Windows 7 und Windows Server 2008 R2

Mit DirectAccess-Technik und ohne VPN in das Firmennetzwerk

17.11.2010 | Autor / Redakteur: Michael Schlede / Ulrich Roderer

Diese Skizze verdeutlicht die grundsätzliche Arbeitsweise der DirectAccess-Funktionalität: Über unterschiedliche Wege und mit Hilfe unterschiedlicher Zugriffsmöglichkeiten bauen Windows-7-Systeme eine sichere mit dem Firmennetz auf (Quelle: Microsoft TechNet).
Diese Skizze verdeutlicht die grundsätzliche Arbeitsweise der DirectAccess-Funktionalität: Über unterschiedliche Wege und mit Hilfe unterschiedlicher Zugriffsmöglichkeiten bauen Windows-7-Systeme eine sichere mit dem Firmennetz auf (Quelle: Microsoft TechNet).

Gerade wenn es um die Bereiche Netzwerk und Sicherheit geht, hat sich bei den Betriebssystemen Windows 7 und Windows Server 2008 R2 sehr viel geändert. Besonders interessant sind dabei die Features, die erst im direkten Zusammenspiel zwischen Server und Client ihr vollständiges Potenzial entfalten können: Dazu gehört auch die DirectAccess-Technik.

Mit der Verfügbarkeit von Windows7 und dem Windows Server 2008 R2 hat Microsoft einige Netzwerkfeatures in diese beiden Betriebssystem integriert, die am besten und in einigen Fällen auch ausschließlich dann funktionieren, wenn eben genau diese Kombination von Client- und Server-System im Netzwerk zum Einsatz kommt. Zu diesen Funktionalitäten gehört neben Branchcache und NAP (Network Access Protection) auch die DirectAccess-Technik.

Mit Hilfe von DirectAccess soll es für die Anwender sehr viel einfacher werden, unter Einsatz von IPv6 und IPSec eine sichere Verbindung in das Firmennetzwerk aufzubauen.

Zu diesem Zweck kommen heute in der Regel noch sogenannte VPNs (Virtual Private Networks) zum Einsatz. Da es sich dabei aber bisher immer um Lösungen von Drittherstellern handelte, ist deren Integration in die Windows-Clients auf der einen und in die komplexen Windows-Server-Strukturen auf der anderen Seite nicht immer einfach zu lösen. Für die Systembetreuer kommt zudem immer auch ein großer Aufwand bei Betreuung und Pflege der entsprechenden Anwendungen auf den Windows-Systemen der Anwender hinzu.

Welche Vorteile bietet der Einsatz von DirectAccess?

Sobald ein Client-System, das die DirectAccess-Technik verwendet, mit dem Internet verbunden ist, baut es automatisch im Hintergrund eine bidirektionale Verbindung zum Netzwerk in der Firma auf. Dies geschieht dabei noch vor der Anmeldung des Anwenders am System, also direkt nach dem Start des Windows-Betriebssystems.

Dabei funktioniert eine derartige Verbindung auch dann, wenn NAT (Network Address Translation) zum Einsatz kommt und – was der Normalfall sein dürfte – eine Firewall das Firmennetzwerk vor Zugriffen von außen schützt. Die Administratoren sollten die DirectAccess-Technologie dabei nicht nur als Möglichkeit betrachten, ihren Anwendern einen unkomplizierten und sicheren Remote-Zugriff auf das Firmennetzwerk zu ermöglichen. Dadurch, dass diese Technik komplett und in allen Aspekten bidirektional arbeitet, bekommen die Systembetreuer auf diese Weise auch den vollständigen administrativen Zugriff auf diese Windows-7-Systeme. Ein solches System kann dann beispielsweise wie jede andere Workstation in der Windows-Domäne vollständig mit Hilfe von Gruppenrichtlinien administriert werden.

Ein Tunnel durch das Internet ermöglicht IPv6-Kommunikation

Bei einer derartigen Verbindung kommen unterschiedliche Techniken zum Einsatz, die eine IPv6-Kommunikation zwischen dem Client-System und dem entsprechenden Server mittels eines Tunnels ermöglichen. Dadurch wird eine solche Verbindung dann auch über eine „normale“ auf IPv4 aufsetzende Verbindung zum Internet problemlos funktioniert. Die folgenden Tunnel- und Übergangstechniken können hier zum Einsatz kommen und müssen natürlich auf der Server-Seite zur Verfügung stehen:

  • ISATP: Intra-Site Automatic Tunnel Addressing Protocol – eine Übergangstechnik, die den Transport von IPv6-Paketen zwischen Dual-Stack-Systemen über ein IPv4-Netzwerk ermöglicht.
  • Toredo: ein Protokoll, das IPv6 über UDP und mittels Network Adress Translation (NAT) tunnelt.
  • 6to4 oder IP6-zu-IP4: ein Protokoll, das auch gerne als STF (Six-To-Four) bezeichnet wird. Es handelt sich hierbei um einen weiteren Tunnelmechanismus zum Versenden der IPv6-Pakete über eine IPv4-Verbindung, wobei in diesem Fall die Router oder die lokalen Host-Systeme die Arbeit übernehmen, die IPv6-Pakete zu kapseln.
  • HTTPS: HyperText Transfer Protocol Secure ist ein Protokoll, das zur sicheren Übertragung von Daten über den Port 80 bei der Verbindung zwischen Browser und Web-Server zum Einsatz kommt.

Kann DirectAccess beispielsweise wegen einer blockierenden Firewall keine IPv6-Verbindung über eines der beschriebenen Tunnelprotokolle einrichten, so schaltet die Technik automatisch auf HTTPS um und versucht die Verbindung über diesen Kanal aufzubauen. Dieser ist fast immer durch eine Firewall hindurch offen, um eine Verbindung zum Internet zu ermöglichen.

weiter mit „Voraussetzungen auf dem Server und im Netzwerk“

Inhalt des Artikels:

Was meinen Sie zu diesem Thema?
Also irgendwie ist das alles heute schon mit OpenVPN und OPenSource auf jedem Rechner ohne teure...  lesen
posted am 19.11.2010 um 12:25 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2047915 / Middleware)