O'Reilly logo

Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 by Ian L. McLean, Orin Thomas

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

120 Kapitel 3: Konfiguration des Netzwerkzugriffs
Konfigurieren eines VPN-Servers
VPN-Server ermöglichen externen Clients, die ans Internet angeschlossen sind, Zugang zu
internen Netzwerken. Sie können mit Windows Server 2008 einen VPN-Server einrichten,
indem Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste installieren und dabei die
Rollendienste Routing- und RAS-Dienste sowie RAS wählen. Windows Server 2008 kann
gleichzeitig als VPN-Server und als Einwählserver dienen, aber in den meisten Bereitstel-
lungen übernimmt der Computer nur eine dieser beiden Aufgaben. Um Windows Server
2008 als VPN-Server zu konfigurieren, gehen Sie folgendermaßen vor:
1. Starten Sie in der Konsole Routing und RAS den Setup-Assistenten für den Routing-
und RAS-Server. Wählen Sie die Option RAS (DFÜ oder VPN).
2. Wählen Sie die Netzwerkschnittstelle aus, die mit dem Internet verbunden ist. Diese
Schnittstelle sollte mit einer öffentlichen IP-Adresse konfiguriert werden. Wird NAT
verwendet, sollten die entsprechenden Ports von der öffentlichen IP-Adresse des NAT-
Servers an sie weitergeleitet werden.
3. Legen Sie fest, ob VPN-Clients ihre IP-Adressen aus einem statischen Pool oder von
einem DHCP-Server des internen Netzwerks erhalten.
4. Legen Sie fest, ob der VPN-Server eine lokale Authentifizierung vornimmt oder
Authentifizierungsanforderungen als RADIUS-Client an einen RADIUS-Server
weiterleitet.
In der Übung am Ende der Lektion konfigurieren Sie Windows Server 2008 als VPN-Server.
VPN-Protokoll
Windows Server 2008 unterstützt drei VPN-Protokolle: SSTP, L2TP und PPTP. Diese Pro-
tokolle haben folgende Eigenschaften:
SSTP (Secure Socket Tunneling Protocol) SSTP verwendet zur Kapselung und
Verschlüsselung einen HTTPS-Kanal und zur Benutzerauthentifizierung PPP (point-
to-point protocol). SSTP benutzt TCP-Port 443, der für SSL-Datenverkehr verwendet
wird. Das bedeutet, dass es an öffentlichen Zugriffspunkten wie beispielsweise in
Hotels oder auf Flughäfen nur selten von Firewalls blockiert wird. SSTP kann auch
NAT-Gateways problemlos durchqueren. Der Nachteil von SSTP ist, dass nur Win-
dows Server 2008 und Windows Vista SP1 es unterstützen. SSTP erfordert, dass Sie
auf dem VPN-Server ein SSL-Zertifikat (Secure Sockets Layer) installieren, das auf
den Hostnamen ausgestellt ist, der der öffentlichen IP-Adresse des VPN-Servers zu-
gewiesen wurde. Clients müssen beim Verbindungsversuch diesen Hostnamen ver-
wenden und sie müssen der Zertifizierungsstelle vertrauen, die das SSL-Zertifikat aus-
gestellt hat. Sofern sich der VPN-Server hinter einer Firewall befindet, müssen Sie den
TCP-Port 443 öffnen, damit SSTP Zugriff auf den VPN-Server erhält.
L2TP/IPSec (Layer 2 Tunneling Protocol mit IPSec) L2TP verwendet eine PPP-
Benutzerauthentifizierung und IPSec zum Schutz der Daten. Die L2TP/IPSec-Stan-
dardkonfiguration
erfordert eine PKI (Public Key Infrastructure), damit für jeden VPN-
Client Computerzertifikate ausgestellt werden können. Es ist zwar auch möglich, vor-
installierte Schlüssel zu verwenden, aber diese Methode ist weniger sicher. Unterstützt
wird L2TP/IPSec von Windows Server 2008, Windows Vista, Microsoft Windows XP
und Microsoft Windows Server 2003. Nur Windows XP SP2 und höher können L2TP/
Lektion 1: Einrichten des Remotezugriffs 121
IPSec durch NAT-Gateways verwenden, weil nur sie NAT-T (NAT Traversal) unter-
stützen. L2TP/IPSec bietet Datenverschlüsselung, Ursprungsauthentifizierung und
Integritätsschutz. Befindet sich der VPN-Server hinter einer Firewall, müssen Sie die
UDP-Ports 1701, 500 und 4500 öffnen, damit L2TP/IPSec Zugriff erhält (UDP steht
für User Datagram Protocol).
PPTP (Point to Point Tunneling Protocol) PPTP verwendet zur Verschlüsselung
MPPE (Microsoft Point-to-Point Encryption) und zur Benutzerauthentifizierung PPP.
PPTP ist nicht so sicher wie L2TP/IPSec oder SSTP. PPTP kann manche NAT-Gate-
ways durchlaufen, aber nicht alle. PPTP verschlüsselt zwar Daten, bietet aber keinen
Schutz der Datenintegrität und keine Datenursprungsauthentifizierung. Wenn sich der
VPN-Server hinter einer Firewall befindet, müssen Sie den TCP-Port 1723 öffnen,
damit PPTP Zugriff auf den VPN-Server erhält.
Weitere Informationen VPN-Protokolle
Weitere Informationen über die von Windows Server 2008 unterstützten VPN-Protokolle
finden Sie im TechNet unter http://technet.microsoft.com/de-de/library/cc771298.aspx.
Wenn Sie Windows Server 2008 als VPN-Server konfigurieren, können Clients mit allen
drei Protokollen Verbindungen herstellen. Sie können separate Netzwerkrichtlinien konfigu-
rieren, die je nach Art des Protokolls unterschiedliche Einstellungen für die Verbindungen
aufweisen. Um ein bestimmtes Protokoll zu deaktivieren, löschen Sie die Kontrollkästchen
RAS-Verbindungen (nur eingehend) und Bei Bedarf herzustellende Routingverbindungen
(ein- und ausgehend), wie in Abbildung 3.4 gezeigt. Öffnen Sie dazu in der Konsole Routing
und RAS das Eigenschaftsdialogfeld des Knotens Ports.
Abbildung 3.4 Deaktivieren von PPTP auf einem VPN-Server
VPN-Authentifizierung
Windows Server 2008 unterstützt für VPN-Verbindungen die folgenden Authentifizie-
rungsprotokolle:
MS-CHAPv2 Ein Authentifizierungsprotokoll auf Kennwortbasis, das von Windows
Vista, Windows Server 2008, Windows Server 2003 und Windows XP unterstützt wird.
EAP-MS-CHAPv2 Ein Authentifizierungsprotokoll auf Kennwortbasis, das nur von
Windows Vista und Windows Server 2008-VPN-Clients unterstützt wird.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required