70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner

70-642 Konfigurieren einer Netzwerkinfrastruktur
Windows Server 2008
Autor Simon Gattner
Autor Website http://gattner.name/simon
Dokument Name 70-642.doc
Dokument Titel Konfigurieren einer Netzwerkinfrastruktur
Windows Server 2008
Dokument URL http://gattner.name/simon/public/microsoft/Windows%20Server
%202008/70-642.doc
http://gattner.name/simon/public/microsoft/Windows%20Server
%202008/70-642.pdf
http://gattner.name/simon/public/microsoft/Windows%20Server
%202008/70-642.html
Dokument Datum 2010-11-29
Dokument Namen, Eigennamen
$Befehle, ~Dateinamen

IP Konfiguration
TCP/IP (Transmittion Control Protocol/Internet Protocol)
OSI-Model (Open Systems Interconnect) ist ein Schichtenmodel um z.B. den
Transport von Informationen innerhalb von Kommunikation darzustellen.
OSI-Model unterteilt Kommunikation in sieben Schichten.
TCP/IP angewendet auf das OSI-Model
(Quelle: http://www.computing.dcu.ie/~humphrys/Notes/Networks/intro.html)
TCP/IP vier Netzwerkschichten
2. Netzwerkschnittstellenschicht (Network Interface Layer): Ethernet/802.11-
WLAN und Frame Relay/ATM
3. Netzwerkschicht/Internetschicht (Network Layer): IPv4 IGMP/ICMP/ARP
und IPv6 ND/MLD/ICMPv6
4. Transportschicht (Transport Layer): TCP und UDP
7. Anwendungsschicht (Application Layer): HTTP/FTP/SMTP und
DNS/RIP/SNMP

TCP/IP-Stack Windows 2008 Server
(Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx)

CIDR-
Notatio
n
IPv4
IPv4-Adressen sind 32Bits lang und bestehen aus 4 Oktetten zu jeweils 8Bits
IPv4-Adressen in Punkt-Dezimal-Notationen dargestellt
192.168.23.42
IPv4-Adressen in 32Bit-Binärnotation dargestellt
11000000 10101000 00010111 00101010
IPv4-Adressen müssen innerhalb eines Netzwerkes einmalig sein
IPv4-Adressen werden in Netzwerk-ID und Host-ID unterteilt
IPv4-Adressen Netzwerk-ID + Host-ID = 32Bits
IPv4-Adressen Netzwerk-ID
192.168.23.0 (in diesem Fall hat die Netzwerk-ID 24Bits)
IPv4-Adressen Host-ID
192.168.23.42 (in diesem Fall hat die Host-ID 8Bits)
IPv4-Adressen Subnetzmaske bestimmt welcher Teil einer 32Bit-IPv4-Adresse die
Netzwerk-ID bildet
192.168.23.42/24
IPv4-Adressen Subnetzmasken in Schrägstrichnotation wird auch als CIDR-
Notation (Classless Inter Domain Routing) oder Netzwerkpräfixnotation bezeichnet
/24
IPv4-Adressen Subnetmasken in 32Bit-Punkt-Dezimal-Notation
255.255.255.0
IPv4-Adressen Subnetmasken in 32Bit-Binärnotation
11111111 11111111 11111111 00000000
Binär-Notation Punkt-Dezimal-
Notation
Adressen
pro Block
/16 11111111 11111111 00000000 00000000 255.255.0.0 65436
/17 11111111 11111111 10000000 00000000 255.255.128.0 32768
/18 11111111 11111111 11000000 00000000 255.255.192.0 16384
/19 11111111 11111111 11100000 00000000 255.255.224.0 8192
/20 11111111 11111111 11110000 00000000 255.255.240.0 4096
/21 11111111 11111111 11111000 00000000 255.255.248.0 2048
/22 11111111 11111111 11111100 00000000 255.255.252.0 1024
/23 11111111 11111111 11111110 00000000 255.255.254.0 512
/24 11111111 11111111 11111111 00000000 255.255.255.0 256
/25 11111111 11111111 11111111 10000000 255.255.255.128 128
/26 11111111 11111111 11111111 11000000 255.255.255.192 64
/27 11111111 11111111 11111111 11100000 255.255.255.224 32
/28 11111111 11111111 11111111 11110000 255.255.255.240 16
/29 11111111 11111111 11111111 11111000 255.255.255.248 8
/30 11111111 11111111 11111111 11111100 255.255.255.252 4
IPv4-Adressblöcke sind ein Satz einzelner IP-Adressen die eine Gemeinsame
Netzwerk-ID haben.
206.73.118
206.73.118.0 bis 206.73.118.255
IPv4-Adressblöcke können in mehrere Subnetze unterteilt sein die jeweils einen
eigenen Router haben.
IPv4-Adressblöcke die in mehrere Subnetze unterteilt sind, haben eine verlängerte
Netzwerk-ID um die Subnet-ID die aus der Host-ID abgezweigt wird, so dass mit Hilfe
der Subnetz-ID Subnetze interpretiert werden können.

IPv4-Adressräume (address spaces) sind die Bereiche der IP-Adressen, die in
einem bestimmten Adressblock liegen.
IPv4-Adressräume sind Adressblöcke minus Broadcast- und Netzwerkadressen.
IPv4-Broadcastdomänen sind Adressblöcke des Netzwerkes die nicht in Subnetze
unterteilt sind.
IPv4-Standardgateway ist eine IP-Adresse innerhalb einer Broadcastdomäne, der
Router übernimmt diese Rolle.
IPv4-Unicastadressen
• öffentliche Unicastadressen werden von der IANA (Internet Assigned
Numbers Authority) deligiert und mit Hilfe einer Reihe von
Registrierungsstellen weltweit vergeben. In Deutschland vergibt die DENIC
(Deutsches Network Information Center) IPv4-Adressblöcke, meist an ISP
(Internet Service Profider) der diese an seine Endkunden weiterreicht.
• private Unicastadressen werden im globalen Internet niemals verwendet.
Diese IPv4-Adressen werden für Hosts verwendet die eine IPv4-Verbindung
benötigen aber nicht im WAN sichtbar sein müssen. Folgende IPv4-
Adressblöcke können für private Unicastadressen verwendet werden:
10.0.0.0/24
172.16.0.0 bis 172.31.255.254
192.168.0.0/16
• APIPA Unicastadressen werden automatisch im IPv4-Adressbereich
vergeben.
169.254.0.0/16
IPv4-Subnetze begrenzen den Broadcastverkehr.
IPv4-Subnetze können den Netzwerktraffic verringern.
IPv4-Subnetze können die Latenz verringern, wenn die Netzwerktopologie den
physikalischen Gegebenheiten angepasst wird.
(Quelle: http://www.h3c.com/)
IPv4-Subnetz-ID ist die verlängerte Netzwerk-ID einer 32-Bit-IPv4-Adresse.
IPv4-Subnetz-ID wird auch als Subnetzkennung bezeichnet.

IPv4-Subnetz-Berechnung
s = 2^b
s = n-Subnetze
b = n-Bits der Subnetz-ID
b = n(int) – n(ext)
n(int) = Länge der Netzwerk-ID + Subnetz-ID in Bits
n(ext) = Länge der Netzwerk-ID
IPv4-Subnetting
Zugewiesenes Netzwerk: 192.168.122.0/24 (254 Hosts)
Standort A: 100 Geräte 192.168.122.0/25 (126 Hosts)
Standort B: 50 Geräte 192.168.122.128/26 (64 Hosts)
Standort C: 20 Geräte 192.168.122.192/27 (32 Hosts)
IPv4-VLAN ist eine Alternative zur Subnetzunterteilung.
IPv4-VLAN können mit Hilfe von VLAN-Switches bereitgestellt werden.
IPv4-VLAN schränken den Broadcastverkehr ein.
IPv4-VLAN-Software kann unabhängig von der Hardwaretopologie
Broadcastdomäns entfernen.
IPv4-VLSM (Virtual Local Subnet Mask) nutzt eine ganz bestimmte Aufteilung der
Adressblöcke. Zum Beispiel wird ein /22 Netzwerk in VLSMs mit /23 /24 /25 …
oder ein /16 Netzwerk in /17 /18 /19 …
IPv4-VLSMs beginnen (binär) immer mit einer 1 und enden Normalerweiße mit einer
0. Sie sind also immer (dezimal) gerade.
IPv4-VLSMs die (binär) mit 1 beginnen und enden, ersetzen die darauf folgenden
Subnetze.

IPv6
IPv6-Adressen sind 128Bit lang und stellen einen Adressraum von 2^128 Adressen
zu Verfügung
IPv6-Adressen werden in acht Blöcke mit jeweils vier Hexadezimalziffern angegeben.
Blöcke werden mit Doppelpunkten getrennt. Führende Nullen können gekürzt werden
2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A
2001:0DB8:3FA9:0:0:0:D3:9C5A
2001:0DB8:3FA9::D3:9C5A
IPv6-Adressen verwenden auch Netzwerkpräfixe, die in Schrägstrichnotation
angegeben wird. Das Präfix wird benutzt um Routen oder Adressbereiche
anzugeben, keine Netzwerk-ID. Routingtabelleneintrag für IPv6
2001:DB8:3FA9::/48
IPv6-Adressen werden von benachbarten Routern oder von DHCPv6-Servern
automatisch zugewiesen. Außerdem weisen Computer sich selbst eine
verbindungslokale Adresse zu die nur um lokalen Subnetz benutzt wird
(Quelle: http://www.networkworld.com/)
IPv6-Adress-Zustände gelten für IPv6-Adressen die von Router oder einer IPv6-
Adressautokonfiguration vergeben werden
• Vorläufig (tentative) gilt im Zeitraum nach der Autokonfiguration, bis geprüft
wurde ob keine Dublette vorliegt
• Bevorzugt (preferred) gilt im Zeitraum der Lebensdauer, wenn keine Dublette
vorliegt
• Verworfen (deprecated) gilt im Zeitraum nach überschritten der Lebensdauer,
in der die Adresse zwar noch erreicht werden kann, aber nicht für neue
Kommunikationssitzungen verwendet wird

Unicast-IPv6-Adressen bestehen aus einem 64Bit langen Netzwerkpräfix und einer
64Bit langen Schnittstellen-ID
Unicast-IPv6-Adressen Netzwerkpräfix (Routingpräfix) wird von der IANA
zugewiesen
Unicast-IPv6-Adressen Schnittstellen-ID leitet sich üblicherweise aus der einmaligen
48Bit MAC-Adresse der NIC ab oder wird zufällig* generiert.
* (Quelle: http://xkcd.com/221/)
Unicast-IPv6-Adressen unterstützen keine Subnetz-IDs variabler Länge, der
Routingpräfix hat immer die Länge von 64Bits
IPv6-Loopback-Adresse
there is no place like ::1
Eindeutige lokale IPv6-Adressen (Unique Local Address, ULA) sind das IPv6-
Gegenstück zu privaten Adressen (LAN-Adressen) in IPv4
Eindeutige lokale IPv6-Adressen sind routingfähig zwischen Subnetzen
fd65:9abf:efb0:0001::0002
Eindeutige lokale IPv6-Adressen benutzen das Adresspräfix
fd00::/8
fc00::/8 (in Zukunft unter umständen)
Eindeutige lokale IPv6-Adressen beginnen immer mit den ersten 8Bits fd gefolgt
von 40Bits des Globalen Routingpräfix, der zufällig generiert wird. Darauf folgen
16Bits Subnetz-ID und 64Bits der Schnittstellen-ID
fd Eindeutiglokales Adresspräfix
65:9abf:efb0: Globales Routingpräfix (Globale-ID)
0001: Subnetz-ID
::0002 Schnittstellen-ID
Standort lokale IPv6-Adressen wurden für obsolet erklärt und sollten nicht mehr
verwendet werden
feco::/10 Standortlokales Adresspräfix

Globale IPv6-Adressen sind das Gegenstück öffentlicher IPv4-Adressen
2001:db8:21da:0007:713e:a426:d167:37ab
Globale IPv6-Adressen benutzen das Adresspräfix
2000::/3
3000::/3
Globale IPv6-Adressen setzen sich aus 48Bits globalen Routingpräfix (wird von der
IANA zugewiesen), 16Bits Subnetz-ID und 64Bits Schnittstellen-ID (Host-ID)
zusammen
2001:db8:21da: Globales Routingpräfix (Globale-ID)
0007: Subnetz-ID
713e:a426:d167:37ab Schnittstellen-ID
Verbindungslokale IPv6-Adressen (Link-Lokal Addresse, LLA) ähneln IPv4-APIPA-
Adressen
fe80::54d:3cd7:b33b:1bc1%13
Verbdingunslokale IPv6-Adressen benutzen das Adresspräfix
fe80:/8
Verbindungslokale IPv6-Adressen beginnen immer mit fe80::, die ersten 64Bits
gefolgt von 64Bits der Schnittstellen-ID und der Zonen-ID
fe80:0:0:0: Verbindungslokales Adresspräfix
54d:3cd7:b33b:1bc1 Schnittstellen-ID
%13 Zonen-ID
Verbindungslokale IPv6-Adressen werden automatisch vom Gerät konfiguriert
Verbindungslokale IPv6-Adressen sind nicht routingfähig und funktionieren nur im
lokalen Subnetz
Verbindungslokale IPv6-Adressen bleiben Schnittstellen immer als sekundäre
Adresse zugewiesen
Zonen-ID ist nicht teil der Verbindungslokalen IPv6-Adresse. Die Zone gibt lediglich
an mit welcher Netzwerkschnittstelle die Adresse verbunden ist
Zonen-ID ist immer relativ zur lokalen Schnittstelle
Zonen-ID muss beim anpingen einer Verbindungslokalen IPv6-Adresse der Zonen-ID
der lokalen Schnittstelle (auf dem Gerät von dem aus gepingt wird) entsprechen
Zonen-ID können unter Windows 7 mit folgendem Befehl angezeigt werden:
$netsh interface ipv6 show interface

IPv4-zu-IPv6-Kompatibilität
IPv4-kompatible Adressen von Dual-Stack-Knoten die über IPv4-Infrastruktur mit
IPv6 kommunizieren
0:0:0:0:0:0:0:0:a.b.c.d
::a.b.c.d
IPv4-zugeordnete Adressen werden benutzt um reine IPv4-Knoten einem IPv6-
Knoten bekannt zu machen
0:0:0:0:0:ffff:a.b.c.d
::ffff:a.b.c.d
6to4-Adressen kann benutzt werden um IPv6-Pakete über ein IPv4-Netzwerk zu
transportieren ohne das Tunnel konfiguriert werden müssen.
Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als
Übergangslösung geplant
2002:ab:cd::/16
Toredo-Adressen (RFC 4380) enthalten ein 32Bit-Teredo-Präfix. Auf das Präfix folgt
die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert.
Die nächsten 16Bit sind für Teredoflags reserviert.
Die nächsten 16Bit speichern die UDP-Port-Nummern, die den gesamten Teredo-
Verkehr abwickelt.
Die letzten 32Bit speichern die externe IPv4-Adresse die den gesamten Teredo-
Verkehr abwickelt
2001::/32
ISATAP-Adressen (Intra-Site Automatic Tunneling Adressing Protocol) werden von
IPv6 benutzt um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet
herzustellen.
Die ersten 64Bits beginnen mit verbindungslokalen, standortlokalen, globalen oder
6to4-globalen Unicastpräfixen.
Die nächsten 32Bits enthalten die ISATAP-Kennung 0:5efe.
Die letzten 32Bits enthalten die IPv4-Adresse in Hex- oder Punkt-Dezimal-Notation.
ISATAP-Adressen sind für öffentliche oder private IPv4-Adressen
5efe:
IPv6-zu-IPv4-Kompatibilität
$netsh interface ipv6 6to4
$netsh interface ipv6 isatap
$netsh interface ipv6 add v6v4tunnel
$netsh interface ipv6 add v6v4tunnel “Remote” 10.0.0.11
192.168.123.116

Routing und Standardgateways
Um Pakete an eine Remoteadresse zu senden vergleicht man die Zielnetzwerk-ID
eines IPv4-Pakets mit der eigenen Netzwerk-ID um zu entscheiden ob das Paket als
Broadcast an das lokale Subnetz gesendet wird oder an das Standartgateway geht.
Um die Netzwerk-ID zu ermitteln benutzt man die Subnetzmaske.
Standartgateway entscheidet anhand seiner Routingtabelle wie das Paket weiter
versendet wird.
Standartgateway (Router) muss dieselbe Netzwerk-ID wie die zu Host haben, für die
es zuständig ist, und in derselben Broadcastdomäne liegen.
Standartgateway ist in einer Host unkonfiguriert, kann die Host auf keine Ziele
außerhalb seines lokalen Subnetzes zugreifen.
(Quelle:
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03302.html)
Kollisionsdomäne
Unter einer Kollisionsdomäne wird ein einzelnes Segment beim
Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision
Detection) verstanden. Alle Geräte, die im selben Segment angeschlossen sind, sind
Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte, zum gleichen
Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer Kollision. Beide
Geräte warten dann einen bestimmten Zeitraum zufällig gewählter Länge und
versuchen dann erneut, das Paket zu senden. Durch diese Wartezeit verringert sich
die effektive Bandbreite, die den Geräten zur Verfügung steht.
Broadcastdomäne
Broadcast-Informationen sind nicht an ein bestimmtes Endgerät gerichtet, sondern
an alle "benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die
jeweiligen Broadcast-Informationen der anderen Geräte empfangen, bilden
zusammen eine Broadcastdomäne. Geräte, die in einer Broadcastdomäne
zusammen gefasst sind, müssen sich nicht in derselben Kollisionsdomäne befinden.
Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz.
Beispielsweise bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis
192.168.1.254 in einem IP-Subnetz mit einer Subnetzmaske von
255.255.255.0 eine Broadcastdomäne.

Hub
Hubs arbeiten auf der OSI Schicht 1 (Physikalische Schicht /
Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben
Kollisionsdomäne und damit auch in derselben Broadcastdomäne.
Hubs werden heutzutage durch Access-Switches abgelöst.
Bridge
Bridges verbinden Netze auf der OSI Schicht 2 (Datalink Schicht /
Sicherungsschicht) und segmentieren Kollisionsdomänen. Jedes Segment bzw. Port
an einer Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen
Stationen sind im Normalfall Bestandteil einer Broadcastdomäne.
Bridges können auch dazu dienen, Netze mit unterschiedlichen Topographien
(Ethernet, Token Ring, FDDI, etc.) auf der OSI Schicht 2 miteinander zu verbinden
(transparent bridging, translational bridging). Hauptsächlich wurden Bridges zur
Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch erzielt, dass eine
Bridge als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes
Datenpaket weiterleitet.
Bridges halten eine interne MAC-Adresstabelle vor, aus der hervorgeht, in welchem
angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn
die Bridge beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im
Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen
ein Datenpaket aus dem Teilsegment A für eine Station aus dem Teilsegment A
empfängt, wird dieses Datenpaket nicht in das Teilsegment B übertragen. Dadurch
wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges durch
Switches ersetzt.
Layer-2-Switch
Herkömmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder
Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind alle
angeschlossenen Stationen Bestandteil einer Broadcastdomäne. Das bedeutet, dass
ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header als
Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete
weitergeleitet werden. Trotz der vergleichbaren Funktionsweise gibt es zwei
wesentliche Unterschiede zu Bridges:
Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine
Bridge.
Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface
Circuits (ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich
schneller als eine Bridge von einem Segment in ein anderes zu transportieren.

Router
Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete
anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem Router stellt
eine eigene Broadcastdomäne und damit auch eine Kollisionsdomäne dar.
Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden.
Router werden verwendet, um lokale Netze zu segmentieren oder um
lokale Netze über Weitverkehrsnetze zu verbinden.
Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem
beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den
meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den
nächsten Router, den sogenannten Next Hop.
Router müssen jedes IP-Paket vor der Weiterleitung analysieren. Dies führt zu
Verzögerungen und damit im Vergleich zu "klassischen" Switches zu einem
geringeren Datendurchsatz.
Layer-3-Switch und Layer-4-Switch
Layer-3- und Layer-4-Switches sind Switches, die zusätzlich eine Routing-
Funktionalität bieten. Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-
Header eines Paketes zur Entscheidung, zu welchem Port Datenpakete
weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal
wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden Datenpakete des
Senders an diesen Empfänger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-
MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine
wesentlich höhere Durchsatzrate erzielen als ein herkömmlicher Router.
Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-
Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer-
3-Switch verfügt in der Regel über eine wesentlich größere Portdichte.
Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen
herkömmliche LAN-to-LAN-Router ersetzen.

