In einem KMU wird ein Windows Server 2003 angeschafft, der sowohl als Domänenkontroller sowie auch als Terminalserver fungieren soll, da nur ein Computer für den Einsatz als Server zu Verfügung steht.

Vorteil: Es wird nur eine Hardware benötigt.
Nachteil: Domänenkontroller muss sich die Performance mit dem Terminalserver teilen.

Vorgaben

• Eine ausgewählte Gruppe von Benutzern sollen auf den Terminalserver zugreifen können, jedoch mit starken Restriktionen. Auf den Arbeitsstationen aber sollen sie normale Benutzerberechtigungen zugeteilt bekommen.
• Die Restriktionen sollen nur auf dem Terminalserver angewendet werden, damit andere Computer nicht davon betroffen sind.
• Den Domänenadministratoren ist es gestattet mit voller Zugriffsberechtigungen auf dem Terminalserver zu arbeiten.

Benennung

In der hier gezeigten Lösung wurden folgende Namen definiert:

• Domäne: experiment.ch
• Domänenkontroller: EXPERIMENT

Mögliche Konfiguration

s wird eine globale Gruppe „Terminal Server Users“ erstelle, der alle Benutzer angehören die auf den Terminalserver zugreifen müssen. Wo in der Domäne sich diese Gruppe befindet kann nach belieben festgelegt werden. e Terminalserververbindung in der Terminalserverkonfiguration.

Die Benutzer der Gruppe „Terminal Server Users“ sollten nun bereits auf den Terminalserver zugreifen können, noch aber ohne Restriktionen.

Auf die Organisationseinheit „Domain Controllers“, in der sich das Computerobjekt des Domänenkontroller befindet wird eine neue Gruppenrichtlinie angewendet.

 Zentral bei dieser Gruppenrichtlinie ist der Loopbackverarbeitungsmodus. Dieser bewirkt, dass nicht die Benutzereinstellungen des Benutzers sondern diejenige dieser Gruppenrichtlinie angewandt wird, wenn sich ein Benutzer an ein Computer dieser Organisationseinheit anmeldet.

Pfad: Terminal Server Users Policy/Computerkonfiguration/Administrative Vorlagen/System/Gruppenrichtlinien

Weiter können anschliessend die Restriktionen unter der Benutzerkonfiguration eingestellt werden.

Achtung: Wird die Gruppenrichtlinie nun so eingesetzt, würden auch die Domänenadministratoren eingeschränkt werden, was meist nicht erwünscht ist. Deswegen müssen noch Berechtigungen auf die Gruppenrichtlinien vergeben werden.

In den Sicherheitseigenschaften sollten folgende Anpassungen vorgenommen werden:

• Gruppe „Authentifizierte Benutzer“ entfernen
• Der Gruppe „Domänen-Amins“ expliziet die Gruppenrichtlinienübernahme verweigern
• Die Gruppe „Terminal Server Users“ hinzufügen mit Lese- und Gruppenrichtlinienübernahme Berechtigung
• Computerobjekt des Terminalservers hinzufügen mit Lese- und Gruppenrichtlinienübernahme Berechtigung

Die Gruppe „Authentifizierte Benutzer“ ist eigentlich ein Sicherheitsprinzipal, wird somit vom System verwaltet und kann nicht ohne Weiteres verändert werden. Auch können die dazugehörigen Benutzer nicht direkt aufgelistet oder beeinflusst werden.

Begründung für die Sicherheitseinstellung

Würde die Gruppe „Authentifizierte Benutzer“ nicht entfernt werden, gälte die Gruppenrichtlinie für alle Objekte die sich an der Domäne erfolgreich angemeldet haben. Das heisst nicht nur für sämtliche Benutzer sondern auch für alle Computer in dieser Organisationseinheit (Domain Controllers). Ist dies gewünscht muss man bei der Gruppe „Domänen-Admins“ die Gruppenrichtlinienübernahme verweigern, damit der Administrator sich nicht selbst einschränkt. Will man aber die Gruppenrichtlinie nur explizit auf die „Terminal Server Users“ anwenden muss die Gruppe „Authentifizierte Benutzer“ entfernt werden. Implizit entfernt man so auch das Computerobjekt des Domänenkontrollers. Darum muss der Computer „EXPERIMENT“ wieder für das Lesen und die Gruppenrichtlinienübernahme berechtig werden, da sonst die Richtlinie mangels Zugriffsberechtigung herausgefiltert wird, obwohl die Benutzergruppe „Terminal Server Users“ die benötigten Berechtigungen hätte. So kann man auch klar steuern auf welchem Computern die Gruppenrichtlinie gilt.

Nützliche Tools

Damit Änderungen an den Richtlinien sofort wirken, kann man den Befehl gpupdate /force in der Shell ausführen.

Bei komplexeren Domänenstrukturen oder Richtlinienhierarchien ist das Tool gpresult nicht weg zu denken. Dort kann man anzeigen lassen welche Gruppenrichtlinien bei einem Benutzer auf einem Bestimmten Computer angewandt und welche gefiltert werden.

Syntax: gpresult /u Benutzername /s Computername

Copyright

C. Jud. (2007, Nov.) Terminal Server auf einem Domain Controller.
Available: http://aboutinformationtechnologies.blogspot.com

Download & Installation

Download unter www.openvpn.net – Windows Installer.

Unter “Choose Components” wählen Sie sämtliche Komponenten aus. Danach kann OpenVPN installiert werden.

Zertifikate erstellen

Wir wechseln ins Verzeichnis easy-rsa (Meistens unter C:\Programme\OpenVPN\easy-rsa) und benennen folgende Files um:

vars.bat.sample in vars.bat
openssl.cnf.sample in openssl.cnf

Danach editieren wir vars.bat und passen folgende Zeilen unseren Bedürfnissen an:

set KEY_COUNTRY=CH
set KEY_PROVINCE=Zuerich
set KEY_CITY=Effretikon
set KEY_ORG=MeineFirma AG
set KEY_EMAIL=support@meinefirmag.ch

Nun setzen wir die Umgebungsvariablen mittels Ausführen des vars.bat

Danach werden alle Files resetted und die Zertifikationsinstallation vorbereitet mittels clean-all.bat

Nun beginnen wir mit der Erstellung der einzelnen Keys. Folgende Keys werden nun erstellt:

CA (build-ca.bat)
DH (build-dh.bat)
Server-Zertifikat (build-key-server.bat)
Client-Zertifikat(e) (build-key.bat)

Erstellen von CA und DH Keys via Konsole (einmalig). Vor der Erstellung eines Keys sollte immer vars.bat angewendet werden. Das Feld “Organizational Unit Name” kann leer gelassen werden, wohingegen wir beim “Common Name” den Servernamen angeben. Nun bilden wir den CA Key mittels build-ca.bat

Nun bilden wir den DH Key mittels build-dh.bat

Nun bilden wir den Private Server Key mittels build-key-server.bat. Das Feld “Organizational Unit Name” kann leer gelassen werden, hingegen wird beim “Common Name” der Servername angeben. Wir bestätigen zweimal mit Yes, damit das Zertifikat signiert und erstellt wird. Das Passwort wird leer gelassen. Mittels folgendem Command wird der Server-Key erstellt:

build-key-server.bat <Servername>

In Unserem Beispiel lautet die Erstellung: build-key-server.bat Server01

Eine komplette Erstellung sollte folgendermassen aussehen.

Nun bilden wir den Client Key mittels build-key.bat. Das Feld “Organizational Unit Name” kann leer gelassen werden, hingegen wird beim “Common Name” der Clientname angeben. Wir bestätigen zweimal mit Yes, damit das Zertifikat signiert und erstellt wird. Das Passwort kann optional erstellt werden. Somit fragt der OpenVPN Client beim Connecten zum Server nach dem angegebenen Passwort. Somit können wir sicherstellen, dass unser Zertifikat nicht missbraucht werden kann. Mittels folgendem Command wird der Client-Key erstellt:

build-key.bat <Clientname>

In Unserem Beispiel lautet die Erstellung: build-key.bat Client01

Eine komplette Erstellung sollte folgendermassen aussehen.

Nun sind die nötigen Keys erstellt. Bei einer Clientinstallation sind immer folgende Keys nötig:

ca.crt
client.crt
client.key

Die restlichen Keys sind privat und werden den Clients nicht mitgegeben.

