Remoteverwaltung eines ISA Server 2004: Teil 1 - Remotedesktop (RDP)
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Zur Verwaltung und Konfiguration des ISA Server 2004 wird beim normalen Setup auch die Managementkonsole mitinstalliert. Klassischerweise administriert man den ISA Server direkt an der Maschine, auf der er auch installiert ist. Jedoch gibt es häufig Situationen, in denen dieser Administrationszugang zur Verfügung steht oder nicht gewünscht wird. Z.B. Wenn der ISA Server in einem Rechenzentrum oder einem anderen Standort steht. Genau deshalb gibt es (natürlich) die Möglichkeit, den ISA Server fernzuverwalten. Es stehen zwei unterschiedliche Methoden zur Verfügung: Remote Desktop und Managementkonsole.
Einrichten des ISA Servers zur Fernverwaltung mittels Remotedesktop (RDP):
Um den ISA Server über die Remotedesktop-Funktionalität von Windows Server 2003 (bei Windows 2000 Server ist es das selbe Prinzip, die Technik heißt dort jedoch noch "Terminaldienst im Administrationsmodus") verwalten zu können müssen sowohl am Windows Server als auch in der ISA Verwaltung kleine Konfigurationsschritte durchgeführt werden.
Zuerst muss der Windows Server zulassen, dass er über RDP verwaltet werden kann:
In den Systemeigenschaften (Systemsteuerung -> System) muss auf der Registerkarte "Remote" der Remotedesktop aktiviert werden. Standardmäßig dürfen dann nur (lokale) Administrationen eine RDP-Verbindung herstellen. Man kann aber jederzeit weitere berechtigte Benutzer hinzufügen.
Anschließend muss im ISA Server die Systemrichtlinie für Remoteverwaltung aktiviert/angepasst werden:
Hier muss der Haken gesetzt sein. Anschließend sollte man sicherstellen, dass in der Registerkarte "Von" nur ein Computerset enthalten ist, welches wiederum nur die berechtigten Rechner beinhaltet:
Man kann gleich hier berechtigte Computer der Gruppe "Remoteverwaltungscomputer" hinzufügen. Es empfiehlt sich, in dieser Gruppe gleich alle Rechner hinzuzufügen, die später sowohl über RDP als auch die MMC auf die ISA Server Einstellungen zugreifen sollen.
Denken
Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das
Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.
Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.
Mit diesem Konfigurationsschritt hat der ISA Server eine Richtlinie gesetzt, die allen Computern in der Gruppe "Remoteverwaltungscomputer" den Zugang über RDP erlaubt. Dabei ist es unerheblich, ob ein Client der Gruppe "Remoteverwaltungscomputer" eine interne oder eine externe IP-Adresse hat. Selbst eine Mischung aus internen/externen Clients ist zulässig. Dadurch kann auch der Remotedesktop des ISA Server Computers für bestimmte externe Clients veröffentlicht werden. Beachten Sie jedoch, dass bei Angabe eines externen Clients dieser automatisch auch alle Zugriffsrechte erhält, die der Remoteverwaltungscomputergruppe zugeteilt wurden. In den meisten Situationen werden das zu viele Rechte sein und es ist wünschenswert, dem externen Client wirklich nur den Remotedesktop zur Verfügung zu stellen. Diese Richtlinie wird im Artikel Lokaler Remotedesktop beschrieben.
Vom Client aus ruft man einfach die "Remotedesktopverbindung" (Start -> Programme -> Zubehör -> Kommunikation) auf (alternativ: mstsc) und gibt den Namen oder die IP-Adresse des ISA Servers ein:
Tip: Mit dem Befehl mstsc /console ruft man eine Remotedesktopverbindung auf die Konsole auf. Das hat mehrere Vorteile:
- man sieht Popups/Warnungen
- man kann meist Software installieren, die nicht im Terminalmodus installiert werden kann
- man kann die Konsole so übernehmen/übergeben wie man sie am "echten" Monitor sieht
Stand: Friday, 28. August 2009/DR.
