Variante 2: Direct Access - Microsofts eigener Weg zum sicheren Zugriff

Mit Erscheinen der Betriebssysteme Windows 7 und Windows Server 2008 R2 hat Microsoft auch verschiedene neue Techniken auf den Markt gebracht. Eine davon ist die sogenannte Direct Access Technologie. Mit ihrer Hilfe soll es für Anwender sehr viel einfacher werden, unter Einsatz von IPv6 und IPSec beispielsweise eine sichere Verbindung in das Firmennetzwerk aufzubauen. Dadurch sollen Anwender im Idealfall direkt auf die Dateifreigaben, Webseiten und Anwendungen im Unternehmensnetz zugreifen können, ohne dass sie dazu eine spezielle Verbindung mittels eines virtuellen privaten Netzwerks herstellen müssen. So bietet der Einsatz der Direct Access-Technik eine ganze Reihe von Vorteilen:

• Direct Access ist integraler Bestandteil der Betriebssysteme Windows 7 und Windows Server 2008 R2, dadurch ist grundsätzlich keine weitere Hard- und Software nötig.

• Das Client-System baut die Verbindung automatisch im Hintergrund schon vor der Anmeldung des Anwenders am System auf.

• Im Zusammenhang mit der bidirektionalen Arbeitsweise von Direct Access können Systemverwalter die Technik ideal dazu einsetzen, mobile Systeme zu administrieren.

• Der Anwender muss selbst keinerlei Aktionen unternehmen oder gar spezielle Programme starten, um sich mit dem Firmennetzwerk zu verbinden.

Allerdings werden diese Vorteile werden durch einige Einschränkungen und Vorbedingungen erkauft, wodurch Direct Access nicht zu idealen Lösung für alle Anwendungsfälle wird:

• Nur Client-Systeme unter Windows 7 können diese Technik nutzen und im Netzwerk muss ein Windows Server 2008 R2 vorhanden sein. Nur auf diesem Release läuft der Direct-Access-Server.

• Im Firmennetzwerk müssen mindestens ein Domänen-Controller und ein DNS-Server unter Windows Server 2008 SP2 oder Windows Server 2008 R2 betrieben werden.

• Direct Access baut auf den Einsatz von IPv6 auf. Zwar stellt es auch den Zugang mittels Übergangstechniken wie 6to4 oder Teredo zur Verfügung, aber auch die müssen dann auf dem Windows Server 2008 R2 implementiert werden.

• Zusätzlich ist der Aufbau einer Public Key-Infrastruktur (PKI), notwendig, damit das System sowohl Computer- und Smartcard-Zertifikate als auch Integritätszertifikate für den Netzwerkzugriffsschutz ausstellen und einsetzen kann.

Stellt die Direct-Access-Technik damit eine Alternative zum üblichen VPN-Einsatz dar? Jeder Systemprofi, der einmal Direct Access im Einsatz testen und verwenden durfte, ist begeistert davon, wie elegant und grundsätzlich einfach sich diese Technik in das Windows-System besonders auf der Client-Seite einfügt. Allerdings ist der technische Aufwand auf der Server-Seite für Einführung und Betrieb dieser Technik so hoch, dass sie deren Einsatz im Moment nur für reine Windows-Netzwerke lohnt, die schon komplett auf neue Systeme (Windows Server 2008 R2, Windows 7) und auf die aktuellsten Netzwerkprotokolle wie IPv6 umgestellt wurden. Weiterhin sollte Knowhow über Pflege und Betrieb einer PKI vorhanden sein, bevor die IT-Mannschaft an die Implementierung dieser Technik herangeht.