Remoteverwaltung eines ISA Server 2006: Teil 1 - Remotedesktop (RDP)
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
Zur Verwaltung und Konfiguration des ISA Server 2006 wird beim normalen Setup auch die ISA Server-Verwaltungskonsole mitinstalliert. Klassischerweise administriert man den ISA Server direkt an der Maschine, auf der er auch installiert ist. Jedoch gibt es häufig Situationen, in denen dieser Administrationszugang zur Verfügung steht oder nicht gewünscht wird. Z.B. wenn der ISA Server in einem Rechenzentrum oder einem anderen Standort steht. Genau deshalb gibt es (natürlich) die Möglichkeit, den ISA Server aus der Ferne zu verwalten. Es stehen zwei unterschiedliche Methoden zur Verfügung: per Remotedesktop oder mit der ISA Server-Verwaltungskonsole.
Einrichten des ISA Servers zur Fernverwaltung mittels Remotedesktop (RDP):
Um den ISA Server über die Remotedesktop-Funktionalität von Windows Server 2003 verwalten zu können, müssen sowohl am Windows Server als auch in der ISA Server-Verwaltung kleine Konfigurationsschritte durchgeführt werden.
Zuerst muss der Windows Server zulassen, dass er über RDP verwaltet werden kann:
In den Systemeigenschaften (Systemsteuerung -> System) muss auf der Registerkarte "Remote" der Remotedesktop aktiviert werden. Standardmäßig dürfen dann nur (lokale) Administrationen eine RDP-Verbindung herstellen. Man kann aber jederzeit weitere berechtigte Benutzer hinzufügen.
Nachdem der Windows Server nun eingehende RDP-Anfragen bearbeiten kann, muss der ISA Server dafür konfiguriert werden.
Dazu stehen zwei Wege zur Verfügung. Dieser Artikel beschreibt den Weg über die Systemrichtlinien und dem Computersatz Remoteverwaltungscomputer. Die zweite Lösung besteht darin, eine zusätzliche Firewallrichtlinie zu erstellen, die den Remotedesktop mittels dem Protokoll RDP- (Terminaldienste) Server veröffentlicht.
Die Systemrichtlinie Nr. 3 Remoteverwaltung mit Terminalserver von ausgewählten Computern zulassen erlaubt allen Clients, die in dem Computersatz Remoteverwaltungscomputer enthalten sind, den Zugriff per RDP auf den ISA Server-Computer, sofern das Netzwerkverhältnis Route zwischen Quelle und Ziel verwendet wird (ansonsten wäre eine Serververöffentlichungsregel notwendig). Nach einer normalen Installation ist dieser Computersatz leer, also kann auch kein Remoteclient zur Fernverwaltung eingesetzt werden. Wird ISA Server 2006 bereits mittels Remotedesktop installiert, wird die IP Adresse des Remoteclients zum Zeitpunkt der Installation automatisch aufgenommen um sicherzustellen, dass nach einem Neustart des ISA Server-Computers eine Fernverwaltung möglich ist.
Um nun einem oder mehreren Administrationsrechnern die Fernverwaltung zu erlauben, müssen Sie lediglich die betreffenden Clients diesem Computersatz hinzufügen. Dabei muss allerdings berücksichtigt werden, dass der Computersatz Remoteverwaltungscomputer auch in anderen Systemrichtlinien verwendet wird und daher möglicherweise zu viel Rechte besitzt. Folgende Systemrichtlinien nutzen ebenfalls diesen Computersatz:
Es bietet sich daher an, die Systemrichtlinie Nr. 3 so anzupassen, dass sie nicht mehr dem Computersatz Remoteverwaltungscomputer den Zugriff erlaubt sondern einem eigens dafür erstellten neuen Computersatz mit einem Namen wie Remotedesktopverwaltungscomputer und fügen Sie diesen statt dem vorhandenen Computersatz in der Systemrichtlinienkonfiguration hinzu.
Denken
Sie daran, die durchgeführten Änderungen zu übernehmen. Erst dann wird das
Regelwerk in ISA Server tatsächlich geändert und steht zur Verfügung.
Sollten Sie eine Fehlkonfiguration gefunden haben, können Sie alle getätigten aber noch nicht gespeicherten Änderungen wieder verwerfen.
Mit diesem Konfigurationsschritt hat der ISA Server eine Richtlinie gesetzt, die allen Computern in der Gruppe "Remotedesktopverwaltungscomputer" den Zugang über RDP erlaubt. Dabei ist es unerheblich, ob ein Client der Gruppe "Remotedesktopverwaltungscomputer" eine interne oder eine externe IP-Adresse hat, sofern wie oben erwähnt zwischen Quelle und Ziel das Netzwerkverhältnis Route besteht. Selbst eine Mischung aus internen/externen Clients ist zulässig. Dadurch kann auch der Remotedesktop des ISA Server Computers für bestimmte externe Clients veröffentlicht werden.
Vom Client aus ruft man einfach die "Remotedesktopverbindung" (Start -> Programme -> Zubehör -> Kommunikation) auf (alternativ: mstsc) und gibt den Namen oder die IP-Adresse des ISA Servers ein:
Tip: Mit dem Befehl mstsc /console ruft man eine Remotedesktopverbindung auf die Konsole auf. Das hat mehrere Vorteile:
- man sieht Popups/Warnungen
- man kann meist Software installieren, die nicht im Terminalmodus installiert werden kann
- man kann die Konsole so übernehmen/übergeben wie man sie am "echten" Monitor sieht
Als Alternative zum Bearbeiten der Systemrichtlinien kann man natürlich eine klassische Serververöffentlichungsregel erstellen. Die funktioniert zum Beispiel auch dann, wenn das Netzwerkverhältnis NAT ist. Dann kann man den Computersatz Remoteverwaltungscomputer unangetastet lassen und kann über die Eigenschaften der Serververöffentlichungsregel steuern, welcher Client Zugriff bekommen soll.
Aufgrund von Hinweisen aus der Newsgroup sollte in der Terminaldienstekonfiguration des Servers explizit das RDP-Protokoll an den internen Netzwerkadapter gebunden werden. Dies ist eigentlich seit ISA Server 2004 nicht mehr notwendig, kann aber je nach Konfiguration Probleme lösen. In Respekt zu den Kommentaren hier die notwendigen Schritte:
In der Terminaldienstekonfiguration (zu finden unter Start -> Programme -> Verwaltung -> Terminaldienstekonfiguration) gibt es einen Punkt "Verbindungen" und darunter "RDP-Tcp".
In den Eigenschaften von "RDP-Tcp" gibt es die Registerkarte "Netzwerkadapter". Dort muss in der Liste die interne Netzwerkkarte ausgewählt werden.
Der ISA-Server ist von nun an ausschließlich vom internen Netzwerk per Terminalservice erreichbar.
Vielen Dank für die Hinweise - ich bin dafür immer dankbar!
Stand: Friday, 28. August 2009/DR.
