70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner
70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner
70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>70</strong>-<strong>642</strong> <strong>Konfigurieren</strong> <strong>einer</strong> <strong>Netzwerkinfrastruktur</strong><br />
<strong>Windows</strong> Server 2008<br />
Autor Simon <strong>Gattner</strong><br />
Autor Website http://gattner.name/simon<br />
Dokument Name <strong>70</strong>-<strong>642</strong>.doc<br />
Dokument Titel <strong>Konfigurieren</strong> <strong>einer</strong> <strong>Netzwerkinfrastruktur</strong><br />
<strong>Windows</strong> Server 2008<br />
Dokument URL http://gattner.name/simon/public/microsoft/<strong>Windows</strong>%20Server<br />
%202008/<strong>70</strong>-<strong>642</strong>.doc<br />
http://gattner.name/simon/public/microsoft/<strong>Windows</strong>%20Server<br />
%202008/<strong>70</strong>-<strong>642</strong>.pdf<br />
http://gattner.name/simon/public/microsoft/<strong>Windows</strong>%20Server<br />
%202008/<strong>70</strong>-<strong>642</strong>.html<br />
Dokument Datum 2010-11-29<br />
Dokument Namen, Eigennamen<br />
$Befehle, ~Dateinamen
IP Konfiguration<br />
TCP/IP (Transmittion Control Protocol/Internet Protocol)<br />
OSI-Model (Open Systems Interconnect) ist ein Schichtenmodel um z.B. den<br />
Transport von Informationen innerhalb von Kommunikation darzustellen.<br />
OSI-Model unterteilt Kommunikation in sieben Schichten.<br />
TCP/IP angewendet auf das OSI-Model<br />
(Quelle: http://www.computing.dcu.ie/~humphrys/Notes/Networks/intro.html)<br />
TCP/IP vier Netzwerkschichten<br />
2. Netzwerkschnittstellenschicht (Network Interface Layer): Ethernet/802.11-<br />
WLAN und Frame Relay/ATM<br />
3. Netzwerkschicht/Internetschicht (Network Layer): IPv4 IGMP/ICMP/ARP<br />
und IPv6 ND/MLD/ICMPv6<br />
4. Transportschicht (Transport Layer): TCP und UDP<br />
7. Anwendungsschicht (Application Layer): HTTP/FTP/SMTP und<br />
DNS/RIP/SNMP
TCP/IP-Stack <strong>Windows</strong> 2008 Server<br />
(Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx)
CIDR-<br />
Notatio<br />
n<br />
IPv4<br />
IPv4-Adressen sind 32Bits lang und bestehen aus 4 Oktetten zu jeweils 8Bits<br />
IPv4-Adressen in Punkt-Dezimal-Notationen dargestellt<br />
192.168.23.42<br />
IPv4-Adressen in 32Bit-Binärnotation dargestellt<br />
11000000 10101000 00010111 00101010<br />
IPv4-Adressen müssen innerhalb eines Netzwerkes einmalig sein<br />
IPv4-Adressen werden in Netzwerk-ID und Host-ID unterteilt<br />
IPv4-Adressen Netzwerk-ID + Host-ID = 32Bits<br />
IPv4-Adressen Netzwerk-ID<br />
192.168.23.0 (in diesem Fall hat die Netzwerk-ID 24Bits)<br />
IPv4-Adressen Host-ID<br />
192.168.23.42 (in diesem Fall hat die Host-ID 8Bits)<br />
IPv4-Adressen Subnetzmaske bestimmt welcher Teil <strong>einer</strong> 32Bit-IPv4-Adresse die<br />
Netzwerk-ID bildet<br />
192.168.23.42/24<br />
IPv4-Adressen Subnetzmasken in Schrägstrichnotation wird auch als CIDR-<br />
Notation (Classless Inter Domain Routing) oder Netzwerkpräfixnotation bezeichnet<br />
/24<br />
IPv4-Adressen Subnetmasken in 32Bit-Punkt-Dezimal-Notation<br />
255.255.255.0<br />
IPv4-Adressen Subnetmasken in 32Bit-Binärnotation<br />
11111111 11111111 11111111 00000000<br />
Binär-Notation Punkt-Dezimal-<br />
Notation<br />
Adressen<br />
pro Block<br />
/16 11111111 11111111 00000000 00000000 255.255.0.0 65436<br />
/17 11111111 11111111 10000000 00000000 255.255.128.0 32768<br />
/18 11111111 11111111 11000000 00000000 255.255.192.0 16384<br />
/19 11111111 11111111 11100000 00000000 255.255.224.0 8192<br />
/20 11111111 11111111 11110000 00000000 255.255.240.0 4096<br />
/21 11111111 11111111 11111000 00000000 255.255.248.0 2048<br />
/22 11111111 11111111 11111100 00000000 255.255.252.0 1024<br />
/23 11111111 11111111 11111110 00000000 255.255.254.0 512<br />
/24 11111111 11111111 11111111 00000000 255.255.255.0 256<br />
/25 11111111 11111111 11111111 10000000 255.255.255.128 128<br />
/26 11111111 11111111 11111111 11000000 255.255.255.192 64<br />
/27 11111111 11111111 11111111 11100000 255.255.255.224 32<br />
/28 11111111 11111111 11111111 11110000 255.255.255.240 16<br />
/29 11111111 11111111 11111111 11111000 255.255.255.248 8<br />
/30 11111111 11111111 11111111 11111100 255.255.255.252 4<br />
IPv4-Adressblöcke sind ein Satz einzelner IP-Adressen die eine Gemeinsame<br />
Netzwerk-ID haben.<br />
206.73.118<br />
206.73.118.0 bis 206.73.118.255<br />
IPv4-Adressblöcke können in mehrere Subnetze unterteilt sein die jeweils einen<br />
eigenen Router haben.<br />
IPv4-Adressblöcke die in mehrere Subnetze unterteilt sind, haben eine verlängerte<br />
Netzwerk-ID um die Subnet-ID die aus der Host-ID abgezweigt wird, so dass mit Hilfe<br />
der Subnetz-ID Subnetze interpretiert werden können.
IPv4-Adressräume (address spaces) sind die Bereiche der IP-Adressen, die in<br />
einem bestimmten Adressblock liegen.<br />
IPv4-Adressräume sind Adressblöcke minus Broadcast- und Netzwerkadressen.<br />
IPv4-Broadcastdomänen sind Adressblöcke des Netzwerkes die nicht in Subnetze<br />
unterteilt sind.<br />
IPv4-Standardgateway ist eine IP-Adresse innerhalb <strong>einer</strong> Broadcastdomäne, der<br />
Router übernimmt diese Rolle.<br />
IPv4-Unicastadressen<br />
• öffentliche Unicastadressen werden von der IANA (Internet Assigned<br />
Numbers Authority) deligiert und mit Hilfe <strong>einer</strong> Reihe von<br />
Registrierungsstellen weltweit vergeben. In Deutschland vergibt die DENIC<br />
(Deutsches Network Information Center) IPv4-Adressblöcke, meist an ISP<br />
(Internet Service Profider) der diese an seine Endkunden weiterreicht.<br />
• private Unicastadressen werden im globalen Internet niemals verwendet.<br />
Diese IPv4-Adressen werden für Hosts verwendet die eine IPv4-Verbindung<br />
benötigen aber nicht im WAN sichtbar sein müssen. Folgende IPv4-<br />
Adressblöcke können für private Unicastadressen verwendet werden:<br />
10.0.0.0/24<br />
172.16.0.0 bis 172.31.255.254<br />
192.168.0.0/16<br />
• APIPA Unicastadressen werden automatisch im IPv4-Adressbereich<br />
vergeben.<br />
169.254.0.0/16<br />
IPv4-Subnetze begrenzen den Broadcastverkehr.<br />
IPv4-Subnetze können den Netzwerktraffic verringern.<br />
IPv4-Subnetze können die Latenz verringern, wenn die Netzwerktopologie den<br />
physikalischen Gegebenheiten angepasst wird.<br />
(Quelle: http://www.h3c.com/)<br />
IPv4-Subnetz-ID ist die verlängerte Netzwerk-ID <strong>einer</strong> 32-Bit-IPv4-Adresse.<br />
IPv4-Subnetz-ID wird auch als Subnetzkennung bezeichnet.
IPv4-Subnetz-Berechnung<br />
s = 2^b<br />
s = n-Subnetze<br />
b = n-Bits der Subnetz-ID<br />
b = n(int) – n(ext)<br />
n(int) = Länge der Netzwerk-ID + Subnetz-ID in Bits<br />
n(ext) = Länge der Netzwerk-ID<br />
IPv4-Subnetting<br />
Zugewiesenes Netzwerk: 192.168.122.0/24 (254 Hosts)<br />
Standort A: 100 Geräte 192.168.122.0/25 (126 Hosts)<br />
Standort B: 50 Geräte 192.168.122.128/26 (64 Hosts)<br />
Standort C: 20 Geräte 192.168.122.192/27 (32 Hosts)<br />
IPv4-VLAN ist eine Alternative zur Subnetzunterteilung.<br />
IPv4-VLAN können mit Hilfe von VLAN-Switches bereitgestellt werden.<br />
IPv4-VLAN schränken den Broadcastverkehr ein.<br />
IPv4-VLAN-Software kann unabhängig von der Hardwaretopologie<br />
Broadcastdomäns entfernen.<br />
IPv4-VLSM (Virtual Local Subnet Mask) nutzt eine ganz bestimmte Aufteilung der<br />
Adressblöcke. Zum Beispiel wird ein /22 Netzwerk in VLSMs mit /23 /24 /25 …<br />
oder ein /16 Netzwerk in /17 /18 /19 …<br />
IPv4-VLSMs beginnen (binär) immer mit <strong>einer</strong> 1 und enden Normalerweiße mit <strong>einer</strong><br />
0. Sie sind also immer (dezimal) gerade.<br />
IPv4-VLSMs die (binär) mit 1 beginnen und enden, ersetzen die darauf folgenden<br />
Subnetze.
IPv6<br />
IPv6-Adressen sind 128Bit lang und stellen einen Adressraum von 2^128 Adressen<br />
zu Verfügung<br />
IPv6-Adressen werden in acht Blöcke mit jeweils vier Hexadezimalziffern angegeben.<br />
Blöcke werden mit Doppelpunkten getrennt. Führende Nullen können gekürzt werden<br />
2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A<br />
2001:0DB8:3FA9:0:0:0:D3:9C5A<br />
2001:0DB8:3FA9::D3:9C5A<br />
IPv6-Adressen verwenden auch Netzwerkpräfixe, die in Schrägstrichnotation<br />
angegeben wird. Das Präfix wird benutzt um Routen oder Adressbereiche<br />
anzugeben, keine Netzwerk-ID. Routingtabelleneintrag für IPv6<br />
2001:DB8:3FA9::/48<br />
IPv6-Adressen werden von benachbarten Routern oder von DHCPv6-Servern<br />
automatisch zugewiesen. Außerdem weisen Computer sich selbst eine<br />
verbindungslokale Adresse zu die nur um lokalen Subnetz benutzt wird<br />
(Quelle: http://www.networkworld.com/)<br />
IPv6-Adress-Zustände gelten für IPv6-Adressen die von Router oder <strong>einer</strong> IPv6-<br />
Adressautokonfiguration vergeben werden<br />
• Vorläufig (tentative) gilt im Zeitraum nach der Autokonfiguration, bis geprüft<br />
wurde ob keine Dublette vorliegt<br />
• Bevorzugt (preferred) gilt im Zeitraum der Lebensdauer, wenn keine Dublette<br />
vorliegt<br />
• Verworfen (deprecated) gilt im Zeitraum nach überschritten der Lebensdauer,<br />
in der die Adresse zwar noch erreicht werden kann, aber nicht für neue<br />
Kommunikationssitzungen verwendet wird
Unicast-IPv6-Adressen bestehen aus einem 64Bit langen Netzwerkpräfix und <strong>einer</strong><br />
64Bit langen Schnittstellen-ID<br />
Unicast-IPv6-Adressen Netzwerkpräfix (Routingpräfix) wird von der IANA<br />
zugewiesen<br />
Unicast-IPv6-Adressen Schnittstellen-ID leitet sich üblicherweise aus der einmaligen<br />
48Bit MAC-Adresse der NIC ab oder wird zufällig* generiert.<br />
* (Quelle: http://xkcd.com/221/)<br />
Unicast-IPv6-Adressen unterstützen keine Subnetz-IDs variabler Länge, der<br />
Routingpräfix hat immer die Länge von 64Bits<br />
IPv6-Loopback-Adresse<br />
there is no place like ::1<br />
Eindeutige lokale IPv6-Adressen (Unique Local Address, ULA) sind das IPv6-<br />
Gegenstück zu privaten Adressen (LAN-Adressen) in IPv4<br />
Eindeutige lokale IPv6-Adressen sind routingfähig zwischen Subnetzen<br />
fd65:9abf:efb0:0001::0002<br />
Eindeutige lokale IPv6-Adressen benutzen das Adresspräfix<br />
fd00::/8<br />
fc00::/8 (in Zukunft unter umständen)<br />
Eindeutige lokale IPv6-Adressen beginnen immer mit den ersten 8Bits fd gefolgt<br />
von 40Bits des Globalen Routingpräfix, der zufällig generiert wird. Darauf folgen<br />
16Bits Subnetz-ID und 64Bits der Schnittstellen-ID<br />
fd Eindeutiglokales Adresspräfix<br />
65:9abf:efb0: Globales Routingpräfix (Globale-ID)<br />
0001: Subnetz-ID<br />
::0002 Schnittstellen-ID<br />
Standort lokale IPv6-Adressen wurden für obsolet erklärt und sollten nicht mehr<br />
verwendet werden<br />
feco::/10 Standortlokales Adresspräfix
Globale IPv6-Adressen sind das Gegenstück öffentlicher IPv4-Adressen<br />
2001:db8:21da:0007:713e:a426:d167:37ab<br />
Globale IPv6-Adressen benutzen das Adresspräfix<br />
2000::/3<br />
3000::/3<br />
Globale IPv6-Adressen setzen sich aus 48Bits globalen Routingpräfix (wird von der<br />
IANA zugewiesen), 16Bits Subnetz-ID und 64Bits Schnittstellen-ID (Host-ID)<br />
zusammen<br />
2001:db8:21da: Globales Routingpräfix (Globale-ID)<br />
0007: Subnetz-ID<br />
713e:a426:d167:37ab Schnittstellen-ID<br />
Verbindungslokale IPv6-Adressen (Link-Lokal Addresse, LLA) ähneln IPv4-APIPA-<br />
Adressen<br />
fe80::54d:3cd7:b33b:1bc1%13<br />
Verbdingunslokale IPv6-Adressen benutzen das Adresspräfix<br />
fe80:/8<br />
Verbindungslokale IPv6-Adressen beginnen immer mit fe80::, die ersten 64Bits<br />
gefolgt von 64Bits der Schnittstellen-ID und der Zonen-ID<br />
fe80:0:0:0: Verbindungslokales Adresspräfix<br />
54d:3cd7:b33b:1bc1 Schnittstellen-ID<br />
%13 Zonen-ID<br />
Verbindungslokale IPv6-Adressen werden automatisch vom Gerät konfiguriert<br />
Verbindungslokale IPv6-Adressen sind nicht routingfähig und funktionieren nur im<br />
lokalen Subnetz<br />
Verbindungslokale IPv6-Adressen bleiben Schnittstellen immer als sekundäre<br />
Adresse zugewiesen<br />
Zonen-ID ist nicht teil der Verbindungslokalen IPv6-Adresse. Die Zone gibt lediglich<br />
an mit welcher Netzwerkschnittstelle die Adresse verbunden ist<br />
Zonen-ID ist immer relativ zur lokalen Schnittstelle<br />
Zonen-ID muss beim anpingen <strong>einer</strong> Verbindungslokalen IPv6-Adresse der Zonen-ID<br />
der lokalen Schnittstelle (auf dem Gerät von dem aus gepingt wird) entsprechen<br />
Zonen-ID können unter <strong>Windows</strong> 7 mit folgendem Befehl angezeigt werden:<br />
$netsh interface ipv6 show interface
IPv4-zu-IPv6-Kompatibilität<br />
IPv4-kompatible Adressen von Dual-Stack-Knoten die über IPv4-Infrastruktur mit<br />
IPv6 kommunizieren<br />
0:0:0:0:0:0:0:0:a.b.c.d<br />
::a.b.c.d<br />
IPv4-zugeordnete Adressen werden benutzt um reine IPv4-Knoten einem IPv6-<br />
Knoten bekannt zu machen<br />
0:0:0:0:0:ffff:a.b.c.d<br />
::ffff:a.b.c.d<br />
6to4-Adressen kann benutzt werden um IPv6-Pakete über ein IPv4-Netzwerk zu<br />
transportieren ohne das Tunnel konfiguriert werden müssen.<br />
Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als<br />
Übergangslösung geplant<br />
2002:ab:cd::/16<br />
Toredo-Adressen (RFC 4380) enthalten ein 32Bit-Teredo-Präfix. Auf das Präfix folgt<br />
die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert.<br />
Die nächsten 16Bit sind für Teredoflags reserviert.<br />
Die nächsten 16Bit speichern die UDP-Port-Nummern, die den gesamten Teredo-<br />
Verkehr abwickelt.<br />
Die letzten 32Bit speichern die externe IPv4-Adresse die den gesamten Teredo-<br />
Verkehr abwickelt<br />
2001::/32<br />
ISATAP-Adressen (Intra-Site Automatic Tunneling Adressing Protocol) werden von<br />
IPv6 benutzt um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet<br />
herzustellen.<br />
Die ersten 64Bits beginnen mit verbindungslokalen, standortlokalen, globalen oder<br />
6to4-globalen Unicastpräfixen.<br />
Die nächsten 32Bits enthalten die ISATAP-Kennung 0:5efe.<br />
Die letzten 32Bits enthalten die IPv4-Adresse in Hex- oder Punkt-Dezimal-Notation.<br />
ISATAP-Adressen sind für öffentliche oder private IPv4-Adressen<br />
5efe:<br />
IPv6-zu-IPv4-Kompatibilität<br />
$netsh interface ipv6 6to4<br />
$netsh interface ipv6 isatap<br />
$netsh interface ipv6 add v6v4tunnel<br />
$netsh interface ipv6 add v6v4tunnel “Remote” 10.0.0.11<br />
192.168.123.116
Routing und Standardgateways<br />
Um Pakete an eine Remoteadresse zu senden vergleicht man die Zielnetzwerk-ID<br />
eines IPv4-Pakets mit der eigenen Netzwerk-ID um zu entscheiden ob das Paket als<br />
Broadcast an das lokale Subnetz gesendet wird oder an das Standartgateway geht.<br />
Um die Netzwerk-ID zu ermitteln benutzt man die Subnetzmaske.<br />
Standartgateway entscheidet anhand s<strong>einer</strong> Routingtabelle wie das Paket weiter<br />
versendet wird.<br />
Standartgateway (Router) muss dieselbe Netzwerk-ID wie die zu Host haben, für die<br />
es zuständig ist, und in derselben Broadcastdomäne liegen.<br />
Standartgateway ist in <strong>einer</strong> Host unkonfiguriert, kann die Host auf keine Ziele<br />
außerhalb seines lokalen Subnetzes zugreifen.<br />
(Quelle:<br />
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03302.html)<br />
Kollisionsdomäne<br />
Unter <strong>einer</strong> Kollisionsdomäne wird ein einzelnes Segment beim<br />
Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision<br />
Detection) verstanden. Alle Geräte, die im selben Segment angeschlossen sind, sind<br />
Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte, zum gleichen<br />
Zeitpunkt ein Paket ins Netz zu senden, so spricht man von <strong>einer</strong> Kollision. Beide<br />
Geräte warten dann einen bestimmten Zeitraum zufällig gewählter Länge und<br />
versuchen dann erneut, das Paket zu senden. Durch diese Wartezeit verringert sich<br />
die effektive Bandbreite, die den Geräten zur Verfügung steht.<br />
Broadcastdomäne<br />
Broadcast-Informationen sind nicht an ein bestimmtes Endgerät gerichtet, sondern<br />
an alle "benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die<br />
jeweiligen Broadcast-Informationen der anderen Geräte empfangen, bilden<br />
zusammen eine Broadcastdomäne. Geräte, die in <strong>einer</strong> Broadcastdomäne<br />
zusammen gefasst sind, müssen sich nicht in derselben Kollisionsdomäne befinden.<br />
Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz.<br />
Beispielsweise bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis<br />
192.168.1.254 in einem IP-Subnetz mit <strong>einer</strong> Subnetzmaske von<br />
255.255.255.0 eine Broadcastdomäne.
