• Artikel

ISA Server

Verbessern der TS-Gatewaysicherheit mit ISA Server 2006

Dr. Thomas W. Shinder und Yuri Diogenes

 

Auf einen Blick:

  • Zwei Szenarios für die Verwendung von TS-Gateway mit ISA Server
  • ISA Server 2006-Konfiguration
  • Testen und Überwachen

Inhalt

Über den Umkreis hinaus
Erstes Szenario
Konfigurieren von ISA Server 2006
Testen und Überwachen des Clientzugriffs
Überwachung über ISA Server
Zweites Szenario
Was geschieht mit dem Client?
Schlussbemerkung

Im Anschluss an den Erfolg von Outlook Anywhere in Exchange Server 2007 bietet Windows Server 2008 nun die Möglichkeit, auf sichere und kontrollierte Weise von überall auf Ihren Desktop zuzugreifen.

Der neue Terminaldienste-Gatewayserver (TS-Gateway) unter Windows Server® 2008 bietet die Flexibilität von Windows®-Terminalserverdiensten sowie die Möglichkeit, eine Verbindung zu einem Terminalserver von überall über eine HTTP-Verbindung herzustellen. Dieser Dienst verwendet RDP (Remotedesktopprotokoll) über HTTPS (SSL), um die Sicherheit zu erhöhen, während eine einzelne Clientschnittstelle für den Zugriff auf Terminaldienste-Ressourcen bereitgestellt wird.

Dieser neue TS-Gatewaydienst bietet bedeutende Vorteile für diejenigen, die auf ihre Computer von einem Remotestandort aus zugreifen müssen:

  • Es ist nicht erforderlich, eine VPN-Sitzung (Virtuelles Privates Netzwerk) einzurichten, bevor eine Verbindung zu internen Ressourcen über RDP hergestellt wird.
  • Verbesserte Sicherheit wird mithilfe von Netzwerkzugriffsschutz (Network Access Protection, NAP) und Windows-Sicherheitsintegritätsüberprüfungen zur Kontrolle von RDP-Verbindungen gewährleistet.
  • Der TCP-Port 3389 für eingehenden Datenverkehr muss nicht geöffnet werden, um ein sichereres Webpublishing über Firewalls zu ermöglichen.

Sie können Microsoft® Internet Security and Acceleration (ISA) Server 2006 verwenden, um die Sicherheit des TS-Gatewaydiensts bei externem Zugriff auf interne Ressourcen zu verbessern. Sie können ein SSL-zu-SSL-Bridgingszenario einrichten, in dem ISA Server 2006 Anforderungen empfängt und sie unter Verwendung von HTTPS an den internen TS-Gatewaydienst weiterleitet. Beim Bridging der Anforderung entschlüsselt die ISA-Firewall die SSL-Kommunikation und führt eine Prüfung der Anwendungsschicht durch.

Wenn der HTTP-Protokolldatenstrom die Prüfung besteht, wird die Kommunikation wieder verschlüsselt und an den Terminaldiensteproxy weitergeleitet. Wenn der Protokolldatenstrom die Prüfung nicht besteht, wird die Verbindung getrennt.

Über den Umkreis hinaus

Microsoft hat ziemlich viel Arbeit in die Sicherheit investiert, und Windows Server 2008 ist bislang die sicherste und stabilste Version von Windows. Das Unternehmen befasst sich auch damit, wie Benutzer die Produkte implementieren und ob sie bewährten Methoden folgen, um ihre Umgebungen zu schützen. Bewährte Methoden erfordern ausführliche Maßnahmen, die Schutz an mehreren Zugriffspunkten bzw. auf mehreren Ebenen bietet. Die für unsere Diskussion wichtigen Schichten sind Richtlinien, Verfahren und Erkennung; Umkreis; internes Netzwerk sowie Host.

Wenn Sie externen Benutzern ermöglichen, auf eine interne Ressource über ISA Server zuzugreifen, müssen Sie die Grenzen jedes beteiligten Produkts verstehen. ISA Server 2006 und TS-Gateway stellen die Sicherheit in der Umkreisschicht bereit, aber für interne Ressourcen benötigen Sie Richtlinien, die bei Bedarf den Zugriff zulassen oder verweigern. Sie können dies mithilfe der Netzwerkrichtlinien- und Zugriffsdienste (Network Policy and Access Services, NPAS) durch Bearbeiten der Schicht für Richtlinien, Verfahren und Erkennung erreichen. Der Zugriff auf interne Ressourcen (Laufwerk, Zwischenablage, Drucker usw.) wird von den Ressourcenautorisierungsrichtlinien für Terminaldienste definiert, die die interne Netzwerkschicht betreffen.

In diesem Artikel untersuchen wir zuerst, wie das Terminaldienstegateway über ISA Server 2006 veröffentlicht werden kann. Dann erweitern wir das ISA Server 2006-Veröffentlichungsszenario, um Integritätserzwingung mithilfe von NAP einzufügen. Mithilfe von NAP können Clientintegritätsrichtlinien erstellt werden, mit denen der Zugriff auf Hostebene besser kontrolliert werden kann.

Erstes Szenario

Unser Ziel besteht darin zu veranschaulichen, wie TS-Gateway über ISA Server 2006 veröffentlicht werden kann. In Abbildung 1 werden Computer und Datenfluss bei der Verbindung zusammengefasst. In diesem Szenario implementieren wir die NPS-Rolle (Network Policy Server, Netzwerkrichtlinienserver) auf TS-Gateway selbst. Wir werden dies jedoch im zweiten Szenario ändern, in dem wir einen zentralen NPS-Server verwenden. Folgen Sie der nachstehenden Abfolge, um zu verstehen, wie die Kommunikation zwischen den Komponenten der TS-Gateway-Veröffentlichungslösung funktioniert:

fig01.gif

Abbildung 1 Veröffentlichen von TS-Gateway über ISA Server 2006 (zum Vergrößern auf das Bild klicken)

  1. Der externe RDP-Benutzer initiiert die Verbindung. Die erste Aufgabe des Client ist es, den externen Namen von TS-Gateway aufzulösen (in diesem Fall „tsg.contoso.com“). Das externe DNS löst diesen Namen auf, der auf die externe IP-Adresse von ISA Server zeigt.
  2. Ein SSL-Tunnel wird zwischen dem RDP-Client und der externen Schnittstelle von ISA Server eingerichtet. ISA Server besitzt eine Webveröffentlichungsregel am TCP-Port 443, die ein Zertifikat verwendet, das für tsg.contoso.com ausgestellt ist.
  3. Nach dem Evaluieren der Regel und dem Prüfen, ob der Datenverkehr zugelassen ist, sendet ISA Server dem internen DNS-Server (befindet sich auf dem Domänencontroller) eine DNS-Abfrage, um den Namen des Servers aufzulösen, der in der Webveröffentlichungsregel angegeben ist.
  4. ISA Server öffnet dann einen SSL-Tunnel zu TS-Gateway und übergibt diesem die Authentifizierungsanforderung.
  5. Der TS-Gatewayserver überprüft die Anmeldeinformationen des Benutzers und die Berechtigung des Benutzers für die Einrichtung der Verbindung.
  6. Wenn bestätigt wird, das der Benutzer berechtigt ist, die Verbindung einzurichten, erhält der TS-Gatewaydienst die Anforderungen am TCP-Port 443 und leitet die RDP-Pakete über TCP-Port 3389 (standardmäßig) an den internen Terminalserver weiter, wo sich die Anwendung (wie z. B. eine CRM-Anwendung) befindet.

Ab diesem Zeitpunkt werden sämtliche Pakete, die über ISA Server vom RDP-Client an den TS-Gatewaydienst gesendet werden, zum internen Terminalserver und umgekehrt weitergeleitet.

In diesem Kontext muss erwähnt werden, dass RDP über HTTPS im Hintergrund nichts anderes als RDP/RPC/HTTPS ist. Der RDP-Client kapselt die RDP-Kommunikation in einen RPC-Header, der anschließend mit einem HTTP-Header gekapselt wird, der mithilfe von SSL (oder Transportebenensicherheit, Transport Level Security, TLS) gesichert wird. Alle Komponenten, die Sie für eine RPC-über-HTTPS-Lösung benötigen, müssen vorhanden sein. Deshalb wird der RPC-über-HTTP-Proxy automatisch installiert, wenn Sie den TS-Gatewayrollendienst installieren. Um mehr über die Funktionsweise dieses Protokolls zu erfahren, empfehlen wir, dass Sie „Testen von RPC-über-HTTP durch ISA Server 2006 Teil 1; Protokolle, Authentifizierung und Verarbeitung“ lesen, das im ISA Server-Teamblog (unter blogs.technet.com/isablog) verfügbar ist.

Die Implementierung macht Windows Server 2008 mit installiertem Terminaldienstegateway erforderlich, und das Feature ist vom RPC-über-HTTP-Proxy abhängig. Damit das RPC-über-HTTP-Proxyfeature funktioniert, muss Internetinformationsdienste (IIS) 7.0 installiert sein und ausgeführt werden. Sie benötigen auch Netzwerkrichtlinien- und Zugriffsdienste, aber wenn Sie es bevorzugen, können Sie TS-Gateway so konfigurieren, dass der NPS-Server – früher Internetauthentifizierungsdienste (Internet Authentication Services, IAS) genannt – verwendet wird, um Speicher, Verwaltung und Überprüfung von Terminaldienste-Verbindungsautorisierungsrichtlinien (Terminal Services Connection Authorization Policies, TS CAPs) zu zentralisieren. Abschließend müssen Sie ein SSL-Zertifikat für den TS-Gatewayserver beziehen, wenn Sie noch keines haben. Es ist sehr wichtig, dass ISA Server 2006 der Zertifizierungsstelle (Certification Authority, CA) vertraut, die das Zertifikat ausstellt. Stellen Sie deshalb sicher, dass das Zertifikat in den Speicher vertrauenswürdiger Stammzertifizierungsstellen importiert wird.

Active Directory®-Domänendienste ist nur erforderlich, wenn Sie eine TS-Gatewayautorisierungsrichtlinie konfigurieren, die es erfordert, dass Benutzer Mitglied einer Active Directory-Sicherheitsgruppe sind, um eine Verbindung zum TS-Gatewayserver herstellen zu können. Für dieses bestimmte Setup werden wir Active Directory auf einem Computer mit Windows Server 2003 SP2 verwenden.

Nach Abschluss der Installation des Terminaldienste-Gatewaydiensts erscheint der Bildschirm in Abbildung 2, in dem angezeigt wird, dass die Komponenten installiert wurden. Um das TS-Gateway zu verbinden, muss auf den Clients eines der folgenden Betriebssysteme ausgeführt werden: Windows Vista®; Windows XP mit SP2 und RDP 6.0 oder höher; Windows Server 2008; Windows Server 2003 mit SP1 oder höher und RDP 6.0 oder höher. Weitere Informationen zur Konfiguration von TS-Gateway finden Sie in der Schritt-für-Schritt-Anleitung für Windows Server 2008 TS-Gatewayserver unter go.microsoft.com/fwlink/?LinkId=122251. Im Folgenden wird erläutert, wie ISA Server 2006 konfiguriert wird.

fig02.gif

Abbildung 2 TS-Gateway-Installationszusammenfassung (zum Vergrößern auf das Bild klicken)

Konfigurieren von ISA Server 2006

Der erste Schritt besteht darin, einen Weblistener zu erstellen, der die Anforderungen des externen RDP-Clients bearbeitet. Unser Weblistener hat die folgenden Parameter:

  • Authentifizierung: Standard
  • Authentifizierungsprüfung: Windows (Active Directory)
  • Verbindungen: SSL-Verbindungen (HTTPS) aktivieren an Port 443
  • Zertifikate: Zertifikat ausgestellt für tsg.contoso.com
  • Netzwerke: Extern

Als Nächstes erstellen Sie die Webveröffentlichungsregel. Aus Sicht von ISA Server 2006 verwendet der RDP-Client das gleiche Protokoll wie Outlook® Anywhere. Wählen Sie daher den Exchange Server 2007-Assistenten aus. Führen Sie einfach die folgenden Schritte aus:

  1. Klicken Sie mit der rechten Maustaste auf die Firewallrichtlinie, wählen Sie „Neu“ aus, und klicken Sie anschließend auf „Veröffentlichungsregel für den Exchange-Webclientzugriff“.
  2. Geben Sie auf der Begrüßungsseite zum Erstellen einer neuen Webveröffentlichungsregel den Namen der Regel ein, und klicken Sie auf „Weiter“.
  3. Wählen Sie auf der Seite „Regelaktion auswählen“ die Option „Zulassen“ aus, und klicken Sie auf „Weiter“.
  4. Wählen Sie auf der Seite „Neue Exchange-Veröffentlichungsregel“ die Exchange-Version aus, in unserem Fall Exchange Server 2007. Wählen Sie „Outlook Anywhere (RPC/HTTP(s))“ aus, und klicken Sie auf „Weiter“. (Hinweis: Wählen Sie nicht die Option „Zusätzliche Ordner auf Exchange Server for Outlook 2007-Clients veröffentlichen“ aus.)
  5. Wählen Sie auf der Seite „Veröffentlichungstyp“ die Option „Einzelne Website oder Lastenausgleich veröffentlichen“ aus, und klicken Sie auf „Weiter“.
  6. Wählen Sie auf der Seite „Sicherheit der Serververbindung“ die Option „SSL verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen“ aus, und klicken Sie dann auf „Weiter“.
  7. Geben Sie auf der Seite „Interne Veröffentlichungsdetails“ im Feld „Interner Sitename“ den Namen des TS-Gatewayservers ein. Aktivieren Sie das Kontrollkästchen „Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen“, und geben Sie anschließend im Feld „Computername oder IP-Adresse“ den Servernamen ein. Wenn Sie den Namen des TS-Gatewayservers nicht kennen, klicken Sie auf „Durchsuchen“, um zu seinem Speicherort zu navigieren. Beachten Sie, dass der Name, den Sie auf dieser Seite verwenden, dem allgemeinen oder Antragstellernamen auf dem Websitezertifikat entsprechen muss, das an die TS-Gatewaywebsite gebunden ist.
  8. Wählen Sie auf der Seite „Details des öffentlichen Namens“ in der Dropdownliste „Anforderungen annehmen“ die Option „Diesen Domänennamen (unten eingeben)“ aus, und geben Sie anschließend im Feld „Öffentlicher Name“ den öffentlichen Namen ein, der dem Namen des Zertifikats entspricht, das für diese URL ausgestellt wurde (in unserem Fall lautete der Name „tsg.contoso.com“). Klicken Sie dann auf „Weiter“.
  9. Klicken Sie auf der Seite „Weblistener auswählen“ auf die Dropdownliste, und wählen Sie den Weblistener aus, der zuvor erstellt wurde. Klicken Sie anschließend auf „Weiter“.

Wählen Sie auf der Seite „Authentifizierungsdelegierung“ die Option „Keine Delegierung, aber direkte Authentifizierung des Clients“ aus, und klicken Sie auf „Weiter“.

Stellen Sie auf der Seite „Benutzersatz“ sicher, dass die Standardoption („Alle Benutzer“) ausgewählt ist, klicken Sie auf „Weiter“ und dann auf „Fertigstellen“, um die Einstellungen anzuwenden.

Wenn Sie auf die Regel doppelklicken und zur Registerkarte „Pfad“ gehen, werden Sie sehen, dass nur der Pfad „/rpc/*“ verfügbar ist. Dies ist auf die Verwendung des Exchange Server 2007 Outlook Anywhere-Assistenten zurückzuführen.

Testen und Überwachen des Clientzugriffs

Wie bereits erwähnt, benötigen Sie den RDP 6.0-Client oder höher, um eine Verbindung zum TS-Gateway herstellen zu können. Um die RDP-Clientanwendung zu konfigurieren, starten Sie diese, und geben Sie den Namen des Terminalservers, zu dem Sie eine Verbindung herstellen möchten, in das Feld „Computer“ ein. Klicken Sie auf die Schaltfläche „Optionen“, anschließend auf die Registerkarte „Erweitert“ und dann auf „Einstellungen“. Geben Sie den externen Namen des TS-Gatewayservers ein (siehe Abbildung 3). In unserem Beispiel ist dies der Name auf dem Zertifikat, das an den Weblistener gebunden ist, der von unserer Webveröffentlichungsregel verwendet wird, um eingehende Anforderungen zu akzeptieren. Beachten Sie, dass in diesem Beispiel die Windows NT® LAN Manager-Authentifizierung verwendet wird. Klicken Sie abschließend auf „OK“ und auf „Verbinden“. Sie erhalten eine Authentifizierungsaufforderung. Geben Sie die Anmeldeinformationen eines Benutzers mit Zugriff auf den Terminalserver ein, und klicken Sie auf „OK“.

fig03.gif

Abbildung 3 Konfigurieren des RDP-Clients (zum Vergrößern auf das Bild klicken)

Beachten Sie, dass im RDP 6.0-Client (für Windows XP und Windows Server 2003) der Bildschirm in Abbildung 3 angezeigt wird. Sie werden zweimal zur Authentifizierung aufgefordert: Die erste Authentifizierung ist für den TS-Gatewaycomputer, die zweite für den Terminalserver, auf den Sie zugreifen möchten. Das ist ein wichtiger Punkt, denn während Sie u. U. denken, dass dies aufgrund der ISA Server-Konfiguration geschieht, wird die Authentifizierung in Wirklichkeit nicht von ISA Server gehandhabt, da die Webveröffentlichungsregel auf „Alle Benutzer“ angewendet wird, wodurch anonyme Verbindungen über die ISA-Firewall ermöglicht werden.

Der RDP-Client, der in Windows Server 2008 enthalten ist, verfügt über die Option „Eigene Terminaldienstegateway-Anmeldeinformationen für Remotecomputer verwenden“, wie in Abbildung 4 dargestellt. Wenn diese Option ausgewählt ist, müssen Sie Ihre Anmeldeinformationen nicht zweimal eingeben, wodurch die Benutzerfunktionalität verbessert wird. Diese Option des einmaligen Anmeldens ist auch unter Windows Vista nach Anwenden von SP1 verfügbar.

fig04.gif

Abbildung 4 Der Windows Server 2008-RDP-Client (zum Vergrößern auf das Bild klicken)

Sie können die Verbindung über den TS-Gateway-Manager mithilfe der Überwachungsoption überwachen. Der TS-Gatewaydienst stellt auch Details bereit, wenn ein nicht autorisierter Benutzer versucht, eine Verbindung zum Server herzustellen. In Abbildung 5 zeigt die Ereignisanzeige einen Verbindungsversuch eines Benutzers, der keine Berechtigung zur Verbindung über TS-Gateway besitzt.

fig05.gif

Abbildung 5 Protokolliertes Ereignis im TS-Gatewaydienst (zum Vergrößern auf das Bild klicken)

Für dieses Ereignis wird die interne IP-Adresse von ISA Server 2006 protokolliert, da die Option „Ursprung der Anforderungen scheint der ISA Server-Computer zu sein“ in der Webveröffentlichungsregel aktiviert ist. Wenn Sie die ursprüngliche Client-IP-Adresse registrieren möchten, müssen Sie die ISA Server 2006-Webveröffentlichungsregel ändern und die Option „Ursprung der Anforderungen scheint der ursprüngliche Client zu sein“ auf der Registerkarte „Nach“ auswählen.

Überwachung über ISA Server

Mit den neuen Features des ISA Server 2006 Supportability Pack ist es möglich, jede Verbindung zum internen Netzwerk detailliert anzuzeigen und nachzuvollziehen. In Abbildung 6 ist eine Verbindung hervorgehoben, und in der Zeile „Anforderung:“ wird das Verb „RPC_IN_DATA“ dargestellt, das die URL für den RPC-über-HTTP-Proxy anzeigt.

fig06.gif

Abbildung 6 ISA Server 2006-Protokollierung mithilfe des Unterstützbarkeitsupdates (zum Vergrößern auf das Bild klicken)

Wenn Sie sich die Protokollierung weiter anschauen, sollten Sie auch das andere RPC-über-HTTP-Verb „RPC_OUT_DATA“ sehen können. Vergewissern Sie sich, welche HTTP-Methode verwendet wird (RPC_IN_DATA oder RPC_OUT_DATA für RDP/HTTP), denn wenn Sie die HTTP-Filterung so konfiguriert haben, dass diese Methoden blockiert werden, wird der Datenverkehr auf ISA Server blockiert. Wenn Sie Ihre Umgebung sperren möchten, können Sie die RDP/HTTP-Webveröffentlichungsregel so konfigurieren, dass nur diese zwei Methoden zugelassen werden. Weitere Informationen zu HTTP-Methoden, die in der Regel zum Veröffentlichen verwendet werden, finden Sie im Artikel „HTTP-Filterung in ISA Server 2004“ unter technet.microsoft.com/library/cc302627.

Zweites Szenario

Für dieses Szenario verwendet TS-Gateway eine zentrale NPS-Richtlinie, die sich auf einem anderen Server befindet. Wir werden eine NAP-Richtlinie für die Clients durchsetzen und eine Verbindung von einem Remotestandort aus über das TS-Gateway herstellen. Die gleichen Komponenten, die in Szenario 1 verwendet wurden, werden auch hier verwendet. Es wird nur der NPS-Server hinzugefügt. Aufgrund der NAP-Erzwingung werden jedoch mehr Komponenten auf der Clientseite verwendet, wie in Abbildung 7 dargestellt.

fig07.gif

Abbildung 7 Hauptkomponenten der Topologie von Szenario 2 (zum Vergrößern auf das Bild klicken)

Hier werden die einzelnen Komponenten erläutert. Auf dem Windows Vista-Client besteht ein Systemintegritäts-Agent (System Health Agent, SHA) aus den clientseitigen Komponenten, die verantwortlich für das Überwachen und Melden des Systemintegritätszustands des Clients sind. Windows Vista wird mit dem Windows-SHA geliefert. Es gibt aber weitere Softwarehersteller, die an der Erstellung eines eigenen SHA arbeiten.

Der NAP-Agent auf dem Client ist für das Einrichten der Kommunikation mit dem NAP-Erzwingungsserver verantwortlich, wenn der Client versucht, auf das Netzwerk zuzugreifen. Der NAP-Agent sendet das SoH (Statement of Health) des Clients an diesen Server.

Auf dem TS-Gateway ist die TS-Ressourcenautorisierungsrichtlinie (TS-RAP) die Komponente, die Ihnen ermöglicht zu bestimmen, welche Computer verfügbar sein werden, um eingehende RDP-Anforderungen zu empfangen. Die TS-RAP bestimmt auch, welche Benutzer RDP-Verbindungen zu bestimmten Servern einrichten können.

Der zentrale NPS ist für das Kontrollieren der Bedingungen, Einschränkungen und Einstellungen, mit denen der Zugriff auf die internen Computer geregelt wird, verantwortlich. Systemintegritätsprüfungen (System Health Validators, SHVs) auf dem zentralen NPS sind dafür verantwortlich zu evaluieren, ob das vom Client gesendete SoH konform mit der Richtlinieneinstellung des Administrators ist.

Ändern wir jetzt das TS-Gateway so, dass es auf einen zentralen NPS-Server zeigt. Öffnen Sie die TS-Gateway-Managerkonsole, klicken Sie mit der rechten Maustaste auf den Namen des Servers, und wählen Sie die Option „Eigenschaften“ aus. Klicken Sie im Eigenschaftenfenster des Servers auf die Registerkarte „TS-CAP-Speicher“, und wählen Sie den zentralen NPS-Server aus. Geben Sie als Nächstes den Namen oder die IP-Adresse des NPS-Servers ein, und klicken Sie auf die Schaltfläche „Hinzufügen“. Das Fenster „Gemeinsamer geheimer Schlüssel“ wird geöffnet. Geben Sie den Schlüssel ein, und klicken Sie auf „OK“. Klicken Sie erneut auf „OK“, um das Fenster zu schließen. Sie müssen sich diesen Schlüssel merken, da er auf dem NPS-Server verwendet wird.

Sollte der NPS bereits auf einem anderen Server installiert sein, befolgen Sie die folgenden Schritte:

  1. Öffnen Sie die Netzwerkrichtlinienserver-Konsole, und klicken Sie im linken Fensterbereich auf „NPS (Lokal)“.
  2. Klicken Sie im rechten Fensterbereich auf „NAP konfigurieren“. Die Seite „Auswählen der Netzwerkverbindungsmethode zur Verwendung mit NAP“ wird angezeigt.
  3. Wählen Sie unter „Netzwerkverbindungsmethode“ die Option für Terminaldienstegateway (TS-Gateway) aus dem Dropdownfeld aus, und klicken Sie auf „Weiter“.
  4. Klicken Sie auf der Seite „NAP-Erzwingungsserver angeben, auf denen TS-Gateway ausgeführt wird“ auf die Schaltfläche „Hinzufügen“.
  5. Geben Sie in das Fenster „Neues TS-Gateway“ den Anzeigenamen und die IP-Adresse des TS-Gatewayservers ein. Geben Sie dann im unteren Bereich des Fensters den gemeinsamen geheimen Schlüssel ein, der auch für die Konfiguration von TS-Gatewayserver verwendet wird. Klicken Sie anschließend auf „OK“.
  6. Auf der Seite „Clientgeräteumleitung und Authentifizierungsmethoden konfigurieren“ können Sie festlegen, welche Geräte umgeleitet werden, und die zugelassene Authentifizierungsmethode angeben (Kennwort oder Smartcard). Behalten Sie für dieses Beispiel die Standardoptionen bei, und klicken Sie auf „Weiter“.
  7. Fügen Sie auf der Seite „Benutzer- und Computergruppen konfigurieren“ die Benutzergruppe hinzu, die die Verbindung einrichten darf. Klicken Sie für dieses Beispiel unter „Benutzergruppen: (erforderlich)“ auf die Schaltfläche „Benutzer hinzufügen“, und wählen Sie die Domänenadministratoren aus. Klicken Sie auf „OK“ und dann auf „Weiter“.
  8. Sie werden feststellen, dass auf der Seite „NAP-Integritätsrichtlinie definieren“ der Standard-SHV bereits ausgewählt ist. Außerdem wird im unteren Bereich dieser Seite der Zugriff für nicht richtlinienkonforme Computer verweigert. Behalten Sie die ausgewählten Standardeinstellungen bei, und klicken Sie auf „Weiter“.
  9. Überprüfen Sie auf der abschließenden Seite „NAP-Erzwingungsrichtlinien und RADIUS-Clientkonfiguration“ die Optionen, die bereits zuvor ausgewählt wurden. Sie können auch auf den Hyperlink „Konfigurationsdetails“ klicken, wodurch eine HTML-Seite mit einer Zusammenfassung Ihrer Auswahl geöffnet wird. Wenn Sie fertig sind, klicken Sie auf „Fertigstellen“.

