für Standort-zu-Standort-VPN-Szenarien finden Sie in
diesem Dokument in Anhang D: Firewallrichtlinien für Standort-zu-Standort-VPNs. Das
Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden
des Assistenten für neue Zugriffsregeln beschrieben.
Informationen über Netzwerk- und Zugriffsregeln finden Sie in der ISA Server 2004-Hilfe.
Kurzanleitung zur PPTP-Lösung – Schritt 4: Konfigurieren der
automatischen Einwahl
Wenn der ISA Server-Computer über eine DFÜ-Verbindung mit dem Internet verbunden ist,
können Sie ISA Server so konfigurieren, dass eine automatische Einwahl erfolgt, sobald ein
Clientcomputer eine Anfrage an das Remote-VPN sendet. Das Verfahren zum Konfigurieren der
Lösungen 25
automatischen Einwahl wird in diesem Dokument in Anhang B: Konfigurieren der
automatischen Einwahl beschrieben.
Kurzanleitung zur PPTP-Lösung – Schritt 5: Konfigurieren des
Remote-VPN-Servers
Konfigurieren Sie den Remote-VPN-Server so, dass Verbindungen mit dem ISA ServerComputer im PPTP-Modus hergestellt werden.
Kurzanleitung zur PPTP-Lösung – Schritt 6: Testen und Überwachen
der Verbindung
Testen und überwachen Sie die VPN-Verbindung, wie in diesem Dokument in Anhang C: Testen
und Überwachen der VPN-Verbindung beschrieben.
Anhang A: Installieren digitaler Zertifikate auf
dem lokalen und Remote-VPN-Server
Wenn Sie zum Sichern der Standort-zu-Standort-VPN-Verbindung digitale Zertifikate
verwenden, müssen Sie die Zertifikate sowohl auf dem lokalen als auch dem Remote-VPNServer installieren. Dieser Anhang enthält eine Anleitung für die Installation. Beachten Sie, dass
diese Anleitung für den lokalen und den Remote-VPN-Server gilt. Voraussetzung dafür ist, dass
auf dem Remote-VPN-Server Windows Server 2003 oder Windows 2000 Server ausgeführt
wird.
Zertifizierungsstellen
Auf jedem VPN-Server muss die Zertifizierungsstelle des Serverzertifikats der jeweiligen
Gegenstelle als vertrauenswürdig eingestuft sein. Ein solches Zertifikatvertrauen beruht darauf,
dass ein Stammzertifikat von der ausstellenden Zertifizierungsstelle vorhanden ist.
Als Beispiel dient ein Szenario, in dem die Standort-zu-Standort-VPN-Verbindung zwischen
einem ISA Server 2004-Computer mit der Bezeichnung Server1 und einem ISA Server 2000Computer mit der Bezeichnung Server2 hergestellt wird. Server1 erhält sein Zertifikat von
Zertifizierungsstelle1 (Z-St.1), und Server2 erhält sein Zertifikat von Zertifizierungsstelle2 (ZSt.2). Die Konfiguration der Zertifikate ist in der folgenden Tabelle dargestellt.
Servername
Serverzertifikat
Stammzertifikat
Server1
Ausgestellt von Z-St.1
Z-St.2
Server2
Ausgestellt von Z-St.2
Z-St.1
26 Standort-zu-Standort-VPN in ISA Server 2004
Bei Installation eines Zertifikats von einer kommerziellen Zertifizierungsstelle muss kein
Stammzertifikat verteilt werden, da die Stammzertifikate mit Windows installiert werden. Wenn
Sie Zertifikatdienste auf einem Server mit Windows-Umgebung in Ihrer Organisation installieren
und eigene Zertifikate für den lokalen und Remote-VPN-Server ausstellen, müssen Sie dafür
sorgen, dass das Stammzertifikat für Ihre Zertifizierungsstelle auf alle VPN-Server übertragen
wird, denen mit digitalen Zertifikaten gesicherte Verbindungen gestattet werden sollen.
Außerdem müssen Sie die Zertifikate verteilen. Falls keine direkte Verbindung zu dem Computer
mit den Zertifikatdiensten besteht, kann der Datenaustausch auch per Wechseldatenträger, CD
oder E-Mail erfolgen. (Stellen Sie zuvor sicher, dass Ihr E-Mail-System sicher ist.) Eine
Zertifizierungsstelle kann auch mit IIS (Internet Information Services) und Active Server Pages
veröffentlicht werden.
Da kommerzielle digitale Zertifikate mit Kosten verbunden sind, empfehlen wir für ein Szenario,
in dem beide VPN-Server derselben Organisation angehören, eine lokale Zertifizierungsstelle
einzurichten und eigene Zertifikate auszugeben. Das entsprechende Verfahren wird in diesem
Dokument unter Installieren digitaler Zertifikate – Schritt 1: Einrichten der Zertifizierungsstelle
beschrieben.
Anmerkung
Auf ISA Server 2004-Computern und VPN-Servern mit Windows Server 2003
oder Windows 2000 Server muss das von einer Zertifizierungsstelle
erhaltene Serverzertifikat im Speicher für persönliche Zertifikate des ISA
Server-Computers gespeichert werden. Das Stammzertifikat für den VPNServer, mit dem die Verbindung hergestellt wird, muss im Speicher für
vertrauenswürdige Stammzertifizierungsstellen des ISA Server-Computers
gespeichert werden.
Installieren digitaler Zertifikate – Schritt 1: Einrichten der
Zertifizierungsstelle
Sie benötigen IPSec-Zertifikate (Internet Protocol Security), die von einer Zertifizierungsstelle
ausgestellt wurden. Da die Zertifikate für die interne Verwendung vorgesehen sind, wird das
Erstellen einer lokalen Zertifizierungsstelle empfohlen, so dass kein kommerzielles Zertifikat
erworben werden muss. Dieser Schritt wird auf einem Computer durchgeführt, auf dem
Windows installiert ist. Für eine eigenständige Stammzertifizierungsstelle kann jeder Computer
mit installiertem Windows-Betriebssystem verwendet werden. Eine Stammzertifizierungsstelle
für das Unternehmen kann nur auf einem Domänencontroller installiert werden.
Mit diesem Verfahren werden auch die Dienste installiert, durch die Computer die Zertifikate
über eine Webseite empfangen können. Sie müssen auf dem ISA Server-Computer eine
Webveröffentlichungsregel erstellen, damit die Webseite außerhalb des Firmennetzwerks
verfügbar ist. Weitere Informationen finden Sie im Dokument Veröffentlichen von Webservern
mit ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20744).
Wenn Sie ein anderes Verfahren bevorzugen, um Zertifikate für die Computer verfügbar zu
machen, müssen Sie die im nachstehenden Verfahren beschriebene Installation von IIS (Internet
Information Services) und ASP (Active Server Pages) nicht durchführen.
Lösungen 27
1.
Öffnen Sie die Systemsteuerung.
2.
Doppelklicken Sie auf Software.
3.
Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
4.
Doppelklicken Sie auf Anwendungsserver.
5.
Doppelklicken Sie auf Internetinformationsdienste (IIS).
6.
Doppelklicken Sie auf WWW-Dienst.
7.
Wählen Sie Active Server Pages aus.
8.
Klicken Sie auf OK, um das Dialogfeld WWW-Dienst zu schließen, klicken Sie auf OK,
um das Dialogfeld Internetinformationsdienste (IIS) zu schließen, und klicken Sie dann
auf OK, um das Dialogfeld Anwendungsserver zu schließen.
9.
Wählen Sie Zertifikatdienste aus. Überprüfen Sie die Warnung zu Computername und
Domänenmitgliedschaft. Klicken Sie im Warnungsdialogfeld auf Ja, wenn Sie den Vorgang
fortsetzen möchten, und klicken Sie anschließend im Dialogfeld Windows-Komponenten
auf Weiter.
10. Wählen Sie auf der Seite Zertifizierungsstellentyp eine der folgenden Optionen aus, und
klicken Sie auf Weiter:

Stammzertifizierungsstelle des Unternehmens. Eine Stammzertifizierungsstelle für
das Unternehmen kann nur auf einem Domänencontroller installiert werden. Die
Stammzertifizierungsstelle des Unternehmens gibt Zertifikate automatisch aus, wenn
diese von autorisierten Benutzern angefordert werden, die vom Domänencontroller
erkannt werden.

Eigenständige Stammzertifizierungsstelle. Eine eigenständige
Stammzertifizierungsstelle erfordert, dass jedes angeforderte Zertifikat durch den
Administrator ausgegeben wird.
11. Geben Sie auf der Seite Informationen über die Zertifizierungsstelle einen allgemeinen
Namen für die Zertifizierungsstelle an, überprüfen Sie das Suffix des definierten Namens,
wählen Sie einen Gültigkeitszeitraum aus, und klicken Sie anschließend auf Weiter.
12. Überprüfen Sie auf der Seite Einstellungen der Zertifikatdatenbank die
Standardeinstellungen. Sie können die Speicherorte der Datenbank ändern. Klicken Sie auf
Weiter.
13. Überprüfen Sie die Zusammenfassung auf der Seite Fertigstellen des Assistenten, und
klicken Sie dann auf Fertig stellen.
Installieren digitaler Zertifikate – Schritt 2: Installieren eines
Zertifikats und eines vertrauenswürdigen Stammzertifikats
Dieser Schritt wird auf dem ISA Server-Computer und dem VPN-Server des Remotestandorts
(wenn auf ihm Windows Server 2003 oder Windows 2000 Server installiert ist) durchgeführt.
Wenn Sie keine Stammzertifizierungsstelle für das Unternehmen, sondern eine eigenständige
28 Standort-zu-Standort-VPN in ISA Server 2004
Stammzertifizierungsstelle installiert haben, müssen auch für die Zertifizierungsstelle Aktionen
durchgeführt werden.
1.
Öffnen Sie Internet Explorer.
2.
Wählen Sie im Menü Extras den Befehl Internetoptionen aus.
3.
Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie unter Wählen Sie eine
Webinhaltszone, um deren Sicherheitseinstellungen festzulegen, auf
Vertrauenswürdige Sites.
4.
Klicken Sie auf die Schaltfläche Sites, um das Dialogfeld Vertrauenswürdige Sites zu
öffnen.
5.
Geben Sie unter Diese Website zur Zone hinzufügen den Namen der
Zertifikatserverwebsite an (http://IP-Adresse des Zertifizierungsstellenservers/certsrv),
und klicken Sie auf Hinzufügen.
6.
Klicken Sie auf OK, um das Dialogfeld Vertrauenswürdige Sites zu schließen, und klicken
Sie anschließend auf OK, um Internetoptionen zu schließen.
7.
Navigieren Sie zu folgendem URL: http://IP-Adresse des
Zertifizierungsstellenservers/certsrv.
8.
Fordern Sie ein Zertifikat an.
9.
Wählen Sie Erweiterte Zertifikatanforderung aus.
10. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen
(Windows Server 2003-Zertifizierungsstelle) oder Senden Sie ein
Zertifikatsanforderungsformular an diese Zertifizierungsstelle (Windows 2000 ServerZertifizierungsstelle) aus.
11. Füllen Sie das Formular aus, und wählen Sie in der Dropdownliste Typ die Option IPSecZertifikat aus.
Anmerkung
Erläuterungen der auf der Seite Erweiterte Zertifikatanforderung
verfügbaren Optionen finden Sie in den folgenden Artikeln zu Windows
Server 2003 oder Windows 2000 Server:
 Verwenden der Webseiten zu Windows Server 2003-Zertifikatsdiensten
(http://go.microsoft.com/fwlink/?LinkId=22298)
 Verwenden der Webseiten zu Windows 2000 Server-Zertifikatsdiensten
(http://go.microsoft.com/fwlink/?LinkId=22299)
12. Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren (Windows
Server 2003-Zertifizierungsstelle) oder Lokalen Speicher verwenden (Windows 2000
Server-Zertifizierungsstelle) aus, und reichen Sie die Anforderung ein, indem Sie auf
Übermitteln klicken. Überprüfen Sie das angezeigte Warnungsdialogfeld, und klicken Sie
dann auf Ja.
13. Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf
dem Zertifizierungsstellen-Computer die folgenden Schritte durch. Bei einer
Lösungen 29
Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch
durchgeführt.
a.
Wechseln Sie zum Snap-In Zertifizierungsstelle der Microsoft Management Console
(MMC). Klicken Sie hierzu auf Start, zeigen Sie auf Alle Programme und auf
Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
b.
Erweitern Sie den Zertifikatknoten Zertifizierungsstellenname, wobei
Zertifizierungsstellenname der Namen Ihrer Zertifizierungsstelle ist.
c.
Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten
Maustaste auf Ihre Anforderung, wählen Sie Alle Tasks aus, und klicken Sie dann auf
Ausstellen.
14. Wechseln Sie auf dem ISA Server-Computer wieder zur Webseite http://IP-Adresse des
Zertifikatstellenservers/certsrv, und klicken Sie dann auf Status ausstehender
Zertifikatanforderungen anzeigen.
15. Klicken Sie auf Ihre Anforderung, und wählen Sie Dieses Zertifikat installieren aus.
16. Wechseln Sie wieder zur Webseite http://IP-Adresse des Zertifikatstellenservers/certsrv,
und klicken Sie auf Download eines Zertifizierungsstellenzertifikats, einer
Zertifikatkette oder einer Sperrliste (Windows Server 2003) oder auf
Zertifizierungsstellenzertifikat oder Zertifikatsperrliste abrufen (Windows 2000
Server). Klicken Sie auf der nächsten Seite auf Download des
Zertifizierungsstellenzertifikats. Hierbei handelt es sich um das vertrauenswürdige
Stammzertifikat, das auf dem ISA Server-Computer installiert werden muss. Klicken Sie im
Dialogfeld Dateidownload auf Öffnen.
17. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren, um den ZertifikatimportAssistenten zu starten.
18. Klicken Sie auf der Seite Willkommen auf Weiter. Wählen Sie auf der Seite
Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und
klicken Sie auf Durchsuchen. Wählen Sie im Dialogfeld Zertifikatspeicher auswählen die
Option Physikalischen Speicher anzeigen aus. Erweitern Sie Vertrauenswürdige
Stammzertifizierungsstellen, wählen Sie Lokaler Computer aus, und klicken Sie
anschließend auf OK. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.
19. Überprüfen Sie die Angaben auf der Zusammenfassungsseite, und klicken Sie dann auf
Fertig stellen.
20. Stellen Sie sicher, dass das IPSec-Zertifikat ordnungsgemäß installiert wurde. Öffnen Sie die
MMC, und wechseln Sie zum Snap-In Zertifikate. Öffnen Sie Zertifikate (Lokaler
Computer), erweitern Sie den Knoten Eigene Zertifikate, klicken Sie auf Zertifikate, und
doppelklicken Sie auf das neue IPSec-Zertifikat. Auf der Registerkarte Allgemein sollte der
folgende Hinweis angezeigt werden: Sie besitzen einen privaten Schlüssel für dieses
Zertifikat. Auf der Registerkarte Zertifizierungspfad sollte ein hierarchisches Verhältnis
zwischen Ihrem Zertifikat und dem Stammzertifikat sowie der Hinweis Dieses Zertifikat ist
gültig angezeigt werden.
30 Standort-zu-Standort-VPN in ISA Server 2004
21. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde. Öffnen Sie die MMC,
und wechseln Sie zum Snap-In Zertifikate. Öffnen Sie Zertifikate (Lokaler Computer),
erweitern Sie den Knoten Zertifizierungsstellen des vertrauenswürdigen Stamms, klicken
Sie auf Zertifikate, und stellen Sie sicher, dass das Stammzertifikat vorhanden ist.
Anhang B: Konfigurieren der automatischen
Einwahl
1.
Führen Sie zum Konfigurieren der automatischen Einwahl dieses allgemeine Verfahren
durch.
2.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
3.
Erweitern Sie in der Konsolenstruktur den Knoten Konfiguration, und wählen Sie
Netzwerke aus.
4.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf DFÜ-Einstellungen
angeben, um das Dialogfeld Einwähleinstellungen zu öffnen.
5.
Um die automatische Einwahl zu ermöglichen, wählen Sie Automatisches Einwählen in
dieses Netzwerk und im Dropdownmenü das von Ihnen erstellte Remote-VPN aus.
Beachten Sie, dass Sie die automatische Einwahl nur für ein einziges Netzwerk
konfigurieren können.
6.
Wenn die DFÜ-Verbindung als Standardgateway fungiert, aktivieren Sie das
Kontrollkästchen Diese DFÜ-Verbindung als Standardgateway konfigurieren.
