第 13 章:《測試指南》

發佈日期: 2004 年 11 月 10 日 | 更新日期: 2005 年 5 月 26 日

本頁內容

簡介
測試範圍
測試目標
測試策略
測試工具
測試案例
發佈標準
其他資訊

簡介

此《測試指南》將協助您驗證《以憑證服務保護無線區域網路的安全》解決方案實作的運作符合預期。本章內的指南是由 Microsoft Solutions for Security (MSS) 測試小組所開發及使用,以作為解決方案內部測試的一部分。指南描述測試範圍、測試目標與策略、測試實驗室的環境、使用的工具、以及測試案例。最後,它還報告來自於 MSS 實驗室的測試結果。

本文件的目的

本章的目的是提供現成的測試架構,讓您能用於測試本身的解決方案部署。成功執行所有的測試案例之後,您應該已經極具信心,無論在測試實驗室或生產環境中部署解決方案,都能按照預期而運作。

測試範圍

測試的解決方案是以第 3 章<安全的無線區域網路解決方案架構>內所述的虛構公司為基礎。

範圍內

測試小組會執行不同類型的測試以檢驗解決方案。這些測試的不同組合又會在每個測試階段接受測試。不同類型如下:

  • 基準測試

  • 功能測試

  • 作業測試

本章稍後的<測試案例>一節中將提供這些測試的說明。

測試小組針對解決方案內使用的下列元件,而執行這三種測試類型:

  • PKI,包括:

    • 根憑證授權單位 (CA)

    • Issuing CA

  • Microsoft 網際網路驗證服務 (IAS)

  • 無線用戶端:

    • 具備 Service Pack 1 (SP1) 的 Microsoft® Windows® XP Professional

    • 具備 SP1 的 Windows XP Tablet PC Edition

此外,測試會驗證安裝解決方案的每個元件之後,用戶端是否可以如同先前一樣存取下列服務並獲得相同的功能等級。這是為了顯示因為採用任何之前列出的解決方案元件,或在設定程序中對它們進行變更,而造成功能的退步:

  • 網際網路連線

  • 網域控制站

  • IP 設定 - 動態主機設定通訊協定 (DHCP)

  • 名稱解析服務 - 網域名稱系統 (DNS)

  • 檔案服務 - 檔案伺服器

  • Web 服務 - 網際網路資訊服務 (IIS)

  • 電子郵件服務 — Microsoft Exchange 2000

  • 無線網路存取

範圍外

下列課題不在測試範圍內:

  • 解決方案的弱點評估以及滲透測試。執行這項評估與測試的商業安全性顧問。

  • 與協力廠商的「公開金鑰基礎結構 (PKI)」的整合。

  • 延伸測試下列伺服器角色 (用於驗證解決方案行為正確所需的測試之外):

    • 網域控制站、動態主機設定通訊協定 (DHCP)、網域名稱系統 (DNS)

    • Exchange Server 2000

    • Web 伺服器、檔案及列印伺服器

    • Microsoft Operations Manager (MOM)

  • 延伸測試下列用戶端服務 (這些同樣用於驗證解決方案的功能):

    • DNS 和 DHCP

    • 檔案

    • 網頁

    • 電子郵件

  • 執行下列軟體的用戶端不在測試範圍內:

    • Windows 2000 Professional

    • 執行 Windows CE 的 Pocket PC

    • Microsoft Windows NT® version 4.0

    • Windows 9x

    • 非 Windows 用戶端


測試目標

測試目標是檢驗下列內容:

  1. 解決方案中的所有說明指南均清晰、完整、而且技術正確。

  2. 解決方案提供採用「憑證服務」的安全無線區域網路(WLAN) 網路,而且對於您現有的任何基礎結構功能、效能、安全性原則等不會有不利影響。

  3. 您能輕易部署解決方案。已經取得 Windows 2000 (或 Server 2003) Microsoft 認證系統工程師 (MCSE) 憑證,或具備相等知識程度,而且熟悉「憑證服務」及 IAS 的 IT 專家,應能使用這份指南。


測試策略

為達成測試目標,測試小組開發了以 Woodgrove Bank 這家擁有 15,000 位使用者的虛構公司為基礎的實驗室。本章稍後將描述測試實驗室的環境。測試包括下列階段:

  • 解決方案作為開發程序的一部分而按單元進行測試。

  • 第一輪系統測試。

  • 第二輪系統測試。

  • 系統迴歸測試。

測試的基本基礎結構伺服器包括下列角色 (這些角色當中的一部分在伺服器上結合):

  • 網域控制站、DHCP、DNS

  • Web 伺服器、檔案及列印伺服器

  • Microsoft Exchange Server 電子郵件伺服器

  • Microsoft Outlook® Web Access 伺服器

  • Active Directory® 網域控制站

在部署任何解決方案元件之前,這些服務藉由執行基線測試來驗證。進行每一基礎結構伺服器的影像備份,以便在第二輪測試中使用。迴歸測試使用和第二輪測試相同的基礎結構。

系統測試 (第一輪與第二輪) 本身劃分為兩個增量建置階段,如下:

  1. PKI「憑證服務」階段

  2. WLAN 階段

這兩個階段的詳細說明可參閱本節稍後部分。

測試小組會記錄在特定階段中發現的任何重要問題的錯誤,而且在測試進行至下一個階段之前,會在該階段中解決所有的重大錯誤。這項策略協助測試小組迅速解決重大的課題,並節省與除錯課題相關的時間與成本。

具有多輪測試 (或多次週期) 的測試能確保:第 N 輪測試內發現的任何非重大問題,會在第 N+1 輪迴歸測試中得到解決,提供高品質的解決方案。在第三個迴歸測試週期結束前,解決方案都相當穩定。

下圖描繪了本指南中使用的解決方案階段測試方法:

圖 13.1 解決方案的階段測試方法

圖 13.1 解決方案的階段測試方法

測試階段

測試遵循邏輯階段方法。每個階段都是增量型階段,且包含下列步驟:

  1. 進入準則:階段起始

  2. 元件建置

  3. 建置上執行的不同測試類型

  4. 退出準則:階段結束

PKI 階段

此階段的進入準則是基礎結構伺服器上基線測試的成功執行。第一階段包含的步驟如下所示:

  1. PKI 建置:此步驟由網路的實作「憑證服務」組成。它包含根 CA 和發行 CA 伺服器的安裝、建置以及設定。這也是該階段的「元件建構」步驟。

  2. 執行基線測試:此步驟能確保「憑證服務」設定不會中斷已存在的基礎結構和用戶端服務。

  3. 執行功能測試:此步驟能確保 CA 在測試網路中成功實作且功能完整。

  4. 執行作業測試:此步驟能確保 CA 能由適當的管理角色管理和維護。這些測試驗證了解決方案指南中所述的各種「憑證服務」元件作業程序。

此階段的退出準則是成功完成上述所有測試。

WLAN 階段

第二個增量型階段 (WLAN 階段) 的建置,在成功完成 PKI 階段之後開始。PKI 階段的成功安裝是此階段的進入準則。第二階段以 IAS 伺服器的安裝開始,然後進入 WLAN 元件的設定。本階段包含的步驟為:

  1. IAS 建置:此步驟包括遵循解決方案指南,在總部 (HQ) 和分公司網路中安裝及設定 IAS 伺服器。

  2. WLAN 元件:此步驟包含 WLAN 元件的建置和設定。

  3. WLAN 用戶端:此步驟包括 WLAN 用戶端的設定。

  4. 執行完整的基線測試:此步驟驗證對基礎結構和用戶端服務是否有不良影響。

  5. 執行完整的功能測試:此步驟驗證解決方案是否已成功建置及實作。其中包括驗證網路內的安全無線存取服務,以及它們對於先前階段所建置 PKI 的使用。

  6. 執行完整的作業測試:此步驟確保現在可以管理和維護安全網路。包括使用作業和管理測試以重新測試「憑證服務」元件。

此階段的退出準則是成功完成上述所有測試。

測試環境

測試環境的設計目標,是為了成為 Woodgrove Bank 這類公司會使用的 IT 服務的功能子集。實驗室環境中呈現解決方案所需的所有金鑰基礎結構服務。實驗室模擬由路由廣域網路 (WAN) 連線所連結的一個總部 (HQ) 和較小的分公司。實驗室中設定下列基礎結構伺服器:

  • 網域控制站、DHCP、DNS (HQ 及分公司)

  • HQ 的 Microsoft Exchange 2000 (在 Windows Advanced Server 2000 上)

  • HQ 的 Web、檔案及列印

  • HQ 的 MOM

解決方案伺服器本身包括下列項目:

  • HQ 的根 CA

  • HQ 的發行 CA

  • 位於總部的主要和次要 IAS 伺服器,以及安裝於分公司網域控制站的次要 IAS 服務。

硬體

伺服器電腦的測試實驗室硬體組態基於解決方案指南中所提供的硬體設定檔,加上下列項目:

  • 標準桌上型用戶端

  • 標準可攜式電腦用戶端

  • 標準 Tablet PC 用戶端

  • 位於總部和分公司,具有 802.1X 功能的無線存取點 (AP)

  • 用於路由與 WAN 模擬的桌上型電腦

  • 第三層交換器

軟體

在測試實驗室中使用且適用於所有伺服器角色 (Microsoft Exchange 2000 除外) 的基本作業系統是 Microsoft Windows Server™ 2003。此外,下列軟體可用於測試:

  • Windows 2000 Advanced Server with SP3

  • Windows Server 2003 企業版

  • Windows Server 2003 標準版

  • 具備 SP3 的 Exchange 2000 Server

  • Windows XP Professional with SP1

  • Windows XP Professional with SP1 (Tablet 版)

  • MOM 2000 with SP1

  • 具備 SP3 的 Microsoft SQL Server™ 2000

  • 具備 SP1 的 Outlook 2000

若要測試安全無線存取,測試實驗室用戶端應使用下列作業系統:

  • Windows XP Professional with SP1

  • 具備 SP1 的 Windows XP Tablet PC Edition

網狀圖

下圖是測試環境的詳細圖解。

圖 13.2 測試實驗室網狀圖

圖 13.2 測試實驗室網狀圖

組態和設定

前圖顯示內建於測試實驗室,用於模擬 Woodgrove Bank 案例的網路。在此案例中,有一個包含大部分基礎結構和解決方案伺服器的總部網路,還有一個使用單一伺服器執行基礎結構與解決方案服務的分公司網路。WAN 模擬器電腦在這些網路之間提供網路延遲以及頻寬限制。測試實驗室中的組態和設定與解決方案指南中所述的一致。

測試工具

本節說明解決方案測試過程中使用的各種工具。這些工具中的大部分在安裝作業系統的指南時都會提供。或者,也可以從 Windows Server 2003 安裝媒體上的 Support\Tools 資料夾安裝。

軟體

測試時會用到下列工具:

  • Certutil — 這是功能強大、多用途的「憑證服務」公用程式工具,可用於 CA 的設定和疑難排解。

  • Certreq — 這項工具用於手動從 CA 要求憑證,可從 Windows Server 2003 安裝媒體中取得。

  • Ldifde — 這項工具使用 LDAP 資料交換格式 (LDIF) 檔案,匯入及匯出 Active Directory 的資訊。此工具用於解決方案內某些憑證範本相關的作業。

  • Ntbackup — 這項工具用於還原及備份檔案,可從 Windows Server 2003 安裝媒體中取得。

系統監視

測試期間會用到下列系統監視工具:

  • Dcdiag — 此工具分析 Active Directory 樹系中網域控制站的狀態,並報告發生的問題,幫助進行疑難排解。

  • Jetpack — 此工具用來檢驗 DHCP 資料庫的一致性。

  • Agenthelper — 此工具是MOM 公用程式,用於驗證 OnePoint 服務正在 MOM 管理的代理程式上執行。

  • PerfMon — 此工具讓您檢視系統效能記錄、警告及計數器。

  • NetMon — 此工具從流向以及流自安裝此公用程式之電腦的網路資料傳輸中擷取並篩選訊框。

  • IASparse — 此工具解釋 IAS 記錄檔,並詳細說明不同的遠端驗證撥號使用者服務 (RADIUS) 參數。

  • EventViewer — 此工具允許您檢視、篩選、匯出 Windows 應用程式、安全性,以及系統監視記錄。

  • MOM MMC — 這是 MOM 管理主控台,可監視由 MOM 伺服器管理之代理程式的資訊、警告、警訊、錯誤和重大錯誤記錄。

  • PKIHealth — 這項工具用於診斷所有跨企業 CA 的 CRL 發佈點 (CDP),以及授權資訊存取 (AIA) 的問題。

自訂指令碼

下列指令碼用於測試期間各種解決方案定義的階段:

  • ca_setup.wsf — 此指令碼包括設定和建置「憑證服務」時所需的工作命令。

  • ca_setup.vbs — 此指令碼包含用於實作 ca_setup.wsf 指令碼內所定義工作的功能程式碼。

  • ca_monitor.wsf — 此指令碼包含監視 CA 服務所需的工作命令。

  • ca_monitor.vbs — 此指令碼包含用於實作 ca_monitor.wsf 內所定義工作的功能程式碼。

  • ca_operations.wsf — 此指令碼包含執行「憑證服務」操作和監視工作時所需的工作命令。

  • ca_operations.vbs — 此指令碼包含用於實作 ca_operations.wsf 指令碼內所定義工作的功能程式碼。

  • constants.vbs — 此指令碼包含用在其他指令碼中之「憑證服務」的常數參數。

  • helper.vbs — 此指令碼包含用於憑證、IAS 和 WLAN 相關之指令碼的一般功能和變數。

  • IASAccessPrep.txt — 此文字檔包含被加入 IAS 記錄檔的標頭列,以將其轉換成 MS Access 檔案。

  • IASClientExport.bat — 此批次檔將 IAS 伺服器的 RADIUS 用戶端設定傾出至位於 A:\ 磁碟機的文字設定檔。

  • IASClientImport.bat — 此批次檔從位於 A:\ 磁碟機的文字設定檔將 RADIUS 用戶端設定匯入至 IAS 伺服器。

  • IASExport.bat — 此批次檔將 IAS 特定的設定傾出至文字設定檔。

  • IASImport.bat — 此批次檔會從文字設定檔將 IAS 特定的組態匯入至 IAS 伺服器。

  • ias_tools.wsf — 此指令碼包含設定 IAS 伺服器時所需的工作命令。

  • ias_tools.vbs — 此指令碼包含用於實作 ias_tools.wsf 指令碼內所定義工作的功能程式碼。

  • IAS_Data.bat — 此批次檔案包含設定解決方案的 IAS 伺服器時所需的命令。

  • pkiparms.vbs — 此指令碼包含「憑證服務」設定程序中所使用的使用者特定常數。

  • wl_tools.wsf — 此指令碼包含設定 WLAN 元件時所需的工作命令。

  • wl_tools.vbs — 此指令碼包含用於實作 wl_tools.wsf 指令碼內所定義工作的功能程式碼。

這些指令碼均包含在解決方案的下載套件中。

測試案例

本節詳細說明用來檢驗解決方案並確保其符合目標的測試。此外,本節包括測試案例的「通過」和「失敗」標準。列出的核心測試是完整測試案例集的小子集。完整的測試案例清單儲存在解決方案下載套件中隨附的兩個 Microsoft Excel 試算表中 (請參閱下一頁的試算表檔案參考資料)。

下列清單中的測試案例,是在實驗室依據解決方案指南而完全建置之後進行測試。網域使用者和電腦新增至適當的憑證服務和無線存取安全性群組,使用者以有線連線連接網路,而且允許登入一次,以使群組原則正確套用到無線用戶端電腦。

實驗室內會測試下列核心案例,以驗證解決方案:

  • 使用者和電腦的憑證自動註冊 — 一旦使用者透過有線網路連線登入網域,「群組原則」就會套用至使用者和電腦。使用者和電腦驗證憑證是由發行 CA 所正確發行,且憑證可用於使用者設定檔和電腦的個人憑證存放區。

  • 信任根儲存中的根和發行 CA 憑證 — 一旦使用者以有線連線登入網域後,使用者和電腦就會套用「群組原則」。使用者和電腦的憑證存放區是以憑證 MMC 來驗證;在「信任根憑證授權單位」資料夾之下,驗證根 CA 憑證是否存在。此外也在「中繼憑證授權單位」之下,驗證發行 CA 憑證是否存在。

  • IAS 伺服器驗證憑證 — 一旦建置完成且 IAS 伺服器新增至適當的安全性群組及組織單位 (OU) 後,IAS 伺服器就會重新啟動 (需要重新啟動,使電腦能取得新的群組成員資格)。每一 IAS 伺服器收到一個新的伺服器驗證憑證。這是使用憑證 MMC 以檢視電腦憑證存放區。

  • Web 伺服器提供可用的根和發行 CA 憑證以及 CRL — 從用戶端電腦上的 Internet Explorer 存取 Web 伺服器的 PKI 虛擬目錄,以驗證用戶端能檢視根和發行 CA 憑證以及 CRL。這項驗證應符合 [詳細資料] 索引標籤下,用戶端憑證內所設定的超文字傳輸協定 (HTTP) 的位置。

  • 使用驗證憑證對網路的無線存取 — 一旦使用者收到一個有效的新使用者和電腦驗證憑證之後,就會插入無線網路卡,並移除有線連線。電腦重新啟動之後,就會對 WLAN 進行電腦驗證。藉著查看 IAS 伺服器系統的事件日誌,來確認對於 WLAN 的電腦驗證。然後使用者就能登入 WLAN 中的網域。對於 WLAN 的使用者驗證,也可由 IAS 伺服器上產生的系統事件日誌來驗證。

  • 分公司使用者可用的 IAS 伺服器 — 如果分公司 IAS 服務無法使用,則使用者可以由總部的 IAS 伺服器之一進行驗證。此測試所需的設定是,將總部 IAS 伺服器作為分公司無線 AP 上的次要 IAS 伺服器。然後,關閉分公司的 IAS 服務。使用者仍然可以進行驗證,並連接 WLAN。藉著查看總部 IAS 伺服器系統事件日誌上所記錄的驗證事件,來確認驗證。

由測試小組執行,用來測試解決方案之各種類型測試案例的詳細資訊會在以下章節中說明。

基準測試

這些測試會驗證基礎結構服務。它們包括對系統測試期間所參照的伺服器和用戶端功能所進行的基本測試。

從用戶端的觀點而言,基線測試包括對基本用戶端服務的測試,例如對於網域的驗證,以及對於檔案伺服器、Web 伺服器、以及電子郵件伺服器的存取。基線測試是在解決方案建置的每一階段之後重新執行,以確認套用解決方案設定不會對現有環境功能造成任何問題。

從伺服器的觀點來看,基線測試驗證伺服器狀況是否良好且能正常運作,以及實作解決方案元件之後是否會對其角色有不良影響。

如需基線測試階段所用測試案例的更多相關資訊,請參閱解決方案隨附的 Baseline Test Cases.xls 檔案。

功能測試

這些測試的設計目標,是驗證解決方案可按照文件中的說明來建置,而且會提供預期的功能。功能測試案例包括對解決方案指引中指定的 PKI、IAS 和 WLAN 元件及服務之功能、狀態和互通性的驗證。

如需功能測試階段所用測試案例的更多相關資訊,請參閱解決方案隨附的 Functional & Operational Test Cases.xls 檔案。

作業測試

這些測試驗證解決方案中伺服器的作業、維護和管理性。這些因素於《作業指南》的第 11 章<管理公開金鑰基礎結構>以及第 12 章<管理 RADIUS 和無線區域網路安全性基礎結構>管理程序中說明。

如需作業測試階段所用測試案例的更多相關資訊,請參閱解決方案隨附的 Functional & Operational Test Cases.xls 檔案。

發佈標準

解決方案的主要發佈,與依據下列標準的未解決之錯誤的嚴重性和優先順序相連結:

  • 沒有「嚴重性」為 1 或 2 的未解決錯誤。

  • 沒有屬於任何「嚴重性」的「優先順序」為 1 或 2 的未解決錯誤。

  • 所有解決方案指南可自由註解和修訂。

  • 所有未解決錯誤都由領導小組負責分類。

  • 測試實驗室環境中的所有測試案例都成功完成。

  • 所有解決方案內容均無相衝突的陳述。

錯誤分類

下表定義測試實驗室中使用的錯誤嚴重性和優先順序定義。

表 13.1:錯誤分類

分級

嚴重性定義

優先順序定義

1

錯誤導致系統當機或資料遺失。

必須儘快修正錯誤。錯誤阻礙了此區域中的下一步進度。

2

錯誤導致重大的功能問題或其他嚴重問題,以及隱匿案例中的產品當機。

小組應在產品發佈前修正錯誤。

3

錯誤導致次要功能性問題,可能會影響品質。

若有時間應修正錯誤;這算是小問題。可能會延後。

4

錯誤中包含印刷錯誤、措辭不清楚,或在低可見性欄位中的錯誤訊息。

尚未定義。

測試結果

所有測試案例均以正面的結果通過。沒有「嚴重性」為 1 和 2,而且「優先順序」為 2 或 2 以上的未解決錯誤。這顯示已經成功達成測試目標,而且解決方案已準備好可以公開發佈。

診斷資訊

下列秘訣對於測試期間的問題疑難排解很有幫助:

  • 建立 HKCU\Software\Microsoft\Cryptography\Autoenrollment\AEEventLogLevel {DWORD 設定為 0}。然後自動註冊會登入「應用程式事件」日誌。在 HKLM 中為電腦註冊建立同樣的登錄機碼。

  • 確定無線 AP 與 IAS 伺服器上的共用密碼相同且正確 (從機密檔案使用複製及貼上功能)。否則,AP 將不會作為 RADIUS 用戶端而向 IAS 伺服器驗證。如此會在 IAS 伺服器上產生具有一個下列資訊或其他資訊的錯誤記錄:

    • 無效的驗證者

      - 或 -

    • 無效的訊息驗證者屬性。

  • 如果 IAS 伺服器產生「事件識別碼」為 2 的警告記錄,原因為「由於使用了未知的使用者名稱或錯誤的密碼,驗證失敗」,則請確定 IAS 伺服器上的「無線遠端存取原則」有正確設定。此外,還要確認使用者是否已新增至適當的無線安全性群組。

  • 如果 IAS 伺服器產生了「事件標識碼」為 2 的警告記錄,原因為「憑證鏈處理正確,但 CA 憑證中有一個不受原則提供者信任」,則請確認您是否能基於目前的發行 CA 憑證,以驗證 IAS 伺服器憑證和使用者憑證。同時確定在使用者憑證存放區中存在有效的根 CA 和發行 CA 憑證。

  • 如果 SCHANNEL 產生了「事件標識碼」為 36877 的警告記錄,原因為「從遠端用戶端應用程式接收的憑證未正確驗證。錯誤碼為 0x80096004。附加資料包含用戶端憑證,則請確定使用者及電腦的無線驗證憑證未過期或未遭撤銷。

  • 如需更多的診斷資訊,請參閱《作業指南》章內的<疑難排解>一節。


其他資訊

如需有關測試的更多資訊,請參閱解決方案的《規劃指南》、《建置指南》和《作業指南》。下列連結還提供了可在測試期間協助進行問題疑難排解的有用參考資訊:


顯示: