In diesem Abschnitt werden die Vorteile eines sicheren drahtlosen Netzwerkes erläutert. Darüber hinaus enthält er Informationen zum Planen und Implementieren von sicheren drahtlosen Netzwerken. Daneben befasst sich dieser Abschnitt mit den spezifischen Bereitstellungsschritten und enthält Empfehlungen zum Implementieren eines sicheren drahtlosen Netzwerkes im Netzwerk eines kleinen Unternehmens. Die Schritte für die Konfiguration eines sicheren drahtlosen Netzwerkes unter Verwendung der Authentifizierung gemäß 802.1x basieren auf der Annahme, dass Windows® Small Business Server 2003 wie im Kapitel IT-Lösung für kleine Unternehmen implementiert bereits im Netzwerk bereitsteht. Informieren Sie sich nach der Installation und Konfiguration von Windows Small Business Server 2003 in diesem Abschnitt, wie eine sichere drahtlose Lösung aufgebaut wird. VoraussetzungenWindows Small Business Server 2003 muss wie im unter IT-Lösung für kleine Unternehmen erläutert bereitgestellt werden. Weitere Informationen finden Sie im Kapitel Dienste für kleine Unternehmen. Auf dieser Seite
Ermitteln übergeordneter FaktorenZu den Vorteilen eines drahtlosen Netzwerkes gehören die folgenden: | • | Mobilität der Benutzer: Drahtlose Netzwerke sorgen für mehr Bewegungsfreiheit im Büro oder Gebäude. | | • | Anbindung neuer Geräte: Geräte wie drahtlose Kameras oder PDAs können per Funkverbindung integriert werden. | | • | Produktivität: Die Funktechnologie ist eine produktivitätsfördernde Technologie. Die Nutzer müssen nicht an ihre Schreibtische zurückkehren, um auf wichtige Daten zugreifen zu können. | | • | Kostengünstig: Die meisten neuen Laptops, PDAs und Tablet PCs sind mit drahtlosen Netzwerkadaptern ausgestattet. Wenn Adapter vorhanden sind, ist das Hinzufügen neuer Geräte zu einem vorhandenen drahtlosen Netzwerk einfach und preisgünstig. Desktops mit geringen Datenzugriffsanforderungen können drahtlos ins Netzwerk eingebunden werden, wodurch die Kosten für die Verkabelung entfallen. |
Zu den Herausforderungen für die Betreiber von drahtlosen Netzwerken gehören die folgenden: | • | Sicherheit: Die allgemeinen und Standardimplementierungen von drahtlosen Netzwerken sind nicht sehr sicher. Ungeschützte Funkkommunikation kann leicht abgehört werden. | | • | Bandbreite: Die Geschwindigkeit ist in drahtlosen Netzwerken in der Regel geringer als in verkabelten Netzwerken und eignet sich daher ggf. nicht für Anwendungen, bei denen hohe Datenmengen übertragen werden müssen. | | • | Störungen: Drahtlose Geräte nutzen einige der Frequenzen, die auch von anderen Geräten wie Handys verwendet werden. Daher kann es zu Störungen kommen, die die Dienstqualität beeinträchtigen. Die Signalqualität in drahtlosen Netzwerken kann zudem auch von Umweltbedingungen verschlechtert werden. |
Drahtlose Netzwerke können in den meisten kleinen Büros zum Einsatz kommen. Die wichtigsten Einsatzgebiete umfassen die folgenden: | • | Mobile Benutzer mit Laptops, sowohl am lokalen Standort als auch an Remotestandorten. | | • | Desktops, die als Alternative zum verkabelten LAN auf das drahtlose Netzwerk zugreifen. | | • | Benutzer mit drahtlosen Geräten. |
Planen von sicheren drahtlosen DienstenDie wichtigsten Aufgaben bei der Planung eines verkabelten Netzwerkes sind im Folgenden aufgeführt: | • | Festlegen des Typs des drahtlosen Zugriffspunktes | | • | Definieren der erforderlichen Sicherheitsebene | | • | Festlegen der physischen Position eines drahtlosen Zugriffspunktes |
Festlegen des Typs des drahtlosen ZugriffspunktesBei der Anschaffung von drahtlosen Zugriffspunkten muss der Käufer die derzeit geltenden Spezifikationen kennen. Einige drahtlose Zugriffspunkte können parallel betrieben werden, andere hingegen nicht. Bei der Implementierung eines neuen drahtlosen Netzwerkes sollten Sie sich für Geräte entscheiden, die den neuesten ratifizierten Standards entsprechen. Es empfiehlt sich jedoch, im gleichen Netz nicht mit drahtlosen Zugriffspunkten unterschiedlicher Hersteller zu arbeiten. AnforderungDie meisten der heute gängigen drahtlosen Zugriffspunkte sind für die Anforderungen eines drahtlosen LANs in einem kleinen Büro geeignet. Allerdings müssen drahtlose Zugriffspunkte auch den Sicherheits-, Leistungs- und Verwaltungsanforderungen eines kleinen Büros gerecht werden. Aus diesem Grund muss ein drahtloser Zugriffspunkt Folgendes unterstützen: | • | Die Standards 801.11a, 802.11b, 802.11g oder 802.11i (nicht ratifiziert) | | • | 128-Bit-Verschlüsselung | | • | Authentifizierung gemäß 802.1x |
