Windows Server 2008R2: Mehrwert durch den gemeinsamen Einsatz mit Windows 7

Ehe ihr uns wieder schlagt: Ja, der Content kommt von microsoft.com/germany/windowsserver2008, aber einerseits ist es durchaus sinnvoll manche Dinge auch mal zu wiederholen, und andererseits mag es auch andere, interne Gründe dafür geben (Frei nach dem Motto: “Stay tuned”!)!

Windows Server 2008

Windows Server 2008 R2 enthält viele Funktionen speziell für die Zusammenarbeit mit Client-Computern, auf denen Windows 7 läuft. Windows 7 ist die neueste Version des Windows-Betriebssystems von Microsoft.

  • Nutzung fortgeschrittener CPU-Architekturen

    Windows Server 2008 R2 ist das erste Windows-Betriebssystem, das exklusiv für 64-Bit-Prozessoren angeboten wird. Während 32-Bit-Anwendungen unter Windows Server 2008 R2 weiterhin laufen, ermöglicht es die Fokussierung auf 64-Bit, stärker von den Leistungs- und Zuverlässigkeitspotenzialen dieser CPUs zu profitieren. Des Weiteren unterstützt Windows Server 2008 R2 nun bis zu 256 logische Prozessorkerne in einer einzigen Betriebssysteminstanz. Virtuelle Maschinen in Hyper-V sind jetzt dazu in der Lage, bis zu 64 logische Kerne in einer einzigen virtuellen Maschine zu adressieren.

    Folgende Funktionen sind nur dann verfügbar, wenn Windows 7-Clientcomputer zusammen mit Servercomputern eingesetzt werden, die mit Windows Server 2008 R2 arbeiten:

  • Vereinfachungen bei der Remotekonnektivität von Unternehmenscomputern über die DirectAccess-Funktion

    Ein häufiges Problem, mit dem viele Unternehmen konfrontiert sind, betrifft die Remotekonnektivität ihrer mobilen Benutzer. Eine weitverbreitete Lösung zur Anbindung von Remotebenutzern besteht in der Verwendung von VPN (virtuellen privaten Netzwerk) -Verbindungen. Abhängig von der VPN-Art kann es für Benutzer jedoch erforderlich sein, VPN-Clientsoftware auf ihren mobilen Computern zu installieren, um damit die VPN-Verbindung über das Internet herzustellen. Die DirectAccess-Funktion von Windows 7 und Windows Server 2008 R2 hingegen erlaubt es mit Windows 7 arbeitenden Clientcomputern, sich direkt mit Ressourcen im Intranet zu verbinden – ohne die Komplexität, die aus dem Aufbau einer VPN-Verbindung resultiert. Der Benutzer verfügt über dieselbe Konnektivitätsumgebung sowohl innerhalb als auch außerhalb des Büros. Die folgende Abbildung verdeutlicht die Unterschiede zwischen herkömmlichen VPN-basierten Remotezugriffslösungen einerseits und DirectAccess andererseits.

 

 

DirectAccess ist als nahtlose „Always-on“-Remotezugriffslösung konzipiert. Diese beseitigt Komplexität aufseiten des Benutzers und stellt Unternehmen leichte, effiziente Tools zur Konfiguration und Verwaltung zur Verfügung. Die Sicherheit bei Remotezugriffen wird dabei nicht beeinträchtigt. DirectAccess integriert folgende wichtige Merkmale:

  • Authentifizierung:

    DirectAccess authentifiziert den Computer, was es diesem ermöglicht, sich mit dem Intranet zu verbinden, bevor sich der Benutzer anmeldet. Genauso kann DirectAccess den Benutzer authentifizieren, wobei die Zweifaktor-Authentifizierung mittels Smartcard unterstützt wird.

  • Verschlüsselung:

    DirectAccess verwendet Internet Protocol security (IPsec) zur verschlüsselten Kommunikation im Internet.

  • Zugriffskontrolle:

    Die IT-Abteilung kann vorgeben, auf welche Intranetressourcen verschiedene Benutzer mit DirectAccess zugreifen dürfen. DirectAccess-Benutzer können auf bestimmte Server oder Subnetze begrenzt werden oder aber die Erlaubnis zum unbegrenzten Zugriff auf das Intranet erhalten. Zusätzlich ist es möglich, bei einzelnen Anwendungen individuelle Sicherheitsrichtlinien umzusetzen. Beispielsweise lässt sich festlegen, dass eine Anwendung beim Senden und dem Empfang sensitiver Daten die IPsec-Verschlüsselung verwendet, während andere Anwendungen nur die IPsec-Authentifizierung oder gar keinen IPsec-Schutz erfordern.

  • Integration mit dem Netzwerkzugriffsschutz:

    Der in Windows Server 2008 R2 und Windows 7 eingebaute Netzwerkzugriffsschutz ist zusammen mit DirectAccess verwendbar. Dadurch können Prüfungen stattfinden, ob Clientcomputer Ihre Anforderungen an die Systemintegrität erfüllen (etwa, dass Sicherheitsupdates und Anti-Schadsoftware-Definitionen installiert sind), bevor diesen der Aufbau einer DirectAccess-Verbindung gestattet wird.

  • Separation von Intranet- und Internetübertragungen:

    Standardmäßig wird nur Verkehr, der für Ihr Intranet bestimmt ist, zum DirectAccess-Server gesandt. Bei einem herkömmlichen VPN hingegen erfolgen Internetübertragungen normalerweise über Ihr Intranet, was Internetzugriffe für Benutzer verlangsamt. Falls Sie dies wünschen, können Sie die Konfiguration dahingehend ändern, dass DirectAccess Internetzugriffe genauso wie ein herkömmliches VPN abwickelt.

Ein weiterer Unterschied zwischen DirectAccess und VPNs besteht darin, dass DirectAccess-Verbindungen hergestellt werden, noch ehe der Benutzer angemeldet ist. Das bedeutet, dass Sie einen über DirectAccess verbundenen Remotecomputer selbst dann verwalten können, wenn der Benutzer nicht angemeldet ist, um zum Beispiel Gruppenrichtlinieneinstellungen anzuwenden. Möchte der Benutzer auf Intranetressourcen zugreifen, muss er sich jedoch vorher anmelden.

DirectAccess bietet die folgenden Vorteile:

  • Nahtlose Konnektivität:

    DirectAccess ist verwendbar, wann immer der Benutzer über eine Internetverbindung verfügt. Dadurch erhalten Benutzer Zugriff auf interne Netzwerkressourcen, wenn sie auf Reisen oder zuhause sind.

  • Remoteverwaltung:

    IT-Administratoren können sich direkt mit DirectAccess-Clientcomputern verbinden, um diese zu überwachen und verwalten oder um auf diesen Updates zu installieren – selbst wenn der Benutzer nicht angemeldet ist. Dadurch verringern sich die Kosten für die Verwaltung von Remotecomputern, da sie im Hinblick auf kritische Updates und Konfigurationsänderungen auf aktuellem Stand gehalten werden.

  • Höhere Sicherheit:

    DirectAccess nutzt IPsec zur Authentifizierung und Verschlüsselung. Wahlweise können Sie zur Benutzerauthentifizierung Smartcards verwenden. DirectAccess integriert sich in den Netzwerkzugriffsschutz, um Compliance-Prüfungen auf Clientcomputern durchzuführen, bevor diesen die Verbindung zu internen Ressourcen gestattet wird. IT-Administratoren können den DirectAccess-Server so konfigurieren, dass dieser den Zugriff von Benutzern und einzelnen Anwendungen auf bestimmte Server begrenzt.

Weitere Informationen erhalten Sie unter www.microsoft.com/directaccess.

  • Gesicherte Remotekonnektivität privater und öffentlicher Computer

    Ein anderes häufiges Problem für Remotebenutzer betrifft den Zugriff auf Intranet-basierte Ressourcen von Computern, die nicht dem Unternehmen des Benutzers gehören – wie es beispielsweise bei öffentlichen Computern in oder Internet-Kiosken der Fall ist. Ohne einen mobilen Computer, der ihnen vom eigenen Unternehmen bereitgestellt wird, sind Benutzer meist nicht dazu in der Lage, auf Intranet-basierte Ressourcen zuzugreifen. Die Kombination aus Remotearbeitsplatz, Präsentationsvirtualisierung und Remotedesktopgateway erlaubt es Benutzern von Windows 7-Clients, remote auf ihre Intranet-basierten Ressourcen zuzugreifen, ohne dass dazu die Installation einer zusätzlichen Software auf dem Computer erforderlich ist. Das gestattet es Ihren Benutzern, auf ihren Desktop remote genauso zuzugreifen, als würden sie mit ihren Computern im Intranet arbeiten. Aus Benutzersicht verändert sich der Desktop auf dem entfernten Windows 7-Client, um genauso auszusehen wie der Desktop des Benutzers im Intranet – einschließlich Symbolen, Startmenüeinträgen und installierter Anwendungen. Nahtlos fügen sich diese Änderungen in die Benutzeroberfläche des entfernten Windows 7-Clients ein. Schließt der Remotebenutzer dort dann die Remotesitzung , kehrt die Desktop-Umgebung auf dem entfernten Windows 7-Client wieder zur vorigen Konfiguration zurück.

  • Verbesserte Performance für Zweigstellen

    Angesichts der Herausforderungen zur Kostenreduzierung und Vereinfachung der IT-Zweigstellenkomplexität suchen viele Unternehmen nach Wegen, Anwendungen zu zentralisieren. Dadurch steigt jedoch die Abhängigkeit von der Verfügbarkeit und Qualität der WAN-Verbindung. Direkte Resultate der Zentralisierung sind eine erhöhte Auslastung der WAN-Verbindung sowie eine Verschlechterung der Anwendungsgeschwindigkeit. Ungeachtet von Preisreduzierungen für WAN-Verbindungen sind aber die dafür anfallenden Kosten nach wie vor ein Hauptbestandteil der Betriebsausgaben vieler Unternehmen.

Die BranchCache-Funktion in Windows Server 2008 R2 und Windows 7 verringert die Netzwerkauslastung von WAN-Verbindungen zur Zweigstellenanbindung. Des Weiteren verbessert sich die Benutzerfreundlichkeit in Zweigstellenstandorten, indem häufig genutzte Inhalte lokal im Zweigstellennetzwerk zwischengespeichert werden. Wenn Zweigstellen-Clients Daten abrufen möchten, die sich auf Servern im Rechenzentrum des Unternehmens befinden, speichern sie eine Kopie der abgerufenen Inhalte im lokalen Zweigstellennetzwerk. Anschließende Zugriffe auf dieselben Inhalte werden dann aus diesem lokalen Cache der Zweigstelle bedient. Dadurch verringern sich die Zugriffszeiten vor Ort, während die WAN-Bandbreitenauslastung zwischen der Zweigstelle und dem Unternehmensnetzwerk sinkt. BranchCache speichert sowohl http- als auch SMB-Inhalte zwischen und stellt sicher, dass Zugriffe nur von autorisierten Benutzern erfolgen, da der Autorisierungsprozess von Servern durchgeführt wird, die sich im Rechenzentrum befinden. BranchCache unterstützt auch SSL- oder IPsec-verschlüsselte Inhalte und beschleunigt ihre Bereitstellung ebenfalls.

BranchCache kann auf zwei Arten implementiert werden:

  • Beim ersten Verfahren werden zwischengespeicherte Inhalte auf einem dedizierten BranchCache-Server in der Zweigstelle abgelegt, was für eine hohe Verfügbarkeit sorgt. Dieses Szenario ist für größere Zweigstellen gedacht, in denen zahlreiche Benutzer die BranchCache-Funktion gleichzeitig nutzen. Dabei stellt ein BranchCache-Server im entfernten Standort sicher, dass die Inhalte immer verfügbar sind und bei allen Anfragen eine durchgängige Sicherheit besteht.

  • Das zweite Szenario konzentriert sich auf Inhaltsanfragen einzelner Peers und ist ausschließlich für sehr kleine Zweigstellenbüros mit bis zu zehn Benutzern gedacht, die lokal keine dedizierten Serverressourcen benötigen. In diesem Szenario empfängt der BranchCache-Server im Unternehmensnetzwerk Clientanfragen. Falls die betreffenden Inhalte schon einmal vom entfernten Standort angefordert worden sind, leitet der BranchCache-Server in der Zentrale die Anfrage an einen im Zweigstellennetzwerk befindlichen Computer weiter, von wo aus die Inhalte schließlich bereitgestellt werden. Wurden die Inhalte vorher niemals abgerufen oder ist der Benutzer, der diese zuvor abgerufen hat, nicht im Standort, wird die Anfrage auf herkömmliche Weise über die WAN-Verbindung abgewickelt.

  • Höhere Sicherheit für Zweigstellen

    Windows Server 2008 bietet die Read-Only-Domänencontroller-Funktionalität. Diese erlaubt es, eine Nur-Lese-Kopie des Active Directory in weniger sicheren Umgebungen wie zum Beispiel Zweigstellen zu platzieren. Windows Server 2008 R2 führt die Unterstützung für Nur-Lese-Kopien von Informationen ein, die in Distributed File System (DFS) -Replikas gespeichert sind. Read-only DFS-Replikas helfen beim Schutz Ihres digitalen Eigentums, indem Zweigstellen lediglich lesende Zugriffe auf Informationen gestattet werden, die Sie über DFS dorthin replizieren. Da diese Information nur gelesen werden können, sind Benutzer nicht dazu in der Lage, die in Read-only DFS-Replikas hinterlegten Inhalte zu modifizieren. Außerdem werden die betreffenden Daten so vor dem versehentlichen Löschen in Zweigstellenstandorten geschützt.

  • Effizientere Energieverwaltung

    Windows 7 enthält eine Vielzahl an Funktionen zur Energieverwaltung, die es Ihnen gestatten, den Stromverbrauch in Ihrem Unternehmen granularer als bei früheren Betriebssystemen zu steuern. Windows 7 kann die Möglichkeiten neuerer Desktop- und Notebookhardware dazu nutzen, um den Stromverbrauch gezielt zu verringern. Windows Server 2008 R2 enthält eine Reihe von Gruppenrichtlinieneinstellungen, die es Ihnen erlauben, den Stromverbrauch von Computern, die mit Windows 7 arbeiten, zentral zu verwalten.

  • Verbesserte virtualisierte Desktopintegration

    Windows 7 kennt RemoteApp- und Desktopverbindungen-Feeds. Diese Funktion dient dazu, über die Remotedesktopdienste virtualisierte Desktops und Anwendungen in die Windows 7-Benutzeroberfläche zu integrieren. Diese Integration verbessert die Benutzerfreundlichkeit bei der Verwendung virtualisierter Anwendungen und Desktops, die genauso erscheinen wie lokal laufende Anwendungen.

  • Höhere Fehlertoleranz für die Konnektivität zwischen Standorten

    Ein häufig anzutreffendes Szenario bezieht sich auf die Konnektivität zwischen Standorten. Viele Unternehmen verbinden ihre Standorte mit VPN-Tunneln über öffentliche Netzwerke wie das Internet. Ein großes Problem heutiger VPN-Lösungen ist jedoch, dass diese nicht gut mit Verbindungsfehlern oder Geräteausfällen zurechtkommen. Tritt ein solches Versagen auf, wird der VPN-Tunnel beendet und muss neu aufgebaut werden, was zeitweilig zu Verbindungsausfällen führt. Die Agile VPN-Funktion von Windows Server 2008 R2 ermöglicht einem VPN die Unterhaltung mehrerer Netzwerkpfade zwischen den Endpunkten in einem VPN-Tunnel. Im Falle eines Fehlers verwendet Agile VPN automatisch einen anderen Netzwerkpfad, um den vorhandenen VPN-Tunnel aufrecht zu halten und die Konnektivität nicht zu unterbrechen.

  • Besserer Schutz für Wechsellaufwerke

    Windows Server 2008 verfügt über die BitLocker-Laufwerksverschlüsselung, um Betriebssystem- und Daten-Volumes zu schützen. Informationen, die auf Wechsellaufwerken gespeichert sind, lassen sich mit Encrypted File System (EFS) verschlüsseln. Bei Windows 7 lässt sich BitLocker auch zur Verschlüsselung von Wechsellaufwerken wie eSATA- und USB-Festplatten oder USB- und CompactFlash-Laufwerken nutzen. Auf diese Weise können Sie Informationen, die auf Wechsellaufwerken abgelegt sind, mit demselben Schutzgrad wie die Betriebssystem- und Daten-Volumes versehen. BitLocker erfordert ein Trusted Platform Module (TPM) oder einen Schlüssel, um auf Informationen zuzugreifen, die von BitLocker verschlüsselt worden sind. Zusätzlich können Sie eine persönliche Identifikationsnummer (PIN) verlangen.

  • Verbesserter Schutz vor Datenverlusten mobiler Benutzer

    Die Offlinedateifunktion erlaubt es Ihnen, in einem freigegebenen Netzwerkordner gespeicherte Dateien und Ordner so zu kennzeichnen, dass sich diese auch dann verwenden lassen, wenn der Netzwerkordner nicht verfügbar (offline) ist. Nützlich ist dies zum Beispiel dann, wenn ein mobiler Benutzer die Verbindung seines Notebooks mit Ihrem Intranet trennt und von einem Remotestandort aus weiterarbeiten möchte. Bei Windows Server 2008 und Windows Vista ist die Offlinedateifunktion standardmäßig für den Onlinemodus konfiguriert. Bei Windows Server 2008 R2 und Windows 7 unterstützt die Offlinedateifunktion standardmäßig die Überleitung in den Offlinemodus, wenn der Computer mit einem langsamen Netzwerk verbunden ist. Dies hilft dabei, den Netzwerkverkehr während Intranetverbindungen zu reduzieren, da Benutzer zunächst lokal zwischengespeicherte Kopien verändern, die lokal im Offlinedateien-Cache gespeichert sind. Gleichzeitig werden die im lokalen Offlinedateien-Cache gespeicherten Informationen durch die Synchronisation mit dem freigegebenen Netzwerkordner vor Verlust geschützt.

 

-Stephanus