Marcel Zehner
Microsoft ISA Server 2006
Leitfaden für Installation, Einrichtung und Wartung
Inhalt
6
I Einführung, Konzepte und Design
14
1 Einführung
16
1.1 Warum ein Buch zu ISA Server 2006?
16
1.2 Was ist ein ISA Server?
17
1.2.1 Internet Security Server (Sicherheit)
17
1.2.2 Internet Acceleration Server (Beschleunigung)
21
1.3 Eine Software-Firewall?
22
1.4 Die wichtigsten Gründe für einen Einsatz von ISA Server 2006
23
1.5 Was ein ISA Server nicht kann
26
1.6 Icons im Buch
28
1.7 Die Webseite zum Buch
28
1.8 Weitere Informationen
28
1.9 Danksagung
30
1.10 Das Kapitel im Schnelldurchlauf
30
2 Konzepte und Design
32
2.1 ISA Server-Konzepte
32
2.1.1 Defense in Depth
32
2.1.2 Versionen
38
2.1.3 Lizenzierung
39
2.1.4 Hardware
39
2.1.5 Software
46
2.1.6 Versionsvergleich – ISA Server 2000 und ISA Server 2006
46
2.1.7 Versionsvergleich – ISA Server 2004 und ISA Server 2006
49
2.1.8 Kommunikationsmodelle
51
2.2 ISA Server-Design
55
2.2.1 Single-NIC-Variante
56
2.2.2 Edge Firewall
57
2.2.3 3-Leged Firewall (3- Abschnitt-Umkreisnetzwerk)
57
2.2.4 Multi-Network Firewall
59
2.2.5 Back-to-Back-Szenario
60
2.2.6 ISA Server in einer DMZ
61
2.2.7 Branch Office Firewall
62
2.2.8 Domäne oder Arbeitsgruppe?
62
2.3 Das Kapitel im Schnelldurchlauf
70
II Grundlagen und ISA Server Standard Edition
74
3 Installation
76
3.1 Vorbereitung der Installation
76
3.1.1 Netzwerkkarten und Bindungen
76
3.1.2 Abschluss der Vorbereitung
80
3.2 Manuelle Installation
81
3.3 Unbeaufsichtigte Installation
87
3.4 Aktualisieren von älteren ISA Server-Versionen
90
3.4.1 Neuinstallation von ISA Server 2006
91
3.4.2 Direktaktualisierung auf ISA Server 2006
91
3.4.3 Migrieren der Konfiguration auf ISA Server 2006
94
3.5 Überprüfen der Installation
95
3.5.1 Ereignisanzeige
95
3.5.2 Datei- und Ordnerstruktur
96
3.5.3 Hinzugefügte Dienste
96
3.5.4 Installierte Verwaltungswerkzeuge
97
3.5.5 Prüfen der Installationsprotokolle
97
3.6 Aufgaben nach der Installation
98
3.6.1 Installation Service Packs und Updates für ISA Server 2006
98
3.6.2 Härten des Betriebssystems (System Hardening)
99
3.6.4 Portscan
119
3.7 Das Kapitel im Schnelldurchlauf
120
4 ISA Server-Basiskonfiguration
123
4.1 Die ISA Server-Verwaltungswerkzeuge
123
4.1.1 ISA Server-Leistungsmonitor
124
4.1.2 ISA Server-Verwaltung
125
4.1.3 Übernehmen
128
4.1.4 Kundenfeedback
129
4.1.5 Lockdown-Modus
130
4.2 ISA Server-Remoteadministration
130
4.2.1 Anpassen der Systemrichtlinie
130
4.2.2 Remoteverwaltungscomputer festlegen
132
4.2.3 Administration mit ISA Server-Verwaltungswerkzeugen
133
4.2.4 Administration mit Remotedesktop
135
4.3 Delegation von Verwaltungsrechten
137
4.3.1 Durchführen der Delegation
139
4.3.2 Testen der Delegation
140
4.3.3 Hintergrundinformationen zur Delegation
141
4.4 Export (Sicherung) und Import (Wiederherstellung)
141
4.4.1 Durchführen eines vollständigen Exports
142
4.4.2 Durchführen der Wiederherstellung
145
4.5 Die Toolbox
147
4.5.1 Protokolle
148
4.5.2 Benutzer
152
4.5.3 Inhaltstypen
158
4.5.4 Zeitpläne
159
4.5.5 Netzwerkobjekte
160
4.6 Die Systemrichtlinie
178
4.7 ISA Server-Clients
181
4.7.1 SecureNAT-Clients
182
4.7.2 Firewall-Clients
184
4.7.3 Webproxy-Clients
199
4.7.4 Automatische Clienterkennung und -konfiguration
204
4.7.5 Zusammenfassung ISA Server-Clients
209
4.8 Das Kapitel im Schnelldurchlauf
209
5 Ausgehende Zugriffe
212
5.1 Wie laufen ausgehende Zugriffe ab?
212
5.2 Netzwerke und Netzwerkregeln
213
5.3 Zugriffsregeln
213
5.3.1 Zugriffsregeln erstellen
214
5.3.2 Zugriffsregeln konfigurieren
218
5.4 Benutzerauthentifizierung
223
5.4.1 Grundlagen zur Benutzerauthentifizierung
223
5.4.2 ISA Server-Sitzungen
224
5.4.3 Konfiguration der Benutzerauthentifizierung
225
5.4.4 Sonderfall Server
229
5.5 Webverkettung
231
5.6 Firewall-Verkettung
235
5.7 Einwähleinstellungen festlegen
236
5.7.1 Einwählverbindung konfigurieren
236
5.7.2 ISA Server für automatische Einwahl konfigurieren
238
5.8 Das Kapitel im Schnelldurchlauf
238
6 Eingehende Zugriffe
240
6.1 Regeltypen verstehen
240
6.1.1 Veröffentlichungsregeln
241
6.1.2 Zugriffsregeln
241
6.1.3 Unterschiede der Regeltypen
242
6.1.4 Platzierung der Server mit zu veröffentlichenden Diensten
243
6.2 Veröffentlichungsregeln
244
6.2.2 Mailserververöffentlichungsregeln
287
6.2.3 Exchange-Webclientzugriff veröffentlichen
295
6.2.4 Veröffentlichungsregeln für SharePoint-Sites
298
6.2.5 Veröffentlichungsregeln für Nicht-Webserverprotokolle
300
6.2.6 Dienstveröffentlichung auf dem ISA Server
302
6.3 Authentifizierung
306
6.3.1 Authentifizierungsstrategien
306
6.3.2 Authentifizierungsmethoden
308
6.3.3 Authentifizierungsdelegierung
319
6.3.4 Single Sign-on (SSO)
321
6.3.5 RADIUS-Server einrichten
322
6.3.6 Zertifizierungsstelle einrichten
326
6.3.7 Zertifikatsprüfungen auf dem ISA Server
330
6.4 Zugriffsregeln
331
6.5 Eindringversuchserkennung (Intrusion Detection) und Flutabwehreinstellungen
331
6.6 Verschiedene Einstellungen
335
6.6.1 IP-Optionen
335
6.6.2 IP-Fragmente
336
6.6.3 IP-Routing
336
6.7 Das Kapitel im Schnelldurchlauf
336
7 Anwendungsfilterung
339
7.1 Filtertypen
340
7.2 Anwendungsfilter
341
7.2.1 DNS-Filter
341
7.2.2 FTP-Zugriffsfilter
342
7.2.3 H.323-Filter
343
7.2.4 MMS-Filter
344
7.2.5 PNM-Filter
344
7.2.6 POP3-Eindringversuchs-Erkennungsfilter
344
7.2.7 PPTP-Filter
344
7.2.8 RPC-Filter
345
7.2.9 RTSP-Filter
345
7.2.10 SMTP-Filter
345
7.2.11 SOCKS V4-Filter
346
7.2.12 Webproxy-Filter
347
7.3 Webfilter
348
7.3.1 DiffServ-Filter
348
7.3.
350
2
350
Lastenausgleichsfilter für Webveröffentlichung
350
7.3.3 Komprimierungsfilter
350
7.3.4 Filter für die Authentifizierungsdelegierung
351
7.3.5 Formularbasierter Authentifizierungsfilter
351
7.3.6 RADIUS- Authentifizierungsfilter
351
7.3.7 LDAP- Authentifizierungsfilter
352
7.3.8 Linkübersetzungsfilter
352
7.3.9 HTTP-Filter
352
7.3.10 Filter für Zwischenspeicherung komprimierter Inhalte
358
7.4 Weitere Anwendungs- und Webfilter
359
7.5 Das Kapitel im Schnelldurchlauf
359
8 Virtuelle private Netzwerke
362
8.1 VPN-Einführung
363
8.1.1 Tunneling-Protokolle
363
8.1.2 PPTP
363
8.1.3 L2TP/IPSec
364
8.1.4 IPSec
364
8.1.5 PPTP oder L2TP
364
8.2 VPN-Funktionen von ISA Server 2006
365
8.3 Remote-VPN-Clients
365
8.3.1 Konfigurieren von eingehenden VPN-Verbindungen
366
8.3.2 Weitere Konfigurationsschritte
379
8.3.3 Clientverbindungen
382
8.3.4 VPN-Server veröffentlichen
393
8.4 Standort-zu-Standort-VPNs
393
8.4.1 Remotestandort erstellen und Basiskonfiguration
394
8.5 VPN-Quarantäne
402
8.5.1 Vorbereitung ISA Server
403
8.5.2 Vorbereiten des RQS-Listeners
405
8.5.3 Clientskripte
410
8.5.4 Verbindungs-Manager-Verwaltungskit
411
8.5.5 VPN-Quarantäneclients
414
8.6 Ausgehende VPN-Verbindungen
415
8.6.1 Ausgehende PPTP-Verbindungen
415
8.6.2 Ausgehende L2TP-Verbindungen
416
8.7 Das Kapitel im Schnelldurchlauf
416
9 Zwischenspeicherung
419
9.1 Lokale Zwischenspeicherung
419
9.2 Zwischenspeicherung mit ISA Server 2006
420
9.2.1 Forward-Caching
420
9.2.2 Reverse-Caching
421
9.2.3 Hierarchisches Caching
422
9.2.4 Verteiltes Caching
422
9.2.5 Geplante Inhalts-Download- Aufträge
422
9.3 Funktionen der Zwischenspeicherung
423
9.4 Konfiguration der Zwischenspeicherung
423
9.4.1 Cachelaufwerke festlegen
424
9.4.2 Cacheregeln
425
9.4.3 Erweiterte Cacheeinstellungen
431
9.4.4 Geplante Inhalts-Download- Aufträge
433
9.4.5 BITS-Caching
437
9.4.6 Cache deaktivieren und löschen
438
9.4.7 Cacheinhalte mit CacheDir.exe anzeigen
438
9.5 Das Kapitel im Schnelldurchlauf
440
10 Überwachung
442
10.1 Übersicht (Dashboard)
