Sichern von WLANs mit PEAP und Kennwörtern

Kapitel 8: Verwalten der sicheren WLAN-Lösung

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheitsanleitung anzeigen

Auf dieser Seite

	Einführung
	Übersicht
	Voraussetzungen für dieses Kapitel
	Notwendige Verwaltungsaufgaben
	Betrieb der WLAN-Infrastruktur
	Problembehandlung
	Zusammenfassung
	Quellen

Einführung

In diesem Kapitel werden die Vorgänge für die Verwaltung der Lösung aus Sichern von WLANs mit PEAP und Kennwörtern beschrieben. Dieses Kapitel enthält eine Anleitung für die wichtigsten Betriebs- und Unterstützungsaufgaben, die zum Verwalten der WLAN-Sicherheitsinfrastruktur ausgeführt werden müssen. Die Infrastruktur beinhaltet die IAS-Server (Internetauthentifizierungsdienst), die Zertifizierungsstelle, Wireless Access Points (WAPs) und die WLAN-Clients. Dieses Kapitel enthält jedoch keine Anleitung für die allgemeine Netzwerkverwaltung oder die Verwaltung anderer Komponenten als der Sicherheitsdienste, z. B. Netzwerkverkehrsanalyse und Optimierung.

Zum Seitenanfang

Übersicht

Dieses Kapitel ist in folgende Hauptabschnitte gegliedert:

•	Notwendige Verwaltungsaufgaben: Dieser Abschnitt enthält die wichtigsten Aufgaben, die Sie zum Einrichten des Verwaltungssystems ausführen müssen (z. B. Konfigurieren von Sicherungsaufträgen), und eine Liste der regelmäßig zur Wartung des Systems durchzuführenden Aufgaben (z. B. wöchentliche anfallende Aufgaben).
•	Betrieb der WLAN-Infrastruktur: Dieser Abschnitt dient im Wesentlichen als Referenzabschnitt und enthält Informationen zu den unterschiedlichen zur Wartung der WLAN-Sicherheitsinfrastruktur erforderlichen Aufgaben. In den Unterabschnitten finden Sie Informationen zu standardmäßigen laufenden Betriebsaufgaben, zur Implementierung von Änderungen, zu Unterstützungs- und Optimierungsaufgaben.
•	Problembehandlung: Dieser Abschnitt enthält Verfahren und Flussdiagramme, die Ihnen bei der Behandlung allgemeiner Probleme mit der WLAN-Infrastruktur behilflich sein können. Zudem finden Sie in diesem Abschnitt Beschreibungen nützlicher Problembehandlungstools und Verfahren zum Aktivieren der Protokollierung für unterschiedliche Komponenten.
•	Quellen: Dieser Abschnitt enthält eine Liste von Quellen für zusätzliche Informationen, auf die im Kapitel verwiesen wird.

Zum Seitenanfang

Voraussetzungen für dieses Kapitel

Sie sollten mit der Verwaltung von Microsoft® Windows® Server™ 2003 oder Windows® 2000 Server vertraut sein. Die folgenden Bereiche sind von besonderer Bedeutung:

•	Grundlegender Betrieb und Verwaltung von Microsoft Windows Server 2003, einschließlich der Verwendung von Tools wie der Ereignisanzeige, der Computerverwaltung und NTBackup
•	IAS
•	Zertifikatdienste
•	Microsoft Active Directory®-Verzeichnisdienst (einschließlich der Struktur und Tools von Active Directory), Verwaltung von Benutzern, Gruppen und anderen Active Directory-Objekten und Verwendung von Gruppenrichtlinien
•	Windows-Systemsicherheitskonzepte wie Benutzer, Gruppen, Überwachung, Zugriffssteuerungslisten (ACL), Verwendung von Sicherheitsvorlagen und Anwendung von Sicherheitsvorlagen mithilfe von Gruppenrichtlinien- oder Befehlszeilentools
•	WLAN und allgemeine Netzwerkkonzepte
•	Kenntnisse in Windows Script Host und der Microsoft Visual Basic® Scripting Edition (VBScript). Diese Kenntnisse erleichtern Ihnen das Verständnis und die Verwendung der mit der Lösung gelieferten Skripts.

Zudem sollten Sie die folgenden Kapitel gelesen und sich mit der Architektur sowie dem Entwurf der Lösung vertraut gemacht haben:

•	Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung
•	Kapitel 3, Vorbereiten der Umgebung
•	Kapitel 4, Erstellen der Netzwerkzertifizierungsstelle
•	Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur
•	Kapitel 6, Konfigurieren der WLAN-Clients

Zum Seitenanfang

Notwendige Verwaltungsaufgaben

Dieser Abschnitt führt die wichtigsten Aufgaben auf, die Sie für den erfolgreichen Betrieb der WLAN-Infrastruktur durchführen müssen. Diese Aufgaben können in die folgenden zwei Kategorien unterteilt werden:

•	Erste Setup-Aufgaben
•	Laufende Wartungsaufgaben

In diesem Abschnitt werden auch die in den Verfahren in diesem Kapitel verwendeten Tools und Technologien beschrieben.

Erste Setup-Aufgaben

Die folgende Tabelle zeigt die Aufgaben, die zur Inbetriebnahme der WLAN-Sicherheitsinfrastruktur durchgeführt werden müssen.

Tabelle 8.1: Erste Setup-Aufgaben

Aufgabenname	Abschnitt
Konfigurieren der IAS-Sicherung	Laufende Betriebsaufgaben
Konfigurieren von Warnungstypen	Überwachung
Aktivieren der Überwachung von IAS	Überwachung
Aktivieren der Überwachung der Zertifizierungsstelle	Überwachung

Wartungsaufgaben

Die folgende Tabelle zeigt die Aufgaben, die zum Gewährleisten der einwandfreien Funktion der LAN-Sicherheitsinfrastruktur regelmäßig ausgeführt werden müssen. Sie können diese Tabelle zum Planen der erforderlichen Ressourcen und des Betriebsplans für die Verwaltung des Systems verwenden.

Tabelle 8.2: Wartungsaufgaben

Aufgabenname	Häufigkeit	Abschnitt
Testen der Sicherungen	6 Monate	Laufende Betriebsaufgaben

Erforderliche Tools und Technologien

In der folgenden Tabelle finden Sie eine Liste der für die Verfahren in diesem Kapitel erforderlichen Technologien und Tools.

Tabelle 8.3: Erforderliche Technologien

Name	Quelle
Verwaltungskonsole "Active Directory-Benutzer und -Computer" (MMC)	Windows Server 2003
MMC "Zertifizierungsstelle"	Windows Server 2003
Certutil.exe	Windows Server 2003
DCDiag.exe	Windows Server 2003-Supporttools
DSquery.exe	Windows Server 2003
Ereignisanzeige	Windows Server 2003
Gruppenrichtlinien-Verwaltungskonsole (GPMC)	Webdownloads von Microsoft.com
MSS WLAN-Tools	Als Teil dieser Lösung installierte Skripts
Netdiag.exe	Windows Server 2003-Supporttools
Systemmonitor	Windows Server 2003
PKI-Zustand	Windows Server 2003 Resource Kit
Wechselmedien für die Sicherung der Stammzertifizierungsstelle	CD-RW oder Band
SchTasks.exe	Windows Server 2003
Texteditor	Notepad – Windows Server 2003
Windows-Sicherungsprogramm	Windows Server 2003
Windows-Taskplanerdienst	Windows Server 2003

Tabelle 8.4: Empfohlene Technologien

Name	Quelle
E-Mail-Infrastruktur – für Betriebswarnungen	SMTP/POP3/IMAP-Server und -Client, z. B. Microsoft Exchange Server und Microsoft Outlook®
Überwachungskonsole	Microsoft Operations Manager oder anderes Dienstüberwachungssystem
Verteilung von Betriebssystemaktualisierungen	Microsoft Systems Management Server (SMS) oder Microsoft Software Update Services (SUS)

Zum Seitenanfang

Betrieb der WLAN-Infrastruktur

Dieser Abschnitt enthält die wichtigsten Aufgaben, die Sie zur Verwaltung der WLAN-Sicherheitsinfrastruktur durchführen müssen.

Laufende Betriebsaufgaben

Die laufenden Betriebsaufgaben müssen zum Gewährleisten der einwandfreien Funktion der WLAN-Infrastruktur in regelmäßigen Abständen durchgeführt werden.

Sichern von IAS und der Zertifizierungsstelle

Sie müssen regelmäßig Sicherungen der IAS-Server erstellen. Hierzu zählt auch der IAS-Server, auf dem die Zertifizierungsstelle ausgeführt wird. IAS erfordert ein spezielles Verfahren zum Exportieren der Einstellungen in eine Datei, die dann mittels einer normalen Dateisicherung gesichert werden kann. Sie können Zertifikatdienste mit der im Windows-Sicherungsprogramm verfügbaren Windows-Systemstatussicherung sichern. Auf allen Servern, auf denen IAS ausgeführt wird, sollten geeignete Sicherungsverfahren eingerichtet werden.

Die folgenden zwei Verfahren schließen sich nicht gegenseitig aus: Sie müssen sowohl eine IAS-Sicherung als auch eine Serversicherung konfigurieren.

Konfigurieren der IAS-Sicherung

Erstellen Sie einen Ordner mit beschränkten Berechtigungen, in den die IAS-Konfiguration jede Nacht exportiert wird. Zudem müssen Sie einen geplanten Auftrag einrichten, der die IAS-Konfigurationssicherung jede Nacht ausführt (das Sicherungsskript erfordert nicht, dass IAS während der Sicherung heruntergefahren wird). Im Fall einer erfolgreichen Sicherung wird ein Ereignis in das Windows-Anwendungsprotokoll geschrieben. Schlägt die Sicherung fehl, wird ein Fehlerereignis protokolliert.

Vorsicht: Die IAS-Sicherungsdateien enthalten alle geheimen Schlüssel des RADIUS-Clients. Da dies extrem wichtige Informationen sind, müssen diese Sicherungsdaten besonders sicher gespeichert werden.

So konfigurieren Sie die IAS-Sicherung

1.	Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell auf dem Server, und erstellen Sie mit dem folgenden Befehl einen Ordner zum Speichern der IAS-Einstellungen: mdc:\IASBackup (die IAS-Konfiguration ist normalerweise kleiner als 100 KB und kann wie dargestellt auf dem Systemlaufwerk gespeichert werden).
2.	Richten Sie mit dem folgenden Befehl Berechtigungen für den Ordner ein, so dass nur Administratoren und Sicherungs-Operatoren den Inhalt des Ordners lesen und ändern können: cacls c:\IASBackup /G system:F administrators:F "Backup Operators":C (dieser Befehl wird möglicherweise auf mehrere Zeilen umgebrochen, sollte jedoch als eine Zeile eingegeben werden).
3.	Testen Sie die Sicherung mit dem folgenden Befehl: "C:\Programme\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd" BackupIAS /path:C:\IASBackup (dieser Befehl wird möglicherweise auf mehrere Zeilen umgebrochen, sollte jedoch als eine Zeile eingegeben werden. "Microsoft WLAN-PEAP Tools" enthält zwei eingebettete Leerzeichen, eines nach "Microsoft" und eines nach "WLAN-PEAP"). Hinweis: Wenn die Sicherung erfolgreich ist, wird ein Ereignis im Windows-Anwendungsprotokoll erfasst und auf dem Bildschirm angezeigt. Andernfalls werden Fehlerereignisse protokolliert.
4.	Erstellen Sie einen geplanten Task, der den IAS-Konfigurationsexport jede Nacht ausführt. Der folgende Befehl plant den Auftrag z. B. zur Ausführung um 22.00 Uhr in jeder Nacht: SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup"/TR "\"C:\Programme\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" BackupIAS /path:C:\IASBackup" /ST 22:00 (dieser Befehl wird möglicherweise auf mehrere Zeilen umgebrochen, sollte jedoch als eine Zeile eingegeben werden. "Microsoft WLAN-PEAP Tools" enthält zwei eingebettete Leerzeichen, eines nach "Microsoft" und eines nach "WLAN-PEAP"). Hinweis: Schließen Sie den Pfad der Skriptdatei msstools.cmd in umgekehrte Schrägstriche (\) ein, um sicherzustellen, dass die doppelten Anführungszeichen (") nicht von der Windows-Befehlsshell interpretiert und aus dem Befehl entfernt werden. Der an den Taskplaner gesendete und dort gespeicherte Befehl ist in Schritt 3 dargestellt.

Erstellen von Serversicherungen

Nachdem Sie einen geplanten Task zum Sichern der IAS-Konfiguration auf Diskette erstellt haben, müssen Sie auch eine regelmäßige Sicherung des Serversystemstatus und der exportierten IAS-Konfigurationsdateien auf einem Wechselmedium oder an einem Netzwerkspeicherort konfigurieren. Die einfachste Methode hierzu ist die Verwendung des integrierten Windows-Sicherungsprogramms. Wenn Sie ein anderes Sicherungssystem verwenden, müssen Sie feststellen, ob es eine der Windows-Systemstatussicherung entsprechende Funktion enthält (diese Information können Sie der Dokumentation des Sicherungssystems entnehmen). Eine Systemstatussicherung (oder eine entsprechende Funktion) ist zur korrekten Sicherung von Active Directory und Zertifikatdiensteschlüsseln sowie von Zertifikatdatenbanken notwendig.

