smis_secure mail in der srg / anwendungshandbuch /

smis_secure mail in der srg / anwendungshandbuch / Dok.-Nr: Version: 1.1 AWHB.002 Status: Klassifizierung: Autor: Verteiler: Final Erik Mulder, Thanh Diep Erik Mulder, Thanh Diep

Anwendungshandbuch, Seite 2 / 108 Änderungskontrolle Version Datum Name Bemerkungen 1.0 06.12.2002 TD 1. Entwurf 1.1 11.12.2002 EM; TD Überarbeitung, Fertigstellen

Anwendungshandbuch, Seite 3 / 108 Damit e-mails heutzutage sicher übertragen werden können, werden sie signiert, damit der Absender eindeutig identifiziert werden kann, und verschlüsselt, damit kein anderer als der Empfänger die Nachricht betrachten kann. Dies wird erreicht, indem Sender sowie Empfänger ein Schlüsselpaar, bestehend aus einem public und einem private Key, ausgestellt wird. Mit Hilfe des eigenen private Keys, der nur privat zugänglich ist, können e-mail signiert werden. Mit Hilfe des public Keys des Empfängers, der für jeden zugänglich ist, können e-mails verschlüsselt werden. Die Signierung bzw. die Verschlüsselung kann nur mit dem entsprechenden Gegenstück des Schlüsselpaares verifiziert bzw. aufgehoben werden. Weiter wird der public Key mit einem Zertifikat authentifiziert, um diesen Key einem bestimmten User zuzuordnen. Dieses Dokument beschreibt Schritt für Schritt die Realisierung einer PKI (Public Key Infrastructure) in einer Windows Umgebung. Eine PKI beinhaltet die Erstellung und Verwaltung von Zertifikaten und dem dazugehörenden Schlüsselpaar. Die Lösung ermöglicht zudem die automatische Publizierung dieser Zertifikate innerhalb einer Unternehmung in einem unternehmungsweiten Adressbuch.

Anwendungshandbuch, Seite 4 / 108 Inhaltsverzeichnis 1 Einleitung... 8 1.1 Zweck des Dokumentes... 8 1.2 Bemerkungen... 8 1.3 CD Inhalt... 8 1.4 Referenzierte Dokumente... 8 2 Überblick... 9 2.1 Definitionen... 9 2.2 Ziel... 9 2.3 Netzplan... 11 2.4 Software... 14 3 Installation Server... 15 3.1 Gesamtvorgehen Installation Server... 15 3.2 Windows 2000 Server Betriebssystem... 16 3.2.1 Einleitung... 16 3.2.2 Übersicht Vorgehen... 16 3.2.3 Installation Betriebssystem... 16 3.2.4 Updates... 17 3.2.5 DNS... 18 3.2.6 Zusammenfassung... 21 3.3 Active Directory... 22 3.3.1 Einleitung Active Directory... 22 3.3.2 Übersicht Vorgehen... 23 3.3.3 Installation Active Directory... 23 3.3.3.1 Server Mainsmis... 23 3.3.3.2 Server Celerina... 32 3.3.4 DNS... 35 3.3.5 Global Catalog Server... 37 3.3.6 Zusammenfassung... 38 3.4 Exchange 2000... 39 3.4.1 Einleitung... 39 3.4.2 Übersicht Vorgehen... 39

Anwendungshandbuch, Seite 5 / 108 3.4.3 Vorbereiten des Forests... 39 3.4.4 Vorbereiten der Domain... 42 3.4.5 Installation Exchange... 43 3.4.6 Zusammenfassung... 43 3.5 Certification Authority... 44 3.5.1 Überblick Certification Authority... 44 3.5.2 Übersicht Vorgehen... 45 3.5.3 Installation Certification Authority... 45 3.5.3.1 Server Mainsmis... 45 3.5.3.2 Server Celerina... 50 3.5.4 Installation Patch... 56 3.5.5 Zusammenfassung... 56 3.6 Key Management Server... 57 3.6.1 Einleitung... 57 3.6.2 Übersicht Vorgehen... 57 3.6.3 Policies einfügen... 57 3.6.4 Installation KMS... 59 3.6.5 Zusammenfassung... 61 3.7 Aktueller Zustand... 62 4 Installation Client... 63 4.1 Windows 2000 Professional... 63 4.1.1 Übersicht Vorgehen... 63 4.1.2 Installation Betriebssystem... 64 4.1.3 Netzwerkeinstellungen... 64 4.1.4 Zusammenfassung... 64 4.2 Outlook... 65 4.2.1 Übersicht Vorgehen... 65 4.2.2 Erster Start des Outlooks... 66 4.2.3 Zusammenfassung... 68 5 Management... 69 5.1 Überblick... 69 5.2 Enroll... 69 5.2.1 Übersicht Enrollment... 69 5.2.2 Bezug via KMS... 70 5.2.2.1 Rechtenvergabe... 70 5.2.2.2 Vorgehen auf Server... 71 5.2.2.3 Vorgehen auf Client... 74 5.2.3 Bezug via Web... 81 5.2.3.1 Vorgehen auf Client... 81 5.2.3.2 Vorgehen auf Server... 88

Anwendungshandbuch, Seite 6 / 108 5.3 Recover... 90 5.3.1 Übersicht Recover... 90 5.3.2 Wiederherstellung eines Zertifikats... 91 5.4 Revoke... 93 5.4.1 Übersicht Revoke... 93 5.4.2 Zurückziehen eines Zertifikats... 94 5.4.2.1 Via Active Directory... 94 5.4.2.2 Via Certification Authority Manager... 95 5.4.2.3 CRL... 95 5.4.3 Auswirkungen... 98 5.5 Renew... 99 5.5.1 Übersicht Renew... 99 5.5.2 User Zertifikat erneuern... 99 5.5.3 CA Zertifikat erneuern...100 6 Anwendung...102 6.1 Signierung/Verschlüsselung... 102 6.1.1 Signierung...102 6.1.2 Verschlüsselung...104 6.2 Import/Export... 105 6.2.1 Export...105 6.2.2 Import...107 7 Glossary...108

Anwendungshandbuch, Seite 7 / 108 Tabellenverzeichnis Tabelle 1: CD Inhalt... 8 Tabelle 2: Definitionen... 9 Tabelle 3: Legende zu den Grafiken...12 Tabelle 4: Unterschiede der Server Mainsmis und Celerina...15 Tabelle 5: Gesamtvorgehen Installation des Servers...15 Tabelle 6: Vorgehen Installation des Betriebssystems auf den Servers...16 Tabelle 7: Vorgehen Installation des Active Directories...23 Tabelle 8: Vorgehen Installation des Exchanges...39 Tabelle 9: Vorgehen Installation der CA...45 Tabelle 10: Vorgehen Installation der KMS...57 Tabelle 11: Unterschiede der Clients Lapunt und Spina...63 Tabelle 12: Vorgehen Installation Betriebssystem auf den Clients...63 Tabelle 13: Vorgehen im Outlook...65 Tabelle 14: Management Funktionen der PKI...69 Tabelle 15: Übersicht Enrollment...69 Tabelle 16: Übersicht Recover...90 Tabelle 17: Übersicht Revoke...93 Tabelle 18: Gültigkeitsdauer der Zertifikate...99 Tabelle 19: Übersicht Renew...99 Tabelle 20: Schlüsselpaar erstellen vs. beibehalten...100 Tabelle 21: Übersicht der Szenarien...102 Tabelle 22: Glossary...108

Anwendungshandbuch, Seite 8 / 108 1 Einleitung 1.1 Zweck des Dokumentes Dieses Dokument soll Schritt für Schritt erklären wie eine Muster PKI Umgebung für eine grössere Unternehmung eingerichtet werden kann. Weiter soll es erklären, wie und wozu diese gebraucht werden kann. Schlussendlichen sollen die Möglichkeiten und Auswirkungen gezeigt werden. 1.2 Bemerkungen Bei den verwendeten Produkten handelt es sich ausschliesslich um Microsoft Produkte. Diese garantieren ein sauberes Zusammenspiel untereinander. Zudem ist die PKI Lösung von Microsoft auf der Windows 2000 Server CD enthalten, und kostet somit nicht extra. Die Produkte, welche für die Testreihen verwendet wurden, waren englische Versionen. Alle Screenshots und Bilder sind somit auf englisch. Es kann nicht ausgeschlossen werden, dass es zwischen einer englischen Version und einer Version mit einer anderen Sprache unterschiede gibt. Trotzdem sollte das Vorgehen, um die PKI Umgebung aufzubauen, bei allen Versionen gleich sein. Dieses Anwendungshandbuch basiert vollständig auf die Erkenntnisse im Dokument [1]. 1.3 CD Inhalt Auf der CD sind einerseits Dokumente, andererseits Software-Produkte wie Service Packs enthalten. Dokumente Software, Tools Anwendungshandbuch Testbericht der Situationen Acrobat Reader WinZip Microsoft Software Windows 2000 Service Pack 2 Exchange Service Pack 3 Resource Kit Patch für CA Webseite Tabelle 1: CD Inhalt 1.4 Referenzierte Dokumente [1] TBS.008, Testbericht Situationen - Testbericht_Situation_008.doc

Anwendungshandbuch, Seite 9 / 108 2 Überblick 2.1 Definitionen Wenige Definitionen werden hier bereits gemacht, damit nachfolgende Erklärungen sowie Beschreibungen verständlich sind. Begriff Interner User Externer User Customer Client Definition User, der in einem Active Directory registriert ist und innerhalb der Unternehmung auf einer Maschine arbeitet. User, der in einem Active Directory registriert ist und ausserhalb der Unternehmung auf einer Maschine arbeitet. User, der weder im Active Directory registriert ist, noch innerhalb der Unternehmung auf einer Maschine arbeitet. Computer/Maschine, auf welcher ein User arbeitet. Tabelle 2: Definitionen 2.2 Ziel Um die Musterlösung zu entwickeln, dachten wir uns eine grössere Firma aus. Somit konnten wir gewisse Annahmen treffen, welche uns bei Entscheidungen halfen. Zudem konnten wir unsere Testreihen mehr spezifizieren. Unsere erfundene Unternehmung beschäftigt mindestens 500 Mitarbeiter, die auf mehrere Abteilungen verteilt sind. Jede Abteilung besitzt ein eigenes Active Directory, wo die Mitarbeiter der Abteilung registriert sind, und wird unabhängig von den anderen Abteilungen verwaltet. Die Domains sind in einem Forest platziert. Dieser Forest wird von dem Domain Controller erstellt, der als erster eingerichtet wird. Indem alle nachfolgenden Domain Controller in diesen Forest platziert werden, wird automatisch ein Vertrauen zwischen den Domain Controllern und somit auch den Active Directories aufgebaut. Jede Abteilung hat ihren eigenen Exchange Server, worauf sich die Mailboxen der Mitarbeiter befinden. Indem aber nur eine einzige Exchange Organisation erstellt wird, haben alle Mitarbeiter, ganz gleich aus welcher Abteilung, die gleiche e-mail Domain (zum Beispiel @firma.ch). Die Customer können ins Active Directory eingetragen werden. Entweder als normale User oder nur als Kontakt. Dies kann je nach Firmenpolitik definiert werden. Das Ziel ist eine Musterlösung für eine PKI Umgebung in einer wie oben beschriebenen Unternehmung zu erstellen. Mit dieser PKI Umgebung soll ein sicherer e-mail Verkehr gewährleistet werden. Das heisst, die e-mails können signiert und verschlüsselt übertragen werden, wobei das eine das andere nicht voraussetzt.

Anwendungshandbuch, Seite 10 / 108 Folgende Ziele sollten erreicht werden: Mitarbeiter (interne und externe User) sollen ein Zertifikat beziehen können Kunden (Customer) sollen ein Zertifikat beziehen können Alle Mitarbeiter verfügen über ein einziges globales Adressbuch In diesem globalen Adressbuch werden die Zertifikate der Mitarbeiter automatisch publiziert Zwischen den internen Usern, externen Usern und den Customers ist ein signierter und/oder verschlüsselter e-mail Verkehr möglich

Anwendungshandbuch, Seite 11 / 108 2.3 Netzplan Der nachfolgende Netzplan stellt eine gesamte Domain-Architektur dar, wie sie in einer grösseren Unternehmung aussehen könnte. Sie besteht aus einem Forest, das mehrere Domain Trees beinhaltet, die wiederum aus mehreren Child Domains bestehen können.

Anwendungshandbuch, Seite 12 / 108 Element Beschreibung Einzelner User Customer Windows 2000 Server mit Active Directory Exchange 2000 Server Windows 2000 CA Bezieht Zertifikat bei... Domain Tabelle 3: Legende zu den Grafiken Aus der Grafik ist ersichtlich, dass alle internen User im Active Directory ihrer Domain/Abteilung registriert sind, ihr Zertifikat jedoch bei der Enterprise Subordinate CA in der Domain first.ch beziehen. Die Customers beziehen ihr Zertifikat bei der Standalone Subordinate CA der jeweiligen Abteilung, mit der sie geschäftlich zu tun haben. Falls dies mehrere Abteilungen sind, muss eine gewählt werden. All diese Subordinate CA s werden einer einzelnen Root CA unterstellt, die sich irgendwo in der Unternehmung befindet. Wir werden später genauer auf die CA s und den Bezug eines Zertifikats eingehen.

Anwendungshandbuch, Seite 13 / 108 Für unsere Testreihen standen uns aber nicht soviel Maschinen zur Verfügung, damit wir die gesamte Domain Architektur wie oben in der Grafik dargestellt nachbauen konnten. Aus diesem Grund erstellten wir eine begrenzte Testumgebung, die folgendermassen aussieht. Bemerkungen: Die Domain pkiad1.ch ist die erste Domain die erstellt wird, und deshalb auch der Domain Controller ist, der den Forest erstellt. Sie wird auf dem Server Mainsmis erstellt. Auf dem Server Celerina wird ein zweiter Domain Controller eingerichtet, der die Domain pkiad2.ch verwaltet und in den existierenden Forest eingefügt wird. Die Enterprise Root CA befindet sich auf Mainsmis in der Domain pkiad1.ch und liefert Zertifikate für alle internen User. Alle Customers beziehen ihr Zertifikat bei der Stand-alone Subordinate CA, die sich auf Celerina in der Domain pkiad2.ch befindet.

Anwendungshandbuch, Seite 14 / 108 2.4 Software Folgende Software Produkte sind zur Erstellung der Musterlösung notwendig: Windows 2000 Server Windows Resource Kit Windows 2000 Professional Exchange 2000 Server Office 2000 Professional Service Packs (Windows, Exchange und Office)

Anwendungshandbuch, Seite 15 / 108 3 Installation Server In diesem Kapitel werden die Server Mainsmis und Celerina aufgesetzt. Wenn die Installationen gemäss den Anleitungen durchgeführt und die Reihenfolge dabei eingehalten wird, soll eine funktionsfähige PKI Umgebung entstehen. Dabei wird die Ausstellung, Verwaltung und Publizierung der Zertifikate für alle User in die PKI Lösung integriert. Auf beiden Server werden die gleichen Applikationen installiert. Sie unterscheiden sich lediglich in den Konfigurationen. Die wichtigsten Unterschiede sind: Server Mainsmis Server Celerina IP Address 147.87.70.6 147.87.70.119 Active Directory Exchange 2000 pkiad1.ch Creator of Forest KMS installiert pkiad2.ch joins Forest Certification Authority Enterprise Root CA Stand-alone Subordinate CA Tabelle 4: Unterschiede der Server Mainsmis und Celerina 3.1 Gesamtvorgehen Installation Server Das Vorgehen betreffend der Installation des Servers ist bei beiden Servern ähnlich. Der Vorgang in jedem einzelnen Punkt finden sie in den nachfolgenden Kapiteln. Server Mainsmis Windows 2000 Server Active Directory pkiad1 Exchange exsmis Enterprise CA KMS Server Celerina Windows 2000 Server Active Directory pkiad2 Exchange exsmis Stand-alone CA Tabelle 5: Gesamtvorgehen Installation des Servers

Anwendungshandbuch, Seite 16 / 108 3.2 Windows 2000 Server Betriebssystem 3.2.1 Einleitung Das Betriebssystem Windows 2000 Server bietet die Basis für alle nachfolgenden Installationen. 3.2.2 Übersicht Vorgehen Das Vorgehen betreffend der Installation des Betriebssystems ist bei beiden Server gleich. Einzig die TCP/IP Einstellungen sind unterschiedlich, da die Maschinen nicht über die gleiche IP Adresse verfügen. Server Mainsmis Server Celerina Windows 2000 Server aufsetzen Windows 2000 Server aufsetzen - default Einstellungen - default Einstellungen - TCP/IP Settings - TCP/IP Settings DNS konfigurieren DNS konfigurieren - preferred DNS: Mainsmis - preferred DNS: Celerina - alternate DNS: Celerina - alternate DNS: Mainsmis - Forwarders - Zonentransfer - Forwarders Tabelle 6: Vorgehen Installation des Betriebssystems auf den Servers 3.2.3 Installation Betriebssystem Die Windows 2000 Server werden mit nachfolgend beschriebenen Optionen und Eigenschaften aufgesetzt. Name: smis Organization: smis Computername (1. Server): Mainsmis Computername (2. Server): Celerina Bei der Auswahl der Komponenten werden die Default-Einstellungen übernommen. Zusätzlich werden nur die Management and Monitoring Tools, Networking Services und Media Services ausgewählt. Jeweils mit den Default-Einstellungen aller Subkomponenten.

Anwendungshandbuch, Seite 17 / 108 Die Netzwerkeinstellungen nehmen wir von Hand vor. Dabei installieren wir zusätzlich zu den Default-Einstellungen, welche uns Microsoft vorschlägt, die Services QoS und Network Monitor Driver. In den Properties-Einstellungen des Protokolls TCP/IP geben wir bekannte IP-Adressen bereits an: IP Address (Mainsmis): 147.87.70.6 / 24 IP Address (Celerina): 147.87.70.119 / 24 Gateway Address: 147.87.70.250 / 24 Als preferred DNS Server ist vorzugsweise der eigene anzugeben. Falls eventuelle andere DNS Servers bekannt sind, können diese bereits unter alternate DNS Server angegeben werden. Nach einem Neustart und Beendigung der Installation, erscheint ein Fenster, wo der Server konfiguriert werden kann. Je nachdem ob dieser Server der einzige im Netzwerk ist, oder ob es bereits andere gibt, wird die Option This is the only server in the network oder One or more servers already run in this network gewählt. 3.2.4 Updates Nachdem der Server nun soweit fertig installiert ist, empfiehlt es sich, das neueste Service Pack und die zusätzlichen Updates vom Internet zu installieren. Dies kann unter Umständen etwas länger dauern, da die Updates nicht alle gleichzeitig installiert werden können, sorgt aber für ein sicheres und stabiles System. Zusätzliche Windows 2000 Komponenten wie das Resource Kit und die Support Tools werden als nächstes installiert. Für das Resource Kit wird die entsprechende CD mit der Software benötigt, da sich diese Komponente nicht auf der Windows 2000 Server CD befindet.

Anwendungshandbuch, Seite 18 / 108 3.2.5 DNS Wichtig zu Beginn ist, dass zwischen den DNS Servern Mainsmis und Celerina ein Zonentransfer existiert. Ein Zonentransfer gibt einem Domain Controller die Möglichkeit, zu wissen, wie eine andere Domain aufgebaut ist, indem sie eine Referenz darauf hat. Vorerst wird nur auf Celerina ein Zonentransfer durchgeführt, damit Celerina später bei der Installation des Active Directories den Mainsmis Server als Domain Controller der Domain pkiad1.ch und als Verwalter des Forests pkiad1.ch erkennt. Dazu wird auf Celerina in der Forward Lookup Zone und in der Reverse Lookup Zone mit add new Zone... eine Standard secondary Zone erstellt.

Anwendungshandbuch, Seite 19 / 108 Der Name der neuen secondary Zone soll dem Namen der Zone entsprechen, die man einfügen will. Danach muss der Domain Controller, von welcher man die Zone kopieren will, gewählt werden, in unserem Fall Mainsmis (147.87.70.6). Die Zone, die nun eingefügt wird, ist nur eine Referenz auf pkiad1.ch. Wird die Zone pkiad1.ch von Mainsmis verändert, ist diese Änderung auch auf Celerina sichtbar,

Anwendungshandbuch, Seite 20 / 108 Auch für die Reverse Lookup Zone wird eine secondary Zone eingerichtet. Dabei muss diesmal die Netzwerk ID angegeben werden.

Anwendungshandbuch, Seite 21 / 108 Zusätzlich sollen auf beiden Servern im DNS in den Properties des Servers (Rechtsklick auf Mainsmis respektive Celerina) Forwarders eingetragen werden. Dies stellt sicher, dass alle Anfragen an den DNS, die nicht lokal verarbeitet werden können, an einen anderen DNS Server weitergeleitet werden. Nach den Änderungen des DNS sollte dieser neu gestartet werden, damit die Änderungen wirksam werden. 3.2.6 Zusammenfassung Nach den Service Packs und Updates aus dem Internet sind die Windows 2000 Server stabil und auf dem neuesten Stand gebracht. Der DNS Zonentransfer auf Celerina gilt als Vorbereitung für die spätere Installation des Active Directories und dessen Domain pkiad2.ch.

