Anbei ein guter Ratgeber von Jürgen Hönig von NCP Engineering GmbH, der sich zu Direct Access und VPN ein paar gute Gedanken gemacht hat, und sehr erklärende Antworten auf die Fragen gibt, die wir alle stellen.
Frage: Microsoft hat Windows 8 mit erweiterten DirectAccces-Funktionen ausgestattet. Warum sollten Unternehmen, die Windows 8 einsetzen, dennoch Virtual Private Networks einsetzen?
Antwort: Die Argumente, weshalb in einer reinen Windows-Umgebung mit Windows-8-Clients zusätzlich ein Virtual Private Network implementiert werden sollte, sind dünn gesät. So ist es beispielsweise bei Windows 8 nicht erforderlich, einen separaten DirectAccess-Client zu installieren. Das war noch bei Windows 7 der Fall. Allerdings weist auch Windows 8 in Verbindung mit DirectAccess einige Schwachpunkte auf.
So unterstützt nur Windows 8 Enterprise die verbesserten DirectAccess-Management-Funktionen von Windows Server 2012. Viele Anwender, auch Geschäftskunden, werden jedoch Systeme mit Windows 8 Pro einsetzen. Ihnen stehen die Funktionen somit nicht zur Verfügung.
Ein weiterer kritischer Punkt ist die enge Verzahnung von Betriebssystem, in diesem Fall Windows 8, und DirectAccess. Sicherheitslücken in Windows 8 oder gezielte Angriffe auf das Betriebssystem könnten somit auch DirectAccess-Verbindungen kompromittieren.
Frage: Gibt es Vorgaben von DirectAccess in Bezug auf die Rechner-Hardware?
Antwort: Wie auch bei Windows 7 muss ein Client-System, das DirectAccess nutzen möchte, auch bei Windows 8 ein Trusted Platform Module (TPM) und einen Smartcard-Reader besitzen. Bei VPN-Lösungen ist das nicht der Fall. Vor allem kleinere und mittelständische Unternehmen setzen jedoch häufig Windows-PCs ein, die für den Consumer-Bereich vorgesehen sind und über kein TPM verfügen.
Frage: Macht DirectAccess in Verbindung mit Windows 8 VPN überflüssig?
Antwort: Nein, denn Windows-8-Systeme können nur in reinen Windows-Umgebungen über DirectAccess mit Servern und Clients kommunizieren. In gemischten Umgebungen, beispielsweise mit Linux-Servern, MacOS-Rechnern oder Endgeräten mit dem Betriebssystem Android sind VPN unverzichtbar. Diese Plattform-Vielfalt wird sich durch den Trend in Richtung „Bring Your Own Device“ (BYOD) künftig noch verstärken. Das wird den Nutzen von DirectAccess weiter schmälern.
Zudem haben viele Unternehmen und öffentliche Einrichtungen, wie etwa Bildungseinrichtungen und Behörden, eine VPN-Infrastruktur aufgebaut. Diese Investitionen werden sie wohl kaum zugunsten von Windows 8 in Verbindung mit Windows Server 2012 aufgeben.
Frage: Eine der größten Schwächen von DirectAccess in Verbindung mit Windows Server 2008 R2 war die unflexible und komplexe Implementierung. Windows Server 2012 hat in dieser Beziehung Verbesserungen gebracht. Gibt es aber dennoch Dinge, die verbessert werden könnten oder gar optimiert werden müssten?
Antwort: Die Implementierung von DirectAccess unter Windows Server 2012 ist in der Tat deutlich einfacher. Es ist beispielsweise nur noch über eine Konsole erforderlich; zuvor waren es mehrere. Zudem können eingehende Remote-Access-Verbindungen mittels Network Address Translation (NAT) zu einem zentralen DirectAccess-Server weitergeleitet werden. Es sind nicht mehr mehrere Server notwendig. Weiterhin wird nun ein globales Server-Load-Balancing unterstützt. Das heißt beispielsweise, dass sich ein Windows-8-Client problemlos am nächstgelegenen Network Entry Point anmelden kann.
Dem stehen jedoch etliche Problempunkte gegenüber. So ist der Multi-Site-Support bei Windows Server 2012 und DirectAccess immer noch aufwändig. Außerdem muss bei Multi-Site-Implementierungen zwingend eine Private Key Infrastructure (PKI) genutzt werden. Dies ist mit einem erhöhten Aufwand für den Anwender verbunden und widerspricht Microsofts Aussage, dass mit Windows 8, DirectAccess und Windows Server 2012 der Aufbau von sicheren Verbindungen generell einfacher vonstattengeht als bei einer VPN-Infrastruktur.
Nach Berichten von Anwender ist es außerdem notwendig, bei DirectAccess-Implementierungen die DHCP- und DNS-Einträge (Dynamic Host Configuration Protocol / Domain Name Server) höchst sorgfältig zu konfigurieren. Auch das erhöht den Aufwand und die Fehleranfälligkeit.
Frage: Stehen die verbesserten Konfigurations- und Managementfunktionen für DirectAccess auch in Netzwerken zur Verfügung, in denen sowohl Windows Server 2008 R2 als auch Windows Server 2012 im Einsatz sind?
Antwort: Nein, die Verbesserungen sind nur für Windows Server 2012 verfügbar. Es ist davon auszugehen, dass Anwender nur allmählich von Windows Server 2008 R2 auf Version 2012 umstellen werden. Das heißt, viele Firmen müssen noch etliche Zeit lang mit den Einschränkungen leben, die mit dem Einsatz von DirectAccess in einer Umgebung mit Windows Server 2008 verbunden sind.
Frage: Lässt sich DirectAccess in Verbindung mit einem VPN einsetzen, etwa in Unternehmen, die für Rechner unter Windows 7 und Windows 8 DirectAccess einsetzen wollen, gleichzeitig ein IPsec/SSL-VPN für Windows XP, MacOS, iOS, Android oder Linux benötigen?
Antwort: Hier ändert sich auch durch Windows Server 2012 nichts. DirectAccess ist weiterhin nur für Windows-7/8-Clients tauglich. Wer andere Clients (MacOS, iOS, Android, Linux, Unix) einsetzt, muss parallel dazu eine VPN-Infrastruktur aufbauen beziehungsweise betreiben. Windows Server 2012 bietet zwar bei der Implementierung von DirectAccess per „default“ die zusätzliche Installation von VPNs für Nicht-Windows-Clients an. Dennoch werden weiterhin zwei Welten existieren, wenn ein Anwender neben Rechnern unter Windows 7 und 8 auch Clients mit anderen Betriebssystemen verwendet. Damit verbunden ist ein erhöhter Aufwand bei der Installation und Konfiguration sowie dem Betrieb. Außerdem steigt die Wahrscheinlichkeit, dass wegen der hohen Komplexität Sicherheitslücken auftreten.
