(0) exportieren Drucken
Alle erweitern
2 von 2 fanden dies hilfreich - Dieses Thema bewerten.

Neues zu Netzwerken

Letzte Aktualisierung: Juni 2009

Betrifft: Windows Server 2008 R2

Worin bestehen die wichtigsten Änderungen?

Die Betriebssysteme Windows Server® 2008 R2 und Windows® 7 umfassen Verbesserungen der Netzwerkfunktionen, mit denen Benutzer unabhängig von ihrem Standort und dem verfügbaren Netzwerk leichter eine Verbindung herstellen und beibehalten können. Außerdem können durch diese Erweiterungen IT-Professionals die Anforderungen ihres Unternehmens sicher, zuverlässig und flexibel erfüllen.

In diesem Thema werden u. a. die folgenden Netzwerkfeatures behandelt:

  • DirectAccess. Hiermit können Benutzer auf ein Unternehmensnetzwerk zugreifen, ohne zunächst eine Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen zu müssen.

  • VPN-Verbindungswiederherstellung: Hiermit wird eine VPN-Verbindung automatisch wieder hergestellt, sobald die Internetverbindung wieder verfügbar ist. So müssen die Benutzer nicht erneut ihre Anmeldeinformationen eingeben und die VPN-Verbindung wieder herstellen.

  • BranchCache™: Hiermit können aktualisierte Inhalte von Datei- und Webservern in einem WAN (Wide Area Network) auf Computern in einer lokalen Zweigstelle zwischengespeichert werden. So wird die Reaktionszeit von Anwendungen verbessert und der WAN-Datenverkehr reduziert.

  • URL-basierter QoS (Quality of Service, Dienstqualität): Hiermit können Sie Datenverkehr auf Grundlage der URL, von der er stammt, eine Prioritätsstufe zuweisen.

  • Unterstützung für mobile Breitbandgeräte: Dies stellt ein treiberbasiertes Modell für Geräte bereit, mit denen auf ein mobiles Breitbandnetzwerk zugegriffen wird.

  • Mehrere aktive Firewallprofile: Hiermit werden die am besten geeigneten Firewallregeln für jeden Netzwerkadapter aktiviert, abhängig davon, mit welchem Netzwerk eine Verbindung besteht.

  • NDF, Netzwerkablaufverfolgung und "Netsh trace": Hiermit wird das Netzwerkdiagnose-Framework mit der Netzwerkablaufverfolgung und einem neuen Netsh-Kontext (Netsh trace) integriert, um Problembehandlungsprozesse für die Netzwerkkonnektivität zu vereinfachen und zu konsolidieren.

Für wen sind diese Features von besonderem Interesse?

Diese Features können für die folgenden Gruppen von Interesse sein:

  • IT-Manager

  • Systemarchitekten und -administratoren

  • Netzwerkarchitekten und -administratoren

  • Sicherheitsarchitekten und -administratoren

  • Anwendungsarchitekten und -administratoren

  • Webarchitekten und -administratoren

Welche Funktion hat DirectAccess?

Mit DirectAccess können auf Domänenmitgliedscomputern unter Windows 7 Enterprise, Windows 7 Ultimate oder Windows Server 2008 R2 immer dann Verbindungen mit Ressourcen im Unternehmensnetzwerk hergestellt werden, wenn eine Verbindung mit dem Internet hergestellt wird. Ein Benutzer auf einem mit dem Internet verbundenen DirectAccess-Clientcomputer kann praktisch genauso arbeiten wie bei einer direkten Verbindung mit dem privaten Netzwerk der Organisation. Darüber hinaus können IT-Professionals mit DirectAccess mobile Computer außerhalb des Büros verwalten. Jedes Mal, wenn von einem DirectAccess-Clientcomputer eine Verbindung mit dem Internet hergestellt wird, wird von DirectAccess noch vor Anmeldung des Benutzers eine bidirektionale Verbindung mit dem Unternehmensnetzwerk aufgebaut, über die der Clientcomputer hinsichtlich der Unternehmensrichtlinien auf dem neuesten Stand gehalten werden und Softwareupdates empfangen kann.

Zu den Sicherheits- und Leistungsfeatures von DirectAccess gehören Authentifizierung, Verschlüsselung und Zugriffssteuerung. IT-Professionals können die Netzwerkressourcen konfigurieren, mit denen jeder Benutzer eine Verbindung herstellen kann, sowie unbeschränkten Zugriff gewähren oder den Zugriff auf bestimmte Server begrenzen. Mit DirectAccess wird standardmäßig nur der für das Unternehmensnetzwerk vorgesehene Datenverkehr über den DirectAccess-Server gesendet. Auf den DirectAccess-Clients wird der Internetdatenverkehr direkt an die Internetressource geleitet. DirectAccess kann so konfiguriert werden, dass der gesamte Datenverkehr über das Unternehmensnetzwerk gesendet wird.

Gibt es spezielle Überlegungen?

Auf dem DirectAccess-Server muss Windows Server 2008 R2 ausgeführt werden, der Server muss Domänenmitglied sein, auf dem Server müssen zwei physische Netzwerkadapter installiert sein, und der Server muss mit zwei aufeinander folgenden öffentlichen IPv4-Adressen (Internetprotokoll, Version 4) konfiguriert sein. DirectAccess-Clients müssen Domänenmitglieder sein. Verwenden Sie den Assistenten zum Hinzufügen von Features im Server-Manager, um das Feature DirectAccess-Verwaltungskonsole zu installieren. Verwenden Sie nach der Installation die DirectAccess-Verwaltungskonsole in Verwaltung, um den DirectAccess-Server einzurichten und DirectAccess-Vorgänge zu überwachen.

Für die Infrastruktur muss Folgendes berücksichtigt werden:

  • Active Directory-Domänendienste (AD DS). Es muss mindestens eine Active Directory®-Domäne bereitgestellt werden. Arbeitsgruppen werden nicht unterstützt.

  • Gruppenrichtlinie. Für die Bereitstellung des DirectAccess-Clients, des DirectAccess-Servers und der ausgewählten Servereinstellungen werden Gruppenrichtlinien empfohlen.

  • Domänencontroller. Auf mindestens einem Domänencontroller muss Windows Server 2008 oder höher ausgeführt werden.

  • DNS-Server (Domain Name System). Windows Server 2008 R2, Windows Server 2008 mit dem Hotfix Q958194 (http://go.microsoft.com/fwlink/?LinkID=159951), Windows Server 2008 SP2 oder höher oder ein DNS-Server eines Drittanbieters, der den Austausch von DNS-Nachrichten über ISATAP (Intra-Site Automatic Tunnel Addressing-Protokoll) unterstützt.

  • Public Key-Infrastruktur (PKI). Eine PKI ist zum Ausstellen von Zertifikaten für die IPsec-Peerauthentifizierung (Internet Protocol Security, Internetprotokollsicherheit) zwischen DirectAccess-Clients und -Servern erforderlich. Hierzu werden normalerweise Computerzertifikate für DirectAccess-Clients und -Server bereitgestellt. Es werden keine externen Zertifikate benötigt. Für den DirectAccess-Server ist außerdem ein zusätzliches SSL-Zertifikat erforderlich, das über einen CRL-Verteilungspunkt (Certificate Revocation List, Zertifikatsperrliste) verfügen muss, auf den über einen öffentlich auflösbaren vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) zugegriffen werden kann.

  • IPsec. In DirectAccess werden mit IPsec Authentifizierung und Verschlüsselung für die Kommunikation über das Internet bereitgestellt. Es wird empfohlen, dass die Administratoren mit IPsec vertraut sind.

  • IPv6. Über IPv6 (Internetprotokoll, Version 6) wird die für die Konnektivität mit dem Unternehmensnetzwerk benötigte End-to-End-Adressierung bereitgestellt. Organisationen, die noch nicht bereit sind, systemeigenes IPv6 in vollem Umfang bereitzustellen, können die IPv6-Übergangstechnologie ISATAP verwenden, um auf IPv4-Ressourcen im Unternehmensnetzwerk zuzugreifen. DirectAccess-Clients können mithilfe der IPv6-Übergangstechnologien Teredo und IP6-zu-IP4 Verbindungen über das IPv4-Internet herstellen. Der IPv6-Datenverkehr bzw. der Datenverkehr der IPv6-Übergangstechnologien muss auf dem DirectAccess-Server verfügbar sein und die Firewall des Umkreisnetzwerks passieren können.

