Technische Übersicht über Netzwerktechnik und...
Transcript of Technische Übersicht über Netzwerktechnik und...
Technische Übersicht über Netzwerktechnik und Kommunikation
Microsoft GmbH
Veröffentlicht: Juli 2002
Einführung
Die Windows® Server 2003-Familie bietet zahlreiche Erweiterungen zur Unterstützung neuer
Netzwerktechnologien im Unternehmen. Dieser Artikel beschäftigt sich mit den neuen
Funktionen und Erweiterungen.
Microsoft® Windows® Server 2003 �
technischer Artikel
Hinweis auf Betaversion
Bei diesem Dokument handelt es sich um ein vorläufiges Dokument, das bis zur endgültigen Handelsausgabe der hier beschriebenen Software wesentlichen Änderungen unterliegen kann.
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Deutschland GmbH zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens der Microsoft Deutschland GmbH dar und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Dieses Dokument dient ausschließlich informativen Zwecken. Microsoft schließt für dieses Dokument jede Gewährleistung aus, sei sie ausdrücklich oder konkludent.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Deutschland GmbH kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht.
Soweit nicht anders vermerkt, sind alle in diesem Dokument genannten Unternehmen, Namen, Adressen, Produkte, Domänennamen, E-Mail-Adressen, Logos und Orte frei erfunden und stehen in keinerlei Verbindung zu einem real existierenden Unternehmen, Namen, einer Adresse, einem Produkt, Domänennamen, einer E-Mail-Adresse, einem Logo oder Ort.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigem Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2002 Microsoft Corporation. Alle Rechte vorbehalten.
Active Accessibility, Active Channel, Active Client, Active Desktop, Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice, Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic, DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace, DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense, JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic, MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType, Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana, Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++, Visual Studio, WebBot, Win32, Windows, Windows Media, Windows NT sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.
Microsoft® Windows® Server 2003 � technischer Artikel
iii
Inhalt
Einführung 1
Vereinfachtes Setup, einfachere Konfiguration und Bereitstellung 2
Netzwerkdiagnosefunktionen 2
Erkennen von Netzwerkstandorten 3
Erweiterungen im Bereich drahtloser Netzwerke 3
Erweiterungen im Bereich Routing und Remote Access Service (RAS) 5
Erweiterung in der Verwaltungskonsole und im Einrichtungsassistenten 5
Neue Konfigurationsoptionen für EAP-TLS-Eigenschaften 5
NetBIOS über TCP/IP Namensauflösungsproxy 5
Integration der Routing- und Remote Access Service-Einstellungen in der Serververwaltung 5
Nutzung der internen Schnittstelle des Routing- und Remote Access Services als private
Schnittstelle für NAT (Network Adress Translation) 5
Verbindungen mit der Einstellung Wählen bei Bedarf können nun auch PPPoE nutzen 6
Interne und Internet-Schnittstellen 6
VPN-Verbindungen für Windows Server 2003, Web-Edition 6
NAT- und Firewall-Integration 6
L2TP/IPSec NAT-Weiterleitung 6
NLB-Unterstützung für L2TP/IPSec-Verkehr 7
Konfiguration von L2TP/IPSec-Verbindungen mit vorinstallierten Schlüsseln 7
Erweiterungen des Verbindungsmanagers 8
Favoriten im Verbindungsmanager 8
Automatische Proxykonfiguration 8
Clientprotokolldateien 8
Unterstützung für die Auswahl eines VPN-Servers 8
Verbesserungen beim Assistenten des Verbindungsmanager-Administrations-Kits 9
Die Konfiguration von vorinstallierten Schlüsseln 9
Routenverwaltung bei gleichzeitigem Intranet- und Internetzugriff für VPN-Verbindungen 9
Verbesserungen der Internetkonnektivität 10
Internetverbindungsfirewall (Internet Connection Firewall, ICF) 10
Erweiterungen bei den Netzwerkverbindungen 10
Aktualisierte Gruppenrichtlinien für Netzwerk- und Wählverbindungen 10
Point-to-Point Protocol over Ethernet-Client für Breitbandverbindungen 11
Weitere Netzwerkzugriffsmöglichkeiten 12
Microsoft® Windows® Server 2003 � technischer Artikel
iv
Netzwerkbrücken 12
Remote Access nutzt den �Schlüsselbund�(Key Ring) zur Verwaltung von Anmeldeinformationen
12
Verwendung einer Anmeldeidentität für alle Benutzer beim Remote-Zugriff 13
Unterstützung für das Internetprotokoll über IEEE 1394 (IP/1394) 13
Änderungen in den Protokollen 14
TCP/IP � Änderungen und Erweiterungen 14
TCP/IP-Protokoll kann nicht entfernt werden 14
Automatischer Wechsel der Konfiguration für die Verbindung mit mehreren Netzwerken
14
Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten 14
Neue Netstat-Option, um den Besitzer eines Ports anzuzeigen 15
IGMP Version 3 15
Automatische Bestimmung der Routingmetrik durch die Geschwindigkeit der Netzwerkkarte
15
Größe des TCP-Empfangsfensters wird durch die Netzwerkkarte festgelegt 15
IPv6 Protokoll-Stack 16
Windows Sockets-Unterstützung 16
6to4-Tunneling 16
Intrasite Automatic Tunnel Addressing-Protokoll 16
PortProxy 17
Sitepräfixe für Routeradvertisements 17
DNS Unterstützung 17
IPSec-Unterstützung 17
Unterstützung von Betriebssystemkomponenten und Anwendungen 18
RPC-Unterstützung 18
Unterstützung von IP Helper API 18
Unterstützung von statischen Routern 18
Kernel Mode-Verarbeitung von Webdatenverkehr 18
Erweiterungen im Quality of Service (QoS) 19
TCP-Empfangsfenstergröße für Heimnetzwerke 19
Verbesserte Unterstützung von Netzwerkgeräten 20
Kapselung der permanenten virtuellen Verbindung 20
NDIS 5.1 und Remote NDIS 20
Verbesserte Unterstützung von Netzwerkmedien 21
CardBus Wake on LAN 21
Microsoft® Windows® Server 2003 � technischer Artikel
v
Erweiterungen bei Gerätetreibern 21
Wake on LAN: Selektive Auswahl der Wake-Ereignisse 21
IrCOMM-Modemtreiber für IrDA 22
Unterstützung neuer Netzwerkdienste 23
TAPI 3.1 und TAPI Service Provider (TSP) 23
Client-APIs zur Echtzeitkommunikation (RTC) 23
DHCP 24
Sichern und Wiederherstellen von DHCP 24
Die Classless Static Route Option (RFC 3442) 25
Migration der DHCP-Datenbank mithilfe von Netsh 25
DHCP-Lease mithilfe von Netsh löschen 25
DNS 25
Active Directory Integrated DNS-Zonen werden nun in Anwendungspartitionen gespeichert
25
Grundlegende Implementierung der Standard-DNS-Sicherheitserweiterungen 26
Entdecken fehlerhafter DNS-Konfigurationen beim Beitreten einer Domäne 26
Verwalten von DNS-Clients über Gruppenrichtlinien 26
Stub-Zonen und bedingte Weiterleitung 26
Unterstützung für das EDNS0-Protokoll 27
Zusätzliche Erweiterungen 27
WINS 27
Filtern von Einträgen 27
Einschränkung und Vorgabe von Replikationspartnern 27
IAS 28
Unterstützung der IEEE 802.1X-Authentifizierung für sichere drahtlose und Large Area-
Netzwerke 28
Eingeschränkte Sitzungszeiten für bestimmte Benutzer 28
IAS und Forest-übergreifende Authentifizierung 29
IAS in der Funktion eines RADIUS-Proxys 29
Protokollieren von RADIUS-Informationen in einer SQL-Datenbank 29
Anonymer EAP-TLS-Zugriff 30
Die RADIUS-Clientkonfiguration unterstützt die Angabe von IP-Adressbereichen 30
Verbesserungen bei der Methode für das Aushandeln einer EAP-Authentifizierung 30
Kontrolle der Objektbezeichner für Benutzerzertifikate und SmartCards 30
Radius-Proxy und Lastenausgleich 31
Microsoft® Windows® Server 2003 � technischer Artikel
vi
Ignorieren der Einwahleigenschaften des Kontos 31
Unterstützung der Computerauthentifizierung 32
Unterstützung für authentifizierungstypabhängige Remote Access-Richtlinien 32
Erweitertes SDK für IAS 32
Skriptfähige API für die Konfiguration von IAS 33
Erweiterte EAP-Konfiguration für Remote Access-Richtlinien 33
Trennung von Authentifizierung und Autorisierung für den IAS-Proxy 33
IPSec 33
Neues IP-Security Überwachungs-Snap-In 34
Befehlszeilenverwaltung mithilfe von Netsh 34
IP Security und die Integration von Netzwerklastenausgleich 34
IPSec-Unterstützung für den Richtlinienergebnissatz (RSoP) 34
IPSec/NAT-Traversierung 35
Verwendung von Hardwareunterstützung für NAT 35
IPSec-Richtlinienfilter erlauben die Verwendung logischer Adressen zur lokalen IP-
Konfiguration 35
Zugriffskontrolle durch Zertifikatszuweisung zu Active Directory-Computerkonten 35
Stärkere Diffie-Hellman-Gruppen für den Internetschlüsselaustausch (IKE) 36
Besserer Schutz vor Denial-Of-Service-Angriffen für IKE 36
Zusätzliche neue Funktionen 37
Änderungen in der Winsock-API 37
Keine weitere Unterstützung von AF_NETBIOS (64-Bit-Version) 37
ConnectEx/TransmitPackets und TCP/IP 37
Windows Sockets Direct Path für SAN-Netzwerke 37
Keine Unterstützung für veraltete Netwerkprotokolle 37
Obsolete RPC-Protokolle 38
Befehlszeilentools 38
Starke kryptographische Authentifizierung der Services für Macintosh 39
Zusammenfassung 40
Weiterführende Links 41
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 1
Einführung
Netzwerktechnik und Kommunikation hatten noch nie eine so entscheidende Rolle wie heute, da
sich Unternehmen zunehmend den Herausforderungen des Wettbewerbs auf dem weltweiten
Marktplatz stellen müssen. Mitarbeiter sollen Zugriff auf das Netzwerk erhalten, unabhängig von
ihrem Aufenthaltsort oder dem verwendeten Gerätetyp. Partner, Vertriebsmitarbeiter und andere
Personen außerhalb des Firmennetzwerks müssen für eine effektive Zusammenarbeit gemeinsam
auf Ressourcen zugreifen können. Sicherheit spielt hierbei eine herausragende Rolle.
Dieser Artikel bietet eine technische Übersicht über die Erweiterungen in den Bereichen Netzwerk
und Kommunikation in der Windows® Server 2003-Familie. Einerseits ist das Einrichten,
Konfigurieren und Bereitstellen eines Netzwerkes nun einfacher geworden; andererseits ergeben
sich Vorteile durch verbesserten Netzwerkzugriff, neue Merkmale der verwendeten
Übertragungsprotokolle und eine bessere Unterstützung von Netwerkgeräten. Ein Beispiel:
Internetzugriff für mobile Benutzer � etwa während Wartezeiten auf dem Flughafen � kann von
Windows 2003 Servern über abgesicherte Funknetzwerke oder herkömmlichen
Ethernetverbindungen bereitgestellt werden. Auch Mobiltelefone können nun über eine vorhandene
Infrarotschnittstelle als Modem zum Aufbau einer Netzwerkverbindung genutzt werden.
Unter anderem geht es in diesem Artikel um die erweiterten Möglichkeiten für IT-Administratoren
zur tieferen und umfassenderen Steuerung und Verwaltung der Netzwerkinfrastruktur. So können
sie einen sicheren Zugriff auf ein kabelloses Netzwerk konfigurieren, Gruppenrichtlinien für die
Einschränkung von Netzwerkfunktionen für bestimmte Benutzertypen anlegen oder ein
Verbindungsmanagerprofil definieren, das für Benutzer auf Reisen automatisch standortabhängig
eine Wählverbindung zum günstigsten VPN-Server aufbaut.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 2
Vereinfachtes Setup, einfachere Konfiguration und Bereitstellung
Netzwerkdiagnosefunktionen
Zur Diagnose von Netzwerkproblemen wurden neue Netzwerkdiagnosefunktionen in die Windows
Server 2003-Familie integriert:
Netzwerkdiagnosewebseite. Die Webseite zur Netzwerkdiagnose kann aus dem Hilfe- und
Supportcenter aufgerufen werden. Sie kann dort im Bereich Werkzeuge unter Netzwerkdiagnose
oder im detaillierten Informationsbereich des Hilfe- und Supportcenter unter den Punkten
Fehlerbehebung oder Netzwerke aufgerufen werden. Diese Webseite erleichtert es, wichtige
Informationen über den lokalen Computer und das Netzwerk, an welches er angeschlossen ist,
zusammenzustellen. Die Webseite enthält auch eine Reihe von Tests, um Netzwerkprobleme
beheben zu können.
Die Netsh diag-Befehle. Eine Netsh-Hilfs-DLL stellt neue Befehle in der netsh diag-Umgebung zur
Verfügung. Von der Befehlszeile aus können aktuelle Parameter des Netzwerks ausgelesen und
Diagnosefunktionen aufgerufen werden. Um in den netsh diag-Kontext zu wechseln und Netsh-
Diagnose-Befehle ausführen zu können, geben Sie an der Befehlsaufforderung den Befehl netsh -c
diag ein.
Option �Reparieren� im Kontextmenü für Netzwerkverbindungen. Wenn eine
Netzwerkverbindung einen ungültigen Status hat, der eine Verbindung mit dem Netzwerk
verhindert, kann dieser Fehler oft durch eine Reihe von einfachen Schritten wie z. B. das Erneuern
der IP-Adressenkonfiguration oder einer neuen DNS-Namensregistrierung behoben werden. Diese
Schritte können nun automatisch ausgeführt werden, hierfür steht Ihnen eine Reparaturoption im
Kontextmenü der Netzwerkverbindungen zur Verfügung. Mit dieser Option versucht Windows durch
die beschriebene Vorgehensweise Kommunikationsprobleme zu lösen; in jedem Fall ist
sichergestellt, dass beim Reparaturversuch keine weiteren Probleme oder Störungen im Netzwerk
hervorgerufen werden.
Netzwerkunterstützungsregister für Netzwerkverbindungen. Die Status-Dialogbox für jede
Netzwerkverbindung im Ordner der Netzwerkverbindungen umfasst nun eine Registerkarte mit dem
Titel Netzwerkunterstützung. Auf dieser Seite werden TCP/IP-Konfigurationsinformationen
angezeigt. Die Seite beinhaltet auch eine Reparieren-Schaltfläche, die der Reparieren-Option aus
dem Kontextmenü der Netzwerkverbindungen entspricht.
Netzwerkregister im Task-Manager. Der Task-Manager besitzt nun auch eine Registerkarte mit
dem Titel Netzwerk, die Echtzeit-Informationen für jeden Netzwerkadapter im System darstellt und
so einen schnellen Überblick über die Leistung des Netzwerks erlaubt.
Aktualisiertes Netdiag.exe Befehlszeilen-Netzwerkdiagnose-Tool. Unter den Supportools
befindet sich auch Netdiag.exe, eine erweiterte Version der bereits von Windows 2000 aus dem
Resourcekit bekannten Werkzeuge. Um die Supporttools zu installieren, starten Sie die Datei
Support.msi im Verzeichnis Support\tools auf der Windows Server 2003-CD-ROM.
Aktivierung der Zugriffsprotokollierung für den Remotezugriff. Im Dialogfeld Benutzerdefinierte
RAS-Einstellungen gibt es eine neue Registerkarte Diagnose. Dieses Dialogfeld befindet sich in der
Ordneranzeige der Netzwerkverbindungen im Menü Extras. Die Protokollfunktion ermöglicht die
Aktivierung einer globalen Protokollierung für Remotezugriffsverbindungen sowie Anzeige und
Löschen von Protokollen.
Weiterführende Informationen finden Sie im Hilfe- und Supportcenter der Windows Server 2003-
Familie.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 3
Erkennen von Netzwerkstandorten
Das Windows Server 2003-Betriebssystem nutzt dynamische Informationen über das aktuell
erreichbare Netzwerk, um so die Konfiguration des Netzwerkprotokollstacks geeignet anzupassen.
Die Informationen der Netzwerkzuordnung sind auch programmatisch durch eine Windows Socket-
API abrufbar. Anwendungsprogramme können so aktuelle Netzwerkinformationen auslesen oder
sich bei Änderungen benachrichtigen lassen.
Auch das Betriebssystem selbst verwendet die automatische Netzwerkzuordnung, um geeignete
Dienste bereitzustellen. Über Gruppenrichtlinien kann die Internetverbindungsfreigabe (Internet
Connection Sharing, ICS), die Internetverbindungsfirewall oder eine Netzwerkbrücke abhängig von
der Netzwerkzuordnung aktiviert oder deaktiviert werden. So ist sichergestellt, dass die
Einstellungen tatsächlich für das Netzwerk zutreffen, mit dem ein Computer verbunden ist.
Beispielsweise ist eine Gruppenrichtlinie, die im Firmennetzwerk gültig ist, bei einer Verbindung mit
einem privaten Netzwerk zu Hause nicht relevant. Die einschränkende Richtlinie wird nicht
angewendet und die Funktionen (z. B. Schutz durch den Internetverbindungsfirewall) können
gemäß den Vorgaben des veränderten Nutzungsbereichs automatisch aktiviert werden.
Erweiterungen im Bereich drahtloser Netzwerke
Auch bei der Einrichtung und Verwaltung von drahtlosen Netzwerken gibt es neue Funktionen und
Erweiterungen in der Windows Server 2003-Familie. Hierzu gehören die automatische Verwaltung
von Schlüsseln und eine sichere Netzwerkauthentifizierung schon vor dem Zustandekommen der
eigentlichen Netzwerkverbindung. Die Erweiterungen umfassen die folgenden Punkte:
Erweiterte Ethernet- und Wireless-Sicherheit (IEEE 802.1x-Unterstützung). Bisher gab es für
drahtlose Netzwerke keine hinreichend sichere und zugleich mit geringem Aufwand verfügbare
Lösung zur Verwaltung von Netzwerkschlüsseln. In Zusammenarbeit mit verschiedenen Herstellern
drahtloser Netzwerklösungen und Anbietern von Computersystemen hat Microsoft im Rahmen der
unabhängigen IEEE Organisation den Industriestandard IEEE 802.1x für Port-basierende
Netzwerkzugriffskontrolle entwickelt. Dieser Standard kann sowohl auf Ethernet als auch auf
drahtlose Netzwerke angewendet werden. Bereits mit Windows XP hat Microsoft eine
Unterstützung des IEEE 802.1x-Standards bereitgestellt und mit Herstellern von drahtlosen
Netzwerklösungen daran gearbeitet, diesen Standard auch in Access-Points zu integrieren.
Zero-Administration im Bereich drahtloser Netzwerke. Bei Verwendung von drahtlosen
Netzwerkkarten kann die Windows Server 2003-Familie ohne Eingriff des Benutzers unter den
verfügbaren Netzwerken eine Auswahl treffen. Einstellungen für bestimmte Netzwerke können
gespeichert und automatisch bei der nächsten Verfügbarkeit und Assoziierung mit einem speziellen
Netzwerk aktiviert werden. Wird das drahtlose Netzwerk nicht im Infrastruktur-Modus mit Access-
Points betrieben, wird eine Verbindung im ad-hoc-Modus gesucht.
Unterstützung für Roaming-User im Wireless-Netzwerk. Bereits mit Windows 2000 wurde die
Verfügbarkeit eines Netzwerkes erkannt und Netzwerkzugriffe entsprechend im Online-Modus
durchgeführt. Diese Funktionen wurden in der Windows Server 2003-Familie für die Nutzung
drahtloser Netzwerke erweitert. Neu hinzugekommen sind eine Erneuerung der DHCP-
Konfiguration bei wechselnder Zuordnung zu verschiedenen Netzwerken, davon abhängig eine evtl.
erforderliche erneute Authentifizierung und die Möglichkeit zur Auswahl unter mehreren
Konfigurationsprofilen im Kontext der aktuellen Netzwerkverbindung.
Überwachungs-Snap-In für drahtlose Verbindungen. In den Betriebssystemen der Windows
Server 2003-Familie gibt es ein neues Überwachungs-Snap-In, mit dem Informationen zu
drahtlosen Access-Points (AP), der eigenen aktuellen Konfiguration als drahtloser Client und
Verbindungsstatistiken angezeigt werden können.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 4
Kennwortbasierte Authentifizierung für sichere drahtlose Netzwerkverbindungen. Die
Windows 2003-Familie unterstützt das Protected Extensible Authentication Protokoll (PEAP) für
drahtlose Netzwerke. PEAP ermöglicht eine kennwortbasierte Authentifizierungsmethode für die
sichere Anmeldung über drahtlose Verbindungen. Hierbei erfolgt bereits die Anmeldung selbst über
einen verschlüsselten Kanal, schon vor Abschluss des Authentifzierungsvorgangs. Die
Informationsübertragung bei dieser kennwortbasierten Authentifizierung bietet so keine
Angriffspunkte für wörterbuchbasierte Angriffe. Das Microsoft Challenge Handshake Authentication
Protocoll in der Version 2 (MS-CHAP v2) kann nun als EAP-Authentifizierungsverfahren verwendet
werden. So muss für eine sichere drahtlose Authentifizierung keine aufwändige
Zertifikatsinfrastruktur (Public Key Infrastructure, PKI) aufgebaut werden. Auch die Installation von
Zertifikaten auf jedem Netzwerk-PC mit drahtloser Verbindung ist nicht erforderlich. Schließlich
unterstützt auch der Remote Authentication Dial-in User Service (RADIUS)-Server (der so genannte
Internet Authentication Service (IAS)) das PEA-Protokoll.
Erweiterungen der Gruppenrichtlinien zum Einsatz von drahtlosen Netzwerken. Eine neue
Gruppenrichtlinienerweiterung für drahtlose Netzwerke (IEEE 802.11) ermöglicht die Konfiguration
von drahtlosen Netzwerkeinstellungen als Teil der computerspezifischen Richtlinien. Diese
beinhalten eine Liste der bevorzugten Netzwerke, Angaben zur Datenverschlüsselung (Wired
Equivalent Privacy, WEP) und IEEE 802.1x-Einstellungen. Die Vorgaben werden an die Mitglieder
einer Domäne verteilt. Damit ist es sehr einfach, zentral eine spezielle Konfiguration für den
sicheren Zugriff von drahtlosen Clients bereit zu stellen. Die Konsole für die Konfiguration von
Richtlinien für drahtlose Netzwerke finden Sie unter Computerkonfiguration/Windows-
Einstellungen/Sicherheitseinstellungen/Drahtlosnetzwerkrichtlinien (IEEE 802.11) im
Gruppenrichlinien-Snap-In.
Zugriffe für nichtauthentifizierte Verbindungen von drahtlosen Clients. Sowohl die zur
Windows Server 2003-Familie gehörende Software für drahtlose Clients als auch der IAS
unterstützen die Möglichkeit von nichtauthentifizierten drahtlosen Verbindungen. In diesem Fall wird
Extensible Authentication Protocol Level Security (EAP-TLS) zur einseitigen Bestätigung des IAS-
Serverzertifikats verwendet. Der drahtlose Client sendet keinen Benutzernamen oder
Anmeldeinformationen. Um diese Art der Anmeldung zu ermöglichen, müssen Sie die Option Als
Gast authentifizieren, wenn Benutzer- oder Computerinformationen nicht verfügbar sind aus der
Registerkarte Authentifizierung der Eigenschaften für die drahtlose Netzwerkverbindung im Ordner
Netzwerkverbindungen konfigurieren. Um einen anonymen Zugriff für IAS-Server zu konfigurieren,
müssen Sie das Gast-Benutzerkonto aktivieren und über eine Remote-Access-Richtlinie den
nichtauthentifizierten Zugriff für EAP-TLS-Verbindungen zulassen. Dabei ist eine Gruppe zu
verwenden, die das Gast-Benutzerkonto enthält. Mit dieser Richtlinie kann auch eine virtuelle
Netzwerkkennung (VLAN ID) angegeben werden, die dem temporären Netzwerksegment für
nichtauthentifizierte Benutzer entspricht.
Die beschriebenen Erweiterungen in Windows Server 2003 ermöglichen beispielsweise folgende
Szenarien:
Mobile Benutzer auf einem Flughafen können sichere Verbindungen ins Internet über drahtlose
oder Ethernetverbindungen herstellen.
Netzwerkadministratoren können mit Unterstützung des Betriebssystems einen sicheren Zugriff auf
ein drahtloses Netzwerk konfigurieren. Zertifikate können nun automatisch eingerichtet werden,
indem die hierfür erforderliche Benutzerautorisierung mithilfe einer Remote-Access-
Gruppenrichtlinie durch den IAS sichergestellt wird.
Es ist nun möglich, Benutzeranmeldung und Authentifizierung für kabelbasierte Ethernetnetzwerke
ohne Verwendung von zusätzlichen Verschlüsselungsprotokollen abzusichern.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 5
Weitere Informationen finden Sie im Abschnitt "IAS" dieses Artikels.
Erweiterungen im Bereich Routing und Remote Access Service (RAS)
Folgende Erweiterungen betreffen die Bereiche Routing und Remote Access Service für die
Windows Server 2003-Familie:
Erweiterung in der Verwaltungskonsole und im Einrichtungsassistenten
Mit dem verbesserten Einrichtungsassistenten für die Einrichtung des Routing- und Remote
Access-Servers ist die Inbetriebnahme nun schneller zu bewerkstelligen. Auch das Routing- und
Remote Access-Snap-In der Verwaltungskonsole unterstützt nun besser die Konfiguration der
Servereinstellungen nach Installation des Dienstes.
Neue Konfigurationsoptionen für EAP-TLS-Eigenschaften
Das Dialogfeld für Eigenschaften von Smartcard oder andere Zertifikate erlaubt die Konfiguration
mehrerer RADIUS-Server und mehrerer Root-Zertifizierungsstellen. So können Netzwerke, die aus
mehreren drahtlosen oder verkabelten Teilnetzen bestehen, oder auch große Netzwerke mit
mehreren RADIUS-Servern für eine transparente Nutzung konfiguriert werden. Das Dialogfeld
Eigenschaften von Smartcard oder anderes Zertifikat finden Sie in der Registerkarte Sicherheit des
Eigenschaften-Dialogs einer Netzwerkverbindung (diese finden Sie in der Systemsteuerung unter
Netzwerkverbindungen).
NetBIOS über TCP/IP Namensauflösungsproxy
Ein neuer Proxy für das NetBIOS über TCP/IP (NetBT)-Protokoll wurde in den Routing und Remote
Access Service (RAS) integriert. Wenn Clients eine drahtlose Verbindung zu einem Netzwerk mit
einem oder mehreren Subnetzen an einem Windows Server 2003 (dem Remote Access Server-
Computer) als Router aufbauen, kann die Namensauflösung ohne Verwendung eines DNS (Domain
Name System)- oder WINS (Windows Internet Name Service)-Servers erfolgen.
Diese neue Funktion erlaubt es gerade kleineren Unternehmen, Remote-Access- oder VPN-Server
zu konfigurieren, so dass die Mitarbeiter auch von zuhause aus zugreifen können. Mit aktiviertem
NetBT-Proxy können Remoteclients auch ohne Bereitstellung eines DNS- oder WINS-Servers die
Namen der Computer innerhalb des Unternehmensnetzwerks auflösen.
Integration der Routing- und Remote Access Service-Einstellungen in der Serververwaltung
Die Konfiguration der NAT/Standard-Firewall-Komponente des Routing- und Remote Access
Services geschieht über die allgemeine Verwaltungskonsole eines Windows Server 2003 Servers.
Die vollständige Konfiguration eines Servers beinhaltet somit in einem Vorgang auch die
Einrichtung des Routing- und des Remote Access Services sowie der NAT- und Standard-Firewall-
Komponenten.
Nutzung der internen Schnittstelle des Routing- und Remote Access Services als private
Schnittstelle für NAT (Network Adress Translation)
Wenn ein Windows 2000 Server eine Einwahlmöglichkeit in ein privates Intranet bereitstellt und
gleichzeitig als Network Address Translator (NAT) aus diesem Intranet heraus eine
Internetverbindung realisiert, dann konnten bisher über Remote Access verbundene Clients diese
Internetverbindung nicht nutzen. Mit Windows Server 2003 ist es nun möglich, auch
remoteverbundenen Benutzern den Zugriff auf das Internet zu ermöglichen. Hierzu wird die interne
Schnittstelle als private Schnittstelle der NAT-Komponente des Routing- und Remote Access
Services hinzugefügt.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 6
Verbindungen mit der Einstellung Wählen bei Bedarf können nun auch PPPoE nutzen
Für Wählverbindungen, die bei Bedarf hergestellt werden, kann das Point-to-Point Protocol over
Ethernet (PPPoE) verwendet werden (etwa für aDSL-Verbindungen). Der Routing- und Remote
Access Service stellt über Wählverbindungen Punkt-zu-Punkt-Verbindungen zwischen Netzwerken
her, um darüber Pakete zu routen. Diese Funktion wird mit der Option Verbindung über PPP-over-
Ethernet (PPPoE) herstellen im Assistent für eine Schnittstelle für Wählen bei Bedarf bei der
Auswahl des Schnittstellentyps aktiviert.
Durch das Zulassen von PPPoE als Verbindungstyp für Schnittstellen für Wählen bei Bedarf kann
ein kleines Unternehmen die NAT/Internetverbindungsfirewall-Komponente für den Routing- und
Remote Access Service in Verbindung mit der Breitband-Internetverbindung nutzen, um sich mit
dem Internet zu verbinden.
Interne und Internet-Schnittstellen
Um Probleme bei der Auflösung von Namen eines VPN-Servers zu lösen und um auf Dienste, die
auf dem VPN-Server ausgeführt werden, zugreifen zu können, deaktiviert der Routing- und Remote
Access Service standardmäßig die dynamische DNS-Registrierung für die interne Schnittstelle;
ferner deaktiviert er sowohl die dynamische DNS als auch NetBIOS over TCP/IP (NetBT) für die
Schnittstelle, die vom Setup-Assistenten als Internet-Schnittstelle erkannt wurde.
VPN-Verbindungen für Windows Server 2003, Web-Edition
Für die Web-Edition von Windows Server 2003 wurde die Anzahl der zugelassenen VPN-
Verbindungen auf eine beschränkt (dies kann entweder eine Point-to-Point-Protocol (PPTP)- oder
eine Layer Two Tunneling Protocol (L2TP)-basierte Verbindung sein). Dabei handelt es sich um die
gleiche Einschränkung, die auch innerhalb von Windows XP Professional und Windows XP Home-
Edition existiert. Möchten Sie mehr als nur eine VPN-Verbindung unterstützen, müssen Sie
Windows Server 2003 Standard-, Enterprise- oder Datacenter-Edition einsetzen.
NAT- und Firewall-Integration
Die NAT/Internetverbindungsfirewall-Komponente des Routing- und Remote Access Services
wurde erweitert. Sie unterstützt nun einen Internetverbindungsfirewall auf Grundlage der gleichen
Technologie wie bei Windows XP. Diese Funktion erlaubt es Ihnen, die öffentliche Schnittstelle
eines Computers mit einem Windows Server 2003-Betriebssystem zu schützen, der über einen
Network Address Translator (NAT) einen Zugriff auf das Internet ermöglicht. Durch die Nutzung von
NAT werden die Computer auf der privaten Netzwerkseite gesichert, da der NAT-Computer Daten
aus dem Internet nur dann weiterleitet, wenn ein Client aus dem privaten Netzwerk sie anfordert.
Allerdings bleibt der NAT-Computer selbst angreifbar. Durch Aktivierung des
Internetverbindungsfirewalls auf der öffentlichen Schnittstelle des NAT-Computers werden alle
Pakete gelöscht, die an der Internetschnittstelle entgegengenommen werden und nicht vom NAT-
Computer oder von einem Computer aus dem privaten Intranet angefordert wurden.
Sie können diese Funktion aus der Eigenschaften-Registerkarte für die
NAT/Internetverbindungsfirewall einer privaten Schnittstelle aktivieren, die für die Nutzung der
NAT/Internetverbindungsfirewall-IP-Routingprotokoll-Komponente des Routing- und Remote
Access Services konfiguriert ist
L2TP/IPSec NAT-Weiterleitung
Unter Windows 2000 war es nicht möglich, Internet Key Exchange (IKE) und Encapsulating
Security Payload (ESP)-Pakete über NAT laufen zu lassen, da NAT die Adressen oder Ports der
Pakete übersetzte und die Pakete dadurch ungültig wurden. Mit Windows konnten Sie keine
L2TP/IPSec-Verbindung von einem Rechner aus aufbauen, der über einen NAT geroutet wird; es
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 7
war daher notwendig, als Lösung Point-to-Point Tunneling-Protocol (PPTP) für VPN-Verbindungen
einzusetzen.
Die Windows Server 2003-Familie unterstützt nun die UDP-Kapselung von Internet Protocol
security (IPSec)-Paketen, um IKE oder ESP-Daten durch den NAT weiterzuleiten. Dies ermöglicht
L2TP/IPSec-Verbindungen auch über eine oder mehrere NATs von Windows XP- oder Windows
2000 Professional-basierten Computern und von Servern, die ein Betriebssystem der Windows
Server 2003-Familie ausführen.
Die Weiterleitung von IPSec-Daten in der Windows Server 2003-Familie durch NAT wird in �UDP
Encapsulation of IPSec Packets� (draft-ietf-ipsec-udp-encaps-02.txt) und �Negotiation of NAT-
Traversal in IKE� (draf-ietf-ipsec-nat-t-ike-02.txt) erläutert.
NLB-Unterstützung für L2TP/IPSec-Verkehr
Unter Windows 2000 hatte der Netzwerklastenausgleichdienst (Network Load Balancing, NLB) nicht
die Möglichkeit, IPSec-Sicherheitszuordnungen (SAs) für verschiedene Server zu verwalten. Wenn
ein Server innerhalb des Clusters nicht mehr zur Verfügung stand, wurden die
Sicherheitszuordnungen des Clusters nicht mehr aktualisiert und daher nach einiger Zeit ungültig.
Dies bedeutete, dass Sie keine L2TP/IPSec-VPN-Server clustern konnten. Das DNS-
Rotationsprinzip (Round-Robin) konnte zum Lastenausgleich über mehrere L2TP/IPSec-VPN-
Server verwendet werden, ermöglichte aber keine Fehlertoleranz.
In der Windows Server 2003-Familie bietet der erweiterte NLB-Dienst auch Cluster-Unterstützung
für IPSec-Sicherheitszuordnungen (SAs). Sie können nun einen Cluster von L2TP/IPSec-VPN-
Servern anlegen, wobei der NLB-Dienst sowohl Lastenausgleich als auch Fehlertoleranz für
L2TP/IPSec-Verkehr zur Verfügung stellt.
Diese Funktion steht nur mit den 32-Bit- und 64-Bit-Versionen der Enterprise oder Datacenter-
Edition zur Verfügung.
Konfiguration von L2TP/IPSec-Verbindungen mit vorinstallierten Schlüsseln
Die Windows Server 2003-Familie unterstützt sowohl Computerzertifikate als auch vorinstallierte
Schlüssel als Authentifizierungsmethode, um IP-Sicherheit (IPSec) in Verbindung mit L2TP-
Verbindungen einzurichten. Ein vorinstallierter Schlüssel ist ein Textstring, der sowohl auf dem
VPN-Client als auch auf dem VPN-Server hinterlegt wurde. Die Verwendung von vorinstallierten
Schlüsseln ist eine relativ schwache Authentifizierungsmöglichkeit. Diese Vorgehensweise ist
empfehlenswert, um beim Aufbau einer Public Key Infrastruktur (PKI) Computerzertifikate zu
verteilen oder wenn VPN-Clients vorinstallierte Schlüssel zur Authentifizierung benötigen. Sie
können für L2TP-Verbindungen vorinstallierte Schlüssel nutzen und diese in der Registerkarte
Sicherheit innerhalb der Eigenschaften eines Servers im Snap-In für den Routing- und Remote
Access Service festlegen.
Windows XP und die Remote-Access-VPN-Clients der Windows Server 2003-Familie unterstützen
die Authentifizierung über vorinstallierte Schlüssel. Sie können die Authentifizierung über
vorinstallierte Schlüssel aktivieren und den vorinstallierten Schlüssel in den IPSec-Einstellungen auf
der Registerkarte Sicherheit der Eigenschaften für eine VPN-Verbindung innerhalb der
Netzwerkverbindungen konfigurieren.
Die Windows Server 2003-Familie unterstützt die Authentifizierung über vorinstallierte Schlüssel
auch bei Router-zu-Router-VPN-Verbindungen. Sie können die Authentifizierung über vorinstallierte
Schlüssel in den Eigenschaften der Schnittstelle für Wählen bei Bedarf auf der Registerkarte
Sicherheit aktivieren und den Schlüssel festlegen. Sie finden die Eigenschaften der Schnittstelle für
Wählen bei Bedarf im Routing- und Remote Access Snap-In.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 8
Erweiterungen des Verbindungsmanagers
Der Verbindungsmanager und das Administrationsverwaltungswerkzeug für den
Verbindungsmanager wurden innerhalb der Windows Server 2003-Familie um folgende Punkte
erweitert:
Favoriten im Verbindungsmanager
Die Verbindungsmanagerfavoriten ermöglichen es Benutzern, wenn sie eine Verbindung von
verschiedenen Standorten aus herstellen, auf Mehrfachkonfigurationen der Eigenschaften des
Verbindungsmanagers zu verzichten. Dies ermöglicht das einfache Speichern und den einfachen
Zugriff auf Einstellungen und kann z. B. in der nachfolgenden Situation genutzt werden:
Ein Benutzer arbeitet an häufig wechselnden Standorten, teilweise arbeitet er im Büro seines
Unternehmens, teilweise im Büro eines Geschäftspartners. Der Benutzer richtet die Standorte
innerhalb des Verbindungsmanagers ein. Er richtet auch die Rufnummer für die nächstgelegene
Verbindung, die Ortskennzahlen und die Wählregeln ein und gibt jeder Verbindung einen
eindeutigen Namen. Nun kann der Benutzer zwischen den gespeicherten Einstellungen auswählen,
um schnell Netzwerkverbindungen von jedem der Standorte aus aufzubauen.
Automatische Proxykonfiguration
Mit der automatischen Proxykonfiguration wird ein Verbindungsmanagerprofil angelegt, um für den
Benutzer immer den geeigneten Zugriff auf interne und externe Ressourcen sicherzustellen,
während er mit dem Firmennetzwerk verbunden ist. Diese Funktion erfordert den Einsatz von
Internet Explorer 4.0 oder einer neueren Version.
Nehmen wir z. B. an, der Heimcomputer eines Angestellten sei so eingestellt, dass er die
Verbindung zum Internet ohne einen Proxyserver herstellt. Bei einer Verbindung mit dem
Firmennetzwerk kann diese Einstellung zu Problemen führen. Ein IT-Administrator kann in diesem
Fall ein Verbindungsmanagerprofil anlegen, das die geeigneten Proxyservereinstellungen für den
Fall einer Verbindung mit dem Firmennetzwerk bereithält.
Clientprotokolldateien
Diese Funktion ermöglicht es, Protokolldateien zu aktivieren. Protokolldateien bieten die
Möglichkeit, schnell und zuverlässig Probleme mit dem Verbindungsmanager zu beheben. Ein
Client stellt z. B. fest, dass er Probleme beim Verbinden mit einem Netzwerk hat, wenn er ein
Verbindungsmanagerprofil nutzt, das durch einen IT-Administrator vorgeschrieben wurde. In
diesem Fall kann eine Protokolldatei, die auf dem Computer des Benutzers angelegt wird, an den
Administrator gesendet werden. Dieser kann die Protokolldatei auswerten, um die Fehlerbehebung
zu vereinfachen.
Unterstützung für die Auswahl eines VPN-Servers
Mit dem Verbindungsmanager Administrations-Kit, das in Windows Server 2003 enthalten ist, kann
ein Verbindungsmanagerprofil erstellt werden, das dem Benutzer bei der Verbindung mit dem
Firmennetzwerk gestattet, einen Virtual Privat Network (VPN)-Server zu wählen. Dies erlaubt die
Benutzung von VPN-Verbindungen in folgenden Situationen:
Eine Firma unterhält weltweit Büros und betreibt an vielen dieser Orte VPN-Server. Ein IT-
Administrator kann nun für einen Benutzer, der häufig unterwegs ist, ein Verbindungsmanagerprofil
anlegen, das dem Benutzer die Auswahl desjenigen VPN-Servers erlaubt, der seine Anforderungen
an die Verbindung am besten erfüllt.
Der VPN-Server eines Unternehmens wird für Wartungsarbeiten offline genommen. In dieser Zeit
können Benutzer eine Wählverbindung zu einem anderen VPN-Server aufbauen.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 9
Verbesserungen beim Assistenten des Verbindungsmanager-Administrations-Kits
Der Assistent des Verbindungsmanager-Administrations-Kits (CMAK) wurde in seiner Funktionalität
erweitert. Er bietet nun verbesserte Dialogfelder und die Möglichkeit für weitreichende
Anpassungsaufgaben, bevor ein Benutzerprofil erstellt wird. Die Verbesserungen erleichtern die
Erstellung eines angepassten Pakets für Clientverbindungsprofile und verringern die Notwendigkeit,
CMS- oder CMP-Dateien für weiterführende Anpassungen zu editieren. Zahlreiche
Anpassungsaktionen sind verfügbar und durch den Assistenten innerhalb des CMAK konfigurierbar.
Dies betrifft auch spezielle Anpassungsoptionen für VPN-Verbindungen. So kann ein IT-
Administrator ein einziges Profil erstellen, um die Sicherheitseinstellungen für mehrere
Clientbetriebssysteme anzupassen, oder ein Profil anlegen, um andere Funktionen des Remote
Access Services zu nutzen, wie z. B. Rückruf oder den Einsatz von Terminaldiensten.
Die Konfiguration von vorinstallierten Schlüsseln
Mit dieser Funktion kann ein IT-Administrator ein Verbindungsmanagerprofil mithilfe von CMAK
anlegen, das den vorinstallierten Schlüssel des VPN-Servers für die Authentifizierung bei
L2TP/IPSec-Verbindungen enthält.
Routenverwaltung bei gleichzeitigem Intranet- und Internetzugriff für VPN-Verbindungen
In älteren Betriebssystemen vor Windows XP und Windows Server 2003 legte ein Microsoft-VPN-
Client automatisch eine Route an, die den gesamten Datenverkehr der Standardroute durch den
VPN-Tunnel umleitete. Obwohl die VPN-Clients hierdurch auf das Unternehmensintranet Zugriff
hatten, konnte der Client nur bei aktiver VPN-Verbindung auf Internetressourcen zurückgreifen,
wenn die VPN-Verbindung zum Intranet des Unternehmens einen Zugriff auf das Internet
gestattete. Der neue Verbindungsmanager erlaubt nun Folgendes:
Wenn eine VPN-Verbindung aufgebaut wird, werden statt einer Änderung der Standardroute neue
Routen für den Zugriff auf die einzelnen Ressourcen des Unternehmensintranets zu den Routen
des VPN-Clients hinzugefügt. So kann der Client gleichzeitig das Intranet (anhand der
hinzugefügten Routen) und das Internet (über die Standardrouten) nutzen, ohne den
Internetverkehr über das Unternehmensintranet schleusen zu müssen.
Das Verbindungsmanager Administrations-Kit erlaubt es Ihnen, für die VPN-Benutzer spezielle
Routen als Teil des Verbindungsmanagerprofils zu konfigurieren. Sie können auch einen Uniform
Resource Locator (URL) angeben, der eine aktuelle Zusammenstellung der Routen für das
Unternehmensintranet oder weitere Routen zusätzlich zu den im Profil konfigurierten bereithält.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 10
Verbesserungen der Internetkonnektivität
Die Windows Server 2003-Familie bringt im Bereich der Internetverbindung folgende
Erweiterungen:
Internetverbindungsfirewall (Internet Connection Firewall, ICF)
Ist ein Computer mit dem Internet oder mit einem anderen externen Netzwerk verbunden, droht
jederzeit der unberechtigte Zugriff auf den Computer und die dort gespeicherten Daten. Ob der mit
dem externen Netzwerk verbundene Computer ein Rechner ohne weitere Netzwerkverbindungen
ist, oder ob er als Gateway für das dahinter liegende Netzwerk fungiert (z. B. wenn die
Internetverbindungsfreigabe genutzt wird), ist für den Einsatz einer Firewall gleichgültig. Eine
Firewall bietet Ihrem Heimnetzwerk in jedem Fall Schutz vor unsicherem Netzwerkverkehr und lässt
den gewünschten Datenverkehr passieren.
Die Windows Server 2003-Familie bietet Ihren Computern und Heimnetzwerken (die entsprechend
miteinander verbunden sind) den Schutz der Internetverbindungsfirewall (Internet Connection
Firewall, ICF).
ICF wird automatisch für Wählverbindungen und Breitbandverbindungen aktiviert, wenn der
Assistent für neue Verbindungen ausgeführt wird. Er richtet den Firewall ein und nimmt
Einstellungen vor, die mit den meisten Netzwerken funktionieren. Der Firewall kann im Ordner für
die Netzwerkverbindungen auch manuell aktiviert bzw. deaktiviert werden.
ICF überwacht den Datenverkehr, der innerhalb des Firewalls initiiert wird, und entscheidet auf
dieser Grundlage, welcher Verkehr von außen zugelassen werden soll, wobei von außerhalb
initiierte Pakete vom Firewall standardmäßig nicht zugelassen werden. Wenn Sie Dienste oder
Programme (wie z. B. einen Webserver) hinter dem Firewall ausführen, können die Einstellungen
der ICF Ihren Bedürfnissen entsprechend angepasst werden.
ICF kann zum Schutz einer Remote-Access-Verbindung genutzt werden, wenn ein Internet Service
Provider (ISP) direkt angewählt wird, oder zum Schutz einer Netzwerkverbindung, die über eine
Digital Subscriber Line (DSL) oder ein Kabelmodem besteht.
Dieses Feature steht nur in den 32-Bit-Versionen der Standard-, Enterprise- oder Web-Edition zur
Verfügung.
Erweiterungen bei den Netzwerkverbindungen
Die folgenden Erweiterungen wurden im Bereich der Netzwerkverbindungen in der Windows Server
2003-Familie eingeführt:
Aktualisierte Gruppenrichtlinien für Netzwerk- und Wählverbindungen
Diese Funktion ermöglicht mithilfe von Gruppenrichtlinien die Sperrung oder Freigabe von
Komponenten der Netzwerkfunktionalität für Benutzer mit den Betriebssystemen Windows XP
Professional oder Windows Server 2003. Dies ist in folgenden Situationen hilfreich:
Ein IT-Administrator kann einen Benutzer zum Mitglied der Netzwerkkonfigurations-Operatoren
machen. Damit erhält der Benutzer Zugriff auf die Transmission Control Protocol/Internet Protocol
(TCP/IP)-Eigenschaften einer Netzwerkverbindung und kann seine IP-Adressen konfigurieren.
Als Mitglied der lokalen Administratorengruppe eines Computers kann der Benutzer ICS (Internet
Connection Sharing, Internetverbindungsfreigabe), ICF (Internet Connection Firewall,
Internetverbindungsfirewall) und Netzwerkbrücken aktivieren sowie die Eigenschaften einer
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 11
Netzwerkverbindung konfigurieren. Das Aktivieren oder Konfigurieren dieser Funktionen könnte
jedoch die Netzwerkverbindungen stören. Daher kann der IT-Administrator über Richtlinien einen
lokalen Administrator von der Konfiguration dieser Funktionen abhalten.
Point-to-Point Protocol over Ethernet-Client für Breitbandverbindungen
Die Windows Server 2003-Familie bietet die Möglichkeit, Verbindungen unter Verwendung des
Point-to-Point Protocol over Ethernet (PPPoE) anzulegen. Die Nutzung von PPPoE und einer
Breitbandinternetverbindung wie DSL oder Kabelmodem erlaubt dem Benutzer einen individuellen
authentifizierten Zugriff auf Hochgeschwindigkeitsnetze. In früheren Versionen von Windows
mussten die Benutzer Software installieren, die von dem jeweiligen ISP zur Verfügung gestellt
wurde. Nun wurde diese Unterstützung direkt in das Betriebssystem integriert.
Die PPPoE-Client-Unterstützung ermöglicht folgende Szenarien:
Ein Benutzer, der zu Hause über eine Breitbandverbindung verfügt und für die Internetverbindung
eine PPPoE-Anmeldung benötigt, kann nun mit dem PPPoE-Client und dem neuen
Verbindungsmanagerassistenten ohne Installation weiterer Software sofort eine Internetverbindung
anlegen.
Ein IT-Administrator kann mit dieser Funktion den Zugriff auf das interne Netzwerk sicherer
gestalten. Er kann mit PPPoE alle Zugriffe auf das Netzwerk authentifizieren, die von öffentlich
zugänglichen Orten innerhalb des Unternehmens (z. B. von Konferenzräumen oder Vorzimmern)
erfolgen.
Die Integration dieser Funktionen in die Windows Server 2003-Familie erlaubt den Einsatz anderer
Funktionen wie z. B. ICS (für die gemeinsame Nutzung Ihrer Breitbandverbindung durch andere
Computer) oder ICF (für das Sichern der PPPoE-Verbindung vor Angriffen aus dem Internet). Die
PPPoE-Verbindung kann auch aus dem Internet Explorer und anderen Windows-Komponenten und
Anwendungen ausgewählt werden.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 12
Weitere Netzwerkzugriffsmöglichkeiten
Im Bereich der Netzwerkzugriffsmöglichkeiten bietet die Windows Server 2003-Familie folgende
Erweiterungen:
Netzwerkbrücken
Wenn ein Netzwerk in einem kleinen Unternehmen oder zu Hause aufgebaut wird, kann es
vereinzelt vorkommen, dass ein Netzwerkmedium in einem Abschnitt des Netzwerks funktioniert,
aber nicht in einem anderen. So können z. B. einige Computer, die in der Nähe von
Telefonverteilern aufgestellt sind, eine Telefonleitung zur Netzwerkverbindung nutzen. Andere
Computer sind vielleicht zu weit entfernt und müssen für den Aufbau einer Verbindung andere Mittel
wie z. B. eine drahtlose Netzwerkverbindung nutzen. Die zahlreichen Verbindungsmöglichkeiten,
die von der Windows Server 2003-Familie unterstützt werden, sind u. a. Ethernet, Telefonleitungen,
IEEE 802.11b drahtlose Verbindungen und IEEE 1394-FireWire-Verbindungen.
Computer, die mit einer Art von Netzwerktechnik untereinander kommunizieren, bilden ein
Netzwerksegment. Normalerweise würde die Verbindung dieser Netzwerksegmente über TCP/IP
das Konfigurieren von unterschiedlichen Subnet-Adressen und Routern erfordern. Die
Netzwerkbrücke ermöglicht es, dass Computer mit Windows Server 2003 verschiedene
Netzwerksegmente überbrücken, um so ein einziges Subnetz zu erzeugen. Das Überbrücken
verschiedener Netzwerksegmente auf einem Brückencomputer geschieht einfach durch die
Auswahl von mehreren Verbindungen innerhalb des Ordners Netzwerkverbindungen � es genügt
ein Klick mit der rechten Maustaste auf eine Verbindung und danach ein Klick auf Verbindungen
überbrücken innerhalb des Kontextmenüs.
So entsteht aus einem einzigen, einfach zu verwaltenden Subnetz ein Netzwerk, das alle beteiligten
Netzwerkmedien zusammenführt. Der Brückencomputer erkennt und aktualisiert alle benötigten
Informationen. So weiß er, welche Computer in welchem Netzwerksegment zu finden sind, und
leitet die Datenpakete entsprechend weiter.
Remote Access nutzt den �Schlüsselbund�(Key Ring) zur Verwaltung von Anmeldeinformationen
Die Windows Server 2003-Familie besitzt eine Funktion, die man als �Schlüsselbund� (Key Ring)
zur Verwaltung von Anmeldeinformationen bezeichnen könnte. Dieser �Schlüsselbund� speichert
verschiedene Anmeldeinformationen nach erstmaliger Verwendung. Dies erlaubt Ihnen den
gleichzeitigen Zugriff auf verschiedene Netzwerke (mit unterschiedlichen Anmeldeinformationen,
bestehend aus Benutzername und Passwort), ohne dass Sie immer wieder aufgefordert werden,
die Anmeldeinformationen neu einzugeben. Informationen über die Netzwerkressourcen, mit denen
Sie verbunden sind (wie Servername und Domänen-Name) werden dazu benutzt, die richtigen
Anmeldeinformationen auf dem �Schlüsselbund� auszuwählen. Remote Access nutzt diesen
�Schlüsselbund� und fügt bei jeder Wähl- oder VPN-Verbindung temporäre Anmeldeinformationen
zu diesem �Schlüsselbund� hinzu. Diese Anmeldeinformationen umfassen den Benutzernamen und
das Passwort, die beim Aufbau dieser Verbindung benutzt wurden, da diese Informationen häufig
auch für den Zugriff auf die einzelnen Ressourcen des Netzwerks notwendig sind. So können Sie
auf ein Remotenetzwerk zugreifen und gleichzeitig die Ressourcen im Remotenetzwerk und ihrem
lokalen Netzwerk ohne sichtbare Unterschiede beim Zugriff nutzen.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 13
Verwendung einer Anmeldeidentität für alle Benutzer beim Remote-Zugriff
Mit dieser Funktion werden verschiedene Anmeldeinformationen, darunter Benutzername und
Passwort, einmal eigegeben und dann für alle Benutzer eines Computers zur Verfügung gestellt.
Wenn z. B. ein Benutzer über eine Verbindung von zu Hause zu einem lokalen ISP verfügt, gibt er
während der Ausführung des Assistenten für neue Verbindungen an, ob diese Verbindung allen
Benutzern zur Verfügung stehen soll und speichert dann seine Anmeldeinformation für alle
Benutzer. Andere Familienmitglieder können diese Verbindung nun benutzen, ohne den
Benutzernamen oder das Passwort für die Verbindung mit dem ISP zu kennen.
Unterstützung für das Internetprotokoll über IEEE 1394 (IP/1394)
Die Windows Server 2003-Familie unterstützt das Senden und Empfangen von TCP/IP-Paketen
über das IEEE 1394-Medium, eine serielles Bussystem, das Geschwindigkeiten über 100 bis 400
Mbps erlaubt. IEEE 1394 wird normalerweise dazu benutzt, Audio- oder Video-Geräte mit dem
Computer zu verbinden. Die Unterstützung von IEEE 1394 beinhaltet auch die Nutzung von
IEEE 1394-Frames für die Netzwerkbrückenfunktionalität. Weiterführende Informationen finden Sie
unter RFC 2734.
Eine IEEE 1394-Verbindung muss nicht speziell konfiguriert werden. Sie wird automatisch erkannt
und konfiguriert.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 14
Änderungen in den Protokollen
TCP/IP � Änderungen und Erweiterungen
Die nachfolgenden Änderungen und Erweiterungen wurden am TCP/IP-Protokoll in der Windows
Server 2003-Familie durchgeführt:
TCP/IP-Protokoll kann nicht entfernt werden
Das TCP/IP-Protokoll (das als Internetprotokoll (TCP/IP) in den Eigenschaften einer Verbindung im
Ordner Netzwerkverbindungen aufgeführt ist) wird standardmäßig installiert und kann nicht entfernt
werden. Früher konnten Fehler im Zusammenhang mit dem TCP/IP-Protokoll durch eine
Neuinstallation des Protokolls behoben werden. Bei Windows Server 2003 bedarf es einer anderen
Vorgehensweise: Stattdessen können Sie nun mit einem neuen netsh-Befehl die TCP/IP-
Einstellungen auf die Installationsvorgaben zurücksetzen. Weiterführende Informationen finden Sie
im Abschnitt Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten.
Automatischer Wechsel der Konfiguration für die Verbindung mit mehreren Netzwerken
Alternative Konfigurationen erlauben Ihnen, manuell statische TCP/IP-Einstellungen einzutragen.
Diese Einstellungen werden benutzt, wenn der Computer zur Nutzung des Dynamic Host
Configuration Protocols (DHCP) als Client konfiguriert ist, aber kein DHCP-Server beim Start des
Computers gefunden wird. Bei Computern mit Windows 2000, Windows 98 und Windows
Millennium Edition weist Automatic Private IP Addressing (APIPA) einem Computer, der als DHCP-
Client konfiguriert ist und keinen DHCP-Server finden kann, automatisch eine eindeutige Adresse
im Adressbereich 169.254.0.0 (Subnetz-Maske 255.255.0.0) zu. APIPA erlaubt zwar die
Initialisierung des TCP/IP-Stacks durch die automatische Adressvergabe, trägt aber keine
Standard-Gateway-Adresse, keine Domain Name System (DNS)-Serveradresse oder andere
wichtigen Einstellungen für die Kommunikation in einem Intranet oder Internet ein. Die alternative
Konfiguration ist in Situationen hilfreich, in denen der Computer in mehreren Netzwerken verwendet
wird und eines dieser Netzwerke über keinen DHCP-Server verfügt, eine APIPA-
Adressenzuweisung aber nicht erwünscht ist.
Ein Beispiel für die Anwendungsmöglichkeiten der automatischen Konfiguration: Ein Benutzer setzt
einen Laptop im Büro und zu Hause ein. Im Büro erhält der Computer seine TCP/IP-Konfiguration
von einem DHCP-Server. Zuhause jedoch existiert kein DHCP-Server. Hier benutzt der Laptop
automatisch die alternative Konfiguration, die einen einfachen Zugriff auf das Netzwerk daheim
sowie das Internet erlaubt. Über diese alternative Konfiguration müssen Sie die TCP/IP-
Einstellungen nicht manuell konfigurieren, wenn der Laptop entweder mit dem Firmennetzwerk oder
dem Netzwerk zu Hause verbunden ist.
Sie können die alternativen TCP/IP-Konfigurationen auf der Registerkarte Erweiterte TCP/IP-
Einstellungen in den Eigenschaften einer Netzwerkverbindung im Ordner für Netzwerkverbindungen
einstellen.
Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten
Ein neuer netsh-Befehl in der Windows Server 2003-Familie erlaubt es, Ihre TCP/IP-Konfiguration
auf Standardwerte zurückzusetzen. Der neue Befehl lautet netsh interface ip reset und kann von
der Befehlszeile ausgeführt werden.
In früheren Versionen von Windows konnten Sie das Internet Protokoll (TCP/IP) entfernen und neu
installieren und auf diese Weise die TCP/IP-Konfiguration auf Standardwerte zurücksetzen. Bei
Windows Server 2003 wird TCP/IP standardmäßig installiert und kann nicht entfernt werden. Diese
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 15
Funktion ist für IT-Administratoren hilfreich, wenn sie feststellen, dass die Benutzer durch Verstellen
der TCP/IP-Einstellungen eine ungültige Konfiguration herbeigeführt haben.
Neue Netstat-Option, um den Besitzer eines Ports anzuzeigen
Eine neue Option wurde in das Netstat-Tool integriert, um aktive TCP-Verbindungen und die jeweils
dazugehörigen Process Identifier (PID) anzuzeigen. Sie können eine Anwendung mithilfe des PIDs
im Windows Task-Manager in der Registerkarte Prozesse finden. Standardmäßig wird der PID
allerdings nicht angezeigt. Hierfür müssen Sie den Windows Task-Manager konfigurieren. Klicken
Sie auf das Menü Ansicht und wählen Sie dort Spalten auswählen�. Wählen Sie dann die Option
PID (Prozess-ID) aus und klicken Sie anschließend auf OK.
IGMP Version 3
IGMP Version 3 erlaubt die Auswertung von Multicast-Gruppenzugehörigkeiten anhand der
Ursprungs-IPs. Hosts können entweder Multicastverkehr von einer Reihe von explizit angegebenen
Absendern zulassen oder von allen Absendern mit einigen Ausnahmen. Das absenderabhängige
Reporting verhindert, dass multicastfähige Router Multicastpakete in ein Subnet weiterleiten, in dem
keine Hosts Daten dieses Absenders akzeptieren. IGMP Version 3 wird standardmäßig aktiviert und
benötigt keine Konfiguration.
Automatische Bestimmung der Routingmetrik durch die Geschwindigkeit der Netzwerkkarte
Diese Funktion erlaubt es dem TCP/IP-Protokoll, die Routingmetrik für Routen, die über die TCP/IP-
Konfiguration zur Verfügung steht, auf der Grundlage der Geschwindigkeit der damit
zusammenhängenden Netzwerkkarten automatisch festzulegen. So haben Routen, die von einer
TCP/IP-Konfiguration einer 10 Mbps-Ethernetkarte stammen, eine Metrik von 30, und Routen, die
von einer TCP/IP-Konfiguration einer Netzwerkkarte mit 100 Mbps stammen, eine Metrik von 20.
Diese Funktion ist nützlich, wenn Sie mehrere Netzwerkkarten mit unterschiedlichen
Geschwindigkeiten so konfiguriert haben, dass diese den gleichen Standardgateway nutzen. In
diesem Fall hat die schnellste Netzwerkkarte die niedrigste Metrik für die Standardroute und wird
deshalb für das Senden von Verkehr an diesen Standardgateway genutzt. Wenn mehrere Karten
mit der gleichen Geschwindigkeit existieren, wird die Netzwerkkarte, die als erste in den Bindungen
aufgeführt ist, benutzt, um den Verkehr auf das Standardgateway zu leiten.
Die automatische Bestimmung der Metrik für Netzwerkkarten wird standardmäßig durch die Option
Automatische Metrik auf der Registerkarte IP-Einstellungen der erweiterten TCP/IP-Einstellungen in
den Eigenschaften des Internetprotokolls (TCP/IP) einer Verbindung im Ordner
Netzwerkverbindungen aktiviert.
Größe des TCP-Empfangsfensters wird durch die Netzwerkkarte festgelegt
Die Fenstergröße definiert die maximale Anzahl an Bytes, die ohne ein Acknowledgement (d.h.
ohne Warten auf eine positive Bestätigung) gesendet werden kann. Auf einer langsamen
Wählverbindung entspricht diese Fenstergröße meist der Größe der Warteschlange (Queue) auf
dem Remote Access Server. Ist die Warteschlange mit TCP-Segmenten von einer TCP-Verbindung
gefüllt, kann keine neue TCP-Verbindung hergestellt werden, bis alle Pakete gesendet sind. Die
Situation wird bei neuen Verbindungen noch durch den slow start-Algorithmus verschlimmert. Mit
Windows Server 2003 passt der Quality of Service (QoS) Packet-Planer auf einem Computer mit
ICS die vorgeschlagene Fenstergröße abhängig von der Geschwindigkeit der Wählverbindung an.
Dies reduziert die Tiefe der Warteschlange des Remote Access Servers und verbessert die Qualität
neuer Verbindungen.
In einem privaten Netzwerk sind alle Computer normalerweise mit einer schnellen Verbindung
untereinander verbunden und greifen über einen Computer mithilfe von ICS auf das Internet zu. Der
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 16
ICS-Computer ist mit dem Internet über eine Wählverbindung verbunden. Wenn ein Computer eine
große Datei herunterlädt, haben einige Computer deutliche Leistungseinbußen beim Zugriff auf das
Internet (zum Beispiel beim Einsatz eines Webbrowsers). Mit Windows Server 2003 ist die
Benutzerwahrnehmung der Reaktionszeiten neuer Internet TCP-Verbindungen von einem dieser
weiteren Computer spürbar positiver.
Diese Funktion wird standardmäßig nur aktiviert, wenn ICS eingesetzt wird. Sie muss nicht
zusätzlich konfiguriert werden.
IPv6 Protokoll-Stack
Die Windows Server 2003-Familie verfügt über einen neuen IPv6 Protokoll-Stack, der für den
Produktiveinsatz entwickelt wurde. Er bietet folgende Funktionen:
� Windows Sockets-Unterstützung
� 6to4-Tunneling
� Intrasite Automatic Tunnel Adressing Protocol
� PortProxy
� Standortüräfixe in Routeradvertisements
� DNS-Unterstützung
� Unterstützung von IPSec
� Anwendungsunterstützung für IPv6-kompatible Applikationen
� RPC-Unterstützung
� Unterstützung statischer Router.
In den nachfolgenden Abschnitten werden die Einzelheiten dieser Funktionen beschrieben.
Windows Sockets-Unterstützung
Die Windows Server 2003-Familie unterstützt die neuen Windows Sockets-Funktionen
GetaddrInfo() und GetNameInfo(). Mit diesen Funktionen kann, wie in RFC 2553 näher
beschrieben, eine numerische Adresse in einen Klartextnamen und ungekehrt ein Klartextname in
eine numerische Adresse aufgelöst werden. Mit diesen Funktionen können Sie Ihre Windows
Sockets-Anwendungen unabhängig von Ihrer aktuellen Version des IP (IPv4 oder IPv6) machen.
Dadurch werden die Funktionen Gethostbyname() und Getaddrbyname() ersetzt. Weiterführende
Informationen über die Anpassung von Anwendungen zur Unterstützung von IPv4 und IPv6 finden
Sie im Whitepaper "Adding IPv6 Capability to Windows Sockets Applications".
6to4-Tunneling
Die Implementierung des 6to4-Tunnelings folgt der Spezifikation nach RFC 3056. Als Komponente
des IPv6-Protokolls der Windows Server 2003-Familie erlaubt 6to4 automatisches Tunneling und
IPv6-Konnektivität zwischen IPv6/IPv4-Hosts über ein IPv4-Intranet. 6to4-Hosts benutzen IPv6-
Adressen, die von IPv4 öffentlichen Adressen abgeleitet werden. Über 6to4 können IPv6-Standorte
und Hosts für ihre Internetkommunikation sowohl 6to4-basierte Adressen als auch Adressen auf der
Basis von IPv4 benutzen, ohne von einem Internet Service Provider einen globalen IPv6-
Adressenpräfix anzufordern und sich mit dem IPv6-Internet zu verbinden.
Intrasite Automatic Tunnel Addressing-Protokoll
Das Intrasite Automatic Tunnel Addressing Protocol (ISATAP) ermöglicht durch Adresszuweisung
und automatisches Tunneling den IPv6/IPv4-Knoten in einer IPv4-Umgebung, IPv6 zur
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 17
Kommunikation innerhalb eines Standorts mit anderen IPv6-Knoten oder zur Internetkommunikation
mit dem IPv6-Internet zu verwenden. Zu ISATAP finden Sie Informationen in einem Arbeitspapier
der IETF (Internet Engeneering Task Force).
PortProxy
Die PortProxy-Komponente ermöglicht die Kommunikation zwischen Knoten oder Anwendungen,
die sich nicht über ein gemeinsames Internet Layer-Protokoll (IPv4 oder IPv6) verbinden können.
PortProxy erlaubt die Übertragung (Proxying) von TCP-Verkehr für die folgenden Konstellationen:
IPv4 auf IPv4, IPv4 auf IPv6, IPv6 auf IPv6 und IPv6 auf IPv4. Zur besseren Koexistenz von IPv6
und IPv4 und Migration ermöglicht PortProxy bei der Datenübertragung folgende Konstellationen:
Ein Knoten, der nur IPv4 unterstützt, kann auf einen Knoten, der nur IPv6 unterstützt, zugreifen.
Ein Knoten, der nur IPv6 unterstützt, kann nur auf einen Knoten zugreifen, der IPv4 unterstützt.
Ein IPv6-Knoten kann auf einen Dienst zugreifen, der zwar nur IPv4 unterstützt aber auf einem
IPv6/IPv4-Knoten läuft.
Dieses letztgenannte Szenario erlaubt Computern, die das IPv6-Protokoll der Windows Server
2003-Familie ausführen, den Zugriff auf Webseiten auf Windows 2000 Servern, auf denen der
Internet Informationsdienst (IIS) ausgeführt wird. Der IIS unter Windows 2000 unterstützt IPv6 nicht
und kann daher nur mit IPv4 angesprochen werden. Über PortProxy auf einem Windows Server
2003 werden ankommende IPv6basierte Webanfragen an den Windows 2000-IIS-Server
weitergeleitet, und so eine indirekte Verbindung des IIS mit IPv6-basierten Webbrowsern
ermöglicht. Der PortProxy-Server wird mit dem Befehl netsh interface portproxy add|set|delete
v4tov4|v4tov6|v6tov4|v6tov6 konfiguriert.
Sitepräfixe für Routeradvertisements
Veröffentlichte on-link-Präfixe können mit einer Standortpräfixlänge konfiguriert werden. Dazu
finden Sie Informationen in einem Arbeitspapier der IETF (Internet Engeneering Task Force) mit
dem Titel �Site prefixes in Neighbor Discovery�. Sie können mit dem Befehl netsh interface ipv6
add|set route die Länge für ein Standortpräfix im Adressenpräfix festlegen.
Bei Empfang einer Präfix-Information-Option in Routeradvertisements, die ein Standortpräfix näher
beschreibt, wird ein Eintrag in der Standortpräfixtabelle vorgenommen. Sie können diese Tabelle
mithilfe des Befehls netsh interface ipv6 show siteprefixes anzeigen. Die Standortpräfixtabelle wird
genutzt, um nichtpassende lokale Standortadressen aus dem Verzeichnis der Adressen zu
entfernen, die durch die Windows Sockets-Funktion Getaddrinfo() zurückgegeben werden.
DNS Unterstützung
Die Verarbeitung von Domain Name System (DNS) IPv6-Host-Records (auch unter dem Namen
AAAA oder quad-A-Ressourceneintrag) und die dynamische Registrierung von AAAA-Einträgen
erfolgt, wie in RFC 1886 �DNS Extensions to support IP version 6� beschrieben, auf dem Client
durch den DNS-Resolver und serverseitig bei Windows Server 2003 und Windows 2000 über den
DNS-Serverdienst. DNS-Anfragen sind sowohl über IPv6 als auch über IPv4 möglich.
IPSec-Unterstützung
Die Validierung des Authentication Headers (AH) mittels eines Message Digest 5 (MD5)-Hashs wird
ebenso unterstützt wie eine Encapsulation Security Payload (ESP) mit einem NULL ESP-Header
und MD5-Hash. Es gibt dagegen keine Unterstützung von ESP-Datenverschlüsselung oder für das
IKE-Protokoll. IPSec-Sicherheitsrichtlinien, Sicherheitszuweisungen und Schlüsselwerte zur
Datenverschlüsselung können manuell mit dem ipsec6.exe-Tool konfiguriert werden.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 18
Unterstützung von Betriebssystemkomponenten und Anwendungen
Systemkomponenten und Programme der Windows Server 2003-Familie, die IPv6 unterstützen,
sind u. a. der Internet Explorer, der Telnet-Client (Telnet.exe) und der FTP-Client (Ftp.exe), IIS 6.0,
Datei- und Druckerserver (Server- und Arbeitsstationsdienst), Windows MediaTM-Dienste und der
Netzwerkmonitor.
RPC-Unterstützung
Mit RPC (Remote Procedure Call) werden Funktionsaufrufe von Anwendungen an ein anderes
System innerhalb des Netzwerks geleitet. Die RPC-Komponenten innerhalb der Windows Server
2003-Familie sind IPv6-fähig. Sie unterstützen die neue Version von Windows Sockets; damit
werden für RPC sowohl IPv4 als auch IPv6 unterstützt.
Unterstützung von IP Helper API
Die Internet Protocol Helper (IP-Helper) API kann für die Verwaltung der Netzwerkkonfiguration auf
dem lokalen Computer verwendet werden. Sie können mit dem IP-Helper programmatisch
Informationen über die Netzwerkkonfiguration des lokalen Computers abrufen und diese
Konfiguration verändern. Die IP-Helper-API bietet einen Benachrichtigungsmechanismus, der
sicherstellt, dass eine Anwendung benachrichtig wird, wenn bestimmte Aspekte der
Netzwerkkonfiguration auf dem lokalen Computer geändert werden. Die IP-Helper-API der
Windows Server 2003-Familie kann nun auch Informationen über IPv6 und dessen Komponenten
liefern.
Unterstützung von statischen Routern
Ein Computer mit Windows Server 2003 kann als statischer IPv6-Router eingesetzt werden. Er
leitet Pakete zwischen Schnittstellen auf Basis der IPv6-Routingtabelle weiter. Sie können mithilfe
des nesh interface ipv6 add route-Befehls statische Routen konfigurieren. Es gibt keine IPv6-
Routingprotokolle für den Routing- und Remote Access Service.
Mit Windows Server 2003 kann ein Computer Routeradvertisements senden. Die Inhalte der
Routerankündigungen werden automatisch aus den veröffentlichten Routen der Routingtabelle
berechnet.
Nicht veröffentlichte Routen werden für das Routing zwar verwendet, werden aber nicht über
Routerankündigungen versendet. Routerankündigungen enthalten immer eine Source-Link-Layer-
Option und als MTU-Parameter den aktuellen Verbindungs-MTU-Wert des Interfaces des
Absenders. Sie können diesen Wert mithilfe des Befehls netsh omterface ipv6 set interface ändern.
Ein Computer mit Windows Server 2003 wird sich nur dann als Standardrouter anbieten, wenn es
eine für die Veröffentlichung konfigurierte Standardroute gibt. Hierzu nutzt er ein
Routeradvertisement mit einer vom Wert 0 abweichenden Lebenszeit.
Kernel Mode-Verarbeitung von Webdatenverkehr
HTTP.SYS ist eine Kernel-Modus-Implementierung des client- und serverseitigen HyperText
Transfer-Protokolls (HTTP). Diese skalierbare und effektive Implementierung von HTTP erlaubt den
Einsatz der erweiterten asynchronen I/O-Operationen von Win32® und bietet so die Möglichkeit, die
Erledigung von Anfragen und dazugehörige Antworten über sog. Completion Ports asynchron zu
verarbeiten. Die Anwendungsprogrammierschnittstelle (API) im Benutzer-Modus wird für die
Clientseite über bereits existierende APIs wie WinHTTP und.NET Framework-Klassen zur
Verfügung gestellt. Die Serverseite von HTTP.SYS wird für die Windows Server 2003-Familie
bereitgestellt und von IIS 6.0 eingesetzt. Eine vollständige Version von HTTP.SYS, die sowohl
Client und Server umfasst, wird in zukünftigen Versionen von Windows verfügbar sein.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 19
Erweiterungen im Quality of Service (QoS)
Windows Server 2003 bietet hinsichtlich der Quality of Service (QoS)-Implementierung folgende
Erweiterungen:
TCP-Empfangsfenstergröße für Heimnetzwerke
Wenn ein lokales Netzwerk mit einem Firmennetzwerk oder einem anderen Netzwerk über eine
langsame Verbindung, z. B. eine Wählverbindung, verbunden ist, kann es beim Verkehr, der über
die Wählleitung geleitet wird, unter folgenden Bedingungen zu Wartezeiten kommen:
Wenn sich der Client, der die Daten empfängt, auf einem relativ schnellen Netzwerk (z. B. 100
Mbps Ethernet) hinter einem ICS-Computer befindet und der Server, mit dem der Empfänger
verbunden ist, hinter dem Remote Access Server ein schnelles Netzwerk benutzt, stimmen diese
Verbindungsgeschwindigkeiten nicht mit der langsamen Verbindung zwischen Client und Server
überein. In diesem Fall ist das Empfangsfenster des Computers, der als Empfänger fungiert, zu
groß eingestellt. Diese Werte basieren auf der Geschwindigkeit der schnelleren Verbindung. Der
Absender überträgt zunächst Pakete mit einer langsamen Geschwindigkeit. Da jedoch keine Pakete
verloren gehen, wird die Geschwindigkeit soweit erhöht, bis sie beinahe die volle Fenstergröße für
die Pakete erreicht.
Dies kann die Performance anderer TCP-Verbindungen im gleichen Netzwerk beeinflussen. Hier
müssen die Pakete unter Umständen in einer großen Warteschlange warten. Wenn dann Pakete
verloren gehen, muss ein Paket mit der vollständigen Fenstergröße erneut übertragen werden, was
zu einer weiteren Verstopfung der Verbindung führt.
Die Lösung besteht darin, das Empfangsfenster eines ICS-Computers am Rand des Netzwerks
entsprechend der Geschwindigkeit der Verbindung zu verkleinern und die erhaltenen Einstellungen
des Empfängers zu ignorieren. Diese Einstellung wirkt sich nicht nachteilig auf die Bandbreite aus,
da die Fenstergröße genau so eingestellt wird wie in dem Fall, wenn der Empfänger direkt über die
langsame Verbindung mit dem Sender verbunden wäre. Der QoS-Packet-Scheduler des Systems
mit der Internetverbindungsfreigabe nimmt die entsprechenden Anpassungen der Fenstergröße vor.
Weiterführende Information über den QoS-Paketplaner finden Sie in der Windows XP-Hilfe. Weitere
Informationen bietet die Windows 2000-Netzwerk- und Kommunikationsdienste Website unter
http://www.microsoft.com/windows2000/technologies/communications/default.asp.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 20
Verbesserte Unterstützung von Netzwerkgeräten
Windows Server 2003 bietet folgende Verbesserungen bei der Unterstützung von Netzwerkgeräten:
Kapselung der permanenten virtuellen Verbindung
Die Windows Server 2003-Familie bietet eine Implementierung von RFC 2684, wodurch die
Implementierung von DSL für die Hersteller vereinfacht wurde. Hierzu wird ein
zwischengeschalteter NDIS-Treiber verwendet, der nach außen wie eine Ethernetschnittstelle
aussieht, aber eine permanente virtuelle Verbindung (PVC) über DSL/Asynchronous Transfer Mode
(ATM) zum Transport von Ethernet (oder nur TCP/IP)-Frames verwendet. Dieser Mechanismus
wird in der Industrie normalerweise von Netzbetreibern und anderen Firmen genutzt, die DSL
bereitstellen. Mit Windows Server 2003 und einem ATM-Miniport-Treiber für ein DSL-Gerät können
bei der Bereitstellung von DSL folgende Protokollkonfigurationen verwendet werden:
TCP/IP über PPP über ATM (PPPoA) unter Verwendung eines vom Hersteller des Netzwerkgerätes
bereitgestellten DSL-ATM-Miniport-Treibers.
TCP/IP über RFC 2685 (vier Kapselungstypen) unter Verwendung eines vom Hersteller des
Netzwerkgerätes bereitgestellten DSL-ATM-Miniport-Treibers.
TCP/IP über PPPoE über RFC 2684 (vier Kapselungstypen) unter Verwendung eines vom
Hersteller des Netzwerkgerätes bereitgestellten DSL-ATM-Miniport-Treibers.
Zusätzlich kann eine 802.1X-Authentifizierung für die RFC 2685-Ethernet-Schnittstelle ergänzt
werden. Diese Vielzahl von Optionen erfüllt die meisten Anforderungen bei DSL-Bereitstellungen.
Weiterführende Informationen finden Sie unter RFC 2684.
NDIS 5.1 und Remote NDIS
Die Treiber, mit denen Netzwerkkarten die physikalische Netzwerkschicht dem Betriebssystem
gegenüber zugänglich machen, wurden in der Windows Server 2003-Familie um folgende
Möglichkeiten erweitert:
Plug-and-Play und Benachrichtigung bei Zustandsänderung der Stromversorgung.
Netzwerkkarten-Miniport-Treiber können eine Benachrichtigung erhalten, wenn entweder ein Plug-
and-Play-Ereignis oder eine Zustandsänderung der Stromversorgung auftritt. So ist das System
weniger störanfällig.
Abbrechen von Sendeanfragen. Diese Erweiterung erlaubt es Netzwerkprotokollen, lange
Wartezeiten zu vermeiden, die durch das Warten auf Beendigung einer Sendeanfrage entstehen.
Mehr Speicher für Verbindungsstatistiken (64-Bit-Leistungsindikatoren). Diese Erweiterung
bietet eine genauere Anzeige von Statistiken angesichts neuer
Hochgeschwindigkeitsnetzwerkmedien.
Leistungsverbesserungen. Zahlreiche Erweiterungen wurden vorgenommen, um kritische
Netzwerkdatenpfade zu beschleunigen und unnötige Paketkopien zu vermeiden.
Änderungen bei Wake-on-LAN. Eine Änderung wurde auch im Bereich Wake-on-LAN
durchgeführt, um Pakete, die einen Start veranlassen können, auf �magic Packets� zu beschränken
(anstelle der durch das Protokoll registrierten Paketmuster). Diese Eigenschaft kann über die
Registerkarte Energieverwaltung der Eigenschaften eines Netzwerkadapters konfiguriert werden.
Diverse Änderungen. Einige weitere Änderungen wurden als Reaktion auf allgemeine Anfragen
von Treiberentwicklern durchgeführt, um die Zuverlässigkeit von Treibern zu erhöhen.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 21
Remote-NDIS ist in Windows Server 2003 enthalten. So können USB-fähige Netzwerkgeräte ohne
weiteren Treiber eines Fremdherstellers genutzt werden. Microsoft liefert nun die für die
Kommunikation mit den Netzwerkgeräten notwendigen Treiber. So wird die Installation einfacher,
und die Fehleranfälligkeit des Systems durch schlecht programmierte oder schlecht getestete
Treiber wird reduziert.
Weiterführende Information über NDIS 5.1 und Remote NDIS finden Sie im DDK der Windows
Server 2003-Familie und auf den folgenden Websites:
http://www.microsoft.com/hwdev/network/NDIS51.htm
http://www.microsoft.com/hwdev/tech/network/rmNDIS.asp
Verbesserte Unterstützung von Netzwerkmedien
Windows Server 2003 bietet eine direkte Unterstützung für verschiedene neue Typen von
Netzwerkgeräten, die damit unmittelbar einsatzbereit sind. Windows Server 2003 unterstützt die
meisten neuen HomePNA-Geräte (die Telefonleitungen für Netzwerkverbindungen verwenden),
ebenso die meisten über USB angeschlossenen Netzwerkgeräte. Dabei werden einige davon über
Remote NDIS angesprochen, so dass sich die Installation von zusätzlichen Treibern erübrigt. Auch
die Unterstützung von 802.11 drahtlosen Netzwerkgeräten wurde verbessert. Viele dieser Geräte
unterstützen nun die automatische Konfiguration und Roaming-Funktionen. Auch die Unterstützung
von Softwaremodems wurde unter Windows Server 2003 deutlich ausgebaut.
CardBus Wake on LAN
Mit dieser Funktion können Computer aus dem Stand-by-Modus über eine Cardbus-Netzwerkkarte
wieder gestartet werden. IT-Administratoren können diese Funktion zur Verwaltung mehrerer
Server nutzen.
Erweiterungen bei Gerätetreibern
Windows Server 2003 bietet neue Treiber für Netzwerkkarten, die vor allem in kleineren, privaten
Netzwerken genutzt werden. Damit können die bisher verwendeten alten Treiber aussortiert
werden. Die damit erreichte bessere Treiberqualität betrifft folgende Arten von Netzwerkgeräten:
Netzwerkkartentreiber. Dies umfasst 10/100-Netzwerkkarten (NICs), IEEE 802.11 und Geräte
entsprechend der Home Phoneline Networking Alliance (HomePNA)
Breitbandunterstützung. Dies beinhaltet Unterstützung für Kabelmodems, Asymmetric Digital
Subscriber Line(aDSL)- und Integrated Services Digital Network(ISDN)-Geräte.
Modem. Es werden auch Softmodems und 56 kbps V.90-Modems unterstützt.
Für Heimnetzwerkbenutzer, die ihr Betriebssystem auf Windows Server 2003 aktualisiert haben,
werden viele der eingesetzten Netzwerkgeräte direkt durch das neue Betriebssystem unterstützt.
Wake on LAN: Selektive Auswahl der Wake-Ereignisse
Wake on LAN (WOL), das mit Windows 2000 eingeführt wurde, nutzt die Hardwaremöglichkeiten
von WOL-fähigen Netzwerkkarten, die beim Empfang bestimmter Pakete durch Power-
Management-Signale des Busses, über den die Netzwerkkarte mit dem Rechner verbunden ist, den
Rechner aus dem Standby-Modus aufwecken können. Die Verbesserungen in diesem Bereich
umfassen folgende Funktionen:
WOL kann für alle eintreffenden Pakete entsprechend der definierten Wake-Up-Paketmuster (z.
B. NetBIOS-Broadcastanfragen, Hardwareadressauflösung, Unicast) Power-Management-
Ereignisse auslösen. Diese Einstellung entspricht der Vorgabe �vollständig aktiviert�.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 22
WOL kann nun auch so aktiviert werden, dass nur ganz bestimmte Pakete, so genannte Magic
Packets, Wake-Up-Ereignisse auslösen.
WOL kann vollständig ausgeschaltet werden.
Diese neuen Funktionen erlauben folgende Szenarien:
Ein Benutzer möchte, dass der Computer in den Standby-Modus übergeht, um Strom zu sparen.
Der Computer soll aber wieder hochgefahren werden, sobald ein anderer Computer innerhalb des
Netzwerkes Dienste dieses Computers nutzen möchte oder Verwaltungsfunktionen auf diesem
Computer ausgeführt werden sollen.
Ein IT-Administrator möchte WOL auf den Computern vollständig steuern können und setzt deshalb
WOL auf �vollständig aktiviert�.
IrCOMM-Modemtreiber für IrDA
Der IrCOMM-Modemtreiber erlaubt es Benutzern, ihr infrarotfähiges Handy wie ein Modem
einzusetzen.
Wird ein Handy in die Nähe des Infrarotports gebracht, wird es erkannt und der passende Treiber
wird installiert (oder aber, wenn das Modell nicht erkannt wird, ein generischer Treiber). Damit kann
ein Mobiltelefon wie ein herkömmliches Modem eingesetzt werden.
Mit diesem Treiber ist die Vorgehensweise für den Benutzer ganz einfach:
Ein Benutzer besitzt ein infrarotfähiges Mobiltelefon, das IrCOMM unterstützt, und möchte es als
Modem nutzen, um auf das Internet zuzugreifen. Mit dem IrCOMM-Modemtreiber für IrDA kann ein
mobiler Computer das Telefon erkennen, den richtigen Typ herausfinden und als Modem
installieren. Der Benutzer kann sich nun genau so wie mit einem internen Modem in das Netzwerk
einwählen.
Diese Funktion steht nur in der Enterprise- und der Web-Edition zur Verfügung.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 23
Unterstützung neuer Netzwerkdienste
Windows Server 2003 bietet folgende Verbesserungen bei der Unterstützung von
Netzwerkdiensten:
TAPI 3.1 und TAPI Service Provider (TSP)
Ältere Versionen des Windows-Betriebssystems wurden mit einer früheren Version der Telefon-API
(TAPI) ausgeliefert. In Windows 2000 war die neueste Version 3.0 enthalten. TAPI erlaubt es,
Anwendungen zu erstellen, die dem Benutzer verschiedene Telefondienste zur Verfügung stellen.
Windows XP wird mit TAPI 3.1 ausgeliefert.
TAPI 3.1 unterstützt das Microsoft Component Object Model (COM) und stellt Programmierern
COM-Objekte zur Verfügung. So können mit jeder COM-kompatiblen Programmierumgebung und
Skriptsprache Telefonanwendungen erstellt werden.
Bei Windows XP stellen TAPI-Diensteanbieter (TAPI Service Providers, TSPs) Funktionen für
H.323-basierte IP-Telefonie und IP-Multicast Audio- und Videokonferenzen über TCP/IP-Netzwerke
zur Verfügung. So bieten sich viel mehr Möglichkeiten als mit älteren Versionen der TSPs. Der
H.323 TSP und der Media Service Provider (MSP) unterstützen H.323 Version 2.
TAPI 3.1 enthält folgende weitere Merkmale:
Datei-Unterstützung: Ermöglicht es Anwendungen, Streamingdaten (wie Sprache oder Video) in
eine Datei zu schreiben und diese aufgenommenen Daten über einen Stream wiederzugeben.
Variable Endpunkte (Ausgabegeräte): Ermöglichen es Drittherstellern, neue Ausgabeobjekte
hinzuzufügen, die von einem beliebigen MSP genutzt werden können.
USB-Telefon TSP: Ermöglicht es einer Anwendung, ein USB-Telefon zu steuern und es als
Endpunkt für einen Stream zu nutzen.
Automatische Erkennung von TAPI-Servern: Clients können automatisch nach verfügbaren
Telefonservern im Netzwerk suchen.
Zusätzlich wurden für H.323 leistungsfähigere Funktionen für die Behandlung von Anrufen
implementiert:
Halten eines Anrufs (ITU-T Empfehlung H.450-2)
Anrufübergabe (ITU-T Empfehlung H.450-2)
Anrufumleitung (ITU-T Empfehlung H.450-3)
Parken und Wiederaufnehmen eines Anrufs (ITU-T Empfehlung H.450-5)
Client-APIs zur Echtzeitkommunikation (RTC)
Mit den Funktionen der Client Application Programming Interfaces (APIs) für
Echtzeitkommunikation (Real Time Communications, RTC) können moderne
Kommunikationslösungen basierend auf dem Session Initiation Protocol (SIP) realisiert werden. SIP
ist ein Protokoll für den effizienten Aufbau einer generischen Verbindung durch Angabe einer E-
Mail-Adresse, ohne dass es dabei notwendig ist, den genauen Aufenthaltsort des Anrufers zu
kennen. Mit RTC können Internetanwendungen schnell bereitgestellt werden, die Sprach- und
Videoanwendungen oder Anwendungen für die gemeinsame Datennutzung unterstützen.
Die Windows Server 2003-Familie bietet nun über die RTC-Client-APIs folgende Funktionen:
Verwaltung von Kontaktlisten, Wahrnehmung von Benutzeraktivitäten, die Möglichkeit für Instant-
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 24
Messaging-Sitzungen, Audio- und Videoverbindungen zwischen zwei Clients, Telefonanrufe auf
eine beliebige Telefonnummern, Remotenutzung von Applikationen und gemeinsame Verwendung
derselben Anwendung zur Zusammenarbeit.
Die Client-APIs unterstützen Firewaltunneling zu einem SIP-Server über Secure Sockets Layer
(SSL), Digest- und Standardauthentifizierung sowie Anpassungen für die Verwendung mit NATs,
um Echtzeitkommunikationssitzungen über Universal Plug and Play (UPNP)-fähige NATs zu
ermöglichen. Die APIs bieten Zugriff auf einen leistungsstarken Stack für Audio- und
Videoübertragungen. Die Audio- und Videoqualität wurde durch andere neue Funktionen stark
verbessert:
Unterdrücken von akustischem Echo. Eine integrierte Echounterdrückung ermöglicht eine
störungsfreie Kommunikation bei Freisprechanlagen, d. h. Headsets sind für Telefongespräche
nicht unbedingt erforderlich.
Qualitätskontrolle. Ein neuer Algorithmus verändert bei wechselnder Netzwerkbandbreite
dynamisch die Audio- und Videoeinstellungen.
Forward Error Correction (FEC) wird benutzt, um Paketverluste durch Netzwerküberlastungen
auszugleichen.
Dynamische Ausgleichspuffer. Beim Empfang von Audiodaten werden mit ungleichmäßiger
Geschwindigkeit eintreffende Pakete gleichmäßig wiedergegeben.
Die RTC-Client-APIs ermöglichen die folgenden Szenarien:
Ein Spieleentwickler kann mit RTC-Client-APIs Benutzerlisten, Instant-Messaging und Audio/Video-
Kommunikation in sein neues Spiel integrieren. Damit können die Spieler während eines Spiels
Echtzeitnachrichten austauschen, sich unterhalten oder eine visuelle Verbindung über Webcams
haben.
Ein IT-Administrator kann mit einem kleinen Programm alle Benutzer benachrichtigen, wenn ein E-
Mail-Server wegen Wartungsarbeiten heruntergefahren wird.
Ein ISV, der Finanz- und Lohnbuchhaltungsprogramme vertreibt, kann ein ActiveX-Kontrollelement
erstellen, das die RTC-Client-APIs verwendet. Das Kontrollelement zeigt in der Website seines
Servers den Abteilungsadministratoren die Verfügbarkeit von Ansprechpartnern aus der
Lohnbuchhaltung. Budgetfragen können so über Instant-Messaging oder Sprachverbindung
beantwortet werden und Budgetplanungen in einer Onlinekonferenz mithilfe von gemeinsam
genutzten Anwendungen analysiert werden.
Diese Funktionen stehen nicht in der 32-Bit-Version der Web-Edition zur Verfügung.
DHCP
Beim Dynamic Host Configuration Protocol (DHCP) bietet Windows Server 2003 folgende
Verbesserungen:
Sichern und Wiederherstellen von DHCP
Das DHCP-Snap-In enthält nun einen neuen Menüeintrag für das Sichern und Wiederherstellen von
DHCP-Datenbanken. Der Benutzer kann in diesem Menü einen Speicherort wählen oder auch
einen neuen Ordner anlegen. IT-Administratoren können so die DHCP-Konfigurationsdatenbanken
auf einem Server der Windows Server 2003-Familie sichern und wiederherstellen.
Diese Funktion steht nicht auf Servern der Web-Edition zur Verfügung.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 25
Die Classless Static Route Option (RFC 3442)
DHCP-Clients können mit dieser Option eine Liste von Routen anfordern und sie ihren
Routingtabellen hinzufügen. Für Remote- oder VPN-Clients wird so bei Verbindung mit einem
remoten Netzwerk ein Split-Tunneling ermöglicht. Gleichzeitig können auch Netzwerkclients
zusätzliche Routinginformationen beziehen.
Ein IT-Administrator kann mit dieser Funktion den Datenverkehr von Clients aufteilen und entweder
über eine Virtual Private Network (VPN)-Verbindung oder das Internet leiten. Dadurch kann der für
das Internet bestimmte Datenverkehr den Umweg durch die VPN-Verbindung vermeiden, während
die Benutzer gleichzeitig auf die privaten Netzwerkressourcen des Unternehmensnetzwerks
zuzugreifen.
Migration der DHCP-Datenbank mithilfe von Netsh
Die Migration der DHCP-Datenbank von einem Server auf einen anderen ist nun mit dem netsh-
Befehl wesentlich einfacher. Typische Aufgaben, die früher manuell durchgeführt werden mussten,
wie z. B. das Anpassen der Registry oder die erneute Eingabe von Adressbereichen, lassen sich
leichter erledigen. Netsh wird benutzt, um Server und Router lokal zu konfigurieren, und ermöglich
mit Skriptdateien eine automatische Konfiguration. Es kann in folgenden Fällen eingesetzt werden:
Ein IT-Administrator entdeckt, dass die Festplatten des DHCP-Servers fehlerhaft sind und
entscheidet sich, den DHCP-Dienst auf einen anderen Rechner zu migrieren, bevor die Festplatten
vollständig ausfallen.
Wegen Kapazitätsengpässen auf dem Netzwerksegment, zu dem der DHCP-Server gehört, muss
der DHCP-Server aufgeteilt werden. Mit netsh können Teile der DHCP-Datenbank auf einen oder
mehrere andere Computer übertragen werden.
DHCP-Lease mithilfe von Netsh löschen
Mit dem neuen Befehl netsh dhcp server scope Adressbereich delete lease können Sie eine
DHCP-Lease über die Befehlszeile löschen. Durch Einsatz von Befehlzeilenprogrammen und
Skripten für DHCP-Serveroperationen wird die Verwaltung im Vergleich zu einer Löschung der
Lease im DHCP-Snap-In erleichtert.
DNS
Die nachfolgend beschriebenen Verbesserungen bietet Windows Server 2003 im Bereich DNS:
Active Directory Integrated DNS-Zonen werden nun in Anwendungspartitionen gespeichert
Diese Funktion ermöglicht die Speicherung und Replikation von Domain Name System (DNS)-
Zonen in so genannten Anwendungspartitionen des Active Directory-Dienstes. Der Einsatz von
Anwendungspartitionen beim Speichern von DNS-Daten reduziert die Anzahl von Objekten, die im
globalen Katalog gespeichert sind. Zusätzlich werden DNS-Zonendaten, die in
Anwendungspartitionen gespeichert sind, nur für die der Anwendungspartition zugeordneten
Domänencontroller in der Domäne repliziert. Standardmäßig enhalten die DNS-spezifischen
Anwendungspartitionen nur solche Domänencontroller, die auch den DNS-Serverdienst ausführen.
Durch Speichern von DNS-Zonendaten innerhalb einer Anwendungspartition wird auch die
Replikation der DNS-Zonen auf DNS-Server ermöglicht, die auf Domänencontrollern in anderen
Domänen innerhalb des Active Directory Forests (der Active Directory-Gesamtstruktur) ausgeführt
werden.
Ein IT-Administrator kann diese Funktion einsetzen, um DNS-Zonen in Anwendungspartition zu
speichern. Dieses Vorgehen wird im Falle von Active Directory-integrierten DNS-Zonen empfohlen,
die von Windows Server 2003-basierten DNS-Servern gehostet werden.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 26
Grundlegende Implementierung der Standard-DNS-Sicherheitserweiterungen
Ein DNS-Server mit Windows Server 2003 entspricht auch dem in RFC 2535 beschriebenen DNS-
Sicherheitserweiterungsprotokoll-Standard der Internet Engineering Task Force (IETF). Der DNS-
Server kann damit dem IETF-Standard entsprechende Werte vom Typ Key, SIG und NXT
speichern und bei Antworten auf Anfragen nach RFC 2535 zurückgeben. Nicht im DNS-Server
selbst implementiert sind die in RFC 2535 spezifizierten Verschlüsselungsoperationen (KEY/SIG
Record-Generierung, Nachrichtensignierung und Verifizieren von Signaturen). Der Server kann
jedoch standardkonforme KEY- und SIG-Parameter, die mithilfe von anderen Programmen erstellt
wurden, speichern und benutzen.
Mit Windows Server 2003 kann ein Systemadministrator einen DNS-Server als sekundären Server
für einen anderen primären DNS-Server einer signierten Zone einsetzen, der die DNS-
Sicherheitserweiterungen (nach RFC 2535) vollständig unterstützt.
Entdecken fehlerhafter DNS-Konfigurationen beim Beitreten einer Domäne
Diese Funktion vereinfacht die Fehlerbehebung und Anzeige einer fehlerhaften DNS-Konfiguration
und hilft bei der richtigen Konfiguration der DNS-Infrastruktur, so dass ein Computer einer Domäne
beitreten kann. Wenn ein Computer versucht, einer Active Directory-Domäne beizutreten, aber
wegen einer fehlerhaften DNS-Konfiguration den Domänen-Controller nicht finden oder erreichen
kann, wird eine Fehlerauswertung der DNS-Infrastruktur durchgeführt. Ein Bericht erläutert den
Grund des Fehlers und gibt Hinweise, wie er zu beheben ist.
Wenn die DNS-Infrastruktur richtig konfiguriert ist und der Computer der Domäne beitreten kann,
spielt diese neue Funktionalität keine Rolle. Falls aber ein Fehler in der DNS-Infrastruktur vorliegt,
der Computer den Domänen-Controller nicht finden und der Domäne nicht beitreten kann, wird der
Administrator bei seinem Versuch, den Rechner einer Domäne hinzuzufügen, auf das Problem
hingewiesen.
Verwalten von DNS-Clients über Gruppenrichtlinien
Diese Funktion von Windows Server 2003 erlaubt es Administratoren, DNS-Clienteinstellungen
über Gruppenrichtlinien zu setzen. Dies vereinfacht die Schritte zur Konfiguration von
Domänenmitgliedern, wenn eine Anpassung der DNS-Clienteinstellungen notwendig ist, wie z. B.
das Aktivieren oder Deaktivieren der dynamischen Registrierung von DNS-Records durch Clients,
die Übertragung des primären DNS-Suffixes während der Namensauflösung oder die
Veröffentlichung der DNS-Suffix-Suchliste. Die Unterstützung von Gruppenrichtlinien bei der
Verteilung der Suchliste für DNS-Suffixe ist nicht nur eine Erleichterung der Verwaltung, sondern ist
unbedingt erforderlich bei einer Migration in eine NetBIOS-freie Netzwerkumgebung.
Ein IT-Administrator kann DNS-Clients mithilfe von Gruppenrichtlinien konfigurieren.
Stub-Zonen und bedingte Weiterleitung
Mit Stub-Zonen und bedingter Weiterleitung lässt sich das Routing von DNS-Verkehr auf einem
Netzwerk kontrollieren. Eine Stubzone erlaubt einem DNS-Server, Namen und Adressen von
zuständigen Servern zu erkennen, die eine vollständige Kopie der Zonendaten zur DNS-Auflösung
zur Verfügung stellen, ohne dass dieser DNS-Server selbst eine vollständige Kopie der Zonendaten
haben oder Anfragen an die Root-DNS-Server senden muss. Ein DNS-Server, der Windows 2000
ausführt, kann nur so konfiguriert werden, dass er DNS-Anfragen zu einer Gruppe von DNS-
Servern weiterleitet. Die bedingte Weiterleitung in Windows Server 2003 bietet eine bessere
Granularität, die eine namensabhängige Weiterleitung unterstützt. Ein DNS-Server kann
beispielsweise so konfiguriert werden:
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 27
� Anfragen von Namen, die mit usa.microsoft.com enden, werden an eine bestimmte Gruppe von
DNS-Servern weitergeleitet.
� Anfragen von Namen, die mit europe.microsoft.com enden, werden an eine andere Gruppe von
DNS-Servern weitergeleitet.
� Alle übrigen Anfragen werden von einer dritten Gruppe von DNS-Servern bearbeitet.
Unterstützung für das EDNS0-Protokoll
Die Windows Server 2003-Familie unterstützt dieses IETF-Standardprotokoll gemäß der
Spezifikation RFC 2671. Damit können DNS-Server UDP (User Datagram Protocol) DNS-
Nachrichten mit einer Nutzlastgröße von mehr als 512 Oktets empfangen und senden. Hierzu
zählen z. B. Antworten von Service Resources Record (SRV)-Anfragen an lokale Active Directory-
Domänencontroller, die größer als 512 Oktets sind. In älteren Windows-Versionen erforderten diese
Antworten den Umweg über eine zusätzliche TCP-Verbindung, die kurz eingerichtet und sofort
wieder beendet wurde. Mit Windows Server 2003 können viele dieser Antworten durch den Einsatz
des EDNS0-Protokolls mit einem einzigen UDS-Datenaustausch zurückgegeben werden, ohne
dass eine neue TCP-Sitzung eingerichtet und beendet werden muss.
Zusätzliche Erweiterungen
Der DNS-Serverdienst in der Windows Server 2003-Familie unterstützt nun folgende
Erweiterungen:
Round-Robin-Unterstützung für alle Resource Record-Typen (RR).
Der DNS-Dienst führt nun standardmäßig das Round-Robin-Rotationsprinzip für alle RR-Typen
durch.
Erweiterte Debug-Protokolle
Erweiterte Einstellungen im Debug-Protokoll des DNS-Serverdiensts erleichtern die
Fehlerbehebung bei DNS-Problemen.
Einschränkung der automatischen Resource-Record-Registrierung von Name Servern (NS) jeweils
pro Server- und Adressbereich.
WINS
Windows Server 2003 bietet folgende Verbesserungen beim Windows Internet Name Service
(WINS):
Filtern von Einträgen
Verbesserte Filter- und Suchfunktionen ermöglichen das Suchen von Einträgen nach bestimmten
Merkmalen. Diese Funktionen sind bei der Analyse sehr großer WINS-Datenbanken nützlich. Sie
können mehrere Kriterien zur erweiterten Suche nach WINS-Datenbankeneinträgen einsetzen. Sie
können ferner Filter miteinander kombinieren, um Suchergebnisse weiter einzuschränken.
Verfügbare Auswahl-Filter sind: Besitzer von Records, Record-Arten, NetBIOS-Name, IP-Adressen
mit oder ohne Subnetz-Maske.
Da die Suchergebnisse nun im Cache Ihres lokalen Computers gespeichert werden können, erhöht
sich die Geschwindigkeit bei nachfolgenden Anfragen und die Netzwerkbelastung wird reduziert.
Einschränkung und Vorgabe von Replikationspartnern
Sie können eine Replikationsstrategie für Ihr Unternehmen bestimmen, indem Sie eine Liste
festlegen, die die Herkunft von eintreffenden Namensdatensätzen während einer Pull-Replikation
zwischen WINS-Servern bestimmt. Namensdatensätze bestimmter Replikationspartner können
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 28
wahlweise ignoriert werden. Sie können auch bestimmte WINS-Server auswählen, deren
Namensdatensätze angenommen werden sollen, und festlegen, dass Namensdatensätze von
Servern, die sich nicht auf der Liste befinden, ausgeschlossen werden.
IAS
Die nachfolgend beschriebenen Verbesserungen wurden bei IAS in der Windows Server 2003-
Familie vorgenommen. IAS steht in der Web-Edition nicht zur Verfügung.
Unterstützung der IEEE 802.1X-Authentifizierung für sichere drahtlose und Large Area-
Netzwerke
IAS wurde erweitert, um die IEEE 802.1x-Authentifizierung und Anmeldung für Benutzer und
Computer beim Zugang über drahtlose Access-Points nach IEEE 802.11b und Ethernet Switches
zu unterstützen. Die NAS-Port-Type-Bedingung der Remote Access-Richtlinie umfasst dazu nun
auch drahtlose und Ethernetverbindungstypen.
Zur Sicherheit Ihrer drahtlosen oder Ethernetverbindungen sollten Sie entweder Zertifikate (EAP-
TLS) oder eine passwortgeschützte Authentifizierung mit Protected EAP (PEAP) und MS-CHAP2
einsetzen. EAP-TLS nutzt Zertifikate, um Anmeldeinformationen zu bestätigen und
Verschlüsselungskeys bereitzustellen. EAP-TLS benötigt eine Zertifikatinfrastruktur, um Zertifikate
sowohl für die IAS Server als auch die drahtlosen oder Ethernetclients auszustellen. PEAP und MS-
CHAP v2 bieten eine sichere kennwortbasierte Authentifizierung, da der Austausch bei MS-CHAP
v2-Authentifizierung über einen sichern TLS-Kanal verschlüsselt wird, und damit einen Schutz vor
Wörterbuchangriffen auf das Benutzerkennwort bietet. Durch den Austausch zur Authentifizierung
mit dem PEAP-Verfahren werden ebenfalls Schlüssel für die weitere Verbindung generiert. Die für
PEAP in Verbindung mit MS-CHAP v2 benötigten Zertifikate müssen nur auf dem IAS-Server
installiert sein.
PEAP erlaubt die Wiederaufnahme einer TLS-Sitzung, die entsprechend einer vorherigen PEAP-
Authentifizierung aufgebaut wurde. Diese Funktion von PEAP, die auch als �Schnelle
Wiederverbindung� bekannt ist, beschleunigt nachfolgende Authentifizierungen, die auf der gleichen
TLS-Sitzung basieren, da die meisten Nachrichten, die für eine vollständige PEAP-Authentifizierung
notwendig sind, gar nicht erst gesendet werden müssen. Die Schnelle Wiederverbindung mit PEAP
minimiert die Verbindungs- und Authentifizierungszeiten und benötigt keine erneute Eingabe der
Anmeldeinformationen (Benutzername und Passwort). So verfügen drahtlose Clients, die infolge
wechselnder Standorte von einem Authentifizierungsprotokoll auf ein anders wechseln, über eine
nahtlose Netzwerkverbindung und werden nicht erneut nach den Anmeldeinformationen gefragt.
Um PEAP in Verbindung mit MS-CHAP 2 auf einem IAS-Server zu aktivieren, wählen Sie im IAS-
Snap-In die Registerkarte Authentifizierung der Profileigenschaften einer Remotezugriffsrichlinie.
Dort finden Sie die Schaltfläche EAP-Methoden. Im Dialogfeld mit den EAP-Anbietern wählen Sie
das Protected Extensible Authentication Protokoll (PEAP). Dort können Sie dessen Eigenschaften
verändern oder es an die erste Stelle der Liste der EAP-Methoden verschieben.
Eingeschränkte Sitzungszeiten für bestimmte Benutzer
IAS berechnet die mögliche Sitzungszeit für eine Verbindung auf Basis der für einen Benutzer oder
Computer erlaubten Anmeldezeiten sowie der Gültigkeitszeiten für ein Konto. Wenn ein Benutzer
sich von 9 Uhr bis 17 Uhr von Montag bis Freitag anmelden kann, wird für eine Verbindung mit
diesem Benutzer um 16 Uhr am Freitag von IAS eine maximale Sitzungszeit von 1 Stunde ermittelt.
Diese maximale Sitzungszeit wird als ein RADIUS-Attribut an den Zugriffsserver geschickt. Um 17
Uhr trennt der Zugriffsserver dann die Verbindung. Mithilfe dieser Funktion kann das Verhalten für
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 29
den Netzwerkzugriff mit den Datums- und Zeiteinschränkungen für die Nutzung des Benutzerkontos
in Einklang gebracht werden.
IAS und Forest-übergreifende Authentifizierung
Wenn Active Directory-Gesamtstrukturen sich im gesamtstrukturübergreifenden Modus mit
zweiseitigen Vertrauensstellungen befinden, kann der IAS das Benutzerkonto in der anderen
Gesamtstruktur authentifizieren. Ein IT-Administrator kann diese Funktion nutzen, um
Authentifizierung und Berechtigungen für Konten mit zweiseitigen Vertrauensstellungen aus
anderen Forests zu ermöglichen.
IAS in der Funktion eines RADIUS-Proxys
Diese Funktion erlaubt es dem IAS, Authentifizierungsnachrichten und Kontenanfragen zwischen
Zugriffsservern und RADIUS-Servern weiterzuleiten. Diese Funktion ermöglicht:
� Flexible regelbasierte Weiterleitung.
� Lastenausgleich und Fehlertoleranz über mehrere RADIUS-Server und Lastenausgleich von
RADIUS-Anforderungen.
� Die Möglichkeit, einen zugreifenden Client dazu zu zwingen, einen vorgeschriebenen Tunnel zu
verwenden (mit oder ohne Benutzerauthentifizierung).
� Selektives Weiterleiten von Authentifizierungs- und Kontenanfragen an unterschiedliche
RADIUS-Server.
Diese Funktionen können für folgende Szenarien eingesetzt werden:
� Ein IT-Administrator kann auf der Grundlage von IAS einen RADIUS-Proxy in einer Domäne
einrichten, um Benutzer aus einer anderen Domäne zu authentifizieren und einen Zugang zu
ermöglichen, auch wenn für die andere Domäne gar keine oder nur eine einseitige
Vertrauensstellung existiert oder sich die Domäne in einem anderen Forest befindet.
� Ein ISP, der Outsourcinglösungen für Wählverbindungen, VPN oder drahtlose Dienste für ein
Unternehmen anbietet, kann die Benutzerauthentifizierung und Kontenanfragen auf einen
RADIUS-Server des Unternehmens weiterleiten.
� Für manche Netzwerkkonfigurationen kann es sinnvoll sein, wenn der Administrator einen IAS-
Proxy in der Nachbarschaft zum eigenen Netzwerk einrichtet. Anfragen können dann vom IAS-
Proxy eines ISP an einen IAS-Server innerhalb des Unternehmensnetzwerks weitergeleitet
werden.
� ISPs, die mit anderen ISPs oder Anbietern für Netzwerkinfrastrukturen zusammenarbeiten,
können einen IAS RADIUS-Proxy zum Aufbau einer gemeinsamen Roaminggruppe nutzen.
� IT-Administratoren können IAS für ein Unternehmensnetzwerk einsetzen, das mit Netzwerken
von Partnern verbunden ist, um die Authentifizierung von Benutzern anderer Unternehmen an
die entsprechende Datenbank mit den Benutzerkonten weiterzuleiten.
Protokollieren von RADIUS-Informationen in einer SQL-Datenbank
IAS kann so konfiguriert werden, dass er Protokollinformationen für Kontenanfragen,
Authentifizierungsanfragen und regelmäßige Statusberichte an einen Structrured Query Language
(SQL)-Server sendet. So können IT-Administratoren mit SQL-Abfragen historische und aktuelle
Informationen über Verbindungsversuche, die einen RADIUS-Server für Authentifizierung nutzen
wollten, erhalten. Diese Funktion kann über die Eigenschaften der SQL-Server-Protokollmethode
des Remote Access Logging-Ordners im IAS-Snap-In eingestellt werden.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 30
Anonymer EAP-TLS-Zugriff
Der nicht authentifizierte EAP-TLS-Zugriff (Extensible Authentication-Protokoll � Transport Level
Security) bietet die Möglichkeit, einem Gast Zugriff mit einem drahtlos oder über einen
Netzwerkswitch verbundenen Client zu gestatten, auf dem kein Zertifikat installiert ist. Wenn ein
Client beim Netzwerkzugriff keine Anmeldeinformationen liefert, ermittelt der
Internetauthentifizierungsdienst, ob in der entsprechenden RAS-Richtlinie der nicht authentifizierte
Zugriff zulässig ist. EAP-TLS unterstützt die einseitige Autorisierung oder den nicht authentifizierten
Zugriff, wenn der Client keine Anmeldeinformationen sendet.
Hierdurch werden folgende Szenarien möglich:
� Ein IT-Administrator kann zulassen, dass drahtlos oder über einen Switch verbundene Clients
ohne Zertifikate eine Verbindung mit einem eingeschränkten VLAN herstellen, um eine
Bootstrap-Konfiguration auszuführen.
� Ein IT-Administrator kann mit diesem Feature auch erlauben, dass Besucher oder
Geschäftspartner über das Unternehmensnetzwerk auf das Internet zugreifen. Dies erfolgt
durch Freigabe eines eingeschränkten VLANs, das nur Datenverkehr zum und vom Internet
erlaubt.
� Ein ISP, der einen drahtlosen Zugang anbietet, kann mit dieser Funktion potenziellen Kunden
zunächst Zugang auf ein eingeschränktes VLAN mit lokalen Informationen ermöglichen.
Nachdem der Benutzer dort einen Zugangsantrag ausgefüllt hat, kann der Client sich mit dem
Internet verbinden.
Die RADIUS-Clientkonfiguration unterstützt die Angabe von IP-Adressbereichen
Zur leichteren Verwaltung von Remote Authentication Dial-In User Server (RADIUS)-Clients, erlaubt
IAS nun, einen Adressbereich für RADIUS-Clients zu definieren, wenn es mehrere drahtlose
Zugriffsstellen im selben Subnetz oder innerhalb des gleichen Adressraums gibt.
Der Adressbereich für RADIUS-Clients wird mithilfe des Netzwerkpräfix-
Längenadressierungschemas angegeben (w.x.y.z/p). Dabei ist w.x.y.z die mit Punkten versehene
Dezimal-Notation des Adresspräfixes und p die Länge des Präfixes (die Anzahl der höherwertigen
Bits, die das Netzwerkpräfix definieren). Diese Notationsform wird auch als Classless Inter-Domain
Routing (CIDR)-Notation bezeichnet. Die Notation kann z. B. folgendermaßen aussehen:
192.168.21.0/24. Die Subnetzmaskennotation kann in CIDR übersetzt werden, dabei bezeichnet p
die Anzahl der höherwertigen Bits, die innerhalb der Subnetzmaske auf 1 gesetzt sind.
Verbesserungen bei der Methode für das Aushandeln einer EAP-Authentifizierung
Mit diesem Feature können Sie eine RAS-Richtlinie konfigurieren, sodass mehrere EAP-Typen für
die Authentifizierung akzeptiert werden. IAS kann so beim Verbindungsaufbau eine von mehreren
möglichen EAP-Authentifizierungsmethoden mit dem Client aushandeln. Ein IT-Administrator kann
diese Funktion nutzen, wenn Clients mit unterschiedlichen Authentifzierungsmöglichkeiten auf das
Netzwerk zugreifen, und kann den Server so konfigurieren, dass er bestimmte EAP-
Authentifizierungsmöglichkeiten anbietet.
Kontrolle der Objektbezeichner für Benutzerzertifikate und SmartCards
Um bestimmte Arten von Benutzerzertifikaten für spezielle Verbindungstypen zu erzwingen,
unterstützt IAS jetzt die Angabe von individuellen Objektbezeichnern (OIDs) für
Zertifikatsverteilungsrichtlinien, welche im Zertifikat des Zugriffsclients als Teil der
Profileinstellungen der Remote Access-Richtlinien enthalten sein muss. Wenn ein IT-Administrator
beispielsweise sicherstellen möchte, dass RAS-VPN-Verbindungen ein Smartcardzertifikat anstelle
eines lokal installierten Benutzerzertifikats verwenden, konfiguriert er die entsprechende RAS-
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 31
Richtlinie so, dass der Objektbezeichner für die erweiterte Schlüsselsyntax des Smartcardzertifikats
für die Anmeldung (1.3.6.1.4.1.311.20.2.2) im Zertifikat des RAS-VPN-Client enthalten ist.
Sie können eine Liste von Objektbezeichnern konfigurieren, die im Benutzerzertifikat eines
Zugriffsclients vorhanden sein muss. Fügen Sie hierzu das Attribut Allowed-Certificate-OID
innerhalb der Registerkarte Erweitert bei den Eigenschaften einer Remote Access-Richtlinie in die
Liste der Attribute hinzu. Standardmäßig sind hier keine Einträge vorhanden.
Radius-Proxy und Lastenausgleich
Die Proxyunterstützung des Internetauthentifizierungsdienstes ermöglicht den Lastenausgleich des
RADIUS-Authentifizierungsverkehrs zwischen mehreren Internetauthentifizierungsservern (IAS-
Servern). Damit können Kapazitäten ausgebaut und ein Failover zwischen Standorten realisiert
werden. Der IAS-RADIUS-Proxy verteilt dynamisch Lasten von Verbindungs- und Kontenanfragen
über mehrere RADIUS-Server und erhöht so die Anzahl der möglichen RADIUS-Clients und
Kapazität für die pro Sekunde verarbeitbaren Authentifizierungen. Zusätzlich kann der RADIUS-
Proxy so konfiguriert werden, dass er bestimmte RADIUS-Server bevorzugt nutzt. Die
nachrangigen RADIUS-Server werden nicht benutzt, wenn ein RADIUS-Server mit höherer Priorität
verfügbar ist.
Hierdurch werden folgende Szenarien ermöglicht:
� Ein IT-Administrator kann durch den Einsatz mehrerer RADIUS-Server für drahtlose, DFÜ- oder
VPN-Verbindungen die Anzahl von bearbeitbaren Authentifizierungsanfragen deutlich erhöhen.
� Ein IT-Administrator kann mit dieser Funktion Verbindungsanfragen bei Fehlfunktionen an
andere verfügbare RADIUS-Server weiterleiten und RADIUS-Server in einem Remotestandort
als Backup-RADIUS-Server konfigurieren.
Ignorieren der Einwahleigenschaften des Kontos
Sie können ein RADIUS-Attribut in den Profileigenschaften einer Remote Access-Richtlinie setzen,
um die Einwahleigenschaften von Benutzerkonten zu ignorieren. Die Einwahleigenschaften eines
Kontos umfassen die folgenden Werte:
� Remote Access-Berechtigung
� Anruferkennung
� Rückrufoptionen
� Statische IP-Adressen
� Statische Routen.
Zur Unterstützung der unterschiedlichen Verbindungstypen, die IAS zur Authentifizierung und
Autorisierung zur Verfügung stellt, kann es notwendig sein, die Einwahleigenschaften des
jeweiligen Kontos vorübergehend zu deaktivieren. Diese Vorgehensweise ist möglich, wenn die
Auswertung spezieller Einwahleigenschaften nicht notwendig ist.
So sind z. B. die Anruferkennung, Rückrufoption, Statische IP-Adresse und Statische Routen
Eigenschaften, die für einen Client genutzt werden, der sich auf einen Netzwerkzugriffserver (NAS)
einwählt. Diese Einstellungen sind jedoch beim Zugriff auf einen drahtlosen Zugriffspunkt (AP)
sinnlos. Ein drahtloser Zugriffspunkt, der diese Eigenschaften in einer RADIUS-Meldung vom IAS-
Server empfängt, ist möglicherweise nicht in der Lage, diese zu verarbeiten. Dies könnte dazu
führen, dass der Client vom Netzwerk getrennt wird. Wenn IAS Authentifizierung und Autorisierung
für Benutzer sowohl bei drahtloser als auch bei DFÜ-Verbindung zu einem Netzwerk bereitstellen
soll, müssen die Einwahleigenschaften entsprechend so konfiguriert werden, dass sie entweder
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 32
Einwahlverbindungen (durch das Setzen der Einwahleigenschaften) oder drahtlose Verbindungen
(bei denen die Eigenschaften nicht gesetzt sein dürfen) unterstützen.
Sie können mit IAS z. B. bei Einwahlverbindungen die Einwahleigenschaften für Benutzerkonten
verarbeiten oder aber z. B. beim Zugriff über eine drahtlose Verbindung die Verarbeitung der
Einwahleigenschaften unterdrücken. Hierfür wählen Sie das Attribut Ignore-User-Dialin-Properites
in der Registerkarte Erweitert der Profileigenschaften für eine Remote Access-Richtlinie aus. Es
gibt zwei mögliche Einstellungen für das Attribut Ignore-User-Dialin-Properties:
� Wenn Sie das Verarbeiten der Einwahleigenschaften des Kontos ermöglichen möchten, dann
löschen Sie das Attribut Ignore-User-Dialin-Properties oder setzen den Wert auf False. Für eine
Richtlinie, die für Einwahlverbindungen gedacht ist, muss keine weitergehende Konfiguration
vorgenommen werden.
� Um die Verarbeitung von Einwahleigenschaften des Kontos zu unterbinden, setzen Sie das
Attribut Ignore-User-Dialin-Properties auf True. Diese Einstellung wird z. B. für eine Remote
Access-Richtlinie vorgenommen, die für drahtlose Verbindungen oder Verbindungen von
Switches, die eine Authentifizierung durchführen, gedacht ist. Wenn die Einwahleigenschaften
des Benutzerkontos ignoriert werden, werden die Remote Access-Berechtigungen durch die
entsprechenden Berechtigungen der Remote Access-Richtlinie bestimmt.
Dieses Attribut ermöglicht Ihnen die Verwaltung der Netzwerkzugriffskontrolle über Gruppen und
die Verwaltung der Remote Access-Berechtigungen über die Remote Access-Richtlinie. Wenn Sie
das Attribut Ignore-User-Dialin-Properties auf True setzen, wird die Remote Access-Berechtigung
für das Benutzerkonto ignoriert. Der Nachteil bei der Verwendung des Attributs Ignore-User-Dialin-
Properties besteht darin, dass Sie auf diesem Weg die weiteren Einwahleigenschaften wie
Anruferkennung, Rückruf, statische IP-Adresse und statische Routen für Verbindungen nutzen
können, auf die diese Richtlinie angewendet wird.
Unterstützung der Computerauthentifizierung
Active Directory und IAS unterstützen die Authentifizierung von Computerkonten durch Verwendung
der gleichen Authentifizierungsmethoden wie für Benutzer. So kann ein Computer mit seinen
Anmeldeinformationen gegenüber drahtlosen Zugriffsclients oder Switches, die eine
Authentifizierung durchführen, authentifiziert werden.
Unterstützung für authentifizierungstypabhängige Remote Access-Richtlinien
Sie können eine Remote Access-Richtlinie anlegen, die die Art des Authentifizierungtyps auswertet.
Dies erlaubt es Ihnen, Einschränkungen für eine Verbindung abhängig von der durch den Client
verwendeten Authentifizierungsmethode festzulegen.
Erweitertes SDK für IAS
Das Windows Plattform Software Development Kit (SDK) beinhaltet zwei SDKs für
Netzwerkanwendungen: das IAS SDK und das EAP SDK. Mit dem IAS SDK können weitere
Attribute, zusätzlich zu den von IAS bereitgestellten, an den Zugriffsserver übermittelt, die Anzahl
der Benutzernetzwerksitzungen verwaltet und Nutzungs- und Überwachungsdaten direkt in eine
OpenDatabase Connectivity (ODBC)-fähige Datenbank geschrieben werden, um eigene Module
(nicht EAP-basiert) zur Authentifizierungs- und Rechtevergabe zu implementieren. Mit dem EAP-
SDK können EAP-Typen angelegt werden.
Ein Entwickler kann die Erweiterungen des IAS SDKs nutzen, um RADIUS-Attribute zu verändern
oder zu löschen und um anhand eigener Authentifizierungskriterien den Zugriff zu ermöglichen
(Access Accept). Ein ISV oder VAR kann diese Funktionen dazu nutzen, erweiterte Lösungen auf
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 33
der Basis von IAS zu entwickeln. Ein IT-Administrator kann diese Funktionen einsetzen, um
angepasste Lösungen für IAS zu entwickeln.
Skriptfähige API für die Konfiguration von IAS
Diese Funktion stellt eine skriptfähige API innerhalb des IAS SDKs zur Verfügung und erlaubt die
skriptbasierte Konfiguration von IAS. Ein ISV kann dadurch zusätzliche Dienste auf der Basis des
IAS� anbieten, und ein IT-Administrator kann mithilfe dieser Funktion seinen IAS in die eigene
Diensteverwaltungsinfrastruktur einbinden.
Erweiterte EAP-Konfiguration für Remote Access-Richtlinien
Unter Windows 2000 konnten Sie nur einen einzigen EAP-Typ für eine Remote Access-Richtlinie
wählen. Dies bedeutete, dass alle Verbindungen, die durch die Bedingungen der Richtlinie
beschrieben wurden, auf diesen einen EAP-Typ, der durch die Einstellungen im Richtlinienprofil
vorgegeben war, festgelegt waren. Gleichzeitig war die Konfiguration eines EAP-Typs global für alle
Remote Access-Richtlinien gültig. Diese Einschränkung konnte zu Problemen führen, wenn Sie für
jede Richtlinie individuell die Eigenschaften für den EAP-Typ setzen wollten oder wenn Sie die
Auswahl unter mehreren EAP-Typen für eine Art von Netzwerkverbindung oder pro Gruppe
ermöglichen wollten. Diese Einschränkungen für IAS existieren in der Windows Server 2003-
Familie nicht mehr. Sie können nun z. B. jeweils unterschiedliche Computerzertifikate für EAP-TLS-
Authentifizierung bei drahtlosen Verbindungen und bei VPN-Verbindungen nutzen. Oder Sie
können mehrere EAP-Typen für drahtlose Verbindungen einsetzen, da einige Ihrer drahtlosen
Clients EAP-TLS-Authentifizierung und andere PEAP in Verbindung mit MS-CHAP v2 unterstützen.
Trennung von Authentifizierung und Autorisierung für den IAS-Proxy
Die Proxykomponente von IAS in der Windows Server 2003-Familie kann die Authentifizierung von
der Autorisierung der Verbindungsanfrage eines Zugriffsservers trennen. Der IAS-Proxy kann die
Anmeldeinformationen an einen externen RADIUS-Server zur Authentifizierung senden und seine
eigene Autorisierung des Benutzerkontos gegen eine Active Directory-Domäne und eine lokal
definierte Remote Acces-Richtlinie durchführen. Durch diese Funktion können unterschiedliche
Datenbanken für die Authentifizierung genutzt werden, während Autorisierung und
Einschränkungen durch lokale Einstellungen bestimmt werden.
Hierdurch werden folgende Szenarien möglich:
� Der Besucher eines Unternehmensnetzwerkes kann Zugriff auf ein für Gäste eingerichtetes
Netzwerk erhalten, indem er mit seinen Anmeldeinformationen authentifiziert wird und die
Verbindung unter Verwendung eines Benutzerkontos aus einer für Besucher eingerichteten
Domäne mithilfe einer auf dem IAS-Server konfigurierten Remote Access-Richtlinie
durchgeführt wird. Dabei können über den IAS-Proxy die Anmeldeinformationen zur
Bestätigung der Identität des Besuchers aus dem Benutzerkonto seines eigenen Unternehmens
verwendet werden.
� Ein öffentliches, drahtloses Netzwerk kann eine externe Benutzerdatenbank für die
Authentifizierung des Zugriffs drahtloser Benutzer verwenden und sie mit den Berechtigungen
aus lokalen Benutzerkonten im Active Directory der Domäne autorisieren.
Diese neue Möglichkeit kann über die Remote-RADIUS-to-Windows-User-Zuordnung in den
erweiterten Einstellungen einer Verbindungsrichtlinie konfiguriert werden.
IPSec
Folgende Verbesserungen wurden für IPSec in der Windows Server 2003-Familie eingeführt:
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 34
Neues IP-Security Überwachungs-Snap-In
Ein neues IP-Security-Überwachungs-Snap-In ermöglicht die detaillierte Konfiguration von IPSec-
Richtlinien und liefert Informationen über den aktiven Sicherheitsstatus. Es ersetzt die
Ipsecmon.exe-Anwendung von Windows 2000. IPSec-Richtlinien bestehen aus mehreren Main-
Mode-Richtlinien, mehreren Quick-Mode-Richtlinien und mehreren mit den Main-Mode-Richtlinien
verbundenen Main-Mode-Filtern und mehreren Quick-Mode-Filtern (sowohl Transport- als auch
Tunnel-Modus), die mit den Quick-Mode-Richtlinien verbunden sind. Der aktive Sicherheitsstatus
besteht aus den aktiven Main-Mode- und Quick-Mode-Sicherheitszuordnungen und statistischen
Informationen über den durch IPSec abgesicherten Datenverkehr. Ein IT-Administrator kann dieses
neue Snap-In zur verbesserten Überwachung von IPSec und zur Fehlerbehebung nutzen.
Befehlszeilenverwaltung mithilfe von Netsh
Befehle im netsh ipsec-Kontext ermöglichen die Konfiguration von statischen oder dynamischen
Main-Mode-Einstellungen, Quick-Mode-Einstellungen, Regeln und Konfigurationsparametern. Um
in den netsh ipcsec-Kontext zu gelangen, geben Sie auf der Befehlszeile den Befehl netsh -c ipsec
ein. Der netsh ipsec-Kontext ersetzt das Ipsecpo.exe-Tool des Windows 2000 Ressource Kits. Ein
IT-Administrator kann mit dieser Funktion Skripte einsetzen, um die IPSec-Konfiguration zu
automatisieren.
IP Security und die Integration von Netzwerklastenausgleich
Mit dieser Funktion kann eine Gruppe von Servern durch Netzwerklastenausgleich (Network Load
Balancing, NLB) hochverfügbare IPSec-basierte VPN-Dienste bereitstellen. Diese Funktion wird
auch von L2TP/IPSec-Clients unterstützt und bietet die Möglichkeit für schnelleres Failover von
IPSec-verschlüsselten Verbindungen.
Ein IT-Administrator kann durch diese Integration von NLB und IPSec eine sichere und zuverlässige
Netzwerkumgebung für VPN-Dienste bereitstellen. Da das IKE-Protokoll automatisch den NLB-
Dienst erkennt, ist keine zusätzliche Konfiguration für den Einsatz dieser Dienste notwendig.
Diese Funktionalität ist nur in der Enterprise- und der Datacenter-Edition von Windows Server 2003
enthalten.
IPSec-Unterstützung für den Richtlinienergebnissatz (RSoP)
IPSec bietet nun zur leichteren Bereitstellung von IPSec und zur besseren Problembehandlung eine
Erweiterung für das Snap-In des Richtlinienergebnissatzes (RSoP). Mit RSoP haben Sie einen
besseren Überblick über die Konsequenzen von Gruppenrichtlinien und bestehende IPSec-
Richtlinienzuordnungen. Hierzu verwenden Sie RSoP im Protokolliermodus. Mit RSoP lassen sich
auch die möglichen Konsequenzen geplanter IPSec-Richtlinien-Zuordnungen für Computer und
Benutzer anzeigen. Verwenden Sie hierfür RSoP im Planungsmodus.
