(0) exportieren Drucken
Alle erweitern

DirectAccess

Letzte Aktualisierung: November 2009

Betrifft: Windows Server 2008 R2

DirectAccess bietet Benutzern transparenten Zugriff auf interne Netzwerkressourcen, sobald eine Verbindung mit dem Internet hergestellt wurde. Verbindungen mit internen Netzwerkressourcen wurden bisher meist über virtuelle private Netzwerke (VPN) hergestellt. Die Verwendung eines VPNs kann jedoch aus folgenden Gründen aufwändig sein:

  • Das Herstellen einer Verbindung mit einem VPN umfasst mehrere Schritte, und der Benutzer muss auf die Authentifizierung warten. In Organisationen, in denen vor dem Zulassen der Verbindung die Integrität eines Computers überprüft wird, kann das Herstellen einer VPN-Verbindung mehrere Minuten dauern.

  • Immer wenn die Internetverbindung getrennt wird, müssen die Benutzer die VPN-Verbindung erneut herstellen.

  • Wenn der gesamte Datenverkehr durch das VPN geroutet wird, verlangsamt dies die Internetleistung.

VPNs werden daher häufig vermieden, und Verbindungen mit internen Ressourcen stattdessen über Technologien wie Microsoft Office Outlook® Web Access (OWA) hergestellt. Mit OWA können Benutzer interne E-Mail abrufen, ohne eine VPN-Verbindung herzustellen. Wenn jedoch ein Dokument auf dem internen Netzwerk geöffnet werden soll, wie es beispielsweise häufig über einen Link in einer E-Mail der Fall ist, wird der Zugriff verweigert, da auf interne Ressourcen in der Regel nicht über das Internet zugegriffen werden kann.

Das Vermeiden von VPNs verursacht auch für IT-Spezialisten, die mobile Computer nur bei bestehender Verbindung mit dem internen Netzwerk verwalten können, Probleme. Werden interne Verbindungen vermieden, können wichtige Updates und Änderungen an Gruppenrichtlinieneinstellungen nicht auf mobile Computer angewendet werden.

In Windows 7 und Windows Server 2008 R2 wird DirectAccess eingeführt, damit Benutzer die Möglichkeit haben, zuhause oder an einem drahtlosen Hotspot genau wie im Büro zu arbeiten. Mit DirectAccess können autorisierte Benutzer mit Windows 7-Computern auf Unternehmensfreigaben zugreifen, Intranetwebsites anzeigen und mit Intranetanwendungen arbeiten, ohne ein VPN zu benötigen.

IT-Spezialisten profitieren von DirectAccess, da sie nun mobile Computer jederzeit und von jedem Ort aus auch außerhalb des Büros verwalten können, selbst wenn die Computer nicht mit dem VPN verbunden sind. Sobald ein mobiler Computer eine Verbindung mit dem Internet herstellt, stellt DirectAccess noch vor der Benutzeranmeldung eine bidirektionale Verbindung her, die es dem Clientcomputer ermöglicht, auf dem neuesten Stand der Unternehmensrichtlinien zu bleiben und Softwareupdates zu empfangen.

DirectAccess stellt mit Technologien wie IPv6 und IPsec eine sichere und flexible Netzwerkinfrastruktur bereit. DirectAccess enthält unter anderem folgende Sicherheits- und Leistungsfunktionen:

  • Authentifizierung. DirectAccess authentifiziert den Computer vor der Benutzeranmeldung und ermöglicht IT-Spezialisten das Verwalten Ihres Computers, sobald eine Internetverbindung besteht. DirectAccess kann außerdem Benutzer authentifizieren und unterstützt mehrstufige Authentifizierungsmethoden, z. B. die Smartcardauthentifizierung.

  • IPv6. DirectAccess verwendet IPv6 zur Bereitstellung global routingfähiger IP-Adressen für RAS-Clients. Organisationen, für die eine vollständige Bereitstellung von IPv6 noch nicht in Frage kommt, können IPv6-Übergangstechnologien wie ISATAP, IP6-zu-IP4 oder Teredo verwenden, um Clientverbindungen im IPv4-Internet sowie den Zugriff auf IPv4-Ressourcen im Unternehmensnetzwerk zu ermöglichen. Diese Technologien bieten IPv6-Unterstützung für Geräte und Server, die IPv6 nicht systemeigen unterstützen.

  • Verschlüsselung. DirectAccess verwendet IPsec zur Kommunikation im Internet, um Authentifizierung und Verschlüsselung bereitzustellen. Sie können jede IPsec-Verschlüsselungsmethode verwenden, einschließlich DES mit einem 56-Bit-Schlüssel und 3DES mit drei 56-Bit-Schlüsseln.

  • Zugriffssteuerung. Mit DirectAccess können IT-Spezialisten die internen Ressourcen konfigurieren, zu denen jeder Benutzer eine Verbindung herstellen kann, und entweder unbegrenzten Zugriff gewähren oder nur den Zugriff auf bestimmte Server oder Netzwerke zulassen.

    DirectAccess verwendet wie in Abbildung 1 dargestellt Routing über getrennte Tunnel, um unnötigen Datenverkehr auf dem Unternehmensnetzwerk zu reduzieren. Durch Routing über getrennte Tunnel wird nur der für das Unternehmensnetzwerk bestimmte Datenverkehr über den DirectAccess-Server gesendet. Routing über getrennte Tunnel ist die Standardkonfiguration für DirectAccess, IT-Spezialisten können diese Funktion jedoch deaktivieren, um den gesamten Datenverkehr über das Unternehmensnetzwerk zu senden.

Grafik

Abbildung 1   DirectAccess-Datenverkehrsfluss mit Routing über getrennte Tunnel

Weitere Informationen zu DirectAccess finden Sie unter DirectAccess für Windows Server 2008 R2.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft