(0) exportieren Drucken
Alle erweitern

DirectAccess-Verbindungen

Letzte Aktualisierung: September 2010

Betrifft: Windows Server 2008 R2

Durch DirectAccess werden die Einschränkungen von VPNs behoben, da automatisch eine bidirektionale Verbindung zwischen Clientcomputern und dem Unternehmensnetzwerk hergestellt wird. Die Grundlage von DirectAccess bilden bewährte, auf Standards basierende Technologien: IPsec (Internet Protocol Security, Internetprotokollsicherheit) und IPv6 (Internetprotokoll, Version 6).

Bei DirectAccess wird IPsec zum Authentifizieren des Computers und des Benutzers verwendet, sodass der Computer von den IT-Professionals verwaltet werden kann, bevor sich der Benutzer anmeldet. Optional können Sie eine Smartcard für die Benutzerauthentifizierung erforderlich machen.

Außerdem wird bei DirectAccess IPsec genutzt, um die Kommunikation über das Internet zu verschlüsseln. Sie können IPsec-Verschlüsselungsmethoden wie beispielsweise Dreifach-DES (Triple Data Encryption Standard, 3DES) und AES (Advanced Encryption Standard, erweiterter Verschlüsselungsstandard) verwenden.

Clients richten einen IPsec-Tunnel für den IPv6-Datenverkehr zum DirectAccess-Server ein, der als Gateway zum Intranet dient. In Abbildung 1 wird ein DirectAccess-Client gezeigt, der eine Verbindung mit einem DirectAccess-Server über das öffentliche IPv4-Internet herstellt. Clients können auch dann Verbindungen herstellen, wenn sie sich hinter einer Firewall befinden.

4d9d011f-d8d1-4d5b-aad3-f3d49431d85d

Abbildung 1   DirectAccess-Clients greifen mit IPv6 und IPsec auf das Intranet zu.

Der DirectAccess-Client richtet zwei IPsec-Tunnel ein:

  • IPsec-ESP-Tunnel (Encapsulating Security Payload) mit Computerzertifikat. Dieser Tunnel ermöglicht den Zugriff auf einen Intranet-DNS-Server (Domain Name System) und Domänencontroller, sodass Gruppenrichtlinienobjekte auf den Computer heruntergeladen werden können und die Authentifizierung für den Benutzer angefordert werden kann.

  • IPsec-ESP-Tunnel mit Computerzertifikat- und Benutzeranmeldeinformationen. Durch diesen Tunnel wird der Benutzer authentifiziert und der Zugriff auf Intranetressourcen und Anwendungsserver ermöglicht. Dieser Tunnel muss beispielsweise eingerichtet werden, bevor in Microsoft Outlook E-Mail von Microsoft Exchange Server im Internet heruntergeladen werden kann.

Wenn die Tunnel zum DirectAccess-Server eingerichtet sind, kann vom Client Datenverkehr über die Tunnel an das Intranet gesendet werden. Sie können den DirectAccess-Server so konfigurieren, dass gesteuert wird, welche Anwendungen Remotebenutzer ausführen können und auf welche Intranetressourcen sie zugreifen können.

DirectAccess-Clients können beim Herstellen von Verbindungen mit Intranetressourcen zwei Arten von IPsec-Schutz verwenden: End-to-End und End-to-Edge.

End-to-End-Schutz

Beim End-to-End-Schutz stellen DirectAccess-Clients, wie in Abbildung 2 gezeigt, über den DirectAccess-Server eine IPsec-Sitzung (grün) mit jedem Anwendungsserver her, mit dem eine Verbindung hergestellt wird. Dies bietet den höchsten Schutz, da Sie die Zugriffssteuerung auf dem DirectAccess-Server konfigurieren können. Bei dieser Architektur muss auf den Anwendungsservern Windows Server 2008 oder Windows Server 2008 R2 ausgeführt und sowohl IPv6 als auch IPsec verwendet werden.

5d9798c0-93a8-465c-a973-4135e9f3e6d8

Abbildung 2   End-to-End-Schutz

End-to-Edge-Schutz

Beim End-to-Edge-Schutz stellen DirectAccess-Clients, wie in Abbildung 3 gezeigt, eine IPsec-Sitzung mit einem IPsec-Gatewayserver her (der standardmäßig mit dem DirectAccess-Server identisch ist). Der IPsec-Gatewayserver leitet dann den ungeschützten Datenverkehr (rot) an Anwendungsserver im Intranet weiter. Bei dieser Architektur ist IPsec im Intranet nicht erforderlich, und alle IPv6-fähigen Anwendungsserver können verwendet werden.

Weitere Informationen zum Herstellen von Verbindungen mit reinen IPv4-Anwendungsservern finden Sie unter Verwenden von IPv6 weiter unten in diesem Dokument.

d4b677e1-94ac-4a9a-b937-a99c6c0dce0b

Abbildung 3   End-to-Edge-Schutz

Den höchsten Schutz erhalten Sie, wenn Sie IPv6 und IPsec in der gesamten Organisation bereitstellen, Anwendungsserver auf Windows Server 2008 oder Windows Server 2008 R2 aktualisieren und End-to-End-Schutz verwenden. Dies ermöglicht die Authentifizierung und optional Verschlüsselung zwischen dem DirectAccess-Client und den Intranetressourcen. Alternativ können Sie End-to-Edge-Schutz verwenden, wenn Sie die Bereitstellung von sowohl IPv6 als auch IPsec im gesamten Unternehmensnetzwerk vermeiden möchten. Der End-to-Edge-Schutz hat große Ähnlichkeit mit VPNs und ist daher möglicherweise einfacher bereitzustellen.

noteHinweis
Bei beiden Architekturen können Sie mehrere DirectAccess-Server mit Lastenausgleich bereitstellen, um Anforderungen hinsichtlich Redundanz und Skalierbarkeit zu erfüllen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft