Auf dieser SeiteEinführungMithilfe dieses Testhandbuchs können Sie überprüfen, ob Ihre Implementierung der Lösung Sichern von Wireless LANs mit Zertifikatsdiensten wie erwartet funktioniert. Die Anweisungen in diesem Kapitel wurden vom Testteam der Microsoft Solutions for Security (MSS) als Teil der internen Tests der Lösung entwickelt und verwendet. Dieses Handbuch enthält Informationen über den Umfang, die Ziele und die Strategien der Tests, die Testumgebung, die verwendeten Tools sowie Details zu den Testfällen. Zuletzt wird über die Ergebnisse des Testteams berichtet. Ziel dieses DokumentsZiel dieses Kapitels ist die Bereitstellung eines vorgefertigten Test-Frameworks, mit dem die Bereitstellung bzw. Umsetzung der jeweiligen Lösung getestet werden kann. Nach dem Durchlaufen der verschiedenen Testfälle sollte kein Zweifel mehr bestehen, dass die in einer Testumgebung oder in einer Produktionsumgebung bereitgestellte Lösung wie erwartet umgesetzt werden kann. TestumfangDie getestete Lösung basiert auf dem in Kapitel 3 "Architektur der sicheren WLAN-Lösung" beschriebenen fiktiven Unternehmensprofil. Im Testumfang enthaltenDas Testteam hat verschiedene Tests durchgeführt, um die Lösung zu überprüfen. Jede Testphase enthielt verschiedene Kombinationen dieser Tests. Die verschiedenen Testtypen waren: | • | Baselinetests | | • | Funktionstests | | • | Betriebstests |
Diese Tests werden im Abschnitt "Testfälle" im weiteren Verlauf dieses Kapitels beschrieben. Die drei Testtypen wurden vom Testteam mit den folgenden in der Lösung verwendeten Komponenten durchgeführt: | • | PKI, bestehend aus: | • | Stamm-CA (Certification Authority, Zertifizierungsstelle) | | • | Ausstellende Zertifizierungsstelle |
| | • | Microsoft Internetauthentifizierungsdienst (IAS) | | • | Wireless-Clients: | • | Microsoft® Windows® XP Professional mit Service Pack 1 (SP1) | | • | Windows XP Tablet PC Edition mit SP1 |
|
Mit den Tests wurde außerdem sichergestellt, dass nach der Installation der einzelnen Komponenten der Lösung der Client-Zugriff auf die folgenden Dienste genauso zuverlässig erfolgt wie vorher (Eine Funktionalitätsminderung aufgrund der Verwendung der zuvor aufgelisteten Lösungskomponenten oder Veränderungen dieser Komponenten während der Konfiguration konnte nicht festgestellt werden): | • | Netzwerkkonnektivität | | • | Domänencontroller | | • | IP-Konfiguration Dynamic Host Configuration Protocol (DHCP) | | • | Namensauflösung Domain Name System (DNS) | | • | Dateidienste Dateiserver | | • | Webdienste Internetinformationsdienste (IIS) | | • | E-Mail-Dienste Microsoft Exchange 2000 | | • | Drahtloser Netzwerkzugang WLAN |
Im Testumfang nicht enthaltenDie folgenden Bereiche sind nicht im Testumfang enthalten: | • | Bewertung der Sicherheitslücken und Penetration Tests der Lösung durch eine kommerzielle Sicherheitsberatung. | | • | Integration einer Infrastruktur öffentlicher Schlüssel (PKI) von Drittanbietern. | | • | Ausgiebige Tests der folgenden Serverrollen (neben den Serverrollen, die zur Überprüfung der Funktionalität der Lösung benötigt werden): | • | Domänencontroller, Dynamic Host Configuration Protocol (DHCP) und Domain Name System (DNS) | | • | Exchange Server 2000 | | • | Webserver sowie Datei- und Druckserver | | • | Microsoft Operations Manager (MOM) |
| | • | Ausgiebige Tests der folgenden Clientdienste (auch diese Dienste werden zur Überprüfung der Funktionalität der Lösung verwendet): | • | DNS und DHCP | | • | Datei | | • | Webserver | | • | E-Mail |
| | • | Vom Testumfang ausgeschlossen sind Clients, die die folgenden Softwareversionen verwenden: | • | Windows 2000 Professional | | • | Pocket PCs mit Windows CE | | • | Microsoft Windows NT® Server Version 4.0 | | • | Windows 9x | | • | Nicht-Windows-Clients |
|
ZieleMit den Tests sollte Folgendes sichergestellt werden: 1. | Alle Anleitungen dieser Lösung sind verständlich, vollständig und technisch korrekt. | 2. | Unter Verwendung von Zertifikatsdiensten bietet die Lösung sicheres WLAN ohne nachteilige Auswirkungen auf die bestehende Funktionalität, Leistung sowie die Sicherheitsrichtlinien der Infrastruktur. | 3. | Die Lösung ist leicht implementierbar. IT-Profis mit MCSE 2000-Zertifizierung (Microsoft Certified Systems Engineer) oder entsprechender Erfahrung, die mit Zertifikatsdiensten und IAS vertraut sind, sollten bei der Verwendung dieser Anleitung keinerlei Probleme haben. |
TeststrategieZur Erreichung der gesetzten Testziele erstellte das Testteam eine auf einem fiktiven Unternehmensprofil (Woodgrove Bank; 15.000 Benutzer) basierende Testumgebung. Diese Testumgebung wird im weiteren Verlauf dieses Kapitels beschrieben. Der Test wurde in die folgenden Phasen eingeteilt: | • | Die Lösung wurde als Teil des Entwicklungsprozesses von den Entwicklern getestet. | | • | Systemtest Teil 1 | | • | Systemtest Teil 2 | | • | Systemregressionstests |
Die für den Test verwendeten Infrastrukturserver beinhalteten die folgenden Rollen (einige dieser Rollen wurden auf einem Server miteinander kombiniert): | • | Domänencontroller, DHCP und DNS | | • | Webserver sowie Datei- und Druckserver | | • | Microsoft Exchange Server – E-Mail-Server | | • | Microsoft Outlook® Web Access Server | | • | Active Directory® -Domänencontroller |
Diese Dienste wurden vor der Bereitstellung sämtlicher Lösungskomponenten mithilfe der Baselinetests überprüft. Während des zweiten Teils des Tests wurde die bei jedem Infrastrukturserver durchgeführte Datensicherung verwendet. Beim Regressionstest wurde dieselbe Infrastruktur verwendet wie beim zweiten Teils des Tests. Teil 1 und 2 des Tests wurden jeweils in zwei aufeinander aufbauende Phasen (Regressionszyklen) aufgeteilt: 1. | PKI-Zertifikatsdienstphase | 2. | WLAN-Phase |
Diese beiden Phasen werden im weiteren Verlauf dieses Dokuments ausführlich erklärt. Alle kritischen Zustände, die während einer Phase auftraten, wurden vom Testteam als Bugs berichtet und korrigiert, bevor der Test in die nächste Phase ging. Dank dieser Strategie konnte das Testteam kritische Vorfälle schnell lösen und auf kosten- und zeitaufwändiges Debugging verzichten. Durch die Durchführung von Tests mit mehreren Testphasen (oder Zyklen) konnte außerdem sichergestellt werden, dass in Testphase N festgestellte nicht-kritische Probleme in der Regressionstestphase N+1 gelöst werden konnten und somit eine qualitativ hochwertige Lösung möglich wurde. Am Ende des dritten Regressionstestzyklus war die endgültige Lösung erreicht. Die folgende Abbildung zeigt den für die Lösung in diesem Handbuch verwendeten Testansatz: TestphasenDie Testreihenfolge folgte einer logischen Anordnung. Jede Phase baute auf der vorigen auf und bestand aus folgenden Schritten: 1. | Einstiegskriterium: Beginn der Phase | 2. | Komponentenaufbau | 3. | Durchführung verschiedener Tests | 4. | Schlusskriterium: Ende der Phase |
PKI-PhaseDas Einstiegskriterium für diese Phase war der erfolgreiche Abschluss der Baselinetests auf den Infrastrukturservern. Folgende Schritte wurden in dieser ersten Phase ausgeführt: 1. | PKI-Aufbau: Dieser Schritt umfasste die Implementierung der Zertifikatsdienste im Netzwerk, d. h. Installation, Aufbau und Konfiguration der Server der Stamm-CA und der ausstellenden CA. Gleichzeitig war dies die Komponentenausbaustufe dieser Phase. | 2. | Baselinetests: In diesem Schritt wurde sichergestellt, dass die Zertifikatsdienste die vorhandene Infrastruktur und Clientdienste nicht beeinträchtigen. | 3. | Funktionstests: In dieser Stufe wurde sichergestellt, dass die CAs erfolgreich in die Testumgebung implementiert und voll funktionsfähig waren. | 4. | Betriebstests: In diesem Schritt wurde sichergestellt, dass die CAs wie geplant von den vorgesehenen administrativen Rollen verwaltet werden konnten. Mit diesen Tests wurden die verschiedenen Komponenten der im Lösungshandbuch beschriebenen Zertifikatsdienste überprüft. |
Das Schlusskriterium für diese Phase war der erfolgreiche Abschluss der obigen Tests. WLAN-PhaseDas Einstiegskriterium für den Aufbau der zweiten inkrementellen Phase, der WLAN-Phase, war der erfolgreiche Abschluss der PKI-Phase. Zunächst wurden die IAS-Server installiert und anschließend die WLAN-Komponenten konfiguriert. Folgende Schritte wurden in dieser Phase ausgeführt: 1. | IAS-Aufbau: In diesem Schritt wurden die IAS-Server entsprechend den Anleitungen im Lösungshandbuch im Netzwerk sowohl im Bereich der Hauptverwaltung als auch bei den Zweigstellen installiert und konfiguriert. | 2. | WLAN-Komponenten: In diesem Schritt wurden die WLAN-Komponenten aufgebaut und konfiguriert. | 3. | WLAN-Clients: Dieser Schritt umfasste die Konfiguration der WLAN-Clients. | 4. | Vollständige Baselinetests: In diesem Schritt wurde sichergestellt, dass die vorhandene Infrastruktur und Clientdienste nicht beeinträchtigt wurden. | 5. | Vollständige Funktionstests: In diesem Schritt wurde sichergestellt, dass die Lösung erfolgreich erstellt und implementiert wurde. Dies beinhaltete das Überprüfen der abgesicherten drahtlosen Zugriffsdienste im Netzwerk sowie deren Verwendung der in der vorherigen Phase aufgebauten PKI. | 6. | Vollständige Betriebstests: In diesem Schritt wurde sichergestellt, dass das sichere Netzwerk wie geplant verwaltet und gepflegt werden konnte. Dies beinhaltete das erneute Testen der Komponenten der Zertifikatsdienste unter Verwendung von Betriebs- und Verwaltungstests. |
Das Schlusskriterium für diese Phase war der erfolgreiche Abschluss der obigen Tests. TestumgebungDie Testumgebung wurde als funktionaler Teil der IT-Dienste konzipiert, die ein Unternehmen wie die Woodgrove Bank in Anspruch nehmen würde. Sämtliche für die Lösung erforderlichen bedeutenden Infrastrukturdienste wurden in der Testumgebung simuliert. Die Testumgebung simuliert eine Hauptverwaltung sowie eine kleine Zweigstelle die über eine gesteuerte WAN-Verbindung miteinander verknüpft werden. Folgende Infrastrukturserver wurden in der Testumgebung eingerichtet: | • | Domänencontroller, DHCP und DNS (Hauptverwaltung und Zweigstelle) | | • | Microsoft Exchange 2000 (auf Windows Advanced Server 2000; Hauptverwaltung) | | • | Webserver sowie Datei- und Druckserver (Hauptverwaltung) | | • | MOM (Hauptverwaltung) |
Folgende Komponenten waren auf den Lösungsservern vorhanden: | • | Stammzertifizierungsstelle (Hauptverwaltung) | | • | Ausstellende Zertifizierungsstelle (Hauptverwaltung) | | • | Primäre und sekundäre IAS-Server im Bereich der Hauptverwaltung und ein auf dem Domänencontroller der Zweigstelle installierter IAS-Dienst. |
