Betriebshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten
Kapitel 12: Verwalten der RADIUS-Infrastruktur für die WLAN-Absicherung
Auf dieser SeiteEinführungDieses Kapitel beschreibt die Betriebsverfahren, die für die Verwaltung der RADIUS-Infrastruktur (Remote Authentication Dial-In User Service) und der Absicherung von lokalen Drahtlosnetzwerken (WLANs) erforderlich sind, die im Rahmen dieser Anleitung zur Absicherung von WLANs implementiert wurden. Die Struktur basiert auf den Kategorien und Konzepten des Microsoft Operations Framework (MOF), wie sie in Kapitel 10, "Einführung in das Betriebshandbuch", beschrieben wurden. Dieses Kapitel soll Ihnen bei der Implementierung eines umfassenden Managementsystems für Ihre RADIUS-Infrastruktur und WLAN-Absicherung helfen. Dies umfasst auch sämtliche Setupaufgaben, die zur Überwachung und Wartung des Systems zu erledigen sind. Außerdem enthält das Kapitel die Routineaufgaben, die für einen reibungslosen Betrieb der Infrastruktur anfallen, sowie Verfahren zum Umgang mit Supportanfragen, Änderungsverwaltung und der Leistungsoptimierung des Systems. Das Kapitel ist in zwei Hauptteile untergliedert. Der erste Teil besteht aus zwei kurzen Abschnitten, "Notwendige Wartungsaufgaben" und "Administrative Rollen für RADIUS und WLAN-Absicherung", die vollständig gelesen werden sollten. Sie enthalten fundamentale Informationen zur Einrichtung einer ordnungsgemäß verwalteten Umgebung für das System. Der Rest des Kapitels soll in erster Linie als Referenz dienen. Manche Aufgaben in den Referenzabschnitten müssen von Ihnen bei der Bereitstellung des Systems implementiert werden; sie sind jedoch im Abschnitt "Notwendige Wartungsaufgaben" eindeutig gekennzeichnet. Obwohl Sie nicht sämtliche Einzelheiten der Referenzabschnitte in sich aufnehmen müssen, sollten Sie sich mit ihrem Inhalt vertraut machen, so dass Sie bei Bedarf bestimmte Informationen schnell auffinden können. Voraussetzungen für das KapitelSie sollten mit den in Kapitel 10, "Einführung in das Betriebshandbuch", beschriebenen MOF-Konzepten vertraut sein. Eine fundierte Kenntnis von MOF ist nicht erforderlich. Insbesondere sollten Sie mit den Konzepten von RADIUS und dem Microsoft® Internetauthentifizierungsdienst (Internet Authentication Service, IAS) sowie mit 802.11-, 802.1X- und EAP-TLS-Konzepten vertraut sein. Weitere Informationen zu diesen technischen Themen finden Sie in den Literaturhinweisen der Kapitel des Planungshandbuchs. Zudem sind Kenntnisse von Microsoft Windows® 2000 Server (oder höher) auf den folgenden Gebieten erforderlich:
Bevor Sie mit diesem Kapitel fortfahren, sollten Sie die damit zusammenhängenden Kapitel im Planungshandbuch und im Einrichtungshandbuch lesen und die Architektur und das Design der Lösung verstehen. KapitelüberblickIn der folgenden Liste werden die einzelnen Hauptabschnitte dieses Kapitels beschrieben.
Notwendige WartungsaufgabenDieser Abschnitt führt die wichtigsten Aufgaben auf, die Sie für den erfolgreichen Betrieb der RADIUS-Infrastruktur und WLAN-Absicherung durchführen müssen. Diese Aufgaben sind in zwei Tabellen aufgeführt: anfängliche Aufgaben vor und während des Setups sowie fortlaufende Aufgaben im Betrieb. Die in den Tabellen aufgeführten Aufgaben werden später im Text ausführlich beschrieben. Die Aufgaben werden nach MOF-Quadrant gruppiert, und die MOF-Dienstverwaltungsfunktion, zu der die Aufgabe gehört, wird neben der Aufgabe aufgeführt, damit Sie die erforderliche Aufgabe schneller finden. Dieser Abschnitt enthält außerdem eine Liste der Tools und Technologien, die in den Verfahren in diesem Kapitel eingesetzt werden. Erste SetupaufgabenIn der folgenden Tabelle werden die für die Inbetriebnahme der RADIUS-Infrastruktur und WLAN-Absicherung erforderlichen Aufgaben aufgeführt. Je nach den von Ihnen eingesetzten Standards und Vorgehensweisen müssen Sie möglicherweise nicht alle Aufgaben durchführen. Sie sollten sich jedoch die einzelnen Aufgabenbeschreibungen durchlesen und dann entscheiden. Einige dieser Aufgaben müssen vielleicht zu einem anderen Zeitpunkt erneut durchgeführt werden. Wenn zum Beispiel ein neuer IAS-Server installiert wird, müssen Sie die zugehörigen Sicherungs- und Überwachungsaufgaben konfigurieren. Tabelle 12.1: Erste Setupaufgaben
WartungsaufgabenDie folgende Tabelle enthält eine Aufstellung der Aufgaben, die regelmäßig ausgeführt werden müssen, um eine einwandfreie Funktion der RADIUS-Struktur und WLAN-Absicherung zu gewährleisten. Sie können diese Tabelle als Hilfe für die Ressourcenplanung und den Zeitplan für die Administration des Systems heranziehen. Einige dieser Aufgaben müssen Sie möglicherweise nie ausführen. Diese Entscheidung sollten Sie jedoch erst nach genauer Durchsicht der Einzelheiten treffen. Bestimmte Aufgaben wiederum müssen bei Bedarf und andere nach einem Zeitplan erledigt werden. Nach dem Hinzufügen eines RADIUS-Clients auf dem IAS-Server müssen Sie zum Beispiel unbedingt eine(n) Sicherung/Export der Serverkonfiguration durchführen, auch wenn dies laut Zeitplan noch nicht vorgesehen ist. Auf derartige Aufgaben wird in der Spalte "Häufigkeit" verwiesen. Auch werden Abhängigkeiten dieser Art in den Aufgabendetails erörtert. Tabelle 12.2: Laufende Wartungsaufgaben
Erforderliche TechnologienIn den folgenden Tabellen sind die in diesem Handbuch verwendeten Technologien und Tools aufgelistet. Tabelle 12.3: Erforderliche Technologien
Tabelle 12.4: Empfohlene Technologien
Administrative Rollen für RADIUS und WLAN-AbsicherungAn der Verwaltung der RADIUS-Infrastruktur und der WLAN-Absicherung sind zahlreiche unterschiedliche Rollen beteiligt. In den folgenden beiden Abschnitten werden sie in Haupt- und Nebenrollen eingeteilt. Hauptrollen für RADIUS-Infrastruktur und WLAN-AbsicherungDie Rollen in der folgenden Tabelle sind für die Verwaltung einer RADIUS-Infrastruktur und WLAN-Absicherung unbedingt notwendig. Tabelle 12.5: Hauptrollen für RADIUS-Infrastruktur und WLAN-Absicherung
Nebenrollen für RADIUS-Infrastruktur und WLAN-AbsicherungDie betrieblichen Rollen in der folgenden Tabelle sind für die Verwaltung der RADIUS-Infrastruktur und WLAN-Absicherung nicht von essenzieller Bedeutung, unterstützen die Hauptrollen jedoch in ihren Aufgaben. Tabelle 12.6: Nebenrollen für RADIUS-Infrastruktur und WLAN-Absicherung
Zuordnen von Rollen zu SicherheitsgruppenDie folgende Tabelle enthält die für diese Lösung definierten Sicherheitsgruppen und gibt eine kurze Beschreibung der Zuständigkeiten und Berechtigungen der einzelnen Gruppen. Für IAS-Server werden die für die jeweiligen Rollen geltenden Berechtigungen mithilfe der lokalen Sicherheitsgruppe und der Domänensicherheitsgruppe zugewiesen. Die Rollengruppen werden mit Domänenkonten aufgefüllt. Einzelne Konten können auch Mitglieder mehrerer oder aller Rollengruppen sein, wenn die Sicherheits- und IT-Richtlinien Ihres Unternehmens dies zulassen. Tabelle 12.7: Zuordnung von RADIUS- und WLAN-Sicherheitsrollen zu Sicherheitsgruppen
Aufgaben BetriebDer Betriebsquadrant umfasst alle betriebsbezogenen IT-Standards, -Verfahren und -Prozesse, die in regelmäßigen Abständen auf Dienstlösungen angewendet werden müssen, um die vordefinierten Servicelevels zu erzielen und zu erhalten. Das Ziel dieses Quadranten besteht darin, eine verlässliche Durchführung der manuellen und automatisierten Aufgaben im Alltagsbetrieb zu erreichen. Dieser Abschnitt enthält Informationen zu folgenden SMFs:
Für die übrigen SMFs gibt es keine Aufgaben:
NetzwerkverwaltungDie Netzwerkverwaltung ist verantwortlich für den Entwurf und die Wartung der physischen Netzwerkkomponenten, z. B. Server, Router, Switches und Firewalls. Bei Drahtlosnetzwerken umfassen diese Komponenten WLAN-APs (Wireless Access Points; drahtlose Zugriffspunkte) sowie die zu ihrer Unterstützung erforderlichen RADIUS-Server. Hinzufügen von RADIUS-Clients zu IAS-ServernWLAN-APs müssen über Berechtigungen zur Authentifizierung und Kontoführung mit IAS-Servern verfügen. Das Aktivieren eines neuen WLAN-APs als RADIUS-Client ist eine der wenigen inkrementellen Veränderungen, die auf einem bereitgestellten IAS-Produktionsserver vorgenommen werden müssen. Mit diesem Task werden die WLAN-APs zur Teilnahme an RADIUS-Authentifizierung und Kontoführung mit dem IAS-Server berechtigt. Führen Sie diese Aufgabe jedes Mal durch, wenn neue WLAN-APs bereitgestellt und zur Teilnahme an der Netzwerkauthentifizierung konfiguriert wurden. Zusammenfassung
AufgabendetailsUm höchste Sicherheit zu gewährleisten, sollten Sie für das Hinzufügen eines WLAN-APs zu einem IAS-Server jeweils ein einmaliges, zufällige gewähltes Kennwort (einen "geheimen Schlüssel") verwenden. Wird dieser RADIUS-Schlüssel für mehrere WLAN-APs verwendet, erhöht sich das Risiko, dass der geheime Schlüssel nicht lange geheim bleibt. Bei Windows Server 2003 Enterprise Edition können Administratoren WLAN-APs massenweise zu IAS-Servern hinzufügen, indem sie ein dediziertes RADIUS-Client-Subnetz hinzufügen und einen gemeinsamen geheimen Schlüssel verwenden. Zwar vereinfacht dies die Verwaltung der geheimen Schlüssel, führt jedoch zu einer weniger sicheren Lösung als der Einsatz individueller Schlüssel. Bei dieser Lösung werden verschlüsselte, zufällig gewählte geheime Schlüssel verwendet, die über das mit diesen Handbüchern gelieferte Skript "GenPwd" generiert werden. So fügen Sie RADIUS-Clients einzeln zu IAS-Servern hinzu
Entfernen von RADIUS-Clients aus IAS-ServernDas Entfernen nicht mehr verwendeter APs als RADIUS-Clients ist eine der wenigen inkrementellen Änderungen, die auf einem bereitgestellten IAS-Produktionsserver vorgenommen werden müssen. Mit diesem Schritt wird die Teilnahme von WLAN-APs an der RADIUS-Authentifizierung und -Kontoführung mit dem IAS-Server verhindert. Führen Sie diese Aufgabe jedes Mal durch, wenn APs zurückgezogen werden, um ihre Teilnahme an der RADIUS-Authentifizierung und -Kontoführung zu deaktivieren. Zusammenfassung
AufgabendetailsEntfernen Sie jeden AP einzeln aus IAS. Außerdem sollten Sie den entsprechenden Eintrag in der Datei Clients.txt löschen. Diese Datei befindet sich auf der RADIUS-Client-Diskette, die an einem sicheren Ort aufbewahrt wird. Die Datei Clients.txt wird mit dem Verfahren erstellt, das unter "Hinzufügen von RADIUS-Clients zu IAS-Servern" erläutert wird. So entfernen Sie RADIUS-Clients aus dem IAS-Server
VerzeichnisdienstadministrationVerzeichnisdienste ermöglichen Benutzern und Anwendungen das Aufspüren von Netzwerkressourcen wie Benutzern, Servern, Anwendungen, Tools, Diensten und anderen Informationen. Verzeichnisdienstadministration beschäftigt sich mit dem Alltagsbetrieb sowie der Wartung und dem Support des Unternehmensverzeichnisses. Durch Verzeichnisdienstadministration wird sichergestellt, dass Informationen für jeden autorisierten Antragsteller über das Netzwerk in einem einfachen und organisierten Verfahren erreichbar sind. Aktivieren von WLAN-Zugriff für Benutzer und ComputerZur Aktivierung des Zugriffs auf das WLAN müssen drei verschiedene Aufgaben durchgeführt werden. Diese Aufgaben werden alle über die Mitgliedschaft von Sicherheitsgruppen gesteuert und können somit leicht mithilfe eines VBScript-, Jscript- oder Batchdateiskripts automatisiert werden. Sie werden hier getrennt dokumentiert, da viele Unternehmen sie in unterschiedlichen Phasen ihres WLAN-Rollouts vornehmen. Wichtig: In dieser Lösung werden benutzerdefinierte Sicherheitsgruppen eingesetzt, um zu steuern, welche Benutzer und Computer WLAN-Zertifikate und Richtlinieneinstellungen erhalten und welchen Benutzern und Computern der Zugriff auf das WLAN über IAS gestattet ist. Für diese drei Tasks werden unterschiedliche Sicherheitsgruppen verwendet, um eine stufenweise durchgeführte Bereitstellung von Zertifikaten, Richtlinieneinstellungen und WLAN-Zugriff zu ermöglichen. Sollten Sie eine weniger präzise Steuerung wünschen, können Sie jeweils alle Benutzer und Computer aktivieren. Am einfachsten können Sie alle Benutzer und Computer hinzufügen, wenn Sie alle Domänenbenutzer oder alle Domänencomputer der entsprechenden Gruppe für Zertifikatsregistrierung, WLAN-Gruppenrichtlinien (nur Computer) und WLAN-Zugriff hinzufügen. So aktivieren Sie WLAN-Zugriff für einen Computer
So aktivieren Sie WLAN-Zugriff für einen Benutzer
Aktivieren von WLAN-Einstellungen auf ComputernDie Konfiguration von WLAN-Einstellungen (wie z. B. 802.11- und 802.1X-Einstellungen) auf Clientcomputern wird durch Active Directory-Gruppenrichtlinien automatisiert. Durch Hinzufügen der Computer zu Sicherheitsgruppen können Sie steuern, welche Computer diese WLAN-Einstellungen empfangen. Die Sicherheitsgruppen dienen zur Filterung des Gruppenrichtlinienobjekts (Group Policy Object, GPO), so dass die Richtlinieneinstellungen nur Mitgliedern der Gruppe zugewiesen werden. Führen Sie diese Aufgabe jedes Mal aus, wenn ein neuer Computer in die Umgebung eingeführt wird, der das Drahtlosnetzwerk nutzt. Zusammenfassung
AufgabendetailsSobald die Drahtlosnetzwerkrichtlinien konfiguriert und funktionsfähig sind, ist das Hinzufügen von Computern zu den Sicherheitsgruppen, die die Zuweisung der Richtlinie steuern, relativ einfach. So fügen Sie Computer zur Sicherheitsgruppe für WLAN-Gruppenrichtlinien hinzu
Hinzufügen von Computern und Benutzern zu Sicherheitsgruppen für RAS-RichtlinienDurch das Hinzufügen von Computern und Benutzern zur Sicherheitsgruppe für RAS-Richtlinien wird der Zugriff auf das WLAN autorisiert. IAS verwendet die Mitgliedschaft in dieser Gruppe innerhalb der RAS-Richtlinie als Bedingung, die erfüllt sein muss, bevor ein Zugriff erlaubt wird. Um eine erfolgreiche Autorisierung im WLAN zu ermöglichen, müssen Sie den RAS-Richtliniengruppen Computer und Benutzer hinzufügen. Zusammenfassung
AufgabendetailsNachdem die Sicherheitsgruppen für RAS-Richtlinien erstellt wurden, ist das Hinzufügen zusätzlicher Computer und Benutzer zu den Sicherheitsgruppen, die den WLAN-Zugriff steuern, relativ einfach. So fügen Sie Benutzer zur Sicherheitsgruppe für RAS-Richtlinien hinzu
So fügen Sie Computer zur Sicherheitsgruppe für RAS-Richtlinien hinzu
Dienstüberwachung und -steuerungMit der Überwachung von Diensten können Administration die IT-Umgebung in Echtzeit kontrollieren. Bei Verweisen auf Microsoft Operations Manager (MOM) in diesem Abschnitt wird davon ausgegangen, dass Ihre MOM-Installation den Anweisungen im MOM Operations Guide entspricht. MOM ist jedoch keine zwingende Voraussetzung; es wird lediglich zur Veranschaulichung verwendet. Informationen zum MOM Operations Guide finden Sie im Abschnitt "Weitere Informationen" am Ende dieses Kapitel. Kategorisieren von ÜberwachungswarnmeldungenIhr Überwachungssystem sollte der Administration lediglich wichtige Warnmeldungen übermitteln. Wenn alle Fehler zu Vorfällen eskaliert werden, könnte Ihr Team schnell die Übersicht darüber verlieren, welche Meldungen dringend sind und welche Meldungen eine längerfristige Beobachtung erfordern. Zusammenfassung
AufgabendetailsFolgende Kategorien für Warnmeldungen werden in diesem Handbuch verwendet. Nur die ersten drei Kategorien "Dienst nicht verfügbar", "Sicherheitsverletzung" und "Kritischer Fehler" sollten auf der Überwachungskonsole Warnmeldungen erzeugen, denen umgehend Beachtung geschenkt werden muss. Fehler und Warnungen werden nicht als dringend angesehen und sollten zur Behebung an das RADIUS- und WLAN-Supportteam weitergeleitet werden. Im Folgenden handelt es sich um die in MOM standardmäßig eingesetzten Ereigniskategorien. In den nachfolgenden Aufgabenbeschreibungen wird darauf Bezug genommen. Tabelle 12.8: Kategorien für Warnmeldungen
Überwachen von Kapazitätseinschränkungen des IASDas rechtzeitige Erkennen möglicher Kapazitätseinschränkungen ist notwendig, um einen optimalen Betrieb zu gewährleisten. Wenn sich Subsysteme den Grenzen ihrer Betriebskapazität nähern, ist ein deutlicher Abfall der Leistung zu verzeichnen (in der Regel auf nicht lineare Weise). Daher ist es wichtig, Kapazitätstrends zu überwachen und Tendenzen zu identifizieren, die auf eine künftige Kapazitätseinschränkung hindeuten. Zusammenfassung
AufgabendetailsDie folgenden Leistungsindikatoren haben sich als die Hilfreichsten erwiesen, wenn es um das Erkennen von Kapazitätsengpässen von IAS geht. Prozessor und Festplatte sind die vom IAS am häufigsten verwendeten Ressourcen und weisen daher eher auf einen Engpass hin als Speicher und Netzwerk. Tabelle 12.9: Auf IAS-Kapazitätseinschränkungen zu überwachende Elemente
Weitere allgemeine Informationen zu Kapazitätseinschränkungen und den zugehörigen Leistungsindikatoren finden Sie unter den Literaturhinweisen im Abschnitt "Weitere Informationen" am Ende dieses Kapitels. Weiterhin ist es sehr wichtig, dass Sie Leistungsindikatoren der unterstützenden Infrastruktur überwachen. Hierzu zählen:
SpeicherverwaltungDie Speicherverwaltung beschäftigt sich mit dem Speichern von Daten vor Ort oder an entfernten Orten zum Zweck der Datenwiederherstellung und verlaufsgerechten Archivierung. Das verantwortliche Team muss dabei die physische Absicherung von Sicherungskopien und Archiven gewährleisten. Ziel der Speicherverwaltung ist die Definition, Nachverfolgung und Pflege von Daten und Datenressourcen in der IT-Produktionsumgebung. Konfigurieren des Exports der IAS-KonfigurationMit dieser Aufgabe wird ein nächtlicher Task geplant, bei dem der Teilstatus der IAS-Konfiguration exportiert wird, um die Wiederherstellung des Systems nach einer Datenbeschädigung zu ermöglichen. Der vollständige IAS-Konfigurationsstatus umfasst zudem die RADIUS-Clientkonfiguration, bei der es sich um sicherheitskritische, vertrauliche Informationen handelt. Daher wird der Export des RADIUS-Client-Teils des Konfigurationsstatus an anderer Stelle detailliert beschrieben. Für eine vollständige Wiederherstellung aller IAS-Server benötigen Sie beide Sicherungsarten. Eine vollständige Sicherung des IAS-Servers umfasst sämtliche Konfigurationsparameter des Betriebssystems sowie andere Statusinformationen, von denen der IAS-Server abhängt. Diese Aufgabe wurde entwickelt, damit der Server und die optionale IAS-Komponente erneut installiert werden können und der Konfigurationsstatus wiederhergestellt werden kann. Diese Konfiguration ermöglicht die Wiederherstellung der Betriebsfähigkeit eines Servers, der sich nicht mehr in einem bekannten Konfigurationsstatus befindet (nicht mehr zuverlässig ist) oder dessen Sicherheit beeinträchtigt ist. Zusammenfassung
AufgabendetailsIm Folgenden wir ein geplanter Task zur nächtlichen Sicherung des Konfigurationsstatus des IAS-Servers erstellt. Für die IAS-Sicherung wird vorausgesetzt, dass Ihr Unternehmen über ein System zur Serversicherung verfügt; die in diesem Verfahren erstellte Sicherungsdatei muss von Ihrem Sicherungssystem gesichert werden können. Bei Ihrem Hauptsicherungssystem kann es sich um eine Netzwerksicherung, SAN-Sicherung (Storage Area Network, lokales Speichernetzwerk) oder eine Sicherung auf einem lokalen Gerät handeln. Es wird außerdem davon ausgegangen, dass Sie in Ihrer Lösung eine nächtliche Sicherung der Serverplatten durchführen. Konfigurieren einer IAS-Konfigurationssicherung
Im Verzeichnis D:\IASConfig können Sie die Windows-Dateiüberwachung aktivieren und Prüfer der Serversicherheit anweisen, Überwachungsdaten regelmäßig auf ungewöhnliche Vorgänge (z. B. fehlgeschlagene Zugriffsversuche) zu überprüfen. Die Informationen im Verzeichnis D:\IASConfig könnten einem Angreifer Hinweise für das Umgehen der Netzwerkzugriffssteuerung liefern. Exportieren der RADIUS-ClientkonfigurationSie müssen die RADIUS-Clientkonfiguration aus dem IAS-Server exportieren, um sicherzustellen, dass diese Informationen auch nach einem schweren Serverausfall wiederhergestellt werden können. Die RADIUS-Clientinformationen sind sicherheitskritisch, da sie geheime RADIUS-Schlüssel enthalten, die jeweils für einen Server und einen WLAN-AP verwendet werden. Daher werden RADIUS-Clientdaten auf Wechselmedien exportiert, die sie an einem sicheren Ort aufbewahren sollten. Die exportierten RADIUS-Client-Konfigurationsdaten sind in der Regel für jeden IAS-Server unterschiedlich. Für eine vollständige Wiederherstellung der IAS-Serverkonfiguration müssen Sie die RADIUS-Client-Konfigurationsdaten wiederherstellen, die in dieser Aufgabe erstellt werden, sowie die IAS-Systemkonfigurationsdaten, die mit dem Skript IASExport.bat im vorangegangenen Verfahren erstellt wurden. Zusammenfassung
AufgabendetailsRADIUS-Clientinformationen werden mithilfe des Befehls netsh exportiert. Dieses Handbuch enthält eine Batchdatei, mit der RADIUS-Clientinformationen auf eine Diskette oder andere beschreibbare Wechselmedien exportiert werden. So exportieren Sie die RADIUS-Clientkonfiguration
Konfigurieren der Sicherung der IAS-DatenverzeichnisseDiese Aufgabe leitet Sie durch die Sicherung der einzelnen Verzeichnisse des IAS-Servers, um sicherzustellen, dass nach einem schweren Serverereignis eine vollständige Wiederherstellung des IAS-Konfigurationsstatus sowie der RADIUS-Protokolldaten möglich ist. Eine vollständige Sicherung des IAS-Servers umfasst sämtliche Konfigurationsparameter des Betriebssystems sowie andere Systemstatusinformationen, von denen der IAS-Server abhängt. Zusammenfassung
AufgabendetailsIn dieser Aufgabe werden die Verzeichnisse aufgelistet, die unbedingt gesichert werden müssen, damit eine vollständige Wiederherstellung des IAS-Konfigurationsstatus sowie der Protokolldaten sichergestellt ist. Hierbei wird vorausgesetzt, dass Sie ein entsprechendes Unternehmenssicherungssystem für Ihre Server einsetzen. Bei diesem System kann es sich um eine Netzwerksicherung, SAN-Sicherung oder eine Sicherung auf einem lokalen Gerät handeln. Es wird außerdem davon ausgegangen, dass die Serversicherung Ihres Unternehmens nachts im Anschluss an die Sicherung des IAS-Konfigurationsstatus (02:00 Uhr) ausgeführt wird, um die Platten des IAS-Servers zu sichern. So konfigurieren Sie die IAS-Datenverzeichnissicherung
Testen der IAS-SicherungZweck dieser Aufgabe ist es sicherzustellen, dass Sicherungsprozess und Sicherungstechnologie einwandfrei funktionieren, indem Sie eine Testwiederherstellung der gesicherten Daten durchführen. Eine vollständige Wiederherstellung einer Sicherung auf separater Serverhardware ist die beste Methode, um herauszufinden, ob Ihre Sicherungsverfahren wie gewünscht funktionieren. Dieses Verfahren wurde jedoch entwickelt, damit Kunden ohne Zugang zu zusätzlicher Serverhardware ihre Wiederherstellungsverfahren mit einem gewissen Risiko auf Produktionshardware testen können. Beim Testen der Wiederherstellungsverfahren auf Produktionsservern besteht das Risiko, dass eine teilweise Wiederherstellung den Server unbrauchbar macht. Durch das Testen der Sicherungen soll gewährleistet werden, dass nach einem schweren Serverereignis alle Schritte bekannt und frei von verfahrensmäßigen oder technischen Fehlern sind, die eine Wiederherstellung der Daten behindern könnten. Die Wiederherstellungsdaten für den IAS-Server umfassen die folgenden Komponenten:
Vor dem Ausführen einer Testwiederherstellung sollten Sie einen manuellen Export der Exportdaten der IAS-Konfiguration und des RADIUS-Clients durchführen. Anschließend sollten Sie eine außerplanmäßige Sicherung der Serverdaten auf speziellen Bänder durchführen und diese Sicherungskopien aufbewahren, um sie im Falle eines Problems bei der Testwiederherstellung einsetzen zu können. Mit diesem Ansatz wird das Risiko einer nur teilweisen Wiederherstellung eines Produktionsservers aufgrund fehlerhafter Bänder oder anderer Fehler reduziert, die bei einer normalen Sicherung unbemerkt auftreten können. Zusammenfassung
AufgabendetailsDiese Aufgabe beschreibt detailliert die Wiederherstellung und Überprüfung von IAS-Daten. Alle drei Typen von Daten werden wiederhergestellt und anschließend anhand spezieller Verfahren überprüft. Stellen Sie sicher, dass Sie eine aktuelle und vollständige Sicherung (z. B. die der letzten Nacht) verwenden, die erfolgreich abgeschlossen wurde. Vergewissern Sie sich vor Testbeginn ebenfalls, dass auf dem Zielserver seit der letzten Sicherung keine Verwaltungsvorgänge (z. B. eine Konfigurationsänderung) ausgeführt wurden. Wenn Sie versuchen, die Wiederherstellung auf einer Erstinstallation von Windows Server 2003 durchzuführen, müssen vorab die Schritte zur Servereinrichtung aus Kapitel 8, "Implementieren der RADIUS-Infrastruktur für die WLAN-Absicherung", durchgeführt werden, um sicherzustellen, dass Serverhardware und -software ordnungsgemäß für IAS konfiguriert sind. Hinweis: Möglicherweise müssen Sie in den wiederhergestellten WLAN-RAS-Richtlinien das neu installierte RAS und IAS Server Authentication Certificate erneut auswählen. So testen Sie die IAS-Sicherung Hinweis: Der erste Schritt dieser Vorgehensweise ist optional und dient zum Einsatz in einer Testumgebung auf Serverhardware, bei der es sich nicht um Produktionshardware handelt. Hiermit soll sichergestellt werden, dass die Wiederherstellung eines Servers auch in einem instabilen Zustand oder in einem Zustand, in dem die Sicherheit beeinträchtigt ist, möglich ist.
SicherheitsadministrationDie Sicherheitsadministration trägt die Verantwortung für die Aufrechterhaltung einer sicheren Umgebung. Sicherheit ist ein wichtiger Bestandteil der IT-Infrastruktur eines jeden Unternehmens. In den meisten Informationssystemen mit einem wackligen Sicherheitsfundament wird es früher oder später zu einer Sicherheitsverletzung kommen. Zugreifen auf IAS-RADIUS-AnforderungsprotokolleIAS kann optional verschiedene Ereignisse von RADIUS-Anfragen seitens WLAN-APs bis zu RADIUS-Anforderungsprotokollen auf der Festplatte des Servers aufzeichnen. RADIUS-Protokolle sind aus verschiedenen Gründen nützlich. So können sie zum Beispiel beim Erkennen potenzieller Angriffe auf das System und nicht autorisierter Zugriffe auf das Unternehmensnetzwerk helfen. Diese Aufgabe beschreibt die verschiedenen Verfahren zur Überprüfung von RADIUS-Anforderungsprotokollen. Eine ausführliche Erläuterung der Analyse von RADIUS-Anforderungsprotokollen würde jedoch den Rahmen dieses Handbuchs überschreiten. Zur Analyse von RADIUS-Anforderungsprotokollen können verschiedene Methoden eingesetzt werden, da diese Protokolle als Text im IAS-Format oder Datenbank-Importformat gespeichert werden. Diese Lösung verwendet für Protokolldateien das Datenbank-Importformat, da das Importieren dieser Dateien in Anwendungen, die kommagetrennten Text interpretieren können, relativ einfach ist. Einige dieser Verfahren zur Überprüfung von RADIUS-Anforderungsprotokollen sind:
Zusammenfassung
AufgabendetailsBei dieser Lösung werden RADIUS-Anforderungsprotokolle auf jedem Server generiert und auf einem eigens hierfür vorgesehenen Datenträger gespeichert. Die Schritte für den Zugriff auf diese Protokolldateien umfassen das Herstellen einer Netzwerkverbindung zu jedem IAS-Server sowie das Überprüfen und anschließende Löschen von nicht mehr benötigten Protokolldateien. Die IAS-Server in dieser Lösung sind so konfiguriert, dass sie für jeden Monat eine neue RADIUS-Anforderungsprotokolldatei erstellen. Sie können dieses Intervall jedoch ändern, um es Ihren jeweiligen Anforderungen anzupassen. Die mit Access erstellte Tabelle wird passend zu den Datentypen formatiert, die die einzelnen Felder enthalten. Dieses Beispiel zeigt Ihnen, wie Sie eine neue Tabelle erstellen. Sie können jedoch auch ein Protokoll in eine vorhandene Tabelle importieren. So importieren Sie RADIUS-Anforderungsprotokolldateien in Microsoft Access
Überprüfen der IAS-RADIUS-AuthentifizierungsereignisprotokolleSicherheitsprüfer können diese Aufgabe in regelmäßigen Abständen ausführen, um festzustellen, ob es nicht autorisierte Zugriffe auf das drahtlose Netzwerk gegeben hat. In den internen Sicherheitsrichtlinien des Unternehmens ist möglicherweise festgelegt, dass RADIUS-Authentifizierungsereignisse im Ereignisprotokoll regelmäßig überprüft werden müssen, um nicht autorisierte Zugriffe oder die Verwendung gestohlener Zertifikatsinformationen festzustellen. Sie können auch ein Verwaltungstool wie MOM einsetzen, das Warnmeldungen generiert, wenn verdächtige Ereignisse verzeichnet werden. Diese Aufgabe ist optional und kann als Alternative zur oben beschriebenen IAS-RADIUS-Protokollierung angesehen werden. Um diese Aufgabe ausführen zu können, müssen Sie entweder als IAS-Administrator oder lokaler Administrator des Servers angemeldet sein. Zusammenfassung
AufgabendetailsDiese Aufgabe ist für IT-Umgebungen geeignet, in denen es keine Trennung zwischen IAS-Prüfern und IAS-Systemadministratoren gibt. Anders als beim vorherigen Verfahren können hier RADIUS-Protokolle von Operatoren angezeigt werden, bei denen es sich nicht um lokale Administratoren des Servers handelt. Bei dieser Lösung wird Sicherheitsprüfern keine Berechtigung als lokale Administratoren gewährt. Bevor Sie diese Aufgabe durchführen können, müssen Sie den Prüfer der Sicherheitsgruppe für IAS Admins in Active Directory hinzufügen. So überprüfen Sie das Ereignisprotokoll mithilfe der Ereignisanzeige auf fehlgeschlagene Authentifizierungsversuche
Archivieren und Löschen der IAS-RADIUS-ProtokolldateienIAS verfügt über eine Funktion, mit der die älteste IAS-RADIUS-Protokolldatei gelöscht wird, wenn auf dem Datenträger für die Protokollierung kein Platz mehr verfügbar ist. Sollten Sie diese automatische Funktion nicht verwenden, müssen Sie IAS-RADIUS-Anforderungsprotokolldateien manuell archivieren und löschen, um sicherzustellen, dass IAS über ausreichend Speicherplatz verfügt. Bei mangelndem Speicherplatz stoppt IAS die Bearbeitung der Authentifizierung und Kontoführung für Anforderungen von WLAN-APs. Die Protokollarchivierung kann auch mithilfe eines Skripts oder einer automatisierten SQL Server 2000-Replikationsstrategie (siehe "Zugreifen auf IAS-RADIUS-Anforderungsprotokoll" weiter vorne in diesem Kapitel) automatisiert werden. Hinweis: Bei dieser Lösung wird die IAS-Funktion verwendet, um die älteste Protokolldatei automatisch zu löschen, wenn der Datenträger voll ist. Zusammenfassung
AufgabendetailsEs gibt zahlreiche Methoden zum Archivieren und Löschen der Anforderungsprotokolle für RADIUS-Authentifizierung und -Kontoführung. Zum Beispiel kann ein serverbasiertes Sicherungsskript IAS-Sicherheitsprüfer per E-Mail darüber informieren, dass die Sicherung von Protokolldateien erfolgreich abgeschlossen wurde. Ein Sicherheitsprüfer kann dann eine Verbindung zum IAS-Server herstellen und die ältesten Protokolldateien löschen. Ein IAS-Prüfer kann RADIUS-Protokolldateien auch auf einem Band oder mithilfe eines an den Verwaltungscomputer angeschlossenen CD-Brenners auf einer CD-RW speichern und dann eine Verbindung zum IAS-Server herstellen und die ältesten, nicht mehr erforderlichen Protokolldateien löschen. Bei dieser Lösung wird IAS so konfiguriert, dass jeden Monat eine neue Protokolldatei angelegt wird. Sie sollten eine Strategie entwickeln, bei der ausreichend Daten online verfügbar bleiben, um Netzwerkzugriffsinformationen für verschiedene Szenarien zu rekonstruieren. Wenn beispielsweise die Daten von drei Monaten online in drei getrennten Protokolldateien vorliegen, sind möglicherweise nur die letzten beiden Dateien erforderlich, um Netzwerkzugriffsinformationen zu rekonstruieren, die zum Nachverfolgen von Sicherheitsereignissen erforderlich sind. Daher können Sie in diesem Fall die älteste der drei Dateien archivieren und löschen. Detaillierte Informationen zur Sicherung von RADIUS-Anforderungsprotokollen sowie anderen IAS-Daten finden Sie unter "Konfigurieren der Sicherung der IAS-Datenverzeichnisse" in diesem Kapitel. Diese Aufgabe leitet Sie durch das Archivieren und Löschen von RADIUS-Protokollen mithilfe einer Administrationsstation. So archivieren und löschen Sie RADIUS-Anforderungsprotokolldateien
Aufgaben SupportDie SMFs im Support-Quadranten umfassen sowohl reaktive als auch proaktive Aufgaben zur Aufrechterhaltung der erforderlichen Servicelevels. Die reaktiven Funktionen hängen von den Fähigkeiten eines Unternehmens ab, auf Probleme schnell und angemessen reagieren zu können. Die wünschenswerteren, proaktiven Funktionen dienen der Vermeidung von Dienstunterbrechungen, indem Probleme erkannt und behoben werden, bevor sie zu einer Beeinträchtigung der Servicelevels führen. Dies geschieht durch eine sorgfältige Überwachung der Dienstlösung auf bestimmte Schwellenwerte und durch ausreichende Reaktionszeiten für die Administration, die so auf potenzielle Probleme reagieren kann, bevor diese zu Ausfällen führen. Dieser Quadrant steht in engem Zusammenhang mit der unter "Aufgaben Betrieb" beschriebenen SMF für Dienstüberwachung und -steuerung. Durch Dienstüberwachung und -steuerung werden wichtige Informationen bereitgestellt, anhand derer Admin- und Supportmitarbeiter Probleme feststellen können. Die in diesem Abschnitt beschriebenen Verfahren beziehen sich auf die gängigsten Probleme und sollen Ihnen bei ihrer Beseitigung helfen. Dieser Abschnitt enthält Informationen zu folgenden SMFs:
Für die übrigen SMFs gibt es keine Aufgaben:
VorfallverwaltungBei der Vorfallverwaltung werden Fehler und Unterbrechungen behandelt, die beim Einsatz von IT-Diensten entstehen und von Kunden oder IT-Partnern gemeldet werden. Es geht hierbei in erster Linie um eine schnellstmögliche Wiederherstellung der Umgebung und die Minimierung von nachteiligen Auswirkungen auf Geschäftsabläufe sowie die Gewährleistung höchstmöglicher Qualität und Verfügbarkeit von Diensten. Der hier beschriebene Normalzustand entspricht dabei dem im Service Level Agreement (SLA) definierten Normalzustand. Hinweis: Informationen zu allgemeinen Problembehandlungsfragen im Zusammenhang mit dem Windows XP-WLAN-Client finden Sie in den Verweisen unter "Weitere Informationen" am Ende dieses Kapitels. Überprüfen des Status des Ordners der Client-NetzwerkverbindungenDer Ordner "Netzwerkverbindungen" und die Benachrichtigungssymbole in Windows XP geben Informationen zum Status der WLAN-Authentifizierung. Mit dieser Aufgabe kann ein Endbenutzer oder ein Helpdesk-Mitarbeiter den Status der WLAN-Verbindung auf dem Clientcomputer überprüfen. Wenn eine Authentifizierung zusätzliche Informationen vom Benutzer erfordert (z. B. die Auswahl eines oder mehrerer Benutzerzertifikate), wird eine Sprechblase mit entsprechenden Anweisungen für den Benutzer angezeigt. Diese Aufgabe wird während der Problembehandlung verwendet. Zusammenfassung
AufgabendetailsIm Ordner "Netzwerkverbindungen" wird der Status der Authentifizierung durch den Text angegeben, der unter dem Namen der Verbindung für den entsprechenden WLAN-Netzwerkadapter angezeigt wird. Wenn Sie den Status der Verbindung überprüfen, können Sie auf der Registerkarte Allgemein die Signalstärke und auf der Registerkarte Support die Konfiguration der IP-Adresse anzeigen. Wenn der WLAN-Adapter über eine Adresse für das Automatic Private IP Addressing (APIPA) verfügt (169.254.0.0/16) oder wenn er in den TCP/IP-Eigenschaften des Adapters mit einer alternativen IP-Adresse konfiguriert wurde, war die Authentifizierung zwar nicht erfolgreich, der drahtlose Windows XP-Client ist jedoch weiterhin dem WLAN-AP zugeordnet. Wenn die Authentifizierung fehlschlägt und die Zuordnung weiterhin besteht, wird der WLAN-Adapter von Windows aktiviert und der normale Konfigurationsprozess von TCP/IP durchgeführt. Da in diesem Beispiel keine erfolgreiche Authentifizierung des Clients beim WLAN stattfand, kann kein DHCP-Server (Dynamic Host Configuration Protocol) gefunden werden daher konfiguriert TCP/IP automatisch eine APIPA oder eine alternative Adresse. In solchen Fällen sollten Sie den Grund für die fehlgeschlagene WLAN-Authentifizierung auf dem IAS-Server untersuchen oder die Ablaufverfolgung auf dem Clientcomputer aktivieren und überprüfen. So überprüfen Sie den Status im Ordner "Netzwerkverbindungen"
Aktivieren und Deaktivieren der Ablaufverfolgung auf ClientcomputernWindows unterstützt eine ausführliche Ablaufverfolgung, um Helpdeskmitarbeiter und Entwickler bei der Behebung von Problemen mit Softwarekomponenten zu unterstützen. Ablaufverfolgung bietet ein höheres Maß an Ausführlichkeit als Ereignisprotokolle; gewonnene Informationen werden in Textprotokolldateien gespeichert. Um ausführliche Informationen über den Authentifizierungsprozess für EAP (Extensible Authentication Protocol) zu erhalten, müssen Sie die Ablaufverfolgung für die Komponenten EAPOL (EAP over LAN) und RASTLS (Remote Access Service Transport Layer Security) aktivieren. Zusammenfassung
AufgabendetailsNachdem die folgenden Befehle ausgeführt wurden, versuchen Sie den Authentifizierungsprozess erneut, und öffnen Sie die Dateien Eapol.log und Rastls.log im Ordner %SystemRoot%\Tracing. So aktivieren Sie die Ablaufverfolgung auf Clientcomputern
So deaktivieren Sie die Ablaufverfolgung auf Clientcomputern
Überprüfen von Domänennamenzeichenfolgen auf ClientcomputernDie folgende Aufgabe kann von Nutzen sein, wenn Sie auf Clientcomputern die Domänennamenüberprüfung für Zertifikate aktiviert haben. Diese Einstellung ist in der vorliegenden Lösung nicht aktiviert, da sie potenziell verwirrende WLAN-Dialogfelder für Benutzer generieren könnte. In Windows XP Professional SP1 ist diese Option ebenfalls standardmäßig deaktiviert. Clientcomputer können während der gegenseitigen EAP-TLS-Authentifizierung keine Zertifikatssperrungsüberprüfung durchführen, da die Speicherorte von Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) in der Regel erst zur Verfügung stehen, nachdem der Zugriff auf das WLAN gewährt wurde. Windows-Clients können jedoch den gesamten oder eines Teil des Servernamens in dem vom IAS-Server vorgelegten Zertifikat überprüfen. Diese Funktionalität wird in den Einstellungen für Drahtlosnetzwerkrichtlinien im Gruppenrichtlinienobjekt für WLAN-Clients konfiguriert. (Für diese Einstellungen wird eine ähnliche Benutzeroberfläche angezeigt wie für die Einstellungen für Drahtlosnetzwerke in den Netzwerkadaptereigenschaften auf dem Clientcomputer.) Wenn der WLAN-Client versucht, das Serverzertifikat zu überprüfen, und Sie im Feld Connect if the server name ends with einen falschen Wert für die IAS-Serverdomäne eingegeben haben, schlägt die Authentifizierung fehl. Sie müssen diese Aufgabe möglicherweise bei der Behandlung von Problemen mit der Clientauthentifizierung ausführen, wenn Sie die Option Verbindung mit diesen Servern herstellen aktiviert haben. Zusammenfassung
AufgabendetailsAnhand dieser Aufgabe können Sie überprüfen, ob die Domänennamenzeichenfolge im Dialogfeld Eigenschaftender Netzwerkverbindung des WLAN-Netzwerkadapters auf dem Client oder im GPO für Drahtlosnetzwerkrichtlinien richtig angezeigt wird. So überprüfen Sie die Domänennamenzeichenfolge auf Clientcomputern
Anzeigen von IAS-Authentifizierungsereignissen im EreignisprotokollStandardmäßig werden erfolgreich und nicht erfolgreich verlaufene Clientauthentifizierungsversuche im Systemereignisprotokoll auf den IAS-Servern aufgezeichnet. Diese Aufzeichnungen können bei der Problembehandlung sehr hilfreich sein. Die Ereignisprotokollierung ist im IAS-MMC-Snap-In auf der Registerkarte Dienst für die IAS-Servereigenschaften standardmäßig für alle Arten von IAS-Ereignissen (abgelehnte, verworfene und erfolgreiche Authentifizierungsereignisse) aktiviert. Mit dieser Aufgabe können IAS-Administratoren die Helpdeskmitarbeiter bei der Behandlung von Problemen mit der Computer- und Benutzerauthentifizierung unterstützen, indem Sie Authentifizierungsereignisse in den IAS-Server-Ereignisprotokollen anzeigen. Sollten IT-Helpdeskmitarbeiter Zugriff auf Informationen für die Authentifizierung von drahtlosen Clients in den Ereignisprotokollen des IAS-Systems benötigen, haben Sie verschiedene Möglichkeiten:
Das Gewähren von Zugriff auf die IAS-Systemereignisprotokolle kann ein Sicherheitsrisiko darstellen. Dies gilt besonders für Server, auf denen IAS- und Domänencontroller-Serverrollen kombiniert sind. Zusammenfassung
AufgabendetailsDie Anzeige von Authentifizierungsversuchen im Systemereignisprotokoll ist nützlich bei der Problembehandlung von Authentifizierungsversuchen, die von IAS abgelehnt wurden. Wenn mehrere RAS-Richtlinien konfiguriert sind, können Sie das Protokoll verwenden, um den Namen der RAS-Richtlinie zu ermitteln, die den Verbindungsversuch akzeptiert oder abgelehnt hat (siehe "Policy-Name" in der Ereignisbeschreibung). Darüber hinaus gibt das Authentifizierungsereignis (Quelle: IAS, Ereigniskennung 1 für Annahme und 2 für Ablehnung) Gründe an, für die zugehörige Beschreibungen existieren, die in Windows Server 2003 unter "Hilfe und Support" erläutert werden. Die Aktivierung der Protokollierung von IAS-Ereignissen und das Lesen des Textes der IAS-Authentifizierungsereignisse im Systemereignisprotokoll sind die beste Vorgehensweise zur Behandlung von Problemen gescheiterter IAS-Authentifizierungen. So zeigen Sie das Systemereignisprotokoll für Authentifizierungsereignisse an
Aktivieren und Deaktivieren der Ablaufverfolgung auf dem IAS-ServerWindows unterstützt eine ausführliche Ablaufverfolgung, um Helpdeskmitarbeiter und Entwickler bei der Behebung von Problemen mit Softwarekomponenten zu unterstützen. Die Ablaufverfolgung stellt ausführlichere Informationen als die Ereignisprotokolle bereit und speichert diese in Textprotokolldateien. Windows Server 2003 verfügt über eine umfassende Funktion zur Ablaufverfolgung, die Sie bei der Behandlung komplexer Probleme mit bestimmten Komponenten einsetzen können. Mit dem Befehl netsh können Sie die Komponenten in Windows Server 2003 aktivieren, für die Ablaufverfolgungsinformationen in Dateien aufgezeichnet werden sollen. Zusammenfassung
AufgabendetailsVerwenden Sie den Befehl netsh, um die Ablaufverfolgung für bestimmte oder für alle Komponenten zu aktivieren oder zu deaktivieren. Die nützlichsten Komponenten zur Ablaufverfolgung von EAP-TLS-basierten 802.1X-Authentifizierungsfehlern sind folgende:
Die folgenden Informationen zur Ablaufverfolgung für IAS werden für die Fehlerbehandlung bei der 802.1X-Authentifizierung mithilfe von EAP-TLS in der Regel nicht benötigt, können aber für die Fehlerbehandlung anderer Tasks nützlich sein:
So aktivieren Sie die Ablaufverfolgung auf dem IAS-Server
So deaktivieren Sie die Ablaufverfolgung auf dem IAS-Server
Da IASSAM-Ablaufverfolgungsprotokolle standardmäßig nur einen Umfang von maximal einem Megabyte (1 MB) erreichen können, besteht die Gefahr, dass zu Zeiten starker Auslastung wertvolle Daten überschrieben werden. Führen Sie die nachfolgenden Schritte aus, um die Größe des IASSAM-Ablaufverfolgungsprotokolls auf 15 MB festzulegen. Bei Erreichen einer Protokollgröße von 15 MB wird die Datei in IASSAM.old umbenannt und eine neue IASSAM.log erstellt. Durch dieses Verfahren wird es möglich, 30 MB an Protokolldaten auf dem Server zu speichern. So legen Sie für die IASSAM-Ablaufverfolgungsdatei eine Größe von 15 MB fest
Aktivieren der SChannel-Protokollierung auf dem IAS-ServerSecure Channel (SChannel) ist ein Sicherheitsunterstützungsanbieter (Security Support Provider, SSP), der eine Reihe von Internet-Sicherheitsprotokollen wie Secure Sockets Layer (SSL) und Transport Level Security (TLS) unterstützt. Zusammenfassung
AufgabendetailsDie Protokollierung von nicht erfolgreichen Prüfungen von Clientzertifikaten ist ein SChannel-Ereignis, das nicht standardmäßig auf dem IAS-Server aktiviert ist. So aktivieren Sie die SChannel-Protokollierung auf dem IAS-Server Ändern Sie zur Aktivierung von zusätzlichen SChannel-Ereignissen den folgenden Registrierungsschlüsselwert von 1 (Typ REG_DWORD, Daten 0x00000001) in 3 (Typ REG_DWORD, Daten 0x00000003): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders Achtung: Die inkorrekte Bearbeitung der Registrierung kann Ihrem System erhebliche Schäden zufügen. Vor der Änderung der Registrierung sollten Sie unbedingt alle wichtigen Daten auf dem Computer sichern. Sie sollten SChannel-Protokollierung nach der Problembehandlung unbedingt deaktivieren, da sie Ressourcen beansprucht und das Ereignisprotokoll mit unerwünschten Einträgen überschwemmen kann. Aufgaben OptimierungDer Aufgabenbereich, der in diesem Quadranten abgedeckt wird, beinhaltet die SMFs zur Kostenverwaltung bei gleichzeitiger Aufrechterhaltung oder Verbesserung der Servicelevels. Dazu gehören das Analysieren von Ausfallzeiten/Vorfällen, Prüfung von Kostenstrukturen, Mitarbeiterbewertungen, Verfügbarkeiten und Leistung sowie Kapazitätsvorhersagen. Dieser Abschnitt enthält Informationen zu folgenden SMFs:
Für die übrigen SMFs gibt es keine Aufgaben:
KapazitätsverwaltungDie Kapazitätsverwaltung beinhaltet die notwendigen Prozesse für die Planung, Dimensionierung und Überwachung der Dienstlösungskapazitäten, so dass diese den im SLA vereinbarten Parametern entsprechen. Dieser Prozess erfordert Informationen zu Nutzungsszenarien, Mustern und Spitzenauslastung der Dienstlösung sowie die festgelegten Leistungsanforderungen. Bestimmen der Spitzenlast auf dem IAS-ServerIn diesem Abschnitt finden Sie Angaben zur wahrscheinlichen maximalen Auslastung des IAS-Servers. Für IAS-RADIUS-Server, die ordnungsgemäß dimensioniert und konfiguriert sind, stellt die Leistung in der Regel kein Problem dar. Die Belastung von IAS-RADIUS-Servern ist zu Spitzenlastzeiten am höchsten, also z. B. in den Morgenstunden, wenn sich viele Benutzer gleichzeitig anmelden, kurz nach einem größeren Netzwerkausfall oder bei einem Ausfall des RADIUS-Servers nach einem Failover von WLAN-APs auf einen Sicherungsserver. Zusammenfassung
AufgabendetailsIn internen Tests hat Microsoft herausgefunden, dass IAS auch bei moderatem Hardwareeinsatz Spitzenlasten erreichen können. Dies ist für die meisten Kundenanforderungen ausreichend. Die Anzahl von Authentifizierungen, die IAS bearbeiten kann, wird am besten in Authentifizierungen pro Sekunde angegeben. Es hat sich gezeigt, dass IAS auf einem Intel Pentium 4-Server mit 2 GHz und Windows Server 2003 mit Active Directory auf einem separaten Intel Pentium 4-Server mit 2 GHz die folgenden Leistungswerte erreicht. Tabelle 12.10: Bestimmen der Last auf dem IAS-Server
Hinweis: Für die Richtigkeit dieser Informationen wird keine Gewähr übernommen; sie dienen ausschließlich als Richtlinien für die Kapazitätsplanung und nicht zum Leistungsvergleich: IAS kann so konfiguriert werden, dass datenträgerbasierte Textprotokolle mit unterschiedlichen Mengen an RADIUS-Anforderungsinformationen erstellt werden. Aufgrund des erhöhten Aufwands, der sich für die RADIUS-Server aus der RADIUS-Protokollierung ergibt, sollten Sie einen hochleistungsfähigen Datenträger zur Speicherung der RADIUS-Protokolle einplanen. Langsame Festplattensubsysteme können die IAS-RADIUS-Antworten an WLAN-APs verzögern. Dies wiederum kann zu Zeitüberschreitungen bei der Protokollierung und zu einer unnötigen Nutzung der sekundären RADIUS-Server durch die WLAN-APs im Rahmen einer Failover-Strategie führen. Weitere Informationen zu den Optionen für die RADIUS-Protokollierung finden Sie in Kapitel 5, "Entwerfen der RADIUS-Infrastruktur für die WLAN-Absicherung". Darüber hinaus führt die Aktivierung der Ablaufverfolgungsfunktionen für Windows 2003 Server-Software (siehe vorherigen Abschnitt "Aktivieren und Deaktivieren der Ablaufverfolgung auf dem IAS-Server") zu einer zusätzlichen Belastung der IAS-Server. Jedoch kann dies in manchen Fällen für die Behandlung von Netzwerkzugriffsproblemen erforderlich sein. IAS-Server sollten ausreichend Kapazität aufweisen, um für eine begrenzte Zeitdauer mit aktivierter Ablaufverfolgung arbeiten und die Produktionslast dennoch bewältigen zu können. Bestimmen von Speicher- und Sicherungsanforderungen auf dem IAS-ServerIn diesem Abschnitt finden Sie Angaben zur Planung der Speicheranforderung von IAS. Diese Angaben sollen im Rahmen der Kapazitätsplanung bei der Berechnung des künftig erforderlichen Speicherplatzes für Online- und Offline-Sicherungen behilflich sein. Zusammenfassung
AufgabendetailsIAS-RADIUS-Protokolldateien sind die einzige Komponente auf IAS-Servern, für die eine Planung der Speicherkapazität erforderlich ist. RADIUS-Anforderungsprotokolle für diese Lösung sind so konfiguriert, dass jeden Monat ein neues Protokoll erstellt wird. Bei den Hardwaretests während der Entwicklung dieser Lösung wurde eine dedizierte 18-GB-Festplatte für die Speicherung von Protokolldateien verwendet. Schätzen Sie zunächst die Auslastung der IAS-Server in Ihrer Umgebung, wählen Sie anschließend die Protokollierungsoptionen aus, und testen Sie schließlich die Einstellungen in einer Testumgebung, um die Authentifizierung von drahtlosen Clients beim IAS und die damit verbundene Generierung von Protokolldaten zu simulieren. Die folgende Berechnung ist ein Beispiel für die Berechnung der geschätzten Auslastung: Die durchschnittliche Anzahl von Benutzern pro WLAN-AP beträgt 25 (Benutzer oder Computer). Jeder Benutzer bzw. Computer führt eine erste Authentifizierung durch, gefolgt von einer erneuten Authentifizierung alle 10 bis 60 Minuten (abhängig von den jeweiligen Sicherheitsanforderungen). Jede Authentifizierung erzeugt 1 KB Protokollinformationen, die auf dem Datenträger gespeichert werden. Protokolliert werden Authentifizierungsanforderungen und Überprüfungsanforderungen. Zwischenzeitliche Anforderungen werden nicht protokolliert (die Dateigröße variiert je nach ausgewählten Protokollierungsoptionen). Berechnen Sie den Speicherplatz für die Protokollierung, der pro WLAN-AP pro Stunde auf dem Datenträger benötigt wird, wenn 25 Benutzer unterstützt werden. Schätzen Sie anschließend, wie viele WLAN-APs Ihr IAS-Server bei hoher Auslastung des Netzwerks oder einem Server-Failover unterstützen kann. Die Daten der IAS-RADIUS-Anforderungsprotokolle können sehr stark komprimiert werden. Obwohl dies für den normalen Betrieb nicht empfohlen wird, kann bei Bedarf die Datenkomprimierung für den Ordner mit den RADIUS-Anforderungsprotokolldateien aktiviert werden. Rechnen Sie auf einem IAS-Server, auf dem Daten komprimiert werden müssen, mit einer zusätzlichen Auslastung. Zeitfenster für die Sicherung von IAS-RADIUS-ProtokolldateienWenn eine Netzwerksicherung unter idealen Bedingungen mit einem dedizierten Switch mit einer Bandbreite von 100 Mbit/s (Megabit pro Sekunde) Daten an den Sicherungsserver senden kann, kann eine Datenbank mit 3 GB plus 500 MB Informationen zum Systemstatus innerhalb von 15 bis 20 Minuten gesichert werden. Aufgaben ÄnderungIn diesen Quadranten fallen Prozesse und Verfahren zur Aufnahme, Überprüfung, Genehmigung und Integration von Änderungen in einer verwalteten IT-Umgebung. Änderungen können Hard- und Software sowie bestimmte Prozesse und Vorgänge betreffen. Ziel des Änderungsprozesses ist die Einführung neuer Technologien, Systeme, Anwendungen, Hardware, Tools und Prozesse sowie Veränderungen an Rollen und Verantwortlichkeiten ohne großen Verzug und mit möglichst geringen Auswirkungen auf den Betrieb. ÄnderungsverwaltungDie SMF "Änderungsverwaltung" ist für die Verwaltung von Änderungen in einer IT-Umgebung zuständig. Eines der Hauptziele der Änderungsverwaltung besteht darin, dafür Sorge zu tragen, dass alle Beteiligten die Auswirkungen einer anstehenden Änderung kennen und verstehen. Da die meisten Systeme eng miteinander verzahnt sind, wirken sich Änderungen in einem Teil des Systems häufig sehr stark auf andere Bereiche aus. Um nachteilige Auswirkungen abzufangen oder zu eliminieren, versucht die Änderungsverwaltung sämtliche betroffenen Systeme und Prozesse vor Bereitstellung der Änderung zu identifizieren. Meist wird dabei auf die Produktionsumgebung abgezielt; es sollten jedoch auch die wichtigsten Integrations-, Test- und Bereitstellungsumgebungen berücksichtigt werden. Alle Veränderungen an der RADIUS-Infrastruktur und der WLAN-Absicherung sollten dem folgenden MOF-Standardprozess für die Änderungsverwaltung folgen:
In den folgenden Abschnitten finden Sie Verfahren zur Änderungsentwicklung für einige Schlüsselaufgaben, die Sie wahrscheinlich für Ihre Umgebung benötigen. Jeder Änderungsentwicklung ist dabei ein korrespondierendes Verfahren zur Veröffentlichung zugeordnet, das beschreibt, wie Sie die Änderung in Ihre Produktionsumgebung überführen. Verwalten von BetriebssystemupdatesDie Verwaltung von Sicherheitsupdates für RADIUS- und WLAN-Softwarekomponenten ist Bestandteil der allgemeinem Patchverwaltung von Windows. Dieses Thema wird in zwei Lösungshandbüchern von Microsoft behandelt, in denen die Bereitstellung von Windows-Systemupdates mithilfe von Microsoft Systems Management Server (SMS) bzw. Microsoft Software Update Services (SUS) beschrieben wird. Im Abschnitt "Weitere Informationen" am Ende dieses Kapitels erhalten Sie Informationen dazu, wie Sie diese Dokumentationen beziehen können. Die Patchverwaltung umfasst Veröffentlichungs- und Konfigurationsverwaltungskomponenten sowie eine Komponente zur Änderungsverwaltung. Alle drei SMFs werden in den Dokumentationen behandelt, auf die im vorangegangenen Absatz verwiesen wurde. KonfigurationstabellenDie folgenden Tabellen enthalten standort- und lösungsspezifische Konfigurationswerte, die von den Verfahren in diesem Kapitel verwendet werden. Diese Tabellen sind Teil der Planungskonfigurationstabellen in Kapitel 8, "Implementieren der RADIUS-Infrastruktur" und Kapitel 9, "Implementieren der Infrastruktur für die WLAN-Absicherung", und werden hier lediglich zu Referenzzwecken aufgeführt. Standortspezifische KonfigurationsparameterTabelle 12.11: Benutzerdefinierte Konfigurationsobjekte
Konfigurationsparameter der LösungTabelle 12.12: Durch die Lösung vorgegebene Konfigurationsobjekte
Weitere Informationen
|
In diesem Beitrag
|
