Wenn Sie Routing und Remotezugriff als RAS konfigurieren, können Sie für Remotemitarbeiter oder mobile Mitarbeiter eine Verbindung mit den Netzwerken des Unternehmens herstellen. Remotebenutzer können so arbeiten, als ob für ihre Computer eine physische Verbindung mit dem Netzwerk besteht.

Alle Dienste, die in der Regel für einen mit einem LAN verbundenen Benutzer verfügbar sind (einschließlich Datei- und Druckerfreigabe, Zugriff auf Webserver und Messaging), werden hierbei über die RAS-Verbindung zur Verfügung gestellt. Beispielsweise können Clients auf einem Server mit Routing und RAS über Windows-Explorer Verbindungen mit Laufwerken und Druckern herstellen. Da Laufwerkbuchstaben und UNC-Namen (Universal Naming Convention) von RAS vollständig unterstützt werden, sind die meisten kommerziellen und benutzerdefinierten Anwendungen ohne Änderungen funktionsfähig.

Ein Server, auf dem Routing und RAS ausgeführt wird, stellt zwei verschiedene Typen der RAS-Konnektivität bereit:

• Virtuelles privates Netzwerk (VPN)
  
  Unter VPN wird die Herstellung sicherer Punkt-zu-Punkt-Verbindungen in einem privaten Netzwerk oder in einem öffentlichen Netzwerk wie dem Internet verstanden. Ein VPN-Client verwendet spezielle TCP/IP-basierte Protokolle, so genannte Tunnelprotokolle, um einen virtuellen Anruf an einen virtuellen Port auf einem VPN-Server zu tätigen. Das beste Beispiel für ein virtuelles privates Netzwerk ist ein VPN-Client, der eine VPN-Verbindung mit einem RAS herstellt, der mit dem Internet verbunden ist. Der RAS beantwortet den virtuellen Anruf, authentifiziert den Anrufer und übermittelt Daten zwischen dem VPN-Client und dem Unternehmensnetzwerk.
  
  Im Gegensatz zu DFÜ-Netzwerken sind virtuelle private Netzwerke stets logische indirekte Verbindungen zwischen dem VPN-Client und dem VPN-Server über ein öffentliches Netzwerk, beispielsweise das Internet. Zum Sicherstellen des Datenschutzes müssen die Daten, die Sie über die Verbindung senden, verschlüsselt werden.
  
  
• DFÜ-Netzwerk
  
  In DFÜ-Netzwerken stellt ein RAS-Client eine nicht dauerhafte DFÜ-Verbindung mit einem physischen Port auf einem RAS her, indem er den Dienst eines Telekommunikationsanbieters (beispielsweise eine analoge Telefonleitung oder ISDN) verwendet. Das beste Beispiel für ein DFÜ-Netzwerk ist ein DFÜ-Netzwerkclient, der die Rufnummer eines Ports auf einem RAS wählt.
  
  Bei einem DFÜ-Netzwerk über eine analoge Telefonleitung oder ISDN handelt es sich um eine direkte physische Verbindung zwischen dem DFÜ-Netzwerkclient und dem DFÜ-Netzwerkserver. Sie können die Daten, die über die Verbindung gesendet werden, verschlüsseln. Dies ist jedoch nicht erforderlich.
  
  

Ein Router ist ein Gerät, das den Datenfluss zwischen Netzwerksegmenten (Subnetzen) verwaltet. Ein Router leitet eingehende und ausgehende Pakete auf Basis der verfügbaren Informationen zum Status seiner eigenen Netzwerkschnittstellen sowie einer Liste mit möglichen Quellen und Zielen für Netzwerkdatenverkehr weiter. Durch Schätzen der Netzwerkverkehrs- und Routinganforderungen anhand der Anzahl und der Typen der Hardwaregeräte und Anwendungen, die in der Umgebung verwendet werden, können Sie besser beurteilen, ob ein dedizierter Hardwarerouter, ein softwarebasierter Router oder eine Kombination aus beiden verwendet werden soll. Im Allgemeinen werden hohe Routinganforderungen von dedizierten Hardwareroutern am besten bewältigt, während die kostengünstigeren softwarebasierten Router ein geringeres Routingaufkommen verarbeiten.

Eine softwarebasierte Routinglösung wie Routing und RAS in Windows Server 2008 kann für ein kleines segmentiertes Netzwerk mit relativ wenig Datenverkehr zwischen den Subnetzen ideal sein. Umgekehrt können die Netzwerkumgebungen von Unternehmen, die über eine große Anzahl von Netzwerksegmenten und umfangreiche Leistungsanforderungen verfügen, eine Reihe von hardwarebasierten Routern für die verschiedenen Funktionen im Netzwerk benötigen.

Der Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Technologie zur Erstellung, Erzwingung und Wartung von Integritätsrichtlinien für Clients. NAP ist in das Clientbetriebssystem Windows Vista® und in das Betriebssystem Windows Server 2008 integriert. Mithilfe von NAP können Systemadministratoren Integritätsrichtlinien erstellen und automatisch erzwingen, die Softwareanforderungen, Sicherheitsupdateanforderungen, erforderliche Computerkonfigurationen und weitere Einstellungen enthalten können.

Beim Herstellen von VPN-Verbindungen kann der Netzwerkzugriff für Clientcomputer, die die Integritätsrichtlinien nicht erfüllen, beschränkt werden, bis ihre Konfiguration aktualisiert wird und sie die Richtlinien erfüllen. Je nachdem, für welche Art der NAP-Bereitstellung Sie sich entscheiden, werden nicht konforme Clients automatisch aktualisiert, damit die Benutzer schnell wieder vollen Netzwerkzugriff erhalten, ohne ihre Computer manuell zu aktualisieren oder neu zu konfigurieren.

Die VPN-Erzwingung ermöglicht einen stark eingeschränkten Netzwerkzugriff für alle Computer, die über eine VPN-Verbindung auf das Netzwerk zugreifen. Die VPN-Erzwingung mit NAP gleicht in ihrer Funktion der Quarantänesteuerung für Netzwerkzugriff, einem Feature von Windows Server 2003, ist jedoch einfacher bereitzustellen.

Weitere Informationen finden Sie unter Netzwerkzugriffsschutz.

Die RAS-Richtlinienkonfiguration wird jetzt über den Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt. Weitere Informationen finden Sie unter Netzwerkrichtlinienserver und im Thema "RADIUS-Server für DFÜ- oder VPN-Verbindungen" in der Produkthilfe zu NPS.

SSTP ist eine neue Form eines VPN-Tunnels. SSTP bietet einen Mechanismus zur Kapselung von PPP-Datenverkehr über den SSL-Kanal von HTTPS. Die Verwendung von PPP ermöglicht die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. Die Verwendung von HTTPS bedeutet, dass der Datenverkehr über den TCP-Port 443 erfolgt, einen Port, der üblicherweise für den Webzugriff verwendet wird. SSL (Secure Sockets Layer) bietet TLS (Transport Level Security) mit verbesserter Schlüsselaushandlung, Verschlüsselung und Integritätsprüfung. Die Verwendung von SSTP wird unterstützt in Windows Server 2008 und Windows Vista mit SP1.

Wieso ist diese Funktionalität wichtig?

Als Reaktion auf die Sicherheitsanforderungen der Behörden und den Trend der Sicherheitsbranche zu immer stärkerer Kryptografie werden unter Windows Server 2008 und Windows Vista nun die folgenden Verschlüsselungsalgorithmen für PPTP- und L2TP-VPN-Verbindungen unterstützt.

Die Unterstützung für die folgenden Technologien ist in Windows Server 2008 und Windows Vista nicht mehr enthalten:

• BAP (Bandwidth Allocation-Protokoll): Wird unter Windows Vista nicht mehr unterstützt. Ist unter Windows Server 2008 deaktiviert.
  
  
• X.25
  
  
• SLIP (Serial Line Interface-Protokoll): SLIP-basierte Verbindungen werden automatisch zu PPP-basierten Verbindungen aktualisiert.
  
  
• Asynchroner Übertragungsmodus (Asynchronous Transfer Mode, ATM)
  
  
• IP über IEEE 1394
  
  
• NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll
  
  
• Dienste für Macintosh
  
  
• Routingprotokollkomponente OSPF (Open Shortest Path First)