Lektion 1: Einrichten des Remotezugriffs 131
Paketfilter lassen Ausnahmen zu. Sie können den gesamten Datenverkehr mit Ausnahme des
Anteils sperren, den Sie explizit zulassen, oder Sie können den gesamten Datenverkehr mit
Ausnahme des Anteils zulassen, den Sie explizit sperren. Eingehende Filter wirken auf den
Datenverkehr, der auf der Netzwerkschnittstelle eintrifft. Ausgehende Filter gelten für den
Datenverkehr, der über die Schnittstelle versendet wird. Der VPN-Datenverkehr ist auf der
Internet-Netzwerkschnittstelle eingehend und auf der internen Netzwerkschnittstelle ausge-
hend. Wenn Sie also VPN-Clients am Zugriff auf bestimmte Hosts aus dem internen Netz-
werk hindern wollen, definieren Sie für Ihre interne Netzwerkschnittstelle einen ausgehen-
den Filter. Um einen Paketfilter mit dem Befehlszeilentool
netsh hinzuzufügen, verwenden
Sie den Befehl
netsh routing ip add filter. Der folgende Befehl erstellt den Filter aus der
obigen Abbildung:
Netsh routing ip add filter name="Interne Schnittstelle" filtertype=output srcaddr=0.0.0.0
srcmask=0.0.0.0 dstaddr=10.0.100.0 dstmask=255.255.255.0 proto-any
Weitere Informationen Paketfilter
Weitere Informationen über die Konfiguration von Routing- und RAS-Filtern unter Win-
dows Server 2008 finden Sie im TechNet in dem Dokument http://technet.microsoft.com/
de-de/library/cc732746.aspx.
Verbindungs-Manager
Das Verbindungs-Manager-Verwaltungskit (Connection Manager Administration Kit,
CMAK) ist ein Feature von Windows Server 2008, das die Konfiguration von Remoteclient-
verbindungen vereinfacht. Sie können das Verbindungs-Manager-Verwaltungskit im Assis-
tenten "Features hinzufügen" hinzufügen. Sie müssen Benutzern nicht mehr im Detail erläu-
tern, wie sie auf ihren Clientcomputern Remotezugriffsverbindungen einrichten können.
Stattdessen
erstellt CMAK eine installierbare Datei, die Sie an Benutzer weitergeben können,
beispielsweise im Anhang von E-Mails, auf einem Webserver oder in einer für Benutzer
zugänglichen Dateifreigabe. Bei der Installation werden alle für eine RAS-Verbindung er-
forderlichen Einstellungen durchgeführt.
Die Erstellung eines CMAK-Profils wird von einem Assistenten unterstützt und läuft fol-
gendermaßen ab:
1. Sie legen fest, ob das Profil für einen Windows Vista-Computer vorgesehen ist oder für
einen Computer, auf dem Windows Server 2003, Windows XP oder Windows 2000
ausgeführt wird.
2. Sie wählen zwischen der Erstellung eines neuen Profils und der Bearbeitung eines
vorhandenen Profils.
Das ermöglicht Ihnen die rasche Überarbeitung von Profilen, die Sie bereits an Clients
aus Ihrer Organisation ausgegeben haben.
3. Sie geben einen Kerberos-Bereichsnamen an (sofern erforderlich).
4. Sie geben einen VPN-Server oder eine Liste von VPN-Servern an, mit denen Clients
eine Verbindung herstellen können.