443
10.2 Alarme
444
10.3 Sitzungen
453
10.4 Dienste
454
10.5 Berichte
455
10.6 Konnektivität
461
10.7 Protokollierung
464
10.7.1 MSDE-Datenbank
464
10.7.2 Textdatei
464
10.7.3 SQL-Server-Datenbank
464
10.7.4 Protokolle konfigurieren
465
10.7.5 SQL-Server-Protokollierung einrichten
472
10.8 Leistungsmonitor
480
10.8.1 Daten in Echtzeit
480
10.8.2 Aufzeichnung in Datenbank
481
10.8.3 Warnungen
484
10.8.4 Leistungsindikatoren
485
10.9 Portscanner
487
10.10 Das Kapitel im Schnelldurchlauf
488
III Enterprise Edition
490
11 Einführung in die Enterprise Edition
492
11.1 Die Hauptunterschiede der Editionen
492
11.2 Konfigurationsspeicherserver
495
11.2.1 Basisschema
496
11.2.2 Active Directory Application Mode ( ADAM)
497
11.2.3 Platzierung von Konfigurationsspeicherservern
497
11.3 Domäne oder Arbeitsgruppe?
501
11.4 Netzwerklastenausgleich (NLB)
502
11.5 Verteilte Zwischenspeicherung mit CARP
505
11.6 Richtlinien
506
11.7 Das Kapitel im Schnelldurchlauf
506
12 Installation der Enterprise Edition
509
12.1 Vorbereitung der Installation
509
12.1.1 Hardware-/Softwarevoraussetzungen und Lizenzierung
510
12.1.2 Netzwerkkarten und Bindungen
510
12.1.3 Abschluss der Vorbereitung
511
12.2 Manuelle Installation
512
12.2.1 Beispiel 1 – Konfigurationsspeicherserver und Array- Mitglieder in gleicher Domäne
512
12.2.2 Beispiel 2 – Konfigurationsspeicherserver in Domäne, Array- Mitglieder in einer Arbeitsgruppe
532
12.3 Unbeaufsichtigte Installation
546
12.3.1 Beispiel 1 – InstallStandaloneServer.ini
550
12.3.2 Beispiel 2 – InstallJoinedServer.ini
551
12.4 Aktualisierung von ISA Server 2004 Enterprise Edition
552
12.4.1 Schritt 1 – Konfigurationsspeicherserver migrieren
552
12.4.2 Schritt 2 – Array-Mitglieder (ISA Server) migrieren
553
12.4.3 Schritt 3 – Abschluss der Migration
553
12.5 Überprüfen der Installation
553
12.5.1 Ereignisanzeige
553
12.5.2 Hinzugefügte Dienste
554
12.5.3 Installierte Verwaltungswerkzeuge
554
12.5.4 Prüfen der Installationsprotokolle
555
12.6 Aufgaben nach der Installation
556
12.7 Das Kapitel im Schnelldurchlauf
556
13 Konfiguration der Enterprise Edition
558
13.1 Redundanz, Replikation und Aktualisierung der Konfiguration
558
13.2 Konfigurationsspeicherserverzugriffe auf Array- Mitglieder
566
13.3 Intra- Array- Kommunikation
567
13.4 Komplettsicherung und -wiederherstellung
569
13.5 Unternehmenskonfiguration
572
13.5.1 Verwaltungsdelegation
572
13.5.2 Unternehmensrichtlinien
575
13.5.3 Unternehmensnetzwerke
578
13.5.4 Netzwerksätze
580
13.5.5 Unternehmensnetzwerkregeln
580
13.5.6 Unternehmens- Add-Ins
581
13.5.7 Array-übergreifende Linkübersetzung
581
13.6 Array- Konfiguration
582
13.7 Netzwerklastenausgleich
585
13.7.1 Netzwerk für die Intra-Array-Kommunikation erfassen
585
13.7.2 Netzwerklastenausgleich konfigurieren
586
13.8 Cache Array Routing Protocol (CARP)
587
13.9 Überwachen einer ISA Server Enterprise-Umgebung
590
13.10 Spezialitäten der Enterprise Edition
592
13.10.1 Adresszuweisung für VPN-Clients ohne DHCP
592
13.10.2 Veröffentlichungsregeln mittels virtueller IP- Adresse
592
13.10.3 Zugriff für Webproxy- und Firewall-Clients
593
13.10.4 Zugriff für SecureNAT- Clients
593
13.10.5 Die Systemrichtlinie (erweitert)
593
13.11 Das Kapitel im Schnelldurchlauf
594
14 Anhang
596
14.1 ISA Server 2006-Dienste
596
14.2 Private IP-Adressbereiche
597
14.3 Wichtige TCP/UDP-Ports und IP-Protokollnummern
597
14.4 Automatisierte Verwaltung mit Skripten
598
14.5 ISA Server 2006 Software Development Kit
601
14.6 Microsoft-Partner
602
14.7 ISA Server 2006 und Small Business Server 2003
603
Register
604
© 2009-2024 ciando GmbH