Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Microsoft Internet Security & Acceleration (ISA) Server 2004 Einführung Microsoft® Internet Security & Acceleration (ISA) Server 2004 bietet sichere VPN-Funktionen (Virtuelles privates Netzwerk) für mobile Clients. Virtuelle private Netzwerke Ein virtuelles privates Netzwerk (VPN) ist die Erweiterung eines privaten Netzwerks, das Verbindungen über gemeinsam verwendete oder öffentliche Netzwerke (z. B. das Internet) hinweg umfasst. Mit einem VPN können Sie Daten zwischen zwei Computern über ein gemeinsam verwendetes oder öffentliches Netzwerk mithilfe eines Verfahrens übertragen, durch das eine private Punkt-zu-Punkt-Verbindung emuliert wird. Der Aufbau eines virtuellen privaten Netzwerks umfasst dessen Erstellung und Konfiguration. Zum Emulieren einer Punkt-zu-Punkt-Verbindung werden Daten eingekapselt („verpackt“) und mit einem Header versehen, der Weiterleitungsinformationen enthält. Mithilfe dieser Angaben können die Daten über ein gemeinsam genutztes oder öffentliches Netzwerk zu ihrem Endpunkt übertragen werden. Um eine private Verbindung zu emulieren, werden die Daten aus Sicherheitsgründen verschlüsselt. Daten, die im gemeinsam genutzten oder öffentlichen Netzwerk abgefangen werden, sind ohne die Verschlüsselungsschlüssel nicht lesbar. Eine Verbindung, bei der private Daten eingekapselt und verschlüsselt werden, wird als VPNVerbindung bezeichnet. VPN-Verbindungen ermöglichen es Benutzern, die von zu Hause aus oder unterwegs arbeiten, eine RAS-Verbindung zum Server eines Unternehmens herzustellen. Hierbei wird die Infrastruktur eines öffentlichen Netzwerks (z. B. das Internet) genutzt. Aus der Sicht der Benutzer ist VPN eine Punkt-zu-Punkt-Verbindung zwischen seinem Computer (dem VPN- 2 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Client) und einem Server des Unternehmens (dem VPN-Server). Die genaue Infrastruktur des gemeinsam verwendeten oder öffentlichen Netzwerks ist nicht von Bedeutung, da die Daten wie über eine dedizierte private Verbindung übertragen werden. VPN-Verbindungen ermöglichen Organisationen außerdem Routingverbindungen mit sicherer Datenübertragung zu anderen Organisationen (z. B. zwischen geographisch getrennten Niederlassungen) über ein öffentliches Netzwerk wie das Internet. Eine VPN-Routingverbindung über das Internet entspricht logisch einer dedizierten WAN-Verbindung (Wide Area Network). Durch Verwendung des ISA Server-Computers als VPN-Server können Sie Standort-zuStandort-VPN-Verbindungen und den Zugriff von VPN-Clients auf das Firmennetzwerk verwalten. VPN-Clients können von ISA Server im Netzwerk für Quarantänen-VPN-Clients in Quarantäne genommen werden, bis überprüft wurde, ob die Clients die Sicherheitsanforderungen des Unternehmens erfüllen. Anschließend können Sie in das VPN-Clientnetzwerk verschoben werden. Beide VPN-Clientnetzwerke unterliegen der Firewallrichtlinie von ISA Server. Somit können Sie den VPN-Clientzugriff auf Netzwerkressourcen steuern. Sie können beispielsweise Clients unter Quarantäne nur Zugriff auf die Ressourcen gewähren, die sie zum Wiederherstellen ihrer Sicherheit benötigen. Weitere Informationen über die Implementierung der VPNClientquarantäne für ISA Server finden Sie in diesem Dokument unter Quarantänesteuerung. Informationen über die Konfiguration der Quarantänesteuerung finden Sie in diesem Dokument unter Quarantänesteuerung - Verfahren. Alle VPN-Verbindungen mit dem ISA Server-Computer werden in der Firewallprotokollierung erfasst, so dass Sie VPN-Verbindungen überwachen können. ISA Server ermöglicht den VPN-Clientzugriff mit L2TP (Layer 2 Tunneling-Protokoll) über IPSec (Internet Protocol Security). Dieses Protokoll bietet größere Sicherheit als das von VPNServern üblicherweise verwendete Standardprotokoll PPTP (Point-to-Point Tunneling-Protokoll). VPN-Verbindungen Es gibt zwei Arten von VPN-Verbindungen: RAS-VPN-Verbindung Standort-zu-Standort-VPN-Verbindung RAS-VPN-Verbindung Ein RAS-Client stellt eine RAS-VPN-Verbindung mit einem privaten Netzwerk her. ISA Server ermöglicht den Zugriff auf das gesamte Netzwerk, mit dem der VPN-Server verbunden ist. Standort-zu-Standort-VPN-Verbindung Eine Standort-zu-Standort-VPN-Verbindung wird zwischen zwei Teilen eines privaten Netzwerks über einen Router hergestellt. ISA Server stellt eine Verbindung mit dem Netzwerk bereit, an das der ISA Server-Computer angeschlossen ist. Die Konfiguration der Standort-zuStandort-VPN-Verbindungen wird im Dokument Standort-zu-Standort-VPN in ISA Server 2004 beschrieben. (Downloaden Sie diese Dokumente von der Website: http://go.microsoft.com/fwlink?linkid=20746). Einführung 3 VPN-Protokolle Es stehen zwei VPN-Verbindungsprotokolle für mobile Clients zur Verfügung: PPTP (Point-to-Point Tunneling-Protokoll) L2TP (Layer Two Tunneling-Protokoll) PPTP PPTP (Point-to-Point Tunneling-Protokoll) ist ein Netzwerkprotokoll, das eine sichere Datenübertragung von einem Remoteclient zu einem privaten Unternehmensserver ermöglicht, indem über TCP/IP-basierte Netzwerke ein VPN eingerichtet wird. PPTP unterstützt bedarfsgesteuerte, Multiprotokoll- und VPN-Verbindungen über öffentliche Netzwerke wie beispielsweise das Internet. Mit PPTP kann der IP-Datenverkehr verschlüsselt und anschließend in einen IP-Header eingekapselt werden, der dann über ein IP-Unternehmensnetzwerk oder ein öffentliches IP-Netzwerk wie das Internet gesendet wird. L2TP L2TP (Layer 2 Tunneling-Protokoll) ist der Industriestandard für Internet-Tunneling-Protokolle, das die Einkapselung von PPP-Frames (Point-to-Point-Protokoll) zum Senden über paketorientierte Medien ermöglicht. Mit L2TP kann der IP-Datenverkehr verschlüsselt und anschließend über ein beliebiges Medium gesendet werden, das eine Punkt-zu-Punkt-Zustellung von Datagrammen unterstützt (z. B. IP). Die Microsoft-Implementierung von L2TP verwendet IPSec-Verschlüsselung (Internet Protocol Security), um den Datenstrom vom VPN-Client zum VPN-Server zu schützen. Der IPSec-Tunnelmodus ermöglicht das Verschlüsseln von IP-Paketen und das anschließende Einkapseln in einen IP-Header, um sie über ein IP-Unternehmensnetzwerk oder ein öffentliches IP-Netzwerk wie das Internet zu senden. PPTP-Verbindungen erfordern nur eine Authentifizierung auf Benutzerebene über ein PPPbasiertes Authentifizierungsprotokoll. Bei Verbindungen mit L2TP/IPSec ist auch eine Authentifizierung auf Benutzerebene und zusätzlich eine Authentifizierung auf Computerebene über Computerzertifikate erforderlich. Quarantänesteuerung Die Quarantänesteuerung gewährt Remoteclients (VPN-Clients) einen abgestuften Netzwerkzugriff. Dieser wird auf einen Quarantänemodus beschränkt, bis der volle Zugriff auf das Netzwerk zugelassen wird. Sobald sich die Konfiguration des Clientcomputers in Übereinstimmung mit den spezifischen Quarantäneeinschränkungen Ihrer Organisation befindet, wird auf die Verbindung die Standard-VPN-Richtlinie angewendet. Dabei wird der angegebene Quarantänetyp berücksichtigt. In den Quarantäneeinschränkungen kann beispielsweise festgelegt werden, dass während der Verbindung zum Netzwerk Antivirus-Software installiert und aktiviert wird. Obwohl die Quarantänesteuerung keinen Schutz vor Angreifern bietet, können Computerkonfigurationen für autorisierte Benutzer überprüft und ggf. korrigiert werden, bevor diese Benutzer in der Lage sind, auf das Netzwerk zuzugreifen. Außerdem gib es eine Zeitgebereinstellung, mit der Sie angeben können, nach welchem Zeitraum die Verbindung getrennt wird, falls der Client die Konfigurationsanforderungen nicht erfüllt. 4 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Mit ISA Server können Sie auswählen, wie der Quarantänemodus aktiviert wird: Quarantänensteuerung aktivieren - Quarantäne gemäß den RADIUSServerrichtlinien. Diese Option ist nur dann verfügbar, wenn ISA Server auf einem Computer installiert ist, auf dem eine Version von Microsoft® Windows Server ™ 2003 ausgeführt wird. Wenn Sie die Option Quarantäne gemäß den RADIUS-Serverrichtlinien auswählen, bestimmt ISA Server bei der Herstellung einer Verbindung durch einen VPNClient, ob der entsprechende Client einer Quarantäne unterliegt. Nachdem der Client von der Quarantäne freigestellt wird, erhält er uneingeschränkten Zugriff auf das VPNClientnetzwerk. Quarantänensteuerung aktivieren - Quarantäne gemäß den ISA Server-Richtlinien. Mit dieser Option kann das VPN-Clientnetzwerk in Quarantäne entsprechend einer eingestellten Firewallrichtlinie verwendet werden. Routing- und RAS-Funktionen sind für diese Option nicht erforderlich. Sie kann daher verwendet werden, wenn ISA Server auf einem Computer installiert wurde, auf dem ein Betriebssystem der Windows® 2000 ServerProduktfamilie ausgeführt wird. Sie können den Quarantänemodus auch deaktivieren. Anmerkung Zum Herstellen von VPN-Verbindungen gemäß den ISA Server-Richtlinien muss die Quarantäne-Funktion in den Richtlinien für den Remotezugriff auf dem RADIUS-Server (Remote Authentication Dial-In User Service) oder einem Windows-Authentifizierungsanbieter deaktiviert werden. Öffnen Sie hierfür die Computerverwaltung, und erweitern Sie den Knoten Routing und RAS. Wählen Sie RAS-Richtlinien aus. Doppelklicken Sie im Detailbereich auf jede Richtlinie, um deren Eigenschaften zu öffnen, und klicken Sie auf Profil bearbeiten. Entfernen Sie auf der Registerkarte Erweitert die Attribute MS-Quarantine-IPFilter und MS-Quarantine-SessionTimeout aus der Attributliste, und klicken Sie auf OK. Weitere Informationen über die Quarantänesteuerung in ISA Server finden Sie in diesem Dokument unter Quarantänesteuerung – Verfahren. Mit Viren infizierte VPN-Clients Mit Viren infizierten VPN-Clientcomputern wird nicht automatisch der Zugriff auf den ISA Server-Computer oder die Netzwerke verwehrt, die der ISA Server-Computer schützt. Zum Vermeiden von Virenbefall sollten Überwachungsverfahren zur Erkennung von Anomalien (Alarme oder ungewöhnlich hohes Datenverkehrsaufkommen) etabliert und E-MailAlarmbenachrichtigungen konfiguriert werden. Wenn ein infizierter VPN-Clientcomputer erkannt wird, gehen Sie folgendermaßen vor: Beschränken Sie den VPN-Zugriff nach Benutzername, indem Sie über die RAS-Richtlinie den betreffenden Benutzer aus den VPN-Clients ausschließen, denen eine Verbindung gestattet ist. Szenarien 5 Beschränken Sie den VPN-Zugriff nach IP-Adresse. Erstellen Sie dazu ein neues Netzwerk für gesperrte externe IP-Adressen, und verschieben Sie die IP-Adresse des Clients aus dem externen in das neue Netzwerk. Szenarien Mit ISA Server 2004 können Sie einem Teil Ihrer Mitarbeiter den weltweiten Zugriff auf Ihr internes Netzwerk über eine lokale Internetverbindung ermöglichen. Wenn sich Ihr Unternehmen beispielsweise in New York City befindet, ein Verkäufer jedoch in Chicago arbeitet, muss der Verkäufer nicht nach New York City reisen, um mithilfe von Routing und RAS eine direkte Verbindung mit dem internen Netzwerk herzustellen. Stattdessen kann er über das lokale Internet und eine VPN-Verbindung auf das interne Netzwerk zugreifen. Dies ist das Szenario für einen Remote-VPN-Zugriff. Sie können jeden VPN-Client bei der Herstellung einer Verbindung unter Quarantäne stellen und somit sicherstellen, dass er Ihrer Sicherheitsrichtlinie entspricht. VPN-Clients, die die Richtlinie nicht erfüllen, wird ein beschränkter Zugriff auf Ressourcen des internen Netzwerks gestattet. Sie können dort für die Erfüllung der Sicherheitsrichtlinie erforderliche Software und entsprechende Aktualisierungen abrufen. Der allgemeine Zugriff auf Firmenressourcen wird diesen VPNClients jedoch nicht gestattet. Lösungen Verwenden von ISA Server 2004: zwei Lösungen werden in diesem Dokument beschrieben. Eine Lösung verwendet PPTP (Point-to-Point-Tunneling-Protokoll) und die andere L2TP (Layer-2Tunneling-Protokoll). Die Verfahren zur Quarantänesteuerung werden im Anschluss an die PPTP- und L2TP-Lösungen dargestellt. In diesem Abschnitt werden die folgenden Themen behandelt: Netzwerktopologie RAS mit PPTP – Kurzanleitung RAS mit L2TP – Kurzanleitung Quarantänesteuerung - Verfahren Netzwerktopologie In der folgenden Abbildung ist eine typische Netzwerktopologie für Lösungen mit mobilen VPNClients dargestellt. 