(0) exportieren Drucken
Alle erweitern

Neues beim Routing und Remotezugriff in Windows Server 2008 

Betrifft: Windows Server 2008

Windows Server 2008 umfasst einige neue Features, die zur Erweiterung der Sicherung und Verwaltbarkeit von Routing und Remotezugriff entworfen wurden. In diesem Abschnitt werden die neuen Features und andere wesentliche Änderungen für Routing und Remotezugriff in Windows Server 2008 beschrieben.

Server-Manager

SSTP

VPN-Erzwingung für Netzwerkzugriffsschutz

IPv6-Unterstützung

Neue kryptografische Unterstützung

Entfernte Technologien

Server-Manager ist ein neues Feature, dass IT-Administratoren (Information Technology) beim Installieren, Konfigurieren und Verwalten von Serverrollen und Features unterstützen soll, die Teil von Windows Server 2008 sind. Server-Manager wird automatisch gestartet, nachdem der Administrator die in den Aufgaben zur Erstkonfiguration beschriebenen Aufgaben erledigt hat. Danach wird das Feature automatisch gestartet, wenn sich ein Administrator am Server anmeldet.

Führen Sie folgende Schritte aus, um Routing und Remotezugriff mithilfe von Server-Manager zu installieren:

  1. Installieren Sie Windows Server 2008.

  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Server-Manager.

  3. Klicken Sie in der Rollenübersicht auf Rollen hinzufügen.

  4. Klicken Sie auf Weiter. Wählen Sie die Rolle Netzwerkzugriffsdienste aus, und klicken Sie dann auf Weiter.

  5. Klicken Sie auf Weiter. Wählen Sie den Rollendienst Routing- und RAS-Dienste aus, und klicken Sie dann auf Weiter.

    noteHinweis
    Auf diese Weise werden alle drei Routing- und Remotezugriffsdienste (Remote Access Services, RAS) ausgewählt.

  6. Klicken Sie auf Installieren. Wenn das Dialogfeld Installationsergebnisse angezeigt wird, klicken Sie auf Schließen.

Führen Sie folgende Schritte aus, um den Routing- und RAS-Dienst zu konfigurieren und aktivieren:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie auf Routing und RAS.

  2. Der lokale Computer wird standardmäßig als Server aufgeführt. Klicken Sie mit der rechten Maustaste auf den Server, und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren.

  3. Klicken Sie auf Weiter. Klicken Sie auf Benutzerdefinierte Konfiguration, und klicken Sie dann auf Weiter.

  4. Wählen Sie alle Dienste außer NAT aus, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

  5. Klicken Sie auf OK, klicken Sie auf Dienst starten, und klicken Sie dann auf Fertig stellen.

Secure Socket Tunneling Protocol (SSTP) ist eine neue Form von VPN-Tunneln (Virtual Private Networking) mit Features, die den Datenverkehr durch Firewalls ermöglichen, von denen PPTP- und L2TP/IPsec-Datenverkehr blockiert wird. Durch SSTP wird ein Mechanismus bereitgestellt, mit dem PPP-Datenverkehr über den SSL-Kanal von HTTPS gekapselt werden kann. Durch die Verwendung von PPP wird Unterstützung für sichere Authentifizierungsmethoden geboten, wie z. B. EAP-TLS. Bei der Verwendung von HTTPS fließt der Datenverkehr über TCP-Port 443, einem Port, der i. d. R. für den Webzugriff verwendet wird. Secure Sockets Layer (SSL) bietet Sicherheit auf der Übertragungsebene mit erweiterter Schlüsselaushandlung, Verschlüsselung und Integritätsprüfung.

Weitere Informationen zur Bereitstellung von SSTP finden Sie in den Artikeln zu folgenden Themen:

Dank der VPN-Erzwingung wird sicherer Netzwerkzugriff für alle Computer ermöglicht, die über eine VPN-Verbindung auf das Netzwerk zugreifen. Die VPN-Erzwingung mit Netzwerkzugriffsschutz (Network Access Protection, NAP) ist hinsichtlich der Funktionalität mit der Netzwerkzugriffs-Quarantänesteuerung (Network Access Quarantine Control) vergleichbar, einem Feature in Windows Server 2003, ist allerdings einfacher bereitzustellen.

NAP ist eine Technologie zur Clientintegritätsrichtlinien-Erstellung, -Erzwingung und -Wartung, die in den Betriebssystemen Windows Vista® und Windows Server 2008 enthalten ist. Mit NAP können Systemadministratoren Integritätsrichtlinien einrichten und automatisch erzwingen, einschließlich Softwareanforderungen, Sicherheitsupdateanforderungen, erforderlicher Computerkonfigurationen und anderer Einstellungen.

Beim Einrichten von VPN-Verbindungen, können Clientcomputer, die nicht der Integritätsrichtlinie entsprechen, mit eingeschränktem Netzwerkzugriff bereitgestellt werden, bis ihre Konfiguration aktualisiert wurde und der Richtlinie entspricht. Je nachdem, wie Sie NAP bereitstellen, können nicht kompatible Clients automatisch aktualisiert werden, sodass Benutzer schnell wieder vollständigen Netzwerkzugriff erhalten können, ohne ihre Computer manuell aktualisieren oder konfigurieren zu müssen.

Zur Erstellung und Remotekonfiguration von Remotezugriffsrichtlinien, sollten Sie den Netzwerkrichtlinienserver verwenden. Führen Sie folgende Schritte aus, um die Remotezugriffsrichtlinie festzulegen und Benutzern Zugriff zu gewähren:

  1. Öffnen Sie Routing und Remotezugriff.

  2. Klicken Sie mit der rechten Maustaste auf RAS-Protokollierung und -Richtlinien, und klicken Sie dann auf NPS starten.

  3. Klicken Sie auf Netzwerkrichtlinien.

  4. Doppelklicken Sie auf Verbindungen mit Microsoft-Routing- und Remotezugriffsserver.

  5. Klicken sie auf der Registerkarte Übersicht unter Zugriffsberechtigung auf Zugriff gewähren, und klicken Sie dann auf OK.

Folgende Erweiterungen von Internetprotokoll, Version 6, (IPv6) werden in Windows Server 2008 und Windows Vista unterstützt:

  • Protokolle

    • PPPv6. Systemeigener IPv6-Datenverkehr kann über PPP-basierte Verbindungen gesendet werden. (RFC 2472). Die PPPv6-Unterstützung ermöglicht Ihnen beispielsweise das Herstellen einer Verbindung zu einem IPv6-basierten Internetdienstanbieter (Internet Service Provider, ISP) über DFÜ- oder PPPoE-basierte (PPP over Ethernet, Point-to-Point-Protokoll über Ethernet) Verbindungen, die für den Breitbandinternetzugriff verwendet werden können.

    • PPPv6 über DFÜ/Ethernet sowie VPN-Tunnel

    • L2TP über IPv6

    • DHCP-Relay-Agent

  • Statusfreies Filtern auf der Grundlage folgender Parameter:

    • IPv6-Quelladresse/-Quellpräfix

    • IPv6-Zieladresse/Zielpräfix

    • Nächster Hoptyp (IP-Protokolltyp)

    • Quellportnummer (TCP/UDP)

    • Zielportnummer (TCP/UDP)

  • RADIUS-Transport über IPv6

Standardmäßig ist Routing und Remotezugriff so konfiguriert, dass nur IPv4-Verbindungen (Internetprotokoll, Version 4) akzeptiert werden . In Windows Server 2008 können Sie mithilfe der Microsoft Management Console (MMC) für Routing und Remotezugriff IPv6-Routing und -Verbindungen konfigurieren. Führen Sie folgende Schritte aus, um Routing und Remotezugriff so zu konfigurieren, dass sowohl IPv6- als auch IPv4-Verbindungen akzeptiert werden.

  1. Klicken Sie in der MMC für Routing- und Remotezugriff mit der rechten Maustaste auf den Server, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte IPv6.

  3. Geben Sie den IPv6-Präfix ein (Beispiel: 3ffe::).

  4. Klicken Sie auf die Registerkarte Allgemein.

  5. Klicken Sie auf IPv6-Router, und klicken Sie dann auf IPv6-Remotezugriffsserver.

  6. Klicken Sie auf OK, und klicken Sie dann auf Ja, um den Routing- und RAS-Dienst neu zu starten.

Angesichts staatlicher Sicherheitsanforderungen sowie Trends in der Sicherheitsindustrie hinsichtlich stärkerer Kryptografie werden in Windows Server 2008 und Windows Vista folgende Verschlüsselungsalgorithmen für PPTP- und L2TP-VPN-Verbindungen unterstützt.

 

PPTP

  • Es wird nur der 128-Bit-RC4-Verschlüsselungsalgorithmus unterstützt.

  • Die Unterstützung für die 40-Bit- und 56-Bit-RC4-Verschlüsselungsalgorithmen wurde entfernt, kann aber durch die Änderung eines Registrierungsschlüssels hinzugefügt werden (nicht empfohlen).

L2TP/IPsec

Der DES-Verschlüsselungsalgorithmus (Data Encryption Standard, Datenverschlüsselungsstandard) mit Unterstützung für die MD5-Integritätsprüfung (Message Digest 5) wurde entfernt, kann aber durch Änderung eines Registrierungsschlüssels hinzugefügt werden (nicht empfohlen).

Der IKE-Hauptmodus bietet Unterstützung für Folgendes:

  • Verschlüsselungsalgorithmen AES 256 (Advanced Encryption Standard, erweiterter Verschlüsselungsstandard) (neu), AES 192 (neu), AES 128 (neu) und 3DES.

  • Integritätsprüfungsalgorithmus Secure-Hash-Algorithmus 1 (SHA1).

  • Diffie-Hellman-Gruppen (DH) 19 (neu) und 20 (neu) für die Hauptmodusaushandlung.

Der IKE-Schnellmodus bietet Unterstützung für Folgendes:

  • Verschlüsselungsalgorithmen AES 256 (neu), AES 192 (neu), AES 128 (neu) und 3DES.

  • Integritätsprüfungsalgorithmus SHA1.

Unterstützung für folgende Technologien wurde in Windows Server 2008 und Windows Vista entfernt:

  • Bandwidth Allocation-Protokoll (BAP). Entfernt in Windows Vista. Deaktiviert in Windows Server 2008.

  • X.25.

  • Serial Line Interface Protocol (SLIP). SLIP-basierte Verbindungen werden automatisch zu PPP-basierten Verbindungen aktualisiert.

  • Asynchroner Übertragungsmodus (Asynchronous Transfer Mode, ATM).

  • IP über IEEE 1394.

  • NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll.

  • Dienste für Macintosh.

  • Routingprotokollkomponente Open Shortest Path First (OSPF) in Routing und Remotezugriff.

  • Basisfirewall in Routing und Remotezugriff (ersetzt durch Windows-Firewall).

  • Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) mit statischen IP-Filtern für Routing und Remotezugriff (ersetzt durch Windows-Filterplattform-APIs).

  • Authentifizierungsprotokolle SPAP, EAP-MD5-CHAP und MS-CHAP für PPP-basierte Verbindungen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft