Einrichtungshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten

Kapitel 8: Implementieren der RADIUS-Infrastruktur

Veröffentlicht: 10. Nov 2004 | Aktualisiert: 24. Nov 2004

Auf dieser Seite

	Einführung
	Planungstabelle RADIUS-Infrastruktur
	Einrichten Ihres Servers
	Installieren und Konfigurieren von IAS
	Konfigurieren des primären IAS-Servers
	Bereitstellen der Konfiguration auf mehreren IAS-Servern
	Zusammenfassung

Einführung

Dieses Kapitel bietet eine detaillierte Anleitung zum Aufbau einer RADIUS-Infrastruktur (Remote Authentication Dial-In User Service) für die WLAN-Absicherung (Wireless Local Area Network, drahtloses Netzwerk) auf der Grundlage des Microsoft® Windows Server 2003-IAS (Internetauthentifizierungsdienst). Dabei wird die Installation und Konfiguration der RADIUS-Server, die Vorbereitung des Verzeichnisdienstes Active Directory® und die Konfiguration der IAS-Server-Einstellungen beschrieben. Mithilfe der RADIUS-Infrastruktur soll im nächsten Kapitel eine komplette WLAN-Lösung aufgebaut werden.

Dieses Kapitel soll eine Implementierungsanleitung für den RADIUS-Entwurf bereitstellen, der in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung", beschrieben ist. Das Kapitel versucht nicht, eines der allgemeinen RADIUS-Konzepte oder die Besonderheiten der Implementierung des RADIUS-Protokolls durch IAS zu erläutern.

Es ist vielmehr als Begleitmaterial zu den entsprechenden Kapiteln des RADIUS- und WLAN-Planungshandbuchs sowie des Betriebshandbuchs zu verstehen. In den Kapiteln des Planungshandbuchs werden die Gründe für die Implementierungsentscheidungen dieses Kapitels erläutert. Im Kapitel des Betriebshandbuchs werden die Aufgaben und Prozesse beschrieben, die für eine erfolgreiche Verwaltung der RADIUS-Infrastruktur erforderlich sind. Bevor Sie mit dem vorliegenden Kapitel fortfahren, sollten Sie unbedingt die Kapitel zum Thema Planung lesen, falls Sie dies noch nicht getan haben. Zudem sollten Sie nachlesen, wie sich die unterstützungsbezogenen Anforderungen im Betriebshandbuch-Kapitel auswirken, bevor Sie Ihre RADIUS-Infrastruktur anhand der Anleitung in diesem Kapitel implementieren.

Voraussetzungen für das Kapitel

Dieser Abschnitt enthält Prüflisten, mit denen Sie ermitteln können, wie gut Ihre Organisation auf die Implementierung der RADIUS-Infrastruktur vorbereitet ist. ("Vorbereitet" ist hier im logistischen und nicht im geschäftlichen Sinn gemeint. Die geschäftliche Motivation zur Implementierung dieser Lösung wird in den ersten Kapiteln des Planungshandbuchs behandelt.)

Vorausgesetzte Kenntnisse

Sie sollten insbesondere mit dem RADIUS- und dem IAS-Konzept vertraut sein. Vertrautheit mit Windows 2000 Server oder Windows Server 2003 wird in den folgenden Bereichen ebenfalls vorausgesetzt:

•	Installation des Betriebssystems Microsoft Windows® .
•	Active Directory-Konzepte (einschließlich Struktur und Tools von Active Directory; Änderungen an Benutzern, Gruppen und anderen Active Directory-Objekten; Verwendung der Gruppenrichtlinien).
•	Windows-Systemsicherheit; Sicherheitskonzepte wie Benutzer, Gruppen und Überwachung; Zugriffssteuerungslisten (ACL); Verwendung von Sicherheitsvorlagen; Anwendung von Sicherheitslisten mit Gruppenrichtlinien oder Befehlszeilenprogrammen.
•	Kenntnis der Wirkungsweise von Batchdateiskripts. Kenntnisse der Windows Scripting Host- und der Microsoft Visual Basic® Scripting Edition (VBScript)-Sprache sind zwar nicht unbedingt erforderlich, aber dennoch von Vorteil für eine optimale Nutzung der bereitgestellten Skripts.

Bevor Sie das vorliegende Kapitel lesen, sollten Sie auch Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung", lesen und die Architektur und das Konzept der Lösung genau verstehen.

Organisationsvoraussetzungen

Sprechen Sie sich mit anderen Mitgliedern Ihrer Organisation ab, die in die Umsetzung dieser Lösung einbezogen werden sollten, z. B.:

•	Geschäftssponsoren
•	Sicherheits- und Überwachungspersonal
•	Für Active Directory zuständiges Engineering-, Verwaltungs- und Betriebspersonal
•	Für den Desktopbereich zuständiges Engineering-, Verwaltungs- und Betriebspersonal

Grundvoraussetzungen der IT-Infrastruktur

In diesem Kapitel wird von folgenden Gegebenheiten hinsichtlich der vorhandenen IT-Infrastruktur ausgegangen:

•	Eine Windows Server 2003 Active Directory-Domäneninfrastruktur ist bereitgestellt. Alle Benutzer der RADIUS-Infrastruktur in dieser Lösung sollten Mitglieder von Domänen innerhalb derselben Active Directory-Gesamtstruktur sein. Hinweis: Weitere Informationen zur Kompatibilität mit früheren Versionen von Microsoft Windows finden Sie in Anhang A, "Windows Version Support Matrix".
•	Diese Lösung enthält keine Anleitung zur Integration in eine vorhandene RADIUS-Infrastruktur, wobei jedoch eine Bereitstellung zusammen mit einer vorhandenen RADIUS-Infrastruktur durchaus möglich ist.
•	Serverhardware zur Ausführung von Windows Server 2003-IAS ist verfügbar. Im Rahmen dieser Anleitung finden Sie auch einen Konfigurationsvorschlag.
•	Lizenzen, Installationsmedien und Produktschlüssel für Windows Server 2003 Standard Edition und Enterprise Edition stehen zur Verfügung.

Kapitelüberblick

Die folgende Abbildung veranschaulicht den Aufbau der in diesem Kapitel behandelten RADIUS-Infrastruktur.

Abbildung 8.1: Diagramm zur Erstellung der RADIUS-Infrastruktur

Diese Schritte spiegeln sich im Aufbau des Kapitels wieder und werden in der folgenden Liste beschrieben. Jeder Schritt besteht aus Installations- oder Konfigurationsaufgaben und einem oder mehreren Prüfverfahren. Damit können Sie feststellen, was Sie gerade erledigt haben, bevor Sie mit dem nächsten Schritt fortfahren.