6 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Es sind drei Netzwerke dargestellt: Das Internet, in dem sich der VPN-Client befindet Der VPN-Client in dieser Lösung ist ein Computer mit Windows® XP. Andere Clients werden jedoch ebenso unterstützt. Das VPN-Gateway, ein ISA Server-Computer Auf diesem Computer sind Windows Server 2003 und ISA Server 2004 installiert. Das interne Netzwerk Das interne Netzwerk besteht aus folgenden Komponenten: Domänencontroller, auf dem Windows Server 2003 oder Windows 2000 Server installiert ist. Der Domänencontroller speichert die Benutzerinformationen, die für die Authentifizierung der Remote-VPN-Clients erforderlich sind. Webserver, der in diesem Fall zum Testen des Zugriffs der Remote-VPN-Clients auf das interne Netzwerk eingesetzt wird. DHCP-Server, der den Remote-VPN-Clients dynamisch IP-Adressen zuweist. Eine Zertifizierungsstelle (CA), die nur für die L2TP-Lösung benötigt wird. Die Einrichtung der Zertifizierungsstelle wird in diesem Dokument im Thema RAS mit L2TP – Kurzanleitung beschrieben. RAS mit PPTP – Kurzanleitung Diese Anleitung umfasst die folgenden Vorgänge: Konfigurieren von Benutzern und Windows-Diensten Konfigurieren von VPN auf ISA Server Konfigurieren der VPN-Clients Testen der Verbindung Lösungen 7 Kurzanleitung zur PPTP-Lösung – Schritt 1: Konfigurieren von Benutzern und Windows-Diensten Die Benutzer und Windows-Dienste können mit folgenden Schritten konfiguriert werden: Erstellen von VPN-Clients und Benutzergruppen auf dem Domänencontroller Konfigurieren des DHCP-Servers und -Bereichs Erstellen von VPN-Clients und Benutzergruppen auf dem Domänencontroller Als Erstes werden die VPN-Clients auf dem Domänencontrollercomputer erstellt. Dieser Computer enthält die zum Authentifizieren von Remotebenutzern erforderlichen Benutzergruppen- und Benutzerinformationen. In diesem Schritt wird auch eine neue Benutzergruppe VPN-Clients erstellt, damit die VPN-Benutzer verwaltet werden können. 1. Öffnen Sie die Computerverwaltung, indem Sie auf dem Desktop mit der rechten Maustaste auf das Symbol Arbeitsplatz klicken und den Befehl Verwalten auswählen. 2. Erweitern Sie Lokale Benutzer und Gruppen, klicken Sie mit der rechten Maustaste auf Gruppen, und klicken Sie dann auf Neue Gruppe. 3. Erstellen Sie im Dialogfeld Neue Gruppe eine neue Gruppe mit dem Namen VPN-Clients, und klicken Sie auf Erstellen und dann auf Schließen. 4. Klicken Sie in der Computerverwaltung auf Benutzer. Führen Sie für jeden Benutzer, dem Sie Remote-VPN-Zugriff gewähren möchten, die folgenden Schritte durch: a. Doppelklicken Sie auf den gewünschten Benutzer, um dessen Eigenschaften anzuzeigen. b. Klicken Sie auf der Registerkarte Mitgliedschaft auf Hinzufügen, geben Sie VPNClients an, und klicken Sie dann auf OK. c. Wählen Sie auf der Registerkarte Einwählen die Option Zugriff über RAS-Richtlinien steuern aus, und klicken Sie dann auf OK. Konfigurieren des DHCP-Servers und -Bereichs Ein DHCP-Server weist VPN-Clients bei der Verbindungsaufnahme dynamisch IP-Adressen zu. Dies ist die empfohlene Methode zum Zuweisen von IP-Adressen für VPN-Clients. Sie können auch IP-Adressen aus einem statischen Adressenpool zur Verfügung stellen. Diese Methode eignet sich beispielsweise dann, wenn Ihre internen Netzwerk-IP-Adressen statisch zugewiesen werden. Jeder Computer im internen Netzwerk, auf dem Windows Server 2003 oder Windows 2000 Server ausgeführt wird, kann als DHCP-Server fungieren. Die Anforderungen von VPN-Clients werden durch den vorhandenen DHCP-Server des internen Netzwerks erfüllt. Wenn Sie über keinen DHCP-Server verfügen, konfigurieren Sie einen Server mit den Verfahren in einem der folgenden Artikel: SO WIRD'S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer Active Directory-Domäne in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=18606). 8 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2003-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18607). SO WIRD´S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer Active Directory-Domäne unter Windows 2000 (http://go.microsoft.com/fwlink/?LinkId=18608). SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2000-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18609). Anmerkungen Wenn Sie einen DHCP-Server zur Adresszuweisung verwenden, wird beim Herstellen einer Verbindung durch einen VPN-Client dessen Adresse automatisch aus dem internen Netzwerk in das Netzwerk der VPN-Clients verschoben (oder das Netzwerk der in Quarantäne befindlichen VPN-Clients, falls der Quarantänemodus aktiviert und der Client in Quarantäne versetzt wurde). Die Adresse wird wieder zurück in das interne Netzwerk verlagert, sobald die Clientverbindung getrennt wird. Diese Adresszuweisung ist in der ISA Server-Verwaltung nicht sichtbar. Wenn Sie für die Adresszuweisung einen statischen Adresspool verwenden, müssen die Adressen, die dem Pool zugewiesen werden sollen, zunächst aus den anderen definierten Netzwerken entfernt werden, da sich IPAdressen in Netzwerken nicht überschneiden dürfen. Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.) Der ISA Server-Computer fungiert für VPN-Clients als ARP-Proxy (Address Resolution-Protokoll). Wenn beispielsweise dem VPN-Clientnetzwerk zugewiesene Adressen Bestandteil des internen Netzwerksegments sind, senden Computer des internen Netzwerks ARP-Anforderungen an VPNClients. Dabei ist unerheblich, ob die Adressen von einem statischen Pool oder einem DHCP-Server zugewiesen wurden. ISA Server fängt diese Abfragen ab und antwortet anstelle des verbundenen VPN-Clients. Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig zugewiesen werden. Kurzanleitung zur PPTP-Lösung – Schritt 2: Konfigurieren von VPN auf ISA Server Sie können jetzt die VPN-Einstellungen auf dem ISA Server-Computer mit folgenden Schritten konfigurieren: Aktivieren und Konfigurieren des VPN-Clientzugriffs Erstellen einer VPN-Zugriffsregel Überprüfen der VPN-Netzwerkroutingregel Lösungen 9 Aktivieren und Konfigurieren des VPN-Clientzugriffs 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Stellen Sie im Detailbereich sicher, dass die Registerkarte VPN-Clients ausgewählt ist. 4. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff aktivieren. Hierdurch werden automatisch die erforderlichen Systemrichtlinienregeln für den VPN-Clientzugriff aktiviert. Außerdem wird Routing und RAS für die VPNClientverbindung gestartet. 5. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff konfigurieren. 6. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen VPN-Clientzugriff aktivieren, und wählen Sie dann die Anzahl der zulässigen VPN-Clients aus. 7. Klicken Sie auf der Registerkarte Gruppen auf Hinzufügen, und fügen Sie die Gruppe VPN-Clients hinzu, die Sie in Schritt 1 erstellt haben. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von VPN-Clients zu schließen. Anmerkung Die in Windows enthaltenen Benutzergruppen können nicht als VPNBenutzer hinzugefügt werden. Vordefinierte Domänengruppen können hingegen verwendet werden (selbst wenn es sich beim ISA Server-Computer gleichzeitig um den Domänencontroller handelt). 8. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Adresszuweisung konfigurieren, um auf der Registerkarte Adresszuweisung das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) zu öffnen. Wählen Sie Dynamic Host Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, und klicken Sie auf OK, um anzugeben, dass sich der DHCP-Server im internen Netzwerk befindet. Möglicherweise werden Sie dazu aufgefordert, den Computer neu zu starten. Tipp Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung dargestellt. 10 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Andernfalls muss ein Router speziell dafür konfiguriert sein, DHCPAnforderungen an einen DHCP-Server hinter dem Router weiterzuleiten. Wenn Sie keinen DHCP-Server einrichten oder einen Router zur Weiterleitung der DHCP-Anforderungen konfigurieren möchten, wählen Sie in diesem Schritt Statischer Adresspool und nicht Dynamic Host ConfigurationProtokoll (DHCP). Klicken Sie dann auf Hinzufügen, um dem statischen Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen. Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem statischen Adresspool hinzugefügt werden können. Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in der ISA Server-Konsole den Knoten Konfiguration, und klicken Sie dann auf Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte Adressen einen Bereich von IP-Adressen aus, und klicken Sie auf Entfernen, um diesen Bereich zu entfernen. 9. Sie können die Authentifizierungsmethode der VPN-Clients ändern. (MS-CHAPv2 ist die Standardeinstellung.) Klicken Sie hierzu im Aufgabenbereich auf der Registerkarte Aufgaben auf Authentifizierungsmethoden auswählen, um auf der Registerkarte Authentifizierung das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) zu öffnen. Die Authentifizierungsmethoden werden in diesem Dokument in Anhang D: Authentifizierungsmethoden beschrieben. 10. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die Änderungen zu übernehmen. Wichtig Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie im Detailbereich auf der Registerkarte Alarme nach dem Alarm Ein Neustart des ISA Server-Computers ist erforderlich. Die Beschreibung zu diesem Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer neu starten. Lösungen 11 Erstellen einer VPN-Zugriffsregel Erstellen Sie mit den Eigenschaften aus folgender Tabelle eine neue Zugriffsregel. Mit dieser Regel wird der Zugriff vom VPN-Clientnetzwerk auf das interne Netzwerk über alle Protokolle gewährleistet. Anleitungen zum Erstellen einer neuen Zugriffsregel finden Sie in diesem Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. Wenn Sie die neue Zugriffsregel erstellt haben, klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel anzuwenden. Einige Eigenschaften können nicht im Assistenten festgelegt werden. Zum Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie doppelklicken Sie auf die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen. Registerkarte Eigenschaft Einstellung Allgemein Name Geben Sie einen Namen an: VPN-Clientzugriff. Allgemein Beschreibung Geben Sie eine Beschreibung an: Zugriff vom VPN-Clientnetzwerk auf das interne Netzwerk zulassen Allgemein Aktivieren Wählen Sie Aktivieren. Aktion Zulassen Verweigern Wählen Sie Zulassen. Aktion HTTP-Anforderungen an diese Webseite umleiten Optional Wenn ausgewählt, geben Sie eine Webseitenadresse an. Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Wählen Sie Gesamten ausgehenden Datenverkehr aus. Von Diese Regel betrifft Datenverkehr von diesen Quellen Wählen Sie VPN-Clients aus. Von Gilt nicht für Anforderungen von Keine An Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Geben Sie Internes Netzwerk an. An Gilt nicht für Anforderungen von Keine Benutzer Diese Regel betrifft Wählen Sie Alle Benutzer aus. Anforderungen von folgenden Benutzersätzen Benutzer Gilt nicht für Anforderungen von Keine 12 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Registerkarte Eigenschaft Einstellung Zeitplan Zeitplan Wählen Sie Immer aus. Inhaltstypen Alle Inhaltstypen Ausgewählte Inhaltstypen Wählen Sie Alle Inhaltstypen aus. Anmerkungen Sie können den VPN-Clientzugriff auf bestimmte Protokolle einschränken, wenn Sie Ausgewählte Protokolle auswählen und die Protokolle im Dialogfeld Protokolle hinzufügen auswählen. Wenn Sie hinsichtlich der Firewallrichtlinien das VPN-Clientnetzwerk und das interne Netzwerk als identisch betrachten, ist das Erstellen einer Zugriffsregel zu empfehlen, die jeden Datenverkehr vom internen Netzwerk zum VPN-Clientnetzwerk zulässt. Wenn ISA Server als VPN-Server konfiguriert ist und für Firewallclients als Firewallserver fungiert, nutzen VPN-Clientcomputer mit installiertem Firewallclient den Port 1745 der ISA Server-Netzwerkschnittstelle für das interne Netzwerk. Wenn ISA Server als VPN-Server konfiguriert ist und für Webproxyclients als Proxyserver fungiert, nutzen VPN-Clientcomputer, die ISA Server als Proxy verwenden, analog den Port 8080 der ISA ServerNetzwerkschnittstelle für das interne Netzwerk. Beim Festlegen einer Regel, die den Zugriff aus VPN-Clientnetzwerken auf das interne Netzwerk zulässt, wird standardmäßig der Zugriff auf alle Ports freigegeben. Wenn Sie jedoch die freigegebenen Ports beschränken, muss für diese Szenarien der Zugriff auf Port 1745 und auf Port 8080 erhalten bleiben. Überprüfen der VPN-Netzwerkroutingregel Wenn Sie ISA Server installieren, wird eine Standardnetzwerkregel erstellt, mit der ein Routingverhältnis zwischen dem internen Netzwerk und den zwei VPN-Clientnetzwerken (VPNClients und Quarantänen-VPN-Clients) eingerichtet wird. Zum Anzeigen dieser Regel erweitern Sie den Knoten Konfiguration und klicken auf Netzwerke. Im Detailbereich wird auf der Registerkarte Netzwerkregeln die Regel VPN-Clients zum internen Netzwerk aufgelistet. Doppelklicken Sie auf die Regel, um deren Eigenschaften anzuzeigen. Weitere Informationen zum Verhältnis zwischen dem VPN-Clientnetzwerk und dem internen Netzwerk finden Sie in diesem Dokument in Anhang C: Netzwerkverhältnisse. Kurzanleitung zur PPTP-Lösung – Schritt 3: Konfigurieren der VPNClients 1. Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. Dieses Verfahren bezieht sich auf die Features von Windows XP. Es werden jedoch auch andere Clients unterstützt. 2. Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Zubehör und Kommunikation, und klicken Sie anschließend auf Assistent für neue Verbindungen. Lösungen 13 3. Klicken Sie auf der Seite Willkommen auf Weiter. 4. Wählen Sie unter Netzwerkverbindungstyp die Option Verbindung mit dem Netzwerk am Arbeitsplatz herstellen aus, und klicken Sie dann auf Weiter. 5. Wählen Sie auf der Seite Netzwerkverbindung die Option VPN-Verbindung aus, und klicken Sie auf Weiter. 6. Geben Sie auf der Seite Verbindungsname einen Namen für die neue Verbindung ein (z. B. VPN-Verbindung), und klicken Sie auf Weiter. 7. Wählen Sie auf der Seite Öffentliches Netzwerk aus, ob Windows die erste Verbindung zum Netzwerk automatisch herstellen und welche Verbindung gewählt werden soll. Klicken Sie dann auf Weiter. 8. Geben Sie auf der Seite VPN-Serverauswahl die externe IP-Adresse des ISA ServerComputers ein. Dabei handelt es sich um die Adresse der Netzwerkkarte, mit der der ISA Server-Computer mit dem Internet verbunden ist (auch externes Netzwerk genannt). Klicken Sie auf Weiter. 9. Wählen Sie auf der Seite Verfügbarkeit der Verbindung die Option Eigene Verwendung aus, um sicherzustellen, dass der VPN-Zugriff nur dann verfügbar ist, wenn Sie am Computer angemeldet sind. Klicken Sie auf Weiter. 10. Auf der Seite Fertigstellen des Assistenten können Sie auswählen, ob für die Verbindung eine Verknüpfung auf dem Desktop erstellt werden soll. Klicken Sie anschließend auf Fertig stellen. Kurzanleitung zur PPTP-Lösung – Schritt 4: Testen der Verbindung Sie können die Verbindung mit folgenden Schritten testen: Überprüfen der Clientverbindung mit dem ISA Server-Computer Überprüfen von ISA Server auf Verbindungsinformationen Überprüfen der Clientverbindung mit dem ISA Server-Computer Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. 1. Wählen Sie sich mit den Anmeldeinformationen in das Netzwerk ein, die Sie in den vorhergehenden Schritten in diesem Dokument erstellt haben. 2. Führen Sie den Ping-Befehl mit der IP-Adresse des HTTP-Servers aus. 3. Gehen Sie im Browser zu einer Site auf dem HTTP-Server. Überprüfen von ISA Server auf Verbindungsinformationen 1. Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt. 2. Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung. 3. Überprüfen Sie im Detailbereich auf der Registerkarte Sitzungen, dass die VPNClientsitzung aufgeführt ist. 14 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 RAS mit L2TP – Kurzanleitung Diese Anleitung umfasst die folgenden Vorgänge: Konfigurieren von Benutzern und DHCP-Server Einrichten der Zertifizierungsstelle Konfigurieren von VPN auf ISA Server Installieren eines Zertifikats auf dem Servercomputer Installieren eines Zertifikats auf dem Clientcomputer Konfigurieren der VPN-Clients Testen der Verbindung Kurzanleitung zu L2TP – Schritt 1: Konfigurieren von Benutzern und DHCP-Server Die Benutzer und der DHCP-Server können mit folgenden Schritten konfiguriert werden: Erstellen von VPN-Clientgruppen und Benutzern auf dem Domänencontroller Konfigurieren des DHCP-Servers und -Bereichs Erstellen von VPN-Clientgruppen und Benutzern auf dem Domänencontroller Als Erstes werden die VPN-Benutzer auf dem Domänencontrollercomputer erstellt. Dieser Computer enthält die zum Authentifizieren von Remotebenutzern erforderlichen Benutzergruppen- und Benutzerinformationen. In diesem Schritt wird auch eine neue Benutzergruppe VPN-Clients erstellt, damit die VPN-Benutzer verwaltet werden können. 1. Öffnen Sie die Computerverwaltung, indem Sie auf dem Desktop mit der rechten Maustaste auf das Symbol Arbeitsplatz klicken und den Befehl Verwalten auswählen. 2. Erweitern Sie Lokale Benutzer und Gruppen, klicken Sie mit der rechten Maustaste auf Gruppen, und wählen Sie dann Neue Gruppe aus. 3. Erstellen Sie im Dialogfeld Neue Gruppe eine neue Gruppe mit dem Namen VPN-Clients, und klicken Sie auf Erstellen und dann auf Schließen. 4. Klicken Sie in der Computerverwaltung auf Benutzer. Führen Sie für jeden Benutzer, dem Sie Remote-VPN-Zugriff gewähren möchten, die folgenden Schritte durch: a. Doppelklicken Sie auf den gewünschten Benutzer, um dessen Eigenschaften anzuzeigen. b. Klicken Sie auf der Registerkarte Mitgliedschaft auf Hinzufügen, geben Sie VPNClients an, und klicken Sie dann auf OK. c. Wählen Sie auf der Registerkarte Einwählen die Option Zugriff über RAS-Richtlinien steuern aus, und klicken Sie dann auf OK. Lösungen 15 Konfigurieren des DHCP-Servers und -Bereichs Ein DHCP-Server weist VPN-Clients bei der Verbindungsaufnahme dynamisch IP-Adressen zu. Dies ist die empfohlene Methode zum Zuweisen von IP-Adressen für VPN-Clients. Sie können auch IP-Adressen aus einem statischen Adressenpool zur Verfügung stellen. Diese Methode eignet sich beispielsweise dann, wenn Ihre internen Netzwerk-IP-Adressen statisch zugewiesen werden. Jeder Computer im internen Netzwerk, auf dem Windows Server 2003 oder Windows 2000 Server ausgeführt wird, kann als DHCP-Server fungieren. Die Anforderungen von VPN-Clients werden durch den vorhandenen DHCP-Server des internen Netzwerks erfüllt. Wenn Sie über keinen DHCP-Server verfügen, konfigurieren Sie einen Server mit den Verfahren in einem der folgenden Artikel: SO WIRD'S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer Active Directory-Domäne in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=18606) SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2003-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18607) SO WIRD´S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer Active Directory-Domäne unter Windows 2000 (http://go.microsoft.com/fwlink/?LinkId=18608) SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2000-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18609) 16 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Anmerkungen Wenn Sie einen DHCP-Server zur Adresszuweisung verwenden, wird beim Herstellen einer Verbindung durch einen VPN-Client dessen Adresse automatisch aus dem internen Netzwerk in das Netzwerk der VPN-Clients verschoben (oder das Netzwerk der in Quarantäne befindlichen VPN-Clients, falls der Quarantänemodus aktiviert und der Client in Quarantäne versetzt wurde). Die Adresse wird wieder zurück in das interne Netzwerk verlagert, sobald die Clientverbindung getrennt wird. Diese Adresszuweisung ist in der ISA Server-Verwaltung nicht sichtbar. Wenn Sie für die Adresszuweisung einen statischen Adresspool verwenden, müssen die Adressen, die dem Pool zugewiesen werden sollen, zunächst aus den anderen definierten Netzwerken entfernt werden, da sich IPAdressen in Netzwerken nicht überschneiden dürfen. Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.) Der ISA Server-Computer fungiert für VPN-Clients als ARP-Proxy (Address Resolution-Protokoll). Wenn beispielsweise dem VPN-Clientnetzwerk zugewiesene Adressen Bestandteil des internen Netzwerksegments sind, senden Computer des internen Netzwerks ARP-Anforderungen an VPNClients. Dabei ist unerheblich, ob die Adressen von einem statischen Pool oder einem DHCP-Server zugewiesen wurden. ISA Server fängt diese Abfragen ab und antwortet anstelle des verbundenen VPN-Clients. Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig zugewiesen werden. Kurzanleitung zu L2TP – Schritt 2: Einrichten der Zertifizierungsstelle Sie benötigen eine Zertifizierungsstelle, um IPSec-Zertifikate (Internet Protocol Security) auszustellen. Da die Zertifikate nur für den internen Gebrauch bestimmt sind (zur Verwendung auf Ihren Servern und Ihren Remote-VPN-Clients), ist die Einrichtung einer lokalen Zertifizierungsstelle zu empfehlen. Dieses Verfahren wird auf einem Computer innerhalb des internen Netzwerks ausgeführt, auf dem Windows installiert ist. Für eine eigenständige Stammzertifizierungsstelle kann jeder Computer des Netzwerks mit installiertem WindowsBetriebssystem verwendet werden. Eine Stammzertifizierungsstelle für das Unternehmen kann nur auf einem Domänencontroller installiert werden. Die Verwendung von L2TP über IPSec erfordert, dass von einer Zertifizierungsstelle IPSecZertifikate installiert werden. Deshalb müssen Sie auch Dienste installieren, mit denen Computer die Zertifikate über eine Webseite abrufen können. Wenn Sie ein anderes Verfahren bevorzugen, um Zertifikate für die Computer verfügbar zu machen, müssen Sie die im nachstehenden Verfahren beschriebene Installation von IIS (Internet Information Services) und ASP (Active Server Pages) nicht durchführen. Lösungen 17 1. Öffnen Sie die Systemsteuerung. 2. Doppelklicken Sie auf Software. 3. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen. 4. Doppelklicken Sie auf Anwendungsserver. 5. Doppelklicken Sie auf Internetinformationsdienste (IIS). 6. Doppelklicken Sie auf WWW-Dienst. 7. Wählen Sie Active Server Pages aus. 8. Klicken Sie auf OK, um das Dialogfeld WWW-Dienst zu schließen, klicken Sie auf OK, um das Dialogfeld Internetinformationsdienste (IIS) zu schließen, und klicken Sie dann auf OK, um das Dialogfeld Anwendungsserver zu schließen. 9. Wählen Sie Zertifikatdienste aus. Überprüfen Sie die Warnung zu Computername und Domänenmitgliedschaft. Klicken Sie im Warnungsdialogfeld auf Ja, wenn Sie fortfahren möchten, und klicken Sie im Dialogfeld Windows-Komponenten auf Weiter. 10. Wählen Sie auf der Seite Zertifizierungsstellentyp eine der folgenden Optionen aus, und klicken Sie auf Weiter: Stammzertifizierungsstelle des Unternehmens. Eine Stammzertifizierungsstelle für das Unternehmen kann nur auf einem Domänencontroller installiert werden. Die Stammzertifizierungsstelle des Unternehmens gibt Zertifikate automatisch aus, wenn diese von autorisierten Benutzern angefordert werden, die vom Domänencontroller erkannt werden. Eigenständige Stammzertifizierungsstelle. Eine eigenständige Stammzertifizierungsstelle erfordert, dass jedes angeforderte Zertifikat durch den Administrator ausgegeben wird. 11. Geben Sie auf der Seite Informationen über die Zertifizierungsstelle einen allgemeinen Namen für die Zertifizierungsstelle an, überprüfen Sie das Suffix des definierten Namens, wählen Sie einen Gültigkeitszeitraum aus, und klicken Sie anschließend auf Weiter. 12. Überprüfen Sie auf der Seite Einstellungen der Zertifikatdatenbank die Standardeinstellungen. Sie können die Speicherorte der Datenbank ändern. Klicken Sie auf Weiter. 13. Überprüfen Sie die Zusammenfassung auf der Seite Fertigstellen des Assistenten, und klicken Sie dann auf Fertig stellen. Kurzanleitung zu L2TP – Schritt 3: Konfigurieren von VPN auf ISA Server Sie können jetzt die VPN-Einstellungen auf dem ISA Server-Computer mit folgenden Schritten konfigurieren: Aktivieren und Konfigurieren des VPN-Clientzugriffs Erstellen einer VPN-Zugriffsregel 18 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Überprüfen der VPN-Netzwerkroutingregel Aktivieren und Konfigurieren des VPN-Clientzugriffs 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus. 3. Stellen Sie im Detailbereich sicher, dass die Registerkarte VPN-Clients ausgewählt ist. 4. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff aktivieren. Hierdurch werden automatisch die erforderlichen Systemrichtlinienregeln für den VPN-Clientzugriff aktiviert. Außerdem wird Routing und RAS für die VPNClientverbindung gestartet. 5. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff konfigurieren, um das Dialogfeld Eigenschaften von VPN-Clients zu öffnen. 6. Wählen Sie im Dialogfeld Eigenschaften von VPN-Clients auf der Registerkarte Protokolle die Option L2TP/IPSec aktivieren aus. Sie können das Kontrollkästchen PPTP aktivieren deaktivieren, um nur L2TP-Verbindungen mit IPSec zuzulassen. 7. Legen Sie auf der Registerkarte Allgemein die maximale Anzahl der zugelassenen VPNClients fest. 8. Klicken Sie auf der Registerkarte Gruppen auf Hinzufügen. Fügen Sie die Gruppe VPNClients hinzu, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf OK. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von VPN-Clients zu schließen. Anmerkung Die in Windows enthaltenen Benutzergruppen können nicht als VPNBenutzer hinzugefügt werden. Vordefinierte Domänengruppen können hingegen verwendet werden (selbst wenn es sich beim ISA Server-Computer gleichzeitig um den Domänencontroller handelt). 9. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Adresszuweisung konfigurieren, um auf der Registerkarte Adresszuweisung das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN) zu öffnen. Wählen Sie Dynamic Host Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, und klicken Sie auf OK, um anzugeben, dass sich der DHCP-Server im internen Netzwerk befindet. Möglicherweise werden Sie dazu aufgefordert, den Computer neu zu starten. Tipp Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung dargestellt. Lösungen 19 Andernfalls muss ein Router speziell dafür konfiguriert sein, DHCPAnforderungen an einen DHCP-Server hinter dem Router weiterzuleiten. Wenn Sie keinen DHCP-Server einrichten oder einen Router zur Weiterleitung der DHCP-Anforderungen konfigurieren möchten, wählen Sie in diesem Schritt Statischer Adresspool und nicht Dynamic Host ConfigurationProtokoll (DHCP). Klicken Sie dann auf Hinzufügen, um dem statischen Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen. Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem statischen Adresspool hinzugefügt werden können. Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in der ISA Server-Konsole den Knoten Konfiguration, und klicken Sie dann auf Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte Adressen einen Bereich von IP-Adressen aus, und klicken Sie dann auf Entfernen, um diesen Bereich zu entfernen. 10. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die Änderungen zu übernehmen. Wichtig Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie im Detailbereich auf der Registerkarte Alarme nach dem Alarm Ein Neustart des ISA Server-Computers ist erforderlich. Die Beschreibung zu diesem Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA Server-Computer neu starten. Erstellen einer VPN-Zugriffsregel Erstellen Sie mit den Eigenschaften aus folgender Tabelle eine neue Zugriffsregel. Mit dieser Regel wird der Zugriff vom VPN-Clientnetzwerk auf das interne Netzwerk über alle Protokolle gewährleistet. Anleitungen zum Erstellen einer neuen Zugriffsregel finden Sie in diesem Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. Wenn Sie die 20 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 neue Zugriffsregel erstellt haben, klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel anzuwenden. Einige Eigenschaften können nicht im Assistenten festgelegt werden. Zum Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie doppelklicken Sie auf die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen. Registerkarte Eigenschaft Einstellung Allgemein Name Geben Sie einen Namen an: VPNClientzugriff. Allgemein Beschreibung Geben Sie eine Beschreibung an: Zugriff vom VPN-Clientnetzwerk auf das interne Netzwerk zulassen Allgemein Aktivieren Wählen Sie Aktivieren. Aktion Zulassen Verweigern Wählen Sie Zulassen. Aktion HTTP-Anforderungen an diese Webseite umleiten Optional Wenn ausgewählt, geben Sie eine Webseitenadresse an. Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Wählen Sie Gesamten ausgehenden Datenverkehr aus. Von Diese Regel betrifft Datenverkehr von diesen Quellen Wählen Sie VPN-Clients aus. Von Gilt nicht für Anforderungen von Keine An Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Geben Sie Internes Netzwerk an. An Gilt nicht für Anforderungen von Keine Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Wählen Sie Alle Benutzer aus. Benutzer Gilt nicht für Anforderungen von Keine Zeitplan Zeitplan Wählen Sie Immer aus. Inhaltstypen Alle Inhaltstypen Ausgewählte Inhaltstypen Wählen Sie Alle Inhaltstypen aus. Lösungen 21 Anmerkungen Sie können den VPN-Clientzugriff auf bestimmte Protokolle einschränken, wenn Sie auf der Registerkarte Protokolle die Option Ausgewählte Protokolle auswählen und die Protokolle im Dialogfeld Protokolle hinzufügen auswählen. Wenn Sie hinsichtlich der Firewallrichtlinien das VPN-Clientnetzwerk und das interne Netzwerk als identisch betrachten, ist das Erstellen einer Zugriffsregel zu empfehlen, die jeden Datenverkehr vom internen Netzwerk zum VPN-Clientnetzwerk zulässt. Wenn ISA Server als VPN-Server konfiguriert ist und für Firewallclients als Firewallserver fungiert, nutzen VPN-Clientcomputer mit installiertem Firewallclient den Port 1745 der ISA Server-Netzwerkschnittstelle für das interne Netzwerk. Wenn ISA Server als VPN-Server konfiguriert ist und für Webproxyclients als Proxyserver fungiert, nutzen VPN-Clientcomputer, die ISA Server als Proxy verwenden, analog den Port 8080 der ISA ServerNetzwerkschnittstelle für das interne Netzwerk. Beim Festlegen einer Regel, die den Zugriff aus VPN-Clientnetzwerken auf das interne Netzwerk zulässt, wird standardmäßig der Zugriff auf alle Ports freigegeben. Wenn Sie jedoch die freigegebenen Ports beschränken, muss für diese Szenarien der Zugriff auf Port 1745 und auf Port 8080 erhalten bleiben. Überprüfen der VPN-Netzwerkroutingregel Wenn Sie ISA Server installieren, wird eine Standardnetzwerkregel erstellt, mit der ein Routingverhältnis zwischen dem internen Netzwerk und den zwei VPN-Clientnetzwerken (VPNClients und Quarantänen-VPN-Clients) eingerichtet wird. Zum Anzeigen dieser Regel erweitern Sie den Knoten Konfiguration und klicken auf Netzwerke. Im Detailbereich wird auf der Registerkarte Netzwerkregeln die Regel VPN-Clients zum internen Netzwerk aufgelistet. Weitere Informationen zum Verhältnis zwischen dem VPN-Clientnetzwerk und dem internen Netzwerk finden Sie in diesem Dokument in Anhang C: Netzwerkverhältnisse. Kurzanleitung zu L2TP – Schritt 4: Installieren eines Zertifikats auf dem Servercomputer Dieses Verfahren wird auf dem ISA Server-Computer mit folgenden Schritten durchgeführt: Erstellen einer Zugriffsregel vom ISA Server-Computer auf das interne Netzwerk Installieren der Zertifikate auf dem ISA Server-Computer Erstellen einer Zugriffsregel vom ISA Server-Computer auf das interne Netzwerk Damit der ISA Server-Computer auf die Zertifizierungsstelle zugreifen kann, müssen Sie eine Zugriffsregel erstellen. ISA Server benötigt diese Zugriffsregel, um seine Zertifikate zu erhalten. 1. Erstellen Sie ein neues Computerobjekt, das den Computer mit der Zertifizierungsstelle darstellt. Dieses Computerobjekt wird zum Erstellen der Zugriffsregel verwendet. Folgen Sie den Anweisungen in diesem Dokument in Anhang A: Erstellen von Regelelementen. 22 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 2. Erstellen Sie mit den Eigenschaften aus folgender Tabelle eine neue Zugriffsregel. Mit dieser Regel wird der Zugriff vom ISA Server-Computer auf das interne Netzwerk über das HTTP-Protokoll gewährleistet. Anleitungen zum Erstellen einer neuen Zugriffsregel finden Sie in diesem Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. Einige Eigenschaften können nicht im Assistenten festgelegt werden. Zum Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie doppelklicken Sie auf die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen. Registerkarte Eigenschaft Einstellung Allgemein Name Geben Sie einen Namen an: Zugriff des ISA ServerComputers auf das interne Netzwerk Allgemein Beschreibung Geben Sie eine Beschreibung an: Zugriff vom ISA ServerComputer auf die Zertifizierungsstelle im internen Netzwerk zulassen Allgemein Aktivieren Wählen Sie Aktivieren. Aktion Zulassen Verweigern Wählen Sie Zulassen. Aktion HTTP-Anforderungen an diese Webseite umleiten Optional Wählen Sie dies nicht aus. Aktion Anforderungen protokollieren, die mit dieser Regel übereinstimmen Aktivieren Sie dieses Kontrollkästchen, wenn ISA Server Anforderungen protokollieren soll, die den Regelbedingungen entsprechen. Protokolle Regel wird angewendet für Wählen Sie Ausgewählte Protokolle aus, und fügen Sie HTTP hinzu. Von Diese Regel betrifft Datenverkehr von diesen Quellen Wählen Sie Lokaler Host (ISA Server-Computer). Von Gilt nicht für Anforderungen von Keine An Diese Regel betrifft Datenverkehr, der an diese Ziele gesendet wird Geben Sie das Computerobjekt an, das die Zertifizierungsstelle im internen Netzwerk darstellt. An Gilt nicht für Anforderungen von Keine Lösungen 23 Registerkarte 3. Eigenschaft Einstellung Benutzer Diese Regel betrifft Anforderungen von folgenden Benutzersätzen Wählen Sie Alle Benutzer aus. Benutzer Gilt nicht für Anforderungen von Keine Zeitplan Zeitplan Wählen Sie Immer aus. Inhaltstypen Alle Inhaltstypen Ausgewählte Inhaltstypen Wählen Sie Alle Inhaltstypen aus. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel zu übernehmen. Installieren der Zertifikate auf dem ISA Server-Computer Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt. Wenn Sie keine Stammzertifizierungsstelle für das Unternehmen, sondern eine eigenständige Stammzertifizierungsstelle installiert haben, müssen auch für die Zertifizierungsstelle Aktionen durchgeführt werden. 1. Öffnen Sie Internet Explorer. 2. Wählen Sie im Menü Extras den Befehl Internetoptionen aus. 3. Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Stufe anpassen, um das Dialogfeld Sicherheitseinstellungen zu öffnen. Wählen Sie im Dropdownmenü unter Benutzerdefinierte Einstellungen zurücksetzen die Option Mittel aus. Die Zertifikatinstallation ist nicht möglich, wenn dieser Wert auf Hoch eingestellt ist. 4. Navigieren Sie zu folgendem URL: http://IP-Adresse des Zertifizierungsstellenservers/certsrv. 5. Fordern Sie ein Zertifikat an. Dies ist das Zertifikat für den ISA Server-Computer. 6. Wählen Sie Erweiterte Zertifikatanforderung aus. 7. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus. 8. Geben Sie Ihre Informationen ein, und wählen Sie in der Dropdownliste Typ die Option IPSec-Zertifikat aus. 9. Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren aus, und senden Sie die Anforderung ab, indem Sie auf Übermitteln klicken. Überprüfen Sie das angezeigte Warnungsdialogfeld, und klicken Sie dann auf Ja. 10. Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf dem Zertifizierungsstellen-Computer die folgenden Schritte durch. Bei einer Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch durchgeführt. 24 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 a. Wechseln Sie zum Snap-In Zertifizierungsstelle der Microsoft Management Console (MMC). Klicken Sie hierzu auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Verwaltung und dann auf Zertifizierungsstelle. b. Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten Maustaste auf Ihre Anforderung, und wählen Sie alle Alle Tasks und Ausstellen aus. 11. Wechseln Sie auf dem ISA Server-Computer zurück zur Webseite http://interne IP-Adresse des Firewallservers/certsrv, und klicken Sie auf Status ausstehender Zertifikatanforderungen anzeigen. 12. Klicken Sie auf Ihre Anforderung, und wählen Sie Dieses Zertifikat installieren aus. 13. Wechseln Sie zurück zur Webseite http://IP-Adresse des Zertifizierungsstellenservers/certsrv, und klicken Sie auf Download des Zertifizierungsstellenzertifikats. Hierbei handelt es sich um das vertrauenswürdige Stammzertifikat, das auf dem ISA Server-Computer installiert werden muss. 14. Klicken Sie auf Diese Zertifizierungsstellen-Zertifikatkette installieren, und bestätigen Sie die Installation. 15. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde. Öffnen Sie die MMC, und wechseln Sie zum Snap-In Zertifikate. Öffnen Sie Zertifikate (Lokaler Computer), und doppelklicken Sie auf das Zertifikat. Auf der Registerkarte Allgemein sollte der folgende Hinweis angezeigt werden: Sie besitzen einen privaten Schlüssel für dieses Zertifikat. Auf der Registerkarte Zertifizierungspfad sollte ein hierarchisches Verhältnis zwischen Ihrem Zertifikat und dem Stammzertifikat sowie der Hinweis Dieses Zertifikat ist gültig angezeigt werden. Kurzanleitung zu L2TP – Schritt 5: Installieren eines Zertifikats auf dem Clientcomputer Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. Für dieses Verfahren wird davon ausgegangen, dass der Clientcomputer eine Verbindung mit dem internen Netzwerk hat, um das Zertifikat zu erhalten. Wenn Sie eine eigenständige Stammzertifizierungsstelle und keine Stammzertifizierungsstelle des Unternehmens installiert haben, müssen auch Aktionen für die Zertifizierungsstelle ausgeführt werden. 1. Öffnen Sie den Internet Explorer, und wechseln Sie zu http://IP-Adresse des Zertifizierungsstellen-Servers/certsrv. 2. Fordern Sie ein Zertifikat an. 3. Wählen Sie Erweiterte Zertifikatanforderung aus. 4. Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen aus. 5. Geben Sie Ihre Informationen ein, und wählen Sie in der Dropdownliste Typ die Option IPSec-Zertifikat aus. Lösungen 25 6. Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren aus, und senden Sie die Anforderung ab, indem Sie auf Übermitteln klicken. Überprüfen Sie das angezeigte Warnungsdialogfeld, und klicken Sie dann auf Ja. 7. Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf dem Zertifizierungsstellen-Computer die folgenden Schritte durch. Bei einer Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch durchgeführt. a. Wechseln Sie zum Snap-In Zertifizierungsstelle in der Microsoft Management Console (MMC) (über Verwaltung). b. Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten Maustaste auf Ihre Anforderung, und wählen Sie alle Alle Tasks und Ausstellen aus. 8. Wechseln Sie auf dem Clientcomputer zurück zur Webseite http://IP-Adresse des Zertifizierungsstellen-Servers/certsrv, und klicken Sie auf Status ausstehender Zertifikatanforderungen anzeigen. 9. Klicken Sie auf Ihre Anforderung, und wählen Sie Dieses Zertifikat installieren aus. 10. Wechseln Sie zurück zur Webseite http://IP-Adresse des Zertifizierungsstellenservers/certsrv, und klicken Sie auf Download des Zertifizierungsstellenzertifikats. Speichern Sie die Datei auf Ihrem Desktop. Beachten Sie, dass Sie ein Zertifizierungsstellenzertifikat nicht installieren können, indem Sie es ausführen. 11. Klicken Sie auf Start und dann auf Ausführen, geben Sie MMC ein, und drücken Sie die EINGABETASTE. 12. Klicken Sie auf Konsole und dann auf Snap-In hinzufügen/entfernen. 13. Klicken Sie auf Hinzufügen, und wählen Sie dann aus der Liste Zertifikate aus. 14. Klicken Sie auf Computerkonto, klicken Sie auf Weiter und dann auf Fertig stellen. 15. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstelle, und wählen Sie Alle Tasks/Importieren. 16. Suchen Sie die gespeicherte Zertifikatdatei (auf Ihrem Desktop), und importieren Sie sie. Kurzanleitung zu L2TP – Schritt 6: Konfigurieren der VPN-Clients Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. Dieses Verfahren bezieht sich auf die Features von Windows XP. Es werden jedoch auch andere Clients unterstützt. 1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Zubehör und Kommunikation, klicken Sie auf Assistent für neue Verbindungen, und klicken Sie anschließend auf Weiter. 2. Wählen Sie unter Netzwerkverbindungstyp die Option Verbindung mit dem Netzwerk am Arbeitsplatz herstellen aus, und klicken Sie dann auf Weiter. 3. Wählen Sie auf der Seite Netzwerkverbindung die Option VPN-Verbindung aus, und klicken Sie auf Weiter. 26 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 4. Geben Sie auf der Seite Verbindungsname einen Namen für die neue Verbindung ein (z. B. VPN-Verbindung), und klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Öffentliches Netzwerk aus, ob Windows die Verbindung automatisch herstellen und welche Verbindung gewählt werden soll. Klicken Sie dann auf Weiter. 6. Geben Sie auf der Seite VPN-Serverauswahl die externe IP-Adresse des ISA ServerComputers ein. Dabei handelt es sich um die Adresse der Netzwerkkarte, mit der der ISA Server-Computer mit dem Internet verbunden ist (auch externes Netzwerk genannt). Klicken Sie auf Weiter. 7. Wählen Sie auf der Seite Verfügbarkeit der Verbindung die Option Eigene Verwendung aus, um sicherzustellen, dass der VPN-Zugriff nur dann verfügbar ist, wenn Sie am Computer angemeldet sind. Klicken Sie auf Weiter. 8. Auf der Seite Fertigstellen des Assistenten können Sie auswählen, ob für die Verbindung eine Verknüpfung auf dem Desktop erstellt werden soll. Klicken Sie anschließend auf Fertig stellen. Kurzanleitung zu L2TP – Schritt 7: Testen der Verbindung Sie können die Verbindung mit folgenden Schritten testen: Überprüfen der Clientverbindung mit dem ISA Server-Computer Überprüfen von ISA Server auf Verbindungsinformationen Überprüfen der Clientverbindung mit dem ISA Server-Computer Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. 1. Wählen Sie den L2TP-DFÜ-Eintrag mit den Anmeldeinformationen, die Sie im vorhergehenden Schritt erstellt haben. 2. Führen Sie den Ping-Befehl mit der IP-Adresse des HTTP-Servers aus. 3. Gehen Sie im Browser zu einer Site auf dem HTTP-Server. Überprüfen von ISA Server auf Verbindungsinformationen Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt. 1. Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung. 2. Überprüfen Sie auf der Registerkarte Sitzungen, dass die VPN-Clientsitzung aufgeführt ist. Die VPN-Clientsitzung verfügt über die folgenden Eigenschaften: Sitzungstyp zeigt den VPN-Client an. Clienthostname zeigt die öffentliche IP-Adresse des VPN-Clientcomputers an. Unter Client-IP wird die der VPN-Sitzung zugewiesene IP-Adresse angezeigt. Lösungen 27 Unter Anwendungsname wird das für die Verbindung verwendete Protokoll sowie eine Kennung angezeigt, dass es sich um eine VPN-Verbindung handelt. Die Spalte Anwendungsname wird standardmäßig nicht angezeigt. Klicken Sie auf der Registerkarte Sitzungen mit der rechten Maustaste auf eine der Spaltenüberschriften, und wählen Sie Anwendungsname aus, um diesen hinzuzufügen. Sie können einen Sitzungsfilter erstellen, damit nur die VPN-Clientsitzungen angezeigt werden. Gehen Sie folgendermaßen vor, um einen Filter zu erstellen. 1. Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung, und wählen Sie die Registerkarte Sitzungen aus. 2. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu öffnen. 3. Wählen Sie im Dialogfeld Filter bearbeiten unter Filtern nach die Option Sitzungstyp aus. Wählen Sie unter Bedingung die Option Gleich und unter Wert die Option VPNClient. 4. Klicken Sie auf Zur Liste hinzufügen und dann auf Abfrage starten. Sie müssen auf Abfrage starten klicken, um den Filter zu speichern. Quarantänesteuerung – Verfahren Die Quarantänesteuerung ist eine Option, mit der Sie die Einhaltung der Sicherheitsanforderungen Ihres Unternehmens durch VPN-Clients überwachen können. Beachten Sie, dass bei deaktiviertem Quarantänemodus alle Remote-VPN-Clients mit entsprechenden Authentifizierungsberechtigungen in das VPN-Clientnetzwerk gelangen und dort über die Zugriffsrechte verfügen, die in den Firewallrichtlinien des VPN-Clientnetzwerks zugelassen wurden. Anmerkung Die Quarantänesteuerung ist ein Verwaltungstool, mit dem Sie sicherstellen können, dass die Clients Ihren Richtlinien entsprechen. Es handelt sich nicht um eine Sicherheitsfunktion. Die Quarantänesteuerung bietet keine Verschlüsselungs- oder Authentifizierungsmechanismen. Bei der ISA Server-Quarantänesteuerung wird über Routing und RAS der Zugriff von VPNClients auf Firmennetzwerke eingeschränkt. Mit ISA Server können Sie veranlassen, dass ein VPN-Client beim erstmaligen Herstellen einer Verbindung dem VPN-Clientnetzwerk in Quarantäne zugeordnet wird. Er unterliegt dann Einschränkungen gemäß den Firewallrichtlinien, bis über den Verbindungs-Manager des Clients festgestellt wird, dass dieser sich in Übereinstimmung mit den für die Verbindung geltenden Unternehmensrichtlinien befindet. Die Quarantänesteuerung beruht auf dem für VPN-Clients erstellten Verbindungs-ManagerProfil. Die Profile des Verbindungs-Managers können mithilfe des Verbindungs-ManagerVerwaltungskits (CMAK) erstellt werden, das in Windows Server 2003 und Windows 2000 Server enthalten ist. Das Verbindungs-Manager-Protokoll enthält folgende Elemente: 28 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Eine Aktion nach dem Herstellen der Verbindung, in der ein Skript für Netzwerkrichtlinienanforderungen ausgeführt wird. Dieses wird beim Erstellen der Profile des Verbindungs-Managers mit dem Verbindungs-Manager-Verwaltungskit konfiguriert. Ein Skript für Netzwerkrichtlinienanforderungen, mit dem die Übereinstimmung des RASClientcomputers mit den Netzwerkrichtlinien überprüft wird. Bei diesem Skript kann es sich um eine benutzerdefinierte ausführbare Datei oder eine einfache Befehlsdatei (Batchdatei) handeln. Wenn das Skript erfolgreich ausgeführt wurde und der angeschlossene Computer alle Anforderungen der Netzwerkrichtlinien erfüllt (durch das Skript bestätigt), wird die Ausführung einer ausführbaren Benachrichtigungskomponente mit den entsprechenden Parametern veranlasst. Wenn das Skript nicht erfolgreich ausgeführt werden kann, sollte es den RAS-Benutzer zu einer Quarantäne-Ressource umleiten. Das kann beispielsweise eine interne Webseite sein, auf der die Installation der für die Erfüllung der Netzwerkrichtlinien erforderlichen Komponenten beschrieben wird. Eine Benachrichtigungskomponente, die eine Nachricht über die erfolgreiche Ausführung des Skripts an den Quarantäne-kompatiblen ISA Server-Computer sendet. Sie können eine eigene Benachrichtigungskomponente oder Rqc.exe verwenden. Rqc.exe ist im ISA Server 2004 Resource Kit in der ausführbaren Datei RQSUtils enthalten. Nach dem Installieren dieser Komponenten werden vom RAS-Clientcomputer unter Verwendung des Verbindungs-Manager-Profils Tests zur Erfüllung der Netzwerkrichtlinien durchgeführt und der erfolgreiche Abschluss als Teil des Verbindungsaufbaus an den ISA Server-Computer gemeldet. Aktivieren der Quarantäne mit ISA Server Sie können ISA Server verwenden, um bestimmte Optionen für Remote-VPN-Clients im Quarantänemodus zu verarbeiten. Wenn ein Client eine VPN-Verbindung herstellt, wird der Client in einem Quarantänen-VPN-Clientsnetzwerk platziert. Sie können bestimmte Richtlinien für Clients in diesem Netzwerk anwenden, mit denen der Clientzugriff auf Ressourcen im Quarantänen-VPN-Clientsnetzwerk gesteuert wird. Bei der Konfiguration der Quarantäne für ISA Server können Sie Folgendes festlegen: Zeitlimit. Hierbei handelt es sich um die Zeitdauer, die ein Client, der eine VPNVerbindung herstellt, im Quarantänemodus verbleiben darf. Der Client wird nach Ablauf der Zeit getrennt, wenn er nicht aus dem Quarantänemodus entfernt wurde (und im VPNClientnetzwerk platziert wurde). Liste der Ausnahmen. Sie können eine Liste der RADIUS- (Remote Authentication Dial-In User Service) oder Windows-Benutzer angeben, für die die Quarantäne nicht zutrifft. Die Benutzer in dieser Liste gelangen automatisch in das VPN-Clientnetzwerk. Wenn Sie ISA Server unter Windows Server 2003 ausführen, können Sie die Quarantäne aktivieren, indem Sie die RADIUS- oder ISA Server-Richtlinie verwenden. Wenn Sie ISA Server unter Windows 2000 Server ausführen, können Sie die Quarantäne mit der ISA Server-Richtlinie aktivieren. Die RADIUS-Quarantänenrichtlinie wird von Windows 2000 Server nicht unterstützt. Lösungen 29 Auswahl der RADIUS-Quarantänenrichtlinie oder der ISA Server-Richtlinie Die RADIUS-Quarantänenrichtlinie bietet die folgenden Funktionen: Ein durch den Administrator festgelegtes Sitzungszeitlimit, durch das ein Client nach einer gewissen Zeit getrennt wird, wenn er nicht mit den unternehmenseigenen Verbindungsanforderungen im Einklang steht. Diese Funktion wird auch von der ISA Server-Richtlinie unterstützt. Einen Quarantänen-IP-Filter, der nur bestimmte Pakete von den Quarantänen-VPN-Clients durchlässt. Diese RADIUS-Funktion ist in der ISA Server-Umgebung nicht sinnvoll, da ISA Server die Pakete bereits filtert, bevor sie die Quarantänen-IP-Filter erreichen. Aus diesem Grund müssen die Filter für Benutzer in Quarantäne mithilfe des Netzwerks Quarantänen-VPN-Clients in der ISA Server-Richtlinie angewendet werden. Es wird empfohlen, die RADIUS-Quarantänerichtlinie zu verwenden. Verwenden Sie die ISA Server-Richtlinie nur, wenn kein RADIUS-Server verfügbar ist oder wenn ISA Server auf einem Server unter Windows 2000 ausgeführt wird. Weitere Informationen zur RADIUS-Quarantänenrichtlinie finden Sie im Dokument Network Access Quarantine Control in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=20173). Anmerkung Wenn Sie mehrere Zweigniederlassungen haben, in denen jeweils eine ISA Server 2004 Standard Edition ausgeführt wird, sollten Sie die Quarantänensteuerung mit der RADIUS-Richtlinie verwenden, damit die Quarantänensteuerung zentral auf einem RADIUS-Server für alle Niederlassungen ausgeführt werden kann. Quarantäneanforderungen In diesem Abschnitt werden die erforderlichen Voraussetzungen zum Ausführen der ISA ServerQuarantänesteuerung beschrieben. ISA Server-Computer Ein quarantänefähiger ISA Server-Computer enthält folgende Komponenten: Ein Computer mit einem Betriebssystem der Windows Server 2003- oder Windows 2000 Server-Produktfamilie (wird benötigt, wenn Sie anstelle der ISA Server-Richtlinie die RADIUS-Quarantänerichtlinie implementieren möchten) und ISA Server Eine Listenerkomponente. Diese Komponente hört Meldungen von quarantänefähigen RASClients ab, mit denen angegeben wird, dass die entsprechenden Skripts erfolgreich ausgeführt wurden. Sie können eine eigene benutzerdefinierte Listenerkomponente erstellen (passend zu Ihrer benutzerdefinierten Benachrichtigungskomponente) oder den Dienst RASQuarantäne-Agent (Rqs.exe) aus der ausführbaren Datei RQSUtils des ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) installieren. 30 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Wenn Sie eine eigene Listenerkomponente erstellen, muss diese Komponente Meldungen von der Benachrichtigungskomponente abhören können und die API-Funktion (Application Programming Interface) verwenden, die unter MprAdminConnectionRemoveQuarantine() (http://go.microsoft.com/fwlink/?LinkId=20172) beschrieben ist, um die Quarantänebeschränkungen von der RAS-Verbindung zu entfernen. Beachten Sie, dass die APIFunktion nicht wie in der API-Dokumentation angegeben die Funktionsbibliothek Mprapi.dll sondern Vpnplgin.dll (im ISA Server-Installationsverzeichnis) aufrufen muss. Der Funktionsaufruf wird dann von ISA Server an Routing und RAS weitergeleitet. Nach der Installation dieser Komponenten kann der ISA Server-Computer im Quarantänemodus Verbindungen zu RAS-Clients herstellen und Benachrichtigungsmeldungen abhören, durch die angegeben wird, dass die Clients die Anforderungen der Netzwerkrichtlinien erfüllt haben und aus dem Quarantänen-VPN-Clientnetzwerk in das VPN-Clientnetzwerk aufgenommen werden können. Bei Verwendung der Dateien Rqc.exe (Benachrichtigungskomponente von ISA Server 2004 Resource Kit) und Rqs.exe enthält die von Rqc.exe gesendete Benachrichtigungsmeldung eine Textzeichenfolge zur Angabe der Version des ausgeführten Quarantäneskripts. Diese Zeichenfolge ist für Rqc.exe als Teil der Befehlszeilenparameter konfiguriert, die aus dem Quarantäneskript übergeben werden. Rqs.exe vergleicht diese Zeichenfolge mit einer Gruppe von Zeichenfolgen, die in der Registrierung des ISA Server-Computers gespeichert sind. Wenn eine Übereinstimmung festgestellt wird, werden die Quarantänebedingungen von der Verbindung entfernt. Mit dem Skript ConfigureRQSForISA.vbs aus der ausführbaren Datei RQSUtils des ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) kann RQS (die Listenerkomponente) installiert werden. Weitere Informationen hierzu finden Sie in diesem Dokument unter Konfigurieren der Quarantänesteuerung. Anmerkung Die von Rqc.exe gesendete Benachrichtigung wird nicht verschlüsselt oder authentifiziert und kann vom Client eines Eindringlings gefälscht werden. RRAS kann mit dem Windows- oder RADIUS-Authentifizierungsanbieter konfiguriert werden. Quarantänefähiger RADIUS-Server (optional) Wenn Routing und RAS auf dem ISA Server-Computer mit dem RADIUSAuthentifizierungsanbieter konfiguriert wurde, ist für einen quarantänefähigen RADIUS-Server ein Computer mit Windows Server 2003 und IAS (Internet Authentication Service) erforderlich, der die Konfiguration der herstellerspezifischen RADIUS-Attribute MS-Quarantine-IPFilter und MS-Quarantine-Session-Timeout unterstützt. Das Attribut MS-Quarantine-IPFilter betrifft die Quarantänefilter. Das Attribut MS-Quarantine-Session-Timeout ist hingegen für den Quarantänesitzungszeitgeber bestimmt. Quarantäneressourcen Quarantäneressourcen bestehen aus Servern, auf die ein im Quarantänemodus befindlicher RASClient zugreifen kann, um die Namensauflösung durchzuführen (z. B. DNS-Server), die neueste Version des Verbindungs-Manager-Profils abzurufen (Dateiserver mit zugelassenem anonymen Zugriff) oder auf Anweisungen und Komponenten zuzugreifen, die zum Einhalten der Lösungen 31 Netzwerkrichtlinien durch den RAS-Client erforderlich sind (Webserver mit zugelassenem anonymen Zugriff). Anonymer Zugriff auf Datei- und Webressourcen ist erforderlich, da RASBenutzer unter Umständen zwar über die richtigen Anmeldeinformationen zum Erstellen der RAS-Verbindung verfügen, jedoch möglicherweise nicht die korrekten Domänenanmeldeinformationen zum Zugriff auf geschützte Datei- und Webressourcen verwenden. Funktionsweise der ISA Server-Quarantänesteuerung Im folgenden Abschnitt wird die Funktionsweise der ISA Server-Quarantänesteuerung bei Verwendung von Rqc.exe, Rqs.exe und der ISA Server-Richtlinie beschrieben: 1. Der Benutzer am quarantänefähigen RAS-Client verwendet das installierte VerbindungsManager-Quarantäneprofil, um die Verbindung mit dem quarantänefähigen ISA ServerComputer herzustellen. 2. Der RAS-Client überträgt seine Authentifizierungsinformationen an den ISA ServerComputer. 3. Der ISA Server-Computer überprüft die Authentifizierungsinformationen des RAS-Clients. Wenn diese Informationen gültig sind, werden die RAS-Richtlinien des Clients überprüft. Beim Versuch zur Verbindungsherstellung wird die Quarantänerichtlinie abgeglichen. 4. Die Verbindung wird mit den Quarantänebeschränkungen akzeptiert. Der Client erhält daraufhin eine IP-Adresse und wird in das Quarantänen-VPN-Clientnetzwerk übernommen. In diesem Zustand kann der RAS-Client nur Daten senden, die der Firewallrichtlinie für das Quarantänen-VPN-Clientnetzwerk entsprechen. Der Client muss den ISA Server-Computer spätestens nach der in den ISA Server-Quarantäneeigenschaften festgelegten Anzahl vpn Sekunden über die erfolgreiche Ausführung des Skripts benachrichtigen. 5. Das Verbindungs-Manager-Profil startet sofort nach der Verbindungsherstellung das Quarantäneskript. 6. Das Quarantäneskript wird ausgeführt und die Übereinstimmung der RASClientcomputerkonfiguration mit den Anforderungen der Netzwerkrichtlinien überprüft. Wenn alle Tests bezüglich der Erfüllung der Netzwerkrichtlinien bestanden wurden, startet das Skript die Datei Rqc.exe mit den entsprechenden Befehlszeilenparametern. Einer dieser Befehlszeilenparameter ist eine Zeichenfolge zur Kennzeichnung der Version des im Verbindungs-Manager-Profil enthaltenen Quarantäneskripts. 7. Rqc.exe sendet eine Benachrichtigung über die erfolgreiche Skriptausführung an den ISA Server-Computer. Diese Benachrichtigung enthält die Zeichenfolge mit der Version des Quarantäneskripts. 8. Die Benachrichtigung wird von der Listenerkomponente (Rqs.exe) empfangen. Der Benachrichtigungsdatenverkehr wird zugelassen, da es sich um erlaubten Datenverkehr gemäß der Firewallrichtlinie handelt (in der ISA Server-Zugriffsregel, mit der die Kommunikation am RQS-Port 7250 von VPN-Clients und Quarantänen-VPNClientnetzwerken zum lokalen Hostnetzwerk zugelassen wird). 32 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 9. Die Listenerkomponente überprüft die Skriptversionszeichenfolge in der Benachrichtigungsmeldung anhand der in der Registrierungsdatenbank konfigurierten Versionszeichenfolgen und sendet eine Meldung zurück, in der angegeben ist, ob die Skriptversion als gültig oder ungültig eingestuft wurde. 10. Wenn die Skriptversion gültig ist, ruft die Listenerkomponente die API-Funktion MprAdminConnectionRemoveQuarantine() auf, und ISA Server verschiebt den Client aus dem Quarantänen-VPN-Clientnetzwerk in das VPN-Clientnetzwerk. 11. Die Listenerkomponente erstellt im Systemereignisprotokoll ein Ereignis mit genauen Angaben zur Quarantäneverbindung. Konfigurieren der Quarantänesteuerung Dieser Abschnitt beinhaltet Folgendes: Erste Schritte Quarantänebenachrichtigungs- und Listenerkomponenten Quarantäneeinstellungen Firewallrichtlinie für VPN-Clients in Quarantäne Erste Schritte Bevor Sie den Quarantänemodus aktivieren, müssen Sie folgende Schritte durchführen: 1. Erstellen Sie ein clientseitiges Skript, das die Clientkonfigurationsdaten überprüft. Weitere Informationen hierzu finden Sie in diesem Dokument unter Quarantänebenachrichtigungsund Listenerkomponenten. 2. Erstellen Sie eine Benachrichtigungskomponente, die dem ISA Server-Computer bestätigt, dass das Skript erfolgreich ausgeführt wurde. Wenn Sie keine Benachrichtigungskomponente erstellen möchten, können Sie die Datei Rqc.exe aus dem ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) verwenden, wie in diesem Dokument unter Quarantänebenachrichtigungs- und Listenerkomponenten beschrieben. Die Benachrichtigungskomponente ist im Verbindungs-Manager-Profil enthalten und wird auf dem Clientcomputer installiert. Die Benachrichtigungskomponente sendet eine Benachrichtigung an den ISA Server-Computer, wenn das Skript des Administrators erfolgreich auf dem Client ausgeführt wurde. 3. Erstellen Sie eine Listenerkomponente für die Installation auf ISA Server-Computern (diese Computer können Informationen von der Benachrichtigungskomponente empfangen), beenden Sie dann für den Client den Quarantänemodus, und wenden Sie die Vollzugriffsrichtlinie an. Wenn Sie keine Listenerkomponente erstellen möchten, können Sie die Beispieldatei Rqs.exe aus dem ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) verwenden. Die Listenerkomponente wird auf dem ISA Server-Computer installiert und von der Benachrichtigungskomponente darüber informiert, dass das Skript auf dem Client alle Konfigurationsüberprüfungen erfolgreich absolviert hat. Nachdem die Listenerkomponente Lösungen 33 benachrichtigt wurde, wird der Quarantänemodus für den Client beendet, und der ISA Server-Computer wendet auf den Client die Standard-RAS-Richtlinie an. 4. Wenn Sie die Beispieldatei Rqs.exe verwenden, führen Sie das Skript ConfigureRQSForISA.vbs aus, das im ISA Server Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) verfügbar ist. Wenn Sie Ihre eigene Listenerkomponente erstellen, müssen Sie deren Installation verwalten. Das Skript führt die folgenden Aktionen aus: Installiert RQS als Dienst und konfiguriert den Dienst zur Ausführung im lokalen Systemkonto. Erstellt eine ISA Server-Zugriffsrichtlinie, die eine Datenübertragung über den RQSPort (7250) von den Netzwerken der VPN-Clients und den in Quarantäne befindlichen VPN-Clients zum Netzwerk des lokalen Hosts zulässt. Dies ist erforderlich, damit der ISA Server-Computer eine Benachrichtigung darüber erhalten kann, dass der Client die Verbindungsanforderungen erfüllt hat. Ändert die Registrierungsschlüssel auf dem ISA Server-Computer, damit RQS mit ISA Server zusammenarbeiten kann. Startet den RQS-Dienst. Das Skript verfügt über einen Schalter (Installieren oder Entfernen) und erfordert zwei Parameter: die zugelassenen gemeinsamen RQS-Schlüssel und der Pfad von RQS.exe. Beispiel für die Installation: Cscript ConfigureRQSForISA.vbs /install SharedKey1\0SharedKey2 "C:\Programme\RQS" Ein gemeinsamer Schlüssel wird vom RQS-Dienst aus der Datei RQC.exe benötigt, damit der VPN-Client das Quarantänen-VPN-Clientnetzwerk verlassen kann. Wenn der Client einen gemeinsamen Schlüssel angibt, der nicht im zugelassenen Satz enthalten ist, wird die Verbindung zum Client getrennt. Sie können mehrere gemeinsame Schlüssel durch „\0“ getrennt verwenden, wenn Sie die Argumente für das Skript ConfigureRQSForISA.vbs angeben. Anmerkung Zur Ausführung des Skripts ConfigureRQSForISA.vbs müssen sich die Dateien Reg.exe und Sc.exe im Systempfad befinden. Unter Windows Server 2003 sind diese Dateien standardmäßig im Verzeichnis %windir%\system32 gespeichert. Unter Windows 2000 Server müssen Sie die genannten Dateien im Systempfad installieren, bevor Sie das Skript ConfigureRQSForISA.vbs ausführen. Sie finden die Datei Reg.exe auf der Windows 2000-CD im Verzeichnis support\tools. Die Datei Sc.exe ist im Microsoft Windows 2000 Resource Kit (http://go.microsoft.com/fwlink/?LinkID=21244) enthalten. 5. Erstellen Sie mit dem Verbindungs-Manager-Verwaltungskit (CMAK) ein VerbindungsManager-Profil. Weitere Informationen über CMAK finden Sie im Verbindungs-ManagerVerwaltungskit in der Hilfe von Windows Server 2003 34 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=21154) oder im Verbindungs-ManagerVerwaltungskit in der Hilfe von Windows 2000 Server (http://go.microsoft.com/fwlink/?LinkId=20198). Fügen Sie das Clientskript und die Benachrichtigungskomponente dem Profil hinzu. 6. Verteilen Sie das Verbindungs-Manager-Profil zur Installation an die RAS-Clientcomputer. Quarantänebenachrichtigungs- und Listenerkomponenten Sie können eigene Benachrichtigungs- und Listenerkomponenten erstellen oder Rqs.exe (eine Listenerkomponente) und Rqc.exe (eine Benachrichtigungskomponente) aus dem ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) verwenden. Der RAS-Quarantäne-Agent wird zusammen mit Rqs.exe auf dem ISA Server-Computer installiert. Beim Erstellen des Verbindungs-Manager-Profils können Sie das vom Administrator bereitgestellte Skript und Rqc.exe hinzufügen, die an RAS-Clientcomputer verteilt und auf diesen installiert werden. Dieses Profil kann auf den folgenden Clientbetriebssystemen installiert werden: Windows XP Professional, Windows XP Home Edition, Windows 2000 Professional, Windows Millennium Edition und Windows 98 Zweite Ausgabe. Weitere Informationen zu CMAK finden Sie im Verbindungs-Manager-Verwaltungskit in der Windows-Hilfe. Quarantäneeinstellungen Nachdem Sie die vorläufigen Schritte zum Einrichten einer Quarantäne abgeschlossen haben, können Sie die Quarantäneeinstellungen auf dem ISA Server-Computer konfigurieren: 1. Öffnen Sie die ISA Server-Verwaltung, erweitern Sie den Knoten ISA Server-Computer, und klicken Sie auf Virtuelle private Netzwerke (VPN). 2. Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff aktivieren (falls noch nicht geschehen). Hierdurch werden automatisch die erforderlichen Systemrichtlinienregeln für den VPN-Clientzugriff aktiviert. Außerdem wird Routing und RAS für die VPN-Clientverbindungen gestartet. Weitere Informationen über die Aktivierung des VPN-Clientzugriffs finden Sie in diesem Dokument unter PPTP-Schritt 1: Konfigurieren von VPN auf ISA Server oder L2TP-Schritt 3: Konfigurieren von VPN auf ISA Server. 3. Erweitern Sie in der ISA Server-Verwaltung den Knoten Konfiguration, und klicken Sie auf Netzwerke. 4. Doppelklicken Sie im Detailbereich auf der Registerkarte Netzwerke auf das QuarantänenVPN-Clientsnetzwerk, um dessen Eigenschaften zu öffnen, und wählen Sie die Registerkarte Quarantäne aus. Auf dieser Registerkarte stehen folgende Optionen zur Auswahl: Quarantänensteuerung aktivieren. Bei der erstmaligen Installation von ISA Server ist die Quarantänesteuerung standardmäßig deaktiviert. Wenn sie nicht aktiviert wird, existiert keine Quarantänesteuerung, und die VPN-Clients gelangen beim Verbindungsaufbau direkt in das VPN-Clientnetzwerk. Quarantäne gemäß den RADIUS-Serverrichtlinien. Wenn Sie die Quarantänesteuerung aktivieren, verwendet diese Option die RADIUS-Serverrichtlinien für die Quarantäne, wie in diesem Dokument unter Auswahl der RADIUS-Quarantänenrichtlinie oder der ISA Server-Richtlinie beschrieben. Lösungen 35 Quarantäne gemäß den ISA Server-Richtlinien. Wenn Sie die Quarantänesteuerung aktivieren, verwendet diese Option die ISA Server-Richtlinien für die Quarantäne, wie in diesem Dokument unter Auswahl der RADIUS-Quarantänenrichtlinie oder der ISA Server-Richtlinie beschrieben. 5. Aktivieren Sie die Quarantäne, und wählen Sie die Option Quarantäne gemäß den ISA Server-Richtlinien aus. Wenn Sie diese Option ausgewählt haben, stehen weitere Optionen zur Verfügung: Sie können ein Zeitlimit für Benutzer in Quarantäne festlegen, indem Sie Verbindung wird getrennt nach (in Sekunden): auswählen und eine Zahl in das Feld Sekunden eingeben. Dadurch werden Clients in Quarantäne nach Ablauf der angegebenen Dauer getrennt, wenn sie in dieser Zeit nicht ihre Kompatibilität nachweisen können. Sie können unter Folgende Benutzer von der Quarantäne ausschließen Benutzer nach Benutzersatz von der Quarantänesteuerung befreien. Klicken Sie auf Hinzufügen, um der Liste der ausgeschlossenen Benutzersätze einen Benutzersatz hinzuzufügen. Anmerkung Ein Benutzersatz ist ein Regelelement. Informationen zum Erstellen von Regelelementen finden Sie in diesem Dokument in Anhang A: Erstellen von Regelelementen. 6. Klicken Sie auf OK. 7. Klicken Sie im Detailbereich auf Übernehmen, um die vorgenommenen Änderungen zu übernehmen. Firewallrichtlinie für VPN-Clients in Quarantäne Über die Firewallrichtlinie wird der Zugriff auf Netzwerkressourcen gesteuert, der aus dem VPN-Clientnetzwerk in Quarantäne zugelassen wird. Zu diesen Ressourcen kann der RADIUSServer oder Domänencontroller gehören, über den der Benutzer sich authentifiziert hat, sowie ein Server mit bereitgestellter Antivirus-Software und aktualisierten Signaturen und der DHCPServer, der IP-Adressen für VPN-Clients zur Verfügung stellt. Um den Zugriff auf eine Ressource zuzulassen, erstellen Sie eine Zugriffsregel. Dabei stellt das Netzwerk des VPN-Clients in Quarantäne die Quelle dar und der Server, auf den zugegriffen werden soll, das Ziel. Dazu muss für jeden Server ein Computerregelelement erstellt werden, damit der Server in Zugriffsregeln verwendet werden kann. Sie können stattdessen auch einen Computersatz erstellen, der alle Computer enthält, auf die der Client in Quarantäne zugreifen möchte. Anschließend definieren Sie eine Zugriffsregel, in der das VPN-Clientnetzwerk in Quarantäne als Quelle und der Computersatz als Ziel verwendet wird. Eine weitere Möglichkeit ist die Zusammenfassung aller Server, auf die Zugriff angefordert wird, in einem Subnetz innerhalb Ihres Netzwerks. In diesem Fall können Sie ein Subnetzregelelement definieren, das in der Zugriffregel verwendet werden soll. Informationen zum Erstellen von Regelelementen finden Sie in diesem Dokument in Anhang A: Erstellen von Regelelementen. Informationen zum Erstellen von Zugriffsregeln finden Sie in diesem Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. 36 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Im Folgenden finden Sie einige Beispiele für Zugriffstypen, die für ein VPN-Clientnetzwerk in Quarantäne zugelassen werden sollten. Die ersten drei aufgeführten Zugriffstypen sind für das Netzwerkrichtlinien-Anforderungsskript notwendig. Dieses Skript ist erforderlich, um den Zugriff des Clients auf das VPN-Clientnetzwerk freizugeben. Berücksichtigen Sie, dass für den Verbindungs-Manager der Clients eventuell der Zugriff auf bestimmte Server unter Verwendung spezifischer Protokolle erforderlich ist. Stimmen Sie mit dem Verantwortlichen für den Verbindungs-Manager ab, welche Zugriffsregeln erforderlich sind. Zu den Zugriffstypen gehören: Zulassen von Abfragen an LDAP-Server im internen Netzwerk Zulassen von Datenverkehr an Domänencontroller Zulassen von DNS-Abfragen an DNS-Server durch VPN-Clients in Quarantäne Zulassen von WINS-Datenverkehr an WINS-Server durch VPN-Clients in Quarantäne Anmerkung Das Skript ConfigureRQSForISA.vbs erstellt eine ISA Server-Zugriffsrichtlinie, die eine Datenübertragung über den RQS-Port (7250) von den Netzwerken der VPN-Clients und den in Quarantäne befindlichen VPN-Clients zum Netzwerk des lokalen Hosts zulässt. Dies ist erforderlich, damit der ISA Server-Computer eine Benachrichtigung darüber erhalten kann, dass der Client die Verbindungsanforderungen erfüllt hat. Anhang A: Erstellen von Regelelementen Führen Sie zum Erstellen eines Regelelements dieses allgemeine Verfahren durch. 1. Öffnen Sie die Microsoft ISA Server-Verwaltung. 2. Erweitern Sie den Knoten des ISA Server-Computers. 3. Wählen Sie Firewallrichtlinie und im Aufgabenbereich die Registerkarte Toolbox aus. 4. Wählen Sie den Typ des Regelelements aus, indem Sie auf die entsprechende Überschrift (Protokolle, Benutzer, Inhaltstypen, Zeitpläne oder Netzwerkobjekte) für dieses Element klicken. 5. Klicken Sie an der obersten Position der Elementliste auf Neu. 6. Geben Sie die erforderlichen Informationen ein. Nachdem Sie die Daten angegeben und im Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt. Anmerkung Sie müssen im Detailbereich auf Übernehmen klicken, um die Änderungen (einschließlich der neu erstellten Regelemente) zu übernehmen. Sie können auch nach dem Erstellen der Zugriffsregeln auf Übernehmen klicken. Lösungen 37 Anhang B: Verwenden des Assistenten für neue Zugriffsregeln 1. Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue Zugriffsregeln dar. Sie verwenden die Eigenschaften der Entwurfsphase zum Erstellen von Regeln. 2. Wählen Sie in der Konsolenstruktur der ISA Server-Verwaltung die Option Firewallrichtlinie aus. 3. Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue Zugriffsregel erstellen aus, um den Assistenten für neue Zugriffsregeln zu starten. 4. Geben Sie auf der Seite Willkommen des Assistenten den Namen der Zugriffsregel ein. Wählen Sie einen aussagekräftigen Namen, beispielsweise Internetzugriff für Mitarbeiter während der Arbeitszeit, und klicken Sie dann auf Weiter. 5. Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, wenn Sie bestimmte Zugriffsrechte zulassen möchten, oder wählen Sie Verweigern aus, wenn Sie bestimmte Zugriffsrechte verweigern möchten. Klicken Sie dann auf Weiter. 6. Wählen Sie auf der Seite Protokolle unter Regel wird angewendet für die Option Gesamten ausgehenden Datenverkehr aus, und klicken Sie dann auf Weiter. 7. Klicken Sie auf der Seite Zugriffsregelquellen auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf die Kategorie der Netzwerkidentität, für die Sie eine Zugriffsregel erstellen, wählen Sie die Identität aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite Zugriffsregelquellen auf Weiter. 8. Klicken Sie auf der Seite Zugriffsregelziele auf Hinzufügen, um das Dialogfeld Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf Netzwerke, wählen Sie Externes Netzwerk (für das Internet) aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite Zugriffsregelziele auf Weiter. 9. Geben Sie auf der Seite Benutzersätze mithilfe der Schaltflächen Entfernen und Hinzufügen einen Satz von Benutzern an, und klicken Sie anschließend auf Weiter. 10. Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und klicken Sie dann auf Fertig stellen. 11. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel zu übernehmen. 12. Ordnen Sie im Detailbereich von ISA Server die Zugriffsregeln entsprechend Ihren Internetzugriffsrichtlinien an. Anhang C: Netzwerkverhältnisse Wenn Sie ISA Server installieren, wird eine Standardnetzwerkregel erstellt, mit der ein Routingverhältnis zwischen dem internen Netzwerk und den zwei VPN-Clientnetzwerken (VPNClients und Quarantänen-VPN-Clients) eingerichtet wird. Auch wenn die VPN-Clientnetzwerke nicht physischen Netzwerkkarten zugeordnet sind, haben diese Netzwerke aus Sicht von ISA Server virtuelle Netzwerkkarten, an die der Datenverkehr weitergeleitet wird. 38 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Es gibt Situationen, in denen Sie ein NAT-Verhältnis (Network Address Translation) zwischen dem VPN-Clientnetzwerk und dem internen Netzwerk erstellen sollten. Wenn in Ihrem Netzwerk beispielsweise ein Cluster von ISA Server-Computern existiert, stellt ein NAT-Verhältnis sicher, dass ein zwischen den Netzwerken gesendetes Paket über denselben ISA Server-Computer zurückgesendet und erkannt wird. Andernfalls wird das Paket möglicherweise an einen anderen Server im Cluster gesendet wird, der das nicht erkannte Paket verwirft. Ein NAT-Verhältnis ist auch sinnvoll, wenn das VPN-Gateway nicht das Standardgateway ist. Wenn Sie ein NAT-Verhältnis zwischen dem VPN-Clientnetzwerk und dem internen Netzwerk erstellen, sollten Sie beachten, dass nicht alle Protokolle von NAT erkannt werden. Anhang D: Authentifizierungsmethoden Zur Authentifizierung wird in der Regel ein während des Authentifizierungsvorgangs ausgehandeltes Authentifizierungsprotokoll verwendet. ISA Server unterstützt sowohl Authentifizierungsprotokolle mit höchster Sicherheit als auch Protokolle mit geringer Sicherheit. Authentifizierungsprotokolle mit höchster Sicherheit ISA Server unterstützt zwei Authentifizierungsprotokolle mit höchster Sicherheit: MS-CHAP V2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2) EAP (Extensible Authentication-Protokoll) MS-CHAPv2 MS-CHAP V2 bietet Funktionen für die gegenseitige Authentifizierung, leistungsfähige Schlüssel für die anfängliche Datenverschlüsselung sowie unterschiedliche Schlüssel für die Verschlüsselung beim Senden und Empfangen. Um das Risiko der Umgehung von Kennwörtern während eines Datenaustauschs über MS-CHAP zu minimieren, unterstützt MS-CHAP V2 nicht mehr die Änderung des Kennworts für MS-CHAP, und das verschlüsselte Kennwort wird nicht mehr übertragen. MS-CHAP V2 verwendet einen bidirektionalen Abfrage/Antwort-Austausch für Anmeldeinformationen, wobei das Kennwort in den Antworten verschlüsselt wird. Der Client, der die Verbindung herstellt, sendet nun den Nachweis für die Kenntnis des Clientkennworts, ohne das eigentliche Kennwort zu übertragen, und der Zugangsserver sendet den Nachweis, dass er Zugriff auf das Clientkennwort hat, ohne das eigentliche Kennwort zu senden. EAP EAP erweitert das Point-to-Point-Protokoll (PPP), indem zufällige Authentifizierungsmethoden zugelassen werden, bei denen Anmeldeinformationen und Daten zufälliger Länge ausgetauscht werden. Bei Verwendung von EAP können zusätzliche Authentifizierungsschemas, so genannte EAP-Typen, unterstützt werden. Zu diesen Schemas gehören Tokenkarten, einmalige Kennwörter, Authentifizierung durch öffentliche Schlüssel unter Verwendung von Smartcards sowie Zertifikate. Authentifizierungsprotokolle mit geringer Sicherheit Es wird empfohlen, Authentifizierungsprotokolle mit höchster Sicherheit zu verwenden. Sie haben jedoch auch die Möglichkeit, Protokolle mit weniger Sicherheit einzusetzen. Diese Lösungen 39 Möglichkeit ist dann sinnvoll, wenn Sie VPN-Clients unter Windows NT® Server 4.0 oder Windows 98 ausführen, auf denen nicht die neueste VPN-Clientsoftware installiert ist. Die folgenden Protokolle können verwendet werden: CHAP (Challenge Handshake Authentication-Protokoll) MS-CHAP (Microsoft Challenge Handshake Authentication-Protokoll) PAP (Password Authentication-Protokoll) SPAP (Shiva Password Authentication-Protokoll) CHAP Das Challenge Handshake Authentication-Protokoll (CHAP) verwendet einen Abfrage/AntwortAustausch von Anmeldeinformationen mit MD5-Hash (Message Digest 5) für die Antwort. Der Client, der eine Verbindung herstellt, sendet den Nachweis über die Kenntnis des Clientkennworts, ohne das eigentliche Kennwort zu übertragen. CHAP wird sowohl von vielen Zugriffsclients als auch von vielen Netzwerkzugriffsservern unterstützt. CHAP erfordert, dass für Benutzerkonten der Domäne umkehrbar verschlüsselte Kennwörter gespeichert werden. Aktivieren Sie CHAP nur, wenn dies für die Zugriffsclients erforderlich ist. MS-CHAP Microsoft entwickelte das Protokoll MS-CHAP zur Authentifizierung von WindowsRemotearbeitsstationen. LAN-Benutzern sollten die gewohnten Funktionen zur Verfügung stehen, und die in Windows-Netzwerken verwendeten Hashalgorithmen wurden integriert. Wie CHAP verwendet MS-CHAP einen Abfrage/Antwort-Mechanismus, bei dem das Senden des Kennworts während der Authentifizierung vermieden wird. MS-CHAP wird von bestimmten Microsoft Windows-Zugriffsclients und -Zugriffsservern unterstützt. Aktivieren Sie MS-CHAP nur, wenn dies für die Zugriffsclients erforderlich ist. PAP Bei PAP wird das jeweilige Kennwort in unverschlüsselter Form über die Verbindung übertragen. Aktivieren Sie PAP nur, wenn dies für die Zugriffsclients erforderlich ist. SPAP Bei SPAP wird das jeweilige Kennwort in verschlüsselter Form über die Verbindung übertragen. Aktivieren Sie SPAP nur, wenn dies für die Zugriffsclients erforderlich ist. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-MailAdressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig. Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem 40 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004 Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken, Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt. © 2004 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.