Netzwerkverbindung Konfiguration
$ipconfig
$netsh interface
$ncpa.cpl
Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter
$ping
$tracert
$pathping
$arp
$route
$netstat
Gesamtübersicht anzeigen Netzwerkübersicht von Geräten die im lokalen LAN mit
deren Netzwerktopologie (basiert auf LLTD (Link Layer Topology Discovery) was als
Client auf Windows XP nachinstalliert werden muss)
Netzwerkübersicht ist standardmäßig deaktiviert.
Verbindung herstellen oder trennen zeigt die aktiven Netzwerke an
Netzwerkeinstellungen ändern
• Neue Verbindung oder Netzwerkeinrichten
• Verbindung zu einem Netzwerk herstellen
• Problembehandlung aufrufen
Problembehandlung mit ICMP (Internet Control Message Protocol)
Dienstprogrammen
$ipconfig /renew (LAN-Verbindungen mit APIPA-Adressen können auf
Probleme mit DHCP hindeuten)
$ping |
$tracert |
$pathping –n
$arp -a
Adaptereinstellungen ändern
$ncpa.cpl
$netsh interface “Adaptername”
$netsh interface ipv4 show [“LAN-Verbindung”] config
Adapter -> Status -> Details -> Netzwerkverbindungsdetails
$ipconfig /all
$netsh interface ipv4 set address “LAN-Verbindung” static
10.0.0.1 255.255.255.0
$netsh interface ip set dnsservers “LAN-Verbindung” static
10.0.0.2 primary
$netsh interface ipv6 set address “LAN-Verbindung”
2001:db8:290c:1291::1
$netsh interface ip set address “LAN-Verbindung” dhcp
$netsh interface ip set dnsservers “LAN-Verbindung” dhcp
$ipconfig /renew[6]

Adaptereinstellungen ändern
Standardkomponenten für eine Verbindung (Adapter Eigenschaften)
• Netzwerkclients (z.B. Client für Microsoft-Netzwerke)
• Netzwerkdienst (z.B. Datei- und Druckerfreigabe für Microsoft-
Netzwerk oder QOS-Paketplaner)
• Netzwerkprotokoll (z.B. Internetprotokoll Version 4 (TCP/IPv4) oder
E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung)
Netzwerk-Bridging (Adapter Verbindung überbrücken)
Bridging kann dazu dienen alle Eingangspunkte eines Servers (Drahtlos,
Token Ring und Ethernet) die gleiche Internetanbindung (WAN-Adapter)
nutzen zu lassen
Erweiterte Einstellungen
• Adapter und Bindung (Priorität der einzelnen Verbindungen und
deren Dienste verändern)
• Anbieterreihenfolge (Priorität der einzelnen Netzwerkanbieter
verändern)
Erweiterte Freigabeeinstellung ändern nach Netzwerkstandort sortiert (Öffentlich,
Privat und Domain)
• Netzwerkerkennung aktivieren/deaktivieren
• Datei- und Druckerfreigaben aktivieren/deaktivieren
• Freigaben des Öffentlichen Ordners lesen/schreiben aktivieren/deaktvieren

Namensauflösung (name resolution)
Namensauflösungsmethoden in Windows
• DNS (Domain Name System)
• LLMNR (Link Local Multicast Name Resolution)
• NetBIOS
rlp 39/udp resource #Resource
Location Protocol
nameserver 42/tcp name #Host Name
Server
nameserver 42/udp name #Host Name
Server
nicname 43/tcp whois
domain 53/tcp #Domain
Name Server
domain 53/udp #Domain
Name Server
hostname 101/tcp hostnames #NIC Host
Name Server
netbios-ns 137/tcp nbname #NETBIOS
Name Service
netbios-ns 137/udp nbname #NETBIOS
Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS
Datagram Service
netbios-ssn 139/tcp nbsession #NETBIOS
Session Service
wins 1512/tcp #Microsoft
Windows Internet Name Service
wins 1512/udp #Microsoft
Windows Internet Name Service
LLMNR und Konfiguration
LLMNR (Link Local Multicast Name Resolution) nutzt Multicasting um IPv6-Adressen
in die Namen von Computern aufzulösen die sich im lokalen Subnet befinden.
LLMNR wird für die Namensauflösung in einzelnen Subnets verwendet, die keine
DNS-Infrastruktur besitzen.
LLMNR kann eingesetzt werden ab Windows Vista.
LLMNR sendet Namensauflösungsanforderungen über IPv6 standardmäßig, kann
aber auch über IPv4 gesendet werden.
LLMNR ist IPv6 kompatibel, vorkonfiguriert (out-of-box) für IPv6-Netzwerke und
schlanker als NetBIOS.
LLMNR löst keine Namen von Windows Server 2003, Windows XP und älteren
Windowsversionen auf.
LLMNR kann nur Namen auflösen innerhalb des lokalen Subnet.
LLMNR brauch die Netzwerkerkennung.
Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter ->
Erweiterte Freigabeeinstellungen ->Netzwerkerkennung
Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter ->
Gesamtübersicht anzeigen

NetBIOS und Konfiguration
NetBIOS oder NetBIOS-over-TCP/IP (NetBT oder NBT) wird verwendet um die
Kompatibilität zu alten Windowsversionen sicherzustellen.
NetBIOS funktioniert standardmäßig, in einem IPv4-Netzwerk ohne DNS.
NetBIOS ist nicht kompatibel mit IPv6.
NetBIOS setzt voraus das jeder Gerätename einmalig ist.
NetBIOS kann über den DHCP-Server eingestellt werden. Falls kein DHCP aktiviert
ist wird NetBIOS-over-TCP/IP verwendet.
NetBIOS umfasst drei Namensauflösungsmethoden
• Broadcasts über IPv4 mit dem ein Besitzer eines gesuchten Namens
aufgefordert wird zu antworten
• WINS ist ein Verzeichnis von Computernamen auf einem WINS-Server.
WINS ermöglicht NetBIOS die Namensauflösung über das eigene Subnet
hinaus
WINS registriert den Clienten automatisch im Server-Verzeichnis
• LMHOSTS ist eine statische, lokale Datenbank.
LMHOSTS muss manuell erstellt werden und enthält Paare von IP + Host
NetBIOS-Knotentypen legen fest auf welche Weise NetBIOS-Namen in IP-Adressen
aufgelöst werden. Es gibt vier Knotentypen:
• Broadcast oder B-Knoten verwenden Broadcast-NetBIOS-Namensabfragen
für die Namensregistrierung und –Auflösung.
Nachteile sind: das Broadcasts von allen Knoten im Netzwerk verarbeitet
werden müssen und das Broadcasts nur im eigenen Subnet funktionieren
• Punkt-zu-Punkt- oder P-Knoten verwenden Punkt-zu-Punkt-Kommunikation
mit einem WINS-Server um Namen aufzulösen
• Gemischte oder M-Knoten verwenden erst Broadcasts und als fallback
WINS-Abfragen
• Hypride oder H-Knoten verwenden WINS-Abfragen und als fallback
LMHOST-Abfragen und Broadcasts
Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter ->
Eigenschaften -> Internet Protokoll IPv4 -> Erweitert -> WINS
$netsh interface ip set wins (static|dhcp)
$netsh interface ip add wins (static|dhcp)
$netsh interface ip add wins “LAN-Verbindung static 10.0.0.1

DNS
DNS (Domain Name System) stellt eine hierarchische Struktur und automatisierte
Methode zum Zwischenspeichern und Auflösen von Hostnamen zu Verfügung.
$dig
$nslookup
$pathping
$nslookup > ls
DNS-Namensystem auf dem DNS basiert, ist eine hierarchische und logische
Baumstruktur, die als DNS-Namespace bezeichnet wird.
DNS-Namespace enthält einen eindeutigen Stamm (root), der beliebige
untergeordnete Äste (Domänen) haben kann. Untergeordnete Domänen können
weitere Domänen enthalten.
DNS-Domänenstruktur enthält Knoten (Astgabelungen), die anhand eines
vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) identifiziert
werden
root_
|.org
| |foo.org__
| | |alpha.foo.org_
| | | |one.alpha.foo.org
| | |beta.foo.org
| |bar.org__
| | |first.bar.org
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

DNS-Root wird von der ICANN (Internet Corporation for Assigned Names and
Numbers) verwalte. Die ICANN koordiniert die Zuweisung von global eindeutigen
Kennungen, wie Internetdomänennamen, IP-Adresswerte, Protokollparameter oder
Portnummern.
DNS-Top-Level-Domänen sind dem DNS-Stamm untergeordnet
• Organisationsdomänen
.org .com .net .edu .mil .aero .biz .info .name etc.
• Geographische Domänen nach ISO 3166
.de .fr .ly .se .uk .ru .fu .cn etc.
• Reverse-Domänen für Reverse-Lookups von Namen zu IP-Adresse
in-addr.arpa
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)
DNS-Top-Level-Domänen deligiert die ICANN und andere Internetstellen wie die
DEBNIC.

DNS-Komponenten sind DNS-Server, Zone, Auflösungen (Resolver) und
Ressourceneinträge
• DNS-Server sind Geräte, die ein DNS-Serverprogramm wie z.B. Windows
DNS-Server-Dienst oder BIND ausführen.
DNS-Server enthalten DNS-Datenbankinformationen über einen bestimmten
Abschnitt der DNS-Domänenbaumstruktur und verarbeitet Anfragen zur
Namensauflösung von DNS-Clients.
DNS-Server setzen bei einer Anfrage Informationen bereit, liefern die Adresse
eines anderen Servers der die Informationen liefern kann oder melden eine
Antwortnachricht, dass Daten nicht verfügbar oder vorhanden sind.
DNS-Server ist autorisierend (authoritive) für eine Domäne, wenn dieser auf
lokal gespeicherte Datenbankdaten zugreift.
• DNS-Zonen sind zusammenhängende Abschnitte eines Namespaces, für die
ein Server autorisiert ist.
DNS-Zonen können durch Delegierung erzeugt werden.
Spezielle Zonen sind Forward-Lookupzonen und Revers-Lookupzonen.
Forward-Lookupzone ist eine Zone, in der Name in IP-Adresse aufgelöst wird.
Reverse-Lookupzone ist eine Zone, in der IP-Adresse in Name aufgelöst wird.
• DNS-Auflösung (resolver) ist ein Dienst, der mit Hilfe des DNS-Protokolls
Informationen von DNS-Servern abfragt.
DNS-Auflösung kommuniziert entweder mit DNS-Remoteservern oder mit dem
DNS-Serverprogramm.
DNS-Auflösung wird unter Windows Server 2008 von DNS-Clients
übernommen, die Einträge auch zwischenspeichern können
• DNS-Ressourceneinträge (resource records) sind Einträge in der DNS-
Datenbank.
DNS-Ressourceneinträge werden verwendet um DNS-Clientanfragen zu
beantworten
DNS-Ressourceneintragstypen
o A (IPv4-Hostadresse)
o AAAA (IPv6-Hostadresse)
o CNAME (Alias)
o PTR (Zeiger)
o MX (Mail-Exchanger)
DNS-Abfrage (query) läuft folgendermaßen ab: wenn ein DNS-Client einen Namen
sucht, fragt er nachdem er die HOST-Datei und den DNS-Cache geprüft hat den
konfigurierten DNS-Server ab, um den Namen aufzulösen. Jede DNS-Abfrage
enthält folgende Bestandteile:
• DNS-Domänennamen der als FQDN angegeben ist. Der DNS-Clientdienst
fügt die Suffixe hinzu, falls nicht vorhanden, die für eine FQDN erforderlich ist
• Abfragetyp der entweder einen Ressourceneintrag anhand eines Typs oder
eine spezielle Form von Abfragevorgang angibt
• Klasse des DNS-Domänennamen wird für den DNS-Clientdienst generell als
Internet-Klasse (IN) angegeben
DNS-Auflösung (answer) erhält der DNS-Cient den Ressourceneintrag der aus
einem HOST/IP-Paar besteht.

DNS-Abfrage (query) und DNS-Auflösung (answer)
(Quelle : http://technet.microsoft.com/en-us/library/cc775637(WS.10).aspx)
Stammhinweise (root hints) sind Startpunkte für die Suche nach Namen im DNS-
Domänennamespace. Dabei handelt es sich um vorbereitete Ressourceneinträge,
die auf Server zeigen, die für den Stamm des DNS-Domänennamespaces
autorisierend ist.
DNS-Abfragen und DNS-Auflösung zwischen DNS-Client und DNS-Server sind
recursiv.
DNS-Abfragen und DNS-Auflösung zwischen DNS-Servern sind iterativ wenn es
sich um einen Vorgang handelt, bei dem der DNS-Client wiederholt Anfragen an
verschiedene DNS-Server sendet.
DNS-Server können ebenfalls als DNS-Clients agieren, dieses verhalten heißt
Rekursion.
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

;
; Database file (null) for foo.local zone.
; Zone version: 132
;
@ IN SOA dc01.foo.local. hostmaster.foo.local. (
132 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; default TTL
;
; Zone NS records
;
@ NS dc01.foo.local.
@ NS dns01.foo.local.
@ NS dc02.berlin.foo.local.
DC02.berlin A 192.168.6.12
DC02.berlin A 192.168.7.10
DC02.berlin AAAA fd65:9abf:efb0:6::c
DC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5
DC02.berlin AAAA fd65:9abf:efb0:7::a
;
; Zone records
;
@ 600 A 192.168.6.10
@ 600 AAAA fd65:9abf:efb0:6::a
;
; Delegated sub-zone: _msdcs.foo.local.
;
_msdcs NS win-richruqv1eb.foo.local.
; End delegation
_gc._tcp.Default-First-Site-Name._sites 600 SRV 0 100 3268
dc01.foo.local.
_kerberos._tcp.Default-First-Site-Name._sites 600 SRV 0 100 88
dc01.foo.local.
_ldap._tcp.Default-First-Site-Name._sites 600 SRV 0 100 389
dc01.foo.local.
_gc._tcp 600 SRV 0 100 3268 dc01.foo.local.
_kerberos._tcp 600 SRV 0 100 88 dc01.foo.local.
_kpasswd._tcp 600 SRV 0 100 464 dc01.foo.local.
_ldap._tcp 600 SRV 0 100 389 dc01.foo.local.
_kerberos._udp 600 SRV 0 100 88 dc01.foo.local.
_kpasswd._udp 600 SRV 0 100 464 dc01.foo.local.

;
; Delegated sub-zone: berlin.foo.local.
;
berlin NS dc02.berlin.foo.local.
DC02.berlin A 192.168.6.12
DC02.berlin A 192.168.7.10
DC02.berlin AAAA fd65:9abf:efb0:6::c
DC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5
DC02.berlin AAAA fd65:9abf:efb0:7::a
; End delegation
dc01 A 192.168.6.10
AAAA fd65:9abf:efb0:6::a
DNS01 1200 A 192.168.6.11
1200 AAAA fd65:9abf:efb0:6::b
DomainDnsZones 600 A 192.168.6.10
600 AAAA fd65:9abf:efb0:6::a
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones 600 SRV 0
100 389 dc01.foo.local.
_ldap._tcp.DomainDnsZones 600 SRV 0 100 389 dc01.foo.local.
ws01.bar.local.DomainDnsZones A 192.168.6.10
ForestDnsZones 600 A 192.168.6.10
600 A 192.168.7.10
600 A 192.168.6.12
600 AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5
600 AAAA fd65:9abf:efb0:6::a
600 AAAA fd65:9abf:efb0:7::a
600 AAAA fd65:9abf:efb0:6::c
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones 600 SRV 0
100 389 dc02.berlin.foo.local.
600 SRV 0 100 389 dc01.foo.local.
_ldap._tcp.ForestDnsZones 600 SRV 0 100 389 dc02.berlin.foo.local.
600 SRV 0 100 389 dc01.foo.local.
win-richruqv1eb 1200 A 192.168.6.10
1200 AAAA fd65:9abf:efb0:1::a
www CNAME .

DNS-Client Konfiguration
DNS-Suffix und Computername
DNS-Suffix hat die Aufgabe den eigenen Hosteintrag automatisch in der DNS-Zone
zu registrieren.
DNS-Suffix wird automatisch DNS-Abfragen angefügt die noch kein Suffix haben um
einen FQDN zu erhalten.
Computername.DNS-Suffix
Ws42.example.org
$hostname
$netdom /NewName:
$netdom join /Domain:
/UserD: /PasswordD:
$sysdm.cpl -> Systemeigenschaften
$sysdm.cpl -> Systemeigenschaften -> Computername -> Ändern ->
Computername- bzw. –domänenänderungen -> Weiter -> DNS-Suffix und NetBIOS-
Computername
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS
GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk
-> DNS-Client
Primäre und verbindungsspezifisches DNS-Suffixe anhängen erlaubt FQDN in
Anfragen zu senden.
Primäres DNS-Suffix in einer AD-Domäne ist automatisch der Domänenname.
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS ->
Primäre und verbindungsspezifisches DNS-Suffixe
Dieses DNS-Suffix anhängen (in Reihenfolge) oder auch DNS-Suffixlisten
erweitern die DNS-Suchfähigkeit.
DNS-Suffixlisten stellt dem DNS-Client eine Liste von DNS-Suffixes zur Verfügung
die dem nicht qualifizierten Namen hinzugefügt werden.
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS ->
Diese DNS-Suffixe anhängen
Übergeordnete Suffixe des primären DNS-Suffixes anhängen ermöglicht die
erweiterte Suche: nachdem zuerst das primäre DNS-Suffix, dann das
verbindungsspezifische Suffix angehängt wurde, folgt das übergeordnete Suffix
(example.com) des primären DNS-Suffix (berlin.example.com) um einen
FQDN zu bekommen.

DNS-Suffix für diese Verbindung: ist ein verbindungsspezifisch DNS-Suffix
(connection-specific suffix) welches mit einer bestimmten Netzwerkverbindung
verknüpft ist.
Verbindungsspezifische DNS-Suffix sind zum Beispiel nützlich um getrennte
Netzwerkadapter die in zwei Subnetzen münden voneinander zu unterscheiden.
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS ->
DNS-Suffix für diese Verbindung:
DNS dynamische Registrierungen und Updates konfigurieren von A- (Host), AAAA-
(IPv6-Host) und PTR-Ressourceneinträgen (Zeiger) die von einem DNS-Client oder
DHCP-Server im Namen des Clients übergeben werden.
DNS dynamische Updates können nur stattfinden, wenn der Client mit einem
primären oder verbindungsspezifischen DNS-Suffix konfiguriert ist, das dem Namen
der Zone entspricht, die vom bevorzugten DNS-Server gehostet wird. Der DNS-
Server muss natürlich auch dynamische Updates zulassen.
$ipconfig /renew
DNS Standardverhalten bei Clientupdates für Zeigereinträge (PTR) ist dasselbe wie
für Hosteinträge (A oder AAAA): DNS-Clients mit statisch zugewiesener Adresse
versuchen immer, ihre Zeigereinträge beim DNS-Server zu registrieren und zu
aktualisieren, wenn Adressen dieser Verbindung in DNS registrieren aktiviert ist.
$ipconfig /registerdns
Adressen dieser Verbindung in DNS registrieren aktiviert ist, versucht der Client,
A-, AAAA- und PTR-Einträge bei seinem bevorzugten DNS-Server zu registrieren.
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS ->
Adressen dieser Verbindung in DNS registrieren
$ipconfig /registerdns
DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist,
versucht der lokale Computer, A-, AAAA- und PTR-Einträge für alle
verbindungsspezifischen DNS-Suffixe zu registrieren.
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS ->
DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden
$ipconfig /registerdns

DNS-Clientcache wird auch als DNS-Auflösungscache bezeichnet. Sobald der
DNS-Clientdienst gestartet ist werden automatisch einträge der HOSTS-Datei dem
DNS-Cache hinzugefügt.
DNS-Clientcache enthält neben Einträgen aus der HOSTS-Datei Antworten auf
Abfragen die an den konfigurierten DNS-Server gerichtet wurden.
HOSTS-Datei wird automatisch eingelesen wenn Einträge verändert werden.
%WinDir%\System32\Drivers\etc\HOSTS
$ipconfig
$ipconfig /flushdns
$ipconfig /registerdns
$ipconfig /displaydns
$netsh interface ip(v4|v6) set dns (static|
dhcp)
$netsh interface ip(v4|v6) add dns (static|
dhcp)
$netsh interface ipv4 add dns “LAN-Verbindung static 10.0.0.1
$netsh interface ipv4 add dnsserver „LAN-Verbindung“ static
192.168.0.254 Index=1
$mmc services.msc -> DNS-Clientdienst -> restart
Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter ->
Eigenschaften -> Internet Protokoll IP(v4|v6) -> Erweitert -> DNS

DNS-Server Konfiguration
DNS-Server die auf Domänencontroller installiert werden, haben den Vorteil, dass
die Zone von Features wie dynamischen Updates und Active Directory-Replikationen
profitiert.
DNS-Server werden am besten gleich bei der Installation des Domänencontrollers
mitinstalliert.
Beim Hochstufen des Domänencontrollers gibt man den FQDN der Gesamtstruktur-
Stammdomäne an. Die FQDN gibt sowohl der Active Directory-Domäne als auch der
DNS-Zone ihren Namen.
$dnscmd
$dnscmd /info
$dnscmd /enumdirectorypartitions
$mmc dnsmgmt.msc
$dcdiag /test:replications
$repadmin /showrepl
$dig
Dcpromo kann automatisch einen lokal gehosteten DNS-Server mit einer Forward-
Lookupzone für die Domäne konfigurieren.
Dcpromo Antwortdateien können auf Windows Server 2008 erstellt werden, mit Hilfe
der letzten Seite (Zusammenfassung) des Assistenten, bevor die Installation
tatsächlich durchgeführt wird.
$dcpromo
$dcpromo /unattend:
DNS-Server auf Mitgliedservern oder ohne AD DS.
DNS-Server ohne AD DS müssen manuell, mit mindestens einer Forward-
Lookupzone konfiguriert werden.
DNS-Server für Zwischenspeicherung (caching-only server) hosten selbst überhaupt
keine Zone und sind daher für keine bestimmte Domäne autorisiert. Sie dienen als
gemeinsamer DNS-Servercache für Clients.
DNS-Server für Zwischenspeicherung können die Reaktionszeiten zwischen
verschiedenen Standorten erhöhen.
$mmc servermanager.msc -> Assistenten “Rollen hinzufügen“ -> DNS-Server
$dcpromo (Domaincontroller fügen automatisch die DNS-Rolle hinzu)
$start /w ocsetup DNS-Server-Core-Role
$start /w ocsetup DNS-Server-Core-Role /uninstall
DNS-Manager kann ebenfalls Verbindung mit anderen DNS-Servern (Server-Core-
Installationen) aufbauen.
$mmc dnsmgmt.msc
$dnscmd . /ZoneUpdateDS (Zoneupdate AD-integrierte-Zone)
$dnscmd . /ZoneRefresh (Zoneupdate sekundäre-Zone)

DNS-Zonen
DNS-Zonen sind Datenbanken, deren Einträge Namen mit Adressen verknüpfen,
innerhalb eines Abschnitts des DNS-Namespaces.
DNS-Zonen die lokal gehostet sind, dienen dazu DNS-Anfragen autorisierend zu
beantworten.
DNS-Zonen die nicht lokal gehostet sind, kann ein DNS-Server nicht autorisierend
aus seinem Zwischenspeicher beantworten oder unmittelbar von einem weiteren
DNS-Server beziehen.
DNS-Namespaces die für eindeutige Domänennamen (example.org) definiert sind,
können nur aus einer einzigen autorisierenden Quelle für Zonendaten stammen.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Neue Zone
• Zonentyp
o primäre Zone ist der wichtigste DNS-Zonentyp. Primäre Zonen stellen
les- und schreibbare Quelldaten zu Verfügung. Dies ermöglicht dem
lokalen DNS-Server, DNS-Abfragen über einen Abschnitt des DNS-
Namespace autorisierend zu beantworten.
Primäre Zonen Masterexemplare der Zonendaten werden in einer
lokalen Datei (%SystemRoot%\System32\Dns\.dns) oder
in AS DS gespeichert.
o sekundäre Zone stellt eine autorisierende, schreibgeschützte Kopie
einer primären Zone oder einer anderen sekundären Zone zur
Verfügung.
Sekundäre Zonen bieten die Möglichkeit, DNS-Abfrageverkehr zu
delegieren. Falls der Zonenserver, der eine primäre Zone hostet
ausfällt, kann eine sekundäre Zone die Namensauflösung für den
Namespace übernehmen, bis der primäre Server wieder online ist.
Quellzonen, von denen sekundäre Zonen ihre Informationen erhalten,
werden als Master bezeichnet.
Zonenübertragung (zone transfer) gewährleistet die regelmäßige
Aktualisierung und Kopie der primären Daten.
Master kann eine andere sekundäre Zone oder eine primäre Zone sein.
Master die von einer sekundären Zone stammen, können nicht in der
AD DS abgespeichert werden.
o Stubzone ähnelt einer sekundären Zone, enthält aber nur
Ressourceneinträge, um die autorisierenden DNS-Server für die
Masterzone zu identifizieren.
Stubzonen werden oft eingesetzt, um eine übergeordnete Zone
(example.com) zu ermöglichen, eine aktualisierte Liste der
Namenserver zu verwalten, die in delegierten untergeordneten Zonen
(berlin.example.com) zur Verfügung stehen.
Stubzonen können auch verwendet werden um Namensauflösungen zu
beschleunigen und die DNS-Administration zu vereinfachen.
o Zone in Active Directory speichern wird als Option angeboten, wenn
eine neue primäre oder Stubzone auf einem Domänencontroller erstellt
wird.

Active Directory-Zonenreplikationsbereich stellt detaillierte Optionen für
die Replikation zu Verfügung. Meistens sorgt die Option dafür, dass
Zonenübertragung an sekundäre Server nicht konfiguriert werden
muss.
Die Integration in eine AD hat mehrere Vorteile:
1. AD führt die Zonenreplikation durch, was dazu führt, dass kein
separater Mechanismus zur DNS-Zonenübertragung zwischen
primären und sekundären Servern konfiguriert werden muss.
Fehlertoleranz und bessere Leistung aufgrund der Verfügbarkeit
mehrerer primärer Server mit Lese- und Schreibzugriff, weil
Multimasterreplikationen im Netzwerk zur Verfügung stehen.
2. AD ermöglicht, einzelne Eigenschaften von
Ressourceneinträgen zu aktualisieren und zwischen DNS-
Servern zu replizieren. Dies verhindert das ganze
Ressourceneinträge aktualisiert werden müssen, was
Netzwerkressourcen schont.
3. AD-integrierte Zonen haben den Vorteil, dass sie Sicherheit für
dynamische Updates vorhalten, was mit der Option
Dynamisches Update konfiguriert wird.
o Standardzone (standard zone) werden gewählt, wenn die Option Zone
in Active Directory Speichern deaktiviert ist auf einem
Domänencontroller.
Standardzonen sind die einzige Option, für eine neue Zone, wenn der
Server kein Domänencontroller ist.
Standardzonen werden in Textdateien auf dem lokalen Server
gespeichert.
Standardzonen können nur ein Exemplar mit Lese- und Schreibzugriff
konfigurieren. Alle anderen Kopien der Zone (sekundäre Zonen) sind
schreibgeschützt.
• Active Directory-Zonenreplikationsbereich legt fest welche
Domänencontroller die Zone speichern. Die Auswahl Wie sollen Zonendaten
repliziert werden? steht nur zur Verfügung wenn die Zone im Active Directory
gespeichert wird:
o Auf allen DNS-Servern in dieser Gesamtstruktur:
o Auf allen DNS-Servern in dieser Domäne:
o Auf allen Domänencontrollern in dieser Domäne (Windows 2000-
Kompatibilität):
o Auf allen Domänencontrollern, die im Bereich dieser
Verzeichnispartition angegeben werden:
• Forward- oder Reverse-Lookupzone legt fest ob die neue Zone als
Forward- oder Reverse-Lookupzone arbeiten soll.
o Forward-Lookupzone weist vollqualifizierten Domänennamen (Fully
Qualified Domain Name, FQDN) die IP-Adresse zu.
Forward-Lookupzonen bekommen den Namen der DNS-Domäne
(example.com), für deren Name der Auflösungsdienst bereitgestellt
wird.
Forward-Lookupzonen-Einträge sind Host oder A (IPv4) bzw AAAA
(quadrible A, IPv6) –Einträge (records oder entries):
example.com
ws42 A 192.168.1.182

o Reverse-Lookupzone weist IP-Adressen FQDN zu und beantworten
somit Anfragen mit denen IP-Adressen in FQDN aufgelöst werden.
Reverse-Lookupzonen bekommen den Namen der ersten drei Oktette
des Adressraums (1.168.192), für den der Reverse-
Namensauflösungsdienst bereitgestellt wird plus das abschließende
in-addr.arpa. Also 1.168.192.addr.arpa.
Reverse-Lookupzonen-Einträge sind Zeiger (pointer) oder PTR-
Einträge:
1.168.192.in-addr.arpa
182 PTR ws42.example.com
• Zonenname legt den Namen der Forward-Lookupzone fest (Der Name der
Reverse-Lookupzone leitet sich automatisch aus dem IP-Adressbereich ab,
für den der Server autorisiert ist).
Falls die Zone, die Namensauflösung für eine Active Directory-Domäne zu
Verfügung stellt, sollte derselbe Namen verwendet werden wie die Active
Directory-Domäne.

Wenn die Organisation zwei AD-Domänen namens example.com und
berlin.example.com hat, sollten zwei Zonen mit eben diesen Namen
eingerichtet werden.
• Dynamisches Update erlaubt DNS-Clientcomputern ihre Ressourceneinträge
automatisch zu registrieren und dynamisch zu aktualisieren.
Standardmäßig versuchen DNS-Clients, die mit statischen IP-Adressen
konfiguriert sind, Host- (A oder AAAA) und Zeigereinträge (PTR) zu
aktualisieren. DNS-Clients, die auch DHCP-Clients sind, versuchen nur
Hosteinträge zu aktualisieren. Der DHCP-Server in
Arbeitsgruppenumgebungen aktualisiert bei jeder IP-Konfiguration den
Zeigereintrag erneut.
Dynamische Updates funktionieren nur, wenn die Zonen so konfiguriert sind,
dass sie dynamische Updates auch annehmen. Zwei Typen von dynamischen
Updates können erlaubt werden:
o Sichere Updates bei denen nur Registrierungen von Computern
zugelassen sind, die AD-Domänenmitglieder sind, und Updates nur von
dem Computer, der die ursprüngliche Registrierung durchgeführt hat.
o Unsichere Updates erlaubt Updates von allen Computern.
Forward-Lookupzone GlobalNames-Zone ist eine spezielle Zone die Windows
Server 2008 zu Verfügung stellt.
GlobalNames-Zone ermöglicht allen DNS-Clients über Hostnamen, wie zum
Beispiel dev01, Verbindung zu Netzwerkessourcen herzustellen, auch in anderen
Subnetzen.
GlobalNames-Zone ist nützlich, wenn die Standardsuchliste für DNS-Suffixe bei
DNS-Clients nicht erlaubt, über den reinen Hostnamen (Kurznamen) eine
Verbindung mit einer Netzwerkressource herzustellen.
GlobalNames-Zone ist standardmäßig nicht aktiviert.
GlobalNames kann dazu genutzt werden, oft verwendete Netzwerkressourcen mit
statischen IP-Adressen über den Hostnamen erreichbar zu machen ohne WINS.
GlobalNames beinhaltet normal Alias-Ressourceneinträge.
GlobalNames sind nur unter Windows Server 2008 kompatibel. Sie können nicht auf
Server repliziert werden, die unter älteren Windows-Server-Versionen laufen.
GlobalNames-Zone Bereitstellen:
• Aktivieren der Unterstützung für die GlobalNames-Zone muss auf jedem
DNS-Server ausgeführt werden auf dem die Zone repliziert wird.
$dnscmd . /config /enableglobalnamessupport 1
• Erstellen der Zone GlobalNames unter der Forward-Lookupzone auf dem
Domänencontroller.
• Füllen der GlobalNames-Zone mit CNAME-Einträgen wobei jeder CNAME
auf einen Host-Eintrag in einer anderen Zone zeigen muss.

DNS Ressourceneinträge
• Autoritätsursprung (Start Of Authority, SOA)
• Nameserver (NS)
• Host (Address, A oder AAAA)
• Alias (Canonical Name, CNAME)
• Mail-Exchanger (MX)
• Zeiger (Pointer, PTS)
• Dienstidentifizierung (Service, SRV)
• Hostinfo (HINFO)
• Bekannter Dienst (Well Known Service, WKS)
• Verantwortlicher (Responsible Person, RP)
• Kommentare (TXT)
$mmc dnsmgmt.msc
$nslookup
$nslookup> ls
SOA-Einträge
SOA-Ressourceneinträge (start of authority) sind DNS-Einträge, anhand ein DNS-
Server grundlegende und autorisierende Eigenschaften für die Zone festlegt.
SOA-Ressourceneinträge legen auch fest wie oft Zonenübertragungen zwischen
primären und sekundären Servern durchgeführt werden.
@ IN SOA dns01.example.com hostmaster.example.com (
5099 ; serial number
3600 ; refresh (1 hour)
600 ; retry (10 mins)
860400 ; expire (1 day)
60 ) ; minimum TTL (1 min)
$mmc dnsmgmt.msc SOA-Eintrag -> Eigenschaftsdialogfeld -> Autoritätssprung
(SOA)
• Seriennummer ist die Version der Zonendatei. Die Seriennummer wird jedes
Mal hochgezählt, wenn sich ein Ressourceneintrag in der Zone ändert oder
der Wert von Hand, via Inkrement, erhöht wird.
Falls Zonen so konfiguriert sind, dass sie Zonenübertragungen an einen oder
mehrere sekundäre Server durchführen, rufen die sekundären Server
regelmäßig die Seriennummer der Zone beim Masterserver ab. Diese Abfrage
wird als SOA-Abfrage (SOA query) bezeichnet. Wird bei einem SOA query
festgestellt, dass die Seriennummer der Masterzone der Seriennummer
entspricht, die auf dem sekundären Server gespeichert ist, wird keine
Übertragung durchgeführt. Ist die Zone auf dem Masterserver dagegen höher
als auf dem sekundären Server, der die Abfrage schickt, leitet der sekundäre
Server eine Übertragung ein.
Inkrement erzwingt eine Zonenübertragung.

• Primärer Server enthält den vollständigen Computernamen des primären
DNS-Servers der Zone. Dieser Name muss mit einem Punkt enden.
• Verantwortliche Person gibt den Namen eines RP-Ressourceneintrages
(Responsible Person) an, der den Domänenmailboxnamen eines
Zonenadministrators enthält. Der Namen des Eintrages, der in dieses Feld
eingegeben wird, muss immer mit einem Punkt enden. In den
Standardeinstellungen wird in diesem Feld der Name des hostmaster
eingetragen.
• Aktualisierungsintervall legt fest wie lang ein sekundärer DNS-Server
wartet, bevor er vom Masterserver für eine Zonenerneuerung abgefragt wird.
Ist der Aktualisierungsintervall abgelaufen, fordert der sekundäre DNS-Server
vom Masterserver eine Kopie des aktuellen SOA-Ressourceneintrags für die
Zone ab. Der Masterserver beantwortet die SOA-Abfrage und der sekundäre
DNS-Server vergleicht anschließend die Seriennummer des aktuellen SOA-
Eintrages des Quellservers mit der Seriennummer seines lokalen SOA-
Eintrages. Sind die Seriennummern verschieden, fordert der sekundäre DNS-
Server vom primären DNS-Server eine Zonenübertragung an.
Standardwert für dieses Intervall beträgt 15 Minuten.
• Wiederholungsintervall legt fest, wie lang ein sekundärer DNS-Server
wartet, bevor eine fehlgeschlagene Zonenübertragung erneut durchgeführt
wird. Normalerweise ist diese Zeitspanne kürzer als das
Aktualisierungsintervall.
Standardwert beträgt 10 Minuten.
• Läuft ab nach legt fest, wie lang ein sekundärer DNS-Server, der keine
Verbindung zu seinem Masterserver hat, die Beantwortung von DNS-
Clientabfragen fortsetzt. Nach Ablauf dieser Zeitspanne werden Daten als
nicht zuverlässig betrachtet.
Standardwert ist 1 Stunde.
• Minimale Gültigkeitsdauer (Standard) bestimmt den Standard-TTL-Wert,
der für alle Ressourceneinträge in der Zone wirksam ist.
Standardwert beträgt 1 Stunde.
TTL-Werte sind für Ressourceneinträge innerhalb der eigenen autorisierenden
Zone nicht relevant.
TTL-Wert legt fest, wie lange Ressourceneinträge auf nicht autorisierenden
Servern zwischengespeichert wird.
DNS-Server, die eine Abfrage zwischengespeichert haben, verwerfen den
Eintrag, sobald der TTL-Wert des Eintrags verstrichen ist.
• TTL für diesen Eintrag legt TTL-Wert des vorhandenen SOA-
Ressourceneintrags fest.
TTL für diesen Eintrag, setzt den Standardwert im Feld Minimale
Gültigkeitsdauer (Standard) außer kraft.

Namensservereinträge (NS)
Namenservereintrag (NS) gibt einen Server an, der für eine bestimmte Zone
autorisierend ist.
Namenservereinträge werden standardmäßig, unter Windows Server 2008, für alle
Server die eine primären Kopien einer Active Directory-integrierten Zone hosten,
eingetragen. Beim erstellen einer primären Standardzone, erscheint standardmäßig
ein NS-Eintrag für den lokalen Server in der Zone.
Namenservereinträge für sekundäre Zonen, die in einer primären Kopie der Zone
gehostet werden, müssen manuell erstellt werden.
@ dns01.example.com.
@ steht für die Zone, die vom SOA-Eintrag in derselben Zonendatei definiert wird.
Der gesamte Eintrag, weist der Domäne example.com den DNS-Server
dns01.example.com zu.
$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver
$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver ->
Hinzufügen -> FQDN + IP
Host-Ressourceneinträge (A oder AAAA)
Host-Ressourceneinträge werden benutzt um Computer- oder Gerätenamen einer
IP-Adresse zuzuordnen.
Host-Ressourceneinträge sind im Normalfall der größte Teil der Ressourceneinträge
in einer Zonendatenbank.
Host-Ressourceneinträge manuell hinzuzufügen, ist notwendig wenn Computer- oder
Geräte sich nicht automatisch eintragen können. dev01 könnte zum Beispiel ein
BSD sein und www ein Webserver hinter einer Firwall.
Host-Ressourceneinträge werden in die Standardzonendatei (zum Beispiel
example.com.dns) eingetragen.
;
; Zoneneinträge
;
dev01 A 192.168.0.42
AAAA fd00:0:0:5::8
www A 70.32.6.212
AAAA fd00:0:0:5::10
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [TTL] A

Alias-Ressourceneinträge (CNAME)
Alias-Ressourceneinträge (CNAME) werden auch als kanonische Namen
bezeichnet.
Alias-Ressourceneinträge erlauben, mehrere Namen auf denselben Host zu
verweisen.
www CNAME dev01.example.com
ftp CNAME ftp01.example.com
ftp CNAME ftp02.example.com
ftp01 CNAME ber.example.com
ftp02 CNAME ffm.example.com
CNAME-Ressourceneinträge werden bei folgenden Szenarien empfohlen:
• Hosts deren A-Ressourceneintrag umbenannte werden muss.
• Generische Namen wie ftp, die in eine Gruppe einzelner Computer aufgelöst
werden müssen.
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [Ttl] CNAME
MX-Ressourceneinträge
Mail-Exchange-Ressourceneinträge (MX) werden von E-Mail-Anwendungen benutzt,
um Mailserver innerhalb einer Zone zu finden.
MX-Ressourceneinträge können Domänennamen wie example.com, die in einer E-
Mail-Adresse wie zum Beispiel joe@example.com angegeben werden, dem A-
Eintrag eines Gerätes zuordnen, welches den Mail-Server hostet.
MX-Ressourceneinträge werden oft mehrfach benannt um eine Fehlertoleranz zu
gewährleisten.
MX-Ressourceneinträge enthalten einen Präferenzwert an dritter Stelle, die die
Priorität des zugehörigen Servers festlegt. Je kleiner der Wert, desto größer die
Priorität.
@ MX 1 mail01.example.com
@ MX 10 mail02.example.com
@ MX 20 mail03.example.com
$dnscmd /RecordAdd
[/Aging] [Ttl] MX

SRV-Ressourceneinträge
Dienstidentifizierungs-Ressourceneinträge (SRV) werden benutzt, um die Position
bestimmter Dienste in der Domäne anzugeben.
SRV-Ressourceneinträge nutzen Clientanwendungen, die SRV-fähig sind, um über
DNS gesuchte Anwendungserver abzurufen.
_ldap._tcp SRV 0 0 389 dc01.example.com.
SRV 10 0 389 dc02.example.com.
SRV 5 0 389 dc03.example.com.
SRV-Ressourceneinträge legen an der dritten Stelle die Priorität fest, 0 ist die
höchste Priorität.
SRV-Ressourceneinträge legen an der vierten Stelle die Gewichtung für den
Lastenausgleich zwischen Servern mit gleicher Priorität fest.
SRV-Ressourceneinträge legen an der fünften Stelle den Port des Dienstes fest.
Windows Server 2008-Active Directory ist ein Beispiel für eine SRV-fähige
Anwendung. Der Anmeldedienst sucht mithilfe von SRV-Einträgen
Domänencontroller in einer Domäne, indem er in der Domäne nach dem LDAP-
Dienst (Lightweight Directory Access Protocol) sucht. Beispiel einer solchen DNS-
Client-SRV-Abfrage wäre:
_ldap._tcp.example.com.
DNS-Server-SRV-Antwort wäre (nach oberen Beispiel):
ldap://dc01.example.com:389.
ldap://dc03.example.com:389.
ldap://dc02.example.com:389.
PTR-Ressourceneinträge
Zeiger-Ressourceneinträge werden für Reverse-Lookupzonen benutzt, um Reverse-
Lookups zu ermöglichen.
PTR-Ressourceneinträge werden für Abfragen genutzt, die eine IP-Adresse in den
zugehörigen Hostnamen oder FQDN auflöst. Reverse-Lookups werden in Zonen
durchgeführt, die unterhalb der Domäne in-addr.arpa liegen.
0.168.192.in-addr.arpa
42 PTR dev01.example.com.
6.32.70.in-addr.arpa
212 PTR www.example.com.
PTR-Ressourceneinträge werden in die entsprechende Zonendatei eingetragen. Für
das Klasse-B-Netz 192.168.0.0, heißt die Zonendatei 0.168.192.inaddr.arpa,
für das Klasse-C-Netz 70.32.6.0, heißt die Zonendatei
6.32.70.in-addr.arpa.
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [Ttl] PTR

WINS-Ressourceneinträge
WINS-Server können für Forward- und Reverse-Lookupzonen angegeben werden.
Daraufhin wird ein spezieller WINS-Ressourceneintrag bzw. ein WINS-R-
Ressourceneintrag zur Zone hinzugefügt der auf den WINS-Server zeigt.
WINS-Server wird vom DNS-Server kontaktiert nachdem er eine DNS-Antwort in
seinen Üblichen Quellen (Cache, lokale Zonendaten, andere-DNS-Server) nicht
finden konnte.
$mmc dnsmgmt.msc Zone -> Reverse- oder Forward-Lookupzone -> Eigenschaften
-> WINS
$dnscmd
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [Ttl] CNAME
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [TTL] A
$dnscmd /RecordAdd
[/Aging] [Ttl] MX
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [Ttl] PTR
$dnscmd /RecordAdd
[/Aging] [/OpenAcl] [Ttl]
$dnscmd /RecordDelete 10.in-addr.arpa 127.2.3 PTR
$dnscmd /RecordAdd 196.168.in-addr.arpa 3.10 PTR
$dnscmd /RecordAdd foo.local berlin A 192.168.3.1
$dnscmd dc02.foo.local /RecordAdd ffm.foo.local dns05
192.168.5.254

Alterung und Aufräumvorgänge
Um das Alter von dynamisch registrierten Ressourceneinträgen zu bestimmen,
verwendet DNS Zeitstempel.
Alterung (aging) und Aufräumvorgänge (scavenging) hängen unmittelbar
zusammen.
Veraltete dynamische Ressourceneinträge, Ressourceneinträge bei denen der
Zeitstempel abgelaufen ist, werden mit einem Aufräumvorgang gelöscht.
Standardmäßig sind Alterung und Aufräumvorgang deaktiviert.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Alterung/Aufräumvorgänge
für alle Zonen festlegen…
$mmc dnsmgmt.msc -> Zone -> Alterung/Aufräumvorgänge für alle Zonen
festlegen…
Wichtig ist das sowohl auf der DNS-Server-Ebene als auch auf der Zonen-Ebene die
Option aktiviert sein muss. Da Alterung und Aufräumvorgänge, wenn man diese nur
auf Server-Ebene aktiviert, nur für neue Zonen gilt, außer man aktiviert Diese
Einstellung auf alle vorhandenen Active Directory-integrierten Zonen anwenden.
Zeistempelwerte der Ressourceneinträge nutzt der DNS-Server für Alterung und
Aufräumvorgang.
Zeitstempel sind bei Active Directory-integrierten dynamisch registrierten Einträgen
automatisch aktiviert.
Zeitstempel sind bei dynamisch registrierten Einträgen in primären Standardzonen
erst aktiviert wenn Alterung/Aufräumvorgang für alle Zonen festlegen… aktiviert
wurde.
Zeitstempel bei manuell erstellten Ressourceneinträgen sind immer 0.
Zeitstempel 0 bedeutet das der Ressourceneintrag nicht altert.
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung…
Eigenschaften für Serveralterung/Aufräumvorgänge:
• Intervalls für Ändern des Nichtaktualisierung ist das Intervall in dem ein
Server oder eine Zone die Aktualisierung eines Zeitstempels verweigert.
Standardwert ist 7 Tage.
• Ändern des Aktualisierungsintervalls ist das Intervall in dem ein Server
oder eine Zone nicht aufgeräumt wird und die Aktualisierung eines
Zeitstempels erlaubt ist.
Standardwert ist 7 Tage.
Die Standardeinstellungen bedeuten also, dass dynamische registrierte
Ressourceneinträge nach 14 Tagen aufgeräumt werden.
Das Aktualisierungsintervall muss stets gleichgroß oder größer sein als das
Nichtaktualisierungsintervall.
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung… ->
Eigenschaften für Serveralterung/Aufräumvoränge

Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren:
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften -> Erweitert ->
Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren
Veraltete Ressourceneinträge aufräumen:
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Veraltete
Ressourceneinträge aufräumen
DNS-Zugriffssteuerungslisten (Discretionary Access Control List, DACL) der DNS-
Zonen sind in den Active Directory-Domänendiensten (Active Directory Domain
Services, AD DS) gespeichert.
DNS-DACL können die Berechtigungen für die Active Directory-Benutzer und
-Gruppen steuern, die DNS-Zonen steuern dürfen.
DNS-DACL-Verwaltung verlangt mindestens Mitglied der Gruppe DnsAdmins oder
Domänen-Admins in AD DS oder einer entsprechenden Gruppe zu sein.

