Win7 Direct Access – fürs 21. Jahrhundert oder die Mülltonne?

CloudIT-ManagementIT-ProjekteServerSicherheitSicherheitsmanagement

Ist das Windows7-VPN »Direct Access« ohne Windows Server 2008 sinnlos? Insider Andrew Garcia hat es getestet und meint: Wer nicht Windows 7 Enterprise und Windows Server 2008 R2 in der Firma hat, sollte lieber bei den traditionellen VPNs bleiben. Ansonsten aber »läuft es wie ein Traum«.

Microsoft vermarktet DirectAccess als unterbrechungsfreie Verbindung von überall ins Unternehmens-Netzwerk. Zu schön um wahr zu sein: Wer nicht die Enterprise-Version des neuen Windows-Clients hat und auf Server-Seite nicht den Windows Server 2008, kann den Traum erst mal begraben, meint Garcia.

Die »next-generation access technology designed to connect remote clients in the age of the vanishing network perimeter« (Microsoft) ist tatsächlich dazu gedacht, die vertrauenswürdigen aber oft kostspieligen Virtual Private Networks abzuschaffen und durch eine dauerhafte und sichere Verbindung direkt vom Betriebssystem zu ersetzen. Die MS-Strategie, den neuen Windows-Client und gleichzeitig die R2-Version des Windows Server 2008 an die Firmenkunden zu bringen, könnte sich allerdings als langwieriges Unterfangen aufweisen.

Zielgruppe sind daher erst einmal die »Early Windows 7 Adopters«, und im Test ergab sich tatsächlich: Es läuft wunderbar, wenn man die neueste Technik betreibt und richtig konfiguriert. Doch Fragen über die Skalierbarkeit, Leistungsgrenzen und so weiter lassen sich erst beantworten, wenn eine andere Microsoft-Gateway-Technik aus der Betaphase heraus ist: Erst das »Forefront Unified Access Gateway« (UAG) von Microsoft wird zeigen, was noch machbar ist.

DirectAccess nutzt IPSec und IPv6, um die dauerhafte Verbindung zu ermöglichen – Windows 7 Enterprise oder Ultimate prüfen die Verbindung. Doch wer noch alte Windows Server 2003 betreibt, ist erst einmal von den neuen Verheißungen ausgeschlossen. Garcia geht in seinen Tests noch tiefer auf die Funktionsweise von DirectAccess ein und erzählt vom Umgang mit DNS queries, der NRPT (Name Resolution Policy Table) von Windows 7 und wie der reine Internetverkehr von DirectAccess ferngehalten wird. Das System könne auch intelligent mit Netzen umgehen, die noch IPv4 nutzen und seine schon verschlüsselten IPSec-Daten nochmals in sichere https-Datenströme stecken.

Wer aber DirectAccess noch mit Windows Server 2003 betreiben wolle, müsse sich wirklich viel Zeit für umfangreiche Upgrades seiner Software und Infrastruktur nehmen. Ebenso verhält es sich mit der Client-Seite: Windows 7 Professional reicht nicht. Auch Betreiber des XP-Mode in Windows 7 müssen sich damit abfinden, da auch DirectAccess-fähige Windows-Clients hier keine Verbindung öffnen können. (Manfred Kohlen)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen