Das neue Windows-Tandem

Das neue Windows-Tandem

Artikel erschienen in IT Magazine 2010/03

Verbindungen ins Unternehmensnetzwerk

Betrachtet man die neuen Features, die das Windows-Tandem bietet, so fällt eines auf: Microsoft reagiert damit vor allem auf die Veränderungen, wie und wo man heute arbeitet – unterwegs, zu Hause oder irgendwo in einer Zweigstelle, auch im Ausland. Zum Beispiel mit der neuen Remote-Access-Lösung Direct Access (DA). Die Technologie erlaubt den direkten Zugriff von mobilen oder anderen, sich ausserhalb des Unternehmens befindenden Windows-7-Clients, auf Ressourcen im Unternehmensnetzwerk. Umgekehrt erlaubt DA auch das einfache Einspielen von Updates und Policy-Anpassungen. Das soll zu weniger Arbeit bei Administratoren und zu einfacheren Prozessen bei den Benutzern führen.


Wie funktioniert Direct Access genau und was unterscheidet es von dem heute häufig genutzten, Virtual Privat Network (VPN)? Die neue Microsoft-Technologie ist grundsätzlich ähnlich wie VPN, beide Methoden nutzen das Internet und ein sogenanntes «Tunneling» für den Zugriff ins Firmennetzwerk.


Unterschied VPN – Direct Access

Mit dem Tunneling wäre es das mit den Gemeinsamkeiten zwischen VPN und DA schon. Einen grossen Unterschied gibt es beispielsweise beim Herstellen der Verbindung. Mit DA entfällt das notwendige, explizite Login. Die Authentisierung des Clients zum Direct-Access-Server erfolgt automatisch und in zwei Schritten: Zuerst wird der Computer authentisiert, und zwar bereits bevor die Benutzeranmeldung startet. Mit dieser wird dann im zweiten Schritt auch der Benutzer am DA-Server angemeldet. Sobald eine Internetverbindung da ist, beginnt schliesslich der für den User unsichtbare Verbindungsaufbau über den DA-Server zum Zielhost im Firmennetz. DA basiert übrigens auf dem neuen IPv6-Protokoll. Dank Technologien wie 6to4, Teredo oder IP-HTTPS und ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) sollte aber auch mit anderen Internetprotokollen wie IPv4 jederzeit eine Verbindung möglich sein.


Ein weiterer grosser Vorteil der DA-Technologie gegenüber dem VPN ist die Bidirektionalität. Das heisst, nicht nur der Benutzer von extern hat mit DA Zugriff ins Unternehmensnetz, sondern umgekehrt hat auch das Unternehmen Zugriff auf den externen Client-PC. Das kann, wie bereits angetönt, zum Updaten der Geräte sehr nützlich sein. Das Motto «zwei statt eins» gilt auch beim Traffic. Während bei einer VPN-Verbindung typischerweise der gesamte durch den Client verursachte Traffic durch den aufgebauten Tunnel läuft, vollzieht Direct Access ein sogenanntes Split-Tunnel-Routing und leitet den Internet-Traffic nicht durch den Tunnel. Das macht die Verbindung insgesamt schneller.

Wie sieht es bei Direct Access punkto Sicherheit aus? Die Verbindung ist natürlich verschlüsselt. Dazu wird das IPsec-Protokoll benutzt. Administratoren haben weiter die Möglichkeit, Berechtigungen zu setzen, welcher Client auf was Zugriff hat. Zudem können sie mit Network Access Protection (NAP) und Net-work-Policy-Servern (NPS) festlegen, welche Voraussetzungen Clients erfüllen müssen, die sich ins Firmennetz einloggen wollen. Zusätzlich kann auch eine 2-Faktor-Authentifizierung, mit einer Smartcard beispielsweise, eingerichtet werden.



Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER