Konfigurieren von VPN auf ISA Server

Mobile VPN-Clients und
Quarantänesteuerung in
ISA Server 2004
Microsoft Internet Security &
Acceleration (ISA) Server 2004
Einführung
Microsoft® Internet Security & Acceleration (ISA) Server 2004 bietet sichere VPN-Funktionen
(Virtuelles privates Netzwerk) für mobile Clients.
Virtuelle private Netzwerke
Ein virtuelles privates Netzwerk (VPN) ist die Erweiterung eines privaten Netzwerks, das
Verbindungen über gemeinsam verwendete oder öffentliche Netzwerke (z. B. das Internet)
hinweg umfasst. Mit einem VPN können Sie Daten zwischen zwei Computern über ein
gemeinsam verwendetes oder öffentliches Netzwerk mithilfe eines Verfahrens übertragen, durch
das eine private Punkt-zu-Punkt-Verbindung emuliert wird. Der Aufbau eines virtuellen privaten
Netzwerks umfasst dessen Erstellung und Konfiguration.
Zum Emulieren einer Punkt-zu-Punkt-Verbindung werden Daten eingekapselt („verpackt“) und
mit einem Header versehen, der Weiterleitungsinformationen enthält. Mithilfe dieser Angaben
können die Daten über ein gemeinsam genutztes oder öffentliches Netzwerk zu ihrem Endpunkt
übertragen werden. Um eine private Verbindung zu emulieren, werden die Daten aus
Sicherheitsgründen verschlüsselt. Daten, die im gemeinsam genutzten oder öffentlichen
Netzwerk abgefangen werden, sind ohne die Verschlüsselungsschlüssel nicht lesbar. Eine
Verbindung, bei der private Daten eingekapselt und verschlüsselt werden, wird als VPNVerbindung bezeichnet.
VPN-Verbindungen ermöglichen es Benutzern, die von zu Hause aus oder unterwegs arbeiten,
eine RAS-Verbindung zum Server eines Unternehmens herzustellen. Hierbei wird die
Infrastruktur eines öffentlichen Netzwerks (z. B. das Internet) genutzt. Aus der Sicht der
Benutzer ist VPN eine Punkt-zu-Punkt-Verbindung zwischen seinem Computer (dem VPN-
2 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Client) und einem Server des Unternehmens (dem VPN-Server). Die genaue Infrastruktur des
gemeinsam verwendeten oder öffentlichen Netzwerks ist nicht von Bedeutung, da die Daten wie
über eine dedizierte private Verbindung übertragen werden.
VPN-Verbindungen ermöglichen Organisationen außerdem Routingverbindungen mit sicherer
Datenübertragung zu anderen Organisationen (z. B. zwischen geographisch getrennten
Niederlassungen) über ein öffentliches Netzwerk wie das Internet. Eine VPN-Routingverbindung
über das Internet entspricht logisch einer dedizierten WAN-Verbindung (Wide Area Network).
Durch Verwendung des ISA Server-Computers als VPN-Server können Sie Standort-zuStandort-VPN-Verbindungen und den Zugriff von VPN-Clients auf das Firmennetzwerk
verwalten. VPN-Clients können von ISA Server im Netzwerk für Quarantänen-VPN-Clients in
Quarantäne genommen werden, bis überprüft wurde, ob die Clients die Sicherheitsanforderungen
des Unternehmens erfüllen. Anschließend können Sie in das VPN-Clientnetzwerk verschoben
werden. Beide VPN-Clientnetzwerke unterliegen der Firewallrichtlinie von ISA Server. Somit
können Sie den VPN-Clientzugriff auf Netzwerkressourcen steuern. Sie können beispielsweise
Clients unter Quarantäne nur Zugriff auf die Ressourcen gewähren, die sie zum Wiederherstellen
ihrer Sicherheit benötigen. Weitere Informationen über die Implementierung der VPNClientquarantäne für ISA Server finden Sie in diesem Dokument unter Quarantänesteuerung.
Informationen über die Konfiguration der Quarantänesteuerung finden Sie in diesem Dokument
unter Quarantänesteuerung - Verfahren.
Alle VPN-Verbindungen mit dem ISA Server-Computer werden in der Firewallprotokollierung
erfasst, so dass Sie VPN-Verbindungen überwachen können.
ISA Server ermöglicht den VPN-Clientzugriff mit L2TP (Layer 2 Tunneling-Protokoll) über
IPSec (Internet Protocol Security). Dieses Protokoll bietet größere Sicherheit als das von VPNServern üblicherweise verwendete Standardprotokoll PPTP (Point-to-Point Tunneling-Protokoll).
VPN-Verbindungen
Es gibt zwei Arten von VPN-Verbindungen:

RAS-VPN-Verbindung

Standort-zu-Standort-VPN-Verbindung
RAS-VPN-Verbindung
Ein RAS-Client stellt eine RAS-VPN-Verbindung mit einem privaten Netzwerk her. ISA Server
ermöglicht den Zugriff auf das gesamte Netzwerk, mit dem der VPN-Server verbunden ist.
Standort-zu-Standort-VPN-Verbindung
Eine Standort-zu-Standort-VPN-Verbindung wird zwischen zwei Teilen eines privaten
Netzwerks über einen Router hergestellt. ISA Server stellt eine Verbindung mit dem Netzwerk
bereit, an das der ISA Server-Computer angeschlossen ist. Die Konfiguration der Standort-zuStandort-VPN-Verbindungen wird im Dokument Standort-zu-Standort-VPN in ISA Server 2004
beschrieben. (Downloaden Sie diese Dokumente von der Website:
http://go.microsoft.com/fwlink?linkid=20746).
Einführung 3
VPN-Protokolle
Es stehen zwei VPN-Verbindungsprotokolle für mobile Clients zur Verfügung:

PPTP (Point-to-Point Tunneling-Protokoll)

L2TP (Layer Two Tunneling-Protokoll)
PPTP
PPTP (Point-to-Point Tunneling-Protokoll) ist ein Netzwerkprotokoll, das eine sichere
Datenübertragung von einem Remoteclient zu einem privaten Unternehmensserver ermöglicht,
indem über TCP/IP-basierte Netzwerke ein VPN eingerichtet wird. PPTP unterstützt
bedarfsgesteuerte, Multiprotokoll- und VPN-Verbindungen über öffentliche Netzwerke wie
beispielsweise das Internet. Mit PPTP kann der IP-Datenverkehr verschlüsselt und anschließend
in einen IP-Header eingekapselt werden, der dann über ein IP-Unternehmensnetzwerk oder ein
öffentliches IP-Netzwerk wie das Internet gesendet wird.
L2TP
L2TP (Layer 2 Tunneling-Protokoll) ist der Industriestandard für Internet-Tunneling-Protokolle,
das die Einkapselung von PPP-Frames (Point-to-Point-Protokoll) zum Senden über
paketorientierte Medien ermöglicht. Mit L2TP kann der IP-Datenverkehr verschlüsselt und
anschließend über ein beliebiges Medium gesendet werden, das eine Punkt-zu-Punkt-Zustellung
von Datagrammen unterstützt (z. B. IP). Die Microsoft-Implementierung von L2TP verwendet
IPSec-Verschlüsselung (Internet Protocol Security), um den Datenstrom vom VPN-Client zum
VPN-Server zu schützen. Der IPSec-Tunnelmodus ermöglicht das Verschlüsseln von IP-Paketen
und das anschließende Einkapseln in einen IP-Header, um sie über ein IP-Unternehmensnetzwerk
oder ein öffentliches IP-Netzwerk wie das Internet zu senden.
PPTP-Verbindungen erfordern nur eine Authentifizierung auf Benutzerebene über ein PPPbasiertes Authentifizierungsprotokoll. Bei Verbindungen mit L2TP/IPSec ist auch eine
Authentifizierung auf Benutzerebene und zusätzlich eine Authentifizierung auf Computerebene
über Computerzertifikate erforderlich.
Quarantänesteuerung
Die Quarantänesteuerung gewährt Remoteclients (VPN-Clients) einen abgestuften
Netzwerkzugriff. Dieser wird auf einen Quarantänemodus beschränkt, bis der volle Zugriff auf
das Netzwerk zugelassen wird. Sobald sich die Konfiguration des Clientcomputers in
Übereinstimmung mit den spezifischen Quarantäneeinschränkungen Ihrer Organisation befindet,
wird auf die Verbindung die Standard-VPN-Richtlinie angewendet. Dabei wird der angegebene
Quarantänetyp berücksichtigt. In den Quarantäneeinschränkungen kann beispielsweise festgelegt
werden, dass während der Verbindung zum Netzwerk Antivirus-Software installiert und aktiviert
wird. Obwohl die Quarantänesteuerung keinen Schutz vor Angreifern bietet, können
Computerkonfigurationen für autorisierte Benutzer überprüft und ggf. korrigiert werden, bevor
diese Benutzer in der Lage sind, auf das Netzwerk zuzugreifen. Außerdem gib es eine
Zeitgebereinstellung, mit der Sie angeben können, nach welchem Zeitraum die Verbindung
getrennt wird, falls der Client die Konfigurationsanforderungen nicht erfüllt.
4 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Mit ISA Server können Sie auswählen, wie der Quarantänemodus aktiviert wird:

Quarantänensteuerung aktivieren - Quarantäne gemäß den RADIUSServerrichtlinien. Diese Option ist nur dann verfügbar, wenn ISA Server auf einem
Computer installiert ist, auf dem eine Version von Microsoft® Windows Server ™ 2003
ausgeführt wird. Wenn Sie die Option Quarantäne gemäß den RADIUS-Serverrichtlinien
auswählen, bestimmt ISA Server bei der Herstellung einer Verbindung durch einen VPNClient, ob der entsprechende Client einer Quarantäne unterliegt. Nachdem der Client von der
Quarantäne freigestellt wird, erhält er uneingeschränkten Zugriff auf das VPNClientnetzwerk.

Quarantänensteuerung aktivieren - Quarantäne gemäß den ISA Server-Richtlinien.
Mit dieser Option kann das VPN-Clientnetzwerk in Quarantäne entsprechend einer
eingestellten Firewallrichtlinie verwendet werden. Routing- und RAS-Funktionen sind für
diese Option nicht erforderlich. Sie kann daher verwendet werden, wenn ISA Server auf
einem Computer installiert wurde, auf dem ein Betriebssystem der Windows® 2000 ServerProduktfamilie ausgeführt wird.
Sie können den Quarantänemodus auch deaktivieren.
Anmerkung
Zum Herstellen von VPN-Verbindungen gemäß den ISA Server-Richtlinien
muss die Quarantäne-Funktion in den Richtlinien für den Remotezugriff auf
dem RADIUS-Server (Remote Authentication Dial-In User Service) oder einem
Windows-Authentifizierungsanbieter deaktiviert werden.
Öffnen Sie hierfür die Computerverwaltung, und erweitern Sie den Knoten
Routing und RAS. Wählen Sie RAS-Richtlinien aus. Doppelklicken Sie im
Detailbereich auf jede Richtlinie, um deren Eigenschaften zu öffnen, und
klicken Sie auf Profil bearbeiten. Entfernen Sie auf der Registerkarte
Erweitert die Attribute MS-Quarantine-IPFilter und MS-Quarantine-SessionTimeout aus der Attributliste, und klicken Sie auf OK.
Weitere Informationen über die Quarantänesteuerung in ISA Server finden Sie in diesem
Dokument unter Quarantänesteuerung – Verfahren.
Mit Viren infizierte VPN-Clients
Mit Viren infizierten VPN-Clientcomputern wird nicht automatisch der Zugriff auf den
ISA Server-Computer oder die Netzwerke verwehrt, die der ISA Server-Computer schützt. Zum
Vermeiden von Virenbefall sollten Überwachungsverfahren zur Erkennung von Anomalien
(Alarme oder ungewöhnlich hohes Datenverkehrsaufkommen) etabliert und E-MailAlarmbenachrichtigungen konfiguriert werden. Wenn ein infizierter VPN-Clientcomputer
erkannt wird, gehen Sie folgendermaßen vor:

Beschränken Sie den VPN-Zugriff nach Benutzername, indem Sie über die RAS-Richtlinie
den betreffenden Benutzer aus den VPN-Clients ausschließen, denen eine Verbindung
gestattet ist.
Szenarien 5

Beschränken Sie den VPN-Zugriff nach IP-Adresse. Erstellen Sie dazu ein neues Netzwerk
für gesperrte externe IP-Adressen, und verschieben Sie die IP-Adresse des Clients aus dem
externen in das neue Netzwerk.
Szenarien
Mit ISA Server 2004 können Sie einem Teil Ihrer Mitarbeiter den weltweiten Zugriff auf Ihr
internes Netzwerk über eine lokale Internetverbindung ermöglichen. Wenn sich Ihr Unternehmen
beispielsweise in New York City befindet, ein Verkäufer jedoch in Chicago arbeitet, muss der
Verkäufer nicht nach New York City reisen, um mithilfe von Routing und RAS eine direkte
Verbindung mit dem internen Netzwerk herzustellen. Stattdessen kann er über das lokale Internet
und eine VPN-Verbindung auf das interne Netzwerk zugreifen. Dies ist das Szenario für einen
Remote-VPN-Zugriff.
Sie können jeden VPN-Client bei der Herstellung einer Verbindung unter Quarantäne stellen und
somit sicherstellen, dass er Ihrer Sicherheitsrichtlinie entspricht. VPN-Clients, die die Richtlinie
nicht erfüllen, wird ein beschränkter Zugriff auf Ressourcen des internen Netzwerks gestattet. Sie
können dort für die Erfüllung der Sicherheitsrichtlinie erforderliche Software und entsprechende
Aktualisierungen abrufen. Der allgemeine Zugriff auf Firmenressourcen wird diesen VPNClients jedoch nicht gestattet.
Lösungen
Verwenden von ISA Server 2004: zwei Lösungen werden in diesem Dokument beschrieben. Eine
Lösung verwendet PPTP (Point-to-Point-Tunneling-Protokoll) und die andere L2TP (Layer-2Tunneling-Protokoll). Die Verfahren zur Quarantänesteuerung werden im Anschluss an die
PPTP- und L2TP-Lösungen dargestellt. In diesem Abschnitt werden die folgenden Themen
behandelt:

Netzwerktopologie

RAS mit PPTP – Kurzanleitung

RAS mit L2TP – Kurzanleitung

Quarantänesteuerung - Verfahren
Netzwerktopologie
In der folgenden Abbildung ist eine typische Netzwerktopologie für Lösungen mit mobilen VPNClients dargestellt.
6 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Es sind drei Netzwerke dargestellt:

Das Internet, in dem sich der VPN-Client befindet Der VPN-Client in dieser Lösung ist ein
Computer mit Windows® XP. Andere Clients werden jedoch ebenso unterstützt.

Das VPN-Gateway, ein ISA Server-Computer Auf diesem Computer sind Windows
Server 2003 und ISA Server 2004 installiert.

Das interne Netzwerk Das interne Netzwerk besteht aus folgenden Komponenten:
Domänencontroller, auf dem Windows Server 2003 oder Windows 2000 Server installiert
ist. Der Domänencontroller speichert die Benutzerinformationen, die für die
Authentifizierung der Remote-VPN-Clients erforderlich sind.
Webserver, der in diesem Fall zum Testen des Zugriffs der Remote-VPN-Clients auf das
interne Netzwerk eingesetzt wird.
DHCP-Server, der den Remote-VPN-Clients dynamisch IP-Adressen zuweist.
Eine Zertifizierungsstelle (CA), die nur für die L2TP-Lösung benötigt wird. Die Einrichtung
der Zertifizierungsstelle wird in diesem Dokument im Thema RAS mit L2TP –
Kurzanleitung beschrieben.
RAS mit PPTP – Kurzanleitung
Diese Anleitung umfasst die folgenden Vorgänge:

Konfigurieren von Benutzern und Windows-Diensten

Konfigurieren von VPN auf ISA Server

Konfigurieren der VPN-Clients

Testen der Verbindung
Lösungen 7
Kurzanleitung zur PPTP-Lösung – Schritt 1: Konfigurieren von
Benutzern und Windows-Diensten
Die Benutzer und Windows-Dienste können mit folgenden Schritten konfiguriert werden:

Erstellen von VPN-Clients und Benutzergruppen auf dem Domänencontroller

Konfigurieren des DHCP-Servers und -Bereichs
Erstellen von VPN-Clients und Benutzergruppen auf dem Domänencontroller
Als Erstes werden die VPN-Clients auf dem Domänencontrollercomputer erstellt. Dieser
Computer enthält die zum Authentifizieren von Remotebenutzern erforderlichen
Benutzergruppen- und Benutzerinformationen. In diesem Schritt wird auch eine neue
Benutzergruppe VPN-Clients erstellt, damit die VPN-Benutzer verwaltet werden können.
1.
Öffnen Sie die Computerverwaltung, indem Sie auf dem Desktop mit der rechten
Maustaste auf das Symbol Arbeitsplatz klicken und den Befehl Verwalten auswählen.
2.
Erweitern Sie Lokale Benutzer und Gruppen, klicken Sie mit der rechten Maustaste auf
Gruppen, und klicken Sie dann auf Neue Gruppe.
3.
Erstellen Sie im Dialogfeld Neue Gruppe eine neue Gruppe mit dem Namen VPN-Clients,
und klicken Sie auf Erstellen und dann auf Schließen.
4.
Klicken Sie in der Computerverwaltung auf Benutzer. Führen Sie für jeden Benutzer, dem
Sie Remote-VPN-Zugriff gewähren möchten, die folgenden Schritte durch:
a.
Doppelklicken Sie auf den gewünschten Benutzer, um dessen Eigenschaften
anzuzeigen.
b.
Klicken Sie auf der Registerkarte Mitgliedschaft auf Hinzufügen, geben Sie VPNClients an, und klicken Sie dann auf OK.
c.
Wählen Sie auf der Registerkarte Einwählen die Option Zugriff über RAS-Richtlinien
steuern aus, und klicken Sie dann auf OK.
Konfigurieren des DHCP-Servers und -Bereichs
Ein DHCP-Server weist VPN-Clients bei der Verbindungsaufnahme dynamisch IP-Adressen zu.
Dies ist die empfohlene Methode zum Zuweisen von IP-Adressen für VPN-Clients. Sie können
auch IP-Adressen aus einem statischen Adressenpool zur Verfügung stellen. Diese Methode
eignet sich beispielsweise dann, wenn Ihre internen Netzwerk-IP-Adressen statisch zugewiesen
werden.
Jeder Computer im internen Netzwerk, auf dem Windows Server 2003 oder Windows 2000
Server ausgeführt wird, kann als DHCP-Server fungieren. Die Anforderungen von VPN-Clients
werden durch den vorhandenen DHCP-Server des internen Netzwerks erfüllt. Wenn Sie über
keinen DHCP-Server verfügen, konfigurieren Sie einen Server mit den Verfahren in einem der
folgenden Artikel:

SO WIRD'S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer
Active Directory-Domäne in Windows Server 2003
(http://go.microsoft.com/fwlink/?LinkId=18606).
8 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004

SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2003-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18607).

SO WIRD´S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer
Active Directory-Domäne unter Windows 2000
(http://go.microsoft.com/fwlink/?LinkId=18608).

SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2000-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18609).
Anmerkungen
Wenn Sie einen DHCP-Server zur Adresszuweisung verwenden, wird beim
Herstellen einer Verbindung durch einen VPN-Client dessen Adresse
automatisch aus dem internen Netzwerk in das Netzwerk der VPN-Clients
verschoben (oder das Netzwerk der in Quarantäne befindlichen VPN-Clients,
falls der Quarantänemodus aktiviert und der Client in Quarantäne versetzt
wurde). Die Adresse wird wieder zurück in das interne Netzwerk verlagert,
sobald die Clientverbindung getrennt wird. Diese Adresszuweisung ist in der
ISA Server-Verwaltung nicht sichtbar.
Wenn Sie für die Adresszuweisung einen statischen Adresspool verwenden,
müssen die Adressen, die dem Pool zugewiesen werden sollen, zunächst
aus den anderen definierten Netzwerken entfernt werden, da sich IPAdressen in Netzwerken nicht überschneiden dürfen.
Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete
Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt
Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.)
Der ISA Server-Computer fungiert für VPN-Clients als ARP-Proxy (Address
Resolution-Protokoll). Wenn beispielsweise dem VPN-Clientnetzwerk
zugewiesene Adressen Bestandteil des internen Netzwerksegments sind,
senden Computer des internen Netzwerks ARP-Anforderungen an VPNClients. Dabei ist unerheblich, ob die Adressen von einem statischen Pool
oder einem DHCP-Server zugewiesen wurden. ISA Server fängt diese
Abfragen ab und antwortet anstelle des verbundenen VPN-Clients.
Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen
Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen
Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den
DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig
zugewiesen werden.
Kurzanleitung zur PPTP-Lösung – Schritt 2: Konfigurieren von VPN
auf ISA Server
Sie können jetzt die VPN-Einstellungen auf dem ISA Server-Computer mit folgenden Schritten
konfigurieren:

Aktivieren und Konfigurieren des VPN-Clientzugriffs

Erstellen einer VPN-Zugriffsregel

Überprüfen der VPN-Netzwerkroutingregel
Lösungen 9
Aktivieren und Konfigurieren des VPN-Clientzugriffs
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Stellen Sie im Detailbereich sicher, dass die Registerkarte VPN-Clients ausgewählt ist.
4.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff
aktivieren. Hierdurch werden automatisch die erforderlichen Systemrichtlinienregeln für
den VPN-Clientzugriff aktiviert. Außerdem wird Routing und RAS für die VPNClientverbindung gestartet.
5.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff
konfigurieren.
6.
Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen VPN-Clientzugriff
aktivieren, und wählen Sie dann die Anzahl der zulässigen VPN-Clients aus.
7.
Klicken Sie auf der Registerkarte Gruppen auf Hinzufügen, und fügen Sie die Gruppe
VPN-Clients hinzu, die Sie in Schritt 1 erstellt haben. Klicken Sie auf OK, um das
Dialogfeld Eigenschaften von VPN-Clients zu schließen.
Anmerkung
Die in Windows enthaltenen Benutzergruppen können nicht als VPNBenutzer hinzugefügt werden. Vordefinierte Domänengruppen können
hingegen verwendet werden (selbst wenn es sich beim ISA Server-Computer
gleichzeitig um den Domänencontroller handelt).
8.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Adresszuweisung
konfigurieren, um auf der Registerkarte Adresszuweisung das Dialogfeld Eigenschaften
von Virtuelle private Netzwerke (VPN) zu öffnen. Wählen Sie Dynamic Host
Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes
Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, und
klicken Sie auf OK, um anzugeben, dass sich der DHCP-Server im internen Netzwerk
befindet. Möglicherweise werden Sie dazu aufgefordert, den Computer neu zu starten.
Tipp
Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden
können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers
innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung
dargestellt.
10 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Andernfalls muss ein Router speziell dafür konfiguriert sein, DHCPAnforderungen an einen DHCP-Server hinter dem Router weiterzuleiten.
Wenn Sie keinen DHCP-Server einrichten oder einen Router zur
Weiterleitung der DHCP-Anforderungen konfigurieren möchten, wählen Sie in
diesem Schritt Statischer Adresspool und nicht Dynamic Host ConfigurationProtokoll (DHCP). Klicken Sie dann auf Hinzufügen, um dem statischen
Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen
im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen.
Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem
statischen Adresspool hinzugefügt werden können.
Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in
der ISA Server-Konsole den Knoten Konfiguration, und klicken Sie dann auf
Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte
Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte
Adressen einen Bereich von IP-Adressen aus, und klicken Sie auf Entfernen,
um diesen Bereich zu entfernen.
9.
Sie können die Authentifizierungsmethode der VPN-Clients ändern. (MS-CHAPv2 ist die
Standardeinstellung.) Klicken Sie hierzu im Aufgabenbereich auf der Registerkarte
Aufgaben auf Authentifizierungsmethoden auswählen, um auf der Registerkarte
Authentifizierung das Dialogfeld Eigenschaften von Virtuelle private Netzwerke (VPN)
zu öffnen. Die Authentifizierungsmethoden werden in diesem Dokument in Anhang D:
Authentifizierungsmethoden beschrieben.
10. Klicken Sie im Detailbereich der ISA Server-Verwaltung auf Übernehmen, um die
Änderungen zu übernehmen.
Wichtig
Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den
ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart
erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des
ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie im
Detailbereich auf der Registerkarte Alarme nach dem Alarm Ein Neustart
des ISA Server-Computers ist erforderlich. Die Beschreibung zu diesem
Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart
des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA
Server-Computer neu starten.
Lösungen 11
Erstellen einer VPN-Zugriffsregel
Erstellen Sie mit den Eigenschaften aus folgender Tabelle eine neue Zugriffsregel. Mit dieser
Regel wird der Zugriff vom VPN-Clientnetzwerk auf das interne Netzwerk über alle Protokolle
gewährleistet. Anleitungen zum Erstellen einer neuen Zugriffsregel finden Sie in diesem
Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. Wenn Sie die
neue Zugriffsregel erstellt haben, klicken Sie im Detailbereich von ISA Server auf Übernehmen,
um die neue Zugriffsregel anzuwenden. Einige Eigenschaften können nicht im Assistenten
festgelegt werden. Zum Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie
doppelklicken Sie auf die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen.
Registerkarte
Eigenschaft
Einstellung
Allgemein
Name
Geben Sie einen Namen an: VPN-Clientzugriff.
Allgemein
Beschreibung
Geben Sie eine Beschreibung an: Zugriff vom
VPN-Clientnetzwerk auf das interne Netzwerk
zulassen
Allgemein
Aktivieren
Wählen Sie Aktivieren.
Aktion
Zulassen
Verweigern
Wählen Sie Zulassen.
Aktion
HTTP-Anforderungen an
diese Webseite umleiten
Optional Wenn ausgewählt, geben Sie eine
Webseitenadresse an.
Aktion
Anforderungen
protokollieren, die mit dieser
Regel übereinstimmen
Aktivieren Sie dieses Kontrollkästchen, wenn
ISA Server Anforderungen protokollieren soll,
die den Regelbedingungen entsprechen.
Protokolle
Regel wird angewendet für
Wählen Sie Gesamten ausgehenden
Datenverkehr aus.
Von
Diese Regel betrifft
Datenverkehr von diesen
Quellen
Wählen Sie VPN-Clients aus.
Von
Gilt nicht für Anforderungen
von
Keine
An
Diese Regel betrifft
Datenverkehr, der an diese
Ziele gesendet wird
Geben Sie Internes Netzwerk an.
An
Gilt nicht für Anforderungen
von
Keine
Benutzer
Diese Regel betrifft
Wählen Sie Alle Benutzer aus.
Anforderungen von folgenden
Benutzersätzen
Benutzer
Gilt nicht für Anforderungen
von
Keine
12 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Registerkarte
Eigenschaft
Einstellung
Zeitplan
Zeitplan
Wählen Sie Immer aus.
Inhaltstypen
Alle Inhaltstypen
Ausgewählte Inhaltstypen
Wählen Sie Alle Inhaltstypen aus.
Anmerkungen
Sie können den VPN-Clientzugriff auf bestimmte Protokolle einschränken,
wenn Sie Ausgewählte Protokolle auswählen und die Protokolle im
Dialogfeld Protokolle hinzufügen auswählen.
Wenn Sie hinsichtlich der Firewallrichtlinien das VPN-Clientnetzwerk und das
interne Netzwerk als identisch betrachten, ist das Erstellen einer
Zugriffsregel zu empfehlen, die jeden Datenverkehr vom internen Netzwerk
zum VPN-Clientnetzwerk zulässt.
Wenn ISA Server als VPN-Server konfiguriert ist und für Firewallclients als
Firewallserver fungiert, nutzen VPN-Clientcomputer mit installiertem
Firewallclient den Port 1745 der ISA Server-Netzwerkschnittstelle für das
interne Netzwerk. Wenn ISA Server als VPN-Server konfiguriert ist und für
Webproxyclients als Proxyserver fungiert, nutzen VPN-Clientcomputer, die
ISA Server als Proxy verwenden, analog den Port 8080 der ISA ServerNetzwerkschnittstelle für das interne Netzwerk. Beim Festlegen einer Regel,
die den Zugriff aus VPN-Clientnetzwerken auf das interne Netzwerk zulässt,
wird standardmäßig der Zugriff auf alle Ports freigegeben. Wenn Sie jedoch
die freigegebenen Ports beschränken, muss für diese Szenarien der Zugriff
auf Port 1745 und auf Port 8080 erhalten bleiben.
Überprüfen der VPN-Netzwerkroutingregel
Wenn Sie ISA Server installieren, wird eine Standardnetzwerkregel erstellt, mit der ein
Routingverhältnis zwischen dem internen Netzwerk und den zwei VPN-Clientnetzwerken (VPNClients und Quarantänen-VPN-Clients) eingerichtet wird. Zum Anzeigen dieser Regel erweitern
Sie den Knoten Konfiguration und klicken auf Netzwerke. Im Detailbereich wird auf der
Registerkarte Netzwerkregeln die Regel VPN-Clients zum internen Netzwerk aufgelistet.
Doppelklicken Sie auf die Regel, um deren Eigenschaften anzuzeigen. Weitere Informationen
zum Verhältnis zwischen dem VPN-Clientnetzwerk und dem internen Netzwerk finden Sie in
diesem Dokument in Anhang C: Netzwerkverhältnisse.
Kurzanleitung zur PPTP-Lösung – Schritt 3: Konfigurieren der VPNClients
1.
Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. Dieses Verfahren
bezieht sich auf die Features von Windows XP. Es werden jedoch auch andere Clients
unterstützt.
2.
Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Zubehör und
Kommunikation, und klicken Sie anschließend auf Assistent für neue Verbindungen.
Lösungen 13
3.
Klicken Sie auf der Seite Willkommen auf Weiter.
4.
Wählen Sie unter Netzwerkverbindungstyp die Option Verbindung mit dem Netzwerk
am Arbeitsplatz herstellen aus, und klicken Sie dann auf Weiter.
5.
Wählen Sie auf der Seite Netzwerkverbindung die Option VPN-Verbindung aus, und
klicken Sie auf Weiter.
6.
Geben Sie auf der Seite Verbindungsname einen Namen für die neue Verbindung ein (z. B.
VPN-Verbindung), und klicken Sie auf Weiter.
7.
Wählen Sie auf der Seite Öffentliches Netzwerk aus, ob Windows die erste Verbindung
zum Netzwerk automatisch herstellen und welche Verbindung gewählt werden soll. Klicken
Sie dann auf Weiter.
8.
Geben Sie auf der Seite VPN-Serverauswahl die externe IP-Adresse des ISA ServerComputers ein. Dabei handelt es sich um die Adresse der Netzwerkkarte, mit der der
ISA Server-Computer mit dem Internet verbunden ist (auch externes Netzwerk genannt).
Klicken Sie auf Weiter.
9.
Wählen Sie auf der Seite Verfügbarkeit der Verbindung die Option Eigene Verwendung
aus, um sicherzustellen, dass der VPN-Zugriff nur dann verfügbar ist, wenn Sie am
Computer angemeldet sind. Klicken Sie auf Weiter.
10. Auf der Seite Fertigstellen des Assistenten können Sie auswählen, ob für die Verbindung
eine Verknüpfung auf dem Desktop erstellt werden soll. Klicken Sie anschließend auf Fertig
stellen.
Kurzanleitung zur PPTP-Lösung – Schritt 4: Testen der Verbindung
Sie können die Verbindung mit folgenden Schritten testen:

Überprüfen der Clientverbindung mit dem ISA Server-Computer

Überprüfen von ISA Server auf Verbindungsinformationen
Überprüfen der Clientverbindung mit dem ISA Server-Computer
Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt.
1.
Wählen Sie sich mit den Anmeldeinformationen in das Netzwerk ein, die Sie in den
vorhergehenden Schritten in diesem Dokument erstellt haben.
2.
Führen Sie den Ping-Befehl mit der IP-Adresse des HTTP-Servers aus.
3.
Gehen Sie im Browser zu einer Site auf dem HTTP-Server.
Überprüfen von ISA Server auf Verbindungsinformationen
1.
Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt.
2.
Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung.
3.
Überprüfen Sie im Detailbereich auf der Registerkarte Sitzungen, dass die VPNClientsitzung aufgeführt ist.
14 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
RAS mit L2TP – Kurzanleitung
Diese Anleitung umfasst die folgenden Vorgänge:

Konfigurieren von Benutzern und DHCP-Server

Einrichten der Zertifizierungsstelle

Konfigurieren von VPN auf ISA Server

Installieren eines Zertifikats auf dem Servercomputer

Installieren eines Zertifikats auf dem Clientcomputer

Konfigurieren der VPN-Clients

Testen der Verbindung
Kurzanleitung zu L2TP – Schritt 1: Konfigurieren von Benutzern und
DHCP-Server
Die Benutzer und der DHCP-Server können mit folgenden Schritten konfiguriert werden:

Erstellen von VPN-Clientgruppen und Benutzern auf dem Domänencontroller

Konfigurieren des DHCP-Servers und -Bereichs
Erstellen von VPN-Clientgruppen und Benutzern auf dem Domänencontroller
Als Erstes werden die VPN-Benutzer auf dem Domänencontrollercomputer erstellt. Dieser
Computer enthält die zum Authentifizieren von Remotebenutzern erforderlichen
Benutzergruppen- und Benutzerinformationen. In diesem Schritt wird auch eine neue
Benutzergruppe VPN-Clients erstellt, damit die VPN-Benutzer verwaltet werden können.
1.
Öffnen Sie die Computerverwaltung, indem Sie auf dem Desktop mit der rechten
Maustaste auf das Symbol Arbeitsplatz klicken und den Befehl Verwalten auswählen.
2.
Erweitern Sie Lokale Benutzer und Gruppen, klicken Sie mit der rechten Maustaste auf
Gruppen, und wählen Sie dann Neue Gruppe aus.
3.
Erstellen Sie im Dialogfeld Neue Gruppe eine neue Gruppe mit dem Namen VPN-Clients,
und klicken Sie auf Erstellen und dann auf Schließen.
4.
Klicken Sie in der Computerverwaltung auf Benutzer. Führen Sie für jeden Benutzer, dem
Sie Remote-VPN-Zugriff gewähren möchten, die folgenden Schritte durch:
a.
Doppelklicken Sie auf den gewünschten Benutzer, um dessen Eigenschaften
anzuzeigen.
b.
Klicken Sie auf der Registerkarte Mitgliedschaft auf Hinzufügen, geben Sie VPNClients an, und klicken Sie dann auf OK.
c.
Wählen Sie auf der Registerkarte Einwählen die Option Zugriff über RAS-Richtlinien
steuern aus, und klicken Sie dann auf OK.
Lösungen 15
Konfigurieren des DHCP-Servers und -Bereichs
Ein DHCP-Server weist VPN-Clients bei der Verbindungsaufnahme dynamisch IP-Adressen zu.
Dies ist die empfohlene Methode zum Zuweisen von IP-Adressen für VPN-Clients. Sie können
auch IP-Adressen aus einem statischen Adressenpool zur Verfügung stellen. Diese Methode
eignet sich beispielsweise dann, wenn Ihre internen Netzwerk-IP-Adressen statisch zugewiesen
werden.
Jeder Computer im internen Netzwerk, auf dem Windows Server 2003 oder Windows 2000
Server ausgeführt wird, kann als DHCP-Server fungieren. Die Anforderungen von VPN-Clients
werden durch den vorhandenen DHCP-Server des internen Netzwerks erfüllt. Wenn Sie über
keinen DHCP-Server verfügen, konfigurieren Sie einen Server mit den Verfahren in einem der
folgenden Artikel:

SO WIRD'S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer
Active Directory-Domäne in Windows Server 2003
(http://go.microsoft.com/fwlink/?LinkId=18606)

SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2003-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18607)

SO WIRD´S GEMACHT: Installieren und Konfigurieren eines DHCP-Servers in einer
Active Directory-Domäne unter Windows 2000
(http://go.microsoft.com/fwlink/?LinkId=18608)

SO WIRD'S GEMACHT: Installieren und Konfigurieren eines Windows 2000-DHCPServers in einer Arbeitsgruppe (http://go.microsoft.com/fwlink/?LinkId=18609)
16 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Anmerkungen
Wenn Sie einen DHCP-Server zur Adresszuweisung verwenden, wird beim
Herstellen einer Verbindung durch einen VPN-Client dessen Adresse
automatisch aus dem internen Netzwerk in das Netzwerk der VPN-Clients
verschoben (oder das Netzwerk der in Quarantäne befindlichen VPN-Clients,
falls der Quarantänemodus aktiviert und der Client in Quarantäne versetzt
wurde). Die Adresse wird wieder zurück in das interne Netzwerk verlagert,
sobald die Clientverbindung getrennt wird. Diese Adresszuweisung ist in der
ISA Server-Verwaltung nicht sichtbar.
Wenn Sie für die Adresszuweisung einen statischen Adresspool verwenden,
müssen die Adressen, die dem Pool zugewiesen werden sollen, zunächst
aus den anderen definierten Netzwerken entfernt werden, da sich IPAdressen in Netzwerken nicht überschneiden dürfen.
Sie müssen im statischen Adresspool eine IP-Adresse mehr als die erwartete
Anzahl an Remote-VPN-Verbindungen angeben. (Dies schließt
Remotestandortverbindungen sowie Verbindungen mobiler Clients ein.)
Der ISA Server-Computer fungiert für VPN-Clients als ARP-Proxy (Address
Resolution-Protokoll). Wenn beispielsweise dem VPN-Clientnetzwerk
zugewiesene Adressen Bestandteil des internen Netzwerksegments sind,
senden Computer des internen Netzwerks ARP-Anforderungen an VPNClients. Dabei ist unerheblich, ob die Adressen von einem statischen Pool
oder einem DHCP-Server zugewiesen wurden. ISA Server fängt diese
Abfragen ab und antwortet anstelle des verbundenen VPN-Clients.
Wenn Sie einen DHCP-Server zum Zuweisen von IP-Adressen im internen
Netzwerk verwenden, jedoch eine Gruppe von IP-Adressen aus dem internen
Netzwerk als statischen Pool für VPN-Clients zuweisen, müssen Sie den
DHCP-Server so konfigurieren, dass diese Adressen nicht anderweitig
zugewiesen werden.
Kurzanleitung zu L2TP – Schritt 2: Einrichten der
Zertifizierungsstelle
Sie benötigen eine Zertifizierungsstelle, um IPSec-Zertifikate (Internet Protocol Security)
auszustellen. Da die Zertifikate nur für den internen Gebrauch bestimmt sind (zur Verwendung
auf Ihren Servern und Ihren Remote-VPN-Clients), ist die Einrichtung einer lokalen
Zertifizierungsstelle zu empfehlen. Dieses Verfahren wird auf einem Computer innerhalb des
internen Netzwerks ausgeführt, auf dem Windows installiert ist. Für eine eigenständige
Stammzertifizierungsstelle kann jeder Computer des Netzwerks mit installiertem WindowsBetriebssystem verwendet werden. Eine Stammzertifizierungsstelle für das Unternehmen kann
nur auf einem Domänencontroller installiert werden.
Die Verwendung von L2TP über IPSec erfordert, dass von einer Zertifizierungsstelle IPSecZertifikate installiert werden. Deshalb müssen Sie auch Dienste installieren, mit denen Computer
die Zertifikate über eine Webseite abrufen können. Wenn Sie ein anderes Verfahren bevorzugen,
um Zertifikate für die Computer verfügbar zu machen, müssen Sie die im nachstehenden
Verfahren beschriebene Installation von IIS (Internet Information Services) und ASP (Active
Server Pages) nicht durchführen.
Lösungen 17
1.
Öffnen Sie die Systemsteuerung.
2.
Doppelklicken Sie auf Software.
3.
Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
4.
Doppelklicken Sie auf Anwendungsserver.
5.
Doppelklicken Sie auf Internetinformationsdienste (IIS).
6.
Doppelklicken Sie auf WWW-Dienst.
7.
Wählen Sie Active Server Pages aus.
8.
Klicken Sie auf OK, um das Dialogfeld WWW-Dienst zu schließen, klicken Sie auf OK,
um das Dialogfeld Internetinformationsdienste (IIS) zu schließen, und klicken Sie dann
auf OK, um das Dialogfeld Anwendungsserver zu schließen.
9.
Wählen Sie Zertifikatdienste aus. Überprüfen Sie die Warnung zu Computername und
Domänenmitgliedschaft. Klicken Sie im Warnungsdialogfeld auf Ja, wenn Sie fortfahren
möchten, und klicken Sie im Dialogfeld Windows-Komponenten auf Weiter.
10. Wählen Sie auf der Seite Zertifizierungsstellentyp eine der folgenden Optionen aus, und
klicken Sie auf Weiter:
Stammzertifizierungsstelle des Unternehmens. Eine Stammzertifizierungsstelle für das
Unternehmen kann nur auf einem Domänencontroller installiert werden. Die
Stammzertifizierungsstelle des Unternehmens gibt Zertifikate automatisch aus, wenn
diese von autorisierten Benutzern angefordert werden, die vom Domänencontroller
erkannt werden.
Eigenständige Stammzertifizierungsstelle. Eine eigenständige Stammzertifizierungsstelle
erfordert, dass jedes angeforderte Zertifikat durch den Administrator ausgegeben wird.
11. Geben Sie auf der Seite Informationen über die Zertifizierungsstelle einen allgemeinen
Namen für die Zertifizierungsstelle an, überprüfen Sie das Suffix des definierten Namens,
wählen Sie einen Gültigkeitszeitraum aus, und klicken Sie anschließend auf Weiter.
12. Überprüfen Sie auf der Seite Einstellungen der Zertifikatdatenbank die
Standardeinstellungen. Sie können die Speicherorte der Datenbank ändern. Klicken Sie auf
Weiter.
13. Überprüfen Sie die Zusammenfassung auf der Seite Fertigstellen des Assistenten, und
klicken Sie dann auf Fertig stellen.
Kurzanleitung zu L2TP – Schritt 3: Konfigurieren von VPN auf
ISA Server
Sie können jetzt die VPN-Einstellungen auf dem ISA Server-Computer mit folgenden Schritten
konfigurieren:

Aktivieren und Konfigurieren des VPN-Clientzugriffs

Erstellen einer VPN-Zugriffsregel
18 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004

Überprüfen der VPN-Netzwerkroutingregel
Aktivieren und Konfigurieren des VPN-Clientzugriffs
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Wählen Sie in der Konsolenstruktur Virtuelle Private Netzwerke (VPN) aus.
3.
Stellen Sie im Detailbereich sicher, dass die Registerkarte VPN-Clients ausgewählt ist.
4.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff
aktivieren. Hierdurch werden automatisch die erforderlichen Systemrichtlinienregeln für
den VPN-Clientzugriff aktiviert. Außerdem wird Routing und RAS für die VPNClientverbindung gestartet.
5.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff
konfigurieren, um das Dialogfeld Eigenschaften von VPN-Clients zu öffnen.
6.
Wählen Sie im Dialogfeld Eigenschaften von VPN-Clients auf der Registerkarte
Protokolle die Option L2TP/IPSec aktivieren aus. Sie können das Kontrollkästchen PPTP
aktivieren deaktivieren, um nur L2TP-Verbindungen mit IPSec zuzulassen.
7.
Legen Sie auf der Registerkarte Allgemein die maximale Anzahl der zugelassenen VPNClients fest.
8.
Klicken Sie auf der Registerkarte Gruppen auf Hinzufügen. Fügen Sie die Gruppe VPNClients hinzu, die Sie in Schritt 1 erstellt haben, und klicken Sie dann auf OK. Klicken Sie
auf OK, um das Dialogfeld Eigenschaften von VPN-Clients zu schließen.
Anmerkung
Die in Windows enthaltenen Benutzergruppen können nicht als VPNBenutzer hinzugefügt werden. Vordefinierte Domänengruppen können
hingegen verwendet werden (selbst wenn es sich beim ISA Server-Computer
gleichzeitig um den Domänencontroller handelt).
9.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Adresszuweisung
konfigurieren, um auf der Registerkarte Adresszuweisung das Dialogfeld Eigenschaften
von Virtuelle private Netzwerke (VPN) zu öffnen. Wählen Sie Dynamic Host
Configuration-Protokoll (DHCP) aus. Wählen Sie im Dropdownmenü unter Folgendes
Netzwerk für DHCP-, DNS- und WINS-Dienste verwenden die Option Intern aus, und
klicken Sie auf OK, um anzugeben, dass sich der DHCP-Server im internen Netzwerk
befindet. Möglicherweise werden Sie dazu aufgefordert, den Computer neu zu starten.
Tipp
Damit Sie DHCP zum Zuweisen von IP-Adressen an VPN-Clients verwenden
können, muss sich ein DHCP-Server aus Sicht des ISA Server-Computers
innerhalb des internen Netzwerks befinden, wie in der folgenden Abbildung
dargestellt.
Lösungen 19
Andernfalls muss ein Router speziell dafür konfiguriert sein, DHCPAnforderungen an einen DHCP-Server hinter dem Router weiterzuleiten.
Wenn Sie keinen DHCP-Server einrichten oder einen Router zur
Weiterleitung der DHCP-Anforderungen konfigurieren möchten, wählen Sie in
diesem Schritt Statischer Adresspool und nicht Dynamic Host ConfigurationProtokoll (DHCP). Klicken Sie dann auf Hinzufügen, um dem statischen
Adresspool IP-Adressbereiche hinzuzufügen. Beachten Sie, dass IP-Adressen
im statischen Adresspool nicht im internen Netzwerk vergeben sein dürfen.
Entfernen Sie gegebenenfalls Adressen im internen Netzwerk, damit sie dem
statischen Adresspool hinzugefügt werden können.
Erweitern Sie zum Entfernen von IP-Adressen aus dem internen Netzwerk in
der ISA Server-Konsole den Knoten Konfiguration, und klicken Sie dann auf
Netzwerke. Doppelklicken Sie im Detailbereich auf der Registerkarte
Netzwerke auf das interne Netzwerk. Wählen Sie auf der Registerkarte
Adressen einen Bereich von IP-Adressen aus, und klicken Sie dann auf
Entfernen, um diesen Bereich zu entfernen.
10. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die Änderungen zu
übernehmen.
Wichtig
Möglicherweise müssen Sie nach der Änderung der VPN-Konfiguration den
ISA Server-Computer neu starten. Um zu überprüfen, ob ein Neustart
erforderlich ist, erweitern Sie in der ISA Server-Verwaltung den Knoten des
ISA Server-Computers, und klicken Sie auf Überwachung. Suchen Sie im
Detailbereich auf der Registerkarte Alarme nach dem Alarm Ein Neustart
des ISA Server-Computers ist erforderlich. Die Beschreibung zu diesem
Alarm lautet Änderungen der VPN-Konfiguration erfordern einen Neustart
des Computers. Wenn dieser Alarm angezeigt wird, müssen Sie den ISA
Server-Computer neu starten.
Erstellen einer VPN-Zugriffsregel
Erstellen Sie mit den Eigenschaften aus folgender Tabelle eine neue Zugriffsregel. Mit dieser
Regel wird der Zugriff vom VPN-Clientnetzwerk auf das interne Netzwerk über alle Protokolle
gewährleistet. Anleitungen zum Erstellen einer neuen Zugriffsregel finden Sie in diesem
Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln. Wenn Sie die
20 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
neue Zugriffsregel erstellt haben, klicken Sie im Detailbereich von ISA Server auf Übernehmen,
um die neue Zugriffsregel anzuwenden. Einige Eigenschaften können nicht im Assistenten
festgelegt werden. Zum Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie
doppelklicken Sie auf die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen.
Registerkarte
Eigenschaft
Einstellung
Allgemein
Name
Geben Sie einen Namen an: VPNClientzugriff.
Allgemein
Beschreibung
Geben Sie eine Beschreibung an:
Zugriff vom VPN-Clientnetzwerk auf das
interne Netzwerk zulassen
Allgemein
Aktivieren
Wählen Sie Aktivieren.
Aktion
Zulassen
Verweigern
Wählen Sie Zulassen.
Aktion
HTTP-Anforderungen an diese
Webseite umleiten
Optional Wenn ausgewählt, geben Sie
eine Webseitenadresse an.
Aktion
Anforderungen protokollieren,
die mit dieser Regel
übereinstimmen
Aktivieren Sie dieses Kontrollkästchen,
wenn ISA Server Anforderungen
protokollieren soll, die den
Regelbedingungen entsprechen.
Protokolle
Regel wird angewendet für
Wählen Sie Gesamten ausgehenden
Datenverkehr aus.
Von
Diese Regel betrifft
Datenverkehr von diesen
Quellen
Wählen Sie VPN-Clients aus.
Von
Gilt nicht für Anforderungen
von
Keine
An
Diese Regel betrifft
Datenverkehr, der an diese
Ziele gesendet wird
Geben Sie Internes Netzwerk an.
An
Gilt nicht für Anforderungen
von
Keine
Benutzer
Diese Regel betrifft
Anforderungen von folgenden
Benutzersätzen
Wählen Sie Alle Benutzer aus.
Benutzer
Gilt nicht für Anforderungen
von
Keine
Zeitplan
Zeitplan
Wählen Sie Immer aus.
Inhaltstypen
Alle Inhaltstypen
Ausgewählte Inhaltstypen
Wählen Sie Alle Inhaltstypen aus.
Lösungen 21
Anmerkungen
Sie können den VPN-Clientzugriff auf bestimmte Protokolle einschränken,
wenn Sie auf der Registerkarte Protokolle die Option Ausgewählte Protokolle
auswählen und die Protokolle im Dialogfeld Protokolle hinzufügen
auswählen.
Wenn Sie hinsichtlich der Firewallrichtlinien das VPN-Clientnetzwerk und das
interne Netzwerk als identisch betrachten, ist das Erstellen einer
Zugriffsregel zu empfehlen, die jeden Datenverkehr vom internen Netzwerk
zum VPN-Clientnetzwerk zulässt.
Wenn ISA Server als VPN-Server konfiguriert ist und für Firewallclients als
Firewallserver fungiert, nutzen VPN-Clientcomputer mit installiertem
Firewallclient den Port 1745 der ISA Server-Netzwerkschnittstelle für das
interne Netzwerk. Wenn ISA Server als VPN-Server konfiguriert ist und für
Webproxyclients als Proxyserver fungiert, nutzen VPN-Clientcomputer, die
ISA Server als Proxy verwenden, analog den Port 8080 der ISA ServerNetzwerkschnittstelle für das interne Netzwerk. Beim Festlegen einer Regel,
die den Zugriff aus VPN-Clientnetzwerken auf das interne Netzwerk zulässt,
wird standardmäßig der Zugriff auf alle Ports freigegeben. Wenn Sie jedoch
die freigegebenen Ports beschränken, muss für diese Szenarien der Zugriff
auf Port 1745 und auf Port 8080 erhalten bleiben.
Überprüfen der VPN-Netzwerkroutingregel
Wenn Sie ISA Server installieren, wird eine Standardnetzwerkregel erstellt, mit der ein
Routingverhältnis zwischen dem internen Netzwerk und den zwei VPN-Clientnetzwerken (VPNClients und Quarantänen-VPN-Clients) eingerichtet wird. Zum Anzeigen dieser Regel erweitern
Sie den Knoten Konfiguration und klicken auf Netzwerke. Im Detailbereich wird auf der
Registerkarte Netzwerkregeln die Regel VPN-Clients zum internen Netzwerk aufgelistet.
Weitere Informationen zum Verhältnis zwischen dem VPN-Clientnetzwerk und dem internen
Netzwerk finden Sie in diesem Dokument in Anhang C: Netzwerkverhältnisse.
Kurzanleitung zu L2TP – Schritt 4: Installieren eines Zertifikats auf
dem Servercomputer
Dieses Verfahren wird auf dem ISA Server-Computer mit folgenden Schritten durchgeführt:

Erstellen einer Zugriffsregel vom ISA Server-Computer auf das interne Netzwerk

Installieren der Zertifikate auf dem ISA Server-Computer
Erstellen einer Zugriffsregel vom ISA Server-Computer auf das interne Netzwerk
Damit der ISA Server-Computer auf die Zertifizierungsstelle zugreifen kann, müssen Sie eine
Zugriffsregel erstellen. ISA Server benötigt diese Zugriffsregel, um seine Zertifikate zu erhalten.
1.
Erstellen Sie ein neues Computerobjekt, das den Computer mit der Zertifizierungsstelle
darstellt. Dieses Computerobjekt wird zum Erstellen der Zugriffsregel verwendet. Folgen Sie
den Anweisungen in diesem Dokument in Anhang A: Erstellen von Regelelementen.
22 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
2.
Erstellen Sie mit den Eigenschaften aus folgender Tabelle eine neue Zugriffsregel. Mit
dieser Regel wird der Zugriff vom ISA Server-Computer auf das interne Netzwerk über das
HTTP-Protokoll gewährleistet. Anleitungen zum Erstellen einer neuen Zugriffsregel finden
Sie in diesem Dokument unter Anhang B: Verwenden des Assistenten für neue
Zugriffsregeln. Einige Eigenschaften können nicht im Assistenten festgelegt werden. Zum
Festlegen dieser Eigenschaften im Detailbereich der Firewallrichtlinie doppelklicken Sie auf
die Regel, um das Dialogfeld für die Regeleigenschaften zu öffnen.
Registerkarte
Eigenschaft
Einstellung
Allgemein
Name
Geben Sie einen Namen an:
Zugriff des ISA ServerComputers auf das interne
Netzwerk
Allgemein
Beschreibung
Geben Sie eine Beschreibung
an: Zugriff vom ISA ServerComputer auf die
Zertifizierungsstelle im internen
Netzwerk zulassen
Allgemein
Aktivieren
Wählen Sie Aktivieren.
Aktion
Zulassen
Verweigern
Wählen Sie Zulassen.
Aktion
HTTP-Anforderungen an diese
Webseite umleiten
Optional Wählen Sie dies nicht
aus.
Aktion
Anforderungen protokollieren,
die mit dieser Regel
übereinstimmen
Aktivieren Sie dieses
Kontrollkästchen, wenn ISA
Server Anforderungen
protokollieren soll, die den
Regelbedingungen
entsprechen.
Protokolle
Regel wird angewendet für
Wählen Sie Ausgewählte
Protokolle aus, und fügen Sie
HTTP hinzu.
Von
Diese Regel betrifft
Datenverkehr von diesen
Quellen
Wählen Sie Lokaler Host
(ISA Server-Computer).
Von
Gilt nicht für Anforderungen
von
Keine
An
Diese Regel betrifft
Datenverkehr, der an diese
Ziele gesendet wird
Geben Sie das Computerobjekt
an, das die Zertifizierungsstelle
im internen Netzwerk darstellt.
An
Gilt nicht für Anforderungen
von
Keine
Lösungen 23
Registerkarte
3.
Eigenschaft
Einstellung
Benutzer
Diese Regel betrifft
Anforderungen von folgenden
Benutzersätzen
Wählen Sie Alle Benutzer aus.
Benutzer
Gilt nicht für Anforderungen
von
Keine
Zeitplan
Zeitplan
Wählen Sie Immer aus.
Inhaltstypen
Alle Inhaltstypen
Ausgewählte Inhaltstypen
Wählen Sie Alle Inhaltstypen
aus.
Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel
zu übernehmen.
Installieren der Zertifikate auf dem ISA Server-Computer
Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt. Wenn Sie keine
Stammzertifizierungsstelle für das Unternehmen, sondern eine eigenständige
Stammzertifizierungsstelle installiert haben, müssen auch für die Zertifizierungsstelle Aktionen
durchgeführt werden.
1.
Öffnen Sie Internet Explorer.
2.
Wählen Sie im Menü Extras den Befehl Internetoptionen aus.
3.
Wählen Sie die Registerkarte Sicherheit aus, und klicken Sie auf Stufe anpassen, um das
Dialogfeld Sicherheitseinstellungen zu öffnen. Wählen Sie im Dropdownmenü unter
Benutzerdefinierte Einstellungen zurücksetzen die Option Mittel aus. Die
Zertifikatinstallation ist nicht möglich, wenn dieser Wert auf Hoch eingestellt ist.
4.
Navigieren Sie zu folgendem URL: http://IP-Adresse des
Zertifizierungsstellenservers/certsrv.
5.
Fordern Sie ein Zertifikat an. Dies ist das Zertifikat für den ISA Server-Computer.
6.
Wählen Sie Erweiterte Zertifikatanforderung aus.
7.
Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen
aus.
8.
Geben Sie Ihre Informationen ein, und wählen Sie in der Dropdownliste Typ die Option
IPSec-Zertifikat aus.
9.
Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren aus, und senden Sie die
Anforderung ab, indem Sie auf Übermitteln klicken. Überprüfen Sie das angezeigte
Warnungsdialogfeld, und klicken Sie dann auf Ja.
10. Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf
dem Zertifizierungsstellen-Computer die folgenden Schritte durch. Bei einer
Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch
durchgeführt.
24 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
a.
Wechseln Sie zum Snap-In Zertifizierungsstelle der Microsoft Management Console
(MMC). Klicken Sie hierzu auf Start, zeigen Sie auf Alle Programme, klicken Sie auf
Verwaltung und dann auf Zertifizierungsstelle.
b.
Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten
Maustaste auf Ihre Anforderung, und wählen Sie alle Alle Tasks und Ausstellen aus.
11. Wechseln Sie auf dem ISA Server-Computer zurück zur Webseite http://interne IP-Adresse
des Firewallservers/certsrv, und klicken Sie auf Status ausstehender
Zertifikatanforderungen anzeigen.
12. Klicken Sie auf Ihre Anforderung, und wählen Sie Dieses Zertifikat installieren aus.
13. Wechseln Sie zurück zur Webseite http://IP-Adresse des
Zertifizierungsstellenservers/certsrv, und klicken Sie auf Download des
Zertifizierungsstellenzertifikats. Hierbei handelt es sich um das vertrauenswürdige
Stammzertifikat, das auf dem ISA Server-Computer installiert werden muss.
14. Klicken Sie auf Diese Zertifizierungsstellen-Zertifikatkette installieren, und bestätigen
Sie die Installation.
15. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde. Öffnen Sie die MMC,
und wechseln Sie zum Snap-In Zertifikate. Öffnen Sie Zertifikate (Lokaler Computer),
und doppelklicken Sie auf das Zertifikat. Auf der Registerkarte Allgemein sollte der
folgende Hinweis angezeigt werden: Sie besitzen einen privaten Schlüssel für dieses
Zertifikat. Auf der Registerkarte Zertifizierungspfad sollte ein hierarchisches Verhältnis
zwischen Ihrem Zertifikat und dem Stammzertifikat sowie der Hinweis Dieses Zertifikat ist
gültig angezeigt werden.
Kurzanleitung zu L2TP – Schritt 5: Installieren eines Zertifikats auf
dem Clientcomputer
Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. Für dieses Verfahren wird
davon ausgegangen, dass der Clientcomputer eine Verbindung mit dem internen Netzwerk hat,
um das Zertifikat zu erhalten. Wenn Sie eine eigenständige Stammzertifizierungsstelle und keine
Stammzertifizierungsstelle des Unternehmens installiert haben, müssen auch Aktionen für die
Zertifizierungsstelle ausgeführt werden.
1.
Öffnen Sie den Internet Explorer, und wechseln Sie zu http://IP-Adresse des
Zertifizierungsstellen-Servers/certsrv.
2.
Fordern Sie ein Zertifikat an.
3.
Wählen Sie Erweiterte Zertifikatanforderung aus.
4.
Wählen Sie Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen
aus.
5.
Geben Sie Ihre Informationen ein, und wählen Sie in der Dropdownliste Typ die Option
IPSec-Zertifikat aus.
Lösungen 25
6.
Wählen Sie Zertifikat in lokalem Zertifikatspeicher aufbewahren aus, und senden Sie die
Anforderung ab, indem Sie auf Übermitteln klicken. Überprüfen Sie das angezeigte
Warnungsdialogfeld, und klicken Sie dann auf Ja.
7.
Wenn Sie eine eigenständige Stammzertifizierungsstelle installiert haben, führen Sie auf
dem Zertifizierungsstellen-Computer die folgenden Schritte durch. Bei einer
Stammzertifizierungsstelle des Unternehmens werden diese Schritte automatisch
durchgeführt.
a.
Wechseln Sie zum Snap-In Zertifizierungsstelle in der Microsoft Management Console
(MMC) (über Verwaltung).
b.
Klicken Sie auf den Knoten Ausstehende Anforderungen, klicken Sie mit der rechten
Maustaste auf Ihre Anforderung, und wählen Sie alle Alle Tasks und Ausstellen aus.
8.
Wechseln Sie auf dem Clientcomputer zurück zur Webseite http://IP-Adresse des
Zertifizierungsstellen-Servers/certsrv, und klicken Sie auf Status ausstehender
Zertifikatanforderungen anzeigen.
9.
Klicken Sie auf Ihre Anforderung, und wählen Sie Dieses Zertifikat installieren aus.
10. Wechseln Sie zurück zur Webseite http://IP-Adresse des
Zertifizierungsstellenservers/certsrv, und klicken Sie auf Download des
Zertifizierungsstellenzertifikats. Speichern Sie die Datei auf Ihrem Desktop. Beachten Sie,
dass Sie ein Zertifizierungsstellenzertifikat nicht installieren können, indem Sie es
ausführen.
11. Klicken Sie auf Start und dann auf Ausführen, geben Sie MMC ein, und drücken Sie die
EINGABETASTE.
12. Klicken Sie auf Konsole und dann auf Snap-In hinzufügen/entfernen.
13. Klicken Sie auf Hinzufügen, und wählen Sie dann aus der Liste Zertifikate aus.
14. Klicken Sie auf Computerkonto, klicken Sie auf Weiter und dann auf Fertig stellen.
15. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstelle,
und wählen Sie Alle Tasks/Importieren.
16. Suchen Sie die gespeicherte Zertifikatdatei (auf Ihrem Desktop), und importieren Sie sie.
Kurzanleitung zu L2TP – Schritt 6: Konfigurieren der VPN-Clients
Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt. Dieses Verfahren bezieht
sich auf die Features von Windows XP. Es werden jedoch auch andere Clients unterstützt.
1.
Klicken Sie auf Start, zeigen Sie auf Alle Programme, dann auf Zubehör und
Kommunikation, klicken Sie auf Assistent für neue Verbindungen, und klicken Sie
anschließend auf Weiter.
2.
Wählen Sie unter Netzwerkverbindungstyp die Option Verbindung mit dem Netzwerk
am Arbeitsplatz herstellen aus, und klicken Sie dann auf Weiter.
3.
Wählen Sie auf der Seite Netzwerkverbindung die Option VPN-Verbindung aus, und
klicken Sie auf Weiter.
26 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
4.
Geben Sie auf der Seite Verbindungsname einen Namen für die neue Verbindung ein (z. B.
VPN-Verbindung), und klicken Sie auf Weiter.
5.
Wählen Sie auf der Seite Öffentliches Netzwerk aus, ob Windows die Verbindung
automatisch herstellen und welche Verbindung gewählt werden soll. Klicken Sie dann auf
Weiter.
6.
Geben Sie auf der Seite VPN-Serverauswahl die externe IP-Adresse des ISA ServerComputers ein. Dabei handelt es sich um die Adresse der Netzwerkkarte, mit der der
ISA Server-Computer mit dem Internet verbunden ist (auch externes Netzwerk genannt).
Klicken Sie auf Weiter.
7.
Wählen Sie auf der Seite Verfügbarkeit der Verbindung die Option Eigene Verwendung
aus, um sicherzustellen, dass der VPN-Zugriff nur dann verfügbar ist, wenn Sie am
Computer angemeldet sind. Klicken Sie auf Weiter.
8.
Auf der Seite Fertigstellen des Assistenten können Sie auswählen, ob für die Verbindung
eine Verknüpfung auf dem Desktop erstellt werden soll. Klicken Sie anschließend auf Fertig
stellen.
Kurzanleitung zu L2TP – Schritt 7: Testen der Verbindung
Sie können die Verbindung mit folgenden Schritten testen:

Überprüfen der Clientverbindung mit dem ISA Server-Computer

Überprüfen von ISA Server auf Verbindungsinformationen
Überprüfen der Clientverbindung mit dem ISA Server-Computer
Dieses Verfahren wird auf dem VPN-Clientcomputer durchgeführt.
1.
Wählen Sie den L2TP-DFÜ-Eintrag mit den Anmeldeinformationen, die Sie im
vorhergehenden Schritt erstellt haben.
2.
Führen Sie den Ping-Befehl mit der IP-Adresse des HTTP-Servers aus.
3.
Gehen Sie im Browser zu einer Site auf dem HTTP-Server.
Überprüfen von ISA Server auf Verbindungsinformationen
Dieses Verfahren wird auf dem ISA Server-Computer durchgeführt.
1.
Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung.
2.
Überprüfen Sie auf der Registerkarte Sitzungen, dass die VPN-Clientsitzung aufgeführt ist.
Die VPN-Clientsitzung verfügt über die folgenden Eigenschaften:

Sitzungstyp zeigt den VPN-Client an.

Clienthostname zeigt die öffentliche IP-Adresse des VPN-Clientcomputers an. Unter
Client-IP wird die der VPN-Sitzung zugewiesene IP-Adresse angezeigt.
Lösungen 27

Unter Anwendungsname wird das für die Verbindung verwendete Protokoll sowie eine
Kennung angezeigt, dass es sich um eine VPN-Verbindung handelt. Die Spalte
Anwendungsname wird standardmäßig nicht angezeigt. Klicken Sie auf der
Registerkarte Sitzungen mit der rechten Maustaste auf eine der Spaltenüberschriften,
und wählen Sie Anwendungsname aus, um diesen hinzuzufügen.
Sie können einen Sitzungsfilter erstellen, damit nur die VPN-Clientsitzungen angezeigt werden.
Gehen Sie folgendermaßen vor, um einen Filter zu erstellen.
1.
Klicken Sie in der Konsolenstruktur von ISA Server auf Überwachung, und wählen Sie die
Registerkarte Sitzungen aus.
2.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten, um
das Dialogfeld Filter bearbeiten zu öffnen.
3.
Wählen Sie im Dialogfeld Filter bearbeiten unter Filtern nach die Option Sitzungstyp
aus. Wählen Sie unter Bedingung die Option Gleich und unter Wert die Option VPNClient.
4.
Klicken Sie auf Zur Liste hinzufügen und dann auf Abfrage starten. Sie müssen auf
Abfrage starten klicken, um den Filter zu speichern.
Quarantänesteuerung – Verfahren
Die Quarantänesteuerung ist eine Option, mit der Sie die Einhaltung der
Sicherheitsanforderungen Ihres Unternehmens durch VPN-Clients überwachen können. Beachten
Sie, dass bei deaktiviertem Quarantänemodus alle Remote-VPN-Clients mit entsprechenden
Authentifizierungsberechtigungen in das VPN-Clientnetzwerk gelangen und dort über die
Zugriffsrechte verfügen, die in den Firewallrichtlinien des VPN-Clientnetzwerks zugelassen
wurden.
Anmerkung
Die Quarantänesteuerung ist ein Verwaltungstool, mit dem Sie sicherstellen
können, dass die Clients Ihren Richtlinien entsprechen. Es handelt sich nicht
um eine Sicherheitsfunktion. Die Quarantänesteuerung bietet keine
Verschlüsselungs- oder Authentifizierungsmechanismen.
Bei der ISA Server-Quarantänesteuerung wird über Routing und RAS der Zugriff von VPNClients auf Firmennetzwerke eingeschränkt. Mit ISA Server können Sie veranlassen, dass ein
VPN-Client beim erstmaligen Herstellen einer Verbindung dem VPN-Clientnetzwerk in
Quarantäne zugeordnet wird. Er unterliegt dann Einschränkungen gemäß den Firewallrichtlinien,
bis über den Verbindungs-Manager des Clients festgestellt wird, dass dieser sich in
Übereinstimmung mit den für die Verbindung geltenden Unternehmensrichtlinien befindet.
Die Quarantänesteuerung beruht auf dem für VPN-Clients erstellten Verbindungs-ManagerProfil. Die Profile des Verbindungs-Managers können mithilfe des Verbindungs-ManagerVerwaltungskits (CMAK) erstellt werden, das in Windows Server 2003 und Windows 2000
Server enthalten ist. Das Verbindungs-Manager-Protokoll enthält folgende Elemente:
28 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004

Eine Aktion nach dem Herstellen der Verbindung, in der ein Skript für
Netzwerkrichtlinienanforderungen ausgeführt wird. Dieses wird beim Erstellen der Profile
des Verbindungs-Managers mit dem Verbindungs-Manager-Verwaltungskit konfiguriert.

Ein Skript für Netzwerkrichtlinienanforderungen, mit dem die Übereinstimmung des RASClientcomputers mit den Netzwerkrichtlinien überprüft wird. Bei diesem Skript kann es sich
um eine benutzerdefinierte ausführbare Datei oder eine einfache Befehlsdatei (Batchdatei)
handeln. Wenn das Skript erfolgreich ausgeführt wurde und der angeschlossene Computer
alle Anforderungen der Netzwerkrichtlinien erfüllt (durch das Skript bestätigt), wird die
Ausführung einer ausführbaren Benachrichtigungskomponente mit den entsprechenden
Parametern veranlasst. Wenn das Skript nicht erfolgreich ausgeführt werden kann, sollte es
den RAS-Benutzer zu einer Quarantäne-Ressource umleiten. Das kann beispielsweise eine
interne Webseite sein, auf der die Installation der für die Erfüllung der Netzwerkrichtlinien
erforderlichen Komponenten beschrieben wird.

Eine Benachrichtigungskomponente, die eine Nachricht über die erfolgreiche Ausführung
des Skripts an den Quarantäne-kompatiblen ISA Server-Computer sendet. Sie können eine
eigene Benachrichtigungskomponente oder Rqc.exe verwenden. Rqc.exe ist im
ISA Server 2004 Resource Kit in der ausführbaren Datei RQSUtils enthalten.
Nach dem Installieren dieser Komponenten werden vom RAS-Clientcomputer unter Verwendung
des Verbindungs-Manager-Profils Tests zur Erfüllung der Netzwerkrichtlinien durchgeführt und
der erfolgreiche Abschluss als Teil des Verbindungsaufbaus an den ISA Server-Computer
gemeldet.
Aktivieren der Quarantäne mit ISA Server
Sie können ISA Server verwenden, um bestimmte Optionen für Remote-VPN-Clients im
Quarantänemodus zu verarbeiten. Wenn ein Client eine VPN-Verbindung herstellt, wird der
Client in einem Quarantänen-VPN-Clientsnetzwerk platziert. Sie können bestimmte Richtlinien
für Clients in diesem Netzwerk anwenden, mit denen der Clientzugriff auf Ressourcen im
Quarantänen-VPN-Clientsnetzwerk gesteuert wird.
Bei der Konfiguration der Quarantäne für ISA Server können Sie Folgendes festlegen:

Zeitlimit. Hierbei handelt es sich um die Zeitdauer, die ein Client, der eine VPNVerbindung herstellt, im Quarantänemodus verbleiben darf. Der Client wird nach Ablauf der
Zeit getrennt, wenn er nicht aus dem Quarantänemodus entfernt wurde (und im VPNClientnetzwerk platziert wurde).

Liste der Ausnahmen. Sie können eine Liste der RADIUS- (Remote Authentication Dial-In
User Service) oder Windows-Benutzer angeben, für die die Quarantäne nicht zutrifft. Die
Benutzer in dieser Liste gelangen automatisch in das VPN-Clientnetzwerk.
Wenn Sie ISA Server unter Windows Server 2003 ausführen, können Sie die Quarantäne
aktivieren, indem Sie die RADIUS- oder ISA Server-Richtlinie verwenden. Wenn Sie
ISA Server unter Windows 2000 Server ausführen, können Sie die Quarantäne mit der
ISA Server-Richtlinie aktivieren. Die RADIUS-Quarantänenrichtlinie wird von Windows 2000
Server nicht unterstützt.
Lösungen 29
Auswahl der RADIUS-Quarantänenrichtlinie oder der ISA Server-Richtlinie
Die RADIUS-Quarantänenrichtlinie bietet die folgenden Funktionen:

Ein durch den Administrator festgelegtes Sitzungszeitlimit, durch das ein Client nach einer
gewissen Zeit getrennt wird, wenn er nicht mit den unternehmenseigenen
Verbindungsanforderungen im Einklang steht. Diese Funktion wird auch von der
ISA Server-Richtlinie unterstützt.

Einen Quarantänen-IP-Filter, der nur bestimmte Pakete von den Quarantänen-VPN-Clients
durchlässt. Diese RADIUS-Funktion ist in der ISA Server-Umgebung nicht sinnvoll, da
ISA Server die Pakete bereits filtert, bevor sie die Quarantänen-IP-Filter erreichen. Aus
diesem Grund müssen die Filter für Benutzer in Quarantäne mithilfe des Netzwerks
Quarantänen-VPN-Clients in der ISA Server-Richtlinie angewendet werden.
Es wird empfohlen, die RADIUS-Quarantänerichtlinie zu verwenden. Verwenden Sie die ISA
Server-Richtlinie nur, wenn kein RADIUS-Server verfügbar ist oder wenn ISA Server auf einem
Server unter Windows 2000 ausgeführt wird.
Weitere Informationen zur RADIUS-Quarantänenrichtlinie finden Sie im Dokument Network
Access Quarantine Control in Windows Server 2003
(http://go.microsoft.com/fwlink/?LinkId=20173).
Anmerkung
Wenn Sie mehrere Zweigniederlassungen haben, in denen jeweils eine
ISA Server 2004 Standard Edition ausgeführt wird, sollten Sie die
Quarantänensteuerung mit der RADIUS-Richtlinie verwenden, damit die
Quarantänensteuerung zentral auf einem RADIUS-Server für alle
Niederlassungen ausgeführt werden kann.
Quarantäneanforderungen
In diesem Abschnitt werden die erforderlichen Voraussetzungen zum Ausführen der ISA ServerQuarantänesteuerung beschrieben.
ISA Server-Computer
Ein quarantänefähiger ISA Server-Computer enthält folgende Komponenten:

Ein Computer mit einem Betriebssystem der Windows Server 2003- oder Windows 2000
Server-Produktfamilie (wird benötigt, wenn Sie anstelle der ISA Server-Richtlinie die
RADIUS-Quarantänerichtlinie implementieren möchten) und ISA Server

Eine Listenerkomponente. Diese Komponente hört Meldungen von quarantänefähigen RASClients ab, mit denen angegeben wird, dass die entsprechenden Skripts erfolgreich
ausgeführt wurden. Sie können eine eigene benutzerdefinierte Listenerkomponente erstellen
(passend zu Ihrer benutzerdefinierten Benachrichtigungskomponente) oder den Dienst RASQuarantäne-Agent (Rqs.exe) aus der ausführbaren Datei RQSUtils des ISA Server 2004
Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) installieren.
30 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Wenn Sie eine eigene Listenerkomponente erstellen, muss diese Komponente Meldungen von
der Benachrichtigungskomponente abhören können und die API-Funktion (Application
Programming Interface) verwenden, die unter MprAdminConnectionRemoveQuarantine()
(http://go.microsoft.com/fwlink/?LinkId=20172) beschrieben ist, um die
Quarantänebeschränkungen von der RAS-Verbindung zu entfernen. Beachten Sie, dass die APIFunktion nicht wie in der API-Dokumentation angegeben die Funktionsbibliothek Mprapi.dll
sondern Vpnplgin.dll (im ISA Server-Installationsverzeichnis) aufrufen muss. Der
Funktionsaufruf wird dann von ISA Server an Routing und RAS weitergeleitet.
Nach der Installation dieser Komponenten kann der ISA Server-Computer im Quarantänemodus
Verbindungen zu RAS-Clients herstellen und Benachrichtigungsmeldungen abhören, durch die
angegeben wird, dass die Clients die Anforderungen der Netzwerkrichtlinien erfüllt haben und
aus dem Quarantänen-VPN-Clientnetzwerk in das VPN-Clientnetzwerk aufgenommen werden
können.
Bei Verwendung der Dateien Rqc.exe (Benachrichtigungskomponente von ISA Server 2004
Resource Kit) und Rqs.exe enthält die von Rqc.exe gesendete Benachrichtigungsmeldung eine
Textzeichenfolge zur Angabe der Version des ausgeführten Quarantäneskripts. Diese
Zeichenfolge ist für Rqc.exe als Teil der Befehlszeilenparameter konfiguriert, die aus dem
Quarantäneskript übergeben werden. Rqs.exe vergleicht diese Zeichenfolge mit einer Gruppe
von Zeichenfolgen, die in der Registrierung des ISA Server-Computers gespeichert sind. Wenn
eine Übereinstimmung festgestellt wird, werden die Quarantänebedingungen von der Verbindung
entfernt. Mit dem Skript ConfigureRQSForISA.vbs aus der ausführbaren Datei RQSUtils des
ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) kann RQS (die
Listenerkomponente) installiert werden. Weitere Informationen hierzu finden Sie in diesem
Dokument unter Konfigurieren der Quarantänesteuerung.
Anmerkung
Die von Rqc.exe gesendete Benachrichtigung wird nicht verschlüsselt oder
authentifiziert und kann vom Client eines Eindringlings gefälscht werden.
RRAS kann mit dem Windows- oder RADIUS-Authentifizierungsanbieter konfiguriert werden.
Quarantänefähiger RADIUS-Server (optional)
Wenn Routing und RAS auf dem ISA Server-Computer mit dem RADIUSAuthentifizierungsanbieter konfiguriert wurde, ist für einen quarantänefähigen RADIUS-Server
ein Computer mit Windows Server 2003 und IAS (Internet Authentication Service) erforderlich,
der die Konfiguration der herstellerspezifischen RADIUS-Attribute MS-Quarantine-IPFilter
und MS-Quarantine-Session-Timeout unterstützt. Das Attribut MS-Quarantine-IPFilter
betrifft die Quarantänefilter. Das Attribut MS-Quarantine-Session-Timeout ist hingegen für
den Quarantänesitzungszeitgeber bestimmt.
Quarantäneressourcen
Quarantäneressourcen bestehen aus Servern, auf die ein im Quarantänemodus befindlicher RASClient zugreifen kann, um die Namensauflösung durchzuführen (z. B. DNS-Server), die neueste
Version des Verbindungs-Manager-Profils abzurufen (Dateiserver mit zugelassenem anonymen
Zugriff) oder auf Anweisungen und Komponenten zuzugreifen, die zum Einhalten der
Lösungen 31
Netzwerkrichtlinien durch den RAS-Client erforderlich sind (Webserver mit zugelassenem
anonymen Zugriff). Anonymer Zugriff auf Datei- und Webressourcen ist erforderlich, da RASBenutzer unter Umständen zwar über die richtigen Anmeldeinformationen zum Erstellen der
RAS-Verbindung verfügen, jedoch möglicherweise nicht die korrekten
Domänenanmeldeinformationen zum Zugriff auf geschützte Datei- und Webressourcen
verwenden.
Funktionsweise der ISA Server-Quarantänesteuerung
Im folgenden Abschnitt wird die Funktionsweise der ISA Server-Quarantänesteuerung bei
Verwendung von Rqc.exe, Rqs.exe und der ISA Server-Richtlinie beschrieben:
1.
Der Benutzer am quarantänefähigen RAS-Client verwendet das installierte VerbindungsManager-Quarantäneprofil, um die Verbindung mit dem quarantänefähigen ISA ServerComputer herzustellen.
2.
Der RAS-Client überträgt seine Authentifizierungsinformationen an den ISA ServerComputer.
3.
Der ISA Server-Computer überprüft die Authentifizierungsinformationen des RAS-Clients.
Wenn diese Informationen gültig sind, werden die RAS-Richtlinien des Clients überprüft.
Beim Versuch zur Verbindungsherstellung wird die Quarantänerichtlinie abgeglichen.
4.
Die Verbindung wird mit den Quarantänebeschränkungen akzeptiert. Der Client erhält
daraufhin eine IP-Adresse und wird in das Quarantänen-VPN-Clientnetzwerk übernommen.
In diesem Zustand kann der RAS-Client nur Daten senden, die der Firewallrichtlinie für das
Quarantänen-VPN-Clientnetzwerk entsprechen. Der Client muss den ISA Server-Computer
spätestens nach der in den ISA Server-Quarantäneeigenschaften festgelegten Anzahl vpn
Sekunden über die erfolgreiche Ausführung des Skripts benachrichtigen.
5.
Das Verbindungs-Manager-Profil startet sofort nach der Verbindungsherstellung das
Quarantäneskript.
6.
Das Quarantäneskript wird ausgeführt und die Übereinstimmung der RASClientcomputerkonfiguration mit den Anforderungen der Netzwerkrichtlinien überprüft.
Wenn alle Tests bezüglich der Erfüllung der Netzwerkrichtlinien bestanden wurden, startet
das Skript die Datei Rqc.exe mit den entsprechenden Befehlszeilenparametern. Einer dieser
Befehlszeilenparameter ist eine Zeichenfolge zur Kennzeichnung der Version des im
Verbindungs-Manager-Profil enthaltenen Quarantäneskripts.
7.
Rqc.exe sendet eine Benachrichtigung über die erfolgreiche Skriptausführung an den ISA
Server-Computer. Diese Benachrichtigung enthält die Zeichenfolge mit der Version des
Quarantäneskripts.
8.
Die Benachrichtigung wird von der Listenerkomponente (Rqs.exe) empfangen. Der
Benachrichtigungsdatenverkehr wird zugelassen, da es sich um erlaubten Datenverkehr
gemäß der Firewallrichtlinie handelt (in der ISA Server-Zugriffsregel, mit der die
Kommunikation am RQS-Port 7250 von VPN-Clients und Quarantänen-VPNClientnetzwerken zum lokalen Hostnetzwerk zugelassen wird).
32 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
9.
Die Listenerkomponente überprüft die Skriptversionszeichenfolge in der
Benachrichtigungsmeldung anhand der in der Registrierungsdatenbank konfigurierten
Versionszeichenfolgen und sendet eine Meldung zurück, in der angegeben ist, ob die
Skriptversion als gültig oder ungültig eingestuft wurde.
10. Wenn die Skriptversion gültig ist, ruft die Listenerkomponente die API-Funktion
MprAdminConnectionRemoveQuarantine() auf, und ISA Server verschiebt den Client
aus dem Quarantänen-VPN-Clientnetzwerk in das VPN-Clientnetzwerk.
11. Die Listenerkomponente erstellt im Systemereignisprotokoll ein Ereignis mit genauen
Angaben zur Quarantäneverbindung.
Konfigurieren der Quarantänesteuerung
Dieser Abschnitt beinhaltet Folgendes:

Erste Schritte

Quarantänebenachrichtigungs- und Listenerkomponenten

Quarantäneeinstellungen

Firewallrichtlinie für VPN-Clients in Quarantäne
Erste Schritte
Bevor Sie den Quarantänemodus aktivieren, müssen Sie folgende Schritte durchführen:
1.
Erstellen Sie ein clientseitiges Skript, das die Clientkonfigurationsdaten überprüft. Weitere
Informationen hierzu finden Sie in diesem Dokument unter Quarantänebenachrichtigungsund Listenerkomponenten.
2.
Erstellen Sie eine Benachrichtigungskomponente, die dem ISA Server-Computer bestätigt,
dass das Skript erfolgreich ausgeführt wurde. Wenn Sie keine
Benachrichtigungskomponente erstellen möchten, können Sie die Datei Rqc.exe aus dem
ISA Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) verwenden,
wie in diesem Dokument unter Quarantänebenachrichtigungs- und Listenerkomponenten
beschrieben.
Die Benachrichtigungskomponente ist im Verbindungs-Manager-Profil enthalten und wird
auf dem Clientcomputer installiert. Die Benachrichtigungskomponente sendet eine
Benachrichtigung an den ISA Server-Computer, wenn das Skript des Administrators
erfolgreich auf dem Client ausgeführt wurde.
3.
Erstellen Sie eine Listenerkomponente für die Installation auf ISA Server-Computern (diese
Computer können Informationen von der Benachrichtigungskomponente empfangen),
beenden Sie dann für den Client den Quarantänemodus, und wenden Sie die
Vollzugriffsrichtlinie an. Wenn Sie keine Listenerkomponente erstellen möchten, können Sie
die Beispieldatei Rqs.exe aus dem ISA Server 2004 Resource Kit
(http://go.microsoft.com/fwlink/?LinkId=22611) verwenden.
Die Listenerkomponente wird auf dem ISA Server-Computer installiert und von der
Benachrichtigungskomponente darüber informiert, dass das Skript auf dem Client alle
Konfigurationsüberprüfungen erfolgreich absolviert hat. Nachdem die Listenerkomponente
Lösungen 33
benachrichtigt wurde, wird der Quarantänemodus für den Client beendet, und der
ISA Server-Computer wendet auf den Client die Standard-RAS-Richtlinie an.
4.
Wenn Sie die Beispieldatei Rqs.exe verwenden, führen Sie das Skript
ConfigureRQSForISA.vbs aus, das im ISA Server Resource Kit
(http://go.microsoft.com/fwlink/?LinkId=22611) verfügbar ist. Wenn Sie Ihre eigene
Listenerkomponente erstellen, müssen Sie deren Installation verwalten. Das Skript führt die
folgenden Aktionen aus:
Installiert RQS als Dienst und konfiguriert den Dienst zur Ausführung im lokalen
Systemkonto.
Erstellt eine ISA Server-Zugriffsrichtlinie, die eine Datenübertragung über den RQSPort (7250) von den Netzwerken der VPN-Clients und den in Quarantäne befindlichen
VPN-Clients zum Netzwerk des lokalen Hosts zulässt. Dies ist erforderlich, damit der
ISA Server-Computer eine Benachrichtigung darüber erhalten kann, dass der Client die
Verbindungsanforderungen erfüllt hat.
Ändert die Registrierungsschlüssel auf dem ISA Server-Computer, damit RQS mit ISA
Server zusammenarbeiten kann.
Startet den RQS-Dienst.
Das Skript verfügt über einen Schalter (Installieren oder Entfernen) und erfordert zwei
Parameter: die zugelassenen gemeinsamen RQS-Schlüssel und der Pfad von RQS.exe.
Beispiel für die Installation:
Cscript ConfigureRQSForISA.vbs /install SharedKey1\0SharedKey2
"C:\Programme\RQS"
Ein gemeinsamer Schlüssel wird vom RQS-Dienst aus der Datei RQC.exe benötigt,
damit der VPN-Client das Quarantänen-VPN-Clientnetzwerk verlassen kann. Wenn der
Client einen gemeinsamen Schlüssel angibt, der nicht im zugelassenen Satz enthalten
ist, wird die Verbindung zum Client getrennt. Sie können mehrere gemeinsame
Schlüssel durch „\0“ getrennt verwenden, wenn Sie die Argumente für das Skript
ConfigureRQSForISA.vbs angeben.
Anmerkung
Zur Ausführung des Skripts ConfigureRQSForISA.vbs müssen sich die
Dateien Reg.exe und Sc.exe im Systempfad befinden. Unter Windows
Server 2003 sind diese Dateien standardmäßig im Verzeichnis
%windir%\system32 gespeichert. Unter Windows 2000 Server müssen Sie
die genannten Dateien im Systempfad installieren, bevor Sie das Skript
ConfigureRQSForISA.vbs ausführen. Sie finden die Datei Reg.exe auf der
Windows 2000-CD im Verzeichnis support\tools. Die Datei Sc.exe ist im
Microsoft Windows 2000 Resource Kit
(http://go.microsoft.com/fwlink/?LinkID=21244) enthalten.
5.
Erstellen Sie mit dem Verbindungs-Manager-Verwaltungskit (CMAK) ein VerbindungsManager-Profil. Weitere Informationen über CMAK finden Sie im Verbindungs-ManagerVerwaltungskit in der Hilfe von Windows Server 2003
34 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
(http://go.microsoft.com/fwlink/?LinkId=21154) oder im Verbindungs-ManagerVerwaltungskit in der Hilfe von Windows 2000 Server
(http://go.microsoft.com/fwlink/?LinkId=20198). Fügen Sie das Clientskript und die
Benachrichtigungskomponente dem Profil hinzu.
6.
Verteilen Sie das Verbindungs-Manager-Profil zur Installation an die RAS-Clientcomputer.
Quarantänebenachrichtigungs- und Listenerkomponenten
Sie können eigene Benachrichtigungs- und Listenerkomponenten erstellen oder Rqs.exe (eine
Listenerkomponente) und Rqc.exe (eine Benachrichtigungskomponente) aus dem ISA
Server 2004 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=22611) verwenden. Der
RAS-Quarantäne-Agent wird zusammen mit Rqs.exe auf dem ISA Server-Computer installiert.
Beim Erstellen des Verbindungs-Manager-Profils können Sie das vom Administrator
bereitgestellte Skript und Rqc.exe hinzufügen, die an RAS-Clientcomputer verteilt und auf
diesen installiert werden. Dieses Profil kann auf den folgenden Clientbetriebssystemen installiert
werden: Windows XP Professional, Windows XP Home Edition, Windows 2000 Professional,
Windows Millennium Edition und Windows 98 Zweite Ausgabe.
Weitere Informationen zu CMAK finden Sie im Verbindungs-Manager-Verwaltungskit in der
Windows-Hilfe.
Quarantäneeinstellungen
Nachdem Sie die vorläufigen Schritte zum Einrichten einer Quarantäne abgeschlossen haben,
können Sie die Quarantäneeinstellungen auf dem ISA Server-Computer konfigurieren:
1.
Öffnen Sie die ISA Server-Verwaltung, erweitern Sie den Knoten ISA Server-Computer,
und klicken Sie auf Virtuelle private Netzwerke (VPN).
2.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf VPN-Clientzugriff
aktivieren (falls noch nicht geschehen). Hierdurch werden automatisch die erforderlichen
Systemrichtlinienregeln für den VPN-Clientzugriff aktiviert. Außerdem wird Routing und
RAS für die VPN-Clientverbindungen gestartet. Weitere Informationen über die Aktivierung
des VPN-Clientzugriffs finden Sie in diesem Dokument unter PPTP-Schritt 1: Konfigurieren
von VPN auf ISA Server oder L2TP-Schritt 3: Konfigurieren von VPN auf ISA Server.
3.
Erweitern Sie in der ISA Server-Verwaltung den Knoten Konfiguration, und klicken Sie
auf Netzwerke.
4.
Doppelklicken Sie im Detailbereich auf der Registerkarte Netzwerke auf das QuarantänenVPN-Clientsnetzwerk, um dessen Eigenschaften zu öffnen, und wählen Sie die Registerkarte
Quarantäne aus. Auf dieser Registerkarte stehen folgende Optionen zur Auswahl:
Quarantänensteuerung aktivieren. Bei der erstmaligen Installation von ISA Server ist die
Quarantänesteuerung standardmäßig deaktiviert. Wenn sie nicht aktiviert wird, existiert
keine Quarantänesteuerung, und die VPN-Clients gelangen beim Verbindungsaufbau
direkt in das VPN-Clientnetzwerk.
Quarantäne gemäß den RADIUS-Serverrichtlinien. Wenn Sie die Quarantänesteuerung
aktivieren, verwendet diese Option die RADIUS-Serverrichtlinien für die Quarantäne,
wie in diesem Dokument unter Auswahl der RADIUS-Quarantänenrichtlinie oder der
ISA Server-Richtlinie beschrieben.
Lösungen 35
Quarantäne gemäß den ISA Server-Richtlinien. Wenn Sie die Quarantänesteuerung
aktivieren, verwendet diese Option die ISA Server-Richtlinien für die Quarantäne, wie
in diesem Dokument unter Auswahl der RADIUS-Quarantänenrichtlinie oder der
ISA Server-Richtlinie beschrieben.
5.
Aktivieren Sie die Quarantäne, und wählen Sie die Option Quarantäne gemäß den ISA
Server-Richtlinien aus. Wenn Sie diese Option ausgewählt haben, stehen weitere Optionen
zur Verfügung:
Sie können ein Zeitlimit für Benutzer in Quarantäne festlegen, indem Sie Verbindung wird
getrennt nach (in Sekunden): auswählen und eine Zahl in das Feld Sekunden
eingeben. Dadurch werden Clients in Quarantäne nach Ablauf der angegebenen Dauer
getrennt, wenn sie in dieser Zeit nicht ihre Kompatibilität nachweisen können.
Sie können unter Folgende Benutzer von der Quarantäne ausschließen Benutzer nach
Benutzersatz von der Quarantänesteuerung befreien. Klicken Sie auf Hinzufügen, um
der Liste der ausgeschlossenen Benutzersätze einen Benutzersatz hinzuzufügen.
Anmerkung
Ein Benutzersatz ist ein Regelelement. Informationen zum Erstellen von
Regelelementen finden Sie in diesem Dokument in Anhang A: Erstellen von
Regelelementen.
6.
Klicken Sie auf OK.
7.
Klicken Sie im Detailbereich auf Übernehmen, um die vorgenommenen Änderungen zu
übernehmen.
Firewallrichtlinie für VPN-Clients in Quarantäne
Über die Firewallrichtlinie wird der Zugriff auf Netzwerkressourcen gesteuert, der aus dem
VPN-Clientnetzwerk in Quarantäne zugelassen wird. Zu diesen Ressourcen kann der RADIUSServer oder Domänencontroller gehören, über den der Benutzer sich authentifiziert hat, sowie ein
Server mit bereitgestellter Antivirus-Software und aktualisierten Signaturen und der DHCPServer, der IP-Adressen für VPN-Clients zur Verfügung stellt.
Um den Zugriff auf eine Ressource zuzulassen, erstellen Sie eine Zugriffsregel. Dabei stellt das
Netzwerk des VPN-Clients in Quarantäne die Quelle dar und der Server, auf den zugegriffen
werden soll, das Ziel. Dazu muss für jeden Server ein Computerregelelement erstellt werden,
damit der Server in Zugriffsregeln verwendet werden kann. Sie können stattdessen auch einen
Computersatz erstellen, der alle Computer enthält, auf die der Client in Quarantäne zugreifen
möchte. Anschließend definieren Sie eine Zugriffsregel, in der das VPN-Clientnetzwerk in
Quarantäne als Quelle und der Computersatz als Ziel verwendet wird. Eine weitere Möglichkeit
ist die Zusammenfassung aller Server, auf die Zugriff angefordert wird, in einem Subnetz
innerhalb Ihres Netzwerks. In diesem Fall können Sie ein Subnetzregelelement definieren, das in
der Zugriffregel verwendet werden soll.
Informationen zum Erstellen von Regelelementen finden Sie in diesem Dokument in Anhang A:
Erstellen von Regelelementen. Informationen zum Erstellen von Zugriffsregeln finden Sie in
diesem Dokument unter Anhang B: Verwenden des Assistenten für neue Zugriffsregeln.
36 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Im Folgenden finden Sie einige Beispiele für Zugriffstypen, die für ein VPN-Clientnetzwerk in
Quarantäne zugelassen werden sollten. Die ersten drei aufgeführten Zugriffstypen sind für das
Netzwerkrichtlinien-Anforderungsskript notwendig. Dieses Skript ist erforderlich, um den
Zugriff des Clients auf das VPN-Clientnetzwerk freizugeben. Berücksichtigen Sie, dass für den
Verbindungs-Manager der Clients eventuell der Zugriff auf bestimmte Server unter Verwendung
spezifischer Protokolle erforderlich ist. Stimmen Sie mit dem Verantwortlichen für den
Verbindungs-Manager ab, welche Zugriffsregeln erforderlich sind. Zu den Zugriffstypen
gehören:

Zulassen von Abfragen an LDAP-Server im internen Netzwerk

Zulassen von Datenverkehr an Domänencontroller

Zulassen von DNS-Abfragen an DNS-Server durch VPN-Clients in Quarantäne

Zulassen von WINS-Datenverkehr an WINS-Server durch VPN-Clients in Quarantäne
Anmerkung
Das Skript ConfigureRQSForISA.vbs erstellt eine ISA Server-Zugriffsrichtlinie,
die eine Datenübertragung über den RQS-Port (7250) von den Netzwerken
der VPN-Clients und den in Quarantäne befindlichen VPN-Clients zum
Netzwerk des lokalen Hosts zulässt. Dies ist erforderlich, damit der ISA
Server-Computer eine Benachrichtigung darüber erhalten kann, dass der
Client die Verbindungsanforderungen erfüllt hat.
Anhang A: Erstellen von Regelelementen
Führen Sie zum Erstellen eines Regelelements dieses allgemeine Verfahren durch.
1.
Öffnen Sie die Microsoft ISA Server-Verwaltung.
2.
Erweitern Sie den Knoten des ISA Server-Computers.
3.
Wählen Sie Firewallrichtlinie und im Aufgabenbereich die Registerkarte Toolbox aus.
4.
Wählen Sie den Typ des Regelelements aus, indem Sie auf die entsprechende Überschrift
(Protokolle, Benutzer, Inhaltstypen, Zeitpläne oder Netzwerkobjekte) für dieses Element
klicken.
5.
Klicken Sie an der obersten Position der Elementliste auf Neu.
6.
Geben Sie die erforderlichen Informationen ein. Nachdem Sie die Daten angegeben und im
Dialogfeld auf OK geklickt haben, wird das neue Regelelement erstellt.
Anmerkung
Sie müssen im Detailbereich auf Übernehmen klicken, um die Änderungen
(einschließlich der neu erstellten Regelemente) zu übernehmen. Sie können
auch nach dem Erstellen der Zugriffsregeln auf Übernehmen klicken.
Lösungen 37
Anhang B: Verwenden des Assistenten für neue Zugriffsregeln
1.
Diese Anleitung stellt eine allgemeine Beschreibung des Assistenten für neue Zugriffsregeln
dar. Sie verwenden die Eigenschaften der Entwurfsphase zum Erstellen von Regeln.
2.
Wählen Sie in der Konsolenstruktur der ISA Server-Verwaltung die Option
Firewallrichtlinie aus.
3.
Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option Neue
Zugriffsregel erstellen aus, um den Assistenten für neue Zugriffsregeln zu starten.
4.
Geben Sie auf der Seite Willkommen des Assistenten den Namen der Zugriffsregel ein.
Wählen Sie einen aussagekräftigen Namen, beispielsweise Internetzugriff für Mitarbeiter
während der Arbeitszeit, und klicken Sie dann auf Weiter.
5.
Wählen Sie auf der Seite Regelaktion die Option Zulassen aus, wenn Sie bestimmte
Zugriffsrechte zulassen möchten, oder wählen Sie Verweigern aus, wenn Sie bestimmte
Zugriffsrechte verweigern möchten. Klicken Sie dann auf Weiter.
6.
Wählen Sie auf der Seite Protokolle unter Regel wird angewendet für die Option
Gesamten ausgehenden Datenverkehr aus, und klicken Sie dann auf Weiter.
7.
Klicken Sie auf der Seite Zugriffsregelquellen auf Hinzufügen, um das Dialogfeld
Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf die Kategorie der
Netzwerkidentität, für die Sie eine Zugriffsregel erstellen, wählen Sie die Identität aus,
klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie auf der Seite
Zugriffsregelquellen auf Weiter.
8.
Klicken Sie auf der Seite Zugriffsregelziele auf Hinzufügen, um das Dialogfeld
Netzwerkidentitäten hinzufügen zu öffnen. Klicken Sie auf Netzwerke, wählen Sie
Externes Netzwerk (für das Internet) aus, klicken Sie auf Hinzufügen und dann auf
Schließen. Klicken Sie auf der Seite Zugriffsregelziele auf Weiter.
9.
Geben Sie auf der Seite Benutzersätze mithilfe der Schaltflächen Entfernen und
Hinzufügen einen Satz von Benutzern an, und klicken Sie anschließend auf Weiter.
10. Überprüfen Sie die Informationen auf der Zusammenfassungsseite des Assistenten, und
klicken Sie dann auf Fertig stellen.
11. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die neue Zugriffsregel
zu übernehmen.
12. Ordnen Sie im Detailbereich von ISA Server die Zugriffsregeln entsprechend Ihren
Internetzugriffsrichtlinien an.
Anhang C: Netzwerkverhältnisse
Wenn Sie ISA Server installieren, wird eine Standardnetzwerkregel erstellt, mit der ein
Routingverhältnis zwischen dem internen Netzwerk und den zwei VPN-Clientnetzwerken (VPNClients und Quarantänen-VPN-Clients) eingerichtet wird. Auch wenn die VPN-Clientnetzwerke
nicht physischen Netzwerkkarten zugeordnet sind, haben diese Netzwerke aus Sicht von
ISA Server virtuelle Netzwerkkarten, an die der Datenverkehr weitergeleitet wird.
38 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Es gibt Situationen, in denen Sie ein NAT-Verhältnis (Network Address Translation) zwischen
dem VPN-Clientnetzwerk und dem internen Netzwerk erstellen sollten. Wenn in Ihrem Netzwerk
beispielsweise ein Cluster von ISA Server-Computern existiert, stellt ein NAT-Verhältnis sicher,
dass ein zwischen den Netzwerken gesendetes Paket über denselben ISA Server-Computer
zurückgesendet und erkannt wird. Andernfalls wird das Paket möglicherweise an einen anderen
Server im Cluster gesendet wird, der das nicht erkannte Paket verwirft. Ein NAT-Verhältnis ist
auch sinnvoll, wenn das VPN-Gateway nicht das Standardgateway ist.
Wenn Sie ein NAT-Verhältnis zwischen dem VPN-Clientnetzwerk und dem internen Netzwerk
erstellen, sollten Sie beachten, dass nicht alle Protokolle von NAT erkannt werden.
Anhang D: Authentifizierungsmethoden
Zur Authentifizierung wird in der Regel ein während des Authentifizierungsvorgangs
ausgehandeltes Authentifizierungsprotokoll verwendet. ISA Server unterstützt sowohl
Authentifizierungsprotokolle mit höchster Sicherheit als auch Protokolle mit geringer Sicherheit.
Authentifizierungsprotokolle mit höchster Sicherheit
ISA Server unterstützt zwei Authentifizierungsprotokolle mit höchster Sicherheit:

MS-CHAP V2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2)

EAP (Extensible Authentication-Protokoll)
MS-CHAPv2
MS-CHAP V2 bietet Funktionen für die gegenseitige Authentifizierung, leistungsfähige
Schlüssel für die anfängliche Datenverschlüsselung sowie unterschiedliche Schlüssel für die
Verschlüsselung beim Senden und Empfangen. Um das Risiko der Umgehung von Kennwörtern
während eines Datenaustauschs über MS-CHAP zu minimieren, unterstützt MS-CHAP V2 nicht
mehr die Änderung des Kennworts für MS-CHAP, und das verschlüsselte Kennwort wird nicht
mehr übertragen. MS-CHAP V2 verwendet einen bidirektionalen Abfrage/Antwort-Austausch
für Anmeldeinformationen, wobei das Kennwort in den Antworten verschlüsselt wird. Der
Client, der die Verbindung herstellt, sendet nun den Nachweis für die Kenntnis des
Clientkennworts, ohne das eigentliche Kennwort zu übertragen, und der Zugangsserver sendet
den Nachweis, dass er Zugriff auf das Clientkennwort hat, ohne das eigentliche Kennwort zu
senden.
EAP
EAP erweitert das Point-to-Point-Protokoll (PPP), indem zufällige Authentifizierungsmethoden
zugelassen werden, bei denen Anmeldeinformationen und Daten zufälliger Länge ausgetauscht
werden. Bei Verwendung von EAP können zusätzliche Authentifizierungsschemas, so genannte
EAP-Typen, unterstützt werden. Zu diesen Schemas gehören Tokenkarten, einmalige
Kennwörter, Authentifizierung durch öffentliche Schlüssel unter Verwendung von Smartcards
sowie Zertifikate.
Authentifizierungsprotokolle mit geringer Sicherheit
Es wird empfohlen, Authentifizierungsprotokolle mit höchster Sicherheit zu verwenden. Sie
haben jedoch auch die Möglichkeit, Protokolle mit weniger Sicherheit einzusetzen. Diese
Lösungen 39
Möglichkeit ist dann sinnvoll, wenn Sie VPN-Clients unter Windows NT® Server 4.0 oder
Windows 98 ausführen, auf denen nicht die neueste VPN-Clientsoftware installiert ist. Die
folgenden Protokolle können verwendet werden:

CHAP (Challenge Handshake Authentication-Protokoll)

MS-CHAP (Microsoft Challenge Handshake Authentication-Protokoll)

PAP (Password Authentication-Protokoll)

SPAP (Shiva Password Authentication-Protokoll)
CHAP
Das Challenge Handshake Authentication-Protokoll (CHAP) verwendet einen Abfrage/AntwortAustausch von Anmeldeinformationen mit MD5-Hash (Message Digest 5) für die Antwort. Der
Client, der eine Verbindung herstellt, sendet den Nachweis über die Kenntnis des
Clientkennworts, ohne das eigentliche Kennwort zu übertragen. CHAP wird sowohl von vielen
Zugriffsclients als auch von vielen Netzwerkzugriffsservern unterstützt. CHAP erfordert, dass für
Benutzerkonten der Domäne umkehrbar verschlüsselte Kennwörter gespeichert werden.
Aktivieren Sie CHAP nur, wenn dies für die Zugriffsclients erforderlich ist.
MS-CHAP
Microsoft entwickelte das Protokoll MS-CHAP zur Authentifizierung von WindowsRemotearbeitsstationen. LAN-Benutzern sollten die gewohnten Funktionen zur Verfügung
stehen, und die in Windows-Netzwerken verwendeten Hashalgorithmen wurden integriert. Wie
CHAP verwendet MS-CHAP einen Abfrage/Antwort-Mechanismus, bei dem das Senden des
Kennworts während der Authentifizierung vermieden wird. MS-CHAP wird von bestimmten
Microsoft Windows-Zugriffsclients und -Zugriffsservern unterstützt. Aktivieren Sie MS-CHAP
nur, wenn dies für die Zugriffsclients erforderlich ist.
PAP
Bei PAP wird das jeweilige Kennwort in unverschlüsselter Form über die Verbindung
übertragen. Aktivieren Sie PAP nur, wenn dies für die Zugriffsclients erforderlich ist.
SPAP
Bei SPAP wird das jeweilige Kennwort in verschlüsselter Form über die Verbindung übertragen.
Aktivieren Sie SPAP nur, wenn dies für die Zugriffsclients erforderlich ist.
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-MailAdressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit
bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos,
Personen, Orten oder Ereignissen ist rein zufällig.
Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und Verweise auf
andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den
Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei erfunden, soweit nichts
Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden
Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation
kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem
40 Mobile VPN-Clients und Quarantänesteuerung in ISA Server 2004
Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche
Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren,
Aufzeichnen usw.) dies geschieht.
Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken,
Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses
Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf
diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies
wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2004
Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind entweder
eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen
Ländern.
Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.