47
Technische bersicht über Netzwerktechnik und Kommunikation Microsoft GmbH Verffentlicht: Juli 2002 Einführung Die Windowsfi Server 2003-Familie bietet zahlreiche Erweiterungen zur Unterstützung neuer Netzwerktechnologien im Unternehmen. Dieser Artikel beschftigt sich mit den neuen Funktionen und Erweiterungen.

Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Technische Übersicht über Netzwerktechnik und Kommunikation

Microsoft GmbH

Veröffentlicht: Juli 2002

Einführung

Die Windows® Server 2003-Familie bietet zahlreiche Erweiterungen zur Unterstützung neuer

Netzwerktechnologien im Unternehmen. Dieser Artikel beschäftigt sich mit den neuen

Funktionen und Erweiterungen.

Page 2: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 �

technischer Artikel

Hinweis auf Betaversion

Bei diesem Dokument handelt es sich um ein vorläufiges Dokument, das bis zur endgültigen Handelsausgabe der hier beschriebenen Software wesentlichen Änderungen unterliegen kann.

Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Deutschland GmbH zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens der Microsoft Deutschland GmbH dar und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Dieses Dokument dient ausschließlich informativen Zwecken. Microsoft schließt für dieses Dokument jede Gewährleistung aus, sei sie ausdrücklich oder konkludent.

Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Deutschland GmbH kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.

Soweit nicht anders vermerkt, sind alle in diesem Dokument genannten Unternehmen, Namen, Adressen, Produkte, Domänennamen, E-Mail-Adressen, Logos und Orte frei erfunden und stehen in keinerlei Verbindung zu einem real existierenden Unternehmen, Namen, einer Adresse, einem Produkt, Domänennamen, einer E-Mail-Adresse, einem Logo oder Ort.

Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigem Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.

© 2002 Microsoft Corporation. Alle Rechte vorbehalten.

Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.

Page 3: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

iii

Inhalt

Einführung 1

Vereinfachtes Setup, einfachere Konfiguration und Bereitstellung 2

Netzwerkdiagnosefunktionen 2

Erkennen von Netzwerkstandorten 3

Erweiterungen im Bereich drahtloser Netzwerke 3

Erweiterungen im Bereich Routing und Remote Access Service (RAS) 5

Erweiterung in der Verwaltungskonsole und im Einrichtungsassistenten 5

Neue Konfigurationsoptionen für EAP-TLS-Eigenschaften 5

NetBIOS über TCP/IP Namensauflösungsproxy 5

Integration der Routing- und Remote Access Service-Einstellungen in der Serververwaltung 5

Nutzung der internen Schnittstelle des Routing- und Remote Access Services als private

Schnittstelle für NAT (Network Adress Translation) 5

Verbindungen mit der Einstellung Wählen bei Bedarf können nun auch PPPoE nutzen 6

Interne und Internet-Schnittstellen 6

VPN-Verbindungen für Windows Server 2003, Web-Edition 6

NAT- und Firewall-Integration 6

L2TP/IPSec NAT-Weiterleitung 6

NLB-Unterstützung für L2TP/IPSec-Verkehr 7

Konfiguration von L2TP/IPSec-Verbindungen mit vorinstallierten Schlüsseln 7

Erweiterungen des Verbindungsmanagers 8

Favoriten im Verbindungsmanager 8

Automatische Proxykonfiguration 8

Clientprotokolldateien 8

Unterstützung für die Auswahl eines VPN-Servers 8

Verbesserungen beim Assistenten des Verbindungsmanager-Administrations-Kits 9

Die Konfiguration von vorinstallierten Schlüsseln 9

Routenverwaltung bei gleichzeitigem Intranet- und Internetzugriff für VPN-Verbindungen 9

Verbesserungen der Internetkonnektivität 10

Internetverbindungsfirewall (Internet Connection Firewall, ICF) 10

Erweiterungen bei den Netzwerkverbindungen 10

Aktualisierte Gruppenrichtlinien für Netzwerk- und Wählverbindungen 10

Point-to-Point Protocol over Ethernet-Client für Breitbandverbindungen 11

Weitere Netzwerkzugriffsmöglichkeiten 12

Page 4: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

iv

Netzwerkbrücken 12

Remote Access nutzt den �Schlüsselbund�(Key Ring) zur Verwaltung von Anmeldeinformationen

12

Verwendung einer Anmeldeidentität für alle Benutzer beim Remote-Zugriff 13

Unterstützung für das Internetprotokoll über IEEE 1394 (IP/1394) 13

Änderungen in den Protokollen 14

TCP/IP � Änderungen und Erweiterungen 14

TCP/IP-Protokoll kann nicht entfernt werden 14

Automatischer Wechsel der Konfiguration für die Verbindung mit mehreren Netzwerken

14

Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten 14

Neue Netstat-Option, um den Besitzer eines Ports anzuzeigen 15

IGMP Version 3 15

Automatische Bestimmung der Routingmetrik durch die Geschwindigkeit der Netzwerkkarte

15

Größe des TCP-Empfangsfensters wird durch die Netzwerkkarte festgelegt 15

IPv6 Protokoll-Stack 16

Windows Sockets-Unterstützung 16

6to4-Tunneling 16

Intrasite Automatic Tunnel Addressing-Protokoll 16

PortProxy 17

Sitepräfixe für Routeradvertisements 17

DNS Unterstützung 17

IPSec-Unterstützung 17

Unterstützung von Betriebssystemkomponenten und Anwendungen 18

RPC-Unterstützung 18

Unterstützung von IP Helper API 18

Unterstützung von statischen Routern 18

Kernel Mode-Verarbeitung von Webdatenverkehr 18

Erweiterungen im Quality of Service (QoS) 19

TCP-Empfangsfenstergröße für Heimnetzwerke 19

Verbesserte Unterstützung von Netzwerkgeräten 20

Kapselung der permanenten virtuellen Verbindung 20

NDIS 5.1 und Remote NDIS 20

Verbesserte Unterstützung von Netzwerkmedien 21

CardBus Wake on LAN 21

Page 5: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

v

Erweiterungen bei Gerätetreibern 21

Wake on LAN: Selektive Auswahl der Wake-Ereignisse 21

IrCOMM-Modemtreiber für IrDA 22

Unterstützung neuer Netzwerkdienste 23

TAPI 3.1 und TAPI Service Provider (TSP) 23

Client-APIs zur Echtzeitkommunikation (RTC) 23

DHCP 24

Sichern und Wiederherstellen von DHCP 24

Die Classless Static Route Option (RFC 3442) 25

Migration der DHCP-Datenbank mithilfe von Netsh 25

DHCP-Lease mithilfe von Netsh löschen 25

DNS 25

Active Directory Integrated DNS-Zonen werden nun in Anwendungspartitionen gespeichert

25

Grundlegende Implementierung der Standard-DNS-Sicherheitserweiterungen 26

Entdecken fehlerhafter DNS-Konfigurationen beim Beitreten einer Domäne 26

Verwalten von DNS-Clients über Gruppenrichtlinien 26

Stub-Zonen und bedingte Weiterleitung 26

Unterstützung für das EDNS0-Protokoll 27

Zusätzliche Erweiterungen 27

WINS 27

Filtern von Einträgen 27

Einschränkung und Vorgabe von Replikationspartnern 27

IAS 28

Unterstützung der IEEE 802.1X-Authentifizierung für sichere drahtlose und Large Area-

Netzwerke 28

Eingeschränkte Sitzungszeiten für bestimmte Benutzer 28

IAS und Forest-übergreifende Authentifizierung 29

IAS in der Funktion eines RADIUS-Proxys 29

Protokollieren von RADIUS-Informationen in einer SQL-Datenbank 29

Anonymer EAP-TLS-Zugriff 30

Die RADIUS-Clientkonfiguration unterstützt die Angabe von IP-Adressbereichen 30

Verbesserungen bei der Methode für das Aushandeln einer EAP-Authentifizierung 30

Kontrolle der Objektbezeichner für Benutzerzertifikate und SmartCards 30

Radius-Proxy und Lastenausgleich 31

Page 6: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

vi

Ignorieren der Einwahleigenschaften des Kontos 31

Unterstützung der Computerauthentifizierung 32

Unterstützung für authentifizierungstypabhängige Remote Access-Richtlinien 32

Erweitertes SDK für IAS 32

Skriptfähige API für die Konfiguration von IAS 33

Erweiterte EAP-Konfiguration für Remote Access-Richtlinien 33

Trennung von Authentifizierung und Autorisierung für den IAS-Proxy 33

IPSec 33

Neues IP-Security Überwachungs-Snap-In 34

Befehlszeilenverwaltung mithilfe von Netsh 34

IP Security und die Integration von Netzwerklastenausgleich 34

IPSec-Unterstützung für den Richtlinienergebnissatz (RSoP) 34

IPSec/NAT-Traversierung 35

Verwendung von Hardwareunterstützung für NAT 35

IPSec-Richtlinienfilter erlauben die Verwendung logischer Adressen zur lokalen IP-

Konfiguration 35

Zugriffskontrolle durch Zertifikatszuweisung zu Active Directory-Computerkonten 35

Stärkere Diffie-Hellman-Gruppen für den Internetschlüsselaustausch (IKE) 36

Besserer Schutz vor Denial-Of-Service-Angriffen für IKE 36

Zusätzliche neue Funktionen 37

Änderungen in der Winsock-API 37

Keine weitere Unterstützung von AF_NETBIOS (64-Bit-Version) 37

ConnectEx/TransmitPackets und TCP/IP 37

Windows Sockets Direct Path für SAN-Netzwerke 37

Keine Unterstützung für veraltete Netwerkprotokolle 37

Obsolete RPC-Protokolle 38

Befehlszeilentools 38

Starke kryptographische Authentifizierung der Services für Macintosh 39

Zusammenfassung 40

Weiterführende Links 41

Page 7: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 1

Einführung

Netzwerktechnik und Kommunikation hatten noch nie eine so entscheidende Rolle wie heute, da

sich Unternehmen zunehmend den Herausforderungen des Wettbewerbs auf dem weltweiten

Marktplatz stellen müssen. Mitarbeiter sollen Zugriff auf das Netzwerk erhalten, unabhängig von

ihrem Aufenthaltsort oder dem verwendeten Gerätetyp. Partner, Vertriebsmitarbeiter und andere

Personen außerhalb des Firmennetzwerks müssen für eine effektive Zusammenarbeit gemeinsam

auf Ressourcen zugreifen können. Sicherheit spielt hierbei eine herausragende Rolle.

Dieser Artikel bietet eine technische Übersicht über die Erweiterungen in den Bereichen Netzwerk

und Kommunikation in der Windows® Server 2003-Familie. Einerseits ist das Einrichten,

Konfigurieren und Bereitstellen eines Netzwerkes nun einfacher geworden; andererseits ergeben

sich Vorteile durch verbesserten Netzwerkzugriff, neue Merkmale der verwendeten

Übertragungsprotokolle und eine bessere Unterstützung von Netwerkgeräten. Ein Beispiel:

Internetzugriff für mobile Benutzer � etwa während Wartezeiten auf dem Flughafen � kann von

Windows 2003 Servern über abgesicherte Funknetzwerke oder herkömmlichen

Ethernetverbindungen bereitgestellt werden. Auch Mobiltelefone können nun über eine vorhandene

Infrarotschnittstelle als Modem zum Aufbau einer Netzwerkverbindung genutzt werden.

Unter anderem geht es in diesem Artikel um die erweiterten Möglichkeiten für IT-Administratoren

zur tieferen und umfassenderen Steuerung und Verwaltung der Netzwerkinfrastruktur. So können

sie einen sicheren Zugriff auf ein kabelloses Netzwerk konfigurieren, Gruppenrichtlinien für die

Einschränkung von Netzwerkfunktionen für bestimmte Benutzertypen anlegen oder ein

Verbindungsmanagerprofil definieren, das für Benutzer auf Reisen automatisch standortabhängig

eine Wählverbindung zum günstigsten VPN-Server aufbaut.

Page 8: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 2

Vereinfachtes Setup, einfachere Konfiguration und Bereitstellung

Netzwerkdiagnosefunktionen

Zur Diagnose von Netzwerkproblemen wurden neue Netzwerkdiagnosefunktionen in die Windows

Server 2003-Familie integriert:

Netzwerkdiagnosewebseite. Die Webseite zur Netzwerkdiagnose kann aus dem Hilfe- und

Supportcenter aufgerufen werden. Sie kann dort im Bereich Werkzeuge unter Netzwerkdiagnose

oder im detaillierten Informationsbereich des Hilfe- und Supportcenter unter den Punkten

Fehlerbehebung oder Netzwerke aufgerufen werden. Diese Webseite erleichtert es, wichtige

Informationen über den lokalen Computer und das Netzwerk, an welches er angeschlossen ist,

zusammenzustellen. Die Webseite enthält auch eine Reihe von Tests, um Netzwerkprobleme

beheben zu können.

Die Netsh diag-Befehle. Eine Netsh-Hilfs-DLL stellt neue Befehle in der netsh diag-Umgebung zur

Verfügung. Von der Befehlszeile aus können aktuelle Parameter des Netzwerks ausgelesen und

Diagnosefunktionen aufgerufen werden. Um in den netsh diag-Kontext zu wechseln und Netsh-

Diagnose-Befehle ausführen zu können, geben Sie an der Befehlsaufforderung den Befehl netsh -c

diag ein.

Option �Reparieren� im Kontextmenü für Netzwerkverbindungen. Wenn eine

Netzwerkverbindung einen ungültigen Status hat, der eine Verbindung mit dem Netzwerk

verhindert, kann dieser Fehler oft durch eine Reihe von einfachen Schritten wie z. B. das Erneuern

der IP-Adressenkonfiguration oder einer neuen DNS-Namensregistrierung behoben werden. Diese

Schritte können nun automatisch ausgeführt werden, hierfür steht Ihnen eine Reparaturoption im

Kontextmenü der Netzwerkverbindungen zur Verfügung. Mit dieser Option versucht Windows durch

die beschriebene Vorgehensweise Kommunikationsprobleme zu lösen; in jedem Fall ist

sichergestellt, dass beim Reparaturversuch keine weiteren Probleme oder Störungen im Netzwerk

hervorgerufen werden.

Netzwerkunterstützungsregister für Netzwerkverbindungen. Die Status-Dialogbox für jede

Netzwerkverbindung im Ordner der Netzwerkverbindungen umfasst nun eine Registerkarte mit dem

Titel Netzwerkunterstützung. Auf dieser Seite werden TCP/IP-Konfigurationsinformationen

angezeigt. Die Seite beinhaltet auch eine Reparieren-Schaltfläche, die der Reparieren-Option aus

dem Kontextmenü der Netzwerkverbindungen entspricht.

Netzwerkregister im Task-Manager. Der Task-Manager besitzt nun auch eine Registerkarte mit

dem Titel Netzwerk, die Echtzeit-Informationen für jeden Netzwerkadapter im System darstellt und

so einen schnellen Überblick über die Leistung des Netzwerks erlaubt.

Aktualisiertes Netdiag.exe Befehlszeilen-Netzwerkdiagnose-Tool. Unter den Supportools

befindet sich auch Netdiag.exe, eine erweiterte Version der bereits von Windows 2000 aus dem

Resourcekit bekannten Werkzeuge. Um die Supporttools zu installieren, starten Sie die Datei

Support.msi im Verzeichnis Support\tools auf der Windows Server 2003-CD-ROM.

Aktivierung der Zugriffsprotokollierung für den Remotezugriff. Im Dialogfeld Benutzerdefinierte

RAS-Einstellungen gibt es eine neue Registerkarte Diagnose. Dieses Dialogfeld befindet sich in der

Ordneranzeige der Netzwerkverbindungen im Menü Extras. Die Protokollfunktion ermöglicht die

Aktivierung einer globalen Protokollierung für Remotezugriffsverbindungen sowie Anzeige und

Löschen von Protokollen.

Weiterführende Informationen finden Sie im Hilfe- und Supportcenter der Windows Server 2003-

Familie.

Page 9: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 3

Erkennen von Netzwerkstandorten

Das Windows Server 2003-Betriebssystem nutzt dynamische Informationen über das aktuell

erreichbare Netzwerk, um so die Konfiguration des Netzwerkprotokollstacks geeignet anzupassen.

Die Informationen der Netzwerkzuordnung sind auch programmatisch durch eine Windows Socket-

API abrufbar. Anwendungsprogramme können so aktuelle Netzwerkinformationen auslesen oder

sich bei Änderungen benachrichtigen lassen.

Auch das Betriebssystem selbst verwendet die automatische Netzwerkzuordnung, um geeignete

Dienste bereitzustellen. Über Gruppenrichtlinien kann die Internetverbindungsfreigabe (Internet

Connection Sharing, ICS), die Internetverbindungsfirewall oder eine Netzwerkbrücke abhängig von

der Netzwerkzuordnung aktiviert oder deaktiviert werden. So ist sichergestellt, dass die

Einstellungen tatsächlich für das Netzwerk zutreffen, mit dem ein Computer verbunden ist.

Beispielsweise ist eine Gruppenrichtlinie, die im Firmennetzwerk gültig ist, bei einer Verbindung mit

einem privaten Netzwerk zu Hause nicht relevant. Die einschränkende Richtlinie wird nicht

angewendet und die Funktionen (z. B. Schutz durch den Internetverbindungsfirewall) können

gemäß den Vorgaben des veränderten Nutzungsbereichs automatisch aktiviert werden.

Erweiterungen im Bereich drahtloser Netzwerke

Auch bei der Einrichtung und Verwaltung von drahtlosen Netzwerken gibt es neue Funktionen und

Erweiterungen in der Windows Server 2003-Familie. Hierzu gehören die automatische Verwaltung

von Schlüsseln und eine sichere Netzwerkauthentifizierung schon vor dem Zustandekommen der

eigentlichen Netzwerkverbindung. Die Erweiterungen umfassen die folgenden Punkte:

Erweiterte Ethernet- und Wireless-Sicherheit (IEEE 802.1x-Unterstützung). Bisher gab es für

drahtlose Netzwerke keine hinreichend sichere und zugleich mit geringem Aufwand verfügbare

Lösung zur Verwaltung von Netzwerkschlüsseln. In Zusammenarbeit mit verschiedenen Herstellern

drahtloser Netzwerklösungen und Anbietern von Computersystemen hat Microsoft im Rahmen der

unabhängigen IEEE Organisation den Industriestandard IEEE 802.1x für Port-basierende

Netzwerkzugriffskontrolle entwickelt. Dieser Standard kann sowohl auf Ethernet als auch auf

drahtlose Netzwerke angewendet werden. Bereits mit Windows XP hat Microsoft eine

Unterstützung des IEEE 802.1x-Standards bereitgestellt und mit Herstellern von drahtlosen

Netzwerklösungen daran gearbeitet, diesen Standard auch in Access-Points zu integrieren.

Zero-Administration im Bereich drahtloser Netzwerke. Bei Verwendung von drahtlosen

Netzwerkkarten kann die Windows Server 2003-Familie ohne Eingriff des Benutzers unter den

verfügbaren Netzwerken eine Auswahl treffen. Einstellungen für bestimmte Netzwerke können

gespeichert und automatisch bei der nächsten Verfügbarkeit und Assoziierung mit einem speziellen

Netzwerk aktiviert werden. Wird das drahtlose Netzwerk nicht im Infrastruktur-Modus mit Access-

Points betrieben, wird eine Verbindung im ad-hoc-Modus gesucht.

Unterstützung für Roaming-User im Wireless-Netzwerk. Bereits mit Windows 2000 wurde die

Verfügbarkeit eines Netzwerkes erkannt und Netzwerkzugriffe entsprechend im Online-Modus

durchgeführt. Diese Funktionen wurden in der Windows Server 2003-Familie für die Nutzung

drahtloser Netzwerke erweitert. Neu hinzugekommen sind eine Erneuerung der DHCP-

Konfiguration bei wechselnder Zuordnung zu verschiedenen Netzwerken, davon abhängig eine evtl.

erforderliche erneute Authentifizierung und die Möglichkeit zur Auswahl unter mehreren

Konfigurationsprofilen im Kontext der aktuellen Netzwerkverbindung.

Überwachungs-Snap-In für drahtlose Verbindungen. In den Betriebssystemen der Windows

Server 2003-Familie gibt es ein neues Überwachungs-Snap-In, mit dem Informationen zu

drahtlosen Access-Points (AP), der eigenen aktuellen Konfiguration als drahtloser Client und

Verbindungsstatistiken angezeigt werden können.

Page 10: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 4

Kennwortbasierte Authentifizierung für sichere drahtlose Netzwerkverbindungen. Die

Windows 2003-Familie unterstützt das Protected Extensible Authentication Protokoll (PEAP) für

drahtlose Netzwerke. PEAP ermöglicht eine kennwortbasierte Authentifizierungsmethode für die

sichere Anmeldung über drahtlose Verbindungen. Hierbei erfolgt bereits die Anmeldung selbst über

einen verschlüsselten Kanal, schon vor Abschluss des Authentifzierungsvorgangs. Die

Informationsübertragung bei dieser kennwortbasierten Authentifizierung bietet so keine

Angriffspunkte für wörterbuchbasierte Angriffe. Das Microsoft Challenge Handshake Authentication

Protocoll in der Version 2 (MS-CHAP v2) kann nun als EAP-Authentifizierungsverfahren verwendet

werden. So muss für eine sichere drahtlose Authentifizierung keine aufwändige

Zertifikatsinfrastruktur (Public Key Infrastructure, PKI) aufgebaut werden. Auch die Installation von

Zertifikaten auf jedem Netzwerk-PC mit drahtloser Verbindung ist nicht erforderlich. Schließlich

unterstützt auch der Remote Authentication Dial-in User Service (RADIUS)-Server (der so genannte

Internet Authentication Service (IAS)) das PEA-Protokoll.

Erweiterungen der Gruppenrichtlinien zum Einsatz von drahtlosen Netzwerken. Eine neue

Gruppenrichtlinienerweiterung für drahtlose Netzwerke (IEEE 802.11) ermöglicht die Konfiguration

von drahtlosen Netzwerkeinstellungen als Teil der computerspezifischen Richtlinien. Diese

beinhalten eine Liste der bevorzugten Netzwerke, Angaben zur Datenverschlüsselung (Wired

Equivalent Privacy, WEP) und IEEE 802.1x-Einstellungen. Die Vorgaben werden an die Mitglieder

einer Domäne verteilt. Damit ist es sehr einfach, zentral eine spezielle Konfiguration für den

sicheren Zugriff von drahtlosen Clients bereit zu stellen. Die Konsole für die Konfiguration von

Richtlinien für drahtlose Netzwerke finden Sie unter Computerkonfiguration/Windows-

Einstellungen/Sicherheitseinstellungen/Drahtlosnetzwerkrichtlinien (IEEE 802.11) im

Gruppenrichlinien-Snap-In.

Zugriffe für nichtauthentifizierte Verbindungen von drahtlosen Clients. Sowohl die zur

Windows Server 2003-Familie gehörende Software für drahtlose Clients als auch der IAS

unterstützen die Möglichkeit von nichtauthentifizierten drahtlosen Verbindungen. In diesem Fall wird

Extensible Authentication Protocol Level Security (EAP-TLS) zur einseitigen Bestätigung des IAS-

Serverzertifikats verwendet. Der drahtlose Client sendet keinen Benutzernamen oder

Anmeldeinformationen. Um diese Art der Anmeldung zu ermöglichen, müssen Sie die Option Als

Gast authentifizieren, wenn Benutzer- oder Computerinformationen nicht verfügbar sind aus der

Registerkarte Authentifizierung der Eigenschaften für die drahtlose Netzwerkverbindung im Ordner

Netzwerkverbindungen konfigurieren. Um einen anonymen Zugriff für IAS-Server zu konfigurieren,

müssen Sie das Gast-Benutzerkonto aktivieren und über eine Remote-Access-Richtlinie den

nichtauthentifizierten Zugriff für EAP-TLS-Verbindungen zulassen. Dabei ist eine Gruppe zu

verwenden, die das Gast-Benutzerkonto enthält. Mit dieser Richtlinie kann auch eine virtuelle

Netzwerkkennung (VLAN ID) angegeben werden, die dem temporären Netzwerksegment für

nichtauthentifizierte Benutzer entspricht.

Die beschriebenen Erweiterungen in Windows Server 2003 ermöglichen beispielsweise folgende

Szenarien:

Mobile Benutzer auf einem Flughafen können sichere Verbindungen ins Internet über drahtlose

oder Ethernetverbindungen herstellen.

Netzwerkadministratoren können mit Unterstützung des Betriebssystems einen sicheren Zugriff auf

ein drahtloses Netzwerk konfigurieren. Zertifikate können nun automatisch eingerichtet werden,

indem die hierfür erforderliche Benutzerautorisierung mithilfe einer Remote-Access-

Gruppenrichtlinie durch den IAS sichergestellt wird.

Es ist nun möglich, Benutzeranmeldung und Authentifizierung für kabelbasierte Ethernetnetzwerke

ohne Verwendung von zusätzlichen Verschlüsselungsprotokollen abzusichern.

Page 11: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 5

Weitere Informationen finden Sie im Abschnitt "IAS" dieses Artikels.

Erweiterungen im Bereich Routing und Remote Access Service (RAS)

Folgende Erweiterungen betreffen die Bereiche Routing und Remote Access Service für die

Windows Server 2003-Familie:

Erweiterung in der Verwaltungskonsole und im Einrichtungsassistenten

Mit dem verbesserten Einrichtungsassistenten für die Einrichtung des Routing- und Remote

Access-Servers ist die Inbetriebnahme nun schneller zu bewerkstelligen. Auch das Routing- und

Remote Access-Snap-In der Verwaltungskonsole unterstützt nun besser die Konfiguration der

Servereinstellungen nach Installation des Dienstes.

Neue Konfigurationsoptionen für EAP-TLS-Eigenschaften

Das Dialogfeld für Eigenschaften von Smartcard oder andere Zertifikate erlaubt die Konfiguration

mehrerer RADIUS-Server und mehrerer Root-Zertifizierungsstellen. So können Netzwerke, die aus

mehreren drahtlosen oder verkabelten Teilnetzen bestehen, oder auch große Netzwerke mit

mehreren RADIUS-Servern für eine transparente Nutzung konfiguriert werden. Das Dialogfeld

Eigenschaften von Smartcard oder anderes Zertifikat finden Sie in der Registerkarte Sicherheit des

Eigenschaften-Dialogs einer Netzwerkverbindung (diese finden Sie in der Systemsteuerung unter

Netzwerkverbindungen).

NetBIOS über TCP/IP Namensauflösungsproxy

Ein neuer Proxy für das NetBIOS über TCP/IP (NetBT)-Protokoll wurde in den Routing und Remote

Access Service (RAS) integriert. Wenn Clients eine drahtlose Verbindung zu einem Netzwerk mit

einem oder mehreren Subnetzen an einem Windows Server 2003 (dem Remote Access Server-

Computer) als Router aufbauen, kann die Namensauflösung ohne Verwendung eines DNS (Domain

Name System)- oder WINS (Windows Internet Name Service)-Servers erfolgen.

Diese neue Funktion erlaubt es gerade kleineren Unternehmen, Remote-Access- oder VPN-Server

zu konfigurieren, so dass die Mitarbeiter auch von zuhause aus zugreifen können. Mit aktiviertem

NetBT-Proxy können Remoteclients auch ohne Bereitstellung eines DNS- oder WINS-Servers die

Namen der Computer innerhalb des Unternehmensnetzwerks auflösen.

Integration der Routing- und Remote Access Service-Einstellungen in der Serververwaltung

Die Konfiguration der NAT/Standard-Firewall-Komponente des Routing- und Remote Access

Services geschieht über die allgemeine Verwaltungskonsole eines Windows Server 2003 Servers.

Die vollständige Konfiguration eines Servers beinhaltet somit in einem Vorgang auch die

Einrichtung des Routing- und des Remote Access Services sowie der NAT- und Standard-Firewall-

Komponenten.

Nutzung der internen Schnittstelle des Routing- und Remote Access Services als private

Schnittstelle für NAT (Network Adress Translation)

Wenn ein Windows 2000 Server eine Einwahlmöglichkeit in ein privates Intranet bereitstellt und

gleichzeitig als Network Address Translator (NAT) aus diesem Intranet heraus eine

Internetverbindung realisiert, dann konnten bisher über Remote Access verbundene Clients diese

Internetverbindung nicht nutzen. Mit Windows Server 2003 ist es nun möglich, auch

remoteverbundenen Benutzern den Zugriff auf das Internet zu ermöglichen. Hierzu wird die interne

Schnittstelle als private Schnittstelle der NAT-Komponente des Routing- und Remote Access

Services hinzugefügt.

Page 12: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 6

Verbindungen mit der Einstellung Wählen bei Bedarf können nun auch PPPoE nutzen

Für Wählverbindungen, die bei Bedarf hergestellt werden, kann das Point-to-Point Protocol over

Ethernet (PPPoE) verwendet werden (etwa für aDSL-Verbindungen). Der Routing- und Remote

Access Service stellt über Wählverbindungen Punkt-zu-Punkt-Verbindungen zwischen Netzwerken

her, um darüber Pakete zu routen. Diese Funktion wird mit der Option Verbindung über PPP-over-

Ethernet (PPPoE) herstellen im Assistent für eine Schnittstelle für Wählen bei Bedarf bei der

Auswahl des Schnittstellentyps aktiviert.

Durch das Zulassen von PPPoE als Verbindungstyp für Schnittstellen für Wählen bei Bedarf kann

ein kleines Unternehmen die NAT/Internetverbindungsfirewall-Komponente für den Routing- und

Remote Access Service in Verbindung mit der Breitband-Internetverbindung nutzen, um sich mit

dem Internet zu verbinden.

Interne und Internet-Schnittstellen

Um Probleme bei der Auflösung von Namen eines VPN-Servers zu lösen und um auf Dienste, die

auf dem VPN-Server ausgeführt werden, zugreifen zu können, deaktiviert der Routing- und Remote

Access Service standardmäßig die dynamische DNS-Registrierung für die interne Schnittstelle;

ferner deaktiviert er sowohl die dynamische DNS als auch NetBIOS over TCP/IP (NetBT) für die

Schnittstelle, die vom Setup-Assistenten als Internet-Schnittstelle erkannt wurde.

VPN-Verbindungen für Windows Server 2003, Web-Edition

Für die Web-Edition von Windows Server 2003 wurde die Anzahl der zugelassenen VPN-

Verbindungen auf eine beschränkt (dies kann entweder eine Point-to-Point-Protocol (PPTP)- oder

eine Layer Two Tunneling Protocol (L2TP)-basierte Verbindung sein). Dabei handelt es sich um die

gleiche Einschränkung, die auch innerhalb von Windows XP Professional und Windows XP Home-

Edition existiert. Möchten Sie mehr als nur eine VPN-Verbindung unterstützen, müssen Sie

Windows Server 2003 Standard-, Enterprise- oder Datacenter-Edition einsetzen.

NAT- und Firewall-Integration

Die NAT/Internetverbindungsfirewall-Komponente des Routing- und Remote Access Services

wurde erweitert. Sie unterstützt nun einen Internetverbindungsfirewall auf Grundlage der gleichen

Technologie wie bei Windows XP. Diese Funktion erlaubt es Ihnen, die öffentliche Schnittstelle

eines Computers mit einem Windows Server 2003-Betriebssystem zu schützen, der über einen

Network Address Translator (NAT) einen Zugriff auf das Internet ermöglicht. Durch die Nutzung von

NAT werden die Computer auf der privaten Netzwerkseite gesichert, da der NAT-Computer Daten

aus dem Internet nur dann weiterleitet, wenn ein Client aus dem privaten Netzwerk sie anfordert.

Allerdings bleibt der NAT-Computer selbst angreifbar. Durch Aktivierung des

Internetverbindungsfirewalls auf der öffentlichen Schnittstelle des NAT-Computers werden alle

Pakete gelöscht, die an der Internetschnittstelle entgegengenommen werden und nicht vom NAT-

Computer oder von einem Computer aus dem privaten Intranet angefordert wurden.

Sie können diese Funktion aus der Eigenschaften-Registerkarte für die

NAT/Internetverbindungsfirewall einer privaten Schnittstelle aktivieren, die für die Nutzung der

NAT/Internetverbindungsfirewall-IP-Routingprotokoll-Komponente des Routing- und Remote

Access Services konfiguriert ist

L2TP/IPSec NAT-Weiterleitung

Unter Windows 2000 war es nicht möglich, Internet Key Exchange (IKE) und Encapsulating

Security Payload (ESP)-Pakete über NAT laufen zu lassen, da NAT die Adressen oder Ports der

Pakete übersetzte und die Pakete dadurch ungültig wurden. Mit Windows konnten Sie keine

L2TP/IPSec-Verbindung von einem Rechner aus aufbauen, der über einen NAT geroutet wird; es

Page 13: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 7

war daher notwendig, als Lösung Point-to-Point Tunneling-Protocol (PPTP) für VPN-Verbindungen

einzusetzen.

Die Windows Server 2003-Familie unterstützt nun die UDP-Kapselung von Internet Protocol

security (IPSec)-Paketen, um IKE oder ESP-Daten durch den NAT weiterzuleiten. Dies ermöglicht

L2TP/IPSec-Verbindungen auch über eine oder mehrere NATs von Windows XP- oder Windows

2000 Professional-basierten Computern und von Servern, die ein Betriebssystem der Windows

Server 2003-Familie ausführen.

Die Weiterleitung von IPSec-Daten in der Windows Server 2003-Familie durch NAT wird in �UDP

Encapsulation of IPSec Packets� (draft-ietf-ipsec-udp-encaps-02.txt) und �Negotiation of NAT-

Traversal in IKE� (draf-ietf-ipsec-nat-t-ike-02.txt) erläutert.

NLB-Unterstützung für L2TP/IPSec-Verkehr

Unter Windows 2000 hatte der Netzwerklastenausgleichdienst (Network Load Balancing, NLB) nicht

die Möglichkeit, IPSec-Sicherheitszuordnungen (SAs) für verschiedene Server zu verwalten. Wenn

ein Server innerhalb des Clusters nicht mehr zur Verfügung stand, wurden die

Sicherheitszuordnungen des Clusters nicht mehr aktualisiert und daher nach einiger Zeit ungültig.

Dies bedeutete, dass Sie keine L2TP/IPSec-VPN-Server clustern konnten. Das DNS-

Rotationsprinzip (Round-Robin) konnte zum Lastenausgleich über mehrere L2TP/IPSec-VPN-

Server verwendet werden, ermöglichte aber keine Fehlertoleranz.

In der Windows Server 2003-Familie bietet der erweiterte NLB-Dienst auch Cluster-Unterstützung

für IPSec-Sicherheitszuordnungen (SAs). Sie können nun einen Cluster von L2TP/IPSec-VPN-

Servern anlegen, wobei der NLB-Dienst sowohl Lastenausgleich als auch Fehlertoleranz für

L2TP/IPSec-Verkehr zur Verfügung stellt.

Diese Funktion steht nur mit den 32-Bit- und 64-Bit-Versionen der Enterprise oder Datacenter-

Edition zur Verfügung.

Konfiguration von L2TP/IPSec-Verbindungen mit vorinstallierten Schlüsseln

Die Windows Server 2003-Familie unterstützt sowohl Computerzertifikate als auch vorinstallierte

Schlüssel als Authentifizierungsmethode, um IP-Sicherheit (IPSec) in Verbindung mit L2TP-

Verbindungen einzurichten. Ein vorinstallierter Schlüssel ist ein Textstring, der sowohl auf dem

VPN-Client als auch auf dem VPN-Server hinterlegt wurde. Die Verwendung von vorinstallierten

Schlüsseln ist eine relativ schwache Authentifizierungsmöglichkeit. Diese Vorgehensweise ist

empfehlenswert, um beim Aufbau einer Public Key Infrastruktur (PKI) Computerzertifikate zu

verteilen oder wenn VPN-Clients vorinstallierte Schlüssel zur Authentifizierung benötigen. Sie

können für L2TP-Verbindungen vorinstallierte Schlüssel nutzen und diese in der Registerkarte

Sicherheit innerhalb der Eigenschaften eines Servers im Snap-In für den Routing- und Remote

Access Service festlegen.

Windows XP und die Remote-Access-VPN-Clients der Windows Server 2003-Familie unterstützen

die Authentifizierung über vorinstallierte Schlüssel. Sie können die Authentifizierung über

vorinstallierte Schlüssel aktivieren und den vorinstallierten Schlüssel in den IPSec-Einstellungen auf

der Registerkarte Sicherheit der Eigenschaften für eine VPN-Verbindung innerhalb der

Netzwerkverbindungen konfigurieren.

Die Windows Server 2003-Familie unterstützt die Authentifizierung über vorinstallierte Schlüssel

auch bei Router-zu-Router-VPN-Verbindungen. Sie können die Authentifizierung über vorinstallierte

Schlüssel in den Eigenschaften der Schnittstelle für Wählen bei Bedarf auf der Registerkarte

Sicherheit aktivieren und den Schlüssel festlegen. Sie finden die Eigenschaften der Schnittstelle für

Wählen bei Bedarf im Routing- und Remote Access Snap-In.

Page 14: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 8

Erweiterungen des Verbindungsmanagers

Der Verbindungsmanager und das Administrationsverwaltungswerkzeug für den

Verbindungsmanager wurden innerhalb der Windows Server 2003-Familie um folgende Punkte

erweitert:

Favoriten im Verbindungsmanager

Die Verbindungsmanagerfavoriten ermöglichen es Benutzern, wenn sie eine Verbindung von

verschiedenen Standorten aus herstellen, auf Mehrfachkonfigurationen der Eigenschaften des

Verbindungsmanagers zu verzichten. Dies ermöglicht das einfache Speichern und den einfachen

Zugriff auf Einstellungen und kann z. B. in der nachfolgenden Situation genutzt werden:

Ein Benutzer arbeitet an häufig wechselnden Standorten, teilweise arbeitet er im Büro seines

Unternehmens, teilweise im Büro eines Geschäftspartners. Der Benutzer richtet die Standorte

innerhalb des Verbindungsmanagers ein. Er richtet auch die Rufnummer für die nächstgelegene

Verbindung, die Ortskennzahlen und die Wählregeln ein und gibt jeder Verbindung einen

eindeutigen Namen. Nun kann der Benutzer zwischen den gespeicherten Einstellungen auswählen,

um schnell Netzwerkverbindungen von jedem der Standorte aus aufzubauen.

Automatische Proxykonfiguration

Mit der automatischen Proxykonfiguration wird ein Verbindungsmanagerprofil angelegt, um für den

Benutzer immer den geeigneten Zugriff auf interne und externe Ressourcen sicherzustellen,

während er mit dem Firmennetzwerk verbunden ist. Diese Funktion erfordert den Einsatz von

Internet Explorer 4.0 oder einer neueren Version.

Nehmen wir z. B. an, der Heimcomputer eines Angestellten sei so eingestellt, dass er die

Verbindung zum Internet ohne einen Proxyserver herstellt. Bei einer Verbindung mit dem

Firmennetzwerk kann diese Einstellung zu Problemen führen. Ein IT-Administrator kann in diesem

Fall ein Verbindungsmanagerprofil anlegen, das die geeigneten Proxyservereinstellungen für den

Fall einer Verbindung mit dem Firmennetzwerk bereithält.

Clientprotokolldateien

Diese Funktion ermöglicht es, Protokolldateien zu aktivieren. Protokolldateien bieten die

Möglichkeit, schnell und zuverlässig Probleme mit dem Verbindungsmanager zu beheben. Ein

Client stellt z. B. fest, dass er Probleme beim Verbinden mit einem Netzwerk hat, wenn er ein

Verbindungsmanagerprofil nutzt, das durch einen IT-Administrator vorgeschrieben wurde. In

diesem Fall kann eine Protokolldatei, die auf dem Computer des Benutzers angelegt wird, an den

Administrator gesendet werden. Dieser kann die Protokolldatei auswerten, um die Fehlerbehebung

zu vereinfachen.

Unterstützung für die Auswahl eines VPN-Servers

Mit dem Verbindungsmanager Administrations-Kit, das in Windows Server 2003 enthalten ist, kann

ein Verbindungsmanagerprofil erstellt werden, das dem Benutzer bei der Verbindung mit dem

Firmennetzwerk gestattet, einen Virtual Privat Network (VPN)-Server zu wählen. Dies erlaubt die

Benutzung von VPN-Verbindungen in folgenden Situationen:

Eine Firma unterhält weltweit Büros und betreibt an vielen dieser Orte VPN-Server. Ein IT-

Administrator kann nun für einen Benutzer, der häufig unterwegs ist, ein Verbindungsmanagerprofil

anlegen, das dem Benutzer die Auswahl desjenigen VPN-Servers erlaubt, der seine Anforderungen

an die Verbindung am besten erfüllt.

Der VPN-Server eines Unternehmens wird für Wartungsarbeiten offline genommen. In dieser Zeit

können Benutzer eine Wählverbindung zu einem anderen VPN-Server aufbauen.

Page 15: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 9

Verbesserungen beim Assistenten des Verbindungsmanager-Administrations-Kits

Der Assistent des Verbindungsmanager-Administrations-Kits (CMAK) wurde in seiner Funktionalität

erweitert. Er bietet nun verbesserte Dialogfelder und die Möglichkeit für weitreichende

Anpassungsaufgaben, bevor ein Benutzerprofil erstellt wird. Die Verbesserungen erleichtern die

Erstellung eines angepassten Pakets für Clientverbindungsprofile und verringern die Notwendigkeit,

CMS- oder CMP-Dateien für weiterführende Anpassungen zu editieren. Zahlreiche

Anpassungsaktionen sind verfügbar und durch den Assistenten innerhalb des CMAK konfigurierbar.

Dies betrifft auch spezielle Anpassungsoptionen für VPN-Verbindungen. So kann ein IT-

Administrator ein einziges Profil erstellen, um die Sicherheitseinstellungen für mehrere

Clientbetriebssysteme anzupassen, oder ein Profil anlegen, um andere Funktionen des Remote

Access Services zu nutzen, wie z. B. Rückruf oder den Einsatz von Terminaldiensten.

Die Konfiguration von vorinstallierten Schlüsseln

Mit dieser Funktion kann ein IT-Administrator ein Verbindungsmanagerprofil mithilfe von CMAK

anlegen, das den vorinstallierten Schlüssel des VPN-Servers für die Authentifizierung bei

L2TP/IPSec-Verbindungen enthält.

Routenverwaltung bei gleichzeitigem Intranet- und Internetzugriff für VPN-Verbindungen

In älteren Betriebssystemen vor Windows XP und Windows Server 2003 legte ein Microsoft-VPN-

Client automatisch eine Route an, die den gesamten Datenverkehr der Standardroute durch den

VPN-Tunnel umleitete. Obwohl die VPN-Clients hierdurch auf das Unternehmensintranet Zugriff

hatten, konnte der Client nur bei aktiver VPN-Verbindung auf Internetressourcen zurückgreifen,

wenn die VPN-Verbindung zum Intranet des Unternehmens einen Zugriff auf das Internet

gestattete. Der neue Verbindungsmanager erlaubt nun Folgendes:

Wenn eine VPN-Verbindung aufgebaut wird, werden statt einer Änderung der Standardroute neue

Routen für den Zugriff auf die einzelnen Ressourcen des Unternehmensintranets zu den Routen

des VPN-Clients hinzugefügt. So kann der Client gleichzeitig das Intranet (anhand der

hinzugefügten Routen) und das Internet (über die Standardrouten) nutzen, ohne den

Internetverkehr über das Unternehmensintranet schleusen zu müssen.

Das Verbindungsmanager Administrations-Kit erlaubt es Ihnen, für die VPN-Benutzer spezielle

Routen als Teil des Verbindungsmanagerprofils zu konfigurieren. Sie können auch einen Uniform

Resource Locator (URL) angeben, der eine aktuelle Zusammenstellung der Routen für das

Unternehmensintranet oder weitere Routen zusätzlich zu den im Profil konfigurierten bereithält.

Page 16: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 10

Verbesserungen der Internetkonnektivität

Die Windows Server 2003-Familie bringt im Bereich der Internetverbindung folgende

Erweiterungen:

Internetverbindungsfirewall (Internet Connection Firewall, ICF)

Ist ein Computer mit dem Internet oder mit einem anderen externen Netzwerk verbunden, droht

jederzeit der unberechtigte Zugriff auf den Computer und die dort gespeicherten Daten. Ob der mit

dem externen Netzwerk verbundene Computer ein Rechner ohne weitere Netzwerkverbindungen

ist, oder ob er als Gateway für das dahinter liegende Netzwerk fungiert (z. B. wenn die

Internetverbindungsfreigabe genutzt wird), ist für den Einsatz einer Firewall gleichgültig. Eine

Firewall bietet Ihrem Heimnetzwerk in jedem Fall Schutz vor unsicherem Netzwerkverkehr und lässt

den gewünschten Datenverkehr passieren.

Die Windows Server 2003-Familie bietet Ihren Computern und Heimnetzwerken (die entsprechend

miteinander verbunden sind) den Schutz der Internetverbindungsfirewall (Internet Connection

Firewall, ICF).

ICF wird automatisch für Wählverbindungen und Breitbandverbindungen aktiviert, wenn der

Assistent für neue Verbindungen ausgeführt wird. Er richtet den Firewall ein und nimmt

Einstellungen vor, die mit den meisten Netzwerken funktionieren. Der Firewall kann im Ordner für

die Netzwerkverbindungen auch manuell aktiviert bzw. deaktiviert werden.

ICF überwacht den Datenverkehr, der innerhalb des Firewalls initiiert wird, und entscheidet auf

dieser Grundlage, welcher Verkehr von außen zugelassen werden soll, wobei von außerhalb

initiierte Pakete vom Firewall standardmäßig nicht zugelassen werden. Wenn Sie Dienste oder

Programme (wie z. B. einen Webserver) hinter dem Firewall ausführen, können die Einstellungen

der ICF Ihren Bedürfnissen entsprechend angepasst werden.

ICF kann zum Schutz einer Remote-Access-Verbindung genutzt werden, wenn ein Internet Service

Provider (ISP) direkt angewählt wird, oder zum Schutz einer Netzwerkverbindung, die über eine

Digital Subscriber Line (DSL) oder ein Kabelmodem besteht.

Dieses Feature steht nur in den 32-Bit-Versionen der Standard-, Enterprise- oder Web-Edition zur

Verfügung.

Erweiterungen bei den Netzwerkverbindungen

Die folgenden Erweiterungen wurden im Bereich der Netzwerkverbindungen in der Windows Server

2003-Familie eingeführt:

Aktualisierte Gruppenrichtlinien für Netzwerk- und Wählverbindungen

Diese Funktion ermöglicht mithilfe von Gruppenrichtlinien die Sperrung oder Freigabe von

Komponenten der Netzwerkfunktionalität für Benutzer mit den Betriebssystemen Windows XP

Professional oder Windows Server 2003. Dies ist in folgenden Situationen hilfreich:

Ein IT-Administrator kann einen Benutzer zum Mitglied der Netzwerkkonfigurations-Operatoren

machen. Damit erhält der Benutzer Zugriff auf die Transmission Control Protocol/Internet Protocol

(TCP/IP)-Eigenschaften einer Netzwerkverbindung und kann seine IP-Adressen konfigurieren.

Als Mitglied der lokalen Administratorengruppe eines Computers kann der Benutzer ICS (Internet

Connection Sharing, Internetverbindungsfreigabe), ICF (Internet Connection Firewall,

Internetverbindungsfirewall) und Netzwerkbrücken aktivieren sowie die Eigenschaften einer

Page 17: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 11

Netzwerkverbindung konfigurieren. Das Aktivieren oder Konfigurieren dieser Funktionen könnte

jedoch die Netzwerkverbindungen stören. Daher kann der IT-Administrator über Richtlinien einen

lokalen Administrator von der Konfiguration dieser Funktionen abhalten.

Point-to-Point Protocol over Ethernet-Client für Breitbandverbindungen

Die Windows Server 2003-Familie bietet die Möglichkeit, Verbindungen unter Verwendung des

Point-to-Point Protocol over Ethernet (PPPoE) anzulegen. Die Nutzung von PPPoE und einer

Breitbandinternetverbindung wie DSL oder Kabelmodem erlaubt dem Benutzer einen individuellen

authentifizierten Zugriff auf Hochgeschwindigkeitsnetze. In früheren Versionen von Windows

mussten die Benutzer Software installieren, die von dem jeweiligen ISP zur Verfügung gestellt

wurde. Nun wurde diese Unterstützung direkt in das Betriebssystem integriert.

Die PPPoE-Client-Unterstützung ermöglicht folgende Szenarien:

Ein Benutzer, der zu Hause über eine Breitbandverbindung verfügt und für die Internetverbindung

eine PPPoE-Anmeldung benötigt, kann nun mit dem PPPoE-Client und dem neuen

Verbindungsmanagerassistenten ohne Installation weiterer Software sofort eine Internetverbindung

anlegen.

Ein IT-Administrator kann mit dieser Funktion den Zugriff auf das interne Netzwerk sicherer

gestalten. Er kann mit PPPoE alle Zugriffe auf das Netzwerk authentifizieren, die von öffentlich

zugänglichen Orten innerhalb des Unternehmens (z. B. von Konferenzräumen oder Vorzimmern)

erfolgen.

Die Integration dieser Funktionen in die Windows Server 2003-Familie erlaubt den Einsatz anderer

Funktionen wie z. B. ICS (für die gemeinsame Nutzung Ihrer Breitbandverbindung durch andere

Computer) oder ICF (für das Sichern der PPPoE-Verbindung vor Angriffen aus dem Internet). Die

PPPoE-Verbindung kann auch aus dem Internet Explorer und anderen Windows-Komponenten und

Anwendungen ausgewählt werden.

Page 18: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 12

Weitere Netzwerkzugriffsmöglichkeiten

Im Bereich der Netzwerkzugriffsmöglichkeiten bietet die Windows Server 2003-Familie folgende

Erweiterungen:

Netzwerkbrücken

Wenn ein Netzwerk in einem kleinen Unternehmen oder zu Hause aufgebaut wird, kann es

vereinzelt vorkommen, dass ein Netzwerkmedium in einem Abschnitt des Netzwerks funktioniert,

aber nicht in einem anderen. So können z. B. einige Computer, die in der Nähe von

Telefonverteilern aufgestellt sind, eine Telefonleitung zur Netzwerkverbindung nutzen. Andere

Computer sind vielleicht zu weit entfernt und müssen für den Aufbau einer Verbindung andere Mittel

wie z. B. eine drahtlose Netzwerkverbindung nutzen. Die zahlreichen Verbindungsmöglichkeiten,

die von der Windows Server 2003-Familie unterstützt werden, sind u. a. Ethernet, Telefonleitungen,

IEEE 802.11b drahtlose Verbindungen und IEEE 1394-FireWire-Verbindungen.

Computer, die mit einer Art von Netzwerktechnik untereinander kommunizieren, bilden ein

Netzwerksegment. Normalerweise würde die Verbindung dieser Netzwerksegmente über TCP/IP

das Konfigurieren von unterschiedlichen Subnet-Adressen und Routern erfordern. Die

Netzwerkbrücke ermöglicht es, dass Computer mit Windows Server 2003 verschiedene

Netzwerksegmente überbrücken, um so ein einziges Subnetz zu erzeugen. Das Überbrücken

verschiedener Netzwerksegmente auf einem Brückencomputer geschieht einfach durch die

Auswahl von mehreren Verbindungen innerhalb des Ordners Netzwerkverbindungen � es genügt

ein Klick mit der rechten Maustaste auf eine Verbindung und danach ein Klick auf Verbindungen

überbrücken innerhalb des Kontextmenüs.

So entsteht aus einem einzigen, einfach zu verwaltenden Subnetz ein Netzwerk, das alle beteiligten

Netzwerkmedien zusammenführt. Der Brückencomputer erkennt und aktualisiert alle benötigten

Informationen. So weiß er, welche Computer in welchem Netzwerksegment zu finden sind, und

leitet die Datenpakete entsprechend weiter.

Remote Access nutzt den �Schlüsselbund�(Key Ring) zur Verwaltung von Anmeldeinformationen

Die Windows Server 2003-Familie besitzt eine Funktion, die man als �Schlüsselbund� (Key Ring)

zur Verwaltung von Anmeldeinformationen bezeichnen könnte. Dieser �Schlüsselbund� speichert

verschiedene Anmeldeinformationen nach erstmaliger Verwendung. Dies erlaubt Ihnen den

gleichzeitigen Zugriff auf verschiedene Netzwerke (mit unterschiedlichen Anmeldeinformationen,

bestehend aus Benutzername und Passwort), ohne dass Sie immer wieder aufgefordert werden,

die Anmeldeinformationen neu einzugeben. Informationen über die Netzwerkressourcen, mit denen

Sie verbunden sind (wie Servername und Domänen-Name) werden dazu benutzt, die richtigen

Anmeldeinformationen auf dem �Schlüsselbund� auszuwählen. Remote Access nutzt diesen

�Schlüsselbund� und fügt bei jeder Wähl- oder VPN-Verbindung temporäre Anmeldeinformationen

zu diesem �Schlüsselbund� hinzu. Diese Anmeldeinformationen umfassen den Benutzernamen und

das Passwort, die beim Aufbau dieser Verbindung benutzt wurden, da diese Informationen häufig

auch für den Zugriff auf die einzelnen Ressourcen des Netzwerks notwendig sind. So können Sie

auf ein Remotenetzwerk zugreifen und gleichzeitig die Ressourcen im Remotenetzwerk und ihrem

lokalen Netzwerk ohne sichtbare Unterschiede beim Zugriff nutzen.

Page 19: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 13

Verwendung einer Anmeldeidentität für alle Benutzer beim Remote-Zugriff

Mit dieser Funktion werden verschiedene Anmeldeinformationen, darunter Benutzername und

Passwort, einmal eigegeben und dann für alle Benutzer eines Computers zur Verfügung gestellt.

Wenn z. B. ein Benutzer über eine Verbindung von zu Hause zu einem lokalen ISP verfügt, gibt er

während der Ausführung des Assistenten für neue Verbindungen an, ob diese Verbindung allen

Benutzern zur Verfügung stehen soll und speichert dann seine Anmeldeinformation für alle

Benutzer. Andere Familienmitglieder können diese Verbindung nun benutzen, ohne den

Benutzernamen oder das Passwort für die Verbindung mit dem ISP zu kennen.

Unterstützung für das Internetprotokoll über IEEE 1394 (IP/1394)

Die Windows Server 2003-Familie unterstützt das Senden und Empfangen von TCP/IP-Paketen

über das IEEE 1394-Medium, eine serielles Bussystem, das Geschwindigkeiten über 100 bis 400

Mbps erlaubt. IEEE 1394 wird normalerweise dazu benutzt, Audio- oder Video-Geräte mit dem

Computer zu verbinden. Die Unterstützung von IEEE 1394 beinhaltet auch die Nutzung von

IEEE 1394-Frames für die Netzwerkbrückenfunktionalität. Weiterführende Informationen finden Sie

unter RFC 2734.

Eine IEEE 1394-Verbindung muss nicht speziell konfiguriert werden. Sie wird automatisch erkannt

und konfiguriert.

Page 20: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 14

Änderungen in den Protokollen

TCP/IP � Änderungen und Erweiterungen

Die nachfolgenden Änderungen und Erweiterungen wurden am TCP/IP-Protokoll in der Windows

Server 2003-Familie durchgeführt:

TCP/IP-Protokoll kann nicht entfernt werden

Das TCP/IP-Protokoll (das als Internetprotokoll (TCP/IP) in den Eigenschaften einer Verbindung im

Ordner Netzwerkverbindungen aufgeführt ist) wird standardmäßig installiert und kann nicht entfernt

werden. Früher konnten Fehler im Zusammenhang mit dem TCP/IP-Protokoll durch eine

Neuinstallation des Protokolls behoben werden. Bei Windows Server 2003 bedarf es einer anderen

Vorgehensweise: Stattdessen können Sie nun mit einem neuen netsh-Befehl die TCP/IP-

Einstellungen auf die Installationsvorgaben zurücksetzen. Weiterführende Informationen finden Sie

im Abschnitt Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten.

Automatischer Wechsel der Konfiguration für die Verbindung mit mehreren Netzwerken

Alternative Konfigurationen erlauben Ihnen, manuell statische TCP/IP-Einstellungen einzutragen.

Diese Einstellungen werden benutzt, wenn der Computer zur Nutzung des Dynamic Host

Configuration Protocols (DHCP) als Client konfiguriert ist, aber kein DHCP-Server beim Start des

Computers gefunden wird. Bei Computern mit Windows 2000, Windows 98 und Windows

Millennium Edition weist Automatic Private IP Addressing (APIPA) einem Computer, der als DHCP-

Client konfiguriert ist und keinen DHCP-Server finden kann, automatisch eine eindeutige Adresse

im Adressbereich 169.254.0.0 (Subnetz-Maske 255.255.0.0) zu. APIPA erlaubt zwar die

Initialisierung des TCP/IP-Stacks durch die automatische Adressvergabe, trägt aber keine

Standard-Gateway-Adresse, keine Domain Name System (DNS)-Serveradresse oder andere

wichtigen Einstellungen für die Kommunikation in einem Intranet oder Internet ein. Die alternative

Konfiguration ist in Situationen hilfreich, in denen der Computer in mehreren Netzwerken verwendet

wird und eines dieser Netzwerke über keinen DHCP-Server verfügt, eine APIPA-

Adressenzuweisung aber nicht erwünscht ist.

Ein Beispiel für die Anwendungsmöglichkeiten der automatischen Konfiguration: Ein Benutzer setzt

einen Laptop im Büro und zu Hause ein. Im Büro erhält der Computer seine TCP/IP-Konfiguration

von einem DHCP-Server. Zuhause jedoch existiert kein DHCP-Server. Hier benutzt der Laptop

automatisch die alternative Konfiguration, die einen einfachen Zugriff auf das Netzwerk daheim

sowie das Internet erlaubt. Über diese alternative Konfiguration müssen Sie die TCP/IP-

Einstellungen nicht manuell konfigurieren, wenn der Laptop entweder mit dem Firmennetzwerk oder

dem Netzwerk zu Hause verbunden ist.

Sie können die alternativen TCP/IP-Konfigurationen auf der Registerkarte Erweiterte TCP/IP-

Einstellungen in den Eigenschaften einer Netzwerkverbindung im Ordner für Netzwerkverbindungen

einstellen.

Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten

Ein neuer netsh-Befehl in der Windows Server 2003-Familie erlaubt es, Ihre TCP/IP-Konfiguration

auf Standardwerte zurückzusetzen. Der neue Befehl lautet netsh interface ip reset und kann von

der Befehlszeile ausgeführt werden.

In früheren Versionen von Windows konnten Sie das Internet Protokoll (TCP/IP) entfernen und neu

installieren und auf diese Weise die TCP/IP-Konfiguration auf Standardwerte zurücksetzen. Bei

Windows Server 2003 wird TCP/IP standardmäßig installiert und kann nicht entfernt werden. Diese

Page 21: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 15

Funktion ist für IT-Administratoren hilfreich, wenn sie feststellen, dass die Benutzer durch Verstellen

der TCP/IP-Einstellungen eine ungültige Konfiguration herbeigeführt haben.

Neue Netstat-Option, um den Besitzer eines Ports anzuzeigen

Eine neue Option wurde in das Netstat-Tool integriert, um aktive TCP-Verbindungen und die jeweils

dazugehörigen Process Identifier (PID) anzuzeigen. Sie können eine Anwendung mithilfe des PIDs

im Windows Task-Manager in der Registerkarte Prozesse finden. Standardmäßig wird der PID

allerdings nicht angezeigt. Hierfür müssen Sie den Windows Task-Manager konfigurieren. Klicken

Sie auf das Menü Ansicht und wählen Sie dort Spalten auswählen�. Wählen Sie dann die Option

PID (Prozess-ID) aus und klicken Sie anschließend auf OK.

IGMP Version 3

IGMP Version 3 erlaubt die Auswertung von Multicast-Gruppenzugehörigkeiten anhand der

Ursprungs-IPs. Hosts können entweder Multicastverkehr von einer Reihe von explizit angegebenen

Absendern zulassen oder von allen Absendern mit einigen Ausnahmen. Das absenderabhängige

Reporting verhindert, dass multicastfähige Router Multicastpakete in ein Subnet weiterleiten, in dem

keine Hosts Daten dieses Absenders akzeptieren. IGMP Version 3 wird standardmäßig aktiviert und

benötigt keine Konfiguration.

Automatische Bestimmung der Routingmetrik durch die Geschwindigkeit der Netzwerkkarte

Diese Funktion erlaubt es dem TCP/IP-Protokoll, die Routingmetrik für Routen, die über die TCP/IP-

Konfiguration zur Verfügung steht, auf der Grundlage der Geschwindigkeit der damit

zusammenhängenden Netzwerkkarten automatisch festzulegen. So haben Routen, die von einer

TCP/IP-Konfiguration einer 10 Mbps-Ethernetkarte stammen, eine Metrik von 30, und Routen, die

von einer TCP/IP-Konfiguration einer Netzwerkkarte mit 100 Mbps stammen, eine Metrik von 20.

Diese Funktion ist nützlich, wenn Sie mehrere Netzwerkkarten mit unterschiedlichen

Geschwindigkeiten so konfiguriert haben, dass diese den gleichen Standardgateway nutzen. In

diesem Fall hat die schnellste Netzwerkkarte die niedrigste Metrik für die Standardroute und wird

deshalb für das Senden von Verkehr an diesen Standardgateway genutzt. Wenn mehrere Karten

mit der gleichen Geschwindigkeit existieren, wird die Netzwerkkarte, die als erste in den Bindungen

aufgeführt ist, benutzt, um den Verkehr auf das Standardgateway zu leiten.

Die automatische Bestimmung der Metrik für Netzwerkkarten wird standardmäßig durch die Option

Automatische Metrik auf der Registerkarte IP-Einstellungen der erweiterten TCP/IP-Einstellungen in

den Eigenschaften des Internetprotokolls (TCP/IP) einer Verbindung im Ordner

Netzwerkverbindungen aktiviert.

Größe des TCP-Empfangsfensters wird durch die Netzwerkkarte festgelegt

Die Fenstergröße definiert die maximale Anzahl an Bytes, die ohne ein Acknowledgement (d.h.

ohne Warten auf eine positive Bestätigung) gesendet werden kann. Auf einer langsamen

Wählverbindung entspricht diese Fenstergröße meist der Größe der Warteschlange (Queue) auf

dem Remote Access Server. Ist die Warteschlange mit TCP-Segmenten von einer TCP-Verbindung

gefüllt, kann keine neue TCP-Verbindung hergestellt werden, bis alle Pakete gesendet sind. Die

Situation wird bei neuen Verbindungen noch durch den slow start-Algorithmus verschlimmert. Mit

Windows Server 2003 passt der Quality of Service (QoS) Packet-Planer auf einem Computer mit

ICS die vorgeschlagene Fenstergröße abhängig von der Geschwindigkeit der Wählverbindung an.

Dies reduziert die Tiefe der Warteschlange des Remote Access Servers und verbessert die Qualität

neuer Verbindungen.

In einem privaten Netzwerk sind alle Computer normalerweise mit einer schnellen Verbindung

untereinander verbunden und greifen über einen Computer mithilfe von ICS auf das Internet zu. Der

Page 22: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 16

ICS-Computer ist mit dem Internet über eine Wählverbindung verbunden. Wenn ein Computer eine

große Datei herunterlädt, haben einige Computer deutliche Leistungseinbußen beim Zugriff auf das

Internet (zum Beispiel beim Einsatz eines Webbrowsers). Mit Windows Server 2003 ist die

Benutzerwahrnehmung der Reaktionszeiten neuer Internet TCP-Verbindungen von einem dieser

weiteren Computer spürbar positiver.

Diese Funktion wird standardmäßig nur aktiviert, wenn ICS eingesetzt wird. Sie muss nicht

zusätzlich konfiguriert werden.

IPv6 Protokoll-Stack

Die Windows Server 2003-Familie verfügt über einen neuen IPv6 Protokoll-Stack, der für den

Produktiveinsatz entwickelt wurde. Er bietet folgende Funktionen:

� Windows Sockets-Unterstützung

� 6to4-Tunneling

� Intrasite Automatic Tunnel Adressing Protocol

� PortProxy

� Standortüräfixe in Routeradvertisements

� DNS-Unterstützung

� Unterstützung von IPSec

� Anwendungsunterstützung für IPv6-kompatible Applikationen

� RPC-Unterstützung

� Unterstützung statischer Router.

In den nachfolgenden Abschnitten werden die Einzelheiten dieser Funktionen beschrieben.

Windows Sockets-Unterstützung

Die Windows Server 2003-Familie unterstützt die neuen Windows Sockets-Funktionen

GetaddrInfo() und GetNameInfo(). Mit diesen Funktionen kann, wie in RFC 2553 näher

beschrieben, eine numerische Adresse in einen Klartextnamen und ungekehrt ein Klartextname in

eine numerische Adresse aufgelöst werden. Mit diesen Funktionen können Sie Ihre Windows

Sockets-Anwendungen unabhängig von Ihrer aktuellen Version des IP (IPv4 oder IPv6) machen.

Dadurch werden die Funktionen Gethostbyname() und Getaddrbyname() ersetzt. Weiterführende

Informationen über die Anpassung von Anwendungen zur Unterstützung von IPv4 und IPv6 finden

Sie im Whitepaper "Adding IPv6 Capability to Windows Sockets Applications".

6to4-Tunneling

Die Implementierung des 6to4-Tunnelings folgt der Spezifikation nach RFC 3056. Als Komponente

des IPv6-Protokolls der Windows Server 2003-Familie erlaubt 6to4 automatisches Tunneling und

IPv6-Konnektivität zwischen IPv6/IPv4-Hosts über ein IPv4-Intranet. 6to4-Hosts benutzen IPv6-

Adressen, die von IPv4 öffentlichen Adressen abgeleitet werden. Über 6to4 können IPv6-Standorte

und Hosts für ihre Internetkommunikation sowohl 6to4-basierte Adressen als auch Adressen auf der

Basis von IPv4 benutzen, ohne von einem Internet Service Provider einen globalen IPv6-

Adressenpräfix anzufordern und sich mit dem IPv6-Internet zu verbinden.

Intrasite Automatic Tunnel Addressing-Protokoll

Das Intrasite Automatic Tunnel Addressing Protocol (ISATAP) ermöglicht durch Adresszuweisung

und automatisches Tunneling den IPv6/IPv4-Knoten in einer IPv4-Umgebung, IPv6 zur

Page 23: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 17

Kommunikation innerhalb eines Standorts mit anderen IPv6-Knoten oder zur Internetkommunikation

mit dem IPv6-Internet zu verwenden. Zu ISATAP finden Sie Informationen in einem Arbeitspapier

der IETF (Internet Engeneering Task Force).

PortProxy

Die PortProxy-Komponente ermöglicht die Kommunikation zwischen Knoten oder Anwendungen,

die sich nicht über ein gemeinsames Internet Layer-Protokoll (IPv4 oder IPv6) verbinden können.

PortProxy erlaubt die Übertragung (Proxying) von TCP-Verkehr für die folgenden Konstellationen:

IPv4 auf IPv4, IPv4 auf IPv6, IPv6 auf IPv6 und IPv6 auf IPv4. Zur besseren Koexistenz von IPv6

und IPv4 und Migration ermöglicht PortProxy bei der Datenübertragung folgende Konstellationen:

Ein Knoten, der nur IPv4 unterstützt, kann auf einen Knoten, der nur IPv6 unterstützt, zugreifen.

Ein Knoten, der nur IPv6 unterstützt, kann nur auf einen Knoten zugreifen, der IPv4 unterstützt.

Ein IPv6-Knoten kann auf einen Dienst zugreifen, der zwar nur IPv4 unterstützt aber auf einem

IPv6/IPv4-Knoten läuft.

Dieses letztgenannte Szenario erlaubt Computern, die das IPv6-Protokoll der Windows Server

2003-Familie ausführen, den Zugriff auf Webseiten auf Windows 2000 Servern, auf denen der

Internet Informationsdienst (IIS) ausgeführt wird. Der IIS unter Windows 2000 unterstützt IPv6 nicht

und kann daher nur mit IPv4 angesprochen werden. Über PortProxy auf einem Windows Server

2003 werden ankommende IPv6basierte Webanfragen an den Windows 2000-IIS-Server

weitergeleitet, und so eine indirekte Verbindung des IIS mit IPv6-basierten Webbrowsern

ermöglicht. Der PortProxy-Server wird mit dem Befehl netsh interface portproxy add|set|delete

v4tov4|v4tov6|v6tov4|v6tov6 konfiguriert.

Sitepräfixe für Routeradvertisements

Veröffentlichte on-link-Präfixe können mit einer Standortpräfixlänge konfiguriert werden. Dazu

finden Sie Informationen in einem Arbeitspapier der IETF (Internet Engeneering Task Force) mit

dem Titel �Site prefixes in Neighbor Discovery�. Sie können mit dem Befehl netsh interface ipv6

add|set route die Länge für ein Standortpräfix im Adressenpräfix festlegen.

Bei Empfang einer Präfix-Information-Option in Routeradvertisements, die ein Standortpräfix näher

beschreibt, wird ein Eintrag in der Standortpräfixtabelle vorgenommen. Sie können diese Tabelle

mithilfe des Befehls netsh interface ipv6 show siteprefixes anzeigen. Die Standortpräfixtabelle wird

genutzt, um nichtpassende lokale Standortadressen aus dem Verzeichnis der Adressen zu

entfernen, die durch die Windows Sockets-Funktion Getaddrinfo() zurückgegeben werden.

DNS Unterstützung

Die Verarbeitung von Domain Name System (DNS) IPv6-Host-Records (auch unter dem Namen

AAAA oder quad-A-Ressourceneintrag) und die dynamische Registrierung von AAAA-Einträgen

erfolgt, wie in RFC 1886 �DNS Extensions to support IP version 6� beschrieben, auf dem Client

durch den DNS-Resolver und serverseitig bei Windows Server 2003 und Windows 2000 über den

DNS-Serverdienst. DNS-Anfragen sind sowohl über IPv6 als auch über IPv4 möglich.

IPSec-Unterstützung

Die Validierung des Authentication Headers (AH) mittels eines Message Digest 5 (MD5)-Hashs wird

ebenso unterstützt wie eine Encapsulation Security Payload (ESP) mit einem NULL ESP-Header

und MD5-Hash. Es gibt dagegen keine Unterstützung von ESP-Datenverschlüsselung oder für das

IKE-Protokoll. IPSec-Sicherheitsrichtlinien, Sicherheitszuweisungen und Schlüsselwerte zur

Datenverschlüsselung können manuell mit dem ipsec6.exe-Tool konfiguriert werden.

Page 24: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 18

Unterstützung von Betriebssystemkomponenten und Anwendungen

Systemkomponenten und Programme der Windows Server 2003-Familie, die IPv6 unterstützen,

sind u. a. der Internet Explorer, der Telnet-Client (Telnet.exe) und der FTP-Client (Ftp.exe), IIS 6.0,

Datei- und Druckerserver (Server- und Arbeitsstationsdienst), Windows MediaTM-Dienste und der

Netzwerkmonitor.

RPC-Unterstützung

Mit RPC (Remote Procedure Call) werden Funktionsaufrufe von Anwendungen an ein anderes

System innerhalb des Netzwerks geleitet. Die RPC-Komponenten innerhalb der Windows Server

2003-Familie sind IPv6-fähig. Sie unterstützen die neue Version von Windows Sockets; damit

werden für RPC sowohl IPv4 als auch IPv6 unterstützt.

Unterstützung von IP Helper API

Die Internet Protocol Helper (IP-Helper) API kann für die Verwaltung der Netzwerkkonfiguration auf

dem lokalen Computer verwendet werden. Sie können mit dem IP-Helper programmatisch

Informationen über die Netzwerkkonfiguration des lokalen Computers abrufen und diese

Konfiguration verändern. Die IP-Helper-API bietet einen Benachrichtigungsmechanismus, der

sicherstellt, dass eine Anwendung benachrichtig wird, wenn bestimmte Aspekte der

Netzwerkkonfiguration auf dem lokalen Computer geändert werden. Die IP-Helper-API der

Windows Server 2003-Familie kann nun auch Informationen über IPv6 und dessen Komponenten

liefern.

Unterstützung von statischen Routern

Ein Computer mit Windows Server 2003 kann als statischer IPv6-Router eingesetzt werden. Er

leitet Pakete zwischen Schnittstellen auf Basis der IPv6-Routingtabelle weiter. Sie können mithilfe

des nesh interface ipv6 add route-Befehls statische Routen konfigurieren. Es gibt keine IPv6-

Routingprotokolle für den Routing- und Remote Access Service.

Mit Windows Server 2003 kann ein Computer Routeradvertisements senden. Die Inhalte der

Routerankündigungen werden automatisch aus den veröffentlichten Routen der Routingtabelle

berechnet.

Nicht veröffentlichte Routen werden für das Routing zwar verwendet, werden aber nicht über

Routerankündigungen versendet. Routerankündigungen enthalten immer eine Source-Link-Layer-

Option und als MTU-Parameter den aktuellen Verbindungs-MTU-Wert des Interfaces des

Absenders. Sie können diesen Wert mithilfe des Befehls netsh omterface ipv6 set interface ändern.

Ein Computer mit Windows Server 2003 wird sich nur dann als Standardrouter anbieten, wenn es

eine für die Veröffentlichung konfigurierte Standardroute gibt. Hierzu nutzt er ein

Routeradvertisement mit einer vom Wert 0 abweichenden Lebenszeit.

Kernel Mode-Verarbeitung von Webdatenverkehr

HTTP.SYS ist eine Kernel-Modus-Implementierung des client- und serverseitigen HyperText

Transfer-Protokolls (HTTP). Diese skalierbare und effektive Implementierung von HTTP erlaubt den

Einsatz der erweiterten asynchronen I/O-Operationen von Win32® und bietet so die Möglichkeit, die

Erledigung von Anfragen und dazugehörige Antworten über sog. Completion Ports asynchron zu

verarbeiten. Die Anwendungsprogrammierschnittstelle (API) im Benutzer-Modus wird für die

Clientseite über bereits existierende APIs wie WinHTTP und.NET Framework-Klassen zur

Verfügung gestellt. Die Serverseite von HTTP.SYS wird für die Windows Server 2003-Familie

bereitgestellt und von IIS 6.0 eingesetzt. Eine vollständige Version von HTTP.SYS, die sowohl

Client und Server umfasst, wird in zukünftigen Versionen von Windows verfügbar sein.

Page 25: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 19

Erweiterungen im Quality of Service (QoS)

Windows Server 2003 bietet hinsichtlich der Quality of Service (QoS)-Implementierung folgende

Erweiterungen:

TCP-Empfangsfenstergröße für Heimnetzwerke

Wenn ein lokales Netzwerk mit einem Firmennetzwerk oder einem anderen Netzwerk über eine

langsame Verbindung, z. B. eine Wählverbindung, verbunden ist, kann es beim Verkehr, der über

die Wählleitung geleitet wird, unter folgenden Bedingungen zu Wartezeiten kommen:

Wenn sich der Client, der die Daten empfängt, auf einem relativ schnellen Netzwerk (z. B. 100

Mbps Ethernet) hinter einem ICS-Computer befindet und der Server, mit dem der Empfänger

verbunden ist, hinter dem Remote Access Server ein schnelles Netzwerk benutzt, stimmen diese

Verbindungsgeschwindigkeiten nicht mit der langsamen Verbindung zwischen Client und Server

überein. In diesem Fall ist das Empfangsfenster des Computers, der als Empfänger fungiert, zu

groß eingestellt. Diese Werte basieren auf der Geschwindigkeit der schnelleren Verbindung. Der

Absender überträgt zunächst Pakete mit einer langsamen Geschwindigkeit. Da jedoch keine Pakete

verloren gehen, wird die Geschwindigkeit soweit erhöht, bis sie beinahe die volle Fenstergröße für

die Pakete erreicht.

Dies kann die Performance anderer TCP-Verbindungen im gleichen Netzwerk beeinflussen. Hier

müssen die Pakete unter Umständen in einer großen Warteschlange warten. Wenn dann Pakete

verloren gehen, muss ein Paket mit der vollständigen Fenstergröße erneut übertragen werden, was

zu einer weiteren Verstopfung der Verbindung führt.

Die Lösung besteht darin, das Empfangsfenster eines ICS-Computers am Rand des Netzwerks

entsprechend der Geschwindigkeit der Verbindung zu verkleinern und die erhaltenen Einstellungen

des Empfängers zu ignorieren. Diese Einstellung wirkt sich nicht nachteilig auf die Bandbreite aus,

da die Fenstergröße genau so eingestellt wird wie in dem Fall, wenn der Empfänger direkt über die

langsame Verbindung mit dem Sender verbunden wäre. Der QoS-Packet-Scheduler des Systems

mit der Internetverbindungsfreigabe nimmt die entsprechenden Anpassungen der Fenstergröße vor.

Weiterführende Information über den QoS-Paketplaner finden Sie in der Windows XP-Hilfe. Weitere

Informationen bietet die Windows 2000-Netzwerk- und Kommunikationsdienste Website unter

http://www.microsoft.com/windows2000/technologies/communications/default.asp.

Page 26: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 20

Verbesserte Unterstützung von Netzwerkgeräten

Windows Server 2003 bietet folgende Verbesserungen bei der Unterstützung von Netzwerkgeräten:

Kapselung der permanenten virtuellen Verbindung

Die Windows Server 2003-Familie bietet eine Implementierung von RFC 2684, wodurch die

Implementierung von DSL für die Hersteller vereinfacht wurde. Hierzu wird ein

zwischengeschalteter NDIS-Treiber verwendet, der nach außen wie eine Ethernetschnittstelle

aussieht, aber eine permanente virtuelle Verbindung (PVC) über DSL/Asynchronous Transfer Mode

(ATM) zum Transport von Ethernet (oder nur TCP/IP)-Frames verwendet. Dieser Mechanismus

wird in der Industrie normalerweise von Netzbetreibern und anderen Firmen genutzt, die DSL

bereitstellen. Mit Windows Server 2003 und einem ATM-Miniport-Treiber für ein DSL-Gerät können

bei der Bereitstellung von DSL folgende Protokollkonfigurationen verwendet werden:

TCP/IP über PPP über ATM (PPPoA) unter Verwendung eines vom Hersteller des Netzwerkgerätes

bereitgestellten DSL-ATM-Miniport-Treibers.

TCP/IP über RFC 2685 (vier Kapselungstypen) unter Verwendung eines vom Hersteller des

Netzwerkgerätes bereitgestellten DSL-ATM-Miniport-Treibers.

TCP/IP über PPPoE über RFC 2684 (vier Kapselungstypen) unter Verwendung eines vom

Hersteller des Netzwerkgerätes bereitgestellten DSL-ATM-Miniport-Treibers.

Zusätzlich kann eine 802.1X-Authentifizierung für die RFC 2685-Ethernet-Schnittstelle ergänzt

werden. Diese Vielzahl von Optionen erfüllt die meisten Anforderungen bei DSL-Bereitstellungen.

Weiterführende Informationen finden Sie unter RFC 2684.

NDIS 5.1 und Remote NDIS

Die Treiber, mit denen Netzwerkkarten die physikalische Netzwerkschicht dem Betriebssystem

gegenüber zugänglich machen, wurden in der Windows Server 2003-Familie um folgende

Möglichkeiten erweitert:

Plug-and-Play und Benachrichtigung bei Zustandsänderung der Stromversorgung.

Netzwerkkarten-Miniport-Treiber können eine Benachrichtigung erhalten, wenn entweder ein Plug-

and-Play-Ereignis oder eine Zustandsänderung der Stromversorgung auftritt. So ist das System

weniger störanfällig.

Abbrechen von Sendeanfragen. Diese Erweiterung erlaubt es Netzwerkprotokollen, lange

Wartezeiten zu vermeiden, die durch das Warten auf Beendigung einer Sendeanfrage entstehen.

Mehr Speicher für Verbindungsstatistiken (64-Bit-Leistungsindikatoren). Diese Erweiterung

bietet eine genauere Anzeige von Statistiken angesichts neuer

Hochgeschwindigkeitsnetzwerkmedien.

Leistungsverbesserungen. Zahlreiche Erweiterungen wurden vorgenommen, um kritische

Netzwerkdatenpfade zu beschleunigen und unnötige Paketkopien zu vermeiden.

Änderungen bei Wake-on-LAN. Eine Änderung wurde auch im Bereich Wake-on-LAN

durchgeführt, um Pakete, die einen Start veranlassen können, auf �magic Packets� zu beschränken

(anstelle der durch das Protokoll registrierten Paketmuster). Diese Eigenschaft kann über die

Registerkarte Energieverwaltung der Eigenschaften eines Netzwerkadapters konfiguriert werden.

Diverse Änderungen. Einige weitere Änderungen wurden als Reaktion auf allgemeine Anfragen

von Treiberentwicklern durchgeführt, um die Zuverlässigkeit von Treibern zu erhöhen.

Page 27: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 21

Remote-NDIS ist in Windows Server 2003 enthalten. So können USB-fähige Netzwerkgeräte ohne

weiteren Treiber eines Fremdherstellers genutzt werden. Microsoft liefert nun die für die

Kommunikation mit den Netzwerkgeräten notwendigen Treiber. So wird die Installation einfacher,

und die Fehleranfälligkeit des Systems durch schlecht programmierte oder schlecht getestete

Treiber wird reduziert.

Weiterführende Information über NDIS 5.1 und Remote NDIS finden Sie im DDK der Windows

Server 2003-Familie und auf den folgenden Websites:

http://www.microsoft.com/hwdev/network/NDIS51.htm

http://www.microsoft.com/hwdev/tech/network/rmNDIS.asp

Verbesserte Unterstützung von Netzwerkmedien

Windows Server 2003 bietet eine direkte Unterstützung für verschiedene neue Typen von

Netzwerkgeräten, die damit unmittelbar einsatzbereit sind. Windows Server 2003 unterstützt die

meisten neuen HomePNA-Geräte (die Telefonleitungen für Netzwerkverbindungen verwenden),

ebenso die meisten über USB angeschlossenen Netzwerkgeräte. Dabei werden einige davon über

Remote NDIS angesprochen, so dass sich die Installation von zusätzlichen Treibern erübrigt. Auch

die Unterstützung von 802.11 drahtlosen Netzwerkgeräten wurde verbessert. Viele dieser Geräte

unterstützen nun die automatische Konfiguration und Roaming-Funktionen. Auch die Unterstützung

von Softwaremodems wurde unter Windows Server 2003 deutlich ausgebaut.

CardBus Wake on LAN

Mit dieser Funktion können Computer aus dem Stand-by-Modus über eine Cardbus-Netzwerkkarte

wieder gestartet werden. IT-Administratoren können diese Funktion zur Verwaltung mehrerer

Server nutzen.

Erweiterungen bei Gerätetreibern

Windows Server 2003 bietet neue Treiber für Netzwerkkarten, die vor allem in kleineren, privaten

Netzwerken genutzt werden. Damit können die bisher verwendeten alten Treiber aussortiert

werden. Die damit erreichte bessere Treiberqualität betrifft folgende Arten von Netzwerkgeräten:

Netzwerkkartentreiber. Dies umfasst 10/100-Netzwerkkarten (NICs), IEEE 802.11 und Geräte

entsprechend der Home Phoneline Networking Alliance (HomePNA)

Breitbandunterstützung. Dies beinhaltet Unterstützung für Kabelmodems, Asymmetric Digital

Subscriber Line(aDSL)- und Integrated Services Digital Network(ISDN)-Geräte.

Modem. Es werden auch Softmodems und 56 kbps V.90-Modems unterstützt.

Für Heimnetzwerkbenutzer, die ihr Betriebssystem auf Windows Server 2003 aktualisiert haben,

werden viele der eingesetzten Netzwerkgeräte direkt durch das neue Betriebssystem unterstützt.

Wake on LAN: Selektive Auswahl der Wake-Ereignisse

Wake on LAN (WOL), das mit Windows 2000 eingeführt wurde, nutzt die Hardwaremöglichkeiten

von WOL-fähigen Netzwerkkarten, die beim Empfang bestimmter Pakete durch Power-

Management-Signale des Busses, über den die Netzwerkkarte mit dem Rechner verbunden ist, den

Rechner aus dem Standby-Modus aufwecken können. Die Verbesserungen in diesem Bereich

umfassen folgende Funktionen:

WOL kann für alle eintreffenden Pakete entsprechend der definierten Wake-Up-Paketmuster (z.

B. NetBIOS-Broadcastanfragen, Hardwareadressauflösung, Unicast) Power-Management-

Ereignisse auslösen. Diese Einstellung entspricht der Vorgabe �vollständig aktiviert�.

Page 28: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 22

WOL kann nun auch so aktiviert werden, dass nur ganz bestimmte Pakete, so genannte Magic

Packets, Wake-Up-Ereignisse auslösen.

WOL kann vollständig ausgeschaltet werden.

Diese neuen Funktionen erlauben folgende Szenarien:

Ein Benutzer möchte, dass der Computer in den Standby-Modus übergeht, um Strom zu sparen.

Der Computer soll aber wieder hochgefahren werden, sobald ein anderer Computer innerhalb des

Netzwerkes Dienste dieses Computers nutzen möchte oder Verwaltungsfunktionen auf diesem

Computer ausgeführt werden sollen.

Ein IT-Administrator möchte WOL auf den Computern vollständig steuern können und setzt deshalb

WOL auf �vollständig aktiviert�.

IrCOMM-Modemtreiber für IrDA

Der IrCOMM-Modemtreiber erlaubt es Benutzern, ihr infrarotfähiges Handy wie ein Modem

einzusetzen.

Wird ein Handy in die Nähe des Infrarotports gebracht, wird es erkannt und der passende Treiber

wird installiert (oder aber, wenn das Modell nicht erkannt wird, ein generischer Treiber). Damit kann

ein Mobiltelefon wie ein herkömmliches Modem eingesetzt werden.

Mit diesem Treiber ist die Vorgehensweise für den Benutzer ganz einfach:

Ein Benutzer besitzt ein infrarotfähiges Mobiltelefon, das IrCOMM unterstützt, und möchte es als

Modem nutzen, um auf das Internet zuzugreifen. Mit dem IrCOMM-Modemtreiber für IrDA kann ein

mobiler Computer das Telefon erkennen, den richtigen Typ herausfinden und als Modem

installieren. Der Benutzer kann sich nun genau so wie mit einem internen Modem in das Netzwerk

einwählen.

Diese Funktion steht nur in der Enterprise- und der Web-Edition zur Verfügung.

Page 29: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 23

Unterstützung neuer Netzwerkdienste

Windows Server 2003 bietet folgende Verbesserungen bei der Unterstützung von

Netzwerkdiensten:

TAPI 3.1 und TAPI Service Provider (TSP)

Ältere Versionen des Windows-Betriebssystems wurden mit einer früheren Version der Telefon-API

(TAPI) ausgeliefert. In Windows 2000 war die neueste Version 3.0 enthalten. TAPI erlaubt es,

Anwendungen zu erstellen, die dem Benutzer verschiedene Telefondienste zur Verfügung stellen.

Windows XP wird mit TAPI 3.1 ausgeliefert.

TAPI 3.1 unterstützt das Microsoft Component Object Model (COM) und stellt Programmierern

COM-Objekte zur Verfügung. So können mit jeder COM-kompatiblen Programmierumgebung und

Skriptsprache Telefonanwendungen erstellt werden.

Bei Windows XP stellen TAPI-Diensteanbieter (TAPI Service Providers, TSPs) Funktionen für

H.323-basierte IP-Telefonie und IP-Multicast Audio- und Videokonferenzen über TCP/IP-Netzwerke

zur Verfügung. So bieten sich viel mehr Möglichkeiten als mit älteren Versionen der TSPs. Der

H.323 TSP und der Media Service Provider (MSP) unterstützen H.323 Version 2.

TAPI 3.1 enthält folgende weitere Merkmale:

Datei-Unterstützung: Ermöglicht es Anwendungen, Streamingdaten (wie Sprache oder Video) in

eine Datei zu schreiben und diese aufgenommenen Daten über einen Stream wiederzugeben.

Variable Endpunkte (Ausgabegeräte): Ermöglichen es Drittherstellern, neue Ausgabeobjekte

hinzuzufügen, die von einem beliebigen MSP genutzt werden können.

USB-Telefon TSP: Ermöglicht es einer Anwendung, ein USB-Telefon zu steuern und es als

Endpunkt für einen Stream zu nutzen.

Automatische Erkennung von TAPI-Servern: Clients können automatisch nach verfügbaren

Telefonservern im Netzwerk suchen.

Zusätzlich wurden für H.323 leistungsfähigere Funktionen für die Behandlung von Anrufen

implementiert:

Halten eines Anrufs (ITU-T Empfehlung H.450-2)

Anrufübergabe (ITU-T Empfehlung H.450-2)

Anrufumleitung (ITU-T Empfehlung H.450-3)

Parken und Wiederaufnehmen eines Anrufs (ITU-T Empfehlung H.450-5)

Client-APIs zur Echtzeitkommunikation (RTC)

Mit den Funktionen der Client Application Programming Interfaces (APIs) für

Echtzeitkommunikation (Real Time Communications, RTC) können moderne

Kommunikationslösungen basierend auf dem Session Initiation Protocol (SIP) realisiert werden. SIP

ist ein Protokoll für den effizienten Aufbau einer generischen Verbindung durch Angabe einer E-

Mail-Adresse, ohne dass es dabei notwendig ist, den genauen Aufenthaltsort des Anrufers zu

kennen. Mit RTC können Internetanwendungen schnell bereitgestellt werden, die Sprach- und

Videoanwendungen oder Anwendungen für die gemeinsame Datennutzung unterstützen.

Die Windows Server 2003-Familie bietet nun über die RTC-Client-APIs folgende Funktionen:

Verwaltung von Kontaktlisten, Wahrnehmung von Benutzeraktivitäten, die Möglichkeit für Instant-

Page 30: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 24

Messaging-Sitzungen, Audio- und Videoverbindungen zwischen zwei Clients, Telefonanrufe auf

eine beliebige Telefonnummern, Remotenutzung von Applikationen und gemeinsame Verwendung

derselben Anwendung zur Zusammenarbeit.

Die Client-APIs unterstützen Firewaltunneling zu einem SIP-Server über Secure Sockets Layer

(SSL), Digest- und Standardauthentifizierung sowie Anpassungen für die Verwendung mit NATs,

um Echtzeitkommunikationssitzungen über Universal Plug and Play (UPNP)-fähige NATs zu

ermöglichen. Die APIs bieten Zugriff auf einen leistungsstarken Stack für Audio- und

Videoübertragungen. Die Audio- und Videoqualität wurde durch andere neue Funktionen stark

verbessert:

Unterdrücken von akustischem Echo. Eine integrierte Echounterdrückung ermöglicht eine

störungsfreie Kommunikation bei Freisprechanlagen, d. h. Headsets sind für Telefongespräche

nicht unbedingt erforderlich.

Qualitätskontrolle. Ein neuer Algorithmus verändert bei wechselnder Netzwerkbandbreite

dynamisch die Audio- und Videoeinstellungen.

Forward Error Correction (FEC) wird benutzt, um Paketverluste durch Netzwerküberlastungen

auszugleichen.

Dynamische Ausgleichspuffer. Beim Empfang von Audiodaten werden mit ungleichmäßiger

Geschwindigkeit eintreffende Pakete gleichmäßig wiedergegeben.

Die RTC-Client-APIs ermöglichen die folgenden Szenarien:

Ein Spieleentwickler kann mit RTC-Client-APIs Benutzerlisten, Instant-Messaging und Audio/Video-

Kommunikation in sein neues Spiel integrieren. Damit können die Spieler während eines Spiels

Echtzeitnachrichten austauschen, sich unterhalten oder eine visuelle Verbindung über Webcams

haben.

Ein IT-Administrator kann mit einem kleinen Programm alle Benutzer benachrichtigen, wenn ein E-

Mail-Server wegen Wartungsarbeiten heruntergefahren wird.

Ein ISV, der Finanz- und Lohnbuchhaltungsprogramme vertreibt, kann ein ActiveX-Kontrollelement

erstellen, das die RTC-Client-APIs verwendet. Das Kontrollelement zeigt in der Website seines

Servers den Abteilungsadministratoren die Verfügbarkeit von Ansprechpartnern aus der

Lohnbuchhaltung. Budgetfragen können so über Instant-Messaging oder Sprachverbindung

beantwortet werden und Budgetplanungen in einer Onlinekonferenz mithilfe von gemeinsam

genutzten Anwendungen analysiert werden.

Diese Funktionen stehen nicht in der 32-Bit-Version der Web-Edition zur Verfügung.

DHCP

Beim Dynamic Host Configuration Protocol (DHCP) bietet Windows Server 2003 folgende

Verbesserungen:

Sichern und Wiederherstellen von DHCP

Das DHCP-Snap-In enthält nun einen neuen Menüeintrag für das Sichern und Wiederherstellen von

DHCP-Datenbanken. Der Benutzer kann in diesem Menü einen Speicherort wählen oder auch

einen neuen Ordner anlegen. IT-Administratoren können so die DHCP-Konfigurationsdatenbanken

auf einem Server der Windows Server 2003-Familie sichern und wiederherstellen.

Diese Funktion steht nicht auf Servern der Web-Edition zur Verfügung.

Page 31: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 25

Die Classless Static Route Option (RFC 3442)

DHCP-Clients können mit dieser Option eine Liste von Routen anfordern und sie ihren

Routingtabellen hinzufügen. Für Remote- oder VPN-Clients wird so bei Verbindung mit einem

remoten Netzwerk ein Split-Tunneling ermöglicht. Gleichzeitig können auch Netzwerkclients

zusätzliche Routinginformationen beziehen.

Ein IT-Administrator kann mit dieser Funktion den Datenverkehr von Clients aufteilen und entweder

über eine Virtual Private Network (VPN)-Verbindung oder das Internet leiten. Dadurch kann der für

das Internet bestimmte Datenverkehr den Umweg durch die VPN-Verbindung vermeiden, während

die Benutzer gleichzeitig auf die privaten Netzwerkressourcen des Unternehmensnetzwerks

zuzugreifen.