Zonenreplikation und Zonenübertragung Konfiguration
Zonenreplikation (zone replication) ist die Synchronisation von Zonendaten für
Active Directory-integrierte Zonen.
Active Directory-integrierte Zonen können nur auf Domänencontrollern installiert
werden, bei denen die Serverrolle DNS-Server installiert ist.
Active Directory-integrierte Zonen verfügen über eine Multimaster-Datenreplikation,
die einfach zu konfigurieren ist und mehr Sicherheit und Effizienz bietet, im
Gegensatz zu Standardzonen.
Active Directory-integrierte Zonen mit integrierter Speicherung können DNS-Clients
Updates auf die komplette Domänenstruktur replizieren.
Anwendungsverzeichnispartitionen helfen beim Verwalten von DNS-Zonendaten.
Anwendungsverzeichnispartitionen enthalten DNS-Zonendaten.
Verzeichnispartitionen werden durch eine DNS-Subdomäne und einen FQDN
identifiziert.
Verzeichnispartitionen können auch manuell erstellt werden. Manuelle
Verzeichnispartitionen können nur Mitglieder der Gruppe Organisations-Admins
erstellen.
$dnscmd /createdirectorypartition
$dnscmd /enlistdirectorypatition
$dnscmd . /createdirectorypartition DnsPartition01.example.com
Verzeichnispartitionen DomainDnsZones und ForestDnsZones sind
standardmäßig vorgegeben:
• DomainDnsZones (DomainDnsZone.example.com) wird auf allen
Domäncontrollern repliziert.
Um Replikationen auf Windows 2000 Server zu ermöglichen, kann man Active
Directory-integrierte Zonen in dieser Verzeichnispartition speichern.
• ForestDnsZones (ForestDnsZone.example.com) wird auf allen DNS-
Servern einer AD repliziert.
$mmc dnsmgmt.msc -> DNS-Server Symbol -> Standardanwendungs-
Verzeichnispartitionen erstellen

$mmc dnsmgmt.msc -> DNS-Server Symbol -> Neue Zone… -> Active Directory-
Zonenreplikationsbereich
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Replikation: Alle
DNS-Server dieser Domäne -> Ändern…
• Auf allen DNS-Servern in dieser Gesamtstruktur bedeutet, dass die Zone
in der Verzeichnispartition ForsestDnsZones gespeichert wird und von jedem
DNS-Server der Gesamtstruktur repliziert wird.
• Auf allen DNS-Servern in dieser Domäne bedeutet, dass die Zone in der
Verzeichnispartition DomainDnsZones gespeichert wird und von jedem DNS-
Server der Domäne repliziert wird.
• Auf allen Domänencontrollern in dieser Domäne (Windows 2000-
Kompatibel) bedeutet, dass die Zone in DomainDnsZones gespeichert wird
und jeder DC eine Kopie erhält.
• Auf allen Domänencontrollern, die im Bereich dieser
Verzeichnispartition angegeben werden bedeutet, dass die
Verzeichnispartition benutzerdefiniert ausgewählt werden kann. Hier können
benutzerdefinierte Verzeichnispartitionen eingebunden werde.
Zonenübertragung (zone transfer) ist die Synchronisation von Zonendaten
zwischen einer beliebigen Masterzone und einer sekundären Zone.
Zonenübertragung muss genutzt werden wenn dein DNS-Server kein
Domäncontroller ist.
Zonenübertragung findet zum Beispiel statt, wenn eine Organisation mehrere DNS-
Server benötigt. Hier werden Quelldaten in eine schreibgeschützte sekundäre Zone
kopiert auf einem weiteren DNS-Server.
Zonenübertragung verwendet Standardzonen, Textdateien die ein jeder DNS-
Server speichert.
Zonenübertragung ist ein Pull-Vorgang, der von der sekundären Zone eingeleitet
wird. Die sekundäre Zone kopiert hierbei Daten von der Masterzone.
Sekundäre Zonen können so konfiguriert werden, dass sie eine Active Directoryintegrierte
Masterzone übertragen.

Zonenübertragung an sekundäre Zonen kann durch drei Ereignisse ausgelöst
werden:
• Wenn der Aktualisierungsintervall im SOA-Ressourceneintrag der primären
Zone abgelaufen ist. Der sekundäre Server leitet die Abfrage ein und
vergleicht seine Seriennummer mit der der Masterzone.
• Wenn ein Server, der eine sekundäre Zone hostet, neu gestartet wurde. Der
sekundäre Server leitet die Abfrage ein und vergleicht seine Seriennummer
mit der der Masterzone.
• Wenn eine Änderung an der Konfiguration der primären Zone auftritt und
diese primäre Zone so konfiguriert ist, dass sie eine sekundäre Zone über
Zonenupdates benachrichtigt.
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Zonenübertragungen
Zonenübertragungen zulassen:
• An jeden Server ist die unsicherste Option, da jedem der Zugriff auf den
DNS-Server gestattet wird um Zonendaten zu kopieren.
• Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind
schränkt die Zonenübertragung auf sekundäre DNS-Server ein, die einen NS-
Eintrag in der Zone haben und daher bereits autorisierend für Zonendaten
sind.
• Nur an folgende Server schränkt die Zonenübertragung auf, in einer Liste
festgelegte, IP/Hosts-Adressen ein, die nicht als NS-Eintrag vorhanden sein
müssen.
• Benachrichtigungen… können Benachrichtigungen an sekundäre Server
konfiguriert werden, wenn in der primären Zone Änderungen stattfinden.
$mmc dnsmgmt.msc -> sekundäre Zone
• Übertragung vom Master prüft ob die Seriennummer des SEO-Eintrags der
sekundären Zone abgelaufen ist und leitet bei Bedarf im Pull-Verfahren eine
Zonenübertragung vom Masterserver ein.
• Erneut vom Master übertragen prüft nicht die Seriennummer sondern leitet
direkt eine Zonenübertragung vom Masterserver der sekundären Zone ein.
• Neu laden lädt die sekundäre Zone neu aus dem lokalen Speicher.

Stubzonen (stub zone) sind Kopien einer Zone, die nur die wichtigsten Einträge der
Masterzone enthält.
Stubzonen liefern einem DNS-Server die Namen der Server, die für bestimmte
Zonen autorisierend sind. Sie verhindern somit Abfragen auf entfernte DNS-Server.
Stubzonen sollen es dem lokalen DNS-Server ermöglichen, Abfragen an
Namenserver weiterzuleiten, die für die Masterzone autorisierend sind.
Stubzonen erfüllen, nach dem oberen Fall, die gleiche Aufgabe wie eine
Delegierung.
Stubzonen bieten aber den Vorteil, dass sie Zonenübertragungen von der
(delegierten) Masterzone einleiten und empfangen können. So können
übergeordnete Zonen über Updates in den NS-Einträgen von untergeordneten
Zonen informiert werden.
Stubzonen Aufgaben:
• Zoneninformationen auf dem neusten Stand halten – Wenn der DNS-
Server der übergeordneten Zone und die Stubzone (für seine untergeordneten
Zonen) hostet, hat er immer eine Liste der autorisierenden DNS-Server für die
untergeordnete Zone.
• Verbesserung der Namensauflösung – Stubzonen ermöglichen DNS-
Server mit Rekursion durch die Namenserverliste der Stubzone zu gehen,
ohne andere DNS-Server innerhalb des lokalen Namespace abfragen zu
müssen. Stubzonen die auf diese Art bereit gestellt werden, können
sekundäre Zonen ersetzen und werden über die gesammte AD-Domäne oder
einen großen DNS-Namespace hinweg übertragen.
Delegierte Zonen sind untergeordnete Zonen (zum Beispiel ffm.example.com)
einer übergeordneten Zone (zum Beispiel example.com), die normalerweise auf
ihrem eigenen DNS-Server gehostet wird. Bei Delegierung enthält die übergeordnete
Zone einen NS-Eintrag für den Server, der die untergeordnete Zone hostet. Anfragen
in der übergeordneten Domäne werden also an den NS-Server der untergeordneten
Domäne weitergeleitet.

DNS-Servercache
DNS-Servercache speichert rekursive Abfragen von DNS-Clients.
DNS-Servercache wird geleert sobald der DNS-Serverdienst angehalten wird.
DNS-Auflösungscache verwendet eine TTL (Time-to-Live) für Ressourceneinträge.
DNS-Auflösungscache TTL beträgt standardmäßig 3600 Sekunden.
$dnscmd
$dnscmd /clearcache
$mmc dnsmgmt.msc
Stammhinweise enthält eine Liste der Stammserver im Internet, die alle paar Jahre
von leicht verändert wird.
ftp://rs.internic.net/domain/named.cache
Stammhinweise befinden sich unter Windows Server 2008 in der Datei
%SystemRoot%\System32\Dns\Cache.dns.
Stammhinweise enthalten standardmäßig Informationen für die Abfrage nach
Internetnamen, die nicht verändert werden müssen.
Stammhinweise sollten ganz gelöscht werden wenn ein DNS-Stammserver für ein
privates Netzwerk (Zonenname: „“) eingerichtet wird.
Stammhinweise stehen nicht zur Verfügung wenn ein DNS-Server einen
Stammserver hostet.
Stammhinweise müssen entfernt werden wenn ein DNS-Server eine Stammzone
hostet, um das Auflösen von externen Namen zu gewährleisten.
Weiterleitungen (forwards) bedient sich ein DNS-Server, wenn er keinen passenden
Eintrag anhand seiner autorisierenden Daten (primäre oder sekundäre Zonendaten)
oder zwischengespeicherten Daten beantworten kann.
Weiterleitungen sind DNS-Server-zu-DNS-Server Anfragen.
$netsh ip(v4|v6) set dnsserver ““ static
Weiterleitungen (forwardings) und deren Verwendung:
• Weiterleitungen werden oft benutzt, damit DNS-Clients und –Server innerhalb
einer Firewall externe Namen auf sichere Weise auflösen können. Dabei
können Anfragen an bestimmte externe DNS-Server gerichtet werden für die
IP- oder Host-Abhängig Ports geöffnet sind
• Weiterleitungen können benutzt werden, um innerhalb einer AD DS eine DNS-
Deligierung zu ermöglich. Dabei können z.B. die DNS-Server der
untergeordneten Domänen so konfiguriert werden, dass sie Anfragen an einen
bestimmten DNS-Server richten in der übergeordneten (Stamm-)Domäne.
So können Namen von Ressourcen in allen Domänen der Gesamtstruktur
aufgelöst werden.
• Weiterleitende DNS-Server die intern, externe-DNS-Server-Anfragen auf eine
Weiterleitung bündeln, können sinnvoll sein um den WAN-Traffic zu
minimieren.

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle ->
Forward-Lookupzone
Bedingte Weiterleitungen (conditional forwards) beschreibt eine DNS-Server-
Konfiguration, bei der die Abfrage nach einer bestimmten Domäne an einen
bestimmten DNS-Server weitergeleitet wird.
Bedingte Weiterleitungen haben einen geringen Wartungsaufwand, verursachen
kaum Zonentransfareverkehr und sind im Gegensatz zu sekundären und Stub-Zonen
immer aktuell.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle ->
Bedingte Weiterleitungen
DNS-Server-Eigenschaften konfigurieren die Eigenschaften die für den DNS-Server
und all seine gehosteten Zonen gelten.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften
• Schnittstellen legt fest auf welchen IP-Adressen DNS-Anforderungen
verarbeitet werden. Standardmäßig nimmt der DNS-Server auf allen
Schnittstellen DNS-Anfragen an.
• Stammhinweise enthält eine Kopie der Informationen aus %SystemRoot
%\System32\Dns\Cache.dns .
Bei DNS-Servern die einen Stammserver hostet ist dieser Reiter nicht
vorhanden
Weiterleitungen dienen dazu den lokalen DNS-Server so zu konfigurieren das er
Anfragen an einen anderen DNS-Server, die hier mit IP-Adresse eingetragen sind,
weiterleitet und an den Client zurückgibt

DHCP
DHCP (Dynamic Host Configuration Protocol) ermöglicht das Zuweisen von IP-
Adressen, Subnetzmasken, Standardgateways, DNS-Servern und anderen
Konfigurationsinformationen an Clients im lokalen Netzwerk.
Clients die für DHCP konfiguriert sind, rufen automatisch ihre IPv4-Adresse und
Konfiguration vom DHCP-Server ab.
Vier Schritte sind notwendig um einem Clienten eine IPv4-Adresse und
Subnetzmaske zuzuweisen:
1. Broadcast mit DHCP-Discover – Der Client sendet eine DHCP-Discover-
Nachricht als Broadcast in das lokale Netz, die sich an irgendeinen
verfügbaren DHCP-Server richtet.
2. Antwort mit DHCP-Offer – Falls ein DHCP-Server im Broadcastbereich
vorhanden ist und den DHCP-Client mit einer IP-Adresszuweisung versorgen
kann, sendet er eine DHCP-Offer-Unicastnachricht an den DHCP-Client.
DHCP-Offer-Nachrichten enthalten eine Liste der DHCP-
Konfigurationsparameter und eine verfügbare IP-Adresse aus dem DHCP-
Bereich, die der DHCP-Server dem DHCP-Client anbietet.
Falls der DHCP-Server eine Reservierung anhand der MAC-Adresse des
DHCP-Clients feststellt, bietet er dem Client die reservierte Adresse an.
3. Antwort mit DHCP-Request – Der DCHP-Client antwortet auf die DHCP-
Offer-Nachricht und fordert die IP-Adresse an, die ihm angeboten wird. Es
besteht aber auch die Möglichkeit, dass der DHCP-Client die IP-Adresse
anfordert die ihm vorher zugewiesen war.
4. Bestätigung mit DHCP-Ack – Falls die IP-Adresse, die der DHCP-Client
angefordert hat, noch verfügbar ist, antwortet der DHCP-Server mit einer
DHCP-Ack-Bestätigungsnachricht. Der Client kann die IP-Adresse nun
benutzen.
Adressleases
DHCP-Server verwalten eine Datenbank der Adressen, die der Server an Clients
vergeben kann. Den Vorgang des Adressvergebens nennt man Lease.
DHCP-Server zeichnen auf, welche Adresse an welchen Client vergeben ist, so dass
Adressen niemals mehrfach vergeben werden.
Leases dauern in den Standardeinstellungen 6 Tage oder 8 Stunden.
Leases die abgelaufen sind – am Ende einer Leasedauer fordert der DHCP-Server
die Adresse zurück.
DHCP-Clients fordern nach der Hälfte der Leasedauer eine Erneuerung der Lease
an den DHCP-Server.
• DHCP-Server online: genehmigt er normalerweise die Anforderung und die
Leasdauer wird wieder neu gestartet.
• DHCP-Server nicht verfügbar: versucht der DHCP-Client, die DHCP-Lease zu
verlängern wenn die Hälfte der Leasdauer verstrichen ist.
Wenn 87,5% der Leasedauer verstrichen sind, versucht der Client einen neuen
DHCP-Server zu finden.

DHCP-Clients die heruntergefahren werden oder bei denen der Befehl runas
/user:Administrator “ipconfig /release“ ausgeführt wird, senden eine
DHCP-Release-Nachricht an den DHCP-Server, der die Adresse zugewiesen hat.
Der DHCP-Server markiert daraufhin die Adresse als verfügbar und kann sie einem
anderen DHCP-Client zuweisen.
DHCP-Clients die plötzlich vom Netzwerk getrennt werden, senden keine DHCP-
Release-Nachricht, was zu folge hat, dass die Adresse bis zum Ende der
Leasedauer vergeben bleibt.
Leasedauer sollte deshalb in Netzwerken mit häufigen Verbindungen und
Trennungen (zum Beispiel WLANs) gering sein.

DHCP-Clients Konfiguration
Netzwerkadapter -> Eigenschaften -> Internetprotokoll IP(v4|v6) -> Allgemein
• IP-Adresse automatisch beziehen
• DNS-Server automatisch beziehen
$netsh interface ipv4 set address dhcp
$netsh interface ipv4 set dnsserver dhcp
$netsh interface ipv6 set interface
managedaddress=(enable|disable)
$netsh interface ipv6 set interface
otherstatful=(enable|disable)
$ipconfig /release (erzwingen einer neuen Lease)
$ipconfig /renew
Statusbehafteter-Modus (statful mode) muss manuell aktiviert werden.
Statusbehafteter-Modus fragt über DHCPv6 eine Adresse und IPv6-
Konfigurationsoptionen von einem DHCP-Server ab.
Statusfreie-Modus (statless mode) ist standardmäßig auf IPv6-Clients aktiviert.
Statusfreie DHCPv6-Modus bedeutet, dass der Client seine IP-Adresse durch
Austausch von Routeranfrage- und Routerankündigungsnachricht mit einem
benachbarten IPv6-Router konfiguriert.
Statusfreie DHCPv6-Modus kann denoch DHCP-Optionen, wie zum Beispiel den
IPv6-DNS-Server, beim DHCP-Server abfragen.

DHCP-Server Konfiguration
DHCP-Server unter Windows Server 2008 benötigen eine statische IP-Adresse, aus
dem Subnetz das für den DHCP-Bereich konfiguriert werden soll.
DHCP-Server die IP-Adressen an Clients leasen, müssen einen Bereich von IP-
Adressen für das Leasen vordefiniert haben.
DHCP-Server die für die Subnetze 10.0.42.0/24 und 192.168.23.0/24 DHCP-
Bereiche definiert haben, sollten direkt mit diesen Subnetzen (sofern kein DHCP-
Relay-Agent eingesetzt wird) verbunden sein.
$mmc dhcpmgmt.msc
$start /w ocsetup DHCPServerCore
$net start dhcpserver
$sc config dhcpserver start=auto
$mmc servermanager.msc -> Assistenten „Rollen hinzufügen“ -> Serverrolle
auswählen -> DHCP-Server
• Bindungen für Netzwerkverbindung auswählen – gibt die Netzwerkkarte
oder den Adapter an, auf dem der DHCP-Server Clientanforderungen
entgegennimmt.
• Angeben von IPv4-DNS-Servereinstellungen – gibt die DNS-Optionen 015
(DNS-Domänenname) und 006 (DNS-Server) an.
• Angeben von IPv4-WINS-Servereinstellungen – gibt die DNS-Option 044
(WINS/NBNS-Server) an.
• DHCP-Bereiche hinzufügen oder bearbeiten – gibt den DHCP-Bereiche an,
eine Gruppe von IP-Adressen aus einem Subnetz, die der DHCP-Dienst nutzt
um dynamische IP-Adressen zu vergeben.
DHCP-Bereiche hinzufügen:
• Bereichname – Anzeigename der DHCP-Server-Konsole.
• Start- und End-IP-Adresse – DHCP-Bereich der aus IPs des
Subnetzes die nicht statisch vergeben werden, besteht. Statisch
konfigurierte Bereiche müssen ausgenommen werden.
Bsp.: 192.168.0.1-20 ist statisch vergeben;
DHCP-Bereich: 192.168.0.21-192.168.0.254
• Subnetzmaske – die DHCP-Clients zugewiesen wird. Muss die
gleiche sein wie die des DHCP-Servers.
• Standardgateway (optional) – Option 003 (Router).
• Subnetztyp – standard Leasedauer. Entweder 6 Tage oder 8 Stunden.
• Diesen Bereich aktivieren – nur aktivierte Bereiche vergeben Leases.
• Konfigurieren des statusfreien DHCPv6-Modus – statless mode ist der
Standardadressierungsmodus für IPv6-Hosts, wobei Adressen ohne Hilfe
eines DHCP-Servers konfiguriert werden. Optionen können aber denoch von
einem DHCP-Server abgerufen werden.
Statusfreien DHCPv6-Modus kann deaktiviert werden, um dem DHCP-Server
zu ermöglichen statusbehaftete Adressierungen zu vergeben. Hierfür muss
später ein weiterer DHCP-Bereich im Knoten IPv6 der DHCP-Konsole
eingerichtet werden.

• IPv6 DNS-Servereinstellungen angeben – (wird nur gezeigt wenn
statusfreien DHCPv6-Modus deaktiviert ist)
• DHCP-Server autorisieren – bevor ein DHCP-Server in einer
Domänenumgebung Leases für Adressen aus einem vorhandenen Bereich
an DHCP-Clients vergeben kann, muss der Server erst autorisiert und der
Bereich aktiviert sein.
DHCP-Bereiche (scope) sind die wichtigsten Mechanismen, wie Server Verteilung
und Zuweisung von IP-Adressen und Optionen an Clients verwalten.
DHCP-Bereiche müssen in einem einzelnen Hardwaresubnetz liegen, für die dass
DHCP-Dienste angeboten wird.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereich
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Adresspool -> Neuer
augeschlossener Bereich… -> Ausschluss hinzufügen
Ausgeschlossene Bereiche sind Adessausschlüsse aus dem vordefinierten DHCP-
Bereich.
Adressausschlüsse dienen dazu einzelne IPs oder IP-Blöcke vom DHCP-Bereich
auszuschließen, die statisch vergeben wurden.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Reservierungen -> Neue Reservierung… -> Neue Reservierung
• Reservierungsname
• IP-Adresse
• Mac-Adresse
• Beschreibung
• Unterstützte Typen (Beide|Nur DHCP| Nur BOOTP)
$getmac /s | clip
Reservierungen haben den Vorteil, dass sie gegenüber von Handverwalteten,
statischen IP-Adressen, zentral verwaltet werden können.
Reservierungen haben den Nachteil, dass sie erst spät im Startprozess zugewiesen
werden und ein DHCP-Server vorhanden sein muss.
Reservierungen können zum Beispiel bei Druckservern oder Anwendungsserver
praktikabel sein. DNS-Server sollten auf keinen Fall von DHCP-Servern abhängig
sein.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Eigenschaften -> Allgemein -> Leasedauer für DHCP-Clients
Leasdauern für LANs ist die standardmäßig, sinnvoll mit der Dauer von 6 Tage
festgelegt. Kann aber erhöht werden falls die Computer selten umgestellt oder neu
angeschlossen werden.
Leasdauern sollten relativ kurz sein, 8 Stunden, wo die Adressen knapp sind und die
Verbindungsdauern kurz.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Adressleases -> Löschen
Adressleases zeigt an welche IP-Adressen momentan als Leases an welche
Clienten vergeben sind.
Adressleases Löschen kann gleich mehrere Clients auswählen und Leases vieler
Clients aufeinmal beenden um ihre Leases zu erneuern und die neuen Adressen
oder neuen Optionen abzurufen.
DHCP-Optionen stellen Clients zusammen mit der Adresslease zusätzliche
Konfigurationsparameter zur Verfügung, etwa DNS- oder WINS-Serveradressen.
• DHCP-Optionen werden normalerweise für einen gesamten Bereich
zugewiesen (Serveroptionen).
• DHCP-Optionen können aber auch auf Serverebene eingestellt werden und
gelten dann für alle Leases auf allen Bereichen, die für DHCP-
Serverinstallationen definiert sind (Bereichsoptionen).
• DHCP-Optionen können auf Reservierungsebene einzelnen Computern
zugewiesen werden (Optionsklassen).
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Bereichoptionen -> Optionen Konfigurieren… -> Optionen - Bereich -> Allgemein
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Serveroptionen ->
Optionen Konfigurieren… -> Optionen - Server -> Allgemein
DNS-Bereich- und Serveroptionen unterscheiden sich dadurch, wie der Name
schon sagt, dass die Optionen einmal auf Bereichsebene und einmal auf
Serverebene angewendet werden.
60 DHCP-Standardoptionen stehen unter Windows Server 2008 zu Verfügung.
Folgende sind für die IPv4-Konfiguration die wichtigsten:
• 003 Router – Liste mit den IPv4-Adressen der bevorzugten Router im selben
Subnetz wie DHCP-Clients
• 006 DNS-Server – Liste mit den IPv4-Adressen von DNS-Namenservern
• 015 DNS-Domänenname – Gibt den Domänenname an, die der Client als
primäres DNS-Suffix verwenden soll und für dynamische DNS-Updates
• 044 WINS/NBNS-Server – Gibt die IPv4-Adresse der primären und
sekundären WINS-Server an
• 046 WINS/NBT-Knotentyp – Gibt die bevorzugte NetBIOS-
Namensauflösungsmethode (Broadcast, H-Knoten) an
• 051 Lease – Gibt eine spezielle Leasedauer für Remotezugriffsclients an,
welche durch eine bestimmte Benutzerklasseninformationen identifiziert
werden

Standardbenutzerklasse (default user class) ist eine Klasse, zu der alle DHCP-
Clients gehören und die auf alle DHCP-Clients angewendet wird. In dieser Klasse
werden in der Standardeinstellung alle Optionen erstellt.
DHCP-Konflikterkennungsversuche, falls mit dem Wert 2 konfiguriert, erkennen
via ping über ICMP ob IPs schon geleast sind.
DHCP-Datenbank kompremieren:
$cd %systemroot%\system32\dhcp
$net stop dhcpserver
$jetpack dhcp.mdb tmp.mdb
$net start dhcpserver
DHCP-Optionsklassen (options class) ist eine Clientkategorie, die es dem DHCP-
Server erlaubt, Optionen nur an bestimmte Clients innerhalb eines Bereiches
zuzuweisen.
Optionsklassen die einem Server hinzugefügt werden, können Clients dieser Klasse
mit klassenspezifischen Optionen versorgt werden. Optionsklassen werden nach der
Standardbenutzerklasse angewandt und überschreiben deren Option. Es gibt zwei
Typen von Optionsklassen:
• Herstellerklassen (vendor class) werden benutzt, um DHCP-Clients, die als
Produkte eines bestimmten Herstellers identifiziert werden,
herstellerspezifische Optionen zuzuweisen.
Clients mit Windows 2000 können so zum Beispiel ermittelt werden, und
abhängig davon NetBIOS aktiviert oder deaktiviert werden.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 ->
Herstellerklassen definieren -> DHCP-Herstellerklassen
• Benutzerklassen (user class) werden benutzt, um Optionen an beliebige
Gruppen von Clients zuzuweisen. Diese Klassen sind im Gegensatz zu
Herstellerklassen konfigurierbar.
Nachdem eine Benutzerklasse auf dem Server erstellt wurde, muss die Klasse
auf den Clientcomputern konfiguriert werden.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 ->
Benutzerklassen definieren -> DHCP-Benutzerklassen -> Hinzufügen…
$ipconfig /setclassid

IP-Routing
Routing erlautb es Routern, Verkehr untereinander weiterzuleiten, so dass Clients
und Server in unterschiedlichen Subnetzen miteinander kommunizieren können.
Routing kann mit ICMP (Internet Control Message Protocol) überwacht, verfolgt und
visualisiert werden.
Routing kann dynamisch, mit Hilfe von Routingprotokollen, oder statisch mit Hilfe von
Routentabellen gesteuert und konfiguriert werden.
$pathping dc01
Routenverfolgung zu DC01.foo.local [fd65:9abf:efb0:6::a]
über maximal 30 Abschnitte:
0 DNS01.foo.local [fd65:9abf:efb0:6::b]
1 DC01 [fd65:9abf:efb0:6::a]
Berechnung der Statistiken dauert ca. 25 Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse
0 DNS01.foo.local [fd65:9abf:efb0:6::b]
0/ 100 = 0% |
1 0ms 0/ 100 = 0% 0/ 100 = 0% DC01 [fd65:9abf:efb0:6::a]
$tracert freebsd.org
Routenverfolgung zu freebsd.org [69.147.83.40] über maximal 30 Abschnitte:
1 1 ms 1 ms 1 ms 192.168.32.64
2 1 ms 1 ms 1 ms fritz.box [192.168.64.128]
3 17 ms 18 ms 25 ms lo1.br14.ber.de.hansenet.net [213.191.64.25]
4 11 ms 10 ms 10 ms ae1-102.cr01.ber.de.hansenet.net [62.109.108.125]
5 28 ms 28 ms 32 ms so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.66.21]
6 41 ms 37 ms 28 ms ae0-0.pr01.fra.de.hansenet.net [213.191.66.201]
7 33 ms 34 ms 32 ms ge-1-3-0.pat2.dee.yahoo.com [80.81.193.115]
8 121 ms * 131 ms as-1.pat2.dcp.yahoo.com [66.196.65.129]
9 195 ms 213 ms 209 ms as-0.pat2.da3.yahoo.com [216.115.101.155]
10 189 ms 191 ms 204 ms as-1.pat2.sjc.yahoo.com [216.115.101.151]
11 190 ms 194 ms 206 ms ae-0-d161.msr1.sp1.yahoo.com [216.115.107.59]
12 195 ms 194 ms 191 ms gi-1-48.bas-b1.sp1.yahoo.com [209.131.32.47]
13 191 ms 189 ms 192 ms freefall.freebsd.org [69.147.83.40]
Ablaufverfolgung beendet.
Routingprotokolle
Routingprotokolle vereinfachen die Konfigurationen und erlauben es Routern,
automatische Anpassungen vorzunehmen, wenn sich die Netzwerkbedingungen
ändern (wenn zum Beispiel ein Router oder eine Netzwerkverbindung ausfällt).
Routingprotokolle sind zum Beispiel RIP (Routing Information Protokoll) oder OSPF
(Open Shortest Path First).
Router mit aktiviertem Routingprotokoll, die an ein Netzwerk angeschlossen sind,
kündigt das Routingprotokoll eine Liste der Netzwerke an, mit dem der Router
verbunden ist. Der Router nimmt die Ankündigungen von benachbarten Routern
entgegen, so dass er erfährt, wie er bestimmte Remotenetzwerke erreichen kann.

Routing- und RAS-Dienste
Routing- und RAS-Dienste (Remote Access System) Serverrolle aktiviert unter
Windows Server 2008 dynamisches routing mit Hilfe von RIP (Routing Information
Protokoll)..
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste
-> Routing und RAS -> IPv4
• Neues Routingprotokoll
o RIP, Version 2, für das Internetprotokoll
o Neue Schnittstelle für RIP, Version 2, für das Internetprotokoll
• Schnittstelle -> Eigenschaften
o Allgemein – RIPv1 oder RIPv2 sowie Authentifizierung
o Sicherheit – legt fest von welche angekündigten Routen akzeptiert
werden
o Nachbarn – Liste der Nachbarn
o Erweitert – Ankündigungsintervall und Zeitüberschreitung
Standardmäßig verwendet Windows Server 2008 RIPv2.
(http://administrator.de/)

Statisches Routing
Statische Routen können zum Beispiel notwendig sein, wenn Geräte eine
Verbindung mit einem entfernten Subnetz herstellen müssen und das
Standardgateway nicht direkt mit einer Schnittstelle an besagtes Subnetz
angebunden ist.
Statische Routen können unter Windows 2008 Server entweder mit $route oder
dem Routing- und RAS-Dienst konfiguriert werden.
$route print
===========================================================================
Schnittstellenliste
3...00 0c 29 43 b0 31 ......Intel(R) PRO/1000 MT-Netzwerkverbindung
1...........................Software Loopback Interface 1
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.6.1 192.168.6.11 11
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1
306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1
306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1
306
192.168.6.0 255.255.255.0 Auf Verbindung 192.168.6.11
266
192.168.6.11 255.255.255.255 Auf Verbindung 192.168.6.11
266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1
306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.6.11
266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1
306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.6.11
266
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.6.1 1
===========================================================================
IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
3 266 fd65:9abf:efb0:6::/64 Auf Verbindung
3 266 fd65:9abf:efb0:6::b/128 Auf Verbindung
3 266 fe80::/64 Auf Verbindung
3 266 fe80::cd3c:3113:f394:a01b/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
3 266 ff00::/8 Auf Verbindung
===========================================================================
Folgender Befehl trägt in die Routertabelle ein, dass das Subnetz 192.168.2.0/24
über den Router 192.168.1.2 zu erreichen ist, anstatt über das Standardgateway:
$route -p add 192.168.2.0 MASK 255.255.255.0 192.168.1.2

Statische Routen mit Routing- und RAS-Dienst lassen sich ebenfalls eintragen:
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste
-> Routing und RAS -> IPv4 -> Statische Routen -> Neue Statische Routen ->
Statische IPv4-Route
• Schnittstelle
• Ziel
• Netzwerkmaske
• Gateway
• Metrik

IPSec
IPSec (Internet Protocoll Security) schützt Netzwerke, indem Daten authentifiziert
und verschlüsselt werden.
IPSec schütz vor Spoofing, manipulierten Daten, Relay-Angriffen und Spionage.
IPSec wird eingesetzt, um die Kommunikation zwischen zwei Hosts oder um
Verkehr, der über das Internet fließt, bei der Benutzung von VPN, zu schützen.
IPSec basiert auf Standards, die von der IPSec-Arbeitsgruppe der IETF (Internet
Engineering Task Force) entwickelt wurden.
IPSec schützt Daten mit folgenden Diensten:
• Datenauthentifizierung
o Der Ursprung der Daten wird authentifiziert – IPSec stellt sicher, dass
der Absender nicht gefälscht ist und ein Paket wirklich von einem
vertrauenswürdigen Absender stammt.
o Datenintegrität – IPSec stellt sicher, dass Daten nicht auf ihrem Weg
manipuliert wurden.
o Anti-Relay-Schutz – IPSec stellt sicher, dass jedes Paket einmalig und
keine Kopie ist.
• Verschlüsselung
o Datenverschlüsselung – IPSec kann Daten verschlüsseln, so dass sie
unlesbar sind, falls sie abgefangen werden.
IPSec-Sicherheitszuordnungen (Security Association, SA) schützen die Daten, die
zwischen zwei Computern ausgetauscht werden.
IPSec-Sicherheitszuordnungen werden aufgebaut wenn zwei Computer IPSec-
Verbindungen aushandeln.
Sicherheitszuordnungen werden durch zwei IPSec-Protokolle gewährleistet:
• Authentication Header (AH) – stellt Authentifizierung der Datenherkunft,
Datenintegrität und Anti-Replay-Schutz für das gesamte IP-Packet sicher.
• Encapsulating Security Payload (ESP) – bietet Datenverschlüsselung,
Authentifizierung der Datenherkunft und Anti-Relay-Schutz für die ESP-
Nuterdaten.
IPSec-Verbindungen werden über IKE-Protokolle (Internet key Exchange)
initialisiert um Sicherheitszuordnungen dynamisch zwischen zwei IPSec-Partnern
aufzubauen.
IPSec-Verbindungen werden mit IKE in zwei Phasen ausgehandelt:
1. Hauptmodusaushandlung (main mode negotation) dient dazu, dass
aushandeln des Kommunikationsverfahrens und des
Verschlüsselungsalgorithmus mit einer SA zu schützen.
2. Schnellmodusaushandlung (quick mode negotiation) stellt aus dem
ausgehandelten Verschlüsselungsalgorithmus und dem
Kommunikationsverfahren eine weitere SA her, über die die Daten schließlich
gesendet werden.
IPSec-Verbindungen arbeiten standardmäßig im Transportmodus (transport mode),
bei dem end-to-end-Sicherheit zwischen Geräten gewährleistet wird.
IPSec-Transportmodus wird bei den meisten VPNs eingesetzt, in Kombination mit
L2TP (Layer Two Tunneling Protocol), um die IPSec-Verbindung durch das WAN zu
Tunneln.

IPSec-Tunnelmodus kommt zum Einsatz, wenn VPN-Gateways nicht L2TP/IPSec-
VPN kompatibel sind.
IPSec-Tunnelmodus schützt gesamte IP-Pakete, die dann in einen zusätzlichen,
ungeschützten IP-Header verpackt werden. Der äußere IP-Header gibt die IP-
Adressen der Tunnelendpunkte an, der innere IP-Header die eigentliche Quell- und
Zieladresse.
IPSec-Tunnelmodus wird von Remotezugriff-VPNs nicht unterstützt, hier muss
L2TP/IPSec oder PPTP zum einsatz kommen.
IPSec-Authentifizierungsmethoden
• Kerberos (Active Directory) – ist die Standardauthentifizierungsprotokoll in
einer AD-Umgebung, deshalb am einfachsten zu konfigurieren, wenn IPSec
innerhalb einer einzigen AD-Gesamtstruktur implementiert wird, kann die
Authentifizierung über die AD-Einbindung erfolgen.
• Zertifikate – sollten eingesetzt werden wenn keine Kerberos-Authentifizierung
zu Verfügung steht. Nötig ist dafür eine Zertifikatinfrastruktur, die die
Zertifikate der Peer-Partner ausstellt. Jeder Host muss der
Zertifizierungsstelle vertrauen, die das Zertifikat des Kommunikationspartners
ausgestellt hat.
• Vorinstallierte Schlüssel – sind Kennwörter die beide Peers kennen. Mit
dem Kennwort wird ein- und ausgehender Verkehr verschlüsselt. Da der
Schlüssel im Klartext gespeichert wird, eignet sich diese
Authentifizierungsmethode nicht für den produktiven Einsatz.

IPSec Konfiguration
IPSec wird unter Windows Server 2008 mit Sicherheitsrichtlinien oder
Gruppenrichtlinien verwaltet.
IPSec wird unter Windows Server 2008, Windows Vista und Windows 7 entweder
über IPSec-Richtlinien (IPSec policy) oder Verbindungssicherheitsregeln (connection
security rule) erzwungen.
IPSec-Richtlinien bietet im Gegensatz zu Verbindungssicherheitsregeln, in den
Standardeinstellungen, nicht nur schutz vor Spoofing (gefälschten Daten),
manipulierten Daten und Relay-Angriffen, sondern auch Verschlüsselung.
IPSec-Richtlinien wie auch Verbindungssicherheitsregeln, können so konfiguriert
werden, dass sie eine beliebige Kombination aus Datenauthentifizierung und
Verschlüsselung bereitstellt.
IPSec-Richtlinien und Verbindungssicherheitsrichtlinien können über ein
Gruppenrichtlinienobjekt oder lokal erzwungen werden.
IPSec-Richtlinien
IPSec-Richtlinienregeln (IPSec policy rule) sind mit IP-Filterlisten (IP filter list) und
Filteraktionen (filter action) verknüpft. Jede Richtlinie hat einen Filterliste und
Filteraktion.
IP-Filterlisten enthalten einen Satz aus einem oder mehrern IP-Filtern, die IP-
Verkehr für eine IPSec-Richtlinie abfangen.
IP-Filter definieren Quell- oder Zieladresse, Adressbereich, Computername,
TCP/UDP-Port oder Servicetyp (DNS, WINS, DHCP, Standardgateway).
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-
Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active
Directory
IPSec-Richtlinienregel Bsp.:
IPSec-Richtlinie IP-Filterliste Filteraktion
Richtlinienregel 1 Filter 1: Telnet-Verkehr von 192.168.23.42
Filter 2: POP3-Verkehr von 192.168.23.196
Sicherheit aushandeln
(Verschlüsselung
zwingend erforderlich)
Blocken
Richtlinienregel 2 Filter 1: gesamte Telnet-Verkehr
Filter 2: gesamte POP3-Verkehr
Richtlinienregel 3 Filter 1: gesamte Verkehr Sicherheit aushandeln
(Authentifizierung
anfordern)

Vordefinierte IPSec-Richtlinien
Vordefinierte IPSec-Richtlinien – kann jeweils nur eine der folgenden drei, einem
Gerät oder Computer zugewiesen werden:
• Client (nur Antwort) / Client (Respond Only) – normalerweise wird diese
Richtlinie Intranetcomputern zugewiesen, die mit geschützten Servern
kommunizieren müssen, aber nicht den gesamten Verkehr zu schützen
brauchen.
• Server (Sicherheit anfordern) / Server (Request Security) – sollte
Computern zugewiesen werden, bei denen Verschlüsselung bevorzugt wird,
aber nicht unbedingt erforderlich ist.
Der Computer nimmt ungeschützten Verkehr an, versucht aber immer, weitere
Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen
Absender fordert.
• Sicherer Server (Sicherheit erforderlich) / Secure Server (Require
Security) – sollte Intranetservern zugewiesen werden, die sichere
Kommunikation benötigen.
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-
Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active
Directory
Benutzerdefinierte IPSec-Richtlinien
Benutzerdefinierte IPSec-Richtlinien gruppieren benutzerdefinierte IPSec-Regeln.
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-
Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active
Directory -> IP-Sicherheitsrichtline erstellen… -> IPSec-Sicherheitsrichtlinien
Assistent
• Name
o leere Richtlinie
o benutzerdefinierter Name
o Standardantwortregel (default response rule)
• Eigenschaften
o Regel
� Hinzufügen (Sicherheitsregel Assistent)
• Tunnelpunkt (IPSec-Tunnelmodus)
• Netzwerktyp (IPSec-LAN oder
Remotezugriffsverbindungen)
• IP-Filterliste (All ICMP Traffic, All IP Traffic,
benutzerdefinierte IP-Filterliste (DHCP, DNS, WINS etc.))
o IP-Filter-Assistent
• Filteraktion (Permit, Request Security, Require Security)
• Authentifizierungsmethode (Kerberos, Zertifikat,
Schlüsselaustausch)
o Allgemein

Verbindungssicherheitsregeln
Verbindungssicherheitsregeln sind ähnlich wie IPSec-Richtlinienregeln, allerdings
sind Verbindungssicherheitsregeln nicht so leistungsfähig wie IPSec-
Richtlinienregeln.
Verbindungssicherheitsregeln gelten nicht für ausgewählte Protokolle (DNS, Telnet),
sondern sie gelten für den gesamten Verkehr, der von oder zu bestimmten IP-
Adressen, Subnetzen oder Servern läuft.
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen
-> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter
Sicherheit -> Verbindungssicherheitsregeln
Benutzerdefinierte Verbindungssicherheitsregeln
$mmc wf.msc -> Verbindungssicherheitsregeln -> Neue Regel… -> Assistent für
neue Verbindungssicherheitsregeln
• Regeltyp
o Isoliert – Verkehr für das ausgewählte Netzwerkprofil
(Netzwerkstandorttyp) – Domäne, Privat oder Öffentlich
o Authentifizierungsausnahme – für Computer, Gruppe oder Bereich
von IP-Adessen (Computern) die sich nicht authentifizieren müssen
zum Beispiel für Infrastrukturcomputer wie DHCP-Server auf die ein
Client zugreifen muss bevor er eine Authentifizierung durchführen kann
o Server-zu-Server – authentifiziert die Kommunikation zwischen IP-
Adressen oder IP-Adressblöcken
o Tunnel – IPSec-Tunnelmodus für VPN-Gateways
o Benutzerdefiniert – kombination aus mehreren anderen Regeln oder
selbst definierte Regeln.
• Endpunkte festlegen - Remotecomputer
• Anforderungen – Permit, Request Security, Require Security
• Authentifizierungsmethode – Kerberos, Zertifikat, Schlüsselaustausch
• Profil – aktiv für folgenden Standorttyp: Domäne, Privat oder Öffentlich
• Name – der Verbindungssicherheitsregel
$mmc wf.msc -> Verbindungssicherheitsregeln -> Eigenschaften -> IPSec-
Einstellungen -> IPSec-Standardeinstellungen
• IPSec-Einstellungen anpassen
o Schlüsselaustauschen
o Datenschutzt
o Authentifizierungsmethode
• IPSec-Ausnahmen
o IPSec-Ausschließen (ICMP)

NAT
NAT (Network Adress Translation) – ein Dienst der Private-IP-Adressen, die im LAN
verwendet werden, in öffentliche (WAN) IP-Adressen, die im Internet kommunizieren
übersetzt.
NAT wurde entwickelt, weil öffentliche IP-Adressen im Internet knapp wurden.
NAT ermöglicht Organisationen, Private-IP-Adress-Blöcke zu vergebe, die Hunderte
oder Tausende Hosts Adressieren können. Eine genatete öffentliche IP-Adresse
reicht aus, um die Kommunikation dieser Hosts mit dem Internet zu gewährleisten.
Verschiedene Organisationen können identische Private-IP-Adress-Blöcke vergeben:
192.168.0.0 – 192.168.255.255
172.16.0.0 – 172.31.255.255
10.0.0.0 – 10.255.255.255
PAT (Port Adress Translation) funktioniert wie NAT, übersetzt allerdings auch Ports.

NAT Konfigurieren
Windows Server 2008 kann als NAT-Server eingesetzt werden und stellt zwei NAT-
Dienste bereit:
• Gemeinsame Nutzung der Internetverbindung (Internet Connection
Sharing, ICS) – ist für Heimnetzwerke und kleine Büros gedacht
• Routing- und RAS-Dienste – ist für Organisationen gedacht mit geroutetem
Intranet
ICS benötigt zwei Schnittstellen. Auf der öffentlichen Schnittstelle eine öffentliche IP-
Adresse und auf der internen Schnittstelle eine private.
ICS-Dienst weist automatisch dem ICS-Computer die private IP-Adresse
192.168.0.1 zu und via DHCP, Computern im LAN, IP-Adressen aus dem Bereich
192.168.0.0/24.
ICS-Dienst aktiviert automatisch DHCP-Dienst (ICS-DHCP ist nicht kompatibel zur
Serverrolle DHCP-Server oder dem DHCP-Relay-Agenten und anderen Routing- und
RAS-Komponenten).
ICS-Dienst kann auch VPN- oder DFÜ-Verbindungen verwalten.
Öffentliche Schnittstelle -> Eigenschaften -> Anderen Benutzern im Netzwerk
gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden
Routing und RAS ermöglicht sämtliche NAT-Fähigkeiten zu nutzen.
Routing und RAS hat folgende Vorteile gegenüber ICS:
• Manuelle Konfiguration des internen Netzwerks
• Routen in mehrere interne Netzwerke
• Serverrolle DHCP-Server kompatibel
• Routing- und RAS-Komponenten kompatibel
Routing und RAS NAT-Server aktivieren:
• Schnittstellen
o interne Schnittstelle
o externe Schnittstelle
• NAT
o Serverrolle Netzwerkrichtlinien- und Zugriffsdienste, Rollendienst
Routing- und RAS konfiguriert Netzwerkadressübersetzung (NAT) und
NAT-Internetverbindung
• DHCP
o Serverrolle DHCP-Server (oder)
o Netzwerkrichtlinien- und Zugriffsdienst -> Routing und RAS -> IPv4 ->
NAT -> Eigenschaften -> IP-Adressen automatisch mit der DHCP-
Zuweisung zuordnen
• DNS
o Serverrolle DNS-Server (oder)
o Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 ->
NAT -> Eigenschaften -> Namensauflösung -> Clients, die DNS
(Domain Name System) verwenden
Ereignisanzeige -> Windows-Protokolle -> System (Quelle: SharedAccess_NAT)

Drahtlosnetzwerke
Drahtlosnetzwerkstandards und Drahtlosnetzwerktechnologien:
• 802.11b
o Netzwerkdurchsatz: 11MBit/s real 3-4MBit/s
o Clients kompatible zu 802.11g und 802.11n
• 802.11g
o Netzwerkdurchsatz: 54MBits/s real 10-15MBit/s
o Zugriffspunkt-Modi:
� gemischt (unterstützt 802.11b Clients, verringert die Bandbreite
auf 802.11b)
� reines 802.11g
• 802.11n
o Nachfolger von 802.11b und 802.11g mit höherer Reichweite
o Netzwerkdurchsatz: 250MBit/s real ca. 50MBit/s
o Clients kompatible zu 802.11a, 802.11b und 802.11g
Drahtlosnetzwerksicherheitsstandards:
• Keine Sicherheit
o Keine Verschlüsselung oder Authentifizierung
• WEP (Wired Equivalent Protection)
o Verschlüsselung mit 64-Bit oder 128-Bit und Authentifizierung über eine
Passphrase oder einen Schlüssel
• WPA (Wi-Fi Protection Access)
o WPA-PSK (WPA-Personal) für vorinstallierte Schlüssel, PreShared
Keys. Verwendet statische Schlüssel zur Authentifizierung.
o WPA-EAP (Extensible Authentication Protocol) auch WPA-Enterprise,
übergibt Authentifizierungsanfroderungen an einen Backendserver
(RADIUS).
• WPA2 (IEEE 802.11i) entspricht WPA mit erhöhter Sicherheit
o WPA2-PSK
o WPA2-EAP
Drahtlosnetzwerke-Client Konfigurieren
Verbindung herstelle -> Verbindung mit einem Netzwerk herstellen -> Zusätzliche
Anmeldeinformationeneingeben oder auswählen -> Anmeldeinformationen ->
Netzwerkstandort festlegen
Bootstrap Wireless Profile erlaubt es vor dem Anmelden, Verbindung zu einem
Drahtlosnetzwerk herzustellen.

Drahtlosenetzwerke Konfigurieren
Windows 2008 Server können als RADIUS-Server arbeiten und erreichen so eine
dynamische Drahtlosnetzwerkauthentifizierung, Active Directory integriert.
Netzwerkrichtlinienserver (Network Policy Server, NPS) stellt RADIUS-
Authentifizierung für WPA/WPA2-Enterprise bereit.
• PKI (public key infrastructure) Konfigurieren
o Serverrolle Active Directory-Zertifikatdienst
o GPO -> Computerkonfiguration -> Richtlinien -> Windos-Einstellungen
-> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel ->
Zertifikatdiensteclient automatische Registrierung -> Eigenschaften ->
Eigenschaften von Zertifikatdiensteclient – automatische Registrierung
-> Konfigurationsmodell -> Aktiviert
• RADIUS-Server Konfigurieren
o Serverrolle Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste
auswählen -> Netzwerkrichtlinienserver -> Routing- und RAS-Dienste
o Netzwerkrichtlinien- und Zugriffsdienste -> NPS ->
Standardkonfiguration -> RADIUS-Server für drahtlose oder verkabelte
802.1X-Verbindungen
� 802.1X konfigurieren -> 802.1X-Verbindungstyp auswählen ->
Sichere Drahtlosverbindung
• 802.1X-Swichtes angeben -> Hinzufügen -> Neuer
RADIUS-Client -> Gemeinsamer geheimer Schlüssel ->
Manuell/Generieren
� Authentifizierungsmethode konfigurieren -> Typ
• Microsoft: Geschützt EAP (PEAP) – Authentifizierung
durch Computerzertifikate die über PKI und Active
Directory-Zertifikat-Dienst bereitgestellt und als
vertrauenswürdig eingestuft werden.
PEAP ist kompatibel zu NAP.
• Microsoft: Smartcard- oder anderes Zertifikat –
Authentifizierungsmethode ist dieselbe wie bei PEAP, nur
dass der Benutzer eine Authentifizierung via Smartcard
bereitstellt.
• Microsoft: Gesichertes Kennwort (EAP-MSCHAPv2) –
Authentifizierung mit Domänenanmeldeinformationen.
Gesichertes Kennwort erfordert auf RADIUS-Servern
Computerzertifikate zu installieren. Clients müssen der
Zertifizierungsstelle der Zertifikate vertrauen.
� Benutzergruppe -> Hinzufügen (die berechtigt ist
Drahtlosverbindungen herzustellen)
� VLAN -> konfigurieren (um Netzwerkressourcen
einzuschränken)
� Abschließen neuer sicherer verkabelter und drahtloser IEEE
802.1X-Verbindung und RADIUS-Clients
o Netzwerkrichtlinien- und Zugriffsdienste -> NPS -> Server in Active
Directory registrieren

Remotenetzwerke
DFÜ-Verbindungen
DFÜ-Verbindungen (dail-up connection) ist die herkömmliche (und inzwischen
weitgehend veraltete) Remotezugriffstechnik.
DFÜ-Verbdingungen verwenden Clientcomputer ein Modem, um über eine
Telefonleitung, die Verbindung zu einem RAS-Server herzustellen.
DFÜ-Verbindungen Vorteile
• Keine Internetverbindung nötig – DFÜ-Verbindungen verwenden eine
analoge Telefonleitung, um eine Netzwerkverbindung direkt in das interne
Netzwerk aufzubauen. Das interne Netzwerk muss nicht für
Authentifizierungsanforderungen aus dem Internet konfiguriert sein, wie bei
VPN-Verbindungen. Das interne Netzwerk brauch nicht einmal eine
Verbindung zum Internet – eine übliche Anforderung für
Hochsicherheitsnetzwerke.
• Minimale Datenschutzrisiken – DFÜ-Verbindungen bieten zwar keine
Verschlüsselung, aber der Verkehr wird durch ein öffentliches Telefonnetz
(Public Switched Telephone Network, PSTN) geleitet. Sicherheitsexperten
behaupten, dass der Schutz der Daten hier besser ist als im öffentlichen
Internet.
• Konstante Leistung – DFÜ-Verbindungen bieten gleichbleibende,
vorherplanbare Leistung, weil die Verbindung nur von einem einzigen Client
benutzt wird.
DFÜ-Verbindungen Nachteile
• Hohe Kosten für Skalierbarkeit – Viele Mitarbeiter die Remote auf das
interne Netzwerk zugreifen wollen, bedeuten viele Telefonleitungen und viele
Modems.
• Geringe Bandbreite – Modems für herkömmliche analoge Telefonleitungen
sind technisch für eine Bandbreite von 56KBit/s spezifiziert, die reale
Bandbreite beträgt zwischen 20 und 25KBit/s. Zum vergleich, DSL 2000 hat
eine Bandbreite von 1024KBit/s, DSL 16000 eine Bandbreite von 6016KBit/s –
einfache Aufgaben wie Webbrowsen sind mit 25KBit/s also sehr langsam.
Digitale Telefonleitungen, wie zum Beispiel ISDN (Integrated Services Digital
Network) bietet zwar immerhin echte 128KBit/s, aber zu deutlich erhöhten
kosten.

DFÜ-Verbindungen Konfigurieren
• Modemhardware an den Server anschließen und Modem mit der
Telefonleitung verbinden.
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und
aktivieren -> Konfigurieren
o RAS (DFÜ oder VPN)
o RAS -> DFÜ
o Netzwerkauswahl
o IP-Adressezuweisung -> Automatisch/Aus einem angegebenen
Adressbereich
� Adressbereichszuweisung
o Mehrere RAS-Server verwalten -> Ja, diesen Server für die
Verwendung eines RADIUS-Servers einrichten/Nein, Routing und RAS
zum Authentifizieren von Verbindungsanforderungen verwenden
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> Eigenschaften -> Allgemein ->
Eigenschaften von Routing und RAS
o IPv4-Router -> LAN und bei Bedarf wählendes Routing -> IPv4-RAS-
Server
o IPv6-Router -> LAN und bei Bedarf wählendes Routing -> IPv6-RAS-
Server
o IPv4
� IPv4-Weiterleitung aktivieren
� Dynamic Host Coniguration-Protokoll (DHCP)/Statische
Adresspool
o IPv6
� IPv6-Weiterleitung aktivieren
� Standardroutenankündigung aktivieren/IPv6-Präfixzuweisung
o PPP
o Protokollierung
� Alle Ereignisse protokollieren -> Zusätzliche Routing- und RAS-
Informationen protokollieren
� Keine Ereignisse Protokollieren
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften
o Eigenschaften von Ports -> Modem -> Konfigurieren
o Geräte konfigurieren
� RAS-Verbindungen
� Rufnummer dieses Geräts

DFÜ-Verbindungen mit RADIUS-Server konfigurieren
DFÜ-RADIUS-Server funktionieren ähnlich wie Drahtlosnetzwerk-RADIUS-Server.
DFÜ-RADIUS-Server authentifizieren Anmeldungen über Modem und Einwahlserver.
Da viele Firmen mehr als ein oder zwei Modems benötigen, wird auf dedizierte
Hardware, eine Modembank, die auch beim Provider stehen kann, gesetzt.
Modembanken nehmen Authentifizierungen an und leiten diese weiter an den
RADIUS-Server.
• Erstellen einer Benutzergruppe, der der DFÜ-Zugriff gestattet ist.
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> NPS
o RADIUS-Server für DFÜ- oder VPN-Verbindungen -> VPN oder DFÜ
konfiguration -> VPN oder DFÜ konfigurieren
� DFÜ- oder VPN-Verbindungstyp -> DFÜ-Verbindungen
� Angeben des DFÜ- oder VPN-Server -> Hinzufügen
• Neuer RADIUS-Client
o Anzeigename
o Adresse
o Gemeinsamer geheimer Schlüssel ->
Generieren/Manuell
� Authentifizierungsmethoden konfigurieren
� Benutzergruppen
� IP-Filter
• Eingabefilter
• Ausgabefilter
� Angeben der Verschlüsselungseinstellungen
� Bereichsname
DFÜ-Clients Konfigurieren
Verbindung herstellen -> Eine Verbindung oder ein Netzwerk einrichten -> Wählen
Sie eine Verbindungsoption aus -> Wählverbindung einrichten -> Wählverbindung
einrichten

VPN-Verbindungen
VPN (Virtualle private Netzwerke) befördern Daten durch das öffentliche Internet, im
Gegensatz zu DFÜ-Verbindungen die Daten durch das öffentliche Telefonnetz leiten.
VPN-Verbindungen brauchen womöglich keine zusätzliche Bandbreite, da die
Organisation schon eine Internetanbindung hat, deren Bandbreite ausreicht.
VPN-Verbindungen
• Höhere mögliche Bandbreite – theoretisch kann die VPN-Bandbreite so
hoch sein wie die Internetverbindung von Client bzw. VPN-Server es zulässt.
Die Bandbreite einer Internetverbindung beträgt selbst bei schlechten
Bedingungen min. das Zehnfache einer Modemverbindung.
• Geringe Kosten – sowohl VPN-Server als auch Clients, müssen mit dem
Internet verbunden sein. Die meisten Organisationen haben aber schon eine
Internetanbindung und viele Benutzer haben Internetzugriff, während sie
zuhause oder auf reisen sind. Daher fallen keine Verbindungskosten an, wenn
VPNs benutzt werden, unabhängig davon, wie viele eingehende
Verbindungen bedient werden. Falls eingehende Verbindungen mehr
Bandbreite benötigen, muss unter umständen mehr Bandbreite oder eine
weitere Leitung bei einem Internetprovider gekauft werden. Die kosten werden
wahrscheinlich viel geringer als die Anschaffungskosten für eine
entsprechende Zahl von Telefonleitungen und Modems für DFÜ-
Verbindungen sein.
VPNs haben Nachteile
• Internetverbindung nötig – VPN-Server und somit das interne Netzwerk,
muss mit dem Internet verbunden sein und eingehenden VPN-Verkehr durch
alle Firewalls erlauben. Benutzer müssen zudem eine Internetverbindung
haben, um ein VPN verwenden zu können. Einer der folgenden Ansätze
werden normalerweise verwendet:
o Vertrag mit einem Internetprovider, um den Internetzugriff für alle
Benutzer zu ermöglichen, entweder über DFÜ-Verbindungen oder eine
Breitbandverbindung, zum Beispiel ein Kabelmodem oder DSL.
o Benutzer (VPN-Clients) müssen selbst einen Internetprovider finden.
Da die meisten Benutzer heutzutage einen Internetanschluss zuhause
haben und Benutzer die auf Reisen sind, Internetverbindungen oft über
öffentliche Hotspots oder im Hotel, bzw. über
Drahtlosbeitbrandverbindungen herstellen können, stellt dies kein
Problem dar.
• Schlechte Latenz – sogar bei sehr hoher Bandbreite, wirken VPN-
Verbindungen oft langsam. Die Ursache ist eine hohe Latenz. Latenz ist die
Verzögerung, die auftritt, wenn ein Paket von einem Client zu einem Server
befördert wird. Die Latenz bei einer VPN-Verbindung kann oft um ein
Vielfaches größer sein als die einer DFÜ-Verbindung.
• Schlechte Effizienz bei DFÜ-Verbindungen – es ist zwar möglich, eine
Einwahlverbindung ins Internet aufzubauen und dann eine Verbindung mit
einem VPN aufzubauen, aber der zusätzliche Aufwand für VPN und Latenz,
die durch das Internet hinzukommt, verschlechtert die Leistung gegenüber
einer direkten DFÜ-Verbindung zu einem RAS-Server. Falls Benutzer über
eine DFÜ-Verbindung auf das Internet zugreifen, erhalten sie viel bessere
Leistung, wenn sie sich stattdessen gleich direkt in das Intranet einwählen.

VPN-Verbindungen Konfigurieren
Windows Server 2008, Windows Vista und Windows 7 unterstützen drei VPN-
Technologien:
• PPTP (Point-to-Point Tunneling Protocol)
o PPP-Authentifizierungsmethoden (Point-to-Point Protocol) für die
Benutzerauthentifizierungn
o MPPE (Microsoft Point-to-Point Encryption) für die Datenverschlüsselung
o keine Clientzertifikate, wenn die Authentifizierung PEAP-MS-CHAP,
EAP-MS-CHAPv2 oder MS-CHAPv2 verwendet wird
o Microsoft Technologie
• L2TP (Layer Two Tunneling Protocol)
o PPP-Authentifizierungsmethoden für Benutzerauthentifizierung
o IPSec für Peerauthentifizierung auf Computerebene,
Datenauthentifizierung, Datenintegrität und Datenverschlüsselung
o Computerzertifikate für VPN-Clients und VPN-Server (Active Directory-
Zertifikatsdienste)
o IPv6 kompatibel
o VPN-Technologie nach offenen Standards
• SSTP (Secure Socket Tunneling Protocol)
o PPP-Authentifizierungsmethode für Benutzerauthentifizierung
o SSL (Secure Socket Layer) Datenauthentifizierung, Datenintegrität und
Datenverschlüsselung
o HTTP-Kapselung ermöglicht SSTP auf Port 443 durch die meisten
Firewalls zu gelangen
o Computerzertifikat auf dem VPN-Server, Clients müssen der
Zertifizierungsstelle vertrauen
o Unterstützt auf Betriebssystemen ab Windows Vista SP1
Windows 2008 Server unterstützt in den Standardeinstellungen alle drei VPN-
Technologien gleichzeitig. Einzelne Protokolle können auch deaktiviert werden.

VPN-Server konfigurieren
• Zwei Netzwerkkarten
o externe Netzwerkkarte
o interne Netzwerkkarte
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und
aktivieren
o Konfigurieren -> RAS (DFÜ oder VPN)
o RAS -> VPN
o VPN-Verbindung
o Netzwerkauswahl
o IP-Adresszuweisung -> Authomatisch/Aus einem angegebenen
Adressbereich
o Mehrere RAS-Server verwalten
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften ->
Eigenschaften von Ports -> Konfigurieren
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> IPv4 -> DHCP-Relay-Agent
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS -> IP(v4|v6) -> Allgemein ->
Eigenschaften -> Allgemein -> Eingehende Filter oder Ausgehende Filter
VPN-Client Konfigurieren
Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> Verbindung
trennen oder Verbindung zu einem anderen Netzwerk herstellen -> Wählen sie eine
Verbindungsoptionen -> Verbindung mit dem Arbeitsplatz herstellen -> Möchten Sie
eine bestehende Verbindung verwenden -> Nein, Neue Verbindung erstellen -> Wie
möchten sie eine Verbindung herstellen -> Die Internetverbindung (VPN) verwenden
-> Geben Sie die Internetadresse zum Herstellen einer Verbindung ein -> Geben Sie
den Benutzernamen und das Kennwort ein -> Dieses Kennwort speichern ->
Verbinden
Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> VPN-
Verbindung
VPN-Verbindungen über PPTP nutzt GRE was auf Port 1723 abhört.

Verbindungseinschränkungen Konfigurieren
Server-Manager -> Richtlinien -> Netzwerkrichtlinien -> Zu ändernde Richtline ->
Eigenschaften -> Bedingungen -> Hinzufügen
• Bedingungen auswählen
o Windows-Gruppen, Computergruppen und Benutzergruppen
o Tag- und Uhrzeiteinschränkungen
o IPv4-Adresse für Zugriffsclient und IPv6-Adresse für Zugriffsclient
o Client-IPv4-Adresse und Client-IPv6-Adresse
o NAS IPv4-Adresse und NAS IPv6-Adresse
o Authentifizierungstyp, Zulässige EAP-Typen, Eingerahmtes
Protokoll, Diensttyp und Tunneltyp
o Anrufer-ID
o NAS-Porttyp
• Einschränkungen (Leerlaufzeit)
• Einstellungen (NAP-Einstellungen)

Windows-Firewall Konfigurieren
Windows-Firewall filtert eingehenden und ausgehenden Verkehr. Windows-Firewall
ist also ein Packetfilter.
$mmc wf.msc
$netstat -a -b
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:53 Dcsrv1:0 Abhören
[dns.exe]
Firewallprofile bilden Container in denen Firewallregeln gespeichert werden
können.
Firewallprofile erlauben es mobilen Computern, auf verschiedene Netzwerk- und
Standorttypen zu reagieren.
Firewallprofile sind standardmäßig drei unter Windows Vista, Windows 7 und
Windows Server 2008 vorhanden:
• Domäne – wird angewendet wenn der Computer sich in einer Active
Directory-Umgebung befindet
o Eingehender Verkehr
� Datei- und Druckerfreigaben etc.
o Ausgehender Verkehr
� Alles zugelassen
• Privat – wird standardmäßig nicht angewendet. Manuell angewendet, kann
das Profil in einem vertrauenswürdigen, privaten Netzwerk sinnvoll sein.
o Eingehender Verkehr
� Datei- und Druckerfreigaben etc.
o Ausgehender Verkehr
� Alles zugelassen
• Öffentlich – das Standardprofil, das auf alle Netzwerke angewendet wird,
wenn kein Domänencontroller zur Verfügung steht. In den
o Eingehender Verkehr
� Nicht zugelassen
o Ausgehender Verkehr
� Alles zugelassen
Server sind normal in eine Domänenumgebung eingebunden. Falls dies nicht der
Fall ist sollten alle drei Profile mit denselben Firewallregeln konfiguriert sein.

Firewallregeln sind in eingehende und ausgehende Regeln unterteilt.
Firewallregeln – etliche sind vordefiniert, zum Beispiel Regeln für NFS oder ICMP.
Firewallregeln die nicht automatisch von installierten Programmen erstellt werden,
müssen unter umständen nachkonfiguriert werden:
$mmc wf.msc -> Eingehende/Ausgehende Regeln
Regeltyp
• Programm – Ausführbare Dateien - Hier ist es egal welchen Port das
Programm öffnet
• Port – Kommunikation über einen bestimmte TCP- oder UDP-Portnummer
• Vordefiniert – Windows-Komponente steuert. Bsp.: Active Directory-
Domänendienst, Datei- und Druckerfreigabe oder Remotedesktop
Normalerweise aktiviert Windows diese Regel automatisch
• Benutzerdefiniert – Programm und Port Kombination.
Aktionen
• Verbindung zulassen
• Verbindung zulassen, wenn sie sicher ist – IPSec AH
o Verschlüsselung ist für Verbindung erforderlich – IPSec AH und
ESP
o Regel zum Blocken außer Kraft setzen – Setzt andere blockierende
Regeln mit derselben Regeltypkonfiguration außer kraft, für bestimmte
Computer oder Benutzer
• Verbindung blocken
Profil (Server sollten Regeln auf alle drei Profiltypen anwenden)
• Domäne
• Privat
• Öffentlich
Firewallregeln für ausgehende Verbindungen sind standardmäßig unter Windows
Server 2008 nicht aktiviert, sie sollten für den Notfall aber dennoch konfiguriert sein
um den ausgehenden Filter schnell aktivieren zu können. Dabei sollte die
grundlegende Netzwerkfunktionalität erhalten bleiben. Standardeinstellungen für
ausgehende Regeln sind:
• DHCP-Anforderung
• DNS-Anforderung
• Gruppenrichtlinienkommunikation
• IGMP (Internet Group Management Protocol)
• IPv6

Firewallregelbereiche (scopes) bieten die Möglichkeit Verbindungen aus Internen
und Externen Netzwerken zu erlauben oder zu verbieten. Zum Beispiel:
• Alle Verbindungen aus dem Internet auf Port 80 erlauben (Webserver),
während Benutzer aus dem internen Netzwerk auch zugriff auf Port 80 haben,
dem Intranetwebserver.
• Interne Server dürfen nur Verbindungen zu internen Subnetz aufbauen.
• Datensicherungsprogramme dürfen nur Verbindung zum
Datensicherungsserver aufbauen.
$mmc wf.msc -> Eingehende/Ausgehende Regeln -> Regelname -> Eigenschaften
-> Remote-IP-Adressen -> Hinzufügen -> IP-Adresse
• Diese IP-Adresse oder Subnetz – 10.0.42.23 oder 192.168.3.0/24
• Dieser IP-Adressbereich – 192.168.2.1-192.168.2.254
• Vordefinierte Computersätze – Standardgateway, WINS-Server, DNS-
Server, DHCP-Server oder Lokales Subnetz

Manuelle Zugriffssteuerung wird mit autorisieren von Verbindungen (IPSec-
Verbindungssicherheit) in einer Active Directory-Umgebung realisiert.
Autorisierte Verbindungen greifen hierfür auf Remotecomputer oder –
benutzerautorisierung über IPSec zurück.
Autorisierte Verbindungen können zum Beispiel sicher stellen, dass sich Benutzer
authentifizieren als zugehörige der Gruppe Buchhaltung, bevor sie zugriff auf Port
3096 des Servers erhalten, auf dem die Buchhaltungssoftware läuft.
$mmc wf.msc -> Eingehende/Ausgehende Regel -> Eigenschaften -> Allgemein ->
Nur sichere Verbindungen zulassen
Benutzer und Computer (Eingehende Regel)/Computer (Ausgehende Regel)
• Autorisierte Computer -> Nur Verbindungen von diesen Computern zulassen
• Autorisierte Benutzer -> Nur Verbindungen von diesen Benutzern zulassen
Firewalleinstellungen mit Gruppenrichtlinien können lokal oder mit der Konsole
Windows-Firewall mit erweiterter Sicherheit vorgenommen werden.
Firewalleinstellungen die auf Windows Vista, Windows 7, Windows Server 2008 und
Windows Server 2008 R2 angewendet werden:
$mmc wf.msc
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen
-> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit
Firewalleinstellungen die auf Windows XP, Windows Vista, Windows 7, Windows
Server 2003, Windows Server 2008 und Windows Server 2008 R2 angewendet
werden:
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen
-> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall
Firewalleinstellungen erziehlen optimale Ergebnisse, wenn getrennte
Gruppenrichtlinienobjekte für Windows Vista/7/Server 2008 und Windows XP/Server
2003 erstellt werden. Mit Hilfe von WMI-Abfragen, können die
Gruppenrichtlinienobjekte auf die Computer angewendet werden, auf dem die
entsprechende Windows-Version läuft.
$mmc wf.msc -> Firewall-Symbol -> Eigenschaften -> Domänenprofil/Privates
Profil/Öffentliches Profil -> Protokollierung -> Anpassen ->
Protokollierungseinstellungen anpassen
• Verworfene Pakete protokollieren
• Erfolgreiche Verbindung protokollieren
%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log

Netzwerkzugriffschutz Konfigurieren
NAP (Network Access Protection) dient dazu, Hosts abhängig von ihrem aktuellen
Integritätsstatus mit unterschiedlichen Netzwerksressourcen zu verbinden. Die
Unterteilung der Netzwerkressourcen kann mit Hilfe von virtuellen LANs (VLANs), IP-
Filtern, IP-Subnetzzuweisung, statischen Routen oder IPSec-Erzwingung
implementiert werden.
Wartungsnetzwerke sollten aus Sicherheitsgründen einen schreibgeschützten
Domänencontroller, sowie eigene DHCP- und DNS-Server (die von der übrigen
Infrastruktur getrennt sind) enthalten. So verringert sich das Risiko, dass sich
Malware von inkompatiblen (in das Wartungsnetzwerk geleiteten) Computern im
produktiven, privaten Netzwerk verbreitet.

NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem
sie den Netzwerkzugriff entweder erlauben oder verbieten:
• IPSec-Verbindungssicherheit
IPSec-Erzwingung zwingt Clients eine NAP-Integritätsprüfung zu bestehen,
bevor sie ein Integritätszertifikat erhalten.
IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSec-
Verbindungssicherheit notwendig sind, ohne die ein Client keine IPSecgeschützte-Verbindung
zu einem Host herstellen kann.
IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder
TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen
eingehalten werden.
IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority,
CA), auf der Windows Server 2008-Zertifikatdienste laufen. NAP muss
Integritätszertifikate unterstützen.
Produktivumgebungen sollten aus Redundanzgründen mindestens zwei
Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht
verwendet werden.
IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die
IPSec unterstützen.
• 802.1X-Zugriffspunkte
802.1X-Authentifizierung verwendet Ethernetswitches oder
Drahtloszugriffspunkte.
802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen
Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz
verbunden oder abgelehnt.
802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem
Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt
sind.
802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche
Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer
enthalten:
o Zugriffssteuerungsliste (Access Control List, ACL) sind IPv4- und
IPv6-Paketfilter, die auf 802.1X-Zugriffsgeräten konfiguriert werden.
ACL werden normal auf inkompatible Computer angewendet,
kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL.
ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern
untereinander einzuschränken.
802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und
verwerfen alle Pakete, die von der ACL nicht erlaubt sind.
o VLAN (Virtual Local Area Networks) sind Gruppen von Ports die auf
Switches zusammengefasst werden und ein separates Netzwerk
bilden.
VLANs können nur kommuniziere, wenn sie über einen Router
verbunden werden.
VLANs werden anhand einer VLAN-ID identifiziert, die auf den
Switches selbst konfiguriert werden.
NAP kann festlegen in welches VLAN kompatible, inkompatible oder
nicht authentifizierte Computer verschoben werden.
VLAN Nachteile sind zum Beispiel:
• Netzwerkkonfiguration muss geändert werden, wenn ein NAP-
Client auf einen kompatiblen NAP-Client hochgestuft wird.

• NAP-Clients erhalten womöglich keine
Gruppenrichtlinienaktualisierung weil die Netzwerkkonfiguration
während des Benutzeranmeldevorgangs durchgeführt wird.
• NAP-Clients die inkompatibel sind können innerhalb eines
VLANs kommunizieren
• VPN-Server
VPN-Erzwingung implementiert NAP für Remotezugriffsverbindungen die über
einen VPN-Server mit Windows Server 2008 und Routing und RAS laufen.
VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff.
VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern
auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff
auf eine Wartungsservergruppe einzuschränken.
VPN-Erzwingung kann IPv4- und IPv6-Paketfilter erzwingen.
• DHCP-Server
DHCP-Erzwingung verwendet einen Windows 2008 Server, auf dem der
DHCP-Serverdienst läuft und Intranetclients IP-Adressen zuweist.
DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die
vollständigen Netzwerkzugriff gewährt. Inkompatible Computer bekommen
eine IP-Adresse mit der Subnetzmaske 255.255.255.255 und ohne
Standardgateway zugewiesen.
DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von
Hostrouten zu Netzwerkressourcen in einer Wartungsservergruppe.
DHCP-Erzwingung wird durch den NAP-Client erneut eingeleitet wenn sich
der Integritätsstatus verändert, indem eine DHCP-Erneuerung eingeleitet wird.
DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung
inkompatibel werden.
DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand
konfiguriert wird.
NAP-Integritätsprüfung findet zwischen zwei Komponenten statt:
• Systemintegritätsagent (System Health Agent, SHA)
o Clients erstellen SoH (Statement of Health), das die Systemintegrität
des Clientcomputers beschreibt.
o Kompatibel mit Windows XP SP3, Windows Vista, Windows 7 und
Windows Server 2008
• Systemintegritätsprüfung (System Health Validation, SHV)
o Server anaylisieren SoH und erstellen als Antwort ein SoHR
(Statement of Health Response)
o NAT-Integritätsrichtlinien legen anhand der SoHRs fest, welche
Zugriffsebene der Client erhält.
o Windows Server 2008 enthält einen SHV für SHA, kompatibel zu
Windows XP, Windows Vista und Windows 7.

Netzwerkrichtlinienserver Konfigurieren
NAP läuft mit Windows-Server 2008-NAP-Integritätsrichtlinienserver (health policy
server), der als RADIUS-Server agiert.
NAP kann ebenfalls mit einem vorhandenen RADIUS-Server, Windows 2003 oder
Windows Server 2008 und Internetauthentifizierungsdienst (Internet Authentication
Service, IAS) zusammenarbeiten.
NAP-Intigritätsrichtlinienserver sollten redundant sein, es sollten also mindestens
zwei Intigritätsrichtlinienserver vorhanden sein, da bei einem Ausfall, ein Client sich
nicht mehr mit dem Netzwerk verbinden kann.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste ->
Rollendienste -> Netzwerkrichtlinienserver
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz ->
NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren
NAP-Erzwingung muss aktiviert werden. Welche Schritte dafür notwendig sind,
hängt davon ab, ob IPSec-, 802.1X-, DHCP- oder VPN-Erzwingung eingesetzt
werden soll.
NAP-Erzwingung mit IPSec benötigt den Rollendienst Integritätsregistrierungsinstanz
(HRA, Health Registration Authority) und Active Directory-Zertifikatsdienst, sofern
noch nicht vorhanden, für die PKI. HRA benötigt die PKI und einen IIS.
NAP-Erzwingung mit Hilfe von IPSec:
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz ->
NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Auswahl der
Netzverbindungsmethode zur Verwendung mit NAP -> IPSec mit
Integritätsregistrierungstelle (HRA)
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz ->
NPS -> Richtlinien
• Verbindungsanforderungsrichtlinien
o NAP IPSec mit HRA
• Integritätsrichtlinien
o NAP IPSec mit HRA Kompatibel
o NAP IPSec mit HRA Nicht kompatibel
• Netzwerkrichtlinien
o NAP IPsec mit HRA Kompatibel
o NAP IPSec mit HRA Nicht kompatibel
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz ->
NPS -> Integritätsregistrierungsstelle -> Zertifizierungsstelle
NAP-Erzwingung mit 802.1X benötigt in den meisten Fällen auch eine PKI wegen
des RADIUS-Servers. Nachdem die 802.1X-Authentifizierungsswitches konfiguriert
wurden.
NAP-Erzwingung mit 802.1X kann ebenfalls über den Assistenten NAP-
Konfigurieren, hier müssen Regeln für VLANs und ACLs erstellt werden.

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz ->
NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Konfigurieren von
VLANs (virtuelle LANs)
NAP-Erzwingung mit DHCP benötigt die Angabe von Wartungsservern und falls
DHCP nicht auf dem NPS-Server installiert ist einen RADIUS-Proxy.
NAP-Erzwingung mit DHCP muss anschließend aktiviert werden.
$mmc servermanager.msc -> Rollen -> DHCP-Server -> ->
IPv4 -> Eigenschaften -> Netzwerkzugriffsschutz-Einstellen
NAP-Erzwingung benötigt den NAP-Clienten des Client-Computers der mit
Gruppenrichtlinienobjekten konfiguriert werden kann.
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen
-> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration
-> Intigritätsregistrierungseinstellungen -> Vertrauenswürdige Servergruppe
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen
-> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration
-> Erzwingungsclients
NAP-Clienten benötigen den Dienst NAP-Agent (Network Access Protection).
$netsh nap client show state
NAP-Integritätsanforderungsrichtlinien legen fest welche Clients
Integritätsanforderungen erfüllen müssen.
NAP-Integritätsanforderungsrichtlinien sind eine Kombination aus folgenden
Elementen:
• Verbdingunsanforderungsrichtlinie
• Systemintegritätsprüfungen
• Wartungsgruppe
• Integritätsrichtlinie
• Netzwerkrichtlinien
NAP-SHVs unter Windows Server 2008 enthält standardmäßig nur die Windows-
Sichherheitsintegritätsprüfung.
NAP-SHVs können auch von Fremdherstellern implementiert werden.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste ->
NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung

NAP-Wartungsserver sollten es einem inkompatiblen Computer ermöglichen, seine
Systemintegrität zu korrigieren. Folgende Wartungsserver sollten vorhanden sein:
• DHCP-Server
• DNS-Server und WINS-Server
• Active Directory-Domänencontroller (schreibgeschützt)
• Internetproxyserver
• HRAs (das NAP-Clients Integritätszertifikate für IPsec-Erzwingung abrufen
können)
• IIS-Server (Problembehandlungs-URL-Server, der eine Website vorhält um
Benutzer über das Problem zu informieren)
• Antivirenupdateserver
• Antispywareupdateserver
• Softwareupdateserver
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste ->
NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung -> Einstellungen -> NAP-
Erzwingung -> Konfigurieren -> Wartungserver und Problembehandlungs-URL
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste ->
NPS -> Netzwerkzugriffsschutz -> Wartungsservergruppe
NAP-Netzwerkrichtlinien stellen fest, ob eine Verbindungsanforderung bestimmte
Bedingungen erfüllt, zum Beispiel eine Integritätsrichtlinie oder ob ein Computer
NAP-fähig ist.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste ->
NPS -> Richtlinien -> Netzwerkrichtlinien
NAP-Überwachungsmodus ist besonders in der Anfangsphase der NAP-
Bereitstellung sinnvoll, um inkompatiblen Computern zu erlauben, Verbindungen zu
allen Netzwerkressourcen herzustellen.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste ->
NPS -> Richtlinien -> Netzwerkrichtlinien -> NAP-IPSec mit HRA Nicht kompatibel ->
Einstellungen -> NAP-Erzwingen -> Vollständigen Netzwerkzugriff gewähren
NAP-Protokollierung dient dazu, inkompatible Computer zu identifizieren.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste ->
NPS -> Eigenschaften -> Allgemein -> Abgelehnte Authentifizierungsanforderungen
$mmc servermanager.msc -> Diagnose -> Ereignisanzeige -> Windows-
Protokolle -> Sicherheit
$mmc eventvwr.msc -> Anwendungs- und Dienstprotokolle -> Microsoft ->
Windows -> Netzwork Access Protection -> Operational

WSUS
WSUS (Windows Server Update Service) verwaltet, genehmigt und verteilt Windows-
Updates und Microsoft-Updates in Organisationsnetzwerken.
WSUS-Clients, unter Windows XP und Windows 2000, Automatische Updates-
Client, ist die Komponente die Windows-Updates von WSUS-Server abruft.
$mmc wsus.msc
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen
-> Windows-Komponenten -> Windows Update
• Interner Pfad für den Microsoft Updatedienst angeben
• Automatische Updates Konfigurieren
• Suchhäufigkeit für automatische Updates
• Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten
• Automatische Updates sofort installieren
• Empfohlene Updates über automatische Updates aktivieren
• Keinen automatischen Neustart für geplante Installationen durchführen
• Erneut zu einem Neustart für geplante Installationen auffordern
• Neustart für geplante Installationen verzögern
• Zeitplan für geplante Installationen neu erstellen
• Clientseitige Zielzuordnung aktivieren
• Windows Update-Energieverwaltung aktivieren, um System zur Installation
von geplanten Updates automatisch zu reaktiveren
• Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienst
WSUS-Server sollten für jedes LAN vorgehalten werden. Das bedeutet, wenn eine
Organisation mehrere Niederlassungen hat, sollte jede Niederlassung einen WSUS-
Server bereitstellen. WSUS-Clients sollten ihre Updates immer aus dem LAN
herunterladen können.
WSUS-Server können als Downstreamserver konfiguriert werden.
WSUS-Downstreamserver holen Updates von einem Upstreamserver.
WSUS-Kopie stellt Updates nicht lokal bereit sondern weißt WSUS-Clients an, die
Updates direkt von Microsoft herunterzuladen.
WSUS-Bereitstellung berücksichtigt folgende Voraussetzungen:
• WSUS-Server benötigt Internet, HTTP-Verbindung
• WSUS-Downstreamserver benötigen eine Verbindung via HTTP zum WSUS-
Upstreamserver über Port 80 oder via HTTPS auf Port 443
• WSUS-Clients benötigen eine Intranet-Verbindung zum WSUS-Server über
HTTP oder HTTPS
• WSUS-Clients sind kompatibel zu:
o Windows 2000 SP3 oder SP4
o Windows XP Professional
o Windows Vista
o Windows Server 2003
o Windows Server 2008

WSUS-Installations-Planung
1. Updatequelle
• Direkt von Microsoft
• WSUS-Upstreamserver
2. Replikation von Genehmigungen und Konfiguration
• kopie - Synchronisierung von Genehmigungen, Einstellungen,
Computern und Gruppen vom WSUS-Upstreamserver
• autonom
3. Updatespeicherung
• WSUS-Server kopiert Updates und speichert sie lokal
• Clients kopieren Updates direkt von Microsoft
4. Datenbank
• C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf
• Auch MS SQL möglich
5. Websiteauswahl
• WSUS benötigt IIS
• Verbindungen über HTTP/HTTPS
6. Sprache
7. Produkte
• Microsoft Updates
• Windows Updates
WSUS-Überwachung um fehlgeschlagene Updates zu lokalisieren
• Windows Update-Konsole $mmc wsus.msc
• Microsoft System Center Configuration Manager 2007
• Microsoft Basline Security Analyzer (MBSA)
• Netzwerkzugriffsschutz (Netzwork Access Protection, NAP)
WSUS-Konfiguration
1. WSUS-Optionen optimieren
2. Computergruppen, mit denen die Updates zu unterschiedlichen Zeiten auf
unterschiedliche Gruppen von Computern verteilt werden können
3. Clientcomputer konfigurieren für das abfrufen von Updates vom WSUS-
Server
4. Testen und Genehmigen von Updates
5. Auswerten von Berichten auf Erfolg oder Misserfolg
WSUS-Optionen
• Updatequelle und Proxyserver
• Produkte und Klassifizierungen
• Dateien und Sprachen aktualisieren (d.h. Updatedateien und -sprachen)
• Synchronisierungszeitplan
• Automatische Genehmigungen
• Computer
• Assistent für Serverbereinigung
• Berichterstattungsrollup
• E-Mail-Benachrichtigung
• Programm zur Verbesserung von Microsoft Update
• Personalisierung

• Assistent für die WSUS-Serverkonfiguration
WSUS-Computergruppen dienen dazu Computermodelle (x86/x64) oder
Organisationseinheiten für Updates zu definieren. Es gibt zwei Möglichkeiten
Computergruppen zu konfigurieren:
• Serverseitige Zuordnung
o Eignet sich für kleine Organisationen
o Konfiguration über die Update Service Konsole
o mmc wsus.msc
• Clientseitige Zuordnung
o Eignet sich auch für große Organisationen
o Konfiguration über Gruppenrichtlinieneinstellungen
o mmc wsus.msc -> Optionen -> Computer Gruppenrichtlinien oder
Registrierungseinstellungen auf Computern verwenden
o mmc gpmc.msc -> Computerconfiguration -> Richtlinien ->
Adminsitrative Vorlagen -> Windows-Komponenten -> Windows
Updates
WSUS-Problembehandlung
• Anwendungsereignisprotokoll
o Synchronisierungsereignisse und –Fehler, Datenbankfehler
o Detailierte Berichte
• %SystemDir%\%Programmfiles%\Updates
Services\LogFiles\Change.txt
o Updateinstallations-, Synchronisierungs und WSUS-
Konfigurationsänderungs Einträge
o Allgemeine Berichte
• %SystemRoot%\%Programmfiles%\Update
Services\LogFiles\SoftwareDistribution.txt
o Debuglog
o Detailierte Ablaufberichte
WSUS-Client-Problembehandlung
• %SystemRoot%\WindwosUpdate.log
o Welcher Updateserver wird kontaktiert?
o Fehlermeldungen
• $iexplorer.exe http:///iuident.cab
• $rsop.msc -> Computerkonfiguration -> Administrative Vorlagen ->
Windows-Komponenten -> Windows Update
• $net stop wuauserv
$net start wuauserv
$wuauclt /a
• Anwendungs- und Dienstprotokoll -> Microsoft -> WindowsUpdateClient ->
Operational

Monitoring
Ereignisweiterleitung
Ereignisweiterleitung (event forwarding) senden Ereignisse die bestimmte Kriterien
erfüllen an einen zentralen Rechner.
Ereignisweiterleitung sendet Ereignisse über HTTP und HTTPS.
Ereignisweiterleitungen nutzen Weiterleitungs- und Sammelcomputer. Beide müssen
konfiguriert werden.
Ereignisweiterleitung benötigt folgende Dienste auf dem Weiterleitungs- sowie
Sammelcomputer:
• Windows-Remoteverwaltung
• Windows-Ereignissammlung
Ereignisweiterleitung auf dem Weiterleitungscomputer benötigt weiterhin eine
Windows-Firewallausnahme für eingehende Verbindungen auf Port 80 bzw. 443.
Ereignisweiterleitung Sammelcomputer benötigen das Betriebsystem Windows
Vista, Windows 7, Windows Server 2008 oder Windows Server 2003 R2.
Ereignisweiterleitung Weiterleitungscomputer benötigen das Betriebssystem
Windows XP SP2, Windows Server 2003 SP1, Windows Server 2003 R2, Windows
Vista, Windows 7 oder Window Server 2008. Windows XP und Windows Server
2003 benötigen zudem das Paket WS-Management 1.1.
Ereignisweiterleitung Weiterleitungscomputer:
$winrm quickconfig
$net localgroup “Ereignisprotokollleser”
@ /add
Ereignisweiterleitung Sammelcomputer:
$wecutil qc
$mmc servermanager.msc -> Diagnose -> Abonnements -> Abonnement
erstellen
$wecutil ss /cm:custom
$wecutil ss /hi:
$wecutil gs (Zeigt den Verzögerungswert an)
$winrm get winrm/config (Bandbreite minimieren / Wartezeit minimieren)
Ereignisweiterleitung SSL, HTTPS, Port 443
$winrm quickconfig -transport:https

Systemmonitor
Systemmonitor zeigt Echtzeitleistungsdaten grafisch an.
Systemmonitor zeigt zum Beispiel Daten zur Prozessorauslastung,
Netzwerkbandbreitenausnutzung oder Arbeitsspeicherbelegung an.
Systemmonitor Leistungsindikatoren zeichnen die einzelnen Echtzeitgraphen.
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung ->
Überwachungstools -> Systemonitor
Zuverlässigkeitsüberwachung
Zuverlässigkeitsüberwachung überwacht die Stabilität eines Computers.
Zuverlässigkeitsüberwachung zeigt einen Zuverlässigkeitsindex von 0-10 an. 0 ist
der niedrigste wert.
Zuverlässigkeitsüberwachung zeigt Anwendungsinstallationen, Hardware-, Windows-
und sonstige Fehler an.
Zuverlässigkeitsüberwachung zeigt die Daten an die von RAC (Reliability Analysis
Component) aufgezeichnet wurden.
Zuverlässigkeitsüberwachung benötigt den Dienst Aufgabenplanung.
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung ->
Überwachungstools -> Zuverlässigkeitsüberwachung
Sammlungssätze
Sammlungssätze sammeln Systeminformationen, Konfigurationseinstellungen und
Leistungsdaten und erzeugen einen Log-File.
Vordefinierte Sammlungssätze in Windows 2008 Server:
• Active Directory Diagnostics (Active Directory-Diagnose)
• LAN Diagnostic (LAN-Diagnose)
• System Performance (Systemleistung)
• System Diagnostic (Systemdiagnose)
• Wireless Diagnostic (Drahtlosdiagnose)
Vordefinierte Sammlungssätze zeichnen Daten zwischen einer und fünf Minuten auf.
Vordefinierte Sammlungsatz LAN-Diagnose und Drahtlosdiagnose laufen unendlich.
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung ->
Sammlungssatz System
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Bericht
Sammlungssätze können auch manuell erstellt oder angepasst werden.

Netzwerkmonitor
Netzwerkmonitor ist ein Protokoll-Analyzer der auf Windows nachinstalliert werden
kann.
Netzwerkmonitor zeichnet den Netzwerkverkehr auf und analysiert ihn.
Netzwerkmonitor zeichnet Frames auf, Schicht-2-Daten, zum Beispiel
Ethernetheader.
$nmcap /network * /capture /file .cap
$nmcap /network * /capture “DNS” /file .cap
$nmap /network * /disablelocalonly /capture /file .cap
$nmap /network * /capture “DHCP” /stopwhen /timeafter 2 min
/file .cap
$nmcap /inputcapture data.cap /capture DNS /file DNSdata.cap
Netzwerkmonitor erlaubt es, aufgezeichnete Frames zu filtern mit Capture oder
Display Filtern. Die Wichtigsten Filter sind:
• BaseNetworkTShoot (ICMP, ARP und TCP-Resets / Lowl-Level-
Netzwerkproblem)
• Broadcasts und No-Broadcasts
• DNS
• NameResolution (DNS, NetBIOS und ARP)
• HttpWebpageSearch
• MyIPv4Address und MyIPv6Address
• IPv4Address, IPv6DestinationAddress, IPv6SourceAddress
• IPv4SubNet
Netzwerkmonitor Filter Beispiele:
DNS && IPv4.SourceAdress == 192.168.13.45
Contains(http.Request.URI, “page.html“ ||
contains(http.Request.URI,“other.html“
Ethernet.Address == 0x001731D55EFF && DHCP

Datenverwaltung
NTFS-Dateiberechtigungen
NTFS-Standarddateiberechtigungen für Benutzer- und Systemordner:
• Benutzerdateien %USERPROFIEL%
o Benutzer: Lesezugriff und Schreibzugriff verweigert
o Administratoren und Eigentümer: Vollzugriff
• Systemdateien %SYSTEMROOT%
o Benutzer: Lesezugriff auf Ordner und Unterordner
o Administratoren: Hinzufügen und Ändern
• Progamme %PROGRAMFILES%
o Benutzer: ausführen
o Administratoren: Vollzugriff
• Neue Ordner im Stammverzeichnis eines Datenträgeres
o Benutzer: Lesezugriff
o Administratoren: Vollzugriff
NTFS-Standardberechtigungen:
• Ordnerinhalt auflisten – Ordner kann durchsucht werden
• Lesen – Ordnerinhalt lesbar; Dateien lesen
• Lesen, Ausführen – Dateien lesen und ausführen
• Schreiben – Dateien erstellen
• Ändern – Ordner und Dateien, lesen, bearbeiten und löschen
• Vollzugriff – Ordner und Dateien, lesen, bearbeiten und löschen;
Berechtigungen ändern
EFS verschlüsselte Dateisysteme
$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen ->
Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsselte
Dateisystem
• Dateiverschlüsselung mit EFS (Encrypting File System)
• Inhalte des Ordners „Dokumente“ des Benutzers verschlüsseln
• Smartcard für EFS verlangen
• Zwischenspeicherfähige Benutzerschlüssel von Smartcard erstellen
• Auslagerungsdateiverschlüsselung aktivieren
• Schlüsselsicherungsbenachrichtigung anzeigen, wenn der Benutzerschlüssel
erstellt oder geändert wird
• Bei nicht verfügbarer Zertifizierungsstelle EFS gestatten, selbstsignierte
Zertifikate zu erzeugen
$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Netzwerk ->
Offlinedateicache verschlüsseln
$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Windows-
Komponenten -> Suche -> Indizierung verschlüsselter Dateien zulassen

DRA (Data Recovery Agent)
$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen ->
Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsseltes
Dateisystem -> Datenwiederherstellungs-Agent
Datenwiederherstellungs-Agenten oder andere Konten mit sehr hohen Privilegien
sollten immer im Kollusion-Mode laufen.
Kollusion (geheimes Einverständnis) bezeichnet ein Sicherheitskonzept, bei dem
zwei Partner miteinander zusammenarbeiten müssen.
Im Fall eines Datenwiederherstellungs-Agenten, teilt man das Benutzerkennwort in
zwei Teile und gibt jeweils einen Teil einer anderen Personen.
DFS (Distributed File System)
DFS stellt einen einzigen Namespace für freigegebene Ordner in einer Organisation
bereit, sowie Redundanz, weil es Replikation implementiert.
DFS kann freigegebene Ordner auf mehreren Servern hosten, wobei der
Clientcomputer automatisch eine Verbindung zum nächstmöglichen verfügbaren
Server herstellt.
$mmc servermanager.msc -> Rollen -> Dateidienste
• Dateiserver (Freigabe- und Speicherverwaltung)
• Verteiltes Dateisystem (DFS)
• Ressourcen-Manager für Dateiserver (Speicherberichte, Kontingenten,
Dateiprüfungsrichtlinien)
• Dienste für NFS (Network File System)
• Windows-Suchdienst
• Dateidienste für Windows Server 2003
$mmc servermanager.msc -> Rollen -> Dateidienste -> DFS-Verwaltung ->
Namespace
$dfsutil
$dfsutil domain
$dfsutil server
$dfsutil target
$dfsutil link
$dfsutil client siteinfo
DFS-Kontingente dienen dazu Benutzer zu überwachen, die mehr als eine
festgelegte Menge Festplattenplatz verbrauchen.
DFS-Kontingente können erzwungen werden, um zu verhindern, dass Benutzer mehr
Festplattenplatz belegen, als ihnen zugewiesen ist.
$mmc fsrm.msc -> Kontingentverwaltung
$dirquota
$dirquota quota list
$dirquota quota add /Path:
/SourceTemplate:””

$dirquota quota add /Path: /Limit:(MB|GB) /Type:(hard|soft)
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen
-> System -> Datenträgerkontingente
• Datenträgerkontingente ermöglichen
• Datenträgerkontingente erzwingen
• Standarddatenträgerkontingente und Warnrufe
• Ereignis protokollieren, wenn die Datenträgerkontingentgrenze überschritten
wird
• Ereignis protokollieren, wenn die Kontingentwarnstufe überschritten wird
• Richtlinie auf austauschbare Datenträger verwenden
Ordnerfreigaben
Windows-Explorer -> Freigabe -> Dateifreigabe
• Leser – Schreibgeschützter Zugriff (lesen)
• Mitwirkender – Lese- und Schreibzugriff (ändern)
• Mitbesitzer – Lese- und Schreibzugriff sowie Dateiberechtigungen ändern
(Vollzugriff)
• Besitzer – (Vollzugriff)
$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und
Speicherverwaltung -> Freigabe bereitstellen -> Assistent zum Bereitstellen eines
freigegebenen Ordners (SMB und NFS für Unix-Clients)
$net share
$net share =
$net use
$net use X: \\Server01\Documents
$dir
Offlinedateien
$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und
Speicherverwaltung -> Freigabe -> Verwaltung -> Zwischenspeicherung
• Nur von Benutzern angegebene Dateien und Programme sind offline
verfügbar
• Alle Dateien und Programme, die Benutzer auf der Freigabe öffnen, sind
automatisch offline verfügbar
• Keine Dateien oder Programme der Freigabe sind offline verfügbar

Dateiwiederherstellung
Schattenkopien ermöglichen es Datensicherungssoftware, auf Dateien zuzugreifen,
die gerade benutzt werden.
Schattenkopien von Dateien und Ordnern werden automatisch von Windows erstellt.
Schattenkopien speichern jeweils nur die Änderung zur Vorgängerversion.
Schattenkopien sind Datensicherungen.
$vssadmin
$vssadmin create shadow /For=
$vssadmin list shadowstorage
$vssadmin list shadow
$vssadmin revert shadow /Shadow=
$vssadmin revert shadow /Shadow={57384783-49ef-cddc-98a5-
448df848}
Windows Server-Sicherung kopiert ein gesamtes Datenträgervolumen in eine
.vhd-Datei auf einer zweiten lokalen Festplatte.
Windows Server-Sicherungen sind Systemsicherungen (.vhd) und
Datensicherungen (Backup---).
Windows Server-Sicherung erstellt den Ordner WindowsImageBackup im Stamm
des Sicherungsmediums.
Windows Server-Sicherung kann mit Hilfe der Aufgabenplanung automatisierte
Backups erstellen.
\WindowsImageBackup\
$mmc servermanager.msc -> Features -> Features hinzufügen -> Windows
Server-Sicherungsfeatures -> Windows Server-Sicherung
$mmc wbadmin.msc
$wbadmin
$wbadmin start backup -backupTarget:
-include: -quit
$wbadmin start systemstaterecovery

Druckerverwaltung
• Es sollten zwei oder mehr identische Drucker an jedem Standort bereitgestellt
und zu Druckerpools konfiguriert sein. Mit Hilfe von Druckerpools können
Benutzer ohne Unterbrechung drucken, auch wenn ein Drucker ausfällt –
denn Hardwareprobleme sind bei Druckern recht häufig.
• Die gesamte Organisation sollte versucht sein, Druckermodelle auf ein oder
zwei verschiedene zu beschränken. Das vereinfacht die Beschaffung von
Tinte und Ersatzteile sowie den Schulungsaufwand für die Angestellten.
• Drucker sollten direkt mit dem Kabelnetzwerk verbunden sei, statt sie an
Server anzuschließen. So können der Standort der Drucker flexibler gewählt
werden und die Server physisch optimal geschützt werden.
• Benutzer sollten geschult werden, in der Durchführung einfacher
Druckerverwaltungsaufgaben, zum Beispiel Nachlegen von Papier, Ersetzen
von Tintenpatronen und Beseitigen von Papierstaus. Das verringert die Anzahl
von Supportanrufen aufgrund von Druckerproblem.
$mmc servermanager.msc -> Rollen -> Druckerdienste (Dokumente- und
Druckerdienste)
• Druckserver – Druckerverwaltung für Windows und nicht Windows Clients
• LDP-Dienst – LDP-Protokoll (Line Printer Daemon Protocol) gewöhnlich für
Unix-Clients
• Internetdruck – IPP (Internet Printing Protocol) erstellt eine Website auf der
Nutzer Ihre Druckaufträge im Browser verwalten können. Erfordert IIS
(Internet Information Service).
Druckerverwalten
$mmc printmanagement.msc
$mmc printmanagement.msc -> Druckerverwaltung -> Druckerserver ->
-> Drucker -> Drucker hinzufügen
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver ->
-> Drucker -> -> Freigeben
• Druckauftragsaufbereitung auf Clientcomputern durchführen (Clients
führen den prozessorintensieven Renderingvorgang selbst durch)
• Im verzeichnis Anzeigen (Falls der Drucker im Active Directory angezeigt
werden soll)
• Zusätzliche Treiber (Stellt zum Beispiel x64 Versionen des Druckertreibers
bereit)
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver ->
-> Drucker -> -> Eigenschaften -> Sicherheit
• Drucken
• Drucker verwalten
• Dokumente verwalten

$mmc servermanagerment.msc -> Rollen -> Druckerdienste ->
Druckerverwaltung -> Druckserver -> -> Drucker -> Mit
Gruppenrichtlinie bereitstellen
• Die Computer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro
Computer)
• Die Benutzer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro
Benutzer)
$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\
• PrnMngr.vbs – Drucker hinzufügen und entfernen
• PrnCnfg.vbs – Drucker konfigurieren (Druckername, Druckerstandort,
Druckerberechtigungen)
• PrnDrvr.vbs – Druckertreiber hinzufügen und entfernen
• PrnJobs.vbs – Druckeraufträge verwalten
• PrnPort.vbs – Druckeranschlüsse verwalten
• PrnQctl.vbs – Druckertestseite drucken
• PubPrn.vbs – Druckerveröffentlichung im Active Directory
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-
DE\prnmngr.vbs -a –p -m ““
-r lpt1:
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-
DE\prncnfg.vbs -t -s -p
+keepprintedjobs
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-
DE\prndrvr.vbs -l -s
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-
DE\prndrvr.vbs -a -m “” -v 4 -e
“” -i -h
Migration: Druckerimportieren und Druckerexportieren
$printbrm –b –f printers.printerexport
$printbrm –r –f printers.printersexport

Druckertreiber
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver ->
-> Drucker -> -> Treiber
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen
-> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Geräte:
Anwender das Installieren von Druckertreibern nicht erlauben
Druckerpools
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver ->
-> Drucker -> -> Eigenschaften -> Druckerpool
Druckerpools dienen dazu den Druckprozess zu verschnellern und Ausfallsicherheit
herzustellen.
Drucker eines Druckerpools müssen alle denselben Druckertreiber verwenden, es
müssen also nicht identische Geräte sein (meist funktioniert ein Druckertreiber für
mehrere Geräte einer Firma).
Es sollte nur ein Drucker eines Druckerpools freigegeben sein, sonst kann der Pool
umgangen werden.
Druckerprioritäten
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver ->
-> Drucker -> -> Eigenschaften -> Erweitert ->
Priorität
Druckerprioritäten können mit Hilfe von mehreren logischen Installationen eines
Druckers gelöst werden. Jeder logischen Installation wird eine andere Priorität
zugewiesen.
Internetdrucker
Internetdrucker können mit Internet Explorer verwaltet werden.
Internetdrucker benötigen im Internet Explorer die Option, dass Add-Ons ausgeführt
werden dürfen.
Internetdrucker können zum Beispiel eine bequeme Alternative für Gäste sein.
http:///Drucker/
http:///Drucker//.drucker
Druckerbenachrichtigungen
$mmc servermanager.msc -> Druckerdienste -> Druckerverwaltung ->
Benutzerdefinierte Filter -> Neuer Druckerfilter
• Feld – definiert, welche Kriterien verglichen werden. Zum Beispiel
Warteschlangenstatus
• Bedingung
• Wert

MMC Microsoft Management Console + Microsoft Saved Console
Standard Konsolen in \Windows\System32\
certmgr.msc Manages certificates
ciadv.msc Manages the Indexing Service
compmgmt.msc The Computer Management Console
devmgmt.msc The Device Manager
dfrg.msc Disk Defragmenter
diskmgmt.msc Disk Management
eventvwr.msc Event Viewer for managing system logs
fsmgmt.msc Shared Folder Management
gpmc.msc Group Policy Editor
lusrmgr.msc Local Users and Groups Manager
ntmsmgr.msc Removable Storage Manager
ntmsoprq.msc Removable Storage Operator Requests
perfmon.msc System Performance Monitor
rsop.msc Resultant Set of Policy
secpol.msc Security Policy
services.msc Manages services
wmimgmt.msc Windows Management Instrumentation Service

Services
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.
#
# Format:
#
# / [Alias...] [#]
#
echo 7/tcp
echo 7/udp
discard 9/tcp sink null
discard 9/udp sink null
systat 11/tcp users #Active users
systat 11/tcp users #Active users
daytime 13/tcp
daytime 13/udp
qotd 17/tcp quote #Quote of the day
qotd 17/udp quote #Quote of the day
chargen 19/tcp ttytst source #Character generator
chargen 19/udp ttytst source #Character generator
ftp-data 20/tcp #FTP, data
ftp 21/tcp #FTP. control
telnet 23/tcp
smtp 25/tcp mail #Simple Mail Transfer
Protocol
time 37/tcp timserver
time 37/udp timserver
rlp 39/udp resource #Resource Location
Protocol
nameserver 42/tcp name #Host Name Server
nameserver 42/udp name #Host Name Server
nicname 43/tcp whois
domain 53/tcp #Domain Name Server
domain 53/udp #Domain Name Server
bootps 67/udp dhcps #Bootstrap Protocol
Server
bootpc 68/udp dhcpc #Bootstrap Protocol
Client
tftp 69/udp #Trivial File Transfer
gopher 70/tcp
finger 79/tcp
http 80/tcp www www-http #World Wide Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname 101/tcp hostnames #NIC Host Name Server
iso-tsap 102/tcp #ISO-TSAP Class 0
rtelnet 107/tcp #Remote Telnet Service
pop2 109/tcp postoffice #Post Office Protocol -
Version 2
pop3 110/tcp #Post Office Protocol -
Version 3
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure
Call
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure
Call
auth 113/tcp ident tap #Identification
Protocol
uucp-path 117/tcp
nntp 119/tcp usenet #Network News Transfer
Protocol
ntp 123/udp #Network Time Protocol
epmap 135/tcp loc-srv #DCE endpoint
resolution
epmap 135/udp loc-srv #DCE endpoint
resolution
netbios-ns 137/tcp nbname #NETBIOS Name Service
netbios-ns 137/udp nbname #NETBIOS Name Service

netbios-dgm 138/udp nbdatagram #NETBIOS Datagram
Service
netbios-ssn 139/tcp nbsession #NETBIOS Session
Service
imap 143/tcp imap4 #Internet Message
Access Protocol
pcmail-srv 158/tcp #PCMail Server
snmp 161/udp #SNMP
snmptrap 162/udp snmp-trap #SNMP trap
print-srv 170/tcp #Network PostScript
bgp 179/tcp #Border Gateway
Protocol
irc 194/tcp #Internet Relay Chat
Protocol
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory
Access Protocol
https 443/tcp MCom
https 443/udp MCom
microsoft-ds 445/tcp
microsoft-ds 445/udp
kpasswd 464/tcp # Kerberos (v5)
kpasswd 464/udp # Kerberos (v5)
isakmp 500/udp ike #Internet Key Exchange
exec 512/tcp #Remote Process
Execution
biff 512/udp comsat
login 513/tcp #Remote Login
who 513/udp whod
cmd 514/tcp shell
syslog 514/udp
printer 515/tcp spooler
talk 517/udp
ntalk 518/udp
efs 520/tcp #Extended File Name
Server
router 520/udp route routed
timed 525/udp timeserver
tempo 526/tcp newdate
courier 530/tcp rpc
conference 531/tcp chat
netnews 532/tcp readnews
netwall 533/udp #For emergency
broadcasts
uucp 540/tcp uucpd
klogin 543/tcp #Kerberos login
kshell 544/tcp krcmd #Kerberos remote shell
new-rwho 550/udp new-who
remotefs 556/tcp rfs rfs_server
rmonitor 560/udp rmonitord
monitor 561/udp
ldaps 636/tcp sldap #LDAP over TLS/SSL
doom 666/tcp #Doom Id Software
doom 666/udp #Doom Id Software
kerberos-adm 749/tcp #Kerberos
administration
kerberos-adm 749/udp #Kerberos
administration
kerberos-iv 750/udp #Kerberos version IV
kpop 1109/tcp #Kerberos POP
phone 1167/udp #Conference calling
ms-sql-s 1433/tcp #Microsoft-SQL-Server
ms-sql-s 1433/udp #Microsoft-SQL-Server
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor
ms-sql-m 1434/udp #Microsoft-SQL-Monitor
wins 1512/tcp #Microsoft Windows
Internet Name Service
wins 1512/udp #Microsoft Windows
Internet Name Service
ingreslock 1524/tcp ingres

l2tp 1701/udp #Layer Two Tunneling
Protocol
pptp 1723/tcp #Point-to-point
tunnelling protocol
radius 1812/udp #RADIUS authentication
protocol
radacct 1813/udp #RADIUS accounting
protocol
nfsd 2049/udp nfs #NFS server
knetd 2053/tcp #Kerberos de-multiplexo
man 9535/tcp #Remote Man Server

Links und Downloads
TechNet
http://technet.microsoft.com/
TechNet Virtual Labs: Windows Server
http://technet.microsoft.com/en-us/windowsserver/default.aspx
TechNet Virtual Labs: Windows Server 2008
http://technet.microsoft.com/de-de/windowsserver/bb512925.aspx
TechNet Library: Windows Server 2008 und Windows Server 2008 R2
http://technet.microsoft.com/de-de/library/cc728909.aspx
TechNet Library: Windows 2008 Server und Windows Vista TCP/IP-Stack
http://technet.microsoft.com/de-de/library/cc754287(WS.10).aspx
http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx
TechNet Library: Windows Server
http://technet.microsoft.com/en-us/library/bb625087.aspx
TechNet Library: DNS
http://technet.microsoft.com/en-us/library/cc779380(WS.10).aspx
TechNet Library: DNS Server
http://technet.microsoft.com/en-us/library/cc732997(WS.10).aspx
TechNet Library: DHCP
http://technet.microsoft.com/en-us/library/cc778368(WS.10).aspx
TechNet Library: DHCP Server
http://technet.microsoft.com/en-us/library/cc896553(WS.10).aspx
TechNet Networking and Access Technologies: Routing und RAS
http://technet.microsoft.com/en-us/network/bb545655.aspx
TechNet Networking and Access Technologies: IPSec
http://technet.microsoft.com/en-us/network/bb531150.aspx
Windows Server 2008 Website
http://www.microsoft.com/germany/windowsserver2008/default.mspx
Windows Cmd Reference
http://gattner.name/simon/public/microsoft/Windows%20Cmd%20Reference/
Microsoft Netzwerkmonitor
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-
4658-b7f6-3088333d062f&displaylang=en

IPv4
http://www.ietf.org/rfc/rfc791.txt
http://www.ietf.org/rfc/rfc3927.txt
IPv6
http://www.ietf.org/rfc/rfc2373.txt
http://www.ietf.org/rfc/rfc2460.txt
http://www.ietf.org/rfc/rfc2462.txt
DNS
http://www.ietf.org/rfc/rfc1034.txt
http://www.ietf.org/rfc/rfc1035.txt
http://www.ietf.org/rfc/rfc1591.txt
DHCP/BOOTP
http://www.ietf.org/rfc/rfc2131.txt
http://www.ietf.org/rfc/rfc2132.txt
http://www.ietf.org/rfc/rfc3736.txt