Musterlösung für Schulen in Baden-Württemberg. Windows Zugriff von extern (ISA-Server 2006) Version 1.2. Stand:

Transkript

1 Musterlösung für Schulen in Baden-Württemberg Windows 2003 Zugriff von extern (ISA-Server 2006) Version 1.2 Stand:

2 Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg Autoren Martin Resch Johannes Kühn Endredaktion Martin Resch Andreas Mayer Weitere Informationen Zentrale Planungsgruppe Netze (ZPN)

3 Inhaltsverzeichnis Inhaltsverzeichnis 1.Grundlagen Ziele Fernwartung mit VPN und RDP Vorbereitungen im Active Directory Remotezugriff der Server aktivieren VPN am ISA-Server aktivieren Regel für Remotezugriff erstellen Korrektur der DNS-Einstellung Testen in der Schulungsumgebung Aufruf von zu Hause Weitere Möglichkeiten mit RDP RDP auf XP-Clients oder einem Terminalserver Konfiguration der Clients Veröffentlichungsregel am ISA Anmeldung in der Schulungsumgebung Aufruf von zu Hause Veröffentlichen von Exchange Voraussetzungen Verwenden des setup-skripts Erstellen der Veröffentlichungsregel Test in der Schulungsumgebung Zugriff auf Tausch- und Homeverzeichnisse Einrichten von Webfreigaben Veröffentlichung von Webfreigaben Nutzen der Webfreigaben Zugriff auf die Schulkonsole Anhang Router und Ports Verwendung von Dyndns Hinzufügen von Zertifikaten am Client Internetexplorer Firefox

4 Grundlagen 1. Grundlagen 1.1. Ziele Aus Administrator- wie Benutzersicht wünscht man sich die Trennung zwischen Intranet und Internet aufgehoben; alle Ressourcen der Schule sollen möglichst auch von zuhause verfügbar sein. Diese Wünsche werden konterkariert durch den Anspruch an die Sicherheit des Systems: die wenigsten Sicherheitseinstellungen, die den Clients im Schulnetzwerk mitgegeben werden, lassen sich auch an privaten Rechnern durchsetzen. Am eigenen Rechner hat jeder Schüler oder Lehrer Administratorenrechte, ein zuverlässiger Virenschutz ist nicht gewährleistet usw. Auch sollen die Dienste nicht jedem über das Internet zur Verfügung stehen, eine Absicherung durch Passwörter ist genauso selbstverständlich wie ein ausgeklügeltes Rollenmodell. Folgende Dienste des Musterlösungsserver sind prinzipiell nach außen darstellbar: Remoteverwaltung für den Administrator. Zugriff auf das schulinterne system/Terminplaner für alle Benutzer (OWA). Zugriff auf auf Home- oder Tauschverzeichnisse. Zugriff auf die Schulkonsole für Lehrer. Zugriff auf weitere webbasierte Dienste wie z.b. E-Learningsysteme. Zugriff auf in der Schule installierte Programme. Zugriff auf Hardware-Ressourcen wie Drucker. In diesem Dokument werden für die alle Punkte Lösungen vorgeschlagen. Aus Performance- wie Sicherheitserwägungen sollten jedoch veröffentlichte Websites grundsätzlich beim Provider (oder bei BelWue) gehostet werden. Die letzten beiden Punkte lassen sich durch die Veröffentlichung eines Terminalservers ermöglichen, der jedoch auf einer eigenen Maschine mit entsprechender Lizenzierung laufen muss. Alternativ lässt sich das jedoch auch dadurch erreichen, dass einzelne Windows XP-Rechner für den Fernzugriff freigegeben werden. 4

5 Fernwartung mit VPN und RDP Kapitel 2 2. Fernwartung mit VPN und RDP Für Administratoren ist diese Möglichkeit ebenso sicher wie bequem. Über VPN 1 wird eine abgesicherte2 Verbindung zwischen Rechner zu Hause und Server in der Schule geschaffen. Mit dem über Bordmittel verfügbaren RDP3 kann man sich anschließend an jedem Server anmelden und so arbeiten, als säße man direkt an diesem. Gegenüber der reinen RDP-Veröffentlichung bietet dieses Verfahren einen großen Zugewinn an Sicherheit. Zum Einrichten einer solchen Verbindung sind eine Reihe von Schritten erforderlich, die zum Teil am zu erreichenden Server, zum Teil am ISA-Server durchzuführen sind Vorbereitungen im Active Directory Im Active Directory müssen Sie zwei Einstellungen vornehmen: zum einen legen Sie eine neue Gruppe der VPN-Benutzer an (die später im ISA eingetragen wird), zum anderen erlauben Sie bestimmten Benutzern die Einwahl von außen. Da es sich um eine überschaubare Anzahl handeln wird, nehmen Sie die Einstellungen einzeln vor. 1 Virtual Private Network, 2 Die Verbindung ist dabei so sicher wie das verwendete Benutzerpasswort - ein ausreichend langes, komplexes Passwort (über 12 Zeichen mit Ziffern und Sonderzeichen) wird empfohlen. 3 Remote Desktop Protocol, 5

6 Fernwartung mit VPN und RDP Übung 1: 1. Erstellen Sie im AD unter Gruppen die neue Gruppe VPN-Benutzer Klicken Sie hierzu mit der rechten Maustaste auf Gruppen, und wählen Sie dann Neu Gruppe Geben Sie den Gruppennamen an und klicken Sie auf Weiter. Da die Benutzer nur für die VPN-Einwahl bestimmt sind, müssen Sie für diese Gruppe keinen -Verteiler erstellen. Klicken Sie also erneut auf Weiter und dann auf Fertig stellen. 6

7 Fernwartung mit VPN und RDP Kapitel 2 2. Erstellen Sie einen neuen Benutzer für den Fernzugriff. Dieser Benutzer sollte keinerlei administrative Berechtigungen erhalten. Klicken Sie mit der rechten Maustaste auf die OU users und wählen Sie Neu Benutzer. Geben Sie nun einen aussagekräftigen Namen und einen Anmeldenamen ein. Nach dem Klick auf Weiter werden Sie nach einem Passwort gefragt, dass Sie wiederholen müssen. Achten Sie unbedingt auf ein sicheres Passwort! Als Beispiel verwenden Sie hier vpn4me@home! Nach Weiter entfernen Sie den Haken bei -Konto anlegen. Schließen Sie den Vorgang anschließend ab. 3. Nun müssen Sie den Benutzer für die Einwahl freischalten. Klicken Sie dazu mit der rechten Maustaste auf den Benutzer ( VPN Admin), wählen Sie Eigenschaften und dort den Reiter Einwählen. Setzen Sie dort oben die Option Zugriff über RAS-Richtlinien steuern und unten einen Haken bei Statische IP-Adresse zuweisen. Über diese Information wird später der ISA-Server so konfiguriert, dass Sie ihn über Ihren PC mit dieser Abmeldung administrieren können. 7

8 Fernwartung mit VPN und RDP Vergeben Sie eine IP-Adresse aus dem Bereich X. (Auf jeden Falle muss es eine Adresse außerhalb des Bereichs der internen Netzwerkkarte 10.1.X.X sein). Wechseln Sie anschließend auf den Reiter Mitglied von und wählen Sie über Hinzufügen die Gruppe VPN-Benutzer. Achten Sie noch einmal darauf, dass Ihr Benutzer in keiner weiteren Gruppe (außer Domänenbenutzer) ist. Dieser Benutzer dient nur der VPN-Einwahl und soll sich auf keiner Arbeitsstation im Netz anmelden können. Klicken Sie dazu auf den Reiter Konto und dann auf den Button Anmelden. Stellen Sie die Option Folgenden Computer ein, tragen Sie einen beliebigen, nicht existierenden Computernamen ein und klicken Sie auf Hinzufügen. Mit zweimal OK schließen Sie die Konfiguration ab. 4. Wollen Sie weiteren Benutzern die Einwahl erlauben, wiederholen Sie für diese jeweils die Schritte 2. und 3. Vergeben Sie aber fortlaufend neue IP-Adressen, also usw. Sollen mehrere Personen zeitgleich VPN nutzen können, so müssen Sie auch mehrere Einwahlbenutzer anlegen, da Sie eine feste IP an Benut- 8

9 Fernwartung mit VPN und RDP Kapitel 2 zer vorgeben. Lizenzbedingt können aber immer nur zwei Remoteadministratoren zugleich per RDP arbeiten Remotezugriff der Server aktivieren Bei jedem Server, der per Fernwartung administriert werden soll, müssen Sie jetzt den Remotedesktop freischalten. Dadurch sind (neben dem lokal angemeldeten Benutzer) gleichzeitig bis zu zwei Remoteanmeldungen für administrative Zwecke möglich. Übung 2: 1. Melden Sie sich als Administrator an einem Server an. Klicken Sie mit der rechten Maustaste auf den Arbeitsplatz und wählen Sie Eigenschaften. Dann wählen Sie den Reiter Remote. Sie müssen nun den Haken bei Remotedesktop auf diesem Computer aktivieren setzen und die Einstellung mit OK abschließen. In einer Mehrserverlösung wiederholen Sie diesen Schritt gegebenfalls auf den anderen Servern. 9

10 Fernwartung mit VPN und RDP 2.3. VPN am ISA-Server aktivieren In der folgenden Übung werden Sie am ISA-Server den VPN-Zugriff aktivieren.4 Starten Sie zunächst die ISA-Verwaltungskonsole über Start Programme Microsoft ISA Server ISA Server Verwaltung. Übung 3: 1. Klicken Sie links in der ISA-Verwaltung auf den Servernamen und dann auf virtuelle private Netzwerke. Falls notwendig, klappen Sie rechts am Rand durch das schmale Pfeilsymbol den Aufgaben-Bereich aus. 2. Klicken Sie rechts im Aufgabenbereich auf VPN-Clientzugriff konfigurieren und aktivieren unter Allgemein Sie den Zugriff. Stellen Sie die Anzahl an Clients ein, die maximal gleichzeitig auf den Server Zugriff haben sollen. Unter Gruppen fügen Sie die zuvor angelegte Gruppe VPN-Benutzer hinzu. 4 Die Vorgehensweise entspricht genau der unter beschriebenen zum ISA Dort erfahren Sie auch etwas dazu, was im Hintergrund konfiguriert wird. 10

11 Fernwartung mit VPN und RDP Kapitel 2 Die anderen beiden Einstellungen belassen Sie bitte unverändert. Klicken Sie auf OK. Die folgende Warnmeldung können Sie ignorieren, da wir nur einen ISA-Server verwenden. 3. Fahren Sie fort mit dem Punkt Zugriffsnetzwerke auswählen. Aktivieren Sie durch Ankreuzen das Netzwerk Extern. Im zweiten Formular unter dem Reiter Adresszuweisung belassen Sie den Haken bei DHCP, wählen aber darunter das Netzwerk Intern aus. Im Bereich Authentifizierung wählen Sie nur die oberste Option (MSChap V2), da dies die sicherste der angebotenen Methoden für Authentifizierung mit Benutzername und Kennwort ist. 11

12 Fernwartung mit VPN und RDP Die Einstellungen unter Radius bleiben unverändert; schließen Sie die Aktion mit OK ab und übernehmen Sie sie durch Übernehmen (oben in der Mitte) in den ISA. Die Einstellungen für den VPN-Zugriff sind damit abgeschlossen, Sie können sich ab sofort von außen in Ihr Netz einwählen Regel für Remotezugriff erstellen Durch das bisherige Vorgehen können Sie sich nun per VPN-Tunnel am ISA-Server einwählen, allerdings bleibt das andere Ende des Tunnels zunächst verschlossen. Über Zugriffsregeln müssen Sie jetzt noch dezidiert festlegen, was anschließend passieren soll. Ab dem ISA 2004 können Sie nämlich Quelle wie Zielserver als auch zu verwendende Protokolle beliebig festlegen. In der folgenden Übung sollen die administrativen VPN-Benutzer Zugriff auf den Remotedesktop aller Server und alle weiteren Ressourcen im Netz erhalten. Starten Sie zunächst die ISA-Verwaltungskonsole über Start Programme Microsoft ISA Server ISA Server Verwaltung. Übung 4: 1. Erstellen Sie einen neuen Computersatz mit den IP-Adressen, die Ihre Server verwalten dürfen. Wechseln Sie dazu in der ISA Verwaltung auf Firewallrichtlinie und dort rechts auf den Reiter Toolbox. Dort klicken Sie mit der rechten Maustaste auf Computersätze und wählen neuer Computersatz. 12

13 Fernwartung mit VPN und RDP Kapitel 2 Verwenden Sie wie abgebildet einen aussagekräftigen Namen und klicken Sie anschließend auf Hinzufügen Adressbereich. Hier geben Sie jetzt den Bereich der im AD vergebenen IPs an: Im abgebildeten Beispiel wurden fünf IP-Adressen im AD reserviert. Mit OK speichern Sie die Einstellung, um sie in den ISA zu übertragen, müssen Sie wie immer oben in der Mitte auf Übernehmen klicken. 2. Jetzt erstellen Sie die Zugriffsregel für die administrative Verwaltung. Klicken Sie zunächst in der Mitte auf die Standardregel, um so die Position der neuen Regel festzulegen. Wechseln Sie rechts auf den Reiter Aufgaben und klicken Sie dann auf Zugriffsregel erstellen. Geben Sie der neuen Regel den Namen VPN ins Netz und klicken Sie auf Weiter. Wählen Sie Zulassen und Weiter. Nun müssen Sie das Protokoll auswählen. Klicken Sie dazu auf den Pfeil und wählen Sie gesamten ausgehenden Datenverkehr5, dann Weiter. Bei den Quellen fügen Sie jetzt unter Computersätze Ihren zuvor angelegten Computersatz VPN-Verwaltungscomputer hinzu. 5 Aus Sicherheitgründen könnten Sie das einschränken, das führt hier aber zu weit. 13

14 Fernwartung mit VPN und RDP Bei den Zielen wählen Sie analog aus der Kategorie Netzwerke Intern und lokaler Host aus6. Alle Benutzer können Sie belassen - Sie können hier aber auch die VPNBenutzer als neue Benutzergruppe anlegen. 3. Stellen Sie die Regel jetzt fertig und übernehmen Sie sie in den ISA. Hinweis: Sie können jetzt auch auf alle Ressourcen des Intranets zugreifen, also z.b. auf Freigaben der Server und Clients (dazu ist eine weitere Authentifizierung als Benutzer mit entsprechenden Rechten erforderlich) Korrektur der DNS-Einstellung Sobald Sie eine VPN-Einwahl durchführen, arbeitet Ihr Server als Router zwischen dem VPN-Client und dem internen Netz. Er bekommt daher eine weitere IP-Adresse, z.b , die so auch im DNS eingetragen wird. Wenn Sie später auch den SSL-Zugang konfigurieren, kommt es zu Problemen bei der Namensauflösung und ein Aufruf von internen Webseiten funktioniert nicht mehr (Schulkonsole, OWA,...). Sie müssen daher am DNS eine Einstellung abändern. Übung 5: 1. Starten Sie am ISA-Server über Start Verwaltung DNS die DNS-Konsole. 2. Klicken Sie mit der rechten Maustaste im linken Bereich auf Ihren Server und wählen Sie Eigenschaften. 3. Ihr DNS-Server soll nur auf die interne Netzwerkkarte hören. Wählen Sie die Einstellung wie abgebildet auf nur folgende IP-Adressen, und entfernen Sie gegebenenfalls alle anderen IP-Adressen außer , indem Sie sie anklicken und dann Entfernen betätigen. 6 Auch hier könnten Sie natürlich Einschränkungen vornehmen. 14

15 Fernwartung mit VPN und RDP Kapitel 2 4. Schließen Sie die Konfiguration mit OK ab Testen in der Schulungsumgebung Für die folgende Übung wird vorausgesetzt, dass Sie die o.a. Konfigurationen wie abgebildet vorgenommen haben, der Server die externe IP erhalten hat Ihr Client über ein Cross-over-Kabel oder einen Hub/Switch mit der externen Servernetzwerkkarte verbunden ist, Ihr Client passende Netzwerkeinstellungen (Beispiel s. Abbildung) eingetragen hat. Unter VM-Ware: Stellen Sie die externe Netzwerkkarte des Servers und die des Clients auf Custom/VMnet47 Tragen Sie bei der externen Netzwerkkarte des Servers die externe IP ein. Konfigurieren Sie den Client wie angegeben. Sie müssen sich dann dort lokal anmelden. 7 Mit dem VMWare-Player ist das leider nicht über die grafische Oberfläche möglich. Editieren Sie hierzu (bei abgeschalteter Maschine!) die Konfigurationsdatei im jeweiligen Verzeichnis (z.b. Windows XP Professional.vmx). Sie müssen am Server ethernet1, am Client ethernet0 anpassen. ethernet0.connectiontype = "custom" ethernet0.vnet = "Vmnet4" Die anderen beiden Zeilen lassen Sie bitte unverändert. 15

16 Fernwartung mit VPN und RDP (Rechte Maustaste auf Netzwerkumgebung Eigenschaften, Rechte Maustaste auf LAN-Verbindung Eigenschaften, Internetprotokoll anklicken, Eigenschaften). Achten Sie weiterhin darauf, dass kein Proxyserver im IE eingetragen ist (Extras Internetoptionen Verbindungen Laneinstellungen). Der Firewallclient nicht aktiv ist. Übung 6: (Erstellen der VPN-Verbindung am externen Client) 1. Klicken Sie mit der rechten Maustaste auf die Netzwerkumgebung und wählen Sie anschließend Eigenschaften aus. 2. Doppelklicken Sie auf Assistent für neue Verbindungen, um den Assistenten zu starten. 3. Machen Sie im Laufe des Assistenten folgende Angaben: Netzwerkverbindungstyp: Verbindung mit einem Netzwerk am Arbeitsplatz herstellen. Netzwerkverbindung: VPN Verbindung. Verbindungsname: Vergeben Sie einen beliebigen Namen für die Verbindung (hier: VPN-Schule). VPN Serverauswahl: geben Sie hier den externen Hostnamen (z.b. ml-test.dyndns.info) oder die externe IP-Adresse des ML-Servers ein. In der Schulungsumgebung ist das Beim Fertigstellen des Assistenten können Sie eine Verknüpfung auf dem Desktop erstellen. In den folgenden Übungen wird nun zunächst die VPN- und dann die RDP-Verbindung aufgebaut. 16

17 Fernwartung mit VPN und RDP Kapitel 2 Übung 7: 1. Doppelklicken Sie auf die neue Desktop-Verknüpfung VPN-Schule. 2. Im nachfolgenden Fenster geben Sie den Benutzernamen und das Kennwort für einen Benutzerkonto im Ziel-LAN mit Einwahlberechtigungen ein. Verwenden Sie hier also Fernzugriff und vpn4me@home!. 3. Die Verbindung wird nun hergestellt und als Symbol unten rechts in der Taskleiste angezeigt. 4. Um die Verbindung wieder zu trennen, müssen Sie erneut auf die Desktop-Verknüpfung VPN-Schule doppelklicken und dann dort auf Trennen. Nach erfolgreicher Verbindung können Sie nun den RDP-Client starten. Übung 8: 1. Klicken Sie auf Start Alle Programme Zubehör Kommunikation Remotedesktopverbindung. 2. Geben Sie den Servernamen oder die IP-Adresse (hier bei der Musterlösung) des Servers im Intranet ein und klicken Sie auf Verbinden. 3. Anschließend sehen Sie den Anmeldebildschirm Ihres Servers. Sie können nun am Server arbeiten, als säßen Sie direkt davor. 4. Testen Sie einige Funktionen auf dem Server. 5. Achten Sie beim Beenden Ihrer Sitzung unbedingt darauf, dass Sie sich abmelden und nicht aus Versehen Ihren Server herunterfahren! Ein Starten ist Remote nämlich nicht möglich... Wenn Sie zwischen Ihrem Rechner zu Hause und dem Schulserver Daten austauschen wollen, können Sie vor der Einwahl festlegen, dass Ihre lokalen Laufwerke in der RDPDienst eingebunden werden.8 Übung 9: 1. Bauen Sie, falls nicht noch verbunden, eine VPN-Verbindung zum Server auf. 2. Starten Sie das Remotedesktopverbindungsprogramm, klicken Sie aber vor dem Verbinden auf Optionen. 8 Weitere Einstellungsmöglichkeiten sind über den Hilfe-Button beim RDP-Clientprogramm verfügbar. 17

18 Fernwartung mit VPN und RDP 3. Klicken Sie auf der Registerkarte Lokale Ressourcen unter Lokale Geräte auf Laufwerke. 4. Klicken Sie auf Verbinden, die eventuell angezeigte Sicherheitswarnung können Sie ignorieren. 5. Wählen Sie nach Aufbau der Verbindung den Arbeitsplatz. Sie bekommen jetzt die Laufwerke Ihres Clients angezeigt. 6. Kopieren Sie eine Datei von Ihrem Server auf die lokale Festplatte C:, melden Sie sich ab und kontrollieren Sie den Erfolg der Aktion Aufruf von zu Hause Zu Hause müssen in der Netzwerkverbindung keine Einstellungen vorgenommen werden, hier muss nur die VPN-Verbindung angelegt werden und beim Verbinden eine Internetverbindung aufgebaut sein. Als Serveradresse benötigen Sie eine feste IP (z.b. von Belwü) oder ein DNS-Alias z.b. von DYNDNS. Außerdem benötigen Sie die RDP-Clientsoftware. Beim Betriebssystem Windows XP (oder Vista) ist diese wie o.a. bereits dabei, bei Windows 2000 oder können Sie sie kostenlos bei Microsoft ( herunterladen. 18

19 Weitere Möglichkeiten mit RDP Kapitel 3 3. Weitere Möglichkeiten mit RDP 3.1. RDP auf XP-Clients oder einem Terminalserver Auch auf XP-Rechnern gibt es den Remotedesktop (für Windows 2000 ist es leider nicht verfügbar oder nachrüstbar), mit der Einschränkung, dass sich gleichzeitig nur ein Benutzer lokal oder remote anmelden kann. Dafür ist die Remoteanmeldung nicht auf Administratoren beschränkt. Beliebig viele Benutzer können sich, entsprechende Ressourcen und Lizenzen vorausgesetzt, auf einem Terminalserver anmelden. Die Vorgehensweise bei der Veröffentlichungsregel ist exakt die gleiche; in der Schulungsumgebung wird deshalb exemplarisch der XP-Client geübt. Da ein solcher Benutzer Programme und Ressourcen der Schule wie vor Ort nutzen kann, kann ein solches Konzept z.b. für die Unterrichtsvorbereitung für Kollegen sinnvoll sein. Auch ein Dateiaustausch zwischen daheim und Schule ist auf die oben beschriebene Weise möglich Konfiguration der Clients Vorweg muss man dem Client - am besten über DHCP-Reservierung9 - eine feste IP zuweisen. Die Freischaltung des Remotedesktop-Dienstes sowie das Zuweisen der dafür berechtigten Benutzer nimmt man am einfachsten über Gruppenrichtlinien vor. Möchte man nicht alle Clients in einer OU dafür vorsehen, so kann man die Wirkung der Gruppenrichtlinie auch einschränken.10 Übung 10: 1. Erstellen Sie eine neue Gruppenrichtlinie mit der Bezeichnung RDP EDV1 für die OU EDV1. 2. Wählen Sie Bearbeiten und gehen Sie zu Computerkonfiguration Administrative Vorlagen Windows-Komponenten Terminaldienste Remoteverbindungen für Benutzer mit Hilfe der Terminaldienste zulassen und 9 Eine Anleitung hierzu finden Sie z.b. unter 10 Analog zu der Beschreibung auf dem LFB. 19

20 Weitere Möglichkeiten mit RDP setzen Sie diese Einstellung auf Aktiviert. 3. Per Default haben nur Administratoren die Berechtigung für den Remotezugriff. Allerdings können Sie ebenfalls über die Gruppenrichtlinie weiteren Benutzern das Remote-Anmelderecht erteilen. Gehen Sie dazu auf Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten und mit Doppelklick auf Anmelden über Terminaldienst zulassen und fügen Sie die Gruppen Remotedesktopbenutzer, Schule\Domänen-Admins sowie Schule\G_Lehrer hinzu. 4. Starten Sie den Client im Intranet neu Veröffentlichungsregel am ISA Diesmal wird der direkte Zugriff auf den Client per RDP-Protokoll veröffentlicht. Damit Sie die Möglichkeit haben, mehrere Clients zu veröffentlichen, weisen wir jedem einen eigenen Port zu. Übung 11: 1. Starten Sie auf dem Server die ISA-Verwaltung und navigieren Sie zur Firewallrichtlinie. Klicken Sie auf die unterste Regel, Standardregel, um vor dieser eine neue anzulegen. 2. Klappen Sie (falls nicht bereits geschehen) den rechten Bereich aus und wählen Sie den Reiter Aufgaben. Klicken Sie auf Nicht-Webserver-Protokolle veröffentlichen. 3. Geben Sie der neuen Regel einen klaren Namen, z.b. RDP-Zugriff auf PC1. 4. Als Serveradresse tragen Sie jetzt die feste IP-Adresse Ihres Clients ein, z.b Wählen Sie das Protokoll RDP-(Terminaldienste) Server. Klicken Sie auf dem selben Formular noch auf Ports. 20

21 Weitere Möglichkeiten mit RDP Kapitel 3 6. Im neu sich öffnenden Formular wählen Sie im ersten Bereich Firewallports die untere Option und geben eine Portadresse ein (eine beliebige Adresse zwischen und 50000, die diesen Client später kennzeichnet) Bei Netzwerklistener-IP-Adressen setzen Sie einen Haken bei Extern. 8. Klicken Sie auf Fertigstellen, und übernehmen Sie die Regel im ISA. Diese Vorgehensweise müssen Sie für jeden zu veröffentlichen Client mit einer anderen Portnummer wiederholen Anmeldung in der Schulungsumgebung Zunächst gelten die unter 2.6 genannten Voraussetzungen. Diesmal ist allerdings keine VPN-Anmeldung vorweg notwendig, statt dessen benötigen Sie die in der ISA-Regel vorgegebene Port-Nummer. Übung 12: 1. Starten Sie den RDP-Client auf dem im externen Netz angeschlossenen Client und geben Sie die Adresse :12345 ein. 11 Sie müssen für diesen Port auch in Ihrem Router eine Weiterleitung einrichten, so dass sich Ihr PC überhaupt mit dem ISA von außen verbinden kann. Näheres siehe Anhang. 21

22 Weitere Möglichkeiten mit RDP 2. Melden Sie sich als ein Lehrer an. Kontrollieren Sie im Arbeitsplatz, ob Ihre gewohnten Laufwerke zur Verfügung sehen. Starten Sie die Schulkonsole und kontrollieren Sie Computername und Raumzuordnung. Wichtiger Hinweis: Aus Sicherheitsgründen sollten Sie sich so nie als Administrator anmelden! Benutzen Sie dafür stets zuerst die VPN-Einwahl, um so bereits bei der Anmeldung eine besonders sichere Authentifizierung und Verschlüsselung zu haben. Nach Anmeldung per VPN verwenden Sie anschließend einfach den RDP-Client mit der Client-IP Aufruf von zu Hause Sobald der anzusteuernde Remote-Server (also der XP-Rechner in der Schule) angeschalten ist und sich kein anderer Benutzer daran angemeldet hat, ist er über das Internet verfügbar. Der Benutzer zu Hause benötigt lediglich einen Remotedesktopclient (s.o), die URL/feste IP der Schule und die konfigurierte Portadresse. Bei mehreren "XP-Servern" wird anhand des Ports entschieden, an welchen Rechner sich die Anfrage richtet. 22

23 Veröffentlichen von Exchange Kapitel 4 4. Veröffentlichen von Exchange Der Zugriff von außen auf einen Exchangeserver ist ein Standardszenario und wird deshalb vom ISA 2006 Server durch einen Assistenten unterstützt. Aus Sicherheitsgründen erfolgt der Zugriff über eine gesicherte und verschlüsselte so genannte SSLVerbindung12, die für Dritte nur sehr schwer bzw. nur mit immensem Zeitaufwand zu entschlüsseln ist. Für die Verschlüsselung ist ein Zertifikat notwendig, welches Sie selbst erstellen oder käuflich von einer öffentlichen Zertifizierungsstelle, z.b. VeriSign erwerben können. Da das Zertifikat relativ teuer ist, erstellen wir es automatisch selbst. Mit einer Einschränkung müssen Sie dadurch leben: ein solches Zertifikat kann nicht bis zur Zertifizierungsstelle überprüft werden, da die Zertifizierungsstelle nicht existiert. Aufgrund dessen werden Sie beim externen Zugriff einen Sicherheitshinweis erhalten, dass das Zertifikat fehlerhaft ist. Die Verbindung erfolgt aber trotzdem verschlüsselt und Sie können somit den Sicherheitshinweis ignorieren Voraussetzungen Musterlösung mit ISA Server Feste externe IP-Adresse des Servers oder Router und DYNDNS-Konto mit eingerichtetem IP-Update. Bei Verwendung eines Routers (empfohlen!) feste IP der externen Netzwerkkarte und Weiterleitung des Ports TCP 443 an diese externe IP des Servers bzw. Eintrag des Servers als DMZ-Server im Router Verwenden des setup-skripts Entpacken Sie das Paket SSL_ISA06.exe14 durch einen Doppelklick auf dem (ISA-)Server. Die Dateien werden dadurch automatisch auf D:\Install\ML_Erweiterungen\WebAccess-SSL abgelegt. Im einzelnen finden Sie dort: 12 Secure Sockets Layer siehe 13 Was Sie sich natürlich nicht allgemein angewöhnen sollten - tritt solch ein Hinweis beim Onlinebanking auf, sollten Sie den Vorgang sofort abbrechen. In unserem Fall hätten Sie allerdings die Möglichkeit, das Zertifikat zu denen, denen Sie vertrauen, hinzuzufügen, so dass es in Zukunft zu keinen Fehlermeldungen mehr kommt. 14 Als angemeldete Schule bei supportnetz herunterzuladen. 23

24 Veröffentlichen von Exchange setup.vbs Skript zum Konfigurieren des Webabhörers und Erstellen des Zertifikats. selfssl.exe Programm von Microsoft15 zur Zertifikaterzeugung. Zertifikate.msc Tool zum Anzeigen und Verwalten von Zertifikaten. Funktion und Aufgaben des Skripts: 1. Wenn auf dem ISA-Server gleichzeitig der IIS-Dienst16 läuft, wird zunächst das Socket Pooling des IIS deaktiviert. Der IIS hört danach nur noch das interne Interface am Port 80 (HTTP) und 443 (HTTPS) ab Durch den Aufruf von selfssl wird ein Zertifikat auf die öffentliche IP bzw. URL der Schule angelegt. Dieses ist ca. 5 Jahre lang gültig. Übung 13: 1. Starten Sie das setup-skript durch Doppelklick. 2. Geben Sie als öffentliche IP ein und schließen Sie die Installation ab. 3. Starten Sie anschließend durch Doppelklick Zertifikate.msc. Dort können Sie das erstellte Zertifikat sehen und gegebenenfalls auch wieder löschen, falls sich Ihre Daten ändern sollten Erstellen der Veröffentlichungsregel Nun sind eine ganze Reihe von Schritten durchzuführen, um den Exchangeserver zu veröffentlichen. Übung 14: 1. Starten Sie die ISA-Verwaltungskonsole. Wechseln Sie in den Bereich Firewallregel und klicken Sie auf die unterste Regel Standardregel. 2. Klappen Sie den rechten Teil auf und wählen Sie den Reiter Aufgaben. Klicken Sie auf den Link des obersten Assistenten, Exchange-Webclientzugriff veröffentlichen. 3. Als Name wählen Sie Exchange Veröffentlichung per SSL. 4. Das nächste Dialogfenster lassen Sie unverändert und klicken Sie Weiter. 15 SelfSSL ist Bestandteil der IIS6 Resource Kit Tools, welches Microsoft kostenfrei zum Download bereit stellt (5,8 MB) 16 Internet Information Services, Webserverdienst von Microsoft, läuft in der Einoder Zweiserverlösung und ist für Exchange wie auch Intranetdienste wie die Schulkonsole notwendig. 17 Hintergründe dazu können Sie unter nachlesen. Sie müssen sie jedoch nicht verstehen. 24

25 Veröffentlichen von Exchange Kapitel 4 5. Auch im nächsten Schritt klicken Sie nur auf Weiter. 25

26 Veröffentlichen von Exchange 6. Der nächste Schritt betrifft die Kommunikation zwischen ISAund Exchange-Server. Aktivieren Sie Nicht sichere Verbindungen Jetzt müssen Sie den vollen internen Namen des Exchange-Servers angeben. In unserem Fall ist das s1.schule.local. (in der Mehrserverlösung entsprechend s2). Setzen Sie zudem den Haken bei Name oder IP.Adresse eines Computers veröffentlichen... und geben die IP des entsprechenden Servers ein. 26

27 Veröffentlichen von Exchange Kapitel 4 8. Nun geben Sie den öffentlichen Namen/feste IP Ihres Schulnetzes ein. In unserem Fall ist das die externe IP des Servers. 9. Im nächsten Schritt wird mit dem Weblistener die Schnittstelle nach außen abgefragt. Da wir noch keine definiert haben, müssen wir das jetzt tun. Bitte beachten Sie, dass wieder pro IP-Adresse und Port nur ein solcher Listener möglich ist. Klicken Sie jetzt auf Neu, und ein weiterer Assistent erscheint. Legen Sie jetzt zuerst wieder einen Namen fest, SSL auf Diesmal geht es um die Verbindung nach außen, wir belassen also das sichere SSL-Protokoll. 11. Setzen Sie einen Haken bei Extern. 12. Jetzt müssen Sie das Zertifikat auswählen, dass Sie zuvor erzeugt hatten. Klicken Sie also auf Zertifikat auswählen. Der Zugang wird nur dann funktionieren, wenn der Name des Zertifikats mit der öffentlichen Adresse übereinstimmt. Klicken Sie oben auf das Zertifikat und dann unten auf Auswählen, dann Weiter. 27

28 Veröffentlichen von Exchange 13. Die HTML-Authentifizierung bedeutet, dass der Benutzer beim Anmelden ein Formular für Name und Passwort zu sehen bekommt; wir belassen diese. Klicken Sie ohne Änderungen auf Weiter. 14. Single sign on benötigen wir nicht. Deaktivieren Sie diese Option. Stellen Sie dann den Weblistener fertig. 15. Wieder zurück bei der Veröffentlichungsregel klicken Sie auf Weiter. Die Authentifizierungsmethode stellen Sie auf Aushandeln. 16. Die zugelassenen Benutzer können Sie auf alle authentifizierten Benutzer belassen. In diesem Fall haben auch Ihre Schüler Zugriff auf OWA. Im Abschnitt 5.2 erfahren Sie in der letzten Übung, wie Sie die Zugriffe einschränken können. Diese Anpassung können Sie auch im Nachhinein vornehmen. 17. Stellen Sie die Regel fertig und klicken Sie wie üblich auf Übernehmen. 28

29 Veröffentlichen von Exchange Kapitel Test in der Schulungsumgebung An Ihrem (externen Client) können Sie jetzt den Erfolg Ihrer Konfiguration überprüfen. Beachten Sie bitte: Ihr Browser muss Cookies akzeptieren18, Sie erhalten beim Aufruf eine Warnmeldung über das Zertifikat. Übung 15: 1. Starten Sie am Client den Internetexplorer. Geben Sie die Adresse ein. Hinweis: Ein Aufruf über scheitert! 2. Ignorieren Sie die folgende Sicherheitswarnung, indem Sie auf Ja klicken. 3. Melden Sie sich nun als ein bestehender Benutzer im Netzwerk an. Die oben einzustellenden Optionen spielen keine Rolle. 18 Sonst hätten Sie im Schritt 13 die unsicherere Standardauthentifizierung wählen müssen. 29

30 Veröffentlichen von Exchange 4. Sie sind jetzt mit Ihrem Exchangekonto verbunden und können dieses wie im Intranet nutzen. 30

31 Zugriff auf Tausch- und Homeverzeichnisse Kapitel 5 5. Zugriff auf Tausch- und Homeverzeichnisse Vorbemerkung: der Tausch von Dateien zwischen Schulnetzwerk und eigenem Rechner ist nur bedingt möglich. Das hat technische Ursachen: einer der beiden Rechner befindet sich dabei immer im Uploadmodus. Selbst bei einer schnellen DSLVerbindung dauert das Hochladen von eine Datei mit nur wenigen MB einige Minuten. Am Kopieren von großen Bildern oder Dokumenten auf diese Art werden Sie also nur wenig Freude haben, erst Recht, wenn mehrere Benutzer gleichzeitig so arbeiten. Das spricht dann auch dafür nur Lehrern und nicht Schülern diese Möglichkeit zu öffnen Einrichten von Webfreigaben Um Ordner für den Zugriff über Browser oder WebDav freizugeben, müssen Sie eine Webfreigabe erstellen. Für den Zugriff sind dann die NTFS-Berechtigungen (Sicherheitseinstellungen) von Ordnern und Dateien ausschlaggebend. Wer hier keine Berechtigung hat, kann auch über das Internet nicht zugreifen. Übung 16: 1. Browsen Sie im Windows-Explorer auf dem Server S1 zum Verzeichnis D:\MLData\Benutzer. Klicken Sie mit der rechten Maustaste auf den Ordner Tausch, wählen Sie Eigenschaften und dort den Reiter Webfreigabe. 2. Selektieren Sie Diesen Ordner freigeben. Es öffnet sich ein weiteres Formular, in dem Sie den Namen der Webfreigabe und einige Optionen festlegen können. Da Sie wollen, dass Ihre Benutzer sowohl schreibend zugreifen können als auch sich in den Verzeichnissen bewegen dürfen, müssen Sie die Optionen Schreiben19 und Verzeichnis durchsuchen setzen. Bei Anwendungsberechtigungen stellen Sie aus Sicherheitsgründen auf keine um. 19 Beim Setzen dieser Option erscheint ein Warnhinweis. Allerdings können Ihre Benutzer in der Schule sowieso schreibend auf diese Ordner zugreifen. Ein Sicherheitsrisiko besteht nun insofern, dass Benutzer Skripte ablegen könnten, die auf dem Server ausgeführt werden. Dies verbieten Sie jedoch durch die fehlenden Anwendungsberechtigungen. 31

32 Zugriff auf Tausch- und Homeverzeichnisse 3. Klicken Sie zweimal OK und schließen Sie damit die Aktion ab. 4. Geben Sie analog D:\MLData\Benutzer\Lehrer als Home frei Veröffentlichung von Webfreigaben Die Vorgehensweise ist prinzipiell dieselbe wie bei der Veröffentlichung von Exchange. Am einfachsten ist es daher, wenn wir diese Regel kopieren20 und leicht modifizieren. Übung 17: 1. Klicken Sie mit der rechten Maustaste in der auf die Exchange-Veröffentlichungsregel und wählen Sie Kopieren. 2. Klicken Sie anschließend wieder mit der rechten Maustaste auf eine Regel weiter unten (das ist vermutlich die Standardregel) und wählen Sie Einfügen. Sie haben nun zwei identische Regeln. 20 Wenn Sie Exchange gar nicht veröffentlichen möchten, führen Sie einfach alle Schritte des Kapitels der Exchange Veröffentlichung durch (siehe Kap 4) und modifizieren Sie diese dann einfach. 32

33 Zugriff auf Tausch- und Homeverzeichnisse Kapitel 5 3. Doppelklicken Sie die untere, um sie zu konfigurieren. Zunächst ändern Sie beim Reiter Allgemein den Namen auf Webveröffentlichung Tausch und Home. 4. Beim Reiter Anwendungseinstellungen entfernen Sie den Haken bei Benutzerdefiniertes HTML... verwenden, um bei der Anmeldung ein neutrales Formular zu erhalten. 5. Die entscheidende Änderung findet beim Reiter Pfade statt: löschen Sie alle drei bestehenden Einträge, indem Sie sie anklicken und auf Entfernen klicken. Dann erstellen Sie über Hinzufügen die beiden neuen Einträge /home/* und /tausch/*. 6. Mit OK und Übernehmen schließen Sie die Aktion ab. Durch einen Fehler im WebDav-Client von Windows XP muss man sich später bei der Verwendung der Freigabe häufiger authentifizieren als notwendig. Durch einen Trick kann man dieses Problem umgehen Grote, Gröber, Rauscher: Das Handbuch ISA Server 2006, S. 391f. 33

34 Zugriff auf Tausch- und Homeverzeichnisse Übung 18: 1. Kopieren Sie die eben erstellte Regel noch einmal eine Position tiefer und konfigurieren Sie wie folgt: Neuer Name: WebDav Fehlerbehebung Neuer Pfad: nur der Pfad /* Keine weiteren Änderungen. 2. Schließen Sie mit OK ab, übernehmen Sie die Regel aber noch nicht sondern klicken Sie mit der rechten Maustaste auf sie und wählen Sie ganz unten HTTP konfigurieren. 3. Wechseln Sie auf den Reiter Methoden, und stellen Sie auf Nur angegebene Methoden zulassen um. Klicken Sie auf Hinzufügen und tragen Sie die Methode OPTIONS (Großschreibung wichtig!) ein. 4. Klicken Sie zweimal auf OK und dann Übernehmen. Nun müssen Sie beim Wechsel zwischen Ordnern Ihr Passwort nicht neu eingeben. Hinweis: Achten Sie darauf, dass diese Regel (Webdav Fehlerbehebung) immer die letzte Ihrer Veröffentlichungsregeln sein muss! Mit den bisherigen Einstellungen könnten sogar Schüler auf ihr Klassentauschverzeichnis zugreifen. Dies wollen wir nun unterbinden. Übung 19: 1. Doppelklicken Sie auf die Tausch-Veröffentlichungsregel und wählen Sie den Reiter Benutzer. 2. Entfernen Sie Alle authentifizierte Benutzer. 3. Klicken Sie auf Hinzufügen und dann auf Neu. Nennen Sie die neue ISABenutzergruppe g_lehrer. 34

35 Zugriff auf Tausch- und Homeverzeichnisse Kapitel 5 Es ist sinnvoll, aber nicht notwendig, dieselben Namen wie im AD zu verwenden. 4. Nach Weiter klicken Sie auf Hinzufügen. Wählen Sie Windows-Benutzer und Gruppen und wählen Sie im folgenden Formular zunächst als Suchpfad die Domäne aus. Geben Sie jetzt die AD-Gruppe der Lehrer, g_lehrer an. OK, OK, Weiter, Fertigstellen. 5. Wiederholen Sie Schritt 3 und 4 und erstellen Sie eine ISA-Benutzergruppe g_admins, die Gruppe Domänen-Admins aus schule.local abbildet. 6. Fügen Sie beide neue Gruppen den Benutzern hinzu und schließen Sie wie gewohnt die Konfiguration ab. 35

36 Zugriff auf Tausch- und Homeverzeichnisse 5.3. Nutzen der Webfreigaben Prinzipiell kann auf die Webfreigaben mit Windowsbordmitteln zugegriffen werden. Allerdings ist dies nicht besonders komfortabel und erfordert am Windows Vista zudem einen Eingriff in die Registry. Daher wird hierfür die Verwendung eines zusätzlichen Programms eines so genannten WebDAV Clients empfohlen. Hierfür stehen einige Alternativen zur Auswahl. Von den kostenlosen Programmen finden Sie drei WebDAV Clients auf dem Lehrerfortbildungsserver in der Rubrik Zugriff von außen beschrieben. 36

37 Zugriff auf Tausch- und Homeverzeichnisse Kapitel Zugriff auf die Schulkonsole Ein Zugriff auf die Schulkonsole bietet sich vor allem für Administratoren an; für Lehrer könnte z.b. das Abrufen von Schülerlisten interessant sein. Auch Austeilen/Einsammeln wären denkbar; raumbezogene Funktionen machen hingegen keinen Sinn. Um auf die Schulkonsole zugreifen zu können, muss lediglich dieser Webordner nach außen freigeschalten werden. Es ist noch zu überlegen, für wen die Freischaltung gelten soll, da ja durch die Benutzung durch Unbefugte einiger Schaden angerichtet werden kann (z.b. Ändern von Schülerpasswörtern). Übung 20: 1. Kopieren Sie die Tauschveröffentlichungsregel, benennen Sie sie um und ändern Sie den Pfad auf /Schulkonsole/*. 2. Schränken Sie die Benutzung auf Lehrer und Administratoren ein. 3. Testen Sie auf dem externen Client. Beachten Sie, dass sich Ihr Rechner naturgemäß in keinem Raum der Schule befinden kann. Anmerkungen: Wie oben erwähnt, muss diese Regel vor der Webdav-Fehlerbehandlung eingereiht sein. Auf die gleiche Weise können Sie beliebige Webanwendungen veröffentlichen. Davon wird jedoch abgeraten. Sie sollten öffentliche Webseiten beim Provider ablegen. 37

38 Anhang 6. Anhang In diesem Anhang soll noch kurz auf Probleme eingegangen werden, die systembedingt in der Schulungsumgebung keine Rolle spielen, in der Praxis jedoch häufig auftreten Router und Ports Wenn Sie Ihren ISA-Server an einen externen Router angeschlossen haben, so müssen Sie am Router eine Portfreigabe (Portforwarder), z.b. für den Port 1723 TCP und das GRE-Protokoll (VPN) oder den Port TCP 443 (SSL) einrichten, damit der Server über den Router erreichbar ist. Leider können nicht alle Router das GRE-Protokoll an den Server weiterleiten. Als Notlösung könnte man auch die DMZ-Funktion (Demilitarized Zone) vom Router verwenden, bei dem alle externen Anfragen an den Router ungefiltert an den Server weitergeleitet werden. Aus Sicherheitsgründen sollte aber die Variante mit den Portfreigaben bevorzugt werden. Hier als Beispiel der Portweiterleitung in einem Router von DrayTek. Die externe IP des Servers ist hier Ähnlich sehen die Einstellung bei einer Fritzbox (AVM) aus. Zu anderen Modellen studieren Sie bitte das Handbuch, fragen Ihren Händler oder recherchieren Sie im Internet Ein guter, wenn auch leider englischer Einstieg ist 38

39 Anhang Kapitel Verwendung von Dyndns Hinweise zum Einrichten eines Dyndns-Zugangs finden Sie in der technischen Anleitung des Supportnetz ( oder unter Hinzufügen von Zertifikaten am Client Wer die Möglichkeiten mit HTTPS auf das Schulnetz zuzugreifen häufiger nutzt, wird der Zertifikatsfehlermeldungen bald Leid. In diesem Fall bietet es sich an, dem Zertifikat zu vertrauen. Als Sicherheitsmaßnahme sollte man den Nutzern eine Anleitung mit den jeweiligen Zertifikatdetails (Gültigkeitszeitraum, Name des Herausgebers, Fingerabdruck) zugänglich machen, so dass sie sich zuvor von der Korrektheit überzeugen können Internetexplorer 6 Wie bereits erwähnt kommt beim Aufruf einer SSL-gesicherten Seite jedes Mal ein Zertifikathinweis. Klicken Sie diesmal nicht auf Ja, sondern auf Zertifikat anzeigen. 39

40 Anhang Unter dem Reiter Detail können Sie jetzt z.b. den Fingerabdruck ansehen und mit den bekannten Informationen vergleichen. Vor dem endgültigen Importieren bekommen Sie ihn aber sowieso noch einmal angezeigt. Klicken Sie beim Reiter Allgemein auf Zertifikat installieren. Es erscheint ein Assistent; Sie müssen keine Änderungen vornehmen. Klicken Sie also zweimal auf Weiter und dann auf Fertig stellen. Am Ende erscheint nochmal eine Zusammenfassung mit dem Fingerabdruck. Hier entscheiden Sie nun endgültig, ob Sie dem Zertifikat vertrauen wollen. Klicken Sie auf Ja und schließen Sie beide Fenster mit OK. Jetzt müssen Sie ein letztes Mal das Zertifikat mit Ja zulassen, ab dem nächsten Aufruf einer Seite werden Sie nicht mehr gefragt. 40

41 Anhang Kapitel Firefox 2.0 Mit dem Firefox ist das Importieren des Zertifikats einfacher. Auch hier erhalten Sie zunächst eine Fehlermeldung: Wählen Sie die oberste Option und klicken Sie OK. Von nun an erhalten Sie keine Fehlermeldung mehr. Mit Zertifikat untersuchen können Sie sich den Hashcode zuvor anzeigen lassen. Internetexplorer 723 Sicherheitshinweis: Klicken Sie auf die Option Laden der Webseite fortsetzen. Der IE bekundet sein Missfallen durch eine rote Adresszeile und einen Warnhinweis Zertifikatfehler. Klicken Sie darauf: 23 Siehe auch 41

42 Anhang Klicken Sie nun unten auf Zertifikate anzeigen. Jetzt können Sie wie beim IE6 vorgehen und das Zertifikat installieren. 42