Welche Funktion hat die VPN-Verbindungswiederherstellung?

Bei der VPN-Verbindungswiederherstellung handelt es sich um ein neues Feature der Routing- und RAS-Dienste, das eine nahtlose und einheitliche VPN-Verbindung für die Benutzer bereitstellt und eine VPN-Verbindung automatisch wieder herstellt, wenn die Internetverbindung eines Benutzers vorübergehend getrennt wird. Für Benutzer, die eine Verbindung über drahtloses mobiles Breitband herstellen, stellt diese Funktion den größten Vorteil dar. Mit der VPN-Verbindungswiederherstellung stellt Windows 7 aktive VPN-Verbindungen automatisch wieder her, wenn die Internetverbindung wiederhergestellt wird. Auch wenn das erneute Herstellen der Verbindung einige Sekunden dauern kann, ist dies transparent für die Benutzer.

Bei der VPN-Verbindungswiederherstellung wird der IPsec-Tunnelmodus mit Internetschlüsselaustausch Version 2 (Internet Key Exchange 2, IKEv2) verwendet (in RFC 4306 beschrieben). Dabei wird insbesondere das in RFC 4555 beschriebene IKEv2-MOBIKE (Mobility and Multihoming Extension) verwendet.

Gibt es spezielle Überlegungen?

Die VPN-Verbindungswiederherstellung wird im RRAS-Rollendienst der NPAS-Rolle (Network Policy and Access Services, Netzwerkrichtlinien- und Zugriffsdienste) eines Computers unter Windows Server 2008 R2 implementiert. Die Überlegungen zur Infrastruktur entsprechen den Überlegungen für NPAS und RRAS. Auf den Clientcomputern muss Windows 7 ausgeführt werden, damit die VPN-Verbindungswiederherstellung optimal genutzt werden kann.

Welche Funktion hat BranchCache?

Mit BranchCache werden Inhalte von Web- und Dateiservern im WAN des Unternehmens im Netzwerk der lokalen Zweigstelle gespeichert, um die Reaktionszeit zu verbessern und den WAN-Datenverkehr zu reduzieren. Wenn ein anderer Client in der gleichen Zweigstelle den gleichen Inhalt anfordert, kann er darauf direkt im lokalen Netzwerk zugreifen, ohne die ganze Datei über das WAN abzurufen. BranchCache kann im Modus mit verteiltem Cache oder gehostetem Cache eingerichtet werden. Im Modus mit verteiltem Cache wird eine Peer-to-Peer-Architektur verwendet. Der Inhalt wird in der Zweigstelle auf dem Computer zwischengespeichert, auf dem er zuerst angefordert wurde. Der Clientcomputer macht den zwischengespeicherten Inhalt dann für die anderen lokalen Clients verfügbar. Beim Modus mit gehostetem Cache wird eine Client/Server-Architektur verwendet. Der von einem Client in der Zweigstelle angeforderte Inhalt wird auf einem lokalen Server zwischengespeichert (als gehosteter Cacheserver bezeichnet) und von dort aus für die anderen lokalen Clients verfügbar gemacht. In beiden Modi wird der Zugriff auf den Inhalt vor dem Abruf durch einen Client von dem Server autorisiert, von dem der Inhalt stammt. Die Aktualität und Genauigkeit des Inhalts werden mit einem Hashmechanismus überprüft.

Gibt es spezielle Überlegungen?

BranchCache unterstützt HTTP, einschließlich HTTPS, und Server Message Block (SMB), einschließlich signiertem SMB. Auf den Inhaltsservern und dem gehosteten Cacheserver muss Windows Server 2008 R2 ausgeführt werden, und auf den Clientcomputern muss Windows 7 ausgeführt werden.

Welche Funktionen hat URL-basierter QoS?

Mit QoS werden IP-Pakete mit einer DSCP-Zahl (Differentiated Services Code Point) markiert, anhand derer Router dann die Priorität des Pakets ermitteln können. Wenn Pakete auf dem Router an die Warteschlange gesendet werden, werden Pakete mit höherer Priorität vor Paketen mit niedrigerer Priorität gesendet. Mit URL-basiertem QoS können IT-Professionals den Netzwerkdatenverkehr neben der Priorisierung nach IP-Adresse und Ports auch auf Grundlage der Quell URL priorisieren. Dies ermöglicht eine bessere Steuerung des Netzwerkdatenverkehrs und stellt sicher, dass wichtiger Webdatenverkehr vor weniger wichtigen Daten verarbeitet wird, auch wenn der Datenverkehr vom gleichen Server ausgeht. So kann die Leistung in Netzwerken mit hoher Auslastung verbessert werden. Sie können z. B. Webdatenverkehr für kritische interne Websites eine höhere Priorität als externen Websites zuweisen. Entsprechend kann Websites, die nicht mit der Arbeit in Verbindung stehen und Netzwerkbandbreite beanspruchen, eine geringere Priorität zugewiesen werden, sodass der übrige Datenverkehr nicht beeinträchtigt wird.

Welche Funktion hat die Unterstützung von mobilen Breitbandgeräten?

Das Betriebssystem Windows 7 stellt ein treiberbasiertes Modell für mobile Breitbandgeräte bereit. In früheren Versionen von Windows müssen Benutzer von mobilen Breitbandgeräten Software von Drittanbietern installieren, deren Verwaltung eine Schwierigkeit für IT-Professionals darstellt, da für jedes mobile Breitbandgerät und jeden Hersteller unterschiedliche Software erforderlich ist. Außerdem müssen die Benutzer für die Verwendung der Software geschult werden und über Administratorzugriff für die Installation verfügen. So können Standardbenutzer mobile Breitbandgeräte nur schwer hinzufügen. Jetzt können Benutzer ein mobiles Breitbandgerät anschließen und sofort verwenden. Die Oberfläche in Windows 7 ist unabhängig vom mobilen Breitbandanbieter gleich, sodass kaum zusätzlicher Aufwand für Schulung und Verwaltung erforderlich ist.

Welche Funktion haben mehrere aktive Firewallprofile?

Die Windows Firewall-Einstellungen werden von dem Profil bestimmt, das Sie verwenden. In Windows Vista und Windows Server 2008 kann jeweils nur ein Firewallprofil aktiv sein. Wenn daher mehrere Netzwerkadapter mit unterschiedlichen Netzwerktypen verbunden sind, ist trotzdem nur ein aktives Profil verfügbar: das Profil mit den am stärksten einschränkenden Regeln. In Windows Server 2008 R2 und Windows 7 wendet jeder Netzwerkadapter das Firewallprofil an, das am besten für den Netzwerktyp geeignet ist, mit dem eine Verbindung besteht: Privat, öffentlich oder Domäne. Wenn Sie also in einem Café mit einem Drahtlos-Hotspot über VPN eine Verbindung mit dem Domänennetzwerk des Unternehmens herstellen, bedeutet dies, das mit dem Profil Öffentlich der Netzwerkverkehr, der nicht durch den Tunnel gesendet wird, weiter geschützt wird, während mit dem Profil Domäne der Netzwerkverkehr geschützt wird, der den Tunnel passiert. So wird auch das Problem von nicht mit dem Netzwerk verbundenen Netzwerkkarten berücksichtigt. In Windows 7 und Windows Server 2008 R2 wird diesem nicht identifizierten Netzwerk das Profil Öffentlich zugewiesen, und die anderen Netzwerkadapter auf dem Computer verwenden weiter das für das Netzwerk, mit dem eine Verbindung besteht, am besten geeignete Profil.

Wozu dienen NDF, Netzwerkablaufverfolgung und "Netsh trace"?

Mithilfe des Netzwerkdiagnose-Frameworks (Network Diagnostic Framework, NDF) können Endbenutzer ebenso wie Supporttechniker und Komponenten- oder Anwendungsentwickler die Problembehandlung für Netzwerke vereinfachen, indem sie viele der allgemeinen Schritte und Lösungen bei der Problembehandlung automatisieren. In Windows® 7 sind das Netzwerkdiagnose-Framework (NDF) und die Ereignisablaufverfolgung für Windows (Event Tracing for Windows, ETW) eng integriert, sodass Netzwerkereignisse und -pakete in einer einzigen Datei diagnostiziert werden können. Das Sammeln aller benötigten Informationen in einem einzigen Schritt eignet sich als effiziente Methode für die Behandlung von Netzwerkkonnektivitätsproblemen. Wenn ein Benutzer die Windows-Netzwerkdiagnose ausführt, wird automatisch ein Diagnosesitzungsprotokoll erstellt und im Wartungscenter unter Problembehandlung/Verlauf anzeigen gespeichert. Für jede Diagnosesitzung wird ein Bericht mit Diagnoseergebnissen generiert.

Im Netzwerkdiagnose-Framework und der Netzwerkablaufverfolgung von Windows 7 werden Ereignisse im Zusammenhang mit einem bestimmten Problem mithilfe einer auf der Aktivitäts-ID basierenden Korrelation (der so genannten Gruppierung) kategorisiert und dann in einer ETL-Datei (Event Trace Log, Ereignisablaufverfolgungsprotokoll) ausgegeben. Bei der Gruppierung werden alle im Zusammenhang mit dem Problem stehenden Ereignisse im gesamten Stapel erfasst, und alle verwandten Ereignisse werden gruppiert. Daher können Sie die gesamte Transaktion durchgängig als einzelne Sammlung von Ereignissen untersuchen. Sie können die Daten in der ETL-Datei mit einer Reihe von Tools analysieren, beispielsweise mit Network Monitor 3.3, mit der Ereignisanzeige, mit dem Befehl Netsh trace convert oder mit Tracerpt.exe.

Windows 7 enthält einen neuen Netsh-Kontext, Netsh trace. Netsh trace ist außerdem mit NDF und der Netzwerkablaufverfolgung integriert und ermöglicht das Ausführen einer umfassenden Ablaufverfolgung zusammen mit Netzwerkpaketerfassung und Filterung. Bei zwei Schlüsselkonzepten im Zusammenhang mit Netsh trace geht es um Szenarien und Anbieter. Ein Ablaufverfolgungsszenario ist definiert als eine Sammlung ausgewählter Ereignisanbieter. Anbieter sind die einzelnen Komponenten im Netzwerkprotokollstapel, beispielsweise WinSock, TCP/IP, die Windows-Filterplattform (Windows Filtering Platform, WFP) und die Firewall, WLAN-Dienste oder NDIS. Sie können mithilfe der Befehle im Netsh trace-Kontext vordefinierte Szenarien für die Behandlung bestimmter Probleme aktivieren und bestimmte Parameter für eine Ablaufverfolgungssitzung konfigurieren. Sie können für jedes Szenario die Liste der zugeordneten Anbieter anzeigen, von denen beim Ausführen einer Ablaufverfolgungssitzung Ereignisse berichtet werden, und Details zu bestimmten Anbietern anzeigen. Außerdem können Sie zusätzliche Anbieter angeben, die in einem aktivierten Szenario nicht enthalten sind. Da es häufig von Vorteil ist, die Ablaufverfolgungsergebnisse durch Begrenzen irrelevanter Ablaufverfolgungsdetails auf ein Minimum zu reduzieren, können Sie eine Vielzahl verschiedener Netsh trace-Filter anwenden, um die Größe der ETL-Ablaufverfolgungsdatei zu reduzieren.

Ein zusätzlicher Vorteil des Netzwerkdiagnose-Frameworks und der Netzwerkablaufverfolgung in Windows 7 besteht darin, dass Sie mithilfe von Netsh trace auf dem Client Paketerfassungen sammeln und Ereignisse nachverfolgen können, ohne auf dem Computer, für den Sie die Problembehandlung ausführen, Netmon installieren zu müssen. Beim Ausführen einer Ablaufverfolgungssitzung mithilfe von Netsh trace werden Pakete mit verwandten Ablaufverfolgungsereignissen korreliert und gruppiert. Da Netmon nur auf dem Computer erforderlich ist, den Sie zum Untersuchen der Pakete verwenden, muss der Benutzer nur die im Wartungscenter gesammelte Datei kopieren und per E-Mail an Sie senden oder die Datei auf einem Wechselmedium bereitstellen, beispielsweise auf einem USB-Flashlaufwerk.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.