Mithilfe dieses Assistenten werden die Einstellungen für eine Reihe wichtiger Richtlinien (Verbindungsanforderungsrichtlinien, Netzwerkrichtlinien und Integritätsrichtlinien) konfiguriert, wodurch die notwendige Arbeit zum Konfigurieren von NAP für dieses Szenario bedeutend verringert wird.

Was geschieht mit dem Client?

Was müssen Sie nun, da der Server eingerichtet und konfiguriert ist, in Bezug auf den Client beachten?

Um die NAP-Erzwingungsrichtlinie zu nutzen, muss der Client entweder unter Windows Server 2008 oder Windows Vista ausgeführt werden. Bei Windows XP muss SP3 installiert sein, in dem der NAP-Client enthalten ist.

Außer den Betriebssystemanforderungen gibt es einige relevante Dienste und Einstellungen, die auf der Clientseite aktiviert sein müssen. Dies beinhaltet folgende Aufgaben:

  • Hinzufügen des TS-Gatewayservernamens zur Liste vertrauenswürdiger Server auf dem Client.
  • Starten des NAP-Agent-Diensts und Setzen des Dienststarttyps auf „Automatisch“.
  • Aktivieren des TS-Gateway-Quarantäneerzwingungsclients.

Zur Vereinfachung der Bereitstellung dieser Lösung hat Microsoft den Terminaldienste-NAP-Clientkonfigurationsbefehl erstellt (Tsgqecclientconfig.cmd), der unter go.microsoft.com/fwlink/?LinkId=122267 heruntergeladen werden kann. Nach dem Ausführen des Befehls wird der Client als NAP-Erzwingungsclient für TS-Gateway konfiguriert. Beachten Sie, dass der Befehl mit erhöhten Berechtigungen ausgeführt werden muss.

In diesem Artikel sollte nicht nur das neue TS-Gatewayfeature beschrieben und erläutert werden, das unter Windows Server 2008 verfügbar ist, und veranschaulicht werden, wie es über ISA Server 2006 veröffentlicht werden kann, sondern es sollte Ihnen auch eine Gesamtperspektive auf die Sicherheitsvorteile gegeben werden, die die Kombination beider Produkte für Ihr Unternehmen bieten kann.

In der heutigen Welt stellt die Möglichkeit der Verbindungsherstellung von jedem Standort aus eine wesentliche Voraussetzung für so ziemlich jedes erfolgreiche Unternehmen dar. Natürlich darf diese Konnektivität nicht zu Lasten einer verbesserten Benutzererfahrung gehen. Noch wichtiger ist, dass all dies in einer Weise durchgeführt wird, die die Sicherheit gewährleistet.

Dr. Thomas W. Shinder ist MCSE-zertifiziert und ein MVP für ISA Server. Er arbeitet seit 1996 als Schulungsleiter, Autor und Berater im Bereich Technologie. Dr. Shinder ist Autor von sechs Büchern zur die ISA-Firewall. Er ist auch eine innovative Führungsperson und Hauptakteur von ISAserver.org, der größten Community von ISA-Firewalladministratoren und eifrigen Anhängern im Internet.

Yuri Diogenes, MCSE+S, MCTS, MCITP, Security+, Network+ und CCNP, ist der Security Support Engineer im Microsoft ISA Server/IAG-Team. Er schreibt Artikel für die Microsoft TechNet-Bibliothek und den ISA Server-Teamblog. Yuri Diogenes arbeitet seit 1993 mit Microsoft-Technologie. Bevor er sich Microsoft anschloss, hat er als Microsoft-Schulungsleiter, Supportanalyst und Berater gearbeitet.