• Artikel

Netzwerk

Konfigurieren von VPN-Remotezugriff mit ISA Server 2006

Alan Maddison

 

Kurz zusammengefasst:

  • VPN-Protokolle
  • Konfigurieren einer Standort-zu-Standort-VPN-Verbindung
  • Konfigurieren einer RAS-VPN-Verbindung
  • Neue Features in ISA Server 2006

Virtuelle private Netzwerke (VPNs) bieten ein hohes Maß an Anpassungsfähigkeit und Skalierbarkeit sowie Kontrolle über die Netzwerkkonnektivität. VPNs sorgen für erhöhte Sicherheit und führen oft zu bedeutenden Kosteneinsparungen

im Vergleich zu traditionellen dedizierten Punkt-zu-Punkt-Verbindungen. Außerdem sind VPNs flexibel.

Es gibt viele Arten von VPNs. Einige VPNs werden genutzt, um Benutzer mobiler Geräte mit dem Unternehmensnetzwerk zu verbinden, andere wiederum verbinden zwei geografisch getrennte Netzwerke miteinander. Die in diesen verschiedenen VPNs verwendeten Protokolle und die bereitgestellten Features weisen erhebliche Unterschiede auf. Einige stellen Sicherheitsfunktionen wie Authentifizierung und Verschlüsselung bereit, andere hingegen verfügen möglicherweise über keine integrierten Sicherheitsfeatures. Bei einigen gestalten sich Einrichtung und Wartung offensichtlich wesentlich einfacher als bei anderen.

In diesem Artikel wird erläutert, wie Sie mithilfe von Internet Security and Acceleration (ISA) Server 2006 ein VPN implementieren. Insbesondere wird beleuchtet, wie mithilfe der VPN-Funktionalität von ISA zwei häufig anzutreffende Szenarios behandelt werden können: das Bereitstellen von RAS-VPN-Verbindungen für Benutzer und das Bereitstellen von Standort-zu-Standort-VPN-Verbindungen. Beide Implementierungen verfügen über Sicherheitsfeatures, die den Datenschutz gewährleisten und für den Schutz interner Netzwerkressourcen sorgen.

Im ersten Szenario – eine RAS-VPN-Verbindung – initiiert ein Remoteclient eine VPN-Verbindung über das Internet zu ISA Server. Anschließend verbindet ISA Server den Remoteclient mit dem internen Netzwerk, sodass der Benutzer nahtlos auf interne Netzwerkressourcen, einschließlich Daten und Anwendungen, zugreifen kann. Das zweite Szenario, eine Standort-zu-Standort-VPN-Verbindung, ist etwas komplexer, da in diesem Fall ein Router, möglicherweise ISA selbst, verwendet wird. Diese Art von Verbindung bietet die Möglichkeit, Niederlassungen und Außenstellen an verschiedenen Standorten nahtlos untereinander und mit einer Zentralniederlassung zu verbinden.

Durch die Implementierung eines VPN mithilfe von ISA Server 2006 ergeben sich mehrere zusätzliche Vorteile. Einer der bedeutendsten Vorteile ergibt sich aus dem integrierten Aufbau von ISA Server. Dadurch können die VPN-Funktionen und die Funktionen der Firewall Hand in Hand arbeiten. Zusätzlich verfügt ISA Server über ein VPN-Quarantänefeature, das mithilfe der Quarantänesteuerung für Netzwerkzugriff von Windows Server® 2003 einen über Remotezugriff verbundenen Computer solange unter Quarantäne stellt, bis die Konfiguration des Computers von einem serverseitigen Skript überprüft wurde. Dadurch wird eine weitere Schutzschicht aufgebaut, da beispielsweise der Status der Antivirusdefinitionen und lokale Richtlinien der Firewall auf dem Remotecomputer überprüft werden, bevor dem Remotecomputer der Zugriff auf die Ressourcen des internen Netzwerks ermöglicht wird.

Aus Administratorsicht ergeben sich die wesentlichen Vorteile von ISA Server als VPN-Lösung aus einer Zentralisierung der Richtlinienverwaltung, der Überwachung, der Protokolle und der Berichterstellung. Diese Funktionen können sich bei Ihren täglichen Aufgaben als Administrator als unschätzbar erweisen. Insbesondere die Echtzeitüberwachung und das Filtern von Protokollen vermitteln wichtige Erkenntnisse zum Netzwerkverkehr und den Verbindungen, die über ISA Server abgewickelt werden.

VPN-Protokolle

Die wichtigsten in einer ISA VPN-Verbindung genutzten Tunnelingprotokolle stellen die erste Verteidigungslinie zum Absichern von Verbindungen dar. ISA Server unterstützt drei Protokolle – Layer-2-Tunnelingprotokoll (L2TP) über IPsec, Point-to-Point-Tunnelingprotokoll (PPTP) und IPsec-Tunnelmodus. Das an letzter Stelle genannte Protokoll wird nur für Standort-zu-Standort Verbindungen unterstützt. Es wird hauptsächlich für die Interoperabilität mit Routern und anderen Betriebssystemen genutzt, von denen L2TP und PPTP nicht unterstützt werden.

L2TP wird mit IPSec gekoppelt, da L2TP nicht über eigene Mechanismen für den Datenschutz verfügt. Im Zusammenspiel mit IPSec, das über stabile Mechanismen für Authentifizierung und Verschlüsselung verfügt, stellt diese Kombination eine hervorragende Lösung dar. PPTP verwendet für die Authentifizierung entweder das Microsoft® Challenge Handshake Authentication Protocol (MS CHAP) Version 2 oder das Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) und für die Verschlüsselung Microsoft Point-to-Point-Encryption (MPPE).

Ob sich eine Organisation für L2TP über IPSec oder für PPTP entscheiden sollte, ist meist von den besonderen Umständen in der Organisation abhängig. Mit L2TP über IPSec können Sie komplexere und ausgeklügelte Verschlüsselungsmechanismen verwenden, und L2TP über IPSec unterstützt mehr Typen von Netzwerken (einschließlich IP, X.25, Frame Relay und ATM). PPTP hingegen kann einfacher implementiert werden und stellt normalerweise geringere Anforderungen. Wenn keine Einschränkungen für die Organisation zu beachten sind, gilt allerdings ein Implementieren von L2TP über IPSec als die bessere Lösung.

Standort-zu-Standort-VPN-Verbindung

Die in ISA Server 2006 implementierten Weiterentwicklungen vereinfachen das Einrichten einer Standort-zu-Standort-VPN-Verbindung erheblich. In früheren Versionen musste dazu eine Vielzahl an Arbeitsschritten durchgeführt werden. Als Beispiel für diesen Artikel wird eine Verbindung mittels L2TP über IPsec zwischen einem Standort einer Außenstelle und einer Zentralniederlassung erläutert, wobei an beiden Standorten ISA Server genutzt wird. Bei dieser Vorgehensweise muss ISA Server zunächst in der Zentralniederlassung konfiguriert werden. Anschließend wird ISA Server in der Außenstelle konfiguriert.

Im ersten Schritt werden die auf beiden ISA Servern erforderlichen lokalen Benutzerkonten konfiguriert. Diese Benutzeridentität stellt den Sicherheitskontext bereit, in dem die Verbindung zu ISA Server am Standort der Außenstelle bzw. zu ISA Server in der Zentralniederlassung aufgebaut wird. Der Name dieses Kontos sollte an den Namen der VPN-Verbindung angelehnt sein, die Sie innerhalb der ISA-Verwaltungskonsole einrichten. Eine geeignete Benennung wäre z. B., auf ISA Server in der Zentralniederlassung (über den die Verbindung zum Remotestandort hergestellt wird) den Benutzernamen „VPN Außenstelle“ und auf ISA Server in der Außenstelle den Namen „VPN Zentrale“ einzurichten. Nach dem Erstellen dieser Konten müssen Sie auf die Kontoeigenschaften zugreifen, die Registerkarte „Dial In“ (Einwählen) öffnen und sicherstellen, dass die Option „Zugriff zulassen“ aktiviert ist.

Nach Erstellen des lokalen Benutzerkontos besteht der nächste Schritt im Bereitstellen des Public Key-Infrastruktur-Zertifikats (PKI-Zertifikat). Dieses Zertifikat wird für die Authentifizierung zwischen den beiden Standorten verwendet. Sie können sich für die Verwendung eines voreingestellten Schlüssels entscheiden. Die Verwendung eines Zertifikats ist jedoch immer vorzuziehen. Die einfachste Möglichkeit zum Installieren eines Zertifikats für eine VPN-Verbindung besteht darin, direkt eine Verbindung zur Zertifizierungsstelle Ihres Unternehmens aufzubauen und über die Website des Zertifizierungsservers ein Zertifikat anzufordern. Dazu müssen Sie jedoch möglicherweise eine Zugriffsregel erstellen, um ISA Server den Aufbau einer Verbindung zum Zertifikatserver über HTTP zu ermöglichen.

Wenn Sie mit früheren Versionen von ISA Server vertraut sind, werden Sie feststellen, dass die in Abbildung 1 dargestellte Benutzeroberfläche von ISA Server 2006 wesentlich intuitiver gestaltet wurde. Wenn Sie im linken Fensterbereich „VPN“ auswählen, werden in den Fensterbereichen in der Mitte und rechts kontextbezogene Konfigurations- und Taskoptionen angezeigt.

Abbildung 1 ISA  Server 2006 verfügt über eine intuitivere Oberfläche

Abbildung 1** ISA  Server 2006 verfügt über eine intuitivere Oberfläche **(Klicken Sie zum Vergrößern auf das Bild)

Starten Sie den Assistenten zum Erstellen eines Standort-zu-Standort-VPNs. Klicken Sie dazu im rechten Fensterbereich auf den Task „VPN-Standort-zu-Standort-Verbindung erstellen“. Beim Start fragt der Assistent nach einem Namen für das Standort-zu-Standort-Netzwerk. Dieser Name sollte an den Namen des bereits erstellten Benutzerkontos angelehnt sein. Geben Sie den Namen ein, und klicken Sie auf die Schaltfläche „Weiter“. Im nächsten Bildschirm (siehe Abbildung 2) wählen Sie das zu verwendende VPN-Protokoll aus. In diesem Beispiel wurde „L2TP über IPSec“ ausgewählt. Klicken Sie auf „Weiter“. Der Assistent gibt die nützliche Warnmeldung aus, dass ein zum Netzwerknamen passendes Benutzerkonto verfügbar sein muss. Da dies der Fall ist, können Sie einfach auf „OK“ klicken, um zum nächsten Bildschirm zu gelangen.

Abbildung 2 Auswählen des zu verwendenden VPN-Protokolls

Abbildung 2** Auswählen des zu verwendenden VPN-Protokolls **(Klicken Sie zum Vergrößern auf das Bild)

Jetzt müssen Sie einen IP-Adresspool erstellen. Hier haben Sie zwei Möglichkeiten: Sie können entweder einen statischen Adresspool in ISA Server erstellen, oder Sie können die Adresszuweisung dem DHCP-Server überlassen. Da beide Methoden gleichwertig sind, sollten Sie Ihre Entscheidung an den in Ihrem Unternehmen üblichen Verfahren bezüglich dieser Option orientieren. Im nun angezeigten Bildschirm werden Sie zur Eingabe des Namens des Remoteservers aufgefordert. Geben Sie den vollqualifizierten Domänennamen (FQDN) des Remoteservers und anschließend die Benutzeranmeldeinformationen für die Verbindung ein. Beachten Sie, dass hier die Informationen zum Benutzerkonto eingegeben werden müssen, das Sie im ISA Server der Außenstelle eingerichtet haben. Im Beispiel wäre dies das Benutzerkonto „VPN Zentrale“, wie in Abbildung 3 dargestellt.

Abbildung 3 Eingeben des FQDN des Remoteservers

Abbildung 3** Eingeben des FQDN des Remoteservers **(Klicken Sie zum Vergrößern auf das Bild)

Im nächsten Bildschirm wählen Sie die Authentifizierungsmethode für ausgehende Verbindungen aus. (Wie bereits weiter oben erwähnt, sollte vorzugsweise ein Zertifikat verwendet werden.) Geben Sie anschließend den IP-Adressbereich ein, der im internen Netzwerk des Remotestandorts verwendet wird.

Wenn Sie ISA Server 2006 Enterprise Edition verwenden, ermöglicht Ihnen der Assistent anschließend das Konfigurieren der für den Netzwerklastenausgleich dedizierten IP-Adressen des Remotestandorts. Wenn Sie ISA Server 2006 Standard Edition verwenden, übergehen Sie den Schritt für den Lastenausgleich und fahren direkt mit dem nächsten Bildschirm fort (siehe Abbildung 4). In diesem Schritt erstellen Sie die Netzwerkregel für das Weiterleiten des Datenverkehrs vom Remotestandort zum lokalen Netzwerk.

Abbildung 4 Erstellen der Netzwerkregel für das Weiterleiten des Datenverkehrs

Abbildung 4** Erstellen der Netzwerkregel für das Weiterleiten des Datenverkehrs **(Klicken Sie zum Vergrößern auf das Bild)

Im nächsten Schritt dieses Vorgangs erstellen Sie eine Zugriffsregel. Beim Konfigurieren der Zugriffsregel stehen Ihnen drei Optionen für das Zulassen der zu verwendenden Protokolle zur Verfügung. Sie können allen ausgehenden Datenverkehr, allen ausgehenden Datenverkehr mit Ausnahme bestimmter Protokolle oder nur bestimmte Protokolle zulassen. In den meisten Situationen werden Sie allen ausgehenden Datenverkehr zulassen.

Nun ist es beinahe geschafft. An dieser Stelle zeigt der Assistent eine Zusammenfassung der von Ihnen eingegebenen Konfigurationsangaben an. Wenn Sie jetzt auf die Schaltfläche „Fertig stellen“ klicken, wird die Standort-zu-Standort-VPN-Verbindung eingerichtet. In einem Dialogfeld wird angezeigt, dass eine Systemrichtlinienregel für das Herunterladen einer Zertifikatsperrliste (Certificate Revocation List, CRL) genehmigt werden muss. Klicken Sie auf „Ja“, um diese Regel zu genehmigen. Der Assistent zeigt Ihnen anschließend Informationen zu weiteren Konfigurationsschritten an, die möglicherweise noch ausgeführt werden müssen. Nach der Konfiguration von ISA Server am zentralen Standort müssen Sie alle Schritte nochmals ausführen, um den Remotestandort zu konfigurieren. Wenn beide Standorte konfiguriert sind, können die Benutzer an den beiden Standorten über das VPN miteinander kommunizieren.

RAS-VPN-Verbindung

Eine RAS-VPN-Verbindung für den Clientzugriff kann wesentlich einfacher konfiguriert werden (siehe Abbildung 5). Zuerst wählen Sie im linken Fensterbereich der Administratorkonsole von ISA Server die Option „VPN“ aus. Anschließend wählen Sie im linken Fensterbereich den Task „VPN-Clientzugriff aktivieren“ aus. Es wird eine Warnmeldung angezeigt, dass dadurch möglicherweise der Routing- und RAS-Dienst neu gestartet werden muss. (Da dies zu Verbindungsproblemen führen kann, ist es vorzuziehen, diese Änderung innerhalb eines geplanten Wartungsfensters zu implementieren.) Klicken Sie zum Fortfahren auf „OK“. ISA Server aktiviert eine Systemrichtlinie, die dem Datenverkehr von VPN-Clients den Zugriff auf ISA Server ermöglicht. Sie können diese Regel anzeigen. Wählen Sie dazu in der Administratorkonsole von ISA Server die Option „Firewallrichtlinie“ und anschließend den Task „Systemrichtlinienregeln anzeigen“ aus.

Abbildung 5 Konfigurieren einer RAS-VPN-Verbindung

Abbildung 5** Konfigurieren einer RAS-VPN-Verbindung **(Klicken Sie zum Vergrößern auf das Bild)

Außerdem wird eine Standardnetzwerkregel aktiviert, die ein Routing zwischen dem internen Netzwerk und den beiden VPN-Netzwerken (VPN-Clients und Quarantäne-VPN-Clients) ermöglicht. Diese Netzwerkregel kann angezeigt und bearbeitet werden. Wählen Sie dazu im linken Fensterbereich die Option „Netzwerke“ aus, und öffnen Sie anschließend im mittleren Fensterbereich die Registerkarte „Netzwerkregeln“.

Jetzt muss noch der VPN-Clientzugriff konfiguriert werden. Es sind drei weitere Parameter zu konfigurieren: die Windows-Sicherheitsgruppen, denen der Zugriff gewährt wird, die Protokolle, die von den Clients genutzt werden dürfen, und die Benutzerzuordnung. Das Dialogfeld zum Konfigurieren dieser Parameter ist in Abbildung 6 dargestellt.

Abbildung 6 Konfigurieren des VPN-Clientzugriffs

Abbildung 6** Konfigurieren des VPN-Clientzugriffs **

Auf der Registerkarte „Gruppen“ wählen Sie einfach nur die Windows-Gruppen aus, denen der Remotezugriff über VPN ermöglicht werden soll. Aus Sicht des Administrators ist es meiner Meinung nach von Vorteil, wenn Sie eine einzige Gruppe erstellen, die diese Berechtigung erhält. Auf diese Weise vereinfacht sich die Verwaltung des Remotezugriffs erheblich.

Auf der Registerkarte „Protokolle“ erkennen Sie, dass standardmäßig nur „PPTP“ aktiviert ist. Sie sollten unbedingt „L2TP über IPSec“ aktivieren, wenn dies in Ihrer Umgebung möglich ist.

Mithilfe der Benutzerzuordnung können Sie Windows-Konten Benutzerkonten aus Namespaces, z. B. Remote Authentication Dial-in User Service (RADIUS), zuordnen. Dadurch wird sichergestellt, dass die Zugriffsrichtlinien korrekt angewendet werden. Wenn diese Optionen konfiguriert sind und ISA Server die Änderungen übernommen hat, ist der Konfigurationsvorgang abgeschlossen. Die Clients sollten jetzt in der Lage sein, über eine VPN-Verbindung nahtlos auf die Daten und Anwendungen im internen Netzwerk zuzugreifen.

Verbesserungen an ISA Server 2006

Mit ISA Server 2006 wird eine Reihe von Neuerungen eingeführt, die im Vergleich zu früheren Versionen eine Leistungssteigerung bieten. Diese Features – HTTP-Komprimierung, Unterstützung für Background Intelligent Transfer Service (BITs) und Quality of Service (QoS) – stellen verschiedene Verfahren zum Optimieren der Netzwerkauslastung zur Verfügung. Selbstverständlich sollten trotzdem auch weiterhin die bekannten Verfahren zur Bandbreitenoptimierung eingesetzt werden. Diese Verfahren, einschließlich Zwischenspeichern, sind integraler Bestandteil von ISA Server.

HTTP-Komprimierung wird nun schon seit einiger Zeit in verschiedenen Microsoft-Produkten unterstützt – in Internet Explorer® seit Version 4 und in Windows Server seit Windows® 2000. Dies ist jedoch die erste Version von ISA Server, in der HTTP-Komprimierung sowie die Industriestandards GZIP- und Deflate-Algorithmus unterstützt werden.

Was bedeutet dies? Durch die Unterstützung von HTTP-Komprimierung kann ein Webbrowser nach HTTP 1.1-Spezifikation von jeder beliebigen Website komprimierte Inhalte anfordern. Beachten Sie jedoch, dass lediglich die Antworten komprimiert werden, nicht jedoch die vom Client ausgehenden ursprünglichen Verbindungen.

HTTP-Komprimierung ist eine globale HTTP-Richtlinieneinstellung, die, im Gegensatz zur Zuweisung einer konkreten Netzwerkregel, für den gesamten HTTP-Datenverkehr über ISA Server gilt. Sie haben jedoch die Wahl, die HTTP-Komprimierung auf Listenerbasis zu implementieren. Dies erfolgt mithilfe des Weblistener-Assistenten.

Die HTTP-Komprimierung ist standardmäßig aktiviert. Sie finden diese Option im linken Fensterbereich unter „Allgemein“. Wie in Abbildung 7 zu erkennen ist, müssen Sie jedoch die Netzwerkelemente konfigurieren, für die Komprimierung verwendet werden soll. Um das Beispiel für Standort-zu-Standort-VPN fortzuführen, müssen Sie nun die Registerkarte „Komprimierte Daten zurückgeben“ öffnen und das zuvor erstellte VPN-Netzwerkelement des Standorts hinzufügen. An dieser Stelle haben Sie außerdem die Möglichkeit zu konfigurieren, welche Inhaltstypen komprimiert werden sollen. ISA Server 2006 enthält bereits eine Liste von Standardinhaltstypen, Sie können jedoch im Aufgabenbereich „Firewallrichtlinie“ auf der Registerkarte „Toolbox“ eigene Inhaltstypen hinzufügen. Beachten Sie, dass die Einstellungen auf der Registerkarte „Komprimierte Daten zurückgeben“ lediglich bewirken, dass ISA Server die Daten vor der Rückgabe an den Client komprimiert. Mithilfe der Registerkarte „Komprimierte Daten anfordern“ stellen Sie ein, dass ISA Server die Komprimierung der Daten durch einen Webserver vor ihrer Übermittlung an ISA Server veranlasst.

Abbildung 7 Konfigurieren der HTTP-Komprimierung

Abbildung 7** Konfigurieren der HTTP-Komprimierung **(Klicken Sie zum Vergrößern auf das Bild)

Beim „Background Intelligent Transfer System“ (BITS) handelt es sich um einen asynchronen Dateiübertragungsdienst für den Datenverkehr über HTTP und HTTPS. Windows Server 2003 unterstützt BITS Version 1.5. Dieser Dienst unterstützt Downloads und Uploads. Für Uploads wird jedoch zusätzlich Internet Information Services (IIS) Version 5.0 oder höher benötigt. Als intelligenter Dateiübertragungsdienst verfügt BITS über die Fähigkeit zur Überprüfung des Netzwerkverkehrs und verwendet dadurch nur den ungenutzten Anteil der Netzwerkbandbreite. Außerdem erfolgt die Dateiübertragung dynamisch, und BITS reagiert auf plötzlich auftretende Spitzenbelastungen im Datenverkehr durch Senken der durch BITS verursachten Netzwerkbelastung. Der Vorteil von BITS besteht darin, dass die Auslastung des Netzwerks nicht durch Downloads oder Uploads großer Dateien negativ beeinträchtigt wird. Aus Sicht eines Administrators bedeutet dies, dass weit weniger Beschwerdeanrufe aufgrund schlechter Netzwerkleistung eingehen. Gute Nachrichten!

BITS verfügt noch über andere Vorteile, die zu erhöhter Benutzerfreundlichkeit und höherer Netzwerkleistung beitragen. So erfolgt beispielsweise die Dateiübertragung mittels BITS binär. Daher kann BITS abgebrochene Dateiübertragungen, z. B. aufgrund eines Netzwerkausfalls, an derselben Stelle fortsetzen (ohne ganz von vorn beginnen zu müssen). Dazu verfügt ISA Server 2006 über eine integrierte Unterstützung für ein Microsoft Update-Zwischenspeicherfeature, durch die mithilfe des BITS-Zwischenspeichers das Ausführen von Updates optimiert wird.

Das DiffServ-Protokoll (Differentiated Services) ermöglicht das Festlegen von Paketprioritäten (oder QoS) für den Datenverkehr über HTTP und HTTPS. Abhängig von Ihrer ISA Server-Konfiguration erhalten bestimmte Datenpakete also eine höhere Priorität. Dies ist in Netzwerken mit begrenzter Bandbreite aufgrund umfangreichen Datenverkehrs oder niedriger Netzwerkverbindungsgeschwindigkeit sehr von Vorteil. Gemäß der Internet Engineering Task Force (IETF) ist DiffServ eine auf Klassen basierende Verwaltungsmethode für Datenverkehr. Folglich kann DiffServ zwischen verschiedenen Arten an Datenverkehr unterscheiden und den Datenverkehr entsprechend verwalten. Dadurch wird sichergestellt, dass der Datenverkehr mit höherer Priorität bevorzugt abgewickelt wird.

Um dieses Feature bereitzustellen, arbeitet ISA Server mit Routern zusammen, die QoS unterstützen. Wenn die Pakete mit gleicher Priorität weitergeleitet werden sollen, muss unbedingt sichergestellt werden, dass die DiffServ-Bits von ISA Server den Prioritäten der Router entsprechen.

Diese in ISA Server implementierte Art der Festlegung von Paketprioritäten ist eine globale HTTP-Richtlinieneinstellung, die für den gesamten HTTP-Verkehr gilt, der mittels eines DiffServ-Webfilters über ISA Server 2006 abgewickelt wird. Demnach unterstützt ISA Server DiffServ für andere Protokolle nicht, und es kann vorkommen, dass in Nicht-HTTP-Datenverkehr vorhandene DiffServ-Bits verloren gehen.

Wie in Abbildung 8 dargestellt, wird DiffServ als Webfilter implementiert. Der Zugriff auf DiffServ erfolgt durch Auswahl von „Add-Ins“ im linken Fensterbereich. Die Standardeinstellungen und die Prioritätsreihenfolge des DiffServ-Filters dürfen auf keinen Fall geändert werden, da ISA Server die Größe der Anforderung/Antwort zum Zeitpunkt der Verarbeitung prüfen muss.

Abbildung 8 Anzeigen des DiffServ-Webfilters

Abbildung 8** Anzeigen des DiffServ-Webfilters **(Klicken Sie zum Vergrößern auf das Bild)

Bei genauerer Betrachtung von Abbildung 8 werden Sie feststellen, dass der DiffServ-Filter standardmäßig nicht aktiviert ist. Um den Filter zu aktivieren, aktivieren Sie einfach im Aufgabenbereich die Option „Enable Selected Filters“ (Ausgewählte Filter aktivieren), und konfigurieren Sie anschließend den Filter. Da das Festlegen von Paketprioritäten durch DiffServ in ISA Server entweder anhand bestimmter URLs oder bestimmter Domänen erfolgt, müssen diese Informationen den DiffServ-Einstellungen hinzugefügt werden. Dazu klicken Sie im linken Fensterbereich der Verwaltungskonsole auf „Allgemein“ und wählen anschließend unter „Globale HTTP-Richtlinieneinstellungen“ die Option „Diffserv-Einstellungen angeben“ aus. Beim Festlegen dieser Einstellungen müssen Sie die Prioritäten festlegen und die URLs und Domänen angeben, für die diese Prioritäten gelten sollen. ISA Server 2006 verfügt über leistungsfähige neue Funktionen zum Einrichten eines Remotezugriffs für VPN-Clients oder zum Erstellen von Standort-zu-Standort-VPNs. Für VPN-Lösungen sollte ISA Server 2006 bei Ihnen an erster Stelle stehen.

Alan Maddison ist Senior Consultant in der Microsoft Technology Practice der MTI Technology Corporation. Im Mittelpunkt seiner Tätigkeit stehen Active Directory, Exchange Server und Virtualisierung.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.