Microsoft hat mit der Wahl von Teredo im Hinblick auf Zukunftssicherheit und praktischer Verfügbarkeit die richtige Entscheidung getroffen. Wenn das Internet in einigen Jahren nach und nach auf IPv6 umgestellt wird, muss man sich mit den Sicherheitsimplikationen von öffentlichen IPv6-Adressen für jeden Rechner ohnehin auseinandersetzen. Die Schaffung eines linklokalen VPNs hätte die Sicherheitsprobleme erst einmal ausgeklammert.
In einem linklokalen IPv6-VPN kann man zwar testen, wie gut Outlook und Exchange über IPv6 zusammenarbeiten, würde aber dann später auf sicherheitsrelevante Einschränkungen stoßen, die in einem geschützten Netz nicht auftreten. Eine Realisierung von Direct Access mit privaten, aber nicht linklokalen Adressen ist jedoch möglich, wenn sich Sicherkonzepte mit öffentlichen IPv6-Adressen kurzfristig nicht realisieren lassen.
Direct Access bietet heute eine Lösung, die grundsätzlich jedermann verwenden kann, um Unternehmensnetz und mobile Rechner über öffentliche IPv6-Adressen miteinander zu verbinden. Wenn sich die native IPv6-Anbindung ins Internet nach und nach durchsetzt, kann man auf die IPv6-in-IPv4-Tunnelung verzichten. Die Sicherheitskonzepte können unverändert übernommen werden.
Wer sich heute an Direct Access heranwagt, kann dies allerdings in der Regel nur innerhalb von Pilotprojekten realisieren. Die IPv6-Verbindung zwischen mobilen Clients und Servern dürfte an der ein oder anderen Stelle zu Schwierigkeiten führen. Ebenso lassen sich Vista- und XP-Clients nicht per Direct Access einbinden. Kleine und mittelgroße Unternehmen haben unter Umständen Probleme, die nötige Infrastruktur bereitzustellen. Neben einem Domain-Controller mit Windows Server 2008 R2 ist als Gateway ein weiterer Rechner erforderlich, der auch als virtuelle Maschine realisiert werden kann. Dieses Gateway benötigt zwei aufeinanderfolgende öffentliche IPv4-Adressen zur exklusiven Nutzung. Allein diese Voraussetzung lässt sich in mittelständischen Unternehmen oft nicht kurzfristig schaffen.
Microsoft wird ein Direct-Access-Pilotprojekt selbst ausrollen, um zu testen, ob die teilnehmenden Mitarbeiter über IPv6 genauso gut an alle Dienste im Unternehmen herankommen wie über IPv4. Diesem Umstand ist es offensichtlich zu verdanken, dass Direct Access in einer ersten Variante für Microsofts eigene Unternehmensgröße ausgelegt ist. Auf der Client-Seite sieht man das daran, dass Direct Access nur mit der Enterprise- und der Ultimate-Version möglich ist. Windows 7 Professional reicht nicht aus.
Neueste Kommentare
1 Kommentar zu Sicher ins Intranet ohne VPN: Microsoft Direct Access im Test
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
einschränkung
Es sollte allerdings nicht unerwähnt bleiben das DA ausschließlich auf W7 Ultimate oder Enterprise eingesetzt werden kann.