TCP/IP-Grundlagen für Microsoft Windows

Kapitel 14 – Virtuelle Private Netzwerke

Veröffentlicht: 27. Dez 2005 | Aktualisiert: 03. Jan 2006

Zusammenfassung

In diesem Kapitel werden die in den Betriebssystemen Microsoft® Windows® XP und Windows Server™ 2003 enthaltenen VPN-Technologien (VPN – Virtuelles Privates Netzwerk) beschrieben, mit denen Remotebenutzer eine Verbindung zu einem Intranet herstellen können oder Remotebüros untereinander verbunden werden. Als Netzwerkadministrator müssen Sie VPN-Verbindungen konfigurieren und verwenden können, sodass Sie die globalen Verbindungsmöglichkeiten des Internets nutzen können, um diese allgegenwärtige, doch relativ sichere Konnektivität zur Verfügung zu stellen.

Auf dieser Seite

	Zielsetzung
	Übersicht über Virtuelle Private Netzwerke
	VPN-Protokolle
	RAS-VPN-Verbindungen
	Standort-zu-Standort-VPN-Verbindungen
	Verwenden von RADIUS zum Authentifizieren des Netzwerkzugriffs
	Kapitelzusammenfassung
	Kapitelglossar

Zielsetzung

Nach dem Lesen dieses Kapitels werden Sie zu Folgendem in der Lage sein:

•	Definieren eines virtuellen privaten Netzwerks (VPN) hinsichtlich der Vorteile, Komponenten und Eigenschaften.
•	Beschreiben der beiden Arten von VPN-Verbindungen und der Funktionsweise des Routing.
•	Erläutern der Rollen der verschiedenen VPN-Protokolle, einschließlich Point-to-Point-Protokoll (PPP), Point-to-Point-Tunneling-Protokoll (PPTP) sowie Layer-2-Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec).
•	Beschreiben des Vorgangs zum Herstellen von PPP-, PPTP- und L2TP/IPsec-Verbindungen.
•	Konfigurieren von RAS- und Standort-zu-Standort-VPN-Verbindungen.
•	Verwenden von RADIUS (Remote Authentication Dial-in User Service) für VPN-Verbindungen und des Internetauthentifizierungsdiensts (IAS) als RADIUS-Server und -Proxy.

Zum Seitenanfang

Übersicht über Virtuelle Private Netzwerke

Ein VPN erweitert ein privates Netzwerk, indem es Verbindungen über freigegebene bzw. öffentliche Netzwerke wie das Internet "umhüllt". Mithilfe eines VPN können Sie Daten zwischen zwei Computern über ein freigegebenes bzw. öffentliches Netzwerk senden, indem eine private Punkt-zu-Punkt-Verbindung emuliert wird. Das Konfigurieren, Erstellen und Verwenden eines VPN wird als "Virtual Private Networking" bezeichnet.

Zur Emulation einer Punkt-zu-Punkt-Verbindung werden die Daten mit einem Header mit Routinginformationen gekapselt, durch den Datenpakete über ein freigegebenes bzw. öffentliches Netzwerk übertragen werden können. Zur Emulation einer privaten Verbindung werden die gesendeten Daten zur Bewahrung der Vertraulichkeit verschlüsselt. Jemand, der Pakete im freigegebenen bzw. öffentlichen Netzwerk abfängt, kann diese ohne die Verschlüsselungsschlüssel nicht entschlüsseln. Die logische Verbindung, über die die Daten verschlüsselt werden, wird als VPN-Verbindung bezeichnet.

Benutzer, die zu Hause oder unterwegs arbeiten, können unter Verwendung der Infrastruktur eines öffentlichen Netzwerks, z. B. des Internets, von einem Remotestandort aus eine Verbindung zu einem Unternehmensserver herstellen. Aus Sicht des Benutzers stellt das VPN eine logische Punkt-zu-Punkt-Verbindung zwischen einem Computer (dem VPN-Client) und einem Unternehmensserver (dem VPN-Server) dar.

Unternehmen, die VPN-Verbindungen verwenden, können geroutete Standort-zu-Standort-Verbindungen zu geographisch getrennten Büros und anderen Unternehmen über ein öffentliches Netzwerk herstellen. Dabei bleibt die Kommunikation relativ sicher. Eine geroutete VPN-Verbindung über das Internet funktioniert logisch gesehen wie eine dedizierte WAN-Verbindung.

Organisationen, die VPN-Verbindungen konfigurieren, erstellen und verwenden, können sowohl für RAS-Verbindungen als auch für geroutete Verbindungen DFÜ- bzw. Standleitungen für Ferngespräche durch DFÜ- bzw. Standleitungen für Ortsgespräche zu einem ISP (Internet Service Provider) ersetzen.

Komponenten eines VPN

Ein VPN unter Windows besteht aus folgenden Komponenten:

•	VPN-Server Ein Computer, der RAS- bzw. Standort-zu-Standort-Verbindungen von VPN-Clients akzeptiert.
•	VPN-Client Ein Computer, der eine Verbindung zu einem VPN-Server initiiert. Ein VPN-Client kann ein einzelner Computer sein, der eine VPN-Verbindung von einem entfernten Standort aus (RAS-VPN-Verbindung genannt) initiiert, oder ein Router, der eine Standort-zu-Standort-VPN-Verbindung initiiert. Computer, auf denen Windows XP oder Windows Server 2003 ausgeführt wird, können eine RAS-VPN-Verbindung zu einem Server herstellen, auf dem Windows Server 2003 oder Windows XP ausgeführt wird. Ein Computer, auf dem Windows Server 2003 ausgeführt wird, kann Standort-zu-Standort-Verbindungen zu einem Server herstellen, auf dem Windows Server 2003 ausgeführt wird. Clients, die von anderen Herstellern als Microsoft stammen, können ebenfalls RAS- oder Standort-zu-Standort-Verbindungen zu VPN-Servern herstellen, auf denen Windows Server 2003 ausgeführt wird, solange sie PPTP oder L2TP/IPsec unterstützen.
•	Tunnel Der Teil einer Verbindung, in dem Daten gekapselt werden.
•	VPN-Verbindung Der Teil einer Verbindung, in dem Daten verschlüsselt werden. Sie können Daten auch unverschlüsselt durch einen Tunnel senden. Dabei handelt es sich jedoch nicht um eine VPN-Verbindung, da Sie so private Daten unverschlüsselt und leicht lesbar über ein freigegebenes bzw. öffentliches Netzwerk senden würden. In den meisten Fällen werden der Tunnel und die VPN-Verbindung zwischen denselben beiden Endpunkten definiert: dem VPN-Client und dem VPN-Server. Es gibt jedoch Konfigurationen, die als "Compulsory Tunnel" (erzwungener Tunnel) bezeichnet werden. Dabei werden der Tunnel zwischen einem Tunnel-Server eines DFÜ-Providers und dem VPN-Server und die VPN-Verbindung zwischen dem Client und dem Server definiert.
•	Tunneling-Protokolle Kommunikationsstandards für die Verwaltung von Tunneln und die Kapselung privater Daten. Windows Server 2003 und Windows XP enthalten die Tunneling-Protokolle PPTP und L2TP. Ausführliche Informationen zu diesen Protokollen finden Sie weiter unten in diesem Kapitel unter "Point-to-Point-Tunneling-Protokoll (PPTP)" und "Layer-2-Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec)".
•	Getunnelte Daten Daten, die durch einen VPN-Tunnel gesendet werden.
•	Transitnetzwerk Ein freigegebenes oder öffentliches Netzwerk, über das gekapselte Daten übertragen werden. Für Windows Server 2003 und Windows XP ist das Transitnetzwerk immer ein IPv4-Netzwerk, entweder das Internet oder ein privates Intranet.

In Abbildung 14-1 werden die Komponenten einer VPN-Verbindung auf der Basis von Windows XP bzw. Windows Server 2003 dargestellt.

Abbildung 14-1: Komponenten eines VPNs unter Windows Abbildung vergrößern

Eigenschaften einer VPN-Verbindung

VPNs unter Windows verfügen über folgende Eigenschaften:

•	Benutzerauthentifizierung
•	Kapselung
•	Verschlüsselung

Benutzerauthentifizierung

Bevor die VPN-Verbindung hergestellt wird, authentifiziert der VPN-Server die Sicherheitsanmeldeinformationen des Benutzers, der den VPN-Clientcomputer verwendet. Wenn gegenseitige Authentifizierung verwendet wird, authentifiziert der VPN-Client ebenfalls die Sicherheitsanmeldeinformationen des VPN-Servers oder überprüft, ob der VPN-Server Zugriff auf die Benutzeranmeldeinformationen des VPN-Clients hat. Gegenseitige Authentifizierung bietet Schutz gegen maskierende VPN-Server.

Kapselung

Bei der VPN-Technologie werden private Daten mit zusätzlichen Headern gekapselt, damit diese über ein Transitnetzwerk übertragen werden können.

Verschlüsselung

Der Sender verschlüsselt die Daten, um die Vertraulichkeit der Daten bei der Übertragung über das freigegebene oder öffentliche Netzwerk sicherzustellen. Der Empfänger entschlüsselt die Daten anschließend. Ver- und Entschlüsselung sind abhängig davon, dass sowohl Sender als auch Empfänger einen gemeinsamen Schlüssel festlegen.

Jeder, der über die VPN-Verbindung gesendete Pakete im Transitnetzwerk abfängt, benötigt den Schlüssel zur Entschlüsselung. Die Länge des Schlüssels ist ein wesentlicher Parameter für die Sicherheit. Zum Ermitteln des Schlüssels können spezielle Algorithmen verwendet werden. Je länger der Schlüssel wird, desto mehr Rechenleistung und Rechenzeit benötigen derartige Algorithmen. Daher sollten Sie die größtmögliche Schlüssellänge verwenden.

Außerdem ist es umso leichter, die verschlüsselten Daten zu entschlüsseln, je mehr Informationen Sie mit demselben Schlüssel verschlüsseln. Bei einigen Verschlüsselungstechnologien können Sie konfigurieren, wie oft während einer Verbindung die Schlüssel geändert werden.

Windows unterstützt bei VPN-Verbindungen auf der Basis von PPTP die Verschlüsselung nach MPPE (Microsoft Point-to-Point Encryption) mit 40-Bit-, 56-Bit- oder 128-Bit-Schlüsseln. Bei VPN-Verbindungen auf der Basis von L2TP/IPsec unterstützt Windows die Verschlüsselung nach DES (Data Encryption Standard) mit einem 56-Bit-Schlüssel oder nach Triple-DES mit drei 56-Bit-Schlüsseln.

Arten von VPN-Verbindungen

VPNs unter Windows unterstützen sowohl RAS- als auch Standort-zu-Standort-VPN-Verbindungen.

RAS

Eine RAS-VPN-Verbindung wird von einem RAS-VPN-Client (einem einzelnen Computer) hergestellt, wenn dieser eine Verbindung zu einem privaten Netzwerk herstellt. Der VPN-Server bietet nicht nur Zugriff auf seine Ressourcen sondern auch auf das gesamte Netzwerk, mit dem er verbunden ist. Die über die VPN-Verbindung gesendeten Pakete kommen ursprünglich vom RAS-Client.

Der RAS-VPN-Client authentifiziert sich beim RAS-VPN-Server, und der Server authentifiziert sich bei der gegenseitigen Authentifizierung beim Client oder weist nach, dass er Zugriff auf Anmeldeinformationen des Clients hat.

Wenn ein RAS-VPN-Client eine Verbindung zum Internet herstellt, wird der Client mit einer Standardroute konfiguriert, die auf das Internet verweist. Über diese Standardroute sind alle Ziele im Internet erreichbar. Bei ständigen Verbindungen zum Internet (die beispielsweise DSL oder ein Kabelmodem verwenden) wird die Standardroute automatisch der IPv4-Routingtabelle hinzugefügt, wenn die Internetverbindung mit einer IPv4-Adresse für das Standardgateway (entweder statisch oder dynamisch) konfiguriert wird. Bei DFÜ-Verbindungen zum Internet wird die Standardroute automatisch der IPv4-Routingtabelle hinzugefügt, wenn die Verbindung hergestellt wird.

Wird die RAS-VPN-Verbindung hergestellt, wird eine neue Standardroute zur Routingtabelle hinzugefügt und die Routingmetrik der vorhandenen Standardroute erhöht. Dann wird sämtlicher Datenverkehr für die Standardroute über die VPN-Verbindung zum privaten Intranet statt zum Internet gesendet. Wird die VPN-Verbindung beendet, wird die neu hinzugefügte Standardroute entfernt und die Routingmetrik der ursprünglichen Standardroute auf ihren vorherigen Wert zurückgesetzt.

Daraus ergibt sich Folgendes:

•	Bevor die VPN-Verbindung hergestellt ist, sind alle Adressen im Internet erreichbar, Adressen im Intranet jedoch nicht.
•	Nachdem die VPN-Verbindung hergestellt ist, sind alle Adressen im Intranet erreichbar, Adressen im Internet jedoch nicht (mit Ausnahme des VPN-Servers im Internet).

Sie können das automatische Erstellen der Standardroute steuern, indem Sie die Eigenschaften der Internetprotokollkomponente (TCP/IP) einer DFÜ- oder VPN-Verbindung öffnen, auf Erweitert klicken und auf der Registerkarte Allgemein das Kontrollkästchen Standardgateway für das Remotenetzwerk verwenden aktivieren bzw. deaktivieren, wie in Abbildung 14-2 dargestellt.

Abbildung 14-2: Das Dialogfeld "Erweiterte TCP/IP-Einstellungen" für eine VPN-Verbindung

Benutzer von VPN-Clients kommunizieren typischerweise mit dem Intranet oder dem Internet, nicht mit beiden gleichzeitig. Diese Benutzer haben kein Problem mit dem sich gegenseitig ausschließenden Zugriff auf Internetadressen oder Intranetadressen. In einigen Fällen benötigen Benutzer jedoch den gleichzeitigen Zugriff auf Intranet- und Internetressourcen.

Wenn dies bei Ihren VPN-Benutzern der Fall ist, können Sie eine der folgenden Maßnahmen ergreifen:

•

Aktivieren Sie das Kontrollkästchen Standardgateway für das Remotenetzwerk verwenden (die Standardeinstellung), und lassen Sie den Internetzugriff über das Unternehmensintranet zu. Der Internetverkehr zwischen VPN-Client und Internethosts wird über Firewalls oder Proxyserver geleitet, als ob der VPN-Client physisch mit dem Unternehmensintranet verbunden wäre. Auch wenn die Leistung geringer sein kann, bietet diese Methode die Möglichkeit, Internetzugriffe den Netzwerkrichtlinien des Unternehmens entsprechend zu filtern und zu überwachen während der VPN-Client mit dem Unternehmensnetzwerk verbunden ist.

•

Stellen Sie sicher, dass die Subnetzmaske der gleichen Adressklasse wie die IPv4-Adresse entspricht, wenn der VPN-Server dem VPN-Client eine IPv4-Adresse zuweist. Wenn die Adressierung in Ihrem Intranet auf dem Adresspräfix einer einzigen Klasse beruht, deaktivieren Sie das Kontrollkästchen Standardgateway für das Remotenetzwerk verwenden. Das beste Beispiel dafür ist die Verwendung des IPv4-Adresspräfixes 10.0.0.0/8 in Ihrem Intranet.

•

Wenn die Adressierung in Ihrem Intranet nicht auf dem Adresspräfix einer einzigen Klasse beruht, können Sie eine der folgenden Lösungen verwenden:

•

Die von VPN-Clients unter Windows XP oder Windows Server 2003 gesendete DHCPInform-Nachricht enthält eine Anforderung für die Option Statische Routen ohne Klassen. Konfigurieren Sie auf dem DHCP-Server unter Windows Server 2003 die Option Statische Routen ohne Klassen für den entsprechenden Bereich, damit diese einen Satz Routen enthält, die dem Adressbereich Ihres Intranets entsprechen. Diese Routen werden der Routingtabelle des anfordernden VPN-Clients hinzugefügt.

•

Sie können mithilfe des Verbindungs-Manager-Verwaltungskits (CMAK – Connection Manager Administration Kit) für Windows Server 2003 spezifische Routen als Teil des Verbindungs-Manager-Profils konfigurieren, das Sie an VPN-Benutzer verteilen. Sie können auch einen URL angeben, der die aktuellen Intranetrouten des Unternehmens oder zusätzliche, über die im Profil definierten Routen hinausgehende Routen enthält.

Standort-zu-Standort

Eine Standort-zu-Standort-VPN-Verbindung (auch als Router-zu-Router-VPN-Verbindung bekannt) wird von einem Router hergestellt und verbindet zwei Teile eines privaten Netzwerks. Der VPN-Server stellt eine geroutete Verbindung zu dem Netzwerk zur Verfügung, mit dem er verbunden ist. Bei einer Standort-zu-Standort-VPN-Verbindung stammen die von einem Router normalerweise über die VPN-Verbindung gesendeten Pakete nicht typischerweise auch von den Routern.

Der anfordernde Router (der VPN-Client) authentifiziert sich beim antwortenden Router (dem VPN-Server), und der antwortende Router authentifiziert sich bei der gegenseitigen Authentifizierung beim anfordernden Router oder weist nach, dass er Zugriff auf die Anmeldeinformationen des anfordernden Routers hat.

Standort-zu-Standort-VPN-Verbindungen können nur von einem Router (einseitig initiierte VPN-Verbindung) oder von beiden Routern (zweiseitig initiierte VPN-Verbindung) initiiert werden. Einseitig initiierte VPN-Verbindungen sind gut für Hub-and-Spoke-Topologien geeignet, in denen nur der Zweigstellenrouter die Verbindung initiieren kann. Standort-zu-Standort-VPN-Verbindungen können permanent (immer verbunden) sein oder bei Bedarf hergestellt werden (ein Router stellt eine Verbindung her, wenn Daten gesendet werden müssen, und trennt die Verbindung nach einem konfigurierten Leerlaufzeitlimit).

Mit dem Routing und RAS-Dienst in Windows Server 2003 können Sie Schnittstellen für Wählen bei Bedarf definieren, um Standort-zu-Standort-Verbindungen zu unterstützen. Eine Schnittstelle für Wählen bei Bedarf ist eine logische Schnittstelle, die die Punkt-zu-Punkt-Verbindung zwischen zwei Routern darstellt. Sie können eine solche Schnittstelle genauso verwenden wie eine physische Schnittstelle. Sie können dieser Schnittstelle beispielsweise Routen zuordnen und Paketfilter dafür konfigurieren.

Das Routing für Standort-zu-Standort-Verbindungen besteht in einem Satz von Routen in den Routingtabellen sowohl des aufrufenden als auch des antwortenden Routers. Diese Routen fassen die über die Standort-zu-Standort-Verbindung verfügbaren Adressen zusammen. Jede Route besteht aus folgenden Angaben:

•	einem Adresspräfix (die Kombination aus Ziel und Subnetzmaske)
•	der Routingmetrik
•	einer Schnittstelle für Wählen bei Bedarf

Wenn jeder Router bei einer Standort-zu-Standort-Verbindung über die Routen verfügt, die die über die Standort-zu-Standort-Verbindung verfügbaren Adressen darstellen, sind alle Standorte im Intranet, die aus mehreren Sites bestehen, von jeder Site aus erreichbar.

Zum Seitenanfang

VPN-Protokolle

Computer mit Windows XP oder Windows Server 2003 verwenden folgende Protokolle, um VPN-Verbindungen herzustellen:

•	Point-to-Point-Protokoll (PPP)
•	PPTP
•	L2TP/IPsec

Point-to-Point-Protokoll (PPP)

PPTP und L2TP beruhen vollständig auf den für PPP spezifizierten Funktionen, das entwickelt wurde, um Daten über DFÜ- oder dedizierte Punkt-zu-Punkt-Verbindungen zu senden. Bei IPv4 kapselt PPP die IPv4-Pakete in PPP-Frames und überträgt diese anschließend über eine Punkt-zu-Punkt-Verbindung. PPP wurde ursprünglich als Protokoll für die Verbindung zwischen DFÜ-Clients und RAS-Servern definiert.

Eine PPP-Verbindung enthält folgende vier Phasen der Aushandlung:

•	Phase 1: Herstellen der PPP-Verbindung
•	Phase 2: Benutzerauthentifizierung
•	Phase 3: PPP-Rückrufüberprüfung
•	Phase 4: Aufruf der Protokolle der Netzwerkschicht

Jede dieser vier Phasen muss erfolgreich abgeschlossen werden, bevor Benutzerdaten über die PPP-Verbindung übertragen werden können.

Hinweis:

Hinweis Weder Windows Server 2003 noch Windows XP unterstützt PPP für IPv6 (PPPv6). Sie können daher von Computern aus, die diese Betriebssysteme verwenden, keinen reinen IPv6-Verkehr über eine DFÜ- oder VPN-Verbindung senden. Sie können jedoch getunnelten IPv6-Verkehr senden, der mit einem IPv4-Header gekapselt ist. Weitere Informationen zum IPv6-Tunneling finden Sie in Kapitel 15, "IPv6 Transition Technologies" (IPv6-Übergangstechnologien).

Phase 1: Herstellen der PPP-Verbindung

PPP verwendet das Link Control-Protokoll (LCP), um die logische Punkt-zu-Punkt-Verbindung herzustellen, zu warten und zu beenden. In Phase 1 werden grundlegende Kommunikationsoptionen ausgewählt. So werden zum Beispiel Authentifizierungsprotokolle ausgewählt, die jedoch erst in der Verbindungsauthentifizierungsphase (Phase 2) verwendet werden. Ebenso handeln die beiden Peers in Phase 1 die Verwendung von Komprimierung und Verschlüsselung aus. Die tatsächliche Entscheidung für Komprimierungs- und Verschlüsselungsalgorithmen sowie andere Details wird in Phase 4 getroffen.

Phase 2: Benutzerauthentifizierung

In Phase 2 sendet der Clientcomputer die Benutzeranmeldeinformationen an den RAS-Server. Ein Authentifizierungsschema sollte gegen Replay-Angriffe und Identitätswechsel des Remoteclients schützen. Ein Replay-Angriff liegt vor, wenn ein Angreifer eine erfolgreiche Verbindungsaufnahme überwacht und die abgefangenen Pakete verwendet, um die Antwort des Remoteclients erneut zu senden und so eine authentifizierte Verbindung zu erhalten. Ein Identitätswechsel des Remoteclients liegt vor, wenn ein Angreifer eine authentifizierte Verbindung übernimmt.

Windows Server 2003 und Windows XP unterstützen folgende PPP-Authentifizierungsprotokolle:

•	PAP (Password Authentication Protocol) PAP ist ein Authentifizierungsmechanismus mit Nur-Text-Kennwörtern ohne Schutz gegen einen Angreifer, der die Daten zur PAP-Authentifizierung abfängt.
•	CHAP (Challenge-Handshake Authentication Protocol) CHAP ist ein Authentifizierungsmechanismus mit verschlüsselten Kennwörtern, bei dem das Kennwort nicht in lesbarer Form übertragen wird.
•	MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol) MS-CHAP ist ein Authentifizierungsmechanismus mit verschlüsselten Kennwörtern, das CHAP sehr ähnlich ist. MS-CHAP ist jedoch sicherer.
•	MS-CHAP v2 (MS-CHAP Version 2) MS-CHAP v2 ist eine weiterentwickelte Version von MS-CHAP, die stärkeren Schutz für den Austausch von Benutzernamen und Kennwörtern, das Festlegen von Verschlüsselungsschlüsseln sowie die gegenseitige Authentifizierung bietet.
•	EAP (Extensible Authentication Protocol) EAP ist eine PPP-Authentifizierungsinfrastruktur, die die Installation von Authentifizierungsmechanismen auf PPP-Clients und -Servern ermöglicht. EAP authentifiziert Benutzer in der Authentifizierungsphase nicht. In Phase 2 von EAP wird nur die Verwendung eines allgemeinen EAP-Authentifizierungsmechanismus, bekannt als EAP-Typ, ausgehandelt. Die tatsächliche Authentifizierung für den ausgehandelten EAP-Typ findet in Phase 4 statt.

In Phase 2 der PPP-Verbindungskonfiguration sammelt der VPN-Server unter Windows Server 2003 die Anmeldeinformationen zum Authentifizieren und überprüft diese in einer der folgenden Ressourcen:

•	in der Benutzerkontendatenbank des VPN-Servers (wenn der VPN-Server nicht Mitglied einer Domäne ist)
•	auf einem Domänencontroller für den Active Directory®-Verzeichnisdienst (wenn der VPN-Server Mitglied einer Domäne ist)
•	bei einem RADIUS-Server

Ein VPN-Server unter Windows XP überprüft die Anmeldeinformationen zum Authentifizieren in der lokalen Benutzerkontendatenbank.

Bei VPN-Verbindungen auf Basis von PPTP muss MS-CHAP, MS-CHAP v2 oder das Authentifizierungsprotokolls EAP-TLS (Transport Layer Security) verwendet werden. Diese Authentifizierungsverfahren generieren Verschlüsselungsschlüssel, die zum Verschlüsseln der über die PPTP-basierte VPN-Verbindung gesendeten Daten verwendet werden. Bei L2TP/IPsec-Verbindungen kann jedes Authentifizierungsprotokoll verwendet werden, da der Authentifizierungsprotokollaustausch bei IPsec verschlüsselt wird. Es wird jedoch die Verwendung von MS-CHAP v2 oder EAP-TLS empfohlen, da diese die sichersten Benutzerauthentifizierungsprotokolle sind und gegenseitige Authentifizierung ermöglichen.

Phase 3: PPP-Rückrufüberprüfung

Die Windows-Implementierung von PPP enthält eine optionale Rückrufüberprüfungsphase. In dieser Phase wird CBCP (Callback Control Protocol) unmittelbar nach der Authentifizierungsphase verwendet. Wenn der Rückruf konfiguriert wurde, trennen Remoteclient und RAS-Server die Verbindung nach der Authentifizierung. Der RAS-Server ruft den Remoteclient anschließend unter einer festgelegten Telefonnummer zurück. Dadurch werden DFÜ-Verbindungen sicherer, da der RAS-Server nur Verbindungen von Remoteclients zulässt, die eine spezielle Telefonnummer verwenden. Der Rückruf wird nur bei DFÜ-Verbindungen, nicht jedoch bei VPN-Verbindungen verwendet.

Phase 4: Aufruf der Protokolle der Netzwerkschicht

Nach Abschluss der ersten drei Phasen ruft PPP die verschiedenen Netzwerksteuerungsprotokolle (NCP – Network Control Protocol) auf, die in der Phase der Verbindungsherstellung (Phase 1) ausgewählt wurden, um die vom Remoteclient verwendeten Protokolle zu konfigurieren. In dieser Phase weist das Internet Protocol Control-Protokoll (IPCP) beispielsweise dem PPP-Client eine IPv4-Adresse zu. In der Windows-Implementierung von PPP wird das Compression Control-Protokoll (CCP) verwendet, um die Datenkomprimierung, bekannt als Microsoft Point-to-Point Compression (MPPC), und die Datenverschlüsselung mit MPPE auszuhandeln.

Datenübertragungsphase

Nach Abschluss der vier PPP-Aushandlungsphasen beginnt PPP mit dem Weiterleiten von Datenpaketen zwischen dem PPP-Client und dem Server. Jedes übertragene Datenpaket wird in einen PPP-Header eingeschlossen, der vom Empfänger wieder entfernt wird. Wenn in Phase 1 die Datenkomprimierung ausgewählt und in Phase 4 ausgehandelt wurde, komprimiert der Sender die Daten vor der Übertragung. Wenn Datenverschlüsselung ausgehandelt wurde, verschlüsselt der Sender die Daten vor der Übertragung. Wenn sowohl Verschlüsselung als auch Komprimierung ausgehandelt wurden, komprimiert der Sender die Daten, bevor er sie verschlüsselt und sendet.

Point-to-Point-Tunneling-Protokoll (PPTP)

RFC (Request for Comments) 2637 definiert PPTP, das PPP-Frames in IPv4-Paketen zur Übertragung über ein IPv4-Netzwerk wie das Internet kapselt. PPTP kann für RAS- und Standort-zu-Standort-VPN-Verbindungen verwendet werden

PPTP verwendet eine TCP-Verbindung zur Tunnelverwaltung und eine angepasste Version von GRE (Generic Routing Encapsulation), um PPP-Frames für getunnelte Daten zu kapseln. Die Nutzlast der PPP-Frames kann verschlüsselt, komprimiert oder beides sein. In Abbildung 14-3 wird die Struktur eines PPTP-Pakets dargestellt, das ein IPv4-Paket enthält.

Abbildung 14-3: Struktur eines PPTP-Pakets, das ein IPv4-Paket enthält Abbildung vergrößern

Layer-2-Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec)

RFC 2661 definiert L2TP, das PPP-Frames kapselt, um diese über IPv4-, X.25-, Frame Relay- oder ATM-(Asynchronous Transfer Mode-)Netzwerke zu senden. Wenn Sie L2TP für IPv4-Netzwerke konfigurieren, können Sie es als Tunneling-Protokoll im Internet verwenden.

L2TP über IPv4-Netzwerke verwendet einen UDP-(User Datagram Protocol-)Header und eine Reihe von L2TP-Nachrichten für die Tunnelverwaltung. L2TP verwendet UDP auch, um L2TP-gekapselte PPP-Frames als getunnelte Daten zu senden. Die Nutzlast gekapselter PPP-Frames kann verschlüsselt, komprimiert oder beides sein, obwohl die Windows-Implementierung von L2TP nicht MPPE zum Verschlüsseln der PPP-Nutzlast verwendet. In Abbildung 14-4 wird die Struktur eines L2TP-Pakets dargestellt, das ein IPv4-Paket enthält.

Abbildung 14-4: Struktur eines L2TP-Pakets, das ein IPv4-Paket enthält Abbildung vergrößern

In der Windows-Implementierung von L2TP wird IPsec mit ESP (Encapsulating Security Payload) zur Verschlüsselung des L2TP-Verkehrs verwendet. Die Kombination von L2TP (dem Tunneling-Protokoll) und IPsec (der Verschlüsselungsmethode) wird als L2TP/IPsec bezeichnet und in RFC 3193 beschrieben. Weitere Informationen zu ESP finden Sie in Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

In Abbildung 14-5 wird das Ergebnis der Anwendung von ESP auf ein IPv4-Paket dargestellt, das einen L2TP-Frame enthält.

Abbildung 14-5: Verschlüsselung von L2TP-Verkehr unter Verwendung von IPsec mit ESP Abbildung vergrößern

Zum Seitenanfang

RAS-VPN-Verbindungen

Windows Server 2003 und Windows XP enthalten beide einen RAS-VPN-Client und einen RAS-VPN-Server.

Unterstützung für VPN-Clients

Windows XP und Windows Server 2003 enthalten einen integrierten VPN-Client, der PPTP und L2TP/IPsec unterstützt. Sie können eine RAS-VPN-Verbindung entweder mithilfe des Ordners Netzwerkverbindungen oder mit dem Verbindungs-Manager konfigurieren.

Der Ordner "Netzwerkverbindungen"

Wenn Sie nur über wenige VPN-Clients verfügen, können Sie für jeden Client manuell eine VPN-Verbindung konfigurieren. Verwenden Sie für Clients unter Windows XP oder Windows Server 2003 den Assistent für neue Verbindungen im Ordner Netzwerkverbindungen, um eine VPN-Verbindung zu erstellen. Klicken Sie im Assistent für neue Verbindungen auf der Seite Netzwerkverbindungstyp auf Verbindung mit dem Netzwerk am Arbeitsplatz herstellen und auf der Seite Netzwerkverbindung auf VPN-Verbindung.

Verbindungs-Manager

Wenn Sie versuchen, RAS-VPN-Verbindungen für tausende von Clients in einem Unternehmen manuell zu konfigurieren, werden Sie wahrscheinlich auf eins oder mehrere der folgenden Probleme stoßen:

•	Das genaue Konfigurationsverfahren für eine VPN-Verbindung variiert abhängig von der Windows-Version, die auf dem Client ausgeführt wird. Daher benötigen Sie verschiedene Sets von Schulungsunterlagen, um die Endbenutzer in der Konfiguration dieser Verbindungen zu schulen.
•	Die manuelle Konfiguration von VPN-Verbindungen sollte vom IT-Personal statt von Endbenutzern durchgeführt werden, um Konfigurationsfehler zu verhindern. Dies bedeutet jedoch eine hohe administrative Last für das IT-Personal.
•	Eine VPN-Verbindung benötigt möglicherweise eine Konfiguration mit doppelter Einwahlmöglichkeit, bei der der Benutzer erst eine Verbindung zum Internet herstellen muss, bevor die Verbindung zum Unternehmensintranet hergestellt werden kann. Dadurch wird die Schulung von Endbenutzern noch schwieriger.

Sie können zur Konfiguration von VPN-Verbindungen für ein Unternehmen folgende Komponenten verwenden:

•	Verbindungs-Manager
•	Verbindungs-Manager-Verwaltungskit
•	Connection Point Services

Verbindungs-Manager ist eine Clientwählhilfe mit erweiterten Funktionen, die eine Obermenge der grundlegenden DFÜ- und VPN-Netzwerkfunktionen bieten. Windows Server 2003 enthält eine Reihe von Tools, mit denen Sie vorkonfigurierte Verbindungen für Netzwerkbenutzer bereitstellen können. Diese Tools sind das Verbindungs-Manager-Verwaltungskit (CMAK – Connection Manager Administration Kit) und Connection Point Services (CPS).

Sie können CMAK verwenden, um die Anzeige und das Verhalten von Verbindungen anzupassen, die Sie mit dem Verbindungs-Manager erstellt haben. Mit CMAK können Sie Clientwählhilfe- und Verbindungssoftware erstellen, mit der Benutzer eine Verbindung zum Netzwerk ausschließlich mit den von Ihnen definierten Funktionen herstellen dürfen. Der Verbindungs-Manager unterstützt eine Vielzahl von Funktionen, die das Bereitstellen von Verbindungen für Sie und die Benutzer sowohl vereinfacht als auch erweitert. Darüber hinaus können Sie die meisten dieser Funktionen mithilfe des Assistenten für das Microsoft Verbindungs-Manager-Verwaltungskit integrieren. Sie können mithilfe des CMAK benutzerdefinierte Profile erstellen, die der Infrastruktur Ihres Unternehmens hinsichtlich Identitätsprüfung, Onlinehilfe und Support entsprechen.

Mithilfe von Connection Point Services (CPS) können Sie automatisch benutzerdefinierte Telefonbücher erstellen, verteilen und aktualisieren. Diese Telefonbücher enthalten einen oder mehrere POP-Einträge (POP – Point of Presence). In jedem dieser Einträge ist eine Telefonnummer für die DFÜ-Verbindung zu einem lokalen ISP gespeichert. Telefonbücher enthalten vollständige POP-Informationen, sodass Benutzer unterwegs Verbindungen über verschiedene Internetzugänge herstellen können und nicht auf einen einzigen POP beschränkt sind.

Ohne die Möglichkeit zum Aktualisieren von Telefonbüchern (dies wird von der Task CPS automatisch erledigt) müssten sich Benutzer bei Änderungen an POP-Informationen und zur erneuten Konfiguration der Einwählsoftware Ihres Clients an den technischen Support ihres Unternehmens wenden.

CPS besteht aus zwei Komponenten:

Telefonbuchverwaltung

Ein Tool zum Erstellen und Warten der Telefonbuchdatenbank sowie zur Veröffentlichung neuer Telefonbuchinformationen für den Telefonbuchdienst.

Telefonbuchdienst

Eine IIS-Erweiterung, die automatisch die aktuellen Telefonbücher von Teilnehmern und Mitarbeitern überprüft und nötigenfalls eine Telefonbuchaktualisierung herunterlädt.

Unterstützung für VPN-Server

Sie können mithilfe des Routing und RAS-Diensts in Windows Server 2003 einen VPN-Server konfigurieren, der PPTP und L2TP/IPsec unterstützt. Gehen Sie folgendermaßen vor, um einen Computer unter Windows Server 2003 als VPN-Server zu konfigurieren:

Weisen Sie jeder Intranetschnittstelle des Servers eine statische IPv4-Adresse zu.

Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.

Klicken Sie mit der rechten Maustaste auf den Servernamen und dann auf Routing und RAS konfigurieren und aktivieren. Klicken Sie auf Weiter.

Klicken Sie auf der Seite Konfiguration auf RAS (DFÜ oder VPN) und dann auf Weiter.

Klicken Sie auf der Seite RAS auf VPN und dann auf Weiter.

Klicken Sie auf der Seite VPN-Verbindung auf die Verbindung, die der mit dem Internet oder dem Umkreisnetzwerk verbundenen Schnittstelle entspricht, und dann auf Weiter.

Klicken Sie auf der Seite IP-Adresszuweisung auf Automatisch, wenn der VPN-Server DHCP verwenden soll, um IPv4-Adressen für RAS-VPN-Clients zu erhalten. Oder klicken Sie auf Aus einem angegebenen Adressbereich, um einen oder mehrere Bereiche von statischen Adressen zu verwenden. Klicken Sie auf Weiter, wenn die IP-Adresszuweisung abgeschlossen ist.

Wenn Sie RADIUS zur Authentifizierung und Autorisierung verwenden, klicken Sie auf der Seite Mehrere RAS-Server verwalten auf Ja, diesen Server für die Verwendung eines RADIUS-Servers einrichten und dann auf Weiter.

•	Konfigurieren Sie auf der Seite RADIUS-Serverauswahl den primären (obligatorisch) und den alternativen (optional) RADIUS-Server und den gemeinsamen geheimen Schlüssel, und klicken Sie dann auf Weiter.

Klicken Sie auf Fertig stellen.

10.

Wenn Sie aufgefordert werden, den DHCP-Relay-Agenten zu konfigurieren, klicken Sie auf OK.

11.

Öffnen Sie in der Struktur für den Routing und RAS-Dienst IP-Routing.

12.

Klicken Sie mit der rechten Maustaste auf DHCP-Relay-Agent und dann auf Eigenschaften.

13.

Fügen Sie auf der Registerkarte Allgemein des Dialogfelds Eigenschaften von DHCP-Relay-Agent die den DHCP-Servern in Ihrem Intranet entsprechenden IPv4-Adressen hinzu, und klicken Sie auf OK.

In der Standardeinstellung werden durch den Routing und RAS-Dienst 128 logische PPTP- und 128 logische L2TP/IPsec-Ports erstellt. Wenn Sie mehr Ports benötigen, konfigurieren Sie in der Struktur für den Dienst in den Eigenschaften des Objekts Ports das Gerät WAN Miniport (PPTP) oder WAN Miniport (L2TP).

In der Standardeinstellung aktiviert der Setup-Assistent für den Routing- und RAS-Server die Authentifizierungsprotokolle MS-CHAP, MS-CHAP v2 und EAP.

Unterstützung für VPN-Server unter Windows XP

Sie können einen Computer unter Windows XP als RAS-VPN-Server konfigurieren, indem Sie im Ordner Netzwerkverbindungen den Assistenten für Neue Verbindungen ausführen. Klicken Sie auf der Seite Netzwerkverbindungstyp des Assistenten auf Eine erweiterte Verbindung einrichten. Klicken Sie auf der Seite Erweiterte Verbindungsoptionen auf Eingehende Verbindungen zulassen. Aufgrund dieser Optionen wird ein Computer unter Windows XP zum VPN-Server. Der Server unterstützt jedoch lediglich eine einzige RAS-Verbindung (DFÜ, PPTP oder L2TP/IPsec).

IP-Adresszuweisung sowie Routing und RAS

Der VPN-Server erhält die IPv4-Adressen, die er VPN-Clients zuweist, entweder von einem DHCP-Server oder aus einem Pool statischer IPv4-Adressen. Durch den Routing und RAS-Dienst können VPN-Clients entweder direkte Subnetz- oder entfernte Subnetzadressen zugewiesen werden. Die Art der von Ihnen verwendeten Adressen kann die Erreichbarkeit beeinträchtigen, es sei denn, Sie nehmen zusätzliche Änderungen an der Routinginfrastruktur vor.

Die VPN-Clients zugewiesenen Adressen können aus folgenden Bereichen stammen:

•

Bereich direkter Subnetzadressen

Ein Adressbereich eines Intranetsubnetzes, mit dem der VPN-Server verbunden ist. Der VPN-Server verwendet einen Bereich direkter Subnetzadressen, wenn er die IPv4-Adressen für VPN-Clients von einem DHCP-Server bezieht oder der manuell konfigurierte statische Pool IPv4-Adressen enthält, die im Adressbereich eines angeschlossenen Subnetzes liegen.

Der Vorteil bei der Verwendung von direkten Subnetzadressen besteht darin, dass keine Änderungen an der Routinginfrastruktur erfolgen müssen.

•

Bereich indirekter Subnetzadressen

Ein Adressbereich, der ein anderes Subnetz repräsentiert, das nur logisch mit dem VPN-Server verbunden ist. Der VPN-Server verwendet einen Bereich indirekter Subnetzadressen, wenn der statische Pool IPv4-Adressen enthält, die in einem separaten Subnetz liegen.

Der Vorteil der Verwendung von indirekten Subnetzadressen besteht darin, dass IPv4-Adressen von RAS-Clients leichter erkannt werden können, wenn diese Verbindungen zu Ressourcen im Intranet herstellen und mit den Ressourcen kommunizieren. Sie müssen jedoch die Routinginfrastruktur ändern, sodass die Clients vom Intranet aus erreichbar sind.

Beziehen von IPv4-Adressen über DHCP

Wenn der Routing und RAS-Dienst konfiguriert wurde, um IPv4-Adressen von einem DHCP-Server zu beziehen, erhält er 10 IPv4-Adressen gleichzeitig. Der Dienst versucht erst dann, den ersten Satz von Adressen zu beziehen, wenn der erste RAS-Client eine Verbindung herstellt, nicht, wenn der Dienst selbst gestartet wird. Er verwendet die erste IPv4-Adresse und weist die nachfolgenden Adressen den Clients zu, sobald diese eine Verbindung herstellen. Wenn Clients die Verbindung trennen, kann der Routing und RAS-Dienst deren IPv4-Adressen anderen Clients zuweisen. Wenn alle 10 Adressen des ersten Satzes gleichzeitig verwendet werden und ein weiterer RAS-Client eine Verbindung herstellt, bezieht der Routing und RAS-Dienst weitere 10 Adressen.

Wenn der DHCP-Clientdienst keinen DHCP-Server erreichen kann, gibt er Adressen aus dem Bereich 169.254.0.0/16 (von 169.254.0.1 bis 169.254.255.254) der automatisch zugewiesenen, privaten IP-Adressen (APIPA – Automatic Private IP Addressing) zurück. APIPA-Adressen sind indirekte Subnetzadressen, für die es in der Standardeinstellung keine entsprechende Route in der Routinginfrastruktur des Intranets gibt. RAS-Clients, denen eine APIPA-Adresse zugewiesen wurde, können nicht über den RAS-Server hinaus kommunizieren.

Der Routing und RAS-Dienst versucht, DHCP-Adressen unter Verwendung der Schnittstelle zu beziehen, die Sie durch Öffnen der Eigenschaften des Servers, auf dem der Dienst ausgeführt wird, angeben. Klicken Sie dort auf die Registerkarte IP und unter Adapter auf den Namen der Schnittstelle, wie in Abbildung 14-6 dargestellt.

Abbildung 14-6: Die Registerkarte "IP" in den Eigenschaften des Servers, auf dem der Routing und RAS-Dienst ausgeführt wird

Sie können diesen Adapter auch im Setup-Assistenten für den Routing- und RAS-Server auf der Seite Netzwerkauswahl angeben (wenn Sie über mehr als eine Intranetschnittstelle verfügen). Wenn Sie den falschen Adapter angeben, können Verbindungsversuche zum DHCP-Server fehlschlagen und APIPA-Adressen zurückgegeben werden. Wenn Sie unter Adapter die Option RAS die Kartenauswahl gestatten aktivieren, verwendet der Routing und RAS-Dienst für den Start eine zufällig ausgewählte LAN-Schnittstelle. Dies kann dazu führen, dass der falsche Adapter ausgewählt wird.

Wenn der Routing und RAS-Dienst angehalten wird, sendet er DHCPRelease-Nachrichten, um alle über DHCP erhaltenen IPv4-Adressen freizugeben.

Beziehen von IPv4-Adressen aus einem statischen Adresspool

Ein statischer Adresspool besteht aus einem oder mehreren manuell konfigurierten IPv4-Adressbereichen. Wenn Sie einen statischen IPv4-Adresspool konfigurieren, verwendet der VPN-Server die erste Adresse im ersten Bereich. Der Server weist nachfolgende Adressen den TCP/IP verwendenden RAS-Clients beim Herstellen der Verbindung zu. Wenn Clients die Verbindung trennen, kann der Server deren Adressen anderen Clients zuweisen.

Ein Adressbereich im statischen IPv4-Adresspool kann ein Bereich aus direkten Subnetzadressen, aus indirekten Subnetzadressen oder eine Mischung daraus sein.

Wenn irgendeine Adresse in einem der Adressbereiche eine indirekte Subnetzadresse ist, müssen Sie die Route bzw. die Routen, die diese Adressen zusammenfassen der Routinginfrastruktur des Intranets hinzufügen. Dadurch wird sichergestellt, dass Datenverkehr, der für RAS-Clients bestimmt ist, an den VPN-Server weitergeleitet wird. Dieser leitet den Verkehr dann an den entsprechenden Client weiter. Sie sollten Adressbereiche auswählen, die Sie durch ein einzelnes Adresspräfix beschreiben können, um die beste Zusammenfassung von Adressbereichen für Routen zur Verfügung zu stellen. Der Adressbereich von 192.168.2.1 bis 192.168.2.254 kann beispielsweise durch 192.168.2.0 mit der Subnetzmaske 255.255.255.0 (192.168.2.0/24) beschrieben werden.

Einrichten einer RAS-VPN-Verbindung

Das Erstellen einer RAS-VPN-Verbindung wird in folgenden drei Schritten durchgeführt:

Einrichten der logischen Verbindung

Erstellt die Punkt-zu-Punkt-Verbindung zwischen Client und Server zum Senden von PPP-Frames. Die für VPN-Verbindungen benutzte logische Verbindung besteht aus dem VPN-Tunnel, der eine logische Punkt-zu-Punkt-Verbindung darstellt. Wenn der Client unter Windows XP oder Windows Server 2003 ausgeführt wird, wird als Nachricht beim Einrichten der logischen Verbindung "Verbindung wird hergestellt" angezeigt.

Einrichten der PPP-Verbindung

Verwendet PPP-Protokolle zum Aushandeln der Parameter für die PPP-Verbindung, zum Authentifizieren der Anmeldeinformationen des RAS-Benutzers und zum Aushandeln der Verwendung und der Parameter für die Protokolle, die über die PPP-Verbindung eingesetzt werden. Wenn der Client unter Windows XP oder Windows Server 2003 ausgeführt wird, wird als Nachricht beim Einrichten der PPP-Verbindung "Benutzername und Kennwort werden überprüft" angezeigt.

Registrieren des RAS-VPN-Clients

Der Client erhält zusätzliche Konfigurationsparameter und registriert sich im DNS (Domain Name System) und WINS (Windows Internet Name Service) zur Namensauflösung. Wenn der Client unter Windows XP oder Windows Server 2003 ausgeführt wird, wird als Nachricht beim Registrieren des RAS-Clients "Der Computer wird im Netzwerk registriert" angezeigt.

Schritt 1: Einrichten der logischen Verbindung

Der Einrichtungsvorgang der logischen Verbindung ist abhängig von der Verwendung von PPTP oder L2TP/IPsec für die VPN-Verbindung.

Auf PPTP basierende Verbindungen werden über die beiden folgenden Phasen hergestellt:

•

Phase 1

Der Client initiiert eine TCP-Verbindung über einen dynamisch zugewiesenen TCP-Port zum TCP-Port 1723 des RAS-VPN-Servers.

•

Phase 2

Der RAS-VPN-Client und der Server tauschen eine Reihe von PPTP-Nachrichten aus, um die Verwendung eines PPTP-Tunnels und einer speziellen ID (die im PPTP-GRE-Header verwendet wird) für die Verbindung auszuhandeln.

Auf L2TP/IPSec basierende Verbindungen werden über die beiden folgenden Phasen hergestellt:

•

Phase 1

Die IPsec-SAs (Security Associations), die zum Schützen der auf IPsec basierenden Kommunikation und Daten notwendig sind, werden ausgehandelt und erstellt. IPsec verwendet das IKE-Protokoll (Internet Key Exchange) zum Aushandeln der Hauptmodus- und Schnellmodus-SAs für IKE. Der Hauptmodus-SA schützt die IPsec-Aushandlungen. Die Schnellmodus-SAs – jeweils einer für ein- und ausgehende Pakete – schützen L2TP-Daten, die den UDP-Port 1701 verwenden. Der Hauptmodus-SA wird entweder über Zertifikate oder einen vorinstallierten Schlüssel authentifiziert.

Zur Authentifizierung mit einem Zertifikat sendet der VPN-Server dem VPN-Client eine Liste der vertrauenswürdigen Stammzertifizierungsstellen (Root CAs), von der der Server ein Zertifikat akzeptiert. Der VPN-Client antwortet mit einer Zertifikatkette (abschließend mit einem Zertifikat einer Stammzertifizierungsstelle, die in der vom Server gesendeten Liste enthalten ist) und einer eigenen Liste von vertrauenswürdigen Stammzertifizierungsstellen. Der Server überprüft die Zertifikatkette des Clients und sendet anschließend seine eigene Zertifikatkette (die mit einem Zertifikat einer Stammzertifizierungsstelle aus der Liste des Clients abschließt) zum Client. Der Client überprüft die vom Server gesendete Zertifikatkette.

Zur Authentifizierung mit vorinstalliertem Schlüssel senden Client und Server jeweils einen Hashwert, der den Wert des vorinstallierten Schlüssels enthält. Der Server überprüft den vom Client gesendeten Hashwert, der Client überprüft den vom Server gesendeten Hashwert.

Weitere Informationen zum Aushandeln von Haupt- und Schnellmodus finden Sie im Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

•

Phase 2

Client und Server tauschen eine Reihe von L2TP-Nachrichten aus, um die Verwendung eines L2TP-Tunnels und einer speziellen ID zum Identifizieren der Verbindung innerhalb des L2TP-Tunnels auszuhandeln.

Um die Einrichtung der L2TP/IPsec-Verbindung zu beginnen, muss der Client bereits mit dem Internet verbunden sein. Wenn der Client noch nicht verbunden ist, kann der Benutzer eine DFÜ-Verbindung zu einem ISP herstellen, bevor die L2TP/IPsec-Verbindung initiiert wird.

Schritt 2: Einrichten der PPP-Verbindung

Der PPP-Verbindungsvorgang folgt den vier Phasen, die im Abschnitt "Point-to-Point-Protokoll" dieses Kapitels beschrieben werden.

Schritt 3: Registrieren des RAS-VPN-Clients

Jeder RAS-VPN-Client sendet eine DHCPInform-Nachricht, um zusätzliche TCP/IP-Konfigurationsparameter zu erhalten und führt die Namensregistrierung durch.

Zum Erhalten zusätzlicher TCP/IP-Konfigurationsparameter führt der Client den folgenden Prozess durch:

1.	Der Client sendet eine DHCPInform-Nachricht über die PPP-Verbindung an den VPN-Server.
2.	Der VPN-Server, der mit der Routingprotokollkomponente DHCP-Relay-Agent und mindestens einer IPv4-Adresse eines DHCP-Servers konfiguriert wurde, leitet die DHCPInform-Nachricht an den DHCP-Server weiter.
3.	Der DHCP-Server sendet eine DHCPAck-Nachricht mit den angeforderten Optionen zurück.
4.	Der VPN-Server leitet die DHCPAck-Nachricht an den Client weiter.

Der grundsätzliche Zweck zum Verwenden der DHCPInform-Nachricht liegt im Abrufen von TCP/IP-Konfigurationsparametern, die über IPCP nicht erhältlich sind, bspw. den mit der VPN-Verbindung verknüpften DNS-Domänennamen. Ausschließlich RAS-VPN-Clients unter Microsoft Windows 2000, Windows XP oder Windows Server 2003 senden die DHCPInform-Nachricht.

Bevor Knoten im Intranet die Namen von verbundenen RAS-VPN-Clients auflösen können, müssen die Namen und IPv4-Adressen der Clients im DNS- und NetBIOS-Namespace des privaten Netzwerks registriert sein. Da RAS-VPN-Clients üblicherweise bei jeder Verbindung eine neue IPv4-Adresse zugewiesen wird, sollten die Namen im Namespace dynamisch sein, nicht statisch. Zum Registrieren der dynamischen Namen von RAS-Clients gehören die folgenden Vorgänge:

•	Der RAS-VPN-Client sendet dynamische DNS-Aktualisierungsnachrichten an den konfigurierten DNS-Server, um seine DNS-Namen zu registrieren.
•	Darüber hinaus sendet der Client NetBIOS-Namensregistrierungsnachrichten an den konfigurierten WINS-Server, um seine NetBIOS-Namen zu registrieren.

Zum Seitenanfang

Standort-zu-Standort-VPN-Verbindungen

Routing und RAS in Windows Server 2003 unterstützen Routing bei Bedarf (auch bekannt als Routing für Wählen bei Bedarf) über DFÜ-Verbindungen (bspw. analoge Telefonleitungen oder ISDN) als auch VPN-Verbindungen. Routing für Wählen bei Bedarf leitet Pakete über eine PPP-Verbindung weiter, die im Zusammenhang mit Routing und RAS durch eine Schnittstelle für Wählen bei Bedarf repräsentiert wird. Sie können Schnittstellen für Wählen bei Bedarf verwenden, um entsprechende Verbindungen über DFÜ, permanente oder nicht permanente Medien herzustellen.

Routing für Wählen bei Bedarf ist nicht mit RAS gleichzusetzen. RAS verbindet einen einzelnen Computer mit einem Netzwerk, Routing für Wählen bei Bedarf verbindet vollständige Netzwerke. Beide verwenden jedoch PPP als Protokoll zum Aushandeln und Authentifizieren der Verbindung und zum Kapseln der darüber gesendeten Daten. Durch Routing und RAS in Windows Server 2003 können Sie RAS und Verbindungen bei Bedarf unabhängig voneinander aktivieren. Sie verwenden jedoch beide die folgenden Attribute:

•	Einstellungen der DFÜ-Eigenschaften der Benutzerkonten
•	Sicherheit (Authentifizierungsprotokolle und Verschlüsselung)
•	Windows- oder RADIUS-Authentifizierung, -Autorisierung und -Kontoführung
•	Zuweisen und Konfigurieren von IPv4-Adressen
•	PPP-Features, bspw. MPPC und MPPE

Obwohl das Konzept von Routing für Wählen bei Bedarf recht einfach ist, ist die tatsächliche Konfiguration aus folgenden Gründen relativ komplex:

•	Adressierung der Verbindungsendpunkte Die Verbindung muss über öffentliche Datennetze hergestellt werden, bspw. über analoge Telefonleitungen oder das Internet. Sie definieren den Verbindungsendpunkt mit einer Telefonnummer bei DFÜ-Verbindungen und entweder einem Hostnamen oder einer IPv4-Adresse bei VPN-Verbindungen.
•	Authentifizierung und Autorisierung des Anrufers Jede Routeranforderung muss authentifiziert und autorisiert werden. Die Authentifizierung basiert auf den Anmeldeinformationen des Anrufers, die beim Aufbau der Verbindung an den Router übergeben werden. Die übergebenen Anmeldeinformationen müssen einem Windows-Benutzerkonto entsprechen. Der Router autorisiert die Verbindung auf Grundlage der Einstellungen der DFÜ-Eigenschaften des Windows-Benutzerkontos und der RAS-Richtlinien des Organisationsnetzwerks.
•	Unterscheidung zwischen RAS-VPN-Clients und anrufenden Routern Routing- und RAS-Funktionen sind parallel auf einem Computer unter Windows Server 2003 verfügbar. Sowohl RAS-Clients als auch Router für Wählen bei Bedarf können eine Verbindung initiieren. Bei Verbindungen bei Bedarf ist der die Verbindung initiierende Computer der anfordernde Router. Der auf den Verbindungsversuch durch den anfordernden Router antwortende Computer ist der antwortende Router. Der Computer unter Windows Server 2003 muss in der Lage sein, Verbindungsversuche von RAS-Clients und anfordernden Routern unterscheiden zu können. Der Computer geht bei einem Verbindungsversuch von einer RAS-Verbindung aus, wenn die Anmeldeinformationen zum Authentifizieren keinen Benutzernamen enthalten, der einer Schnittstelle für Wählen bei Bedarf oder dem antwortenden Router entspricht.
•	Konfiguration beider Endpunkte der Verbindung Sie müssen beide Endpunkte der Verbindung konfigurieren, um eine bidirektionale Kommunikation zu ermöglichen, auch wenn immer nur ein Endpunkt der Verbindung eine DFÜ-Verbindung initiiert. Wenn Sie lediglich einen Endpunkt der Verbindung konfigurieren, werden Pakete nur in einer Richtung weitergeleitet.
•	Konfiguration von statischen Routen Über bei Bedarf aufzubauende Verbindungen sollten Sie keine dynamischen Routingprotokolle verwenden. Aus diesem Grund müssen Sie Routen für Netzwerkpräfixe hinzufügen, die über die Schnittstelle für Wählen bei Bedarf als statische Routen in den Routingtabellen des Routers für Routing bei Bedarf zur Verfügung stehen.

Konfigurieren einer Standort-zu-Standort-VPN-Verbindung

Zum Konfigurieren einer Standort-zu-Standort-VPN-Verbindung müssen Sie die folgenden Schritte ausführen:

•	Aktivieren und Konfigurieren von Routing und RAS auf dem antwortenden Router. Folgen Sie der in diesem Kapitel im Abschnitt "Unterstützung für VPN-Server" beschriebenen Vorgehensweise.
•	Konfigurieren einer Schnittstelle für Wählen bei Bedarf auf dem antwortenden Router.
•	Aktivieren und Konfigurieren von Routing und RAS auf dem anfordernden Router. Folgen Sie der in diesem Kapitel im Abschnitt "Unterstützung für VPN-Server" beschriebenen Vorgehensweise.
•	Konfigurieren einer Schnittstelle für Wählen bei Bedarf auf dem anfordernden Router.

Konfigurieren einer Schnittstelle für Wählen bei Bedarf

Führen Sie für Routing und RAS die folgenden Schritte aus (für anfordernde und antwortende Router):

1.	Klicken Sie in der Struktur mit der rechten Maustaste auf Netzwerkschnittstellen und dann auf Neue Schnittstelle für Wählen bei Bedarf.
2.	Klicken Sie auf der Seite Willkommen auf Weiter.
3.	Geben Sie auf der Seite Schnittstellenname einen Namen für die Schnittstelle ein, und klicken Sie anschließend auf Weiter.
4.	Klicken Sie auf der Seite Verbindungstyp auf Verbindung über ein virtuelles privates Netzwerk (VPN) herstellen, und klicken Sie anschließend auf Weiter.
5.	Klicken Sie auf der Seite VPN-Typ nach Bedarf auf Automatische Auswahl, Point-to-Point-Tunneling-Protokoll (PPTP) oder Layer-2-Tunneling-Protokoll (L2TP), und klicken Sie dann auf Weiter.
6.	Geben Sie auf der Seite Zieladresse die IPv4-Adresse der Internetschnittstelle des anderen Routers ein, und klicken Sie anschließend auf Weiter.
7.	Aktivieren Sie auf der Seite Protokolle und Sicherheit die Kontrollkästchen IP-Pakete über diese Schnittstelle weiterleiten und Benutzerkonto hinzufügen, über das sich ein Remoterouter einwählen kann, und klicken Sie anschließend auf Weiter.
8.	Klicken Sie auf der Seite Statische Routen für Remotenetzwerke auf Hinzufügen, um bei Bedarf der Schnittstelle für Wählen bei Bedarf zugewiesene und die Netzwerkpräfixe der Site in der Standort-zu-Standort-VPN-Verbindung repräsentierende statische Routen hinzuzufügen. Klicken Sie auf Weiter.
9.	Geben Sie auf der Seite Anmeldeinformationen für Einwählen das Kennwort des Benutzerkontos, das vom anfordernden Router verwendet wird, in die Felder Kennwort und Kennwort bestätigen ein, und klicken Sie dann auf Weiter. Nach diesem Schritt wird automatisch ein Benutzerkonto mit dem Namen der zu erstellenden Schnittstelle für Wählen bei Bedarf erstellt. Sie werden den Router ebenfalls zur Verwendung dieses Kontonamens in seinen Anmeldeinformationen für das Einwählen konfigurieren. Beim Initiieren einer Verbindung mit einem antwortenden Router verwendet der anfordernde Router einen Benutzerkontonamen, der dem Namen einer Schnittstelle für Wählen bei Bedarf entspricht. Aus diesem Grund kann der antwortende Router feststellen, dass es sich bei der eingehenden Verbindung durch den anfordernden Router um eine bei Bedarf herzustellende Wählverbindung handelt, nicht um eine RAS-Verbindung.
10.	Geben Sie den Benutzernamen auf der Seite Anmeldeinformationen für Hinauswählen in das Feld Benutzername, den Benutzerkontodomänennamen in Domäne und das Kennwort für das Benutzerkonto in die Felder Kennwort und Kennwort bestätigen ein. Wenn dieser Router ggf. den anderen Router für eine zweiseitig initiierte VPN-Verbindung (Router-zu-Router) anwählt, konfigurieren Sie den Namen, die Domäne und das Kennwort, wenn dieser Router als der anfordernde Router agiert. Wenn dieser Router niemals den anderen Router anwählt, können Sie einen beliebigen Namen in das Feld Benutzername eingeben und die anderen Felder auslassen.
11.	Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Beispiel für eine Standort-zu-Standort-VPN-Verbindung

Die gesamte notwendige Konfiguration für eine Standort-zu-Standort-VPN-Verbindung wird am besten durch ein Beispiel veranschaulicht. In der Abbildung 14-7 wird eine Beispielkonfiguration für zwei Büros dargestellt, die sich mit dem jeweils anderen Netzwerk über das Internet verbinden müssen und dazu eine Standort-zu-Standort-VPN-Verbindung verwenden.

Abbildung 14-7: Beispielkonfiguration einer Verbindung von zwei Büros über das Internet Abbildung vergrößern

Das Büro in Seattle verfügt über einen Computer unter Windows Server 2003, der als RAS-VPN-Server und gleichzeitig als Router für Routing bei Bedarf agiert. Alle Computer des Seattle-Büros sind mit dem Netzwerk 172.16.1.0/24 (Subnetzmaske 255.255.255.0) verbunden. Der Router in Seattle (Router 1) verfügt über eine Internetschnittstelle, der die öffentliche IPv4-Adresse 131.107.21.178 zugewiesen ist.

Das Büro in New York verfügt über einen Computer unter Windows Server 2003, der als RAS-VPN-Server und gleichzeitig als Router für Routing bei Bedarf agiert. Alle Computer des New Yorker Büros sind mit dem Netzwerk 172.16.2.0/24 (Subnetzmaske 255.255.255.0) verbunden. Der Router in New York (Router 2) verfügt über eine Internetschnittstelle, der die öffentliche IPv4-Adresse 157.60.234.17 zugewiesen ist. Alle Computer in beiden Büros befinden sich in der Domäne example.com.

Zum Konfigurieren des Routings bei Bedarf für die Standort-zu-Standort-VPN-Verbindung in diesem Beispiel müssen Sie die folgenden Schritte ausführen:

•

Konfigurieren und Aktivieren von Routing und RAS für Router 1.

•

Konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf für Router 1 mit den folgenden Einstellungen:

•	Name: DD_NewYork
•	Zieladresse: 157.60.234.17
•	Routen: 172.16.2.0 mit Subnetzmaske 255.255.255.0
•	Anmeldeinformationen für Einwählen: Benutzerkontoname DD_NewYork mit dem Kennwort h8#dW@93z~[Fc6$Q (Beispielkennwort)
•	Anmeldeinformationen für Hinauswählen: Benutzerkontoname DD_Seattle, Domänenname example.com und Kennwort 7%uQv45l?p!kWy9* (Beispielkennwort)

•

Konfigurieren und Aktivieren von Routing und RAS für Router 2.

•

Konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf für Router 2.

•	Name: DD_Seattle
•	Zieladresse: 131.107.21.178
•	Routen: 172.16.1.0/24
•	Anmeldeinformationen für Einwählen: Benutzerkontoname DD_Seattle mit dem Kennwort 7%uQv45l?p!kWy9*
•	Anmeldeinformationen für Hinauswählen: Benutzerkontoname DD_NewYork, Domänenname example.com und Kennwort h8#dW@93z~[Fc6$Q

Da Sie eine zweiseitig initiierte Standort-zu-Standort-VPN-Verbindung konfiguriert haben, können Sie die Verbindung durch Ausführen der folgenden Schritte wahlweise mit Router 1 oder Router 2 initiieren:

1.	Klicken Sie in der Struktur für Routing und RAS auf Routingschnittstellen.
2.	Klicken Sie im Detailbereich mit der rechten Maustaste auf die Schnittstelle für Wählen bei Bedarf, und klicken Sie anschließend auf Verbinden.

In Abbildung 14-8 wird die verwendete Konfiguration für Routing bei Bedarf hinsichtlich Schnittstellen für Wählen bei Bedarf, statischen Routen und Benutzerkonten für die Büros in Seattle und New York dargestellt.

Abbildung 14-8: Beispielkonfiguration für eine Standort-zu-Standort-VPN-Verbindung Abbildung vergrößern

Das Beispiel stellt eine ordnungsgemäße Konfiguration für das Routing für Wählen bei Bedarf dar. Der Benutzername aus den Anmeldeinformationen der Schnittstelle für Wählen bei Bedarf des anfordernden Routers muss dem Namen der Schnittstelle für Wählen bei Bedarf des antwortenden Routers entsprechen, damit der eingehende Verbindungsversuch als eine bei Bedarf herzustellende Wählverbindung angesehen wird. Diese Beziehung wird in Tabelle 14-1 zusammenfassend dargestellt.

Tabelle 14-1: Verbindungsbeispiel für ein Standort-zu-Standort-VPN
Router	Name der Schnittstelle für Wählen bei Bedarf	Benutzerkontoname in den Anmeldeinformationen für Hinauswählen
Router 1	DD_NewYork	DD_Seattle
Router 2	DD_Seattle	DD_NewYork

Der Verbindungsprozess für Standort-zu-Standort-VPNs

Eine Standort-zu-Standort-VPN-Verbindung verwendet denselben Verbindungsprozess wie eine RAS-Verbindung (der in diesem Kapitel im Abschnitt "Einrichten einer RAS-VPN-Verbindung" beschrieben wird), mit den folgenden Ausnahmen:

•	Beide Router fordern eine IPv4-Adresse beim anderen Router an.
•	Der anfordernde Router registriert sich nicht als RAS-Client.

Zum Seitenanfang

Verwenden von RADIUS zum Authentifizieren des Netzwerkzugriffs

Sie können einen VPN-Server unter Windows Server 2003 zum Authentifizieren, Autorisieren und Kontoführen (AAA – Authentication, Authorization, Accounting) bei VPN-Verbindungen oder zum Verwenden von RADIUS konfigurieren. In den RFCs 2865 und 2866 wird RADIUS definiert, ein weit verbreitetes Protokoll für ein zentrales AAA bei Netzwerkzugriffen.

Ursprünglich für DFÜ-Verbindungen entwickelt, wird RADIUS heute von VPN-Servern, drahtlosen Zugriffspunkten (Access Points), authentifizierenden Ethernet-Switchen, DSL-Zugriffsservern und anderen Typen von Netzwerkzugriffsservern unterstützt.

RADIUS-Komponenten

Eine RADIUS-AAA-Infrastruktur besteht aus den folgenden Komponenten:

•	Zugriffsclients
•	Zugriffsserver (RADIUS-Clients)
•	RADIUS-Server
•	Benutzerkontendatenbanken
•	RADIUS-Proxys

In Abbildung 14-9 werden diese Komponenten dargestellt.

Abbildung 14-9: Die Komponenten einer RADIUS-Infrastruktur Abbildung vergrößern

In den folgenden Abschnitten werden diese Komponenten ausführlich beschrieben.

Zugriffsclients

Ein Zugriffsclient verlangt den Zugriff auf ein Netzwerk oder einen anderen Teil des Netzwerks. Beispiele für Zugriffsclients sind DFÜ- oder RAS-VPN-Clients, drahtlose Clients oder LAN-Clients, die an einen authentifizierenden Switch angeschlossen sind.

Zugriffsserver

Ein Zugriffsserver stellt den Zugriff auf ein Netzwerk bereit. Ein Zugriffsserver, der eine RADIUS-Infrastruktur verwendet, ist gleichzeitig ein RADIUS-Client, der Verbindungsanfragen und Kontoführungsnachrichten an einen RADIUS-Server sendet. Beispiele für Zugriffsserver sind:

•	Netzwerkzugriffsserver (RAS-Server), die einen RAS-Zugang zu einem Unternehmensnetzwerk oder dem Internet bereitstellen. Beispielsweise ein Computer unter Windows Server 2003 und konfiguriertem Routing und RAS, der entweder DFÜ- oder VPN-basierten Zugriff auf das Intranet einer Organisation bereitstellt.
•	Drahtlose Zugriffspunkte, die physischen Zugriff auf das Unternehmensnetzwerk über drahtlose Übertragungs- und Empfangstechnologien bereitstellen.
•	Switches, die physischen Zugriff auf das Unternehmensnetzwerk über LAN-Technologien (bspw. Ethernet) bereitstellen.

RADIUS-Server

Ein RADIUS-Server empfängt und verarbeitet Verbindungsanfragen oder Kontoführungsnachrichten, die von RADIUS-Clients oder RADIUS-Proxys gesendet werden. Während einer Verbindungsanforderung verarbeitet der RADIUS-Server die Liste der RADIUS-Attribute in der Verbindungsanforderung. Auf Grundlage einer Gruppe von Autorisierungsregeln und den Informationen in der Benutzerkontendatenbank authentifiziert und autorisiert der RADIUS-Server die Verbindung und sendet eine RADIUS-Access-Accept-Nachricht oder, wenn die Authentifizierung oder die Autorisierung fehlschlägt, eine RADIUS-Access-Reject-Nachricht zurück. Die RADIUS-Access-Accept-Nachricht kann Verbindungseinschränkungen enthalten, die der Zugriffsserver für die Dauer der Verbindung durchsetzt.

Bei der IAS-Komponente von Windows Server 2003 handelt es sich um einen RADIUS-Server nach Industriestandard.

Benutzerkontendatenbanken

Eine Benutzerkontendatenbank ist eine Liste von Benutzerkonten und deren Eigenschaften, die ein RADIUS-Server zum Überprüfen von Anmeldeinformationen zum Authentifizieren und zum Abrufen von Benutzerkontoeigenschaften, die Informationen über Autorisierungs- und Verbindungsparameter enthalten, verwenden kann.

IAS kann als Benutzerkontendatenbank den lokalen SAM (Security Accounts Manager), eine auf Microsoft Windows NT® 4.0 basierende Domäne oder Active Directory verwenden. Über Active Directory kann IAS Authentifizierung und Autorisierung für Benutzer- oder Computerkonten in der Domäne, in der der IAS-Server Mitglied ist, Domänen mit bidirektionaler Vertrauensstellung und vertrauenswürdige Gesamtstrukturen mit Domänencontrollern unter Windows Server 2003 bereitstellen.

Wenn sich das Benutzerkonto zur Authentifizierung in einer anderen Art von Datenbank befindet, können Sie einen RADIUS-Proxy zum Weiterleiten der Authentifizierungsanforderung an einen RADIUS-Server verwenden, der Zugriff auf die Benutzerkontendatenbank hat.

RADIUS-Proxys

Ein RADIUS-Proxy leitet die RADIUS-Verbindungsanforderungen und Kontoführungsnachrichten zwischen RADIUS-Clients (oder anderen RADIUS-Proxys) und RADIUS-Servern (oder anderen RADIUS-Proxys) weiter. Ein RADIUS-Proxy verwendet die in der RADIUS-Nachricht enthaltenen Informationen zum Weiterleiten an den geeigneten RADIUS-Client oder -Server. Sie können einen RADIUS-Proxy als Weiterleitungspunkt für RADIUS-Nachrichten verwenden, wenn AAA auf mehreren RADIUS-Servern in verschiedenen Organisationen durchgeführt werden muss.

Durch den RADIUS-Proxy werden die Definitionen von RADIUS-Client und RADIUS-Server etwas verschwommen. Ein RADIUS-Client eines RADIUS-Proxys kann ein Zugriffsserver (der Verbindungsanforderungen oder Kontoführungsnachrichten generiert) oder ein weiterer RADIUS-Proxy sein. Zwischen dem ursprünglichen RADIUS-Client und dem abschließenden RADIUS-Server können sich (über verkettete RADIUS-Proxys) mehrere RADIUS-Proxys befinden. Ähnlich kann ein RADIUS-Server für einen RADIUS-Proxy der abschließende RADIUS-Server (der die Überprüfungen für die Authentifizierung und Autorisierung durchführt) oder ein weiterer RADIUS-Proxy sein. Daher ist aus Sicht eines RADIUS-Proxys ein RADIUS-Client die RADIUS-Entität, von der der Proxy RADIUS-Anforderungsnachrichten erhält, und ein RADIUS-Server ist die RADIUS-Entität, zu der der Proxy RADIUS-Anforderungsnachrichten weiterleitet.

Bei der IAS-Komponente von Windows Server 2003 handelt es sich um einen RADIUS-Proxy nach Industriestandard.

IAS als RADIUS-Server

Sie können IAS als RADIUS-Server zum Durchführen von AAA für RADIUS-Clients verwenden. Ein RADIUS-Client kann entweder ein Zugriffsserver oder ein RADIUS-Proxy sein. In Abbildung 14-10 wird IAS als RADIUS-Server dargestellt.

Abbildung 14-10: IAS als RADIUS-Server Abbildung vergrößern

Der Zugriffsserver und der RADIUS-Proxy tauschen RADIUS-Nachrichten mit dem IAS-Server aus. IAS verwendet einen sicheren Kommunikationskanal zum Kommunizieren mit einem Active Directory-Domänencontroller.

Wenn IAS als RADIUS-Server verwendet wird, stehen die folgenden Funktionalitäten zur Verfügung:

•

Ein zentraler Dienst zum Authentifizieren und Autorisieren aller von RADIUS-Clients und RADIUS-Proxys gesendeten Zugriffsanforderungen.

IAS verwendet bei einem Verbindungsversuch entweder eine Windows NT Server 4.0-Domäne, eine Active Directory-basierte Domäne oder den lokalen SAM zum Authentifizieren von Benutzeranmeldeinformationen. IAS verwendet die DFÜ-Eigenschaften des Kontos und RAS-Richtlinien zum Autorisieren einer Verbindung und zum Erzwingen von Verbindungseinschränkungen.

•

Ein zentraler Aufzeichnungsdienst für Kontoführungsinformationen für alle von RADIUS-Clients übermittelten Kontoführungsanforderungen.

Unter Windows Server 2003 werden Kontoführungsanforderungen in einer lokalen Protokolldatei gespeichert oder zu Analysezwecken an eine SQL-Serverdatenbank gesendet.

In den folgenden Szenarios können Sie IAS als RADIUS-Server verwenden:

•	Sie verwenden eine Windows NT Server 4.0-Domäne, eine auf Active Directory basierende Domäne oder den lokalen SAM als Benutzerkontendatenbank für Zugriffsclients.
•	Sie verwenden Routing und RAS unter Windows Server 2003 mit mehreren DFÜ-Servern, VPN-Servern oder Standort-zu-Standort-Routern, und Sie möchten die Konfiguration von RAS-Richtlinien und die Kontoführung von Verbindungsinformationen zentralisieren.
•	Sie lagern den DFÜ-, VPN- oder drahtlosen Zugriff an einen Service Provider aus (Outsourcing). Die Zugriffsserver verwenden RADIUS zum Authentifizieren und Autorisieren von Verbindungen der Mitglieder Ihrer Organisation.
•	Sie möchten AAA für eine heterogene Gruppe von Zugriffsservern zentralisieren.

Zum Senden von RADIUS-Nachrichten an einen auf IAS basierenden RADIUS-Server müssen Sie die Zugriffsserver oder RADIUS-Proxys zum Verwenden des IAS-Servers als RADIUS-Server konfigurieren. Zum Empfangen von RADIUS-Nachrichten von Zugriffsservern oder RADIUS-Proxys müssen Sie den IAS-Server mit RADIUS-Clients konfigurieren. Wenn Ihr VPN-Server bspw. IAS-Server zum Authentifizieren oder zur Kontoführung über RADIUS verwendet, müssen Sie die folgenden Schritte ausführen:

•	Konfigurieren Sie den VPN-Server mit RADIUS-Servern, die den IAS-Servern entsprechen.
•	Konfigurieren Sie die IAS-Server mit einem RADIUS-Client, der dem VPN-Server entspricht.

Gehen Sie folgendermaßen vor, um IAS auf einem Computer unter Windows Server 2003 zu installieren:

1.	Klicken Sie auf Start, dann auf Systemsteuerung, und doppelklicken Sie anschließend auf Software.
2.	Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
3.	Klicken Sie im Dialogfeld Assistenten für Windows-Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details.
4.	Aktivieren Sie im Dialogfeld Netzwerkdienste das Kontrollkästchen Internetauthentifizierungsdienst, klicken Sie auf OK und anschließend auf Weiter.
5.	Legen Sie nach Aufforderung den Windows Server 2003-Datenträger ein.
6.	Klicken Sie nach der Installation von IAS auf Fertig stellen und anschließend auf Schließen.

Gehen Sie folgendermaßen vor, um einen RADIUS-Client auf einem IAS-Server zu erstellen:

1.	Klicken Sie auf Start und Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Internetauthentifizierungsdienst.
2.	Klicken Sie in der Struktur mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie anschließend auf Neuer RADIUS-Client.

Ein Assistent führt Sie durch den Vorgang zum Erstellen und Konfigurieren eines neuen RADIUS-Clients.

Weitere Informationen zum Verwenden von IAS als RADIUS-Server finden Sie in "Hilfe und Support für Windows Server 2003".

RAS-Richtlinien

Damit ein Verbindungsversuch akzeptiert wird, muss er authentifiziert und autorisiert werden. Die Authentifizierung überprüft die Anmeldeinformationen des Zugriffsclients. Die Autorisierung überprüft auf Grundlage der DFÜ-Eigenschaften des Kontos und der RAS-Richtlinien, ob der Verbindungsversuch zugelassen und berechtigt ist. RAS-Richtlinien bestehen aus einem sortierten Satz von Regeln, die das Autorisieren oder Zurückweisen von Verbindungen definieren. Jede Regel enthält eine oder mehrere Bedingungen, einen Satz an Profileinstellungen und eine Einstellung für die RAS-Berechtigung.

Wenn eine Verbindung autorisiert wird, definiert das RAS-Richtlinienprofil eine Gruppe von Verbindungseinschränkungen. Die DFÜ-Einstellungen des Kontos können ebenfalls Einschränkungen enthalten. Gegebenenfalls haben Verbindungseinschränkungen der Kontoeigenschaften höhere Priorität als die des RAS-Richtlinienprofils.

RAS-Richtlinienbedingungen und -einschränkungen

Vor dem Autorisieren der Verbindung können RAS-Richtlinien eine Reihe von Verbindungseinstellungen überprüfen. Dazu gehören:

•	Gruppenmitgliedschaft
•	Verbindungstyp
•	Tageszeit
•	Authentifizierungsmethode
•	Identität des Zugriffsservers

Nach dem Autorisieren der Verbindung können RAS-Richtlinien Verbindungseinschränkungen festlegen. Dazu gehören:

•	Leerlaufzeitlimit
•	Maximale Sitzungsdauer
•	Verschlüsselungsstärke
•	Authentifizierungsmethode
•	IPv4-Paketfilter

Sie können bspw. Richtlinien einsetzen, die jeweils eine unterschiedliche maximale Sitzungsdauer für unterschiedliche Verbindungstypen oder Gruppen festlegen. Darüber hinaus können Sie Richtlinien verwenden, die einen eingeschränkten Zugriff für Geschäftspartner oder Lieferanten definieren.

Wenn Routing und RAS zum Verwenden von Windows zur Authentifizierung konfiguriert ist, konfigurieren Sie die RAS-Richtlinien auf dem Computer, auf dem der Routing und RAS-Dienst ausgeführt wird, indem Sie Routing und RAS öffnen und in der Struktur den Ordner RAS-Richtlinien öffnen. Wenn Routing und RAS zum Verwenden von RADIUS zur Authentifizierung und ein IAS-Server als dessen RADIUS-Server konfiguriert ist, können Sie die RAS-Richtlinien auf dem Computer, auf dem IAS ausgeführt wird, konfigurieren, indem Sie den Internetauthentifizierungsdienst und anschließend in der Struktur den Ordner RAS-Richtlinien öffnen.

Gehen Sie folgendermaßen vor, um eine RAS-Richtlinie unter Verwendung des Internetauthentifizierungsdiensts zu erstellen:

1.	Klicken Sie auf Start und Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Internetauthentifizierungsdienst.
2.	Klicken Sie in der Struktur mit der rechten Maustaste auf RAS-Richtlinien, und klicken Sie anschließend auf Neue RAS-Richtlinie.

Der Assistent für neue RAS-Richtlinien führt Sie durch den Vorgang zum Erstellen einer RAS-Richtlinie.

IAS als RADIUS-Proxy

Sie können IAS als RADIUS-Proxy verwenden, um RADIUS-Nachrichten zwischen RADIUS-Clients (Zugriffsserver) und RADIUS-Servern weiterzuleiten, die AAA für den Verbindungsversuch durchführen. Beim Verwenden von IAS als RADIUS-Proxy agiert IAS als zentraler Switch- bzw. Routingpunkt, über den RADIUS-Zugriffs- und Kontoführungsnachrichten geleitet werden. IAS speichert Informationen über die weitergeleiteten Nachrichten in einem Kontoführungsprotokoll. In Abbildung 14-11 wird IAS als RADIUS-Proxy dargestellt.

Abbildung 14-11: IAS als RADIUS-Proxy Abbildung vergrößern

Verbindungsanforderungsverarbeitung

Ein IAS-Server unter Windows Server 2003 verwendet die Verbindungsanforderungsverarbeitung zum Ermitteln, ob die Nachricht eines RADIUS-Clients lokal verarbeitet werden oder an einen anderen RADIUS-Server weitergeleitet werden soll. Die Verbindungsanforderungsverarbeitung besteht aus den folgenden Bestandteilen:

•

Verbindungsanforderungsrichtlinien

Für jede eingehende RADIUS-Anforderungsnachricht ermitteln Verbindungsanforderungsrichtlinien, ob der IAS-Server die Nachricht lokal verarbeitet oder an einen anderen RADIUS-Server weiterleitet. Verbindungsanforderungsrichtlinien bestehen aus Regeln, die Bedingungen und Profileinstellungen festlegen. Diese ermöglichen eine flexible Konfiguration der Verarbeitungsweise von eingehenden Authentifizierungs- und Kontoführungsanforderungsnachrichten durch den IAS-Server. Mithilfe von Verbindungsanforderungsrichtlinien können Sie eine Reihe von Richtlinien erstellen, damit ein IAS-Server einige RADIUS-Anforderungsnachrichten lokal verarbeitet (als RADIUS-Server agiert) und andere Typen von Nachrichten an einen anderen RADIUS-Server weiterleitet (als RADIUS-Proxy agiert).

•

Remote-RADIUS-Servergruppen

Beim Weiterleiten von RADIUS-Nachrichten durch einen IAS-Server wird durch Remote-RADIUS-Servergruppen festgelegt, an welche Gruppe von RADIUS-Servern die Nachrichten weitergeleitet werden. Eine Remote-RADIUS-Servergruppe ist eine benannte Gruppe, die aus einem oder mehreren RADIUS-Servern besteht. Wenn Sie eine Verbindungsanforderungsrichtlinie zum Weiterleiten von RADIUS-Nachrichten konfigurieren, müssen Sie eine Remote-RADIUS-Servergruppe angeben. Diese Gruppe erleichtert die gemeinsame Konfiguration eines primären und eines sekundären RADIUS-Servers. Durch verschiedene Einstellungen können Sie festlegen, in welcher Reihenfolge die Server verwendet werden oder ob die RADIUS-Nachrichten an alle Server in der Gruppe verteilt werden.

Im Ordner Verbindungsanforderungsverarbeitung des Internetauthentifizierungsdiensts können Sie Verbindungsanforderungsrichtlinien und Remote-RADIUS-Servergruppen konfigurieren.

Gehen Sie folgendermaßen vor, um eine Verbindungsanforderungsrichtlinie zu erstellen:

1.	Klicken Sie auf Start und Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Internetauthentifizierungsdienst.
2.	Klicken Sie in der Struktur mit der rechten Maustaste auf Verbindungsanforderungsrichtlinien, und klicken Sie anschließend auf Neue Verbindungsanforderungsrichtlinie.

Der Assistent für neue Verbindungsanforderungsrichtlinien führt Sie durch den Vorgang zum Erstellen einer Verbindungsanforderungsrichtlinie und Remote-RADIUS-Servergruppe.

Zum Seitenanfang

Kapitelzusammenfassung

Dieses Kapitel enthält die folgenden Schlüsselinformationen:

•	Ein VPN erweitert ein privates Netzwerk, indem es Verbindungen über freigegebene bzw. öffentliche Netzwerke wie das Internet "umhüllt". Kombiniert mit Authentifizierung, Kapselung und Verschlüsselung können Sie ein VPN einsetzen, um Daten zwischen zwei Computern über ein freigegebenes bzw. öffentliches Netzwerk in einer Weise zu senden, die eine private Punkt-zu-Punkt-Verbindung emuliert.
•	Eine RAS-VPN-Verbindung verbindet einen einzelnen Computer mit einem privaten Netzwerk über ein freigegebenes bzw. öffentliches Netzwerk. Eine Standardroute oder ein Satz von Routen, die die Adressen des privaten Intranets zusammenfassen, vereinfachen das Routing von RAS-VPN-Verbindungen.
•	Eine Standort-zu-Standort-VPN-Verbindung verbindet zwei Teile eines privaten Netzwerks über ein öffentliches bzw. freigegebenes Netzwerk. Ein zur Schnittstelle für Wählen bei Bedarf (die eine Punkt-zu-Punkt-VPN-Verbindung repräsentiert) gehöriger Satz von Routen erleichtert das Routing für Standort-zu-Standort-VPN-Verbindungen.
•	Windows XP und Windows Server 2003 unterstützen sowohl einen VPN-Client als auch einen VPN-Server für RAS-VPN-Verbindungen. Ein Computer unter Windows Server 2003 kann als anfordernder oder antwortender Router in einer Standort-zu-Standort-VPN-Verbindung agieren.
•	RADIUS ist ein Standardprotokoll, das für Autorisierung, Authentifizierung und Kontoführung von Netzwerkzugriffen, einschließlich VPN-Verbindungen, verwendet werden kann. Der in Windows Server 2003 enthaltene IAS stellt die Implementierung eines RADIUS-Servers und -Proxys von Microsoft dar.
•	IAS verwendet RAS-Richtlinien zum Ermitteln der Autorisierung für Netzwerkzugriffe und Verbindungsanforderungsrichtlinien, um zu ermitteln, ob ein IAS-Server eingehende RADIUS-Anforderungsnachrichten lokal verarbeiten oder an einen anderen RADIUS-Server weiterleiten soll.

Zum Seitenanfang

Kapitelglossar

Anfordernder Router – Der Router, der die Wählverbindung bei Bedarf initiiert (der VPN-Client).

Antwortender Router – Der Router, der den Versuch einer Wählverbindung bei Bedarf beantwortet (der VPN-Server).

Benutzerkontendatenbank – Eine Liste von Benutzerkonten und deren Eigenschaften, die ein RADIUS-Server verwenden kann, um Anmeldeinformationen zum Authentifizieren zu überprüfen und Benutzerkontoeigenschaften abzurufen, die Informationen über Autorisierungs- und Verbindungsparameter enthalten.

Layer-2-Tunneling-Protokoll (L2TP) – Ein VPN-Tunneling-Protokoll, das UDP und einen L2TP-Header zum Kapseln von PPP-Frames verwendet, die über ein IPv4-Netzwerk gesendet werden.

Point-to-Point-Protokoll (PPP) – Eine Protokollsuite nach Industriestandard für Punkt-zu-Punkt-Verbindungen, über die Pakete verschiedener Protokolle übertragen werden.

Point-to-Point-Tunneling-Protokoll (PPTP) – Ein VPN-Tunneling-Protokoll, das eine TCP-Verbindung zum Etablieren des Tunnels und einen GRE-Header (Generic Routing Encapsulation) zum Kapseln von PPP-Frames verwendet.

RADIUS – Siehe Remote Authentication Dial-In User Service (RADIUS).

RADIUS-Proxy – Ein RADIUS-fähiges Gerät, das RADIUS-Verbindungsanforderungs- und Kontoführungsnachrichten zwischen RADIUS-Clients (und RADIUS-Proxys) und RADIUS-Servern (und RADIUS-Proxys) weiterleitet.

RADIUS-Server – Ein Server, der Verbindungsanfragen oder Kontoführungsnachrichten, die von RADIUS-Clients oder RADIUS-Proxys gesendet wurden, empfängt und verarbeitet.

RAS-VPN-Verbindung – Eine VPN-Verbindung, die einen einzelnen Computer mit einem privaten Netzwerk über ein freigegebenes bzw. öffentliches Netzwerk verbindet.

Remote Authentication Dial-In User Service (RADIUS) – Ein Industriestandardprotokoll, das Sie zum Senden von Nachrichten zwischen Zugriffsservern, RADIUS-Servern und -Proxys verwenden können, um Authentifizierung, Autorisierung und Kontoführung von Netzwerkzugriffen bereitzustellen.

Standort-zu-Standort-VPN-Verbindung – Eine VPN-Verbindung, die zwei Teile eines privaten Netzwerks über ein öffentliches bzw. freigegebenes Netzwerk verbindet.

Virtuelles Privates Netzwerk (VPN) – Die Erweiterung eines privaten Netzwerks, die eine gekapselte, verschlüsselte und authentifizierte Verbindung über freigegebene oder öffentliche Netzwerke umfasst. VPN-Verbindungen können RAS-Verbindungen und geroutete Verbindungen über freigegebene oder öffentliche Netzwerke (bspw. das Internet) für private Netzwerke zur Verfügung stellen.

VPN – Siehe Virtuelles Privates Netzwerk (VPN).

VPN-Client – Ein Computer, der eine Verbindung zu einem VPN-Server initiiert.

VPN-Server – Ein Computer, der VPN-Verbindungen von VPN-Clients akzeptiert. Ein VPN-Server kann eine RAS- oder eine Standort-zu-Standort-VPN-Verbindung bereitstellen.

Zugriffsclient – Ein Netzwerkgerät, das Zugriff auf ein Netzwerk oder einen anderen Teil des Netzwerks anfordert.

Zugriffsserver – Ein Netzwerkgerät, das Zugriff auf ein Netzwerk bereitstellt. Ein Zugriffsserver, der einen RADIUS-Server zur Authentifizierung, Autorisierung und Kontoführung verwendet, ist gleichzeitig ein RADIUS-Client.

Zum Seitenanfang

15 von 20

In diesem Beitrag

•	Übersicht
•	Kapitel 1 – Einführung in TCP/IP
•	Kapitel 2 – Die Architektur des TCP/IP Protokollsatzes
•	Kapitel 3 – IP-Adressierung
•	Kapitel 4 - Subnetzbildung
•	Kapitel 5 – IP-Routing
•	Kapitel 6 – DHCP (Dynamic Host Configuration Protocol)
•	Kapitel 7 – Hostnamenauflösung
•	Kapitel 8 – Domain Name System – Übersicht
•	Kapitel 9 – Windows-Unterstützung für DNS
•	Kapitel 10 – End-to-End-Übermittlung über TCP/IP
•	Kapitel 11 - NetBIOS über TCP/IP
•	Kapitel 12 – Übersicht über WINS (Windows Internet Name Service)
•	Kapitel 13 – Internet Protocol Security (IPsec) und Paketfilterung
•	Kapitel 14 – Virtuelle Private Netzwerke
•	Kapitel 15 – IPv6-Übergangstechnologien
•	Kapitel 16 – Behandeln von Problemen mit TCP/IP
•	Anhang A: IP-Multicast
•	Anhang B: Simple Network Management Protocol
•	Anhang C: Computersuchdienst