7.
Geben Sie unter DFÜ-Verbindung im Feld Folgende DFÜ-Verbindung verwenden den
Namen der DFÜ-Verbindung ein, oder klicken Sie auf Auswählen, um eine Verbindung
auszuwählen.
Anmerkung
Erstellen Sie DFÜ-Verbindungen mit dem Windows-Assistenten für neue
Verbindungen.
Wenn Sie einen DFÜ-Eintrag auswählen, bei dem es sich um eine DFÜVerbindung handelt, treten Verbindungsprobleme auf, da die zum Herstellen
von VPN-Verbindungen verwendeten Protokolle PPTP und L2TP über IPSec in
ISA Server standardmäßig gesperrt sind. Um dies zu vermeiden, erstellen Sie
Zugriffsregeln, die PPTP- und L2TP-über-IPSec-Datenverkehr zulassen.
8.
Wenn zum Verwenden der DFÜ-Verbindung ein bestimmtes Konto und ein bestimmtes
Kennwort erforderlich sind, klicken Sie unter DFÜ-Konto auf Konto festlegen, und geben
Sie die Benutzer- und Kennwortinformationen an. Klicken Sie auf OK, um das Dialogfeld
Konto festlegen zu schließen.
9.
Klicken Sie auf OK, um das Dialogfeld Einwähleinstellungen zu schließen.
Lösungen 31
Anhang C: Testen und Überwachen der VPNVerbindung
Führen Sie folgende Schritte durch, um die VPN-Verbindung zu testen und zu überwachen.
Anmerkung
Das Überwachen von Standort-zu-Standort-Verbindungen im IPSecTunnelmodus wird nicht unterstützt.
Testen der Verbindung
Nachdem Sie die Verbindung erstellt haben, testen Sie sie, indem Sie von einem Computer im
lokalen Netzwerk auf einen Computer im Remotenetzwerk zuzugreifen versuchen (für den die
Netzwerkregeln und Zugriffsrichtlinien den Zugriff zulassen). Wenn Sie auf den Computer im
Remotenetzwerk zugreifen können, haben Sie die Standort-zu-Standort-VPN-Verbindung
ordnungsgemäß konfiguriert.
Überprüfen von ISA Server auf Verbindungsinformationen
Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt.
1.
Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung.

Überprüfen Sie im Detailbereich auf der Registerkarte Sitzungen, ob die VPNClientsitzung aufgeführt ist. Die Standort-zu-Standort-VPN-Sitzung verfügt über die
folgenden Eigenschaften:

der Sitzungstyp lautet VPN-Remotestandort.

Unter Clienthostname wird die öffentliche IP-Adresse des Remote-VPN-Servers
angezeigt (wenn die Sitzung vom lokalen VPN-Server initiiert wurde, ist dieses Feld
leer). Unter Client-IP wird die der VPN-Sitzung zugewiesene IP-Adresse angezeigt.

Unter Anwendungsname wird das für die Verbindung verwendete Protokoll sowie eine
Kennung angezeigt, dass es sich um eine VPN-Verbindung handelt. Die Spalte
Anwendungsname wird standardmäßig nicht angezeigt. Um sie hinzuzufügen, klicken
Sie mit der rechten Maustaste auf eine der Spaltenüberschriften der Registerkarte
Sitzungen, und wählen Sie Anwendungsname aus.
Sie können einen Sitzungsfilter erstellen, so dass ausschließlich Standort-zu-Standort-VPNSitzungen angezeigt werden. Gehen Sie folgendermaßen vor, um einen Filter zu erstellen.
2.
Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung, und wählen Sie die
Registerkarte Sitzungen aus.

Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten,
um das Dialogfeld Filter bearbeiten zu öffnen.
32 Standort-zu-Standort-VPN in ISA Server 2004

Wählen Sie im Dialogfeld Filter bearbeiten unter Filtern nach die Option Sitzungstyp
aus. Wählen Sie unter Bedingung die Option Gleich und unter Wert die Option VPNRemotestandort aus.

Klicken Sie auf Zur Liste hinzufügen und dann auf Abfrage starten. Sie müssen auf
Abfrage starten klicken, um den Filter zu speichern.
Anhang D: Firewallrichtlinien für Standort-zuStandort-VPNs
Nachdem Sie das Remote-VPN erstellt haben, sollten Sie Firewallrichtlinien einrichten, durch
die die Beziehung zwischen dem Remotestandort und den anderen Netzwerken beschrieben und
geregelt wird, die mit dem ISA Server-Computer verbunden sind. In diesem Anhang werden
einige Standort-zu-Standort-VPN-Szenarien und Beispiele für Firewallrichtlinien beschrieben,
die Sie für diese Szenarien einrichten können.
Offene Kommunikation zwischen Zweigniederlassungen
In diesem Szenario ist der Remotestandort eine Zweigniederlassung, und der ISA ServerComputer befindet sich in der Hauptniederlassung. Die Zweigniederlassung soll über
vollständigen Zugriff auf das interne Netzwerk verfügen. Wenn weitere Zweigniederlassungen
vorhanden sind, muss jede Zweigniederlassung über vollständigen Zugriff auf die Ressourcen
der anderen Zweigniederlassungen verfügen.
Um den vollständigen Zugriff zu ermöglichen, erstellen Sie eine Zugriffsregel, die die
Übermittlung sämtlichen Datenverkehrs vom VPN-Standort der Zweigniederlassung zum
internen Netzwerk und zu den VPN-Standorten der anderen Zweigniederlassungen zulässt. Das
Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F: Verwenden
des Assistenten für neue Zugriffsregeln beschrieben. Weitere Informationen zu Zugriffsregeln
finden Sie in den Produktinformationen von ISA Server.
Gesteuerte Kommunikation zwischen Zweigniederlassungen
In diesem Szenario ist der Remotestandort eine Zweigniederlassung, und der ISA ServerComputer befindet sich in der Hauptniederlassung. Die Zweigniederlassung soll über gesteuerten
Zugriff auf das interne Netzwerk verfügen. Es sollen insbesondere Firewallrichtlinien erstellt
werden, die folgende Arten der Kommunikation zulassen:

Der Computer des Netzwerkadministrators und des Zweigniederlassungsleiters verfügen
über vollständigen Zugriff auf das interne Netzwerk der Hauptniederlassung.

Kundenbetreuern wird der Zugriff auf den SQL-Server im internen Netzwerk der
Hauptniederlassung gewährt.

Allen Benutzern wird der Zugriff auf den Exchange-Server im internen Netzwerk der
Hauptniederlassung gewährt.
Lösungen 33

Der Domänencontroller in der Zweigniederlassung kommuniziert mit dem
Domänencontroller in der Hauptniederlassung, so dass der Zugriff von Benutzern in der
Zweigniederlassung auf den Exchange-Server in der Hauptniederlassung authentifiziert
werden kann.
Gehen Sie wie folgt vor, um diese Firewallrichtlinien zu erstellen.
1.
Erstellen Sie Computersätze, die die Gruppen der Benutzer mit unterschiedlichen
Zugriffsrechten darstellen. Sie benötigen einen Computersatz für den Computer des
Netzwerkadministrators und des Zweigniederlassungsleiters, einen Computersatz für
Kundenbetreuer und einen Computersatz für die Domänencontroller im Remote-VPNNetzwerk. Wenn nur ein einziger Computer vorhanden ist, z. B. ein einzelner
Domänencontroller, können Sie statt eines Computersatzes ein Computerobjekt erstellen.
Computersätze und Computerobjekte sind Regelelemente. Das Verfahren zum Erstellen von
Regelelementen wird in diesem Dokument in Anhang E: Erstellen von Regelelementen
beschrieben.
2.
Erstellen Sie Computerobjekte, die die Computer darstellen, auf die Benutzer im internen
Netzwerk der Hauptniederlassung zugreifen können. Sie benötigen Computerobjekte für den
SQL-Server, ein Computerobjekt für den Exchange-Server und ein Computerobjekt für den
internen Domänencontroller. Wenn mehrere Server vorhanden sind, z. B. zwei SQL-Server,
erstellen Sie anstelle eines Computerobjekts einen Computersatz.
3.
Erstellen Sie eine Zugriffsregel, die die Übermittlung sämtlichen Datenverkehrs von den
Computern des Netzwerkadministrators und Zweigniederlassungsleiters am VPN-Standort
der Zweigniederlassung zum internen Netzwerk der Hauptniederlassung zulässt. Das
Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F:
Verwenden des Assistenten für neue Zugriffsregeln beschrieben.
4.
Erstellen Sie eine Zugriffsregel, die die Protokolle Microsoft SQL (TCP) und Microsoft SQL
(UDP) für Datenverkehr vom Computersatz der Kundenbetreuer zum SQL-Server im
internen Netzwerk der Hauptniederlassung zulässt.
5.
Veröffentlichen Sie den Exchange-Server mit dem Protokoll Exchange-RPC-Server im
internen Netzwerk der Hauptniederlassung. Das Verfahren zum Erstellen von MailserverVeröffentlichungsregeln wird in diesem Dokument in Anhang G: Verwenden des
Assistenten für neue Serververöffentlichungsregeln beschrieben.
6.
Erstellen Sie eine Zugriffsregel, die Datenverkehr mit LDAP, LDAP (UDP), LDAPS, LDAP
GC, LDAPS GC, DNS, Kerberos (TCP) und Kerberos (UDP) vom Domänencontroller des
Remotestandorts zum internen Domänencontroller der Hauptniederlassung zulässt. Das
Verfahren zum Erstellen von Zugriffsregeln wird in diesem Dokument in Anhang F:
Verwenden des Assistenten für neue Zugriffsregeln beschrieben.
Anhang E: Erstellen von Regelelementen
Führen Sie zum Erstellen eines Regelelements dieses allgemeine Verfahren durch.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Erweitern Sie den Knoten des ISA Server-Computers.
34 Standort-zu-Standort-VPN in ISA Server 2004
3.
Wählen Sie Firewallrichtlinie und im Aufgabenbereich die Registerkarte Toolbox aus.
4.
Wählen Sie den Typ des Regelelements aus, indem Sie auf die entsprechende Überschrift
(Protokolle, Benutzer, Inhaltstypen, Zeitpläne oder Netzwerkobjekte) für dieses Element
klicken.
5.
Klicken Sie an der obersten Position der Elementliste auf Neu.
6.
Geben Sie die erforderlichen Informationen ein. Wenn Sie die Informationen eingegeben
und im Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt.
Anmerkung
Sie müssen im Detailbereich auf Übernehmen klicken, um die Änderungen
(einschließlich der neu erstellten Regelemente) zu übernehmen. Sie können
auch nach dem Erstellen der Zugriffsregeln auf Übernehmen klicken.
Anhang F: Verwenden des Assistenten für neue
Zugriffsregeln
Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue Zugriffsregeln
dar.
1.
Wählen Sie in der Konsolenstruktur der ISA Server-Verwaltung die Option
Firewallrichtlinie aus.
2.
Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue
Zugriffsregel erstellen aus, um den Assistenten für neue Zugriffsregeln zu starten.
3.
Geben Sie auf der Seite Willkommen des Assistenten den Namen für die Zugriffsregel ein,
und klicken Sie anschließend auf Weiter.
4.
Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, wenn Sie bestimmte
Zugriffsrechte zulassen möchten, oder wählen Sie Verweigern aus, wenn Sie bestimmte
Zugriffsrechte verweigern möchten. Klicken Sie dann auf Weiter.
5.
Wählen Sie auf der Seite Protokolle unter Regel wird angewendet für die Option
Gesamten ausgehenden Datenverkehr aus, und klicken Sie dann auf Weiter.
6.
Klicken Sie auf der Seite Zugriffsregelquellen auf Hinzufügen, um das Dialogfeld
Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf die Kategorie der
Netzwerkidentität, für die Sie eine Zugriffsregel erstellen, wählen Sie die Identität aus,
klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite
Zugriffsregelquellen auf Weiter.
7.
Klicken Sie auf der Seite Zugriffsregelziele auf Hinzufügen, um das Dialogfeld
Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf Netzwerke, wählen Sie
Externes Netzwerk (für das Internet) aus, klicken Sie auf Hinzufügen und dann auf
Schließen. Klicken Sie auf der Seite Zugriffsregelziele auf Weiter.
Lösungen 35
8.
Geben Sie auf der Seite Benutzersätze mithilfe der Schaltflächen Entfernen und
Hinzufügen einen Satz von Benutzern an, und klicken Sie anschließend auf Weiter.
9.
Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und
klicken Sie dann auf Fertig stellen.
10. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel
zu übernehmen.
11. Ordnen Sie im Detailbereich von ISA Server die Zugriffsregeln entsprechend Ihren
Internetzugriffsrichtlinien an.
Anhang G: Verwenden des Assistenten für neue
Mailserver-Veröffentlichungsregeln
Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue MailserverVeröffentlichungsregeln dar.
1.
Erweitern Sie in der ISA Server-Verwaltung den ISA Server-Computer, und klicken Sie auf
Firewallrichtlinie.
2.
Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Mailserver
veröffentlichen aus, um den Assistenten für neue Mailserver-Veröffentlichungsregeln zu
starten.
3.
Geben Sie auf der Seite Willkommen des Assistenten einen Namen für die Regel an (z. B.
Zugriff auf VPN für Exchange-RPC), und klicken Sie anschließend auf Weiter.
4.
Wählen Sie auf der Seite Zugriffstyp auswählen die Option Clientzugriff: RPC, IMAP,
POP3, SMTP aus, und klicken Sie dann auf Weiter.
5.
Wählen Sie auf der Seite Dienste auswählen die Option Outlook (RPC) aus, und klicken
Sie dann auf Weiter.
6.
Geben Sie auf der Seite Server auswählen die IP-Adresse des Exchange-Servers an, und
klicken Sie dann auf Weiter.
7.
Wählen Sie auf der Seite IP-Adressen das Netzwerk aus, in dem ISA Server Anforderungen
von externen Clients abhört. Da Sie Daten vom externen Netzwerk empfangen möchten,
wählen Sie Extern aus, und klicken Sie dann auf Weiter.
8.
Führen Sie auf der Seite Fertigstellen des Assistenten einen Bildlauf nach unten durch, um
die Konfiguration der Regel zu überprüfen und sicherzustellen, dass die Regel
ordnungsgemäß konfiguriert wurde, und klicken Sie anschließend auf Fertig stellen.
9.
Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die vorgenommenen
Änderungen zu übernehmen. Das Übernehmen der Änderungen kann einige Minuten in
Anspruch nehmen.
36 Standort-zu-Standort-VPN in ISA Server 2004
Anhang H: Erstellen einer neuen Netzwerkregel
In diesem Verfahren wird das Erstellen einer neuen Netzwerkregel beschrieben.
1.
Erweitern Sie in der Konsolenstruktur der ISA Server-Verwaltung den Knoten
Konfiguration, und wählen Sie Netzwerke aus.
2.
Klicken Sie im Detailbereich auf die Registerkarte Netzwerkregeln. Wählen Sie im
Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue Netzwerkregel erstellen
aus, um den Assistenten für eine neue Netzwerkregel zu starten.
3.
Geben Sie auf der Seite Willkommen des Assistenten den Namen für die Netzwerkregel ein,
und klicken Sie anschließend auf Weiter.
4.
Klicken Sie auf der Seite Netzwerkdatenverkehrquellen auf Hinzufügen, um das
Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen, erweitern Sie Netzwerke, wählen
Sie das Quellnetzwerk aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken
Sie auf der Seite Netzwerkdatenverkehrquellen auf Weiter.
5.
Klicken Sie auf der Seite Netzwerkdatenverkehrsziele auf Hinzufügen, um das Dialogfeld
Netzwerkidentitäten hinzufügen zu öffnen, erweitern Sie Netzwerke, wählen Sie das
Zielnetzwerk aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen. Klicken
Sie auf der Seite Netzwerkdatenverkehrsziele auf Weiter.
6.
Wählen Sie auf der Seite Netzwerkverhältnis als Beziehung entweder NAT (Network
Address Translation) oder Route aus, und klicken Sie dann auf Weiter.
7.
Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und
klicken Sie dann auf Fertig stellen.
8.
Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Netzwerkregel
zu übernehmen.
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-MailAdressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit
bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos,
Personen, Orten oder Ereignissen ist rein zufällig.
Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf
andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den
Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts
Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden
Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation
kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem
Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche
Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren,
Aufzeichnen usw.) dies geschieht.
Lösungen 37
Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken,
Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses
Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf
diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies
wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2004
Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder
eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen
Ländern.
Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.