VPN-Tücken ade: Direkter Zugang zum Firmennetz

28.06.2012
Microsoft hat mit DirectAccess eine Technik zum sicheren Remote-Zugriff geschaffen, die ohne virtuelle private Netze auskommt.

NAT (Network Address Translation), Port-Blockaden und Ähnliches bereiten VPN-Nutzern immer wieder Probleme, während Administratoren einen hohen Einrichtungsaufwand beklagen. Aus diesem Grund hat Microsoft "DirectAccess" entwickelt. Die VPN-Alternative soll den Remote-Zugriff vereinfachen und technische Stolperfallen vermeiden - auch und vor allem durch die Nutzung von IPv6.

Von VPN-Zwängen befreit

Auf mobilen PCs kann DirectAccess seine Vorteile ausspielen: Sobald der Computer mit dem Web verbunden ist, wird automatisch eine Verbindung zum Firmennetz aufgebaut. Im Idealfall geschieht dies direkt nach dem Windows-Start und noch vor der Anmeldung des Benutzers am System.

Auch sonst merkt der Anwender fast nicht, dass DirectAccess im Hintergrund am Werke ist. Remote-Zugriffe, etwa auf freigegebene Ordner von Datei-Servern sowie Unternehmensanwendungen, finden daher genauso wie beim lokalen Arbeiten im Firmennetz statt. Zudem haben die Programmierer in Redmond DirectAccess mit einer bidirektionalen Kommunikationsmöglichkeit versehen. Das eröffnet interessante Möglichkeiten: Beispielsweise lässt sich ein entfernter Computer auf dieselbe Weise wie ein im LAN befindlicher Firmen-PC administrieren und über Active-Directory-Gruppenrichtlinien zentral konfigurieren.

Hindernisse

DirectAccess lässt sich bislang nur mit Windows Server 2008 R2 und Windows 7 (Enterprise und Ultimate) sowie deren Abkömmlingen Windows Small Business Server 2011 und Windows Thin PC nutzen. Frühere Windows-Versionen werden ebenso wenig wie Linux- und Mac-Clients oder Geräte auf Android- und iOS-Basis unterstützt. Als No-Go für viele kleine Firmen hat sich die Anforderung herausgestellt, für DirectAccess zwei aufeinanderfolgende, öffentliche, nicht ge-NAT-tete IPv4-Adressen bereitstellen zu müssen. Diese Hürde soll jedoch mit dem Windows Server 2012 wegfallen. Dann besteht auch keine Notwendigkeit mehr zur Einrichtung einer Public Key Infrastructure (PKI) für die Authentifizierung wie beim Windows Server 2008 R2. Vielmehr werden Authentifizierungsanfragen von Clients an den Kerberos-Proxy eines DirectAccess-Servers gesandt, der diese Anfragen dann an einen Domänen-Controller weiterleitet.

Außerdem können Windows 8-Clients mit DirectAccess besser umgehen. Beispielsweise wählen sie automatisch den nächstgelegenen Einstiegspunkt. (mb)

Eric Tierling, Journalist und Buchautor, ist bekannter Windows-Experte.