Migration der DHCP-Datenbank mithilfe von Netsh

Die Migration der DHCP-Datenbank von einem Server auf einen anderen ist nun mit dem netsh-

Befehl wesentlich einfacher. Typische Aufgaben, die früher manuell durchgeführt werden mussten,

wie z. B. das Anpassen der Registry oder die erneute Eingabe von Adressbereichen, lassen sich

leichter erledigen. Netsh wird benutzt, um Server und Router lokal zu konfigurieren, und ermöglich

mit Skriptdateien eine automatische Konfiguration. Es kann in folgenden Fällen eingesetzt werden:

Ein IT-Administrator entdeckt, dass die Festplatten des DHCP-Servers fehlerhaft sind und

entscheidet sich, den DHCP-Dienst auf einen anderen Rechner zu migrieren, bevor die Festplatten

vollständig ausfallen.

Wegen Kapazitätsengpässen auf dem Netzwerksegment, zu dem der DHCP-Server gehört, muss

der DHCP-Server aufgeteilt werden. Mit netsh können Teile der DHCP-Datenbank auf einen oder

mehrere andere Computer übertragen werden.

DHCP-Lease mithilfe von Netsh löschen

Mit dem neuen Befehl netsh dhcp server scope Adressbereich delete lease können Sie eine

DHCP-Lease über die Befehlszeile löschen. Durch Einsatz von Befehlzeilenprogrammen und

Skripten für DHCP-Serveroperationen wird die Verwaltung im Vergleich zu einer Löschung der

Lease im DHCP-Snap-In erleichtert.

DNS

Die nachfolgend beschriebenen Verbesserungen bietet Windows Server 2003 im Bereich DNS:

Active Directory Integrated DNS-Zonen werden nun in Anwendungspartitionen gespeichert

Diese Funktion ermöglicht die Speicherung und Replikation von Domain Name System (DNS)-

Zonen in so genannten Anwendungspartitionen des Active Directory-Dienstes. Der Einsatz von

Anwendungspartitionen beim Speichern von DNS-Daten reduziert die Anzahl von Objekten, die im

globalen Katalog gespeichert sind. Zusätzlich werden DNS-Zonendaten, die in

Anwendungspartitionen gespeichert sind, nur für die der Anwendungspartition zugeordneten

Domänencontroller in der Domäne repliziert. Standardmäßig enhalten die DNS-spezifischen

Anwendungspartitionen nur solche Domänencontroller, die auch den DNS-Serverdienst ausführen.

Durch Speichern von DNS-Zonendaten innerhalb einer Anwendungspartition wird auch die

Replikation der DNS-Zonen auf DNS-Server ermöglicht, die auf Domänencontrollern in anderen

Domänen innerhalb des Active Directory Forests (der Active Directory-Gesamtstruktur) ausgeführt

werden.

Ein IT-Administrator kann diese Funktion einsetzen, um DNS-Zonen in Anwendungspartition zu

speichern. Dieses Vorgehen wird im Falle von Active Directory-integrierten DNS-Zonen empfohlen,

die von Windows Server 2003-basierten DNS-Servern gehostet werden.

Page 32: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 26

Grundlegende Implementierung der Standard-DNS-Sicherheitserweiterungen

Ein DNS-Server mit Windows Server 2003 entspricht auch dem in RFC 2535 beschriebenen DNS-

Sicherheitserweiterungsprotokoll-Standard der Internet Engineering Task Force (IETF). Der DNS-

Server kann damit dem IETF-Standard entsprechende Werte vom Typ Key, SIG und NXT

speichern und bei Antworten auf Anfragen nach RFC 2535 zurückgeben. Nicht im DNS-Server

selbst implementiert sind die in RFC 2535 spezifizierten Verschlüsselungsoperationen (KEY/SIG

Record-Generierung, Nachrichtensignierung und Verifizieren von Signaturen). Der Server kann

jedoch standardkonforme KEY- und SIG-Parameter, die mithilfe von anderen Programmen erstellt

wurden, speichern und benutzen.

Mit Windows Server 2003 kann ein Systemadministrator einen DNS-Server als sekundären Server

für einen anderen primären DNS-Server einer signierten Zone einsetzen, der die DNS-

Sicherheitserweiterungen (nach RFC 2535) vollständig unterstützt.

Entdecken fehlerhafter DNS-Konfigurationen beim Beitreten einer Domäne

Diese Funktion vereinfacht die Fehlerbehebung und Anzeige einer fehlerhaften DNS-Konfiguration

und hilft bei der richtigen Konfiguration der DNS-Infrastruktur, so dass ein Computer einer Domäne

beitreten kann. Wenn ein Computer versucht, einer Active Directory-Domäne beizutreten, aber

wegen einer fehlerhaften DNS-Konfiguration den Domänen-Controller nicht finden oder erreichen

kann, wird eine Fehlerauswertung der DNS-Infrastruktur durchgeführt. Ein Bericht erläutert den

Grund des Fehlers und gibt Hinweise, wie er zu beheben ist.

Wenn die DNS-Infrastruktur richtig konfiguriert ist und der Computer der Domäne beitreten kann,

spielt diese neue Funktionalität keine Rolle. Falls aber ein Fehler in der DNS-Infrastruktur vorliegt,

der Computer den Domänen-Controller nicht finden und der Domäne nicht beitreten kann, wird der

Administrator bei seinem Versuch, den Rechner einer Domäne hinzuzufügen, auf das Problem

hingewiesen.

Verwalten von DNS-Clients über Gruppenrichtlinien

Diese Funktion von Windows Server 2003 erlaubt es Administratoren, DNS-Clienteinstellungen

über Gruppenrichtlinien zu setzen. Dies vereinfacht die Schritte zur Konfiguration von

Domänenmitgliedern, wenn eine Anpassung der DNS-Clienteinstellungen notwendig ist, wie z. B.

das Aktivieren oder Deaktivieren der dynamischen Registrierung von DNS-Records durch Clients,

die Übertragung des primären DNS-Suffixes während der Namensauflösung oder die

Veröffentlichung der DNS-Suffix-Suchliste. Die Unterstützung von Gruppenrichtlinien bei der

Verteilung der Suchliste für DNS-Suffixe ist nicht nur eine Erleichterung der Verwaltung, sondern ist

unbedingt erforderlich bei einer Migration in eine NetBIOS-freie Netzwerkumgebung.

Ein IT-Administrator kann DNS-Clients mithilfe von Gruppenrichtlinien konfigurieren.

Stub-Zonen und bedingte Weiterleitung

Mit Stub-Zonen und bedingter Weiterleitung lässt sich das Routing von DNS-Verkehr auf einem

Netzwerk kontrollieren. Eine Stubzone erlaubt einem DNS-Server, Namen und Adressen von

zuständigen Servern zu erkennen, die eine vollständige Kopie der Zonendaten zur DNS-Auflösung

zur Verfügung stellen, ohne dass dieser DNS-Server selbst eine vollständige Kopie der Zonendaten

haben oder Anfragen an die Root-DNS-Server senden muss. Ein DNS-Server, der Windows 2000

ausführt, kann nur so konfiguriert werden, dass er DNS-Anfragen zu einer Gruppe von DNS-

Servern weiterleitet. Die bedingte Weiterleitung in Windows Server 2003 bietet eine bessere

Granularität, die eine namensabhängige Weiterleitung unterstützt. Ein DNS-Server kann

beispielsweise so konfiguriert werden:

Page 33: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 27

� Anfragen von Namen, die mit usa.microsoft.com enden, werden an eine bestimmte Gruppe von

DNS-Servern weitergeleitet.

� Anfragen von Namen, die mit europe.microsoft.com enden, werden an eine andere Gruppe von

DNS-Servern weitergeleitet.

� Alle übrigen Anfragen werden von einer dritten Gruppe von DNS-Servern bearbeitet.

Unterstützung für das EDNS0-Protokoll

Die Windows Server 2003-Familie unterstützt dieses IETF-Standardprotokoll gemäß der

Spezifikation RFC 2671. Damit können DNS-Server UDP (User Datagram Protocol) DNS-

Nachrichten mit einer Nutzlastgröße von mehr als 512 Oktets empfangen und senden. Hierzu

zählen z. B. Antworten von Service Resources Record (SRV)-Anfragen an lokale Active Directory-

Domänencontroller, die größer als 512 Oktets sind. In älteren Windows-Versionen erforderten diese

Antworten den Umweg über eine zusätzliche TCP-Verbindung, die kurz eingerichtet und sofort

wieder beendet wurde. Mit Windows Server 2003 können viele dieser Antworten durch den Einsatz

des EDNS0-Protokolls mit einem einzigen UDS-Datenaustausch zurückgegeben werden, ohne

dass eine neue TCP-Sitzung eingerichtet und beendet werden muss.

Zusätzliche Erweiterungen

Der DNS-Serverdienst in der Windows Server 2003-Familie unterstützt nun folgende

Erweiterungen:

Round-Robin-Unterstützung für alle Resource Record-Typen (RR).

Der DNS-Dienst führt nun standardmäßig das Round-Robin-Rotationsprinzip für alle RR-Typen

durch.

Erweiterte Debug-Protokolle

Erweiterte Einstellungen im Debug-Protokoll des DNS-Serverdiensts erleichtern die

Fehlerbehebung bei DNS-Problemen.

Einschränkung der automatischen Resource-Record-Registrierung von Name Servern (NS) jeweils

pro Server- und Adressbereich.

WINS

Windows Server 2003 bietet folgende Verbesserungen beim Windows Internet Name Service

(WINS):

Filtern von Einträgen

Verbesserte Filter- und Suchfunktionen ermöglichen das Suchen von Einträgen nach bestimmten

Merkmalen. Diese Funktionen sind bei der Analyse sehr großer WINS-Datenbanken nützlich. Sie

können mehrere Kriterien zur erweiterten Suche nach WINS-Datenbankeneinträgen einsetzen. Sie

können ferner Filter miteinander kombinieren, um Suchergebnisse weiter einzuschränken.

Verfügbare Auswahl-Filter sind: Besitzer von Records, Record-Arten, NetBIOS-Name, IP-Adressen

mit oder ohne Subnetz-Maske.

Da die Suchergebnisse nun im Cache Ihres lokalen Computers gespeichert werden können, erhöht

sich die Geschwindigkeit bei nachfolgenden Anfragen und die Netzwerkbelastung wird reduziert.

Einschränkung und Vorgabe von Replikationspartnern

Sie können eine Replikationsstrategie für Ihr Unternehmen bestimmen, indem Sie eine Liste

festlegen, die die Herkunft von eintreffenden Namensdatensätzen während einer Pull-Replikation

zwischen WINS-Servern bestimmt. Namensdatensätze bestimmter Replikationspartner können

Page 34: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 28

wahlweise ignoriert werden. Sie können auch bestimmte WINS-Server auswählen, deren

Namensdatensätze angenommen werden sollen, und festlegen, dass Namensdatensätze von

Servern, die sich nicht auf der Liste befinden, ausgeschlossen werden.

IAS

Die nachfolgend beschriebenen Verbesserungen wurden bei IAS in der Windows Server 2003-

Familie vorgenommen. IAS steht in der Web-Edition nicht zur Verfügung.

Unterstützung der IEEE 802.1X-Authentifizierung für sichere drahtlose und Large Area-

Netzwerke

IAS wurde erweitert, um die IEEE 802.1x-Authentifizierung und Anmeldung für Benutzer und

Computer beim Zugang über drahtlose Access-Points nach IEEE 802.11b und Ethernet Switches

zu unterstützen. Die NAS-Port-Type-Bedingung der Remote Access-Richtlinie umfasst dazu nun

auch drahtlose und Ethernetverbindungstypen.

Zur Sicherheit Ihrer drahtlosen oder Ethernetverbindungen sollten Sie entweder Zertifikate (EAP-

TLS) oder eine passwortgeschützte Authentifizierung mit Protected EAP (PEAP) und MS-CHAP2

einsetzen. EAP-TLS nutzt Zertifikate, um Anmeldeinformationen zu bestätigen und

Verschlüsselungskeys bereitzustellen. EAP-TLS benötigt eine Zertifikatinfrastruktur, um Zertifikate

sowohl für die IAS Server als auch die drahtlosen oder Ethernetclients auszustellen. PEAP und MS-

CHAP v2 bieten eine sichere kennwortbasierte Authentifizierung, da der Austausch bei MS-CHAP

v2-Authentifizierung über einen sichern TLS-Kanal verschlüsselt wird, und damit einen Schutz vor

Wörterbuchangriffen auf das Benutzerkennwort bietet. Durch den Austausch zur Authentifizierung

mit dem PEAP-Verfahren werden ebenfalls Schlüssel für die weitere Verbindung generiert. Die für

PEAP in Verbindung mit MS-CHAP v2 benötigten Zertifikate müssen nur auf dem IAS-Server

installiert sein.

PEAP erlaubt die Wiederaufnahme einer TLS-Sitzung, die entsprechend einer vorherigen PEAP-

Authentifizierung aufgebaut wurde. Diese Funktion von PEAP, die auch als �Schnelle

Wiederverbindung� bekannt ist, beschleunigt nachfolgende Authentifizierungen, die auf der gleichen

TLS-Sitzung basieren, da die meisten Nachrichten, die für eine vollständige PEAP-Authentifizierung

notwendig sind, gar nicht erst gesendet werden müssen. Die Schnelle Wiederverbindung mit PEAP

minimiert die Verbindungs- und Authentifizierungszeiten und benötigt keine erneute Eingabe der

Anmeldeinformationen (Benutzername und Passwort). So verfügen drahtlose Clients, die infolge

wechselnder Standorte von einem Authentifizierungsprotokoll auf ein anders wechseln, über eine

nahtlose Netzwerkverbindung und werden nicht erneut nach den Anmeldeinformationen gefragt.

Um PEAP in Verbindung mit MS-CHAP 2 auf einem IAS-Server zu aktivieren, wählen Sie im IAS-

Snap-In die Registerkarte Authentifizierung der Profileigenschaften einer Remotezugriffsrichlinie.

Dort finden Sie die Schaltfläche EAP-Methoden. Im Dialogfeld mit den EAP-Anbietern wählen Sie

das Protected Extensible Authentication Protokoll (PEAP). Dort können Sie dessen Eigenschaften

verändern oder es an die erste Stelle der Liste der EAP-Methoden verschieben.

Eingeschränkte Sitzungszeiten für bestimmte Benutzer

IAS berechnet die mögliche Sitzungszeit für eine Verbindung auf Basis der für einen Benutzer oder

Computer erlaubten Anmeldezeiten sowie der Gültigkeitszeiten für ein Konto. Wenn ein Benutzer

sich von 9 Uhr bis 17 Uhr von Montag bis Freitag anmelden kann, wird für eine Verbindung mit

diesem Benutzer um 16 Uhr am Freitag von IAS eine maximale Sitzungszeit von 1 Stunde ermittelt.

Diese maximale Sitzungszeit wird als ein RADIUS-Attribut an den Zugriffsserver geschickt. Um 17

Uhr trennt der Zugriffsserver dann die Verbindung. Mithilfe dieser Funktion kann das Verhalten für

Page 35: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 29

den Netzwerkzugriff mit den Datums- und Zeiteinschränkungen für die Nutzung des Benutzerkontos

in Einklang gebracht werden.

IAS und Forest-übergreifende Authentifizierung

Wenn Active Directory-Gesamtstrukturen sich im gesamtstrukturübergreifenden Modus mit

zweiseitigen Vertrauensstellungen befinden, kann der IAS das Benutzerkonto in der anderen

Gesamtstruktur authentifizieren. Ein IT-Administrator kann diese Funktion nutzen, um

Authentifizierung und Berechtigungen für Konten mit zweiseitigen Vertrauensstellungen aus

anderen Forests zu ermöglichen.

IAS in der Funktion eines RADIUS-Proxys

Diese Funktion erlaubt es dem IAS, Authentifizierungsnachrichten und Kontenanfragen zwischen

Zugriffsservern und RADIUS-Servern weiterzuleiten. Diese Funktion ermöglicht:

� Flexible regelbasierte Weiterleitung.

� Lastenausgleich und Fehlertoleranz über mehrere RADIUS-Server und Lastenausgleich von

RADIUS-Anforderungen.

� Die Möglichkeit, einen zugreifenden Client dazu zu zwingen, einen vorgeschriebenen Tunnel zu

verwenden (mit oder ohne Benutzerauthentifizierung).

� Selektives Weiterleiten von Authentifizierungs- und Kontenanfragen an unterschiedliche

RADIUS-Server.

Diese Funktionen können für folgende Szenarien eingesetzt werden:

� Ein IT-Administrator kann auf der Grundlage von IAS einen RADIUS-Proxy in einer Domäne

einrichten, um Benutzer aus einer anderen Domäne zu authentifizieren und einen Zugang zu

ermöglichen, auch wenn für die andere Domäne gar keine oder nur eine einseitige

Vertrauensstellung existiert oder sich die Domäne in einem anderen Forest befindet.

� Ein ISP, der Outsourcinglösungen für Wählverbindungen, VPN oder drahtlose Dienste für ein

Unternehmen anbietet, kann die Benutzerauthentifizierung und Kontenanfragen auf einen

RADIUS-Server des Unternehmens weiterleiten.

� Für manche Netzwerkkonfigurationen kann es sinnvoll sein, wenn der Administrator einen IAS-

Proxy in der Nachbarschaft zum eigenen Netzwerk einrichtet. Anfragen können dann vom IAS-

Proxy eines ISP an einen IAS-Server innerhalb des Unternehmensnetzwerks weitergeleitet

werden.

� ISPs, die mit anderen ISPs oder Anbietern für Netzwerkinfrastrukturen zusammenarbeiten,

können einen IAS RADIUS-Proxy zum Aufbau einer gemeinsamen Roaminggruppe nutzen.

� IT-Administratoren können IAS für ein Unternehmensnetzwerk einsetzen, das mit Netzwerken

von Partnern verbunden ist, um die Authentifizierung von Benutzern anderer Unternehmen an

die entsprechende Datenbank mit den Benutzerkonten weiterzuleiten.

Protokollieren von RADIUS-Informationen in einer SQL-Datenbank

IAS kann so konfiguriert werden, dass er Protokollinformationen für Kontenanfragen,

Authentifizierungsanfragen und regelmäßige Statusberichte an einen Structrured Query Language

(SQL)-Server sendet. So können IT-Administratoren mit SQL-Abfragen historische und aktuelle

Informationen über Verbindungsversuche, die einen RADIUS-Server für Authentifizierung nutzen

wollten, erhalten. Diese Funktion kann über die Eigenschaften der SQL-Server-Protokollmethode

des Remote Access Logging-Ordners im IAS-Snap-In eingestellt werden.

Page 36: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 30

Anonymer EAP-TLS-Zugriff

Der nicht authentifizierte EAP-TLS-Zugriff (Extensible Authentication-Protokoll � Transport Level

Security) bietet die Möglichkeit, einem Gast Zugriff mit einem drahtlos oder über einen

Netzwerkswitch verbundenen Client zu gestatten, auf dem kein Zertifikat installiert ist. Wenn ein

Client beim Netzwerkzugriff keine Anmeldeinformationen liefert, ermittelt der

Internetauthentifizierungsdienst, ob in der entsprechenden RAS-Richtlinie der nicht authentifizierte

Zugriff zulässig ist. EAP-TLS unterstützt die einseitige Autorisierung oder den nicht authentifizierten

Zugriff, wenn der Client keine Anmeldeinformationen sendet.

Hierdurch werden folgende Szenarien möglich:

� Ein IT-Administrator kann zulassen, dass drahtlos oder über einen Switch verbundene Clients

ohne Zertifikate eine Verbindung mit einem eingeschränkten VLAN herstellen, um eine

Bootstrap-Konfiguration auszuführen.

� Ein IT-Administrator kann mit diesem Feature auch erlauben, dass Besucher oder

Geschäftspartner über das Unternehmensnetzwerk auf das Internet zugreifen. Dies erfolgt

durch Freigabe eines eingeschränkten VLANs, das nur Datenverkehr zum und vom Internet

erlaubt.

� Ein ISP, der einen drahtlosen Zugang anbietet, kann mit dieser Funktion potenziellen Kunden

zunächst Zugang auf ein eingeschränktes VLAN mit lokalen Informationen ermöglichen.

Nachdem der Benutzer dort einen Zugangsantrag ausgefüllt hat, kann der Client sich mit dem

Internet verbinden.

Die RADIUS-Clientkonfiguration unterstützt die Angabe von IP-Adressbereichen

Zur leichteren Verwaltung von Remote Authentication Dial-In User Server (RADIUS)-Clients, erlaubt

IAS nun, einen Adressbereich für RADIUS-Clients zu definieren, wenn es mehrere drahtlose

Zugriffsstellen im selben Subnetz oder innerhalb des gleichen Adressraums gibt.

Der Adressbereich für RADIUS-Clients wird mithilfe des Netzwerkpräfix-

Längenadressierungschemas angegeben (w.x.y.z/p). Dabei ist w.x.y.z die mit Punkten versehene

Dezimal-Notation des Adresspräfixes und p die Länge des Präfixes (die Anzahl der höherwertigen

Bits, die das Netzwerkpräfix definieren). Diese Notationsform wird auch als Classless Inter-Domain

Routing (CIDR)-Notation bezeichnet. Die Notation kann z. B. folgendermaßen aussehen:

192.168.21.0/24. Die Subnetzmaskennotation kann in CIDR übersetzt werden, dabei bezeichnet p

die Anzahl der höherwertigen Bits, die innerhalb der Subnetzmaske auf 1 gesetzt sind.

Verbesserungen bei der Methode für das Aushandeln einer EAP-Authentifizierung

Mit diesem Feature können Sie eine RAS-Richtlinie konfigurieren, sodass mehrere EAP-Typen für

die Authentifizierung akzeptiert werden. IAS kann so beim Verbindungsaufbau eine von mehreren

möglichen EAP-Authentifizierungsmethoden mit dem Client aushandeln. Ein IT-Administrator kann

diese Funktion nutzen, wenn Clients mit unterschiedlichen Authentifzierungsmöglichkeiten auf das

Netzwerk zugreifen, und kann den Server so konfigurieren, dass er bestimmte EAP-

Authentifizierungsmöglichkeiten anbietet.

Kontrolle der Objektbezeichner für Benutzerzertifikate und SmartCards

Um bestimmte Arten von Benutzerzertifikaten für spezielle Verbindungstypen zu erzwingen,

unterstützt IAS jetzt die Angabe von individuellen Objektbezeichnern (OIDs) für

Zertifikatsverteilungsrichtlinien, welche im Zertifikat des Zugriffsclients als Teil der

Profileinstellungen der Remote Access-Richtlinien enthalten sein muss. Wenn ein IT-Administrator

beispielsweise sicherstellen möchte, dass RAS-VPN-Verbindungen ein Smartcardzertifikat anstelle

eines lokal installierten Benutzerzertifikats verwenden, konfiguriert er die entsprechende RAS-

Page 37: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 31

Richtlinie so, dass der Objektbezeichner für die erweiterte Schlüsselsyntax des Smartcardzertifikats

für die Anmeldung (1.3.6.1.4.1.311.20.2.2) im Zertifikat des RAS-VPN-Client enthalten ist.

Sie können eine Liste von Objektbezeichnern konfigurieren, die im Benutzerzertifikat eines

Zugriffsclients vorhanden sein muss. Fügen Sie hierzu das Attribut Allowed-Certificate-OID

innerhalb der Registerkarte Erweitert bei den Eigenschaften einer Remote Access-Richtlinie in die

Liste der Attribute hinzu. Standardmäßig sind hier keine Einträge vorhanden.

Radius-Proxy und Lastenausgleich

Die Proxyunterstützung des Internetauthentifizierungsdienstes ermöglicht den Lastenausgleich des

RADIUS-Authentifizierungsverkehrs zwischen mehreren Internetauthentifizierungsservern (IAS-

Servern). Damit können Kapazitäten ausgebaut und ein Failover zwischen Standorten realisiert

werden. Der IAS-RADIUS-Proxy verteilt dynamisch Lasten von Verbindungs- und Kontenanfragen

über mehrere RADIUS-Server und erhöht so die Anzahl der möglichen RADIUS-Clients und

Kapazität für die pro Sekunde verarbeitbaren Authentifizierungen. Zusätzlich kann der RADIUS-

Proxy so konfiguriert werden, dass er bestimmte RADIUS-Server bevorzugt nutzt. Die

nachrangigen RADIUS-Server werden nicht benutzt, wenn ein RADIUS-Server mit höherer Priorität

verfügbar ist.

Hierdurch werden folgende Szenarien ermöglicht:

� Ein IT-Administrator kann durch den Einsatz mehrerer RADIUS-Server für drahtlose, DFÜ- oder

VPN-Verbindungen die Anzahl von bearbeitbaren Authentifizierungsanfragen deutlich erhöhen.

� Ein IT-Administrator kann mit dieser Funktion Verbindungsanfragen bei Fehlfunktionen an

andere verfügbare RADIUS-Server weiterleiten und RADIUS-Server in einem Remotestandort

als Backup-RADIUS-Server konfigurieren.

Ignorieren der Einwahleigenschaften des Kontos

Sie können ein RADIUS-Attribut in den Profileigenschaften einer Remote Access-Richtlinie setzen,

um die Einwahleigenschaften von Benutzerkonten zu ignorieren. Die Einwahleigenschaften eines

Kontos umfassen die folgenden Werte:

� Remote Access-Berechtigung

� Anruferkennung

� Rückrufoptionen

� Statische IP-Adressen

� Statische Routen.

Zur Unterstützung der unterschiedlichen Verbindungstypen, die IAS zur Authentifizierung und

Autorisierung zur Verfügung stellt, kann es notwendig sein, die Einwahleigenschaften des

jeweiligen Kontos vorübergehend zu deaktivieren. Diese Vorgehensweise ist möglich, wenn die

Auswertung spezieller Einwahleigenschaften nicht notwendig ist.

So sind z. B. die Anruferkennung, Rückrufoption, Statische IP-Adresse und Statische Routen

Eigenschaften, die für einen Client genutzt werden, der sich auf einen Netzwerkzugriffserver (NAS)

einwählt. Diese Einstellungen sind jedoch beim Zugriff auf einen drahtlosen Zugriffspunkt (AP)

sinnlos. Ein drahtloser Zugriffspunkt, der diese Eigenschaften in einer RADIUS-Meldung vom IAS-

Server empfängt, ist möglicherweise nicht in der Lage, diese zu verarbeiten. Dies könnte dazu

führen, dass der Client vom Netzwerk getrennt wird. Wenn IAS Authentifizierung und Autorisierung

für Benutzer sowohl bei drahtloser als auch bei DFÜ-Verbindung zu einem Netzwerk bereitstellen

soll, müssen die Einwahleigenschaften entsprechend so konfiguriert werden, dass sie entweder

Page 38: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 32

Einwahlverbindungen (durch das Setzen der Einwahleigenschaften) oder drahtlose Verbindungen

(bei denen die Eigenschaften nicht gesetzt sein dürfen) unterstützen.

Sie können mit IAS z. B. bei Einwahlverbindungen die Einwahleigenschaften für Benutzerkonten

verarbeiten oder aber z. B. beim Zugriff über eine drahtlose Verbindung die Verarbeitung der

Einwahleigenschaften unterdrücken. Hierfür wählen Sie das Attribut Ignore-User-Dialin-Properites

in der Registerkarte Erweitert der Profileigenschaften für eine Remote Access-Richtlinie aus. Es

gibt zwei mögliche Einstellungen für das Attribut Ignore-User-Dialin-Properties:

� Wenn Sie das Verarbeiten der Einwahleigenschaften des Kontos ermöglichen möchten, dann

löschen Sie das Attribut Ignore-User-Dialin-Properties oder setzen den Wert auf False. Für eine

Richtlinie, die für Einwahlverbindungen gedacht ist, muss keine weitergehende Konfiguration

vorgenommen werden.

� Um die Verarbeitung von Einwahleigenschaften des Kontos zu unterbinden, setzen Sie das

Attribut Ignore-User-Dialin-Properties auf True. Diese Einstellung wird z. B. für eine Remote

Access-Richtlinie vorgenommen, die für drahtlose Verbindungen oder Verbindungen von

Switches, die eine Authentifizierung durchführen, gedacht ist. Wenn die Einwahleigenschaften

des Benutzerkontos ignoriert werden, werden die Remote Access-Berechtigungen durch die

entsprechenden Berechtigungen der Remote Access-Richtlinie bestimmt.

Dieses Attribut ermöglicht Ihnen die Verwaltung der Netzwerkzugriffskontrolle über Gruppen und

die Verwaltung der Remote Access-Berechtigungen über die Remote Access-Richtlinie. Wenn Sie

das Attribut Ignore-User-Dialin-Properties auf True setzen, wird die Remote Access-Berechtigung

für das Benutzerkonto ignoriert. Der Nachteil bei der Verwendung des Attributs Ignore-User-Dialin-

Properties besteht darin, dass Sie auf diesem Weg die weiteren Einwahleigenschaften wie

Anruferkennung, Rückruf, statische IP-Adresse und statische Routen für Verbindungen nutzen

können, auf die diese Richtlinie angewendet wird.

Unterstützung der Computerauthentifizierung

Active Directory und IAS unterstützen die Authentifizierung von Computerkonten durch Verwendung

der gleichen Authentifizierungsmethoden wie für Benutzer. So kann ein Computer mit seinen

Anmeldeinformationen gegenüber drahtlosen Zugriffsclients oder Switches, die eine

Authentifizierung durchführen, authentifiziert werden.

Unterstützung für authentifizierungstypabhängige Remote Access-Richtlinien

Sie können eine Remote Access-Richtlinie anlegen, die die Art des Authentifizierungtyps auswertet.

Dies erlaubt es Ihnen, Einschränkungen für eine Verbindung abhängig von der durch den Client

verwendeten Authentifizierungsmethode festzulegen.

Erweitertes SDK für IAS

Das Windows Plattform Software Development Kit (SDK) beinhaltet zwei SDKs für

Netzwerkanwendungen: das IAS SDK und das EAP SDK. Mit dem IAS SDK können weitere

Attribute, zusätzlich zu den von IAS bereitgestellten, an den Zugriffsserver übermittelt, die Anzahl

der Benutzernetzwerksitzungen verwaltet und Nutzungs- und Überwachungsdaten direkt in eine

OpenDatabase Connectivity (ODBC)-fähige Datenbank geschrieben werden, um eigene Module

(nicht EAP-basiert) zur Authentifizierungs- und Rechtevergabe zu implementieren. Mit dem EAP-

SDK können EAP-Typen angelegt werden.

Ein Entwickler kann die Erweiterungen des IAS SDKs nutzen, um RADIUS-Attribute zu verändern

oder zu löschen und um anhand eigener Authentifizierungskriterien den Zugriff zu ermöglichen

(Access Accept). Ein ISV oder VAR kann diese Funktionen dazu nutzen, erweiterte Lösungen auf

Page 39: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 33

der Basis von IAS zu entwickeln. Ein IT-Administrator kann diese Funktionen einsetzen, um

angepasste Lösungen für IAS zu entwickeln.

Skriptfähige API für die Konfiguration von IAS

Diese Funktion stellt eine skriptfähige API innerhalb des IAS SDKs zur Verfügung und erlaubt die

skriptbasierte Konfiguration von IAS. Ein ISV kann dadurch zusätzliche Dienste auf der Basis des

IAS� anbieten, und ein IT-Administrator kann mithilfe dieser Funktion seinen IAS in die eigene

Diensteverwaltungsinfrastruktur einbinden.

Erweiterte EAP-Konfiguration für Remote Access-Richtlinien

Unter Windows 2000 konnten Sie nur einen einzigen EAP-Typ für eine Remote Access-Richtlinie

wählen. Dies bedeutete, dass alle Verbindungen, die durch die Bedingungen der Richtlinie

beschrieben wurden, auf diesen einen EAP-Typ, der durch die Einstellungen im Richtlinienprofil

vorgegeben war, festgelegt waren. Gleichzeitig war die Konfiguration eines EAP-Typs global für alle

Remote Access-Richtlinien gültig. Diese Einschränkung konnte zu Problemen führen, wenn Sie für

jede Richtlinie individuell die Eigenschaften für den EAP-Typ setzen wollten oder wenn Sie die

Auswahl unter mehreren EAP-Typen für eine Art von Netzwerkverbindung oder pro Gruppe

ermöglichen wollten. Diese Einschränkungen für IAS existieren in der Windows Server 2003-

Familie nicht mehr. Sie können nun z. B. jeweils unterschiedliche Computerzertifikate für EAP-TLS-

Authentifizierung bei drahtlosen Verbindungen und bei VPN-Verbindungen nutzen. Oder Sie

können mehrere EAP-Typen für drahtlose Verbindungen einsetzen, da einige Ihrer drahtlosen

Clients EAP-TLS-Authentifizierung und andere PEAP in Verbindung mit MS-CHAP v2 unterstützen.

Trennung von Authentifizierung und Autorisierung für den IAS-Proxy

Die Proxykomponente von IAS in der Windows Server 2003-Familie kann die Authentifizierung von

der Autorisierung der Verbindungsanfrage eines Zugriffsservers trennen. Der IAS-Proxy kann die

Anmeldeinformationen an einen externen RADIUS-Server zur Authentifizierung senden und seine

eigene Autorisierung des Benutzerkontos gegen eine Active Directory-Domäne und eine lokal

definierte Remote Acces-Richtlinie durchführen. Durch diese Funktion können unterschiedliche

Datenbanken für die Authentifizierung genutzt werden, während Autorisierung und

Einschränkungen durch lokale Einstellungen bestimmt werden.

Hierdurch werden folgende Szenarien möglich:

� Der Besucher eines Unternehmensnetzwerkes kann Zugriff auf ein für Gäste eingerichtetes

Netzwerk erhalten, indem er mit seinen Anmeldeinformationen authentifiziert wird und die

Verbindung unter Verwendung eines Benutzerkontos aus einer für Besucher eingerichteten

Domäne mithilfe einer auf dem IAS-Server konfigurierten Remote Access-Richtlinie

durchgeführt wird. Dabei können über den IAS-Proxy die Anmeldeinformationen zur

Bestätigung der Identität des Besuchers aus dem Benutzerkonto seines eigenen Unternehmens

verwendet werden.

� Ein öffentliches, drahtloses Netzwerk kann eine externe Benutzerdatenbank für die

Authentifizierung des Zugriffs drahtloser Benutzer verwenden und sie mit den Berechtigungen

aus lokalen Benutzerkonten im Active Directory der Domäne autorisieren.

Diese neue Möglichkeit kann über die Remote-RADIUS-to-Windows-User-Zuordnung in den

erweiterten Einstellungen einer Verbindungsrichtlinie konfiguriert werden.

IPSec

Folgende Verbesserungen wurden für IPSec in der Windows Server 2003-Familie eingeführt:

Page 40: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 34

Neues IP-Security Überwachungs-Snap-In

Ein neues IP-Security-Überwachungs-Snap-In ermöglicht die detaillierte Konfiguration von IPSec-

Richtlinien und liefert Informationen über den aktiven Sicherheitsstatus. Es ersetzt die

Ipsecmon.exe-Anwendung von Windows 2000. IPSec-Richtlinien bestehen aus mehreren Main-

Mode-Richtlinien, mehreren Quick-Mode-Richtlinien und mehreren mit den Main-Mode-Richtlinien

verbundenen Main-Mode-Filtern und mehreren Quick-Mode-Filtern (sowohl Transport- als auch

Tunnel-Modus), die mit den Quick-Mode-Richtlinien verbunden sind. Der aktive Sicherheitsstatus

besteht aus den aktiven Main-Mode- und Quick-Mode-Sicherheitszuordnungen und statistischen

Informationen über den durch IPSec abgesicherten Datenverkehr. Ein IT-Administrator kann dieses

neue Snap-In zur verbesserten Überwachung von IPSec und zur Fehlerbehebung nutzen.

Befehlszeilenverwaltung mithilfe von Netsh

Befehle im netsh ipsec-Kontext ermöglichen die Konfiguration von statischen oder dynamischen

Main-Mode-Einstellungen, Quick-Mode-Einstellungen, Regeln und Konfigurationsparametern. Um

in den netsh ipcsec-Kontext zu gelangen, geben Sie auf der Befehlszeile den Befehl netsh -c ipsec

ein. Der netsh ipsec-Kontext ersetzt das Ipsecpo.exe-Tool des Windows 2000 Ressource Kits. Ein

IT-Administrator kann mit dieser Funktion Skripte einsetzen, um die IPSec-Konfiguration zu

automatisieren.

IP Security und die Integration von Netzwerklastenausgleich

Mit dieser Funktion kann eine Gruppe von Servern durch Netzwerklastenausgleich (Network Load

Balancing, NLB) hochverfügbare IPSec-basierte VPN-Dienste bereitstellen. Diese Funktion wird

auch von L2TP/IPSec-Clients unterstützt und bietet die Möglichkeit für schnelleres Failover von

IPSec-verschlüsselten Verbindungen.

Ein IT-Administrator kann durch diese Integration von NLB und IPSec eine sichere und zuverlässige

Netzwerkumgebung für VPN-Dienste bereitstellen. Da das IKE-Protokoll automatisch den NLB-

Dienst erkennt, ist keine zusätzliche Konfiguration für den Einsatz dieser Dienste notwendig.

Diese Funktionalität ist nur in der Enterprise- und der Datacenter-Edition von Windows Server 2003

enthalten.

IPSec-Unterstützung für den Richtlinienergebnissatz (RSoP)

IPSec bietet nun zur leichteren Bereitstellung von IPSec und zur besseren Problembehandlung eine

Erweiterung für das Snap-In des Richtlinienergebnissatzes (RSoP). Mit RSoP haben Sie einen

besseren Überblick über die Konsequenzen von Gruppenrichtlinien und bestehende IPSec-

Richtlinienzuordnungen. Hierzu verwenden Sie RSoP im Protokolliermodus. Mit RSoP lassen sich

auch die möglichen Konsequenzen geplanter IPSec-Richtlinien-Zuordnungen für Computer und

Benutzer anzeigen. Verwenden Sie hierfür RSoP im Planungsmodus.

Der Protokolliermodus hilft bei der Fehlersuche von verschachtelten IPSec-Richtlinien (konkret wird

die Frage beantwortet: Welche Richtlinie hat Vorrang?). Die Ergebnisse des Protokolliermodus�

zeigen alle bestehenden IPSec-Richtlinien des IPSec-Clients und die Priorität jeder Richtlinie an.

Der Planungsmodus erlaubt es, unterschiedliche IPSec-Richtlinieneinstellungen zu simulieren, die

Auswirkungen möglicher Änderungen der Richtlinieneinstellungen zu testen und die optimalen

Einstellungen festzuhalten, bevor sie implementiert werden. Wenn Sie RSoP im Protokolliermodus

oder im Planungsmodus ausgeführt haben, sehen Sie die einzelnen Einstellungen der IPSec-

Richtlinien im Detail (Filterregeln, Filteraktionen, Authentifizierungsmethoden, Tunnelendpunkte und

die beim Anlegen der IPSec-Richtlinie spezifizierten Verbindungstpyen).

Page 41: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 35

IPSec/NAT-Traversierung

Mit dieser Funktion kann durch IKE- und ESP-geschützter Datenverkehr eine

Netzwerkadressübersetzung (NAT) durchqueren. IKE erkennt automatisch, dass NAT aktiviert ist

und benutzt die User Datagram Protocol-Encapsulating Security Payload (UDP-ESP)-Kapselung,

um ESP-geschützten IPSec-Datenverkehr durch NAT zu schleusen. Die von der Windows Server

2003-Familie unterstützte IPSec-NAT-Durchquerung wird in den Internetentwürfen der IETF mit den

Titeln "UDP Encapsulation of IPSec Packets" (draft-ietf-ipsec-udp-encaps-02.txt) und "Negotiation

of NAT-Traversal in the IKE" (draft-ietf-ipsec-nat-t-ike-02.txt) genauer beschrieben.

Durch diese NAT-Unterstützung können Angestellte eines Unternehmens auch dann L2TP/IPSec

nutzen, wenn sie mit einem privaten Netzwerk, wie z. B. dem Heimnetzwerk oder dem Netzwerk in

einem Hotel, verbunden sind. Diese Funktionalität ermöglicht generell die Abwicklung von IPSec-

ESP-Datenverkehr über NAT. Ein Administrator kann mit dieser Funktion einen Gateway-zu-

Gateway IPSec-Tunnel zwischen zwei Computern mit Windows Server 2003, die den Routing- und

RAS-Dienst ausführen, konfigurieren, auch wenn sich einer oder beide Computer jeweils hinter

einem NAT befinden. Es sind auch Server-to-Server-IPSec-Verbindungen möglich; z. B. kann ein

Server in einem benachbarten Netzwerk über eine Netzwerkadressübersetzung mit einem internen

Netzwerkserver kommunizieren.

Verwendung von Hardwareunterstützung für NAT

IPSec unterstützt eine Beschleunigung von NAT durch spezielle Hardware für normalen ESP-

Verkehr. Das bedeutet:

Ein IT-Administrator kann so die Leistung von L2TP/IPSec- und normalen IPSec-Verbindungen

verbessern, wenn IPSec über NAT eingesetzt wird.

Ein Hardwarehersteller kann neue Netzwerkkarten entwickeln oder ältere Firmware erneuern, um

die Protokolle direkt auf der Netzwerkkarte zu verarbeiten und die CPU des Servers zu entlasten.

Die Schnittstelle für die IPSec-Hardwarebeschleunigung ist im Platform-DDK dokumentiert im

Abschnitt zu �TCP/IP-Task Offload�.

IPSec-Richtlinienfilter erlauben die Verwendung logischer Adressen zur lokalen IP-Konfiguration

Das Snap-In der IPSec-Richtlinien kann nun Quell- oder Zieladressenfelder für den lokalen IPSec-

Richtliniendienst als Adressen des DHCP-Servers, DNS-Servers, WINS-Servers und des

Standardgateways konfigurieren. Damit kann sich die IPSec-Richtlinie automatisch bei Änderungen

in der IP-Konfiguration des Servers anpassen, sowohl für DHCP als auch für statische IP-

Konfigurationen. Computer, die Windows 2000 oder Windows XP ausführen, ignorieren diese

Erweiterung der IPSec-Richtlinie.

Zugriffskontrolle durch Zertifikatszuweisung zu Active Directory-Computerkonten

Das Snap-In der IP Sec-Richtlinien lässt sich nun so konfigurieren, dass es Computerzertifikate zu

Computerkonten in einem Active Directory Forest zuordnen kann. Hierzu wird die gleiche Art der

SChannel-Zertifikatzuordnung genutzt, die auch von IIS oder anderen PKI-fähigen Diensten

verwendet wird. Nachdem ein Zertifikat einem Domänencomputerkonto zugeordnet wurde, können

Zugriffsrechte gesetzt werden. Hierzu dienen die Einstellungen für die

Netzwerkanmeldungsberechtigungen Zugriff auf den Computer aus dem Netzwerk und den Zugriff

auf diesen Computer vom Netzwerk verbieten. Ein Netzwerkadministrator kann nun mithilfe von

IPSec den Zugriff auf einen Windows Server 2003-Computer nur für Computer aus einer

bestimmten Domäne zulassen, für Computer, die ein Zertifikat von einer bestimmten

Zertifizierungsstelle haben, für eine spezielle Gruppe von Computern oder von nur einem einzigen

Page 42: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 36

Computer. Computer, die Windows 2000 oder Windows XP ausführen, ignorieren diese

Erweiterung der IPSec-Richtlinien.

Stärkere Diffie-Hellman-Gruppen für den Internetschlüsselaustausch (IKE)

IPSec unterstützt jetzt die Verwendung eines Diffie-Hellman-Schlüsselaustauschs mit 2048 Bit nach

den Spezifikationen des Internetentwurfs "More MODP Diffie-Hellman groups for IKE" der IETF.

Durch die Verwendung einer stärkeren Diffie-Hellman-Gruppe bietet der durch den Diffie-Hellman-

Austausch entstehende geheime Schlüssel einen besseren krypographischen Schutz. Das Snap-In

der IPSec-Richtlinien erlaubt Ihnen die Konfiguration dieser neuen Diffie-Hellmann Gruppen sowohl

für lokale als auch für domänenbasierte IPSec-Richtlinien. Computer mit Windows XP oder

Windows 2000 ignorieren diese Einstellung.

Besserer Schutz vor Denial-Of-Service-Angriffen für IKE

Das IKE-Protokoll (Internet Key Exchange), mit dem IPSec-Sicherheitszuordnungen ausgehandelt

werden, wurde in der Windows Server 2003-Familie so geändert, dass Angriffe durch zahlreiche

ungültige Anfragen (Denial-of-Service) über das IKE-Protokoll besser abgewehrt werden. Die

bekannteste Art solcher Angriffe ist das Senden von ungültigen Paketen an den UDP-Port 500. IKE

versucht, diese Pakete zu validieren, bis die Zahl der ankommenden Pakete zu groß ist. Dann

beginnt IKE damit, Pakete zu verwerfen. Wenn die Rate der ankommenden Pakete wieder sinkt,

startet IKE erneut mit der Auswertung auf der Suche nach zulässigen IKE-Paketen. Am

schwierigsten ist eine Abwehr des Angriffs, wenn ein bösartiger Benutzer gültige IKE-

Eröffnungsnachrichten an den IKE-Responder sendet, die entweder eine ungültige Ursprungs-IP-

Adresse haben oder aber in sehr kurzen Abständen von einer gültigen Ursprungs-IP-Adresse

stammen. Dieser Angriff ist mit einer TCP-Synchronisierungsattacke (mit SYN-Paketen) gegen

TCP/IP-basierte Server vergleichbar. Der neue Schutz sorgt dafür, dass der IKE-Responder auf die

gültigen Eröffnungspakete eine IKE-Meldung mit einem speziellen Wert im Responder-Cookie-

Feld zurückgibt. Wenn der IKE-Initiator bei der nächsten Antwort nicht diesen speziellen Wert im

Cookie-Feld angibt, wird der IKE-Austausch ignoriert. Windows Server 2003 als IKE-Initiator kann in

diesem Fall einen erneuten Verbindungsaufbau korrekt versuchen. Das IPSec-IKE-Modul speichert

keine Zustandsinformationen einer IKE-Protokollaushandlung, bis eine Antwort mit einem richtig

gesetzten Responder-Cookie-Feldwert empfangen wird. Dies erlaubt die Interoperabilität mit

Computern, die Windows 2000, Windows XP oder IPSec-Implementierungen von Drittherstellern

ausführen, und erhöht die Chance, dass ein legitimer Initiator selbst dann erfolgreich eine

Verbindung aushandeln kann, wenn der Responder einem begrenzten Angriff ausgesetzt ist. Es

besteht nach wie vor die Gefahr, dass ein IKE-Responder von einer Flut berechtigter IKE-Pakete

überschwemmt wird. Der IKE-Responder ist dann erst direkt nach Ende des Angriffs wieder

verfügbar.

Page 43: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 37

Zusätzliche neue Funktionen

Änderungen in der Winsock-API

Die Windows Sockets-API wurde in Windows Server 2003 wie folgt geändert:

Keine weitere Unterstützung von AF_NETBIOS (64-Bit-Version)

Die Funktion AF_NETBIOS wird von den 64-Bit-Versionen der Enterprise- und Datacenter-Edition

nicht unterstützt. Anwendungen sollten alternativ TCP oder UDP nutzen. Die Funktion bleibt für 32-

Bit-Anwendungen von Drittherstellern noch erhalten.

ConnectEx/TransmitPackets und TCP/IP

Microsoft hat die Windows Sockets 2-Spezifikation um folgende zwei Funktionen erweitert:

� Die Windows Sockets-Funktion ConnectEX() stellt die Verbindung zu einer anderen Socket-

Anwendung her und überträgt optional anschließend einen Datenblock.

� Die Windows Sockets-Funktion TransmitPackets() übermittelt über einen verbundenen Socket

(ein Datagramm oder einen Stream) Daten in den Speicher und/oder an Dateien. Für das

Einlesen von Dateien wird die Cacheverwaltung des Betriebssystems verwendet und Speicher

nur für die minimal erforderliche Dauer zur Datenübertragung reserviert. Auf diese Weise

ermöglicht Windows eine sehr schnelle und effiziente Datenübertragung über Sockets aus

Dateien oder aus dem Hauptspeicher.

Windows Sockets Direct Path für SAN-Netzwerke

Die Windows Server 2003-Familie bietet im Bereich Windows Sockets erhebliche

Leistungsverbesserungen für Windows Sockets Direct (WSDP) in System Area Networks (SANs).

WSD ermöglicht Windows Sockets-Anwendungen, die SOCK_STREAM verwenden, die

Leistungsvorteile von SANs zu nutzen, ohne Änderungen an der Anwendung vornehmen zu

müssen. Die grundlegende Komponente für diese Technologie ist ein WinSock-Switch, der eine

TCP/IP-ähnliche Kommunikation emuliert und native SAN-Diensteanbieter verwendet. Für die

Windows 2000 Server-Familie stand WSD-Unterstützung nur unter Windows 2000 Advanced

Server und Windows 2000 Datacenter Server zur Verfügung. Windows Server 2003 unterstützt

WSD in alle Editionen.

Weiterführende Informationen über die Windows Sockets-API finden Sie im Microsoft Plattform

SDK.

Keine Unterstützung für veraltete Netwerkprotokolle

Die folgenden veralteten Netzwerkprotokolle werden nicht mehr unterstützt:

� Data Link Control (DLC)

� NetBIOS Extended User Interface (NetBEUI).

Folgende Netzwerkprotokolle wurden aus den 64-Bit-Versionen des Betriebssystems entfernt:

� Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) und IPX-abhängige

Dienste

� Infrared Data Association (IrDA)

� Open Shortest Path First (OSPF).

Page 44: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 38

Obsolete RPC-Protokolle

Folgende RPC-Protokolle wurden durch TCP ersetzt:

� Remote Procedure Call (RPC) über NetBEUI

� RPC über NetBIOS über TCP/IP (NetBT)

� RPC über NetBIOS über IPX (NBIPX)

� RPC über SPX (nur 64-Bit)

� RPC über AppleTalk (nur 64-Bit)

Folgende Protokolle wurden durch UDP ersetzt:

� RPC über IPX

� RPC über Message Queuing (MSMQ).

Befehlszeilentools

Es gibt eine Reihe von neuen Befehlszeilentools und Utilities zur besseren Verwaltung und

Administration von Computern. Eine ausführliche Beschreibung der CMD.exe-Shell und aller neuen

Befehlszeilentools finden Sie in der im Lieferumfang des Betriebssystems enthaltenen Hilfedatei für

die Kommandozeile. Zu den neuen Befehlen gehören:

Bootcfg.exe. Einstellungen der boot.ini-Datei auf dem lokalen oder einem remoten Computer (nicht

bei 64-Bit-Versionen verfügbar) auslesen oder konfigurieren (z. B. debug on/off).

DriverQuery.exe. Anzeige der geladenen Gerätetreiber und deren Speicherbelegung.

Dsadd.exe. Erstellen einer Objektinstanz eines bestimmten Typs im Active Directory.

Dsmod.exe. Setzen und Verändern von Attributen eines bestehenden Objekts im Active Directory.

Dsrm.exe. Entfernen von Objekten oder kompletten Unterstrukturen eines Objektes aus dem Active

Directory.

Dsmove.exe. Objekte vom aktuellen Ort an eine neue übergeordnete Stelle innerhalb des gleichen

Namenskontextes im Active Directory verschieben oder Objekte innerhalb des Active Directorys

umbenennen.

Dsquery.exe. Objekte im Active Directory suchen, die bestimmten Suchkriterien entsprechen.

Dsget.exe. Ausgewählte Eigenschaften eines existierenden Objekts innerhalb des Active

Directorys anzeigen oder abfragen, hierzu muss die Position des Objekts angegeben werden.

Eventriggers.exe. Einen Prozess auf der Grundlage eines Ereignisses im Ereignisprotokoll

ausführen.

Eventquery.vbs. Ereignisse eines bestimmten Typs aus dem Ereignisprotokoll abfragen. Die

ausgewählten Ereignisse können auf dem Bildschirm angezeigt oder in eine Datei gespeichert

werden.

Eventcreate.exe. Ein benutzerdefiniertes Ereignis in ein beliebiges Ereignisprotokoll schreiben.

GPresult.exe. Ermitteln des Richlinienergebnissatzes (Resultant Set of Policies, RSoP) und

Auflisten der Richtlinien, die auf einen Computer angewendet werden.

IIS Skripte. Zahlreiche neue Skripte (IISWeb.vbs, IISVdir.vbs usw.) bieten Befehlszeilentools zur

Konfiguration, Einrichtung und Verwaltung von Servern mit IIS und Active Server Pages (ASP)-

Anwendungen.

Page 45: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 39

Netsh.exe. Umfassendes Tool zur Konfiguration von Netzwerken. Erweitert die grundlegenden

Netzwerkdiagnosefunktionen, die ursprünglich über das Tool NetDiag.exe zur Verfügung standen.

Openfiles.exe. Zeigt eine Liste der verbundenen Benutzer und der von ihnen auf den einzelnen

Freigaben eines Computers geöffneten Dateien.

Pagefileconfig.vbs. Aktuelle Größe der Auslagerungsdatei anzeigen oder die Größe dieser Datei

festlegen.

Drucker-Skripte. Zahlreiche neue Skripte (prncfg.vbs, prnjobs.vbs usw.) für die Verwaltung von

Druckerdiensten, Druckerwarteschlangen und Druckertreibern.

Reg.exe. Anzeigen und Editieren von Registry-Schlüsseln.

SC.exe. Starten und Anhalten von Win32-Diensten.

Schtasks.exe. Ermitteln, Setzen oder Editieren von zeitgesteuerten Aufträgen, die den

bestehenden Win32-Schedulerdienst nutzen.

Systeminfo.exe. Ermittelt grundlegende Konfigurationsinformationen (z. B. CPU und Speicher).

Taskkill.exe. Beenden oder Anhalten laufender Prozesse.

Tasklist.exe. Anzeigen aller laufenden Prozesse und PIDs.

Tsecimp.exe. Import von Telephony Application Programming Interface (TAPI)-

Benutzerkonteneigenschaften und -Zugriffsrechten.

Ein IT-Administrator kann mit diesen Befehlszeilentools besonders häufige Aufgaben oder die

unmittelbare, wiederholte Ausführung einer Tätigkeit der Serververwaltung über Visual Basic®-

Skripte oder Befehlszeilenstapelverarbeitungsdateien automatisieren. Dies vermeidet die von GUI-

Verwaltungstools in manchen Fällen erzwungene stückweise Bearbeitung von Routineaufgaben

und resultiert in geringeren IT-Verwaltungskosten.

Starke kryptographische Authentifizierung der Services für Macintosh

Für Computer mit �Diensten für Macintosh� (SFM, Services for Macintosh) die das Microsoft

Benutzerauthentifizierungsmodul (MSUAM) verwenden, kann nun eine starke Authentifizierung

durch Auswahl der (NTLMv2)-Option benutzt werden. Wenn diese Option genutzt wird, können sich

die Benutzer nur gegenüber einem Server authentifizieren, der NTLMv2 einsetzt. Dies schließt

Windows NT® 4.0-Server und ältere Server aus, die NTLMv2 nicht für die Authentifizierung nutzen

können. Der Benutzer kann die Option Erfordert starke Authentifizierung (NTLMv2) deaktivieren,

um die Authentifizierung gegenüber älteren Servern zu ermöglichen.

Page 46: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 40

Zusammenfassung

Dieser Artikel hat die Erweiterungen und neuen Funktionen der Windows Server 2003 zur

einfacheren Installation, Konfiguration und Bereitstellung von Netzwerkdiensten und �Komponenten

beschrieben. Die Windows Server 2003-Familie bietet geänderte Protokolle, verbesserte

Konnektivität für Internet- und Netzwerkzugriff sowie eine bessere Unterstützung von

Netzwerkgeräten.

Page 47: Technische Übersicht über Netzwerktechnik und Kommunikationdownload.microsoft.com/download/0/c/6/0c68401c-f74d-4b23-ad5c-… · NetMeeting, NetShow, OpenType, Outlook, PowerPoint,

Microsoft® Windows® Server 2003 � technischer Artikel

Technische Übersicht über Netzwerktechnik und Kommunikation 41

Weiterführende Links

Weiterführende Informationen finden Sie auf diesen Sites:

� Introducing the Windows Server 2003 Family:

http://www.microsoft.com/windows.netserver/evaluation/overview/default.asp

� What's New in Networking and Communications:

http://www.microsoft.com/windows.netserver/evaluation/overview/technologies/networking.asp

� Microsoft Windows � IPv6 Web Site: http://www.microsoft.com/ipv6

� Microsoft Windows � Wi-Fi Web Site: http://www.microsoft.com/wifi

� Microsoft Windows � VPN Web Site: http://www.microsoft.com/vpn

� Microsoft Windows � IAS Web Site:

http://www.microsoft.com/windows2000/technologies/communications/ias/

� Microsoft Windows � IPSec Web Site:

http://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp

Die neuesten Informationen zu Windows Server 2003 finden Sie auf der Windows Server 2003-

Website unter http://www.microsoft.com/windows.netserver.