HardwareDie Hardwarekonfiguration der Servercomputer in der Testumgebung basierte auf dem in der Lösung vorgegebenen Hardwareprofil und folgenden zusätzlichen Komponenten: | • | Desktop-Clients (Standard) | | • | Laptop (Standard) | | • | Tablet PC-Clients (Standard) | | • | 802.1X-fähige drahtlose Zugriffspunkte (Hauptverwaltung und Zweigstelle) | | • | Desktopcomputer für Routing- und WAN-Simulation | | • | Layer-3-Switch |
SoftwareDas in der Testumgebung verwendete Basisbetriebssystem für alle Serverrollen (außer Microsoft Exchange 2000 Server) war Windows Server 2003. Zusätzlich wurde für die Tests folgende Software verwendet: | • | Windows 2000 Advanced Server mit SP3 | | • | Windows Server 2003 Enterprise Edition | | • | Windows Server 2003 Standard Edition | | • | Exchange 2000 mit SP3 | | • | Windows XP Professional mit SP1 | | • | Windows XP Professional mit SP1 (Tablet Edition) | | • | MOM 2000 mit SP1 | | • | Microsoft SQL Server 2000 mit SP3 | | • | Outlook 2000 mit SP1 |
Zum Testen des abgesicherten drahtlosen Zugriffs verwendeten die Clients der Testumgebung folgende Betriebssysteme: | • | Windows XP Professional mit SP1 | | • | Windows XP Tablet PC Edition mit SP1 |
NetzwerkdiagrammDas folgende Diagramm zeigt eine ausführliche schematische Darstellung der Testumgebung. Konfiguration und EinstellungenDie Abbildung oben zeigt das in der Testumgebung zur Simulation des Woodgrove-Bank-Szenario errichtete Netzwerk. In diesem Szenario gibt es ein Hauptverwaltungsnetzwerk mit der für die Lösung benötigten Infrastruktur und den erforderlichen Servern. Darüber hinaus gibt es ein Zweigstellennetzwerk mit einem einzelnen Server, auf dem die Infrastruktur- und Lösungsdienste ausgeführt werden. Der WAN-Simulatorcomputer sorgt für einen verzögerten Datenverkehr and Bandbreiteneinschränkungen zwischen diesen Netzwerken. Die in der Testumgebung verwendeten Konfigurationen und Einstellungen entsprachen den Vorgaben in der Lösung. TesttoolsIn diesem Abschnitt werden die verschiedenen in den Tests verwendeten Tools beschrieben. Die meisten dieser Tools werden mit der Installation des Betriebssystems verfügbar. Anderenfalls können sie ausgehend vom Ordner Support\Tools der Installationsmedien des Windows Server 2003 installiert werden. SoftwareFür die Tests wurden folgende Tools verwendet: | • | Certutil Hierbei handelt es sich um ein leistungsfähiges Tool für Zertifikatsdienste, das für Setup, Konfiguration und Problembehandlung der CAs verwendet werden kann. | | • | Certreq Dieses Tool wird für das manuelle Anfordern eines Zertifikats von einer CA verwendet. Es ist über die Installationsmedien des Windows Server 2003 verfügbar. | | • | Ldifde Dieses Tool wird für den Import und Export von Active Directory-Informationen unter der Verwendung von LDAP Data Interchange Format-Dateien verwendet. Dieses Tool wurde für die Arbeit mit Zertifikatsvorlagen verwendet. | | • | Ntbackup Dieses Tool wird für die Sicherung und Wiederherstellung von Dateien verwendet. Es ist über die Installationsmedien des Windows Server 2003 verfügbar. |
SystemüberwachungDie folgenden Überwachungstools kamen in den Tests zum Einsatz: | • | Dcdiag Dieses Tool analysiert den Status von Domänencontrollern in einer Active Directory-Gesamtstruktur, meldet sämtliche Probleme und hilft bei der Problembehandlung. | | • | Jetpack Dieses Tool wird verwendet, um die Konsistenz der DHCP-Datenbank zu überprüfen. | | • | Agenthelper Dieses Tool ist ein MOM-Tool zur Überprüfung des OnePoint-Dienstes von MOM. | | • | PerfMon Dieses Tool ermöglicht das Anzeigen von Systemleistungsprotokollen, Warnungen und Leistungsindikatoren. | | • | NetMon Dieses Tool erfasst und filtert Bilder vom Netzwerkdatenverkehr mit dem Computer, auf dem dieses Tool installiert ist. | | • | IASparse Dieses Tool interpretiert IAS-Protokolldateien und beschreibt die verschiedenen RADIUS-Parameter (Remote Authentication Dial-In User Service) eingehend. | | • | Ereignisanzeige Dieses Tool ermöglicht das Anzeigen, Filtern und Exportieren der Windows Anwendungs-, Sicherheits- und Systemüberwachungsprotokolle. | | • | MOM-MMC Dieses Tool ist eine MOM-Verwaltungskonsole, die Informationen, Warnungen, Fehler und Protokolle kritischer Fehler für die vom MOM-Server verwalteten Agenten überwacht. | | • | PKIHealth Dieses Tool wird zur Diagnose von Problemen mit dem Zertifikatssperrlisten-Verteilungspunkt (Certificate Revocation List Distribution Point, CDP) und dem Autoritätsinformationszugriff (Authority Information Access, AIA) für alle CAs des Unternehmens verwendet. |
Benutzerdefinierte SkriptsFolgende Skripts fanden während den verschiedenen Testphasen Verwendung: | • | ca_setup.wsf Dieses Skript enthält die Befehle, die für das Konfigurieren und Erstellen der Zertifikatsdienste erforderlich sind. | | • | ca_setup.vbs Dieses Skript enthält den funktionalen Code zur Implementierung der Befehle, die im Skript ca_setup.wsf definiert sind. | | • | ca_monitor.wsf Dieses Skript enthält die Befehle, die für das Überwachen von CA-Diensten erforderlich sind. | | • | ca_monitor.vbs Dieses Skript enthält den funktionalen Code zur Implementierung der Befehle, die im Skript ca_monitor.wsf definiert sind. | | • | ca_operations.wsf Dieses Skript enthält die Befehle, die für das Ausführen von Betriebsschritten und Überwachungsaufgaben der Zertifikatsdienste erforderlich sind. | | • | ca_operations.vbs Dieses Skript enthält den funktionalen Code zur Implementierung der Befehle, die im Skript ca_operations.wsf definiert sind. | | • | constants.vbs Dieses Skript enthält konstante Parameter für Zertifikatsdienste, die in anderen Skripts verwendet werden. | | • | helper.vbs Dieses Skript enthält grundlegende Funktionen und Variablen, die in Zertifikats-, IAS- und WLAN-bezogenen Skripts verwendet werden. | | • | IASAccessPrep.txt Diese Textdatei enthält die Kopfzeilen, die zu IAS-Protokolldateien hinzugefügt werden, um diese in MS Access-Dateien zu konvertieren. | | • | IASClientExport.bat Diese Batchdatei bildet die RADIUS-Clientkonfiguration des IAS-Servers in einer Textkonfigurationsdatei auf dem Laufwerk A:\ ab. | | • | IASClientImport.bat Diese Batchdatei importiert die RADIUS-Clientkonfiguration aus einer Textkonfigurationsdatei des Laufwerkes A:\ auf den IAS-Server. | | • | IASExport.bat Diese Batchdatei bildet IAS-spezifische Konfigurationen in einer Textkonfigurationsdatei ab. | | • | IASImport.bat Diese Batchdatei importiert IAS-spezifische Konfigurationen aus einer Textkonfigurationsdatei auf den IAS-Server. | | • | ias_tools.wsf Dieses Skript enthält Befehle, die für das Konfigurieren von IAS-Servern erforderlich sind. | | • | ias_tools.vbs Dieses Skript enthält den funktionalen Code zur Implementierung der Befehle, die im Skript ias_tools.wsf definiert sind. | | • | IAS_Data.bat Diese Batchdatei enthält einen zum Konfigurieren von IAS-Servern benötigten Befehl. | | • | pkiparms.vbs Dieses Skript enthält benutzerspezifische Konstanten, die beim Konfigurieren von Zertifikatsdiensten verwendet werden. | | • | wl_tools.wsf Dieses Skript enthält Befehle, die für das Konfigurieren von WLAN-Komponenten erforderlich sind. | | • | wl_tools.vbs Dieses Skript enthält den funktionalen Code zur Implementierung der Befehle, die im Skript wl_tools.wsf definiert sind. |
Sämtliche oben genannten Skripts sind im Downloadpaket der Lösung enthalten. TestfälleDieser Abschnitt bietet einen detaillierten Überblick über die Tests, die zum Überprüfen der Lösung und Sicherstellen der Zielerreichung durchgeführt wurden. Darüber hinaus werden in diesem Abschnitt die Erfolgs- und Misserfolgskriterien der Testfälle dargestellt. Die hier aufgeführten Tests bilden nur einen kleinen Teil der kompletten Testreihe. Diese wird auf zwei Microsoft Excel-Arbeitsblättern dokumentiert, die im Downloadpaket der Lösung enthalten sind (weitere Informationen hierzu finden Sie auf der nächsten Seite ). Die in der folgenden Liste aufgeführten Testszenarien wurden nach der vollständigen, der Lösung entsprechenden Einrichtung der Testumgebung angewendet. Domänenbenutzer und -Computer wurden den entsprechenden Zertifikatsdiensten und Sicherheitsgruppen für drahtlosen Zugriff hinzugefügt; Benutzer wurden zur einmaligen Anmeldung über eine herkömmliche Verbindung mit dem Netzwerk verbunden, um den drahtlosen Client-Computern Gruppenrichtlinien zuweisen zu können. Die nachfolgenden Hauptszenarien wurden zum Überprüfen der Lösung in der Testumgebung getestet: | • | Automatische Registrierung von Benutzer- und Computerzertifikaten Wenn sich ein Benutzer über eine herkömmliche Netzwerkverbindung an der Domäne anmeldet, treten Gruppenrichtlinien für Benutzer und Computer in Kraft. Somit werden von der ausstellenden CA neue Authentifizierungszertifikate für Benutzer und Computer ausgestellt, die im persönlichen Zertifikatsspeicher des Benutzerprofils bzw. Computers abrufbar sind. | | • | Zertifikate von Stamm-CA und ausstellender CA in vertrauenswürdiger Stamm-CA Wenn sich ein Benutzer über eine herkömmliche Netzwerkverbindung an der Domäne anmeldet, treten Gruppenrichtlinien für Benutzer und Computer in Kraft. Im Zertifikatsspeicher der Benutzer und Computer wird mit Hilfe der Zertifikats-MMC, im Ordner für die vertrauenswürdigen Stamm-CAs, überprüft, ob das Zertifikat der Stamm-CA verfügbar ist. Darüber hinaus wird überprüft, ob sich unter Zwischenzertifizierungsstellen ein Zertifikat der ausstellenden CA befindet. | | • | IAS-Serverauthentifizierungszertifikat Nach Abschluss der Einrichtung und der Zuweisung der IAS-Server zu den entsprechenden Sicherheitsgruppen und Organisationseinheiten (OUs) wurden die IAS-Server erneut gestartet (damit die Computer neue Gruppenmitgliedschaften übernehmen konnten, war ein Neustart erforderlich). Jeder IAS-Server erhält ein neues Serverauthentifizierungszertifikat. Dies wurde im Zertifikatsspeicher des Computers mithilfe der Zertifikats-MMC überprüft. | | • | Zertifikate von Stamm-CA und ausstellender CA sowie CRLs sind auf dem Webserver verfügbar Über Internet Explorer auf einem Clientcomputer wurde auf das virtuelle Verzeichnis PKI des Webservers zugegriffen. So konnte überprüft werden, ob der Client die Zertifikate der Stamm-CA und der ausstellenden CA sowie die CRLs anzeigen konnte. Diese Überprüfung sollte mit dem HTTP-Speicherort übereinstimmen, der im Clientzertifikat unter der Registerkarte Details konfiguriert ist. | | • | Drahtloser Netzwerkzugang mithilfe von Authentifizierungszertifikaten Nachdem ein Benutzer ein neues, gültiges Benutzer- und Computerauthentifizierungszertifikat erhalten hatte und die drahtlose Netzwerkkarte angeschlossen war, wurde die Kabelverbindung getrennt. Nach dem erneuten Start des Computers wurde eine Computerauthentifizierung im WLAN durchgeführt. Dies wurde in den Systemereignisprotokollen des IAS-Servers überprüft. Danach konnte