Hub<br />
Hubs arbeiten auf der OSI Schicht 1 (Physikalische Schicht /<br />
Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben<br />
Kollisionsdomäne und damit auch in derselben Broadcastdomäne.<br />
Hubs werden heutzutage durch Access-Switches abgelöst.<br />
Bridge<br />
Bridges verbinden Netze auf der OSI Schicht 2 (Datalink Schicht /<br />
Sicherungsschicht) und segmentieren Kollisionsdomänen. Jedes Segment bzw. Port<br />
an <strong>einer</strong> Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen<br />
Stationen sind im Normalfall Bestandteil <strong>einer</strong> Broadcastdomäne.<br />
Bridges können auch dazu dienen, Netze mit unterschiedlichen Topographien<br />
(Ethernet, Token Ring, FDDI, etc.) auf der OSI Schicht 2 miteinander zu verbinden<br />
(transparent bridging, translational bridging). Hauptsächlich wurden Bridges zur<br />
Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch erzielt, dass eine<br />
Bridge als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes<br />
Datenpaket weiterleitet.<br />
Bridges halten eine interne MAC-Adresstabelle vor, aus der hervorgeht, in welchem<br />
angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn<br />
die Bridge beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im<br />
Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen<br />
ein Datenpaket aus dem Teilsegment A für eine Station aus dem Teilsegment A<br />
empfängt, wird dieses Datenpaket nicht in das Teilsegment B übertragen. Dadurch<br />
wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges durch<br />
Switches ersetzt.<br />
Layer-2-Switch<br />
Herkömmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder<br />
Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind alle<br />
angeschlossenen Stationen Bestandteil <strong>einer</strong> Broadcastdomäne. Das bedeutet, dass<br />
ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header als<br />
Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete<br />
weitergeleitet werden. Trotz der vergleichbaren Funktionsweise gibt es zwei<br />
wesentliche Unterschiede zu Bridges:<br />
Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine<br />
Bridge.<br />
Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface<br />
Circuits (ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich<br />
schneller als eine Bridge von einem Segment in ein anderes zu transportieren.
Router<br />
Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete<br />
anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem Router stellt<br />
eine eigene Broadcastdomäne und damit auch eine Kollisionsdomäne dar.<br />
Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden.<br />
Router werden verwendet, um lokale Netze zu segmentieren oder um<br />
lokale Netze über Weitverkehrsnetze zu verbinden.<br />
Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem<br />
beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den<br />
meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den<br />
nächsten Router, den sogenannten Next Hop.<br />
Router müssen jedes IP-Paket vor der Weiterleitung analysieren. Dies führt zu<br />
Verzögerungen und damit im Vergleich zu "klassischen" Switches zu einem<br />
geringeren Datendurchsatz.<br />
Layer-3-Switch und Layer-4-Switch<br />
Layer-3- und Layer-4-Switches sind Switches, die zusätzlich eine Routing-<br />
Funktionalität bieten. Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-<br />
Header eines Paketes zur Entscheidung, zu welchem Port Datenpakete<br />
weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal<br />
wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden Datenpakete des<br />
Senders an diesen Empfänger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-<br />
MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine<br />
wesentlich höhere Durchsatzrate erzielen als ein herkömmlicher Router.<br />
Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-<br />
Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer-<br />
3-Switch verfügt in der Regel über eine wesentlich größere Portdichte.<br />
Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen<br />
herkömmliche LAN-to-LAN-Router ersetzen.
Netzwerkverbindung Konfiguration<br />
$ipconfig<br />
$netsh interface<br />
$ncpa.cpl<br />
Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter<br />
$ping<br />
$tracert<br />
$pathping<br />
$arp<br />
$route<br />
$netstat<br />
Gesamtübersicht anzeigen Netzwerkübersicht von Geräten die im lokalen LAN mit<br />
deren Netzwerktopologie (basiert auf LLTD (Link Layer Topology Discovery) was als<br />
Client auf <strong>Windows</strong> XP nachinstalliert werden muss)<br />
Netzwerkübersicht ist standardmäßig deaktiviert.<br />
Verbindung herstellen oder trennen zeigt die aktiven Netzwerke an<br />
Netzwerkeinstellungen ändern<br />
• Neue Verbindung oder Netzwerkeinrichten<br />
• Verbindung zu einem Netzwerk herstellen<br />
• Problembehandlung aufrufen<br />
Problembehandlung mit ICMP (Internet Control Message Protocol)<br />
Dienstprogrammen<br />
$ipconfig /renew (LAN-Verbindungen mit APIPA-Adressen können auf<br />
Probleme mit DHCP hindeuten)<br />
$ping |<br />
$tracert |<br />
$pathping –n <br />
$arp -a<br />
Adaptereinstellungen ändern<br />
$ncpa.cpl<br />
$netsh interface “Adaptername”<br />
<br />
$netsh interface ipv4 show [“LAN-Verbindung”] config<br />
Adapter -> Status -> Details -> Netzwerkverbindungsdetails<br />
$ipconfig /all<br />
$netsh interface ipv4 set address “LAN-Verbindung” static<br />
10.0.0.1 255.255.255.0<br />
$netsh interface ip set dnsservers “LAN-Verbindung” static<br />
10.0.0.2 primary<br />
$netsh interface ipv6 set address “LAN-Verbindung”<br />
2001:db8:290c:1291::1<br />
$netsh interface ip set address “LAN-Verbindung” dhcp<br />
$netsh interface ip set dnsservers “LAN-Verbindung” dhcp<br />
$ipconfig /renew[6]
Adaptereinstellungen ändern<br />
Standardkomponenten für eine Verbindung (Adapter Eigenschaften)<br />
• Netzwerkclients (z.B. Client für Microsoft-Netzwerke)<br />
• Netzwerkdienst (z.B. Datei- und Druckerfreigabe für Microsoft-<br />
Netzwerk oder QOS-Paketplaner)<br />
• Netzwerkprotokoll (z.B. Internetprotokoll Version 4 (TCP/IPv4) oder<br />
E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung)<br />
Netzwerk-Bridging (Adapter Verbindung überbrücken)<br />
Bridging kann dazu dienen alle Eingangspunkte eines Servers (Drahtlos,<br />
Token Ring und Ethernet) die gleiche Internetanbindung (WAN-Adapter)<br />
nutzen zu lassen<br />
Erweiterte Einstellungen<br />
• Adapter und Bindung (Priorität der einzelnen Verbindungen und<br />
deren Dienste verändern)<br />
• Anbieterreihenfolge (Priorität der einzelnen Netzwerkanbieter<br />
verändern)<br />
Erweiterte Freigabeeinstellung ändern nach Netzwerkstandort sortiert (Öffentlich,<br />
Privat und Domain)<br />
• Netzwerkerkennung aktivieren/deaktivieren<br />
• Datei- und Druckerfreigaben aktivieren/deaktivieren<br />
• Freigaben des Öffentlichen Ordners lesen/schreiben aktivieren/deaktvieren
Namensauflösung (name resolution)<br />
Namensauflösungsmethoden in <strong>Windows</strong><br />
• DNS (Domain Name System)<br />
• LLMNR (Link Local Multicast Name Resolution)<br />
• NetBIOS<br />
rlp 39/udp resource #Resource<br />
Location Protocol<br />
nameserver 42/tcp name #Host Name<br />
Server<br />
nameserver 42/udp name #Host Name<br />
Server<br />
nicname 43/tcp whois<br />
domain 53/tcp #Domain<br />
Name Server<br />
domain 53/udp #Domain<br />
Name Server<br />
hostname 101/tcp hostnames #NIC Host<br />
Name Server<br />
netbios-ns 137/tcp nbname #NETBIOS<br />
Name Service<br />
netbios-ns 137/udp nbname #NETBIOS<br />
Name Service<br />
netbios-dgm 138/udp nbdatagram #NETBIOS<br />
Datagram Service<br />
netbios-ssn 139/tcp nbsession #NETBIOS<br />
Session Service<br />
wins 1512/tcp #Microsoft<br />
<strong>Windows</strong> Internet Name Service<br />
wins 1512/udp #Microsoft<br />
<strong>Windows</strong> Internet Name Service<br />
LLMNR und Konfiguration<br />
LLMNR (Link Local Multicast Name Resolution) nutzt Multicasting um IPv6-Adressen<br />
in die Namen von Computern aufzulösen die sich im lokalen Subnet befinden.<br />
LLMNR wird für die Namensauflösung in einzelnen Subnets verwendet, die keine<br />
DNS-Infrastruktur besitzen.<br />
LLMNR kann eingesetzt werden ab <strong>Windows</strong> Vista.<br />
LLMNR sendet Namensauflösungsanforderungen über IPv6 standardmäßig, kann<br />
aber auch über IPv4 gesendet werden.<br />
LLMNR ist IPv6 kompatibel, vorkonfiguriert (out-of-box) für IPv6-Netzwerke und<br />
schlanker als NetBIOS.<br />
LLMNR löst keine Namen von <strong>Windows</strong> Server 2003, <strong>Windows</strong> XP und älteren<br />
<strong>Windows</strong>versionen auf.<br />
LLMNR kann nur Namen auflösen innerhalb des lokalen Subnet.<br />
LLMNR brauch die Netzwerkerkennung.<br />
Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -><br />
Erweiterte Freigabeeinstellungen ->Netzwerkerkennung<br />
Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -><br />
Gesamtübersicht anzeigen
NetBIOS und Konfiguration<br />
NetBIOS oder NetBIOS-over-TCP/IP (NetBT oder NBT) wird verwendet um die<br />
Kompatibilität zu alten <strong>Windows</strong>versionen sicherzustellen.<br />
NetBIOS funktioniert standardmäßig, in einem IPv4-Netzwerk ohne DNS.<br />
NetBIOS ist nicht kompatibel mit IPv6.<br />
NetBIOS setzt voraus das jeder Gerätename einmalig ist.<br />
NetBIOS kann über den DHCP-Server eingestellt werden. Falls kein DHCP aktiviert<br />
ist wird NetBIOS-over-TCP/IP verwendet.<br />
NetBIOS umfasst drei Namensauflösungsmethoden<br />
• Broadcasts über IPv4 mit dem ein Besitzer eines gesuchten Namens<br />
aufgefordert wird zu antworten<br />
• WINS ist ein Verzeichnis von Computernamen auf einem WINS-Server.<br />
WINS ermöglicht NetBIOS die Namensauflösung über das eigene Subnet<br />
hinaus<br />
WINS registriert den Clienten automatisch im Server-Verzeichnis<br />
• LMHOSTS ist eine statische, lokale Datenbank.<br />
LMHOSTS muss manuell erstellt werden und enthält Paare von IP + Host<br />
NetBIOS-Knotentypen legen fest auf welche Weise NetBIOS-Namen in IP-Adressen<br />
aufgelöst werden. Es gibt vier Knotentypen:<br />
• Broadcast oder B-Knoten verwenden Broadcast-NetBIOS-Namensabfragen<br />
für die Namensregistrierung und –Auflösung.<br />
Nachteile sind: das Broadcasts von allen Knoten im Netzwerk verarbeitet<br />
werden müssen und das Broadcasts nur im eigenen Subnet funktionieren<br />
• Punkt-zu-Punkt- oder P-Knoten verwenden Punkt-zu-Punkt-Kommunikation<br />
mit einem WINS-Server um Namen aufzulösen<br />
• Gemischte oder M-Knoten verwenden erst Broadcasts und als fallback<br />
WINS-Abfragen<br />
• Hypride oder H-Knoten verwenden WINS-Abfragen und als fallback<br />
LMHOST-Abfragen und Broadcasts<br />
Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -><br />
Eigenschaften -> Internet Protokoll IPv4 -> Erweitert -> WINS<br />
$netsh interface ip set wins (static|dhcp)<br />
$netsh interface ip add wins (static|dhcp)<br />
$netsh interface ip add wins “LAN-Verbindung static 10.0.0.1
DNS<br />
DNS (Domain Name System) stellt eine hierarchische Struktur und automatisierte<br />
Methode zum Zwischenspeichern und Auflösen von Hostnamen zu Verfügung.<br />
$dig<br />
$nslookup<br />
$pathping<br />
$nslookup > ls <br />
DNS-Namensystem auf dem DNS basiert, ist eine hierarchische und logische<br />
Baumstruktur, die als DNS-Namespace bezeichnet wird.<br />
DNS-Namespace enthält einen eindeutigen Stamm (root), der beliebige<br />
untergeordnete Äste (Domänen) haben kann. Untergeordnete Domänen können<br />
weitere Domänen enthalten.<br />
DNS-Domänenstruktur enthält Knoten (Astgabelungen), die anhand eines<br />
vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) identifiziert<br />
werden<br />
root_<br />
|.org<br />
| |foo.org__<br />
| | |alpha.foo.org_<br />
| | | |one.alpha.foo.org<br />
| | |beta.foo.org<br />
| |bar.org__<br />
| | |first.bar.org<br />
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)
DNS-Root wird von der ICANN (Internet Corporation for Assigned Names and<br />
Numbers) verwalte. Die ICANN koordiniert die Zuweisung von global eindeutigen<br />
Kennungen, wie Internetdomänennamen, IP-Adresswerte, Protokollparameter oder<br />
Portnummern.<br />
DNS-Top-Level-Domänen sind dem DNS-Stamm untergeordnet<br />
• Organisationsdomänen<br />
.org .com .net .edu .mil .aero .biz .info .name etc.<br />
• Geographische Domänen nach ISO 3166<br />
.de .fr .ly .se .uk .ru .fu .cn etc.<br />
• Reverse-Domänen für Reverse-Lookups von Namen zu IP-Adresse<br />
in-addr.arpa<br />
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)<br />
DNS-Top-Level-Domänen deligiert die ICANN und andere Internetstellen wie die<br />
DEBNIC.
DNS-Komponenten sind DNS-Server, Zone, Auflösungen (Resolver) und<br />
Ressourceneinträge<br />
• DNS-Server sind Geräte, die ein DNS-Serverprogramm wie z.B. <strong>Windows</strong><br />
DNS-Server-Dienst oder BIND ausführen.<br />
DNS-Server enthalten DNS-Datenbankinformationen über einen bestimmten<br />
Abschnitt der DNS-Domänenbaumstruktur und verarbeitet Anfragen zur<br />
Namensauflösung von DNS-Clients.<br />
DNS-Server setzen bei <strong>einer</strong> Anfrage Informationen bereit, liefern die Adresse<br />
eines anderen Servers der die Informationen liefern kann oder melden eine<br />
Antwortnachricht, dass Daten nicht verfügbar oder vorhanden sind.<br />
DNS-Server ist autorisierend (authoritive) für eine Domäne, wenn dieser auf<br />
lokal gespeicherte Datenbankdaten zugreift.<br />
• DNS-Zonen sind zusammenhängende Abschnitte eines Namespaces, für die<br />
ein Server autorisiert ist.<br />
DNS-Zonen können durch Delegierung erzeugt werden.<br />
Spezielle Zonen sind Forward-Lookupzonen und Revers-Lookupzonen.<br />
Forward-Lookupzone ist eine Zone, in der Name in IP-Adresse aufgelöst wird.<br />
Reverse-Lookupzone ist eine Zone, in der IP-Adresse in Name aufgelöst wird.<br />
• DNS-Auflösung (resolver) ist ein Dienst, der mit Hilfe des DNS-Protokolls<br />
Informationen von DNS-Servern abfragt.<br />
DNS-Auflösung kommuniziert entweder mit DNS-Remoteservern oder mit dem<br />
DNS-Serverprogramm.<br />
DNS-Auflösung wird unter <strong>Windows</strong> Server 2008 von DNS-Clients<br />
übernommen, die Einträge auch zwischenspeichern können<br />
• DNS-Ressourceneinträge (resource records) sind Einträge in der DNS-<br />
Datenbank.<br />
DNS-Ressourceneinträge werden verwendet um DNS-Clientanfragen zu<br />
beantworten<br />
DNS-Ressourceneintragstypen<br />
o A (IPv4-Hostadresse)<br />
o AAAA (IPv6-Hostadresse)<br />
o CNAME (Alias)<br />
o PTR (Zeiger)<br />
o MX (Mail-Exchanger)<br />
DNS-Abfrage (query) läuft folgendermaßen ab: wenn ein DNS-Client einen Namen<br />
sucht, fragt er nachdem er die HOST-Datei und den DNS-Cache geprüft hat den<br />
konfigurierten DNS-Server ab, um den Namen aufzulösen. Jede DNS-Abfrage<br />
enthält folgende Bestandteile:<br />
• DNS-Domänennamen der als FQDN angegeben ist. Der DNS-Clientdienst<br />
fügt die Suffixe hinzu, falls nicht vorhanden, die für eine FQDN erforderlich ist<br />
• Abfragetyp der entweder einen Ressourceneintrag anhand eines Typs oder<br />
eine spezielle Form von Abfragevorgang angibt<br />
• Klasse des DNS-Domänennamen wird für den DNS-Clientdienst generell als<br />
Internet-Klasse (IN) angegeben<br />
DNS-Auflösung (answer) erhält der DNS-Cient den Ressourceneintrag der aus<br />
einem HOST/IP-Paar besteht.
DNS-Abfrage (query) und DNS-Auflösung (answer)<br />
(Quelle : http://technet.microsoft.com/en-us/library/cc775637(WS.10).aspx)<br />
Stammhinweise (root hints) sind Startpunkte für die Suche nach Namen im DNS-<br />
Domänennamespace. Dabei handelt es sich um vorbereitete Ressourceneinträge,<br />
die auf Server zeigen, die für den Stamm des DNS-Domänennamespaces<br />
autorisierend ist.<br />
DNS-Abfragen und DNS-Auflösung zwischen DNS-Client und DNS-Server sind<br />
recursiv.<br />
DNS-Abfragen und DNS-Auflösung zwischen DNS-Servern sind iterativ wenn es<br />
sich um einen Vorgang handelt, bei dem der DNS-Client wiederholt Anfragen an<br />
verschiedene DNS-Server sendet.<br />
DNS-Server können ebenfalls als DNS-Clients agieren, dieses verhalten heißt<br />
Rekursion.<br />
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)
;<br />
; Database file (null) for foo.local zone.<br />
; Zone version: 132<br />
;<br />
@ IN SOA dc01.foo.local. hostmaster.foo.local. (<br />
132 ; serial number<br />
900 ; refresh<br />
600 ; retry<br />
86400 ; expire<br />
3600 ) ; default TTL<br />
;<br />
; Zone NS records<br />
;<br />
@ NS dc01.foo.local.<br />
@ NS dns01.foo.local.<br />
@ NS dc02.berlin.foo.local.<br />
DC02.berlin A 192.168.6.12<br />
DC02.berlin A 192.168.7.10<br />
DC02.berlin AAAA fd65:9abf:efb0:6::c<br />
DC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5<br />
DC02.berlin AAAA fd65:9abf:efb0:7::a<br />
;<br />
; Zone records<br />
;<br />
@ 600 A 192.168.6.10<br />
@ 600 AAAA fd65:9abf:efb0:6::a<br />
;<br />
; Delegated sub-zone: _msdcs.foo.local.<br />
;<br />
_msdcs NS win-richruqv1eb.foo.local.<br />
; End delegation<br />
_gc._tcp.Default-First-Site-Name._sites 600 SRV 0 100 3268<br />
dc01.foo.local.<br />
_kerberos._tcp.Default-First-Site-Name._sites 600 SRV 0 100 88<br />
dc01.foo.local.<br />
_ldap._tcp.Default-First-Site-Name._sites 600 SRV 0 100 389<br />
dc01.foo.local.<br />
_gc._tcp 600 SRV 0 100 3268 dc01.foo.local.<br />
_kerberos._tcp 600 SRV 0 100 88 dc01.foo.local.<br />
_kpasswd._tcp 600 SRV 0 100 464 dc01.foo.local.<br />
_ldap._tcp 600 SRV 0 100 389 dc01.foo.local.<br />
_kerberos._udp 600 SRV 0 100 88 dc01.foo.local.<br />
_kpasswd._udp 600 SRV 0 100 464 dc01.foo.local.
;<br />
; Delegated sub-zone: berlin.foo.local.<br />
;<br />
berlin NS dc02.berlin.foo.local.<br />
DC02.berlin A 192.168.6.12<br />
DC02.berlin A 192.168.7.10<br />
DC02.berlin AAAA fd65:9abf:efb0:6::c<br />
DC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5<br />
DC02.berlin AAAA fd65:9abf:efb0:7::a<br />
; End delegation<br />
dc01 A 192.168.6.10<br />
AAAA fd65:9abf:efb0:6::a<br />
DNS01 1200 A 192.168.6.11<br />
1200 AAAA fd65:9abf:efb0:6::b<br />
DomainDnsZones 600 A 192.168.6.10<br />
600 AAAA fd65:9abf:efb0:6::a<br />
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones 600 SRV 0<br />
100 389 dc01.foo.local.<br />
_ldap._tcp.DomainDnsZones 600 SRV 0 100 389 dc01.foo.local.<br />
ws01.bar.local.DomainDnsZones A 192.168.6.10<br />
ForestDnsZones 600 A 192.168.6.10<br />
600 A 192.168.7.10<br />
600 A 192.168.6.12<br />
600 AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5<br />
600 AAAA fd65:9abf:efb0:6::a<br />
600 AAAA fd65:9abf:efb0:7::a<br />
600 AAAA fd65:9abf:efb0:6::c<br />
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones 600 SRV 0<br />
100 389 dc02.berlin.foo.local.<br />
600 SRV 0 100 389 dc01.foo.local.<br />
_ldap._tcp.ForestDnsZones 600 SRV 0 100 389 dc02.berlin.foo.local.<br />
600 SRV 0 100 389 dc01.foo.local.<br />
win-richruqv1eb 1200 A 192.168.6.10<br />
1200 AAAA fd65:9abf:efb0:1::a<br />
www CNAME .
DNS-Client Konfiguration<br />
DNS-Suffix und Computername<br />
DNS-Suffix hat die Aufgabe den eigenen Hosteintrag automatisch in der DNS-Zone<br />
zu registrieren.<br />
DNS-Suffix wird automatisch DNS-Abfragen angefügt die noch kein Suffix haben um<br />
einen FQDN zu erhalten.<br />
Computername.DNS-Suffix<br />
Ws42.example.org<br />
$hostname<br />
$netdom /NewName:<br />
$netdom join /Domain:<br />
/UserD: /PasswordD:<br />
$sysdm.cpl -> Systemeigenschaften<br />
$sysdm.cpl -> Systemeigenschaften -> Computername -> Ändern -><br />
Computername- bzw. –domänenänderungen -> Weiter -> DNS-Suffix und NetBIOS-<br />
Computername<br />
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS<br />
GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk<br />
-> DNS-Client<br />
Primäre und verbindungsspezifisches DNS-Suffixe anhängen erlaubt FQDN in<br />
Anfragen zu senden.<br />
Primäres DNS-Suffix in <strong>einer</strong> AD-Domäne ist automatisch der Domänenname.<br />
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -><br />
Primäre und verbindungsspezifisches DNS-Suffixe<br />
Dieses DNS-Suffix anhängen (in Reihenfolge) oder auch DNS-Suffixlisten<br />
erweitern die DNS-Suchfähigkeit.<br />
DNS-Suffixlisten stellt dem DNS-Client eine Liste von DNS-Suffixes zur Verfügung<br />
die dem nicht qualifizierten Namen hinzugefügt werden.<br />
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -><br />
Diese DNS-Suffixe anhängen<br />
Übergeordnete Suffixe des primären DNS-Suffixes anhängen ermöglicht die<br />
erweiterte Suche: nachdem zuerst das primäre DNS-Suffix, dann das<br />
verbindungsspezifische Suffix angehängt wurde, folgt das übergeordnete Suffix<br />
(example.com) des primären DNS-Suffix (berlin.example.com) um einen<br />
FQDN zu bekommen.
DNS-Suffix für diese Verbindung: ist ein verbindungsspezifisch DNS-Suffix<br />
(connection-specific suffix) welches mit <strong>einer</strong> bestimmten Netzwerkverbindung<br />
verknüpft ist.<br />
Verbindungsspezifische DNS-Suffix sind zum Beispiel nützlich um getrennte<br />
Netzwerkadapter die in zwei Subnetzen münden voneinander zu unterscheiden.<br />
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -><br />
DNS-Suffix für diese Verbindung:<br />
DNS dynamische Registrierungen und Updates konfigurieren von A- (Host), AAAA-<br />
(IPv6-Host) und PTR-Ressourceneinträgen (Zeiger) die von einem DNS-Client oder<br />
DHCP-Server im Namen des Clients übergeben werden.<br />
DNS dynamische Updates können nur stattfinden, wenn der Client mit einem<br />
primären oder verbindungsspezifischen DNS-Suffix konfiguriert ist, das dem Namen<br />
der Zone entspricht, die vom bevorzugten DNS-Server gehostet wird. Der DNS-<br />
Server muss natürlich auch dynamische Updates zulassen.<br />
$ipconfig /renew<br />
DNS Standardverhalten bei Clientupdates für Zeigereinträge (PTR) ist dasselbe wie<br />
für Hosteinträge (A oder AAAA): DNS-Clients mit statisch zugewiesener Adresse<br />
versuchen immer, ihre Zeigereinträge beim DNS-Server zu registrieren und zu<br />
aktualisieren, wenn Adressen dieser Verbindung in DNS registrieren aktiviert ist.<br />
$ipconfig /registerdns<br />
Adressen dieser Verbindung in DNS registrieren aktiviert ist, versucht der Client,<br />
A-, AAAA- und PTR-Einträge bei seinem bevorzugten DNS-Server zu registrieren.<br />
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -><br />
Adressen dieser Verbindung in DNS registrieren<br />
$ipconfig /registerdns<br />
DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist,<br />
versucht der lokale Computer, A-, AAAA- und PTR-Einträge für alle<br />
verbindungsspezifischen DNS-Suffixe zu registrieren.<br />
Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -><br />
DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden<br />
$ipconfig /registerdns
DNS-Clientcache wird auch als DNS-Auflösungscache bezeichnet. Sobald der<br />
DNS-Clientdienst gestartet ist werden automatisch einträge der HOSTS-Datei dem<br />
DNS-Cache hinzugefügt.<br />
DNS-Clientcache enthält neben Einträgen aus der HOSTS-Datei Antworten auf<br />
Abfragen die an den konfigurierten DNS-Server gerichtet wurden.<br />
HOSTS-Datei wird automatisch eingelesen wenn Einträge verändert werden.<br />
%WinDir%\System32\Drivers\etc\HOSTS<br />
$ipconfig<br />
$ipconfig /flushdns<br />
$ipconfig /registerdns<br />
$ipconfig /displaydns<br />
$netsh interface ip(v4|v6) set dns (static|<br />
dhcp)<br />
$netsh interface ip(v4|v6) add dns (static|<br />
dhcp)<br />
$netsh interface ipv4 add dns “LAN-Verbindung static 10.0.0.1<br />
$netsh interface ipv4 add dnsserver „LAN-Verbindung“ static<br />
192.168.0.254 Index=1<br />
$mmc services.msc -> DNS-Clientdienst -> restart<br />
Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -><br />
Eigenschaften -> Internet Protokoll IP(v4|v6) -> Erweitert -> DNS
DNS-Server Konfiguration<br />
DNS-Server die auf Domänencontroller installiert werden, haben den Vorteil, dass<br />
die Zone von Features wie dynamischen Updates und Active Directory-Replikationen<br />
profitiert.<br />
DNS-Server werden am besten gleich bei der Installation des Domänencontrollers<br />
mitinstalliert.<br />
Beim Hochstufen des Domänencontrollers gibt man den FQDN der Gesamtstruktur-<br />
Stammdomäne an. Die FQDN gibt sowohl der Active Directory-Domäne als auch der<br />
DNS-Zone ihren Namen.<br />
$dnscmd<br />
$dnscmd /info<br />
$dnscmd /enumdirectorypartitions<br />
$mmc dnsmgmt.msc<br />
$dcdiag /test:replications<br />
$repadmin /showrepl<br />
$dig<br />
Dcpromo kann automatisch einen lokal gehosteten DNS-Server mit <strong>einer</strong> Forward-<br />
Lookupzone für die Domäne konfigurieren.<br />
Dcpromo Antwortdateien können auf <strong>Windows</strong> Server 2008 erstellt werden, mit Hilfe<br />
der letzten Seite (Zusammenfassung) des Assistenten, bevor die Installation<br />
tatsächlich durchgeführt wird.<br />
$dcpromo<br />
$dcpromo /unattend:<br />
DNS-Server auf Mitgliedservern oder ohne AD DS.<br />
DNS-Server ohne AD DS müssen manuell, mit mindestens <strong>einer</strong> Forward-<br />
Lookupzone konfiguriert werden.<br />
DNS-Server für Zwischenspeicherung (caching-only server) hosten selbst überhaupt<br />
keine Zone und sind daher für keine bestimmte Domäne autorisiert. Sie dienen als<br />
gemeinsamer DNS-Servercache für Clients.<br />
DNS-Server für Zwischenspeicherung können die Reaktionszeiten zwischen<br />
verschiedenen Standorten erhöhen.<br />
$mmc servermanager.msc -> Assistenten “Rollen hinzufügen“ -> DNS-Server<br />
$dcpromo (Domaincontroller fügen automatisch die DNS-Rolle hinzu)<br />
$start /w ocsetup DNS-Server-Core-Role<br />
$start /w ocsetup DNS-Server-Core-Role /uninstall<br />
DNS-Manager kann ebenfalls Verbindung mit anderen DNS-Servern (Server-Core-<br />
Installationen) aufbauen.<br />
$mmc dnsmgmt.msc<br />
$dnscmd . /ZoneUpdateDS (Zoneupdate AD-integrierte-Zone)<br />
$dnscmd . /ZoneRefresh (Zoneupdate sekundäre-Zone)
DNS-Zonen<br />
DNS-Zonen sind Datenbanken, deren Einträge Namen mit Adressen verknüpfen,<br />
innerhalb eines Abschnitts des DNS-Namespaces.<br />
DNS-Zonen die lokal gehostet sind, dienen dazu DNS-Anfragen autorisierend zu<br />
beantworten.<br />
DNS-Zonen die nicht lokal gehostet sind, kann ein DNS-Server nicht autorisierend<br />
aus seinem Zwischenspeicher beantworten oder unmittelbar von einem weiteren<br />
DNS-Server beziehen.<br />
DNS-Namespaces die für eindeutige Domänennamen (example.org) definiert sind,<br />
können nur aus <strong>einer</strong> einzigen autorisierenden Quelle für Zonendaten stammen.<br />
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Neue Zone<br />
• Zonentyp<br />
o primäre Zone ist der wichtigste DNS-Zonentyp. Primäre Zonen stellen<br />
les- und schreibbare Quelldaten zu Verfügung. Dies ermöglicht dem<br />
lokalen DNS-Server, DNS-Abfragen über einen Abschnitt des DNS-<br />
Namespace autorisierend zu beantworten.<br />
Primäre Zonen Masterexemplare der Zonendaten werden in <strong>einer</strong><br />
lokalen Datei (%SystemRoot%\System32\Dns\.dns) oder<br />
in AS DS gespeichert.<br />
o sekundäre Zone stellt eine autorisierende, schreibgeschützte Kopie<br />
<strong>einer</strong> primären Zone oder <strong>einer</strong> anderen sekundären Zone zur<br />
Verfügung.<br />
Sekundäre Zonen bieten die Möglichkeit, DNS-Abfrageverkehr zu<br />
delegieren. Falls der Zonenserver, der eine primäre Zone hostet<br />
ausfällt, kann eine sekundäre Zone die Namensauflösung für den<br />
Namespace übernehmen, bis der primäre Server wieder online ist.<br />
Quellzonen, von denen sekundäre Zonen ihre Informationen erhalten,<br />
werden als Master bezeichnet.<br />
Zonenübertragung (zone transfer) gewährleistet die regelmäßige<br />
Aktualisierung und Kopie der primären Daten.<br />
Master kann eine andere sekundäre Zone oder eine primäre Zone sein.<br />
Master die von <strong>einer</strong> sekundären Zone stammen, können nicht in der<br />
AD DS abgespeichert werden.<br />
o Stubzone ähnelt <strong>einer</strong> sekundären Zone, enthält aber nur<br />
Ressourceneinträge, um die autorisierenden DNS-Server für die<br />
Masterzone zu identifizieren.<br />
Stubzonen werden oft eingesetzt, um eine übergeordnete Zone<br />
(example.com) zu ermöglichen, eine aktualisierte Liste der<br />
Namenserver zu verwalten, die in delegierten untergeordneten Zonen<br />
(berlin.example.com) zur Verfügung stehen.<br />
Stubzonen können auch verwendet werden um Namensauflösungen zu<br />
beschleunigen und die DNS-Administration zu vereinfachen.<br />
o Zone in Active Directory speichern wird als Option angeboten, wenn<br />
eine neue primäre oder Stubzone auf einem Domänencontroller erstellt<br />
wird.
Active Directory-Zonenreplikationsbereich stellt detaillierte Optionen für<br />
die Replikation zu Verfügung. Meistens sorgt die Option dafür, dass<br />
Zonenübertragung an sekundäre Server nicht konfiguriert werden<br />
muss.<br />
Die Integration in eine AD hat mehrere Vorteile:<br />
1. AD führt die Zonenreplikation durch, was dazu führt, dass kein<br />
separater Mechanismus zur DNS-Zonenübertragung zwischen<br />
primären und sekundären Servern konfiguriert werden muss.<br />
Fehlertoleranz und bessere Leistung aufgrund der Verfügbarkeit<br />
mehrerer primärer Server mit Lese- und Schreibzugriff, weil<br />
Multimasterreplikationen im Netzwerk zur Verfügung stehen.<br />
2. AD ermöglicht, einzelne Eigenschaften von<br />
Ressourceneinträgen zu aktualisieren und zwischen DNS-<br />
Servern zu replizieren. Dies verhindert das ganze<br />
Ressourceneinträge aktualisiert werden müssen, was<br />
Netzwerkressourcen schont.<br />
3. AD-integrierte Zonen haben den Vorteil, dass sie Sicherheit für<br />
dynamische Updates vorhalten, was mit der Option<br />
Dynamisches Update konfiguriert wird.<br />
o Standardzone (standard zone) werden gewählt, wenn die Option Zone<br />
in Active Directory Speichern deaktiviert ist auf einem<br />
Domänencontroller.<br />
Standardzonen sind die einzige Option, für eine neue Zone, wenn der<br />
Server kein Domänencontroller ist.<br />
Standardzonen werden in Textdateien auf dem lokalen Server<br />
gespeichert.<br />
Standardzonen können nur ein Exemplar mit Lese- und Schreibzugriff<br />
konfigurieren. Alle anderen Kopien der Zone (sekundäre Zonen) sind<br />
schreibgeschützt.<br />
• Active Directory-Zonenreplikationsbereich legt fest welche<br />
Domänencontroller die Zone speichern. Die Auswahl Wie sollen Zonendaten<br />
repliziert werden? steht nur zur Verfügung wenn die Zone im Active Directory<br />
gespeichert wird:<br />
o Auf allen DNS-Servern in dieser Gesamtstruktur: <br />
o Auf allen DNS-Servern in dieser Domäne: <br />
o Auf allen Domänencontrollern in dieser Domäne (<strong>Windows</strong> 2000-<br />
Kompatibilität): <br />
o Auf allen Domänencontrollern, die im Bereich dieser<br />
Verzeichnispartition angegeben werden: <br />
• Forward- oder Reverse-Lookupzone legt fest ob die neue Zone als<br />
Forward- oder Reverse-Lookupzone arbeiten soll.<br />
o Forward-Lookupzone weist vollqualifizierten Domänennamen (Fully<br />
Qualified Domain Name, FQDN) die IP-Adresse zu.<br />
Forward-Lookupzonen bekommen den Namen der DNS-Domäne<br />
(example.com), für deren Name der Auflösungsdienst bereitgestellt<br />
wird.<br />
Forward-Lookupzonen-Einträge sind Host oder A (IPv4) bzw AAAA<br />
(quadrible A, IPv6) –Einträge (records oder entries):<br />
example.com<br />
ws42 A 192.168.1.182
o Reverse-Lookupzone weist IP-Adressen FQDN zu und beantworten<br />
somit Anfragen mit denen IP-Adressen in FQDN aufgelöst werden.<br />
Reverse-Lookupzonen bekommen den Namen der ersten drei Oktette<br />
des Adressraums (1.168.192), für den der Reverse-<br />
Namensauflösungsdienst bereitgestellt wird plus das abschließende<br />
in-addr.arpa. Also 1.168.192.addr.arpa.<br />
Reverse-Lookupzonen-Einträge sind Zeiger (pointer) oder PTR-<br />
Einträge:<br />
1.168.192.in-addr.arpa<br />
182 PTR ws42.example.com<br />
• Zonenname legt den Namen der Forward-Lookupzone fest (Der Name der<br />
Reverse-Lookupzone leitet sich automatisch aus dem IP-Adressbereich ab,<br />
für den der Server autorisiert ist).<br />
Falls die Zone, die Namensauflösung für eine Active Directory-Domäne zu<br />
Verfügung stellt, sollte derselbe Namen verwendet werden wie die Active<br />
Directory-Domäne.
Wenn die Organisation zwei AD-Domänen namens example.com und<br />
berlin.example.com hat, sollten zwei Zonen mit eben diesen Namen<br />
eingerichtet werden.<br />
• Dynamisches Update erlaubt DNS-Clientcomputern ihre Ressourceneinträge<br />
automatisch zu registrieren und dynamisch zu aktualisieren.<br />
Standardmäßig versuchen DNS-Clients, die mit statischen IP-Adressen<br />
konfiguriert sind, Host- (A oder AAAA) und Zeigereinträge (PTR) zu<br />
aktualisieren. DNS-Clients, die auch DHCP-Clients sind, versuchen nur<br />
Hosteinträge zu aktualisieren. Der DHCP-Server in<br />
Arbeitsgruppenumgebungen aktualisiert bei jeder IP-Konfiguration den<br />
Zeigereintrag erneut.<br />
Dynamische Updates funktionieren nur, wenn die Zonen so konfiguriert sind,<br />
dass sie dynamische Updates auch annehmen. Zwei Typen von dynamischen<br />
Updates können erlaubt werden:<br />
o Sichere Updates bei denen nur Registrierungen von Computern<br />
zugelassen sind, die AD-Domänenmitglieder sind, und Updates nur von<br />
dem Computer, der die ursprüngliche Registrierung durchgeführt hat.<br />
o Unsichere Updates erlaubt Updates von allen Computern.<br />
Forward-Lookupzone GlobalNames-Zone ist eine spezielle Zone die <strong>Windows</strong><br />
Server 2008 zu Verfügung stellt.<br />
GlobalNames-Zone ermöglicht allen DNS-Clients über Hostnamen, wie zum<br />
Beispiel dev01, Verbindung zu Netzwerkessourcen herzustellen, auch in anderen<br />
Subnetzen.<br />
GlobalNames-Zone ist nützlich, wenn die Standardsuchliste für DNS-Suffixe bei<br />
DNS-Clients nicht erlaubt, über den reinen Hostnamen (Kurznamen) eine<br />
Verbindung mit <strong>einer</strong> Netzwerkressource herzustellen.<br />
GlobalNames-Zone ist standardmäßig nicht aktiviert.<br />
GlobalNames kann dazu genutzt werden, oft verwendete Netzwerkressourcen mit<br />
statischen IP-Adressen über den Hostnamen erreichbar zu machen ohne WINS.<br />
GlobalNames beinhaltet normal Alias-Ressourceneinträge.<br />
GlobalNames sind nur unter <strong>Windows</strong> Server 2008 kompatibel. Sie können nicht auf<br />
Server repliziert werden, die unter älteren <strong>Windows</strong>-Server-Versionen laufen.<br />
GlobalNames-Zone Bereitstellen:<br />
• Aktivieren der Unterstützung für die GlobalNames-Zone muss auf jedem<br />
DNS-Server ausgeführt werden auf dem die Zone repliziert wird.<br />
$dnscmd . /config /enableglobalnamessupport 1<br />
• Erstellen der Zone GlobalNames unter der Forward-Lookupzone auf dem<br />
Domänencontroller.<br />
• Füllen der GlobalNames-Zone mit CNAME-Einträgen wobei jeder CNAME<br />
auf einen Host-Eintrag in <strong>einer</strong> anderen Zone zeigen muss.
DNS Ressourceneinträge<br />
• Autoritätsursprung (Start Of Authority, SOA)<br />
• Nameserver (NS)<br />
• Host (Address, A oder AAAA)<br />
• Alias (Canonical Name, CNAME)<br />
• Mail-Exchanger (MX)<br />
• Zeiger (Pointer, PTS)<br />
• Dienstidentifizierung (Service, SRV)<br />
• Hostinfo (HINFO)<br />
• Bekannter Dienst (Well Known Service, WKS)<br />
• Verantwortlicher (Responsible Person, RP)<br />
• Kommentare (TXT)<br />
$mmc dnsmgmt.msc<br />
$nslookup<br />
$nslookup> ls <br />
SOA-Einträge<br />
SOA-Ressourceneinträge (start of authority) sind DNS-Einträge, anhand ein DNS-<br />
Server grundlegende und autorisierende Eigenschaften für die Zone festlegt.<br />
SOA-Ressourceneinträge legen auch fest wie oft Zonenübertragungen zwischen<br />
primären und sekundären Servern durchgeführt werden.<br />
@ IN SOA dns01.example.com hostmaster.example.com (<br />
5099 ; serial number<br />
3600 ; refresh (1 hour)<br />
600 ; retry (10 mins)<br />
860400 ; expire (1 day)<br />
60 ) ; minimum TTL (1 min)<br />
$mmc dnsmgmt.msc SOA-Eintrag -> Eigenschaftsdialogfeld -> Autoritätssprung<br />
(SOA)<br />
• Seriennummer ist die Version der Zonendatei. Die Seriennummer wird jedes<br />
Mal hochgezählt, wenn sich ein Ressourceneintrag in der Zone ändert oder<br />
der Wert von Hand, via Inkrement, erhöht wird.<br />
Falls Zonen so konfiguriert sind, dass sie Zonenübertragungen an einen oder<br />
mehrere sekundäre Server durchführen, rufen die sekundären Server<br />
regelmäßig die Seriennummer der Zone beim Masterserver ab. Diese Abfrage<br />
wird als SOA-Abfrage (SOA query) bezeichnet. Wird bei einem SOA query<br />
festgestellt, dass die Seriennummer der Masterzone der Seriennummer<br />
entspricht, die auf dem sekundären Server gespeichert ist, wird keine<br />
Übertragung durchgeführt. Ist die Zone auf dem Masterserver dagegen höher<br />
als auf dem sekundären Server, der die Abfrage schickt, leitet der sekundäre<br />
Server eine Übertragung ein.<br />
Inkrement erzwingt eine Zonenübertragung.
• Primärer Server enthält den vollständigen Computernamen des primären<br />
DNS-Servers der Zone. Dieser Name muss mit einem Punkt enden.<br />
• Verantwortliche Person gibt den Namen eines RP-Ressourceneintrages<br />
(Responsible Person) an, der den Domänenmailboxnamen eines<br />
Zonenadministrators enthält. Der Namen des Eintrages, der in dieses Feld<br />
eingegeben wird, muss immer mit einem Punkt enden. In den<br />
Standardeinstellungen wird in diesem Feld der Name des hostmaster<br />
eingetragen.<br />
• Aktualisierungsintervall legt fest wie lang ein sekundärer DNS-Server<br />
wartet, bevor er vom Masterserver für eine Zonenerneuerung abgefragt wird.<br />
Ist der Aktualisierungsintervall abgelaufen, fordert der sekundäre DNS-Server<br />
vom Masterserver eine Kopie des aktuellen SOA-Ressourceneintrags für die<br />
Zone ab. Der Masterserver beantwortet die SOA-Abfrage und der sekundäre<br />
DNS-Server vergleicht anschließend die Seriennummer des aktuellen SOA-<br />
Eintrages des Quellservers mit der Seriennummer seines lokalen SOA-<br />
Eintrages. Sind die Seriennummern verschieden, fordert der sekundäre DNS-<br />
Server vom primären DNS-Server eine Zonenübertragung an.<br />
Standardwert für dieses Intervall beträgt 15 Minuten.<br />
• Wiederholungsintervall legt fest, wie lang ein sekundärer DNS-Server<br />
wartet, bevor eine fehlgeschlagene Zonenübertragung erneut durchgeführt<br />
wird. Normalerweise ist diese Zeitspanne kürzer als das<br />
Aktualisierungsintervall.<br />
Standardwert beträgt 10 Minuten.<br />
• Läuft ab nach legt fest, wie lang ein sekundärer DNS-Server, der keine<br />
Verbindung zu seinem Masterserver hat, die Beantwortung von DNS-<br />
Clientabfragen fortsetzt. Nach Ablauf dieser Zeitspanne werden Daten als<br />
nicht zuverlässig betrachtet.<br />
Standardwert ist 1 Stunde.<br />
• Minimale Gültigkeitsdauer (Standard) bestimmt den Standard-TTL-Wert,<br />
der für alle Ressourceneinträge in der Zone wirksam ist.<br />
Standardwert beträgt 1 Stunde.<br />
TTL-Werte sind für Ressourceneinträge innerhalb der eigenen autorisierenden<br />
Zone nicht relevant.<br />
TTL-Wert legt fest, wie lange Ressourceneinträge auf nicht autorisierenden<br />
Servern zwischengespeichert wird.<br />
DNS-Server, die eine Abfrage zwischengespeichert haben, verwerfen den<br />
Eintrag, sobald der TTL-Wert des Eintrags verstrichen ist.<br />
• TTL für diesen Eintrag legt TTL-Wert des vorhandenen SOA-<br />
Ressourceneintrags fest.<br />
TTL für diesen Eintrag, setzt den Standardwert im Feld Minimale<br />
Gültigkeitsdauer (Standard) außer kraft.
Namensservereinträge (NS)<br />
Namenservereintrag (NS) gibt einen Server an, der für eine bestimmte Zone<br />
autorisierend ist.<br />
Namenservereinträge werden standardmäßig, unter <strong>Windows</strong> Server 2008, für alle<br />
Server die eine primären Kopien <strong>einer</strong> Active Directory-integrierten Zone hosten,<br />
eingetragen. Beim erstellen <strong>einer</strong> primären Standardzone, erscheint standardmäßig<br />
ein NS-Eintrag für den lokalen Server in der Zone.<br />
Namenservereinträge für sekundäre Zonen, die in <strong>einer</strong> primären Kopie der Zone<br />
gehostet werden, müssen manuell erstellt werden.<br />
@ dns01.example.com.<br />
@ steht für die Zone, die vom SOA-Eintrag in derselben Zonendatei definiert wird.<br />
Der gesamte Eintrag, weist der Domäne example.com den DNS-Server<br />
dns01.example.com zu.<br />
$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver<br />
$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver -><br />
Hinzufügen -> FQDN + IP<br />
Host-Ressourceneinträge (A oder AAAA)<br />
Host-Ressourceneinträge werden benutzt um Computer- oder Gerätenamen <strong>einer</strong><br />
IP-Adresse zuzuordnen.<br />
Host-Ressourceneinträge sind im Normalfall der größte Teil der Ressourceneinträge<br />
in <strong>einer</strong> Zonendatenbank.<br />
Host-Ressourceneinträge manuell hinzuzufügen, ist notwendig wenn Computer- oder<br />
Geräte sich nicht automatisch eintragen können. dev01 könnte zum Beispiel ein<br />
BSD sein und www ein Webserver hinter <strong>einer</strong> Firwall.<br />
Host-Ressourceneinträge werden in die Standardzonendatei (zum Beispiel<br />
example.com.dns) eingetragen.<br />
;<br />
; Zoneneinträge<br />
;<br />
dev01 A 192.168.0.42<br />
AAAA fd00:0:0:5::8<br />
www A <strong>70</strong>.32.6.212<br />
AAAA fd00:0:0:5::10<br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [TTL] A
Alias-Ressourceneinträge (CNAME)<br />
Alias-Ressourceneinträge (CNAME) werden auch als kanonische Namen<br />
bezeichnet.<br />
Alias-Ressourceneinträge erlauben, mehrere Namen auf denselben Host zu<br />
verweisen.<br />
www CNAME dev01.example.com<br />
ftp CNAME ftp01.example.com<br />
ftp CNAME ftp02.example.com<br />
ftp01 CNAME ber.example.com<br />
ftp02 CNAME ffm.example.com<br />
CNAME-Ressourceneinträge werden bei folgenden Szenarien empfohlen:<br />
• Hosts deren A-Ressourceneintrag umbenannte werden muss.<br />
• Generische Namen wie ftp, die in eine Gruppe einzelner Computer aufgelöst<br />
werden müssen.<br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [Ttl] CNAME <br />
MX-Ressourceneinträge<br />
Mail-Exchange-Ressourceneinträge (MX) werden von E-Mail-Anwendungen benutzt,<br />
um Mailserver innerhalb <strong>einer</strong> Zone zu finden.<br />
MX-Ressourceneinträge können Domänennamen wie example.com, die in <strong>einer</strong> E-<br />
Mail-Adresse wie zum Beispiel joe@example.com angegeben werden, dem A-<br />
Eintrag eines Gerätes zuordnen, welches den Mail-Server hostet.<br />
MX-Ressourceneinträge werden oft mehrfach benannt um eine Fehlertoleranz zu<br />
gewährleisten.<br />
MX-Ressourceneinträge enthalten einen Präferenzwert an dritter Stelle, die die<br />
Priorität des zugehörigen Servers festlegt. Je kl<strong>einer</strong> der Wert, desto größer die<br />
Priorität.<br />
@ MX 1 mail01.example.com<br />
@ MX 10 mail02.example.com<br />
@ MX 20 mail03.example.com<br />
$dnscmd /RecordAdd <br />
[/Aging] [Ttl] MX
SRV-Ressourceneinträge<br />
Dienstidentifizierungs-Ressourceneinträge (SRV) werden benutzt, um die Position<br />
bestimmter Dienste in der Domäne anzugeben.<br />
SRV-Ressourceneinträge nutzen Clientanwendungen, die SRV-fähig sind, um über<br />
DNS gesuchte Anwendungserver abzurufen.<br />
_ldap._tcp SRV 0 0 389 dc01.example.com.<br />
SRV 10 0 389 dc02.example.com.<br />
SRV 5 0 389 dc03.example.com.<br />
SRV-Ressourceneinträge legen an der dritten Stelle die Priorität fest, 0 ist die<br />
höchste Priorität.<br />
SRV-Ressourceneinträge legen an der vierten Stelle die Gewichtung für den<br />
Lastenausgleich zwischen Servern mit gleicher Priorität fest.<br />
SRV-Ressourceneinträge legen an der fünften Stelle den Port des Dienstes fest.<br />
<strong>Windows</strong> Server 2008-Active Directory ist ein Beispiel für eine SRV-fähige<br />
Anwendung. Der Anmeldedienst sucht mithilfe von SRV-Einträgen<br />
Domänencontroller in <strong>einer</strong> Domäne, indem er in der Domäne nach dem LDAP-<br />
Dienst (Lightweight Directory Access Protocol) sucht. Beispiel <strong>einer</strong> solchen DNS-<br />
Client-SRV-Abfrage wäre:<br />
_ldap._tcp.example.com.<br />
DNS-Server-SRV-Antwort wäre (nach oberen Beispiel):<br />
ldap://dc01.example.com:389.<br />
ldap://dc03.example.com:389.<br />
ldap://dc02.example.com:389.<br />
PTR-Ressourceneinträge<br />
Zeiger-Ressourceneinträge werden für Reverse-Lookupzonen benutzt, um Reverse-<br />
Lookups zu ermöglichen.<br />
PTR-Ressourceneinträge werden für Abfragen genutzt, die eine IP-Adresse in den<br />
zugehörigen Hostnamen oder FQDN auflöst. Reverse-Lookups werden in Zonen<br />
durchgeführt, die unterhalb der Domäne in-addr.arpa liegen.<br />
0.168.192.in-addr.arpa<br />
42 PTR dev01.example.com.<br />
6.32.<strong>70</strong>.in-addr.arpa<br />
212 PTR www.example.com.<br />
PTR-Ressourceneinträge werden in die entsprechende Zonendatei eingetragen. Für<br />
das Klasse-B-Netz 192.168.0.0, heißt die Zonendatei 0.168.192.inaddr.arpa,<br />
für das Klasse-C-Netz <strong>70</strong>.32.6.0, heißt die Zonendatei<br />
6.32.<strong>70</strong>.in-addr.arpa.<br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [Ttl] PTR
WINS-Ressourceneinträge<br />
WINS-Server können für Forward- und Reverse-Lookupzonen angegeben werden.<br />
Daraufhin wird ein spezieller WINS-Ressourceneintrag bzw. ein WINS-R-<br />
Ressourceneintrag zur Zone hinzugefügt der auf den WINS-Server zeigt.<br />
WINS-Server wird vom DNS-Server kontaktiert nachdem er eine DNS-Antwort in<br />
seinen Üblichen Quellen (Cache, lokale Zonendaten, andere-DNS-Server) nicht<br />
finden konnte.<br />
$mmc dnsmgmt.msc Zone -> Reverse- oder Forward-Lookupzone -> Eigenschaften<br />
-> WINS<br />
$dnscmd<br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [Ttl] CNAME <br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [TTL] A <br />
$dnscmd /RecordAdd <br />
[/Aging] [Ttl] MX <br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [Ttl] PTR <br />
$dnscmd /RecordAdd <br />
[/Aging] [/OpenAcl] [Ttl] <br />
$dnscmd /RecordDelete 10.in-addr.arpa 127.2.3 PTR<br />
$dnscmd /RecordAdd 196.168.in-addr.arpa 3.10 PTR<br />
$dnscmd /RecordAdd foo.local berlin A 192.168.3.1<br />
$dnscmd dc02.foo.local /RecordAdd ffm.foo.local dns05<br />
192.168.5.254
Alterung und Aufräumvorgänge<br />
Um das Alter von dynamisch registrierten Ressourceneinträgen zu bestimmen,<br />
verwendet DNS Zeitstempel.<br />
Alterung (aging) und Aufräumvorgänge (scavenging) hängen unmittelbar<br />
zusammen.<br />
Veraltete dynamische Ressourceneinträge, Ressourceneinträge bei denen der<br />
Zeitstempel abgelaufen ist, werden mit einem Aufräumvorgang gelöscht.<br />
Standardmäßig sind Alterung und Aufräumvorgang deaktiviert.<br />
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Alterung/Aufräumvorgänge<br />
für alle Zonen festlegen…<br />
$mmc dnsmgmt.msc -> Zone -> Alterung/Aufräumvorgänge für alle Zonen<br />
festlegen…<br />
Wichtig ist das sowohl auf der DNS-Server-Ebene als auch auf der Zonen-Ebene die<br />
Option aktiviert sein muss. Da Alterung und Aufräumvorgänge, wenn man diese nur<br />
auf Server-Ebene aktiviert, nur für neue Zonen gilt, außer man aktiviert Diese<br />
Einstellung auf alle vorhandenen Active Directory-integrierten Zonen anwenden.<br />
Zeistempelwerte der Ressourceneinträge nutzt der DNS-Server für Alterung und<br />
Aufräumvorgang.<br />
Zeitstempel sind bei Active Directory-integrierten dynamisch registrierten Einträgen<br />
automatisch aktiviert.<br />
Zeitstempel sind bei dynamisch registrierten Einträgen in primären Standardzonen<br />
erst aktiviert wenn Alterung/Aufräumvorgang für alle Zonen festlegen… aktiviert<br />
wurde.<br />
Zeitstempel bei manuell erstellten Ressourceneinträgen sind immer 0.<br />
Zeitstempel 0 bedeutet das der Ressourceneintrag nicht altert.<br />
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung…<br />
Eigenschaften für Serveralterung/Aufräumvorgänge:<br />
• Intervalls für Ändern des Nichtaktualisierung ist das Intervall in dem ein<br />
Server oder eine Zone die Aktualisierung eines Zeitstempels verweigert.<br />
Standardwert ist 7 Tage.<br />
• Ändern des Aktualisierungsintervalls ist das Intervall in dem ein Server<br />
oder eine Zone nicht aufgeräumt wird und die Aktualisierung eines<br />
Zeitstempels erlaubt ist.<br />
Standardwert ist 7 Tage.<br />
Die Standardeinstellungen bedeuten also, dass dynamische registrierte<br />
Ressourceneinträge nach 14 Tagen aufgeräumt werden.<br />
Das Aktualisierungsintervall muss stets gleichgroß oder größer sein als das<br />
Nichtaktualisierungsintervall.<br />
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung… -><br />
Eigenschaften für Serveralterung/Aufräumvoränge
Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren:<br />
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften -> Erweitert -><br />
Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren<br />
Veraltete Ressourceneinträge aufräumen:<br />
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Veraltete<br />
Ressourceneinträge aufräumen<br />
DNS-Zugriffssteuerungslisten (Discretionary Access Control List, DACL) der DNS-<br />
Zonen sind in den Active Directory-Domänendiensten (Active Directory Domain<br />
Services, AD DS) gespeichert.<br />
DNS-DACL können die Berechtigungen für die Active Directory-Benutzer und<br />
-Gruppen steuern, die DNS-Zonen steuern dürfen.<br />
DNS-DACL-Verwaltung verlangt mindestens Mitglied der Gruppe DnsAdmins oder<br />
Domänen-Admins in AD DS oder <strong>einer</strong> entsprechenden Gruppe zu sein.