Die wichtigsten Unterschiede zwischen den Standards 802.11a und 802.11b liegen in der Frequenz, auf der diese Geräte betrieben werden, sowie im Datendurchsatz. Die Unterschiede zwischen den Standards werden in der nachstehenden Tabelle im Detail aufgeführt. Geschwindigkeit | 54 Mbit/s | 11 Mbit/s | 54 Mbit/s | Frequenzband | 5 GHz | 2,4 GHz | 2,4 GHz | Popularität | Gering | Hoch | Hoch | Reichweite | Gering | Hoch | Hoch | Kosten | Hoch | Gering | Mittel |
Tabelle 7. Unterschiede zwischen den Standards für drahtlose Zugriffspunkte AuswahlmöglichkeitenAuf dem Markt werden unterschiedliche Arten von drahtlosen Zugriffspunkten angeboten. In der folgenden Tabelle werden die unterschiedlichen Arten von drahtlosen Zugriffspunkten grob kategorisiert. 802.11a | Höchste Geschwindigkeit, die gegenwärtig drahtlos erreicht werden kann (54 MBit/s oder mehr mit Kanalbündelung). | Teuer. Dieser Standard wird von weniger Clientgeräten unterstützt. Kürzere Reichweite. | 802.11b | Der Standard. Mehr Auswahlmöglichkeiten verfügbar. Dieser Standard wird von den meisten drahtlosen Clientgeräten unterstützt. | Niedrigste drahtlose Übertragungsgeschwindigkeit. | 802.11g | Hohe drahtlose Übertragungsgeschwindigkeit (54 MBit/s). Wird zunehmend populärer. | Höherer Preis. Zwar unterstützen nicht alle drahtlosen Geräte diesen Standard, jedoch können drahtlose Clients nach 802.11b auf Geräte nach 802.11g zugreifen. Kürzere Reichweite. | Multiprotokollunterstützung (a, b oder g). | Wahlmöglichkeit für Geschwindigkeit und Standard. | Teurer. | Multifunktionell (Zugriffspunkt und Firewall). | Es muss nur ein Gerät verwaltet werden. | Es gibt nur einen einzigen Ausfallpunkt. |
Tabelle 8. Auswahlmöglichkeiten bei drahtlosen Zugriffspunkten AspekteBei der Auswahl des Typ des drahtlosen Zugriffspunktes für die Lösung sollten folgende Aspekte berücksichtigt werden: | • | Standard, die von drahtlosen Clients bereits unterstützt werden | | • | Zuverlässigkeit des drahtlosen Geräts | | • | Preis des drahtlosen Geräts | | • | Vom Gerät unterstützte Verbindungsgeschwindigkeit |
EmpfehlungenBei der Auswahl des Typ des drahtlosen Zugriffspunktes für die Lösung sollten folgende Aspekte berücksichtigt werden: | • | Anforderungen an die Geschwindigkeit: Wenn das Hauptaugenmerk auf der Geschwindigkeit liegt, entscheiden Sie sich für ein Gerät, das 802.11a oder 802.11g unterstützt. | | • | Balance zwischen Geschwindigkeit und Preis: Wenn sowohl die Geschwindigkeit als auch die Kosten berücksichtigt werden sollen, wählen Sie ein Multiprotokollgerät, das 802.11b und 802.11g unterstützt. | | • | Störanfälligkeit: Wenn im Büro viele Handys zum Einsatz kommen, kann die Störanfälligkeit bei Geräten nach 802.11a und 802.11g größer sein. | | • | Kompatibilität: Geräte, die 802.11b oder 802.11g unterstützen, sind u. U. mit der größten Palette an drahtlosen Clients kompatibel. | | • | Signalreichweite: 802.11b unterstützt die größte Signalreichweite. Zugriffspunkte gemäß 802.11g und 802.11a haben eine geringere Signalreichweite. Werden solche Geräte verwendet, müssen zur Abdeckung des gleichen physischen Bereichs ggf. mehr Zugriffspunkte installiert werden. Hinweis: Viele drahtlose Zugriffspunkte sind Mehrzweck-Netzwerkgeräte. Neben der Tatsache, dass sie als drahtloser Zugriffspunkt arbeiten, stellen diese Geräte DHCP-Dienste bereit und agieren als Firewall. In Small IT Solution wird der DHCP-Dienst von Windows Small Business Server 2003 bereitgestellt, was wesentlich funktioneller ist. Daher sollte der DHCP-Dienst im drahtlosen Zugriffspunkt, sofern vorhanden, deaktiviert werden. Die Firewall des drahtlosen Zugriffspunktes kann verwendet werden, nachdem sichergestellt wurde, dass sie den Anforderungen an eine Firewall wie im Abschnitt Herstellen einer sicheren Verbindung zum Internet in diesem Kapitel empfohlen entspricht. |
Definieren der erforderlichen SicherheitsebeneIn drahtlosen Netzwerken können verschiedene Sicherheitsebenen implementiert werden. Die folgende Tabelle enthält die gängigen Methoden zur Implementierung dieser Sicherheitsebenen. WEP (Wired Equivalent Privacy) | Mittel | Preisgünstig Einfach einzusetzen und zu konfigurieren. | Einfacher auszuhebeln. | WPA (WiFi Protected Access) | Hoch | Einfach zu implementieren. Sicherer als WEP. | WPA ist ein noch neuer Standard und daher noch nicht weit verbreitet. Damit Microsoft Windows XP WPA unterstützt, sind Updates erforderlich. | Authentifizierung gemäß 802.1x mit WEP oder WPA | Hoch | Ausgereifte Geräte und Standards. Höhere Geräteverfügbarkeit. | Komplexer bei der Implementierung. Der drahtlose Computer muss sich in der Microsoft Active Directory®-Domäne befinden. Setzt einen RADIUS-Server und eine Zertifizierungsstelle (Certification Authority - CA) voraus. |
Tabelle 9. Unterschiedliche Sicherheitsebenen EmpfehlungenDie Empfehlung setzt folgende Szenarien voraus: | • | 802.1x: 802.1x wird empfohlen, wenn das Hauptaugenmerk auf hoher Sicherheit und nahtloser Authentifizierung liegt, dieser Bedarf dringend ist und Geräte, die WPA unterstützen, nicht zur Verfügung stehen. | | • | WPA: WPA wird empfohlen, wenn hohe Sicherheit oberste Priorität hat und WPA-Geräte zur Verfügung stehen. | | • | WEP: WEP wird empfohlen, wenn Sie mit Geräten arbeiten müssen, die WPA oder 802.1x nicht unterstützen und die Sicherheitsanforderungen nicht sehr hoch sind. Zu diesen Geräten zählen z. B. PDAs oder drahtlose Webkameras. |
Festlegen der physischen Position eines drahtlosen ZugriffspunktesDie meisten Hardwarehersteller rüsten ihre Geräte mit Dienstprogrammen zur Signalstärkemessung aus. Diese Dienstprogramme können auf Laptops unter Microsoft Windows® XP, auf Pocket PCs oder anderen drahtlosen Geräten ausgeführt werden. Drahtlose Zugriffspunkte sollten an mehreren Positionen aufgestellt werden, und die jeweilige Empfangssignalstärke sollte auf das physische Layout des Büros abgestimmt sein. Die Signalstärke ist von zahlreichen Faktoren abhängig, u. a. auch vom verwendeten Baumaterial und der Umgebung. Ein einziger drahtloser Zugriffspunkt unter der Decke bietet ausreichend Abdeckung, wenn das Büro des kleinen Unternehmens den folgenden Anforderungen entspricht: | • | Das Büro besteht aus 3 bis 5 Räumen. | | • | Es gibt 10 bis 15 Benutzer mit normalem Nutzungsverhalten im drahtlosen Netzwerk. | | • | Die Wände bestehen aus standardmäßigem Trockenbaumaterial. | | • | Es gibt nur wenig elektromagnetische Störungen.  Abbildung 2. Positionierung des drahtlosen Zugriffspunktes |
In einem größeren Büro werden weitere drahtlose Zugriffspunkte benötigt. Für eine adäquate Entscheidung betreffend die Anzahl der benötigten drahtlosen Zugriffspunkte und deren Positionierung sollte im Vorfeld eine Begutachtung erfolgen. Wenn mehr als ein drahtloser Zugriffspunkt benötigt wird, müssen Sie zudem die sich überlappenden Funkfrequenzgrenzen der Zugriffspunkte berücksichtigen. In der Regel werden diese Grenzen basierend auf der Zuordnungsgeschwindigkeit festgelegt. Drahtlose Zugriffspunkte müssen beispielsweise so eingestellt werden, dass sie Zuordnungen nur bei 11 MBit/s zulassen. Dem Gutachten entnehmen Sie die jeweils geeignete Positionierung der drahtlosen Zugriffspunkte, die den Benutzern einen Wechsel zwischen den Funkfrequenznetzwerken ermöglicht, ohne dass die Verbindungen verloren gehen. Wenn die Funkfrequenzbereiche signifikant überlappen, finden aufgrund der häufigen Bewegung von Endstationen von einem drahtlosen Zugriffspunkt zum anderen vermehrt Neuübertragungen von Paketen statt. Für den Fall, dass ein drahtloser Zugriffspunkt nicht ausreicht, um sämtliche Geschäftsräume einer Organisation abzudecken, sind mehrere drahtlose Zugriffspunkte erforderlich. Diese Anforderung ergibt sich in kleinen Unternehmensumgebungen jedoch eher selten, da ein einziger drahtloser Zugriffspunkt in der Regel einen Bereich von mehr als 30 Metern abdeckt. Wenn mehrere drahtlose Zugriffspunkte verwendet werden, müssen diese zum gleiche Netzwerk gehören.
Bereitstellen von drahtlosen ZugriffspunktenDas Verfahren zur Bereitstellung von drahtlosen Zugriffspunkten ist vom verwendeten Sicherheitsprotokoll abhängig. | • | Authentifizierung nach 802.1x:Das Verfahren und die zugehörigen Schritte werden im folgenden Abschnitt erläutert.
| | • | WPA: Anleitungen finden Sie unter dem folgenden URL:
http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/AP04.mspx | | • | WEP: WEP setzt keine serverseitige Konfiguration voraus und ist nach Maßgabe der vom Anbieter bereitgestellten Anweisungen relativ einfach zu konfigurieren.
|
Voraussetzungen
Die unter Small IT Solution beschriebenen Dienste für drahtlose Netzwerke setzen auf Windows Small Business Server 2003 und Microsoft Windows XP Professional auf. Zu den Elementen, die vor der Implementierung von drahtlosen Zugriffspunkten bereitgestellt werden müssen, gehören die folgenden:
| • | Physisches LAN, mit dem die Server verbunden sind | | • | Windows Small Business Server 2003 | | • | DHCP-Dienste von Windows Small Business Server 2003 | | • | Zertifizierungsstellendienst und Internetauthentifizierungsdienst von Windows Small Business Server 2003 | | • | Drahtlose Clients, die der Active Directory-Domäne von Windows Small Business Server 2003 hinzugefügt wurden |
Einrichten einer Infrastruktur für ein sicheres drahtloses NetzwerkFühren Sie die folgenden Schritte durch, damit die Authentifizierung nach 802.1x ordnungsgemäß funktioniert: | • | Einrichten des Servers: Bevor die im Abschnitt Einrichten des Servers beschriebenen Schritte durchgeführt werden können, muss Windows Small Business Server 2003 konfiguriert werden. Zum Einrichten von Windows Small Business Server 2003 gehen Sie wie im Kapitel Small Business Server beschrieben vor.
| | • | Konfigurieren des drahtlosen Zugriffspunktes: Der drahtlose Zugriffspunkt muss geräteseitig die Authentifizierung nach 802.1x unterstützen.
| | • | Konfigurieren der drahtlosen Clients: Beachten Sie, dass zahlreiche drahtlose Clientgeräte wie Webkameras und PDAs die Authentifizierung nach 802.1x ggf. nicht unterstützen.
|
Einrichten des ServersDer Standard 802.1x, der zum Zwecke der Authentifizierung von drahtlosen Clients EAP (Extensible Authentication-Protokoll) verwendet, erfüllt die Sicherheitsanforderungen eines drahtlosen LANs. WEP ermöglicht zwar die Verschlüsselung des Datenverkehrs, weist dafür aber erhebliche Schwächen bei den Schlüsselverwaltungsfunktionen auf. Zum Zwecke der vereinfachten Nutzung von WEP für die Verschlüsselung hat Microsoft im Verein mit anderen Anbietern Methoden entwickelt, um die Verwaltung von WEP-Verschlüsselungsschlüsseln bei Verwendung von TLS oder TTLS sicherer zu gestalten. Mit diesen Methoden ist der drahtlose Zugriffspunkt in der Lage, eindeutige Sitzungsschlüssel für die WEP-Verschlüsselung zwischen Zugriffspunkt und Client zu erstellen. Der WPA-Standard ist eine Sammlung von branchenbasierten Standards. Er umfasst alle genannten Standards sowie ein standardisiertes Protokoll für die Schlüsselverwaltung, das als Temporal Key Integrity-Protokoll (TKIP) bezeichnet wird. Dies stellt für die Sicherheit von drahtlosen Netzwerken einen beträchtlichen Fortschritt dar und wird auch von den meisten Analysten positiv bewertet. Hinweis: Die Verbesserungen bei WPA stellen keine Lösungen für die Schwachstellen der Standards 802.11 und 802.1x bei der Abwehr von DoS-Attacken (Denial of Service) dar. Allerdings sind die Schwachstellen von WEP im Bereich der DoS-Attacken auch bei weitem nicht so kritisch wie andere Schwachstellen, da sich gezeigt hat, dass DoS-Attacken überwiegend nur temporäre Dienstunterbrechungen verursachen können. Dennoch stellen diese Schwachstellen nach wie vor für einige Organisationen ein ernst zu nehmendes Problem dar, das sich aber vermutlich erst mit der Ratifizierung des Standards 802.11i durch das IEEE (Institute of Electrical and Electronics Engineers, Inc.) im Jahr 2004 lösen lassen wird.
Während der Entwurfsphase dieser Lösung hat Microsoft ein Update für Windows XP veröffentlicht, mit dem die Unterstützung für WPA implementiert wird. Darüber hinaus habe die Anbieter von drahtlosen Zugriffspunkten kürzlich damit begonnen, Geräte mit WPA-Unterstützung sowie Updates für ältere Geräte herauszubringen, damit auch diese WPA unterstützen. Aus diesem Grund wurde die Small IT Solution so gestaltet, dass sie beides unterstützt, die Microsoft-Implementierung des dynamischen WEP und WPA. Da WEP jedoch von den meisten Anbietern von drahtlosen Zugriffspunkten und drahtlosen Clients unterstützt wird, konzentriert sich diese Lösung in der Hauptsache auf die Verwendung von WEP. Weitere Informationen zur Implementierung von sicheren drahtlosen Netzwerken mit WPA finden Sie unter folgendem URL:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifisoho.mspx Bei EAP-TLS (Extensible Authentication-Protokoll-TLS) wird die zertifikatbasierte Zweiwege-Authentifizierung verwendet. Die Lösung nach 802.1x kann unter Verwendung von Zertifikaten für die Client- und die Serverseite oder unter Verwendung von Kennwörtern für die Clientseite und Zertifikaten für die Serverseite implementiert werden. Eine weitere Lösung, die Kennwörter für die Clientseite und Zertifikate für die Serverseite verwendet, wird als PEAP (Protected Extensible Authentication-Protokoll) bezeichnet. Die Lösung für sichere drahtlose Netzwerke für kleine Unternehmen setzt - aufgrund der Komplexität der Verwaltung von Benutzerzertifikaten - auf PEAP auf. Einrichten der Komponenten des AuthentifizierungsserversFür eine Authentifizierung nach 802.1x müssen zwei Serverkomponenten konfiguriert werden: | • | Der Internetauthentifizierungsdienst (RADIUS-Server) | | • | Die Zertifizierungsstelle für die Client-Server-Authentifizierung (EAP-TLS-Authentifizierung) |
Damit die Authentifizierung nach 802.1x wie in diesem Kapitel beschrieben erfolgen kann, muss Windows Small Business Server 2003 ausgeführt werden. Auf diese Weise ist gewährleistet, dass die Autorisierungs- und Authentifizierungsdienste vom Verzeichnisdienst Active Directory bereitgestellt werden. Installieren des InternetauthentifizierungsdienstesFühren Sie die folgenden Schritte durch, um den Internetauthentifizierungsdienst (IAS) auf dem Computer unter Windows Small Business Server 2003 zu installieren: 1. |
Öffnen Sie in der Systemsteuerung die Option Software.
| 2. |
Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
| 3. |
Klicken Sie im Dialogfeld Assistent für Windows-Komponenten auf Netzwerkdienste und dann auf Details.
| 4. |
Wählen Sie im Dialogfeld Netzwerkdienste als Dienst Internetauthentifizierungsdienst aus, klicken Sie auf OK, und klicken Sie dann auf Weiter.
| 5. | Legen Sie die Windows Small Business Server 2003-CD ein, wenn Sie dazu aufgefordert werden. | 6. |
Klicken Sie nach der Installation von IAS auf Fertig stellen und dann auf Schließen.
| 7. |
Öffnen Sie die Eingabeaufforderung, und führen Sie den Befehl netsh ras add registeredserver aus.
|
Mit dem vorstehenden Schritt wird sichergestellt, dass der IAS-Server in die Sicherheitsgruppe RAS- und IAS-Server der Active Directory-Domäne gesetzt wird. Auf diese Weise wird gewährleistet, dass die IAS-Server über die geeigneten Berechtigungen zum Lesen der Remotezugriffseigenschaften von Benutzer- und Computerkonten verfügen. Installieren des ZertifizierungsstellendienstesIAS setzt für die EAP-TLS-Authentifizierung ein Serverzertifikat voraus. Ein Serverauthentifizierungszertifikat kann von einem anderen Anbieter als Microsoft erworben werden, Sie können aber auch den von der Produktfamilie Windows Server™ 2003 bereitgestellten Zertifizierungsstellendienst installieren. In diesem Abschnitt wird erläutert, wie der Zertifizierungsstellendienst installiert und wie das Zertifikat für die drahtlose Authentifizierung ausgegeben wird. Gehen Sie wie nachstehend beschrieben vor, um den Zertifizierungsstellendienst zu installieren: 1. | Melden Sie sich als Administrator an dem Server unter Windows Small Business Server an. | 2. |
Öffnen Sie in der Systemsteuerung die Option Software.
| 3. |
Klicken Sie auf die Schaltfläche Windows-Komponenten hinzufügen/entfernen.
| 4. |
Aktivieren Sie im Dialogfeld Assistent für Windows-Komponenten das Kontrollkästchen Zertifikatdienste. Nun wird die Meldung angezeigt, dass der Computer nach der Installation der Zertifikatdienste nicht mehr umbenannt und keiner Domäne mehr hinzugefügt oder hieraus entfernt werden kann. Klicken Sie auf Ja, und klicken Sie dann auf die Schaltfläche Weiter.
| 5. |
Wählen Sie die Option Stammzertifizierungsstelle des Unternehmens.
| 6. |
Geben Sie im Feld Allgemeiner Name dieser Zertifizierungsstelle einen allgemeinen Namen wie Unternehmensname CA ein.
| 7. |
Geben Sie im Feld Gültigkeitsdauer als Gültigkeitsdauer für die Stammzertifizierungsstelle 10 Jahre an, und klicken Sie auf Weiter.
| 8. |
Übernehmen Sie die standardmäßigen Speicherpositionen, und klicken Sie auf Weiter.
| 9. |
Nun wird die Meldung Die Internetinformationsdienste müssen zwischenzeitlich beendet werden, um die Installation abschließen zu können. Soll der Dienst jetzt beendet werden? angezeigt. Klicken Sie auf Ja.
| 10. | Legen Sie die Windows Small Business Server 2003-CD ein, wenn Sie dazu aufgefordert werden. | 11. |
Klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.
|
Standardmäßig gibt die Zertifizierungsstelle ein Domänencontrollerzertifikat für alle Domänencontroller aus. IAS verwendet dieses Zertifikat für die EAP-TLS-Authentifizierung. Konfigurieren der Richtlinie für den drahtlose Nutzung des InternetauthentifizierungsdienstesDer Internetauthentifizierungsdienst (IAS) muss mit einer Remotezugriffsrichtlinie und Verbindungsanforderungseinstellungen konfiguriert werden, damit die Benutzer von drahtlosen Computern sowie die Computer im drahtlosen Netzwerk authentifiziert und autorisiert werden können. Darüber hinaus muss IAS so konfiguriert werden, dass Verbindungen von RADIUS-Clients (drahtlosen Zugriffspunkten) zugelassen werden. Die drahtlosen Zugriffspunkte müssen für die Verwendung von IAS-Servern für die Übergabe von Authentifizierungsanforderungen konfiguriert werden. Hinweis: Nach der Installation der Zertifizierungsstelle sollten Sie mindestens 30 Minuten warten, bevor Sie eine Richtlinie für den drahtlosen Zugriff erstellen. Andernfalls sind Sie nicht in der Lage, der Richtlinie für den drahtlosen Zugriff wie nachstehend beschrieben das Serverauthentifizierungszertifikat hinzuzufügen.
Führen Sie in der Verwaltungskonsole des Internetauthentifizierungsdienstes (Menü Verwaltung) die folgenden Schritte durch:
1. |
Klicken Sie mit der rechten Maustaste auf den Ordner RAS-Richtlinien, und wählen Sie die Option Neue RAS-Richtlinie.
| 2. |
Nennen Sie die Richtlinie Allow Wireless Access, und wählen Sie die Option Assistent verwenden, um eine typische Richtlinie für ein Szenario einzurichten.
| 3. |
Wählen Sie Drahtlos als Zugriffsmethode aus.
| 4. | Gewähren Sie den Zugriff auf Basis der Gruppe, und fügen Sie die Sicherheitsgruppe für mobile Benutzer der Liste der Gruppen hinzu, die über das Recht zum drahtlosen Zugriff verfügen. | 5. |
Wählen Sie unter EAP-Typ den Typ Geschütztes EAP (PEAP) aus.
| 6. |
Wählen Sie Konfigurieren, und fügen Sie dann das für IAS installierte Serverauthentifizierungszertifikat hinzu.
| 7. |
Klicken Sie auf Fertig stellen, und beenden Sie damit den Assistenten.
Hinweis: Die bei der Installation von IAS erstellte Richtlinie Allow Wireless Access kann neben anderen RAS-Richtlinien existieren. Sie müssen allerdings sicherstellen, dass andere RAS-Richtlinien im Ordner RAS-Richtlinien in der Richtlinienliste unterhalb von Allow Wireless Access aufgeführt werden. Die Richtlinien am Anfang der Richtlinienliste setzen die Einstellungen außer Kraft, die in Richtlinien mit geringerer Priorität konfiguriert wurden. Verschieben Sie die Richtlinie Allow Wireless Access mithilfe der Pfeiltasten neben der Liste an deren Anfang.
|
Hinzufügen von RADIUS-Clients zum InternetauthentifizierungsdienstBevor die drahtlosen Zugriffspunkte für die Herstellung der Verbindung zum IAS-Server konfiguriert werden können, müssen sie IAS als RADIUS-Clients hinzugefügt werden. Führen Sie in der Verwaltungskonsole des Internetauthentifizierungsdienstes die folgenden Schritte durch, um einen drahtlosen Zugriffspunkt als RADIUS-Client hinzuzufügen: 1. |
Klicken Sie mit der rechten Maustaste auf den Ordner RADIUS-Clients, und wählen Sie Neuer RADIUS-Client aus dem Kontextmenü.
| 2. | Geben Sie einen Anzeigenamen sowie die IP-Adresse des drahtlosen Zugriffspunktes ein. Hierbei muss es sich um den gleichen Namen und die gleiche IP-Adresse handeln, die auch für den drahtlosen Zugriffspunkt verwendet wurden. Wenn der drahtlose Zugriffspunkt noch nicht eingerichtet wurde, geben Sie bei dessen Konfiguration die gleichen Werte ein. | 3. |
Wählen Sie als für das Attribut client-vendor die Einstellung RADIUS Standard aus, und geben Sie für diesen speziellen drahtlosen Zugriffspunkt den gemeinsamen geheimen Schlüssel ein. Aktivieren Sie dann das Kontrollkästchen Anforderung muss das Attribut 'Message Authenticator' enthalten. Wenn der drahtlose Zugriffspunkt noch nicht eingerichtet wurde, geben Sie bei dessen Konfiguration den gleichen gemeinsamen geheimen Schlüssel ein.
Hinweis: Bei den meisten drahtlosen Zugriffspunkten sind keine herstellerspezifischen Attribute erforderlich. Es gibt allerdings RADIUS-Clients, die diese herstellerspezifischen Attribute für einen ordnungsgemäßen Betrieb voraussetzen. Weitere Informationen über ggf. erforderliche herstellerspezifische Attribute finden Sie in der Dokumentation des jeweiligen Herstellers.
|
Ändern der Profileinstellungen für die Richtlinie für den drahtlosen ZugriffKonfigurieren Sie Active Directory so, dass die Einwähleinstellungen der Benutzer ignoriert werden, um potenzielle Probleme mit einigen drahtlosen Zugriffspunkten zu vermeiden. Darüber hinaus sollten RADIUS-Attribute für die erneute Authentifizierung von Clients in geplanten Zeitintervallen festgelegt werden, um sicherzustellen, dass die WEP-Sitzungsschlüssel aktualisiert werden. Führen Sie die folgenden Schritte durch, um die Profileinstellungen der Richtlinie für den drahtlosen Zugriff zu ändern: 1. |
Wählen Sie den Ordner RAS-Richtlinien aus, und markieren Sie dann die Richtlinie Allow Wireless Access, die für den drahtlosen Zugriff erstellt wurde.
| 2. |
Öffnen Sie die Eigenschaften der Richtlinie, und klicken Sie dann auf Profil bearbeiten.
| 3. |
Klicken Sie auf der Registerkarte Einwähleinschränkungen auf die Option Zugelassene Sitzungslänge für Clients in Minuten, und geben Sie 30 Minuten als Wert ein.
| 4. |
Gehen Sie auf der Registerkarte Erweitert wie folgt vor:
1. |
Legen Sie das Attribut Ignore-User-Dialin-Properties auf Wahr fest.
| 2. |
Legen Sie das Attribut Termination-Action auf RADIUS-Request fest.
|
| 5. | Schließen Sie die Dialogfelder, und beenden Sie die Verwaltungskonsole des Internetauthentifizierungsdienstes. Hinweis: Bei einigen drahtlosen Zugriffspunkten mit Unterstützung von 802.1x muss ggf. die Richtlinienbedingung NAS-Port-Type entspricht entfernt werden.
|
Hinzufügen von BenutzernBenutzer müssen der Gruppe der mobilen Benutzer hinzugefügt werden, um die Verbindung zum drahtlosen Netzwerk herstellen zu können. Führen Sie die folgenden Schritte durch, um Benutzer der Gruppe der mobilen Benutzer hinzuzufügen: 1. |
Öffnen Sie die Serververwaltungskonsole, und erweitern Sie den Container Sicherheitsgruppen.
| 2. | Fügen Sie Benutzer, denen der Zugriff auf das drahtlose LAN gewährt werden soll, der Gruppe der mobilen Benutzer hinzu. | 3. | Fügen Sie auch Computer, denen der Zugriff auf das drahtlose LAN gewährt werden soll, der Gruppe der mobilen Benutzer hinzu. |
Erstellen von Gruppenrichtlinienobjekten für die
WLAn- Eigenschaften auf dem Clientcomputer
1. |
Öffnen Sie die Serververwaltungskonsole, und zeigen Sie den Container Erweiterte Verwaltung an.
| 2. |
Wählen Sie den Container Gruppenrichtlinienverwaltung, und suchen Sie die Domäne unternehmensname.local.
| 3. |
Klicken Sie mit der rechten Maustaste auf die Domäne unternehmensname.local, und wählen Sie die Option Gruppenrichtlinienobjekt hier erstellen und verknüpfen.
| 4. |
Geben Sie Wireless Network Policy als Namen für das Gruppenrichtlinienobjekt (Group Policy Object - GPO) ein.
| 5. |
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten.
| 6. |
Wechseln Sie zu \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien für Drahtlosnetzwerke (IEEE 802.11).
| 7. |
Klicken Sie im Navigationsfenster auf das Objekt Richtlinien für Drahtlosnetzwerke (IEEE 802.11), und wählen Sie im Menü Aktion den Befehl Drahtlosnetzwerkrichtlinie erstellen aus. Verwenden Sie den Assistenten, um der Richtlinie den Namen Client Computer Wireless Configuration zuzuweisen. Aktivieren Sie das Kontrollkästchen Eigenschaften bearbeiten, und klicken Sie auf Fertig stellen, um den Assistenten zu beenden.
| 8. |
Klicken Sie auf der Registerkarte Bevorzugte Netzwerke der Richtlinie Client Computer Wireless Configuration auf Hinzufügen, geben Sie den Netzwerknamen oder die SSID (Service Set ID) des drahtlosen Netzwerkes ein, und aktivieren Sie die folgenden Kontrollkästchen:
1. | Datenverschlüsselung (WEP aktiviert) | 2. | Netzwerkauthentifizierung (Freigabemodus) | 3. | Der Schlüssel wird automatisch angegeben. |
| 9. |
Klicken Sie auf die Registerkarte IEEE 802.1x, und ändern Sie unter EAP-Typ den Typ in Geschütztes EAP (PEAP).
| 10. |
Klicken Sie für EAP-Typ auf die Schaltfläche Einstellungen. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die Stammzertifizierungsstelle für die IAS-Serverzertifikate aus (die im Abschnitt Installieren des Zertifizierungsstellendienstes dieses Kapitels als Unternehmensname CA konfiguriert wurde.
| 11. |
Klicken Sie in allen Dialogfelder auf OK, und schließen Sie den Gruppenrichtlinienobjekt-Editor.
|
Einrichten des drahtlosen ZugriffspunktesDas Verfahren zum Konfigurieren von drahtlosen Zugriffspunkten ist von der Marke und dem Modell des jeweiligen Geräts abhängig. Im Lieferumfang von drahtlosen Zugriffspunkten befindet sich jedoch in der Regel eine Konfigurationsanleitung. Nehmen Sie nach Anweisung des Anbieters die folgenden Konfigurationsänderungen an dem drahtlosen Zugriffspunkt vor: 1. | IP-Adresse des drahtlosen Zugriffspunktes: Vergewissern Sie sich, dass die IP-Adresse des drahtlosen Zugriffspunktes derjenigen entspricht, die im Schritt Hinzufügen von RADIUS-Clients zum Internetauthentifizierungsdienst bei der Konfiguration von IAS angegeben wurde.
| 2. | 802.1x-Netzwerkeinstellungen: Möglicherweise gibt es eine Option zur Auswahl von EAP-TLS oder zur Auswahl von MD5/Kennwort. Wählen Sie als Typ EAP-TLS-Authentifizierung.
| 3. | IP-Adresse des primären RADIUS-Authentifizierungsservers: Diese Adresse muss die gleiche wie die IP-Adresse des Servers unter Windows Small Business Server sein. Geben Sie im Bedarfsfall als RADIUS-Serverport 1812 ein.
| 4. | IP-Adresse des primären RADIUS-Kontoservers, sofern erforderlich: Dies ist die IP-Adresse des Servers unter Windows Small Business Server.
| 5. | Gemeinsamer geheimer RADIUS-Schlüssel auf dem primären RADIUS-Server: Vergewissern Sie sich, dass der gemeinsame geheime Schlüssel der gleiche wie der ist, der im Abschnitt Hinzufügen von RADIUS-Clients zum Internetauthentifizierungsdienst bei der Konfiguration von IAS angegeben wurde.
|
In Szenarien mit mehreren drahtlosen Zugriffspunkten muss jeder Zugriffspunkt mit den gleichen Einstellungen konfiguriert werden. Vergewissern Sie sich, dass die SSIDs die gleichen sind, jeder drahtlose Zugriffspunkt jedoch über einen anderen Kanal verfügt. Einrichten der drahtlosen ClientcomputerDas Einrichten der Clients umfasst zwei Schritte, nämlich die Konfiguration der Clientdomäne und die Konfiguration der Drahtlosfunktionen des Computers. Hinweis: Benutzer- und Computerkonten müssen sich in der gleichen Active Directory-Domäne wie der IAS-Server befinden.
Einrichten der ClientcomputerdomäneFühren Sie die folgenden Schritte durch, wenn der Computer noch kein Mitglied der Domäne ist: 1. |
Öffnen Sie auf dem Server unter Windows Small Business Server die Serververwaltungskonsole, und wählen Sie den Container Clientcomputer aus.
| 2. |
Wählen Sie Clientcomputer einrichten. Folgen Sie den Anweisungen zum Erstellen eines Active Directory-Eintrags für den Clientcomputer.
| 3. |
Stellen Sie die Verbindung zum verkabelten LAN her, wechseln Sie zu http://<Name des Servers unter Small Business Server>/Connect Computer, wählen Sie den im vorherigen Schritt erstellten Computereintrag aus, und führen Sie die erforderlichen Schritte durch, um die Verbindung zur Domäne des Unternehmens herzustellen. In diesem Zuge muss der Clientcomputer ggf. mehrfach neu gestartet werden.
|
Manuelle Konfiguration des drahtlosen Clients
Wenn das Gruppenrichtlinienobjekt Client Computer Wireless Configuration auf dem Server unter Windows Small Business Server nicht konfiguriert wurde, muss der drahtlose Client manuell konfiguriert werden.
Führen Sie die folgenden Schritte durch, um Windows XP manuell für die PEAP/802.1x-Authentifizierung zu konfigurieren: 1. |
Öffnen Sie die Systemsteuerung, und doppelklicken Sie auf Netzwerkverbindungen.
| 2. |
Klicken Sie mit der rechten Maustaste auf den WLAN-Adapter, und wählen Sie Eigenschaften.
| 3. |
Klicken Sie auf die Registerkarte Drahtlose Netzwerke.
| 4. |
Klicken Sie auf Hinzufügen, um eine SSID für das drahtlose Netzwerk hinzuzufügen und die Authentifizierung zu konfigurieren.
| 5. |
Geben Sie unter Netzwerkname (SSID) die SSID oder den Namen des drahtlosen Netzwerkes wie auf dem drahtlosen Zugriffspunkt konfiguriert ein.
| 6. | Nehmen Sie die folgenden Konfigurationen vor. Für alle anderen Einstellungen sollten die Standardwerte beibehalten werden. 1. |
Wählen Sie im Dropdownlistenfeld Datenverschlüsselung den Eintrag WEP aus.
| 2. |
Wählen Sie im Dropdownlistenfeld Netzwerkauthentifizierung den Eintrag Freigabemodus aus.
| 3. |
Aktivieren Sie das Kontrollkästchen Schlüssel wird automatisch bereitgestellt.
|
| 7. |
Klicken Sie auf die Registerkarte Authentifizierung.
| 8. |
Aktivieren Sie das Kontrollkästchen IEEE 802.1X-Authentifizierung für dieses Netzwerk aktivieren.
| 9. |
Wählen Sie im Dropdownlistenfeld EAP-Typ den Eintrag PEAP aus.
| 10. |
Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.
|
TestfälleFühren Sie die folgenden Schritte durch, um die Funktionalität des drahtlosen Netzwerkes zu testen: 1. | Starten Sie den Clientcomputer neu, der für den Zugriff auf das drahtlose Netzwerk konfiguriert wurde. | 2. | Melden Sie sich an dem Computer als ein Benutzer an, der Mitglied der Gruppe Mobile Benutzer ist. | 3. | Geben Sie an der Eingabeaufforderung den Befehl ping ein, um die Netzwerkverbindung zu anderen Computern im Netzwerk zu prüfen. |
| |