sich der Benutzer drahtlos an der Domäne anmelden. Eine weitere Überprüfung der Computerauthentifizierung im WLAN erfolgte durch ein auf dem IAS-Server erstelltes Systemereignisprotokoll. | | • | Verfügbarkeit von IAS-Servern für Zweigstellenbenutzer Sollte der IAS-Dienst in Zweigstellen nicht verfügbar sein, können Benutzer auf IAS-Servern der Hauptverwaltung authentifiziert werden. Für diesen Test musste der IAS-Server der Hauptverwaltung als sekundärer IAS-Server an den drahtlosen Zugriffspunkten der Zweigstelle verfügbar sein. Der IAS-Dienst im Bereich der Zweigstelle wurde angehalten. Die Benutzer konnten immer noch authentifiziert und drahtlos mit dem Netzwerk verbunden werden. Die Überprüfung wurde aufgrund der auf dem IAS-Server der Hauptverwaltung protokollierten Authentifizierungsereignisse des Systemereignisprotokolls bestätigt. |
Die folgenden Abschnitte enthalten Details über die verschiedenen Arten von Testfällen, die vom Testteam durchgeführt wurden. BaselinetestsDiese Tests bewerten die bestehenden Infrastrukturdienste. Sie umfassen grundlegende Tests zur Funktionalität der Server und Clients, die als Referenz während der gesamten Testdauer hinzugezogen wurden. Bezüglich des Clients erfolgten Tests der grundlegenden Clientdienste, wie die Authentifizierung an der Domäne oder der Zugriff auf Dateiserver, Webserver und E-Mail-Server. Die Baselinetests wurden nach jeder Phase der Lösungseinrichtung erneut durchgeführt, um sicherzustellen, dass das Anwenden der Lösung die bestehende Funktionalität nicht beeinträchtigte. Bezüglich der Server stellten diese Tests sicher, dass die Server einwandfrei funktionierten und die Implementierung der Lösung keine negativen Auswirkungen auf die Serverrollen hatte. Weitere Informationen über die für diese Testphase verwendeten Testfälle finden Sie in der Datei BaselineTestCases.xls, die in der Lösung enthalten ist. FunktionstestsDiese Testreihe soll überprüfen, ob das System wie beschrieben aufgebaut und die erwartete Funktionalität gewährleistet werden kann. Die Funktionstests beinhalteten die Überprüfung von Funktionen, Zustand und Interoperabilität von PKI-, IAS- und WLAN-Komponenten und -Diensten wie sie in der Lösung beschrieben sind. Weitere Informationen über die für diese Testphase verwendeten Testfälle finden Sie in der Datei FunctionalandOperationalTestCases.xls, die in der Lösung enthalten ist. BetriebstestsDiese Tests bewerteten Vorgänge, Wartung und Verwaltung der für die Lösung benötigten Server. Diese Faktoren werden in den Verwaltungsverfahren des Betriebshandbuchs, in Kapitel 11 "Verwalten der Infrastruktur öffentlicher Schlüssel" und Kapitel 12 "Verwalten der RADIUS- und der WLAN-Absicherungsinfrastruktur" beschrieben. Weitere Informationen über die für diese Testphase verwendeten Testfälle finden Sie in der Datei FunctionalandOperationalTestCases.xls, die in der Lösung enthalten ist. VeröffentlichungskriterienDie primäre Veröffentlichung der Lösung wurde entsprechend der folgenden Kriterien mit Schwere und Priorität offener Bugs verknüpft: | • | Keine offenen Bugs der Schwere 1 oder 2. | | • | Keine offenen Bugs mit Priorität 1 oder 2 (sämtliche Schweregrade). | | • | Die Lösungshandbücher enthielten keine Kommentare und Revisionen. | | • | Alle offenen Bugs wurden vom Führungsteam behoben. | | • | Alle Testfälle in der Testumgebung wurden erfolgreich abgeschlossen. | | • | Der Inhalt der Lösung enthielt keine Widersprüche. |
Bug-KlassifizierungDie folgende Tabelle enthält die in der Testumgebung verwendeten Definitionen für Schwere und Priorität der Bugs. Tabelle 13.1: Bug-Klassifizierung 1 | Bug verursacht Systemausfall oder Datenverlust. | Bug muss so schnell wie möglich behoben werden. Bug blockiert weiteren Fortschritt in diesem Bereich. | 2 | Bug verursacht grundlegende Funktionalitäts- oder andere schwerwiegende Probleme; Produkt stürzt aus unerklärlichen Gründen ab. | Bug sollte vor Markteinführung des Produkts vom Testteam behoben werden. | 3 | Bug verursacht kleinere Funktionalitätsprobleme; Qualität kann beeinträchtigt werden. | Bug wenn möglich beheben, eher unbedeutend. Eilt nicht. | 4 | Bug bewirkt typografische Fehler, unklare Wortwahl oder Fehlermeldungen in kaum sichtbaren Feldern. | Nicht definiert |
TestergebnisseSämtliche Testfälle konnten mit positiven Ergebnissen durchgeführt werden. Es gab keine offenen Bugs der Schwere 1 und 2 oder mit der Priorität von 2 oder höher. Dies zeigt, dass die Testziele erreicht wurden und die Lösung in Unternehmen implementiert werden kann. DiagnoseinformationenFolgende Informationen waren für die Problembehandlung während der Tests sehr hilfreich: | • | Erstellen Sie HKCU\Software\Microsoft\Cryptography\Autoenrollment\AEEventLogLevel {DWORD = 0}. Die automatische Registrierung wird dann einen Vermerk in das Anwendungsereignisprotokoll schreiben. Den gleichen Registrierungsschlüssel können Sie unter HKLM für Computer erstellen. | | • | Stellen Sie sicher, dass der gemeinsame geheime Schlüssel zwischen AP und IAS-Server übereinstimmt (über Kopieren und Einfügen aus der Datei mit den geheimen Informationen). Anderenfalls ist keine Authentifizierung vom AP zum IAS-Server als RADIUS-Client möglich. Auf dem IAS-Server werden daraufhin Fehlerprotokolle mit den folgenden möglichen Meldungen angezeigt: | • | Ungültige Authentifizierung - oder - | | • | Ungültiges"Message Authenticator"-Attribut |
| | • | Wenn der IAS-Server ein Warnungsprotokoll mit der Ereignis-ID 2 mit der Begründung "Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde" erstellt, stellen Sie sicher, dass die RAS-Richtlinie für drahtlosen Zugriff auf dem IAS-Server korrekt ist. Überprüfen Sie außerdem, ob der Benutzer zu den entsprechenden WLAN-Sicherheitsgruppen hinzugefügt wurde. | | • | Wenn der IAS-Server ein Warnungsprotokoll mit der Ereignis-ID 2 mit der Begründung "Eine Zertifikatskette wurde korrekt verarbeitet, aber eines der Zertifizierungsstelle-Zertifikate wird vom Richtlinienanbieter als nicht vertrauenswürdig eingestuft" erstellt, stellen Sie sicher, dass IAS-Serverzertifikat und Benutzerzertifikat gegen das aktuelle Zertifikat der ausstellenden CA geprüft werden können. Stellen Sie außerdem sicher, dass die gültigen Zertifikate der Stamm-CA und der ausstellenden CA im Zertifikatsspeicher des Benutzers vorhanden sind. | | • | Wenn SCHANNEL ein Warnungsprotokoll mit der Ereignis-ID 36877 mit der Begründung "Das von der Remoteclientanwendung erhaltene Zertifikat wurde nicht korrekt verifiziert. Fehlercode ist 0x80096004. Die angehängten Daten enthalten das Serverzertifikat." erstellt, stellen Sie sicher, dass für die drahtlose Authentifizierung keine abgelaufenen oder ungültigen Benutzer- oder Computerzertifikate verwendet werden. | | • | Weitere Informationen finden Sie in den Abschnitten "Problembehandlung" im Betriebshandbuch. |
Weitere InformationenWeitere Informationen zu den Tests finden Sie im Planungshandbuch, Einrichtungshandbuch und Betriebshandbuch der Lösung. Folgende Links (in englischer Sprache) boten zusätzliche Informationen, die bei der Problembehandlung während der Tests hilfreich waren:
| 
