Alle Themen der Sicherheitsanleitung anzeigen Auf dieser SeiteEinführungDieses Kapitel dient primär als Anleitung für das Testen der bereitgestellten Lösung Sichern von WLANs mit PEAP und Kennwörtern. Die Empfehlungen in diesem Kapitel basieren auf der von Microsoft® beim Testen dieser Lösung gewonnenen Erfahrung. Der erste Teil dieses Kapitels beschreibt den Testvorgang von Microsoft. Der zweite Teil befasst sich mit den Testszenarios, die Sie zum Überprüfen der Lösung vor ihrer Implementierung in die Produktionsumgebung verwenden können. Die Testszenarios in diesem Kapitel ergänzen die Vorgehensweisen für die in den Kapiteln 3 bis 6 beschriebenen Tests. Erforderliche KenntnisseZum Testen dieser Lösung sind Kenntnisse auf folgenden Gebieten hilfreich: | • | Public Key Infrastructure (PKI)-Konzepte und Microsoft Zertifikatsdienste. | | • | Internetauthentifizierungsdienst (IAS)-Server (RADIUS-Server). | | • | Installation von Treibern für Drahtlosnetzwerkadapter und Konfiguration von Drahtlosnetzwerkeinstellungen unter Microsoft Windows® XP. | | • | Verwendung und Konfiguration von Pocket PC 2003. | | • | Verzeichnisdienst Microsoft Active Directory® (einschließlich Active Directory-Struktur- und -Verwaltungstools; Arbeiten mit Benutzern, Gruppen und anderen Active Directory-Objekten und Gruppenrichtlinien). | | • | Microsoft Windows® Scripting Host und Microsoft Visual Basic® Scripting Edition (VBScript)-Sprache (hilfreich beim Anpassen und Verwenden der Skripte und Tools in dieser Anleitung). |
Vorgehensweise von Microsoft beim Testen dieser LösungDas Microsoft-Testteam konzentrierte sich auf die Überprüfung des in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, beschriebenen Lösungsprofils. Die Haupteigenschaften des Profils lauten folgendermaßen: | • | Eine Einzeldomänen-Active-Directory-Gesamtstruktur mit zwei Domänencontrollern mit der Domänenfunktionsebene von Windows 2000 im einheitlichen Modus. | | • | Domänencontrollerserver wurden unter Windows Server™ 2003 Standard Edition installiert. | | • | Windows XP Service Pack 1 Professional und Tablet PC Edition sowie Pocket PC 2003 (Hewlett Packard IPAQ 5550) wurden als Drahtlosclients verwendet. | | • | IAS wurde auf den Domänencontrollern installiert. | | • | Der Zertifizierungsstellenserver (CA-Server) wurde auf einem der Domänencontroller installiert. | | • | Am Hauptsitz und in der Zweigstelle waren jeweils eigene lokale Netze (LANs) im Einsatz. | | • | Für den Schutz von WLAN-Daten wurde Dynamic Wired Equivalent Privacy (WEP) anstatt WPA verwendet. | | • | Die Remotezweigstelle verfügt ausschließlich über Drahtloszugriffspunkte als Infrastruktur, und für die Verbindung zum Hauptsitz wurde zur Simulation einer DSL- oder Kabelmodemverbindung Latenz integriert. |
Dieses Profil umfasst nicht alle möglichen Konfigurationen der Lösung (wie z.B. das Skalieren auf Größe von Großunternehmen). Jedoch wird gewährleistet, dass alle Komponenten getestet wurden. Die zur Anpassung dieses Profils an eine Organisation mit 5000 Benutzern erforderlichen Architekturänderungen sind relativ gering. Hinweis: Die hier beschriebenen Tests umfassen nur die Überprüfung der Lösung durch Microsoft. Enthalten sind die von Microsoft-Produktgruppen ausgeführten umfassenden Produkttests. Das Testen der Lösung ist eine zusätzliche Komponente. Testen des NetzwerklayoutsDie Testumgebung basiert auf dem in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, beschriebenen Netzwerkentwurf. Die folgende Abbildung zeigt das physische Layout der Testumgebung, die die einfachste in Kapitel 2 beschriebene Netzwerkkonfiguration aufweist. Bei dem Netzwerk des Hauptsitzes handelte es sich um ein einzelnes Netzwerk, in dem sich die Drahtlosclients und Domänenserver in einem einzelnen Subnetz befanden. Die Zweigstelle verfügte über ein separates Netzwerk und befand sich in einem anderen Subnetz. Der für die Verbindung zwischen Hauptsitz und Zweigstelle verwendete Router berücksichtigte die simulierte WAN-Latenz und Bandbreitenbeschränkung. Die Drahtloszugriffspunkte waren so verteilt, dass den Benutzern das Roaming zwischen den Zugriffspunkten möglich ist. Obwohl zum Testen ein einzelnes, nicht segmentiertes LAN verwendet wurde, können Sie Ihr internes Netzwerk zur besseren Verwaltung der Leistung und Sicherheit in verschiedene Subnetze, VLANs (virtuelle LANs) und Switches unterteilen. Nachdem das aus Domänencontrollern, DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol), Datei-, Druck- und Webdiensten mit statischem Drahtlos-WEP bestehende Basisnetzwerk entwickelt wurde, wurde jede Komponente gemäß der Anleitung in Kapiteln 3 bis 6 installiert und konfiguriert. Diese Kapitel enthalten Überprüfungsverfahren, die alle wie beschrieben ausgeführt wurden. Vor, während und nach der Erstellung wurde eine umfangreiche Testserie ausgeführt. Der nächste Abschnitt enthält die wichtigsten Testszenarios, verwenden Sie diese zum Testen Ihrer Lösungsimplementierung. Die erstellte Lösung, die Skripte für die Erstellung, den Betrieb und die Dokumentation wurden dreimal getestet, und die dabei gefundenen Probleme wurden als Fehler gemeldet. Tests galten als vollständig und erfolgreich, nachdem alle Fehler behoben waren. Überprüfen Ihrer ImplementierungIn diesem Abschnitt werden die wichtigsten, von Microsoft angewendeten Testszenarios zum Testen der Lösung beschrieben. Die Liste dieser Testszenarios ist nicht vollständig, und Sie können, auf den Anforderungen Ihrer Organisation basierend, Ihre eigenen Szenarios entwickeln. Einige der in vorherigen Kapiteln beschriebenen Überprüfungsszenarios wurden in diesem Kapitel der Vollständigkeit halber wiederholt. Lesen Sie sich die vorherigen Kapitel durch, bevor Sie diese Szenarios zum Testen verwenden. Falls der Test in einem der Szenarios fehlschlägt, schlagen Sie in Kapitel 8, Verwalten der sicheren WLAN-Lösung, im Abschnitt "Problembehandlung" nach, um die beim Testen aufgetretenen Probleme zu diagnostizieren und zu beheben. Szenario 1: Überprüfen der Bereitstellung der IAS-ServerzertifikateMit diesem Szenario überprüfen Sie, ob die IAS-Server nach ihrer Erstellung und Konfiguration automatisch das Serverauthentifizierungsprotokoll von der Netzwerkzertifizierungsstelle erhalten. Ausführungsdetails 1. | Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell. | 2. | Führen Sie zum Öffnen der Certificates-MMC den folgenden Befehl aus: ComputerCerts.msc | 3. | Doppelklicken Sie in der Konsolenstruktur auf Zertifikate (Lokaler Computer), und doppelklicken Sie anschließend auf Privater Speicher. Klicken Sie als Nächstes auf Zertifikate. | 4. | Die Spalte Ausgestellt für sollte mindestens ein Zertifikat mit dem Namen des IAS-Servers enthalten, und die Spalte Ausgestellt von sollte den Namen Ihrer Zertifizierungsstelle enthalten. Führen Sie in der Liste einen Bildlauf durch (rechts), und überprüfen Sie, ob die Spalte Zertifikatvorlage für dieses Zertifikat den Wert Computer enthält. | 5. | Wird das erforderliche Zertifikat nicht in der Zertifikate-MMC angezeigt, wählen Sie im linken Fensterabschnitt der Konsolenstruktur Zertifikate (Lokaler Computer), klicken Sie im Menü Aktion auf Alle Tasks, und klicken Sie anschließend auf Zertifikate automatisch registrieren. Aktualisieren Sie daraufhin die Zertifikate-MMC. |
Szenario 2: Überprüfen Sie das Zertifikat der Stammzertifizierungsstelle auf dem Windows XP-DrahtlosclientMit diesem Szenario überprüfen Sie, ob ein gültiger Windows XP-Drahtlosclient das Stammzertifikat der Netzwerkzertifizierungsstelle im Speicher der vertrauenswürdigen Stammzertifizierungstelle empfängt. Dieses Zertifikat wird heruntergeladen und dem Speicher hinzugefügt, wenn die Gruppenrichtlinie aktualisiert wird. Ausführungsdetails 1. | Melden Sie sich am Clientcomputer als Administrator an. | 2. | Wählen Sie Start, Ausführen..., geben Sie MMC.exe ein, und drücken Sie die Eingabetaste. | 3. | Wählen Sie im Menü Datei der MMC Snap-In hinzufügen/entfernen. | 4. | Klicken Sie im Fenster Snap-In hinzufügen/entfernen auf die Schaltfläche Hinzufügen. Wählen Sie in der Liste verfügbarer Snap-Ins das Objekt Zertifikate aus. | 5. | Wählen Sie Computerkonto, und klicken Sie auf Weiter. | 6. | Klicken Sie auf Fertig stellen. | 7. | Schließen Sie die Fenster Eigenständiges Snap-In hinzufügen und Snap-In hinzufügen/entfernen. | 8. | Navigieren Sie im linken Fensterabschnitt zu Zertifikate (Lokaler Computer)\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate. | 9. | Suchen Sie nach dem Zertifikat für Ihre Zertifizierungsstelle (es ist unter dem Namen aufgelistet, den Sie der Zertifizierungsstelle während der Installation zugewiesen haben). | 10. | Ist das Zertifikat nicht in der Liste enthalten, führen Sie an der Eingabeaufforderung den folgenden Befehl aus: Gpupdate /force | 11. | Kehren Sie zurück zur Zertifikate-MMC. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikate (Lokaler Computer), wählen Sie Aktualisieren, und sehen Sie nach, ob das Zertifizierungsstellenzertifikat jetzt in der Liste enthalten ist. |
Szenario 3: Überprüfen der Benutzerauthentifizierung für das DrahtlosnetzwerkDieses Szenario ist das wichtigste Testszenario. Anhand dieses Szenarios wird überprüft, ob der WLAN-Benutzer nach der Installation und Konfiguration der Lösung im Netzwerk erfolgreich authentifiziert wird und eine Verbindung zum Netzwerk herstellen kann. Ausführungsdetails 1. | Vergewissern Sie sich, ob ein bestimmter Domänenbenutzer ein Mitglied der Gruppe der WLAN-Benutzer oder der Gruppe der Domänenbenutzer (wiederum ein Mitglied der ersten Gruppe) ist. | 2. | Bitten Sie den Benutzer, sich an einem Clientcomputer mit installierter WLAN-Karte, der nicht mit dem drahtgebundenen Netzwerk verbunden ist, anzumelden. Der Benutzer gibt beim Anmelden die Domänenanmeldeinformationen ein. | 3. | Öffnen Sie in der Systemsteuerung den Bereich Netzwerkverbindungen, und überprüfen Sie den Status der Drahtlosnetzwerkverbindungen. Als Status sollte für die Drahtlosverbindung Authentifizierung erfolgreich angezeigt werden. | 4. | Verwenden Sie den Befehl ping an der Eingabeaufforderung, um die Netzwerkverbindung zu einem anderen Computer im Netzwerk zu überprüfen. | 5. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält die Authentifizierungsinformationen für den Benutzer. |
Szenario 4: Überprüfen der Computerauthentifizierung für das DrahtlosnetzwerkMit diesem Szenario wird überprüft, ob ein Computer im Netzwerk authentifiziert wird, wenn der Benutzer nicht angemeldet ist. Ausführungsdetails 1. | Vergewissern Sie sich, ob das Computerkonto ein Mitglied der Gruppe der WLAN-Computer oder der Gruppe der Domänencomputer (wiederum ein Mitglied der ersten Gruppe) ist. | 2. | Starten Sie den Computer neu, nachdem Sie sichergestellt haben, dass darauf eine WLAN-Karte installiert und der Computer nicht mit dem Drahtlosnetzwerk verbunden ist. | 3. | Melden Sie sich nicht sofort an, wenn die Anmeldeaufforderung angezeigt wird, und verwenden Sie den Computer ein paar Minuten lang nicht. | 4. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige. Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1 für den Computerhostnamen. Lesen Sie die Beschreibung des Protokolls, es enthält die Authentifizierungsinformationen für den Computer. |
Szenario 5: Überprüfen der Pocket PC-Authentifizierung für das DrahtlosnetzwerkMit diesem Testszenario wird überprüft, ob sich ein Benutzer mit einem Pocket PC-Gerät erfolgreich am WLAN-Netzwerk anmelden kann. Ausführungsdetails 1. | Vergewissern Sie sich, ob ein bestimmter Domänenbenutzer ein Mitglied der Gruppe der WLAN-Benutzer oder der Gruppe der Domänenbenutzer (wiederum ein Mitglied der ersten Gruppe) ist. | 2. | Aktivieren Sie auf dem Pocket PC die Drahtlosverbindung, und konfigurieren Sie die 802.1X-Einstellungen gemäß der Anleitung in Kapitel 6, Konfigurieren der WLAN-Clients. | 3. | Markieren Sie in der Liste mit Drahtlosnetzwerken den Netzwerknamen und lassen Sie dabei die Maustaste so lange gedrückt, bis eine Option zur Verbindungsherstellung angezeigt wird. Wählen Sie Verbinden, um eine Verbindung herzustellen. | 4. | Wenn Sie im Bildschirm Benutzeranmeldung zur Eingabe von Domänenanmeldeinformationen aufgefordert werden, geben Sie den Namen, das Kennwort und die Domäne des Benutzers ein. | 5. | Bei der erfolgreichen Anmeldung wird das Netzwerkstatussysmbol nicht durchgestrichen angezeigt. Überprüfen Sie den Status, indem Sie über das Menü Start den Internet Explorer starten und zu einer beliebigen Intranetwebsite navigieren. | 6. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält die Informationen zur Authentifizierung des Benutzers. |
Szenario 6: Blockieren eines WLAN-Clients unter Verwendung der IAS-Richtlinie für den RemotezugriffDieses Szenario basiert auf der Anleitung in Kapitel 8, Verwalten der sicheren WLAN-Lösung. Ein Administrator kann, falls erforderlich, den Drahtloszugriff eines Benutzers auf das Netzwerk mit der Richtlinie RAS-Berechtigung verweigern blockieren (diese Methode ist im Abschnitt "Einem Benutzer oder Computer den WLAN-Zugriff verweigern" des Kapitels 8 ausführlich beschrieben). Konfigurieren Sie auf den IAS-Servern die Richtlinie RAS-Berechtigung verweigern, bevor Sie dieses Testszenario ausführen. Ausführungsdetails 1. | Vergewissern Sie sich, ob ein bestimmtes Computerkonto ein Mitglied der Gruppe "WLAN-Zugriff verweigern" ist. | 2. | Bitten Sie den Benutzer, sich an einem Clientcomputer mit installierter WLAN-Karte, der nicht mit dem drahtgebundenen Netzwerk verbunden ist, anzumelden. Bitten Sie ihn, bei der Anmeldung die Domänenanmeldeinformationen einzugeben. | 3. | Der Benutzer sollte sich nicht an der Domäne anmelden können und anhand einer Fehlermeldung darauf hingewiesen werden, dass der Zugriff verweigert wird. | 4. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige. Das Systemereignisprotokoll enthält ein Warnhinweistyp-IAS-Protokoll der Ereigniskennung 2. Lesen Sie die Beschreibung des Protokolls, es enthält die Informationen zu Fehlern bei der Authentifizierung des Benutzers. |
Szenario 7: Verweigern des WLAN-Zugriffs, wenn der Benutzer kein Mitglied der Gruppen mit WLAN-Zugriff istMit diesem Test wird überprüft, ob einem Benutzer der WLAN-Zugriff verweigert wird, wenn er kein Mitglied der Gruppe der WLAN-Benutzer ist. Hierbei handelt es sich um eine alternative Methode zum Blockieren des Drahtloszugriffs eines Benutzers auf das Netzwerk. Ausführungsdetails 1. | Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole im Bereich Verwaltung. | 2. | Entfernen Sie die Gruppe der Domänenbenutzer aus der Gruppe der WLAN-Benutzer, oder entfernen Sie einen bestimmten Benutzer, wenn Sie der Gruppe der WLAN-Benutzer Benutzer direkt hinzufügen. | 3. | Bitten Sie den Benutzer, sich an einem Clientcomputer mit installierter WLAN-Karte, der nicht mit dem drahtgebundenen Netzwerk verbunden ist, anzumelden. Bitten Sie ihn, bei der Anmeldung die Domänenanmeldeinformationen einzugeben. | 4. | Der Benutzer sollte sich nicht am Netzwerk anmelden können und anhand einer Fehlermeldung darauf hingewiesen werden, dass der Zugriff verweigert wird. | 5. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Warnhinweistyp-IAS-Protokoll der Ereigniskennung 2. Lesen Sie die Beschreibung des Protokolls, es enthält Informationen zu Fehlern bei der Authentifizierung des Benutzers. |
Szenario 8: Überprüfen der Ausfallsicherheit des IAS-DienstesDieses Testszenario überprüft die Verfügbarkeit des IAS-Dienstes für die Drahtlosclients, wenn einer der IAS-Server plötzlich ausfällt. Ein Ausfall dieser Art sollte nicht zu einer Unterbrechung der Netzwerkverbindung von Drahtlosclients führen. Mit diesem wichtigen Testszenario wird überprüft, dass die Zugriffspunkte zu sekundären IAS-Servern wechseln, wenn der primäre IAS-Server versagt. Ausführungsdetails 1. | Öffnen Sie auf dem primären IAS-Server im Netzwerk die IAS-MMC, und klicken Sie auf den Servernamen. Beenden Sie anschließend den IAS-Dienst, indem Sie auf der Menüleiste auf die Schaltfläche Stopp klicken. | 2. | Melden Sie sich mit einem Domänenbenutzerkonto mit entsprechender Zugriffsberechtigung über eine Drahtlosverbindung am Netzwerk an. | 3. | Der Benutzer sollte erfolgreich authentifiziert werden und die Verbindung zum Netzwerk herstellen können. Überprüfen Sie dies, indem Sie in der Systemsteuerung unter Netzwerkverbindungen den Status der Drahtlosnetzwerkverbindungen überprüfen. Als Status für die Drahtlosverbindung sollte Authentifizierung erfolgreich angezeigt werden. | 4. | Verwenden Sie den Befehl ping an der Eingabeaufforderung, um die Netzwerkverbindung zu einem anderen Computer im Netzwerk zu überprüfen. | 5. | Öffnen Sie auf dem sekundären IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält Informationen zur Authentifizierung des Benutzers. |
Szenario 9: Drahtlosclientzugriff zwischen Zugriffspunkten und erneute WLAN-AuthentifizierungMit diesem Szenario überprüfen Sie, ob Drahtlosclients das Roaming zwischen Zugriffspunkten möglich ist, was zur erneuten Authentifizierung (oder schneller Wiederherstellung der Verbindung, falls aktiviert) führt. Dieses Szenario muss vor dem Bereitstellen der Lösung in der Produktionsumgebung getestet werden. Mit diesem Test wird überprüft, ob Benutzer die Drahtlosnetzwerkverbindung nahtlos herstellen können. Ausführungsdetails 1. | Melden Sie sich mit einem Domänenbenutzerkonto mit entsprechender Zugriffsberechtigung über eine Drahtlosverbindung am Netzwerk an. Vergewissern Sie sich, dass die Netzwerkverbindung hergestellt wurde. | 2. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält Informationen zur Authentifizierung des Benutzers. | 3. | Notieren Sie sich die IP-Adresse (siehe Authentifizierungsinformationen des Benutzers) des Zugriffspunkts, mit dem der Benutzer verbunden ist. Dieser Wert ist im Feld Client-IP-Adresse enthalten. | 4. | Wechseln Sie zu einem anderen Standort in der Nähe eines benachbarten Zugriffspunkts mit größerer Entfernung zu dem Zugriffspunkt, mit dem der Computer verbunden war. | 5. | Der Windows XP-Client führt die erneute Authentifizierung durch und wird mit dem neuen Zugriffspunkt verbunden. | 6. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält die Informationen zur erneuten Authentifizierung. Die IP-Adresse des neuen Zugriffspunkts ist im Feld Client-IP-Adresse enthalten. |
Szenario 10: Erneute Authentifizierung eines Drahtlosclients aufgrund der Zeitüberschreitung einer IAS-SitzungMit diesem Szenario wird der in der Richtlinie "IAS-Verbindungsanforderung" konfigurierte dynamische Wechsel des WEP-Schlüssels überprüft. Es wird getestet, ob die Clients regelmäßig erneut authentifiziert werden (nach dem konfigurierten Zeitintervall), so dass sich ihre WEP-Schlüssel laufend ändern. Ausführungsdetails 1. | Melden Sie sich mit einem Domänenbenutzerkonto mit entsprechender Zugriffsberechtigung über eine Drahtlosverbindung am Netzwerk an. Vergewissern Sie sich, dass die Netzwerkverbindung hergestellt wurde. | 2. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält die Informationen zur Authentifizierung des Benutzers. | 3. | Lassen Sie den Client länger als eine Stunde mit dem Netzwerk verbunden. Sie können eine fortlaufende ICMP-Anfrage an einen anderen Computer im Netzwerk starten, um zu bestätigen, dass die Verbindung aktiv ist. | 4. | Öffnen Sie zirka nach einer Stunde die Ereignisanzeige, und überprüfen Sie das Systemereignisprotokoll. Das Systemereignisprotokoll enthält ein Informationstyp-IAS-Protokoll der Ereigniskennung 1. Lesen Sie die Beschreibung des Protokolls, es enthält die Informationen zur erneuten Authentifizierung des Benutzers. |
Szenario 11: E-Mail-Warnhinweis bei Fehler der IAS-SicherungEs wird getestet, ob die E-Mail-Warnhinweise für die IAS-Server gemäß den Anweisungen in dieser Lösung korrekt konfiguriert wurden. Bei korrekter Implementierung lassen sich durch diese Warnhinweise die IAS-Dienste wesentlich besser verwalten, was für die Drahtlosnetzwerkverbindung sehr wichtig ist. Idealerweise wird dieser Test nach der Implementierung ausgeführt, um zu überprüfen, dass die Benachrichtigungsdienste korrekt ausgeführt werden. Zum Testen dieses Szenarios wird ein Fehler bei der IAS-Sicherung simuliert, um die erforderlichen E-Mail-Benachrichtigungen auszulösen. Die für dieses Szenario erforderlichen Schritte zum Konfigurieren der IAS-Sicherung finden Sie in Kapitel 8, Verwalten der sicheren WLAN-Lösung. Vor dem nächsten Test sollten Sie Kapitel 8 gelesen und die notwendigen Skripte konfiguriert haben. Ausführungsdetails 1. | Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell. | 2. | Bearbeiten Sie die Datei Constants.vbs, und setzen Sie den Parameter ALERT_EMAIL_ENABLED auf True. | 3. | Konfigurieren Sie den Parameter ALERT_EMAIL_RECIPIENTS mit den E-Mail-Adressen der Personen, die zu benachrichtigen sind. | 4. | Konfigurieren Sie den Parameter ALERT_EMAIL_SMTP mit der IP-Adresse oder dem DNS-Namen des SMTP-Servers. | 5. | Führen Sie den folgenden IAS-Sicherungsbefehl für einen nicht vorhandenen Ordner aus: MSSTools BackupIAS /path:C:\FalscherIASPfad. | 6. | Öffnen Sie auf dem IAS-Server die Ereignisanzeige.Das Ereignisprotokoll für die Anwendung enthält ein Fehlertyp-IAS-Betriebsprotokoll der Ereigniskennung 211. | 7. | Die festgelegten Personen erhalten eine E-Mail-Benachrichtigung. |
Szenario 12: E-Mail-Warnhinweis bei Fehler des ZertifizierungsstellendienstesDieser Test gleicht dem Test für die Benachrichtigung bei Fehlern der IAS-Sicherung. Es wird getestet, ob die E-Mail-Benachrichtigungen an die betroffenen Verwalter gesendet werden, wenn der Zertifizierungsstellendienst versagt. Die für dieses Szenario erforderlichen Schritte zum Konfigurieren der CA-Sicherung finden Sie in Kapitel 8, Verwalten der sicheren WLAN-Lösung. Vor dem nächsten Test sollten Sie Kapitel 8 gelesen und die notwendigen Skripte konfiguriert haben. Ausführungsdetails 1. | Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell. | 2. | Bearbeiten Sie die Datei Constants.vbs, und setzen Sie den Parameter ALERT_EMAIL_ENABLED auf True. | 3. | Konfigurieren Sie den Parameter ALERT_EMAIL_RECIPIENTS mit den E-Mail-Adressen der Personen, die zu benachrichtigen sind. | 4. | Konfigurieren Sie den Parameter ALERT_EMAIL_SMTP mit der IP-Adresse oder dem DNS-Namen des SMTP-Servers. | 5. | Öffnen Sie unter Verwaltung die Option Zertifizierungsstelle. Klicken Sie auf den Namen der Zertifizierungsstelle, und wählen Sie Aktion, Alle Tasks und anschließend Dienst beenden. | 6. | Öffnen Sie die Dienste-MMC im Bereich Verwaltung. | 7. | Klicken Sie mit der rechten Maustaste auf Zertifikatdienste, und wählen Sie Eigenschaften. Ändern Sie den Starttyp zu Deaktivieren, und klicken Sie auf OK, um das Fenster zu schließen. | 8. | Führen Sie folgenden Zertifizierungsstellenbefehl aus: MSSTools CheckCA | 9. | Öffnen Sie auf dem CA-Server die Ereignisanzeige.Das Ereignisprotokoll für die Anwendung enthält ein Fehlertyp-CA-Betriebsprotokoll der Ereigniskennung 1. | 10. | Alle Personen, die für den Empfang einer Benachrichtigung angegeben wurden, erhalten eine E-Mail-Benachrichtigung, wenn der Zertifizierungsstellendienst versagt. | 11. | Ändern Sie den Starttyp der Zertifikatdienste in der Dienste-MMC zu Automatisch. | 12. | Starten Sie auf der Zertifizierungsstellen-MMC den Dienst, indem Sie auf der Menüleiste auf die Schaltfläche Start klicken. |
TesttoolsDie folgenden Tools wurden während des Tests dieser Lösung verwendet. Einige der Tools werden auch während der Erstellungs- und Verwaltungsphase verwendet: 1. | Certutil: Dieses Mehrzwecktool wird zum Konfigurieren der Zertifizierungsstelle, zum Speichern und Anzeigen von Informationen über die Zertifizierungsstellenkonfiguration, zum Sichern und Wiederherstellen von Zertifizierungsstellenkomponenten und zum Überprüfen von Zertifikaten, Schlüsselpaaren und Zertifikatketten verwendet. | 2. | Dcdiag: Dieses Tool analysiert den Status der Domänencontroller in einer Gesamtstruktur oder in einem Unternehmen. | 3. | Ereignisanzeige: Dieses Tool überwacht und erstellt Anwendungs-, Sicherheits- und Systemprotokolle. | 4. | Gruppenrichtlinien-Verwaltungskonsole: Dieses Tool wird zum Anzeigen und Bearbeiten von Gruppenrichtlinienobjekten in Active Directory verwendet. | 5. | NetMon: Dieses Dienstprogramm erfasst und filtert Frames des Netzwerkverkehrs zum und vom Computer, auf dem es installiert ist. Dieses Tool ist nicht unbedingt erforderlich, allerdings ist es zum Debuggen von Authentifizierungsproblemen nützlich. Dieses Tool wird über die Systemsteuerung durch Auswahl von Software, Windows-Komponenten, Verwaltungs- und Überwachungsprogrammen und Netzwerkmonitorprogrammen installiert. | 6. | Netsh: Hierbei handelt es sich um ein über die Befehlszeile ausgeführtes Dienstprogramm zur Skripterstellung, mit dem Sie die Netzwerkkonfiguration eines derzeit laufenden Computers entweder lokal oder remote anzeigen oder ändern können. Dieses Mehrzwecktool wird für IAS-Operationen verwendet. | 7. | Windows Backup: Dieses unter Windows verfügbare Tool wird zum Sichern und Wiederherstellen von Dateien, Ordnern und des Systemstatus verwendet. Dieses Tool wird entweder über einen Assistenten oder eine Befehlszeile ausgeführt. | 8. | PerfMon: Dieses Tool ermöglicht die Anzeige von Systemleistungsprotokollen, Warnhinweisen und Leistungsindikatoren. Verwenden Sie dieses Tool zur Überwachung der IAS-Leistung. | 9. | Ping: Dieses Tool überprüft durch Senden von ICMP-Echoanforderungsmeldungen die Verbindung auf IP-Ebene mit einem anderen TCP/IP-Computer. Die empfangenen Echoantwortmeldungen werden zusammen mit den Übertragungszeiten angezeigt. | 10. | Schtasks: Dieses Tool dient zur Planung der regelmäßigen Ausführung von Befehlen und Programmen. Das Tool fügt dem Zeitplan Tasks hinzu, entfernt sie, startet und beendet Tasks auf Wunsch, zeigt geplante Tasks an oder ändert sie. |
Die meisten dieser Tools werden beim Installieren von Windows automatisch installiert. Die Installation der anderen Tools wird in Kapitel 3, Vorbereiten der Umgebung, behandelt. ZusammenfassungDieses Kapitel befasst sich mit dem Testen der sicheren WLAN-Lösung. Der erste Teil beschreibt kurz die von Microsoft beim Testen der Lösung während der Entwicklung verwendeten Parameter. Der zweite Teil enthält Anweisungen zur Ausführung einiger der wichtigsten zum Testen dieser Lösung verwendeten Testszenarios. Mit diesen Testszenarios überprüfen Sie den korrekten Betrieb Ihrer eigenen WLAN-Sicherheitsinfrastruktur, bevor sie in einer Produktionsumgebung bereitgestellt wird.
| |
