ENC (Extended Network Connectivity) › ENC-Bereitstellungsszenarios › ENC-Bereitstellungsszenario – Die Niederlassung

ENC-Bereitstellungsszenario – Die Niederlassung

In diesem Szenario unterhält das Mutterunternehmen den Domänen-Manager und den Scalability-Server im Netzwerk der Hauptgeschäftsstelle (internes Netzwerk). Die Niederlassung verfügt über ein LAN, auf dessen Computern DSM-Agenten installiert sind (Client-Netzwerk). Beide Geschäftsstellen sind durch Firewalls geschützt und mit dem Internet verbunden.

Die folgende Abbildung zeigt das Netzwerklayout bei einem Beispiel für ein Niederlassungs-Bereitstellungsszenario:

Bei diesem Szenario wird angenommen, dass auf allen Computern im Netzwerk, einschließlich der ENC-Gateway Server-Computer, mindestens ein DSM-Agent installiert ist.

Die entmilitarisierte Zone (DMZ, Demilitarized Zone) lässt Verbindungen vom internen Netzwerk in diese Zone zu, jedoch nicht darüber hinaus. Computer in der entmilitarisierten Zone können ausgehende Verbindungen zum Internet herstellen, jedoch keine Verbindungen zum internen Netzwerk.

Dies sind die erforderlichen Bereitstellungs- und Konfigurationsschritte bei diesem Szenario:

• Bereitstellen der ENC-Infrastruktur in der Hauptgeschäftsstelle (internes Netzwerk)
• Bereitstellen von DSM-Agenten in der Niederlassung (Client-Netzwerk)
• Konfigurieren der Agenten in der Niederlassung, sodass sie dem Scalability-Server in der Hauptgeschäftsstelle unterstehen

Für das Netzwerk der Hauptgeschäftsstelle gelten die folgenden Aktivitäten:

• Erstellen Sie im Netzwerk der Hauptgeschäftsstelle eine entmilitarisierte Zone, sofern diese nicht bereits vorhanden ist. Dies ist erforderlich, da die ENC-Gateway-Server für die Niederlassung sichtbar sein müssen, von der angenommen wird, dass sie eine Verbindung über das öffentliche Internet herstellt.
• Installieren Sie nach Bedarf einen DSM-Domänen-Manager, einen Scalability-Server, Agenten und ENC-Clients im übergeordneten Netzwerk.
• Installieren Sie einen DSM-Agenten, einen ENC-Client, einen Manager, einen Server und einen Router auf einem Computer, der sich in der entmilitarisierten Zone des Netzwerks der Hauptgeschäftsstelle befindet. Konfigurieren Sie den Agenten so, dass er sich auf dem Scalability-Server im internen Netzwerk registriert.
• Installieren Sie ENC-Zertifikate auf allen ENC-Gateway-sensitiven Computern, wie im Abschnitt Verwaltung von Zertifikaten beschrieben. Dies umfasst Computer im internen Netzwerk und in der entmilitarisierten Zone. Diese Zertifikate sind für die ENC-Gateway-Authentifizierung erforderlich.
• Installieren Sie ENC-Zertifikate auf den Computern in der entmilitarisierten Zone.
• Starten Sie die ENC-Gateway-Server noch nicht. Zu diesem Zeitpunkt wurden für den ENC-Gateway-Server noch keine Autorisierungsregeln konfiguriert, daher weist er alle Verbindungen zurück. Dies bedeutet, dass die DSM-Infrastruktur in der entmilitarisierten Zone keinen Kontakt zum Domänen-Manager im Netzwerk der Hauptgeschäftsstelle herstellen und daher die Konfigurationsrichtlinie, die die Autorisierungsregeln enthält, nicht empfangen kann.
• Öffnen Sie den DSM-Explorer, und konfigurieren Sie die Sicherheitsrichtlinie, die Sie für ENC benötigen. Konfigurieren Sie den ENC-Gateway mit einer Sicherheitsrichtlinie. Diese muss den Zugriff sowohl für die Computer im Netzwerk der Hauptgeschäftsstelle als auch für die Computer in der Niederlassung regeln. Zu diesem Zeitpunkt kann die Sicherheitsrichtlinie jedoch nicht vom Domänen-Manager aus an die ENC-Gateway-Server gesendet werden, da die folgende catch-22-Situation besteht: Der Computer kann erst dann eine Richtlinie empfangen, wenn er sich beim Domänen-Manager registriert, und er kann sich erst dann registrieren, wenn er eine Richtlinie erhält, die die Autorisierungsregeln definiert, die zulassen, dass der Computer eine Verbindung zum Domänen-Manager herstellt.
• Zur Behebung dieses Problems muss der ENC-Gateway-Server mit Regeln gestartet werden, die ausreichen, um eine Verbindung zum Domänen-Manager zuzulassen. Sobald die Verbindung hergestellt wurde, kann der Domänen-Manager die echte Richtlinie senden, um die Richtlinie für den Neustart zu überschreiben.

  Zuerst muss die echte Richtlinie in die Konfigurationsrichtlinie auf dem Domänen-Manager eingegeben werden. Dies kann mit einer der folgenden beiden Methoden geschehen:

  1. Eine Methode besteht darin, den DSM-Explorer zu öffnen und die Sicherheitsrichtlinie, die Sie für ENC benötigen, mit Hilfe des Konfigurationsrichtlinien-Editors zu konfigurieren. Die GUI verfügt über ein benutzerdefiniertes Dialogfeld, das Sie beim Erstellen der Regeln unterstützt.
  2. Die alternative Methode besteht darin, eine Textdatei mit Ihren Standardregeln zu erstellen und diese mit dem Hilfsprogramm "encUtilCmd" in einem Schritt zu importieren. (Eine detaillierte Beschreibung von "encUtilCmd" und seinen Optionen finden Sie in der EncUtilCmd-Befehlsreferenz, die im CA Bookshelf in der Kategorie "Referenzhandbücher" zur Verfügung steht.) Beachten Sie, dass "encUtilCmd" auch eine Möglichkeit zur Vorabprüfung der Regeln zur Verfügung stellt.

  Diese Regeln sollten mindestens zulassen, dass die DSM-Infrastruktur im Netzwerk der Hauptgeschäftsstelle Kontakt mit der ENC-Gateway-Infrastruktur in der entmilitarisierten Zone aufnimmt und sich bei ihr registriert.

  Es empfiehlt sich, die Regeln mit der zweiten Methode zu erstellen, da die Regeldatei, die Sie erstellen, dann sowohl auf dem Domänen-Manager als auch auf den ENC-Server-Computern verwendet werden kann. Die GUI kann für spätere Änderungen an der Richtlinie verwendet werden.

  Wenden Sie die Regeln mit Hilfe des Befehls "encUtilCmd importdb" auf den Domänen-Manager an. Dadurch werden die Regeln zur DSM-Konfigurationsdatenbank hinzugefügt. Wenn sie sich dort befinden, können sie über den üblichen Richtlinienmechanismus geliefert werden, sobald die ENC-Server-Computer eine Verbindung herstellen.

  Wenden Sie diese Regeln mit Hilfe des Befehls "encUtilCmd import" auf den ENC-Gateway-Server in der entmilitarisierten Zone an. Dadurch wird der Server mit Autorisierungsregeln gestartet, und es wird zugelassen, dass der Computer den Kontakt zum Domänen-Manager herstellt und sich registriert.

  Starten Sie CA Client Automation auf den ENC-Gateway-Servern, damit sie die neuen Regeln annehmen und es ENC-Verbindungen erlauben, fortzufahren.

• Standardmäßig ist die Konfigurationsrichtlinie im Domänen-Manager auf "Lokal verwaltet" gesetzt, um zu verhindern, dass sie versehentlich durch eine leere Richtlinie überschrieben wird. Setzen Sie diesen Wert auf "Zentral verwaltet". Wenn CA Client Automation sich erfolgreich registriert, wird die anfängliche Standardregel durch die vom Domänen-Manager gesendete Richtlinie überschrieben.
• Warten Sie 10 Minuten, und überprüfen Sie dann, ob sich die Computer in der entmilitarisierten Zone nun registriert haben und in der GUI angezeigt werden.
• Wenn keine Computer angezeigt werden, sind die Standardregeln möglicherweise nicht korrekt oder die neue Richtlinie hat den Zugriff unterbunden. Dies können Sie dem NT-Anwendungsereignisprotokoll auf den ENC-Gateway-Servern entnehmen.

Für die Niederlassung gelten die folgenden Aktivitäten:

• Installieren Sie die erforderlichen DSM-Agenten auf jedem Computer im Netzwerk der Niederlassung. Die ENC-Gateway-Funktionalität wird standardmäßig installiert, sie muss jedoch konfiguriert werden. Konfigurieren Sie die Clients so, dass sie sich auf dem ENC-Gateway-Server im Netzwerk der entmilitarisierten Zone der Hauptgeschäftsstelle registrieren. Da das ENC-Gateway zwischen der Hauptgeschäftsstelle und der Niederlassung noch nicht funktioniert, kann die DSM-Bereitstellung nicht verwendet werden. Stattdessen kann die Installation mit einer von mehreren Methoden ausgeführt werden, die davon abhängen, wie viele Computer betroffen sind, z. B.:
  • Manuelle Installation von DVD, wenn nur wenige Computer betroffen sind
  • Installation eines Pakets bei der Benutzeranmeldung von einem NT-Domänen-Anmeldeskript aus.
  • Installation eines temporären Domänen-Managers und Scalability-Servers innerhalb des Netzwerks der Niederlassung. Dies kann mit Hilfe eines realen oder virtuellen Computers erfolgen, der an die Niederlassung gesendet wird. Verwenden Sie die Bereitstellungsfunktion von CA Client Automation, um das Agentenpaket zu versenden. Sobald die Bereitstellung abgeschlossen ist und sich alle Agenten beim Domänen-Manager in der Hauptgeschäftsstelle registrieren, wird der temporäre Domänen-Manager in der Niederlassung entfernt.
• Überprüfen Sie, ob sich die Computer in der Niederlassung registrieren, indem Sie die Gruppe "Alle Computer" in der GUI in der Hauptgeschäftsstelle markieren.
• Führen Sie die üblichen in Ihrem Unternehmen eingesetzten Validierungstests durch, um sicherzustellen, dass CA Client Automation voll funktionsfähig ist.