70-685 Windows 7 Support in Unternehmen.pdf - Gattner

Lektion 1: Grundlagen von VPN-Clientverbindungen 233
informationen übernimmt der Domänencontroller auch die Aufgabe, das Benutzerkonto für
den Remotezugriff zu autorisieren. Damit ein Benutzerkonto für den Remotezugriff autorisiert
ist, muss es mit der Netzwerkzugriffsberechtigung Zugriff gestatten oder Zugriff über
NPS-Netzwerkrichtlinien steuern konfiguriert sein.
Sie konfigurieren die Netzwerkzugriffsberechtigung für einen einzelnen Benutzer in der
Konsole Active Directory-Benutzer und -Computer auf der Registerkarte Einwählen im
Eigenschaftendialogfeld des Benutzerkontos (Abbildung 6.9). In der Standardeinstellung ist
für Domänenbenutzerkonten die Einstellung Zugriff über NPS-Netzwerkrichtlinien steuern
konfiguriert.
Zertifikatserver
Viele VPNs setzen eine Form der Verschlüsselung ein, die mit öffentlichen Schlüsseln und
einer Public Key-Infrastruktur (PKI) arbeitet. In einer PKI werden Zertifikate einerseits verwendet,
um die Identität des Zertifikatbesitzers zu überprüfen, und andererseits, um Daten zu
verschlüsseln oder entschlüsseln. Jedes Zertifikat ist mit einem Schlüsselpaar verknüpft, das
aus einem öffentlichen Schlüssel (der in das öffentliche Zertifikat eingebettet ist und an alle
verteilt wird) und einem privaten Schlüssel (er wird lokal generiert und niemals über das
Netzwerk gesendet) besteht. Werden Daten mit dem privaten Schlüssel verschlüsselt, können
sie mit dem zugehörigen öffentlichen Schlüssel wieder entschlüsselt werden. Und wird
umgekehrt der öffentliche Schlüssel benutzt, um die Daten zu verschlüsseln, lassen sie sich
mit dem privaten Schlüssel wieder entschlüsseln. In einem typischen Fall benutzt ein Absender
den öffentlichen Schlüssel des Empfängers, um eine Nachricht zu verschlüsseln,
bevor er sie absendet. Nur der Empfänger hat Zugriff auf den privaten Schlüssel, der
gebraucht wird, um die Nachricht zu entschlüsseln.
In einer PKI werden Zertifikate von einer Zertifizierungsstelle generiert und ausgegeben.
Das kann ein Computer sein, der unter Windows Server 2008 läuft und die Serverrolle
Active Directory-Zertifikatdienste ausführt.
DHCP-Server
Normalerweise wird ein interner DHCP-Server verwendet, um VPN-Clients eine IP-Adresse
zuzuweisen. Erfüllt ein DHCP-Server diese Aufgabe, muss der externe Netzwerkadapter des
VPN-Servers mit einem DHCP-Relay-Agent konfiguriert sein, damit er die DHCP-Anforderungen
von externen VPN-Clients bedient. Stattdessen kann auch der VPN-Server selbst
so konfiguriert werden, dass er den VPN-Clients Adressen zuweist; dazu wird nicht die
Unterstützung des DHCP-Servers im Unternehmensnetzwerk gebraucht.
Netzwerkrichtlinienserver
NPS (Network Policy Server, Netzwerkrichtlinienserver) ist die Microsoft-Implementierung
eines RADIUS-Servers und -Proxys. Sie können NPS einsetzen, um Authentifizierung,
Autorisierung und Integritätsrichtlinien für VPN-Verbindungen, Wählverbindungen, 802.11-
Drahtlosverbindungen und 802.1x-Verbindungen zentral zu verwalten. NPS kann außerdem
als Integritätsprüfungsserver für Netzwerkzugriffsschutz (Network Access Protection, NAP)
agieren. Wie RRAS ist auch NPS in Windows Server 2008 ein Rollendienst der Serverrolle
Netzwerkrichtlinien- und Zugriffsdienste.
Abbildung 6.10 zeigt, wie NPS als zentraler Authentifizierungs- und Autorisierungspunkt
für den Netzwerkzugriff agiert. In dieser Abbildung arbeitet NPS als RADIUS-Server für