Unterstützung neuer Netzwerkdienste

Technische Übersicht über Netzwerktechnik und
Kommunikation
Microsoft GmbH
Veröffentlicht: Juli 2002
Einführung
Die Windows® Server 2003-Familie bietet zahlreiche Erweiterungen zur Unterstützung neuer
Netzwerktechnologien im Unternehmen. Dieser Artikel beschäftigt sich mit den neuen Funktionen
und Erweiterungen.
Microsoft® Windows® Server 2003 – technischer
Artikel
Hinweis auf Betaversion
Bei diesem Dokument handelt es sich um ein vorläufiges Dokument,
das bis zur endgültigen Handelsausgabe der hier beschriebenen
Software wesentlichen Änderungen unterliegen kann.
Die in diesem Dokument enthaltenen Informationen stellen die
behandelten Themen aus der Sicht der Microsoft Deutschland
GmbH zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich
ändernde Marktanforderungen reagieren muss, stellt dies keine
Verpflichtung seitens der Microsoft Deutschland GmbH dar und
Microsoft kann die Richtigkeit der hier dargelegten Informationen
nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Dieses
Dokument dient ausschließlich informativen Zwecken. Microsoft
schließt für dieses Dokument jede Gewährleistung aus, sei sie
ausdrücklich oder konkludent.
Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren
Urheberrechtsgesetze zu halten. Unabhängig von der
Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne
ausdrückliche schriftliche Erlaubnis der Microsoft Deutschland
GmbH kein Teil dieses Dokuments für irgendwelche Zwecke
vervielfältigt oder in einem Datenempfangssystem gespeichert oder
darin eingelesen werden, unabhängig davon, auf welche Art und
Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch
Fotokopieren, Aufzeichnen usw.) dies geschieht.
Soweit nicht anders vermerkt, sind alle in diesem Dokument
genannten Unternehmen, Namen, Adressen, Produkte,
Domänennamen, E-Mail-Adressen, Logos und Orte frei erfunden
und stehen in keinerlei Verbindung zu einem real existierenden
Unternehmen, Namen, einer Adresse, einem Produkt,
Domänennamen, einer E-Mail-Adresse, einem Logo oder Ort.
Es ist möglich, dass Microsoft Rechte an Patenten bzw.
angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem
geistigem Eigentum besitzt, die sich auf den fachlichen Inhalt dieses
Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt
Ihnen jedoch keinen Anspruch auf diese Patente, Marken,
Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn,
dies wird ausdrücklich in den schriftlichen Lizenzverträgen von
Microsoft eingeräumt.
© 2002 Microsoft Corporation. Alle Rechte vorbehalten.
Active Accessibility, Active Channel, Active Client, Active Desktop,
Active Directory, ActiveMovie, ActiveX, Authenticode, BackOffice,
Direct3D, DirectAnimation, DirectDraw, DirectInput, DirectMusic,
DirectPlay, DirectShow, DirectSound, DirectX, DoubleSpace,
DriveSpace, FrontPage, IntelliMirror, IntelliMouse, IntelliSense,
JScript, Links, Microsoft, Microsoft Press, Microsoft QuickBasic,
MSDN, MS-DOS, MSN, Natural, NetMeeting, NetShow, OpenType,
Outlook, PowerPoint, SideWinder, Slate, TrueImage, Verdana,
Visual Basic, Visual C++, Visual FoxPro, Visual InterDev, Visual J++,
Visual Studio, WebBot, Win32, Windows, Windows Media, Windows
NT sind entweder eingetragene Marken oder Marken der Microsoft
Corporation in den USA und/oder anderen Ländern. Weitere in
diesem Dokument aufgeführte tatsächliche Produkt- und
Firmennamen können geschützte Marken ihrer jeweiligen Inhaber
sein.
Microsoft® Windows® Server 2003 – technischer Artikel
Inhalt
Einführung
1
Vereinfachtes Setup, einfachere Konfiguration und Bereitstellung
2
Netzwerkdiagnosefunktionen 2
Erkennen von Netzwerkstandorten
3
Erweiterungen im Bereich drahtloser Netzwerke
3
Erweiterungen im Bereich Routing und Remote Access Service (RAS) 5
Erweiterung in der Verwaltungskonsole und im Einrichtungsassistenten
Neue Konfigurationsoptionen für EAP-TLS-Eigenschaften
NetBIOS über TCP/IP Namensauflösungsproxy
5
5
5
Integration der Routing- und Remote Access Service-Einstellungen in der Serververwaltung 5
Nutzung der internen Schnittstelle des Routing- und Remote Access Services als private
Schnittstelle für NAT (Network Adress Translation) 6
Verbindungen mit der Einstellung Wählen bei Bedarf können nun auch PPPoE nutzen
Interne und Internet-Schnittstellen
6
6
VPN-Verbindungen für Windows Server 2003, Web-Edition 6
NAT- und Firewall-Integration
6
L2TP/IPSec NAT-Weiterleitung
7
NLB-Unterstützung für L2TP/IPSec-Verkehr 7
Konfiguration von L2TP/IPSec-Verbindungen mit vorinstallierten Schlüsseln 7
Erweiterungen des Verbindungsmanagers
8
Favoriten im Verbindungsmanager 8
Automatische Proxykonfiguration
Clientprotokolldateien
8
8
Unterstützung für die Auswahl eines VPN-Servers
9
Verbesserungen beim Assistenten des Verbindungsmanager-Administrations-Kits
Die Konfiguration von vorinstallierten Schlüsseln
9
9
Routenverwaltung bei gleichzeitigem Intranet- und Internetzugriff für VPN-Verbindungen
Verbesserungen der Internetkonnektivität
9
11
Internetverbindungsfirewall (Internet Connection Firewall, ICF) 11
Erweiterungen bei den Netzwerkverbindungen 11
iii
Microsoft® Windows® Server 2003 – technischer Artikel
Aktualisierte Gruppenrichtlinien für Netzwerk- und Wählverbindungen
11
Point-to-Point Protocol over Ethernet-Client für Breitbandverbindungen
12
Weitere Netzwerkzugriffsmöglichkeiten
Netzwerkbrücken
13
13
Remote Access nutzt den “Schlüsselbund”(Key Ring) zur Verwaltung von Anmeldeinformationen
13
Verwendung einer Anmeldeidentität für alle Benutzer beim Remote-Zugriff
Unterstützung für das Internetprotokoll über IEEE 1394 (IP/1394)
Änderungen in den Protokollen
14
14
15
TCP/IP – Änderungen und Erweiterungen
15
TCP/IP-Protokoll kann nicht entfernt werden 15
Automatischer Wechsel der Konfiguration für die Verbindung mit mehreren Netzwerken
Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten
15
Neue Netstat-Option, um den Besitzer eines Ports anzuzeigen
16
IGMP Version 3
15
16
Automatische Bestimmung der Routingmetrik durch die Geschwindigkeit der Netzwerkkarte 16
Größe des TCP-Empfangsfensters wird durch die Netzwerkkarte festgelegt 16
IPv6 Protokoll-Stack 17
Windows Sockets-Unterstützung
6to4-Tunneling
17
18
Intrasite Automatic Tunnel Addressing-Protokoll
18
PortProxy 18
Sitepräfixe für Routeradvertisements
18
DNS Unterstützung 19
IPSec-Unterstützung
19
Unterstützung von Betriebssystemkomponenten und Anwendungen 19
RPC-Unterstützung 19
Unterstützung von IP Helper API
19
Unterstützung von statischen Routern
19
Kernel Mode-Verarbeitung von Webdatenverkehr
Erweiterungen im Quality of Service (QoS)
20
20
TCP-Empfangsfenstergröße für Heimnetzwerke
20
Verbesserte Unterstützung von Netzwerkgeräten
22
iv
Microsoft® Windows® Server 2003 – technischer Artikel
Kapselung der permanenten virtuellen Verbindung
22
NDIS 5.1 und Remote NDIS 22
Verbesserte Unterstützung von Netzwerkmedien
CardBus Wake on LAN
23
23
Erweiterungen bei Gerätetreibern
23
Wake on LAN: Selektive Auswahl der Wake-Ereignisse
IrCOMM-Modemtreiber für IrDA
23
24
Unterstützung neuer Netzwerkdienste 25
TAPI 3.1 und TAPI Service Provider (TSP)
25
Client-APIs zur Echtzeitkommunikation (RTC) 25
DHCP
26
Sichern und Wiederherstellen von DHCP
26
Die Classless Static Route Option (RFC 3442)
27
Migration der DHCP-Datenbank mithilfe von Netsh 27
DHCP-Lease mithilfe von Netsh löschen
27
DNS 27
Active Directory Integrated DNS-Zonen werden nun in Anwendungspartitionen gespeichert
Grundlegende Implementierung der Standard-DNS-Sicherheitserweiterungen
27
28
Entdecken fehlerhafter DNS-Konfigurationen beim Beitreten einer Domäne 28
Verwalten von DNS-Clients über Gruppenrichtlinien 28
Stub-Zonen und bedingte Weiterleitung
29
Unterstützung für das EDNS0-Protokoll
29
Zusätzliche Erweiterungen 29
WINS
29
Filtern von Einträgen
29
Einschränkung und Vorgabe von Replikationspartnern
IAS
30
30
Unterstützung der IEEE 802.1X-Authentifizierung für sichere drahtlose und Large Area-Netzwerke
30
Eingeschränkte Sitzungszeiten für bestimmte Benutzer
IAS und Forest-übergreifende Authentifizierung
IAS in der Funktion eines RADIUS-Proxys
31
31
31
Protokollieren von RADIUS-Informationen in einer SQL-Datenbank 32
v
Microsoft® Windows® Server 2003 – technischer Artikel
Anonymer EAP-TLS-Zugriff 32
Die RADIUS-Clientkonfiguration unterstützt die Angabe von IP-Adressbereichen
32
Verbesserungen bei der Methode für das Aushandeln einer EAP-Authentifizierung
33
Kontrolle der Objektbezeichner für Benutzerzertifikate und SmartCards
33
Radius-Proxy und Lastenausgleich 33
Ignorieren der Einwahleigenschaften des Kontos
33
Unterstützung der Computerauthentifizierung
35
Unterstützung für authentifizierungstypabhängige Remote Access-Richtlinien
Erweitertes SDK für IAS
35
35
Skriptfähige API für die Konfiguration von IAS
35
Erweiterte EAP-Konfiguration für Remote Access-Richtlinien 35
Trennung von Authentifizierung und Autorisierung für den IAS-Proxy 36
IPSec
36
Neues IP-Security Überwachungs-Snap-In 36
Befehlszeilenverwaltung mithilfe von Netsh 36
IP Security und die Integration von Netzwerklastenausgleich 37
IPSec-Unterstützung für den Richtlinienergebnissatz (RSoP) 37
IPSec/NAT-Traversierung 37
Verwendung von Hardwareunterstützung für NAT
38
IPSec-Richtlinienfilter erlauben die Verwendung logischer Adressen zur lokalen IP-Konfiguration
38
Zugriffskontrolle durch Zertifikatszuweisung zu Active Directory-Computerkonten
Stärkere Diffie-Hellman-Gruppen für den Internetschlüsselaustausch (IKE)
Besserer Schutz vor Denial-Of-Service-Angriffen für IKE
38
38
39
Zusätzliche neue Funktionen 40
Änderungen in der Winsock-API
40
Keine weitere Unterstützung von AF_NETBIOS (64-Bit-Version)
ConnectEx/TransmitPackets und TCP/IP
40
Windows Sockets Direct Path für SAN-Netzwerke
40
Keine Unterstützung für veraltete Netwerkprotokolle
40
Obsolete RPC-Protokolle
Befehlszeilentools
40
41
41
Starke kryptographische Authentifizierung der Services für Macintosh 42
vi
Microsoft® Windows® Server 2003 – technischer Artikel
Zusammenfassung
43
Weiterführende Links 44
vii
Microsoft® Windows® Server 2003 – technischer Artikel
Einführung
Netzwerktechnik und Kommunikation hatten noch nie eine so entscheidende Rolle wie heute, da sich
Unternehmen zunehmend den Herausforderungen des Wettbewerbs auf dem weltweiten Marktplatz
stellen müssen. Mitarbeiter sollen Zugriff auf das Netzwerk erhalten, unabhängig von ihrem
Aufenthaltsort oder dem verwendeten Gerätetyp. Partner, Vertriebsmitarbeiter und andere Personen
außerhalb des Firmennetzwerks müssen für eine effektive Zusammenarbeit gemeinsam auf
Ressourcen zugreifen können. Sicherheit spielt hierbei eine herausragende Rolle.
Dieser Artikel bietet eine technische Übersicht über die Erweiterungen in den Bereichen Netzwerk und
Kommunikation in der Windows® Server 2003-Familie. Einerseits ist das Einrichten, Konfigurieren und
Bereitstellen eines Netzwerkes nun einfacher geworden; andererseits ergeben sich Vorteile durch
verbesserten Netzwerkzugriff, neue Merkmale der verwendeten Übertragungsprotokolle und eine
bessere Unterstützung von Netwerkgeräten. Ein Beispiel: Internetzugriff für mobile Benutzer – etwa
während Wartezeiten auf dem Flughafen – kann von Windows 2003 Servern über abgesicherte
Funknetzwerke oder herkömmlichen Ethernetverbindungen bereitgestellt werden. Auch Mobiltelefone
können nun über eine vorhandene Infrarotschnittstelle als Modem zum Aufbau einer
Netzwerkverbindung genutzt werden.
Unter anderem geht es in diesem Artikel um die erweiterten Möglichkeiten für IT-Administratoren zur
tieferen und umfassenderen Steuerung und Verwaltung der Netzwerkinfrastruktur. So können sie einen
sicheren Zugriff auf ein kabelloses Netzwerk konfigurieren, Gruppenrichtlinien für die Einschränkung
von Netzwerkfunktionen für bestimmte Benutzertypen anlegen oder ein Verbindungsmanagerprofil
definieren, das für Benutzer auf Reisen automatisch standortabhängig eine Wählverbindung zum
günstigsten VPN-Server aufbaut.
Technische Übersicht über Netzwerktechnik und Kommunikation
1
Microsoft® Windows® Server 2003 – technischer Artikel
Vereinfachtes Setup, einfachere Konfiguration und Bereitstellung
Netzwerkdiagnosefunktionen
Zur Diagnose von Netzwerkproblemen wurden neue Netzwerkdiagnosefunktionen in die Windows
Server 2003-Familie integriert:
Netzwerkdiagnosewebseite. Die Webseite zur Netzwerkdiagnose kann aus dem Hilfe- und
Supportcenter aufgerufen werden. Sie kann dort im Bereich Werkzeuge unter Netzwerkdiagnose oder
im detaillierten Informationsbereich des Hilfe- und Supportcenter unter den Punkten Fehlerbehebung
oder Netzwerke aufgerufen werden. Diese Webseite erleichtert es, wichtige Informationen über den
lokalen Computer und das Netzwerk, an welches er angeschlossen ist, zusammenzustellen. Die
Webseite enthält auch eine Reihe von Tests, um Netzwerkprobleme beheben zu können.
Die Netsh diag-Befehle. Eine Netsh-Hilfs-DLL stellt neue Befehle in der netsh diag-Umgebung zur
Verfügung. Von der Befehlszeile aus können aktuelle Parameter des Netzwerks ausgelesen und
Diagnosefunktionen aufgerufen werden. Um in den netsh diag-Kontext zu wechseln und NetshDiagnose-Befehle ausführen zu können, geben Sie an der Befehlsaufforderung den Befehl netsh -c
diag ein.
Option „Reparieren“ im Kontextmenü für Netzwerkverbindungen. Wenn eine Netzwerkverbindung
einen ungültigen Status hat, der eine Verbindung mit dem Netzwerk verhindert, kann dieser Fehler oft
durch eine Reihe von einfachen Schritten wie z. B. das Erneuern der IP-Adressenkonfiguration oder
einer neuen DNS-Namensregistrierung behoben werden. Diese Schritte können nun automatisch
ausgeführt werden, hierfür steht Ihnen eine Reparaturoption im Kontextmenü der
Netzwerkverbindungen zur Verfügung. Mit dieser Option versucht Windows durch die beschriebene
Vorgehensweise Kommunikationsprobleme zu lösen; in jedem Fall ist sichergestellt, dass beim
Reparaturversuch keine weiteren Probleme oder Störungen im Netzwerk hervorgerufen werden.
Netzwerkunterstützungsregister für Netzwerkverbindungen. Die Status-Dialogbox für jede
Netzwerkverbindung im Ordner der Netzwerkverbindungen umfasst nun eine Registerkarte mit dem
Titel Netzwerkunterstützung. Auf dieser Seite werden TCP/IP-Konfigurationsinformationen angezeigt.
Die Seite beinhaltet auch eine Reparieren-Schaltfläche, die der Reparieren-Option aus dem
Kontextmenü der Netzwerkverbindungen entspricht.
Netzwerkregister im Task-Manager. Der Task-Manager besitzt nun auch eine Registerkarte mit dem
Titel Netzwerk, die Echtzeit-Informationen für jeden Netzwerkadapter im System darstellt und so einen
schnellen Überblick über die Leistung des Netzwerks erlaubt.
Aktualisiertes Netdiag.exe Befehlszeilen-Netzwerkdiagnose-Tool. Unter den Supportools befindet
sich auch Netdiag.exe, eine erweiterte Version der bereits von Windows 2000 aus dem Resourcekit
bekannten Werkzeuge. Um die Supporttools zu installieren, starten Sie die Datei Support.msi im
Verzeichnis Support\tools auf der Windows Server 2003-CD-ROM.
Aktivierung der Zugriffsprotokollierung für den Remotezugriff. Im Dialogfeld Benutzerdefinierte
RAS-Einstellungen gibt es eine neue Registerkarte Diagnose. Dieses Dialogfeld befindet sich in der
Ordneranzeige der Netzwerkverbindungen im Menü Extras. Die Protokollfunktion ermöglicht die
Aktivierung einer globalen Protokollierung für Remotezugriffsverbindungen sowie Anzeige und Löschen
von Protokollen.
Technische Übersicht über Netzwerktechnik und Kommunikation
2
Microsoft® Windows® Server 2003 – technischer Artikel
Weiterführende Informationen finden Sie im Hilfe- und Supportcenter der Windows Server 2003Familie.
Erkennen von Netzwerkstandorten
Das Windows Server 2003-Betriebssystem nutzt dynamische Informationen über das aktuell
erreichbare Netzwerk, um so die Konfiguration des Netzwerkprotokollstacks geeignet anzupassen. Die
Informationen der Netzwerkzuordnung sind auch programmatisch durch eine Windows Socket-API
abrufbar. Anwendungsprogramme können so aktuelle Netzwerkinformationen auslesen oder sich bei
Änderungen benachrichtigen lassen.
Auch das Betriebssystem selbst verwendet die automatische Netzwerkzuordnung, um geeignete
Dienste bereitzustellen. Über Gruppenrichtlinien kann die Internetverbindungsfreigabe (Internet
Connection Sharing, ICS), die Internetverbindungsfirewall oder eine Netzwerkbrücke abhängig von der
Netzwerkzuordnung aktiviert oder deaktiviert werden. So ist sichergestellt, dass die Einstellungen
tatsächlich für das Netzwerk zutreffen, mit dem ein Computer verbunden ist. Beispielsweise ist eine
Gruppenrichtlinie, die im Firmennetzwerk gültig ist, bei einer Verbindung mit einem privaten Netzwerk
zu Hause nicht relevant. Die einschränkende Richtlinie wird nicht angewendet und die Funktionen (z. B.
Schutz durch den Internetverbindungsfirewall) können gemäß den Vorgaben des veränderten
Nutzungsbereichs automatisch aktiviert werden.
Erweiterungen im Bereich drahtloser Netzwerke
Auch bei der Einrichtung und Verwaltung von drahtlosen Netzwerken gibt es neue Funktionen und
Erweiterungen in der Windows Server 2003-Familie. Hierzu gehören die automatische Verwaltung von
Schlüsseln und eine sichere Netzwerkauthentifizierung schon vor dem Zustandekommen der
eigentlichen Netzwerkverbindung. Die Erweiterungen umfassen die folgenden Punkte:
Erweiterte Ethernet- und Wireless-Sicherheit (IEEE 802.1x-Unterstützung). Bisher gab es für
drahtlose Netzwerke keine hinreichend sichere und zugleich mit geringem Aufwand verfügbare Lösung
zur Verwaltung von Netzwerkschlüsseln. In Zusammenarbeit mit verschiedenen Herstellern drahtloser
Netzwerklösungen und Anbietern von Computersystemen hat Microsoft im Rahmen der unabhängigen
IEEE Organisation den Industriestandard IEEE 802.1x für Port-basierende Netzwerkzugriffskontrolle
entwickelt. Dieser Standard kann sowohl auf Ethernet als auch auf drahtlose Netzwerke angewendet
werden. Bereits mit Windows XP hat Microsoft eine Unterstützung des IEEE 802.1x-Standards
bereitgestellt und mit Herstellern von drahtlosen Netzwerklösungen daran gearbeitet, diesen Standard
auch in Access-Points zu integrieren.
Zero-Administration im Bereich drahtloser Netzwerke. Bei Verwendung von drahtlosen
Netzwerkkarten kann die Windows Server 2003-Familie ohne Eingriff des Benutzers unter den
verfügbaren Netzwerken eine Auswahl treffen. Einstellungen für bestimmte Netzwerke können
gespeichert und automatisch bei der nächsten Verfügbarkeit und Assoziierung mit einem speziellen
Netzwerk aktiviert werden. Wird das drahtlose Netzwerk nicht im Infrastruktur-Modus mit Access-Points
betrieben, wird eine Verbindung im ad-hoc-Modus gesucht.
Unterstützung für Roaming-User im Wireless-Netzwerk. Bereits mit Windows 2000 wurde die
Verfügbarkeit eines Netzwerkes erkannt und Netzwerkzugriffe entsprechend im Online-Modus
durchgeführt. Diese Funktionen wurden in der Windows Server 2003-Familie für die Nutzung drahtloser
Netzwerke erweitert. Neu hinzugekommen sind eine Erneuerung der DHCP-Konfiguration bei
wechselnder Zuordnung zu verschiedenen Netzwerken, davon abhängig eine evtl. erforderliche erneute
Technische Übersicht über Netzwerktechnik und Kommunikation
3
Microsoft® Windows® Server 2003 – technischer Artikel
Authentifizierung und die Möglichkeit zur Auswahl unter mehreren Konfigurationsprofilen im Kontext der
aktuellen Netzwerkverbindung.
Überwachungs-Snap-In für drahtlose Verbindungen. In den Betriebssystemen der Windows Server
2003-Familie gibt es ein neues Überwachungs-Snap-In, mit dem Informationen zu drahtlosen AccessPoints (AP), der eigenen aktuellen Konfiguration als drahtloser Client und Verbindungsstatistiken
angezeigt werden können.
Kennwortbasierte Authentifizierung für sichere drahtlose Netzwerkverbindungen. Die Windows
2003-Familie unterstützt das Protected Extensible Authentication Protokoll (PEAP) für drahtlose
Netzwerke. PEAP ermöglicht eine kennwortbasierte Authentifizierungsmethode für die sichere
Anmeldung über drahtlose Verbindungen. Hierbei erfolgt bereits die Anmeldung selbst über einen
verschlüsselten Kanal, schon vor Abschluss des Authentifzierungsvorgangs. Die
Informationsübertragung bei dieser kennwortbasierten Authentifizierung bietet so keine Angriffspunkte
für wörterbuchbasierte Angriffe. Das Microsoft Challenge Handshake Authentication Protocoll in der
Version 2 (MS-CHAP v2) kann nun als EAP-Authentifizierungsverfahren verwendet werden. So muss
für eine sichere drahtlose Authentifizierung keine aufwändige Zertifikatsinfrastruktur (Public Key
Infrastructure, PKI) aufgebaut werden. Auch die Installation von Zertifikaten auf jedem Netzwerk-PC mit
drahtloser Verbindung ist nicht erforderlich. Schließlich unterstützt auch der Remote Authentication
Dial-in User Service (RADIUS)-Server (der so genannte Internet Authentication Service (IAS)) das
PEA-Protokoll.
Erweiterungen der Gruppenrichtlinien zum Einsatz von drahtlosen Netzwerken. Eine neue
Gruppenrichtlinienerweiterung für drahtlose Netzwerke (IEEE 802.11) ermöglicht die Konfiguration von
drahtlosen Netzwerkeinstellungen als Teil der computerspezifischen Richtlinien. Diese beinhalten eine
Liste der bevorzugten Netzwerke, Angaben zur Datenverschlüsselung (Wired Equivalent Privacy, WEP)
und IEEE 802.1x-Einstellungen. Die Vorgaben werden an die Mitglieder einer Domäne verteilt. Damit
ist es sehr einfach, zentral eine spezielle Konfiguration für den sicheren Zugriff von drahtlosen Clients
bereit zu stellen. Die Konsole für die Konfiguration von Richtlinien für drahtlose Netzwerke finden Sie
unter Computerkonfiguration/WindowsEinstellungen/Sicherheitseinstellungen/Drahtlosnetzwerkrichtlinien (IEEE 802.11) im GruppenrichlinienSnap-In.
Zugriffe für nichtauthentifizierte Verbindungen von drahtlosen Clients. Sowohl die zur Windows
Server 2003-Familie gehörende Software für drahtlose Clients als auch der IAS unterstützen die
Möglichkeit von nichtauthentifizierten drahtlosen Verbindungen. In diesem Fall wird Extensible
Authentication Protocol Level Security (EAP-TLS) zur einseitigen Bestätigung des IAS-Serverzertifikats
verwendet. Der drahtlose Client sendet keinen Benutzernamen oder Anmeldeinformationen. Um diese
Art der Anmeldung zu ermöglichen, müssen Sie die Option Als Gast authentifizieren, wenn Benutzeroder Computerinformationen nicht verfügbar sind aus der Registerkarte Authentifizierung der
Eigenschaften für die drahtlose Netzwerkverbindung im Ordner Netzwerkverbindungen konfigurieren.
Um einen anonymen Zugriff für IAS-Server zu konfigurieren, müssen Sie das Gast-Benutzerkonto
aktivieren und über eine Remote-Access-Richtlinie den nichtauthentifizierten Zugriff für EAP-TLSVerbindungen zulassen. Dabei ist eine Gruppe zu verwenden, die das Gast-Benutzerkonto enthält. Mit
dieser Richtlinie kann auch eine virtuelle Netzwerkkennung (VLAN ID) angegeben werden, die dem
temporären Netzwerksegment für nichtauthentifizierte Benutzer entspricht.
Die beschriebenen Erweiterungen in Windows Server 2003 ermöglichen beispielsweise folgende
Szenarien:
Technische Übersicht über Netzwerktechnik und Kommunikation
4
Microsoft® Windows® Server 2003 – technischer Artikel
Mobile Benutzer auf einem Flughafen können sichere Verbindungen ins Internet über drahtlose oder
Ethernetverbindungen herstellen.
Netzwerkadministratoren können mit Unterstützung des Betriebssystems einen sicheren Zugriff auf ein
drahtloses Netzwerk konfigurieren. Zertifikate können nun automatisch eingerichtet werden, indem die
hierfür erforderliche Benutzerautorisierung mithilfe einer Remote-Access-Gruppenrichtlinie durch den
IAS sichergestellt wird.
Es ist nun möglich, Benutzeranmeldung und Authentifizierung für kabelbasierte Ethernetnetzwerke
ohne Verwendung von zusätzlichen Verschlüsselungsprotokollen abzusichern.
Weitere Informationen finden Sie im Abschnitt "IAS" dieses Artikels.
Erweiterungen im Bereich Routing und Remote Access Service (RAS)
Folgende Erweiterungen betreffen die Bereiche Routing und Remote Access Service für die Windows
Server 2003-Familie:
Erweiterung in der Verwaltungskonsole und im Einrichtungsassistenten
Mit dem verbesserten Einrichtungsassistenten für die Einrichtung des Routing- und Remote AccessServers ist die Inbetriebnahme nun schneller zu bewerkstelligen. Auch das Routing- und Remote
Access-Snap-In der Verwaltungskonsole unterstützt nun besser die Konfiguration der
Servereinstellungen nach Installation des Dienstes.
Neue Konfigurationsoptionen für EAP-TLS-Eigenschaften
Das Dialogfeld für Eigenschaften von Smartcard oder andere Zertifikate erlaubt die Konfiguration
mehrerer RADIUS-Server und mehrerer Root-Zertifizierungsstellen. So können Netzwerke, die aus
mehreren drahtlosen oder verkabelten Teilnetzen bestehen, oder auch große Netzwerke mit mehreren
RADIUS-Servern für eine transparente Nutzung konfiguriert werden. Das Dialogfeld Eigenschaften von
Smartcard oder anderes Zertifikat finden Sie in der Registerkarte Sicherheit des Eigenschaften-Dialogs
einer Netzwerkverbindung (diese finden Sie in der Systemsteuerung unter Netzwerkverbindungen).
NetBIOS über TCP/IP Namensauflösungsproxy
Ein neuer Proxy für das NetBIOS über TCP/IP (NetBT)-Protokoll wurde in den Routing und Remote
Access Service (RAS) integriert. Wenn Clients eine drahtlose Verbindung zu einem Netzwerk mit einem
oder mehreren Subnetzen an einem Windows Server 2003 (dem Remote Access Server-Computer) als
Router aufbauen, kann die Namensauflösung ohne Verwendung eines DNS (Domain Name System)oder WINS (Windows Internet Name Service)-Servers erfolgen.
Diese neue Funktion erlaubt es gerade kleineren Unternehmen, Remote-Access- oder VPN-Server zu
konfigurieren, so dass die Mitarbeiter auch von zuhause aus zugreifen können. Mit aktiviertem NetBTProxy können Remoteclients auch ohne Bereitstellung eines DNS- oder WINS-Servers die Namen der
Computer innerhalb des Unternehmensnetzwerks auflösen.
Integration der Routing- und Remote Access Service-Einstellungen in der Serververwaltung
Die Konfiguration der NAT/Standard-Firewall-Komponente des Routing- und Remote Access Services
geschieht über die allgemeine Verwaltungskonsole eines Windows Server 2003 Servers. Die
vollständige Konfiguration eines Servers beinhaltet somit in einem Vorgang auch die Einrichtung des
Routing- und des Remote Access Services sowie der NAT- und Standard-Firewall-Komponenten.
Technische Übersicht über Netzwerktechnik und Kommunikation
5
Microsoft® Windows® Server 2003 – technischer Artikel
Nutzung der internen Schnittstelle des Routing- und Remote Access Services als private
Schnittstelle für NAT (Network Adress Translation)
Wenn ein Windows 2000 Server eine Einwahlmöglichkeit in ein privates Intranet bereitstellt und
gleichzeitig als Network Address Translator (NAT) aus diesem Intranet heraus eine Internetverbindung
realisiert, dann konnten bisher über Remote Access verbundene Clients diese Internetverbindung nicht
nutzen. Mit Windows Server 2003 ist es nun möglich, auch remoteverbundenen Benutzern den Zugriff
auf das Internet zu ermöglichen. Hierzu wird die interne Schnittstelle als private Schnittstelle der NATKomponente des Routing- und Remote Access Services hinzugefügt.
Verbindungen mit der Einstellung Wählen bei Bedarf können nun auch PPPoE nutzen
Für Wählverbindungen, die bei Bedarf hergestellt werden, kann das Point-to-Point Protocol over
Ethernet (PPPoE) verwendet werden (etwa für aDSL-Verbindungen). Der Routing- und Remote Access
Service stellt über Wählverbindungen Punkt-zu-Punkt-Verbindungen zwischen Netzwerken her, um
darüber Pakete zu routen. Diese Funktion wird mit der Option Verbindung über PPP-over-Ethernet
(PPPoE) herstellen im Assistent für eine Schnittstelle für Wählen bei Bedarf bei der Auswahl des
Schnittstellentyps aktiviert.
Durch das Zulassen von PPPoE als Verbindungstyp für Schnittstellen für Wählen bei Bedarf kann ein
kleines Unternehmen die NAT/Internetverbindungsfirewall-Komponente für den Routing- und Remote
Access Service in Verbindung mit der Breitband-Internetverbindung nutzen, um sich mit dem Internet
zu verbinden.
Interne und Internet-Schnittstellen
Um Probleme bei der Auflösung von Namen eines VPN-Servers zu lösen und um auf Dienste, die auf
dem VPN-Server ausgeführt werden, zugreifen zu können, deaktiviert der Routing- und Remote Access
Service standardmäßig die dynamische DNS-Registrierung für die interne Schnittstelle; ferner
deaktiviert er sowohl die dynamische DNS als auch NetBIOS over TCP/IP (NetBT) für die Schnittstelle,
die vom Setup-Assistenten als Internet-Schnittstelle erkannt wurde.
VPN-Verbindungen für Windows Server 2003, Web-Edition
Für die Web-Edition von Windows Server 2003 wurde die Anzahl der zugelassenen VPN-Verbindungen
auf eine beschränkt (dies kann entweder eine Point-to-Point-Protocol (PPTP)- oder eine Layer Two
Tunneling Protocol (L2TP)-basierte Verbindung sein). Dabei handelt es sich um die gleiche
Einschränkung, die auch innerhalb von Windows XP Professional und Windows XP Home-Edition
existiert. Möchten Sie mehr als nur eine VPN-Verbindung unterstützen, müssen Sie Windows Server
2003 Standard-, Enterprise- oder Datacenter-Edition einsetzen.
NAT- und Firewall-Integration
Die NAT/Internetverbindungsfirewall-Komponente des Routing- und Remote Access Services wurde
erweitert. Sie unterstützt nun einen Internetverbindungsfirewall auf Grundlage der gleichen Technologie
wie bei Windows XP. Diese Funktion erlaubt es Ihnen, die öffentliche Schnittstelle eines Computers mit
einem Windows Server 2003-Betriebssystem zu schützen, der über einen Network Address Translator
(NAT) einen Zugriff auf das Internet ermöglicht. Durch die Nutzung von NAT werden die Computer auf
der privaten Netzwerkseite gesichert, da der NAT-Computer Daten aus dem Internet nur dann
weiterleitet, wenn ein Client aus dem privaten Netzwerk sie anfordert. Allerdings bleibt der NATComputer selbst angreifbar. Durch Aktivierung des Internetverbindungsfirewalls auf der öffentlichen
Schnittstelle des NAT-Computers werden alle Pakete gelöscht, die an der Internetschnittstelle
Technische Übersicht über Netzwerktechnik und Kommunikation
6
Microsoft® Windows® Server 2003 – technischer Artikel
entgegengenommen werden und nicht vom NAT-Computer oder von einem Computer aus dem
privaten Intranet angefordert wurden.
Sie können diese Funktion aus der Eigenschaften-Registerkarte für die NAT/Internetverbindungsfirewall
einer privaten Schnittstelle aktivieren, die für die Nutzung der NAT/Internetverbindungsfirewall-IPRoutingprotokoll-Komponente des Routing- und Remote Access Services konfiguriert ist
L2TP/IPSec NAT-Weiterleitung
Unter Windows 2000 war es nicht möglich, Internet Key Exchange (IKE) und Encapsulating Security
Payload (ESP)-Pakete über NAT laufen zu lassen, da NAT die Adressen oder Ports der Pakete
übersetzte und die Pakete dadurch ungültig wurden. Mit Windows konnten Sie keine L2TP/IPSecVerbindung von einem Rechner aus aufbauen, der über einen NAT geroutet wird; es war daher
notwendig, als Lösung Point-to-Point Tunneling-Protocol (PPTP) für VPN-Verbindungen einzusetzen.
Die Windows Server 2003-Familie unterstützt nun die UDP-Kapselung von Internet Protocol security
(IPSec)-Paketen, um IKE oder ESP-Daten durch den NAT weiterzuleiten. Dies ermöglicht L2TP/IPSecVerbindungen auch über eine oder mehrere NATs von Windows XP- oder Windows 2000 Professionalbasierten Computern und von Servern, die ein Betriebssystem der Windows Server 2003-Familie
ausführen.
Die Weiterleitung von IPSec-Daten in der Windows Server 2003-Familie durch NAT wird in „UDP
Encapsulation of IPSec Packets“ (draft-ietf-ipsec-udp-encaps-02.txt) und „Negotiation of NAT-Traversal
in IKE“ (draf-ietf-ipsec-nat-t-ike-02.txt) erläutert.
NLB-Unterstützung für L2TP/IPSec-Verkehr
Unter Windows 2000 hatte der Netzwerklastenausgleichdienst (Network Load Balancing, NLB) nicht die
Möglichkeit, IPSec-Sicherheitszuordnungen (SAs) für verschiedene Server zu verwalten. Wenn ein
Server innerhalb des Clusters nicht mehr zur Verfügung stand, wurden die Sicherheitszuordnungen des
Clusters nicht mehr aktualisiert und daher nach einiger Zeit ungültig. Dies bedeutete, dass Sie keine
L2TP/IPSec-VPN-Server clustern konnten. Das DNS-Rotationsprinzip (Round-Robin) konnte zum
Lastenausgleich über mehrere L2TP/IPSec-VPN-Server verwendet werden, ermöglichte aber keine
Fehlertoleranz.
In der Windows Server 2003-Familie bietet der erweiterte NLB-Dienst auch Cluster-Unterstützung für
IPSec-Sicherheitszuordnungen (SAs). Sie können nun einen Cluster von L2TP/IPSec-VPN-Servern
anlegen, wobei der NLB-Dienst sowohl Lastenausgleich als auch Fehlertoleranz für L2TP/IPSecVerkehr zur Verfügung stellt.
Diese Funktion steht nur mit den 32-Bit- und 64-Bit-Versionen der Enterprise oder Datacenter-Edition
zur Verfügung.
Konfiguration von L2TP/IPSec-Verbindungen mit vorinstallierten Schlüsseln
Die Windows Server 2003-Familie unterstützt sowohl Computerzertifikate als auch vorinstallierte
Schlüssel als Authentifizierungsmethode, um IP-Sicherheit (IPSec) in Verbindung mit L2TPVerbindungen einzurichten. Ein vorinstallierter Schlüssel ist ein Textstring, der sowohl auf dem VPNClient als auch auf dem VPN-Server hinterlegt wurde. Die Verwendung von vorinstallierten Schlüsseln
ist eine relativ schwache Authentifizierungsmöglichkeit. Diese Vorgehensweise ist empfehlenswert, um
beim Aufbau einer Public Key Infrastruktur (PKI) Computerzertifikate zu verteilen oder wenn VPNClients vorinstallierte Schlüssel zur Authentifizierung benötigen. Sie können für L2TP-Verbindungen
Technische Übersicht über Netzwerktechnik und Kommunikation
7
Microsoft® Windows® Server 2003 – technischer Artikel
vorinstallierte Schlüssel nutzen und diese in der Registerkarte Sicherheit innerhalb der Eigenschaften
eines Servers im Snap-In für den Routing- und Remote Access Service festlegen.
Windows XP und die Remote-Access-VPN-Clients der Windows Server 2003-Familie unterstützen die
Authentifizierung über vorinstallierte Schlüssel. Sie können die Authentifizierung über vorinstallierte
Schlüssel aktivieren und den vorinstallierten Schlüssel in den IPSec-Einstellungen auf der
Registerkarte Sicherheit der Eigenschaften für eine VPN-Verbindung innerhalb der
Netzwerkverbindungen konfigurieren.
Die Windows Server 2003-Familie unterstützt die Authentifizierung über vorinstallierte Schlüssel auch
bei Router-zu-Router-VPN-Verbindungen. Sie können die Authentifizierung über vorinstallierte
Schlüssel in den Eigenschaften der Schnittstelle für Wählen bei Bedarf auf der Registerkarte Sicherheit
aktivieren und den Schlüssel festlegen. Sie finden die Eigenschaften der Schnittstelle für Wählen bei
Bedarf im Routing- und Remote Access Snap-In.
Erweiterungen des Verbindungsmanagers
Der Verbindungsmanager und das Administrationsverwaltungswerkzeug für den Verbindungsmanager
wurden innerhalb der Windows Server 2003-Familie um folgende Punkte erweitert:
Favoriten im Verbindungsmanager
Die Verbindungsmanagerfavoriten ermöglichen es Benutzern, wenn sie eine Verbindung von
verschiedenen Standorten aus herstellen, auf Mehrfachkonfigurationen der Eigenschaften des
Verbindungsmanagers zu verzichten. Dies ermöglicht das einfache Speichern und den einfachen
Zugriff auf Einstellungen und kann z. B. in der nachfolgenden Situation genutzt werden:
Ein Benutzer arbeitet an häufig wechselnden Standorten, teilweise arbeitet er im Büro seines
Unternehmens, teilweise im Büro eines Geschäftspartners. Der Benutzer richtet die Standorte innerhalb
des Verbindungsmanagers ein. Er richtet auch die Rufnummer für die nächstgelegene Verbindung, die
Ortskennzahlen und die Wählregeln ein und gibt jeder Verbindung einen eindeutigen Namen. Nun kann
der Benutzer zwischen den gespeicherten Einstellungen auswählen, um schnell Netzwerkverbindungen
von jedem der Standorte aus aufzubauen.
Automatische Proxykonfiguration
Mit der automatischen Proxykonfiguration wird ein Verbindungsmanagerprofil angelegt, um für den
Benutzer immer den geeigneten Zugriff auf interne und externe Ressourcen sicherzustellen, während
er mit dem Firmennetzwerk verbunden ist. Diese Funktion erfordert den Einsatz von Internet Explorer
4.0 oder einer neueren Version.
Nehmen wir z. B. an, der Heimcomputer eines Angestellten sei so eingestellt, dass er die Verbindung
zum Internet ohne einen Proxyserver herstellt. Bei einer Verbindung mit dem Firmennetzwerk kann
diese Einstellung zu Problemen führen. Ein IT-Administrator kann in diesem Fall ein
Verbindungsmanagerprofil anlegen, das die geeigneten Proxyservereinstellungen für den Fall einer
Verbindung mit dem Firmennetzwerk bereithält.
Clientprotokolldateien
Diese Funktion ermöglicht es, Protokolldateien zu aktivieren. Protokolldateien bieten die Möglichkeit,
schnell und zuverlässig Probleme mit dem Verbindungsmanager zu beheben. Ein Client stellt z. B. fest,
dass er Probleme beim Verbinden mit einem Netzwerk hat, wenn er ein Verbindungsmanagerprofil
Technische Übersicht über Netzwerktechnik und Kommunikation
8
Microsoft® Windows® Server 2003 – technischer Artikel
nutzt, das durch einen IT-Administrator vorgeschrieben wurde. In diesem Fall kann eine Protokolldatei,
die auf dem Computer des Benutzers angelegt wird, an den Administrator gesendet werden. Dieser
kann die Protokolldatei auswerten, um die Fehlerbehebung zu vereinfachen.
Unterstützung für die Auswahl eines VPN-Servers
Mit dem Verbindungsmanager Administrations-Kit, das in Windows Server 2003 enthalten ist, kann ein
Verbindungsmanagerprofil erstellt werden, das dem Benutzer bei der Verbindung mit dem
Firmennetzwerk gestattet, einen Virtual Privat Network (VPN)-Server zu wählen. Dies erlaubt die
Benutzung von VPN-Verbindungen in folgenden Situationen:
Eine Firma unterhält weltweit Büros und betreibt an vielen dieser Orte VPN-Server. Ein IT-Administrator
kann nun für einen Benutzer, der häufig unterwegs ist, ein Verbindungsmanagerprofil anlegen, das dem
Benutzer die Auswahl desjenigen VPN-Servers erlaubt, der seine Anforderungen an die Verbindung am
besten erfüllt.
Der VPN-Server eines Unternehmens wird für Wartungsarbeiten offline genommen. In dieser Zeit
können Benutzer eine Wählverbindung zu einem anderen VPN-Server aufbauen.
Verbesserungen beim Assistenten des Verbindungsmanager-Administrations-Kits
Der Assistent des Verbindungsmanager-Administrations-Kits (CMAK) wurde in seiner Funktionalität
erweitert. Er bietet nun verbesserte Dialogfelder und die Möglichkeit für weitreichende
Anpassungsaufgaben, bevor ein Benutzerprofil erstellt wird. Die Verbesserungen erleichtern die
Erstellung eines angepassten Pakets für Clientverbindungsprofile und verringern die Notwendigkeit,
CMS- oder CMP-Dateien für weiterführende Anpassungen zu editieren. Zahlreiche
Anpassungsaktionen sind verfügbar und durch den Assistenten innerhalb des CMAK konfigurierbar.
Dies betrifft auch spezielle Anpassungsoptionen für VPN-Verbindungen. So kann ein IT-Administrator
ein einziges Profil erstellen, um die Sicherheitseinstellungen für mehrere Clientbetriebssysteme
anzupassen, oder ein Profil anlegen, um andere Funktionen des Remote Access Services zu nutzen,
wie z. B. Rückruf oder den Einsatz von Terminaldiensten.
Die Konfiguration von vorinstallierten Schlüsseln
Mit dieser Funktion kann ein IT-Administrator ein Verbindungsmanagerprofil mithilfe von CMAK
anlegen, das den vorinstallierten Schlüssel des VPN-Servers für die Authentifizierung bei L2TP/IPSecVerbindungen enthält.
Routenverwaltung bei gleichzeitigem Intranet- und Internetzugriff für VPN-Verbindungen
In älteren Betriebssystemen vor Windows XP und Windows Server 2003 legte ein Microsoft-VPN-Client
automatisch eine Route an, die den gesamten Datenverkehr der Standardroute durch den VPN-Tunnel
umleitete. Obwohl die VPN-Clients hierdurch auf das Unternehmensintranet Zugriff hatten, konnte der
Client nur bei aktiver VPN-Verbindung auf Internetressourcen zurückgreifen, wenn die VPN-Verbindung
zum Intranet des Unternehmens einen Zugriff auf das Internet gestattete. Der neue
Verbindungsmanager erlaubt nun Folgendes:
Wenn eine VPN-Verbindung aufgebaut wird, werden statt einer Änderung der Standardroute neue
Routen für den Zugriff auf die einzelnen Ressourcen des Unternehmensintranets zu den Routen des
VPN-Clients hinzugefügt. So kann der Client gleichzeitig das Intranet (anhand der hinzugefügten
Routen) und das Internet (über die Standardrouten) nutzen, ohne den Internetverkehr über das
Unternehmensintranet schleusen zu müssen.
Technische Übersicht über Netzwerktechnik und Kommunikation
9
Microsoft® Windows® Server 2003 – technischer Artikel
Das Verbindungsmanager Administrations-Kit erlaubt es Ihnen, für die VPN-Benutzer spezielle Routen
als Teil des Verbindungsmanagerprofils zu konfigurieren. Sie können auch einen Uniform Resource
Locator (URL) angeben, der eine aktuelle Zusammenstellung der Routen für das Unternehmensintranet
oder weitere Routen zusätzlich zu den im Profil konfigurierten bereithält.
Technische Übersicht über Netzwerktechnik und Kommunikation
10
Microsoft® Windows® Server 2003 – technischer Artikel
Verbesserungen der Internetkonnektivität
Die Windows Server 2003-Familie bringt im Bereich der Internetverbindung folgende Erweiterungen:
Internetverbindungsfirewall (Internet Connection Firewall, ICF)
Ist ein Computer mit dem Internet oder mit einem anderen externen Netzwerk verbunden, droht
jederzeit der unberechtigte Zugriff auf den Computer und die dort gespeicherten Daten. Ob der mit dem
externen Netzwerk verbundene Computer ein Rechner ohne weitere Netzwerkverbindungen ist, oder
ob er als Gateway für das dahinter liegende Netzwerk fungiert (z. B. wenn die
Internetverbindungsfreigabe genutzt wird), ist für den Einsatz einer Firewall gleichgültig. Eine Firewall
bietet Ihrem Heimnetzwerk in jedem Fall Schutz vor unsicherem Netzwerkverkehr und lässt den
gewünschten Datenverkehr passieren.
Die Windows Server 2003-Familie bietet Ihren Computern und Heimnetzwerken (die entsprechend
miteinander verbunden sind) den Schutz der Internetverbindungsfirewall (Internet Connection Firewall,
ICF).
ICF wird automatisch für Wählverbindungen und Breitbandverbindungen aktiviert, wenn der Assistent
für neue Verbindungen ausgeführt wird. Er richtet den Firewall ein und nimmt Einstellungen vor, die mit
den meisten Netzwerken funktionieren. Der Firewall kann im Ordner für die Netzwerkverbindungen
auch manuell aktiviert bzw. deaktiviert werden.
ICF überwacht den Datenverkehr, der innerhalb des Firewalls initiiert wird, und entscheidet auf dieser
Grundlage, welcher Verkehr von außen zugelassen werden soll, wobei von außerhalb initiierte Pakete
vom Firewall standardmäßig nicht zugelassen werden. Wenn Sie Dienste oder Programme (wie z. B.
einen Webserver) hinter dem Firewall ausführen, können die Einstellungen der ICF Ihren Bedürfnissen
entsprechend angepasst werden.
ICF kann zum Schutz einer Remote-Access-Verbindung genutzt werden, wenn ein Internet Service
Provider (ISP) direkt angewählt wird, oder zum Schutz einer Netzwerkverbindung, die über eine Digital
Subscriber Line (DSL) oder ein Kabelmodem besteht.
Dieses Feature steht nur in den 32-Bit-Versionen der Standard-, Enterprise- oder Web-Edition zur
Verfügung.
Erweiterungen bei den Netzwerkverbindungen
Die folgenden Erweiterungen wurden im Bereich der Netzwerkverbindungen in der Windows Server
2003-Familie eingeführt:
Aktualisierte Gruppenrichtlinien für Netzwerk- und Wählverbindungen
Diese Funktion ermöglicht mithilfe von Gruppenrichtlinien die Sperrung oder Freigabe von
Komponenten der Netzwerkfunktionalität für Benutzer mit den Betriebssystemen Windows XP
Professional oder Windows Server 2003. Dies ist in folgenden Situationen hilfreich:
Ein IT-Administrator kann einen Benutzer zum Mitglied der Netzwerkkonfigurations-Operatoren
machen. Damit erhält der Benutzer Zugriff auf die Transmission Control Protocol/Internet Protocol
(TCP/IP)-Eigenschaften einer Netzwerkverbindung und kann seine IP-Adressen konfigurieren.
Technische Übersicht über Netzwerktechnik und Kommunikation
11
Microsoft® Windows® Server 2003 – technischer Artikel
Als Mitglied der lokalen Administratorengruppe eines Computers kann der Benutzer ICS (Internet
Connection Sharing, Internetverbindungsfreigabe), ICF (Internet Connection Firewall,
Internetverbindungsfirewall) und Netzwerkbrücken aktivieren sowie die Eigenschaften einer
Netzwerkverbindung konfigurieren. Das Aktivieren oder Konfigurieren dieser Funktionen könnte jedoch
die Netzwerkverbindungen stören. Daher kann der IT-Administrator über Richtlinien einen lokalen
Administrator von der Konfiguration dieser Funktionen abhalten.
Point-to-Point Protocol over Ethernet-Client für Breitbandverbindungen
Die Windows Server 2003-Familie bietet die Möglichkeit, Verbindungen unter Verwendung des Pointto-Point Protocol over Ethernet (PPPoE) anzulegen. Die Nutzung von PPPoE und einer
Breitbandinternetverbindung wie DSL oder Kabelmodem erlaubt dem Benutzer einen individuellen
authentifizierten Zugriff auf Hochgeschwindigkeitsnetze. In früheren Versionen von Windows mussten
die Benutzer Software installieren, die von dem jeweiligen ISP zur Verfügung gestellt wurde. Nun wurde
diese Unterstützung direkt in das Betriebssystem integriert.
Die PPPoE-Client-Unterstützung ermöglicht folgende Szenarien:
Ein Benutzer, der zu Hause über eine Breitbandverbindung verfügt und für die Internetverbindung eine
PPPoE-Anmeldung benötigt, kann nun mit dem PPPoE-Client und dem neuen
Verbindungsmanagerassistenten ohne Installation weiterer Software sofort eine Internetverbindung
anlegen.
Ein IT-Administrator kann mit dieser Funktion den Zugriff auf das interne Netzwerk sicherer gestalten.
Er kann mit PPPoE alle Zugriffe auf das Netzwerk authentifizieren, die von öffentlich zugänglichen
Orten innerhalb des Unternehmens (z. B. von Konferenzräumen oder Vorzimmern) erfolgen.
Die Integration dieser Funktionen in die Windows Server 2003-Familie erlaubt den Einsatz anderer
Funktionen wie z. B. ICS (für die gemeinsame Nutzung Ihrer Breitbandverbindung durch andere
Computer) oder ICF (für das Sichern der PPPoE-Verbindung vor Angriffen aus dem Internet). Die
PPPoE-Verbindung kann auch aus dem Internet Explorer und anderen Windows-Komponenten und
Anwendungen ausgewählt werden.
Technische Übersicht über Netzwerktechnik und Kommunikation
12
Microsoft® Windows® Server 2003 – technischer Artikel
Weitere Netzwerkzugriffsmöglichkeiten
Im Bereich der Netzwerkzugriffsmöglichkeiten bietet die Windows Server 2003-Familie folgende
Erweiterungen:
Netzwerkbrücken
Wenn ein Netzwerk in einem kleinen Unternehmen oder zu Hause aufgebaut wird, kann es vereinzelt
vorkommen, dass ein Netzwerkmedium in einem Abschnitt des Netzwerks funktioniert, aber nicht in
einem anderen. So können z. B. einige Computer, die in der Nähe von Telefonverteilern aufgestellt
sind, eine Telefonleitung zur Netzwerkverbindung nutzen. Andere Computer sind vielleicht zu weit
entfernt und müssen für den Aufbau einer Verbindung andere Mittel wie z. B. eine drahtlose
Netzwerkverbindung nutzen. Die zahlreichen Verbindungsmöglichkeiten, die von der Windows Server
2003-Familie unterstützt werden, sind u. a. Ethernet, Telefonleitungen, IEEE 802.11b drahtlose
Verbindungen und IEEE 1394-FireWire-Verbindungen.
Computer, die mit einer Art von Netzwerktechnik untereinander kommunizieren, bilden ein
Netzwerksegment. Normalerweise würde die Verbindung dieser Netzwerksegmente über TCP/IP das
Konfigurieren von unterschiedlichen Subnet-Adressen und Routern erfordern. Die Netzwerkbrücke
ermöglicht es, dass Computer mit Windows Server 2003 verschiedene Netzwerksegmente
überbrücken, um so ein einziges Subnetz zu erzeugen. Das Überbrücken verschiedener
Netzwerksegmente auf einem Brückencomputer geschieht einfach durch die Auswahl von mehreren
Verbindungen innerhalb des Ordners Netzwerkverbindungen – es genügt ein Klick mit der rechten
Maustaste auf eine Verbindung und danach ein Klick auf Verbindungen überbrücken innerhalb des
Kontextmenüs.
So entsteht aus einem einzigen, einfach zu verwaltenden Subnetz ein Netzwerk, das alle beteiligten
Netzwerkmedien zusammenführt. Der Brückencomputer erkennt und aktualisiert alle benötigten
Informationen. So weiß er, welche Computer in welchem Netzwerksegment zu finden sind, und leitet
die Datenpakete entsprechend weiter.
Remote Access nutzt den “Schlüsselbund”(Key Ring) zur Verwaltung von
Anmeldeinformationen
Die Windows Server 2003-Familie besitzt eine Funktion, die man als “Schlüsselbund” (Key Ring) zur
Verwaltung von Anmeldeinformationen bezeichnen könnte. Dieser „Schlüsselbund“ speichert
verschiedene Anmeldeinformationen nach erstmaliger Verwendung. Dies erlaubt Ihnen den
gleichzeitigen Zugriff auf verschiedene Netzwerke (mit unterschiedlichen Anmeldeinformationen,
bestehend aus Benutzername und Passwort), ohne dass Sie immer wieder aufgefordert werden, die
Anmeldeinformationen neu einzugeben. Informationen über die Netzwerkressourcen, mit denen Sie
verbunden sind (wie Servername und Domänen-Name) werden dazu benutzt, die richtigen
Anmeldeinformationen auf dem „Schlüsselbund“ auszuwählen. Remote Access nutzt diesen
„Schlüsselbund“ und fügt bei jeder Wähl- oder VPN-Verbindung temporäre Anmeldeinformationen zu
diesem „Schlüsselbund“ hinzu. Diese Anmeldeinformationen umfassen den Benutzernamen und das
Passwort, die beim Aufbau dieser Verbindung benutzt wurden, da diese Informationen häufig auch für
den Zugriff auf die einzelnen Ressourcen des Netzwerks notwendig sind. So können Sie auf ein
Remotenetzwerk zugreifen und gleichzeitig die Ressourcen im Remotenetzwerk und ihrem lokalen
Netzwerk ohne sichtbare Unterschiede beim Zugriff nutzen.
Technische Übersicht über Netzwerktechnik und Kommunikation
13
Microsoft® Windows® Server 2003 – technischer Artikel
Verwendung einer Anmeldeidentität für alle Benutzer beim Remote-Zugriff
Mit dieser Funktion werden verschiedene Anmeldeinformationen, darunter Benutzername und
Passwort, einmal eigegeben und dann für alle Benutzer eines Computers zur Verfügung gestellt.
Wenn z. B. ein Benutzer über eine Verbindung von zu Hause zu einem lokalen ISP verfügt, gibt er
während der Ausführung des Assistenten für neue Verbindungen an, ob diese Verbindung allen
Benutzern zur Verfügung stehen soll und speichert dann seine Anmeldeinformation für alle Benutzer.
Andere Familienmitglieder können diese Verbindung nun benutzen, ohne den Benutzernamen oder das
Passwort für die Verbindung mit dem ISP zu kennen.
Unterstützung für das Internetprotokoll über IEEE 1394 (IP/1394)
Die Windows Server 2003-Familie unterstützt das Senden und Empfangen von TCP/IP-Paketen über
das IEEE 1394-Medium, eine serielles Bussystem, das Geschwindigkeiten über 100 bis 400 Mbps
erlaubt. IEEE 1394 wird normalerweise dazu benutzt, Audio- oder Video-Geräte mit dem Computer zu
verbinden. Die Unterstützung von IEEE 1394 beinhaltet auch die Nutzung von IEEE 1394-Frames für
die Netzwerkbrückenfunktionalität. Weiterführende Informationen finden Sie unter RFC 2734.
Eine IEEE 1394-Verbindung muss nicht speziell konfiguriert werden. Sie wird automatisch erkannt und
konfiguriert.
Technische Übersicht über Netzwerktechnik und Kommunikation
14
Microsoft® Windows® Server 2003 – technischer Artikel
Änderungen in den Protokollen
TCP/IP – Änderungen und Erweiterungen
Die nachfolgenden Änderungen und Erweiterungen wurden am TCP/IP-Protokoll in der Windows
Server 2003-Familie durchgeführt:
TCP/IP-Protokoll kann nicht entfernt werden
Das TCP/IP-Protokoll (das als Internetprotokoll (TCP/IP) in den Eigenschaften einer Verbindung im
Ordner Netzwerkverbindungen aufgeführt ist) wird standardmäßig installiert und kann nicht entfernt
werden. Früher konnten Fehler im Zusammenhang mit dem TCP/IP-Protokoll durch eine
Neuinstallation des Protokolls behoben werden. Bei Windows Server 2003 bedarf es einer anderen
Vorgehensweise: Stattdessen können Sie nun mit einem neuen netsh-Befehl die TCP/IP-Einstellungen
auf die Installationsvorgaben zurücksetzen. Weiterführende Informationen finden Sie im Abschnitt
Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten.
Automatischer Wechsel der Konfiguration für die Verbindung mit mehreren Netzwerken
Alternative Konfigurationen erlauben Ihnen, manuell statische TCP/IP-Einstellungen einzutragen. Diese
Einstellungen werden benutzt, wenn der Computer zur Nutzung des Dynamic Host Configuration
Protocols (DHCP) als Client konfiguriert ist, aber kein DHCP-Server beim Start des Computers
gefunden wird. Bei Computern mit Windows 2000, Windows 98 und Windows Millennium Edition weist
Automatic Private IP Addressing (APIPA) einem Computer, der als DHCP-Client konfiguriert ist und
keinen DHCP-Server finden kann, automatisch eine eindeutige Adresse im Adressbereich 169.254.0.0
(Subnetz-Maske 255.255.0.0) zu. APIPA erlaubt zwar die Initialisierung des TCP/IP-Stacks durch die
automatische Adressvergabe, trägt aber keine Standard-Gateway-Adresse, keine Domain Name
System (DNS)-Serveradresse oder andere wichtigen Einstellungen für die Kommunikation in einem
Intranet oder Internet ein. Die alternative Konfiguration ist in Situationen hilfreich, in denen der
Computer in mehreren Netzwerken verwendet wird und eines dieser Netzwerke über keinen DHCPServer verfügt, eine APIPA-Adressenzuweisung aber nicht erwünscht ist.
Ein Beispiel für die Anwendungsmöglichkeiten der automatischen Konfiguration: Ein Benutzer setzt
einen Laptop im Büro und zu Hause ein. Im Büro erhält der Computer seine TCP/IP-Konfiguration von
einem DHCP-Server. Zuhause jedoch existiert kein DHCP-Server. Hier benutzt der Laptop automatisch
die alternative Konfiguration, die einen einfachen Zugriff auf das Netzwerk daheim sowie das Internet
erlaubt. Über diese alternative Konfiguration müssen Sie die TCP/IP-Einstellungen nicht manuell
konfigurieren, wenn der Laptop entweder mit dem Firmennetzwerk oder dem Netzwerk zu Hause
verbunden ist.
Sie können die alternativen TCP/IP-Konfigurationen auf der Registerkarte Erweiterte TCP/IPEinstellungen in den Eigenschaften einer Netzwerkverbindung im Ordner für Netzwerkverbindungen
einstellen.
Netsh-Befehl für das Zurücksetzen von TCP/IP-Standardwerten
Ein neuer netsh-Befehl in der Windows Server 2003-Familie erlaubt es, Ihre TCP/IP-Konfiguration auf
Standardwerte zurückzusetzen. Der neue Befehl lautet netsh interface ip reset und kann von der
Befehlszeile ausgeführt werden.
Technische Übersicht über Netzwerktechnik und Kommunikation
15
Microsoft® Windows® Server 2003 – technischer Artikel
In früheren Versionen von Windows konnten Sie das Internet Protokoll (TCP/IP) entfernen und neu
installieren und auf diese Weise die TCP/IP-Konfiguration auf Standardwerte zurücksetzen. Bei
Windows Server 2003 wird TCP/IP standardmäßig installiert und kann nicht entfernt werden. Diese
Funktion ist für IT-Administratoren hilfreich, wenn sie feststellen, dass die Benutzer durch Verstellen der
TCP/IP-Einstellungen eine ungültige Konfiguration herbeigeführt haben.
Neue Netstat-Option, um den Besitzer eines Ports anzuzeigen
Eine neue Option wurde in das Netstat-Tool integriert, um aktive TCP-Verbindungen und die jeweils
dazugehörigen Process Identifier (PID) anzuzeigen. Sie können eine Anwendung mithilfe des PIDs im
Windows Task-Manager in der Registerkarte Prozesse finden. Standardmäßig wird der PID allerdings
nicht angezeigt. Hierfür müssen Sie den Windows Task-Manager konfigurieren. Klicken Sie auf das
Menü Ansicht und wählen Sie dort Spalten auswählen…. Wählen Sie dann die Option PID (Prozess-ID)
aus und klicken Sie anschließend auf OK.
IGMP Version 3
IGMP Version 3 erlaubt die Auswertung von Multicast-Gruppenzugehörigkeiten anhand der UrsprungsIPs. Hosts können entweder Multicastverkehr von einer Reihe von explizit angegebenen Absendern
zulassen oder von allen Absendern mit einigen Ausnahmen. Das absenderabhängige Reporting
verhindert, dass multicastfähige Router Multicastpakete in ein Subnet weiterleiten, in dem keine Hosts
Daten dieses Absenders akzeptieren. IGMP Version 3 wird standardmäßig aktiviert und benötigt keine
Konfiguration.
Automatische Bestimmung der Routingmetrik durch die Geschwindigkeit der Netzwerkkarte
Diese Funktion erlaubt es dem TCP/IP-Protokoll, die Routingmetrik für Routen, die über die TCP/IPKonfiguration zur Verfügung steht, auf der Grundlage der Geschwindigkeit der damit
zusammenhängenden Netzwerkkarten automatisch festzulegen. So haben Routen, die von einer
TCP/IP-Konfiguration einer 10 Mbps-Ethernetkarte stammen, eine Metrik von 30, und Routen, die von
einer TCP/IP-Konfiguration einer Netzwerkkarte mit 100 Mbps stammen, eine Metrik von 20.
Diese Funktion ist nützlich, wenn Sie mehrere Netzwerkkarten mit unterschiedlichen Geschwindigkeiten
so konfiguriert haben, dass diese den gleichen Standardgateway nutzen. In diesem Fall hat die
schnellste Netzwerkkarte die niedrigste Metrik für die Standardroute und wird deshalb für das Senden
von Verkehr an diesen Standardgateway genutzt. Wenn mehrere Karten mit der gleichen
Geschwindigkeit existieren, wird die Netzwerkkarte, die als erste in den Bindungen aufgeführt ist,
benutzt, um den Verkehr auf das Standardgateway zu leiten.
Die automatische Bestimmung der Metrik für Netzwerkkarten wird standardmäßig durch die Option
Automatische Metrik auf der Registerkarte IP-Einstellungen der erweiterten TCP/IP-Einstellungen in
den Eigenschaften des Internetprotokolls (TCP/IP) einer Verbindung im Ordner Netzwerkverbindungen
aktiviert.
Größe des TCP-Empfangsfensters wird durch die Netzwerkkarte festgelegt
Die Fenstergröße definiert die maximale Anzahl an Bytes, die ohne ein Acknowledgement (d.h. ohne
Warten auf eine positive Bestätigung) gesendet werden kann. Auf einer langsamen Wählverbindung
entspricht diese Fenstergröße meist der Größe der Warteschlange (Queue) auf dem Remote Access
Server. Ist die Warteschlange mit TCP-Segmenten von einer TCP-Verbindung gefüllt, kann keine neue
TCP-Verbindung hergestellt werden, bis alle Pakete gesendet sind. Die Situation wird bei neuen
Verbindungen noch durch den slow start-Algorithmus verschlimmert. Mit Windows Server 2003 passt
Technische Übersicht über Netzwerktechnik und Kommunikation
16
Microsoft® Windows® Server 2003 – technischer Artikel
der Quality of Service (QoS) Packet-Planer auf einem Computer mit ICS die vorgeschlagene
Fenstergröße abhängig von der Geschwindigkeit der Wählverbindung an. Dies reduziert die Tiefe der
Warteschlange des Remote Access Servers und verbessert die Qualität neuer Verbindungen.
In einem privaten Netzwerk sind alle Computer normalerweise mit einer schnellen Verbindung
untereinander verbunden und greifen über einen Computer mithilfe von ICS auf das Internet zu. Der
ICS-Computer ist mit dem Internet über eine Wählverbindung verbunden. Wenn ein Computer eine
große Datei herunterlädt, haben einige Computer deutliche Leistungseinbußen beim Zugriff auf das
Internet (zum Beispiel beim Einsatz eines Webbrowsers). Mit Windows Server 2003 ist die
Benutzerwahrnehmung der Reaktionszeiten neuer Internet TCP-Verbindungen von einem dieser
weiteren Computer spürbar positiver.
Diese Funktion wird standardmäßig nur aktiviert, wenn ICS eingesetzt wird. Sie muss nicht zusätzlich
konfiguriert werden.
IPv6 Protokoll-Stack
Die Windows Server 2003-Familie verfügt über einen neuen IPv6 Protokoll-Stack, der für den
Produktiveinsatz entwickelt wurde. Er bietet folgende Funktionen:

Windows Sockets-Unterstützung

6to4-Tunneling

Intrasite Automatic Tunnel Adressing Protocol

PortProxy

Standortüräfixe in Routeradvertisements

DNS-Unterstützung

Unterstützung von IPSec

Anwendungsunterstützung für IPv6-kompatible Applikationen

RPC-Unterstützung

Unterstützung statischer Router.
In den nachfolgenden Abschnitten werden die Einzelheiten dieser Funktionen beschrieben.
Windows Sockets-Unterstützung
Die Windows Server 2003-Familie unterstützt die neuen Windows Sockets-Funktionen GetaddrInfo()
und GetNameInfo(). Mit diesen Funktionen kann, wie in RFC 2553 näher beschrieben, eine numerische
Adresse in einen Klartextnamen und ungekehrt ein Klartextname in eine numerische Adresse aufgelöst
werden. Mit diesen Funktionen können Sie Ihre Windows Sockets-Anwendungen unabhängig von Ihrer
aktuellen Version des IP (IPv4 oder IPv6) machen. Dadurch werden die Funktionen Gethostbyname()
und Getaddrbyname() ersetzt. Weiterführende Informationen über die Anpassung von Anwendungen
zur Unterstützung von IPv4 und IPv6 finden Sie im Whitepaper "Adding IPv6 Capability to Windows
Sockets Applications".
Technische Übersicht über Netzwerktechnik und Kommunikation
17
Microsoft® Windows® Server 2003 – technischer Artikel
6to4-Tunneling
Die Implementierung des 6to4-Tunnelings folgt der Spezifikation nach RFC 3056. Als Komponente des
IPv6-Protokolls der Windows Server 2003-Familie erlaubt 6to4 automatisches Tunneling und IPv6Konnektivität zwischen IPv6/IPv4-Hosts über ein IPv4-Intranet. 6to4-Hosts benutzen IPv6-Adressen,
die von IPv4 öffentlichen Adressen abgeleitet werden. Über 6to4 können IPv6-Standorte und Hosts für
ihre Internetkommunikation sowohl 6to4-basierte Adressen als auch Adressen auf der Basis von IPv4
benutzen, ohne von einem Internet Service Provider einen globalen IPv6-Adressenpräfix anzufordern
und sich mit dem IPv6-Internet zu verbinden.
Intrasite Automatic Tunnel Addressing-Protokoll
Das Intrasite Automatic Tunnel Addressing Protocol (ISATAP) ermöglicht durch Adresszuweisung und
automatisches Tunneling den IPv6/IPv4-Knoten in einer IPv4-Umgebung, IPv6 zur Kommunikation
innerhalb eines Standorts mit anderen IPv6-Knoten oder zur Internetkommunikation mit dem IPv6Internet zu verwenden. Zu ISATAP finden Sie Informationen in einem Arbeitspapier der IETF (Internet
Engeneering Task Force).
PortProxy
Die PortProxy-Komponente ermöglicht die Kommunikation zwischen Knoten oder Anwendungen, die
sich nicht über ein gemeinsames Internet Layer-Protokoll (IPv4 oder IPv6) verbinden können.
PortProxy erlaubt die Übertragung (Proxying) von TCP-Verkehr für die folgenden Konstellationen: IPv4
auf IPv4, IPv4 auf IPv6, IPv6 auf IPv6 und IPv6 auf IPv4. Zur besseren Koexistenz von IPv6 und IPv4
und Migration ermöglicht PortProxy bei der Datenübertragung folgende Konstellationen:
Ein Knoten, der nur IPv4 unterstützt, kann auf einen Knoten, der nur IPv6 unterstützt, zugreifen.
Ein Knoten, der nur IPv6 unterstützt, kann nur auf einen Knoten zugreifen, der IPv4 unterstützt.
Ein IPv6-Knoten kann auf einen Dienst zugreifen, der zwar nur IPv4 unterstützt aber auf einem
IPv6/IPv4-Knoten läuft.
Dieses letztgenannte Szenario erlaubt Computern, die das IPv6-Protokoll der Windows Server 2003Familie ausführen, den Zugriff auf Webseiten auf Windows 2000 Servern, auf denen der Internet
Informationsdienst (IIS) ausgeführt wird. Der IIS unter Windows 2000 unterstützt IPv6 nicht und kann
daher nur mit IPv4 angesprochen werden. Über PortProxy auf einem Windows Server 2003 werden
ankommende IPv6basierte Webanfragen an den Windows 2000-IIS-Server weitergeleitet, und so eine
indirekte Verbindung des IIS mit IPv6-basierten Webbrowsern ermöglicht. Der PortProxy-Server wird
mit dem Befehl netsh interface portproxy add|set|delete v4tov4|v4tov6|v6tov4|v6tov6 konfiguriert.
Sitepräfixe für Routeradvertisements
Veröffentlichte on-link-Präfixe können mit einer Standortpräfixlänge konfiguriert werden. Dazu finden
Sie Informationen in einem Arbeitspapier der IETF (Internet Engeneering Task Force) mit dem Titel
„Site prefixes in Neighbor Discovery“. Sie können mit dem Befehl netsh interface ipv6 add|set route die
Länge für ein Standortpräfix im Adressenpräfix festlegen.
Bei Empfang einer Präfix-Information-Option in Routeradvertisements, die ein Standortpräfix näher
beschreibt, wird ein Eintrag in der Standortpräfixtabelle vorgenommen. Sie können diese Tabelle
mithilfe des Befehls netsh interface ipv6 show siteprefixes anzeigen. Die Standortpräfixtabelle wird
genutzt, um nichtpassende lokale Standortadressen aus dem Verzeichnis der Adressen zu entfernen,
die durch die Windows Sockets-Funktion Getaddrinfo() zurückgegeben werden.
Technische Übersicht über Netzwerktechnik und Kommunikation
18
Microsoft® Windows® Server 2003 – technischer Artikel
DNS Unterstützung
Die Verarbeitung von Domain Name System (DNS) IPv6-Host-Records (auch unter dem Namen AAAA
oder quad-A-Ressourceneintrag) und die dynamische Registrierung von AAAA-Einträgen erfolgt, wie in
RFC 1886 “DNS Extensions to support IP version 6” beschrieben, auf dem Client durch den DNSResolver und serverseitig bei Windows Server 2003 und Windows 2000 über den DNS-Serverdienst.
DNS-Anfragen sind sowohl über IPv6 als auch über IPv4 möglich.
IPSec-Unterstützung
Die Validierung des Authentication Headers (AH) mittels eines Message Digest 5 (MD5)-Hashs wird
ebenso unterstützt wie eine Encapsulation Security Payload (ESP) mit einem NULL ESP-Header und
MD5-Hash. Es gibt dagegen keine Unterstützung von ESP-Datenverschlüsselung oder für das IKEProtokoll. IPSec-Sicherheitsrichtlinien, Sicherheitszuweisungen und Schlüsselwerte zur
Datenverschlüsselung können manuell mit dem ipsec6.exe-Tool konfiguriert werden.
Unterstützung von Betriebssystemkomponenten und Anwendungen
Systemkomponenten und Programme der Windows Server 2003-Familie, die IPv6 unterstützen, sind u.
a. der Internet Explorer, der Telnet-Client (Telnet.exe) und der FTP-Client (Ftp.exe), IIS 6.0, Datei- und
Druckerserver (Server- und Arbeitsstationsdienst), Windows MediaTM-Dienste und der
Netzwerkmonitor.
RPC-Unterstützung
Mit RPC (Remote Procedure Call) werden Funktionsaufrufe von Anwendungen an ein anderes System
innerhalb des Netzwerks geleitet. Die RPC-Komponenten innerhalb der Windows Server 2003-Familie
sind IPv6-fähig. Sie unterstützen die neue Version von Windows Sockets; damit werden für RPC
sowohl IPv4 als auch IPv6 unterstützt.
Unterstützung von IP Helper API
Die Internet Protocol Helper (IP-Helper) API kann für die Verwaltung der Netzwerkkonfiguration auf
dem lokalen Computer verwendet werden. Sie können mit dem IP-Helper programmatisch
Informationen über die Netzwerkkonfiguration des lokalen Computers abrufen und diese Konfiguration
verändern. Die IP-Helper-API bietet einen Benachrichtigungsmechanismus, der sicherstellt, dass eine
Anwendung benachrichtig wird, wenn bestimmte Aspekte der Netzwerkkonfiguration auf dem lokalen
Computer geändert werden. Die IP-Helper-API der Windows Server 2003-Familie kann nun auch
Informationen über IPv6 und dessen Komponenten liefern.
Unterstützung von statischen Routern
Ein Computer mit Windows Server 2003 kann als statischer IPv6-Router eingesetzt werden. Er leitet
Pakete zwischen Schnittstellen auf Basis der IPv6-Routingtabelle weiter. Sie können mithilfe des nesh
interface ipv6 add route-Befehls statische Routen konfigurieren. Es gibt keine IPv6-Routingprotokolle
für den Routing- und Remote Access Service.
Mit Windows Server 2003 kann ein Computer Routeradvertisements senden. Die Inhalte der
Routerankündigungen werden automatisch aus den veröffentlichten Routen der Routingtabelle
berechnet.
Nicht veröffentlichte Routen werden für das Routing zwar verwendet, werden aber nicht über
Routerankündigungen versendet. Routerankündigungen enthalten immer eine Source-Link-LayerOption und als MTU-Parameter den aktuellen Verbindungs-MTU-Wert des Interfaces des Absenders.
Technische Übersicht über Netzwerktechnik und Kommunikation
19
Microsoft® Windows® Server 2003 – technischer Artikel
Sie können diesen Wert mithilfe des Befehls netsh omterface ipv6 set interface ändern. Ein Computer
mit Windows Server 2003 wird sich nur dann als Standardrouter anbieten, wenn es eine für die
Veröffentlichung konfigurierte Standardroute gibt. Hierzu nutzt er ein Routeradvertisement mit einer
vom Wert 0 abweichenden Lebenszeit.
Kernel Mode-Verarbeitung von Webdatenverkehr
HTTP.SYS ist eine Kernel-Modus-Implementierung des client- und serverseitigen HyperText TransferProtokolls (HTTP). Diese skalierbare und effektive Implementierung von HTTP erlaubt den Einsatz der
erweiterten asynchronen I/O-Operationen von Win32® und bietet so die Möglichkeit, die Erledigung von
Anfragen und dazugehörige Antworten über sog. Completion Ports asynchron zu verarbeiten. Die
Anwendungsprogrammierschnittstelle (API) im Benutzer-Modus wird für die Clientseite über bereits
existierende APIs wie WinHTTP und.NET Framework-Klassen zur Verfügung gestellt. Die Serverseite
von HTTP.SYS wird für die Windows Server 2003-Familie bereitgestellt und von IIS 6.0 eingesetzt.
Eine vollständige Version von HTTP.SYS, die sowohl Client und Server umfasst, wird in zukünftigen
Versionen von Windows verfügbar sein.
Erweiterungen im Quality of Service (QoS)
Windows Server 2003 bietet hinsichtlich der Quality of Service (QoS)-Implementierung folgende
Erweiterungen:
TCP-Empfangsfenstergröße für Heimnetzwerke
Wenn ein lokales Netzwerk mit einem Firmennetzwerk oder einem anderen Netzwerk über eine
langsame Verbindung, z. B. eine Wählverbindung, verbunden ist, kann es beim Verkehr, der über die
Wählleitung geleitet wird, unter folgenden Bedingungen zu Wartezeiten kommen:
Wenn sich der Client, der die Daten empfängt, auf einem relativ schnellen Netzwerk (z. B. 100 Mbps
Ethernet) hinter einem ICS-Computer befindet und der Server, mit dem der Empfänger verbunden ist,
hinter dem Remote Access Server ein schnelles Netzwerk benutzt, stimmen diese
Verbindungsgeschwindigkeiten nicht mit der langsamen Verbindung zwischen Client und Server
überein. In diesem Fall ist das Empfangsfenster des Computers, der als Empfänger fungiert, zu groß
eingestellt. Diese Werte basieren auf der Geschwindigkeit der schnelleren Verbindung. Der Absender
überträgt zunächst Pakete mit einer langsamen Geschwindigkeit. Da jedoch keine Pakete verloren
gehen, wird die Geschwindigkeit soweit erhöht, bis sie beinahe die volle Fenstergröße für die Pakete
erreicht.
Dies kann die Performance anderer TCP-Verbindungen im gleichen Netzwerk beeinflussen. Hier
müssen die Pakete unter Umständen in einer großen Warteschlange warten. Wenn dann Pakete
verloren gehen, muss ein Paket mit der vollständigen Fenstergröße erneut übertragen werden, was zu
einer weiteren Verstopfung der Verbindung führt.
Die Lösung besteht darin, das Empfangsfenster eines ICS-Computers am Rand des Netzwerks
entsprechend der Geschwindigkeit der Verbindung zu verkleinern und die erhaltenen Einstellungen des
Empfängers zu ignorieren. Diese Einstellung wirkt sich nicht nachteilig auf die Bandbreite aus, da die
Fenstergröße genau so eingestellt wird wie in dem Fall, wenn der Empfänger direkt über die langsame
Verbindung mit dem Sender verbunden wäre. Der QoS-Packet-Scheduler des Systems mit der
Internetverbindungsfreigabe nimmt die entsprechenden Anpassungen der Fenstergröße vor.
Technische Übersicht über Netzwerktechnik und Kommunikation
20
Microsoft® Windows® Server 2003 – technischer Artikel
Weiterführende Information über den QoS-Paketplaner finden Sie in der Windows XP-Hilfe. Weitere
Informationen bietet die Windows 2000-Netzwerk- und Kommunikationsdienste Website unter
http://www.microsoft.com/windows2000/technologies/communications/default.asp.
Technische Übersicht über Netzwerktechnik und Kommunikation
21
Microsoft® Windows® Server 2003 – technischer Artikel
Verbesserte Unterstützung von Netzwerkgeräten
Windows Server 2003 bietet folgende Verbesserungen bei der Unterstützung von Netzwerkgeräten:
Kapselung der permanenten virtuellen Verbindung
Die Windows Server 2003-Familie bietet eine Implementierung von RFC 2684, wodurch die
Implementierung von DSL für die Hersteller vereinfacht wurde. Hierzu wird ein zwischengeschalteter
NDIS-Treiber verwendet, der nach außen wie eine Ethernetschnittstelle aussieht, aber eine
permanente virtuelle Verbindung (PVC) über DSL/Asynchronous Transfer Mode (ATM) zum Transport
von Ethernet (oder nur TCP/IP)-Frames verwendet. Dieser Mechanismus wird in der Industrie
normalerweise von Netzbetreibern und anderen Firmen genutzt, die DSL bereitstellen. Mit Windows
Server 2003 und einem ATM-Miniport-Treiber für ein DSL-Gerät können bei der Bereitstellung von DSL
folgende Protokollkonfigurationen verwendet werden:
TCP/IP über PPP über ATM (PPPoA) unter Verwendung eines vom Hersteller des Netzwerkgerätes
bereitgestellten DSL-ATM-Miniport-Treibers.
TCP/IP über RFC 2685 (vier Kapselungstypen) unter Verwendung eines vom Hersteller des
Netzwerkgerätes bereitgestellten DSL-ATM-Miniport-Treibers.
TCP/IP über PPPoE über RFC 2684 (vier Kapselungstypen) unter Verwendung eines vom Hersteller
des Netzwerkgerätes bereitgestellten DSL-ATM-Miniport-Treibers.
Zusätzlich kann eine 802.1X-Authentifizierung für die RFC 2685-Ethernet-Schnittstelle ergänzt werden.
Diese Vielzahl von Optionen erfüllt die meisten Anforderungen bei DSL-Bereitstellungen.
Weiterführende Informationen finden Sie unter RFC 2684.
NDIS 5.1 und Remote NDIS
Die Treiber, mit denen Netzwerkkarten die physikalische Netzwerkschicht dem Betriebssystem
gegenüber zugänglich machen, wurden in der Windows Server 2003-Familie um folgende
Möglichkeiten erweitert:
Plug-and-Play und Benachrichtigung bei Zustandsänderung der Stromversorgung.
Netzwerkkarten-Miniport-Treiber können eine Benachrichtigung erhalten, wenn entweder ein Plug-andPlay-Ereignis oder eine Zustandsänderung der Stromversorgung auftritt. So ist das System weniger
störanfällig.
Abbrechen von Sendeanfragen. Diese Erweiterung erlaubt es Netzwerkprotokollen, lange
Wartezeiten zu vermeiden, die durch das Warten auf Beendigung einer Sendeanfrage entstehen.
Mehr Speicher für Verbindungsstatistiken (64-Bit-Leistungsindikatoren). Diese Erweiterung bietet
eine genauere Anzeige von Statistiken angesichts neuer Hochgeschwindigkeitsnetzwerkmedien.
Leistungsverbesserungen. Zahlreiche Erweiterungen wurden vorgenommen, um kritische
Netzwerkdatenpfade zu beschleunigen und unnötige Paketkopien zu vermeiden.
Änderungen bei Wake-on-LAN. Eine Änderung wurde auch im Bereich Wake-on-LAN durchgeführt,
um Pakete, die einen Start veranlassen können, auf „magic Packets“ zu beschränken (anstelle der
durch das Protokoll registrierten Paketmuster). Diese Eigenschaft kann über die Registerkarte
Energieverwaltung der Eigenschaften eines Netzwerkadapters konfiguriert werden.
Technische Übersicht über Netzwerktechnik und Kommunikation
22
Microsoft® Windows® Server 2003 – technischer Artikel
Diverse Änderungen. Einige weitere Änderungen wurden als Reaktion auf allgemeine Anfragen von
Treiberentwicklern durchgeführt, um die Zuverlässigkeit von Treibern zu erhöhen.
Remote-NDIS ist in Windows Server 2003 enthalten. So können USB-fähige Netzwerkgeräte ohne
weiteren Treiber eines Fremdherstellers genutzt werden. Microsoft liefert nun die für die
Kommunikation mit den Netzwerkgeräten notwendigen Treiber. So wird die Installation einfacher, und
die Fehleranfälligkeit des Systems durch schlecht programmierte oder schlecht getestete Treiber wird
reduziert.
Weiterführende Information über NDIS 5.1 und Remote NDIS finden Sie im DDK der Windows Server
2003-Familie und auf den folgenden Websites:
http://www.microsoft.com/hwdev/network/NDIS51.htm
http://www.microsoft.com/hwdev/tech/network/rmNDIS.asp
Verbesserte Unterstützung von Netzwerkmedien
Windows Server 2003 bietet eine direkte Unterstützung für verschiedene neue Typen von
Netzwerkgeräten, die damit unmittelbar einsatzbereit sind. Windows Server 2003 unterstützt die
meisten neuen HomePNA-Geräte (die Telefonleitungen für Netzwerkverbindungen verwenden), ebenso
die meisten über USB angeschlossenen Netzwerkgeräte. Dabei werden einige davon über Remote
NDIS angesprochen, so dass sich die Installation von zusätzlichen Treibern erübrigt. Auch die
Unterstützung von 802.11 drahtlosen Netzwerkgeräten wurde verbessert. Viele dieser Geräte
unterstützen nun die automatische Konfiguration und Roaming-Funktionen. Auch die Unterstützung von
Softwaremodems wurde unter Windows Server 2003 deutlich ausgebaut.
CardBus Wake on LAN
Mit dieser Funktion können Computer aus dem Stand-by-Modus über eine Cardbus-Netzwerkkarte
wieder gestartet werden. IT-Administratoren können diese Funktion zur Verwaltung mehrerer Server
nutzen.
Erweiterungen bei Gerätetreibern
Windows Server 2003 bietet neue Treiber für Netzwerkkarten, die vor allem in kleineren, privaten
Netzwerken genutzt werden. Damit können die bisher verwendeten alten Treiber aussortiert werden.
Die damit erreichte bessere Treiberqualität betrifft folgende Arten von Netzwerkgeräten:
Netzwerkkartentreiber. Dies umfasst 10/100-Netzwerkkarten (NICs), IEEE 802.11 und Geräte
entsprechend der Home Phoneline Networking Alliance (HomePNA)
Breitbandunterstützung. Dies beinhaltet Unterstützung für Kabelmodems, Asymmetric Digital
Subscriber Line(aDSL)- und Integrated Services Digital Network(ISDN)-Geräte.
Modem. Es werden auch Softmodems und 56 kbps V.90-Modems unterstützt.
Für Heimnetzwerkbenutzer, die ihr Betriebssystem auf Windows Server 2003 aktualisiert haben,
werden viele der eingesetzten Netzwerkgeräte direkt durch das neue Betriebssystem unterstützt.
Wake on LAN: Selektive Auswahl der Wake-Ereignisse
Wake on LAN (WOL), das mit Windows 2000 eingeführt wurde, nutzt die Hardwaremöglichkeiten von
WOL-fähigen Netzwerkkarten, die beim Empfang bestimmter Pakete durch Power-Management-
Technische Übersicht über Netzwerktechnik und Kommunikation
23
Microsoft® Windows® Server 2003 – technischer Artikel
Signale des Busses, über den die Netzwerkkarte mit dem Rechner verbunden ist, den Rechner aus
dem Standby-Modus aufwecken können. Die Verbesserungen in diesem Bereich umfassen folgende
Funktionen:
WOL kann für alle eintreffenden Pakete entsprechend der definierten Wake-Up-Paketmuster (z. B.
NetBIOS-Broadcastanfragen, Hardwareadressauflösung, Unicast) Power-Management-Ereignisse
auslösen. Diese Einstellung entspricht der Vorgabe „vollständig aktiviert“.
WOL kann nun auch so aktiviert werden, dass nur ganz bestimmte Pakete, so genannte Magic
Packets, Wake-Up-Ereignisse auslösen.
WOL kann vollständig ausgeschaltet werden.
Diese neuen Funktionen erlauben folgende Szenarien:
Ein Benutzer möchte, dass der Computer in den Standby-Modus übergeht, um Strom zu sparen. Der
Computer soll aber wieder hochgefahren werden, sobald ein anderer Computer innerhalb des
Netzwerkes Dienste dieses Computers nutzen möchte oder Verwaltungsfunktionen auf diesem
Computer ausgeführt werden sollen.
Ein IT-Administrator möchte WOL auf den Computern vollständig steuern können und setzt deshalb
WOL auf „vollständig aktiviert“.
IrCOMM-Modemtreiber für IrDA
Der IrCOMM-Modemtreiber erlaubt es Benutzern, ihr infrarotfähiges Handy wie ein Modem
einzusetzen.
Wird ein Handy in die Nähe des Infrarotports gebracht, wird es erkannt und der passende Treiber wird
installiert (oder aber, wenn das Modell nicht erkannt wird, ein generischer Treiber). Damit kann ein
Mobiltelefon wie ein herkömmliches Modem eingesetzt werden.
Mit diesem Treiber ist die Vorgehensweise für den Benutzer ganz einfach:
Ein Benutzer besitzt ein infrarotfähiges Mobiltelefon, das IrCOMM unterstützt, und möchte es als
Modem nutzen, um auf das Internet zuzugreifen. Mit dem IrCOMM-Modemtreiber für IrDA kann ein
mobiler Computer das Telefon erkennen, den richtigen Typ herausfinden und als Modem installieren.
Der Benutzer kann sich nun genau so wie mit einem internen Modem in das Netzwerk einwählen.
Diese Funktion steht nur in der Enterprise- und der Web-Edition zur Verfügung.
Technische Übersicht über Netzwerktechnik und Kommunikation
24
Microsoft® Windows® Server 2003 – technischer Artikel
Unterstützung neuer Netzwerkdienste
Windows Server 2003 bietet folgende Verbesserungen bei der Unterstützung von Netzwerkdiensten:
TAPI 3.1 und TAPI Service Provider (TSP)
Ältere Versionen des Windows-Betriebssystems wurden mit einer früheren Version der Telefon-API
(TAPI) ausgeliefert. In Windows 2000 war die neueste Version 3.0 enthalten. TAPI erlaubt es,
Anwendungen zu erstellen, die dem Benutzer verschiedene Telefondienste zur Verfügung stellen.
Windows XP wird mit TAPI 3.1 ausgeliefert.
TAPI 3.1 unterstützt das Microsoft Component Object Model (COM) und stellt Programmierern COMObjekte zur Verfügung. So können mit jeder COM-kompatiblen Programmierumgebung und
Skriptsprache Telefonanwendungen erstellt werden.
Bei Windows XP stellen TAPI-Diensteanbieter (TAPI Service Providers, TSPs) Funktionen für H.323basierte IP-Telefonie und IP-Multicast Audio- und Videokonferenzen über TCP/IP-Netzwerke zur
Verfügung. So bieten sich viel mehr Möglichkeiten als mit älteren Versionen der TSPs. Der H.323 TSP
und der Media Service Provider (MSP) unterstützen H.323 Version 2.
TAPI 3.1 enthält folgende weitere Merkmale:
Datei-Unterstützung: Ermöglicht es Anwendungen, Streamingdaten (wie Sprache oder Video) in eine
Datei zu schreiben und diese aufgenommenen Daten über einen Stream wiederzugeben.
Variable Endpunkte (Ausgabegeräte): Ermöglichen es Drittherstellern, neue Ausgabeobjekte
hinzuzufügen, die von einem beliebigen MSP genutzt werden können.
USB-Telefon TSP: Ermöglicht es einer Anwendung, ein USB-Telefon zu steuern und es als Endpunkt
für einen Stream zu nutzen.
Automatische Erkennung von TAPI-Servern: Clients können automatisch nach verfügbaren
Telefonservern im Netzwerk suchen.
Zusätzlich wurden für H.323 leistungsfähigere Funktionen für die Behandlung von Anrufen
implementiert:
Halten eines Anrufs (ITU-T Empfehlung H.450-2)
Anrufübergabe (ITU-T Empfehlung H.450-2)
Anrufumleitung (ITU-T Empfehlung H.450-3)
Parken und Wiederaufnehmen eines Anrufs (ITU-T Empfehlung H.450-5)
Client-APIs zur Echtzeitkommunikation (RTC)
Mit den Funktionen der Client Application Programming Interfaces (APIs) für Echtzeitkommunikation
(Real Time Communications, RTC) können moderne Kommunikationslösungen basierend auf dem
Session Initiation Protocol (SIP) realisiert werden. SIP ist ein Protokoll für den effizienten Aufbau einer
generischen Verbindung durch Angabe einer E-Mail-Adresse, ohne dass es dabei notwendig ist, den
genauen Aufenthaltsort des Anrufers zu kennen. Mit RTC können Internetanwendungen schnell
bereitgestellt werden, die Sprach- und Videoanwendungen oder Anwendungen für die gemeinsame
Datennutzung unterstützen.
Technische Übersicht über Netzwerktechnik und Kommunikation
25
Microsoft® Windows® Server 2003 – technischer Artikel
Die Windows Server 2003-Familie bietet nun über die RTC-Client-APIs folgende Funktionen:
Verwaltung von Kontaktlisten, Wahrnehmung von Benutzeraktivitäten, die Möglichkeit für InstantMessaging-Sitzungen, Audio- und Videoverbindungen zwischen zwei Clients, Telefonanrufe auf eine
beliebige Telefonnummern, Remotenutzung von Applikationen und gemeinsame Verwendung
derselben Anwendung zur Zusammenarbeit.
Die Client-APIs unterstützen Firewaltunneling zu einem SIP-Server über Secure Sockets Layer (SSL),
Digest- und Standardauthentifizierung sowie Anpassungen für die Verwendung mit NATs, um
Echtzeitkommunikationssitzungen über Universal Plug and Play (UPNP)-fähige NATs zu ermöglichen.
Die APIs bieten Zugriff auf einen leistungsstarken Stack für Audio- und Videoübertragungen. Die Audiound Videoqualität wurde durch andere neue Funktionen stark verbessert:
Unterdrücken von akustischem Echo. Eine integrierte Echounterdrückung ermöglicht eine
störungsfreie Kommunikation bei Freisprechanlagen, d. h. Headsets sind für Telefongespräche nicht
unbedingt erforderlich.
Qualitätskontrolle. Ein neuer Algorithmus verändert bei wechselnder Netzwerkbandbreite dynamisch
die Audio- und Videoeinstellungen.
Forward Error Correction (FEC) wird benutzt, um Paketverluste durch Netzwerküberlastungen
auszugleichen.
Dynamische Ausgleichspuffer. Beim Empfang von Audiodaten werden mit ungleichmäßiger
Geschwindigkeit eintreffende Pakete gleichmäßig wiedergegeben.
Die RTC-Client-APIs ermöglichen die folgenden Szenarien:
Ein Spieleentwickler kann mit RTC-Client-APIs Benutzerlisten, Instant-Messaging und Audio/VideoKommunikation in sein neues Spiel integrieren. Damit können die Spieler während eines Spiels
Echtzeitnachrichten austauschen, sich unterhalten oder eine visuelle Verbindung über Webcams
haben.
Ein IT-Administrator kann mit einem kleinen Programm alle Benutzer benachrichtigen, wenn ein E-MailServer wegen Wartungsarbeiten heruntergefahren wird.
Ein ISV, der Finanz- und Lohnbuchhaltungsprogramme vertreibt, kann ein ActiveX-Kontrollelement
erstellen, das die RTC-Client-APIs verwendet. Das Kontrollelement zeigt in der Website seines Servers
den Abteilungsadministratoren die Verfügbarkeit von Ansprechpartnern aus der Lohnbuchhaltung.
Budgetfragen können so über Instant-Messaging oder Sprachverbindung beantwortet werden und
Budgetplanungen in einer Onlinekonferenz mithilfe von gemeinsam genutzten Anwendungen analysiert
werden.
Diese Funktionen stehen nicht in der 32-Bit-Version der Web-Edition zur Verfügung.
DHCP
Beim Dynamic Host Configuration Protocol (DHCP) bietet Windows Server 2003 folgende
Verbesserungen:
Sichern und Wiederherstellen von DHCP
Das DHCP-Snap-In enthält nun einen neuen Menüeintrag für das Sichern und Wiederherstellen von
DHCP-Datenbanken. Der Benutzer kann in diesem Menü einen Speicherort wählen oder auch einen
Technische Übersicht über Netzwerktechnik und Kommunikation
26
Microsoft® Windows® Server 2003 – technischer Artikel
neuen Ordner anlegen. IT-Administratoren können so die DHCP-Konfigurationsdatenbanken auf einem
Server der Windows Server 2003-Familie sichern und wiederherstellen.
Diese Funktion steht nicht auf Servern der Web-Edition zur Verfügung.
Die Classless Static Route Option (RFC 3442)
DHCP-Clients können mit dieser Option eine Liste von Routen anfordern und sie ihren Routingtabellen
hinzufügen. Für Remote- oder VPN-Clients wird so bei Verbindung mit einem remoten Netzwerk ein
Split-Tunneling ermöglicht. Gleichzeitig können auch Netzwerkclients zusätzliche Routinginformationen
beziehen.
Ein IT-Administrator kann mit dieser Funktion den Datenverkehr von Clients aufteilen und entweder
über eine Virtual Private Network (VPN)-Verbindung oder das Internet leiten. Dadurch kann der für das
Internet bestimmte Datenverkehr den Umweg durch die VPN-Verbindung vermeiden, während die
Benutzer gleichzeitig auf die privaten Netzwerkressourcen des Unternehmensnetzwerks zuzugreifen.
Migration der DHCP-Datenbank mithilfe von Netsh
Die Migration der DHCP-Datenbank von einem Server auf einen anderen ist nun mit dem netsh-Befehl
wesentlich einfacher. Typische Aufgaben, die früher manuell durchgeführt werden mussten, wie z. B.
das Anpassen der Registry oder die erneute Eingabe von Adressbereichen, lassen sich leichter
erledigen. Netsh wird benutzt, um Server und Router lokal zu konfigurieren, und ermöglich mit
Skriptdateien eine automatische Konfiguration. Es kann in folgenden Fällen eingesetzt werden:
Ein IT-Administrator entdeckt, dass die Festplatten des DHCP-Servers fehlerhaft sind und entscheidet
sich, den DHCP-Dienst auf einen anderen Rechner zu migrieren, bevor die Festplatten vollständig
ausfallen.
Wegen Kapazitätsengpässen auf dem Netzwerksegment, zu dem der DHCP-Server gehört, muss der
DHCP-Server aufgeteilt werden. Mit netsh können Teile der DHCP-Datenbank auf einen oder mehrere
andere Computer übertragen werden.
DHCP-Lease mithilfe von Netsh löschen
Mit dem neuen Befehl netsh dhcp server scope Adressbereich delete lease können Sie eine DHCPLease über die Befehlszeile löschen. Durch Einsatz von Befehlzeilenprogrammen und Skripten für
DHCP-Serveroperationen wird die Verwaltung im Vergleich zu einer Löschung der Lease im DHCPSnap-In erleichtert.
DNS
Die nachfolgend beschriebenen Verbesserungen bietet Windows Server 2003 im Bereich DNS:
Active Directory Integrated DNS-Zonen werden nun in Anwendungspartitionen gespeichert
Diese Funktion ermöglicht die Speicherung und Replikation von Domain Name System (DNS)-Zonen in
so genannten Anwendungspartitionen des Active Directory-Dienstes. Der Einsatz von
Anwendungspartitionen beim Speichern von DNS-Daten reduziert die Anzahl von Objekten, die im
globalen Katalog gespeichert sind. Zusätzlich werden DNS-Zonendaten, die in Anwendungspartitionen
gespeichert sind, nur für die der Anwendungspartition zugeordneten Domänencontroller in der Domäne
repliziert. Standardmäßig enhalten die DNS-spezifischen Anwendungspartitionen nur solche
Domänencontroller, die auch den DNS-Serverdienst ausführen. Durch Speichern von DNS-Zonendaten
innerhalb einer Anwendungspartition wird auch die Replikation der DNS-Zonen auf DNS-Server
Technische Übersicht über Netzwerktechnik und Kommunikation
27
Microsoft® Windows® Server 2003 – technischer Artikel
ermöglicht, die auf Domänencontrollern in anderen Domänen innerhalb des Active Directory Forests
(der Active Directory-Gesamtstruktur) ausgeführt werden.
Ein IT-Administrator kann diese Funktion einsetzen, um DNS-Zonen in Anwendungspartition zu
speichern. Dieses Vorgehen wird im Falle von Active Directory-integrierten DNS-Zonen empfohlen, die
von Windows Server 2003-basierten DNS-Servern gehostet werden.
Grundlegende Implementierung der Standard-DNS-Sicherheitserweiterungen
Ein DNS-Server mit Windows Server 2003 entspricht auch dem in RFC 2535 beschriebenen DNSSicherheitserweiterungsprotokoll-Standard der Internet Engineering Task Force (IETF). Der DNSServer kann damit dem IETF-Standard entsprechende Werte vom Typ Key, SIG und NXT speichern
und bei Antworten auf Anfragen nach RFC 2535 zurückgeben. Nicht im DNS-Server selbst
implementiert sind die in RFC 2535 spezifizierten Verschlüsselungsoperationen (KEY/SIG RecordGenerierung, Nachrichtensignierung und Verifizieren von Signaturen). Der Server kann jedoch
standardkonforme KEY- und SIG-Parameter, die mithilfe von anderen Programmen erstellt wurden,
speichern und benutzen.
Mit Windows Server 2003 kann ein Systemadministrator einen DNS-Server als sekundären Server für
einen anderen primären DNS-Server einer signierten Zone einsetzen, der die DNSSicherheitserweiterungen (nach RFC 2535) vollständig unterstützt.
Entdecken fehlerhafter DNS-Konfigurationen beim Beitreten einer Domäne
Diese Funktion vereinfacht die Fehlerbehebung und Anzeige einer fehlerhaften DNS-Konfiguration und
hilft bei der richtigen Konfiguration der DNS-Infrastruktur, so dass ein Computer einer Domäne
beitreten kann. Wenn ein Computer versucht, einer Active Directory-Domäne beizutreten, aber wegen
einer fehlerhaften DNS-Konfiguration den Domänen-Controller nicht finden oder erreichen kann, wird
eine Fehlerauswertung der DNS-Infrastruktur durchgeführt. Ein Bericht erläutert den Grund des Fehlers
und gibt Hinweise, wie er zu beheben ist.
Wenn die DNS-Infrastruktur richtig konfiguriert ist und der Computer der Domäne beitreten kann, spielt
diese neue Funktionalität keine Rolle. Falls aber ein Fehler in der DNS-Infrastruktur vorliegt, der
Computer den Domänen-Controller nicht finden und der Domäne nicht beitreten kann, wird der
Administrator bei seinem Versuch, den Rechner einer Domäne hinzuzufügen, auf das Problem
hingewiesen.
Verwalten von DNS-Clients über Gruppenrichtlinien
Diese Funktion von Windows Server 2003 erlaubt es Administratoren, DNS-Clienteinstellungen über
Gruppenrichtlinien zu setzen. Dies vereinfacht die Schritte zur Konfiguration von Domänenmitgliedern,
wenn eine Anpassung der DNS-Clienteinstellungen notwendig ist, wie z. B. das Aktivieren oder
Deaktivieren der dynamischen Registrierung von DNS-Records durch Clients, die Übertragung des
primären DNS-Suffixes während der Namensauflösung oder die Veröffentlichung der DNS-SuffixSuchliste. Die Unterstützung von Gruppenrichtlinien bei der Verteilung der Suchliste für DNS-Suffixe ist
nicht nur eine Erleichterung der Verwaltung, sondern ist unbedingt erforderlich bei einer Migration in
eine NetBIOS-freie Netzwerkumgebung.
Ein IT-Administrator kann DNS-Clients mithilfe von Gruppenrichtlinien konfigurieren.
Technische Übersicht über Netzwerktechnik und Kommunikation
28
Microsoft® Windows® Server 2003 – technischer Artikel
Stub-Zonen und bedingte Weiterleitung
Mit Stub-Zonen und bedingter Weiterleitung lässt sich das Routing von DNS-Verkehr auf einem
Netzwerk kontrollieren. Eine Stubzone erlaubt einem DNS-Server, Namen und Adressen von
zuständigen Servern zu erkennen, die eine vollständige Kopie der Zonendaten zur DNS-Auflösung zur
Verfügung stellen, ohne dass dieser DNS-Server selbst eine vollständige Kopie der Zonendaten haben
oder Anfragen an die Root-DNS-Server senden muss. Ein DNS-Server, der Windows 2000 ausführt,
kann nur so konfiguriert werden, dass er DNS-Anfragen zu einer Gruppe von DNS-Servern weiterleitet.
Die bedingte Weiterleitung in Windows Server 2003 bietet eine bessere Granularität, die eine
namensabhängige Weiterleitung unterstützt. Ein DNS-Server kann beispielsweise so konfiguriert
werden:

Anfragen von Namen, die mit usa.microsoft.com enden, werden an eine bestimmte Gruppe von
DNS-Servern weitergeleitet.

Anfragen von Namen, die mit europe.microsoft.com enden, werden an eine andere Gruppe von
DNS-Servern weitergeleitet.

Alle übrigen Anfragen werden von einer dritten Gruppe von DNS-Servern bearbeitet.
Unterstützung für das EDNS0-Protokoll
Die Windows Server 2003-Familie unterstützt dieses IETF-Standardprotokoll gemäß der Spezifikation
RFC 2671. Damit können DNS-Server UDP (User Datagram Protocol) DNS-Nachrichten mit einer
Nutzlastgröße von mehr als 512 Oktets empfangen und senden. Hierzu zählen z. B. Antworten von
Service Resources Record (SRV)-Anfragen an lokale Active Directory-Domänencontroller, die größer
als 512 Oktets sind. In älteren Windows-Versionen erforderten diese Antworten den Umweg über eine
zusätzliche TCP-Verbindung, die kurz eingerichtet und sofort wieder beendet wurde. Mit Windows
Server 2003 können viele dieser Antworten durch den Einsatz des EDNS0-Protokolls mit einem
einzigen UDS-Datenaustausch zurückgegeben werden, ohne dass eine neue TCP-Sitzung eingerichtet
und beendet werden muss.
Zusätzliche Erweiterungen
Der DNS-Serverdienst in der Windows Server 2003-Familie unterstützt nun folgende Erweiterungen:
Round-Robin-Unterstützung für alle Resource Record-Typen (RR).
Der DNS-Dienst führt nun standardmäßig das Round-Robin-Rotationsprinzip für alle RR-Typen durch.
Erweiterte Debug-Protokolle
Erweiterte Einstellungen im Debug-Protokoll des DNS-Serverdiensts erleichtern die Fehlerbehebung
bei DNS-Problemen.
Einschränkung der automatischen Resource-Record-Registrierung von Name Servern (NS) jeweils pro
Server- und Adressbereich.
WINS
Windows Server 2003 bietet folgende Verbesserungen beim Windows Internet Name Service (WINS):
Filtern von Einträgen
Verbesserte Filter- und Suchfunktionen ermöglichen das Suchen von Einträgen nach bestimmten
Merkmalen. Diese Funktionen sind bei der Analyse sehr großer WINS-Datenbanken nützlich. Sie
können mehrere Kriterien zur erweiterten Suche nach WINS-Datenbankeneinträgen einsetzen. Sie
Technische Übersicht über Netzwerktechnik und Kommunikation
29
Microsoft® Windows® Server 2003 – technischer Artikel
können ferner Filter miteinander kombinieren, um Suchergebnisse weiter einzuschränken. Verfügbare
Auswahl-Filter sind: Besitzer von Records, Record-Arten, NetBIOS-Name, IP-Adressen mit oder ohne
Subnetz-Maske.
Da die Suchergebnisse nun im Cache Ihres lokalen Computers gespeichert werden können, erhöht
sich die Geschwindigkeit bei nachfolgenden Anfragen und die Netzwerkbelastung wird reduziert.
Einschränkung und Vorgabe von Replikationspartnern
Sie können eine Replikationsstrategie für Ihr Unternehmen bestimmen, indem Sie eine Liste festlegen,
die die Herkunft von eintreffenden Namensdatensätzen während einer Pull-Replikation zwischen
WINS-Servern bestimmt. Namensdatensätze bestimmter Replikationspartner können wahlweise
ignoriert werden. Sie können auch bestimmte WINS-Server auswählen, deren Namensdatensätze
angenommen werden sollen, und festlegen, dass Namensdatensätze von Servern, die sich nicht auf
der Liste befinden, ausgeschlossen werden.
IAS
Die nachfolgend beschriebenen Verbesserungen wurden bei IAS in der Windows Server 2003-Familie
vorgenommen. IAS steht in der Web-Edition nicht zur Verfügung.
Unterstützung der IEEE 802.1X-Authentifizierung für sichere drahtlose und Large Area-Netzwerke
IAS wurde erweitert, um die IEEE 802.1x-Authentifizierung und Anmeldung für Benutzer und Computer
beim Zugang über drahtlose Access-Points nach IEEE 802.11b und Ethernet Switches zu unterstützen.
Die NAS-Port-Type-Bedingung der Remote Access-Richtlinie umfasst dazu nun auch drahtlose und
Ethernetverbindungstypen.
Zur Sicherheit Ihrer drahtlosen oder Ethernetverbindungen sollten Sie entweder Zertifikate (EAP-TLS)
oder eine passwortgeschützte Authentifizierung mit Protected EAP (PEAP) und MS-CHAP2 einsetzen.
EAP-TLS nutzt Zertifikate, um Anmeldeinformationen zu bestätigen und Verschlüsselungskeys
bereitzustellen. EAP-TLS benötigt eine Zertifikatinfrastruktur, um Zertifikate sowohl für die IAS Server
als auch die drahtlosen oder Ethernetclients auszustellen. PEAP und MS-CHAP v2 bieten eine sichere
kennwortbasierte Authentifizierung, da der Austausch bei MS-CHAP v2-Authentifizierung über einen
sichern TLS-Kanal verschlüsselt wird, und damit einen Schutz vor Wörterbuchangriffen auf das
Benutzerkennwort bietet. Durch den Austausch zur Authentifizierung mit dem PEAP-Verfahren werden
ebenfalls Schlüssel für die weitere Verbindung generiert. Die für PEAP in Verbindung mit MS-CHAP v2
benötigten Zertifikate müssen nur auf dem IAS-Server installiert sein.
PEAP erlaubt die Wiederaufnahme einer TLS-Sitzung, die entsprechend einer vorherigen PEAPAuthentifizierung aufgebaut wurde. Diese Funktion von PEAP, die auch als „Schnelle
Wiederverbindung“ bekannt ist, beschleunigt nachfolgende Authentifizierungen, die auf der gleichen
TLS-Sitzung basieren, da die meisten Nachrichten, die für eine vollständige PEAP-Authentifizierung
notwendig sind, gar nicht erst gesendet werden müssen. Die Schnelle Wiederverbindung mit PEAP
minimiert die Verbindungs- und Authentifizierungszeiten und benötigt keine erneute Eingabe der
Anmeldeinformationen (Benutzername und Passwort). So verfügen drahtlose Clients, die infolge
wechselnder Standorte von einem Authentifizierungsprotokoll auf ein anders wechseln, über eine
nahtlose Netzwerkverbindung und werden nicht erneut nach den Anmeldeinformationen gefragt.
Um PEAP in Verbindung mit MS-CHAP 2 auf einem IAS-Server zu aktivieren, wählen Sie im IAS-SnapIn die Registerkarte Authentifizierung der Profileigenschaften einer Remotezugriffsrichlinie. Dort finden
Technische Übersicht über Netzwerktechnik und Kommunikation
30
Microsoft® Windows® Server 2003 – technischer Artikel
Sie die Schaltfläche EAP-Methoden. Im Dialogfeld mit den EAP-Anbietern wählen Sie das Protected
Extensible Authentication Protokoll (PEAP). Dort können Sie dessen Eigenschaften verändern oder es
an die erste Stelle der Liste der EAP-Methoden verschieben.
Eingeschränkte Sitzungszeiten für bestimmte Benutzer
IAS berechnet die mögliche Sitzungszeit für eine Verbindung auf Basis der für einen Benutzer oder
Computer erlaubten Anmeldezeiten sowie der Gültigkeitszeiten für ein Konto. Wenn ein Benutzer sich
von 9 Uhr bis 17 Uhr von Montag bis Freitag anmelden kann, wird für eine Verbindung mit diesem
Benutzer um 16 Uhr am Freitag von IAS eine maximale Sitzungszeit von 1 Stunde ermittelt. Diese
maximale Sitzungszeit wird als ein RADIUS-Attribut an den Zugriffsserver geschickt. Um 17 Uhr trennt
der Zugriffsserver dann die Verbindung. Mithilfe dieser Funktion kann das Verhalten für den
Netzwerkzugriff mit den Datums- und Zeiteinschränkungen für die Nutzung des Benutzerkontos in
Einklang gebracht werden.
IAS und Forest-übergreifende Authentifizierung
Wenn Active Directory-Gesamtstrukturen sich im gesamtstrukturübergreifenden Modus mit zweiseitigen
Vertrauensstellungen befinden, kann der IAS das Benutzerkonto in der anderen Gesamtstruktur
authentifizieren. Ein IT-Administrator kann diese Funktion nutzen, um Authentifizierung und
Berechtigungen für Konten mit zweiseitigen Vertrauensstellungen aus anderen Forests zu ermöglichen.
IAS in der Funktion eines RADIUS-Proxys
Diese Funktion erlaubt es dem IAS, Authentifizierungsnachrichten und Kontenanfragen zwischen
Zugriffsservern und RADIUS-Servern weiterzuleiten. Diese Funktion ermöglicht:

Flexible regelbasierte Weiterleitung.

Lastenausgleich und Fehlertoleranz über mehrere RADIUS-Server und Lastenausgleich von
RADIUS-Anforderungen.

Die Möglichkeit, einen zugreifenden Client dazu zu zwingen, einen vorgeschriebenen Tunnel zu
verwenden (mit oder ohne Benutzerauthentifizierung).

Selektives Weiterleiten von Authentifizierungs- und Kontenanfragen an unterschiedliche RADIUSServer.
Diese Funktionen können für folgende Szenarien eingesetzt werden:

Ein IT-Administrator kann auf der Grundlage von IAS einen RADIUS-Proxy in einer Domäne
einrichten, um Benutzer aus einer anderen Domäne zu authentifizieren und einen Zugang zu
ermöglichen, auch wenn für die andere Domäne gar keine oder nur eine einseitige
Vertrauensstellung existiert oder sich die Domäne in einem anderen Forest befindet.

Ein ISP, der Outsourcinglösungen für Wählverbindungen, VPN oder drahtlose Dienste für ein
Unternehmen anbietet, kann die Benutzerauthentifizierung und Kontenanfragen auf einen RADIUSServer des Unternehmens weiterleiten.

Für manche Netzwerkkonfigurationen kann es sinnvoll sein, wenn der Administrator einen IASProxy in der Nachbarschaft zum eigenen Netzwerk einrichtet. Anfragen können dann vom IASProxy eines ISP an einen IAS-Server innerhalb des Unternehmensnetzwerks weitergeleitet werden.
Technische Übersicht über Netzwerktechnik und Kommunikation
31
Microsoft® Windows® Server 2003 – technischer Artikel

ISPs, die mit anderen ISPs oder Anbietern für Netzwerkinfrastrukturen zusammenarbeiten, können
einen IAS RADIUS-Proxy zum Aufbau einer gemeinsamen Roaminggruppe nutzen.

IT-Administratoren können IAS für ein Unternehmensnetzwerk einsetzen, das mit Netzwerken von
Partnern verbunden ist, um die Authentifizierung von Benutzern anderer Unternehmen an die
entsprechende Datenbank mit den Benutzerkonten weiterzuleiten.
Protokollieren von RADIUS-Informationen in einer SQL-Datenbank
IAS kann so konfiguriert werden, dass er Protokollinformationen für Kontenanfragen,
Authentifizierungsanfragen und regelmäßige Statusberichte an einen Structrured Query Language
(SQL)-Server sendet. So können IT-Administratoren mit SQL-Abfragen historische und aktuelle
Informationen über Verbindungsversuche, die einen RADIUS-Server für Authentifizierung nutzen
wollten, erhalten. Diese Funktion kann über die Eigenschaften der SQL-Server-Protokollmethode des
Remote Access Logging-Ordners im IAS-Snap-In eingestellt werden.
Anonymer EAP-TLS-Zugriff
Der nicht authentifizierte EAP-TLS-Zugriff (Extensible Authentication-Protokoll – Transport Level
Security) bietet die Möglichkeit, einem Gast Zugriff mit einem drahtlos oder über einen Netzwerkswitch
verbundenen Client zu gestatten, auf dem kein Zertifikat installiert ist. Wenn ein Client beim
Netzwerkzugriff keine Anmeldeinformationen liefert, ermittelt der Internetauthentifizierungsdienst, ob in
der entsprechenden RAS-Richtlinie der nicht authentifizierte Zugriff zulässig ist. EAP-TLS unterstützt
die einseitige Autorisierung oder den nicht authentifizierten Zugriff, wenn der Client keine
Anmeldeinformationen sendet.
Hierdurch werden folgende Szenarien möglich:

Ein IT-Administrator kann zulassen, dass drahtlos oder über einen Switch verbundene Clients ohne
Zertifikate eine Verbindung mit einem eingeschränkten VLAN herstellen, um eine BootstrapKonfiguration auszuführen.

Ein IT-Administrator kann mit diesem Feature auch erlauben, dass Besucher oder
Geschäftspartner über das Unternehmensnetzwerk auf das Internet zugreifen. Dies erfolgt durch
Freigabe eines eingeschränkten VLANs, das nur Datenverkehr zum und vom Internet erlaubt.

Ein ISP, der einen drahtlosen Zugang anbietet, kann mit dieser Funktion potenziellen Kunden
zunächst Zugang auf ein eingeschränktes VLAN mit lokalen Informationen ermöglichen. Nachdem
der Benutzer dort einen Zugangsantrag ausgefüllt hat, kann der Client sich mit dem Internet
verbinden.
Die RADIUS-Clientkonfiguration unterstützt die Angabe von IP-Adressbereichen
Zur leichteren Verwaltung von Remote Authentication Dial-In User Server (RADIUS)-Clients, erlaubt
IAS nun, einen Adressbereich für RADIUS-Clients zu definieren, wenn es mehrere drahtlose
Zugriffsstellen im selben Subnetz oder innerhalb des gleichen Adressraums gibt.
Der Adressbereich für RADIUS-Clients wird mithilfe des Netzwerkpräfix-Längenadressierungschemas
angegeben (w.x.y.z/p). Dabei ist w.x.y.z die mit Punkten versehene Dezimal-Notation des
Adresspräfixes und p die Länge des Präfixes (die Anzahl der höherwertigen Bits, die das
Netzwerkpräfix definieren). Diese Notationsform wird auch als Classless Inter-Domain Routing (CIDR)Notation bezeichnet. Die Notation kann z. B. folgendermaßen aussehen: 192.168.21.0/24. Die
Technische Übersicht über Netzwerktechnik und Kommunikation
32
Microsoft® Windows® Server 2003 – technischer Artikel
Subnetzmaskennotation kann in CIDR übersetzt werden, dabei bezeichnet p die Anzahl der
höherwertigen Bits, die innerhalb der Subnetzmaske auf 1 gesetzt sind.
Verbesserungen bei der Methode für das Aushandeln einer EAP-Authentifizierung
Mit diesem Feature können Sie eine RAS-Richtlinie konfigurieren, sodass mehrere EAP-Typen für die
Authentifizierung akzeptiert werden. IAS kann so beim Verbindungsaufbau eine von mehreren
möglichen EAP-Authentifizierungsmethoden mit dem Client aushandeln. Ein IT-Administrator kann
diese Funktion nutzen, wenn Clients mit unterschiedlichen Authentifzierungsmöglichkeiten auf das
Netzwerk zugreifen, und kann den Server so konfigurieren, dass er bestimmte EAPAuthentifizierungsmöglichkeiten anbietet.
Kontrolle der Objektbezeichner für Benutzerzertifikate und SmartCards
Um bestimmte Arten von Benutzerzertifikaten für spezielle Verbindungstypen zu erzwingen, unterstützt
IAS jetzt die Angabe von individuellen Objektbezeichnern (OIDs) für Zertifikatsverteilungsrichtlinien,
welche im Zertifikat des Zugriffsclients als Teil der Profileinstellungen der Remote Access-Richtlinien
enthalten sein muss. Wenn ein IT-Administrator beispielsweise sicherstellen möchte, dass RAS-VPNVerbindungen ein Smartcardzertifikat anstelle eines lokal installierten Benutzerzertifikats verwenden,
konfiguriert er die entsprechende RAS-Richtlinie so, dass der Objektbezeichner für die erweiterte
Schlüsselsyntax des Smartcardzertifikats für die Anmeldung (1.3.6.1.4.1.311.20.2.2) im Zertifikat des
RAS-VPN-Client enthalten ist.
Sie können eine Liste von Objektbezeichnern konfigurieren, die im Benutzerzertifikat eines
Zugriffsclients vorhanden sein muss. Fügen Sie hierzu das Attribut Allowed-Certificate-OID innerhalb
der Registerkarte Erweitert bei den Eigenschaften einer Remote Access-Richtlinie in die Liste der
Attribute hinzu. Standardmäßig sind hier keine Einträge vorhanden.
Radius-Proxy und Lastenausgleich
Die Proxyunterstützung des Internetauthentifizierungsdienstes ermöglicht den Lastenausgleich des
RADIUS-Authentifizierungsverkehrs zwischen mehreren Internetauthentifizierungsservern (IASServern). Damit können Kapazitäten ausgebaut und ein Failover zwischen Standorten realisiert
werden. Der IAS-RADIUS-Proxy verteilt dynamisch Lasten von Verbindungs- und Kontenanfragen über
mehrere RADIUS-Server und erhöht so die Anzahl der möglichen RADIUS-Clients und Kapazität für die
pro Sekunde verarbeitbaren Authentifizierungen. Zusätzlich kann der RADIUS-Proxy so konfiguriert
werden, dass er bestimmte RADIUS-Server bevorzugt nutzt. Die nachrangigen RADIUS-Server werden
nicht benutzt, wenn ein RADIUS-Server mit höherer Priorität verfügbar ist.
Hierdurch werden folgende Szenarien ermöglicht:

Ein IT-Administrator kann durch den Einsatz mehrerer RADIUS-Server für drahtlose, DFÜ- oder
VPN-Verbindungen die Anzahl von bearbeitbaren Authentifizierungsanfragen deutlich erhöhen.

Ein IT-Administrator kann mit dieser Funktion Verbindungsanfragen bei Fehlfunktionen an andere
verfügbare RADIUS-Server weiterleiten und RADIUS-Server in einem Remotestandort als BackupRADIUS-Server konfigurieren.
Ignorieren der Einwahleigenschaften des Kontos
Sie können ein RADIUS-Attribut in den Profileigenschaften einer Remote Access-Richtlinie setzen, um
die Einwahleigenschaften von Benutzerkonten zu ignorieren. Die Einwahleigenschaften eines Kontos
umfassen die folgenden Werte:
Technische Übersicht über Netzwerktechnik und Kommunikation
33
Microsoft® Windows® Server 2003 – technischer Artikel

Remote Access-Berechtigung

Anruferkennung

Rückrufoptionen

Statische IP-Adressen

Statische Routen.
Zur Unterstützung der unterschiedlichen Verbindungstypen, die IAS zur Authentifizierung und
Autorisierung zur Verfügung stellt, kann es notwendig sein, die Einwahleigenschaften des jeweiligen
Kontos vorübergehend zu deaktivieren. Diese Vorgehensweise ist möglich, wenn die Auswertung
spezieller Einwahleigenschaften nicht notwendig ist.
So sind z. B. die Anruferkennung, Rückrufoption, Statische IP-Adresse und Statische Routen
Eigenschaften, die für einen Client genutzt werden, der sich auf einen Netzwerkzugriffserver (NAS)
einwählt. Diese Einstellungen sind jedoch beim Zugriff auf einen drahtlosen Zugriffspunkt (AP) sinnlos.
Ein drahtloser Zugriffspunkt, der diese Eigenschaften in einer RADIUS-Meldung vom IAS-Server
empfängt, ist möglicherweise nicht in der Lage, diese zu verarbeiten. Dies könnte dazu führen, dass
der Client vom Netzwerk getrennt wird. Wenn IAS Authentifizierung und Autorisierung für Benutzer
sowohl bei drahtloser als auch bei DFÜ-Verbindung zu einem Netzwerk bereitstellen soll, müssen die
Einwahleigenschaften entsprechend so konfiguriert werden, dass sie entweder Einwahlverbindungen
(durch das Setzen der Einwahleigenschaften) oder drahtlose Verbindungen (bei denen die
Eigenschaften nicht gesetzt sein dürfen) unterstützen.
Sie können mit IAS z. B. bei Einwahlverbindungen die Einwahleigenschaften für Benutzerkonten
verarbeiten oder aber z. B. beim Zugriff über eine drahtlose Verbindung die Verarbeitung der
Einwahleigenschaften unterdrücken. Hierfür wählen Sie das Attribut Ignore-User-Dialin-Properites in
der Registerkarte Erweitert der Profileigenschaften für eine Remote Access-Richtlinie aus. Es gibt zwei
mögliche Einstellungen für das Attribut Ignore-User-Dialin-Properties:

Wenn Sie das Verarbeiten der Einwahleigenschaften des Kontos ermöglichen möchten, dann
löschen Sie das Attribut Ignore-User-Dialin-Properties oder setzen den Wert auf False. Für eine
Richtlinie, die für Einwahlverbindungen gedacht ist, muss keine weitergehende Konfiguration
vorgenommen werden.

Um die Verarbeitung von Einwahleigenschaften des Kontos zu unterbinden, setzen Sie das Attribut
Ignore-User-Dialin-Properties auf True. Diese Einstellung wird z. B. für eine Remote AccessRichtlinie vorgenommen, die für drahtlose Verbindungen oder Verbindungen von Switches, die eine
Authentifizierung durchführen, gedacht ist. Wenn die Einwahleigenschaften des Benutzerkontos
ignoriert werden, werden die Remote Access-Berechtigungen durch die entsprechenden
Berechtigungen der Remote Access-Richtlinie bestimmt.
Dieses Attribut ermöglicht Ihnen die Verwaltung der Netzwerkzugriffskontrolle über Gruppen und die
Verwaltung der Remote Access-Berechtigungen über die Remote Access-Richtlinie. Wenn Sie das
Attribut Ignore-User-Dialin-Properties auf True setzen, wird die Remote Access-Berechtigung für das
Benutzerkonto ignoriert. Der Nachteil bei der Verwendung des Attributs Ignore-User-Dialin-Properties
besteht darin, dass Sie auf diesem Weg die weiteren Einwahleigenschaften wie Anruferkennung,
Rückruf, statische IP-Adresse und statische Routen für Verbindungen nutzen können, auf die diese
Richtlinie angewendet wird.
Technische Übersicht über Netzwerktechnik und Kommunikation
34
Microsoft® Windows® Server 2003 – technischer Artikel
Unterstützung der Computerauthentifizierung
Active Directory und IAS unterstützen die Authentifizierung von Computerkonten durch Verwendung
der gleichen Authentifizierungsmethoden wie für Benutzer. So kann ein Computer mit seinen
Anmeldeinformationen gegenüber drahtlosen Zugriffsclients oder Switches, die eine Authentifizierung
durchführen, authentifiziert werden.
Unterstützung für authentifizierungstypabhängige Remote Access-Richtlinien
Sie können eine Remote Access-Richtlinie anlegen, die die Art des Authentifizierungtyps auswertet.
Dies erlaubt es Ihnen, Einschränkungen für eine Verbindung abhängig von der durch den Client
verwendeten Authentifizierungsmethode festzulegen.
Erweitertes SDK für IAS
Das Windows Plattform Software Development Kit (SDK) beinhaltet zwei SDKs für
Netzwerkanwendungen: das IAS SDK und das EAP SDK. Mit dem IAS SDK können weitere Attribute,
zusätzlich zu den von IAS bereitgestellten, an den Zugriffsserver übermittelt, die Anzahl der
Benutzernetzwerksitzungen verwaltet und Nutzungs- und Überwachungsdaten direkt in eine
OpenDatabase Connectivity (ODBC)-fähige Datenbank geschrieben werden, um eigene Module (nicht
EAP-basiert) zur Authentifizierungs- und Rechtevergabe zu implementieren. Mit dem EAP-SDK können
EAP-Typen angelegt werden.
Ein Entwickler kann die Erweiterungen des IAS SDKs nutzen, um RADIUS-Attribute zu verändern oder
zu löschen und um anhand eigener Authentifizierungskriterien den Zugriff zu ermöglichen (Access
Accept). Ein ISV oder VAR kann diese Funktionen dazu nutzen, erweiterte Lösungen auf der Basis von
IAS zu entwickeln. Ein IT-Administrator kann diese Funktionen einsetzen, um angepasste Lösungen für
IAS zu entwickeln.
Skriptfähige API für die Konfiguration von IAS
Diese Funktion stellt eine skriptfähige API innerhalb des IAS SDKs zur Verfügung und erlaubt die
skriptbasierte Konfiguration von IAS. Ein ISV kann dadurch zusätzliche Dienste auf der Basis des IAS’
anbieten, und ein IT-Administrator kann mithilfe dieser Funktion seinen IAS in die eigene
Diensteverwaltungsinfrastruktur einbinden.
Erweiterte EAP-Konfiguration für Remote Access-Richtlinien
Unter Windows 2000 konnten Sie nur einen einzigen EAP-Typ für eine Remote Access-Richtlinie
wählen. Dies bedeutete, dass alle Verbindungen, die durch die Bedingungen der Richtlinie beschrieben
wurden, auf diesen einen EAP-Typ, der durch die Einstellungen im Richtlinienprofil vorgegeben war,
festgelegt waren. Gleichzeitig war die Konfiguration eines EAP-Typs global für alle Remote AccessRichtlinien gültig. Diese Einschränkung konnte zu Problemen führen, wenn Sie für jede Richtlinie
individuell die Eigenschaften für den EAP-Typ setzen wollten oder wenn Sie die Auswahl unter
mehreren EAP-Typen für eine Art von Netzwerkverbindung oder pro Gruppe ermöglichen wollten.
Diese Einschränkungen für IAS existieren in der Windows Server 2003-Familie nicht mehr. Sie können
nun z. B. jeweils unterschiedliche Computerzertifikate für EAP-TLS-Authentifizierung bei drahtlosen
Verbindungen und bei VPN-Verbindungen nutzen. Oder Sie können mehrere EAP-Typen für drahtlose
Verbindungen einsetzen, da einige Ihrer drahtlosen Clients EAP-TLS-Authentifizierung und andere
PEAP in Verbindung mit MS-CHAP v2 unterstützen.
Technische Übersicht über Netzwerktechnik und Kommunikation
35
Microsoft® Windows® Server 2003 – technischer Artikel
Trennung von Authentifizierung und Autorisierung für den IAS-Proxy
Die Proxykomponente von IAS in der Windows Server 2003-Familie kann die Authentifizierung von der
Autorisierung der Verbindungsanfrage eines Zugriffsservers trennen. Der IAS-Proxy kann die
Anmeldeinformationen an einen externen RADIUS-Server zur Authentifizierung senden und seine
eigene Autorisierung des Benutzerkontos gegen eine Active Directory-Domäne und eine lokal definierte
Remote Acces-Richtlinie durchführen. Durch diese Funktion können unterschiedliche Datenbanken für
die Authentifizierung genutzt werden, während Autorisierung und Einschränkungen durch lokale
Einstellungen bestimmt werden.
Hierdurch werden folgende Szenarien möglich:

Der Besucher eines Unternehmensnetzwerkes kann Zugriff auf ein für Gäste eingerichtetes
Netzwerk erhalten, indem er mit seinen Anmeldeinformationen authentifiziert wird und die
Verbindung unter Verwendung eines Benutzerkontos aus einer für Besucher eingerichteten
Domäne mithilfe einer auf dem IAS-Server konfigurierten Remote Access-Richtlinie durchgeführt
wird. Dabei können über den IAS-Proxy die Anmeldeinformationen zur Bestätigung der Identität
des Besuchers aus dem Benutzerkonto seines eigenen Unternehmens verwendet werden.

Ein öffentliches, drahtloses Netzwerk kann eine externe Benutzerdatenbank für die
Authentifizierung des Zugriffs drahtloser Benutzer verwenden und sie mit den Berechtigungen aus
lokalen Benutzerkonten im Active Directory der Domäne autorisieren.
Diese neue Möglichkeit kann über die Remote-RADIUS-to-Windows-User-Zuordnung in den
erweiterten Einstellungen einer Verbindungsrichtlinie konfiguriert werden.
IPSec
Folgende Verbesserungen wurden für IPSec in der Windows Server 2003-Familie eingeführt:
Neues IP-Security Überwachungs-Snap-In
Ein neues IP-Security-Überwachungs-Snap-In ermöglicht die detaillierte Konfiguration von IPSecRichtlinien und liefert Informationen über den aktiven Sicherheitsstatus. Es ersetzt die Ipsecmon.exeAnwendung von Windows 2000. IPSec-Richtlinien bestehen aus mehreren Main-Mode-Richtlinien,
mehreren Quick-Mode-Richtlinien und mehreren mit den Main-Mode-Richtlinien verbundenen MainMode-Filtern und mehreren Quick-Mode-Filtern (sowohl Transport- als auch Tunnel-Modus), die mit
den Quick-Mode-Richtlinien verbunden sind. Der aktive Sicherheitsstatus besteht aus den aktiven
Main-Mode- und Quick-Mode-Sicherheitszuordnungen und statistischen Informationen über den durch
IPSec abgesicherten Datenverkehr. Ein IT-Administrator kann dieses neue Snap-In zur verbesserten
Überwachung von IPSec und zur Fehlerbehebung nutzen.
Befehlszeilenverwaltung mithilfe von Netsh
Befehle im netsh ipsec-Kontext ermöglichen die Konfiguration von statischen oder dynamischen MainMode-Einstellungen, Quick-Mode-Einstellungen, Regeln und Konfigurationsparametern. Um in den
netsh ipcsec-Kontext zu gelangen, geben Sie auf der Befehlszeile den Befehl netsh -c ipsec ein. Der
netsh ipsec-Kontext ersetzt das Ipsecpo.exe-Tool des Windows 2000 Ressource Kits. Ein ITAdministrator kann mit dieser Funktion Skripte einsetzen, um die IPSec-Konfiguration zu
automatisieren.
Technische Übersicht über Netzwerktechnik und Kommunikation
36
Microsoft® Windows® Server 2003 – technischer Artikel
IP Security und die Integration von Netzwerklastenausgleich
Mit dieser Funktion kann eine Gruppe von Servern durch Netzwerklastenausgleich (Network Load
Balancing, NLB) hochverfügbare IPSec-basierte VPN-Dienste bereitstellen. Diese Funktion wird auch
von L2TP/IPSec-Clients unterstützt und bietet die Möglichkeit für schnelleres Failover von IPSecverschlüsselten Verbindungen.
Ein IT-Administrator kann durch diese Integration von NLB und IPSec eine sichere und zuverlässige
Netzwerkumgebung für VPN-Dienste bereitstellen. Da das IKE-Protokoll automatisch den NLB-Dienst
erkennt, ist keine zusätzliche Konfiguration für den Einsatz dieser Dienste notwendig.
Diese Funktionalität ist nur in der Enterprise- und der Datacenter-Edition von Windows Server 2003
enthalten.
IPSec-Unterstützung für den Richtlinienergebnissatz (RSoP)
IPSec bietet nun zur leichteren Bereitstellung von IPSec und zur besseren Problembehandlung eine
Erweiterung für das Snap-In des Richtlinienergebnissatzes (RSoP). Mit RSoP haben Sie einen
besseren Überblick über die Konsequenzen von Gruppenrichtlinien und bestehende IPSecRichtlinienzuordnungen. Hierzu verwenden Sie RSoP im Protokolliermodus. Mit RSoP lassen sich auch
die möglichen Konsequenzen geplanter IPSec-Richtlinien-Zuordnungen für Computer und Benutzer
anzeigen. Verwenden Sie hierfür RSoP im Planungsmodus.
Der Protokolliermodus hilft bei der Fehlersuche von verschachtelten IPSec-Richtlinien (konkret wird die
Frage beantwortet: Welche Richtlinie hat Vorrang?). Die Ergebnisse des Protokolliermodus’ zeigen alle
bestehenden IPSec-Richtlinien des IPSec-Clients und die Priorität jeder Richtlinie an. Der
Planungsmodus erlaubt es, unterschiedliche IPSec-Richtlinieneinstellungen zu simulieren, die
Auswirkungen möglicher Änderungen der Richtlinieneinstellungen zu testen und die optimalen
Einstellungen festzuhalten, bevor sie implementiert werden. Wenn Sie RSoP im Protokolliermodus oder
im Planungsmodus ausgeführt haben, sehen Sie die einzelnen Einstellungen der IPSec-Richtlinien im
Detail (Filterregeln, Filteraktionen, Authentifizierungsmethoden, Tunnelendpunkte und die beim
Anlegen der IPSec-Richtlinie spezifizierten Verbindungstpyen).
IPSec/NAT-Traversierung
Mit dieser Funktion kann durch IKE- und ESP-geschützter Datenverkehr eine
Netzwerkadressübersetzung (NAT) durchqueren. IKE erkennt automatisch, dass NAT aktiviert ist und
benutzt die User Datagram Protocol-Encapsulating Security Payload (UDP-ESP)-Kapselung, um ESPgeschützten IPSec-Datenverkehr durch NAT zu schleusen. Die von der Windows Server 2003-Familie
unterstützte IPSec-NAT-Durchquerung wird in den Internetentwürfen der IETF mit den Titeln "UDP
Encapsulation of IPSec Packets" (draft-ietf-ipsec-udp-encaps-02.txt) und "Negotiation of NAT-Traversal
in the IKE" (draft-ietf-ipsec-nat-t-ike-02.txt) genauer beschrieben.
Durch diese NAT-Unterstützung können Angestellte eines Unternehmens auch dann L2TP/IPSec
nutzen, wenn sie mit einem privaten Netzwerk, wie z. B. dem Heimnetzwerk oder dem Netzwerk in
einem Hotel, verbunden sind. Diese Funktionalität ermöglicht generell die Abwicklung von IPSec-ESPDatenverkehr über NAT. Ein Administrator kann mit dieser Funktion einen Gateway-zu-Gateway IPSecTunnel zwischen zwei Computern mit Windows Server 2003, die den Routing- und RAS-Dienst
ausführen, konfigurieren, auch wenn sich einer oder beide Computer jeweils hinter einem NAT
befinden. Es sind auch Server-to-Server-IPSec-Verbindungen möglich; z. B. kann ein Server in einem
Technische Übersicht über Netzwerktechnik und Kommunikation
37
Microsoft® Windows® Server 2003 – technischer Artikel
benachbarten Netzwerk über eine Netzwerkadressübersetzung mit einem internen Netzwerkserver
kommunizieren.
Verwendung von Hardwareunterstützung für NAT
IPSec unterstützt eine Beschleunigung von NAT durch spezielle Hardware für normalen ESP-Verkehr.
Das bedeutet:
Ein IT-Administrator kann so die Leistung von L2TP/IPSec- und normalen IPSec-Verbindungen
verbessern, wenn IPSec über NAT eingesetzt wird.
Ein Hardwarehersteller kann neue Netzwerkkarten entwickeln oder ältere Firmware erneuern, um die
Protokolle direkt auf der Netzwerkkarte zu verarbeiten und die CPU des Servers zu entlasten.
Die Schnittstelle für die IPSec-Hardwarebeschleunigung ist im Platform-DDK dokumentiert im Abschnitt
zu „TCP/IP-Task Offload“.
IPSec-Richtlinienfilter erlauben die Verwendung logischer Adressen zur lokalen IP-Konfiguration
Das Snap-In der IPSec-Richtlinien kann nun Quell- oder Zieladressenfelder für den lokalen IPSecRichtliniendienst als Adressen des DHCP-Servers, DNS-Servers, WINS-Servers und des
Standardgateways konfigurieren. Damit kann sich die IPSec-Richtlinie automatisch bei Änderungen in
der IP-Konfiguration des Servers anpassen, sowohl für DHCP als auch für statische IP-Konfigurationen.
Computer, die Windows 2000 oder Windows XP ausführen, ignorieren diese Erweiterung der IPSecRichtlinie.
Zugriffskontrolle durch Zertifikatszuweisung zu Active Directory-Computerkonten
Das Snap-In der IP Sec-Richtlinien lässt sich nun so konfigurieren, dass es Computerzertifikate zu
Computerkonten in einem Active Directory Forest zuordnen kann. Hierzu wird die gleiche Art der
SChannel-Zertifikatzuordnung genutzt, die auch von IIS oder anderen PKI-fähigen Diensten verwendet
wird. Nachdem ein Zertifikat einem Domänencomputerkonto zugeordnet wurde, können Zugriffsrechte
gesetzt werden. Hierzu dienen die Einstellungen für die Netzwerkanmeldungsberechtigungen Zugriff
auf den Computer aus dem Netzwerk und den Zugriff auf diesen Computer vom Netzwerk verbieten.
Ein Netzwerkadministrator kann nun mithilfe von IPSec den Zugriff auf einen Windows Server 2003Computer nur für Computer aus einer bestimmten Domäne zulassen, für Computer, die ein Zertifikat
von einer bestimmten Zertifizierungsstelle haben, für eine spezielle Gruppe von Computern oder von
nur einem einzigen Computer. Computer, die Windows 2000 oder Windows XP ausführen, ignorieren
diese Erweiterung der IPSec-Richtlinien.
Stärkere Diffie-Hellman-Gruppen für den Internetschlüsselaustausch (IKE)
IPSec unterstützt jetzt die Verwendung eines Diffie-Hellman-Schlüsselaustauschs mit 2048 Bit nach
den Spezifikationen des Internetentwurfs "More MODP Diffie-Hellman groups for IKE" der IETF. Durch
die Verwendung einer stärkeren Diffie-Hellman-Gruppe bietet der durch den Diffie-Hellman-Austausch
entstehende geheime Schlüssel einen besseren krypographischen Schutz. Das Snap-In der IPSecRichtlinien erlaubt Ihnen die Konfiguration dieser neuen Diffie-Hellmann Gruppen sowohl für lokale als
auch für domänenbasierte IPSec-Richtlinien. Computer mit Windows XP oder Windows 2000 ignorieren
diese Einstellung.
Technische Übersicht über Netzwerktechnik und Kommunikation
38
Microsoft® Windows® Server 2003 – technischer Artikel
Besserer Schutz vor Denial-Of-Service-Angriffen für IKE
Das IKE-Protokoll (Internet Key Exchange), mit dem IPSec-Sicherheitszuordnungen ausgehandelt
werden, wurde in der Windows Server 2003-Familie so geändert, dass Angriffe durch zahlreiche
ungültige Anfragen (Denial-of-Service) über das IKE-Protokoll besser abgewehrt werden. Die
bekannteste Art solcher Angriffe ist das Senden von ungültigen Paketen an den UDP-Port 500. IKE
versucht, diese Pakete zu validieren, bis die Zahl der ankommenden Pakete zu groß ist. Dann beginnt
IKE damit, Pakete zu verwerfen. Wenn die Rate der ankommenden Pakete wieder sinkt, startet IKE
erneut mit der Auswertung auf der Suche nach zulässigen IKE-Paketen. Am schwierigsten ist eine
Abwehr des Angriffs, wenn ein bösartiger Benutzer gültige IKE-Eröffnungsnachrichten an den IKEResponder sendet, die entweder eine ungültige Ursprungs-IP-Adresse haben oder aber in sehr kurzen
Abständen von einer gültigen Ursprungs-IP-Adresse stammen. Dieser Angriff ist mit einer TCPSynchronisierungsattacke (mit SYN-Paketen) gegen TCP/IP-basierte Server vergleichbar. Der neue
Schutz sorgt dafür, dass der IKE-Responder auf die gültigen Eröffnungspakete eine IKE-Meldung mit
einem speziellen Wert im Responder-Cookie-Feld zurückgibt. Wenn der IKE-Initiator bei der nächsten
Antwort nicht diesen speziellen Wert im Cookie-Feld angibt, wird der IKE-Austausch ignoriert. Windows
Server 2003 als IKE-Initiator kann in diesem Fall einen erneuten Verbindungsaufbau korrekt versuchen.
Das IPSec-IKE-Modul speichert keine Zustandsinformationen einer IKE-Protokollaushandlung, bis eine
Antwort mit einem richtig gesetzten Responder-Cookie-Feldwert empfangen wird. Dies erlaubt die
Interoperabilität mit Computern, die Windows 2000, Windows XP oder IPSec-Implementierungen von
Drittherstellern ausführen, und erhöht die Chance, dass ein legitimer Initiator selbst dann erfolgreich
eine Verbindung aushandeln kann, wenn der Responder einem begrenzten Angriff ausgesetzt ist. Es
besteht nach wie vor die Gefahr, dass ein IKE-Responder von einer Flut berechtigter IKE-Pakete
überschwemmt wird. Der IKE-Responder ist dann erst direkt nach Ende des Angriffs wieder verfügbar.
Technische Übersicht über Netzwerktechnik und Kommunikation
39
Microsoft® Windows® Server 2003 – technischer Artikel
Zusätzliche neue Funktionen
Änderungen in der Winsock-API
Die Windows Sockets-API wurde in Windows Server 2003 wie folgt geändert:
Keine weitere Unterstützung von AF_NETBIOS (64-Bit-Version)
Die Funktion AF_NETBIOS wird von den 64-Bit-Versionen der Enterprise- und Datacenter-Edition nicht
unterstützt. Anwendungen sollten alternativ TCP oder UDP nutzen. Die Funktion bleibt für 32-BitAnwendungen von Drittherstellern noch erhalten.
ConnectEx/TransmitPackets und TCP/IP
Microsoft hat die Windows Sockets 2-Spezifikation um folgende zwei Funktionen erweitert:

Die Windows Sockets-Funktion ConnectEX() stellt die Verbindung zu einer anderen SocketAnwendung her und überträgt optional anschließend einen Datenblock.

Die Windows Sockets-Funktion TransmitPackets() übermittelt über einen verbundenen Socket (ein
Datagramm oder einen Stream) Daten in den Speicher und/oder an Dateien. Für das Einlesen von
Dateien wird die Cacheverwaltung des Betriebssystems verwendet und Speicher nur für die
minimal erforderliche Dauer zur Datenübertragung reserviert. Auf diese Weise ermöglicht Windows
eine sehr schnelle und effiziente Datenübertragung über Sockets aus Dateien oder aus dem
Hauptspeicher.
Windows Sockets Direct Path für SAN-Netzwerke
Die Windows Server 2003-Familie bietet im Bereich Windows Sockets erhebliche
Leistungsverbesserungen für Windows Sockets Direct (WSDP) in System Area Networks (SANs). WSD
ermöglicht Windows Sockets-Anwendungen, die SOCK_STREAM verwenden, die Leistungsvorteile
von SANs zu nutzen, ohne Änderungen an der Anwendung vornehmen zu müssen. Die grundlegende
Komponente für diese Technologie ist ein WinSock-Switch, der eine TCP/IP-ähnliche Kommunikation
emuliert und native SAN-Diensteanbieter verwendet. Für die Windows 2000 Server-Familie stand
WSD-Unterstützung nur unter Windows 2000 Advanced Server und Windows 2000 Datacenter Server
zur Verfügung. Windows Server 2003 unterstützt WSD in alle Editionen.
Weiterführende Informationen über die Windows Sockets-API finden Sie im Microsoft Plattform SDK.
Keine Unterstützung für veraltete Netwerkprotokolle
Die folgenden veralteten Netzwerkprotokolle werden nicht mehr unterstützt:

Data Link Control (DLC)

NetBIOS Extended User Interface (NetBEUI).
Folgende Netzwerkprotokolle wurden aus den 64-Bit-Versionen des Betriebssystems entfernt:

Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) und IPX-abhängige
Dienste

Infrared Data Association (IrDA)

Open Shortest Path First (OSPF).
Technische Übersicht über Netzwerktechnik und Kommunikation
40
Microsoft® Windows® Server 2003 – technischer Artikel
Obsolete RPC-Protokolle
Folgende RPC-Protokolle wurden durch TCP ersetzt:

Remote Procedure Call (RPC) über NetBEUI

RPC über NetBIOS über TCP/IP (NetBT)

RPC über NetBIOS über IPX (NBIPX)

RPC über SPX (nur 64-Bit)

RPC über AppleTalk (nur 64-Bit)
Folgende Protokolle wurden durch UDP ersetzt:

RPC über IPX

RPC über Message Queuing (MSMQ).
Befehlszeilentools
Es gibt eine Reihe von neuen Befehlszeilentools und Utilities zur besseren Verwaltung und
Administration von Computern. Eine ausführliche Beschreibung der CMD.exe-Shell und aller neuen
Befehlszeilentools finden Sie in der im Lieferumfang des Betriebssystems enthaltenen Hilfedatei für die
Kommandozeile. Zu den neuen Befehlen gehören:
Bootcfg.exe. Einstellungen der boot.ini-Datei auf dem lokalen oder einem remoten Computer (nicht bei
64-Bit-Versionen verfügbar) auslesen oder konfigurieren (z. B. debug on/off).
DriverQuery.exe. Anzeige der geladenen Gerätetreiber und deren Speicherbelegung.
Dsadd.exe. Erstellen einer Objektinstanz eines bestimmten Typs im Active Directory.
Dsmod.exe. Setzen und Verändern von Attributen eines bestehenden Objekts im Active Directory.
Dsrm.exe. Entfernen von Objekten oder kompletten Unterstrukturen eines Objektes aus dem Active
Directory.
Dsmove.exe. Objekte vom aktuellen Ort an eine neue übergeordnete Stelle innerhalb des gleichen
Namenskontextes im Active Directory verschieben oder Objekte innerhalb des Active Directorys
umbenennen.
Dsquery.exe. Objekte im Active Directory suchen, die bestimmten Suchkriterien entsprechen.
Dsget.exe. Ausgewählte Eigenschaften eines existierenden Objekts innerhalb des Active Directorys
anzeigen oder abfragen, hierzu muss die Position des Objekts angegeben werden.
Eventriggers.exe. Einen Prozess auf der Grundlage eines Ereignisses im Ereignisprotokoll ausführen.
Eventquery.vbs. Ereignisse eines bestimmten Typs aus dem Ereignisprotokoll abfragen. Die
ausgewählten Ereignisse können auf dem Bildschirm angezeigt oder in eine Datei gespeichert werden.
Eventcreate.exe. Ein benutzerdefiniertes Ereignis in ein beliebiges Ereignisprotokoll schreiben.
GPresult.exe. Ermitteln des Richlinienergebnissatzes (Resultant Set of Policies, RSoP) und Auflisten
der Richtlinien, die auf einen Computer angewendet werden.
Technische Übersicht über Netzwerktechnik und Kommunikation
41
Microsoft® Windows® Server 2003 – technischer Artikel
IIS Skripte. Zahlreiche neue Skripte (IISWeb.vbs, IISVdir.vbs usw.) bieten Befehlszeilentools zur
Konfiguration, Einrichtung und Verwaltung von Servern mit IIS und Active Server Pages (ASP)Anwendungen.
Netsh.exe. Umfassendes Tool zur Konfiguration von Netzwerken. Erweitert die grundlegenden
Netzwerkdiagnosefunktionen, die ursprünglich über das Tool NetDiag.exe zur Verfügung standen.
Openfiles.exe. Zeigt eine Liste der verbundenen Benutzer und der von ihnen auf den einzelnen
Freigaben eines Computers geöffneten Dateien.
Pagefileconfig.vbs. Aktuelle Größe der Auslagerungsdatei anzeigen oder die Größe dieser Datei
festlegen.
Drucker-Skripte. Zahlreiche neue Skripte (prncfg.vbs, prnjobs.vbs usw.) für die Verwaltung von
Druckerdiensten, Druckerwarteschlangen und Druckertreibern.
Reg.exe. Anzeigen und Editieren von Registry-Schlüsseln.
SC.exe. Starten und Anhalten von Win32-Diensten.
Schtasks.exe. Ermitteln, Setzen oder Editieren von zeitgesteuerten Aufträgen, die den bestehenden
Win32-Schedulerdienst nutzen.
Systeminfo.exe. Ermittelt grundlegende Konfigurationsinformationen (z. B. CPU und Speicher).
Taskkill.exe. Beenden oder Anhalten laufender Prozesse.
Tasklist.exe. Anzeigen aller laufenden Prozesse und PIDs.
Tsecimp.exe. Import von Telephony Application Programming Interface (TAPI)Benutzerkonteneigenschaften und -Zugriffsrechten.
Ein IT-Administrator kann mit diesen Befehlszeilentools besonders häufige Aufgaben oder die
unmittelbare, wiederholte Ausführung einer Tätigkeit der Serververwaltung über Visual Basic®-Skripte
oder Befehlszeilenstapelverarbeitungsdateien automatisieren. Dies vermeidet die von GUIVerwaltungstools in manchen Fällen erzwungene stückweise Bearbeitung von Routineaufgaben und
resultiert in geringeren IT-Verwaltungskosten.
Starke kryptographische Authentifizierung der Services für Macintosh
Für Computer mit „Diensten für Macintosh“ (SFM, Services for Macintosh) die das Microsoft
Benutzerauthentifizierungsmodul (MSUAM) verwenden, kann nun eine starke Authentifizierung durch
Auswahl der (NTLMv2)-Option benutzt werden. Wenn diese Option genutzt wird, können sich die
Benutzer nur gegenüber einem Server authentifizieren, der NTLMv2 einsetzt. Dies schließt Windows
NT® 4.0-Server und ältere Server aus, die NTLMv2 nicht für die Authentifizierung nutzen können. Der
Benutzer kann die Option Erfordert starke Authentifizierung (NTLMv2) deaktivieren, um die
Authentifizierung gegenüber älteren Servern zu ermöglichen.
Technische Übersicht über Netzwerktechnik und Kommunikation
42
Microsoft® Windows® Server 2003 – technischer Artikel
Zusammenfassung
Dieser Artikel hat die Erweiterungen und neuen Funktionen der Windows Server 2003 zur einfacheren
Installation, Konfiguration und Bereitstellung von Netzwerkdiensten und –Komponenten beschrieben.
Die Windows Server 2003-Familie bietet geänderte Protokolle, verbesserte Konnektivität für Internetund Netzwerkzugriff sowie eine bessere Unterstützung von Netzwerkgeräten.
Technische Übersicht über Netzwerktechnik und Kommunikation
43
Microsoft® Windows® Server 2003 – technischer Artikel
Weiterführende Links
Weiterführende Informationen finden Sie auf diesen Sites:

Introducing the Windows Server 2003 Family:
http://www.microsoft.com/windows.netserver/evaluation/overview/default.asp

What's New in Networking and Communications:
http://www.microsoft.com/windows.netserver/evaluation/overview/technologies/networking.asp

Microsoft Windows – IPv6 Web Site: http://www.microsoft.com/ipv6

Microsoft Windows – Wi-Fi Web Site: http://www.microsoft.com/wifi

Microsoft Windows – VPN Web Site: http://www.microsoft.com/vpn

Microsoft Windows – IAS Web Site:
http://www.microsoft.com/windows2000/technologies/communications/ias/

Microsoft Windows – IPSec Web Site:
http://www.microsoft.com/windows2000/technologies/communications/ipsec/default.asp
Die neuesten Informationen zu Windows Server 2003 finden Sie auf der Windows Server 2003-Website
unter http://www.microsoft.com/windows.netserver.
Technische Übersicht über Netzwerktechnik und Kommunikation
44