Konfiguration Server

Wir erstellen folgende Verzeichnisse:

C:\Programme\OpenVPN\server-keys\
C:\Programme\OpenVPN\log\
C:\Programme\OpenVPN\ccd\

Unser server.ovpn für eine Roadwarrior-Konfiguration sieht in etwa folgendermassen aus:

#################################################
#
# OpenVPN (MvA-Networks Conf)
#
# VPN Server Configuration
#
# Copyright 2006-2007 (20.12.06) www.mva.ch
# MvA Internet Services GmbH
#
#################################################

local 192.168.1.100
port 1194
proto udp
dev tun

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

dh C:\\Programme\\OpenVPN\\server-keys\\dh1024.pem
ca C:\\Programme\\OpenVPN\\server-keys\\ca.crt
cert C:\\Programme\\OpenVPN\\server-keys\\server.crt
key C:\\Programme\\OpenVPN\\server-keys\\server.key 

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 10.18.14.0 255.255.255.0
ifconfig-pool-persist C:\\Programme\\OpenVPN\\ipp.txt
client-to-client

# ----------------------------------------------
# Client-Settings (inkl Special Dir)
# ----------------------------------------------

# (if needed) client-config-dir ccd

push "route 192.168.1.0 255.255.255.0"
#push "redirect-gateway"
push "dhcp-option DNS 192.168.1.10"
#push "dhcp-option WINS 172.20.0.100"

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status C:\\Programme\\OpenVPN\\log\\openvpn-status.log
log C:\\Programme\\OpenVPN\\log\\openvpn.log
log-append C:\\Programme\\OpenVPN\\log\\openvpn.log
verb 3

Im obigen Fall gehen wir davon aus, dass der Server in einem internen Lan: 192.168.1 / 24 steht und der Client auf alle Hosts in dem Lanzugriff haben wird. Der Server selbst hat die interne IP-Adresse 192.168.1.100. Zudem weisen wir dem Client den internen DNS Server 192.168.1.10 zu. Zusammenfassung:

Netzwerk: 192.168.1.0
Server-IP: 192.168.1.100
DNS-Server: 192.168.1.10

Nach der erfolgreichen Erstellung der Verzeichnisse und Implementation der Konfiguration kann OpenVPN via Services in der Windows-Systemumgebung gestartet werden. Dazu geben wir in der Konsole folgendes ein:

net start OpenVPN

Somit sollte (sofern auf der Firewall auch die richtigen Ports geöffnet sind, in unserem Falle UDP Port 1194) ein Client eine VPN Verbindung zum Server aufnehmen können.

Konfiguration Clients

Client-GUI Download auf openvpn.se – Letzte Version. Für Installationen unter Windows Vista (32 und 64 bit) ist jeweils die letzte Beta-Version (aktuell 2.1_rc3a, 19.02.08) unter www.openvpn.net zu empfehlen. Das GUI ist Vista kompatibel, nur der aktuelle Treiber, welcher in der 2.0 Version des GUI von openvpn.se vorhanden ist, nicht.

Wählen Sie die Standartinstallation. Die Auswahl der Komponenten müssen nicht angepasst werden. Nach erfolgreicher Installation kopieren wir die oben vorbereiteten Client Keys:

ca.crt
client.crt
client.key

ins dafür vorgesehene Verzeichnis, beispielsweise C:\Programme\OpenVPN\config\ (Oder unter Vista 64: C:\Program Files (x86)\OpenVPN\config\). Danach erstellen wir eine Config in demselben Verzeichnis (bsp. client.ovpn), wobei x.x.x.x der externen IP (des Routers, wenn Portforwarding vorhanden) des VPN Servers entspricht. Das Verbose tag (verb) kann nach erfolgreichen Tests auf 1 oder 0 gesetzt werden, damit nicht sämtliche Informationen den Benutzer verwirren, wenn das VPN startet.

##############################################
# MvA-Networks Connect. OpenVPN ClientScript #
##############################################

client
dev tun

proto udp
remote x.x.x.x 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\client1.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\client1.key"

comp-lzo
verb 3

Nun kann in der Taskliste das VPN via Icon gestartet werden. Nach erfolgreicher Verbindung sollte der Clientcomputer ins Remotenetzwerk integriert worden sein.