Leitfaden zum Konfigurieren eines DFÜ-RAS-Servers
Dieser Leitfaden bietet Anleitungen zum Konfigurieren einer RRAS-Infrastruktur, mit deren Hilfe RAS-Einwahlverbindungen unterstützt werden.
Auf dieser Seite
 | Einführung |
| Übersicht |
| Konfigurieren eines DFÜ-RAS-Servers |
| Sichern der RAS-Einwahl mithilfe von Richtlinien |
| Weitere Ressourcen |
Einführung
Leitfäden
Die Leitfäden zur Bereitstellung von Microsoft Windows Server 2003 vermitteln praktische Erfahrungen im Umgang mit vielen gängigen Betriebssystemkonfigurationen. Diese Leitfäden befassen sich zunächst mit der Einrichtung einer einfachen Netzwerkinfrastruktur im Rahmen der Installation von Windows Server 2003 und der Konfiguration von Active Directory®. Anschließend wird die Installation von Windows XP Professional auf einer Arbeitsstation und schließlich das Hinzufügen dieser Arbeitsstation zu einer Domäne erläutert. Die hieran anschließenden Leitfäden setzen das Vorhandensein dieser allgemeinen Netzwerkinfrastruktur voraus. Falls Sie diese allgemeine Netzwerkinfrastruktur nicht einrichten möchten, müssen Sie bei Verwendung dieser Leitfäden die entsprechenden Änderungen vornehmen.
Die Einrichtung der allgemeinen Netzwerkinfrastruktur wird in den folgenden Leitfäden erläutert:
| • | Teil I: Installieren von Windows Server 2003 als Domänencontroller |
| • |
Nachdem die hierin beschriebene allgemeine Netzwerkinfrastruktur konfiguriert wurde, können alle anderen Leitfäden durchgearbeitet werden. Beachten Sie, dass für einige dieser Leitfäden neben der Einrichtung der vorstehend genannten allgemeinen Netzwerkinfrastruktur weitere Voraussetzungen erfüllt sein müssen. Alle zusätzlichen Anforderungen werden im jeweiligen Leitfaden aufgeführt.
Microsoft Virtual PC
Der Leitfaden für die Bereitstellung von Windows Server 2003 kann innerhalb einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Die virtuelle Computertechnologie ermöglicht es Kunden, mehrere Betriebssysteme gleichzeitig auf einem einzelnen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.
In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.
Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.
Wichtige Hinweise
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.
Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.
Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.
Übersicht
Für den Zugriff auf Ihr Netzwerk von Remotestandorten aus können Sie Benutzern ein DFÜ- oder ein VPN-Netzwerk bzw. eine Kombination aus beiden zur Verfügung stellen. DFÜ-Netzwerke ermöglichen Remotebenutzern das direkte Einwählen auf einem RAS-Server in Ihrem Netzwerk über die Telefonleitung. Ein VPN-Netzwerk ermöglicht es Benutzern, die mit dem Internet verbunden sind, eine Verbindung zu einem VPN-Server in Ihrem Netzwerk herzustellen. Der Leitfaden zum Einrichten einer VPN-Verbindung zwischen Standorten bietet zusätzliche Anleitungen zum Bereitstellen von VPN-Netzwerken. Dieser Leitfaden beschreibt die zum Konfigurieren einer DFÜ-RAS-Lösung erforderlichen Schritte.
Bevor Sie sich für eine Lösung für Ihr Unternehmen entscheiden, sollten Sie die Kosteneffizienz der jeweiligen Lösung berücksichtigen und überlegen, in wieweit die Anforderungen des Unternehmens in Bezug auf Sicherheit und Zuverlässigkeit erfüllt werden. Beachten Sie außerdem die Netzwerkinfrastruktur des Intranets, die Sie zum Unterstützen des RAS-Serverentwurfs benötigen. Ohne einen entsprechenden Entwurf der unterstützenden Infrastruktur können RAS-Clients keine IP-Adressen erhalten und keine Intranetnamen auflösen. Außerdem können keine Pakete zwischen RAS-Clients und Intranetressourcen weitergeleitet werden.
Planen und testen Sie Ihren RAS-Entwurf sorgfältig, nachdem Sie entschieden haben, ob Sie ein DFÜ-Netzwerk, ein VPN-Netzwerk oder eine Kombination aus beiden bereitstellen möchten. Auf diese Weise stellen Sie sicher, dass Ihrer Organisation die sicherste und zuverlässigste RAS-Lösung zur Verfügung steht. Die zum Bereitstellen eines VPN-RAS-Servers erforderlichen Aufgaben unterscheiden sich von den Aufgaben, die das Bereitstellen eines DFÜ-RAS-Servers erfordert. Oftmals enthält Ihre RAS-Lösung Elemente beider Konzepte. In Abbildung 1 wird die grundlegende Architektur einer DFÜ-RAS-Lösung gezeigt. Microsoft Zertifikatsdienste und der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) sind optionale Komponenten in einer DFÜ- oder VPN-Infrastruktur, die erweiterte Authentifizierungsmethoden und eine zentralisierte Richtlinienverwaltung bieten. In dem vorliegenden Leitfaden werden diese optionalen Komponenten nicht behandelt.
Abbildung 1. Typische RAS-Infrastruktur
Verwenden des DFÜ-Netzwerks für den Remotezugriff
Bei einer DFÜ-Netzwerklösung wählen sich die Remotebenutzer an einem RAS-Server im Netzwerk ein. DFÜ-Verbindungen sind privater als eine Lösung, bei der ein öffentliches Netzwerk wie das Internet genutzt wird. Ein DFÜ-Netzwerk ist für das Unternehmen jedoch mit einer erheblichen Anfangsinvestition und während der gesamten Lebensdauer der Lösung mit laufenden Kosten verbunden. Die Kosten sind im Folgenden aufgeführt:
| • | Hardwarekauf und -installation Für DFÜ-Netzwerke fallen zunächst Kosten für Modems oder andere Kommunikationshardware, für Serverhardware sowie die Einrichtung eines Telefonanschlusses an. |
| • | Monatliche Telefonkosten Jeder für einen Remotezugriff genutzte Telefonanschluss erhöht die Kosten von DFÜ-Netzwerken. Wenn Sie gebührenfreie Nummern oder die Rückruffunktion verwenden, um für die Remotebenutzer die Kosten für Ferngespräche zu übernehmen, können beträchtliche Kosten entstehen. Die meisten Unternehmen können eine Pauschalgebühr für Ferngespräche einrichten, die der Einzelerstattung von Kosten für Benutzer mit höheren regionalen Gebühren vorzuziehen sind. |
| • | Laufender Support Die Zahl der RAS-Benutzer und die Komplexität des RAS-Entwurfs wirken sich erheblich auf die laufenden Supportkosten für DFÜ-Netzwerke aus. Es fallen z. B. Supportkosten für Netzwerksupporttechniker, Testumgebungen, Schulungen und das Helpdeskpersonal für den Support und die Verwaltung der Bereitstellung an. Diese Kosten stellen den größten Teil der Unternehmensinvestitionen dar. |
Voraussetzungen
| • | Teil I: Installieren von Windows Server 2003 als Domänencontroller |
| • | |
| • | |
| • | Leitfaden zum Einrichten einer VPN-Verbindung zwischen Standorten |
Anforderungen des Leitfadens
| • | Sie müssen auf Ihrem RAS-Server und -Client ein Modem installieren und sollten über eine Telefonverbindung verfügen, um einen DFÜ-RAS-Server erfolgreich testen zu können. | ||||||||||||||||||
| • | Falls physische Modems zum Testen des RAS-Servers nicht zur Verfügung stehen, können Sie die Schritte dieses Leitfadens mit der erzwungenen Installation eines Standardmodems umgehen. So installieren Sie ein allgemeines Modem zur Verwendung im Rahmes dieses Leitfadens
|
Konfigurieren eines DFÜ-RAS-Servers
Bevor Sie den Server als DFÜ-RAS-Server konfigurieren, müssen Sie den RRAS-Dienst (Routing and Remote Access Service) aktivieren, der mit Windows Server 2003 automatisch installiert wird. Die für das Aktivieren des RRAS-Dienstes erforderlichen Schritte werden in den Voraussetzungen zu diesem Leitfaden beschrieben: Leitfaden zum Einrichten einer VPN-Verbindung zwischen Standorten. Weitere Informationen zum Konfigurieren des RRAS-Dienstes finden Sie unter "Remote access/VPN server role: Configuring a remote access/VPN server" im Hilfe- und Supportcenter für Windows Server 2003.
