Vorheriges Thema: ENC-BereitstellungsszenariosNächstes Thema: ENC-Bereitstellungsszenario – Die Niederlassung

ENC (Extended Network Connectivity)ENC-BereitstellungsszenariosENC-Bereitstellungsszenario – Das Pilotschema

ENC-Bereitstellungsszenario – Das Pilotschema

Dieses Szenario ist voraussichtlich das erste, das ein Unternehmen anwendet, und es soll Erfahrungen mit der Funktionsweise des Systems liefern. Es dient außerdem als einfaches Beispiel zur Erläuterung der Funktionsweise des ENC-Gateways.

Dieses Szenario basiert einfach auf drei Computern. Zwei davon sind Agentencomputer hinter Personal Firewalls von Windows, und beim dritten handelt es sich um einen ENC-Gateway-Server, der die Verbindung ermöglicht.

Die folgende Abbildung zeigt das Layout des Pilotschema-Szenarios:

Abbildung vom Netzwerklayout in einem sehr einfachen ENC-Bereitstellungsszenario

In diesem Szenario wird auf Computer A ein Remote Control-Host ausgeführt, auf Computer B ein Remote Control-Viewer und auf Computer C ein ENC-Gateway-Server. Computer B kann keine Verbindung zu Computer A herstellen, da er sich hinter einer Firewall befindet. Auf allen Computern werden ENC-Clients ausgeführt, die mit dem ENC-Gateway-Server auf Computer C verbunden sind. Die Verbindung von Computer B zu Computer A wird durch Computer C geschaffen. Das Setup wird nicht durch einen Domänen-Manager verwaltet, um das Szenario so einfach wie möglich zu halten.

Sie können ein kleines ENC-Gateway-Netzwerk einrichten, indem Sie die folgenden Schritte ausführen:

Auf Computer A:

  1. Aktivieren Sie die Windows-Firewall.
  2. Starten Sie eine benutzerdefinierte Installation von Client Automation. Wählen Sie "Remote Control" und "Agent".
  3. Wenn Sie durch den Installer zur Eingabe der Adresse des Scalability-Servers aufgefordert werden, verwenden Sie den voreingestellten Standardwert. Wenn Sie durch den Installer zur Bestätigung der Angabe aufgefordert werden (da kein Server vorhanden ist), klicken Sie auf "Ja". Dies ermöglicht die Verwendung einer nicht verwalteten Installation.
  4. Klicken Sie auf "ENC-Client", um mit der Konfiguration des Clients zu beginnen. Geben Sie die Adresse von Computer C als Serveradresse des Clients ein.
  5. Klicken Sie auf "Remote Control", und wählen Sie nur "Hostfunktionen installieren".
  6. Wenn die Installation abgeschlossen ist, starten Sie Client Automation nicht. Führen Sie stattdessen die folgenden Befehle aus: 
    ccnfcmda -cmd setparametervalue -ps itrm/rc/host/managed -pn centralizedsecurity -v 0

    ccnfcmda -cmd setparametervalue -ps itrm/rc/host/managed -pn standalone -v 1
  7. Starten Sie Client Automation durch den Befehl "caf start".

Auf Computer B:

  1. Aktivieren Sie die Windows-Firewall.
  2. Starten Sie eine benutzerdefinierte Installation. Wählen Sie "Remote Control" und "Viewer".
  3. Keine Scalability-Server-Angabe (fahren Sie fort wie auf Computer A).
  4. Konfigurieren Sie einen ENC-Client auf dieselbe Weise wie auf Computer A.
  5. Klicken Sie auf "Remote Control", und wählen Sie nur "Viewer-Funktion installieren".
  6. Wenn die Installation abgeschlossen ist, starten Sie Client Automation nicht. Führen Sie stattdessen den folgenden Befehl aus: 
    ccnfcmda -cmd setparametervalue -ps itrm/rc/viewer/managed -pn managedmode -v 0
  7. Starten Sie Client Automation durch den Befehl "caf start".

Auf Computer C:

  1. Stellen Sie sicher, dass die Windows-Firewall deaktiviert ist.
  2. Starten Sie eine benutzerdefinierte Installation. Löschen Sie alle Produkte. Heben Sie im Dialogfeld der benutzerdefinierten Installation die Auswahl aller Optionen außer "ENC-Gateway" und "Agent" auf.
  3. Keine Scalability-Server-Angabe (fahren Sie fort wie auf Computer A und C).
  4. Wählen Sie im Dialogfeld zur Konfiguration des ENC-Gateways alle drei Rollen aus: Manager, Server und Router.
  5. Starten Sie Client Automation auf diesem Computer nicht jetzt. Die Sicherheit für den Gateway-Server wurde noch nicht konfiguriert und weist alle Verbindungen von Clients zurück. Zur Konfiguration der ENC-Sicherheit erstellen wir nun beispielhaft eine Textdatei, die eine Regel enthält, die alle Verbindungen zulässt. Die Datei wird anschließend in den gemeinsamen Speicher importiert, damit der Server sie aufnehmen kann.

    Wichtig! Beachten Sie, dass es sich hier nur um ein Beispiel handelt. In einer echten Produktionsumgebung würde man niemals Regeln verwenden, die einen offenen Zugriff erlauben!

  6. Erstellen Sie eine Textdatei mit dem Namen "defrules.txt", die den folgenden Text enthält: 
    [authz]
RulesVersion=5

    REALM
{Name "ENC" Notes "Der Standardbereich, zu dem jeder gehört"}
end

    TimeRange
{Name "Alle Tage" enabled "1" Hours "00:00 - 00:00" Type "normal" Weekdays "sunday - saturday"}
end

    TimeACL
{Name "Richtlinie1" enabled "1" RuleType "allow" Events "AuthenticatedConnection ManagerRegisterServer ServerRegisterRouter ManagerRegisterRouter ServerRegisterAgent ManagerRegisterAgent ManagerNameLookup AgentConnect RouterAgentConnect ManagementAccess" TimeRange "Alle Tage" SecPrincType "realm" SecPrinc "ENC" SecObj "ENC" SecObjType "realm"}
end

    URIMapping
{URI ".+" enabled "1" Type "pattern" Realm "ENC"}
end

    IPAddWhiteList
{IPAddress ".+" enabled "1" Type "pattern"}
end
  7. Importieren Sie diese Regeldatei wie folgt mit dem Befehl "encUtilCmd": 
    Encutilcmd import -i defrules.txt -fl

    Der ENC-Gateway-Server besitzt jetzt eine Regel, die alle Verbindungen zulässt.

  8. Installieren Sie schließlich ENC-Zertifikate auf allen Computern. Informationen hierzu finden Sie unter Einrichten von Zertifizierungsdiensten zur Verwendung durch ENC-Gateway.

Führen Sie die folgenden Schritte aus, um das Szenario zu testen:

  1. Starten Sie auf Computer A und B Client Automation mit dem Befehl "caf start". Starten Sie Computer C noch nicht, da der Test ohne die ENC-Gateway-Funktionalität durchgeführt werden soll.
  2. Starten Sie das Dialogfeld für die Host-Konfiguration, indem Sie es in der Taskleiste auf Computer A auswählen. Wählen Sie die Registerkarte "Benutzer", und stellen Sie sicher, dass der lokale Administrator auf diesem Computer ein Benutzer von Remote Control ist.
  3. Starten Sie auf Computer B den Viewer, und versuchen Sie, eine Verbindung herzustellen. Dieser Vorgang müsste durch die Firewall auf Computer A blockiert werden.
  4. Starten Sie Client Automation auf Computer C. Überprüfen Sie nach einigen Minuten, ob sich die ENC-Clients beim ENC-Gateway-Server registriert haben, indem Sie den Befehl "encclient status" ausführen. Daraufhin sollte gemeldet werden, dass sich der Client erfolgreich registriert hat und bereit ist.
  5. Wiederholen Sie den Verbindungsversuch. Dieses Mal müsste er erfolgreich sein. Alle Daten werden über Computer C weitergeleitet. Der Befehl "encclient status" sollte melden, dass eine Verbindung über Computer C ausgeführt wird.
  6. Sie können die Regeln anpassen, indem Sie die Datei "defrules.txt" ändern und neu importieren, jedoch unter Verwendung des Befehls "encUtilCmd" mit der Option "-o", um die vorhandenen Regeln zu überschreiben. Auf diese Weise können Sie mit verschiedenen Autorisierungsregeln experimentieren und erhalten so ein Gefühl für das System.

    (Eine detaillierte Beschreibung von "encUtilCmd" und seinen Optionen finden Sie in der EncUtilCmd-Befehlsreferenz, die im CA Bookshelf in der Kategorie "Referenzhandbücher" zur Verfügung steht.)