(0) exportieren Drucken
Alle erweitern

Neues zu Netzwerken

Letzte Aktualisierung: Januar 2009

Betrifft: Windows 7, Windows Server 2008 R2

Worin bestehen die wichtigsten Änderungen?

Die Betriebssysteme Windows Server® 2008 R2 und Windows® 7 umfassen Verbesserungen der Netzwerkfunktionen, mit denen Benutzer unabhängig von ihrem Standort und dem verfügbaren Netzwerk leichter eine Verbindung herstellen und beibehalten können. Außerdem können durch diese Erweiterungen IT-Experten die Anforderungen ihres Unternehmens sicher, zuverlässig und flexibel erfüllen.

In diesem Thema werden u. a. die folgenden Netzwerkfeatures behandelt:

  • DirectAccess. Hiermit können Benutzer auf ein Unternehmensnetzwerk zugreifen, ohne zunächst eine Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen zu müssen.

  • VPN-Verbindungswiederherstellung: Hiermit wird eine VPN-Verbindung automatisch wieder hergestellt, sobald die Internetverbindung wieder verfügbar ist. So müssen die Benutzer nicht erneut ihre Anmeldeinformationen eingeben und die VPN-Verbindung wieder herstellen.

  • BranchCache™: Hiermit können aktualisierte Inhalte von Datei- und Webservern in einem WAN (Wide Area Network) auf Computern in einer lokalen Zweigstelle zwischengespeichert werden. So wird die Reaktionszeit von Anwendungen verkürzt und der WAN-Datenverkehr reduziert.

  • URL-basierter QoS (Quality of Service, Dienstqualität): Hiermit können Sie Datenverkehr auf Grundlage der URL, von der er stammt, eine Prioritätsstufe zuweisen.

  • Unterstützung für mobile Breitbandgeräte: Dies stellt ein treiberbasiertes Modell für Geräte bereit, mit denen auf ein mobiles Breitbandnetzwerk zugegriffen wird.

  • Mehrere aktive Firewallprofile: Hiermit werden die am besten geeigneten Firewallregeln für jeden Netzwerkadapter aktiviert, abhängig davon, mit welchem Netzwerk eine Verbindung besteht.

Für wen sind diese Features von besonderem Interesse?

Diese Features können für die folgenden Gruppen von Interesse sein:

  • IT-Manager

  • Systemarchitekten und -administratoren

  • Netzwerkarchitekten und -administratoren

  • Sicherheitsarchitekten und -administratoren

  • Anwendungsarchitekten und -administratoren

  • Webarchitekten und -administratoren

Welche Funktion hat DirectAccess?

Mit dem in Windows Server 2008 R2 eingeführten Feature DirectAccess können Domänenmitgliedscomputer unter Windows 7 eine Verbindung mit Ressourcen im Unternehmensnetzwerk herstellen, sobald eine Internetverbindung vorhanden ist. Beim Zugriff auf die Netzwerkressourcen arbeitet ein Benutzer bei der Verbindung über das Internet praktisch genauso wie bei einer direkten Verbindung mit dem lokalen Netzwerk (Local Area Network, LAN) des Unternehmens. Darüber hinaus können IT-Experten mit DirectAccess mobile Computer außerhalb des Büros verwalten. Jedes Mal, wenn ein Domänenmitgliedscomputer eine Verbindung mit dem Internet herstellt, und vor der Anmeldung des Benutzers stellt DirectAccess eine bidirektionale Verbindung her, über die der Clientcomputer auf dem aktuellen Stand der Unternehmensrichtlinien bleibt und Softwareupdates empfangen kann.

Zu den Sicherheits- und Leistungsfeatures von DirectAccess gehören Authentifizierung, Verschlüsselung und Zugriffssteuerung. IT-Experten können konfigurieren, mit welchen Netzwerkressourcen der Benutzer eine Verbindung herstellen kann, und uneingeschränkten Zugriff gewähren oder den Zugriff auf bestimmte Server und Netzwerke einschränken. DirectAccess umfasst außerdem ein Feature, durch das nur der für das Unternehmensnetzwerk vorgesehene Datenverkehr über den DirectAccess-Server geleitet wird. Anderer Internetdatenverkehr wird über das Internetgateway geleitet, das der Clientcomputer verwendet. Dieses Feature ist optional, und DirectAccess kann so konfiguriert werden, dass der gesamte Datenverkehr über das Unternehmensnetzwerk geleitet wird.

Gibt es spezielle Überlegungen?

Auf dem DirectAccess-Server muss Windows Server 2008 R2 ausgeführt werden, es muss ich um ein Domänenmitglied handeln, und es müssen zwei physikalische Netzwerkadapter installiert sein. Verwenden Sie den DirectAccess-Server ausschließlich für DirectAccess und nicht als Host für andere primäre Funktionen. Bei DirectAccess-Clients muss es sich um Domänenmitglieder handeln, auf denen Windows 7 ausgeführt wird. Installieren Sie mit dem Assistenten zum Hinzufügen von Features in Server Manager die DirectAccess-Verwaltungskonsole, mit der Sie den DirectAccess-Server einrichten und die DirectAccess-Vorgänge nach dem Setup überwachen können.

Für die Infrastruktur muss Folgendes berücksichtigt werden:

  • Active Directory-Domänendienste (AD DS). Es muss mindestens eine Active Directory®-Domäne bereitgestellt werden. Arbeitsgruppen werden nicht unterstützt.

  • Gruppenrichtlinie. Gruppenrichtlinien werden für die Bereitstellung von Clienteinstellungen empfohlen.

  • Domänencontroller. Auf mindestens einem Domänencontroller in der Domäne, die die Benutzerkonten enthält, muss Windows Server 2008 oder höher ausgeführt werden.

  • Public Key-Infrastruktur (PKI). Zum Herausgeben von Zertifikaten ist eine PKI erforderlich. Es werden keine externen Zertifikate benötigt. Alle SSL-Zertifikate müssen über einen Verteilungspunkt für Zertifikatsperrlisten (Certificate Revocation List, CRL) verfügen, auf den über einen öffentlich auflösbaren vollqualifizierten Domänennamen lokal und remote zugegriffen werden kann.

  • IPSec-Richtlinien. In DirectAccess werden mit IPsec Authentifizierung und Verschlüsselung für die Kommunikation über das Internet bereitgestellt. Es wird empfohlen, dass die Administratoren mit IPsec vertraut sind.

  • IPv6. IPv6 stellt die End-to-End-Adressierung bereit, die erforderlich ist, damit für die Clients eine ständige Verbindung mit dem Unternehmensnetzwerk verfügbar ist. In Organisationen, in denen die vollständige Bereitstellung von IPv6 noch nicht möglich ist, können IPv6-Übergangstechnologien wie Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), Teredo und IP6-zu-IP4 verwendet werden, um eine Verbindung über das IPv4-Internet herzustellen und auf IPv4-Ressourcen im Unternehmensnetzwerk zuzugreifen. IPv6 oder Übergangstechnologien müssen auf dem DirectAccess-Server verfügbar sein und die Firewall des Umkreisnetzwerks passieren können.

Welche Funktion hat die VPN-Verbindungswiederherstellung?

Bei der VPN-Verbindungswiederherstellung handelt es sich um ein neues Feature der Routing- und RAS-Dienste, das eine nahtlose und einheitliche VPN-Verbindung für die Benutzer bereitstellt und eine VPN-Verbindung automatisch wieder herstellt, wenn die Internetverbindung eines Benutzers vorübergehend getrennt wird. Für Benutzer, die eine Verbindung über drahtloses mobiles Breitband herstellen, stellt diese Funktion den größten Vorteil dar. Mit der VPN-Verbindungswiederherstellung stellt Windows 7 aktive VPN-Verbindungen automatisch wieder her, wenn die Internetverbindung wiederhergestellt wird. Auch wenn das erneute Herstellen der Verbindung einige Sekunden dauern kann, ist dies transparent für die Benutzer.

Bei der VPN-Verbindungswiederherstellung wird der IPsec-Tunnelmodus mit Internetschlüsselaustausch Version 2 (Internet Key Exchange 2, IKEv2) verwendet (in RFC 4306 beschrieben). Dabei wird insbesondere das in RFC 4555 beschriebene IKEv2-MOBIKE (Mobility and Multihoming Extension) verwendet.

Gibt es spezielle Überlegungen?

Die VPN-Verbindungswiederherstellung wird im RRAS-Rollendienst der NPAS-Rolle (Network Policy and Access Services, Netzwerkrichtlinien- und Zugriffsdienste) eines Computers unter Windows Server 2008 R2 implementiert. Die Überlegungen zur Infrastruktur entsprechen den Überlegungen für NPAS und RRAS. Auf den Clientcomputern muss Windows 7 ausgeführt werden, damit die VPN-Verbindungswiederherstellung optimal genutzt werden kann.

Welche Funktion hat BranchCache?

Mit BranchCache werden Inhalte von Web- und Dateiservern im WAN des Unternehmens im Netzwerk der lokalen Zweigstelle gespeichert, um die Reaktionszeit zu verbessern und den WAN-Datenverkehr zu reduzieren. Wenn ein anderer Client in der gleichen Zweigstelle den gleichen Inhalt anfordert, kann darauf direkt im lokalen Netzwerk zugreifen, ohne die ganze Datei über das WAN abzurufen. BranchCache kann im Modus mit verteiltem Cache oder gehostetem Cache eingerichtet werden. Im Modus mit verteiltem Cache wird eine Peer-to-Peer-Architektur verwendet. Der Inhalt wird in der Zweigstelle auf dem Computer zwischengespeichert, auf dem er zuerst angefordert wurde. Der Clientcomputer macht den zwischengespeicherten Inhalt dann für die anderen lokalen Clients verfügbar. Beim Modus mit gehostetem Cache wird eine Client/Server-Architektur verwendet. Der von einem Client in der Zweigstelle angeforderte Inhalt wird auf einem lokalen Server zwischengespeichert (als gehosteter Cacheserver bezeichnet) und von dort aus für die anderen lokalen Clients verfügbar gemacht. In beiden Modi wird der Zugriff auf den Inhalt vor dem Abruf durch einen Client von dem Server autorisiert, von dem der Inhalt stammt. Die Aktualität und Genauigkeit des Inhalts werden mit einem Hashmechanismus überprüft.

Gibt es spezielle Überlegungen?

BranchCache unterstützt HTTP, einschließlich HTTPS, und Server Message Block (SMB), einschließlich signiertem SMB. Auf den Inhaltsservern und dem gehosteten Cacheserver muss Windows Server 2008 R2 ausgeführt werden, und auf den Clientcomputern muss Windows 7 ausgeführt werden.

Welche Funktionen hat URL-basierter QoS?

Mit QoS werden IP-Pakete mit einer DSCP-Zahl (Differentiated Services Code Point) markiert, anhand derer Router dann die Priorität des Pakets ermitteln können. Wenn Pakete auf dem Router an die Warteschlange gesendet werden, werden Pakete mit höherer Priorität vor Paketen mit niedrigerer Priorität gesendet. Mit URL-basiertem QoS können IT-Experten den Netzwerkdatenverkehr neben der Priorisierung nach IP-Adresse und Ports auch auf Grundlage der Quell URL priorisieren. Dies ermöglicht eine bessere Steuerung des Netzwerkdatenverkehrs und stellt sicher, dass wichtiger Webdatenverkehr vor weniger wichtigen Daten verarbeitet wird, auch wenn der Datenverkehr vom gleichen Server ausgeht. So kann die Leistung in Netzwerken mit hoher Auslastung verbessert werden. Sie können z. B. Webdatenverkehr für kritische interne Websites eine höhere Priorität als externen Websites zuweisen. Entsprechend kann Websites, die nicht mit der Arbeit in Verbindung stehen und Netzwerkbandbreite beanspruchen, eine geringere Priorität zugewiesen werden, sodass der übrige Datenverkehr nicht beeinträchtigt wird.

Welche Funktion hat die Unterstützung von mobilen Breitbandgeräten?

Das Betriebssystem Windows 7 stellt ein treiberbasiertes Modell für mobile Breitbandgeräte bereit. In früheren Versionen von Windows müssen Benutzer von mobilen Breitbandgeräten Software von Drittanbietern installieren, deren Verwaltung eine Schwierigkeit für IT-Experten darstellt, da für jedes mobile Breitbandgerät und jeden Hersteller unterschiedliche Software erforderlich ist. Außerdem müssen die Benutzer für die Verwendung der Software geschult werden und über Administratorzugriff für die Installation verfügen. So können Standardbenutzer mobile Breitbandgeräte nur schwer hinzufügen. Jetzt können Benutzer ein mobiles Breitbandgerät anschließen und sofort verwenden. Die Oberfläche in Windows 7 ist unabhängig vom mobilen Breitbandanbieter gleich, sodass kaum zusätzlicher Aufwand für Schulung und Verwaltung erforderlich ist.

Welche Funktion haben mehrere aktive Firewallprofile?

Die Windows Firewall-Einstellungen werden von dem Profil bestimmt, das Sie verwenden. In früheren Windows-Versionen kann jeweils nur ein Firewallprofil aktiv sein. Wenn daher mehrere Netzwerkadapter mit unterschiedlichen Netzwerktypen verbunden sind, ist trotzdem nur ein aktives Profil verfügbar: das Profil mit den am stärksten einschränkenden Regeln. In Windows Server 2008 R2 und Windows 7 wendet jeder Netzwerkadapter das Firewallprofil an, das am besten für den Netzwerktyp geeignet ist, mit dem eine Verbindung besteht: Privat, öffentlich oder Domäne. Wenn Sie also in einem Café mit einem Drahtlos-Hotspot über VPN eine Verbindung mit dem Domänennetzwerk des Unternehmens herstellen, bedeutet dies, das mit dem Profil Öffentlich der Netzwerkverkehr, der nicht durch den Tunnel gesendet wird, weiter geschützt wird, während mit dem Profil Domäne der Netzwerkverkehr geschützt wird, der den Tunnel passiert. So wird auch das Problem von nicht mit dem Netzwerk verbundenen Netzwerkadaptern berücksichtigt. In Windows 7 und Windows Server 2008 R2 wird diesem nicht identifizierten Netzwerk das Profil Öffentlich zugewiesen, und die anderen Netzwerkadapter auf dem Computer verwenden weiter das für das Netzwerk, mit dem eine Verbindung besteht, am besten geeignete Profil.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft