Mobilität in der Microsoft-Welt

Eric Tierling, Master in Information Systems Security Management (Professional), blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück. Neben Hunderten an Fachbeiträgen hat er über 50 Bücher veröffentlicht. Er ist Spezialist für Themen rund um die Informationssicherheit sowie einer der bekanntesten Experten Deutschland für Windows Server und Microsoft-basierte Infrastrukturen.
Immer mehr Anwender sind beruflich unterwegs. Um sie dennoch in den Unternehmens-Workflow einzubinden, sind häufig gar keine teuren Zusatz-Tools erforderlich, denn die Infrastruktur-Server von Microsoft bringen bereits etliche der benötigten Features mit.
Fotos: Fujitsu-Siemens
Fotos: Fujitsu-Siemens

So haben die Redmonder ihr aktuelles Server-Betriebssystem Windows Server 2003 mit mehreren Funktionen ausgestattet, die beim Fernzugriff mobiler Anwender nützlich sind. Als Grundfunktion gestattet der „Routing and Remote Access Service“ (RRAS) Mitarbeitern den Remote-Zugriff auf das Unternehmensnetz per Einwählverbindung. Während noch vor ein paar Jahren direkte Einwählverbindungen über Modem oder ISDN den Alltag bestimmten, geben heute virtuelle private Netze (VPNs) den Ton an. Schließlich ist es für die Mitarbeiter unterwegs meist deutlich kostengünstiger, einen lokalen Internet-Zugang für den Zugriff auf das Firmen-LAN zu nutzen, als sich über teure Fern- oder gar Auslandsverbindungen direkt in das Unternehmensnetz einzuwählen.

Neben dem Microsoft-eigenen Point-to-Point Tunneling Protocol (PPTP) beherrscht der VPN-Server von Windows Server 2003 auch die Kombination aus Layer Two Tunneling Protocol (L2TP) und dem zur Verschlüsselung dienenden Protokoll IP Security (IPsec). PPTP steht dabei in dem Ruf, zwar unsicherer, dafür einfacher zu konfigurieren zu sein, während L2TP/IPsec als sicherer gilt. Es erfordert jedoch eine aufwändigere Konfiguration.

Meist greifen Unternehmen jedoch aus einem anderen Grund zu VPN-Verbindungen auf PPTP-Basis: IPsec kann keine Network Address Translation (NAT). Damit können Clients, die sich in einem privaten Netzwerk befinden, das über ein NAT-Gerät wie etwa einen handelsüblichen DSL-Router mit dem öffentlichen Internet verbunden ist, in der Regel L2TP/IPsec für VPN-Verbindungen nicht nutzen. Deshalb wartet der Windows Server 2003 mit der neuen Technologie „NAT-T“ (NAT-Traversal) auf: Unter Verwendung des aktualisierten VPN-Clients – den Microsoft kostenlos, allerdings nur für Windows XP und Windows 2000 offeriert – können L2TP/IPsec-basierte VPN-Verbindungen dann auch NAT-Geräte ungehindert passieren.

Eng mit RRAS zusammen arbeitet der „Internet Authentification Service“ (IAS), die Microsoft-Server-Implementierung des „Remote Authentication Dial-In User Service“ (Radius). IAS zeichnet für die Authentifizierung und Autorisierung von mobilen Anwendern verantwortlich und greift auf die lokale Benutzerdatenbank des Servers oder das zentrale Active Directory eines Unternehmens zurück. Der Vorteil dieser Vorgehensweise liegt darin, dass Radius die Authentifizierung vom eigentlichen Zugangs-Equipment entkoppelt. Dies erlaubt zum Beispiel den Einsatz von Remote-Access-Servern anderer Hersteller, falls diese Geräte das Verfahren unterstützen.

Inhalt dieses Artikels