Wenn Ihre Sicherungssoftware keine der Windows-Systemstatussicherung entsprechende Funktion enthält, können Sie die folgenden Schritte ausführen:

•	Konfigurieren Sie die Windows-Sicherung so, dass der Systemstatus in einer Datei auf dem Server gesichert wird (da die Systemstatussicherung 500 MB oder größer ist, müssen Sie zuvor sicherstellen, dass ausreichend Speicherplatz verfügbar ist). Ausführliche Informationen hierzu finden Sie in der Onlinehilfe für die Windows-Sicherung.
•	Konfigurieren Sie Ihre Sicherungssoftware zum Kopieren der Systemstatussicherungsdatei und der zuvor beschriebenen IAS-Sicherungsdatei.

Führen Sie zum Gewährleisten sicherer und konsistenter Sicherungen folgende Schritte aus:

•	Planen Sie die unterschiedlichen Sicherungsoperationen so, dass sie sich nicht überlappen. Andernfalls besteht die Gefahr, dass die Sicherungsdaten beschädigt werden.
•	Starten Sie die Server- und Systemstatussicherung mindestens 10 Minuten nach dem Start der IAS-Sicherung.
•	Wenn Sie separate Sicherungen des Systemstatus und der Serverdatei vornehmen, sollte zwischen der Fertigstellung der Systemstatussicherung und dem Start der Serverdateisicherung mindestens eine Stunde liegen.
•	Speichern Sie immer eine aktuelle Kopie der Sicherungsdaten an einem separaten Speicherort (nicht auf dem gesicherten Server). Auf diese Weise können Sie den Server auch dann wiederherstellen, wenn die komplette Computerausrüstung zerstört bzw. kein Zugriff mehr möglich ist. Vorsicht: Diese Sicherungsdaten sind besonders wichtig, da sie die geheimen RADIUS-Schlüssel für alle Zugriffspunkte auf diesem Server, die gesamten privaten Schlüssel für die Zertifizierungsstelle und die Active Directory-Datenbank enthalten. Das Sicherungsmedium muss sicher gehandhabt und verwahrt werden, da der unbefugte Zugriff auf diese Daten die Sicherheit der gesamten Organisation gefährden kann.

Testen der Sicherungen

Sie können Systemsicherungen nur richtig testen, indem Sie sie auf einem Testserver wiederherstellen und überprüfen, ob der wiederhergestellte Server wie erwartet funktioniert. Eine Systemstatussicherung muss auf einem System wiederhergestellt werden, dessen Festplattenlayout mit dem des gesicherten Servers identisch ist. Windows muss auf dem für den Wiederherstellungstest verwendeten Server z. B. an demselben Pfad installiert sein wie auf dem gesicherten Server, und das Laufwerklayout für die Speicherung von Windows-Dateien (z. B. Auslagerungsdateien) muss auf den beiden Servern identisch sein.

Wichtig: Damit es nicht zu Namens- und IP-Adressenkonflikten zwischen dem Testserver und dem ursprünglichen Server kommt, sollte der Testserver beim Start der Systemstatuswiederherstellung offline sein.

So stellen Sie den Server wieder her

1.	Bereiten Sie einen Wiederherstellungsserver vor, auf dem Sie die gesicherten Daten wiederherstellen möchten. Auf dem Wiederherstellungsserver müssen Sie die gleiche Windows Server 2003 Edition wie auf dem gesicherten Server verwenden. (Auf diesem Server müssen auch die Lösungsskripte installiert werden. Weitere Informationen finden Sie im Abschnitt "Installieren der Lösungstools" in Kapitel 3, Vorbereiten der Umgebung.)
2.	Wenn Sie separate Systemstatussicherungen und Dateisicherungen implementiert haben, stellen Sie die Systemstatussicherungsdatei und die IAS-Einstellungssicherungsdatei mithilfe der Sicherungssoftware vom Sicherungsmedium auf dem Server wieder her. Die IAS-Einstellungen sollten an demselben Pfad wiederhergestellt werden: C:\IASBackup.
3.	Führen Sie das Windows-Sicherungsprogramm aus, und wählen Sie die wiederhergestellte Systemstatussicherungsdatei aus. Sie müssen Mitglied einer Gruppe mit Berechtigungen zum Sichern und Wiederherstellen auf dem Computer sein (z. B. der Gruppe Sicherungs-Operatoren oder Administratoren).
4.	Klicken Sie auf Wiederherstellen.
5.	Starten Sie das System neu.
6.	Überprüfen Sie, ob nach dem Neustart alles wie erwartet funktioniert und Active Directory und die Zertifikatdienste fehlerlos gestartet wurden (da der Server nicht mit dem Netzwerk verbunden ist, werden in den Ereignisprotokollen Fehler angezeigt).
7.	Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell. Stellen Sie die IAS-Konfiguration wieder her, indem Sie den folgenden Befehl ausführen: MSSTools RestoreIAS /path:C:\IASBackup
8.	Öffnen Sie die IAS-Verwaltungskonsole, und überprüfen Sie die Ordner für RADIUS-Clients und RAS-Richtlinien, um sicherzustellen, dass die IAS-Einstellungen wiederhergestellt wurden.

Überwachung

In diesem Abschnitt wird die Überwachung der IAS- und Zertifizierungsstellenkomponenten der WLAN-Sicherheitsinfrastruktur beschrieben. Dieser Abschnitt enthält weder eine Anleitung für die Überwachung der WAPs oder anderen Netzwerkgeräte noch allgemeine Empfehlungen für die Überwachung von Windows-Servern. Informationen zum Überwachen von Windows-Servern finden Sie im Abschnitt "Quellen" am Ende des Kapitels.

Die meisten Verfahren in diesem Abschnitt verwenden mit der Lösung gelieferte automatisierte Überwachungsskripte. Wenn diese Skripte einen Fehler erkennen, lösen Sie eine Warnung aus, und in einigen Fällen versuchen sie, eine Fehlerwiederherstellung durchzuführen.

Konfigurieren von Warnungstypen

Alle Warnungen der Überwachungsskripte können an das Windows-Anwendungsereignisprotokoll oder an E-Mail-Empfänger (oder beides) gesendet werden. Bevor Sie die Überwachungstools aktivieren, müssen Sie die gewünschten Warnungstypen festlegen. Wenn Sie Warnungen per E-Mail senden, müssen Sie zudem die E-Mail-Adressen der Empfänger und den Namen des E-Mail-Servers für die Nachrichten angeben.

Zum Festlegen dieser Parameter bearbeiten Sie die Datei constants.vbs. Im Folgenden sehen Sie die relevanten Abschnitte aus dieser Datei. Die Elemente, die Sie u. U. ändern möchten, sind kursiv dargestellt:

' Warnungsparameter
CONST ALERT_EMAIL_ENABLED = FALSE    'Zum Aktivieren/Deaktivieren von E-Mail einstellen  
CONST ALERT_EVTLOG_ENABLED = TRUE    'Zum Aktivieren/Deaktivieren von Ereignisprotokolleinträgen einstellen 
' Kommagetrennte Empfängerliste festlegen, um E-Mail-Warnungen zu erhalten
CONST ALERT_EMAIL_RECIPIENTS    = "Admin@woodgrovebank.com,Ops@woodgrovebank.com" 
'Zu verwendender SMTP-Server (DNS-Name oder IP-Adresse) 
CONST ALERT_EMAIL_SMTP     = "mail.woodgrovebank.com"

Überwachen von IAS

IAS zeichnet unterschiedliche Ereignisse im Windows-Systemprotokoll auf. Hierzu zählen Benachrichtigungen über das Starten und Anhalten von Diensten (und zugehörige Fehler oder Warnungen) und Benachrichtigungen über Authentifizierungsversuche (Protokolleinträge für Authentifizierungsanforderungen werden im Abschnitt "Problembehandlung" dieses Kapitels ausführlich beschrieben).

Aktivieren der Überwachung von IAS

Die Lösung enthält ein einfaches Skript, das das Ansprechverhalten von IAS überwacht. Das Skript überprüft, ob der IAS-Prozess ausgeführt wird. Wenn dies der Fall ist, versucht das Skript, IAS mithilfe der Schnittstelle Serverdatenobjekte abzufragen. Schlägt eine dieser Überprüfungen fehl, gibt das Skript eine Warnung aus.

Hinweis: Das Überwachungsskript überprüft nicht den Erfolg von RADIUS-Authentifizierungen – es überprüft lediglich das allgemeine Ansprechverhalten des IAS-Prozesses. Zum Überprüfen von End-to-End-RADIUS-Operationen müssen Sie mit einem RADIUS-Client die WAPs emulieren, die die WLAN-Clientanforderung übertragen.

Das folgende Verfahren beschreibt, wie Sie das Überwachungsskript als geplanten Task konfigurieren, so dass Sie automatisch gewarnt werden, wenn IAS nicht mehr reagiert. Da das Skript jedoch auf dem Server selbst ausgeführt wird, werden Sie nicht gewarnt, wenn der gesamte Server ausfällt. Aus diesem Grund müssen Sie auch die Server überwachen, um sicherzustellen, dass sie aktiv sind und antworten. Das folgende Verfahren muss zum Konfigurieren des Skripts als geplanten Task auf jedem IAS-Server ausgeführt werden.

Jedes Mal, wenn ein Fehler erkannt wird, wird eine Warnung per E-Mail gesendet (sofern E-Mail-Warnungen konfiguriert wurden) und ein Ereignis in das Anwendungsprotokoll geschrieben (ausführliche Informationen zu den protokollierten Ereignistypen können Sie der Tabelle im nächsten Abschnitt entnehmen). Im Gegensatz zum Zertifizierungsstellen-Überwachungsskript versucht dieses Skript nicht, Probleme durch einen Neustart von IAS zu beheben. Da IAS anders als eine Zertifizierungsstelle fortlaufend WLAN-Clients authentifizieren muss, kann ein solcher Neustart von IAS durch das Skript Probleme verursachen. Stattdessen sollten Sie alle vom Skript generierten Warnungen überprüfen und die Ursache der Warnung diagnostizieren, bevor Sie ein Problem manuell beheben.

So konfigurieren Sie die IAS-Überwachung

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell.

Führen Sie den folgenden Befehl aus, um beginnend ab 13:30 Uhr die stündliche Ausführung des Skripts zu planen (das Skript wird zur halben Stunde ausgeführt, um eine Überlappung mit dem IAS-Sicherungsauftrag zu verhindern).

SCHTASKS /Create /RU system /SC Hourly /TN "IAS Check"/TR "\"C:\Programme\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" CheckIAS" /ST 01.30

(dieser Befehl wird möglicherweise auf mehrere Zeilen umgebrochen, sollte jedoch als eine Zeile eingegeben werden. "Microsoft WLAN-PEAP Tools" enthält zwei eingebettete Leerzeichen, eines nach "Microsoft" und eines nach "WLAN-PEAP"):

Hinweis: Schließen Sie den Pfad der Skriptdatei msstools.cmd in umgekehrte Schrägstriche (\) ein, um sicherzustellen, dass die doppelten Anführungszeichen (") nicht von der Windows-Befehlsshell interpretiert und aus dem Befehl entfernt werden. Die Verwendung eines umgekehrten Schrägstrichs (\) vor den Anführungszeichen (") gewährleistet, dass der Befehl an den Taskplaner weitergeleitet und dort gespeichert wird (siehe hierzu Schritt 2).

Von den MSS-Skripten protokollierte IAS-Ereignisse

Das Überwachungsskript und das IAS-Sicherungsskript protokollieren die folgenden Ereignistypen im Ereignisprotokoll.

Tabelle 8.5: Von IAS Tools Scripts in dieser Lösung zurückgegebene IAS-Ereignisse

IAS-Ereignis	Bedeutung	Ereigniskategorie	Ereignisquelle	Ereigniskennung
IAS-Sicherung OK	Die Sicherung der IAS-Konfiguration in der Datei wurde erfolgreich durchgeführt.	Information	IAS-Vorgänge	210
IAS - ungültiger Sicherungspfad	Die Sicherung ist aufgrund eines ungültigen Zielpfades fehlgeschlagen.	Fehler	IAS-Vorgänge	211
IAS - kein Zugriff auf Sicherungspfad	Die Sicherung ist fehlgeschlagen, da die Sicherungsdateien nicht an den angegebenen Zielpfad geschrieben werden konnten.	Fehler	IAS-Vorgänge	212
IAS - Wiederherstellung OK	Die IAS-Einstellungen wurden erfolgreich aus der gespeicherten Konfiguration wiederhergestellt.	Information	IAS-Vorgänge	220
IAS - Wiederherstellung fehlgeschlagen	Die Wiederherstellung von IAS-Einstellungen ist fehlgeschlagen.	Warnung	IAS-Vorgänge	221
IAS - Richtlinienabfrage fehlgeschlagen	IAS konnte keine Verbindung mithilfe der Serverdatenobjekte-Schnittstelle herstellen. IAS ist möglicherweise nicht aktiv.	Fehler	IAS-Vorgänge	230
IAS - keine Richtlinien erkannt	IAS enthält keine RAS-Richtlinien. Dies sollte bei einem normal konfigurierten IAS-Server nie auftreten und weist wahrscheinlich auf ein IAS- oder Netzwerkproblem hin.	Fehler	IAS-Vorgänge	231
IAS - nicht installiert	IAS ist nicht auf dem Computer installiert.	Fehler	IAS-Vorgänge	232
IAS - war angehalten	Der IAS-Dienst wurde nicht ausgeführt, wurde jedoch erfolgreich gestartet.	Warnung	IAS-Vorgänge	233
IAS - nicht aktiv	Ein Versuch, den IAS-Dienst zu starten, ist fehlgeschlagen.	Fehler	IAS-Vorgänge	234

Überwachen der Zertifizierungsstelle

Die Zertifizierungsstelle erfordert abgesehen von der Überwachung des allgemeinen Serverzustands und der Durchführung einer geeigneten Sicherung nur wenig Aufmerksamkeit. In dieser Lösung ist die Zertifizierungsstelle nur für die relativ seltene Ausstellung von Zertifikaten für neue IAS-Server und die jährliche Erneuerung der vorhandenen Zertifikate erforderlich. Die Zertifizierungsstelle ist daher normalerweise kein kritischer Dienst.

Die Zertifizierungsstelle veröffentlicht auch eine Liste der vom Administrator gesperrten Zertifikate. Diese als Zertifikatsperrliste bezeichnete Liste wird wöchentlich in Active Directory veröffentlicht. Da diese Zertifizierungsstelle nur wenig Zertifikate ausstellt, ist die Zertifikatsperrliste klein und in der Regel sogar leer. Trotzdem muss die Zertifikatsperrliste regelmäßig in Active Directory veröffentlicht werden, damit die Anwendungen den Sperrstatus der von der Zertifizierungsstelle ausgestellten Zertifikate überprüfen können. Die Zertifizierungsstelle muss z. B. selbst den Sperrstatus eines von ihr ausgestellten Zertifikats überprüfen, bevor sie es an den Zertifikatsanforderer sendet.

Das Überwachungsskript der Zertifizierungsstelle überprüft, ob die Zertifizierungsstelle auf Anforderungen antwortet und eine gültige Zertifikatsperrliste in Active Directory verfügbar ist. Schlägt eine dieser Überprüfungen fehl, versucht das Skript, die Zertifizierungsstelle neu zu starten. Im Fall eines Fehlers der Zertifikatsperrliste versucht das Skript zudem, eine neue Liste zu veröffentlichen. Wird auch nach diesen Wiederherstellungsversuchen ein Fehler erkannt, wird eine Warnung generiert und als E-Mail-Nachricht an das konfigurierte E-Mail-Konto gesendet. Diese Warnung wird auch im Ereignisprotokoll erfasst.

Aktivieren der Überwachung der Zertifizierungsstelle

Das folgende Verfahren beschreibt, wie Sie das Überwachungsskript als geplanten Task konfigurieren, so dass Sie beim Auftreten eines Fehlers automatisch gewarnt werden und ein Wiederherstellungsversuch vorgenommen wird. Dieses Skript muss nur auf dem Zertifizierungsstellenserver ausgeführt werden.

So konfigurieren Sie das Überwachungsskript für die Zertifizierungsstelle

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell.

Führen Sie den folgenden Befehl aus, um beginnend ab 13:20 Uhr die stündliche Ausführung des Skripts zu planen (das Skript wird für die Ausführung um 20 Minuten nach der vollen Stunde geplant, damit es sich nicht mit anderen geplanten Tasks überlappt).

SCHTASKS /Create /RU system /SC Hourly /TN "CA Check" /TR "\"C:\Programme\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" CheckCA" /ST 01.20

(dieser Befehl wird möglicherweise auf mehrere Zeilen umgebrochen, sollte jedoch als eine Zeile eingegeben werden).

Hinweis: Schließen Sie den vollständigen Pfad der Skriptdatei msstools.cmd in umgekehrte Schrägstriche (\) ein, um sicherzustellen, dass die doppelten Anführungszeichen (") nicht von der Windows-Befehlsshell interpretiert und aus dem Befehl entfernt werden. Der vom Taskplaner gespeicherte Pfad muss in Anführungszeichen gesetzt werden, wenn er eingebettete Leerzeichen enthält (z. B. "Gemeinsame Dateien"). Die Verwendung eines umgekehrten Schrägstrichs (\) vor den Anführungszeichen (") gewährleistet, dass der vom Taskplaner gespeicherte Pfad in doppelte Anführungszeichen eingeschlossen wird.

Von den MSS-Skripten protokollierte Zertifizierungsstellenereignisse

Das Überwachungsskript für die Zertifizierungsstelle protokolliert die folgenden Ereignisse im Ereignisprotokoll.

Tabelle 8.6: Vom Zertifizierungsstellen-Überwachungsskript in dieser Lösung zurückgegebene Zertifizierungsstellenereignisse

Zertifizierungsstellenereignis	Bedeutung	Ereigniskategorie	Ereignisquelle	Ereigniskennung
CRL abgelaufen	Eine gültige Zertifikatsperrliste ist nicht zugänglich – dies führt momentan zu einem Dienstausfall.	Fehler	CA-Vorgänge	20
CRL überfällig	CRL ist noch gültig, aber eine neue ist überfällig und hätte veröffentlicht werden müssen.	Fehler	CA-Vorgänge	21
CRL kann nicht aus Active Directory abgerufen werden	Keine CRL am Verteilungspunkt verfügbar. Dies kann dazu führen, dass der Dienst nicht mehr verfügbar ist.	Fehler	CA-Vorgänge	22
Zertifikatdienst antwortet nicht: Ereigniskennung 1 – Benutzerschnittstelle offline Ereigniskennung 2 – Administratorschnittstelle offline	RPC-Schnittstelle (Remote Procedure Call, Remoteprozeduraufruf) der Zertifikatsdienste ist offline – es können keine Zertifikate ausgestellt werden. Der Dienst muss ggf. neu gestartet werden.	Fehler	CA-Vorgänge	1 und 2
Anderes Ereignis	Fehler bei der Ausführung des Zertifizierungsstellen-Überwachungsskripts	Fehler	CA-Vorgänge	100

Verwalten von Änderungen

Die Aufgaben in diesem Abschnitt beziehen sich auf Änderungen, die Sie möglicherweise an der Konfiguration Ihrer WLAN-Sicherheitsinfrastruktur vornehmen müssen.

Verwaltung von Windows-Sicherheitsupdates

Sowohl IAS- als auch Zertifikatdienste-Updates sind in den Basis-Service Packs und Patches für Windows Server 2003 enthalten. Sie müssen diese Komponenten nicht separat aktualisieren.

Lesen Sie die Anleitung, und folgen Sie den Empfehlungen im Abschnitt "Serversicherheitsupdates" in Kapitel 3, Vorbereiten der Umgebung.

Verwalten von Änderungen auf den IAS-Servern

In Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, wird empfohlen, einen der IAS-Server als "Masterserver" zu benennen. Dies ist der Server, auf dem Sie alle IAS-Konfigurationsänderungen vornehmen (siehe "Bereitstellen von Einstellungen für mehrere IAS-Server" in Kapitel 5). Diese Änderungen werden dann mittels eines automatisierten Exports und Imports der IAS-Konfigurationsdatenbank auf die anderen Server in Ihrer Organisation repliziert, um konsistente Einstellungen in der gesamten IAS-Infrastruktur zu gewährleisten.

Der auf jedem IAS-Server konfigurierte Satz von RADIUS-Clients (WAPs) wird normalerweise jedoch nicht repliziert. Die von jedem Server unterstützten WAPs können sich erheblich unterscheiden, und nur selten enthalten zwei IAS-Server genau die gleichen Clients (dies kann z. B. der Fall sein, wenn Sie für die Verarbeitung aller WAPs in der Organisation zwei zentrale Server verwenden).

Sichern der IAS-Einstellungen vor der Durchführung von Änderungen

Obwohl jede Nacht geplante Sicherungen der Server erstellt werden, sollte vor dem Ändern der Server eine manuelle Sicherung von IAS durchgeführt werden. Auf diese Weise können Sie alle Änderungen zurücksetzen und den Serverstatus vor der Durchführung der Änderungen wiederherstellen. Im folgenden Verfahren wird das Sicherungsskript zum Exportieren der Serverkonfiguration, Richtlinien, Protokolleinstellungen und RADIUS-Clients verwendet.

So sichern Sie die IAS-Konfiguration

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell auf dem Server, und erstellen Sie mit dem folgenden Befehl einen Ordner zum Speichern der IAS-Exportdatei:

md c:\IASSaveState

(die IAS-Konfiguration ist normalerweise kleiner als 100 KB und kann wie im Beispiel dargestellt auf dem Systemlaufwerk gespeichert werden. Sie können jedoch jeden beliebigen Pfad verwenden, solange er konsistent in diesem Befehl und den nachfolgenden Befehlen verwendet wird).

Richten Sie mit dem folgenden Befehl Berechtigungen für den Ordner ein, so dass nur Administratoren und Sicherungs-Operatoren den Inhalt des Ordners lesen und ändern können:

cacls c:\IASSaveState /G system:F administrators:F "Backup Operators":C

(Dieser Befehl wird möglicherweise auf mehrere Zeilen umgebrochen, sollte jedoch als eine Zeile eingegeben werden.)

Führen Sie das Sicherungsskript mit dem folgenden Befehl aus, um die IAS-Einstellungen zu exportieren:

MSSTools BackupIAS /path:C:\IASSaveState

Replizieren der Einstellungen auf andere IAS-Server

Sie sollten ein eigenes wiederholbares Verfahren definieren, um sicherzustellen, dass die Einstellungen vom Masterserver auf alle anderen IAS-Server in der Organisation repliziert werden. Im Rahmen dieses Verfahrens müssen Sie u. U. die lokalen Mitarbeiter anweisen, die Einstellungen zu importieren. In den meisten Fällen wird dieser Schritt jedoch remote ausgeführt, indem die Konfigurationsdateien kopiert werden und das Konfigurationsimportskript mittels einer Remotedesktopsitzung ausgeführt wird.

Folgen Sie zum Replizieren der Einstellungen auf andere IAS-Server den Verfahren im Abschnitt "Replicating Settings from the First IAS Server" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur.

Hinweis: Sie können dem RAS-Richtliniennamen eine Versionsnummer hinzufügen, um einfacher überprüfen zu können, ob alle IAS-Server dieselbe Einstellungsversion besitzen.

Hinzufügen von IAS-Servern zur Umgebung

Vor der Installation eines neuen IAS-Servers sollte Sie gemäß den Richtlinien in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, die WAPs identifizieren, die auf diesem Server als Clients konfiguriert werden. Sie benötigen zudem einen weiteren als sekundären RADIUS-Server konfigurierten IAS-Server, um die Ausfallsicherheit für die Zugriffspunkte zu gewährleisten. Wenn Sie die vorhandenen Zugriffspunkte zur Verwendung dieses neuen Servers konfigurieren möchten, müssen Sie die Migration sorgfältig planen, damit während der Umstellung keine Dienstunterbrechung für die Benutzer entsteht. Normalerweise entsteht keine Unterbrechung, wenn für einen Zugriffspunkt mindestens ein aktiver RADIUS-Authentifizierungsserver vorhanden ist.

So installieren Sie IAS auf einem neuen Server

1.	Folgen Sie zur Vorbereitung des Servers den Richtlinien in Kapitel 3, Vorbereiten der Umgebung.
2.	Folgen Sie den Anweisungen in den Abschnitten über das Installieren von IAS und das Registrieren von IAS in Active Directory in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur.
3.	Folgen Sie zum Replizieren der Änderungen vom Master-IAS-Server auf den neuen Server dem Verfahren "Replizieren von Einstellungen vom ersten IAS Server" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur.
4.	Fügen Sie IAS zum Schluss die RADIUS-Clienteinträge für die WAPs hinzu, und konfigurieren Sie die WAPs zur Verwendung des neuen IAS-Servers.

Hinzufügen eines WAPs zum Netzwerk

Zum Hinzufügen eines neuen WAPs müssen Sie die folgenden zwei Schritte ausführen:

1.	Fügen Sie einem primären und einem sekundären IAS-Server den Zugriffspunkt als RADIUS-Client hinzu.
2.	Konfigurieren Sie den Zugriffspunkt zur Verwendung der IAS-Server als primäre und sekundäre RADIUS-Server.

Die als primäre und sekundäre RADIUS-Server ausgewählten IAS-Server richten sich nach der Netzwerkposition des Zugriffspunkts. Der primäre IAS-Server befindet sich im Idealfall in demselben LAN wie der Zugriffspunkt oder besitzt zumindest eine zuverlässige Verbindung mit dem Zugriffspunkt. Der sekundäre IAS-Server muss über eine zuverlässige Verbindung mit dem Zugriffspunkt verfügen. Weitere Informationen finden Sie im Abschnitt "Assignment of APs to RADIUS Servers" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung.

Nachdem Sie geeignete IAS-Server für den Zugriffspunkt identifiziert haben, führen Sie die folgenden Verfahren aus. Diese Verfahren sind mit denen zum Hinzufügen eines Zugriffspunkt zu IAS in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, identisch.

So fügen Sie dem Netzwerk einen Zugriffspunkt hinzu

1.	Gehen Sie wie im Abschnitt "Hinzufügen von Zugriffspunkten zum ersten IAS-Server" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, beschrieben vor, um den Zugriffspunkt als RADIUS-Client zum primären IAS-Server hinzufügen.
2.	Gehen Sie wie im Abschnitt "Importieren der Zugriffspunkte auf den zweiten IAS-Server" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, beschrieben vor, um den Zugriffspunkt als RADIUS-Client zum sekundären IAS-Server hinzufügen.
3.	Konfigurieren Sie den Zugriffspunkt gemäß der Anleitung im Abschnitt "Konfigurieren von Wireless Access Points" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur.

Entfernen eines WAPs

Wenn Sie Ihre Standorte neu anordnen oder umorganisieren, müssen Sie ggf. einen WAP aus dem Netzwerk entfernen. Nicht mehr verwendete RADIUS-Clienteinträge sollten immer aus IAS entfernt werden.

So entfernen Sie einen WAP aus dem Netzwerk

1.	Identifizieren Sie den primären und sekundären IAS-Server für den zu entfernenden Zugriffspunkt.
2.	Verwenden Sie die MMC Internetauthentifizierungsdienst, um den RADIUS-Clienteintrag für den Zugriffspunkt zu entfernen (stellen Sie sicher, dass die RADIUS-Client-IP mit der IP-Adresse des entfernten Zugriffspunkts übereinstimmt. Richten Sie sich nicht nur nach dem Namen des RADIUS-Clients).
3.	Wiederholen Sie Schritt 2 auf dem sekundären Server.

Gewähren des WLAN-Zugriffs für einen Benutzer oder Computer

Wenn Sie das Standardsetup für diese Lösung ausgeführt haben, haben alle Benutzer und Computer in der Domäne, in der die IAS-Server installiert wurden, automatisch Zugriff auf das WLAN. Dies ist darauf zurückzuführen, dass die Gruppen Domänenbenutzer und Domänencomputer Mitglieder der WLAN-Benutzer- bzw. WLAN-Computergruppen sind. Diese Gruppen sind wiederum Mitglieder der von der IAS-RAS-Richtlinie zum Gewähren des Zugriffs auf das WLAN verwendeten WLAN-Zugriffsgruppe.

Steuern des Zugriffs für Mitglieder derselben Domäne

Wenn Sie explizit steuern möchten, welche Benutzer und Computer eine Verbindung mit dem WLAN herstellen können, sollten Sie Sicherheitsgruppen zum Verwalten des Zugriffs verwenden. Die Gruppen Domänenbenutzer und Domänencomputer sollten aus der WLAN-Benutzer- bzw. WLAN-Computergruppe entfernt werden. Stattdessen fügen Sie die spezifischen Benutzer und Computer hinzu, denen Sie den Zugriff auf das WLAN gewähren möchten.

Dadurch wird der Lösungsstandard geändert, d. h., das WLAN ist nur noch zugänglich, wenn der Zugriff explizit durch Hinzufügen des jeweiligen Benutzers bzw. Computers zu einer Sicherheitsgruppe gewährt wird. Dieser Ansatz ist sicherer als das standardmäßige Gewähren des Zugriffs und wird von Organisationen mit hohen Sicherheitsanforderungen bevorzugt. Dies kann auch hilfreich sein, wenn nur eine kleine Anzahl von Personen Zugriff auf das WLAN hat, z. B. während der Pilotphase eines größeren Rollouts.

So aktivieren Sie den WLAN-Zugriff für einen Benutzer oder Computer in derselben Domäne

1.	Fügen Sie den Benutzer oder Computer mithilfe von Active Directory-Benutzer und -Computer der WLAN-Benutzer- bzw. WLAN-Computergruppe hinzu.
2.	Wenn Sie einen Benutzer hinzufügen, bitten Sie diesen, sich ab- und dann wieder anzumelden. Wenn Sie einen Computer hinzufügen, starten Sie diesen neu.
3.	Stellen Sie sicher, dass der Benutzer bzw. Computer auf das WLAN zugreifen kann.

Steuern des Zugriffs für Mitglieder anderer Domänen

Wenn Sie eine Gesamtstruktur mit mehreren Domänen verwenden, können Sie Benutzern und Computern aus anderen Domänen die Verwendung des WLAN ermöglichen. Hierzu müssen Sie sich mit einem der folgenden Konten anmelden:

•	Administrator beider Domänen
•	Konto mit Berechtigungen zum Erstellen von Gruppen in anderen Domänen und Ändern der Mitgliedschaft der WLAN-Zugriffsgruppe in Ihrer Stammdomäne (d. h. der Domäne, in der die IAS-Server installiert sind)

So gewähren Sie den Benutzern und Computern in anderen Domänen WLAN-Zugriff

1.	Melden Sie sich mit einem Konto mit Berechtigungen zum Erstellen von Gruppen in der Domäne mit den jeweiligen Benutzern und Computern (Zieldomäne) an.
2.	Öffnen Sie Active Directory-Benutzer und -Computer, und suchen Sie nach einem Domänencontroller für die Zieldomäne.
3.	Erstellen Sie in der Zieldomäne eine globale Domänengruppe mit dem Namen "WLAN-Benutzer".
4.	Erstellen Sie in der Zieldomäne eine globale Domänengruppe mit dem Namen "WLAN-Computer".
5.	Melden Sie sich mit einem Konto mit Berechtigungen zum Ändern der Mitgliedschaft der WLAN-Zugriffsgruppe in der Stammdomäne an. Suchen Sie mit Active Directory-Benutzer und -Computer nach der WLAN-Zugriffsgruppe, und öffnen Sie diese zum Bearbeiten der Eigenschaften. Fügen Sie auf der Registerkarte Mitgliedschaft der Gruppeneigenschaften die WLAN-Benutzer- und WLAN-Computergruppen aus der Zieldomäne als Mitglieder dieser Gruppe hinzu.
6.	Identifizieren Sie die Benutzer aus der Zieldomäne, die Zugriff auf das WLAN benötigen. Fügen Sie die Konten dieser Benutzer der WLAN-Benutzergruppe in dieser Domäne hinzu. Fügen Sie desgleichen die erforderlichen Computerkonten aus der Zieldomäne der WLAN-Computergruppe in dieser Domäne hinzu. Stattdessen können Sie diesen Gruppen auch die Gruppen Domänenbenutzer und Domänencomputer hinzufügen, um allen Mitgliedern der Zieldomäne den Zugriff auf das WLAN zu gewähren.

Verweigern des WLAN-Zugriffs für einen Benutzer oder Computer

Standardmäßig können in dieser Lösung alle Benutzer und Computer in der Domäne, in der die IAS-Server installiert sind, auf das WLAN zugreifen. Sie erhalten automatisch Zugriff, da sie Mitglieder der Gruppe Domänenbenutzer bzw. Domänencomputer sind. Dies kann sich als problematisch erweisen, wenn Sie den WLAN-Zugriff für einzelne Benutzer oder Computer sperren müssen. Sie dürfen keine Benutzer oder Computer aus den integrierten Gruppen Domänenbenutzer und Domänencomputer entfernen. Verwenden Sie stattdessen eine der folgenden Strategien:

•

Wenn ein Benutzer die Organisation verlassen hat oder ein Computer verloren gegangen ist oder gestohlen wurde, können Sie das Active Directory-Konto für diesen Benutzer bzw. Computer deaktivieren.

•

Verwalten Sie den Zugriff mithilfe der Remotezugriffsberechtigungen im Benutzer- oder Computerkontoobjekt, um den Zugriff zu gewähren bzw. zu verweigern. Dieser Ansatz wurde im Abschnitt "Zulassen des Zugriffs von Benutzern und Computern auf das WLAN" in Kapitel 6, Konfigurieren der WLAN-Clients, kurz beschrieben.

•

Wenn Sie den WLAN-Zugriff eines Benutzers oder Computers aufheben, die Verwendung des Kontos für den normalen Domänenzugriff und sonstigen Netzwerkzugriff jedoch weiterhin zulassen möchten, müssen Sie entweder ein selektives WLAN-Zugriffsmodell verwenden oder eine RAS-Richtlinie "Verweigern" implementieren. Die verwendete Option hängt davon ab, ob der WLAN-Zugriff standardmäßig gewährt werden soll oder ob er standardmäßig verweigert und nur ausgewählten Benutzern gewährt werden soll.

•

Die Verwendung spezifischer Gruppenmitgliedschaften zum Implementieren einer selektiven Zugriffsrichtlinie wurde an früherer Stelle dieses Kapitels unter "Gewähren des WLAN-Zugriffs für einen Benutzer oder Computer" beschrieben. Sie können den Zugriff auf das WLAN einfach verweigern, indem Sie einen Benutzer oder Computer aus der jeweiligen Sicherheitsgruppe entfernen.

•

Das Erstellen einer IAS-RAS-Richtlinie zum Verweigern des Zugriffs für ausgewählte Gruppen wird im folgenden Verfahren "Steuern des WLAN-Zugriffs mit einer Richtlinie 'Verweigern'" beschrieben.

Wichtig: Sie sollten keine Benutzer oder Computer aus den Gruppen Domänenbenutzer bzw. Domänencomputer entfernen. Dies ist zwar technisch möglich, das Benutzer- oder Computerkonto funktioniert dann aber nicht mehr korrekt für die normale Domänenverwendung.

Steuern des WLAN-Zugriffs mit einer Richtlinie "Verweigern"

Wenn Sie den Zugriff standardmäßig gewähren, aber in der Lage sein möchten, einzelnen Benutzern und Computern den Zugriff zu verweigern, müssen Sie in IAS eine RAS-Richtlinie "Verweigern" erstellen.

So erstellen Sie eine RAS-Richtlinie "Verweigern"

1.	Erstellen Sie in Active Directory-Benutzer und -Computer eine universelle Gruppe mit dem Namen "WLAN-Zugriff verweigern".
2.	Erstellen Sie globale Domänengruppen "WLAN-Benutzer verweigern" und "WLAN-Computer verweigern", und fügen Sie diese als Mitglieder der Gruppe "WLAN-Zugriff verweigern" hinzu.
3.	Melden Sie sich an dem Master-IAS-Server an, den Sie zum Bearbeiten von globalen IAS-Einstellungen verwenden (diese Einstellungen werden später auf die anderen IAS-Server repliziert).
4.	Klicken Sie in der MMC Internetauthentifizierungsdienst mit der rechten Maustaste auf den Ordner RAS-Richtlinien, und wählen Sie Neue RAS-Richtlinie.
5.	Wählen Sie Benutzerdefinierte Richtlinie einrichten, und geben Sie als Richtliniennamen WLAN-Zugriff verweigern ein. Klicken Sie zum Fortfahren auf Weiter.
6.	Klicken Sie auf Hinzufügen, um eine Richtlinienbedingung hinzuzufügen, wählen Sie in der Liste die Option Windows-Gruppen aus, und klicken Sie auf Hinzufügen.
7.	Klicken Sie auf Hinzufügen, um eine Sicherheitsgruppe hinzuzufügen. Geben Sie die Gruppe "WLAN-Zugriff verweigern" ein (oder wählen Sie die Gruppe aus), und klicken Sie auf OK.
8.	Klicken Sie auf Hinzufügen, um eine weitere Richtlinienbedingung hinzuzufügen, wählen Sie in der Liste die Option NAS-Porttyp aus, und klicken Sie auf Hinzufügen.
9.	Wählen Sie in der Liste Verfügbare Typen die Option Drahtlos - IEEE 802.11 aus, und klicken Sie auf Hinzufügen. Wählen Sie anschließend Drahtlos - Anderer, und klicken Sie auf Hinzufügen, um diese Typen der Liste Ausgewählte Typen hinzuzufügen. Klicken Sie auf OK, um den Vorgang abzuschließen, oder klicken Sie zum Fortfahren auf Weiter.
10.	Wählen Sie RAS-Berechtigung verweigern, und klicken Sie auf Weiter, um fortzufahren.
11.	Klicken Sie im Fenster Profil auf Weiter, und klicken Sie dann zum Abschließen des Vorgangs auf Fertig stellen.
12.	Die Richtlinie WLAN-Zugriff verweigern sollte oben in der Liste der Richtlinien (höchste Priorität) erstellt werden (oder zumindest über der Richtlinie, die den WLAN-Zugriff gewährt). Wenn dies nicht der Fall ist, klicken Sie mit der rechten Maustaste auf den Richtliniennamen, und klicken Sie auf Nach oben, bis sich die Richtlinie an der entsprechenden Stelle in der Liste befindet.
13.	Verwenden Sie die zuvor beschriebenen Replikationsverfahren, um die neuen Einstellungen auf die anderen IAS-Server in der Organisation zu replizieren.

Allen der Gruppe "WLAN-Benutzer verweigern" oder "WLAN-Computer verweigern" hinzugefügten Benutzern bzw. Computern wird der Zugriff auf das WLAN verweigert. Diese Einstellung wird jedoch erst wirksam, wenn sich der jeweilige Benutzer das nächste Mal anmeldet bzw. wenn der Computer neu gestartet wird.

Unterstützungsaufgaben

In diesem Abschnitt werden allgemeine Aufgaben beschrieben, die Sie zur Wiederherstellung nach Problemen in der WLAN-Sicherheitsinfrastruktur durchführen müssen. Auf viele dieser Aufgaben wird im Abschnitt "Problembehandlung" dieses Kapitels verwiesen.

Wiederherstellen einer IAS-Serverkonfiguration aus einer Sicherung

IAS-Richtlinien und -Einstellungen werden in der IAS-Konfigurationsdatenbank gespeichert. Sie können unabhängig von den anderen Systemeinstellungen wiederhergestellt werden. Sie sollten den IAS-Sicherungstask so einrichten, dass die IAS-Einstellungen jede Nacht im Ordner C:\IASBackup gesichert werden. Weitere Informationen zu diesem Thema finden Sie unter "Konfigurieren der IAS-Sicherung" im Abschnitt "Laufende Betriebsaufgaben" dieses Kapitels. Wenn Sie an diesem Tag vorgenommene Änderungen rückgängig machen müssen, können Sie die Einstellungen aus den in der vorhergehenden Nacht erstellten Sicherungsdateien (in C:\IASBackup) oder aus der vor der Durchführung der Änderungen erstellten Rollback-Sicherung wiederherstellen. Weitere Informationen finden Sie unter "Sichern der IAS-Einstellungen vor der Durchführung von Änderungen" im Abschnitt "Verwalten von Änderungen".

Wenn Sie eine frühere Version der Einstellungen benötigen, müssen Sie die exportierten IAS-Einstellungen aus der Serversicherung wiederherstellen.

Warnung: Durch dieses Verfahren werden alle IAS-Einstellungen einschließlich der RADIUS-Clients wiederhergestellt, und alle vorhandenen Einstellungen auf dem Server werden überschrieben. Die wiederherzustellende Sicherung sollte auf demselben Server erstellt worden sein.

So stellen Sie die IAS-Einstellungen wieder her

Wenn sich die gewünschten IAS-Einstellungssicherungsdateien nicht auf dem Server befinden, müssen Sie sie vom Sicherungsmedium wiederherstellen. Wählen Sie nur die Dateien im Ordner IASBackup zum Wiederherstellen aus. Stellen Sie den Systemstatus nur dann wieder her, wenn Sie auch die früheren systemweiten Einstellungen wiederherstellen möchten.

Öffnen Sie über die Verknüpfung MSS WLAN Tools eine Befehlsshell. Stellen Sie die IAS-Konfiguration wieder her, indem Sie den folgenden Befehl ausführen:

msstools RestoreIAS /path:C:\IASBackup

Öffnen Sie die IAS-Verwaltungskonsole, und überprüfen Sie die Ordner für RADIUS-Clients und RAS-Richtlinien, um sicherzustellen, dass die IAS-Einstellungen wiederhergestellt wurden.

Wenn Sie aus irgendeinem Grund nicht über eine verwendbare Sicherung dieses Systems verfügen, können Sie die Einstellungen von einem anderen IAS-Server exportieren und auf diesem Server importieren. Normalerweise verwenden IAS-Server mit derselben Rolle die gleichen Konfigurationseinstellungen. Da die RADIUS-Clients jedoch unterschiedlich sind, sollten Sie dieses Verfahren nicht zum Wiederherstellen der Einstellungen von einem anderen Server verwenden. Verwenden Sie stattdessen das Verfahren "Replizieren von Einstellungen vom ersten IAS Server" in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur.

Wichtig: Sie müssen sicherstellen, dass auf dem wiederhergestellten System die aktuellsten Patches installiert sind. Bei einer Wiederherstellung von einer älteren Sicherung werden zuvor installierte Patches möglicherweise zurückgesetzt.

Wiederherstellen der vollständigen Serverkonfiguration von einer Sicherung

Die Verfahren zum Wiederherstellen des Servers variieren abhängig vom verwendeten Sicherungssystem. Das folgende Verfahren setzt voraus, dass Sie das System mit einer Windows-Systemstatussicherung in einer Datei gesichert und anschließend für diese Datei und andere erforderliche Dateien eine Dateisicherung ausgeführt haben.

So stellen Sie den Server wieder her

1.	Der Server muss abhängig von seinem Status u. U. vollständig neu vorbereitet werden. Dies ist z. B. der Fall, wenn die Systemdatenträger des Servers durch einen schwerwiegenden Hardwarefehler zerstört wurden. Andernfalls können Sie eine Wiederherstellung direkt ausführen, d. h. ohne erneute Installation des Betriebssystems.
2.	Wenn Sie separate Systemstatussicherungen und Dateisicherungen implementiert haben, stellen Sie die Systemstatussicherungsdatei und die IAS-Einstellungssicherungsdatei mithilfe der Sicherungssoftware vom Sicherungsmedium auf dem Server wieder her. Die IAS-Einstellungen sollten an demselben Pfad wiederhergestellt werden: C:\IASBackup.
3.	Führen Sie das Windows-Sicherungsprogramm aus, und wählen Sie die wiederhergestellte Systemstatussicherungsdatei aus. Sie müssen Mitglied einer Gruppe mit Berechtigungen zum Sichern und Wiederherstellen auf dem Server sein (z. B. der Gruppe Sicherungs-Operatoren oder Administratoren).
4.	Klicken Sie auf Wiederherstellen.
5.	Starten Sie das System neu.
6.	Überprüfen Sie, ob alles wie erwartet funktioniert und Active Directory und die Zertifikatdienste (sofern installiert) fehlerlos gestartet wurden.
7.	Öffnen Sie über die Verknüpfung MSS WLANTools eine Befehlsshell. Stellen Sie die IAS-Konfiguration wieder her, indem Sie den folgenden Befehl ausführen: MSSTools RestoreIAS /path:C:\IASBackup
8.	Öffnen Sie die IAS-MMC, und überprüfen Sie die Ordner für RADIUS-Clients und RAS-Richtlinien, um sicherzustellen, dass die IAS-Einstellungen wiederhergestellt wurden. Wichtig: Wenn IAS auf einem Domänencontroller ausgeführt wird, wird durch die Wiederherstellung einer Systemstatussicherung auch die gesicherte Version der Active Directory-Datenbank auf diesem Server wiederhergestellt. Alle nach dem Erstellen der Sicherung an Active Directory vorgenommenen Änderungen werden jedoch beim nächsten Active Directory-Replikationszyklus auf den wiederhergestellten Server repliziert.

Optimierungsaufgaben

In diesem Abschnitt werden die Aufgaben zum Optimieren der IAS-Infrastruktur beschrieben.

Bestimmen der Spitzenlast auf dem IAS-Server

In diesem Abschnitt finden Sie einige Angaben zur wahrscheinlichen maximalen Auslastung des IAS-Servers.

Die Leistungsfähigkeit stellt für ausreichend dimensionierte und konfigurierte IAS-Server in der Regel kein Problem dar. Die Belastung von IAS-Servern ist zu Spitzenlastzeiten am höchsten, also z. B. in den Morgenstunden, wenn sich viele Benutzer gleichzeitig anmelden, kurz nach einem größeren Netzwerkausfall oder einem Ausfall des Servers nach einem Failover von WAPs auf einen Sicherungsserver.

Die folgende Tabelle zeigt die WLAN-Authentifizierungsanforderungen für unterschiedliche Organisationsgrößen.

Tabelle 8.7: WLAN-Authentifizierungsanforderungen

Anzahl von WLAN-Benutzern	Neue Authentifizierungen pro Sekunde	Max. neue Authentifizierungen pro Sekunde	Wiederholte Authentifizierungen pro Sekunde
100	> 0.1	0.1	0.1
1000	0.1	0.6	1.1
10,000	1.4	5.6	11.1

Die Spalte "Neue Authentifizierungen pro Sekunde" ist Teil der Dauerbelastung. Sie können von durchschnittlich vier neuen vollständigen Authentifizierungen ausgehen, wenn Benutzer zwischen WAPs wechseln. Die Spalte "Max. neue Authentifizierungen pro Sekunde" gibt die erwartete Belastung an, wenn alle Benutzer in einem Zeitraum von 30 Minuten authentifiziert werden müssen (z. B. am Morgen). Die Spalte "Wiederholte Authentifizierungen pro Sekunde" gibt die Anzahl von Authentifizierungen an, die nach einer Überschreitung des IAS-Zeitlimits mittels Fast-Reconnect wieder verbunden werden. (Obwohl in der Lösung ein Standardzeitlimit von 60 Minuten konfiguriert ist, wird hier zur Veranschaulichung des schlimmsten Falls ein Limit von 15 Minuten verwendet.) Sie sollten diese Zahlen mit den Anforderungen Ihrer Organisation vergleichen, um den erforderlichen Belastungstyp zu ermitteln.

Interne Tests von Microsoft haben gezeigt, dass IAS auch auf bescheidener Serverhardware eine hohe Belastung handhaben kann. Die von IAS verarbeitete Belastung lässt sich am besten durch die Anzahl von EAP-Authentifizierungen (Extensible Authentication Protocol) pro Sekunde darstellen. Die folgende Tabelle zeigt die Ergebnisse eines IAS-Servers auf einem Intel Pentium 4 2 GHz-Server mit Windows Server 2003.

Die Tests wurden mit aktivierter RADIUS-Protokollierung (auf einem separaten Datenträger) und mit IAS auf einem vom Active Directory-Domänencontroller getrennten Server ausgeführt. Diese Zahlen sind daher als Worst-Case zu betrachten. In der Standardkonfiguration für diese Lösung ist die Protokollierung deaktiviert, und IAS ist auf demselben Server wie der Domänencontroller installiert. Beide Einstellungen verbessern den Authentifizierungsdurchsatz.

Hinweis: Für die Richtigkeit dieser Informationen wird keine Gewähr übernommen. Sie dienen ausschließlich als Richtlinien für die Kapazitätsplanung und nicht zum Leistungsvergleich.

Tabelle 8.8: Beispielmessungen der IAS-Serverkapazität

Authentifizierungstyp	Authentifizierungen pro Sekunde
Neue PEAP-Authentifizierungen (Protected Extensible Authentication Protocol)	36
Neue PEAP-Authentifizierungen mit TSL/Offload-Card-Unterstützung	50
Fast-Reconnect-Authentifizierungen	166

IAS kann so konfiguriert werden, dass datenträgerbasierte RADIUS-Protokolle mit unterschiedlichen Mengen von RADIUS-Anforderungsinformationen erstellt werden. Wenn Sie die RADIUS-Protokollierung aktivieren, sollten Sie den Overhead bedenken, den dies für die Server und insbesondere für die Datenträgersubsysteme darstellt. Ein langsamer Datenträgerdurchsatz wirkt als Engpass für die IAS-Leistung und verzögert die IAS-RADIUS-Antworten auf Zugriffspunkte. Dadurch werden Protokollzeitüberschreitungen verursacht, und Zugriffspunkte werden unnötig per Failover auf sekundäre RADIUS-Server umgeschaltet. Wenn Sie von einer hohen Belastung ausgehen (verwenden Sie die Zahlen in den obigen Tabellen als Richtlinie) und die RADIUS-Protokollierung aktivieren möchten, sollten Sie sicherstellen, dass IAS zum Schreiben von RADIUS-Protokollen auf einen vom Windows-Systemlaufwerk und Auslagerungsdateilaufwerk getrennten Datenträger mit hoher Leistung konfiguriert ist.

Die Aktivierung der IAS-Ablaufverfolgungsfeatures von Windows Server 2003 (wie unter "Aktivieren und Deaktivieren der Ablaufverfolgung auf dem IAS-Server" in diesem Kapitel beschrieben) führt ebenfalls zu einer zusätzlichen Belastung der IAS-Server. Diese Features sind gelegentlich zur Behandlung von Netzwerkzugriffsproblemen erforderlich und sollten nicht permanent aktiviert werden. Trotzdem sollten Sie u. U. sicherstellen, dass Ihre IAS-Server über ausreichende zusätzliche Kapazität verfügen, um die Ablaufverfolgung über einen beschränkten Zeitraum bei gleichzeitiger Verarbeitung der Produktionsbelastung zu unterstützen.

Weitere Optimierungsmaßnahmen

Weitere Richtlinien für die IAS-Optimierung finden Sie im Abschnitt zum Entwerfen einer optimierten IAS-Lösung im Kapitel über die IAS-Bereitstellung im Windows Server 2003 Deployment Kit.

Zum Seitenanfang

Problembehandlung

Dieser Abschnitt enthält Verfahren und Techniken für die Diagnose und Behebung von Problemen mit der WLAN-Lösung.

Problembehandlungsverfahren

Die folgenden Verfahren helfen Ihnen, die möglichen Ursachen eines Problems und die Aktion zum Beheben des Problems zu ermitteln. Dieser Abschnitt ist hierarchisch aufgebaut. Das erste Verfahren "Feststellen des Problemtyps" verweist Sie an eines von mehreren Verfahren mit detaillierten Problembehandlungsschritten. Diese Verfahren können Sie wiederum zu weiteren Problembehandlungsverfahren für bestimmte Komponenten der Lösung führen.

Jedes dieser Verfahren wird an späterer Stelle dieses Kapitels ausführlich beschrieben (einige Verfahren werden grafisch dargestellt, und andere, deren Textbeschreibung zu lang für eine Abbildung ist, werden in Form von Tabellen oder Text erläutert). In einigen der Verfahren wird auf den Abschnitt "Problembehandlungstools und -techniken" dieses Kapitels verwiesen. Sie sollten diesen Abschnitt sorgfältig lesen, um die Problembehandlungsverfahren effizient anwenden zu können.

Wichtig: Diese Diagnoseverfahren decken nicht jede Eventualität ab. Wenn sich die Problemursache durch die empfohlenen Diagnoseschritte nicht feststellen lässt, sollten Sie das Problem zurückverfolgen und die anderen hier beschriebenen Diagnoseverfahren anwenden. In einigen Fällen sind das gesamte Ausmaß oder die Beschaffenheit von Symptomen nicht eindeutig und führen in eine falsche Richtung. Ein das gesamte Büro betreffendes Problem kann z. B. nur von einem einzigen Benutzer beobachtet und gemeldet werden. Obwohl die Tabelle in einem solchen Fall auf Diagnoseverfahren für Einzelclientfehler verweist, können andere Verfahren besser geeignet sein.

Sie sollten auch die am Ende des Kapitels aufgeführten WLAN- und IAS-Problembehandlungsdokumente zu Rate ziehen.

Feststellen des Problemtyps

Klassifizieren Sie zunächst wie im folgenden Flussdiagramm dargestellt den Typ des aufgetretenen Problems. Die Rauten stellen Fragen oder Entscheidungspunkte dar, und die Rechtecke kennzeichnen die Diagnose des Problems und geben den Namen des auszuführenden Verfahrens an.

Abbildung 8.1 Feststellen des Problemtyps

Diagnose von Clientverbindungsproblemen

Die folgende Tabelle unterteilt die unterschiedlichen Verbindungsproblemtypen basierend auf der Anzahl und Position betroffener Clients. Die Spalte "Wahrscheinliche Probleme" gibt die am ehesten als Ursache für die dargestellten Symptome in Frage kommenden Faktoren an. Die Spalte "Auszuführende Diagnoseverfahren" listet die Verfahren auf, die zunächst zum Diagnostizieren des Problems angewendet werden sollten. Jedes dieser Verfahren wird an späterer Stelle dieses Kapitels ausführlich behandelt.

Tabelle 8.9: Wer kann keine Verbindung mit dem WLAN herstellen?

Symptom	Wahrscheinliche Probleme	Auszuführende Diagnoseverfahren
Ein Client	Computerkonfiguration oder Benutzer-/Computerkonto	Benutzer-/Computerkonto überprüfen Clientcomputer überprüfen
Mehrere Clients an einem Standort	Fehlkonfiguration mindestens eines Zugriffspunkts	Konfiguration des WAPs überprüfen
Gesamter Standort (lokaler IAS)	Falsch konfigurierter oder nicht funktionierender IAS-Server am Standort; Active Directory-Replikationsprobleme verhindern den Empfang korrekter Informationen durch den lokalen Domänencontroller; fehlerhafter IAS-Server und WLAN-Verbindungsproblem	Active Directory und Netzwerkdienste überprüfen IAS überprüfen WAN-Verbindung überprüfen
Gesamter Standort (kein lokaler IAS)	WLAN-Verbindungsproblem; Active Directory-Replikationsprobleme (wenn kein lokaler Domänencontroller vorhanden ist)	WAN-Verbindung überprüfen
Alle Clients an allen Standorten	Organisationsweite Konfiguration (Gruppenrichtlinienobjekt für Clienteinstellungen, RAP-Gruppen, Fehler bei der Zertifikaterneuerung)	Active Directory und Netzwerkdienste überprüfen (Prüfungen "WLAN-Einstellungs-Gruppenrichtlinienobjekt überprüfen" und "Active Directory-Gruppen überprüfen") Zertifizierungsstelle überprüfen IAS überprüfen

Diagnose von Leistungsproblemen

Dieser Abschnitt befasst sich mit Leistungsproblemen im Zusammenhang mit der WLAN-Sicherheitsinfrastruktur. Allgemeine Leistungsprobleme von drahtlosen und verdrahteten Netzwerken werden in diesem Kapitel nicht behandelt.

Tabelle 8.10: Leistungsprobleme

Symptom	Mögliche Lösung
Viele Benutzer betreffende Authentifizierungsverzögerung	Starke Belastung des IAS-Servers, Systemmonitor überprüfen
	Authentifizierung über eine langsame WLAN-Verbindung (überprüfen Sie auch im Fall eines lokalen IAS-Servers, ob die Zugriffspunkte nicht mittels Failover auf den Remote-IAS-Server umgestellt wurden)
	Verzögerungen eines DHCP-Servers (Dynamic Host Configuration Protocol) bei der Ausgabe einer IP-Adresse kann die Gesamtverbindungszeit beeinträchtigen.
Verzögerung der wiederholten Authentifizierung beim Roaming zwischen Zugriffspunkten	Eine Verzögerung von wenigen Sekunden ist beim Wechseln zwischen Zugriffspunkten normal.
	Wenn ein Client den Bereich eines Zugriffspunkts verlässt (und länger als 10 Sekunden außerhalb des Bereichs bleibt), kann der Start der Authentifizierungswiederholung nach dem erneuten Eintritt in den Bereich des Zugriffspunkts bis zu 60 Sekunden dauern. Dies ist darauf zurückzuführen, dass ein vom WLAN getrennter Windows-WLAN-Client nur alle 60 Sekunden WLANs abfragt.
Niedriger WLAN-Netzwerkdurchsatz	Dieses Symptom kann auf die Verwendung zu weniger Zugriffspunkte durch zu viele Clients, eine falsche Zugriffspunktplatzierung oder ein schwaches Funksignal aufgrund eines Hindernisses oder eines zu großen Abstands zurückzuführen sein. Diese Aspekte betreffen den WLAN-Netzwerkentwurf und werden in dieser Dokumentation nicht behandelt. Wenden Sie sich bei Bedarf an den Lösungsanbieter. Weitere Informationen finden Sie im Kapitel zur WLAN-Bereitstellung im Windows Server 2003 Deployment Kit.

Benutzerauthentifizierung klappt, aber Computerauthentifizierung schlägt fehl

Diese Lösung verwendet für das WLAN sowohl eine Benutzerauthentifizierung als auch eine Computerauthentifizierung. Die Computer-Domänenanmeldeinformationen werden zur Authentifizierung im WLAN verwendet, wenn kein Benutzer am Computer angemeldet ist. Wenn sich ein Benutzer anmeldet, werden die Anmeldeinformationen des Benutzers zur wiederholten Authentifizierung im WLAN verwendet. Dieser Ansatz ermöglicht dem Computer die Kommunikation mit dem WLAN, wenn niemand angemeldet ist, und gewährleistet die Remoteverwaltung des Computers, den Download von Gruppenrichtlinieneinstellungen für den Server usw.

Wenn sich ein Benutzer an einem WLAN-Computer anmeldet, entsteht während der Authentifizierung des Benutzers im WLAN eine kurze Verzögerung. Bis der Benutzer zum Herstellen einer Verbindung autorisiert wurde, bleibt die authentifizierte WLAN-Sitzung des Computers aktiv. Wenn der Computer jedoch nicht im WLAN authentifiziert werden konnte, bedeutet diese Verzögerung, dass bei Beginn der Anmeldesitzung des Benutzers keine Netzwerkverbindung besteht.

Dies kann zu einer Reihe von Problemen führen. Wenn servergespeicherte Profile nicht geladen werden können, werden z. B. die Gruppenrichtlinienobjekteinstellungen einiger Computer nicht angewendet, und Benutzeranmeldeskripts und Gruppenrichtlinienobjekt-gestützte Softwarebereitstellungen (die in einer frühen Phase des Anmeldeprozesses ausgeführt werden) schlagen fehl.

Folgen Sie dem Verfahren "Benutzer-/Computerkonto überprüfen" in diesem Handbuch, um die Ursache für den Fehlschlag der Computerauthentifizierung zu ermitteln.

Computerauthentifizierung klappt, aber Benutzerauthentifizierung schlägt fehl

Dieses Problem ist anders als der vorhergehende Fall unmittelbar zu erkennen und wird sofort vom betroffenen Benutzer gemeldet. Folgen Sie dem Verfahren "Benutzer-/Computerkonto überprüfen", um die Ursache für den Fehlschlag der Benutzerauthentifizierung zu ermitteln.

Diagnoseverfahren

Der folgende Abschnitt enthält ausführliche Problembehandlungsschritte für die in den vorhergehenden Abschnitten genannten Verfahren.

Benutzer-/Computerkonto überprüfen

Das folgende Flussdiagramm hilft Ihnen beim Diagnostizieren der Ursache einer fehlgeschlagenen Computerauthentifizierung.

Hinweis: Das pfeilförmige Feld im Flussdiagramm besagt, dass Sie wie im Feld angegeben das Verfahren "Clientcomputer überprüfen" ausführen sollten.

Abbildung 8.2 Überprüfen des Benutzer- oder Computerkontos
Abbildung in vollständiger Größe

Clientcomputer überprüfen

Das folgende Flussdiagramm hilft Ihnen beim Diagnostizieren von Problemen mit dem Clientcomputer.

Abbildung 8.3 Überprüfen des Clientcomputers
Abbildung in vollständiger Größe

Hinweis: Das pfeilförmige Feld im Flussdiagramm ist eine Verknüpfung vom Verfahren "Benutzer-/Computerkonto überprüfen".

Der Status der WLAN-Karte (erforderlich für den Schritt "WLAN-Karte deaktivieren/aktivieren und Status beobachten" im Flussdiagramm) wird im Bereich Details des Ordners Netzwerkverbindungen angezeigt (in der Systemsteuerung). Wenn Sie die Karte aktivieren, sollte der Kartenstatus die folgenden Phasen durchlaufen:

•	Verbindung herstellen
•	Authentifizieren
•	IP-Adresse abfragen (sofern diese nicht statisch zugewiesen ist)

Die Überwachung des Punktes, an dem dieser Prozess fehlschlägt, ist eines der nützlichsten Diagnoseverfahren.

IAS überprüfen

Die Überprüfungen in der folgenden Tabelle sollten ausgeführt werden, wenn Sie vermuten, dass ein IAS-Server Probleme verursacht.

Tabelle 8.11: IAS-Diagnoseüberprüfungen

Überprüfung	Detail
IAS aktiv	Öffnen Sie die MMC Computerverwaltung, und wechseln Sie zu Dienste. Stellen Sie sicher, dass IAS ausgeführt wird.
Grundlegende IAS-Netzwerkkonfiguration	Führen Sie den Befehl netdiag aus, um zu überprüfen, ob Fehler in der Netzwerkkonfiguration des IAS-Servers vorliegen.
IAS-Server besitzt aktuelles Serverzertifikat.	Öffnen Sie die MMC Zertifikate, und überprüfen Sie den Ordner \Zertifikate (lokaler Computer)\Persönlich\Zertifikate. Dieser Ordner sollte ein Zertifikat mit den folgenden Merkmalen für den Server enthalten: - Das aktuelle Datum liegt innerhalb des Gültigkeitszeitraums des Zertifikats. - Der alternative Antragstellername entspricht dem DNS-Namen (Domain Name System) des Servers. - Die Serverauthentifizierung ist in der erweiterten Schlüsselverwendung vorhanden. - Der Zertifikataussteller ist vertrauenswürdig (auf der Registerkarte Trust Path). - Das Zertifikat wurde nicht gesperrt. Zeigen Sie die Profileinstellungen der IAS-RAS-Richtlinie an, klicken Sie auf die Registerkarte Authentifizierung, und zeigen Sie die 802.1X-Einstellungen an. Das oben beschriebene Serverzertifikat sollte ausgewählt sein.
IAS ist ein Mitglied der Gruppe RAS- und IAS-Server in der Domäne.	Der Server muss ein Mitglied dieser Gruppe sein (wird normalerweise beim Registrieren von IAS in Active Directory hinzugefügt).
Die RAS-Richtlinie oder Verbindungsanforderungsrichtlinie von IAS ist falsch.	Überprüfen Sie, ob die Richtlinieneinstellungen (und sofern verwendet die Versionsnummer) wie erwartet sind. Wenn Sie sich nicht sicher sind, stellen Sie die Konfiguration erneut über den Master-IAS-Server bereit.
IAS-Ereignisse im Systemereignisprotokoll anzeigen	Überprüfen Sie, ob das Protokoll Fehler- oder Warnungsereignisse von IAS enthält. Für Authentifizierungsfehler wird ein Begründungscode angezeigt, der die Problemursache angibt.
IAS-Ablaufverfolgung aktivieren	Siehe hierzu das Verfahren "Aktivieren und Deaktivieren der Ablaufverfolgung auf dem IAS-Server" im Abschnitt "Problembehandlungstools und -techniken" in diesem Kapitel.
Clientablaufverfolgung aktivieren	Siehe hierzu das Verfahren "Aktivieren und Deaktivieren der Ablaufverfolgung auf Clientcomputern" im Abschnitt "Problembehandlungstools und -techniken" in diesem Kapitel.
SChannel-Protokollierung aktivieren	Aktivieren Sie zum Diagnostizieren von zertifikatspezifischen Problemen und TLS-Problemen die SChannel-Protokollierung. Weitere Informationen finden Sie im Verfahren "Aktivieren der SChannel-Protokollierung auf dem IAS-Server" im Abschnitt "Problembehandlungstools und -techniken" in diesem Kapitel. Sie können die SChannel-Protokollierung auch auf dem Client aktivieren, um zusätzliche Diagnoseinformationen von der Clientseite zu erfassen.

Zertifizierungsstelle überprüfen

Die Überprüfungen in der folgenden Tabelle können ausgeführt werden, um die korrekte Funktion der Zertifizierungsstelle zu überprüfen.

Tabelle 8.12: Zertifizierungsstellen-Diagnoseüberprüfungen

Überprüfung	Detail
Ausführung der Zertifikatdienste	Öffnen Sie die MMC Computerverwaltung, und wechseln Sie zu Dienste. Stellen Sie sicher, dass die Zertifikatdienste ausgeführt werden.
Zertifikatsperrliste überprüfen, wenn TLS fehlschlägt (wird im RASTLS-Ablaufverfolgungsprotokoll oder in der SChannel-Protokollierung angezeigt) oder die Zertifizierungsstelle keine Zertifikate ausstellt	Führen Sie den Befehl msstools CheckCA für die Zertifizierungsstelle aus, um sicherzustellen, dass eine aktuelle Zertifikatsperrliste veröffentlicht wurde und zugänglich ist. Wenn auf bestimmten IAS-Servern (oder an bestimmten Standorten) Probleme auftreten, verwenden Sie das PKI-Zustandstool (aus dem Windows Server 2003 Resource Kit). Dieses MMC-Tool zeigt Ihnen, ob der Server Probleme beim Zugriff auf eine aktuelle Zertifikatsperrliste oder ein Zertifikat der Zertifizierungsstelle hat.
Gruppenrichtlinienobjekt für die automatische Zertifikatregistrierung überprüfen, wenn keine Zertifikate registriert/erneuert wurden	- Stellen Sie sicher, dass das Gruppenrichtlinienobjekt für die automatische Registrierung mit dem korrekten Speicherort verknüpft ist (normalerweise die Domäne). - Stellen Sie sicher, dass für das Gruppenrichtlinienobjekt die Vorlage "Computer" als zu registrierender Zertifikattyp eingestellt ist (unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel\Einstellungen der automatischen Zertifikatanforderung). - Stellen Sie sicher, dass die Gruppe RAS- und IAS-Server über die Berechtigungen zum Anwenden von Richtlinien und Lesen für das Gruppenrichtlinienobjekt verfügt und diese nicht durch "Verweigern"-Berechtigungen überschrieben werden können (z. B. "Authentifizierte Benutzer – Lesen verweigern").
Zertifikatvorlagen	Die Vorlage "Computer" sollte der Zertifizierungsstelle zugewiesen sein (überprüfen Sie den Ordner Vorlagen in der MMC Zertifizierungsstelle). Die Vorlage "Computer" sollte eine Gruppe mit Registrierungsberechtigung für RAS- und IAS-Server enthalten (stellen Sie sicher, dass diese nicht durch "Verweigern"-Berechtigungen überschrieben wird).
Remotebetrieb der DCOM-Schnittstelle der Zertifizierungsstelle	Führen Sie den folgenden Befehl auf einem Remote-IAS-Server aus, um zu überprüfen, ob DCOM/RPC zwischen dem Server und der Zertifizierungsstelle funktioniert: certutil -ping-config ZertifizierungsstellenHostname\Zertifizierungsstellenname Dabei ist ZertifizierungsstellenHostname der Computername des Zertifizierungsstellenservers, und Zertifizierungsstellenname ist der beschreibende Name, der der Zertifizierungsstelle bei ihrer Konfiguration zugewiesen wird (der Name wird als Ausgestellt von: auf der Registerkarte Allgemein jedes von dieser Zertifizierungsstelle ausgestellten Zertifikats angezeigt).

Active Directory und Netzwerkdienste überprüfen

Die Überprüfungen in der folgenden Tabelle können für Active Directory und andere Netzwerkkomponenten ausgeführt werden, um deren korrekte Funktion zu überprüfen.

Tabelle 8.13: Active Directory-Diagnoseüberprüfungen

Überprüfung	Detail
Kommunikation mit Active Directory über IAS überprüfen	Führen Sie den Befehl netdiag /test:ldap /test:trust auf dem IAS-Server aus. Dieser Befehl überprüft auch, ob DNS-Probleme vorliegen.
WLAN-Sicherheitsgruppen überprüfen	Überprüfen Sie die Mitgliedschaften der in dieser Lösung zum Steuern des Zugriffs auf das WLAN verwendeten Sicherheitsgruppen. Die Standardmitgliedschaften finden Sie im Abschnitt zur Erstellung von Sicherheitsgruppen in Kapitel 3, Vorbereiten der Umgebung.
Gruppenrichtlinienobjekt für Client-WLAN-Einstellungen überprüfen	Stellen Sie sicher, dass die Einstellungen im Gruppenrichtlinienobjekt für die WLAN-Einstellungen korrekt sind, das Gruppenrichtlinienobjekt mit der richtigen Organisationseinheit (oder Domäne) verknüpft ist und die korrekten Berechtigungen darauf angewendet wurden (siehe hierzu den Abschnitt "Erstellen von Gruppenrichtlinienobjekten für WLAN-Einstellungen" in Kapitel 6, Konfigurieren der WLAN-Clients).
Korrekte Active Directory-Replikation überprüfen	Führen Sie den Befehl dcdiag /test:replications auf dem IAS-Server aus, auf dem Probleme auftreten (auch wenn IAS nicht auf einem Domänencontroller ausgeführt wird, überprüft das Tool dcdiag den von dieser IAS-Instanz verwendeten Domänencontroller).
DHCP-Server überprüfen	Stellen Sie sicher, dass der DHCP-Server ausgeführt wird, ein gültiger Bereich für die WLAN-Clients erstellt wurde und aktiv ist und eine Verbindung zwischen den WAPs und dem DHCP-Server besteht (die Verbindung ist genauer gesagt zwischen dem Standard-VLAN (virtuelles LAN) der Zugriffspunkte und dem DHCP-Server erforderlich, um den WLAN-Clients das Abrufen einer IP-Lease zu ermöglichen).

Konfiguration von WAPs überprüfen

Die Überprüfungen in der folgenden Tabelle können für WAPs ausgeführt werden, um deren korrekte Funktion zu überprüfen.

Tabelle 8.14: WAP-Diagnoseüberprüfungen

Überprüfung	Detail
Zugriffspunkt-IP-Konfiguration und Verbindung mit IAS überprüfen	Viele Zugriffspunkte verfügen über eine grundlegende Funktion zum Testen der Verbindung (z. B. Ping). Versuchen Sie den primären und sekundären IAS-Server über Ping zu erreichen (stattdessen können Sie den Zugriffspunkt auch über den primären und sekundären IAS-Server pingen).
RADIUS-Einstellungen des Zugriffspunkts überprüfen	Überprüfen Sie die im Zugriffspunkt konfigurierte IP-Adresse und die Porteinstellungen für den primären und sekundären RADIUS-Server. Stellen Sie sicher, dass diese Einstellungen mit der Konfiguration auf den IAS-Servern übereinstimmen.
RADIUS-Clienteintrag auf IAS-Servern überprüfen	Stellen Sie sicher, dass der primäre und sekundäre IAS-Server einen RADIUS-Clienteintrag für diesen Zugriffspunkt enthalten. IAS protokolliert einen Fehler im Systemprotokoll, wenn es eine RADIUS-Anforderung von einem nicht als Client konfigurierten Gerät empfängt.
Geheimen Schlüssel des RADIUS-Clients überprüfen	Die visuelle Überprüfung des geheimen Schlüssels des RADIUS-Clients kann schwierig sein, da er nach der Eingabe im Zugriffspunkt nicht mehr angezeigt werden kann. Wenn der im IAS-RADIUS-Clienteintrag konfigurierte Wert nicht mit dem im Zugriffspunkt konfigurierten Wert identisch ist, schreibt IAS einen Fehler in das Systemereignisprotokoll.
Firmwareversion des Zugriffspunkts überprüfen	Stellen Sie sicher, dass die Firmware des Zugriffspunkts aktuell ist. Überprüfen Sie auf der Website des Anbieters, ob Updates verfügbar sind.
DHCP-Server überprüfen	Stellen Sie sicher, dass der DHCP-Server ausgeführt wird, ein gültiger Bereich für die WLAN-Clients erstellt wurde und aktiv ist und eine Verbindung zwischen den WAPs und dem DHCP-Server besteht (die Verbindung ist genauer gesagt zwischen dem Standard-VLAN der Zugriffspunkte und dem DHCP-Server erforderlich, um den WLAN-Clients das Abrufen einer IP-Lease zu ermöglichen).

WAN-Verbindung überprüfen

WLAN-Fehler können durch WAN-Verbindungsprobleme zwischen unterschiedlichen Komponenten verursacht werden. Die folgende Tabelle zeigt die Komponenten, die am ehesten als Problemursache in Frage kommen.

Tabelle 8.15: WAN-Diagnoseüberprüfungen

Überprüfung	Detail
Authentifizierung von WAPs bei Remote-IAS-Servern	Überprüfen Sie die Verbindung zwischen dem Zugriffspunkt und dem primären und sekundären IAS-Server. Die meisten Zugriffspunkte verfügen zu diesem Zweck über einen einfachen Befehl ping oder traceroute. Wenn Firewalls oder Router den Verkehr zwischen den betroffenen Standorten filtern, müssen Sie sicherstellen, dass die RADIUS-Authentifizierung und der Kontoführungsverkehr zulässig sind (Anforderungen und Antworten über die UDP-Ports (User Datagram Protocol) 1812 und 1813).
Domänencontrollerreplikation über ein WAN	Replikationsprobleme zwischen Domänencontrollern können auch auftreten, wenn eine grundlegende IP-Verbindung vorhanden ist. Eine übermäßige Latenz kann dazu führen, dass die RPC-Kommunikation zwischen den Domänencontrollern fehlschlägt. Sie sollten dies mit dem Tool dcdiag wie im Abschnitt "Active Directory und Netzwerkdienste überprüfen" beschrieben testen.
WLAN-Client und DHCP-Server	Wenn sich der DHCP-Server nicht in demselben LAN befindet wie die Zugriffspunkte und authentifizierten WLAN-Clients, müssen Sie einen BOOTP/DHCP-Relay-Agent konfigurieren, um die Anforderungen an den korrekten DHCP-Server im Remotenetzwerk weiterzuleiten.

Tools und Techniken zur Problembehandlung

In diesem Abschnitt werden einige hilfreiche Techniken und Tools für die Problembehandlung beschrieben.

Überprüfen des Status des Ordners für Clientnetzwerkverbindungen

Der Ordner Netzwerkverbindungen und die Benachrichtigungssymbole auf der Windows XP-Taskleiste bieten Informationen zum Status der WLAN-Authentifizierung.

Im Ordner Netzwerkverbindungen (in der Systemsteuerung) beschreibt der Statustext unter dem Drahtlosnetzwerkadapter den aktuellen Status der Verbindung. Wenn Sie den Adapter markieren, werden im Bereich Details des Ordners Netzwerkverbindungen zusätzliche Informationen zur Verbindung angezeigt. Beim Deaktivieren und erneuten Aktivieren des Adapters wird der Status des Adapters angezeigt, während dieser versucht, eine Verbindung mit dem WLAN herzustellen und die Authentifizierung durchzuführen. Diese Informationen können beim Debuggen von Clientverbindungsproblemen hilfreich sein.

Klicken Sie mit der rechten Maustaste auf das Adaptersymbol, und klicken Sie auf Status, um die WLAN-Signalstärke (auf der Registerkarte Allgemein) und Details zur IP-Adresse (auf der Registerkarte Support) anzuzeigen.

Anzeigen von IAS-Authentifizierungsereignissen im Ereignisprotokoll

Die im Systemereignisprotokoll auf den IAS-Servern aufgezeichneten Erfolgs- und Fehlerereignisse für die Clientauthentifizierung können bei der Problembehandlung hilfreich sein. Die Ereignisprotokollierung für erfolgreiche und fehlgeschlagene Authentifizierungsanforderungen ist standardmäßig aktiviert. Diese Einstellung kann auf der Registerkarte Dienst für die IAS-Servereigenschaften in der MMC Internetauthentifizierungsdienst geändert werden.

Die Überprüfung dieser Ereignisse ist für die Problembehandlung von Authentifizierungsfehlern nützlich. Die folgende Tabelle zeigt die von IAS generierten Ereignistypen.

Tabelle 8.16: IAS-Authentifizierungsanforderungsereignisse

IAS-Ereignis	Bedeutung	Ereigniskategorie	Ereignisquelle	Ereigniskennung
Zugriff gewährt	Ein Benutzer oder Computer wurde erfolgreich authentifiziert und hat Zugriff auf das WLAN erhalten.	Information	IAS	1
Zugriff verweigert	Ein Zugriffsversuch wurde verweigert (der Grund ist im Text des Ereignisses angegeben).	Warnung	IAS	2
Verworfen	Der Zugriffsversuch wurde aufgrund einer Zeitüberschreitung verworfen.	Fehler	IAS	3

Jedes Ereignis enthält detaillierte Informationen zur Authentifizierungsanforderung, z. B.:

•	Clientname
•	IP-Adresse und Kennung des Zugriffspunkts
•	Clienttyp (sollte "Drahtlos - IEEE 802.11" sein)
•	Name der RAS-Richtlinie
•	Authentifizierungs- und EAP-Typ
•	Begründungscode und Beschreibung

Wenn die Authentifizierung fehlschlägt, enthalten die Begründungscodes und Beschreibungen häufig das genaue Problem (der angegebene Grund kann jedoch mitunter irreführend oder mehrdeutig sein). Die folgende Tabelle zeigt die verfügbaren Begründungscodes.

Tabelle 8.17: Begründungscodes für IAS-Authentifizierungsanforderungsereignisse

Begründungscode	Beschreibung
00	Erfolgreich
01	Interner Fehler
02	Zugriff verweigert
03	Beschädigte Anforderung
04	Globaler Katalog nicht verfügbar
05	Domäne nicht verfügbar
06	Server nicht verfügbar
07	Domäne nicht gefunden
08	Benutzer nicht gefunden
16	Authentifizierungsfehler
17	Kennwortänderungsfehler
18	Nicht unterstützter Authentifizierungstyp
32	Nur lokale Benutzer
33	Kennwort muss geändert werden
34	Konto deaktiviert
35	Konto abgelaufen
36	Konto gesperrt
37	Ungültige Anmeldezeiten
38	Kontobeschränkung
48	Keine Richtlinienübereinstimmung
64	Einwahl gesperrt
65	Einwahl deaktiviert
66	Ungültiger Authentifizierungstyp
67	Ungültige Anrufstation
68	Ungültige Einwählzeiten
69	Ungültige angerufene Station
70	Ungültiger Porttyp
71	Ungültige Beschränkung
80	Keine Einträge
96	Sitzungszeitüberschreitung

In einigen Fällen genügen die Informationen aus den Ereignisprotokolleinträgen nicht zum Diagnostizieren der Problemursache. Wenn dies der Fall ist, müssen Sie die Ablaufverfolgung auf dem IAS-Client und dem IAS-Server aktivieren. Diese Schritte werden in den folgenden Verfahren beschrieben.

Aktivieren und Deaktivieren der Ablaufverfolgung auf Clientcomputern

Windows unterstützt detaillierte Ablaufverfolgungsinformationen für die meisten Komponenten, um die Diagnose von Problemen zu erleichtern. Wenn die Ablaufverfolgung für eine Komponente aktiviert wird, wird eine Diagnoseausgabe in Textprotokolldateien geschrieben, die mehr Details bieten als Ereignisprotokolle.

Wenn Sie ausführliche Informationen zum WLAN-Authentifizierungsprozess erhalten möchten, müssen Sie die Ablaufverfolgung für die Komponenten EAPOL (EAP über LAN) und RASTLS (Remote Access Service-Transport Layer Security) mit dem Befehl netsh aktivieren. Führen Sie den Authentifizierungsprozess nach dem Aktivieren der Ablaufverfolgung erneut aus, und überprüfen Sie, ob in den Protokolldateien Eapol.log und Rastls.log Probleme angezeigt werden (diese Dateien werden in den Ordner %Systemroot%\Tracing geschrieben).

So aktivieren Sie die Ablaufverfolgung auf Clientcomputern

•	Führen Sie die folgenden Befehle aus: netsh ras set tracing eapol enabled netsh ras set tracing rastls enabled

So deaktivieren Sie die Ablaufverfolgung auf Clientcomputern

•

Führen Sie die folgenden Befehle aus:

netsh ras set tracing eapol disabled

netsh ras set tracing rastls disabled

Hinweis: Die Ablaufverfolgung verbraucht erhebliche Systemressourcen, und der Umfang der erstellten Protokolldateien kann schnell zunehmen. Deaktivieren Sie deshalb die Ablaufverfolgung nach Abschluss der Problembehandlung wieder.

Aktivieren und Deaktivieren der Ablaufverfolgung auf dem IAS-Server

Das Aktivieren der Ablaufverfolgung auf dem IAS-Server funktioniert genau wie auf dem Client.

Sie können die Ablaufverfolgung mit dem Befehl netsh für eine Vielzahl mit der Netzwerkauthentifizierung zusammenhängender Komponenten aktivieren und deaktivieren. Folgende Komponenten sind zur Ablaufverfolgung von 802.1X mit PEAP-Authentifizierungsfehlern am nützlichsten:

•	IASSAM (Datei "Iassam.log" im Ordner "%Systemroot%\tracing"): Dies ist die am häufigsten für IAS-Probleme verwendete Ablaufverfolgungsdatei, da sie Funktionen im Zusammenhang mit der Auflösung (Übersetzung zwischen unterschiedlichen Formaten) von Benutzernamen, Bindung an einen Domänencontroller und Überprüfung von Anmeldeinformationen beschreibt. Sie ist das "Herzstück" der IAS-Ablaufverfolgungsdateien und wird meist zum Debuggen von Fehlern im Zusammenhang mit der Authentifizierung verwendet.
•	RASTLS (Datei "Rastls.log" im Ordner "%Systemroot%\tracing"): Diese Ablaufverfolgungsdatei wird für alle EAP- und PEAP-spezifischen Authentifizierungen verwendet. Dieses Protokoll enthält die meisten wichtigen Debugginginformationen. Die Herausforderung besteht jedoch darin, diese Informationen zu lesen und zu verstehen. Microsoft plant die Veröffentlichung einer Dokumentation, die die Interpretation dieser Informationen vereinfacht.
•	RASCHAP (Datei "Raschap.log" im Ordner "%Systemroot%\tracing"): Diese Ablaufverfolgungsdatei wird für alle MS-CHAP v2- und andere CHAP-gestützte Kennwortauthentifizierungsvorgänge verwendet.

Für die folgenden IAS-Komponenten muss die Ablaufverfolgung normalerweise nicht zur Problembehandlung der 802.1X-Authentifizierung aktiviert werden (bei der Behandlung anderer Probleme kann dies jedoch hilfreich sein):

•	IASRAD (Datei "Iasrad.log" im Ordner "%Systemroot%\tracing"): Diese Datei protokolliert alle Vorgänge im Zusammenhang mit dem RADIUS-Protokoll. Sie beschreibt die vom Server abgehörten Ports usw. Diese Datei kann beim Debuggen von Kompatibilitätsproblemen mit den WAPs von Nutzen sein.
•	IASSDO (Datei "Iassdo.log" im Ordner "%Systemroot%\tracing"): Das IASSDO-Protokoll erfasst über die Benutzeroberfläche ausgeführte Transaktionen, die die MDB-Dateien mit der Konfiguration und dem Wörterbuch des Servers betreffen. Dieses Protokoll wird zur Behandlung von dienst- oder benutzeroberflächenspezifischen Problemen verwendet.

So aktivieren Sie die Ablaufverfolgung auf dem IAS-Server

Führen Sie den jeweiligen netsh-Befehl für den gewünschten Typ von Ablaufverfolgungsinformationen aus. Für die Behandlung von 802.1X-Authentifizierungsproblemen bieten die Protokolle IASSAM, RASTLS und RASCHAP die nützlichsten Informationen.

netsh ras set tracing iassam enabled

netsh ras set tracing rastls enabled

netsh ras set tracing raschap enabled

netsh ras set tracing iasrad enabled

netsh ras set tracing iassdo enabled

Stattdessen können Sie auch den folgenden Befehl ausführen, um die Ablaufverfolgung für alle Kategorien von Netzwerkkomponenten zu aktivieren:

netshras set tracing * enabled

So deaktivieren Sie die Ablaufverfolgung auf dem IAS-Server

Führen Sie mindestens einen der folgenden netsh-Befehle aus, um die Ablaufverfolgung für die im vorhergehenden Verfahren aktivierten Kategorien zu deaktivieren:

netsh ras set tracing iassam disabled

netsh ras set tracing rastls disabled

netsh ras set tracing raschap disabled

netsh ras set tracing iasrad disabled

netsh ras set tracing iassdo disabled

Stattdessen können Sie auch den folgenden Befehl ausführen, um die Ablaufverfolgung für alle Kategorien von Netzwerkkomponenten zu deaktivieren:

netshras set tracing * disabled

Hinweis: Da die Ablaufverfolgung erhebliche Systemressourcen verbraucht, sollte sie sparsam zur Identifizierung von Netzwerkproblemen verwendet werden. Nach der Erfassung der Ablaufverfolgungsdaten bzw. der Feststellung der Problemursache sollten Sie die Ablaufverfolgung wieder deaktivieren.

Die IASSAM- und RASTLS-Ablaufverfolgungsprotokolle sind standardmäßig nur auf 1 MB eingestellt, wodurch bei einer starken Belastung möglicherweise wichtige Informationen in den Protokolldateien überschrieben werden. Durch das folgende Verfahren werden die Ablaufverfolgungsprotokolle auf 10 MB eingestellt. Wenn eine Protokolldatei die Größenbeschränkung von 10 MB erreicht, wird sie umbenannt (in "IASSAM.old" und "RASTLS.old2"), und eine neue Protokolldatei wird erstellt. Auf diese Weise werden für jeden Ablaufverfolgungstyp maximal 20 MB Daten auf dem Server gespeichert. Sie können dieses Verfahren für jeden Ablaufverfolgungstyp ausführen, indem Sie den hier verwendeten Schlüsselnamen "IASSAM" durch den Namen der jeweiligen Ablaufverfolgungskategorie ersetzen (z. B. RASTLS und RASCHAP).

So stellen Sie die IASSAM-Ablaufverfolgungsdatei auf 10 MB ein

Starten Sie Regedit.exe.

Wechseln Sie zum folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing

Suchen Sie nach dem Unterschlüssel IASSAM. Dieser sollte auf den Registrierungswert MaxFileSize gesetzt sein (ein Typ von REG_DWORD). Bearbeiten Sie diesen Wert, und setzen Sie den Datenwert auf 0xA00000 (dies ist die Hexadezimaldarstellung von 10 MB – der Standardwert ist 0x100000). Sie können auch einen anderen Wert als 10 MB einstellen (größere Protokolle werden jedoch schnell unverwaltbar).

Warnung: Die inkorrekte Bearbeitung der Registrierung kann Ihrem System erhebliche Schäden zufügen. Erstellen Sie vor dem Ändern der Registrierung eine Sicherung aller wichtigen Daten auf dem Computer.

Aktivieren der SChannel-Protokollierung auf dem IAS-Server

SChannel ist ein Sicherheitsunterstützungsanbieter (Security Support Provider, SSP), der eine Reihe von Internetsicherheitsprotokollen wie SSL (Secure Sockets Layer) und TLS (Transport Level Security) unterstützt. Wenn Sie vermuten, dass Probleme mit dem IAS-Serverzertifikat vorliegen, oder laut dem RASTLS-Protokoll ein Problem bei der Erstellung der TLS-Sitzung besteht, sollten Sie die SChannel-Protokollierung auf dem Client und auf dem Server aktivieren. Ereignisse werden im Sicherheitsprotokoll erfasst.

Führen Sie für den Client und den Server das gleiche Verfahren aus.

So aktivieren Sie die SChannel-Protokollierung

Starten Sie Regedit.exe.

Wechseln Sie zum folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\

Aktivieren Sie detaillierte SChannel-Ereignisse, indem Sie den Wert von EventLogging von 1 (REG_DWORD-Typ, Daten 0x00000001) zu 3 (REG_DWORD-Typ, Daten 0x00000003) ändern.

Denken Sie daran, die SChannel-Protokollierung nach der Problembehandlung wieder zu deaktivieren. Diese Funktion verbraucht erhebliche Systemressourcen und überflutet das Ereignisprotokoll mit unerwünschten Einträgen.

Pocket PC-Diagnosetools

Windows XP bietet eine Vielzahl von Netzwerkdiagnosetools. Pocket PCs verfügen dagegen nur über wenige in das Basissystem integrierte Diagnosetools. Ihr Pocket PC-Anbieter, Microsoft und andere Firmen bieten unterschiedliche Tools für die Diagnose von Pocket PC-Problemen an. Hierzu zählen z. B.:

•	IP-Konfigurations- und Diagnosetools: Tools wie VXUtil oder VXIPConfig von Cambridge Software
•	WLAN-Diagnosetools von Ihrem Pocket PC-Anbieter

Zum Seitenanfang

Zusammenfassung

In diesem Kapitel wurden die folgenden zur Aufrechterhaltung eines einwandfreien Zustands der WLAN-Sicherheitsinfrastruktur erforderlichen Vorgänge behandelt:

•	Wichtige Verwaltungsaufgaben
•	Betriebs-, Überwachungs-, Unterstützungs-, Änderungs- und Optimierungsaufgaben für diese Umgebung
•	Wichtige Problembehandlungsverfahren und -techniken

Zum Seitenanfang

Quellen

In diesem Abschnitt finden Sie weitere Quellen mit Hintergrundinformationen für die Anleitung in diesem Kapitel.

•

Informationen zur Problembehandlung von Drahtlosnetzwerkkomponenten finden Sie unter folgenden URLs:

http://support.microsoft.com/default.aspx?scid=313242

http://www.microsoft.com/technet/prodtechnol/winxppro/
maintain/wifitrbl.mspx

•

Weitere Informationen zu IP-Konfigurations- und Diagnosetools wie VXUtil oder VXIPConfig finden Sie unter folgendem URL:

http://www.cam.com/windowsce.html

Zum Seitenanfang

10 von 10

In diesem Beitrag

•	Überblick über das Sichern von WLANs mit PEAP und Kennwörtern
•	Einführung: Festlegen einer Strategie für die WLAN-Sicherheit
•	Kapitel 1: Sichern von WLANs mit PEAP und Kennwörtern
•	Kapitel 2: Planen einer WLAN-Sicherheitsimplementierung
•	Kapitel 3: Vorbereiten der Umgebung
•	Kapitel 4: Erstellen der Netzwerkzertifizierungsstelle
•	Kapitel 5: Erstellen der WLAN-Sicherheitsinfrastruktur
•	Kapitel 6: Konfigurieren der WLAN-Clients
•	Kapitel 7: Testen der sicheren WLAN-Lösung
•	Kapitel 8: Verwalten der sicheren WLAN-Lösung

Downloaden Sie die vollständige Lösung.

Sichern von WLANs mit PEAP und Kennwörtern