So haben die Redmonder ihr aktuelles Server-Betriebssystem Windows Server 2003 mit mehreren Funktionen ausgestattet, die beim Fernzugriff mobiler Anwender nützlich sind. Als Grundfunktion gestattet der "Routing and Remote Access Service" (RRAS) Mitarbeitern den Remote-Zugriff auf das Unternehmensnetz per Einwählverbindung. Während noch vor ein paar Jahren direkte Einwählverbindungen über Modem oder ISDN den Alltag bestimmten, geben heute virtuelle private Netze (VPNs) den Ton an. Schließlich ist es für die Mitarbeiter unterwegs meist deutlich kostengünstiger, einen lokalen Internet-Zugang für den Zugriff auf das Firmen-LAN zu nutzen, als sich über teure Fern- oder gar Auslandsverbindungen direkt in das Unternehmensnetz einzuwählen.

Verschiedene Tunnel für VPNs

Neben dem Microsoft-eigenen Point-to-Point Tunneling Protocol (PPTP) beherrscht der VPN-Server von Windows Server 2003 auch die Kombination aus Layer Two Tunneling Protocol (L2TP) und dem zur Verschlüsselung dienenden Protokoll IP Security (IPsec). PPTP steht dabei in dem Ruf, zwar unsicherer, dafür einfacher zu konfigurieren zu sein, während L2TP/IPsec als sicherer gilt. Es erfordert jedoch eine aufwändigere Konfiguration.

Meist greifen Unternehmen jedoch aus einem anderen Grund zu VPN-Verbindungen auf PPTP-Basis: IPsec kann keine Network Address Translation (NAT). Damit können Clients, die sich in einem privaten Netzwerk befinden, das über ein NAT-Gerät wie etwa einen handelsüblichen DSL-Router mit dem öffentlichen Internet verbunden ist, in der Regel L2TP/IPsec für VPN-Verbindungen nicht nutzen. Deshalb wartet der Windows Server 2003 mit der neuen Technologie "NAT-T" (NAT-Traversal) auf: Unter Verwendung des aktualisierten VPN-Clients - den Microsoft kostenlos, allerdings nur für Windows XP und Windows 2000 offeriert - können L2TP/IPsec-basierte VPN-Verbindungen dann auch NAT-Geräte ungehindert passieren.

Microsofts Radius-Lösung

Eng mit RRAS zusammen arbeitet der "Internet Authentification Service" (IAS), die Microsoft-Server-Implementierung des "Remote Authentication Dial-In User Service" (Radius). IAS zeichnet für die Authentifizierung und Autorisierung von mobilen Anwendern verantwortlich und greift auf die lokale Benutzerdatenbank des Servers oder das zentrale Active Directory eines Unternehmens zurück. Der Vorteil dieser Vorgehensweise liegt darin, dass Radius die Authentifizierung vom eigentlichen Zugangsequipment entkoppelt. Dies erlaubt zum Beispiel den Einsatz von Remote-Access-Servern anderer Hersteller, falls diese Geräte das Verfahren unterstützen.

Zur Erhöhung der Fehlertoleranz und der Vermeidung eines Single Point of Failure kann der IAS auf Wunsch als Proxy konfiguriert werden, der Radius-Anfragen nicht selbst beantwortet, sondern an eine Gruppe mehrerer Radius-Server weiterleitet. Ferner lassen sich mit IAS alle Remote-Zugriffe ausführlich protokollieren - beim Windows Server 2003 endlich auch in einer SQL-Datenbank. Dies erleichtert später die Auswertung.

Mobile Mitarbeiter sind häufig mit Notebooks ausgestattet und nutzen Funknetze im Rahmen ihrer beruflichen Tätigkeit, so dass Besprechungen mit Kollegen in der Zentrale oder Zweigniederlassungen flexibel stattfinden können. Deshalb ist es durchaus praktisch, dass die IAS-Ausführung von Windows Server 2003 den Zugriff auf das Unternehmensnetz ebenfalls per Wireless LAN gewähren kann. Hierfür kommt mit "802.1X" (nicht zu verwechseln mit den WLAN-Standards 802.11a/ b/g) ein weiteres Verfahren ins Spiel. 802.1X baut direkt auf Radius auf und erlaubt nur solchen Clients, die die Berechtigung dazu besitzen, den Zugang zum WLAN eines Unternehmens. Unbefugte Clients hingegen, die sich innerhalb des Firmengebäudes oder draußen unmittelbar davor befinden, werden vom Access Point abgewiesen. Der Vollständigkeit halber sei erwähnt, dass 802.1X nicht nur für WLANs, sondern bei Verwendung entsprechender Ethernet-Switches auch für verkabelte LANs geeignet ist.

Für das Service-Pack 1 des Windows Server 2003 hat Microsoft mit den Radius-basierten "Wireless Provisioning Services" (WPS) ein weiteres Tool für Funknetze in der Pipeline. Es erlaubt Gästen, sofern auf ihrem Computer der WPS-Client aus dem Windows XP Professional Service Pack 2 installiert ist, den WLAN-Hotspot eines Unternehmens zu nutzen. Die integrierten Abrechnungsdienste lassen diese Lösung jedoch in erster Linie für WLAN-Service-Provider oder Enterprise-Umgebungen attraktiv erscheinen.

E-Mails als WAP-Seiten

Die Mobilität steht auch beim "Exchange Server 2003" im Mittelpunkt. So verhindert etwa das lokale Caching des E-Mail-Postfachs durch den "Outlook-2003"-Client, dass kurzzeitige Verbindungsunterbrechungen, wie sie etwa bei UMTS in Anbetracht der derzeitigen Netzabdeckung häufig auftreten können, auf dem Rechner des Anwenders in Fehler münden und er seine E-Mails, Termine etc. nicht mehr bearbeiten kann. Darüber hinaus hat Microsoft in seinen Mail-Server Funktionen zum Fernzugriff integriert, die einst dem hauseigenen "Mobile Information Server" vorbehalten waren. Auf diese Weise können mobile Mitarbeiter ihre E-Mails nicht nur über den Micro-Browser eines PDAs und Smartphones, sondern selbst auf einem normalen Handy bearbeiten. Der Exchange Server 2003 stellt die Informationen nämlich auch als WAP-Seiten bereit. Wer sich am PC ein Bild davon machen möchte, wie dies aussieht, kann auf einen WAP-Simulator zurückgreifen und testen, wie die E-Mail-Bearbeitung per Handy mit Exchange Server 2003 funktioniert. (hi)

*Eric Tierling ist freier Journalist und Buchautor in Leichlingen.

Mobility-Features

Windows Server 2003:

- Routing and Remote Access Service (RRAS);

- Point-to-Point Tunneling Protocol (PPTP);

- Layer Two Tunneling Protocol mit IPsec (L2TP/Ipsec);

- NAT-Traversal (NAT-T);

- Internet Authentification Service (IAS) als Radius;

- Wireless Provisioning Services (WPS) für WLAN.

Exchange Server 2003:

- lokales Caching der Postfächer;

- Fernzugriff;

- Darstellung von Mails als WAP-Seiten.