Der Protokolliermodus hilft bei der Fehlersuche von verschachtelten IPSec-Richtlinien (konkret wird
die Frage beantwortet: Welche Richtlinie hat Vorrang?). Die Ergebnisse des Protokolliermodus�
zeigen alle bestehenden IPSec-Richtlinien des IPSec-Clients und die Priorität jeder Richtlinie an.
Der Planungsmodus erlaubt es, unterschiedliche IPSec-Richtlinieneinstellungen zu simulieren, die
Auswirkungen möglicher Änderungen der Richtlinieneinstellungen zu testen und die optimalen
Einstellungen festzuhalten, bevor sie implementiert werden. Wenn Sie RSoP im Protokolliermodus
oder im Planungsmodus ausgeführt haben, sehen Sie die einzelnen Einstellungen der IPSec-
Richtlinien im Detail (Filterregeln, Filteraktionen, Authentifizierungsmethoden, Tunnelendpunkte und
die beim Anlegen der IPSec-Richtlinie spezifizierten Verbindungstpyen).
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 35
IPSec/NAT-Traversierung
Mit dieser Funktion kann durch IKE- und ESP-geschützter Datenverkehr eine
Netzwerkadressübersetzung (NAT) durchqueren. IKE erkennt automatisch, dass NAT aktiviert ist
und benutzt die User Datagram Protocol-Encapsulating Security Payload (UDP-ESP)-Kapselung,
um ESP-geschützten IPSec-Datenverkehr durch NAT zu schleusen. Die von der Windows Server
2003-Familie unterstützte IPSec-NAT-Durchquerung wird in den Internetentwürfen der IETF mit den
Titeln "UDP Encapsulation of IPSec Packets" (draft-ietf-ipsec-udp-encaps-02.txt) und "Negotiation
of NAT-Traversal in the IKE" (draft-ietf-ipsec-nat-t-ike-02.txt) genauer beschrieben.
Durch diese NAT-Unterstützung können Angestellte eines Unternehmens auch dann L2TP/IPSec
nutzen, wenn sie mit einem privaten Netzwerk, wie z. B. dem Heimnetzwerk oder dem Netzwerk in
einem Hotel, verbunden sind. Diese Funktionalität ermöglicht generell die Abwicklung von IPSec-
ESP-Datenverkehr über NAT. Ein Administrator kann mit dieser Funktion einen Gateway-zu-
Gateway IPSec-Tunnel zwischen zwei Computern mit Windows Server 2003, die den Routing- und
RAS-Dienst ausführen, konfigurieren, auch wenn sich einer oder beide Computer jeweils hinter
einem NAT befinden. Es sind auch Server-to-Server-IPSec-Verbindungen möglich; z. B. kann ein
Server in einem benachbarten Netzwerk über eine Netzwerkadressübersetzung mit einem internen
Netzwerkserver kommunizieren.
Verwendung von Hardwareunterstützung für NAT
IPSec unterstützt eine Beschleunigung von NAT durch spezielle Hardware für normalen ESP-
Verkehr. Das bedeutet:
Ein IT-Administrator kann so die Leistung von L2TP/IPSec- und normalen IPSec-Verbindungen
verbessern, wenn IPSec über NAT eingesetzt wird.
Ein Hardwarehersteller kann neue Netzwerkkarten entwickeln oder ältere Firmware erneuern, um
die Protokolle direkt auf der Netzwerkkarte zu verarbeiten und die CPU des Servers zu entlasten.
Die Schnittstelle für die IPSec-Hardwarebeschleunigung ist im Platform-DDK dokumentiert im
Abschnitt zu �TCP/IP-Task Offload�.
IPSec-Richtlinienfilter erlauben die Verwendung logischer Adressen zur lokalen IP-Konfiguration
Das Snap-In der IPSec-Richtlinien kann nun Quell- oder Zieladressenfelder für den lokalen IPSec-
Richtliniendienst als Adressen des DHCP-Servers, DNS-Servers, WINS-Servers und des
Standardgateways konfigurieren. Damit kann sich die IPSec-Richtlinie automatisch bei Änderungen
in der IP-Konfiguration des Servers anpassen, sowohl für DHCP als auch für statische IP-
Konfigurationen. Computer, die Windows 2000 oder Windows XP ausführen, ignorieren diese
Erweiterung der IPSec-Richtlinie.
Zugriffskontrolle durch Zertifikatszuweisung zu Active Directory-Computerkonten
Das Snap-In der IP Sec-Richtlinien lässt sich nun so konfigurieren, dass es Computerzertifikate zu
Computerkonten in einem Active Directory Forest zuordnen kann. Hierzu wird die gleiche Art der
SChannel-Zertifikatzuordnung genutzt, die auch von IIS oder anderen PKI-fähigen Diensten
verwendet wird. Nachdem ein Zertifikat einem Domänencomputerkonto zugeordnet wurde, können
Zugriffsrechte gesetzt werden. Hierzu dienen die Einstellungen für die
Netzwerkanmeldungsberechtigungen Zugriff auf den Computer aus dem Netzwerk und den Zugriff
auf diesen Computer vom Netzwerk verbieten. Ein Netzwerkadministrator kann nun mithilfe von
IPSec den Zugriff auf einen Windows Server 2003-Computer nur für Computer aus einer
bestimmten Domäne zulassen, für Computer, die ein Zertifikat von einer bestimmten
Zertifizierungsstelle haben, für eine spezielle Gruppe von Computern oder von nur einem einzigen
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 36
Computer. Computer, die Windows 2000 oder Windows XP ausführen, ignorieren diese
Erweiterung der IPSec-Richtlinien.
Stärkere Diffie-Hellman-Gruppen für den Internetschlüsselaustausch (IKE)
IPSec unterstützt jetzt die Verwendung eines Diffie-Hellman-Schlüsselaustauschs mit 2048 Bit nach
den Spezifikationen des Internetentwurfs "More MODP Diffie-Hellman groups for IKE" der IETF.
Durch die Verwendung einer stärkeren Diffie-Hellman-Gruppe bietet der durch den Diffie-Hellman-
Austausch entstehende geheime Schlüssel einen besseren krypographischen Schutz. Das Snap-In
der IPSec-Richtlinien erlaubt Ihnen die Konfiguration dieser neuen Diffie-Hellmann Gruppen sowohl
für lokale als auch für domänenbasierte IPSec-Richtlinien. Computer mit Windows XP oder
Windows 2000 ignorieren diese Einstellung.
Besserer Schutz vor Denial-Of-Service-Angriffen für IKE
Das IKE-Protokoll (Internet Key Exchange), mit dem IPSec-Sicherheitszuordnungen ausgehandelt
werden, wurde in der Windows Server 2003-Familie so geändert, dass Angriffe durch zahlreiche
ungültige Anfragen (Denial-of-Service) über das IKE-Protokoll besser abgewehrt werden. Die
bekannteste Art solcher Angriffe ist das Senden von ungültigen Paketen an den UDP-Port 500. IKE
versucht, diese Pakete zu validieren, bis die Zahl der ankommenden Pakete zu groß ist. Dann
beginnt IKE damit, Pakete zu verwerfen. Wenn die Rate der ankommenden Pakete wieder sinkt,
startet IKE erneut mit der Auswertung auf der Suche nach zulässigen IKE-Paketen. Am
schwierigsten ist eine Abwehr des Angriffs, wenn ein bösartiger Benutzer gültige IKE-
Eröffnungsnachrichten an den IKE-Responder sendet, die entweder eine ungültige Ursprungs-IP-
Adresse haben oder aber in sehr kurzen Abständen von einer gültigen Ursprungs-IP-Adresse
stammen. Dieser Angriff ist mit einer TCP-Synchronisierungsattacke (mit SYN-Paketen) gegen
TCP/IP-basierte Server vergleichbar. Der neue Schutz sorgt dafür, dass der IKE-Responder auf die
gültigen Eröffnungspakete eine IKE-Meldung mit einem speziellen Wert im Responder-Cookie-
Feld zurückgibt. Wenn der IKE-Initiator bei der nächsten Antwort nicht diesen speziellen Wert im
Cookie-Feld angibt, wird der IKE-Austausch ignoriert. Windows Server 2003 als IKE-Initiator kann in
diesem Fall einen erneuten Verbindungsaufbau korrekt versuchen. Das IPSec-IKE-Modul speichert
keine Zustandsinformationen einer IKE-Protokollaushandlung, bis eine Antwort mit einem richtig
gesetzten Responder-Cookie-Feldwert empfangen wird. Dies erlaubt die Interoperabilität mit
Computern, die Windows 2000, Windows XP oder IPSec-Implementierungen von Drittherstellern
ausführen, und erhöht die Chance, dass ein legitimer Initiator selbst dann erfolgreich eine
Verbindung aushandeln kann, wenn der Responder einem begrenzten Angriff ausgesetzt ist. Es
besteht nach wie vor die Gefahr, dass ein IKE-Responder von einer Flut berechtigter IKE-Pakete
überschwemmt wird. Der IKE-Responder ist dann erst direkt nach Ende des Angriffs wieder
verfügbar.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 37
Zusätzliche neue Funktionen
Änderungen in der Winsock-API
Die Windows Sockets-API wurde in Windows Server 2003 wie folgt geändert:
Keine weitere Unterstützung von AF_NETBIOS (64-Bit-Version)
Die Funktion AF_NETBIOS wird von den 64-Bit-Versionen der Enterprise- und Datacenter-Edition
nicht unterstützt. Anwendungen sollten alternativ TCP oder UDP nutzen. Die Funktion bleibt für 32-
Bit-Anwendungen von Drittherstellern noch erhalten.
ConnectEx/TransmitPackets und TCP/IP
Microsoft hat die Windows Sockets 2-Spezifikation um folgende zwei Funktionen erweitert:
� Die Windows Sockets-Funktion ConnectEX() stellt die Verbindung zu einer anderen Socket-
Anwendung her und überträgt optional anschließend einen Datenblock.
� Die Windows Sockets-Funktion TransmitPackets() übermittelt über einen verbundenen Socket
(ein Datagramm oder einen Stream) Daten in den Speicher und/oder an Dateien. Für das
Einlesen von Dateien wird die Cacheverwaltung des Betriebssystems verwendet und Speicher
nur für die minimal erforderliche Dauer zur Datenübertragung reserviert. Auf diese Weise
ermöglicht Windows eine sehr schnelle und effiziente Datenübertragung über Sockets aus
Dateien oder aus dem Hauptspeicher.
Windows Sockets Direct Path für SAN-Netzwerke
Die Windows Server 2003-Familie bietet im Bereich Windows Sockets erhebliche
Leistungsverbesserungen für Windows Sockets Direct (WSDP) in System Area Networks (SANs).
WSD ermöglicht Windows Sockets-Anwendungen, die SOCK_STREAM verwenden, die
Leistungsvorteile von SANs zu nutzen, ohne Änderungen an der Anwendung vornehmen zu
müssen. Die grundlegende Komponente für diese Technologie ist ein WinSock-Switch, der eine
TCP/IP-ähnliche Kommunikation emuliert und native SAN-Diensteanbieter verwendet. Für die
Windows 2000 Server-Familie stand WSD-Unterstützung nur unter Windows 2000 Advanced
Server und Windows 2000 Datacenter Server zur Verfügung. Windows Server 2003 unterstützt
WSD in alle Editionen.
Weiterführende Informationen über die Windows Sockets-API finden Sie im Microsoft Plattform
SDK.
Keine Unterstützung für veraltete Netwerkprotokolle
Die folgenden veralteten Netzwerkprotokolle werden nicht mehr unterstützt:
� Data Link Control (DLC)
� NetBIOS Extended User Interface (NetBEUI).
Folgende Netzwerkprotokolle wurden aus den 64-Bit-Versionen des Betriebssystems entfernt:
� Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) und IPX-abhängige
Dienste
� Infrared Data Association (IrDA)
� Open Shortest Path First (OSPF).
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 38
Obsolete RPC-Protokolle
Folgende RPC-Protokolle wurden durch TCP ersetzt:
� Remote Procedure Call (RPC) über NetBEUI
� RPC über NetBIOS über TCP/IP (NetBT)
� RPC über NetBIOS über IPX (NBIPX)
� RPC über SPX (nur 64-Bit)
� RPC über AppleTalk (nur 64-Bit)
Folgende Protokolle wurden durch UDP ersetzt:
� RPC über IPX
� RPC über Message Queuing (MSMQ).
Befehlszeilentools
Es gibt eine Reihe von neuen Befehlszeilentools und Utilities zur besseren Verwaltung und
Administration von Computern. Eine ausführliche Beschreibung der CMD.exe-Shell und aller neuen
Befehlszeilentools finden Sie in der im Lieferumfang des Betriebssystems enthaltenen Hilfedatei für
die Kommandozeile. Zu den neuen Befehlen gehören:
Bootcfg.exe. Einstellungen der boot.ini-Datei auf dem lokalen oder einem remoten Computer (nicht
bei 64-Bit-Versionen verfügbar) auslesen oder konfigurieren (z. B. debug on/off).
DriverQuery.exe. Anzeige der geladenen Gerätetreiber und deren Speicherbelegung.
Dsadd.exe. Erstellen einer Objektinstanz eines bestimmten Typs im Active Directory.
Dsmod.exe. Setzen und Verändern von Attributen eines bestehenden Objekts im Active Directory.
Dsrm.exe. Entfernen von Objekten oder kompletten Unterstrukturen eines Objektes aus dem Active
Directory.
Dsmove.exe. Objekte vom aktuellen Ort an eine neue übergeordnete Stelle innerhalb des gleichen
Namenskontextes im Active Directory verschieben oder Objekte innerhalb des Active Directorys
umbenennen.
Dsquery.exe. Objekte im Active Directory suchen, die bestimmten Suchkriterien entsprechen.
Dsget.exe. Ausgewählte Eigenschaften eines existierenden Objekts innerhalb des Active
Directorys anzeigen oder abfragen, hierzu muss die Position des Objekts angegeben werden.
Eventriggers.exe. Einen Prozess auf der Grundlage eines Ereignisses im Ereignisprotokoll
ausführen.
Eventquery.vbs. Ereignisse eines bestimmten Typs aus dem Ereignisprotokoll abfragen. Die
ausgewählten Ereignisse können auf dem Bildschirm angezeigt oder in eine Datei gespeichert
werden.
Eventcreate.exe. Ein benutzerdefiniertes Ereignis in ein beliebiges Ereignisprotokoll schreiben.
GPresult.exe. Ermitteln des Richlinienergebnissatzes (Resultant Set of Policies, RSoP) und
Auflisten der Richtlinien, die auf einen Computer angewendet werden.
IIS Skripte. Zahlreiche neue Skripte (IISWeb.vbs, IISVdir.vbs usw.) bieten Befehlszeilentools zur
Konfiguration, Einrichtung und Verwaltung von Servern mit IIS und Active Server Pages (ASP)-
Anwendungen.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 39
Netsh.exe. Umfassendes Tool zur Konfiguration von Netzwerken. Erweitert die grundlegenden
Netzwerkdiagnosefunktionen, die ursprünglich über das Tool NetDiag.exe zur Verfügung standen.
Openfiles.exe. Zeigt eine Liste der verbundenen Benutzer und der von ihnen auf den einzelnen
Freigaben eines Computers geöffneten Dateien.
Pagefileconfig.vbs. Aktuelle Größe der Auslagerungsdatei anzeigen oder die Größe dieser Datei
festlegen.
Drucker-Skripte. Zahlreiche neue Skripte (prncfg.vbs, prnjobs.vbs usw.) für die Verwaltung von
Druckerdiensten, Druckerwarteschlangen und Druckertreibern.
Reg.exe. Anzeigen und Editieren von Registry-Schlüsseln.
SC.exe. Starten und Anhalten von Win32-Diensten.
Schtasks.exe. Ermitteln, Setzen oder Editieren von zeitgesteuerten Aufträgen, die den
bestehenden Win32-Schedulerdienst nutzen.
Systeminfo.exe. Ermittelt grundlegende Konfigurationsinformationen (z. B. CPU und Speicher).
Taskkill.exe. Beenden oder Anhalten laufender Prozesse.
Tasklist.exe. Anzeigen aller laufenden Prozesse und PIDs.
Tsecimp.exe. Import von Telephony Application Programming Interface (TAPI)-
Benutzerkonteneigenschaften und -Zugriffsrechten.
Ein IT-Administrator kann mit diesen Befehlszeilentools besonders häufige Aufgaben oder die
unmittelbare, wiederholte Ausführung einer Tätigkeit der Serververwaltung über Visual Basic®-
Skripte oder Befehlszeilenstapelverarbeitungsdateien automatisieren. Dies vermeidet die von GUI-
Verwaltungstools in manchen Fällen erzwungene stückweise Bearbeitung von Routineaufgaben
und resultiert in geringeren IT-Verwaltungskosten.
Starke kryptographische Authentifizierung der Services für Macintosh
Für Computer mit �Diensten für Macintosh� (SFM, Services for Macintosh) die das Microsoft
Benutzerauthentifizierungsmodul (MSUAM) verwenden, kann nun eine starke Authentifizierung
durch Auswahl der (NTLMv2)-Option benutzt werden. Wenn diese Option genutzt wird, können sich
die Benutzer nur gegenüber einem Server authentifizieren, der NTLMv2 einsetzt. Dies schließt
Windows NT® 4.0-Server und ältere Server aus, die NTLMv2 nicht für die Authentifizierung nutzen
können. Der Benutzer kann die Option Erfordert starke Authentifizierung (NTLMv2) deaktivieren,
um die Authentifizierung gegenüber älteren Servern zu ermöglichen.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 40
Zusammenfassung
Dieser Artikel hat die Erweiterungen und neuen Funktionen der Windows Server 2003 zur
einfacheren Installation, Konfiguration und Bereitstellung von Netzwerkdiensten und �Komponenten
beschrieben. Die Windows Server 2003-Familie bietet geänderte Protokolle, verbesserte
Konnektivität für Internet- und Netzwerkzugriff sowie eine bessere Unterstützung von
Netzwerkgeräten.
Microsoft® Windows® Server 2003 � technischer Artikel
Technische Übersicht über Netzwerktechnik und Kommunikation 41
Weiterführende Links
Weiterführende Informationen finden Sie auf diesen Sites:
� Introducing the Windows Server 2003 Family:
http://www.microsoft.com/windows.netserver/evaluation/overview/default.asp
� What's New in Networking and Communications:
http://www.microsoft.com/windows.netserver/evaluation/overview/technologies/networking.asp
� Microsoft Windows � IPv6 Web Site: http://www.microsoft.com/ipv6
� Microsoft Windows � Wi-Fi Web Site: http://www.microsoft.com/wifi
� Microsoft Windows � VPN Web Site: http://www.microsoft.com/vpn
� Microsoft Windows � IAS Web Site:
http://www.microsoft.com/windows2000/technologies/communications/ias/
� Microsoft Windows � IPSec Web Site:
http://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp
Die neuesten Informationen zu Windows Server 2003 finden Sie auf der Windows Server 2003-
Website unter http://www.microsoft.com/windows.netserver.