Leitfaden zum Einrichten einer VPN-Verbindung zwischen Standorten

Veröffentlicht: 17. Sep 2004

Dieser Leitfaden enthält Anleitungen für den Aufbau einer RRAS-Infrastruktur, die ein verschiedene Standorte umfassendes VPN (Virtual Private Network – virtuelles privates Netzwerk) durch bei Bedarf herzustellende Wählverbindungen unterstützt.

Auf dieser Seite

Einführung

Übersicht

Konfigurieren des Routing- und RAS-Dienstes

Konfigurieren der Schnittstellen für Wählen bei Bedarf

Erweitern der Sicherheit von Verbindungen zwischen Standorten über RAS-Richtlinien

Konfigurieren für die Verwendung gemeinsamer IPSec-Schlüssel und Testen der Verbindung

Weitere Ressourcen

Einführung

Leitfäden

Die Leitfäden für die Bereitstellung von Windows Server 2003 vermitteln praktische Erfahrungen zum Umgang mit vielen allgemeinen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory®. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.

Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:

• Teil I: Installieren von Windows Server 2003 als Domänencontroller
• Teil II: Installieren einer Arbeitsstation unter Windows XP Professional und Integration in eine Domäne

Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.

Microsoft Virtual PC

Der Leitfaden für die Bereitstellung von Windows Server 2003 kann innerhalb einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Die virtuelle Computertechnologie ermöglicht es Kunden, mehrere Betriebssysteme gleichzeitig auf einem einzelnen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.

In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.

Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.

Wichtige Hinweise

Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.

Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.

Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.

Zum Seitenanfang

Übersicht

Viele Organisationen besitzen Niederlassungen an verschiedenen geografischen Standorten und benötigen daher Verbindungen zu Remotestandorten. Sie können mit dem Routing- und RAS-Dienst (Routing and Remote Access Service, RRAS) von Windows Server 2003 eine kostengünstige und sichere Lösung zur Verbindung verschiedener Standorte bereitstellen.

In der Vergangenheit haben Organisationen üblicherweise WAN-Technologien, z. B. T-Carrier oder Frame Relay, eingesetzt, um Remotestandorte über ein privates Datennetzwerk zu verbinden. Diese privaten Verbindungen sind jedoch teuer. Beispielsweise werden bei der Gebührenabrechnung von T-Carrier-Diensten sowohl die Bandbreite als auch die Entfernung berücksichtigt, wodurch Verbindungen relativ teuer sind. Zudem erfordert T-Carrier in der Regel eine dedizierte Infrastruktur, einschließlich einer CSU/DSU (Channel Service Unit/Data Service Unit) und jeweils eines verbindungsspezifischen Routers an beiden Endpunkten der Verbindung.

Im Gegensatz dazu kann die Windows Server 2003-RRAS-Lösung unter Verwendung vorhandener Server in das gegenwärtige Netzwerk der Organisation integriert werden. Wenn die Verbindungen zwischen Standorten durch den RRAS bereitgestellt werden, stehen zwei Alternativen zu konventionellen WAN-Verbindungen zur Auswahl: eine DFÜ-Verbindung zwischen Standorten oder eine VPN-Verbindung zwischen Standorten. Falls Sie eine RRAS-Lösung bereitstellen, um eine vorhandene WAN-Verbindung zu ersetzen oder eine neue Verbindung zu implementieren, können Sie den für das Verkehrsvolumen geeigneten Verbindungstyp wählen und damit noch höhere Kosteneinsparungen erzielen. Sie können überdies die Sicherheit den Anforderungen Ihrer Organisation anpassen.

Bei einer Bereitstellung zwischen Standorten lässt RRAS auch bei Bedarf wählendes Routing (auch Routing für Wählen bei Bedarf genannt) zu. Mithilfe einer Schnittstelle für das Wählen bei Bedarf kann der Router den Verbindungsaufbau zu einem Remotestandort starten, sobald das weiterzuleitende Paket vom Router empfangen wurde. Die Verbindung wird nur dann aktiv, wenn Daten an den Remotestandort gesendet werden. Wurden über die Verbindung über einen festgelegten Zeitraum hinweg keine Daten übertragen, wird die Verbindung getrennt.

RRAS unterstützt auch die Verwendung von Filtern für das Wählen bei Bedarf und die Festlegung von Hinauswählzeiten. Mit Filtern für das Wählen bei Bedarf kann festgelegt werden, für welche Arten von Datenübertragungen eine Verbindung hergestellt werden darf. Filter für Wählen bei Bedarf sind von IP-Paketfiltern zu unterscheiden, durch deren Konfiguration festgelegt wird, welcher ein- und ausgehende Verkehr bei einer Schnittstelle zugelassen wird, sobald die Verbindung hergestellt wurde. Sie können Hinauswählzeiten einstellen und damit festlegen, zu welchen Zeiten ein Router hinauswählen darf, um bei Bedarf Verbindungen herzustellen. Über RAS-Richtlinien können Sie festlegen, wann der Router eingehende Verbindungen akzeptiert.

Voraussetzungen

• Teil I: Installieren von Windows Server 2003 als Domänencontroller
• Leitfaden zum Einrichten zusätzlicher Domänencontroller
• Leitfaden zum Verwalten von Active Directory

Anforderungen des Leitfadens

• Zum Einrichten einer VPN-Lösung zwischen Standorten müssen sowohl die anrufenden als auch die antwortenden Router als mehrfach vernetzte Server konfiguriert werden. Daher sollte in jedem Server eine zweite Netzwerkschnittstellenkarte verfügbar sein. Die hier beschriebenen Verfahren setzen die folgenden Einstellungen bei der zweiten Netzwerkschnittstellenkarte voraus.
  • HQ-CON-DC-01 - IP-Adresse: 20.0.0.1, IP-MASKE: 255.0.0.0, Standardgateway: Leer, DNS-Server: 127.0.0.1
  • HQ-CON-DC-02 - IP-Adresse: 20.0.0.2, IP-MASKE: 255.0.0.0, Standardgateway: Leer, DNS-Server: 127.0.0.1
• Damit eine bei Bedarf herzustellende Verbindung zwischen Standorten korrekt simuliert wird, sollten alle Computer, die der untergeordneten Domäne vancouver angehören, einem eigenen Netzwerk zugeordnet werden oder über eine dritte Netzwerkschnittstellenkarte verfügen. In den nachfolgenden Abschnitten wird vorausgesetzt, dass alle Computer der untergeordneten Domäne vancouver mit einer dritten Netzwerkschnittstellenkarte ausgestattet wurden. Jede Netzwerkschnittstellenkarte ist mit der Netzwerkadresse 30.0.0.0 konfiguriert. Wenn Sie die Domäne Vancouver physisch unterteilen, sollten Sie DNS auf HQ-CON-DC-02 installieren und konfigurieren.

Zum Seitenanfang

Konfigurieren des Routing- und RAS-Dienstes

Wenn Sie den Setup-Assistenten für den Routing- und RAS-Server ausführen, werden Sie aufgefordert, den Konfigurationspfad auszuwählen, welcher der bereitzustellenden RAS-Lösung am ehesten entspricht. Wenn keiner der im Assistenten zur Auswahl stehenden Konfigurationspfade Ihren Anforderungen genau entspricht, können Sie den Server weiter konfigurieren, nachdem der Assistent fertig gestellt wurde, oder den benutzerdefinierten Konfigurationspfad wählen.

Obwohl das Hauptziel in der Konfiguration einer sicheren Verbindung zwischen zwei privaten Netzwerken besteht, wird in anderen Leitfäden der vorliegenden Reihe auf die Erweiterung der RRAS-Kernfunktionalität durch DFÜ-Verbindungen eingegangen. Daher wird der RRAS-Server in den folgenden Abschnitten als VPN-Server konfiguriert, während die VPN-Verbindung zwischen Standorten manuell eingerichtet wird.

So aktivieren und konfigurieren Sie den Routing- und RAS-Dienst auf HQ-CON-DC-01

1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf AlleProgramme, zeigen Sie auf Verwaltung, und klicken Sie abschließend auf Routing und RAS.

2. Klicken Sie in der Konsole Routing und RAS mit der rechten Maustaste auf HQ-CON-DC-01, und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren.

3. Klicken Sie im Fenster Setup-Assistent für den Routing und RAS-Server auf Weiter.

4. Klicken Sie auf das Optionsfeld RAS (DFP oder VPN) (Standard), und klicken Sie dann auf Weiter.

5. Aktivieren Sie das Kontrollkästchen VPN, wie in Abbildung 1 dargestellt, und klicken Sie anschließend auf Weiter.

   

   Abbildung 1. Auswählen einer RAS-Methode

6. Markieren Sie unter Netzwerkschnittstellen den Netzwerkadapter, der für die Internetverbindung verwendet wird, über die diese VPN-Verbindung zu anderen Standorten hergestellt wird. Lassen Sie die Standardauswahl von Sicherheit aktivieren unverändert, und klicken Sie dann auf Weiter.

7. Übernehmen Sie auf der Seite IP-Adresszuweisung die Standardeinstellung Automatisch, und klicken Sie auf Weiter, um fortzufahren.

   Hinweis

   
   Sie müssen bei der Konfiguration eines RRAS-Servers festlegen, ob der RAS-Server die Adressen für DFÜ-Clients über DHCP (Dynamic Host Configuration Protocol) oder aus einem statischen Adresspool bezieht. Bei Verwendung eines statischen IP-Adresspools müssen Sie festlegen, ob es sich bei dem Adresspool um Adressbereiche handelt, die eine Teilmenge des IP-Netzwerks darstellen, dem der Server zugeordnet ist, oder um ein eigenes Subnetz. Wenn die Adressbereiche des statischen Adresspools ein anderes Subnetz repräsentieren, müssen Sie sicherstellen, dass in den Routern des Intranets Routen zu diesen Adressbereichen definiert sind, damit der an die verbundenen RAS-Clients gerichtete Verkehr an den RAS-Server weitergeleitet wird.

8. Lassen Sie auf der Seite Mehrere RAS-Server verwalten die Standardeinstellung Nein, RRAS zum Authentifizieren der Authentifizierungsanforderung verwenden aktiviert, und klicken Sie dann auf Weiter.

   Hinweis

   
   Wenn mehrere RAS-Server vorhanden sind, können Sie einen Server mit dem Internetauthentifizierungsdienst (IAS) als RADIUS-Server (Remote Authentication Dial-In User Service) und die übrigen RAS-Server als RADIUS-Clients konfigurieren, statt die RAS-Richtlinien der verschiedenen RAS-Server jeweils getrennt zu verwalten. Der IAS-Server stellt Funktionen für eine zentrale RAS-Authentifizierung, Autorisierung, Kontoführung und Überwachung bereit.

9. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, um die RRAS-Konfiguration abzuschließen.

10. Klicken Sie im Dialogfeld Routing und RAS, das in Abbildung 2 dargestellt ist, auf OK, um die DHCP-Relay-Anforderungen zu bestätigen.

    Hinweis

    
    In der Standardeinstellung bearbeiten die von RRAS bereitgestellten DHCP-Dienste automatisch sämtliche DHCP-Relayanforderungen. In einem Szenario mit einem anderen DHCP-Server müssen Sie sicherstellen, dass der Server für die Weitergabe von DHCP-Anforderungen konfiguriert ist.

    

    Abbildung 2. DHCP-Relay

    Bild maximieren

So aktivieren und konfigurieren Sie den Routing- und RAS-Dienst auf HQ-CON-DC-02

1. Klicken Sie auf die Schaltfläche Start, zeigen Sie auf AlleProgramme, zeigen Sie auf Verwaltung, und klicken Sie abschließend auf Routing und RAS.
2. Klicken Sie in der Konsole Routing und RAS mit der rechten Maustaste auf HQ-CON-DC-02, und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren.
3. Klicken Sie im Fenster Setup-Assistent für den Routing und RAS-Server auf Weiter.
4. Klicken Sie auf das Optionsfeld Benutzerdefinierte Konfiguration, und klicken Sie dann auf Weiter.
5. Klicken Sie auf das Optionsfeld Bei Bedarf herzustellende Verbindungen (für Zweigstellenrouting), und klicken Sie anschließend auf Weiter.
6. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen, um die RRAS-Konfiguration abzuschließen.
7. Klicken Sie im Dialogfeld Routing und RAS auf Ja, um den Routing- und RAS-Dienst zu starten.

Zum Seitenanfang

Konfigurieren der Schnittstellen für Wählen bei Bedarf

Netzwerkschnittstellen ermöglichen es jedem Server, der den Routing- und RAS-Dienst ausführt, über private oder öffentliche Netzwerke mit anderen Computern zu kommunizieren. Zwei Aspekte von Netzwerkschnittstellen sind für Routing und RAS relevant: die physische Hardware, z. B. der Netzwerkadapter, und die Konfiguration der Netzwerkschnittstelle.

In Bezug auf Routing und RAS werden Netzwerkschnittstellen einer der folgenden Kategorien zugeordnet:

• Private Schnittstelle Eine private Schnittstelle ist ein Netzwerkadapter, der physisch mit einem privaten Netzwerk verbunden ist. Die meisten privaten Netzwerke werden mit dem IP-Adressbereich eines privaten Netzwerks konfiguriert, und auch die private Schnittstelle wird mit einer privaten Adresse konfiguriert. Weil ein privates Netzwerk theoretisch nur bekannte Benutzer und Computer umfasst, sind für eine private Schnittstelle im Allgemeinen weniger Sicherheitsaspekte zu berücksichtigen als für eine öffentliche Schnittstelle.
• Öffentliche Schnittstelle Eine öffentliche Schnittstelle ist ein Netzwerkadapter, der physisch mit einem öffentlichen Netzwerk verbunden ist, z. B. mit dem Internet. Die öffentliche Schnittstelle wird mit einer öffentlichen IP-Adresse konfiguriert. Sie können eine öffentliche Schnittstelle für die Durchführung der Netzwerkadressübersetzung (NAT) konfigurieren. Weil eine öffentliche Schnittstelle theoretisch für jeden Benutzer des öffentlichen Netzwerks zugänglich ist, müssen im Allgemeinen mehr Sicherheitsaspekte berücksichtigt werden als für eine private Schnittstelle.
• Schnittstelle für Wählen bei Bedarf Schnittstellen für Wählen bei Bedarf dienen zum Herstellen von Verbindungen zwischen bestimmten Routern, die sich in öffentlichen oder privaten Netzwerken befinden können. Schnittstellen für Wählen bei Bedarf können entweder bedarfsgesteuert (nur bei Bedarf aktiviert) oder persistent (stets verbunden) sein.

Sie können die einzelnen Netzwerkschnittstellen nicht nur als öffentliche, private oder Schnittstelle für Wählen bei Bedarf konfigurieren, sondern auch Paketfilter, Adressen und andere Optionen für Netzwerkschnittstellen einstellen. Einige Optionen für öffentliche Schnittstellen, z. B. Basisfirewall, sind für private Schnittstellen nicht verfügbar.

So konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf für den antwortenden Server (HQ-CON-DC-01)

1. Klicken Sie in der Konsole Routing und RAS auf das Pluszeichen (+) neben HQ-CON-DC-01, um die Struktur zu erweitern.

2. Klicken Sie in der Struktur unter HQ-CON-DC-01 mit der rechten Maustaste auf Netzwerkschnittstellen, und klicken Sie dann auf Neue Schnittstelle für Wählen bei Bedarf.

3. Klicken Sie auf der Seite Willkommen des Assistenten für eine Schnittstelle für Wählen bei Bedarf auf Weiter, um mit der Konfiguration zu beginnen.

4. Geben Sie als Schnittstellenname den Namen VPN_Vancouver ein, und klicken Sie dann auf Weiter.

5. Lassen Sie auf der Seite Verbindungstyp die Standardeinstellung Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen aktiviert, und klicken Sie anschließend auf Weiter.

6. Markieren Sie auf der Seite VPN-Typ die Option Layer-2-Tunneling-Protokoll (L2TP), wie in Abbildung 3 dargestellt, und klicken Sie dann auf Weiter.

   

   Abbildung 3. Auswählen des VPN-Typs

7. Geben Sie auf der Seite Zieladresse die Adresse 20.0.0.2 unter Hostname oder IP-Adresse ein, und klicken Sie anschließend auf Weiter.

8. Aktivieren Sie auf der Seite Protokolle und Sicherheit die beiden Kontrollkästchen Routing von IP-Paketen auf dieser Schnittstelle und Benutzerkonto hinzufügen, über das sich ein Remoterouter einwählen kann, und klicken Sie dann auf Weiter.

9. Klicken Sie auf der Seite Statische Routen für Remotenetzwerke auf Hinzufügen. Geben Sie 30.0.0.0 als Ziel und 255.0.0.0 als Netzwerkmaske ein, klicken Sie auf OK, und klicken Sie dann auf Weiter.

   Hinweis

   
   Der vorherige Schritt setzt voraus, dass die Domäne vancouver neu konfiguriert wurde und sich jetzt im Netzwerk 30.0.0.0 befindet.

10. Geben Sie auf der Seite Anmeldeinformationen für Einwählen sowohl im Feld Kennwort als auch im Feld Kennwortbestätigen das Kennwort pass#word1 ein, und klicken Sie dann auf Weiter.

11. Geben Sie auf der Seite Anmeldeinformationen für Hinauswählen im Feld Benutzername den Namen VPN_HQ, im Feld Domäne den Namen VANCOUVER und sowohl im Feld Kennwort als auch im Feld Kennwortbestätigen das Kennwort pass#word1 ein. Nach Abschluss der Eingaben sollte die Konfiguration wie in Abbildung 4 aussehen. Klicken Sie auf Weiter, um fortzufahren.

    

    Abbildung 4. Einstellen der Anmeldeinformationen für das Hinauswählen auf HQ-CON-DC-01

12. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

So konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf für den anrufenden Server (HQ-CON-DC-02)

1. Klicken Sie in der Konsole Routing und RAS auf das Pluszeichen (+) neben HQ-CON-DC-02, um die Struktur zu erweitern.

2. Klicken Sie in der Struktur unter HQ-CON-DC-02 mit der rechten Maustaste auf Netzwerkschnittstellen, und klicken Sie dann auf Neue Schnittstelle für Wählen bei Bedarf.

3. Klicken Sie auf der Seite Willkommen des Assistenten für eine Schnittstelle für Wählen bei Bedarf auf Weiter, um mit der Konfiguration zu beginnen.

4. Geben Sie als Schnittstellenname den Namen VPN_HQ ein, und klicken Sie dann auf Weiter.

5. Lassen Sie auf der Seite Verbindungstyp die Standardeinstellung Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen aktiviert, und klicken Sie anschließend auf Weiter.

6. Markieren Sie auf der Seite VPN-Typ die Option Layer-2-Tunneling-Protokoll (L2TP), wie in Abbildung 3 dargestellt, und klicken Sie dann auf Weiter.

7. Geben Sie auf der Seite Zieladresse die Adresse 20.0.0.1 unter Hostname oder IP-Adresse ein, und klicken Sie anschließend auf Weiter.

8. Aktivieren Sie auf der Seite Protokolle und Sicherheit die beiden Kontrollkästchen Routing von IP-Paketen auf dieser Schnittstelle und Benutzerkonto hinzufügen, über das sich ein Remoterouter einwählen kann, und klicken Sie dann auf Weiter.

9. Klicken Sie auf der Seite Statische Routen für Remotenetzwerke auf Hinzufügen. Geben Sie 10.0.0.0 als Ziel und 255.0.0.0 als Netzwerkmaske ein, klicken Sie auf OK, und klicken Sie dann auf Weiter.

   Hinweis

   
   Der vorherige Schritt setzt voraus, dass sich die Stammdomäne contoso nach wie vor im Netzwerk 10.0.0.0 befindet.

10. Geben Sie auf der Seite Anmeldeinformationen für Einwählen sowohl im Feld Kennwort als auch im Feld Kennwortbestätigen das Kennwort pass#word1 ein, und klicken Sie dann auf Weiter.

11. Geben Sie auf der Seite Anmeldeinformationen für Hinauswählen im Feld Benutzername den Namen VPN_Vancouver, im Feld Domäne den Namen CONTOSO und sowohl im Feld Kennwort als auch im Feld Kennwortbestätigen das Kennwort pass#word1 ein. Nach Abschluss der Eingaben sollte die Konfiguration wie in Abbildung 5 aussehen.

    

    Abbildung 5. Einstellen der Anmeldeinformationen für das Hinauswählen auf HQ-CON-DC-02

12. Klicken Sie auf Weiter, um fortzufahren.

13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Zum Seitenanfang

Erweitern der Sicherheit von Verbindungen zwischen Standorten über RAS-Richtlinien

Beim Routing und RAS-Dienst von Windows Server 2003 hängt die Autorisierung von Netzwerkzugriffen von den DFÜ-Eigenschaften des Benutzerkontos und von RAS-Richtlinien ab.

RAS-Richtlinien sind eine sortierte Zusammenstellung von Regeln, die die Autorisierung oder Ablehnung von Verbindungen definieren. Jede Regel umfasst eine oder mehrere Bedingungen, eine Gruppe von Profileinstellungen und eine Einstellung für die RAS-Berechtigung. Wenn eine Verbindung genehmigt wird, legt das RAS-Richtlinienprofil eine Gruppe von Verbindungseinschränkungen fest. Darüber hinaus enthalten auch die DFÜ-Eigenschaften des Benutzerkontos eine Zusammenstellung von Einschränkungen. Gegebenenfalls setzen die Verbindungseinschränkungen des Benutzerkontos die Verbindungseinschränkungen des RAS-Richtlinienprofils außer Kraft.

RAS-Richtlinien können auf zweierlei Weise zum Erteilen der Autorisierung verwendet werden.

• Benutzerbezogen Wenn die Autorisierung benutzerbezogen erfolgen soll, legen Sie in der RAS-Berechtigung für das Benutzer- oder Computerkonto fest, dass der Zugriff gewährt bzw. verweigert wird, und erstellen optional für verschiedene Verbindungstypen unterschiedliche RAS-Richtlinien. Beispielsweise können Sie eine RAS-Richtlinie für DFÜ-Verbindungen und eine andere RAS-Richtlinie für Drahtlosverbindungen definieren. Die benutzerbezogene Verwaltung der Autorisierung empfiehlt sich nur, wenn eine kleine Anzahl von Benutzer- oder Computerkonten zu verwalten sind.
• Gruppenbezogen Wenn die Autorisierung gruppenbezogen erfolgen soll, wählen Sie für die RAS-Berechtigung des Benutzerkontos die Einstellung Zugriff über RAS-Richtlinien steuern und definieren RAS-Richtlinien für verschiedene Verbindungstypen und Gruppen. Sie können beispielsweise eine RAS-Richtlinie für DFÜ-Verbindungen für Mitarbeiter (Mitglieder der Gruppe "Employees") und eine andere RAS-Richtlinie für DFÜ-Verbindungen für Vertragsnehmer (Mitglieder der Gruppe "Contractors") festlegen.

RAS-Richtlinienbedingungen umfassen eine oder mehrere Bedingungen, die mit den Einstellungen des Verbindungsversuchs verglichen werden. Wenn mehrere Bedingungen vorhanden sind, müssen die Einstellungen des Verbindungsversuchs allen Bedingungen entsprechen, um die Richtlinie zu erfüllen. Wenn alle Bedingungen einer RAS-Richtlinie erfüllt werden, dann wird die RAS-Berechtigung entweder gewährt oder verweigert. Mithilfe der Option RAS-Berechtigung erteilen bzw. RAS-Berechtigung verweigern können Sie die RAS-Berechtigung für eine Richtlinie festlegen.

In den folgenden Abschnitten werden die RAS-Richtlinien so konfiguriert, dass die Autorisierung gruppenbezogen erfolgt.

So bereiten Sie RAS-Richtlinien für eine gruppenbezogene Autorisierung vor

1. Öffnen Sie auf dem Server HQ-CON-DC-01 die Konsole Active Directory-Benutzer und –Computer.

2. Klicken Sie in der Konsole Active Directory-Benutzer und –Computer mit der rechten Maustaste auf das Pluszeichen (+) neben contoso.com, um die Struktur zu erweitern.

3. Klicken Sie in der Struktur unter contoso.com auf die Organisationseinheit Users. Doppelklicken Sie im Ergebnisbereich auf VPN_Vancouver.

4. Klicken Sie im Dialogfeld Eigenschaften von VPN_Vancouver auf die Registerkarte Einwählen.

5. Klicken Sie im Abschnitt RAS-Berechtigungen auf Zugriff über RAS-Richtlinien steuern (siehe Abbildung 6).

   

   Abbildung 6. RAS-Berechtigungen über RRAS-Richtlinien erteilen

6. Klicken Sie im Dialogfeld Eigenschaften von VPN_Vancouver auf OK.

7. Klicken Sie in der Struktur unter contoso.com auf die Organisationseinheit Groups, klicken Sie mit der rechten Maustaste auf die Organisationseinheit Groups, wählen Sie Neu aus, und klicken Sie dann auf Gruppe.

8. Geben Sie im Dialogfeld Neues Objekt – Gruppe unter Gruppenname die Bezeichnung Branch Office VPN ein, und klicken Sie dann auf OK.

9. Doppelklicken Sie im Ergebnisbereich auf Branch Office VPN. Klicken Sie im Dialogfeld Eigenschaften von Branch Office VPN auf die Registerkarte Mitglieder. Klicken Sie auf Hinzufügen, geben Sie VPN_Vancouver ein, und klicken Sie dann zwei Mal auf OK.

10. Schließen Sie die Konsole Active Directory-Benutzer und –Computer.

So konfigurieren Sie eine RAS-Richtlinie für eine gruppenbezogene Autorisierung

1. Klicken Sie in der Konsole Routing und RAS auf RAS-Richtlinien.
2. Doppelklicken Sie im Ergebnisbereich auf Verbindung zu Microsoft RRAS-Server.
3. Klicken Sie unter Richtlinienbedingungen auf Hinzufügen. Doppelklicken Sie auf Windows-Groups, klicken Sie auf Hinzufügen, geben Sie Branch Office VPN ein, und klicken Sie auf OK.
4. Klicken Sie im unteren Bereich des Dialogfelds Eigenschaften auf RAS-Berechtigung erteilen, und klicken Sie dann auf OK.

Zum Seitenanfang

Konfigurieren für die Verwendung gemeinsamer IPSec-Schlüssel und Testen der Verbindung

Standardmäßig sind sowohl der L2TP-Client als auch der L2TP-Server für Windows Server 2003 für die zertifikatbasierte IPSec-Authentifizierung vorkonfiguriert. Wenn Sie eine L2TP über IPSec-Verbindung herstellen, wird automatisch eine IPSec-Richtlinie erstellt, die angibt, dass im Internetschlüsselaustausch (Internet Key Exchange, IKE) während der Aushandlung der Sicherheitseinstellungen für L2TP zertifikatbasierte Authentifizierung verwendet wird. Dies bedeutet, dass sowohl auf dem L2TP-Client als auch auf dem L2TP-Server ein Computerzertifikat installiert sein muss, bevor eine erfolgreiche L2TP über IPSec-Verbindung hergestellt werden kann. Beide Computerzertifikate müssen entweder von derselben Zertifizierungsstelle (Certificate Authority, CA) stammen, oder das Stammzertifikat der CA jedes einzelnen Computers muss als vertrauenswürdige Stammzertifizierungsstelle auf dem anderen Computer im Speicher für vertrauenswürdige Stammzertifikate installiert sein.

In manchen Fällen wird eine zertifikatbasierte IPSec-Authentifizierungsmethode für L2TP-basierte Router-zu-Router-VPN-Verbindungen nicht gewünscht. In diesen Fällen können Sie die IPSec-Richtlinie so konfigurieren, dass sie beim Erstellen von Router-zu-Router-VPN-Verbindungen vorinstallierte Schlüssel verwendet. Dieser vorinstallierte Authentifizierungsschlüssel hat während der IKE-Aushandlung dieselbe Funktion wie ein einfaches Kennwort. Wenn beide Seiten beweisen können, dass sie das Kennwort kennen, dann vertrauen sie einander und fahren mit dem Aushandeln privater, symmetrischer Verschlüsselungsschlüssel und spezieller Sicherheitseinstellungen für den L2TP-Verkehr fort.

Das Verwenden eines vorinstallierten IKE-Schlüssels gilt allgemein nicht als so sicher wie das Verwenden von Zertifikaten, da die IKE-Authentifizierung (und das implizite Vertrauen) nur von dem Schlüsselwert abhängt, der im Klartextformat in der IPSec-Richtlinie gespeichert ist. Jeder, der die Richtlinie anzeigt, kann den Wert des vorinstallierten Schlüssels sehen. Wenn ein unberechtigter Benutzer den vorinstallierten Schlüssel anzeigt, kann er sein System so konfigurieren, dass es erfolgreich eine IPSec-Sicherheit mit Ihrem System herstellt. Die L2TP-Verbindung erfordert jedoch Authentifizierung auf Benutzerebene mithilfe des PPP-Protokolls. Ein unberechtigter Benutzer müsste daher sowohl den vorinstallierten Schlüssel als auch die richtigen Benutzeranmeldeinformationen kennen, um die L2TP über IPSec-Verbindung erfolgreich herzustellen.

So konfigurieren Sie einen gemeinsamen IPSec-Schlüssel auf dem antwortenden Server (HQ-CON-DC-01)

1. Klicken Sie in der Konsole Routing und RAS mit der rechten Maustaste auf HQ-CON-DC-01 (lokal), und klicken Sie auf Eigenschaften.

2. Klicken Sie im Dialogfeld Eigenschaften von HQ-CON-DC-01 (lokal) auf die Registerkarte Sicherheit. Wählen Sie Benutzerdefinierte IPSec-Richtlinie für L2TP-Verbindung zulassen aus, geben Sie im Feld Vorinstallierter Schlüssel die Zeichenfolge 12345 ein (siehe Abbildung 7), und klicken Sie dann auf OK.

   

   Abbildung 7. Einstellen eines vorinstallierten Schlüssels auf dem antwortenden Router

So konfigurieren Sie einen gemeinsamen IPSec-Schlüssel auf dem anrufenden Server (HQ-CON-DC-02)

1. Klicken Sie in der Konsole Routing und RAS in der Struktur unter HQ-CON-DC-02 (lokal) auf Netzwerkschnittstellen, und doppelklicken Sie dann auf VPN_HQ.

2. Klicken Sie im Dialogfeld Eigenschaften von VPN_HQ auf die Registerkarte Sicherheit, und klicken Sie dann auf die Schaltfläche IPSec-Einstellungen.

3. Aktivieren Sie im Dialogfeld IPSec-Einstellungen die Option Vorinstallierten Schlüssel für Authentifizierung verwenden, geben Sie 12345 als Schlüssel ein (siehe Abbildung 8), und klicken Sie dann zwei Mal auf OK.

   

   Abbildung 8. Einstellen eines vorinstallierten Schlüssels auf dem anrufenden Router

So testen Sie die VPN-Verbindung zwischen Standorten

• Klicken Sie in der Konsole Routing und RAS mit der rechen Maustaste auf VPN_HQ, und klicken Sie dann auf Verbinden.

Zum Seitenanfang

Weitere Ressourcen

Weitere Informationen finden Sie in den folgenden Ressourcen:

• "Virtual Private Networks for Windows Server 2003" unter https://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx (nur auf Englisch verfügbar).
• Aktuelle Informationen über Windows Server 2003 finden Sie unter
  https://www.microsoft.com/germany/windowsserver2003/.

Zum Seitenanfang

| Home | Technische Artikel | Community