Anwendungshandbuch, Seite 22 / 108 3.3 Active Directory 3.3.1 Einleitung Active Directory Das Active Directory beinhaltet alle Daten betreffend der Unternehmung oder Abteilung. Interne und externe User sind hier registriert. Auch Customer können hier registriert werden, entweder als Kontakt oder als normaler User mit einem AD Account. Pro Domain muss es mindestens ein Active Directory geben. Bei der Erstellung eines Active Directories, kann automatisch eine Domain Struktur gebildet werden. Die folgende Struktur wird entstehen, nachdem die Schritte in diesem Kapitel ausgeführt werden. Der Server Mainsmis wird als erster die Domain pkiad1.ch aufsetzen. Dadurch wird der Domain Controller Mainsmis automatisch der Ersteller des Forests sein. Auch wird in dieser Domain ein Global Catalog Server erstellt. Nachfolgend wird auf dem Server Celerina die Domain pkiad2.ch aufgesetzt und in den bereits existierenden Forest eingefügt. Weil pkiad2.ch nicht die erste Domain im Forest ist, wird Celerina keinen Global Catalog Server für pkiad2.ch erstellen. Domains, die sich im gleichen Forest befinden, bauen automatisch Trusts untereinander auf.

Anwendungshandbuch, Seite 23 / 108 3.3.2 Übersicht Vorgehen Server Mainsmis Server Celerina Active Directory installieren Active Directory installieren - Domain Controller für eine neue Domain - Domain Controller für eine neue Domain - neuen Domain Tree erstellen - neuen Domain Tree erstellen - neuen Forest erstellen - in existierenden Forest platzieren DNS konfigurieren DNS konfigurieren - Active Directory integrated - Active Directory integrated - Dynamic updates - Dynamic updates - Zonentransfer Global Catalog Server - Einrichten Tabelle 7: Vorgehen Installation des Active Directories 3.3.3 Installation Active Directory 3.3.3.1 Server Mainsmis Mit dem Befehl dcpromo, der unter Start > Run... eingegeben werden kann, wird die Installation gestartet.

Anwendungshandbuch, Seite 24 / 108 Bei unserer ersten Installation handelt es sich um einen Domain Controller, der für eine neue Domain zuständig sein wird. Deshalb wird die Option Domain Controller for a new domain gewählt. Die zu erstellende Domain ist ein neuer Domain Tree. Das heisst, er wird nicht in eine bestehende Domain eingefügt bzw. an eine angehängt, ist später aber in der Lage, neue subdomains bei sich aufzunehmen: Create a new domain tree

Anwendungshandbuch, Seite 25 / 108 In unserer Unternehmung existiert noch keine Domain, und damit auch noch kein Forest. Aus diesem Grund muss mit Create a new forest of domain trees einen neuen erstellt werden. Dieser Forest wird von der Maschine verwaltet, die ihn erstellt hat, in unserem Fall Mainsmis.

Anwendungshandbuch, Seite 26 / 108 Nachdem nun spezifiziert wurde wie die neue Domain aussehen soll, muss sie noch einen Namen haben. In unserem Fall heisst sie pkiad1.ch. Dieser Name ist zugleich auch der Name des neuen Forests. Ein NetBIOS domain name wird vom Active Directory Setup vorgeschlagen. Dieser kann, wie in unserem Fall PKIAD1, übernommen werden.

Anwendungshandbuch, Seite 27 / 108 Database location und Log location können wie vom Setup vorgeschlagen übernommen werden. Je nach Bedürfnis können diese Angaben jedoch abgeändert werden.

Anwendungshandbuch, Seite 28 / 108 Der Sysvol Folder beinhaltet eine Kopie aller public Folders dieser Domain. Der Inhalt dieses Ordners wird mit eventuell anderen existierenden Domain Controllers repliziert, das heisst, deren Inhalte werden untereinander ausgetauscht. Falls die DNS zu diesem Zeitpunkt noch nicht oder nicht richtig konfiguriert worden ist, wird dies dem User mitgeteilt. Je nach Situation kann die untenstehende Meldung anders lauten.

Anwendungshandbuch, Seite 29 / 108 Die Installationsroutine fragt nun nach, ob die Konfiguration des DNS automatisch erledigt werden soll. Es empfiehlt sich, hier auf Yes,... zu klicken. Wenn die Umgebung eine reine Windows 2000 Ungebung ist, sollte die Option Permissions compatible only with Windows 2000 servers gewählt werden.

Anwendungshandbuch, Seite 30 / 108 Für die Administration des DNS wird ein neuer Administrator-Account eingerichtet. Dieser Account muss mit einem neuen Passwort versehen sein, welches hier definiert wird. In der Zusammenfassung vor der effektiven Installation kann überprüft werden, ob alle Angaben richtig gemacht wurden. Um ein reibungsloses Arbeiten des DNS zu garantieren, sollte der Typ des Domain Controllers auf jeden Fall richtig sein. Dies ist vor allem wichtig, wenn später andere Domain Controllers dazukommen.

Anwendungshandbuch, Seite 31 / 108 Nach diesen Schritten ist das Active Directory auf der Maschine installiert. Es müssen keine weiteren Konfigurationen vorgenommen werden.

Anwendungshandbuch, Seite 32 / 108 3.3.3.2 Server Celerina Die Installation des Active Directories ist weitgehend gleich wie dessen Installation auf Mainsmis. Auch in diesem Fall wird ein new Domain Tree erstellt. Dieser wird nun aber in einen existierenden Forest eingefügt.

Anwendungshandbuch, Seite 33 / 108 Um den neuen Domain Tree in einen Forest einzufügen, muss man einen User, der im Forest Administrator-Rechte besitzt, angeben. Dieser User ist in unserem Fall der Administrator der Domain pkiad1. Für den neuen Domain Tree ist der Name anzugeben.

Anwendungshandbuch, Seite 34 / 108 Der NetBIOS Name wird vom Setup vorgeschlagen, und kann in den meisten Fällen übernommen werden. Zur Kontrolle kann in der Zusammenfassung überprüft werden, ob der Typ des neuen Domain Controllers richtig gewählt wurde. Falls die Installation nun richtig abgeschlossen wird, existiert zwischen den beiden Domains bereits ein sogenannter Trust.

Anwendungshandbuch, Seite 35 / 108 3.3.4 DNS Der DNS wird in das Active Directory integriert. Das heisst, dass alle Daten der betreffenden Zone im Active Directory gespeichert werden. Momentan befindet sich der DNS in der Reverse Zone noch im primary integrated Zustand. Unter Change... in den Properties der beiden Zonen kann der DNS in den Modus Active Directory integrated geschaltet werden. Dies muss auf beiden Maschinen (Mainsmis, Celerina) und bei beiden Zonen (Forward, Reverse) geschehen.

Anwendungshandbuch, Seite 36 / 108 Für die forward und reverse lookup Zone erlauben wir dynamische updates. Im DNS Fenster unter den Properties der beiden Zonen wird aus diesem Grund die Option Allow dynamic updates auf Yes gesetzt, und zwar auf beiden Maschinen. Nach den oben vorgenommenen Änderungen funktioniert das Active Directory vollständig mit DNS. Für ein reibungsloses Kooperieren der Domains und der Domain Controllers, muss auf beiden Seiten ein Zonentransfer stattfinden. Ansonsten kann es schon beim aufstarten der Maschine(n) zu mehreren Errors kommen, wie zum Beispiel dass später der Exchange Information Store Service nicht gestartet werden kann. Auf Celerina wurde der Zonentransfer bereits durchgeführt. Nur auf Mainsmis muss es noch ausgeführt werden. Das Vorgehen dabei ist in Kapitel 3.2.5, Seite 18 beschrieben, wobei die Angaben der Domain sowie eventuelle IP Adressen entsprechend abzuändern sind.

Anwendungshandbuch, Seite 37 / 108 3.3.5 Global Catalog Server Der Global Catalog besitzt eine komplette Kopie der eigenen Domain mit allen Objekten und deren Attributen, die sich darin befinden. Zusätzlich besitzt der Global Catalog eine Kopie aller Objekte in allen anderen Domains, allerdings nicht mit allen Attributen der Objekte. Auf diese Weise existiert im Forest eine Stelle, wo alle Informationen aller Domains im Forest gespeichert werden. Damit diese Informationen auf dem neusten Stand sind, findet regelmässig eine Replikation mit allen Domains statt. Mit Objekten sind User, Clients und andere Komponenten wie zum Beispiel Netzwerkprinter gemeint. Als Attribut wird eine Eigenschaft von einem Objekt bezeichnet. Ein User namens tata ist zum Beispiel ein Objekt. Die e-mail Adresse tata@pkiad.ch könnte dann ein Attribut von dem Objekt tata sein. Ein Global Catalog Server wird standardmässig in der ersten Domain eines Forests eingerichtet, ohne dass der Administrator bzw. derjenige, der die Domain Struktur erstellt, etwas unternehmen muss. In unserem Fall heisst das, dass sich dieser Global Catalog Server auf Mainsmis befindet. Wie gesagt, muss aber auch Celerina über einen Global Catalog Server verfügen, um die automatische Publizierung der Zertifikate in der Domain pkiad2.ch zu ermöglichen. Dazu werden in AD Sites and Services unter Sites > Default-First-Site-Name > Servers > Celerina die Properties von NTDS Settings aufgerufen.

Anwendungshandbuch, Seite 38 / 108 Im erscheinenden Fenster wird die Option Global Catalog selektiert. Danach muss der Domain Controller Celerina neu gestartet werden. Die Änderungen werden aber trotzdem erst nach einiger Zeit übernommen werden. Ein Neustart des Servers könnte die Aktualisierung beschleunigen. 3.3.6 Zusammenfassung Nachdem auf beiden Server Active Directory und damit auch die Domains eingerichtet sind und sich im gleichen Forest befinden, werden die Objekte der Domains in den Global Catalog Server repliziert. Das System wird stabiler wenn auch auf Mainsmis ein Zonentransfer durchgeführt wird. Auf Celerina wurde dies bereits getan. Nach dem Einrichten des Global Catalog Servers in der Domain pkiad2.ch kann von beiden Domains aus die Zertifikate automatisch im Active Directory publiziert werden. Alle User im Forest haben später die Möglichkeit auf alle Zertifikate zuzugreifen.

Anwendungshandbuch, Seite 39 / 108 3.4 Exchange 2000 3.4.1 Einleitung Exchange ist ein Mail-Server von Microsoft. Es bietet die Möglichkeit, für User ein e-mail Konto mit einer e-mail Adresse zu errichten. Später kann Exchange zusammen mit einer CA und seinem eigenen KMS sicheres e-mail garantieren. Exchange Server wird auf den Servern Mainsmis und Celerina eingerichtet. Dazu werden die Exchange Server in den Forest und in die entsprechenden Domains integriert. Schlussendlich existiert nur eine einzige Exchange Organisation mit mehreren Exchange Servern innerhalb des Forests. Für diese Organisation gibt es automatisch ein einziges Adressbuch, worin alle e-mail Adressen aufgelistet sind. Dieses Adressbuch nennt man Global Address Book (GAB). Dazu müssen aber verschiedene Vorbereitungen durchgeführt werden. Nach der Installation von Exchange soll der e-mail Verkehr intern und extern möglich sein. Dies weil die DNS vorkonfiguriert wurde. 3.4.2 Übersicht Vorgehen Server Mainsmis Server Celerina Exchange 2000 Exchange 2000 - Forest vorbereiten - Domain vorbereiten - Domain vorbereiten - Rechte einholen von Mainsmis - Exchange installieren - Exchange installieren Tabelle 8: Vorgehen Installation des Exchanges 3.4.3 Vorbereiten des Forests Der Forest muss für den Exchange Server vorbereitet werden. Dies wird auf dem Domain Controller (Mainsmis), der den Forest pkiad1.ch erstellt hat, gemacht. Die Vorbereitung wird gestartet, indem das Exchange-Setup mit setup /forestprep in der Kommandozeile aufgerufen wird. Dabei ist zu beachten, dass mindestens ein anderer Server (in unserem Fall Celerina) mit installiertem Active Directory bereits in diesen Forest eingefügt ist und auch läuft, da ansonsten ein Fehler auftreten kann.

Anwendungshandbuch, Seite 40 / 108 Falls der User/Administrator genügend Rechte besitzt und alle anderen Konfiguration bisher richtig vorgenommen wurden, erscheint im Setup Fenster die Action ForestPrep. Weitere Optionen und Angaben sind Installationstyp...

Anwendungshandbuch, Seite 41 / 108... und Organization Name. Nach diesen Schritten ist der Forest sowie auch das Active Directory für die Exchange Server vorbereitet. Zudem wird ein neuer Account generiert, womit man die Rechte besitzt, im Forest weitere Exchange 2000 Installationen vorzunehmen. Zudem können mit diesem Account und mit dem Administration Delegation Wizard (Rechtsklick auf den Exchange Server im System Manager) weitere Exchange Administratoren definiert werden.