Nach dem Aktivieren des RRAS-Dienstes konfigurieren Sie die Eigenschaften eines DFÜ-RAS-Servers mithilfe des RAS-Snap-Ins.
So starten sie das RAS-Snap-In unter HQ-CON-DC-01
1. | Klicken Sie auf die Schaltfläche Start, zeigen Sie auf AlleProgramme, dann auf Verwaltung, und klicken Sie abschließend auf Routing und RAS. |
So überprüfen Sie, ob HQ-CON-DC-01 für den DFÜ-Remotezugriff konfiguriert ist
1. | Klicken Sie in der Konsole Routing und RAS mit der rechten Maustaste auf HQ-CON-DC-01, und klicken Sie dann auf Eigenschaften. |
2. | Auf der Registerkarte Allgemein des Dialogfeldes Eigenschaften vonHQ-CON-DC-01 überprüfen Sie, ob das Kontrollkästchen RAS-Server (wie in Abbildung 2 dargestellt) aktiviert ist.  Abbildung 2. Konfiguration des RAS-Servers |
3. | Klicken Sie im Dialogfeld Eigenschaften vonHQ-CON-DC-01 auf OK. |
Konfigurieren von DFÜ-Anschlüssen für den Remotezugriff
1. | Klicken Sie in der Konsole Routing und RAS auf das Pluszeichen (+) neben HQ-CON-DC-01, um die Struktur zu erweitern. |
2. | Klicken Sie mit der rechten Maustaste auf Anschlüsse, und klicken Sie dann auf Eigenschaften. |
3. | Markieren Sie im Bildschirm Eigenschaften von Ports unter Geräte das für die RAS-DFÜ-Verbindungen zu verwendende Modem. In Abbildung 3 ist ein Standard 56000 bps Modem ausgewählt.  Abbildung 3. Auswählen eines Modems |
4. | Klicken Sie auf Konfigurieren. |
5. | Wählen Sie im Dialogfeld Gerät konfigurieren die Option RAS-Verbindungen (nur eingehend), geben Sie die Rufnummer dieses Geräts ein, über die Remotebenutzer eine Verbindung herstellen, und klicken Sie dann auf OK. Hinweis: Falls für RAS-Verbindungen mehrere Modems verwendet werden, wiederholen Sie die Schritte 3 bis 5 für jedes Gerät. |
6. | Klicken Sie zum Fertigstellen auf OK. |
Sichern der RAS-Einwahl mithilfe von Richtlinien
Die Autorisierung des Netzwerkzugriffs wird für den RRAS-Dienst unter Windows Server 2003 basierend auf den DFÜ-Eigenschaften und RAS-Richtlinien des Benutzerkontos erteilt.
RAS-Richtlinien sind eine geordnete Zusammenstellung aus Regeln, die die Autorisierung von Verbindungen festlegen. Jede Regel umfasst eine oder mehrere Bedingungen, einen Satz Profileinstellungen sowie eine RAS-Berechtigungseinstellung. Falls eine Verbindung autorisiert wurde, gibt das RAS-Richtlinienprofil eine Reihe von Verbindungseinschränkungen an. Darüber hinaus enthalten auch die DFÜ-Eigenschaften des Benutzerkontos eine Zusammenstellung von Einschränkungen. Gegebenenfalls setzen die Verbindungseinschränkungen des Benutzerkontos die Verbindungseinschränkungen des RAS-Richtlinienprofils außer Kraft.
Es gibt zwei Möglichkeiten, um die RAS-Richtlinien zum Autorisieren zu verwenden.
| • | Benutzerbezogen Wenn die Autorisierung benutzerbezogen erfolgen soll, legen Sie in der RAS-Berechtigung für das Benutzer- oder Computerkonto fest, dass der Zugriff gewährt bzw. verweigert wird, und erstellen optional für verschiedene Verbindungstypen unterschiedliche RAS-Richtlinien. Sie möchten z. B. eine RAS-Richtlinie für DFÜ-Verbindungen verwenden, die sich von der Richtlinie für drahtlose Verbindungen unterscheidet. Die benutzerbezogene Verwaltung der Autorisierung empfiehlt sich nur, wenn eine kleine Anzahl von Benutzer- oder Computerkonten zu verwalten sind. |
| • | Gruppenbezogen Wenn die Autorisierung gruppenbezogen erfolgen soll, wählen Sie für die RAS-Berechtigung des Benutzerkontos die Einstellung Zugriff über RAS-Richtlinien steuern und definieren RAS-Richtlinien für verschiedene Verbindungstypen und Gruppen. Sie können beispielsweise eine RAS-Richtlinie für DFÜ-Verbindungen für Mitarbeiter (Mitglieder der Gruppe "Employees") und eine andere RAS-Richtlinie für DFÜ-Verbindungen für Vertragsnehmer (Mitglieder der Gruppe "Contractors") festlegen. |
RAS-Richtlinienbedingungen umfassen eine oder mehrere Bedingungen, die mit den Einstellungen des Verbindungsversuchs verglichen werden. Wenn mehrere Bedingungen vorhanden sind, müssen die Einstellungen des Verbindungsversuchs allen Bedingungen entsprechen, um die Richtlinie zu erfüllen. Wenn alle Bedingungen einer RAS-Richtlinie erfüllt werden, dann wird die RAS-Berechtigung entweder gewährt oder verweigert. Mithilfe der Option RAS-Berechtigung erteilen bzw. RAS-Berechtigung verweigern können Sie die RAS-Berechtigung für eine Richtlinie festlegen.
In den folgenden Abschnitten werden RAS-Richtlinien für DFÜ-Verbindungen konfiguriert, dass die Autorisierung gruppenbezogen erfolgt.
So bereiten Sie RAS-Richtlinien für eine gruppenbezogene DFÜ-Autorisierung vor
1. | Öffnen Sie auf dem Server HQ-CON-DC-01 die Konsole Active Directory-Benutzer und –Computer. |
2. | Klicken Sie in der Konsole Active Directory-Benutzer und –Computer mit der rechten Maustaste auf das Pluszeichen (+) neben contoso.com, um die Struktur zu erweitern. |
3. | Klicken Sie in der Struktur unter contoso.com auf die Organisationseinheit Accounts. Doppelklicken Sie im Ergebnisbereich auf Produktion, und doppelklicken Sie dann auf Clair Hector. |
4. | Klicken Sie auf der Seite Eigenschaften von Clair Hector auf die Registerkarte Einwählen. |
5. | Überprüfen Sie im Abschnitt RAS-Berechtigung, dass Zugriff über RAS-Richtlinien steuern aktiviert ist, und klicken Sie dann auf OK. |
6. | Klicken Sie unter der Struktur contoso.com auf die Organisationseinheit Groups, klicken Sie mit der rechten Maustaste auf die Organisationseinheit Groups, wählen Sie Neu, und klicken Sie dann auf Gruppe. |
7. | Geben Sie im Bildschirm Neues Objekt – GruppeRAS-Einwahl als Gruppenname ein, und klicken sie dann auf OK. |
8. | Doppelklicken Sie im Ergebnisbereich auf RAS-Einwahl. Klicken Sie im Bildschirm Eigenschaften vonRAS-Einwahl auf die Registerkarte Mitglieder. Klicken Sie auf Hinzufügen, geben Sie Clair Hector ein, und klicken Sie anschließend zweimal auf OK. Hinweis: Wenn Sie der RAS-DFÜ-Sicherheitsgruppe zusätzliche Benutzer hinzufügen möchten, wiederholen Sie Schritt 8 für jeden Contoso-Benutzer. |
9. | Schließen Sie die Konsole Active Directory-Benutzer und –Computer. |
So konfigurieren Sie eine RAS-Richtlinie für eine gruppenbezogene Autorisierung
1. | Klicken Sie in der Konsole Routing und RAS auf RAS-Richtlinien. |
2. | Doppelklicken Sie im Ergebnisbereich auf Verbindung zu Microsoft RRAS-Server. |
3. | Überprüfen Sie unter Richtlinienbedingungen, dass die Richtlinienbedingung für Windows-Grouppen mit "CONTOSO\Branch Office VPN" übereinstimmt erfüllt ist, und klicken Sie dann auf OK. Hinweis: Diese Richtlinie wurde zuvor im Leitfaden zum Einrichten einer VPN-Verbindung zwischen Standorten definiert. |
4. | Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf Verbindung zu Microsoft RRAS-Server, klicken Sie auf Umbenennen, geben Sie Branch Office VPNs ein, und drücken Sie dann die EINGABETASTE. |
5. | Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf Verbindungen mit anderen Zugriffsservern, klicken Sie auf Umbenennen, geben Sie Dial-in Remote Access ein, und drücken Sie dann die EINGABETASTE. Wenn Sie fertig sind, sollten die RAS-Richtlinen wie in Abbildung 4 dargestellt werden.  Abbildung 4. RAS-Richtlinien |
6. | Doppelklicken Sie im Ergebnisbereich auf RAS-Einwahl, und klicken Sie dann unter Richtlinienbedingungen auf Hinzufügen. |
7. | Doppelklicken Sie auf Windows-Groups, klicken Sie auf Hinzufügen, geben Sie RAS-Einwahl ein, und klicken Sie dann zweimal auf OK. |
8. | Klicken Sie unter Richtlinienbedingungen auf Hinzufügen, doppelklicken Sie auf Called-Station-Id, und geben Sie dann Rufnummer dieses Geräts ein, über die Remotebenutzer die Verbindung herstellen. |
9. | Wenn Sie fertig sind, klicken Sie auf OK. Richtlinienbedingungen wird wie in Abbildung 5 angezeigt.  Abbildung 5. Richtlinienbedingungen Hinweis: Richtlinienbedingungen sind sehr vielfältig und sie gewähren vollständige Kontrolle über eingehende Verbindungen. Im vorherigen Beispiel wird diese Richtlinie durch das Einrichten einer Anruferkennung direkt einem eingehenden Gerät zugeordnet. Zusätzlich zu den Sicherheitseinschränkungen, die diese Zuordnung bietet, können weitere Abstufungsebenen erreicht werden. Beispielsweise kann ein mit der Anruferkennung konfiguriertes zweites Modem für die ausführende Einwahl reserviert werden, indem eine Sicherheitsgruppe für die ausführende Einwahl sowie Richtlinienbedingungen für die Anruferkennung implementiert werden. |
10. | Klicken Sie am unteren Rand der Seite Eigenschaften auf RAS-Berechtigung erteilen, und klicken Sie dann auf OK. |
Weitere Ressourcen
Weitere Informationen finden Sie in den folgenden Ressourcen:
| • | "Connection Manager Administration Kit (CMAK)" unter http://www.microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/cmak_ops_86.asp (nur auf Englisch verfügbar) |
| • | "Deploying Dial-up and VPN Remote Access Servers" unter http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dnsbf_vpn_mcnx.asp (nur auf Englisch verfügbar) |
| • | Aktuelle Informationen über Windows Server 2003 finden Sie unter |