Artikel-ID: 303503 - Geändert am: Montag, 30. Juli 2007 - Version: 1.2

Zum Verknüpfen oder Zugriff auf eine interne Domäne vom externen mit ISA Server und VPN-Client

Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Produkte anzeigen, auf die sich dieser Artikel bezieht

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt die beitreten oder eine interne Domäne über ein virtuelles privates Netzwerk (VPN) von einem externen Client oder Server zugreifen. Dieser Artikel beschreibt das Einrichten des VPN (PPTP) mit Internet Security and Acceleration (ISA) Server als Firewall (integrierter Modus) festlegen Wenn der externe Computer ist außerhalb der lokalen Adresstabelle (LAT), während die Domäne in der LAT ist
Zum Anfang

Weitere Informationen

Wenn ISA Server im integrierten Modus (Firewall gestartet) fungiert, lässt es nicht Domänenverkehr von internen externen Computern oder externen internen Computer (z. B. LDAP, NetBIOS, SMB und usw.), da die erforderlichen Ports in der Standardeinstellung nicht aktiviert sind. Sie können alle benötigten Ports öffnen, aber dieser Lösung hat einige Verwaltungsaufwand und löst Sicherheitsprobleme (nicht benötigte Ports geöffnet, um das externe Netzwerk). Informationen dazu, wie Sie alle erforderlichen Ports öffnen finden Sie die Artikel der Microsoft Knowledge Base:
179442  (http://support.microsoft.com/kb/179442/EN-US/ ) Konfigurieren einer Firewall für Domänen und Vertrauensstellungen
Die folgenden Szenarien beschreiben das alternative Lösungen beitreten oder eine interne Domäne mithilfe einer VPN-Verbindung (PPTP) zugreifen.
Zum Anfang

Szenario 1

Konfiguration

Lokalen Netzwerks (LAN) (Domäne)->ISA1<-> Internet->ISA2<-> remote Client oder Server (die Verknüpfung zu der Domäne Zugriff vorgesehen ist)
Das folgende Verfahren beschreibt das Einrichten der VPN-Verbindung zwischen den ersten ISA Server-Computer (ISA1) und dem zweiten ISA Server-Computer (ISA2) (oder zum Einrichten der VPN-Tunnel für den Datenverkehr domänenbezogenen verwendet):

Verfahren zum Konfigurieren des ersten Computers mit ISA Server

  1. Klicken Sie mit der rechten Maustaste auf Netzwerkkonfigurationen ISA1 und klicken Sie dann auf Setup lokale ISA VPN-Server um den lokalen ISA-VPN-Assistenten zu starten.
  2. Geben Sie in den Assistenten einen Namen für das lokale und remote-Netzwerk und klicken Sie dann auf Weiter .
  3. Klicken Sie auf PPTP verwenden , und klicken Sie dann auf Weiter .
  4. Klicken Sie auf beide den lokalen und die Fernbedienung kann Kommunikation initiieren .
  5. Geben Sie die vollqualifizierten Domänennamen (FQDN) oder (IP) Adresse des ISA Server-Remotecomputers in das erste Feld und den Domänennamen des Servernamens im zweiten Feld.
  6. Geben Sie den IP-Bereich um den Zugriff zu ermöglichen.
  7. Geben Sie die externe IP-Adresse des ISA Server-Computers, in denen die VPN-Verbindung wird über eingerichtet und geben dann die IP-Adressen Remoteclients, die über dieses VPN-Verbindung zugreifen dürfen.
  8. Geben Sie den Dateinamen (z. B. VPN_ISA1_ ISA2 VPC), und beenden Sie den Assistenten.
Der Assistent generiert die folgenden vier Paketfilter (Access-Richtlinien und Paketfilter):
  • Lassen Sie Protokollpakete von PPTP (Client) für VPN-Verbindung
  • Lassen Sie Protokollpakete von PPTP (Server) für VPN-Verbindung
Der Assistent startet den Routing- und RAS-Dienst zusätzlich (falls es nicht bereits gestartet wurde) und konfiguriert eine zusätzliche Routingschnittstelle (VPN) mit dem Namen, die Sie im Assistenten eingegeben haben und fügt dann statische Routingregeln, die zum Herstellen der VPN-Verbindung über die neue VPN-routing-Schnittstelle erforderlich sind.

So konfigurieren Sie den Remote-ISA Server-Computer

Gehen Sie folgendermaßen vor, um ISA2 zu konfigurieren:
  1. Klicken Sie mit der rechten Maustaste auf Netzwerkkonfigurationen ISA2 und klicken Sie dann auf Setup RAS ISA VPN-Server um den Remote-ISA-VPN-Assistenten zu starten.
  2. Zeigen Sie auf der Konfigurationsdatei (z. B. VPN_ ISA1 _ ISA2 VPC), die in der vorhergehenden Prozedur im Schritt acht generiert wurde.

    Hinweis : Es wird empfohlen, Sie diese Datei auf der Festplatte des ISA2 kopieren, bevor Sie diese Prozedur starten.
  3. Der Assistent erstellt die entsprechenden Paketfilter und Routing und RAS-Einträge (VPN-Schnittstelle, statisches Routing Einträge) auf dem ISA Server-Remotecomputer sowie damit RAS-Clients und Servern werden beim Zugriff auf die Domäne über diese VPN-Verbindung weitergeleitet werden.

Wie Sie die vom Client Domänenbeitritt mithilfe eines VPNs

  1. Treten Sie der Domäne vom remote-Client oder Server.
  2. Beheben Sie DNS-Namen für die Domäne (LDAP, Domänencontroller und usw.), indem Sie eine Anforderung an den DNS-Server eine Domäne Mitglied ist weiterleiten. Da ISA2 Routingeintrag für die Domäne mithilfe der VPN-routing-Schnittstelle verfügt, es stellt die VPN-Verbindung mit ISA1 her und leitet die DNS-Abfrage an ISA1, der die Abfrage an der DNS-Server der Domäne weiterleitet.
  3. Der DNS-Server antwortet an remote-Client oder Server mithilfe der VPN-Verbindung (ISA1->ISA1).
  4. Jetzt wird der gesamte Datenverkehr (LDAP, SMB, NetBIOS, DNS usw.) über die VPN-Verbindung weitergeleitet und remote Client oder Server kann auf die Domäne, da lokal ist.
Zum Anfang

Szenario 2

Konfiguration

LAN (Domäne)->ISA1<-> remote Client oder Server (die Verknüpfung zu der Domäne Zugriff vorgesehen ist)
In diesem Szenario müssen Sie den ISA Server-Computer (ISA1) externe VPN-Clients für den Wählvorgang in mithilfe eines VPNs aktivieren zu konfigurieren. Szenario zwei unterscheidet sich von Szenario eins in Sie keinen VPN-Tunnel erstellen, da Sie nur eine mit einem ISA Server-Computer sind; daher gibt es einen Rahmen von der externen internen Computer.
  1. Klicken Sie mit der rechten Maustaste auf Netzwerkkonfiguration ISA1 und klicken Sie dann auf Zulassen von VPN-Clientverbindungen zu den ermöglichen VPN-Client Verbindungen Assistenten zu starten.

    Dieser Assistent erstellt die folgenden Paketfilter auf dem ISA Server-Computer:

    • PPTP-Protokollpakete (Client) zulassen
    • PPTP-Protokollpakete (Server) zulassen
    Jetzt, ISA1 (der externe Adapter) kann VPN-Verbindungen von externen Clients (außerhalb der LAT z. B. das Internet) annehmen.
  2. Erstellen Sie eine VPN-Verbindung mit ISA1 (externe Adapter) auf dem Client (Internet).

    Hinweis : die folgende Prozedur wird vorausgesetzt, dass bereits bestehende Internetverbindung vorhanden ist.
    1. Öffnen Sie Netzwerk- und DFÜ - Verbindungen .
    2. Klicken Sie auf Neue Verbindung , und klicken Sie dann auf Verbindung mit einem privaten Netzwerk über das Internet .
    3. Geben Sie den Namen oder IP-Adresse der öffentlichen Schnittstelle des ISA Server-Computers als Zieladresse.
  3. Stellen Sie sicher, dass die Benutzer, die auf dem ISA Server-Computer konfiguriert sind, können Remote Einwählen sind. Um sicherzustellen, dass die Benutzer einwählen können verwenden Remote, entweder Domänen-Benutzer, um diese Benutzer dial-in Berechtigungen ermöglichen, wenn der ISA Server-Computer in der lokalen Domäne verbunden ist oder einen lokalen Benutzer auf dem ISA Server-Computer verwenden, und erteilen dial-in Berechtigungen.
Gehen Sie von einem externen Client (Internet) eine Verbindung mit der Domäne herzustellen, folgendermaßen vor um (es wird angenommen, dass der Client bereits mit dem Internet verbunden ist)
  1. Stellen Sie das VPN her, ob Sie ein gültiges Konto eingeben, das dial-in Berechtigungen hat.
  2. Treten Sie der Domäne (z. B. support.ms.com) vom remote-Client oder Server.
  3. Weiterleiten einer Anforderung an den DNS-Server, der Mitglied der Domäne DNS-Namen auflösen. Dieser Datenverkehr wird jetzt über die VPN-Verbindung weitergeleitet.

    Der lokale DNS-Server beantwortet den remote-Client oder Server mithilfe von ISA Server als VPN-Router. Wird der gesamte Datenverkehr (LDAP, SMB, NetBIOS, DNS usw.) über die VPN-Verbindung weitergeleitet und auf dem remote Client oder Server zugreifen kann der Domäne wie ist dies im Intranet relativ zu der Domäne.

Problembehandlung

  • Wenn der Domänencontroller auf einem separaten Computer befindet, stellen Sie sicher, dass der Domänencontroller in der internen Domäne ist und der Client oder Server, die die Domäne zugreifen möchte sind SecureNAT-Clients (Stellen Sie sicher, dass Sie die IP-Adresse des internen Netzwerkadapter von ISA Server als den Standard-Gateway konfiguriert haben). Dieses Szenario funktioniert nicht mit Firewall-Winsock-Clients.
  • Stellen Sie sicher, dass der Client oder Server, die die Domäne zugreifen möchte auflösen die DNS-Namen der internen Domäne ist. Die beste Möglichkeit dazu besteht darin, den DNS-Server die interne Domäne als DNS-Server auf dem remote-Client oder Server zu konfigurieren.
  • Stellen Sie sicher, dass ISA1 eine IP-Adresse an dem Remoteclient bereitstellen ist, wenn die VPN-Verbindung entweder durch eine IP-Adresse vom DHCP-Server der lokalen Domäne oder mithilfe einer IP-Adresse aus einem statischen Adresspool besteht. Um dies zu konfigurieren, klicken Sie auf Verwaltung , klicken Sie auf Routing und , klicken Sie mit der rechten Maustaste auf den Server (in diesem Fall ISA1 ), klicken Sie auf Eigenschaften und klicken Sie dann auf die Registerkarte IP .
  • Sicherstellen Sie, dass alle routing Einträge richtig sind und beide Endpunktserver (Domänencontroller in der lokalen Domäne und der remote-Client oder Server) können einander finden, wenn ein Ping -Befehl verwendet wird, wenn die VPN-Verbindung besteht.
  • Wenn Sie Szenario 2 sind, müssen Sie die VPN-Verbindung einrichten, bevor Sie die Domäne zugreifen können.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Internet Security and Acceleration Server 2000 Standard Edition
Zum Anfang
Keywords: 
kbmt kbinfo KB303503 KbMtde
Zum Anfang
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 303503  (http://support.microsoft.com/kb/303503/en-us/ )
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN