DirectAccess und VPN-Verbindungen

Größe: px
Ab Seite anzeigen:

Download "DirectAccess und VPN-Verbindungen"

Transkript

1 513 K A P I T E L 1 0 DirectAccess und VPN-Verbindungen Virtuelle private Netzwerke (VPNs) ermöglichen den Remotezugriff auf den Arbeitsplatz, unabhängig davon, ob man gerade im Café um die Ecke sitzt oder am anderen Ende der Welt auf den nächsten Flug wartet. Wenn die Infrastruktur im Büro richtig aufgebaut ist, brauchen Sie nur Zugang zum Internet, um ein VPN verwenden zu können. In diesem Kapitel erfahren Sie etwas über die neuen VPN-Technologien von Windows 7 und über andere Technologien, die Ihnen vielleicht schon geläufig sind. Eine davon ermöglicht es dem Windows 7-Computer, eine Verbindung automatisch wiederherzustellen, falls sie unterbrochen wird oder Sie von einem Internetanbieter zum nächsten wechseln. DirectAccess ist eine andere VPN-Lösung, die eine ständige Verbindung zum Firmennetzwerk ermöglicht, sobald der Windows 7-Client eine Verbindung mit dem Internet erkennt. Wenn Sie dieses Kapitel durcharbeiten, erfahren Sie auch, wie Sie mit Clients umgehen, die gewartet werden müssen, bevor sie auf ein Netzwerk mit Netzwerkzugriffsschutz zugreifen können, und wie Sie Remotedesktopverbindungen mit internen Netzwerkservern konfigurieren, ohne VPN- Verbindungen einrichten zu müssen. In diesem Kapitel abgedeckte Prüfungsziele: Konfigurieren von DirectAccess Konfigurieren von Remoteverbindungen Lektionen in diesem Kapitel: Lektion 1: Verwalten von DirectAccess Lektion 2: Remoteverbindungen

2 514 Kapitel 10: DirectAccess und VPN-Verbindungen Bevor Sie beginnen Zur Durchführung der Übungen dieses Kapitels sind einige Vorbereitungen erforderlich: Sie haben das Betriebssystem Windows 7 auf einem eigenständigen Client-PC namens Canberra installiert, wie in Kapitel 1,»Installieren, Migrieren oder Aktualisieren auf Windows 7«, beschrieben. Um die Übungen in Lektion 2 durchführen zu können, sollten Sie dafür sorgen, dass der Windows 7-Computer Canberra über eine aktive Internetverbindung verfügt. Praxistipp Orin Thomas Der größte Nachteil der Tatsache, überall arbeiten zu können, besteht darin, überall arbeiten zu können. Ich habe mich schon an vielen seltsamen Orten bei der Arbeit ertappt, angefangen bei der Wartehalle in Bangkok, wo ich auf einen Flug nach Kopenhagen wartete, bis hin zum Balkon eines Hotels, das sich auf einer Insel mitten im Great Barrier Reef befand. Ich rede mir immer ein, ich würde nur ein paar Augenblicke arbeiten, um mit der Arbeit nicht zu sehr in Verzug zu kommen. Die Hamster in Laufrädern haben wahrscheinlich ähnliche Ausreden. Während es in der Vergangenheit recht leicht war, einfach abzuschalten, verfügen Sie heute im Bereich eines Sendemastes gewöhnlich über Internetzugriff und über VPN-Verbindungen, mit denen Sie eine Verbindung zum Büro herstellen können. Anders gesagt, das Büro ist, wo Sie sind. Die Arbeit endet nicht mehr mit dem verlassen des Büros. Das Büro ist überall, wo es das Internet gibt. Durch einige der in diesem Kapitel beschriebenen Technologien verschwimmen die Grenzen zwischen Privatleben und Arbeit noch weiter. Wenn wir über diese Technologien reden, geht es uns hauptsächlich um die Möglichkeit, auf Geschäftsreisen eine Verbindung mit dem Firmennetzwerk herzustellen. In der Praxis stellt man allerdings fest, dass viele Leute die Remotezugriffstechnologie dazu verwenden, um nach Feierabend eine Verbindung mit dem Büro herzustellen und noch etwas mehr Arbeit zu erledigen. Im letzten Jahrzehnt wurde es immer schwieriger, zwischen Arbeit und Freizeit einen klaren Trennungsstrich zu ziehen. Die in diesem Kapitel besprochenen Technologien verstärken diese Tendenz.

3 Lektion 1: Verwalten von DirectAccess 515 Lektion 1: Verwalten von DirectAccess DirectAccess ist eine neue Technologie in Windows 7, die irgendwann vielleicht herkömmliche VPN-Lösungen wie PPTP (Point-to-Point Tunneling Protocol), L2TP/IPsec (Layer 2 Tunneling Protocol/Internet Protocol Security) und SSTP (Secure Socket Tunneling Protocol) ersetzt. DirectAccess ist eine Lösung für automatische Verbindungen, die es Windows 7- Clients ermöglicht, von dem Moment an, in dem eine Verbindung mit dem globalen Internet zustande kommt, nahtlos eine Verbindung mit dem Intranet des Unternehmens herzustellen. Die Umstellung von herkömmlichen Lösungen auf DirectAccess wird nicht über Nacht erfolgen. Organisationen müssen beträchtliche Änderungen in ihrer Netzwerkinfrastruktur durchführen, neue Client- und Servertechnologien einsetzen und IPv6 verwenden. In dieser Lektion erfahren Sie etwas über die Vorteile und die technologischen Voraussetzungen von DirectAccess, und was Sie in Ihrer Organisation tun müssen, um es zu implementieren. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: Konfigurieren von DirectAccess-Clients mit Netsh Konfigurieren der DirectAccess-Authentifizierung Beschreiben der Infrastrukturvoraussetzungen für DirectAccess Veranschlagte Zeit für diese Lektion: 30 Minuten Grundlagen von DirectAccess DirectAccess ist eine IPv6-VPN-Verbindung, die mit IPsec geschützt wird und verfügbar ist, sobald eine Internetverbindung besteht. Wenn ein entsprechend konfigurierter Computer eine Verbindung mit dem Internet herstellen kann, verbindet DirectAccess diesen Computer automatisch mit einem entsprechend konfigurierten Firmennetzwerk. DirectAccess unterscheidet sich in folgenden Punkten von den VPN-Lösungen, die in Lektion 2,»Remoteverbindungen«, besprochen werden: Die Verbindung wird automatisch hergestellt und erfordert kein Eingreifen des Benutzers und keine Anmeldung. Der Aufbau der DirectAccess-Verbindung beginnt in dem Moment, in dem der Computer eine Verbindung mit einem aktiven Netzwerk hergestellt hat. Aus der Sicht des Benutzers verfügt der Computer immer über Zugang zum Firmennetzwerk, ob der Benutzer nun im Büro sitzt oder in einem Strandcafé eine Verbindung mit einem Wi-Fi-Hotspot hergestellt hat. Bisher mussten VPN-Verbindungen mit dem Intranet der Firma manuell hergestellt werden. DirectAccess ist bidirektional, wobei die Server aus dem Intranet in der gleichen Weise mit dem Windows 7-Client kommunizieren können, wie es bei einem direkten Anschluss des Clients am LAN (Local Area Network) möglich wäre. Bei vielen herkömmlichen VPN-Lösungen haben Clients zwar Zugang zum Intranet, aber Server aus dem Intranet können keine Verbindung zum Client aufbauen. DirectAccess bietet Administratoren größere Kontrolle darüber, welche Ressourcen aus dem Intranet für Remotebenutzer und -computer verfügbar sind. Sie können DirectAccess mit dem Netzwerkzugriffsschutz (Network Access Protection, NAP) kombinieren, um sicherzustellen, dass Remoteclients auf dem neusten Stand bleiben, was Virendefinitionen und Softwareupdates betrifft. Außerdem können Administratoren Verbindungssicherheitsrichtlinien anwenden, um Server und Hosts zu isolieren.

4 516 Kapitel 10: DirectAccess und VPN-Verbindungen Weitere Informationen Überblick über DirectAccess für Führungskräfte Weitere Informationen über die Grundlagen von DirectAccess finden Sie im Dokument DirectAccess Executive Overview, das Sie von der Microsoft-Website herunterladen können: A1D1-04D37F2E013C&displaylang=en. Der DirectAccess-Verbindungsaufbau Der DirectAccess-Verbindungsaufbau erfolgt automatisch, erfordert also kein Eingreifen der Person, die sich am Windows 7-Computer anmeldet. Ein portabler Computer, der in die Privatwohnung mitgenommen wird und dort Internetzugang erhält, kann selbst dann Softwareund Gruppenrichtlinienupdates von den Servern aus dem Firmennetzwerk erhalten, wenn sich kein Benutzer angemeldet hat. Windows 7-Clients stellen auf folgende Weise eine DirectAccess-Verbindung her: 1. Der mit DirectAccess konfigurierte Windows 7-Client stellt eine Verbindung mit einem Netzwerk her. In den meisten Fällen geschieht dies, bevor sich ein Benutzer am Computer anmeldet. 2. Wenn der Client während der Netzwerkidentifikationsphase erkennt, dass er mit einem neuen Netzwerk verbunden ist oder eine bereits hergestellte Verbindung mit einem vorhandenen Netzwerk wieder aufnimmt, versucht er, eine Verbindung mit einer speziell konfigurierten Intranetwebsite herzustellen. Ein Administrator legt diese Websiteadresse fest, wenn er auf dem DirectAccess-Server DirectAccess konfiguriert. Wie das geschieht, erfahren Sie im Verlauf dieser Lektion. Kann der Client Kontakt zu dieser Website herstellen, schließt Windows 7 daraus, dass bereits eine Verbindung mit dem Firmennetzwerk besteht und keine weitere Aktion erforderlich ist. 3. Wenn der Client keinen Kontakt zu der speziell konfigurierten Intranetwebsite herstellen kann, überprüft er, ob ein IPv6-Netzwerk vorliegt. Liegt ein IPv6-Netzwerk vor und wurde dem Client eine öffentliche IPv6-Adresse zugewiesen, stellt DirectAccess über das Internet eine direkte Verbindung zum DirectAccess-Server her. 4. Ist kein IPv6-Netzwerk vorhanden, versucht Windows 7, einen IPv6-über-IPv4-Tunnel einzurichten, zuerst mit IP6-zu-IP4 und dann mit Teredo. Die Übergangstechnologien Teredo und IP6-zu-IP4 haben Sie bereits in Kapitel 6,»Netzwerkeinstellungen«, kennen gelernt. 5. Wenn der Windows 7-Client wegen einer Firewall oder eines Proxyservers keine Teredo- oder IP6-zu-IP4-Verbindung herstellen kann, versucht er, eine Verbindung mit IP- HTTPS herzustellen. IP-HTTPS (Internet Protocol-Hypertext Protocol Secure) kapselt IPv6-Datenverkehr über eine HTTPS-Verbindung. Die Wahrscheinlichkeit für eine erfolgreiche Verbindung mit IP-HTTPS ist ziemlich hoch, weil nur wenige Firewalls, die Verbindungen ins Internet zulassen, den Datenverkehr auf TCP-Port 443 blockieren. 6. Die DirectAccess-IPsec-Sitzung wird eingerichtet, wenn sich der Windows 7-Client und der DirectAccess-Server gegenseitig mit ihren Computerzertifikaten authentifiziert haben. DirectAccess unterstützt nur eine Authentifizierung mit Zertifikaten. 7. Der DirectAccess-Server überprüft in der entsprechenden Active Directory-Domänendienstegruppe (Active Directory Domain Services, AD DS), ob der Computer und der Benutzer für eine Verbindung mit DirectAccess autorisiert sind.

5 Lektion 1: Verwalten von DirectAccess Nun verfügt der DirectAccess-Client über Zugang zu den entsprechend konfigurierten Ressourcen aus dem Firmennetzwerk. Tabelle 10.1 fasst die DirectAccess-Clientkonfigurationen und die entsprechenden Methoden zur Kommunikation mit dem DirectAccess-Server zusammen. Wenn Sie den DirectAccess- Server konfigurieren, dann konfigurieren Sie ihn für alle diese verschiedenen Verbindungsmethoden. Das ist sinnvoll, weil Sie nicht vorhersehen können, welche Verhältnisse in den Remotenetzwerken gelten, von denen aus DirectAccess-Clients Verbindungen herstellen. IP- HTTPS wird zuletzt probiert, weil die anderen Methoden eine bessere Leistung aufweisen. Tabelle 10.1 DirectAccess-Verbindungsmethoden Client-Netzwerkverbindung Öffentliche IPv6-Adresse Öffentliche IPv4-Adresse Private IPv4-Adresse (NAT) Der Client ist mit dem Internet verbunden, kann aber wegen der Firewall keine DirectAccess-Verbindung herstellen DirectAccess-Verbindungsmethode Öffentliche IPv6-Adresse IP6-zu-IP4 Teredo IP-HTTPS Konfigurieren des DirectAccess-Clients Nur Clientcomputer, die Mitglieder einer Domäne sind und auf denen die Editionen Windows 7 Enterprise oder Ultimate ausgeführt werden, unterstützen DirectAccess. Auf anderen Editionen von Windows 7 oder auf älteren Windows-Versionen wie etwa Windows Vista oder Windows XP können Sie DirectAccess nicht verwenden. Wenn Sie einen Client für DirectAccess konfigurieren, müssen Sie das Domänencomputerkonto des Clients zu einer speziellen Sicherheitsgruppe hinzufügen. Diese Sicherheitsgruppe geben Sie an, wenn Sie den DirectAccess-Server mit dem DirectAccess-Assistenten konfigurieren. Die Konfiguration dieser speziellen Gruppe wird im Verlauf der Lektion noch beschrieben. Clients erhalten ihre DirectAccess-Konfiguration über Gruppenrichtlinien. Herkömmliche VPN-Verbindungen werden dagegen manuell konfiguriert oder mit dem Verbindungs-Manager-Verwaltungskit verteilt. Nachdem Sie das Computerkonto des Clients zur vorgesehenen Sicherheitsgruppe hinzugefügt haben, müssen Sie auf dem Client ein Computerzertifikat für die DirectAccess-Authentifizierung installieren. In der Infrastruktur der Organisation müssen die Active Directory-Zertifikatdienste bereitgestellt werden, damit Clients die erforderlichen Zertifikate automatisch anfordern können. Manuelles Konfigurieren von DirectAccess Wie bereits erwähnt, erhalten DirectAccess-Clients ihre Konfiguration über Gruppenrichtlinien. Diese Gruppenrichtlinien werden so gefiltert, dass sie nur für Computer gelten, die Mitglieder bestimmter DirectAccess-Sicherheitsgruppen sind. Sie finden diese Richtlinien im Knoten Computerkonfiguration\(Richtlinien\)Administrative Vorlagen\Netzwerk\TCP/IP- Einstellungen\IPv6-Übergangstechnologien (Abbildung 10.1). Da Computer Mitglieder von Domänen sein und zu bestimmten Sicherheitsgruppen hinzugefügt werden müssen, die speziell für DirectAccess eingerichtet wurden, hat es wenig Sinn, wenn ein lokaler Administrator auf einzelnen Windows 7-Clients die DirectAccess-Einstellungen in den lokalen Gruppenrichtlinien ändert.

6 518 Kapitel 10: DirectAccess und VPN-Verbindungen Abbildung 10.1 DirectAccess-Gruppenrichtlinien Wenn Sie auf dem DirectAccess-Server DirectAccess einrichten, wird auf Domänenebene ein Gruppenrichtlinienobjekt erstellt, das für eine bestimmte Sicherheitsgruppe gilt. Dieses GPO wendet folgende Richtlinien an: IP6-zu-IP4-Relayname Diese Richtlinie legt den IP6-zu-IP4-Relaynamen fest und wird so konfiguriert, dass eine der öffentlichen IPv4-Adressen für den DirectAccess- Server verwendet wird. IP-HTTPS-Status Diese Richtlinie legt die URL (Uniform Resource Locator) des IP-HTTPS-Servers fest. Dabei handelt es sich um den FQDN einer der öffentlichen IPv4-Adressen des DirectAccess-Servers. Die Standardeinstellung sieht IP-HTTPS als letzte Wahl vor. Es ist möglich, diese Richtlinie so einzustellen, dass IP-HTTPS immer verwendet wird, selbst wenn andere Verbindungsoptionen wie IP6-zu-IP4 oder Teredo verfügbar sind. Teredo: Standardmäßig qualifiziert Diese Richtlinie legt fest, ob Teredo verwendet wird. Für DirectAccess-Clients wird die Richtlinie aktiviert. Teredo-Servername Diese Richtlinie legt den Namen des Teredo-Servers fest. Diesem Namen wird eine der öffentlichen IPv4-Adressen des DirectAccess-Server zugeordnet. Die letzte Richtlinie, die bei der Einrichtung des DirectAccess-Servers konfiguriert wird, ist die Namensauflösungsrichtlinie. Sie ist unter Computerkonfiguration\Richtlinien\Windows- Einstellungen\Namensauflösungsrichtlinie zu finden (Abbildung 10.2). Es ist zwar möglich, DirectAccess-Einstellungen mit dem Befehlszeilenprogramm Netsh vorzunehmen, aber Gruppenrichtlinieneinstellungen haben Vorrang vor Einstellungen, die manuell mit Netsh durchgeführt werden. Die Befehle zur Konfiguration der DirectAccess- Einstellungen lauten wie folgt: Netsh interface ipv6 set teredo enterpriseclient IPv4_Adresse Netsh interface 6to4 set relay IPv4_Adresse Netsh interface httpstunnel add interface client https://fqdn/iphttps

7 Lektion 1: Verwalten von DirectAccess 519 Abbildung 10.2 DirectAccess-Namensauflösung Der erste Befehl konfiguriert Teredo. Bei der IPv4-Adresse, die Sie mit diesem Befehl zuweisen, handelt es sich um eine der öffentlichen IPv4-Adressen des DirectAccess-Servers. Der zweite Befehl konfiguriert IP6-zu-IP4 und verwendet ebenfalls eine der öffentlichen IPv4-Adressen des DirectAccess-Servers. Der letzte Befehl konfiguriert IP-HTTPS. Sie sollten den FQDN verwenden, der mit einer der öffentlichen IPv4-Adressen verknüpft ist und für den auf dem DirectAccess-Server ein SSL-Zertifikat vorliegt. Weitere Informationen Manuelles Konfigurieren von DirectAccess-Clients Weitere Informationen über das manuelle Konfigurieren von DirectAccess-Clients erhalten Sie in folgendem Microsoft TechNet-Dokument: dd aspx. Abbildung 10.3 Die Meldung»Internet and Corporate Access«Beheben von DirectAccess-Problemen Ob ein Client erfolgreich eine DirectAccess-Verbindung hergestellt hat, können Sie mit einem Klick auf das Symbol Netzwerk-Symbol überprüfen. Lautet die Statusmeldung»Internet and Corporate Access«(Abbildung 10.3), konnte der Windows 7-Computer eine

8 520 Kapitel 10: DirectAccess und VPN-Verbindungen DirectAccess-Verbindung herstellen. Lautet die Statusmeldung»Local and Internet Access«, besteht keine Verbindung zum DirectAccess-Server. Wie bereits erwähnt, verwenden DirectAccess-Clients für die Authentifizierung mit dem DirectAccess-Server digitale Zertifikate. Wenn ein Computer nicht über ein gültiges Computerzertifikat verfügt, das von einer Zertifizierungsstelle ausgestellt wurde, der der Direct- Access-Server zu Authentifizierungszwecken vertraut, kann keine Verbindung hergestellt werden. DirectAccess-Clients und der DirectAccess-Server erhalten ihre Zertifikate gewöhnlich von einer Zertifizierungsstelle, die mit den Active Directory-Zertifikatdiensten aufgebaut wurde und zur Domäne gehört. Damit ist sichergestellt, dass Client und Server den Zertifikaten des anderen vertrauen. So können Sie überprüfen, ob auf einem Windows 7-Client ein entsprechendes Computerzertifikat vorhanden ist: 1. Öffnen Sie die Microsoft Management Console, indem Sie im Textfeld Programme/ Dateien durchsuchen mmc eingeben. 2. Fügen Sie das Snap-In Zertifikate für das lokale Computerkonto hinzu. 3. Navigieren Sie zum Knoten Zertifikate (Lokaler Computer)\Eigene Zertifikate\Zertifikate und überprüfen Sie, ob auf dem Computer ein Zertifikat für die Verwendungszwecke Clientauthentifizierung und Serverauthentifizierung vorhanden ist (Abbildung 10.4). Abbildung 10.4 Überprüfen des DirectAccess-Clientzertifikats Die DirectAccess-Konfiguration können Sie mit mehreren Befehlszeilenprogrammen überprüfen. Zur Überprüfung der Einstellungen des DirectAccess-Clients für IP6-zu-IP4 verwenden Sie folgenden Befehl: Netsh interface 6to4 show relay Wenn ein Client seine DirectAccess-Konfiguration über Gruppenrichtlinien erhalten hat, zeigt dieser Befehl eine der öffentlichen IPv4-Adressen an, die dem DirectAccess-Server als Relayadresse zugewiesen wurde. Wenn die Relayeinstellung Default lautet, wurden die DirectAccess-Gruppenrichtlinien nicht korrekt angewendet. In ähnlicher Weise sollten Sie eine der beiden öffentlichen Adressen des DirectAccess-Servers bei der Überprüfung der Teredo-Konfiguration sehen, wenn die DirectAccess-Konfiguration über Gruppenrichtlinien angewendet wird. Die Teredo-Konfiguration können Sie mit folgendem Befehl überprüfen: Netsh interface ipv6 show teredo

9 Lektion 1: Verwalten von DirectAccess 521 Über die IP-HTTPS-Konfiguration erhalten Sie mit folgendem Befehl Informationen: Netsh interface httpstunnel show interfaces Weitere Informationen Beheben von DirectAccess-Problemen Weitere Informationen über das Beheben von DirectAccess-Problemen erhalten Sie in folgendem Microsoft TechNet-Dokument: dd aspx. Schnelltest Welche IPv6-Übergangstechnologie verwendet DirectAccess, wenn Sie sich an einem Remotestandort befinden und Ihrem Computer eine öffentliche IPv4-Adresse, aber keine öffentliche IPv6-Adresse zugewiesen wurde? Antwort zum Schnelltest DirectAccess verwendet die IP6-zu-IP4-Übergangstechnologie, wenn dem Client eine öffentliche IPv4-Adresse, aber keine öffentliche IPv6-Adresse zugewiesen wurde. Konfigurieren des DirectAccess-Servers Die Konfiguration von DirectAccess erfolgt hauptsächlich auf dem DirectAccess-Server. Bei der Einrichtung des Servers konfigurieren Sie die erforderlichen Gruppenrichtlinienobjekte, die DirectAccess unterstützen. Vor der Installation von DirectAccess sollten Sie dafür sorgen, dass der DirectAccess-Server folgende Voraussetzungen erfüllt: Auf dem Computer muss Windows Server 2008 R2 installiert sein und er muss Mitglied einer Domäne sein. Der Server muss über zwei Netzwerkkarten verfügen. Über eine dieser Netzwerkkarten muss eine direkte Verbindung mit dem Internet hergestellt werden können. Dieser Netzwerkkarte müssen Sie zwei aufeinanderfolgende öffentliche IPv4-Adressen zuweisen. Die zweite Netzwerkkarte braucht eine direkte Verbindung zum Intranet der Organisation. Der Computer braucht ein digitales Zertifikat zur Serverauthentifizierung. Dazu ist ein Computerzertifikat erforderlich, das auf den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) ausgestellt ist, der den IP-Adressen der externen Netzwerkschnittstelle des DirectAccess-Servers zugewiesen wurde. Sie müssen in AD DS außerdem mindestens eine globale Sicherheitsgruppe für DirectAccess erstellen. Die Gruppe kann zwar einen beliebigen Namen tragen, aber die Verhältnisse werden übersichtlicher, wenn schon ihr Name auf die Verwendung für DirectAccess hinweist. Bei Bedarf können Sie mehrere Sicherheitsgruppen für DirectAccess erstellen. Das könnte beispielsweise erforderlich sein, um Zugriff auf verschiedene Segmente des Intranets zu konfigurieren.

10 522 Kapitel 10: DirectAccess und VPN-Verbindungen Zur Installation von DirectAccess auf einem Server, auf dem Windows Server 2008 R2 ausgeführt wird, fügen Sie im Assistenten zum Hinzufügen von Features das Feature Direct- Access-Verwaltungskonsole hinzu (Abbildung 10.5). Die DirectAccess-Verwaltungskonsole ermöglicht die Konfiguration und Verwaltung der DirectAccess-Funktionen. Außerdem müssen Sie das Feature Gruppenrichtlinienverwaltung hinzufügen, weil der DirectAccess- Installationsassistent Gruppenrichtlinienobjekte für DirectAccess erstellt, mit denen Direct- Access-Clients konfiguriert werden. Sie müssen den DirectAccess-Installationsassistenten mit einem Benutzerkonto ausführen, das über die Berechtigung verfügt, in der Domäne Gruppenrichtlinienobjekte zu erstellen und anzuwenden. Abbildung 10.5 Installieren des Features DirectAccess unter Windows Server 2008 R2 Nach der Installation der DirectAccess-Verwaltungskonsole können Sie den DirectAccess- Server konfigurieren: 1. Öffnen Sie die DirectAccess-Verwaltungskonsole im Menü Verwaltung (Abbildung 10.6). 2. Wählen Sie den Knoten Setup. Klicken Sie im Detailbereich unter Remote Clients auf Configure. Es öffnet sich das Dialogfeld DirectAccess-Clientsetup. Klicken Sie auf Hinzufügen und geben Sie dann den Namen der Sicherheitsgruppe an, zu der die Computerkonten der Windows 7-Clients, die DirectAccess-Zugriff erhalten sollen, hinzugefügt werden sollen. Die Gruppen können beliebige Namen erhalten. In Abbildung 10.7 heißt die Gruppe DA_Clients.

11 Lektion 1: Verwalten von DirectAccess 523 Abbildung 10.6 DirectAccess-Verwaltungskonsole Abbildung 10.7 DirectAccess-Clientgruppen 3. Verwenden Sie das Element DirectAccess-Serversetup, um anzugeben, welche Schnittstelle mit dem Internet verbunden ist und welche Schnittstelle mit dem internen Netzwerk verbunden ist. Durch diesen Schritt werden die IPv6-Übergangstechnologien auf dem DirectAccess-Server aktiviert (Abbildung 10.8). Im nächsten Schritt geben Sie an, von welcher Zertifizierungsstelle die Clientzertifikate stammen müssen, sei es direkt

12 524 Kapitel 10: DirectAccess und VPN-Verbindungen oder durch eine untergeordnete Zertifizierungsstelle ausgestellt. Außerdem müssen Sie das Serverzertifikat angeben, mit dem IP-HTTPS-Datenverkehr gesichert werden soll. Abbildung 10.8 DirectAccess-Serversetup 4. Auf der Seite Infrastrukturserver-Setup geben Sie eine interne Website an (den Netzwerkadressenserver). DirectAccess-Clients versuchen, mit dieser Website Kontakt aufzunehmen und herauszufinden, ob sie direkt mit dem Intranet der Organisation verbunden sind oder sich an einem Remotestandort befinden. Sie müssen diese Website mit einem Webserver-Zertifikat sichern (Abbildung 10.9). In diesem Dialogfeld geben Sie auch an, welche DNS-Server und Domänencontroller zu Authentifizierungszwecken für die DirectAccess-Clients zur Verfügung stehen. 5. Im letzten Schritt geben Sie an, welche Ressourcen aus dem Intranet der Organisation für DirectAccess-Clients verfügbar sind. Die Standardeinstellung lässt Zugriffe auf alle Ressourcen zu. In einer Umgebung mit höheren Sicherheitsanforderungen ist es möglich, den Kontakt mit Isolationsrichtlinien auf Mitglieder bestimmter Sicherheitsgruppen einzuschränken. Sie können zum Beispiel eine Sicherheitsgruppe erstellen und dann die Computerkonten von ausgewählten Datei- und -Servern hinzufügen. 6. Wenn Sie auf Fertig stellen klicken, stellt DirectAccess Kontakt zu einem Domänencontroller her und erstellt in der Domäne zwei neue Gruppenrichtlinienobjekte. Das erste ist für Sicherheitsgruppen vorgesehen, zu denen die Computerkonten der Direct- Access-Clients gehören. Das zweite Gruppenrichtlinienobjekt ist für den DirectAccess- Server vorgesehen. Abbildung zeigt diese Gruppenrichtlinienobjekte.

13 Lektion 1: Verwalten von DirectAccess 525 Abbildung 10.9 Angeben des Netzwerkadressenservers Abbildung DirectAccess-GPOs DirectAccess ist auf einige andere Komponenten der Netzwerkinfrastruktur angewiesen. In der Domäne, in der Sie den DirectAccess-Server installieren, müssen folgende Komponenten zur Verfügung stehen: Mindestens ein Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt wird und ein DNS-Server eingerichtet ist. Ein Windows Server 2008-Server mit installierten Active Directory-Zertifikatdiensten, entweder als Unternehmens-Stammzertifizierungsstelle oder als eine untergeordnete Unternehmenszertifizierungsstelle.

14 526 Kapitel 10: DirectAccess und VPN-Verbindungen Damit interne Netzwerkressourcen für DirectAccess-Remoteclients verfügbar werden, müssen Sie eine der folgenden Vorbereitungen treffen: Sorgen Sie dafür, dass alle internen Ressourcen, die mit DirectAccess verwendet werden, IPv6 unterstützen. Stellen Sie ISATAP im Intranet bereit. ISATAP ermöglicht den Zugang zu Intranetservern und -anwendungen, indem für IPv6-Datenverkehr ein Tunnel durch das IPv4- Intranet eingerichtet wird. Stellen Sie ein NAT-PT-Gerät bereit. NAT-PT-Geräte machen es möglich, dass Direct- Access-Clients, die IPv6 verwenden, Hosts erreichen, die nur IPv4-Adressen unterstützen. Alle Anwendungsserver, die für DirectAccess-Clients zugänglich sein sollen, müssen in der Windows-Firewall mit erweiterter Sicherheit (WFAS) ICMPv6-Datenverkehr zulassen. Dazu können Sie in den Gruppenrichtlinien folgende Firewallregeln zulassen. Eingehende ICMPv6-Echoanforderungsmeldungen Ausgehende ICMPv6-Echoanforderungsmeldungen Die folgenden Ports müssen in der externen Firewall der Organisation geöffnet sein, um DirectAccess zu unterstützen: UDP-Port 3544 Ermöglicht Teredo-Datenverkehr IPv4-Protokoll 41 Ermöglicht IP6-zu-IP4-Datenverkehr TCP-Port 443 Ermöglicht IP-HTTPS-Datenverkehr ICMPv6- und IPv4-Protokoll 50 Erforderlich, wenn die Remoteclients über IPv6- Adressen verfügen Prüfungstipp Merken Sie sich, unter welchen Bedingungen die Verwendung von Teredo, IP6-zu-IP4 und IP-HTTPS auf DirectAccess-Clients erforderlich wird. Übung Konfigurieren von DirectAccess mit Netsh DirectAccess erfordert eine Netzwerkinfrastruktur mit Windows Server 2008 R2. Es ist also nicht möglich, auf einem Windows 7-Client mit DirectAccess zu arbeiten, ohne über einige Server zu verfügen, auf denen Windows Server 2008 R2 ausgeführt wird. In dieser Übung simulieren Sie die manuelle Konfiguration verschiedener IPv6-DirectAccess-Komponenten mit Netsh. Übung 1 DirectAccess-Konfiguration mit Netsh In dieser Übung simulieren Sie mit dem Befehlszeilenprogramm Netsh die Konfiguration von DirectAccess-Richtlinien. In der Praxis wird DirectAccess mit Gruppenrichtlinien konfiguriert. Allerdings können sich Situationen ergeben, in denen Sie diese Art von manueller Konfiguration durchführen müssen, zum Beispiel wenn ein Clientcomputer einige Zeit außer Haus war und sich die Adresse des DirectAccess-Servers geändert hat. 1. Melden Sie sich mit dem Benutzerkonto Kim_Akers auf dem Computer Canberra an und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.

15 Lektion 1: Verwalten von DirectAccess Geben Sie die folgenden Befehle ein und drücken Sie (nach jeder Zeile) die EIN- GABETASTE: Netsh interface ipv6 set teredo enterpriseclient Netsh interface 6to4 set relay Geben Sie nun folgende Diagnosebefehle ein und drücken Sie jeweils die EINGABE- TASTE. Damit können Sie überprüfen, ob die Konfiguration korrekt durchgeführt wurde. Die IP-Adresse sollte jeweils lauten: Netsh interface 6to4 show relay Netsh interface ipv6 show teredo Zusammenfassung der Lektion DirectAccess ermöglicht einem Client, auf dem Windows 7 Enterprise oder Ultimate ausgeführt wird, ohne Eingreifen des Benutzers eine automatische Verbindung mit dem Intranet einer Organisation, sobald eine aktive Internetverbindung verfügbar ist. Wenn ein Windows 7-Client über eine öffentliche IPv6-Adresse verfügt, wird eine direkte IPv6-Verbindung hergestellt. Verfügt der Client über eine öffentliche IPv4- Adresse, wird die Verbindung mit der IP6-zu-IP4-Übergangstechnologie hergestellt. Verfügt der Client über eine private IPv4-Adresse, wird mit der Teredo-Übergangstechnologie eine Verbindung hergestellt. Verfügt der Client über eine private IPv4- Adresse und befindet sich hinter einer Firewall, die die meisten Arten des Netzwerkdatenverkehrs beschränkt, wird die Verbindung mit IP-HTTPS hergestellt. DirectAccess-Clients brauchen Computerzertifikate von einer Zertifizierungsstelle, der der DirectAccess-Server vertraut. Der DirectAccess-Server braucht ein Computerzertifikat von einer Zertifizierungsstelle, der die DirectAccess-Clients vertrauen. DirectAccess-Clients müssen Mitglieder einer AD DS-Domäne sein. DirectAccess- Clients müssen in der Domäne zudem Mitglieder einer speziellen Sicherheitsgruppe sein, die bei der Einrichtung des DirectAccess-Servers konfiguriert wurde. Auf einem DirectAccess-Server muss Windows Server 2008 R2 ausgeführt werden. Außerdem müssen im internen Netzwerk ein Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt wird, und ein DNS-Server vorhanden sein, um DirectAccess zu unterstützen. Lernzielkontrolle Mit den folgenden Fragen können Sie Ihr Wissen zum Stoff aus Lektion 1,»Verwalten von DirectAccess«, überprüfen. Die Fragen finden Sie (in englischer Sprache) auch auf der Begleit-CD, Sie können sie also auch auf dem Computer im Rahmen eines Übungstests beantworten. Hinweis Die Antworten Die Antworten auf die Fragen und Erläuterungen, warum die entsprechende Antwort richtig oder falsch ist, finden Sie im Abschnitt»Antworten«am Ende des Buchs.

16 528 Kapitel 10: DirectAccess und VPN-Verbindungen 1. Ein Windows 7-Client ist mit dem Netzwerk eines Hotels verbunden. Clients erhalten in diesem Hotel IP-Adressen aus dem Bereich /24. Die Firewall des Hotels blockiert den Datenverkehr mit Ausnahme der Ports 25, 80 und 443. Mit welcher DirectAccess-Verbindungsmethode kann der Client die Verbindung herstellen? A. Teredo B. IP6-zu-IP4 C. Global routbare IPv6-Adresse D. IP-HTTPS 2. Sie haben 10 eigenständige Laptops, auf denen Windows 7 Professional verwendet wird. Sie möchten diese Computer so konfigurieren, dass sie mit DirectAccess Zugang zum internen Netzwerk erhalten, wenn Benutzer mit den Laptops in Remotenetzwerken arbeiten. Ihr internes Netzwerk verfügt über eine Domäne, die auf der Funktionsebene Windows Server 2008 R2 arbeitet. Mit welchen der folgenden Schritte erreichen Sie Ihr Ziel? (Wählen Sie alle zutreffenden Antworten.) A. Sie aktualisieren die Computer auf Windows 7 Ultimate. B. Sie fügen die Computer zur Domäne hinzu. C. Sie konfigurieren AppLocker-Richtlinien. D. Sie konfigurieren BranchCache-Richtlinien. 3. Welchen der folgenden Computer können Sie als DirectAccess-Server konfigurieren? A. Einen Server, auf dem Windows Server 2008 R2 ausgeführt wird und der über zwei Netzwerkkarten verfügt, denen zwei aufeinanderfolgende öffentliche IPv4- Adressen zugewiesen wurden B. Einen Server, auf dem Windows Server 2008 R2 ausgeführt wird und der über eine Netzwerkkarte verfügt, der zwei aufeinanderfolgende öffentliche IPv4- Adressen zugewiesen wurde C. Einen Server, auf dem Windows Server 2008 R2 ausgeführt wird und der über zwei Netzwerkkarten verfügt, denen eine öffentliche IPv4-Adresse zugewiesen wurde D. Einen Server, auf dem Windows Server 2008 R2 ausgeführt wird und der über eine Netzwerkkarte verfügt, der eine öffentliche IPv4-Adresse zugewiesen wurde 4. Kim Akers, die das Benutzerkonto Kim_Akers verwendet, hat für eine DirectAccess- Remoteverbindung mit dem internen Netzwerk der Organisation einen Computer namens Laptop-122 verwendet, auf dem Windows 7 Enterprise ausgeführt wird. Laptop-122 ist Mitglied der Domänensicherheitsgruppe Direct_Access. Auf Laptop- 122 hat sich ein Problem ergeben und Kim hat als Austauschgerät Laptop-123 erhalten, auf dem ebenfalls Windows 7 Enterprise ausgeführt wird und das Mitglied der Domäne contoso.internal ist. Wenn Kim remote arbeitet, erhält sie keine Verbindung mit dem internen Netzwerk. Wie lösen Sie dieses Problem? A. Sie fügen das Computerkonto von Laptop-123 in der Domäne zur Gruppe Direct_Access hinzu. B. Sie fügen das Computerkonto von Laptop-123 auf Laptop-123 zur Gruppe Direct_Access hinzu.

17 Lektion 1: Verwalten von DirectAccess 529 C. Sie fügen das Benutzerkonto Kim_Akers in der Domäne zur Gruppe Direct_ Access hinzu. D. Sie fügen das Benutzerkonto Kim_Akers auf Laptop-123 zur lokalen Gruppe Direct_Access hinzu. 5. Ihr Windows 7-Client ist mit dem Netzwerk eines Hotels verbunden, hat eine Adresse im Netzwerk /24 erhalten und befindet sich hinter einem NAT-Gerät. Das Netzwerk sperrt den ausgehenden Datenverkehr, der nicht über die Ports 80 und 443 erfolgt. Sie möchten überprüfen, ob die IP-HTTPS-Einstellungen für den DirectAccess- Server korrekt sind. Welchen der folgenden Befehle können Sie verwenden? A. ipconfig B. Netsh interface 6to4 show relay C. Netsh interface ipv6 show teredo D. Netsh interface httpstunnel show interfaces

18 530 Kapitel 10: DirectAccess und VPN-Verbindungen Lektion 2: Remoteverbindungen Zwar unterstützt nicht jede Edition von Windows 7 DirectAccess, aber jede Edition von Windows 7 unterstützt VPN mit den Protokollen PPTP, L2TP/IPsec, SSTP und IKEv2. Die herkömmliche VPN-Technologie ist wichtig, weil sie mit Ausnahme von IKEv2 zu den gebräuchlichen Remotezugriffsinfrastrukturen kompatibel ist und nicht voraussetzt, dass eine Organisation Server auf Windows Server 2008 R2 aktualisiert. Zudem sind PPTP- und L2TP/IPsec-VPNs zu Remotezugriffslösungen von anderen Herstellern kompatibel. Das ist wichtig, wenn Ihre Organisation nicht die Remotezugriffsinfrastruktur von Windows Server einsetzt. In dieser Lektion erfahren Sie, wie man mit Clients umgeht, die der NAP-Quarantäne unterliegen, und wie man einen Remotedesktopclient so konfiguriert, dass er ohne VPN- Verbindung auf Remotedesktopdiensteserver aus dem geschützten internen Netzwerk zugreifen kann. Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen: Herstellen von VPN-Verbindungen Konfigurieren der VPN-Authentifizierung Einrichten von VPN-Reconnect Verwalten der VPN-Sicherheitsüberwachung Konfigurieren der Wartung für in NAP-Quarantäne befindliche Computer Veranschlagte Zeit für diese Lektion: 40 Minuten Virtuelle private Netzwerke VPNs ermöglichen über das Internet die Verbindung von Computern mit Remotenetzwerken. VPN-Benutzer können auf Ressourcen aus dem LAN zugreifen, wie , freigegebene Ordner, Drucker, Datenbanken und Terminplaner, während sie mit ihren Computern irgendwo außerhalb des Büros arbeiten. Um ein VPN verwenden zu können, brauchen sie nur eine aktive Internetverbindung und die erforderliche VPN-Infrastruktur in dem Netzwerk, mit dem sie eine Verbindung herstellen. Die Einrichtung von VPNs bedeutet, dass Ressourcen aus den geschützten Netzwerken der Organisation für autorisierte Internetbenutzer verfügbar gemacht werden können, ohne dass diese Ressourcen für andere Internetbenutzer zugänglich werden. VPNs sind wie Tunnel, die bestimmten autorisierten Benutzern aus dem Internet Zugang zu den konfigurierten internen Netzwerkressourcen ermöglichen. Benutzer ohne Administratorrechte können Remotezugriffsverbindungen einrichten. Mit den Gruppenrichtlinien im Knoten Benutzerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen können die Benutzerrechte zur Erstellung und Änderung von Remotezugriffsverbindungen eingeschränkt werden. Bei der Erstellung einer VPN-Verbindung müssen Sie die Adresse des VPN-Servers angeben, mit dem eine Verbindung hergestellt werden soll, sowie die Anmeldeinformationen für die Authentifizierung. Sie können eine neue VPN-Verbindung im Netzwerk- und Freigabecenter einrichten. Dazu klicken Sie auf Neue Verbindung oder neues Netzwerk einrichten und dann auf Verbindung mit dem Arbeitsplatz herstellen. Wenn Sie eine neue VPN-Verbindung erstellen, stellt Windows 7 den VPN-Typ auf Automatisch. Sie können eine Verbindung zwar so einstellen, dass ein bestimmtes VPN-Protokoll verwendet wird, aber dann probiert Windows 7 die anderen VPN-Protokolle nicht aus, wenn das von Ihnen gewählte Protokoll nicht

19 Lektion 2: Remoteverbindungen 531 anwendbar ist. In den Übungen am Ende dieser Lektion erstellen Sie eine VPN-Verbindung und stellen im Eigenschaftendialogfeld der Verbindung ein bestimmtes Protokoll ein. Wenn der Typ einer VPN-Verbindung auf Automatisch gestellt ist, versucht Windows 7 zuerst, mit dem sichersten Protokoll eine Verbindung herzustellen. Windows 7-Computer können vier verschiedene VPN-Protokolle verwenden, die sich in der Verschlüsselungsart und in ihrer Fähigkeit unterscheiden, die Daten zu schützen. Die sichersten Protokolle bieten: Datenvertraulichkeit (Verschlüsselung) Das Protokoll verschlüsselt Ihre Daten, damit andere nicht mitlesen können, wenn die Daten durch öffentliche Netzwerke laufen. Datenintegrität Sie erfahren es, wenn Ihre Daten während der Übertragung verändert wurden. Schutz vor Wiedergabeangriffen Dieselben Daten können nur einmal gesendet werden. Bei einem Wiedergabeangriff würde ein Angreifer die Daten abfangen und anschließend erneut senden. Datenursprungsauthentifizierung Absender und Empfänger können sich der Identität des Kommunikationspartners sicher sein. Windows 7 unterstützt folgende VPN-Protokolle, sortiert nach steigender Sicherheit: PPTP PPTP-VPNs sind die unsicherste VPN-Form. Da PPTP-VPNs keine Public Key-Infrastruktur (PKI) erfordern, sind sie zudem die verbreitetste VPN-Form. PPTP- Verbindungen können die Authentifizierungsprotokolle MS-CHAP, MS-CHAPv2, EAP und PEAP verwenden. Zur Verschlüsselung der PPTP-Daten verwenden PPTP- Verbindungen MPPE. PPTP-Verbindungen bieten Datenvertraulichkeit, aber keine Datenintegrität oder Datenursprungsauthentifizierung. Einige ältere NAT-Geräte unterstützen PPTP nicht. Windows 7 verwendet PPTP zur Unterstützung eingehender VPN- Verbindungen. Die Konfiguration von Windows 7 zur Unterstützung eingehender VPN-Verbindungen wird im Verlauf dieser Lektion noch ausführlicher beschrieben. L2TP/IPsec L2TP/IPsec-VPN-Verbindungen sind sicherer als PPTP. L2TP/IPsec bietet auf Paketbasis Datenursprungsauthentifizierung, Datenintegrität, Schutz vor Wiedergabeangriffen und Datenvertraulichkeit. L2TP/IPsec verwendet digitale Zertifikate, erfordert also Zugang zu einer Zertifikatdiensteinfrastruktur. Die meisten VPN- Lösungen auf dem Markt unterstützen L2TP/IPsec. L2TP/IPsec kann nicht hinter NAT verwendet werden, wenn Client und Server kein IPsec NAT Traversal (NAT-T) unterstützen. Windows 7, Windows Server 2003 und Windows Server 2008 unterstützen NAT-T. In den erweiterten Eigenschaften können Sie einstellen, ob L2TP die Authentifizierung mit einem vordefinierten Schlüssel oder mit Zertifikaten durchführt (Abbildung 10.11). SSTP SSTP-VPN-Tunnel verwenden Port 443. Das bedeutet, dass der SSTP-VPN- Datenverkehr die meisten Firewalls durchlaufen kann, die Internetzugang zulassen. Für die VPN-Protokolle PPTP, L2TP/IPsec und IKEv2 gilt das nicht. SSTP kapselt den PPP-Datenverkehr über den SSL-Kanal des HTTPS-Protokolls. SSTP unterstützt Datenursprungsauthentifizierung, Datenintegrität, Schutz vor Wiedergabeangriffen (replay) und Datenvertraulichkeit. Sie können SSTP nicht über einen Webproxy verwenden, der eine Authentifizierung verlangt.

20 532 Kapitel 10: DirectAccess und VPN-Verbindungen Abbildung Erweiterte Eigenschaften für L2TP IKEv2 IKEv2 ist ein neues VPN-Protokoll von Windows 7. In älteren Windows- Versionen ist es nicht verfügbar. IKEv2 unterstützt IPv6 und die neue Funktion VPN- Reconnect. Zur clientseitigen Authentifizierung unterstützt IKEv2 EAP (Extensible Application Protocol) und Computerzertifikate. Verfügbar sind die Einstellungen Microsoft: Geschütztes EAP (PEAP), Microsoft: Gesichertes Kennwort (EAP-MS- CHAP v2) und Microsoft: Smartcard oder anderes Zertifikat (Abbildung 10.12). IKEv2 unterstützt nicht POP, CHAP oder MS-CHAPv2 (ohne EAP) als Authentifizierungsprotokolle. IKEv2 unterstützt Datenursprungsauthentifizierung, Datenintegrität, Schutz vor Wiedergabeangriffen und Datenvertraulichkeit. IKEv2 verwendet UDP-Port 500. Wenn Sie unter Windows 7 eine neue VPN-Verbindung mit den Standardeinstellungen konfigurieren, versucht Windows 7 zuerst, eine IKEv2-Verbindung herzustellen. Abbildung Von IKEv2 unterstützte Authentifizierungsprotokolle

21 Lektion 2: Remoteverbindungen 533 VPN-Authentifizierungsprotokolle Windows 7 unterstützt für Einwähl- und VPN-Verbindungen verschiedene Authentifizierungsprotokolle. Authentifizierungsprotokolle lassen sich in zwei Kategorien aufteilen: Authentifizierungsprotokolle auf Kennwortbasis und Authentifizierungsprotokolle auf Zertifikatbasis. Authentifizierungsprotokolle auf Zertifikatbasis erfordern die Bereitstellung einer PKI-Lösung wie die Active Directory-Zertifikatdienste. Wenn Sie ein Authentifizierungsprotokoll auf Zertifikatbasis verwenden, müssen Sie Zertifikate bereitstellen, die an Benutzerkonten, an Computerkonten oder an beide Kontenarten gebunden sind. Die Eigenschaften dieser Protokolle sind wie folgt: PAP (Password Authentication Protocol) Dieses Protokoll verwendet zur Authentifizierung unverschlüsselte Kennwörter. Für VPN-Verbindungen ist es unter Windows 7 standardmäßig nicht aktiviert und wird auch nicht von Remotezugriffsservern unterstützt, auf denen Windows Server 2008 verwendet wird. Dieses Protokoll würden Sie nur aktivieren, um eine Verbindung mit einem älteren VPN-Server herzustellen, der keine sichereren Protokolle unterstützt. CHAP (Challenge Authentication Protocol) Dies ist ein Authentifizierungsprotokoll auf Kennwortbasis. Obwohl Remotezugriffsserver, auf denen Windows Server 2008 ausgeführt wird, dieses Protokoll nicht unterstützen, wird es unter Windows 7 standardmäßig für VPN-Verbindungen aktiviert und ermöglicht eine Verbindung mit VPN-Servern, die keine sichereren Protokolle unterstützen. Abbildung Optionen für Smartcards oder andere Zertifikate

22 534 Kapitel 10: DirectAccess und VPN-Verbindungen MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) MS-CHAPv2 ist ein Authentifizierungsprotokoll auf Kennwortbasis. Sie können eine VPN-Verbindung konfigurieren, die dieses Protokoll und zur Authentifizierung die Anmeldeinformationen des aktuell angemeldeten Benutzers verwendet. PEAP/PEAP-TLS (Protected Extensible Authentication Protocol with Transport Layer Security) Dies ist ein Authentifizierungsprotokoll auf Zertifikatbasis, bei dem sich die Benutzer mit Zertifikaten authentifizieren. Erfordert die Installation eines Computerzertifikats auf dem VPN-Server. EAP-MS-CHAPv2/PEAP-MS-CHAPv2 Das sicherste Authentifizierungsprotokoll auf Kennwortbasis, das unter Windows 7 für VPN-Clients verfügbar ist. Erfordert die Installation eines Computerzertifikats auf dem VPN-Server. Erfordert kein Clientzertifikat. Smartcard- oder anderes Zertifikat Verwenden Sie dieses Protokoll, wenn Benutzer VPN-Verbindungen mit einer Smartcard oder einem Zertifikat authentifizieren, das auf dem Computer installiert ist. Abbildung zeigt das Eigenschaftendialogfeld für dieses Authentifizierungsprotokoll. Im Eigenschaftendialogfeld einer VPN-Verbindung, das sich auf der Seite Netzwerkverbindungen der Systemsteuerung öffnen lässt, können Sie festlegen, welche VPN-Authentifizierungsprotokolle für die Verbindung zulässig sind (Abbildung 10.14). Windows probiert zuerst das sicherste aktivierte Authentifizierungsprotokoll und versucht bei Bedarf dann, mit den weniger sicheren verfügbaren Protokollen eine Verbindung herzustellen. Abbildung VPN-Authentifizierungsprotokolle

23 Lektion 2: Remoteverbindungen 535 VPN-Reconnect VPN-Reconnect ist eine neue Funktion von Windows 7. Wenn Sie mit den Protokollen PPTP, L2TP/IPsec oder SSTP eine Verbindung mit einem VPN-Server herstellen und es zu einer Störung im Netzwerk kommt, können Sie die VPN-Verbindung verlieren und müssen sie erneut herstellen. Geschieht dies bei der Übertragung einer Datei, beim Herunterladen von oder beim Versenden eines Druckauftrags, müssen Sie wieder von vorne anfangen. VPN-Reconnect ermöglicht Windows 7-Computern eine automatische Wiederherstellung der Verbindung, selbst wenn die Unterbrechung bereits 8 Stunden dauert. VPN-Reconnect funktioniert auch dann, wenn die Unterbrechung durch den Wechsel auf einen neuen Internetzugriffspunkt hervorgerufen wurde. Vielleicht verwendet ein Benutzer zum Beispiel eine VPN-Verbindung mit dem Firmennetzwerk, während er auf einem Flughafen in einem Café wartet und mit dessen Drahtlosnetzwerk verbunden ist. Wenn sich der Zeitpunkt des Abflugs nähert, geht er vom Café in die Wartehalle des Flughafens, die über ihr eigenes Wi-Fi-Netzwerk verfügt. VPN-Reconnect sorgt dafür, dass die VPN-Verbindung des Benutzers automatisch wiederhergestellt wird, sobald der Benutzer im neuen Netzwerk über eine Internetverbindung verfügt. Bei einer herkömmlichen VPN-Lösung müsste er die Verbindung manuell wieder herstellen, wenn er im neuen Drahtlosnetzwerk der Wartehalle über eine Internetverbindung verfügt, und die aktuellen Vorgänge, die über das VPN abgewickelt wurden, wären verloren. Im Gegensatz zu DirectAccess, das nur in einigen Editionen von Windows 7 unterstützt wird, unterstützen alle Editionen von Windows 7 VPN-Reconnect. VPN-Reconnect verwendet das IKEv2-Tunnelprotokoll mit der MOBIKE-Erweiterung. Die MOBIKE-Erweiterung ermöglicht es VPN-Clients, ihre Internetadressen zu ändern, ohne eine erneute Authentifizierung beim VPN-Server durchführen zu müssen. Nur VPN-Server unter Windows Server 2008 R2 unterstützen IKEv2. Sie können IKEv2 nicht einsetzen, wenn Ihre Organisation einen Routing- und RAS-Server unter Windows Server 2003, Windows Server 2003 R2 oder Windows Server 2008 verwendet. Sie können für VPN-Reconnect eine Netzwerkausfallzeit von maximal 8 Stunden einstellen (Abbildung 10.15). Nach Ablauf der eingestellten Netzwerkausfallzeit ist es erforderlich, die Verbindung manuell wiederherzustellen. In der Übung am Ende dieser Lektion erstellen und konfigurieren Sie eine VPN-Verbindung auf IKEv2-Basis. Abbildung Erweiterte IKEv2-Eigenschaften

24 536 Kapitel 10: DirectAccess und VPN-Verbindungen Schnelltest Welches VPN-Protokoll unterstützt die automatische Wiederverbindung? Antwort zum Schnelltest IKEv2 unterstützt die automatische Wiederverbindung. NAP-Wartung Der Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Technologie von Windows Server 2008, die den Netzwerkzugang auf der Basis einer Integritätseinstufung des Clients einschränken kann. Ein konformer Client, der alle Integritätsanforderungen erfüllt, erhält Zugang zum Netzwerk. Erfüllt er die Voraussetzungen nicht, ist er nicht konform. NAP hindert nichtkonforme Clients am Zugang zum Netzwerk. NAP kann für Clients verwendet werden, die direkt am LAN angeschlossen sind, aber auch für VNP-, Remotedesktopgateway- und DirectAccess-Clients. Administratoren können NAP so konfigurieren, dass der Zugang zum Netzwerk auf der Basis folgender Kriterien eingeschränkt wird: Ist auf dem Client Antivirensoftware installiert und ist sie auf dem neusten Stand? Ist auf dem Client Antispysoftware installiert und ist sie auf dem neusten Stand? Ist auf dem Client die Windows-Firewall aktiviert? Ist die Funktion Automatische Updates aktiviert? Sind alle Softwareupdates auf dem Client installiert? Abbildung Windows-Sicherheitsintegritätsprüfung

25 Lektion 2: Remoteverbindungen 537 Administratoren geben diese Kriterien in der Systemintegritätsprüfung ein (Security Health Validator, SHV). Administratoren können einstellen, welche Komponenten in der Systemintegritätsprüfung berücksichtigt werden. Abbildung zeigt die Windows 7-Systemintegritätsprüfung von Windows Server 2008 R2. Administratoren können NAP so einstellen, dass Clients, die nicht die Integritätsanforderungen erfüllen, gewartet werden. Wird NAP auf VPN-Verbindungen angewendet, bedeutet dies häufig die Bereitstellung eines geeigneten Wartungsnetzwerks. Ein Wartungsnetzwerk ist ein spezielles Netzwerk, das Dienstleistungen anbietet, mit denen der Client wieder in einen konformen Zustand gebracht werden kann. Nichtkonforme Clients können zwar mit Hosts aus dem Wartungsnetzwerk kommunizieren, aber nicht mit Hosts aus dem internen Netzwerk der Organisation. Ein Wartungsnetzwerk kann einen WSUS-Server (Windows Software Update Services) enthalten, damit der Client die neusten Softwareupdates erhält, und einen Antivirus-Updateserver, damit auch die Schutzsoftware des Clients den Integritätsanforderungen genügt und er Zugang zum internen Netzwerk erhält. Ein Windows 7-Client kann einige Wartungsschritte automatisch durchführen, wenn der Dienst Sicherheitscenter aktiviert ist. Dieser Dienst arbeitet mit dem Wartungscenter von Windows 7 zusammen. Wenn dieser Dienst aktiviert ist und in der Remotezugriffsinfrastruktur die entsprechenden NAP-Richtlinien konfiguriert sind, können sich Clients automatisch in einen konformen Zustand versetzen, indem sie die Windows-Firewall aktivieren, Windows Update ausführen und die Antiviren- und Antispyware-Software aktualisieren. In Umgebungen ohne Wartungsnetzwerke ist es erforderlich, dass Benutzer ihre Computer manuell in einen konformen Zustand versetzen, damit sie eine Remotezugriffsverbindung herstellen können. Wenn Ihre Organisation in ihrer Remotezugriffsinfrastruktur NAP verwendet, sollten Sie dafür sorgen, dass die Benutzer wissen, was zu tun ist, damit ihre Windows 7-Clients konform werden und Zugang zum internen Netzwerk erhalten. Weitere Informationen NAP Im NAP TechCenter unter erfahren Sie mehr über den Netzwerkzugriffsschutz. Remotedesktop und die Veröffentlichung von Anwendungen Die Remotedesktopdienste von Windows Server 2008 R2 (unter Windows Server 2008 und Windows Server 2003 noch Terminaldienste genannt) ermöglichen den Benutzern die Herstellung einer Remotedesktopverbindung von einem Client zu einem Server, auf dem sie Anwendungen ausführen können. Wie unter Windows 7 Remotedesktopverbindungen zu Clients erstellt werden, haben Sie bereits in Kapitel 7,»Windows-Firewall und Remoteverwaltung«, erfahren. Das Remotedesktopgateway (früher Terminaldienstegateway) ermöglicht Internetbenutzern die Erstellung von Remotedesktopverbindungen mit Servern aus einem internen Netzwerk, ohne eine VPN-Verbindung einrichten zu müssen. Verbindungen können nur zu speziell konfigurierten Remotedesktophosts aus dem internen Netzwerk hergestellt werden. Benutzer haben wie beim herkömmlichen VPN oder DirectAccess keinen Zugang zu allen Netzwerkressourcen.

26 538 Kapitel 10: DirectAccess und VPN-Verbindungen Weitere Informationen Remotedesktopgateway Weitere Informationen über das Remotedesktopgateway finden Sie in folgendem Microsoft TechNet-Artikel: Um über einen Remotedesktop-Gatewayserver eine Verbindung herzustellen, wechseln Sie im Dialogfeld Remotedesktopverbindung auf die Registerkarte Erweitert und klicken unter Verbindung von überall aus herstellen auf Einstellungen. Dadurch öffnet sich das Dialogfeld Remotedesktop-Gatewayservereinstellungen. In diesem Dialogfeld können Sie Einstellungen für das Remotedesktopgateway vornehmen und zum Beispiel festlegen, ob das Remotedesktopgateway automatisch ermittelt werden soll oder ob Sie einen bestimmten Remotedesktop- Gatewayserver verwenden möchten, wie in Abbildung Sie können auch die Option Keinen Remotedesktop-Gatewayserver verwenden wählen. Abbildung Remotedesktop-Gatewayservereinstellungen Abbildung Richtlinien für das Remotedesktopgateway

27 Lektion 2: Remoteverbindungen 539 Sie können die Konfiguration des Remotedesktopgateways auch in Gruppenrichtlinien durchführen, statt die Einstellungen manuell vorzunehmen. Die entsprechenden Richtlinien liegen im Knoten Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\ Remotedesktopdienste\Remotedesktopgateway (Abbildung 10.18). Diese Richtlinien funktionieren wie folgt: Authentifizierungsmethode für Remotedesktopgateway festlegen Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, wird die Authentifizierungsmethode verwendet, die der Benutzer angibt. Wird die Richtlinie aktiviert, kann der Administrator eine Änderung der Einstellung durch den Benutzer zulassen und unter folgenden Optionen wählen: Anmeldeinformationen anfordern, NTLM-Protokoll verwenden Anmeldeinformationen anfordern, Standardprotokoll verwenden Lokale Anmeldeinformationen verwenden Smartcard verwenden Verbindung über Remotedesktopgateway aktivieren Wenn diese Richtlinie aktiviert ist, versucht der Remotedesktopclient automatisch, eine Verbindung über das konfigurierte Remotedesktopgateway herzustellen, wenn er keine Verbindung mit dem konfigurierten Remotedesktopdiensteserver herstellen kann. Diese Richtlinie lässt sich nur erzwingen, wenn die Richtlinie Adresse des Remotedesktop-Gatewayservers festlegen konfiguriert ist. Die Richtlinie lässt sich mit einer Option so einstellen, dass Benutzer die Einstellung ändern können. Adresse des Remotedesktop-Gatewayservers festlegen Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, versuchen Clients automatisch zu erkennen, ob ein Remotedesktopgateway erforderlich ist. Ist dies der Fall, wird das Remotedesktopgateway verwendet, das der Benutzer angibt. Wenn die Richtlinie aktiviert ist, wird die in der Richtlinie angegebene Adresse des Remotedesktop-Gatewayservers verwendet. Die Adresse des Remotedesktop-Gatewayservers muss zu dem SSL-Zertifikat passen, das auf dem Remotedesktop-Gatewayserver installiert ist. RemoteApp ermöglicht es Anwendungen, die auf Remotedesktopdiensteservern ausgeführt werden, ihre Bildschirmausgabe auf den Remotedesktopclients anzuzeigen. Darin unterscheidet sich RemoteApp von einer Standardsitzung mit Remotedesktopverbindung, bei der der Benutzer den gesamten Desktop in einem Fenster sieht. Wenn Sie zum Beispiel die Anwendung Microsoft Office Excel 2007 mit RemoteApp veröffentlichen und ein Benutzer diese Anwendung verwendet, sieht er ein ganz normales Excel 2007-Anwendungsfenster, als würde er die Anwendung lokal ausführen. RemoteApp-Anwendungen werden zudem wie andere lokal installierte Anwendungen im Start-Menü angezeigt. Der Unterschied besteht darin, dass die RemoteApp-Anwendung auf dem Remotedesktopdiensteserver ausgeführt wird, während nur die Bildschirmausgaben der Anwendung auf dem Client angezeigt werden. Sie können RemoteApp-Anwendungen auch über das Internet verwenden, wenn die Verknüpfung mit der RemoteApp-Anwendung oder die RemoteApp-Veröffentlichung die Adresse eines Remotedesktop-Gatewayservers enthält. Die Adresse des Remotedesktop- Gatewayservers legen Sie vor der Veröffentlichung von Anwendungen im Dialogfeld Einstellungen für die RemoteApp-Bereitstellung fest (Abbildung 10.19). Dieses Dialogfeld ist auf einem Computer, auf dem Windows Server 2008 R2 ausgeführt wird, über den Remote-

28 540 Kapitel 10: DirectAccess und VPN-Verbindungen App-Manager zugänglich. Wenn Sie eine RemoteApp-Anwendung über Gruppenrichtlinien oder durch Verteilung einer Remotedesktop-Verknüpfungsdatei (.rdp) veröffentlichen, bevor Sie ein Remotedesktopgateway konfigurieren, müssen Sie die Anwendung erneut veröffentlichen und die Datei erneut verteilen. Abbildung Remotedesktopgatewayeinstellungen für RemoteApp Weitere Informationen RemoteApp Weitere Informationen über RemoteApp erhalten Sie auf der folgenden Microsoft TechNet- Webseite: Einwählverbindungen Viele Leute verwenden auch heute noch Einwählverbindungen, um eine Internetverbindung herzustellen. Windows 7 unterstützt Einwählverbindungen mit Internetanbietern, sofern ein kompatibles Modem verfügbar ist. Modems gibt es in unterschiedlichen Bauformen, beispielsweise als herkömmliches verkabeltes externes Gerät, Funkmodem, in die Hardware des portablen Computers integriert, oder als aufsteckbares USB-Gerät. So richten Sie eine Wählverbindung ein: 1. Klicken Sie im Netzwerk- und Freigabecenter auf Neue Verbindung oder neues Netzwerk einrichten. Wählen Sie auf der Seite Wählen Sie eine Verbindungsoption aus die Option Wählverbindung einrichten (Abbildung 10.20) und klicken Sie dann auf Weiter. 2. Geben Sie im Dialogfeld Wählverbindung erstellen die Telefonnummer des Internetanbieters ein, Ihren Benutzernamen beim Internetanbieter, das Kennwort und einen Namen für die Verbindung (Abbildung 10.21). Legen Sie außerdem fest, ob andere Benutzer des Computers diese Verbindung verwenden dürfen.

29 Lektion 2: Remoteverbindungen 541 Abbildung Einrichten einer Wählverbindung Abbildung Festlegen der Verbindungsdaten 3. Wenn Sie noch Regeln für das Wählen festlegen müssen, beispielsweise eine Ortskennzahl, eine Netzkennzahl, eine Amtskennziffer, oder wenn Sie festlegen wollen, ob eine Ton- oder Impulswahl erfolgt, können Sie auf Wählregeln klicken und diese Einstellungen vornehmen.

30 542 Kapitel 10: DirectAccess und VPN-Verbindungen Konfigurieren von Windows 7 für die Annahme von eingehenden Verbindungen Sie können Windows 7 so konfigurieren, dass es eingehende VPN- und Einwählverbindungen akzeptiert. In diesem Fall dient Windows 7 als VPN- und Einwählserver. Windows 7 unterstützt eingehende VPN-Verbindungen mit dem PPTP-Protokoll und lässt zu jedem Zeitpunkt immer nur eine eingehende Verbindung zu. So konfigurieren Sie Windows 7 für die Unterstützung eingehender Verbindungen: 1. Öffnen Sie die Seite Netzwerkverbindungen, die im Netzwerk- und Freigabecenter durch Klick auf Adaptereinstellungen ändern zugänglich ist. Drücken Sie auf die ALT-Taste, damit die Menüleiste sichtbar wird. Klicken Sie auf Datei und dann auf Neue eingehende Verbindung. 2. Wählen Sie die Benutzer aus, die per VPN- oder Wählverbindung Remotezugriff auf den Computer erhalten sollen, und klicken Sie dann auf Weiter (Abbildung 10.22). Abbildung Auswählen der Remotebenutzer 3. Wählen Sie auf der Seite Wie stellen die Benutzer eine Verbindung her? die Verbindungsarten aus, die unterstützt werden sollen. Verfügbar sind die Optionen Über das Internet und Über ein Modem. 4. Wählen Sie auf der Seite Die Netzwerksoftware ermöglicht dem Computer das Annehmen von Verbindungen von anderen Computern die Netzwerkkomponenten aus, die für eingehende Verbindungen aktiviert werden. Standardmäßig werden IPv4 und die Dateiund Druckerfreigabe aktiviert. IPv6 ist standardmäßig deaktiviert. 5. Durch einen Klick auf Eigenschaften können Sie für IPv4 festlegen, wie der Client seine Adresse erhält (Abbildung 10.24). Zur Wahl stehen die automatische Zuweisung über DHCP (Dynamic Host Configuration Protocol), eine Adresse aus einem IP-Adressenpool oder die Angabe einer eigenen IP-Adresse durch den Client.

31 Lektion 2: Remoteverbindungen 543 Abbildung Konfigurieren der eingehenden Verbindung Abbildung Eigenschaften eingehender Verbindungen Abbildung Die eingehenden Verbindungen wurden konfiguriert

32 544 Kapitel 10: DirectAccess und VPN-Verbindungen 6. Klicken Sie auf Zugriff zulassen. Auf der Seite Netzwerkverbindungen gibt es anschließend ein neues Element namens Eingehende Verbindungen (Abbildung 10.25). Im Eigenschaftendialogfeld dieses Elements können Sie festlegen, welche Benutzer eingehende Verbindungen herstellen dürfen. Um dieses Dialogfeld zu öffnen, klicken Sie das Element Eingehende Verbindungen mit der rechten Maustaste an und wählen Eigenschaften. Überwachung von Remoteverbindungen Wenn Sie Windows 7 für eingehende VPN- oder Einwählverbindungen konfigurieren, werden Sie diese Verbindungen überwachen wollen. Damit erhalten Sie Informationen darüber, welche Benutzer eine Remoteverbindung mit dem Windows 7-Client hergestellt haben. Zur einfachen Überwachung sollten Sie die Richtlinie Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie\Anmeldeereignisse überwachen aktivieren. Dann werden alle An- und Abmeldeversuche auf dem Computer überwacht, für den die Richtlinie wirksam ist. Abbildung Überwachen von Anmeldeereignissen Wenn Sie die Richtlinie Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen\Überwachung: Unterkategorieeinstellungen der Überwachungsrichtlinie erzwingen aktivieren, können Sie die ausführlicheren Überwachungsrichtlinien verwenden, die im Knoten Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Erweiterte Überwachungsrichtlinienkonfiguration\Systemüberwachungsrichtlinien\Anmelden/Abmelden verfügbar sind. Dieser Knoten enthält die Richtlinien Anmelden überwachen und Abmelden überwachen. Diese speziellen Richtlinien verringern die Menge der Aufzeichnungen über Anmelde- und Abmeldeaktivitäten im Ver-

33 Lektion 2: Remoteverbindungen 545 gleich zu der erwähnten allgemeineren Überwachungseinstellung. Die Einträge über Anund Abmeldeversuche aus dem Sicherheitsprotokoll können Sie sich in der Ereignisanzeige ansehen (Abbildung 10.26). Prüfungstipp Merken Sie sich, welches Protokoll für VPN-Reconnect erforderlich ist. Übung Konfigurieren von Remoteverbindungen Wenn Sie VPN-Verbindungen konfigurieren, müssen Sie drei Dinge wissen: die Adresse des VPN-Servers, den Benutzernamen, mit dem Sie die Verbindung herstellen, und das Kennwort für dieses Konto. Windows 7 probiert alle VPN-Protokolle durch, angefangen mit IKEv2, im nächsten Versuch mit SSTP, dann L2TP/IPsec und schließlich PPTP. Es ist also nicht unbedingt erforderlich, ein Protokoll für die VPN-Verbindung festzulegen. Allerdings können Sie dies später im Eigenschaftendialogfeld einer VPN-Verbindung nachholen. Die folgenden Übungen beschäftigen sich mit der Konfiguration von VPN-Verbindungen. Übung 1 Konfigurieren einer VPN-Verbindung In dieser Übung richten Sie eine VPN-Verbindung ein: 1. Melden Sie sich mit dem Benutzerkonto Kim_Akers auf dem Computer Canberra an. 2. Klicken Sie das Netzwerksymbol mit der rechten Maustaste an und wählen Sie Netzwerk- und Freigabecenter öffnen. Es öffnet sich das Netzwerk- und Freigabecenter. 3. Klicken Sie auf Neue Verbindung oder neues Netzwerk einrichten. Klicken Sie auf der ersten Seite des Assistenten Eine Verbindung oder ein Netzwerk einrichten (Abbildung 10.27) auf Verbindung mit dem Arbeitsplatz herstellen und dann auf Weiter. Abbildung Erstellen einer VPN-Verbindung

34 546 Kapitel 10: DirectAccess und VPN-Verbindungen 4. Klicken Sie auf der Seite Wie möchten Sie eine Verbindung herstellen? auf Die Internetverbindung (VPN) verwenden. 5. Geben Sie auf der Seite Geben Sie die Internetadresse zum Herstellen einer Verbindung ein den Namen remote-access.contoso.com. Wählen Sie die Kontrollkästchen Anderen Benutzern erlauben, diese Verbindung zu verwenden und Jetzt nicht verbinden, nur für spätere Verwendung einrichten (Abbildung 10.28). Klicken Sie auf Weiter. Abbildung VPN-Verbindungsadresse Abbildung VPN-Anmeldeinformationen

35 Lektion 2: Remoteverbindungen Geben Sie auf der Seite Geben Sie den Benutzernamen und das Kennwort ein den Benutzernamen und das Kennwort ein, das zur Authentifizierung beim Routing- und RAS-Server verwendet werden soll. Sie können auch die Domäne des Benutzerkontos eingeben (Abbildung 10.29). Klicken Sie auf Erstellen und dann auf Schließen. Übung 2 Ändern der VPN-Verbindungseigenschaften In dieser Übung ändern Sie die Eigenschaften der VPN-Verbindung, die Sie in der vorigen Übung für den VPN-Server von Contoso konfiguriert haben: 1. Sofern Sie es noch nicht getan haben, melden Sie sich mit dem Benutzerkonto Kim_ Akers am Computer Canberra an. 2. Klicken Sie das Netzwerksymbol mit der rechten Maustaste an und klicken Sie dann auf Netzwerk- und Freigabecenter öffnen. Es öffnet sich das Netzwerk- und Freigabecenter. 3. Klicken Sie im Netzwerk- und Freigabecenter auf Adaptereinstellungen ändern. 4. Klicken Sie auf der Seite Netzwerkverbindungen des Netzwerk- und Freigabecenters mit der rechten Maustaste auf VPN-Verbindung und wählen Sie Eigenschaften. Es öffnet sich das Dialogfeld Eigenschaften von VPN-Verbindung. 5. Klicken Sie auf die Registerkarte Sicherheit. Wählen Sie in der Dropdownliste VPN- Typ das Protokoll IKEv2 (Abbildung 10.30). Durch die Wahl dieses VPN-Typs ändern sich die Authentifizierungsoptionen. Abbildung VPN-Verbindungssicherheit 6. Klicken Sie auf Erweiterte Einstellungen. Ändern Sie die Netzwerkausfallzeit im Dialogfeld Erweiterte Eigenschaften auf 8 Stunden und klicken Sie dann auf OK. 7. Schließen Sie das Dialogfeld Eigenschaften von VPN-Verbindung.

VPN mit Windows Server 2003

VPN mit Windows Server 2003 VPN mit Windows Server 2003 Virtuelle private Netzwerke einzurichten, kann eine sehr aufwendige Prozedur werden. Mit ein wenig Hintergrundwissen und dem Server- Konfigurationsassistenten von Windows Server

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Top-Themen. Windows 8 - Remotezugriff mit DirectAccess und VPN... 2. Seite 1 von 19

Top-Themen. Windows 8 - Remotezugriff mit DirectAccess und VPN... 2. Seite 1 von 19 Top-Themen Windows 8 - Remotezugriff mit DirectAccess und VPN... 2 Seite 1 von 19 Installation und Konfiguration Windows 8 - Remotezugriff mit DirectAccess und VPN von Thomas Joos Seite 2 von 19 Inhalt

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

Konfigurieren von Remotezugriff

Konfigurieren von Remotezugriff Unterrichtseinheit 7: Konfigurieren von Remotezugriff Über Remotezugriff können Benutzer an einem Remotestandort eine Verbindung zu Ihrem Netzwerk herstellen. Aufbau einer RAS-Verbindung (siehe Kapitel

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

NAS 323 NAS als VPN-Server verwenden

NAS 323 NAS als VPN-Server verwenden NAS 323 NAS als VPN-Server verwenden NAS als VPN-Server verwenden und über Windows und Mac eine Verbindung dazu herstellen A S U S T O R - K o l l e g Kursziele Nach Abschluss dieses Kurses sollten Sie:

Mehr

Wireless & Management

Wireless & Management 4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung

Mehr

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X

L2TP over IPSEC. Built-in VPN für Windows 10 / 8 / 7 und MacOS X FORSCHUNGSZENTRUM JÜLICH GmbH Jülich Supercomputing Centre 52425 Jülich, (02461) 61-6402 Beratung und Betrieb, (02461) 61-6400 Technische Kurzinformation FZJ-JSC-TKI-0387 W.Anrath,S.Werner,E.Grünter 26.08.2015

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Switching. Übung 9 EAP 802.1x. 9.1 Szenario Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der

Mehr

ln haltsverzeich n is

ln haltsverzeich n is 5 ln haltsverzeich n is Einführung............................................................... 13 Systemvoraussetzungen................................................... 14 Einrichten der Testumgebung

Mehr

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration...

Mehr

3 Active Directory installieren

3 Active Directory installieren 3 Active Directory installieren In diesem Kapitel gehe ich auf die neuen Active Directory-Funktionen im Einsatz mit Windows Server 2008 ein. Die Funktion eines Domänen-Controllers wird in Windows Server

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen:

Die automatische Clientkonfiguration durch den DHCP-Server geschieht folgendermaßen: Default Gateway: 172.16.22.254 Ein häufiger Fehler in den Konfigurationen liegt darin, dass der Netzanteil des Default Gateway nicht mit dem Netzanteil der IP-Adresse des Rechners übereinstimmt. 4.4 DHCP-Service

Mehr

Remote Update User-Anleitung

Remote Update User-Anleitung Remote Update User-Anleitung Version 1.1 Aktualisiert Sophos Anti-Virus auf Windows NT/2000/XP Windows 95/98/Me Über diese Anleitung Mit Remote Update können Sie Sophos-Produkte über das Internet aktualisieren.

Mehr

Dokumentation VPN-Server unter Windows 2000 Server

Dokumentation VPN-Server unter Windows 2000 Server Dokumentation VPN-Server unter Windows 2000 Server Ziel: Windows 2000 Server als - VPN-Server (für Remoteverbindung durch Tunnel über das Internet), - NAT-Server (für Internet Sharing DSL im lokalen Netzwerk),

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

und http://www.it-pruefungen.de/

und http://www.it-pruefungen.de/ -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.de/ Prüfungsnummer : 70-643 Prüfungsname fungsname: Windows Server

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Shellfire L2TP-IPSec Setup Windows XP

Shellfire L2TP-IPSec Setup Windows XP Shellfire L2TP-IPSec Setup Windows XP Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ L2TP-IPSec unter Windows XP konfiguriert wird. Inhaltsverzeichnis 1. Benötigte

Mehr

Windows-Firewall Ausnahmen

Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen für Docusnap konfigurieren Datum 29.04.2010 Ersteller Seitenanzahl 24 Inhaltverzeichnis 1 Windows Firewall Konfiguration - Grundlagen... 3 1.1

Mehr

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH www.docusnap.com Inhaltsverzeichnis 1 Windows Firewall Konfiguration - Grundlagen 3 1.1 Übersicht - benötige Firewall Ausnahmen 3 2 Windows

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Shellfire L2TP-IPSec Setup Windows 7

Shellfire L2TP-IPSec Setup Windows 7 Shellfire L2TP-IPSec Setup Windows 7 Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ L2TP-IPSec unter Windows 7 konfiguriert wird. Inhaltsverzeichnis 1. Benötigte

Mehr

Unterrichtseinheit 9

Unterrichtseinheit 9 Unterrichtseinheit 9 Sicherheitsrichtlinien werden verwendet, um die Sicherheit im Netzwerk zu verstärken. Die effizienteste Möglichkeit zum Implementieren dieser, stellt die Verwendung von Sicherheitsvorlagen

Mehr

Inhaltsverzeichnis. Teil I VPN-Technologie... 1. Danksagungen... XIII

Inhaltsverzeichnis. Teil I VPN-Technologie... 1. Danksagungen... XIII Danksagungen... XIII Einführung... XV Aufbau dieses Buchs... XV Die Begleit-CD... XVIII Weitere Informationsquellen... XVIII Konventionen... XIX Hinweisarten... XIX Typografische Konventionen... XIX Systemvoraussetzungen...

Mehr

Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP

Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP ADSL INSTALLATION - ETHERNET Installationsbeschreibung für ADSL mit folgenden Systemen: Windows 98 Windows ME Windows 2000 Windows XP HostProfis ISP ADSL Installation 1 Bankverbindung: ADSL INSTALLATION

Mehr

Virtuelle Private Netzwerke mit Windows Server 2003

Virtuelle Private Netzwerke mit Windows Server 2003 Joseph Davies, Elliot Lewis Virtuelle Private Netzwerke mit Windows Server 2003 Microsoft Press Danksagungen Einführung Aufbau dieses Buchs Die Begleit-CD Weitere Informationsquellen Konventionen Hinweisarten

Mehr

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver Eine Firewall für Lexware professional oder premium konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Die Firewall von Windows 7 und Windows 2008 Server... 2 4. Die Firewall

Mehr

Virtual Private Network Ver 1.0

Virtual Private Network Ver 1.0 Virtual Private Network Ver 1.0 Mag Georg Steingruber Veröffentlicht: April 2003 Installationsanleitung für den Einsatz der im Microsoft-BM:BWK Schoolagreement enthaltenen Serverprodukte Abstract Dieses

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Anschluss von Laptops im Lehrenetz der BA Stuttgart

Anschluss von Laptops im Lehrenetz der BA Stuttgart Anschluss von Laptops im Lehrenetz der BA Stuttgart Studenten können private oder vom Ausbildungsbetrieb gestellte Laptops unter folgenden Voraussetzungen an das Notebook Access Control System (NACS) der

Mehr

VirtualPrivate Network(VPN)

VirtualPrivate Network(VPN) Deine Windows Mobile Community VirtualPrivate Network(VPN) Yves Jeanrenaud yjeanrenaud, pocketpc.ch VPN-Grundlagen Geräte aus einem Netz in ein anderes, inkompatibles, Netz einbinden: VPN-Tunnel Verschiedene

Mehr

Anleitung Captain Logfex 2013

Anleitung Captain Logfex 2013 Anleitung Captain Logfex 2013 Inhalt: 1. Installationshinweise 2. Erste Schritte 3. Client-Installation 4. Arbeiten mit Logfex 5. Gruppenrichtlinien-Einstellungen für die Windows-Firewall 1. Installationshinweis:

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren?

3. Was müssen Sie tun, um von einem Windows 7 Client die Benutzereinstellungen und die Einstellungen einer bestimmten Anwendung zu exportieren? Arbeitsblätter Der Windows 7 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 680 Aufgaben Kapitel 1 1. Sie möchten auf einem Computer, auf dem Windows Vista installiert ist, Windows 7 zusätzlich installieren,

Mehr

Step by Step VPN unter Windows Server 2003. von Christian Bartl

Step by Step VPN unter Windows Server 2003. von Christian Bartl Step by Step VPN unter Windows Server 2003 von VPN unter Windows Server 2003 Einrichten des Servers 1. Um die VPN-Funktion des Windows 2003 Servers zu nutzen muss der Routing- und RAS-Serverdienst installiert

Mehr

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung

3-349-871-01 1/7.15. GMSTHostService. Bedienungsanleitung 3-349-871-01 1/7.15 GMSTHostService Bedienungsanleitung Inhaltsverzeichnis 1. Registrierung... 3 Erste Registrierung... 3 2. GMSTHostService Basisinformationen... 8 3. Beispiel GMSTHostService Konfiguration....

Mehr

Microsoft ISA Server 2006

Microsoft ISA Server 2006 Microsoft ISA Server 2006 Leitfaden für Installation, Einrichtung und Wartung ISBN 3-446-40963-7 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40963-7 sowie im Buchhandel

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben VPN In diesem Versuch lernen Sie eine sichere VPN Verbindung zu einem Server aufzubauen. Dabei werden zuerst ältere Verfahren eingesetzt

Mehr

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch

Mehr

HowTo: VPN zu wi.local mit Windows 7

HowTo: VPN zu wi.local mit Windows 7 2 0 1 3 HowTo: VPN zu wi.local mit Windows 7 F a c h h o c h s c h u l e M ü n s t e r F a c h b e r e i c h W i r t s c h a f t W i r t s c h a f t s i n f o r m a t i k Version 1.1 Seite 1 Inhaltsverzeichnis

Mehr

1 Remotedesktopdienste (ehem. Terminal Services)

1 Remotedesktopdienste (ehem. Terminal Services) Windows Server 2008 (R2): Anwendungsserver 1 Remotedesktopdienste (ehem. Terminal Services) Die Remotedesktopdienste gehören zu den Desktopvirtualisierungsprodukten von Microsoft. Die Remotedesktopdienste

Mehr

Grundinstallation von Windows 2003 ver 1.0

Grundinstallation von Windows 2003 ver 1.0 Grundinstallation von Windows 2003 ver 1.0 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt die Grundinstallation

Mehr

redmonds Inhalt Windows - Mag. Christian Zahler, Stand: August 2011 1 Server 2008 (R2) Netzwerkinfrastruktur

redmonds Inhalt Windows - Mag. Christian Zahler, Stand: August 2011 1 Server 2008 (R2) Netzwerkinfrastruktur Windows Server 2008 (R2) Netzwerkinfrastruktur redmonds Inhalt 1 TCP/IPArchitektur von Windows Server 2008 (R2) 13 2 Netzwerkanalyse mit Microsoft Network Monitor 15 2.1 Grundlagen, Sniffer 15 2.2 EthernetFrames

Mehr

Eduroam unter Windows 7

Eduroam unter Windows 7 Eduroam unter Windows 7 Diese Anleitung ist für die Einrichtung des Zugriffs auf das Eduroam-Netzwerk unter Windows 7. Vorbereitung: Wenn noch nie eine Verbindung zum Eduroam-Netzwerk aufgebaut wurde,

Mehr

IPv6 in der Praxis: Microsoft Direct Access

IPv6 in der Praxis: Microsoft Direct Access IPv6 in der Praxis: Microsoft Direct Access Frankfurt, 07.06.2013 IPv6-Kongress 1 Über mich Thorsten Raucamp IT-Mediator Berater Infrastruktur / Strategie KMU Projektleiter, spez. Workflowanwendungen im

Mehr

RemoteApp für Terminaldienste

RemoteApp für Terminaldienste RemoteApp für Terminaldienste Mithilfe der Terminaldienste können Organisationen nahezu jeden Computer von nahezu jedem Standort aus bedienen. Die Terminaldienste unter Windows Server 2008 umfassen RemoteApp

Mehr

Prüfungsnummer: 70-414-deutsch. Prüfungsname: Implementing an. Version: Demo. Advanced Server Infrastructure. http://www.it-pruefungen.

Prüfungsnummer: 70-414-deutsch. Prüfungsname: Implementing an. Version: Demo. Advanced Server Infrastructure. http://www.it-pruefungen. Prüfungsnummer: 70-414-deutsch Prüfungsname: Implementing an Advanced Server Infrastructure Version: Demo http://www.it-pruefungen.de/ 1. Ihr Firmennetzwerk umfasst eine Active Directory-Domänendienste

Mehr

Installationsanleitung adsl Einwahl unter Windows 8

Installationsanleitung adsl Einwahl unter Windows 8 adsl Einwahl unter Windows 8 adsl Einwahl mit Ethernet-Modem unter Windows 8 Diese Konfigurationsanleitung erklärt Ihnen in einfachen und bildlich dargestellten Schritten, wie Sie Ihr adsl Ethernet-Modem

Mehr

Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen

Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen 1 Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen Remote Desktop Service Farm mit Windows Server 2012 R2 aufbauen Inhalt

Mehr

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse Modul 1: Installation und Konfiguration von Windows Server 2008Diese Unterrichtseinheit befasst sich mit

Mehr

Serverumzug mit Win-CASA

Serverumzug mit Win-CASA Serverumzug mit Win-CASA Wenn Sie in Ihrem Netzwerk einen Umzug der Server-Version durchführen müssen, sollten Sie ein paar Punkte beachten, damit dies ohne Probleme abläuft. 1. Nachweis-Ordner In der

Mehr

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Unterrichtseinheit 13: Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Die Remoteinstallationsdienste (Remote Installation Services, RIS) bilden die Grundlage der Windows2000-Remote-Betriebssysteminstallation.

Mehr

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff

Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Application Note MiniRouter: IPsec-Konfiguration und -Zugriff Dieses Dokument beschreibt die Konfiguration für den Aufbau einer IPsec-Verbindung von einem PC mit Windows XP Betriebssystem und dem 1. Ethernet-Port

Mehr

Anleitung für Konfiguration von eduroam unter Windows XP

Anleitung für Konfiguration von eduroam unter Windows XP Anleitung für Konfiguration von eduroam unter Windows XP Die folgenden Voraussetzungen müssen erfüllt sein, damit der Netzwerkzugang mit eduroam konfiguriert werden kann: Gültiger Benutzeraccount der Universität

Mehr

5.3.5.3 Übung - Fernzugriff und Remoteunterstützung in Windows Vista

5.3.5.3 Übung - Fernzugriff und Remoteunterstützung in Windows Vista IT-Essentials 5.0 5.3.5.3 Übung - Fernzugriff und Remoteunterstützung in Windows Vista Einführung Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung stellen Sie eine Remoteverbindung

Mehr

Einrichtung von VPN-Verbindungen unter Windows NT

Einrichtung von VPN-Verbindungen unter Windows NT www.netzwerktotal.de Einrichtung von VPN-Verbindungen unter Windows NT Installation des VPN-Servers: Unter "Systemsteuerung / Netzwerk" auf "Protokolle / Hinzufügen" klicken. Jetzt "Point to Point Tunneling

Mehr

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 ist ein Softwarepaket für Fiery Druckcontroller mit

Mehr

Direct Access. Es wird Zeit für eine neue Verbindung Frank Carius

Direct Access. Es wird Zeit für eine neue Verbindung Frank Carius Direct Access Es wird Zeit für eine neue Verbindung Frank Carius Was wir tun Net at Work liefert Lösungen rund um die IT-gestützte Kommunikation und Zusammenarbeit im Unternehmen. Communication Collaboration

Mehr

Einrichten von Netzwerkdiensten

Einrichten von Netzwerkdiensten 133 KAPITEL 6 Einrichten von Netzwerkdiensten und Netzwerkzugriff Auch das Thema»Einrichten von Netzwerkdiensten und Netzwerkzugriff«der Prüfung 70-417 umfasst nur ein einziges Lernziel, nämlich die Einrichtung

Mehr

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt.

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt. Windows 7 verfügt über die neue Funktion Heimnetzgruppe. Damit lassen sich Dateien und Ordner zwischen Rechnern austauschen. Auf den Rechnern kann Windows XP, Vista und 7 installiert sein. Die mit Windows

Mehr

HostProfis ISP ADSL-Installation Windows XP 1

HostProfis ISP ADSL-Installation Windows XP 1 ADSL INSTALLATION WINDOWS XP Für die Installation wird folgendes benötigt: Alcatel Ethernet-Modem Splitter für die Trennung Netzwerkkabel Auf den folgenden Seiten wird Ihnen in einfachen und klar nachvollziehbaren

Mehr

Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren

Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren [Geben Sie Text ein] Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Inhalt Active Directory-Zertifikatdienst

Mehr

Konfigurationsbeispiel

Konfigurationsbeispiel ZyWALL 1050 dynamisches VPN Dieses Konfigurationsbeispiel zeigt, wie man einen VPN-Tunnel mit einer dynamischen IP-Adresse auf der Client-Seite und einer statischen öffentlichen IP-Adresse auf der Server-Seite

Mehr

10.3.1.9 Übung - Konfigurieren einer Windows Vista-Firewall

10.3.1.9 Übung - Konfigurieren einer Windows Vista-Firewall 5.0 10.3.1.9 Übung - Konfigurieren einer Windows Vista-Firewall Drucken Sie diese Übung aus und führen Sie sie durch. In dieser Übung werden Sie erfahren, wie man die Windows Vista-Firewall konfiguriert

Mehr

X-RiteColor Master Web Edition

X-RiteColor Master Web Edition X-RiteColor Master Web Edition Dieses Dokument enthält wichtige Informationen für die Installation von X-RiteColor Master Web Edition. Bitte lesen Sie die Anweisungen gründlich, und folgen Sie den angegebenen

Mehr

Windows-Firewall-Ausnahmen Windows-Firewall-Ausnahmen für Docusnap konfigurieren

Windows-Firewall-Ausnahmen Windows-Firewall-Ausnahmen für Docusnap konfigurieren Windows-Firewall-Ausnahmen Windows-Firewall-Ausnahmen für Docusnap konfigurieren www.docusnap.com TITEL Windows-Firewall-Ausnahmen AUTOR Docusnap Consulting DATUM 14.04.2015 Die Weitergabe, sowie Vervielfältigung

Mehr

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert: Firewall für Lexware professional konfigurieren Inhaltsverzeichnis: 1. Allgemein... 1 2. Einstellungen... 1 3. Windows XP SP2 und Windows 2003 Server SP1 Firewall...1 4. Bitdefender 9... 5 5. Norton Personal

Mehr

Collax PPTP-VPN. Howto

Collax PPTP-VPN. Howto Collax PPTP-VPN Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als PPTP-VPN Server eingerichtet werden kann, um Clients Zugriff ins Unternehmensnetzwerk von außen zu ermöglichen.

Mehr

Dokumentation Active Directory Services mit Vertrauensstellungen

Dokumentation Active Directory Services mit Vertrauensstellungen Dokumentation Active Directory Services mit Vertrauensstellungen Inhaltsverzeichnis Hilfestellung... 1 Video: Installation unter VMware Workstation... 1 Schritt 1... 1 Einstellung des Computernamen...

Mehr

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express Beim Installieren und Konfigurieren von IBM (R) Cognos (R) Express (R) führen Sie folgende Vorgänge aus: Sie kopieren die Dateien für alle

Mehr

Konfigurationsbeispiel USG

Konfigurationsbeispiel USG ZyWALL USG L2TP VPN over IPSec Dieses Konfigurationsbeispiel zeigt das Einrichten einer L2TP Dial-Up-Verbindung (Windows XP, 2003 und Vista) auf eine USG ZyWALL. L2TP over IPSec ist eine Kombination des

Mehr

windream mit Firewall

windream mit Firewall windream windream mit Firewall windream GmbH, Bochum Copyright 2004 2006 by windream GmbH / winrechte GmbH Wasserstr. 219 44799 Bochum Stand: 08/06 1.0.0.3 Alle Rechte vorbehalten. Kein Teil dieser Beschreibung

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it

Neuigkeiten in Microsoft Windows Codename Longhorn. 2006 Egon Pramstrahler - egon@pramstrahler.it Neuigkeiten in Microsoft Windows Codename Longhorn Windows Server - Next Generation Derzeit noch Beta Version (aktuelles Build 5308) Weder definitiver Name und Erscheinungstermin sind festgelegt Direkter

Mehr

Netzwerkverbindung mit der linken Maustaste und wählen sie dort den Punkt Netzwerk

Netzwerkverbindung mit der linken Maustaste und wählen sie dort den Punkt Netzwerk Anleitung zum Verbinden an das W-LAN LAN-Netzwerk Netzwerk bei der FHDW Hannover (für Windows 7) 1.) Klicken Sie auf der rechten Seite der Taskleiste auf das Symbol für die Netzwerkverbindung Netzwerkverbindung

Mehr

IBM SPSS Modeler Server 16 for Windows Installationsanweisungen

IBM SPSS Modeler Server 16 for Windows Installationsanweisungen IBM SPSS Modeler Server 16 for Windows Installationsanweisungen Inhaltsverzeichnis Installationsanweisungen....... 1 Systemanforderungen........... 1 Installation............... 1 Ziel................

Mehr

Prüfungsnummer: 70-689. Prüfungsname: (Deutsche. Version: Demo. Upgrading Your Skills to MCSA Windows 8. http://zertifizierung-portal.

Prüfungsnummer: 70-689. Prüfungsname: (Deutsche. Version: Demo. Upgrading Your Skills to MCSA Windows 8. http://zertifizierung-portal. Prüfungsnummer: 70-689 Prüfungsname: (Deutsche Version) Upgrading Your Skills to MCSA Windows 8 Version: Demo http://zertifizierung-portal.de/ Achtung: Aktuelle englische Version zu 70-689 bei uns ist

Mehr

3 Konfiguration von Windows

3 Konfiguration von Windows Einführung 3 Konfiguration von Windows Vista Sicherheitseinstellungen Lernziele: Die UAC (User Account Control) Der Windows Defender Sicherheit im Internet Explorer 7 Die Firewall Prüfungsanforderungen

Mehr

Netzwerk einrichten unter Windows XP

Netzwerk einrichten unter Windows XP Netzwerk einrichten unter Windows XP Dieses Tutorial beschreibt, wie Sie unter Windows XP das Netzwerk einrichten. Es wird vorausgesetzt, dass der Computer bereits über eine Netzwerkkarte verfügt. Das

Mehr

Inhaltsverzeichnis Einführung Kapitel 1: Installation, Aktualisierung und Bereitstellung von Windows Server 2008 R2

Inhaltsverzeichnis Einführung Kapitel 1: Installation, Aktualisierung und Bereitstellung von Windows Server 2008 R2 7 Inhaltsverzeichnis Einführung... 17 Systemvoraussetzungen... 19 Hardwarevoraussetzungen... 19 Softwarevoraussetzungen... 19 Vorbereiten des Windows Server 2008 R2 Enterprise-Computers... 19 Einrichten

Mehr

1 Verwalten einer Serverumgebung

1 Verwalten einer Serverumgebung Einführung 1 Verwalten einer Serverumgebung Lernziele: Verstehen der Voraussetzungen für die Serververwaltung Erlernen der Remoteverwaltung mit Hilfe der Computerverwaltungskonsole Remoteadministration

Mehr

Prüfungsnummer: 70-410. Prüfungsname: Installing and. Version: Demo. Configuring Windows Server 2012. http://zertifizierung-portal.

Prüfungsnummer: 70-410. Prüfungsname: Installing and. Version: Demo. Configuring Windows Server 2012. http://zertifizierung-portal. Prüfungsnummer: 70-410 Prüfungsname: Installing and Configuring Windows Server 2012 Version: Demo http://zertifizierung-portal.de/ Achtung: Aktuelle englische Version zu 70-410 bei uns ist auch verfügbar!!

Mehr

26. November 2007. Die Firewall

26. November 2007. Die Firewall Die Firewall Was ist eine Firewall! Eine Firewall kann Software oder Hardware sein. Die Windows Vista Firewall ist eine Software Lösung. Ihre Aufgabe ist es, Daten aus dem Internet (Netzwerk) zu prüfen

Mehr

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1

Arbeitsblätter. Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685. Aufgaben Kapitel 1 Arbeitsblätter Der Windows 7 MCITP-Trainer - Vorbereitung zur MCITP-Prüfung 70-685 Aufgaben Kapitel 1 1. Sie betreuen die Clients in Ihrer Firma. Es handelt sich um Windows 7 Rechner in einer Active Momentan

Mehr

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27). Szenario: Benutzer möchte aus dem Ausland eine verschlüsselte Verbindung über das Internet in sein Netzwerk herstellen

Mehr

WLAN Windows 7 + Netzlaufwerke und Drucker

WLAN Windows 7 + Netzlaufwerke und Drucker Inhalt 1 Wireless-LAN (WLAN) unter Windows 7 oder einem 802.1X-fähigem Endgerät für HAWHof... 2 2 Wireless-LAN-Einstellungen für nicht 802.1x-fähige Endgeräte... 10 3 Laufwerke verbinden... 13 3.1 Mögliche

Mehr

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario 4.0 PPTP Client Einwahl 4.1 Szenario In dem folgenden Szenario werden Sie eine VPN Verbindung mit PPTP konfigurieren. In der Zentrale steht ein VPN Server mit statischer IP Adresse. Ein Windows Client

Mehr

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung

ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft

Mehr

Server: Welche Ausnahmen am Server ergänzt werden müssen, entnehmen Sie bitte dem Punkt 4.

Server: Welche Ausnahmen am Server ergänzt werden müssen, entnehmen Sie bitte dem Punkt 4. Anleitung Net.FX Inhalt 1 Installationshinweise 2 Erste Schritte 3 Arbeiten mit Net.FX 4 Firewall-Einstellungen für den Server 5 Gruppenrichtlinien: Einstellungen für die Clients 1 Installationshinweise

Mehr

IPv6 und Microsoft Direct Access in einer SBS-Umgebung. Von der Vision zum Einsatz

IPv6 und Microsoft Direct Access in einer SBS-Umgebung. Von der Vision zum Einsatz IPv6 und Microsoft Direct Access in einer SBS-Umgebung Von der Vision zum Einsatz Über mich Thorsten Raucamp Jahrgang 1971 verheiratet, eine Tochter staatlich geprüfter Betriebswirt Schwerpunkt EDV / Organisation

Mehr

1 Schritt: Auf der Seite http://www.fh-brandenburg.de/wlananmeldung/ einloggen und. ODER Zertifikat für VPN, wenn sie nur VPN nutzen möchten

1 Schritt: Auf der Seite http://www.fh-brandenburg.de/wlananmeldung/ einloggen und. ODER Zertifikat für VPN, wenn sie nur VPN nutzen möchten VPN fu Windows 7 1. Zertifikat beantragen und herunterladen Wenn sie noch kein Zertifikat haben müssen sie dieses zuerst beantragen. Wenn sie bereits WLAN an der FH Brandenburg nutzen, können sie direkt

Mehr

Konfiguration von Clients zur Kommunikation mit einem SUS-Server

Konfiguration von Clients zur Kommunikation mit einem SUS-Server Konfiguration von Clients zur Kommunikation mit einem SUS-Server Allgemeine Informationen Damit sich der Autoupdate-Client die Updates vom lokalen SUS-Server abholt, muss in seiner Registry die korrekten

Mehr

Shellfire PPTP Setup Windows 7

Shellfire PPTP Setup Windows 7 Shellfire PPTP Setup Windows 7 Diese Anleitung zeigt anschaulich, wie ein bei Shellfire gehosteter VPN-Server im Typ PPTP unter Windows 7 konfiguriert wird. Inhaltsverzeichnis 1. Benötigte Daten... 2 2.

Mehr