O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

60 Kapitel 2: Konfigurieren von IP-Diensten
Änderungen in Windows Server 2008-RRAS
Als erfahrener Netzwerkadministrator wissen Sie, dass ein Router ein mehrfach vernetztes
Gerät (engl. multihomed device) ist, das den Datenfluss zwischen Netzwerken verwaltet. Er
leitet eingehende und ausgehende IPv4- oder IPv6-Pakete anhand der Informationen weiter,
die er über den Status seiner eigenen Netzwerkschnittstellen besitzt, und anhand einer Liste
möglicher Quellen und Ziele für Netzwerkverkehr, die in einer Routentabelle gespeichert ist.
Im einfachsten Fall sendet ein Clientcomputer den gesamten Verkehr, der nicht an ein Ziel
im selben Subnetz gerichtet ist, an einen einzigen Router. Dieser Router ist das Standard-
gateway. Wenn Sie allerdings in einem einzigen Subnetz mehrere Router haben, müssen Sie
unter Umständen ein komplexeres Routing konfigurieren.
In der Praxis erledigen dedizierte Hardwarerouter schwierigere Routinganforderungen. Und
die Subnetzunterteilung innerhalb einer Organisation wird oft über Schicht-3-Switches und
VLANs (Virtual Local Area Network) implementiert. In einem kleinen, unterteilten Netz-
werk mit relativ wenig Verkehr zwischen den Subnetzen können Sie aber auch eine soft-
warebasierte Routinglösung einsetzen, zum Beispiel RRAS unter Windows Server 2008. In
den Upgradeprüfungen müssen Sie wahrscheinlich Ihr Wissen über Windows Server 2008-
RRAS unter Beweis stellen, weil es eine Microsoft-Lösung ist.
Hinweis Server Core
Auf Windows Server 2008-Computern, die im Server Core-Modus laufen, können Sie
Netzwerkrichtlinienserverrolle nicht installieren. Daher ist es auch nicht möglich, den
Rollendienst Routing und RAS zu installieren.
Neue Features und Verbesserungen in Windows Server 2008-RRAS
Dieses Kapitel befasst sich in erster Linie mit Routing und IPSec. Kapitel 3, „Konfiguration
des Netzwerkzugriffs“, behandelt den Remotezugriff. Trotzdem sind Routing und RAS eng
miteinander verknüpft, weil sie beide in RRAS implementiert sind. Daher ist es sinnvoll, an
dieser Stelle zu beschreiben, welche neuen Features, Verbesserungen und Änderungen Win-
dows Server 2008 in RRAS einführt. Windows Server 2008 bietet folgende Verbesserungen
an RRAS:
Serverrolle Netzwerkrichtlinien- und Zugriffsdienste Die offensichtlichste Ver-
besserung
ist, dass Sie RRAS installieren, indem Sie im Server-Manager die Serverrolle
Netzwerkrichtlinien- und Zugriffsdienste hinzufügen. Sie installieren diese Rolle in der
Übung am Ende dieser Lektion.
SSTP (Secure Socket Tunneling Protocol) SSTP implementiert eine neue Form
eines VPN-Tunnels (Virtual Private Network). Das Protokoll erlaubt es, Verkehr durch
Firewalls zu leiten, die PPTP- (Point-to-Point Tunneling Protocol) und L2TP/IPSec-
Verkehr (Layer 2 Tunneling Protocol) blockieren. SSTP implementiert Remotezugriff,
aber keine Routingfunktionen; daher wird es in Kapitel 3 beschrieben.
VPN-Erzwingung für Netzwerkzugriffsschutz Der Netzwerkzugriffsschutz (Net-
work Access Protection, NAP) stellt in Windows Server 2008 sicher, dass die Clients
alle Integritätsrichtlinien erfüllen. Mithilfe von NAP können Sie Integritätsrichtlinien
entwerfen und erzwingen. Das kann Softwareanforderungen, Sicherheitsupdateanfor-
Lektion 1: Konfigurieren des Routings 61
derungen, benötigte Computerkonfigurationen und andere Einstellungen umfassen.
Die VPN-Erzwingung für NAP gewährt allen Computern, die über eine VPN-Verbin-
dung auf das Netzwerk zugreifen, einen stark eingeschränkten Netzwerkzugriff. Sie
gehört
zum Komplex des Remotezugriffs, nicht zum Routing; daher wird sie in Kapitel 3
genauer beschrieben.
Hinweis Netzwerkzugriff-Quarantänensteuerung
Die VPN-Erzwingung mit NAP ersetzt die Netzwerkzugriff-Quarantänensteuerung,
die in Windows Server 2003 benutzt wird. Die VPN-Erzwingung mit NAP ist ein-
facher bereitzustellen.
Unterstützung für Internet Protocol Version 6 Windows Server 2008 unterstützt
Verbesserungen an IPv6 (Internet Protocol Version 6). So kann beispielsweise nativer
IPv6-Verkehr über PPP-Verbindungen (Point-to-Point Protocol) gesendet werden.
PPPv6 (PPP Version 6) wird unterstützt, sodass Sie über DFÜ- oder PPPoE-Verbin-
dungen (PPP over Ethernet) auf einen IPv6-Internetprovider zugreifen können. Das
vereinfacht den Breitbandinternetzugriff. Sie können PPPv6 über DFÜ- oder Ethernet-
verbindungen sowie über VPN-Tunnel nutzen. L2TP über IPv6 ist implementiert,
ebenso ein DHCPv6-Relay-Agent. RADIUS (Remote Authentication Dial-In User
Service) ist über IPv6-Transport implementiert. Und schließlich kann eine zustands-
lose Filterung auf Basis verschiedener Parameter implementiert werden. Zur Auswahl
stehen unter anderem Quell-IPv6-Adresspräfix, Ziel-IPv6-Adresse/Präfix, IP-Proto-
kolltyp des nächsten Abschnitts, TCP- (Transmission Control Protocol) oder UDP-
Quellportnummer (User Datagram Protocol) und TCP- oder UDP-Zielportnummer.
Weitere Informationen PPPv6
Weitere Informationen über PPPv6 finden Sie unter http://www.ietf.org/rfc/rfc2472.txt.
Weitere Informationen RADIUS
Weitere Informationen über RADIUS finden Sie unter http://www.ietf.org/rfc/
rfc2865.txt.
Neue kryptografische Algorithmen Windows Server 2008 unterstützt den PPTP-
Verschlüsselungsalgorithmus RC4 mit 128 Bit Schlüssellänge. Die Unterstützung für
40- und 56-Bit-RC4 wurde entfernt, genauso wie der Verschlüsselungsalgorithmus
L2TP-DES
(Data Encryption Standard) mit MD5-Integritätsprüfung (Message Digest 5).
Der IPSec-IKE-Hauptmodus (Internet Key Exchange) unterstützt die neuen Verschlüs-
selungsalgorithmen
AES 256 (Advanced Encryption Standard), AES 192 und AES 128,
und wie bisher 3DES. Unterstützt werden außerdem der Integritätsprüfungsalgorith-
mus SHA1 (Secure Hash Algorithm 1) und für die Hauptmodusaushandlung erstmals
die DH-Gruppen 19 (Diffie-Hellman) und 20. Der IKE-Schnellmodus unterstützt die
neuen Verschlüsselungsalgorithmen AES 256, AES 192 und AES 128, wie bisher
3DES und den Integritätsprüfungsalgorithmus SHA1.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required