Veröffentlichen von Remotedesktop zur Verwaltung des ISA Server Computers
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Der unter der Rubrik Administration erschienene Artikel Remoteverwaltung RDP beschreibt die notwendigen und sinnvollen Schritte, wenn von einem internen Client auf den ISA Server Computer per Remotedesktopprotokoll (RDP) zugegriffen werden soll. Dort wurde auch erwähnt, dass diese Konfiguration auch externe Clients berücksichtigen kann. Da dem externen Client durch die Gruppenmitgliedschaft ggfs. zu viele Zugriffsrechte vergeben werden, empfiehlt es sich, eine eigene Firewallrichtlinie für den externen RDP-Zugriff zu erstellen Dies wird im vorliegenden Artikel beschrieben.
Einrichten des ISA Server Computer zur Fernverwaltung mittels Remotedesktop (RDP):
Um den ISA Server über die Remotedesktop-Funktionalität von Windows Server 2003 (bei Windows 2000 Server ist es das selbe Prinzip, die Technik heißt dort jedoch noch "Terminaldienst im Administrationsmodus") verwalten zu können müssen sowohl am Windows Server als auch in der ISA Verwaltung kleine Konfigurationsschritte durchgeführt werden.
Zuerst muss der Windows Server zulassen, dass er über RDP verwaltet werden kann:
In den Systemeigenschaften (Systemsteuerung -> System) muss auf der Registerkarte "Remote" der Remotedesktop aktiviert werden. Standardmäßig dürfen dann nur (lokale) Administrationen eine RDP-Verbindung herstellen. Man kann aber jederzeit weitere berechtigte Benutzer hinzufügen.
Als nächsten Schritt ist es ggfs. sinnvoll, die Terminaldienstekonfiguration anzupassen, dass nur einer der mindestens 2 Netzwerkadapter auf RDP-Anfragen reagiert:
In diesem Beispiel ist die 2. Netzwerkkarte dem internen Netzwerk zugeordnet.
Konfiguration einer Firewallrichtlinie für externen RDP-Zugriff
Nachdem die Windows-seitigen Einstellungen vorgenommen wurden, kann eine Firewallrichtlinie erstellt werden.
Erstellen Sie eine neue Serververöffentlichungsregel:
Geben Sie die interne IP Adresse des ISA Server Computers an:
Wählen Sie das RDP-Server-Protokoll aus:
Legen Sie anschließend das Netzwerk aus, von welchem die Anfragen kommen.
Hinweis: Sollte der ISA Server über mehrere externe IP-Adressen verfügen, können Sie mittels "Adresse..." festlegen, auf welcher IP-Adresse RDP-Anfragen entgegengenommen werden:
Die letzte Seite des Assistenten zeigt wie immer eine Übersicht an.
Bevor die neu erstelle Firewallrichtlinie übernommen wird, sollten Sie noch eine kleine Korrektur in den Eigenschaften der Richtlinie vornehmen. Gehen Sie dazu auf die Registerkarte "Von".
Standardmäßig wird als Quellnetzwerk "beliebig" ausgewählt. Ändern Sie das in "Extern" ab. Sollten Sie noch weitere Einschränkungen vornehmen wollen, so tun Sie es hier und jetzt. Es ist z.B. denkbar, dass Sie nur bestimmte vordefinierte Computer in einem Computersatz zusammenfassen und nur diesen den Zugriff auf diese Regel erlauben. Dann würden Sie natürlich diesen Computersatz statt "Extern" hinzufügen.
Denken
Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das
Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.
Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.
Stand: Tuesday, 22. April 2008/DR.
