126 Kapitel 3: Konfiguration des Netzwerkzugriffs
Abbildung 3.7 Das Dialogfeld Neue RADIUS-Remoteservergruppe
Weitere Informationen Konfigurieren von NPS als RADIUS-Proxy
Weitere Informationen über die Konfiguration des Netzwerkrichtlinienservers als RADIUS-
Proxy finden Sie im TechNet in dem Dokument http://technet.microsoft.com/de-de/library/
cc731320.aspx.
Schnelltest
1. Welche Authentifizierungsprotokolle auf Kennwortbasis können Sie in einem Win-
dows Server 2008-VPN-Server verwenden?
2. Welche beiden Dinge müssen Sie konfigurieren, damit ein vorhandener RADIUS-
Server zusätzlich als RADIUS-Proxy dienen kann?
Antworten zum Schnelltest
1. MS-CHAP v2, EAP-MS-CHAP v2 und PEAP-MS-CHAP v2 sind die Authentifizie-
rungsprotokolle auf Kennwortbasis, die Sie in einem Windows Server 2008-VPN-
Server verwenden können.
2. Damit ein vorhandener RADIUS-Server auch als RADIUS-Proxy dienen kann,
konfigurieren Sie eine RADIUS-Remoteservergruppe und eine Verbindungsanforde-
rungsrichtlinie, die für die Weiterleitung des Datenverkehrs zu dieser Servergruppe
sorgt.
Netzwerkadressübersetzung
Die Netzwerkadressübersetzung (NAT, Network Address Translation) ermöglicht es, die
Internet-Verbindung eines Hosts, der mit zwei (oder mehr) Netzwerkkarten ausgerüstet ist,
mit
anderen Hosts aus einem privaten Netzwerk gemeinsam zu verwenden. NAT unterscheidet
sich insofern vom Routing, als es zwar Hosts in einem privaten Netzwerk zulässt, aber Hosts
aus dem Internet keinen direkten Zugriff auf Hosts aus dem privaten Netzwerk erlaubt. Die
Port-Weiterleitung ist eine Ausnahme von dieser Regel. Im Verlauf dieser Lektion erfahren
Sie mehr darüber.
Windows Server 2008 bietet zwei Arten von NAT: NAT durch ICS und NAT durch Routing
und RAS. NAT durch Routing und RAS ermöglicht Ihnen die Verwendung von beliebigen
Lektion 1: Einrichten des Remotezugriffs 127
internen Netzwerkadressen, kann mit mehreren Subnetzen verwendet werden und ermög-
licht die Verwendung von separaten DHCP-Servern für die Vergabe von Adressen an Hosts
des internen Netzwerks. NAT durch Routing und RAS kann zusammen mit einem Netz-
werkzugriffsschutz mit DHCP-Erzwingung bereitgestellt werden.
NAT durch ICS unterstützt nur ein einziges Subnetz mit Adressen aus dem Netzwerk
192.168.0.0/24. Wenn Sie ICS verwenden, müssen Sie den DHCP-Server des ICS-Servers
verwenden. Sie können ICS nicht zusammen mit NAP mit DHCP-Erzwingung verwenden.
Allerdings ist es möglich, NAP mit IPSec-Erzwingung und NAP mit 802.1x-Erzwingung zu
verwenden. Im Allgemeinen verwendet man NAT durch ICS in Netzwerken mit weniger als
zehn Hosts, wie sie zum Beispiel im Einzelhandel oder in kleinen Zweigstellen verwendet
werden.
Konfigurieren der Netzwerkadressübersetzung
Zur Konfiguration von NAT durch Routing und RAS starten Sie den Setup-Assistenten für
den Routing- und RAS-Server und wählen Netzwerkadressübersetzung (NAT), wie in Abbil-
dung 3.8. Im weiteren Verlauf fordert der Assistent Sie auf, die Schnittstelle anzugeben, über
die der Server aus dem Internet erreichbar ist, oder eine neue Schnittstelle für eine Einwähl-
verbindung zu erstellen, mit der Routing und RAS eine Verbindung über ein Modem herstel-
len kann.
Abbildung 3.8 Einrichten von NAT im Setup-Assistenten für den Routing- und RAS-Server
Um NAT durch ICS zu konfigurieren, gehen Sie folgendermaßen vor:
1. Öffnen Sie das Netzwerk- und Freigabecenter und klicken Sie auf Netzwerkverbindun-
gen verwalten.
2. Klicken Sie die vorgesehene Netzwerkschnittstelle, mit der die Verbindung zum Inter-
net erfolgen soll, mit der rechten Maustaste an und wählen Sie Eigenschaften. Klicken
Sie auf Fortsetzen, um das Dialogfeld Benutzerkontensteuerung zu schließen.
3. Klicken Sie im Dialogfeld Eigenschaften von <Netzwerkverbindung> auf die Regis-
terkarte Freigabe und wählen Sie das Kontrollkästchen Anderen Benutzern im Netz-
128 Kapitel 3: Konfiguration des Netzwerkzugriffs
werk gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden
(Abbildung 3.9).
Abbildung 3.9 Aktivieren von ICS
Port-Weiterleitung
Die Port-Weiterleitung ermöglicht es Ihnen, Datenverkehr, der an einen bestimmten Port der
öffentlichen Schnittstelle des NAT-Servers gerichtet ist, an einen Host aus dem internen
Netzwerk weiterzuleiten. Zum Beispiel könnten Sie Port 80 der öffentlichen Schnittstelle
des NAT-Servers mit einem Webserver aus Ihrem internen Netzwerk verknüpfen, damit er
die Daten erhält. Die Port-Weiterleitung basiert auf Schnittstellenadressen, also nicht auf
Hostnamen. Das bedeutet, dass Sie Anfragen, die auf derselben Schnittstelle eingehen, nicht
anhand der in den Anfragen angegebenen Hostnamen an verschiedene Hosts des internen
Netzwerks verteilen können.
Um in der Konsole Routing und RAS eine Port-Weiterleitung zu konfigurieren, gehen Sie
folgendermaßen vor:
1. Öffnen Sie die Konsole Routing und RAS und wechseln Sie zum Knoten <Server>\
IPv4\NAT.
2. Klicken Sie die mit dem Internet verbundene Schnittstelle mit der rechten Maustaste
an und wählen Sie Eigenschaften.
Es öffnet sich das Dialogfeld Eigenschaften von <Netzwerkverbindung>.
3. Wählen Sie auf der Registerkarte Dienste und Ports das Kontrollkästchen für den
Dienst, für den die Weiterleitung von der mit dem Internet verbundenen Schnittstelle
an einen Host aus dem internen Netzwerk erfolgen soll, und klicken Sie auf Bear-
beiten.
Es öffnet sich das Dialogfeld Dienst bearbeiten.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