•	IAS-Planungstabelle. Dieser Abschnitt listet die Konfigurationsinformationen auf, die in diesem Kapitel für die Installation und Konfiguration von IAS verwendet werden. Er enthält eine Tabelle mit Informationen, die Sie benötigen, bevor Sie mit der Implementierung beginnen.
•	Einrichten der Server. Dieser Abschnitt beschreibt die Auswahl und Konfiguration der Hardware sowie die Installation von Windows Server 2003 und zusätzlicher Komponenten. Außerdem werden die Erstellung von Active Directory-Sicherheitsgruppen für die Verwaltung, das Festlegen der richtigen Berechtigungen für die Delegation von Verwaltungsaufgaben und die Implementierung der Sicherheit auf Betriebssystemebene durch die Anwendung von Sicherheitsvorlagen erläutert. Die verwendeten Vorlagen sind dem Windows Server 2003-Sicherheitshandbuch entnommen, das unter der folgenden Adresse verfügbar ist: Wie Sie dieses Handbuch erhalten, ist am Ende dieses Kapitels beschrieben. Dieser Abschnitt enthält außerdem noch einige weitere allgemeine Aufgaben, mit denen die Grundinstallation der Server abgeschlossen wird.
•	Installieren und Konfigurieren von IAS. Dieser Abschnitt behandelt vorbereitende Schritte für die Softwareinstallation und Konfiguration von IAS, einschließlich der Erstellung und Absicherung der IAS-Datenverzeichnisse.
•	Konfigurieren des primären IAS-Servers. Dieser Abschnitt beschreibt die Konfiguration des primären IAS-Servers, der als Konfigurationsvorlage für zusätzliche IAS-Server mit ähnlichen Rollen in der Umgebung verwendet wird. Dazu gehört auch der Export der IAS-Konfiguration zur Verwendung auf anderen IAS-Servern. Dieses Verfahren wird in späteren Kapiteln erneut verwendet, nachdem umfangreichere Konfigurationsschritte ausgeführt wurden.
•	Konfigurieren des sekundären IAS-Servers. Dieser Abschnitt beschreibt die Konfiguration des sekundären IAS-Servers, der zusammen mit dem primären IAS-Server als RADIUS-Serverpaar zur Ausfallsicherheit und zum Lastenausgleich dient. Außerdem wird die Vorgehensweise zum Importieren der primären IAS-Konfiguration für die automatische Bereitstellung beschrieben. Dieses Verfahren wird in späteren Kapiteln erneut verwendet, nachdem umfangreichere Konfigurationsschritte ausgeführt wurden.
•	Konfigurieren von IAS-Servern in Zweigstellen. Beschreibt die Konfiguration eines optionalen Zweigstellen-IAS-Servers als Beispiel für eine verteilte Umgebung und die Vorgehensweise zum Importieren der primären IAS-Konfiguration für eine automatische Bereitstellung. Dieses Verfahren wird in späteren Kapiteln erneut verwendet, nachdem umfangreichere Konfigurationsschritte ausgeführt wurden.

Zum Seitenanfang

Planungstabelle RADIUS-Infrastruktur

Die folgenden Tabellen enthalten die Konfigurationsparameter, die in der Lösung Verwendung finden. Verwenden Sie diese als Checklisten für Ihre Planungsentscheidungen.

Viele der Parameter in diesen Tabellen werden als Teil der in diesem Kapitel beschriebenen Verfahren manuell gesetzt. Andere werden entweder durch ein Skript gesetzt, das im Rahmen eines der Verfahren ausgeführt wird, oder von einem Skript referenziert, um andere Konfigurations- oder Betriebsschritte zu vervollständigen.

Hinweis: Die im Einrichtungshandbuch verwendeten Skripts werden ausführlicher in der Datei Toolsreadme.txt beschrieben, die den Skripts beiliegt.

Benutzerdefinierte Konfigurationseinstellungen

Die folgende Tabelle bietet eine Übersicht über organisationsspezifische Parameter der fiktiven Woodgrove Bank. Stellen Sie hierbei sicher, dass Sie in Ihrer Organisation bei sämtlichen Optionen gleichwertige Einstellungen gesammelt oder festgelegt haben, bevor Sie mit der Einrichtung beginnen. Die hier angegebenen, fiktiven Daten werden in den Beispielbefehlen im gesamten Kapitel verwendet. Sie müssen sie durch Werte ersetzen, die für Ihr eigenes Unternehmen zutreffen. Die Stellen, die durch Ihre eigenen Werte zu ersetzen sind, sind kursiv dargestellt.

Tabelle 8.1: Benutzerdefinierte Konfigurationseinstellungen

Konfigurationsobjekt	Einstellung
DNS-Name der Stammdomäne der Active Directory-Gesamtstruktur	woodgrovebank.com
NetBIOS-Name (Network Basic Input/Output System) der Domäne	WOODGROVEBANK
Servername des primären IAS-Servers	HQ-IAS-01
Servername des sekundären IAS-Servers	HQ-IAS-02
Servername des sekundären IAS-Servers	BO-IAS-03

Durch die Lösung vorgegebene Konfigurationseinstellungen

Die Einstellungen in der folgenden Tabelle müssen nicht für eine bestimmte Installation geändert werden, es sei denn, Sie müssen aus einem bestimmten Grund eine Einstellung verwenden, die von der Lösung abweicht. Änderungen an den hier vorgegebenen Entwurfsparametern sind akzeptabel, sofern Sie sich bewusst sind, dass Sie damit von der Anleitung der getesteten Lösung abweichen. Wenn Sie eine Einstellung ändern möchten, müssen Sie sich über die Auswirkungen im Klaren sein, die dies auf mögliche Abhängigkeiten haben kann, bevor Sie die Werte in den Konfigurationsverfahren oder in den angegebenen Skripts ändern.

Tabelle 8.2: Durch die Lösung vorgegebene Konfigurationseinstellungen

Konfigurationsobjekt	Einstellung
[Konten] Vollständiger Name der administrativen Gruppe, die die IAS-Konfiguration kontrolliert	IAS Admins
[Konten] Prä-Windows-2000-Name der administrativen Gruppe, die die IAS-Konfiguration kontrolliert	IAS Admins
[Konten] Vollständiger Name der Gruppe, die die IAS-Authentifizierungen und Kontoführungs-Anforderungsprotokolle aus Sicherheitsgründen überprüft	IAS Security Auditors
[Konten] Prä-Windows-2000-Name der administrativen Gruppe, die IAS-Authentifizierungen und Kontoführung-Anforderungsprotokolle aus Sicherheitsgründen überprüft	IAS Security Auditors
[Skripts] Pfad für Installationsskripts	C:\MSSScripts
[Skripts] Batchdatei für Export von IAS-Konfigurationen	IASExport.bat
[Skripts] Batchdatei für Import von IAS-Konfigurationen	IASImport.bat
[Skripts] Batchdatei für Export von IAS-RADIUS-Clientkonfigurationen	IASClientExport.bat
[Skripts] Batchdatei für Import von IAS-RADIUS-Clientkonfigurationen	IASClientImport.bat
[Konfig] Pfad für Konfigurations-Sicherungsdateien	D:\IASConfig
[Anforderungsprotokolle] Speicherort der Anforderungsprotokolle zur IAS-Authentifizierung und -Prüfung	D:\IASLogs
[Anforderungsprotokolle] Freigabename der RADIUS Anforderungsprotokolle	IASLogs

Vorbereitung für IAS

Die Lösung enthält zwei zentral platzierte IAS-Server, die als RADIUS-Server für die WLAN-Zugriffskontrolle konfiguriert sind. Außerdem enthält die Lösung für Umgebungen, die eine verteilte Infrastruktur erfordern, einen optionalen IAS-Server für eine Zweigstelle, der ebenfalls als RADIUS-Server konfiguriert ist. Weitere Informationen zur Aufstellung von IAS-Servern entnehmen Sie Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung".

Sie müssen verschiedene vorbereitende Schritte abschließen, bevor Sie IAS installieren können. Dazu gehören:

•	Konfigurieren der Serverhardware
•	Installieren des Serverbetriebssystems
•	Vorbereiten von Active Directory
•	Durchführen weiterer Absicherungsaufgaben auf den Servern

Zum Seitenanfang

Einrichten Ihres Servers

Die nächsten Abschnitte erläutern die für die Einrichtung Ihrer Server erforderlichen Schritte. Obwohl Sie die Server unabhängig voneinander einrichten können, ist es wichtig, dass auf jedem Server sämtliche Schritte abgeschlossen werden.

Festlegen der Serverhardware

Die Hardware für die IAS-Server sollte aus der Windows Server 2003 Hardwarekompatibilitätsliste (HCL) ausgewählt werden. Dies hilft Ihnen, Probleme im Zusammenhang mit Ausfallsicherheit und Kompatibilität zu vermeiden, die bei ungeprüfter Hardware oder fehlerhaften Gerätetreibern auftreten können. Weitere Informationen zur Windows Server 2003 HCL finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Getestete Serverhardwarespezifikationen

Die folgende Hardware wurde beim Testen der Lösung in einer Testumgebung verwendet. Diese Hardwarespezifikationen dienen nur als Referenz und sind nicht obligatorisch. Eine weiter gehende Behandlung der IAS-Server-Hardwareanforderungen finden Sie im Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung".

Tabelle 8.3: Getestete Serverhardwarespezifikationen

Ressource	Anforderung
CPU	Dual CPU 850 MHz oder besser
Arbeitsspeicher	512 MB
Netzwerkkarten	2 einzelne Netzwerkkarten zur Ausfallsicherung.
Plattenspeicher	IDE- oder SCSI-RAID-Controller (IDE = integrated device electronics; SCSI = small computer system interface; RAID = redundant array of independent disks) 2 x 9 GB (SCSI oder IDE) als RAID 1-Laufwerk (Laufwerk C) 2 x 18 GB (SCSI oder IDE) als RAID 1-Laufwerk (Laufwerk D) Lokales Wechselmedium (CD-RW oder Band für die Sicherung), wenn keine Sicherungsmöglichkeit über das Netzwerk besteht 1,44-MB-Laufwerk für Datentransfer

Vorbereiten der Hardware

Führen Sie alle von Ihrem Hardwarelieferanten empfohlenen Hardwarekonfigurationsschritte durch. Möglicherweise müssen Sie für diese Konfigurationen die neuesten BIOS- und Firmware-Updates einspielen.

Erstellen Sie mithilfe der zu Ihrer Hardware gehörenden Plattenverwaltungssoftware die RAID 1-Laufwerke, wie in der vorausgehenden Tabelle beschrieben.

Installieren von Windows Server 2003

Dieser Abschnitt beschreibt die Installation von Windows Server 2003 auf den IAS-Servern. Viele Unternehmen setzen mittlerweile automatisierte Serverinstallationsverfahren ein. Diese können zur Servereinrichtung eingesetzt werden, wenn sichergestellt ist, dass die im Folgenden aufgeführten Parameter eingefügt werden können. Sehen Sie in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung", nach, ob Sie eher die Windows Server 2003 Standard Edition oder Windows Server 2003 Enterprise Edition einsetzen sollten.

Führen Sie folgende Schritte durch, um Windows Server 2003 auf einem der IAS-Server zu installieren.

So installieren Sie Windows Server 2003

Stellen Sie sicher, dass die CD-ROM als bootfähiges Gerät im BIOS des Servers eingestellt ist. Starten Sie den Computer neu, während die Windows Server 2003 Standard Edition-CD im CD-ROM-Laufwerk liegt.

Erstellen Sie eine Partition auf dem primären Laufwerk, formatieren Sie sie als NTFS, und wählen Sie die Option zum Installieren von Windows auf dieser Partition aus.

Wählen Sie die zutreffenden Regionaleinstellungen aus.

Geben Sie die für die Windows-Registrierung erforderlichen Namens- und Firmeninformationen ein.

Geben Sie ein starkes Kennwort für das lokale Administratorenkonto ein (mindestens 10 Zeichen Länge sowie mit Groß- und Kleinschreibung, alphanumerischen Zeichen und Sonderzeichen).

Geben Sie den Computernamen ein, wenn Sie dazu aufgefordert werden (ersetzen Sie diesen Wert durch den Namen Ihres Computers):

•	Primär-IAS: HQ-IAS-01
•	Sekundär-IAS: HQ-IAS-02
•	Zweigstellen-IAS: BO-IAS-03

Wenn Sie dazu aufgefordert werden, wählen Sie die Option zum Beitritt zu einer Domäne aus. Geben Sie den Namen der Active Directory-Domäne ein, der die Server beitreten sollen: WOODGROVEBANK (Ersetzen Sie diesen Wert durch den Namen der Domäne, in die Sie den RADIUS-Server installieren). Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen eines Benutzers ein, der berechtigt ist, Computer zu dieser Domäne hinzuzufügen.

Hinweis: In einer Mehrfachgesamtstruktur würden die IAS-Server normalerweise in der Stammdomäne der Gesamtstruktur installiert, um Kerberos-Vorgänge zu optimieren. Obwohl diese Konfiguration nicht unbedingt erforderlich ist, geht die vorliegende Lösung von dieser Vorgabe aus.

Installieren Sie keine weiteren Komponenten.

Der Computer wird am Ende des Setup-Hauptverfahrens neu gestartet. Fahren Sie mit den folgenden Schritten fort:

Installieren Sie die aktuellen Service Packs sowie alle kritischen und anderweitig erforderlichen Updates.

10.

Weisen Sie dem CD-ROM/DVD-Laufwerk den Buchstaben R zu.

11.

Erstellen Sie eine Partition auf der zweiten Festplatte, weisen Sie dieser Partition den Laufwerksbuchstaben D zu, und formatieren Sie sie mit NTFS.

12.

Aktivieren Sie diese Windows-Kopie.

Netzwerkeinstellungen

Die IAS-Server verfügen über eine einzelne Netzwerkkarte (obwohl Server bei dieser Konfiguration aus Gründen der höheren Ausfallsicherheit auch mit zwei Karten ausgestattet werden können). Die Netzwerkkarte sollte mit einer statischen IP-Adresse und anderen IP-Einstellungen (z. B. Standard-Gateway und DNS-Einstellungen) passend zu Ihrem Netzwerk konfiguriert sein.

Überprüfen der Installation

Sie sollten sicherstellen, dass die Betriebssysteminstallation erfolgreich beendet wurde und die konfigurierten Parameter Ihren Erwartungen entsprechen.

So überprüfen Sie die aktuelle Systemkonfiguration

Führen Sie an der Eingabeaufforderung das Programm systeminfo aus.

Überprüfen Sie die folgenden Informationen der Systeminfo-Ausgabe (einige Details der Ausgabe wurden der Kürze halber weggelassen):

Hostname: HQ-IAS-01

Name des Betriebssystems: Microsoft® Windows® Server 2003, Enterprise Edition

...

Betriebssystemkonfiguration: Mitgliedsserver

Registrierter Benutzer: IhrBenutzerName

Registriertes Unternehmen: IhrUnternehmen

...

Windows-Verzeichnis: C:\WINDOWS

Systemverzeichnis: C:\WINDOWS\System32

Startgerät: \Gerät\FestplattePartition1

Systemgebietsschema: IhrSystemgebietsschema

Eingabegebietsschema: IhrEingabegebietsschema

Zeitzone: IhreZeitzone

...

Domäne: woodgrovebank.com

Anmeldeserver: \\Domänencontrollername

Hotfix(e): X Hotfix(e) installiert.

[01]: Qxxxxxx

...

[nn]: Qnnnnnn

Netzwerkkarte(n): 1 Netzwerkadapter installiert.

[01]: ModellundHerstellerderNetzwerkkarte

Verbindungsname: LAN-Verbindung

DHCP aktiviert: Nein

IP-Adresse(n)

[01]: xxx.xxx.xxx.xxx

Sollten diese Einstellungen nicht Ihren Erwartungen entsprechen, müssen Sie den Server entweder über die Systemsteuerung richtig konfigurieren oder die Installation wiederholen.

Installieren von Konfigurationsskripts auf Servern

Um Teile der Konfiguration und des Betriebs zu vereinfachen, sind der Lösung verschiedene Unterstützungsskripts und Konfigurationsdateien beigefügt. Sie müssen diese Dateien auf jedem Server installieren. Einige Skripts werden von Verfahren benötigt, die in Kapitel 12, "Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung", beschrieben sind. Deshalb sollten Sie sie nach Beendigung der RADIUS-Server-Installation nicht löschen.

So installieren Sie die Setup-Skripts auf jedem Server

1.	Erstellen Sie einen Ordner mit dem Namen C:\MSSScripts.
2.	Kopieren Sie die Skripts vom Verteilungsmedium in diesen Ordner.

Überprüfen von Service Packs und Sicherheitsupdates

Sie sollten jetzt die Liste der bereits installierten Service Packs und Sicherheitsupdates überprüfen. Verwenden Sie ein Tool wie den Microsoft Baseline Security Analyzer (MBSA), um die Überprüfung durchzuführen und die ggf. benötigten Updates abzurufen. Installieren Sie sie nach geeigneten Tests auf den jeweiligen Servern.

Weitere Informationen zu MBSA finden Sie am Ende dieses Kapitels im Abschnitt "Weitere Informationen".

Installieren zusätzlicher Software

Dieser Abschnitt beschreibt die Installation weiterer Software, die auf den IAS-Servern erforderlich ist.

CAPICOM

CAPICOM 2.0 ist auf den RADIUS-Servern für einige Einrichtungs- und Verwaltungsskripts erforderlich, die zu dieser Lösung gehören. Wo Sie die neueste Version von CAPICOM herunterladen können, erfahren Sie am Ende dieses Kapitels im Abschnitt "Weitere Informationen".

Bevor Sie mit dieser Anleitung fortfahren, folgen Sie den Anweisungen in der selbst extrahierenden Datei, um die Capicom-DLL zu installieren und zu registrieren.

Überprüfen der Netzwerk- und Active Directory-Verbindungen

IAS ist hochgradig von einer ordnungsgemäßen Netzwerkkonfiguration und Verbindung zu Active Directory abhängig. Deshalb sollten Sie die Ausführung von Netzwerkdiagnosetools auf den Servern in Erwägung ziehen, bevor Sie IAS bereitstellen.

Sie können die Netzwerkdiagnose mit dem Dienstprogramm Netdiag.exe aus den Windows Server 2003 Support Tools durchführen, die Sie auf der Windows Server 2003 CD finden. Netdiag.exe kann mit folgendem Befehl extrahiert werden:

expand r:\support\tools\support.cab f:netdiag.exe c:\mssscripts

Geben Sie anschließend den folgenden Befehl ein, um das Dienstprogramm auszuführen:

C:\mssscripts\netdiag.exe

Überprüfen Sie alle angezeigten Fehler oder Warnungen.

Überprüfen der Domänenfunktionsebene

Das bevorzugte Modell zur Kontrolle von Netzwerkzugriffen ist die Verwendung der Einstellung Zugriff über RAS-Richtlinien steuern für Benutzerkonten in Active Directory. Die Einstellung Zugriff über RAS-Richtlinien steuern ist jedoch nur dann verfügbar, wenn Active Directory im einheitlichen Windows 2000-Modus oder höher ausgeführt wird. Aus diesem Grund sollten Sie die Domänenfunktionsebene überprüfen, bevor Sie RAS-Richtlinien über IAS bereitstellen.

Dazu überprüfen Sie die Eigenschaften der Domäne im Tool Active Directory-Domänen und Vertrauensstellungen. Wenn sich die für IAS vorgesehene Domäne im gemischten Windows 2000-Modus befindet, setzen Sie sich mit den entsprechenden Active Directory-Administratoren in Verbindung, um eine Migration in den einheitlichen Modus zu planen.

Weitere Informationen zu diesem Thema finden Sie am Ende dieses Kapitels im Abschnitt "Weitere Informationen".

Konfigurieren von Active Directory-Sicherheitsgruppen

IAS ist Teil Ihrer Netzwerksicherheitsinfrastruktur. Deshalb sollte der Zugriff auf die IAS-Konfiguration und -Protokolldateien streng kontrolliert werden. Eine Kombination aus globalen Active Directory-Gruppen und lokalen Windows Server 2003-Gruppen soll diesem Anspruch gerecht werden.

Erstellen von Gruppen zur IAS-Verwaltung

Führen Sie als Domänenadministrator das folgende Skript aus, um Sicherheitsgruppen für die IAS-Verwaltung zu erstellen:

Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf

Das Skript generiert die folgenden Sicherheitsgruppen als globale Gruppen der Domäne:

•	IAS Admins
•	IAS Security Auditors

In einer Mehrfachdomänengesamtstruktur sollten diese Gruppen in derselben Domäne wie die IAS-Server erstellt werden.

Hinweis: Organisationen, bei denen sich die Administratoren in verschiedenen Domänen befinden, sollten anstelle der hier erstellten globalen Gruppen universelle Gruppen in Betracht ziehen. Das Skript, das die Sicherheitsgruppen erstellt, lässt sich leicht abändern, nämlich mithilfe der Syntax, mit der im nächsten Kapitel die Gruppe "Remote Access Policy – Wireless Access" erstellt wird (siehe "Erstellen von Active Directory-Gruppen, die für den Zugriff auf das WLAN notwendig sind" in Kapitel 9).

Konfigurieren der Gruppe "IAS Administrators"

IAS ist eine Kernkomponente des Betriebssystems Windows Server 2003. Zum Ausführen von IAS-Konfigurationsaufgaben ist eine Mitgliedschaft in der Sicherheitsgruppe lokaler Administratoren erforderlich.

Sie müssen auf jedem IAS-Server die globale IAS Admins-Domänengruppe der lokalen Administratorgruppe hinzufügen. Wenn IAS auf einem Domänencontroller installiert ist, müssen Sie die IAS Admins der Administratorgruppe für die Domäne hinzufügen, die das Active Directory-Benutzer- und -Computer-Snap-In der Microsoft Management Console (MMC) verwendet.

Warnung: Das Hinzufügen von Gruppen zur integrierten Administrator-Domänengruppe hat schwerwiegende Konsequenzen für die Sicherheit. Weitere Informationen zur Positionierung von IAS auf Domänencontrollern finden Sie in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung".

Bei der IAS-Administrator- und der IAS-Sicherheitsprüfer-Gruppe müssen Sie die Kontendaten der entsprechenden Administratoren eingeben. Eine umfassende Gegenüberstellung dieser Gruppen und der administrativen Rollen von IAS finden Sie in dem Abschnitt zur Planung administrativer Berechtigungen in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung".

Bei den Einrichtungsverfahren im weiteren Verlauf dieses Dokuments müssen Konten verwendet werden, die Mitglieder der IAS-Administratorgruppe sind.

Absichern von Windows Server 2003 für IAS

Ergreifen Sie alle etwaigen sonstigen notwendigen Maßnahmen zum Schutz der IAS-Server vor einem Zugriff durch Unbefugte. Die IAS-Server sind ein Hauptbestandteil Ihrer Sicherheitsinfrastruktur und sollten deshalb mit den gleichen Überlegungen betrachtet werden wie Firewalls und andere sicherheitsrelevante Bestandteile der Infrastruktur.

Physische Absicherung

Die IAS-Server sollten an einem Ort untergebracht werden, an dem sich der physische Zugriff auf sie genau kontrollieren lässt. Diese Server müssen durchgängig online sein und sollten deshalb in Räumlichkeiten untergebracht sein, die den typischen Vorgaben für Serverräume, wie Temperaturregelung, Luftfilterung und Feuerlöschmöglichkeiten, gerecht werden.

Die Räumlichkeiten für den Server sollten so gewählt werden, dass sie so frei wie möglich von externen Risiken sind, die die Server beschädigen könnten z. B. Feuer oder Überschwemmung.

Genau so wichtig ist die Kontrolle über den physischen Zugriff auf Sicherungen, Dokumentationen und Konfigurationsdaten. Diese Informationen sollten an anderer Stelle aufbewahrt werden als die Server.

Anwenden von Systemsicherheitseinstellungen auf die Server

Die IAS-Server werden mit der IAS-Serverrolle abgesichert, die im Windows Server 2003-Sicherheitshandbuch definiert ist. Weitere Informationen zu diesem Handbuch und dem Speicherort für das Herunterladen der Sicherheitsvorlagen finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitels.

Da die IAS-Server Domänenmitglieder sind, werden die Einstellungen der Sicherheitsrichtlinien durch domänenbasierte Gruppenrichtlinien zugewiesen. Sie müssen für Ihr Unternehmen eine passende OU-Struktur (Organizational Unit, Organisationseinheit), die die IAS-Servercomputerobjekte enthält, und ein GPO (Group Policy object, Gruppenrichtlinienobjekt) erstellen, um die Sicherheitseinstellungen anzuwenden. Sie benötigen zwei GPOs für IAS-Server, die auf dedizierten Servern laufen (also nicht auf Domänencontrollern installiert sind):

•	Unternehmensclient Mitgliedsserver-Baseline
•	Unternehmensclient Internetauthentifizierungsdienst

Nachdem Sie Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung", gelesen haben, beschließen Sie möglicherweise, einige oder alle Ihrer IAS-Dienste auf Domänencontrollern auszuführen. Aufgrund der Komplexität in Zusammenhang mit der verstärkten Absicherung von Domänencontrollern enthält dieses Dokument keine Anweisungen für die Verwendung von Domänencontroller-Sicherheitsvorlagen. Das Windows Server 2003-Sicherheitshandbuch enthält eine Vorlage für Domänencontroller, die eine Sperrung durchführt, ähnlich wie in der Mitgliedsserver-Baselinerichtlinie. Sie sollten die Domänencontroller-Sicherheitsvorlage erst dann auf bestehende Domänencontroller anwenden, wenn Sie das Windows Server 2003-Sicherheitshandbuch aufmerksam gelesen und alle potenziellen Auswirkungen auf Ihre Domänenclients und Anwendungen genau überprüft haben.

Wenn Sie die Sicherheitsvorlage "Unternehmensclient Domänencontroller" auf Ihren kombinierten IAS- und Domänencontrollerservern verwenden, müssen Sie auch die Sicherheitsvorlage "Unternehmensclient IAS-Server" auf diese Rechner anwenden. Diese Vorlage wendet zusätzliche Einstellungen an, die den IAS-Dienst aktivieren. (Der IAS-Dienst ist in der Vorlage "Unternehmensclient Domänencontroller" deaktiviert.) Zum Anwenden der Vorlage erstellen Sie ein weiteres GPO, das in einer neuen Unter-OU unterhalb der Domänencontroller-OU angewendet werden soll:

•	Unternehmensclient IAS auf Domänencontrollern

Mit dem folgenden Verfahren können Sie die IAS-Servervorlage "Unternehmensclient" in dieses GPO importieren. In diesem Verfahren wird die Erstellung der OUs und GPOs erläutert. Die GPO- und OU-Namen dienen nur als Beispiel; Sie müssen das Verfahren an Ihre eigenen Domänenstandards für OUs und GPOs anpassen.

So erstellen Sie die OUs und GPOs für die IAS-Server

Verwenden Sie die folgenden Sicherheitsvorlagen aus dem Windows Server 2003-Sicherheitshandbuch:

•	Unternehmensclient Domäne
•	Unternehmensclient Mitgliedsserver-Baseline
•	Unternehmensclient IAS-Server
•	Unternehmensclient Domänencontroller

Melden Sie sich als Domänenadministrator oder als Benutzer an, der über die Rechte verfügt, die in Schritt 4 beschriebenen OUs zu erstellen. Sie müssen Mitglied von "Domänen-Admins" oder der Gruppe "Gruppenrichtlinie Ersteller Besitzer" sein, um GPOs erstellen zu können.

Öffnen Sie die MMC für Active Directory-Benutzer und -Computer.

Erstellen Sie die folgende OU-Struktur:

woodgrovebank.com

- Mitgliedsserver

- IAS

- Domänencontroller

- Domänencontroller mit IAS

Warnung: Mit den Schritten 5 bis 7 werden Domänenrichtlinien angewendet, die lokale Kontorichtlinien auf allen Computern der Domäne anwenden. Überprüfen Sie hierfür die Einstellungen in der Sicherheitsvorlage "Unternehmensclient Domäne". Anstatt die Vorlage auf die gesamte Domäne anzuwenden, kann es sinnvoll sein, dieses GPO zu erstellen, das mit der IAS-OU verknüpft ist, so dass sein Wirkungsbereich auf die IAS-Server beschränkt ist.

Öffnen Sie die Eigenschaften des Domänencontainers. Klicken Sie auf der Registerkarte Gruppenrichtlinie auf Neu, um ein neues GPO zu erstellen, und nennen Sie es Domänenrichtlinie.

Bearbeiten Sie das GPO, und wechseln Sie zu Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen. Klicken Sie mit der rechten Maustaste auf den Ordner Sicherheitseinstellungen, und klicken Sie anschließend auf Importieren. Blättern Sie zur Datei Unternehmensclient Domain.inf, und wählen Sie diese Vorlage zum Importieren aus.

Schließen Sie das GPO.

Wiederholen Sie die vorherigen drei Schritte. Verwenden Sie die in der folgenden Tabelle aufgeführten Kombinationen aus OUs, GPOs und Sicherheitsvorlagen: (Diese drei GPOs betreffen nur die IAS-Server, so dass die vorausgehende Warnung hier nicht gilt.)

Tabelle 8.4: Gruppenrichtlinienobjekte und -Speicherorte

OU	GPO	Sicherheitsvorlage
Mitgliedsserver	Unternehmensclient Mitgliedsserver-Baseline	Unternehmensclient Member Server Baseline.inf
IAS	Unternehmensclient Internetauthentifizierungsdienst	Unternehmensclient IAS Server.inf
Domänencontroller mit IAS	Unternehmensclient IAS auf Domänencontrollern (optional, wenn sich IAS auf einem Domänencontroller befindet)	Unternehmensclient IAS Server.inf

Nachdem Sie die GPOs erstellt und die Vorlagen importiert haben, müssen Sie die Einstellungen in den GPOs anpassen und den IAS-Server-Computern zuweisen.

So passen Sie das GPO "Unternehmensclient Internetauthentifizierungsdienst" an und wenden es an

Bearbeiten Sie in Active Directory-Benutzer und -Computer das IAS-GPO. Ändern Sie in Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen die folgenden Einträge in Übereinstimmung mit den Sicherheits-Standards Ihres Unternehmens:

•	Konten: Administratorkonto umbenennen: NeuerAdminName
•	Konten: Gastkonto umbenennen: NeuerGastName
•	Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden möchten: RechtshinweisText
•	Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten: RechtshinweisTitel

Fügen Sie unter Lokale Richtlinien\Zuweisen von Benutzerrechten die folgenden lokalen und Domänengruppen zu der Berechtigung Lokal anmelden zulassen hinzu:

•	(lokal) Administrators
•	(lokal) Backup Operators
•	(Domäne) IAS Security Auditors

Öffnen Sie die Eigenschaften der folgenden Dienste im Ordner Systemdienste, und klicken Sie auf Diese Richtlinieneinstellung in der Vorlage definieren. Klicken Sie auf OK, um die Standardberechtigungen zu akzeptieren. Setzen Sie den Wert für Startmodus des Dienstes festlegen auf Automatisch.

•	Wechselmedien
•	Volumenschattenkopie
•	MS Software Shadow Copy Provider
•	Taskplaner

Hinweis: Diese Dienste sind in der Sicherheitsvorlage Mitgliedsserver-Baselinerichtlinie deaktiviert, die ersten drei sind aber für NTBackup.exe erforderlich. Der Taskplaner-Dienst wird von einigen betriebsbezogenen Skripts verwendet.

Verschieben Sie das Computerkonto der IAS-Server in die IAS-OU.

Führen Sie auf dem IAS-Server den Befehl gpupdate aus, um die Einstellungen des GPO auf den Computer anzuwenden.

Hinweis: Im Windows Server 2003-Sicherheitshandbuch finden Sie eine ausführlichere Besprechung dieser Sicherheitseinstellungen. Im Abschnitt "Weitere Informationen" am Ende dieses Kapitels erfahren Sie, wie Sie dieses Handbuch erhalten.

So passen Sie das GPO "Unternehmensclient IAS" auf Domänencontrollern an und wenden es an

Bearbeiten Sie in "Active Directory-Benutzer und -Computer" das "GPO Unternehmensclient IAS" auf Domänencontrollern. Ändern Sie in Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen die folgenden Einträge in Übereinstimmung mit den Sicherheits-Standards Ihres Unternehmens:

•	Konten: Administratorkonto umbenennen: NeuerAdminName
•	Konten: Gastkonto umbenennen: NeuerGastName
•	Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden möchten: RechtshinweisText
•	Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden möchten: RechtshinweisTitel

Fügen Sie unter Lokale Richtlinien\Zuweisen von Benutzerrechten die folgenden lokalen und Domänengruppen zu der Berechtigung Lokal anmelden zulassen hinzu:

•	(integriert) Administrators
•	(integriert) Backup Operators
•	(Domäne) IAS Security Auditors

•	Wechselmedien
•	Volumenschattenkopie
•	MS Software Shadow Copy Provider
•	Taskplaner Hinweis: Diese Dienste sind in der Sicherheitsvorlage Mitgliedsserver-Baselinerichtlinie deaktiviert, die ersten drei sind aber zur Ausführung von NTBackup.exe erforderlich. Der Taskplaner-Dienst wird von einigen betriebsbezogenen Skripts verwendet.

Verschieben Sie das Computerkonto der IAS-Server in die OU "Domänencontroller mit IAS".

Führen Sie auf dem IAS-Server den Befehl gpupdate aus, um die Einstellungen des GPO auf den Computer anzuwenden.

Überprüfen der Sicherheitseinstellungen

Mit dem folgenden Verfahren können Sie überprüfen, ob die Sicherheitseinstellungen richtig zugewiesen wurden:

So überprüfen Sie die Sicherheitseinstellungen der IAS-Server

Überprüfen Sie das Anwendungsereignisprotokoll auf Ereignisse der Quelle SceCli. Nach dem Befehl gpupdate sollte dort die Ereigniskennung 1704 angezeigt werden. Der Text des Ereignisses sollte folgendermaßen lauten:

Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.

Starten Sie den Server neu, und überprüfen Sie, ob alle erwarteten Dienste erfolgreich gestartet und keine Fehler im Systemprotokoll verzeichnet wurden.

Sie sollten sich anmelden und den Rechtshinweis sehen können.

Konfigurieren der Absicherung von Terminaldiensten

Sie sollten Terminaldienste für geplante Änderungen der Kennwörter (geheime RADIUS-Schlüssel) für RADIUS-Clients verwenden. Die Verschlüsselung der Terminaldienste-Datenübermittlung schützt die geheimen RADIUS-Schlüssel während der Übertragung über das Netzwerk.

Wichtig: Wenn eine andere Methode zur Festlegung oder Änderung der geheimen Schlüssel von RADIUS-Clients per Netzwerk verwendet wird (z. B. mithilfe von telnet oder eines anderen einfachen Remoteausführungstools), müssen Sie sicherstellen, dass die Daten bei der Übertragung mit Internet Protocol Security (IPsec) oder einer anderen geeigneten Technologie geschützt werden.

Die folgenden "Terminaldienste"-Einstellungen sollten in den GPOs des Unternehmensclient-IAS auf Domänencontrollern und Unternehmensclient-IAS konfiguriert werden, die für die IAS-Server gelten.

Tabelle 8.5: Zu konfigurierende Einstellungen in Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Terminaldienste

Pfad	Richtlinien	Einstellung
	Abmelden von Administratoren in Konsolensitzung verweigern	Aktiviert
	Berechtigungsanpassung für lokale Administratoren nicht zulassen	Aktiviert
	Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen	Keine Remoteüberwachung zulassen
Client\Server-Datenumleitung	Zeitzonenumleitung zulassen	Deaktiviert
	Zwischenablageumleitung nicht zulassen	Aktiviert
	Audioumleitung zulassen	Deaktiviert
	COM-Anschlussumleitung nicht zulassen	Aktiviert
	Clientdruckerumleitung nicht zulassen	Aktiviert
	LPT-Anschlussumleitung nicht zulassen	Aktiviert
	Laufwerkumleitung nicht zulassen	Aktiviert
	Standardclientdrucker nicht als Standarddrucker in einer Sitzung festlegen	Aktiviert
Verschlüsselung und Sicherheit	Verschlüsselungsstufe der Clientverbindung festlegen	Teuer
	Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern	Aktiviert
Verschlüsselung und Sicherheit\ RPC Sicherheitsrichtlinie	Sicherer Server (Sicherheit erforderlich)	Aktiviert
Sitzungen	Zeitlimit für getrennte Sitzungen festlegen	10 Minuten
	Erneute Verbindung nur vom ursprünglichen Client zulassen	Aktiviert

Jedes Domänenkonto oder jede Sicherheitsgruppe, die Zugriff auf die IAS-Server mit den Terminaldiensten benötigt, muss der lokalen Gruppe "Remotedesktopbenutzer" hinzugefügt werden (mit Ausnahme der Mitglieder der lokalen Administratorengruppe).

Weitere Windows-Konfigurationsaufgaben

Die Notwendigkeit für weitere Konfigurationsaufgaben hängt von der Infrastruktur und den Standards in Ihrem Unternehmen ab. Beispiel:

•	Ermöglichen von Sicherungen oder Installieren von Sicherungs-Agenten
•	Einstellen von SNMP-Konfigurationen (Simple Network Management Protocol) oder WMI-Optionen (Windows Management Instrumentation)
•	Installieren von Verwaltungs-Agenten wie Clientkomponenten für Microsoft Operations Manager (MOM) oder Microsoft Systems Management Server (SMS)
•	Installieren von Antivirensoftware
•	Installieren von Systemen zum Schutz vor Eindringungsversuchen

Nach der Installation sollten Sie auch diese Komponenten überprüfen.

Zum Seitenanfang

Installieren und Konfigurieren von IAS

Diese Lösung stellt zwei zentral platzierte IAS-Server bereit. Diese sind als RADIUS-Server konfiguriert, um Benutzer zu authentifizieren und Netzwerkzugriffe zu autorisieren. Weiterhin steht optional ein IAS-Server für eine Zweigstelle bereit, um Umgebungen mit verteilter Authentifizierung und Autorisierung des Netzwerkzugriffs zu unterstützen. Weitere Informationen zur Aufstellung von IAS-Servern entnehmen Sie Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung".

Der nächste Abschnitt erläutert die Schritte für die Installation von IAS auf Ihren Servern. Es ist wichtig, dass Sie alle Installations- und Konfigurationsschritte auf allen IAS-Servern ausführen.

Installieren der IAS Software-Komponenten

IAS wird mit dem Manager für optionale Windows-Komponenten (Zugriff über Software und Komponenten hinzufügen/entfernen in der Systemsteuerung) installiert. In der folgenden Tabelle sind die zu installierenden Komponenten aufgeführt. Die Einrückung entspricht der hierarchischen Beziehung zwischen den Komponenten, wie sie im Assistenten zum Verwalten optionaler Komponenten dargestellt wird. Komponenten, die nicht ausgewählt werden, sind in der Tabelle nicht aufgeführt.

Tabelle 8.6: Zu installierende IAS-Komponenten

Zu installierende optionale Komponente	Installationsstatus
Netzwerkdienste	Aktiviert
Internetauthentifizierungsdienst	Aktiviert

Hinweis: Sie benötigen das Windows Server 2003-Installationsmedium, um die Installation abzuschließen.

So installieren Sie IAS-Komponenten

•	Führen Sie den Manager zum Verwalten optionaler Komponenten auf jedem Server aus, um die Installation des IAS zu automatisieren. Dies lässt sich mit dem folgenden Befehl erzielen: sysocmgr /i:sysoc.inf /u:C:\MSSScripts\OC_AddIAS.txt

Registrieren von IAS in Active Directory

IAS-Server müssen in jeder Domäne registriert werden. Das Computerkonto des IAS-Servers muss also in jeder Domäne, in der es zu einer Authentifizierung aufgefordert wird, in die RAS- und IAS-Server-Sicherheitsgruppe einbezogen werden. Durch diese Gruppenmitgliedschaft wird gewährleistet, dass die IAS-Server berechtigt sind, die RAS-Eigenschaften von Benutzer- und Computerkonten in der Domäne zu lesen.

Mit dem MMC-Snap-In "Active Directory-Benutzer und -Computer" oder dem Netshell-Befehl (netsh) können Computerkontenobjekte der IAS-Server in dieser Gruppe untergebracht werden.

So registrieren Sie IAS auf Servern in der Standard-Domäne mithilfe des netsh-Befehls

Melden Sie sich an jedem IAS-Server mit einem Konto an, das Domänenadministratoren-Rechte für die Domäne hat.

Öffnen Sie die Eingabeaufforderung, und geben Sie Folgendes ein:

netsh ras add registeredserver

So registrieren Sie IAS auf anderen Domänen als der Standarddomäne mithilfe des netsh-Befehls

Melden Sie sich an jedem IAS-Server mit einem Konto an, das Domänenadministratoren-Rechte für die Zieldomäne hat.

Öffnen Sie die Eingabeaufforderung, und geben Sie Folgendes ein, wobei Domänenname durch den Namen der Domäne zu ersetzen ist, in der Sie den IAS-Server registrieren möchten:

netsh ras add registeredserver domain = Domänenname

Hinweis: Als Alternative können Sie das Snap-In für Active Directory-Benutzer und -Computer der Microsoft Management Console (MMC) verwenden, um das IAS-Server-Computerobjekt der RAS- und IAS-Server-Sicherheitsgruppe hinzuzufügen.

Erstellen und Absichern von IAS-Datenverzeichnissen

Sie müssen Datenverzeichnisse auf den Datenlaufwerken der IAS-Server anlegen, um IAS-Konfigurations- und Protokolldaten zu speichern. Führen Sie die folgenden Schritte an einer Eingabeaufforderung auf jedem der IAS-Server aus, um damit die IAS-Datenverzeichnisse anzulegen und abzusichern. Alternativ können Sie das entsprechende Batchskript verwenden, um diese Aufgabe zu automatisieren.

So erstellen Sie IAS-Datenverzeichnisse und sichern sie ab

•

Führen Sie die folgenden Befehle aus. Ersetzen Sie dabei WOODGROVEBANK durch den NETBIOS-Namen Ihrer Domäne:

•	md D:\IASConfig
•	md D:\IASLogs
•	cacls D:\IASConfig /G system:F administrators:F "Backup Operators":C
•	cacls D:\IASLogs /G system:F administrators:F "Backup Operators":C "WOODGROVEBANK\IAS Security Auditors":C

Sie sollten auch das Verzeichnis D:\IASLogs für IAS Security Auditors freigeben, damit diese remote auf die Protokolldaten der RADIUS-Anforderungen zugreifen können.

So geben Sie das IAS-Protokollverzeichnis abgesichert frei

•	Führen Sie den folgenden Befehl aus. Ersetzen Sie dabei WOODGROVEBANK durch den NETBIOS-Namen Ihrer Domäne: net share IASLogs=D:\IASLogs /GRANT:"WOODGROVEBANK\IAS Security Auditors",CHANGE

Es wurde eine optionale Batchdatei erstellt, die die oben stehenden Befehle enthält. Diese Datei muss jedoch noch bearbeitet werden, damit sie den korrekten NETBIOS-Namen Ihrer Domain enthält.

So editieren Sie die Batchdatei und führen sie aus, um die IAS-Datenverzeichnisse zu erstellen, abzusichern und freizugeben

Verwenden Sie den Editor zum Bearbeiten der Datei C:\MSSScripts\IAS_Data.BAT, und ersetzen Sie WOODGROVEBANK durch den NETBIOS-Namen Ihrer Domäne.

Führen Sie die Batchdatei mit dem folgenden Befehl an einer Eingabeaufforderung aus:

C:\MSSScripts\IAS_Data.BAT

Zum Seitenanfang

Konfigurieren des primären IAS-Servers

Sie sollten einen der IAS-Server Ihres Unternehmens als primären Server festlegen. Sie konfigurieren diesen Server vor den anderen IAS-Servern, so dass er als Vorlage für die Einstellungen auf den nachfolgenden IAS-Servern herangezogen werden kann.

Konfigurieren der Authentifizierungs- und Kontoführungsanforderungs-Protokollierung

IAS protokolliert standardmäßig keine RADIUS-Authentifizierung und keine Kontoführungsanforderungen. Wenn möglich sollten beide Anforderungsprotokolle aktiviert werden, um zu gewährleisten, dass Sicherheitsereignisse protokolliert und später untersucht werden können. Möglicherweise verwendet Ihr Unternehmen die Konteninformationen auch zur Rechnungsstellung.

Hinweis: Die Protokollierung von RADIUS-Anforderungen wirkt sich auf die Serverleistung aus und macht Verfahren erforderlich, mit denen sichergestellt werden kann, dass die Datenträger nicht mit den Protokollen voll geschrieben werden. Weitere Informationen zur Kapazitätsplanung finden Sie Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung". Informationen zum Archivieren und Löschen von Protokolldateien finden Sie in Kapitel 12, "Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung".

So konfigurieren Sie die Protokollierung von Authentifizierung und Kontoführung auf IAS-Servern

Wählen Sie im IAS-MMC-Snap-In die RAS-Protokollierung aus, und zeigen Sie dann die Eigenschaften der Protokollierungsmethode Lokale Datei an.

Wählen Sie Kontoführungsanforderungen (z. B. Kontoführung starten oder anhalten) und Authentifizierungsanforderungen (z. B. Zugriff akzeptieren oder Zugriff ablehnen) aus.

Hinweis: Mit dieser Anleitung wird nicht das Protokollieren von periodischen Statusanforderungen aktiviert. Es kann jedoch sein, dass Sie diese Funktion für eine exakte Verfolgung von Informationen über Benutzer-Netzwerksitzungen benötigen. Weitere Informationen finden Sie in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung".

Stellen Sie sicher, dass als Protokolldateiverzeichnis D:\IASLogs festgelegt ist und dass als Format Datenbankkompatibel ausgewählt ist.

Das Format Datenbankkompatibel bietet die Möglichkeit, die Anforderungsprotokolle direkt in Datenbanken wie Microsoft Access und Microsoft SQL Server 2000 zu importieren, was das Abfragen von Daten und das Erstellen entsprechender Berichte erleichtert.

Konfigurieren von IAS für den WLAN-Zugriff und für andere Netzwerkanwendungen

Sie haben nun die Grundeinstellungen für IAS festgelegt. Im verbleibenden Teil des Kapitels wird beschrieben, wie sich die Einstellungen vom ersten IAS-Server auf die nachfolgenden Server übertragen (replizieren) lassen. Bevor Sie die Einstellungen replizieren, müssen Sie zunächst die RAS-Richtlinien und andere spezifische Einstellungen für Ihre Anwendung festlegen. In Kapitel 9, "Implementieren der WLAN-Absicherung", finden Sie eine Anleitung zum Konfigurieren von IAS für WLANs. Nachdem Sie den ersten Server konfiguriert haben, können Sie zu diesem Kapitel zurückkehren und den Anweisungen zum Replizieren der IAS-Einstellungen auf anderen Servern folgen.

Zum Seitenanfang

Bereitstellen der Konfiguration auf mehreren IAS-Servern

Sie können mithilfe des netsh-Befehls Teile der IAS-Konfiguration in Textdateien exportieren. Die folgenden Konfigurationsbereiche lassen sich unabhängig voneinander exportieren:

•	Servereinstellungen
•	Protokollierungskonfiguration
•	RAS-Richtlinien
•	Verbindungsanforderungsrichtlinien
•	RADIUS-Clients
•	Gesamtkonfiguration

Diese Textdateien können zur Übertragung von gemeinsamen Konfigurationen über mehrere IAS-Server verwendet werden. Dies ermöglicht Ihnen eine konsistente Konfiguration und schnelle Bereitstellung. Server mit ähnlichen Rollen haben folgende Konfigurationsabschnitte gemeinsam:

•	Serverkonfiguration
•	Protokollierungseinstellungen
•	RAS-Richtlinien
•	Verbindungsanforderungsrichtlinien

Konfigurieren Sie die genannten Objekte ausschließlich auf dem primären IAS-Server. Benutzen Sie dann den Befehl netsh, um diese Objekte in Textdateien zu exportieren. Die Textdateien können dann auf weiteren IAS-Servern mit ähnlichen Rollen importiert werden. Durch dieses Verfahren stellen Sie sicher, dass Konfigurationstextdateien mit gemeinsamen Konfigurationseinstellungen auf allen Servern synchronisiert werden.

Jeder IAS-Server enthält die Konfiguration von RADIUS-Clients mit gemeinsamen Schlüsseln, die normalerweise für jeden Server eindeutig ist. Diese Informationen müssen auf jedem Server unabhängig konfiguriert und gesichert werden.

Warnung: Die Verwendung von netsh zur Erstellung eines vollständigen Abbilds erzeugt eine Konfigurationstextdatei, die möglicherweise sicherheitskritische, gemeinsame und geheime RADIUS-Informationen beinhaltet. Diese Anleitung befähigt zum Bereitstellen von Einstellungen und zum Durchführen von Sicherungen ohne ein vollständiges Abbild der IAS-Einstellungen. Wenn Sie sich dazu entscheiden, mit vollständigen Abbildern der Konfigurationstextdateien zu arbeiten, müssen Sie sie mit äußerster Vorsicht behandeln. Mit den Informationen aus diesen Dateien ist Ihr Netzwerk für jedermann zugänglich.

In den folgenden Abschnitten wird erläutert, wie die Konfiguration vom primären IAS-Server auf die zusätzlichen IAS-Server, die einer ähnlichen Rolle angehören, übertragen werden kann. Sie können die Einstellungen zwar schon zum jetzigen Zeitpunkt replizieren, bisher wurden jedoch nur minimale Konfigurationsänderungen an den IAS-Servern vorgenommen. Sie sollten die Replikation deshalb erneut durchführen, nachdem im Rahmen des nächsten Kapitels beispielsweise eine Netzwerkzugriffsrichtlinie erstellt, weitere RADIUS-Clients hinzugefügt und sonstige, umfangreichere Änderungen an der IAS-Konfiguration vorgenommen wurden.

Exportieren der Konfiguration des primären IAS-Servers

Um Einstellungen auf zusätzliche IAS-Server zu übertragen, muss die Konfiguration des primären IAS-Servers exportiert werden.

Batchdateien können verwendet werden, um den Export von gemeinsamen IAS-Konfigurationsbereichen für Sicherungen zu automatisieren und bei der Bereitstellung von IAS-Einstellungen über mehrere IAS-Server mit derselben Rolle zu helfen. Stellen Sie bei der Erstellung von Batchdateien zur Bereitstellung von Einstellungen sicher, dass nur die folgenden Einstellungen enthalten sind, die auf IAS-Server portiert werden können:

•	Serverkonfiguration
•	Protokollierungseinstellungen
•	RAS-Richtlinien
•	Verbindungsanforderungsrichtlinien

So exportieren Sie die gemeinsame Konfiguration auf dem primären IAS-Server

•	Geben Sie in der Eingabeaufforderung den folgenden Befehl ein: C:\MSSScripts\IASExport.bat

Diese Batchdatei enthält eine Reihe von netsh-Befehlen, mit denen die gemeinsamen Konfigurationsinformationen in Konfigurationstextdateien im Verzeichnis D:\IASConfig exportiert werden.

Laden der Konfigurationssicherung vom primären Server

IAS verwendet den netsh-Befehl, um Konfigurationsinformationen von einem Server auf einen anderen zu übertragen. Dieses Verfahren beschleunigt die Bereitstellung und verringert die Gefahr von Fehlern bei Bereitstellungen auf mehreren Servern. Die oben erstellten Textdateien mit Konfigurationsinformationen vom primären IAS-Server können nun dazu verwendet werden, die Konfiguration sowohl auf den sekundären IAS-Server als auch auf die Zweigstellen-IAS-Server zu laden.

Laden Sie die exportierten Konfigurationstextdateien vom primären IAS-Server auf den/die anderen IAS-Server, indem Sie die folgenden Schritte ausführen.

So laden Sie die gemeinsame Konfiguration vom primären IAS-Server auf die anderen IAS-Server

Kopieren Sie alle Konfigurationsdateien aus dem Verzeichnis D:\IASConfig auf dem primären Server in das Verzeichnis D:\IASConfig auf dem/den anderen Server(n).

Führen Sie die folgende Batchdatei aus, um die Konfiguration aus den Konfigurationstextdateien des primären IAS-Servers zu laden:

C:\MSSScripts\IASImport.bat

Zum Seitenanfang

Zusammenfassung

Wenn Sie alle in diesem Kapitel beschriebenen Verfahren durchgearbeitet haben, müssten Sie nun die folgenden Aufgaben erledigt haben:

•	Installation und Konfiguration der Grundeinstellungen für einen primären IAS-Server
•	Installation und Konfiguration eines sekundären IAS-Servers
•	Installation und Konfiguration einen IAS-Server für eine optionale Zweigstelle
•	Konfiguration von administrativen Gruppen zur Verwaltung der IAS-Server

Sie sind nun in der Lage, WLAN-spezifische Einstellungen vorzunehmen, wie in Kapitel 9, "Implementieren der WLAN-Absicherung", beschrieben. Abschließend müssen Sie ggf. noch einmal zum Ende des vorliegenden Kapitels zurückkehren, um die im Rahmen des nächsten Kapitels vorgenommenen IAS-Einstellungen zu replizieren.

Sie sollten auch die in Frage kommenden Teile von Kapitel 12, "Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung", lesen. Dort finden Sie wichtige Informationen darüber, wie Sie Ihre RADIUS-Infrastruktur sicher und verlässlich in Betrieb halten.

Weitere Informationen

•	CAPICOM steht beim Microsoft Download Center unter folgender Adresse zum Download bereit: www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6. Um sicherzustellen, dass Sie die aktuellste Version erhalten, sollten Sie jedoch auf der Download Center-Site nach "CAPICOM" suchen.
•	Den Artikel "Managing Remote Access on a Per-Group Basis Using Windows 2000 Remote Access Policies" (in englischer Sprache) finden Sie unter www.microsoft.com/windows2000/techinfo/administration/management/pgremote.asp.
•	Das Windows Server 2003 Sicherheitshandbuch steht unter folgender Adresse zum Download bereit: http://go.microsoft.com/fwlink/?LinkId=14846.
•	Das Kapitel "Internet Authentication Service" der Windows Server 2003 Technical Reference. Diese Anleitung ist unter folgender Adresse zu finden: http://go.microsoft.com/fwlink/?LinkId=4630.
•	Das Kapitel "Deploying IAS" des Windows Server 2003 Deployment Kit ist unter folgender Adresse zu finden: http://go.microsoft.com/fwlink/?LinkId=4716.
•	Hardwarevoraussetzungen für das Windows-Logoprogramm werden in "FAQ for Windows Logo Program for Hardware" (in englischer Sprache) unter www.microsoft.com/whdc/winlogo/logofaq.mspx beschrieben.
•	Der Artikel "Microsoft Baseline Security Analyzer V1.2" (in englischer Sprache) ist abrufbar unter www.microsoft.com/technet/security/tools/mbsahome.mspx.
•	802.1X-WLAN-Technologien werden in dem Artikel "Windows XP Wireless Deployment Technology and Component Overview" (in englischer Sprache) unter www.microsoft.com/technet/prodtechnol/winxppro/maintain/wificomp.mspx beschrieben.

Zum Seitenanfang

3 von 4

In diesem Beitrag

•	Überblick
•	Kapitel 7: Implementieren der Infrastruktur öffentlicher Schlüssel
•	Kapitel 8: Implementieren der RADIUS-Infrastruktur
•	Kapitel 9: Implementieren der Infrastruktur für die WLAN-Absicherung

Inhalt

Vollständige Lösung herunterladen
Sichern von Wireless LANs mit Zertifikatsdiensten (engl.)