Zonenreplikation und Zonenübertragung Konfiguration<br />
Zonenreplikation (zone replication) ist die Synchronisation von Zonendaten für<br />
Active Directory-integrierte Zonen.<br />
Active Directory-integrierte Zonen können nur auf Domänencontrollern installiert<br />
werden, bei denen die Serverrolle DNS-Server installiert ist.<br />
Active Directory-integrierte Zonen verfügen über eine Multimaster-Datenreplikation,<br />
die einfach zu konfigurieren ist und mehr Sicherheit und Effizienz bietet, im<br />
Gegensatz zu Standardzonen.<br />
Active Directory-integrierte Zonen mit integrierter Speicherung können DNS-Clients<br />
Updates auf die komplette Domänenstruktur replizieren.<br />
Anwendungsverzeichnispartitionen helfen beim Verwalten von DNS-Zonendaten.<br />
Anwendungsverzeichnispartitionen enthalten DNS-Zonendaten.<br />
Verzeichnispartitionen werden durch eine DNS-Subdomäne und einen FQDN<br />
identifiziert.<br />
Verzeichnispartitionen können auch manuell erstellt werden. Manuelle<br />
Verzeichnispartitionen können nur Mitglieder der Gruppe Organisations-Admins<br />
erstellen.<br />
$dnscmd /createdirectorypartition <br />
$dnscmd /enlistdirectorypatition <br />
$dnscmd . /createdirectorypartition DnsPartition01.example.com<br />
Verzeichnispartitionen DomainDnsZones und ForestDnsZones sind<br />
standardmäßig vorgegeben:<br />
• DomainDnsZones (DomainDnsZone.example.com) wird auf allen<br />
Domäncontrollern repliziert.<br />
Um Replikationen auf <strong>Windows</strong> 2000 Server zu ermöglichen, kann man Active<br />
Directory-integrierte Zonen in dieser Verzeichnispartition speichern.<br />
• ForestDnsZones (ForestDnsZone.example.com) wird auf allen DNS-<br />
Servern <strong>einer</strong> AD repliziert.<br />
$mmc dnsmgmt.msc -> DNS-Server Symbol -> Standardanwendungs-<br />
Verzeichnispartitionen erstellen
$mmc dnsmgmt.msc -> DNS-Server Symbol -> Neue Zone… -> Active Directory-<br />
Zonenreplikationsbereich<br />
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Replikation: Alle<br />
DNS-Server dieser Domäne -> Ändern…<br />
• Auf allen DNS-Servern in dieser Gesamtstruktur bedeutet, dass die Zone<br />
in der Verzeichnispartition ForsestDnsZones gespeichert wird und von jedem<br />
DNS-Server der Gesamtstruktur repliziert wird.<br />
• Auf allen DNS-Servern in dieser Domäne bedeutet, dass die Zone in der<br />
Verzeichnispartition DomainDnsZones gespeichert wird und von jedem DNS-<br />
Server der Domäne repliziert wird.<br />
• Auf allen Domänencontrollern in dieser Domäne (<strong>Windows</strong> 2000-<br />
Kompatibel) bedeutet, dass die Zone in DomainDnsZones gespeichert wird<br />
und jeder DC eine Kopie erhält.<br />
• Auf allen Domänencontrollern, die im Bereich dieser<br />
Verzeichnispartition angegeben werden bedeutet, dass die<br />
Verzeichnispartition benutzerdefiniert ausgewählt werden kann. Hier können<br />
benutzerdefinierte Verzeichnispartitionen eingebunden werde.<br />
Zonenübertragung (zone transfer) ist die Synchronisation von Zonendaten<br />
zwischen <strong>einer</strong> beliebigen Masterzone und <strong>einer</strong> sekundären Zone.<br />
Zonenübertragung muss genutzt werden wenn dein DNS-Server kein<br />
Domäncontroller ist.<br />
Zonenübertragung findet zum Beispiel statt, wenn eine Organisation mehrere DNS-<br />
Server benötigt. Hier werden Quelldaten in eine schreibgeschützte sekundäre Zone<br />
kopiert auf einem weiteren DNS-Server.<br />
Zonenübertragung verwendet Standardzonen, Textdateien die ein jeder DNS-<br />
Server speichert.<br />
Zonenübertragung ist ein Pull-Vorgang, der von der sekundären Zone eingeleitet<br />
wird. Die sekundäre Zone kopiert hierbei Daten von der Masterzone.<br />
Sekundäre Zonen können so konfiguriert werden, dass sie eine Active Directoryintegrierte<br />
Masterzone übertragen.
Zonenübertragung an sekundäre Zonen kann durch drei Ereignisse ausgelöst<br />
werden:<br />
• Wenn der Aktualisierungsintervall im SOA-Ressourceneintrag der primären<br />
Zone abgelaufen ist. Der sekundäre Server leitet die Abfrage ein und<br />
vergleicht seine Seriennummer mit der der Masterzone.<br />
• Wenn ein Server, der eine sekundäre Zone hostet, neu gestartet wurde. Der<br />
sekundäre Server leitet die Abfrage ein und vergleicht seine Seriennummer<br />
mit der der Masterzone.<br />
• Wenn eine Änderung an der Konfiguration der primären Zone auftritt und<br />
diese primäre Zone so konfiguriert ist, dass sie eine sekundäre Zone über<br />
Zonenupdates benachrichtigt.<br />
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Zonenübertragungen<br />
Zonenübertragungen zulassen:<br />
• An jeden Server ist die unsicherste Option, da jedem der Zugriff auf den<br />
DNS-Server gestattet wird um Zonendaten zu kopieren.<br />
• Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind<br />
schränkt die Zonenübertragung auf sekundäre DNS-Server ein, die einen NS-<br />
Eintrag in der Zone haben und daher bereits autorisierend für Zonendaten<br />
sind.<br />
• Nur an folgende Server schränkt die Zonenübertragung auf, in <strong>einer</strong> Liste<br />
festgelegte, IP/Hosts-Adressen ein, die nicht als NS-Eintrag vorhanden sein<br />
müssen.<br />
• Benachrichtigungen… können Benachrichtigungen an sekundäre Server<br />
konfiguriert werden, wenn in der primären Zone Änderungen stattfinden.<br />
$mmc dnsmgmt.msc -> sekundäre Zone<br />
• Übertragung vom Master prüft ob die Seriennummer des SEO-Eintrags der<br />
sekundären Zone abgelaufen ist und leitet bei Bedarf im Pull-Verfahren eine<br />
Zonenübertragung vom Masterserver ein.<br />
• Erneut vom Master übertragen prüft nicht die Seriennummer sondern leitet<br />
direkt eine Zonenübertragung vom Masterserver der sekundären Zone ein.<br />
• Neu laden lädt die sekundäre Zone neu aus dem lokalen Speicher.
Stubzonen (stub zone) sind Kopien <strong>einer</strong> Zone, die nur die wichtigsten Einträge der<br />
Masterzone enthält.<br />
Stubzonen liefern einem DNS-Server die Namen der Server, die für bestimmte<br />
Zonen autorisierend sind. Sie verhindern somit Abfragen auf entfernte DNS-Server.<br />
Stubzonen sollen es dem lokalen DNS-Server ermöglichen, Abfragen an<br />
Namenserver weiterzuleiten, die für die Masterzone autorisierend sind.<br />
Stubzonen erfüllen, nach dem oberen Fall, die gleiche Aufgabe wie eine<br />
Delegierung.<br />
Stubzonen bieten aber den Vorteil, dass sie Zonenübertragungen von der<br />
(delegierten) Masterzone einleiten und empfangen können. So können<br />
übergeordnete Zonen über Updates in den NS-Einträgen von untergeordneten<br />
Zonen informiert werden.<br />
Stubzonen Aufgaben:<br />
• Zoneninformationen auf dem neusten Stand halten – Wenn der DNS-<br />
Server der übergeordneten Zone und die Stubzone (für seine untergeordneten<br />
Zonen) hostet, hat er immer eine Liste der autorisierenden DNS-Server für die<br />
untergeordnete Zone.<br />
• Verbesserung der Namensauflösung – Stubzonen ermöglichen DNS-<br />
Server mit Rekursion durch die Namenserverliste der Stubzone zu gehen,<br />
ohne andere DNS-Server innerhalb des lokalen Namespace abfragen zu<br />
müssen. Stubzonen die auf diese Art bereit gestellt werden, können<br />
sekundäre Zonen ersetzen und werden über die gesammte AD-Domäne oder<br />
einen großen DNS-Namespace hinweg übertragen.<br />
Delegierte Zonen sind untergeordnete Zonen (zum Beispiel ffm.example.com)<br />
<strong>einer</strong> übergeordneten Zone (zum Beispiel example.com), die normalerweise auf<br />
ihrem eigenen DNS-Server gehostet wird. Bei Delegierung enthält die übergeordnete<br />
Zone einen NS-Eintrag für den Server, der die untergeordnete Zone hostet. Anfragen<br />
in der übergeordneten Domäne werden also an den NS-Server der untergeordneten<br />
Domäne weitergeleitet.
DNS-Servercache<br />
DNS-Servercache speichert rekursive Abfragen von DNS-Clients.<br />
DNS-Servercache wird geleert sobald der DNS-Serverdienst angehalten wird.<br />
DNS-Auflösungscache verwendet eine TTL (Time-to-Live) für Ressourceneinträge.<br />
DNS-Auflösungscache TTL beträgt standardmäßig 3600 Sekunden.<br />
$dnscmd<br />
$dnscmd /clearcache<br />
$mmc dnsmgmt.msc<br />
Stammhinweise enthält eine Liste der Stammserver im Internet, die alle paar Jahre<br />
von leicht verändert wird.<br />
ftp://rs.internic.net/domain/named.cache<br />
Stammhinweise befinden sich unter <strong>Windows</strong> Server 2008 in der Datei<br />
%SystemRoot%\System32\Dns\Cache.dns.<br />
Stammhinweise enthalten standardmäßig Informationen für die Abfrage nach<br />
Internetnamen, die nicht verändert werden müssen.<br />
Stammhinweise sollten ganz gelöscht werden wenn ein DNS-Stammserver für ein<br />
privates Netzwerk (Zonenname: „“) eingerichtet wird.<br />
Stammhinweise stehen nicht zur Verfügung wenn ein DNS-Server einen<br />
Stammserver hostet.<br />
Stammhinweise müssen entfernt werden wenn ein DNS-Server eine Stammzone<br />
hostet, um das Auflösen von externen Namen zu gewährleisten.<br />
Weiterleitungen (forwards) bedient sich ein DNS-Server, wenn er keinen passenden<br />
Eintrag anhand s<strong>einer</strong> autorisierenden Daten (primäre oder sekundäre Zonendaten)<br />
oder zwischengespeicherten Daten beantworten kann.<br />
Weiterleitungen sind DNS-Server-zu-DNS-Server Anfragen.<br />
$netsh ip(v4|v6) set dnsserver ““ static <br />
Weiterleitungen (forwardings) und deren Verwendung:<br />
• Weiterleitungen werden oft benutzt, damit DNS-Clients und –Server innerhalb<br />
<strong>einer</strong> Firewall externe Namen auf sichere Weise auflösen können. Dabei<br />
können Anfragen an bestimmte externe DNS-Server gerichtet werden für die<br />
IP- oder Host-Abhängig Ports geöffnet sind<br />
• Weiterleitungen können benutzt werden, um innerhalb <strong>einer</strong> AD DS eine DNS-<br />
Deligierung zu ermöglich. Dabei können z.B. die DNS-Server der<br />
untergeordneten Domänen so konfiguriert werden, dass sie Anfragen an einen<br />
bestimmten DNS-Server richten in der übergeordneten (Stamm-)Domäne.<br />
So können Namen von Ressourcen in allen Domänen der Gesamtstruktur<br />
aufgelöst werden.<br />
• Weiterleitende DNS-Server die intern, externe-DNS-Server-Anfragen auf eine<br />
Weiterleitung bündeln, können sinnvoll sein um den WAN-Traffic zu<br />
minimieren.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -><br />
Forward-Lookupzone<br />
Bedingte Weiterleitungen (conditional forwards) beschreibt eine DNS-Server-<br />
Konfiguration, bei der die Abfrage nach <strong>einer</strong> bestimmten Domäne an einen<br />
bestimmten DNS-Server weitergeleitet wird.<br />
Bedingte Weiterleitungen haben einen geringen Wartungsaufwand, verursachen<br />
kaum Zonentransfareverkehr und sind im Gegensatz zu sekundären und Stub-Zonen<br />
immer aktuell.<br />
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -><br />
Bedingte Weiterleitungen<br />
DNS-Server-Eigenschaften konfigurieren die Eigenschaften die für den DNS-Server<br />
und all seine gehosteten Zonen gelten.<br />
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften<br />
• Schnittstellen legt fest auf welchen IP-Adressen DNS-Anforderungen<br />
verarbeitet werden. Standardmäßig nimmt der DNS-Server auf allen<br />
Schnittstellen DNS-Anfragen an.<br />
• Stammhinweise enthält eine Kopie der Informationen aus %SystemRoot<br />
%\System32\Dns\Cache.dns .<br />
Bei DNS-Servern die einen Stammserver hostet ist dieser Reiter nicht<br />
vorhanden<br />
Weiterleitungen dienen dazu den lokalen DNS-Server so zu konfigurieren das er<br />
Anfragen an einen anderen DNS-Server, die hier mit IP-Adresse eingetragen sind,<br />
weiterleitet und an den Client zurückgibt
DHCP<br />
DHCP (Dynamic Host Configuration Protocol) ermöglicht das Zuweisen von IP-<br />
Adressen, Subnetzmasken, Standardgateways, DNS-Servern und anderen<br />
Konfigurationsinformationen an Clients im lokalen Netzwerk.<br />
Clients die für DHCP konfiguriert sind, rufen automatisch ihre IPv4-Adresse und<br />
Konfiguration vom DHCP-Server ab.<br />
Vier Schritte sind notwendig um einem Clienten eine IPv4-Adresse und<br />
Subnetzmaske zuzuweisen:<br />
1. Broadcast mit DHCP-Discover – Der Client sendet eine DHCP-Discover-<br />
Nachricht als Broadcast in das lokale Netz, die sich an irgendeinen<br />
verfügbaren DHCP-Server richtet.<br />
2. Antwort mit DHCP-Offer – Falls ein DHCP-Server im Broadcastbereich<br />
vorhanden ist und den DHCP-Client mit <strong>einer</strong> IP-Adresszuweisung versorgen<br />
kann, sendet er eine DHCP-Offer-Unicastnachricht an den DHCP-Client.<br />
DHCP-Offer-Nachrichten enthalten eine Liste der DHCP-<br />
Konfigurationsparameter und eine verfügbare IP-Adresse aus dem DHCP-<br />
Bereich, die der DHCP-Server dem DHCP-Client anbietet.<br />
Falls der DHCP-Server eine Reservierung anhand der MAC-Adresse des<br />
DHCP-Clients feststellt, bietet er dem Client die reservierte Adresse an.<br />
3. Antwort mit DHCP-Request – Der DCHP-Client antwortet auf die DHCP-<br />
Offer-Nachricht und fordert die IP-Adresse an, die ihm angeboten wird. Es<br />
besteht aber auch die Möglichkeit, dass der DHCP-Client die IP-Adresse<br />
anfordert die ihm vorher zugewiesen war.<br />
4. Bestätigung mit DHCP-Ack – Falls die IP-Adresse, die der DHCP-Client<br />
angefordert hat, noch verfügbar ist, antwortet der DHCP-Server mit <strong>einer</strong><br />
DHCP-Ack-Bestätigungsnachricht. Der Client kann die IP-Adresse nun<br />
benutzen.<br />
Adressleases<br />
DHCP-Server verwalten eine Datenbank der Adressen, die der Server an Clients<br />
vergeben kann. Den Vorgang des Adressvergebens nennt man Lease.<br />
DHCP-Server zeichnen auf, welche Adresse an welchen Client vergeben ist, so dass<br />
Adressen niemals mehrfach vergeben werden.<br />
Leases dauern in den Standardeinstellungen 6 Tage oder 8 Stunden.<br />
Leases die abgelaufen sind – am Ende <strong>einer</strong> Leasedauer fordert der DHCP-Server<br />
die Adresse zurück.<br />
DHCP-Clients fordern nach der Hälfte der Leasedauer eine Erneuerung der Lease<br />
an den DHCP-Server.<br />
• DHCP-Server online: genehmigt er normalerweise die Anforderung und die<br />
Leasdauer wird wieder neu gestartet.<br />
• DHCP-Server nicht verfügbar: versucht der DHCP-Client, die DHCP-Lease zu<br />
verlängern wenn die Hälfte der Leasdauer verstrichen ist.<br />
Wenn 87,5% der Leasedauer verstrichen sind, versucht der Client einen neuen<br />
DHCP-Server zu finden.
DHCP-Clients die heruntergefahren werden oder bei denen der Befehl runas<br />
/user:Administrator “ipconfig /release“ ausgeführt wird, senden eine<br />
DHCP-Release-Nachricht an den DHCP-Server, der die Adresse zugewiesen hat.<br />
Der DHCP-Server markiert daraufhin die Adresse als verfügbar und kann sie einem<br />
anderen DHCP-Client zuweisen.<br />
DHCP-Clients die plötzlich vom Netzwerk getrennt werden, senden keine DHCP-<br />
Release-Nachricht, was zu folge hat, dass die Adresse bis zum Ende der<br />
Leasedauer vergeben bleibt.<br />
Leasedauer sollte deshalb in Netzwerken mit häufigen Verbindungen und<br />
Trennungen (zum Beispiel WLANs) gering sein.
DHCP-Clients Konfiguration<br />
Netzwerkadapter -> Eigenschaften -> Internetprotokoll IP(v4|v6) -> Allgemein<br />
• IP-Adresse automatisch beziehen<br />
• DNS-Server automatisch beziehen<br />
$netsh interface ipv4 set address dhcp<br />
$netsh interface ipv4 set dnsserver dhcp<br />
$netsh interface ipv6 set interface <br />
managedaddress=(enable|disable)<br />
$netsh interface ipv6 set interface <br />
otherstatful=(enable|disable)<br />
$ipconfig /release (erzwingen <strong>einer</strong> neuen Lease)<br />
$ipconfig /renew<br />
Statusbehafteter-Modus (statful mode) muss manuell aktiviert werden.<br />
Statusbehafteter-Modus fragt über DHCPv6 eine Adresse und IPv6-<br />
Konfigurationsoptionen von einem DHCP-Server ab.<br />
Statusfreie-Modus (statless mode) ist standardmäßig auf IPv6-Clients aktiviert.<br />
Statusfreie DHCPv6-Modus bedeutet, dass der Client seine IP-Adresse durch<br />
Austausch von Routeranfrage- und Routerankündigungsnachricht mit einem<br />
benachbarten IPv6-Router konfiguriert.<br />
Statusfreie DHCPv6-Modus kann denoch DHCP-Optionen, wie zum Beispiel den<br />
IPv6-DNS-Server, beim DHCP-Server abfragen.
DHCP-Server Konfiguration<br />
DHCP-Server unter <strong>Windows</strong> Server 2008 benötigen eine statische IP-Adresse, aus<br />
dem Subnetz das für den DHCP-Bereich konfiguriert werden soll.<br />
DHCP-Server die IP-Adressen an Clients leasen, müssen einen Bereich von IP-<br />
Adressen für das Leasen vordefiniert haben.<br />
DHCP-Server die für die Subnetze 10.0.42.0/24 und 192.168.23.0/24 DHCP-<br />
Bereiche definiert haben, sollten direkt mit diesen Subnetzen (sofern kein DHCP-<br />
Relay-Agent eingesetzt wird) verbunden sein.<br />
$mmc dhcpmgmt.msc<br />
$start /w ocsetup DHCPServerCore<br />
$net start dhcpserver<br />
$sc config dhcpserver start=auto<br />
$mmc servermanager.msc -> Assistenten „Rollen hinzufügen“ -> Serverrolle<br />
auswählen -> DHCP-Server<br />
• Bindungen für Netzwerkverbindung auswählen – gibt die Netzwerkkarte<br />
oder den Adapter an, auf dem der DHCP-Server Clientanforderungen<br />
entgegennimmt.<br />
• Angeben von IPv4-DNS-Servereinstellungen – gibt die DNS-Optionen 015<br />
(DNS-Domänenname) und 006 (DNS-Server) an.<br />
• Angeben von IPv4-WINS-Servereinstellungen – gibt die DNS-Option 044<br />
(WINS/NBNS-Server) an.<br />
• DHCP-Bereiche hinzufügen oder bearbeiten – gibt den DHCP-Bereiche an,<br />
eine Gruppe von IP-Adressen aus einem Subnetz, die der DHCP-Dienst nutzt<br />
um dynamische IP-Adressen zu vergeben.<br />
DHCP-Bereiche hinzufügen:<br />
• Bereichname – Anzeigename der DHCP-Server-Konsole.<br />
• Start- und End-IP-Adresse – DHCP-Bereich der aus IPs des<br />
Subnetzes die nicht statisch vergeben werden, besteht. Statisch<br />
konfigurierte Bereiche müssen ausgenommen werden.<br />
Bsp.: 192.168.0.1-20 ist statisch vergeben;<br />
DHCP-Bereich: 192.168.0.21-192.168.0.254<br />
• Subnetzmaske – die DHCP-Clients zugewiesen wird. Muss die<br />
gleiche sein wie die des DHCP-Servers.<br />
• Standardgateway (optional) – Option 003 (Router).<br />
• Subnetztyp – standard Leasedauer. Entweder 6 Tage oder 8 Stunden.<br />
• Diesen Bereich aktivieren – nur aktivierte Bereiche vergeben Leases.<br />
• <strong>Konfigurieren</strong> des statusfreien DHCPv6-Modus – statless mode ist der<br />
Standardadressierungsmodus für IPv6-Hosts, wobei Adressen ohne Hilfe<br />
eines DHCP-Servers konfiguriert werden. Optionen können aber denoch von<br />
einem DHCP-Server abgerufen werden.<br />
Statusfreien DHCPv6-Modus kann deaktiviert werden, um dem DHCP-Server<br />
zu ermöglichen statusbehaftete Adressierungen zu vergeben. Hierfür muss<br />
später ein weiterer DHCP-Bereich im Knoten IPv6 der DHCP-Konsole<br />
eingerichtet werden.
• IPv6 DNS-Servereinstellungen angeben – (wird nur gezeigt wenn<br />
statusfreien DHCPv6-Modus deaktiviert ist)<br />
• DHCP-Server autorisieren – bevor ein DHCP-Server in <strong>einer</strong><br />
Domänenumgebung Leases für Adressen aus einem vorhandenen Bereich<br />
an DHCP-Clients vergeben kann, muss der Server erst autorisiert und der<br />
Bereich aktiviert sein.<br />
DHCP-Bereiche (scope) sind die wichtigsten Mechanismen, wie Server Verteilung<br />
und Zuweisung von IP-Adressen und Optionen an Clients verwalten.<br />
DHCP-Bereiche müssen in einem einzelnen Hardwaresubnetz liegen, für die dass<br />
DHCP-Dienste angeboten wird.<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereich<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Adresspool -> Neuer<br />
augeschlossener Bereich… -> Ausschluss hinzufügen<br />
Ausgeschlossene Bereiche sind Adessausschlüsse aus dem vordefinierten DHCP-<br />
Bereich.<br />
Adressausschlüsse dienen dazu einzelne IPs oder IP-Blöcke vom DHCP-Bereich<br />
auszuschließen, die statisch vergeben wurden.<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -><br />
Reservierungen -> Neue Reservierung… -> Neue Reservierung<br />
• Reservierungsname<br />
• IP-Adresse<br />
• Mac-Adresse<br />
• Beschreibung<br />
• Unterstützte Typen (Beide|Nur DHCP| Nur BOOTP)<br />
$getmac /s | clip<br />
Reservierungen haben den Vorteil, dass sie gegenüber von Handverwalteten,<br />
statischen IP-Adressen, zentral verwaltet werden können.<br />
Reservierungen haben den Nachteil, dass sie erst spät im Startprozess zugewiesen<br />
werden und ein DHCP-Server vorhanden sein muss.<br />
Reservierungen können zum Beispiel bei Druckservern oder Anwendungsserver<br />
praktikabel sein. DNS-Server sollten auf keinen Fall von DHCP-Servern abhängig<br />
sein.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -><br />
Eigenschaften -> Allgemein -> Leasedauer für DHCP-Clients<br />
Leasdauern für LANs ist die standardmäßig, sinnvoll mit der Dauer von 6 Tage<br />
festgelegt. Kann aber erhöht werden falls die Computer selten umgestellt oder neu<br />
angeschlossen werden.<br />
Leasdauern sollten relativ kurz sein, 8 Stunden, wo die Adressen knapp sind und die<br />
Verbindungsdauern kurz.<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -><br />
Adressleases -> Löschen<br />
Adressleases zeigt an welche IP-Adressen momentan als Leases an welche<br />
Clienten vergeben sind.<br />
Adressleases Löschen kann gleich mehrere Clients auswählen und Leases vieler<br />
Clients aufeinmal beenden um ihre Leases zu erneuern und die neuen Adressen<br />
oder neuen Optionen abzurufen.<br />
DHCP-Optionen stellen Clients zusammen mit der Adresslease zusätzliche<br />
Konfigurationsparameter zur Verfügung, etwa DNS- oder WINS-Serveradressen.<br />
• DHCP-Optionen werden normalerweise für einen gesamten Bereich<br />
zugewiesen (Serveroptionen).<br />
• DHCP-Optionen können aber auch auf Serverebene eingestellt werden und<br />
gelten dann für alle Leases auf allen Bereichen, die für DHCP-<br />
Serverinstallationen definiert sind (Bereichsoptionen).<br />
• DHCP-Optionen können auf Reservierungsebene einzelnen Computern<br />
zugewiesen werden (Optionsklassen).<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -><br />
Bereichoptionen -> Optionen <strong>Konfigurieren</strong>… -> Optionen - Bereich -> Allgemein<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Serveroptionen -><br />
Optionen <strong>Konfigurieren</strong>… -> Optionen - Server -> Allgemein<br />
DNS-Bereich- und Serveroptionen unterscheiden sich dadurch, wie der Name<br />
schon sagt, dass die Optionen einmal auf Bereichsebene und einmal auf<br />
Serverebene angewendet werden.<br />
60 DHCP-Standardoptionen stehen unter <strong>Windows</strong> Server 2008 zu Verfügung.<br />
Folgende sind für die IPv4-Konfiguration die wichtigsten:<br />
• 003 Router – Liste mit den IPv4-Adressen der bevorzugten Router im selben<br />
Subnetz wie DHCP-Clients<br />
• 006 DNS-Server – Liste mit den IPv4-Adressen von DNS-Namenservern<br />
• 015 DNS-Domänenname – Gibt den Domänenname an, die der Client als<br />
primäres DNS-Suffix verwenden soll und für dynamische DNS-Updates<br />
• 044 WINS/NBNS-Server – Gibt die IPv4-Adresse der primären und<br />
sekundären WINS-Server an<br />
• 046 WINS/NBT-Knotentyp – Gibt die bevorzugte NetBIOS-<br />
Namensauflösungsmethode (Broadcast, H-Knoten) an<br />
• 051 Lease – Gibt eine spezielle Leasedauer für Remotezugriffsclients an,<br />
welche durch eine bestimmte Benutzerklasseninformationen identifiziert<br />
werden
Standardbenutzerklasse (default user class) ist eine Klasse, zu der alle DHCP-<br />
Clients gehören und die auf alle DHCP-Clients angewendet wird. In dieser Klasse<br />
werden in der Standardeinstellung alle Optionen erstellt.<br />
DHCP-Konflikterkennungsversuche, falls mit dem Wert 2 konfiguriert, erkennen<br />
via ping über ICMP ob IPs schon geleast sind.<br />
DHCP-Datenbank kompremieren:<br />
$cd %systemroot%\system32\dhcp<br />
$net stop dhcpserver<br />
$jetpack dhcp.mdb tmp.mdb<br />
$net start dhcpserver<br />
DHCP-Optionsklassen (options class) ist eine Clientkategorie, die es dem DHCP-<br />
Server erlaubt, Optionen nur an bestimmte Clients innerhalb eines Bereiches<br />
zuzuweisen.<br />
Optionsklassen die einem Server hinzugefügt werden, können Clients dieser Klasse<br />
mit klassenspezifischen Optionen versorgt werden. Optionsklassen werden nach der<br />
Standardbenutzerklasse angewandt und überschreiben deren Option. Es gibt zwei<br />
Typen von Optionsklassen:<br />
• Herstellerklassen (vendor class) werden benutzt, um DHCP-Clients, die als<br />
Produkte eines bestimmten Herstellers identifiziert werden,<br />
herstellerspezifische Optionen zuzuweisen.<br />
Clients mit <strong>Windows</strong> 2000 können so zum Beispiel ermittelt werden, und<br />
abhängig davon NetBIOS aktiviert oder deaktiviert werden.<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -><br />
Herstellerklassen definieren -> DHCP-Herstellerklassen<br />
• Benutzerklassen (user class) werden benutzt, um Optionen an beliebige<br />
Gruppen von Clients zuzuweisen. Diese Klassen sind im Gegensatz zu<br />
Herstellerklassen konfigurierbar.<br />
Nachdem eine Benutzerklasse auf dem Server erstellt wurde, muss die Klasse<br />
auf den Clientcomputern konfiguriert werden.<br />
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -><br />
Benutzerklassen definieren -> DHCP-Benutzerklassen -> Hinzufügen…<br />
$ipconfig /setclassid
IP-Routing<br />
Routing erlautb es Routern, Verkehr untereinander weiterzuleiten, so dass Clients<br />
und Server in unterschiedlichen Subnetzen miteinander kommunizieren können.<br />
Routing kann mit ICMP (Internet Control Message Protocol) überwacht, verfolgt und<br />
visualisiert werden.<br />
Routing kann dynamisch, mit Hilfe von Routingprotokollen, oder statisch mit Hilfe von<br />
Routentabellen gesteuert und konfiguriert werden.<br />
$pathping dc01<br />
Routenverfolgung zu DC01.foo.local [fd65:9abf:efb0:6::a]<br />
über maximal 30 Abschnitte:<br />
0 DNS01.foo.local [fd65:9abf:efb0:6::b]<br />
1 DC01 [fd65:9abf:efb0:6::a]<br />
Berechnung der Statistiken dauert ca. 25 Sekunden...<br />
Quelle zum Abs. Knoten/Verbindung<br />
Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse<br />
0 DNS01.foo.local [fd65:9abf:efb0:6::b]<br />
0/ 100 = 0% |<br />
1 0ms 0/ 100 = 0% 0/ 100 = 0% DC01 [fd65:9abf:efb0:6::a]<br />
$tracert freebsd.org<br />
Routenverfolgung zu freebsd.org [69.147.83.40] über maximal 30 Abschnitte:<br />
1 1 ms 1 ms 1 ms 192.168.32.64<br />
2 1 ms 1 ms 1 ms fritz.box [192.168.64.128]<br />
3 17 ms 18 ms 25 ms lo1.br14.ber.de.hansenet.net [213.191.64.25]<br />
4 11 ms 10 ms 10 ms ae1-102.cr01.ber.de.hansenet.net [62.109.108.125]<br />
5 28 ms 28 ms 32 ms so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.66.21]<br />
6 41 ms 37 ms 28 ms ae0-0.pr01.fra.de.hansenet.net [213.191.66.201]<br />
7 33 ms 34 ms 32 ms ge-1-3-0.pat2.dee.yahoo.com [80.81.193.115]<br />
8 121 ms * 131 ms as-1.pat2.dcp.yahoo.com [66.196.65.129]<br />
9 195 ms 213 ms 209 ms as-0.pat2.da3.yahoo.com [216.115.101.155]<br />
10 189 ms 191 ms 204 ms as-1.pat2.sjc.yahoo.com [216.115.101.151]<br />
11 190 ms 194 ms 206 ms ae-0-d161.msr1.sp1.yahoo.com [216.115.107.59]<br />
12 195 ms 194 ms 191 ms gi-1-48.bas-b1.sp1.yahoo.com [209.131.32.47]<br />
13 191 ms 189 ms 192 ms freefall.freebsd.org [69.147.83.40]<br />
Ablaufverfolgung beendet.<br />
Routingprotokolle<br />
Routingprotokolle vereinfachen die Konfigurationen und erlauben es Routern,<br />
automatische Anpassungen vorzunehmen, wenn sich die Netzwerkbedingungen<br />
ändern (wenn zum Beispiel ein Router oder eine Netzwerkverbindung ausfällt).<br />
Routingprotokolle sind zum Beispiel RIP (Routing Information Protokoll) oder OSPF<br />
(Open Shortest Path First).<br />
Router mit aktiviertem Routingprotokoll, die an ein Netzwerk angeschlossen sind,<br />
kündigt das Routingprotokoll eine Liste der Netzwerke an, mit dem der Router<br />
verbunden ist. Der Router nimmt die Ankündigungen von benachbarten Routern<br />
entgegen, so dass er erfährt, wie er bestimmte Remotenetzwerke erreichen kann.
Routing- und RAS-Dienste<br />
Routing- und RAS-Dienste (Remote Access System) Serverrolle aktiviert unter<br />
<strong>Windows</strong> Server 2008 dynamisches routing mit Hilfe von RIP (Routing Information<br />
Protokoll)..<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste<br />
-> Routing und RAS -> IPv4<br />
• Neues Routingprotokoll<br />
o RIP, Version 2, für das Internetprotokoll<br />
o Neue Schnittstelle für RIP, Version 2, für das Internetprotokoll<br />
• Schnittstelle -> Eigenschaften<br />
o Allgemein – RIPv1 oder RIPv2 sowie Authentifizierung<br />
o Sicherheit – legt fest von welche angekündigten Routen akzeptiert<br />
werden<br />
o Nachbarn – Liste der Nachbarn<br />
o Erweitert – Ankündigungsintervall und Zeitüberschreitung<br />
Standardmäßig verwendet <strong>Windows</strong> Server 2008 RIPv2.<br />
(http://administrator.de/)
Statisches Routing<br />
Statische Routen können zum Beispiel notwendig sein, wenn Geräte eine<br />
Verbindung mit einem entfernten Subnetz herstellen müssen und das<br />
Standardgateway nicht direkt mit <strong>einer</strong> Schnittstelle an besagtes Subnetz<br />
angebunden ist.<br />
Statische Routen können unter <strong>Windows</strong> 2008 Server entweder mit $route oder<br />
dem Routing- und RAS-Dienst konfiguriert werden.<br />
$route print<br />
===========================================================================<br />
Schnittstellenliste<br />
3...00 0c 29 43 b0 31 ......Intel(R) PRO/1000 MT-Netzwerkverbindung<br />
1...........................Software Loopback Interface 1<br />
===========================================================================<br />
IPv4-Routentabelle<br />
===========================================================================<br />
Aktive Routen:<br />
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik<br />
0.0.0.0 0.0.0.0 192.168.6.1 192.168.6.11 11<br />
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1<br />
306<br />
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1<br />
306<br />
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1<br />
306<br />
192.168.6.0 255.255.255.0 Auf Verbindung 192.168.6.11<br />
266<br />
192.168.6.11 255.255.255.255 Auf Verbindung 192.168.6.11<br />
266<br />
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1<br />
306<br />
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.6.11<br />
266<br />
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1<br />
306<br />
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.6.11<br />
266<br />
===========================================================================<br />
Ständige Routen:<br />
Netzwerkadresse Netzmaske Gatewayadresse Metrik<br />
0.0.0.0 0.0.0.0 192.168.6.1 1<br />
===========================================================================<br />
IPv6-Routentabelle<br />
===========================================================================<br />
Aktive Routen:<br />
If Metrik Netzwerkziel Gateway<br />
1 306 ::1/128 Auf Verbindung<br />
3 266 fd65:9abf:efb0:6::/64 Auf Verbindung<br />
3 266 fd65:9abf:efb0:6::b/128 Auf Verbindung<br />
3 266 fe80::/64 Auf Verbindung<br />
3 266 fe80::cd3c:3113:f394:a01b/128<br />
Auf Verbindung<br />
1 306 ff00::/8 Auf Verbindung<br />
3 266 ff00::/8 Auf Verbindung<br />
===========================================================================<br />
Folgender Befehl trägt in die Routertabelle ein, dass das Subnetz 192.168.2.0/24<br />
über den Router 192.168.1.2 zu erreichen ist, anstatt über das Standardgateway:<br />
$route -p add 192.168.2.0 MASK 255.255.255.0 192.168.1.2
Statische Routen mit Routing- und RAS-Dienst lassen sich ebenfalls eintragen:<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste<br />
-> Routing und RAS -> IPv4 -> Statische Routen -> Neue Statische Routen -><br />
Statische IPv4-Route<br />
• Schnittstelle<br />
• Ziel<br />
• Netzwerkmaske<br />
• Gateway<br />
• Metrik
IPSec<br />
IPSec (Internet Protocoll Security) schützt Netzwerke, indem Daten authentifiziert<br />
und verschlüsselt werden.<br />
IPSec schütz vor Spoofing, manipulierten Daten, Relay-Angriffen und Spionage.<br />
IPSec wird eingesetzt, um die Kommunikation zwischen zwei Hosts oder um<br />
Verkehr, der über das Internet fließt, bei der Benutzung von VPN, zu schützen.<br />
IPSec basiert auf Standards, die von der IPSec-Arbeitsgruppe der IETF (Internet<br />
Engineering Task Force) entwickelt wurden.<br />
IPSec schützt Daten mit folgenden Diensten:<br />
• Datenauthentifizierung<br />
o Der Ursprung der Daten wird authentifiziert – IPSec stellt sicher, dass<br />
der Absender nicht gefälscht ist und ein Paket wirklich von einem<br />
vertrauenswürdigen Absender stammt.<br />
o Datenintegrität – IPSec stellt sicher, dass Daten nicht auf ihrem Weg<br />
manipuliert wurden.<br />
o Anti-Relay-Schutz – IPSec stellt sicher, dass jedes Paket einmalig und<br />
keine Kopie ist.<br />
• Verschlüsselung<br />
o Datenverschlüsselung – IPSec kann Daten verschlüsseln, so dass sie<br />
unlesbar sind, falls sie abgefangen werden.<br />
IPSec-Sicherheitszuordnungen (Security Association, SA) schützen die Daten, die<br />
zwischen zwei Computern ausgetauscht werden.<br />
IPSec-Sicherheitszuordnungen werden aufgebaut wenn zwei Computer IPSec-<br />
Verbindungen aushandeln.<br />
Sicherheitszuordnungen werden durch zwei IPSec-Protokolle gewährleistet:<br />
• Authentication Header (AH) – stellt Authentifizierung der Datenherkunft,<br />
Datenintegrität und Anti-Replay-Schutz für das gesamte IP-Packet sicher.<br />
• Encapsulating Security Payload (ESP) – bietet Datenverschlüsselung,<br />
Authentifizierung der Datenherkunft und Anti-Relay-Schutz für die ESP-<br />
Nuterdaten.<br />
IPSec-Verbindungen werden über IKE-Protokolle (Internet key Exchange)<br />
initialisiert um Sicherheitszuordnungen dynamisch zwischen zwei IPSec-Partnern<br />
aufzubauen.<br />
IPSec-Verbindungen werden mit IKE in zwei Phasen ausgehandelt:<br />
1. Hauptmodusaushandlung (main mode negotation) dient dazu, dass<br />
aushandeln des Kommunikationsverfahrens und des<br />
Verschlüsselungsalgorithmus mit <strong>einer</strong> SA zu schützen.<br />
2. Schnellmodusaushandlung (quick mode negotiation) stellt aus dem<br />
ausgehandelten Verschlüsselungsalgorithmus und dem<br />
Kommunikationsverfahren eine weitere SA her, über die die Daten schließlich<br />
gesendet werden.<br />
IPSec-Verbindungen arbeiten standardmäßig im Transportmodus (transport mode),<br />
bei dem end-to-end-Sicherheit zwischen Geräten gewährleistet wird.<br />
IPSec-Transportmodus wird bei den meisten VPNs eingesetzt, in Kombination mit<br />
L2TP (Layer Two Tunneling Protocol), um die IPSec-Verbindung durch das WAN zu<br />
Tunneln.
IPSec-Tunnelmodus kommt zum Einsatz, wenn VPN-Gateways nicht L2TP/IPSec-<br />
VPN kompatibel sind.<br />
IPSec-Tunnelmodus schützt gesamte IP-Pakete, die dann in einen zusätzlichen,<br />
ungeschützten IP-Header verpackt werden. Der äußere IP-Header gibt die IP-<br />
Adressen der Tunnelendpunkte an, der innere IP-Header die eigentliche Quell- und<br />
Zieladresse.<br />
IPSec-Tunnelmodus wird von Remotezugriff-VPNs nicht unterstützt, hier muss<br />
L2TP/IPSec oder PPTP zum einsatz kommen.<br />
IPSec-Authentifizierungsmethoden<br />
• Kerberos (Active Directory) – ist die Standardauthentifizierungsprotokoll in<br />
<strong>einer</strong> AD-Umgebung, deshalb am einfachsten zu konfigurieren, wenn IPSec<br />
innerhalb <strong>einer</strong> einzigen AD-Gesamtstruktur implementiert wird, kann die<br />
Authentifizierung über die AD-Einbindung erfolgen.<br />
• Zertifikate – sollten eingesetzt werden wenn keine Kerberos-Authentifizierung<br />
zu Verfügung steht. Nötig ist dafür eine Zertifikatinfrastruktur, die die<br />
Zertifikate der Peer-Partner ausstellt. Jeder Host muss der<br />
Zertifizierungsstelle vertrauen, die das Zertifikat des Kommunikationspartners<br />
ausgestellt hat.<br />
• Vorinstallierte Schlüssel – sind Kennwörter die beide Peers kennen. Mit<br />
dem Kennwort wird ein- und ausgehender Verkehr verschlüsselt. Da der<br />
Schlüssel im Klartext gespeichert wird, eignet sich diese<br />
Authentifizierungsmethode nicht für den produktiven Einsatz.
IPSec Konfiguration<br />
IPSec wird unter <strong>Windows</strong> Server 2008 mit Sicherheitsrichtlinien oder<br />
Gruppenrichtlinien verwaltet.<br />
IPSec wird unter <strong>Windows</strong> Server 2008, <strong>Windows</strong> Vista und <strong>Windows</strong> 7 entweder<br />
über IPSec-Richtlinien (IPSec policy) oder Verbindungssicherheitsregeln (connection<br />
security rule) erzwungen.<br />
IPSec-Richtlinien bietet im Gegensatz zu Verbindungssicherheitsregeln, in den<br />
Standardeinstellungen, nicht nur schutz vor Spoofing (gefälschten Daten),<br />
manipulierten Daten und Relay-Angriffen, sondern auch Verschlüsselung.<br />
IPSec-Richtlinien wie auch Verbindungssicherheitsregeln, können so konfiguriert<br />
werden, dass sie eine beliebige Kombination aus Datenauthentifizierung und<br />
Verschlüsselung bereitstellt.<br />
IPSec-Richtlinien und Verbindungssicherheitsrichtlinien können über ein<br />
Gruppenrichtlinienobjekt oder lokal erzwungen werden.<br />
IPSec-Richtlinien<br />
IPSec-Richtlinienregeln (IPSec policy rule) sind mit IP-Filterlisten (IP filter list) und<br />
Filteraktionen (filter action) verknüpft. Jede Richtlinie hat einen Filterliste und<br />
Filteraktion.<br />
IP-Filterlisten enthalten einen Satz aus einem oder mehrern IP-Filtern, die IP-<br />
Verkehr für eine IPSec-Richtlinie abfangen.<br />
IP-Filter definieren Quell- oder Zieladresse, Adressbereich, Computername,<br />
TCP/UDP-Port oder Servicetyp (DNS, WINS, DHCP, Standardgateway).<br />
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> <strong>Windows</strong>-<br />
Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active<br />
Directory<br />
IPSec-Richtlinienregel Bsp.:<br />
IPSec-Richtlinie IP-Filterliste Filteraktion<br />
Richtlinienregel 1 Filter 1: Telnet-Verkehr von 192.168.23.42<br />
Filter 2: POP3-Verkehr von 192.168.23.196<br />
Sicherheit aushandeln<br />
(Verschlüsselung<br />
zwingend erforderlich)<br />
Blocken<br />
Richtlinienregel 2 Filter 1: gesamte Telnet-Verkehr<br />
Filter 2: gesamte POP3-Verkehr<br />
Richtlinienregel 3 Filter 1: gesamte Verkehr Sicherheit aushandeln<br />
(Authentifizierung<br />
anfordern)
Vordefinierte IPSec-Richtlinien<br />
Vordefinierte IPSec-Richtlinien – kann jeweils nur eine der folgenden drei, einem<br />
Gerät oder Computer zugewiesen werden:<br />
• Client (nur Antwort) / Client (Respond Only) – normalerweise wird diese<br />
Richtlinie Intranetcomputern zugewiesen, die mit geschützten Servern<br />
kommunizieren müssen, aber nicht den gesamten Verkehr zu schützen<br />
brauchen.<br />
• Server (Sicherheit anfordern) / Server (Request Security) – sollte<br />
Computern zugewiesen werden, bei denen Verschlüsselung bevorzugt wird,<br />
aber nicht unbedingt erforderlich ist.<br />
Der Computer nimmt ungeschützten Verkehr an, versucht aber immer, weitere<br />
Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen<br />
Absender fordert.<br />
• Sicherer Server (Sicherheit erforderlich) / Secure Server (Require<br />
Security) – sollte Intranetservern zugewiesen werden, die sichere<br />
Kommunikation benötigen.<br />
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> <strong>Windows</strong>-<br />
Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active<br />
Directory<br />
Benutzerdefinierte IPSec-Richtlinien<br />
Benutzerdefinierte IPSec-Richtlinien gruppieren benutzerdefinierte IPSec-Regeln.<br />
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> <strong>Windows</strong>-<br />
Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active<br />
Directory -> IP-Sicherheitsrichtline erstellen… -> IPSec-Sicherheitsrichtlinien<br />
Assistent<br />
• Name<br />
o leere Richtlinie<br />
o benutzerdefinierter Name<br />
o Standardantwortregel (default response rule)<br />
• Eigenschaften<br />
o Regel<br />
� Hinzufügen (Sicherheitsregel Assistent)<br />
• Tunnelpunkt (IPSec-Tunnelmodus)<br />
• Netzwerktyp (IPSec-LAN oder<br />
Remotezugriffsverbindungen)<br />
• IP-Filterliste (All ICMP Traffic, All IP Traffic,<br />
benutzerdefinierte IP-Filterliste (DHCP, DNS, WINS etc.))<br />
o IP-Filter-Assistent<br />
• Filteraktion (Permit, Request Security, Require Security)<br />
• Authentifizierungsmethode (Kerberos, Zertifikat,<br />
Schlüsselaustausch)<br />
o Allgemein
Verbindungssicherheitsregeln<br />
Verbindungssicherheitsregeln sind ähnlich wie IPSec-Richtlinienregeln, allerdings<br />
sind Verbindungssicherheitsregeln nicht so leistungsfähig wie IPSec-<br />
Richtlinienregeln.<br />
Verbindungssicherheitsregeln gelten nicht für ausgewählte Protokolle (DNS, Telnet),<br />
sondern sie gelten für den gesamten Verkehr, der von oder zu bestimmten IP-<br />
Adressen, Subnetzen oder Servern läuft.<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> <strong>Windows</strong>-Einstellungen<br />
-> <strong>Windows</strong>-Firewall mit erweiterter Sicherheit -> <strong>Windows</strong>-Firewall mit erweiterter<br />
Sicherheit -> Verbindungssicherheitsregeln<br />
Benutzerdefinierte Verbindungssicherheitsregeln<br />
$mmc wf.msc -> Verbindungssicherheitsregeln -> Neue Regel… -> Assistent für<br />
neue Verbindungssicherheitsregeln<br />
• Regeltyp<br />
o Isoliert – Verkehr für das ausgewählte Netzwerkprofil<br />
(Netzwerkstandorttyp) – Domäne, Privat oder Öffentlich<br />
o Authentifizierungsausnahme – für Computer, Gruppe oder Bereich<br />
von IP-Adessen (Computern) die sich nicht authentifizieren müssen<br />
zum Beispiel für Infrastrukturcomputer wie DHCP-Server auf die ein<br />
Client zugreifen muss bevor er eine Authentifizierung durchführen kann<br />
o Server-zu-Server – authentifiziert die Kommunikation zwischen IP-<br />
Adressen oder IP-Adressblöcken<br />
o Tunnel – IPSec-Tunnelmodus für VPN-Gateways<br />
o Benutzerdefiniert – kombination aus mehreren anderen Regeln oder<br />
selbst definierte Regeln.<br />
• Endpunkte festlegen - Remotecomputer<br />
• Anforderungen – Permit, Request Security, Require Security<br />
• Authentifizierungsmethode – Kerberos, Zertifikat, Schlüsselaustausch<br />
• Profil – aktiv für folgenden Standorttyp: Domäne, Privat oder Öffentlich<br />
• Name – der Verbindungssicherheitsregel<br />
$mmc wf.msc -> Verbindungssicherheitsregeln -> Eigenschaften -> IPSec-<br />
Einstellungen -> IPSec-Standardeinstellungen<br />
• IPSec-Einstellungen anpassen<br />
o Schlüsselaustauschen<br />
o Datenschutzt<br />
o Authentifizierungsmethode<br />
• IPSec-Ausnahmen<br />
o IPSec-Ausschließen (ICMP)
NAT<br />
NAT (Network Adress Translation) – ein Dienst der Private-IP-Adressen, die im LAN<br />
verwendet werden, in öffentliche (WAN) IP-Adressen, die im Internet kommunizieren<br />
übersetzt.<br />
NAT wurde entwickelt, weil öffentliche IP-Adressen im Internet knapp wurden.<br />
NAT ermöglicht Organisationen, Private-IP-Adress-Blöcke zu vergebe, die Hunderte<br />
oder Tausende Hosts Adressieren können. Eine genatete öffentliche IP-Adresse<br />
reicht aus, um die Kommunikation dieser Hosts mit dem Internet zu gewährleisten.<br />
Verschiedene Organisationen können identische Private-IP-Adress-Blöcke vergeben:<br />
192.168.0.0 – 192.168.255.255<br />
172.16.0.0 – 172.31.255.255<br />
10.0.0.0 – 10.255.255.255<br />
PAT (Port Adress Translation) funktioniert wie NAT, übersetzt allerdings auch Ports.
NAT <strong>Konfigurieren</strong><br />
<strong>Windows</strong> Server 2008 kann als NAT-Server eingesetzt werden und stellt zwei NAT-<br />
Dienste bereit:<br />
• Gemeinsame Nutzung der Internetverbindung (Internet Connection<br />
Sharing, ICS) – ist für Heimnetzwerke und kleine Büros gedacht<br />
• Routing- und RAS-Dienste – ist für Organisationen gedacht mit geroutetem<br />
Intranet<br />
ICS benötigt zwei Schnittstellen. Auf der öffentlichen Schnittstelle eine öffentliche IP-<br />
Adresse und auf der internen Schnittstelle eine private.<br />
ICS-Dienst weist automatisch dem ICS-Computer die private IP-Adresse<br />
192.168.0.1 zu und via DHCP, Computern im LAN, IP-Adressen aus dem Bereich<br />
192.168.0.0/24.<br />
ICS-Dienst aktiviert automatisch DHCP-Dienst (ICS-DHCP ist nicht kompatibel zur<br />
Serverrolle DHCP-Server oder dem DHCP-Relay-Agenten und anderen Routing- und<br />
RAS-Komponenten).<br />
ICS-Dienst kann auch VPN- oder DFÜ-Verbindungen verwalten.<br />
Öffentliche Schnittstelle -> Eigenschaften -> Anderen Benutzern im Netzwerk<br />
gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden<br />
Routing und RAS ermöglicht sämtliche NAT-Fähigkeiten zu nutzen.<br />
Routing und RAS hat folgende Vorteile gegenüber ICS:<br />
• Manuelle Konfiguration des internen Netzwerks<br />
• Routen in mehrere interne Netzwerke<br />
• Serverrolle DHCP-Server kompatibel<br />
• Routing- und RAS-Komponenten kompatibel<br />
Routing und RAS NAT-Server aktivieren:<br />
• Schnittstellen<br />
o interne Schnittstelle<br />
o externe Schnittstelle<br />
• NAT<br />
o Serverrolle Netzwerkrichtlinien- und Zugriffsdienste, Rollendienst<br />
Routing- und RAS konfiguriert Netzwerkadressübersetzung (NAT) und<br />
NAT-Internetverbindung<br />
• DHCP<br />
o Serverrolle DHCP-Server (oder)<br />
o Netzwerkrichtlinien- und Zugriffsdienst -> Routing und RAS -> IPv4 -><br />
NAT -> Eigenschaften -> IP-Adressen automatisch mit der DHCP-<br />
Zuweisung zuordnen<br />
• DNS<br />
o Serverrolle DNS-Server (oder)<br />
o Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 -><br />
NAT -> Eigenschaften -> Namensauflösung -> Clients, die DNS<br />
(Domain Name System) verwenden<br />
Ereignisanzeige -> <strong>Windows</strong>-Protokolle -> System (Quelle: SharedAccess_NAT)
Drahtlosnetzwerke<br />
Drahtlosnetzwerkstandards und Drahtlosnetzwerktechnologien:<br />
• 802.11b<br />
o Netzwerkdurchsatz: 11MBit/s real 3-4MBit/s<br />
o Clients kompatible zu 802.11g und 802.11n<br />
• 802.11g<br />
o Netzwerkdurchsatz: 54MBits/s real 10-15MBit/s<br />
o Zugriffspunkt-Modi:<br />
� gemischt (unterstützt 802.11b Clients, verringert die Bandbreite<br />
auf 802.11b)<br />
� reines 802.11g<br />
• 802.11n<br />
o Nachfolger von 802.11b und 802.11g mit höherer Reichweite<br />
o Netzwerkdurchsatz: 250MBit/s real ca. 50MBit/s<br />
o Clients kompatible zu 802.11a, 802.11b und 802.11g<br />
Drahtlosnetzwerksicherheitsstandards:<br />
• Keine Sicherheit<br />
o Keine Verschlüsselung oder Authentifizierung<br />
• WEP (Wired Equivalent Protection)<br />
o Verschlüsselung mit 64-Bit oder 128-Bit und Authentifizierung über eine<br />
Passphrase oder einen Schlüssel<br />
• WPA (Wi-Fi Protection Access)<br />
o WPA-PSK (WPA-Personal) für vorinstallierte Schlüssel, PreShared<br />
Keys. Verwendet statische Schlüssel zur Authentifizierung.<br />
o WPA-EAP (Extensible Authentication Protocol) auch WPA-Enterprise,<br />
übergibt Authentifizierungsanfroderungen an einen Backendserver<br />
(RADIUS).<br />
• WPA2 (IEEE 802.11i) entspricht WPA mit erhöhter Sicherheit<br />
o WPA2-PSK<br />
o WPA2-EAP<br />
Drahtlosnetzwerke-Client <strong>Konfigurieren</strong><br />
Verbindung herstelle -> Verbindung mit einem Netzwerk herstellen -> Zusätzliche<br />
Anmeldeinformationeneingeben oder auswählen -> Anmeldeinformationen -><br />
Netzwerkstandort festlegen<br />
Bootstrap Wireless Profile erlaubt es vor dem Anmelden, Verbindung zu einem<br />
Drahtlosnetzwerk herzustellen.
Drahtlosenetzwerke <strong>Konfigurieren</strong><br />
<strong>Windows</strong> 2008 Server können als RADIUS-Server arbeiten und erreichen so eine<br />
dynamische Drahtlosnetzwerkauthentifizierung, Active Directory integriert.<br />
Netzwerkrichtlinienserver (Network Policy Server, NPS) stellt RADIUS-<br />
Authentifizierung für WPA/WPA2-Enterprise bereit.<br />
• PKI (public key infrastructure) <strong>Konfigurieren</strong><br />
o Serverrolle Active Directory-Zertifikatdienst<br />
o GPO -> Computerkonfiguration -> Richtlinien -> Windos-Einstellungen<br />
-> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -><br />
Zertifikatdiensteclient automatische Registrierung -> Eigenschaften -><br />
Eigenschaften von Zertifikatdiensteclient – automatische Registrierung<br />
-> Konfigurationsmodell -> Aktiviert<br />
• RADIUS-Server <strong>Konfigurieren</strong><br />
o Serverrolle Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste<br />
auswählen -> Netzwerkrichtlinienserver -> Routing- und RAS-Dienste<br />
o Netzwerkrichtlinien- und Zugriffsdienste -> NPS -><br />
Standardkonfiguration -> RADIUS-Server für drahtlose oder verkabelte<br />
802.1X-Verbindungen<br />
� 802.1X konfigurieren -> 802.1X-Verbindungstyp auswählen -><br />
Sichere Drahtlosverbindung<br />
• 802.1X-Swichtes angeben -> Hinzufügen -> Neuer<br />
RADIUS-Client -> Gemeinsamer geheimer Schlüssel -><br />
Manuell/Generieren<br />
� Authentifizierungsmethode konfigurieren -> Typ<br />
• Microsoft: Geschützt EAP (PEAP) – Authentifizierung<br />
durch Computerzertifikate die über PKI und Active<br />
Directory-Zertifikat-Dienst bereitgestellt und als<br />
vertrauenswürdig eingestuft werden.<br />
PEAP ist kompatibel zu NAP.<br />
• Microsoft: Smartcard- oder anderes Zertifikat –<br />
Authentifizierungsmethode ist dieselbe wie bei PEAP, nur<br />
dass der Benutzer eine Authentifizierung via Smartcard<br />
bereitstellt.<br />
• Microsoft: Gesichertes Kennwort (EAP-MSCHAPv2) –<br />
Authentifizierung mit Domänenanmeldeinformationen.<br />
Gesichertes Kennwort erfordert auf RADIUS-Servern<br />
Computerzertifikate zu installieren. Clients müssen der<br />
Zertifizierungsstelle der Zertifikate vertrauen.<br />
� Benutzergruppe -> Hinzufügen (die berechtigt ist<br />
Drahtlosverbindungen herzustellen)<br />
� VLAN -> konfigurieren (um Netzwerkressourcen<br />
einzuschränken)<br />
� Abschließen neuer sicherer verkabelter und drahtloser IEEE<br />
802.1X-Verbindung und RADIUS-Clients<br />
o Netzwerkrichtlinien- und Zugriffsdienste -> NPS -> Server in Active<br />
Directory registrieren
Remotenetzwerke<br />
DFÜ-Verbindungen<br />
DFÜ-Verbindungen (dail-up connection) ist die herkömmliche (und inzwischen<br />
weitgehend veraltete) Remotezugriffstechnik.<br />
DFÜ-Verbdingungen verwenden Clientcomputer ein Modem, um über eine<br />
Telefonleitung, die Verbindung zu einem RAS-Server herzustellen.<br />
DFÜ-Verbindungen Vorteile<br />
• Keine Internetverbindung nötig – DFÜ-Verbindungen verwenden eine<br />
analoge Telefonleitung, um eine Netzwerkverbindung direkt in das interne<br />
Netzwerk aufzubauen. Das interne Netzwerk muss nicht für<br />
Authentifizierungsanforderungen aus dem Internet konfiguriert sein, wie bei<br />
VPN-Verbindungen. Das interne Netzwerk brauch nicht einmal eine<br />
Verbindung zum Internet – eine übliche Anforderung für<br />
Hochsicherheitsnetzwerke.<br />
• Minimale Datenschutzrisiken – DFÜ-Verbindungen bieten zwar keine<br />
Verschlüsselung, aber der Verkehr wird durch ein öffentliches Telefonnetz<br />
(Public Switched Telephone Network, PSTN) geleitet. Sicherheitsexperten<br />
behaupten, dass der Schutz der Daten hier besser ist als im öffentlichen<br />
Internet.<br />
• Konstante Leistung – DFÜ-Verbindungen bieten gleichbleibende,<br />
vorherplanbare Leistung, weil die Verbindung nur von einem einzigen Client<br />
benutzt wird.<br />
DFÜ-Verbindungen Nachteile<br />
• Hohe Kosten für Skalierbarkeit – Viele Mitarbeiter die Remote auf das<br />
interne Netzwerk zugreifen wollen, bedeuten viele Telefonleitungen und viele<br />
Modems.<br />
• Geringe Bandbreite – Modems für herkömmliche analoge Telefonleitungen<br />
sind technisch für eine Bandbreite von 56KBit/s spezifiziert, die reale<br />
Bandbreite beträgt zwischen 20 und 25KBit/s. Zum vergleich, DSL 2000 hat<br />
eine Bandbreite von 1024KBit/s, DSL 16000 eine Bandbreite von 6016KBit/s –<br />
einfache Aufgaben wie Webbrowsen sind mit 25KBit/s also sehr langsam.<br />
Digitale Telefonleitungen, wie zum Beispiel ISDN (Integrated Services Digital<br />
Network) bietet zwar immerhin echte 128KBit/s, aber zu deutlich erhöhten<br />
kosten.
DFÜ-Verbindungen <strong>Konfigurieren</strong><br />
• Modemhardware an den Server anschließen und Modem mit der<br />
Telefonleitung verbinden.<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und<br />
aktivieren -> <strong>Konfigurieren</strong><br />
o RAS (DFÜ oder VPN)<br />
o RAS -> DFÜ<br />
o Netzwerkauswahl<br />
o IP-Adressezuweisung -> Automatisch/Aus einem angegebenen<br />
Adressbereich<br />
� Adressbereichszuweisung<br />
o Mehrere RAS-Server verwalten -> Ja, diesen Server für die<br />
Verwendung eines RADIUS-Servers einrichten/Nein, Routing und RAS<br />
zum Authentifizieren von Verbindungsanforderungen verwenden<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> Eigenschaften -> Allgemein -><br />
Eigenschaften von Routing und RAS<br />
o IPv4-Router -> LAN und bei Bedarf wählendes Routing -> IPv4-RAS-<br />
Server<br />
o IPv6-Router -> LAN und bei Bedarf wählendes Routing -> IPv6-RAS-<br />
Server<br />
o IPv4<br />
� IPv4-Weiterleitung aktivieren<br />
� Dynamic Host Coniguration-Protokoll (DHCP)/Statische<br />
Adresspool<br />
o IPv6<br />
� IPv6-Weiterleitung aktivieren<br />
� Standardroutenankündigung aktivieren/IPv6-Präfixzuweisung<br />
o PPP<br />
o Protokollierung<br />
� Alle Ereignisse protokollieren -> Zusätzliche Routing- und RAS-<br />
Informationen protokollieren<br />
� Keine Ereignisse Protokollieren<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften<br />
o Eigenschaften von Ports -> Modem -> <strong>Konfigurieren</strong><br />
o Geräte konfigurieren<br />
� RAS-Verbindungen<br />
� Rufnummer dieses Geräts
DFÜ-Verbindungen mit RADIUS-Server konfigurieren<br />
DFÜ-RADIUS-Server funktionieren ähnlich wie Drahtlosnetzwerk-RADIUS-Server.<br />
DFÜ-RADIUS-Server authentifizieren Anmeldungen über Modem und Einwahlserver.<br />
Da viele Firmen mehr als ein oder zwei Modems benötigen, wird auf dedizierte<br />
Hardware, eine Modembank, die auch beim Provider stehen kann, gesetzt.<br />
Modembanken nehmen Authentifizierungen an und leiten diese weiter an den<br />
RADIUS-Server.<br />
• Erstellen <strong>einer</strong> Benutzergruppe, der der DFÜ-Zugriff gestattet ist.<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> NPS<br />
o RADIUS-Server für DFÜ- oder VPN-Verbindungen -> VPN oder DFÜ<br />
konfiguration -> VPN oder DFÜ konfigurieren<br />
� DFÜ- oder VPN-Verbindungstyp -> DFÜ-Verbindungen<br />
� Angeben des DFÜ- oder VPN-Server -> Hinzufügen<br />
• Neuer RADIUS-Client<br />
o Anzeigename<br />
o Adresse<br />
o Gemeinsamer geheimer Schlüssel -><br />
Generieren/Manuell<br />
� Authentifizierungsmethoden konfigurieren<br />
� Benutzergruppen<br />
� IP-Filter<br />
• Eingabefilter<br />
• Ausgabefilter<br />
� Angeben der Verschlüsselungseinstellungen<br />
� Bereichsname<br />
DFÜ-Clients <strong>Konfigurieren</strong><br />
Verbindung herstellen -> Eine Verbindung oder ein Netzwerk einrichten -> Wählen<br />
Sie eine Verbindungsoption aus -> Wählverbindung einrichten -> Wählverbindung<br />
einrichten
VPN-Verbindungen<br />
VPN (Virtualle private Netzwerke) befördern Daten durch das öffentliche Internet, im<br />
Gegensatz zu DFÜ-Verbindungen die Daten durch das öffentliche Telefonnetz leiten.<br />
VPN-Verbindungen brauchen womöglich keine zusätzliche Bandbreite, da die<br />
Organisation schon eine Internetanbindung hat, deren Bandbreite ausreicht.<br />
VPN-Verbindungen<br />
• Höhere mögliche Bandbreite – theoretisch kann die VPN-Bandbreite so<br />
hoch sein wie die Internetverbindung von Client bzw. VPN-Server es zulässt.<br />
Die Bandbreite <strong>einer</strong> Internetverbindung beträgt selbst bei schlechten<br />
Bedingungen min. das Zehnfache <strong>einer</strong> Modemverbindung.<br />
• Geringe Kosten – sowohl VPN-Server als auch Clients, müssen mit dem<br />
Internet verbunden sein. Die meisten Organisationen haben aber schon eine<br />
Internetanbindung und viele Benutzer haben Internetzugriff, während sie<br />
zuhause oder auf reisen sind. Daher fallen keine Verbindungskosten an, wenn<br />
VPNs benutzt werden, unabhängig davon, wie viele eingehende<br />
Verbindungen bedient werden. Falls eingehende Verbindungen mehr<br />
Bandbreite benötigen, muss unter umständen mehr Bandbreite oder eine<br />
weitere Leitung bei einem Internetprovider gekauft werden. Die kosten werden<br />
wahrscheinlich viel geringer als die Anschaffungskosten für eine<br />
entsprechende Zahl von Telefonleitungen und Modems für DFÜ-<br />
Verbindungen sein.<br />
VPNs haben Nachteile<br />
• Internetverbindung nötig – VPN-Server und somit das interne Netzwerk,<br />
muss mit dem Internet verbunden sein und eingehenden VPN-Verkehr durch<br />
alle Firewalls erlauben. Benutzer müssen zudem eine Internetverbindung<br />
haben, um ein VPN verwenden zu können. Einer der folgenden Ansätze<br />
werden normalerweise verwendet:<br />
o Vertrag mit einem Internetprovider, um den Internetzugriff für alle<br />
Benutzer zu ermöglichen, entweder über DFÜ-Verbindungen oder eine<br />
Breitbandverbindung, zum Beispiel ein Kabelmodem oder DSL.<br />
o Benutzer (VPN-Clients) müssen selbst einen Internetprovider finden.<br />
Da die meisten Benutzer heutzutage einen Internetanschluss zuhause<br />
haben und Benutzer die auf Reisen sind, Internetverbindungen oft über<br />
öffentliche Hotspots oder im Hotel, bzw. über<br />
Drahtlosbeitbrandverbindungen herstellen können, stellt dies kein<br />
Problem dar.<br />
• Schlechte Latenz – sogar bei sehr hoher Bandbreite, wirken VPN-<br />
Verbindungen oft langsam. Die Ursache ist eine hohe Latenz. Latenz ist die<br />
Verzögerung, die auftritt, wenn ein Paket von einem Client zu einem Server<br />
befördert wird. Die Latenz bei <strong>einer</strong> VPN-Verbindung kann oft um ein<br />
Vielfaches größer sein als die <strong>einer</strong> DFÜ-Verbindung.<br />
• Schlechte Effizienz bei DFÜ-Verbindungen – es ist zwar möglich, eine<br />
Einwahlverbindung ins Internet aufzubauen und dann eine Verbindung mit<br />
einem VPN aufzubauen, aber der zusätzliche Aufwand für VPN und Latenz,<br />
die durch das Internet hinzukommt, verschlechtert die Leistung gegenüber<br />
<strong>einer</strong> direkten DFÜ-Verbindung zu einem RAS-Server. Falls Benutzer über<br />
eine DFÜ-Verbindung auf das Internet zugreifen, erhalten sie viel bessere<br />
Leistung, wenn sie sich stattdessen gleich direkt in das Intranet einwählen.
VPN-Verbindungen <strong>Konfigurieren</strong><br />
<strong>Windows</strong> Server 2008, <strong>Windows</strong> Vista und <strong>Windows</strong> 7 unterstützen drei VPN-<br />
Technologien:<br />
• PPTP (Point-to-Point Tunneling Protocol)<br />
o PPP-Authentifizierungsmethoden (Point-to-Point Protocol) für die<br />
Benutzerauthentifizierungn<br />
o MPPE (Microsoft Point-to-Point Encryption) für die Datenverschlüsselung<br />
o keine Clientzertifikate, wenn die Authentifizierung PEAP-MS-CHAP,<br />
EAP-MS-CHAPv2 oder MS-CHAPv2 verwendet wird<br />
o Microsoft Technologie<br />
• L2TP (Layer Two Tunneling Protocol)<br />
o PPP-Authentifizierungsmethoden für Benutzerauthentifizierung<br />
o IPSec für Peerauthentifizierung auf Computerebene,<br />
Datenauthentifizierung, Datenintegrität und Datenverschlüsselung<br />
o Computerzertifikate für VPN-Clients und VPN-Server (Active Directory-<br />
Zertifikatsdienste)<br />
o IPv6 kompatibel<br />
o VPN-Technologie nach offenen Standards<br />
• SSTP (Secure Socket Tunneling Protocol)<br />
o PPP-Authentifizierungsmethode für Benutzerauthentifizierung<br />
o SSL (Secure Socket Layer) Datenauthentifizierung, Datenintegrität und<br />
Datenverschlüsselung<br />
o HTTP-Kapselung ermöglicht SSTP auf Port 443 durch die meisten<br />
Firewalls zu gelangen<br />
o Computerzertifikat auf dem VPN-Server, Clients müssen der<br />
Zertifizierungsstelle vertrauen<br />
o Unterstützt auf Betriebssystemen ab <strong>Windows</strong> Vista SP1<br />
<strong>Windows</strong> 2008 Server unterstützt in den Standardeinstellungen alle drei VPN-<br />
Technologien gleichzeitig. Einzelne Protokolle können auch deaktiviert werden.
VPN-Server konfigurieren<br />
• Zwei Netzwerkkarten<br />
o externe Netzwerkkarte<br />
o interne Netzwerkkarte<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und<br />
aktivieren<br />
o <strong>Konfigurieren</strong> -> RAS (DFÜ oder VPN)<br />
o RAS -> VPN<br />
o VPN-Verbindung<br />
o Netzwerkauswahl<br />
o IP-Adresszuweisung -> Authomatisch/Aus einem angegebenen<br />
Adressbereich<br />
o Mehrere RAS-Server verwalten<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften -><br />
Eigenschaften von Ports -> <strong>Konfigurieren</strong><br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> IPv4 -> DHCP-Relay-Agent<br />
• $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und<br />
Zugriffsdienste -> Routing und RAS -> IP(v4|v6) -> Allgemein -><br />
Eigenschaften -> Allgemein -> Eingehende Filter oder Ausgehende Filter<br />
VPN-Client <strong>Konfigurieren</strong><br />
Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> Verbindung<br />
trennen oder Verbindung zu einem anderen Netzwerk herstellen -> Wählen sie eine<br />
Verbindungsoptionen -> Verbindung mit dem Arbeitsplatz herstellen -> Möchten Sie<br />
eine bestehende Verbindung verwenden -> Nein, Neue Verbindung erstellen -> Wie<br />
möchten sie eine Verbindung herstellen -> Die Internetverbindung (VPN) verwenden<br />
-> Geben Sie die Internetadresse zum Herstellen <strong>einer</strong> Verbindung ein -> Geben Sie<br />
den Benutzernamen und das Kennwort ein -> Dieses Kennwort speichern -><br />
Verbinden<br />
Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> VPN-<br />
Verbindung<br />
VPN-Verbindungen über PPTP nutzt GRE was auf Port 1723 abhört.
Verbindungseinschränkungen <strong>Konfigurieren</strong><br />
Server-Manager -> Richtlinien -> Netzwerkrichtlinien -> Zu ändernde Richtline -><br />
Eigenschaften -> Bedingungen -> Hinzufügen<br />
• Bedingungen auswählen<br />
o <strong>Windows</strong>-Gruppen, Computergruppen und Benutzergruppen<br />
o Tag- und Uhrzeiteinschränkungen<br />
o IPv4-Adresse für Zugriffsclient und IPv6-Adresse für Zugriffsclient<br />
o Client-IPv4-Adresse und Client-IPv6-Adresse<br />
o NAS IPv4-Adresse und NAS IPv6-Adresse<br />
o Authentifizierungstyp, Zulässige EAP-Typen, Eingerahmtes<br />
Protokoll, Diensttyp und Tunneltyp<br />
o Anrufer-ID<br />
o NAS-Porttyp<br />
• Einschränkungen (Leerlaufzeit)<br />
• Einstellungen (NAP-Einstellungen)
<strong>Windows</strong>-Firewall <strong>Konfigurieren</strong><br />
<strong>Windows</strong>-Firewall filtert eingehenden und ausgehenden Verkehr. <strong>Windows</strong>-Firewall<br />
ist also ein Packetfilter.<br />
$mmc wf.msc<br />
$netstat -a -b<br />
Aktive Verbindungen<br />
Proto Lokale Adresse Remoteadresse Status<br />
TCP 0.0.0.0:53 Dcsrv1:0 Abhören<br />
[dns.exe]<br />
Firewallprofile bilden Container in denen Firewallregeln gespeichert werden<br />
können.<br />
Firewallprofile erlauben es mobilen Computern, auf verschiedene Netzwerk- und<br />
Standorttypen zu reagieren.<br />
Firewallprofile sind standardmäßig drei unter <strong>Windows</strong> Vista, <strong>Windows</strong> 7 und<br />
<strong>Windows</strong> Server 2008 vorhanden:<br />
• Domäne – wird angewendet wenn der Computer sich in <strong>einer</strong> Active<br />
Directory-Umgebung befindet<br />
o Eingehender Verkehr<br />
� Datei- und Druckerfreigaben etc.<br />
o Ausgehender Verkehr<br />
� Alles zugelassen<br />
• Privat – wird standardmäßig nicht angewendet. Manuell angewendet, kann<br />
das Profil in einem vertrauenswürdigen, privaten Netzwerk sinnvoll sein.<br />
o Eingehender Verkehr<br />
� Datei- und Druckerfreigaben etc.<br />
o Ausgehender Verkehr<br />
� Alles zugelassen<br />
• Öffentlich – das Standardprofil, das auf alle Netzwerke angewendet wird,<br />
wenn kein Domänencontroller zur Verfügung steht. In den<br />
o Eingehender Verkehr<br />
� Nicht zugelassen<br />
o Ausgehender Verkehr<br />
� Alles zugelassen<br />
Server sind normal in eine Domänenumgebung eingebunden. Falls dies nicht der<br />
Fall ist sollten alle drei Profile mit denselben Firewallregeln konfiguriert sein.
Firewallregeln sind in eingehende und ausgehende Regeln unterteilt.<br />
Firewallregeln – etliche sind vordefiniert, zum Beispiel Regeln für NFS oder ICMP.<br />
Firewallregeln die nicht automatisch von installierten Programmen erstellt werden,<br />
müssen unter umständen nachkonfiguriert werden:<br />
$mmc wf.msc -> Eingehende/Ausgehende Regeln<br />
Regeltyp<br />
• Programm – Ausführbare Dateien - Hier ist es egal welchen Port das<br />
Programm öffnet<br />
• Port – Kommunikation über einen bestimmte TCP- oder UDP-Portnummer<br />
• Vordefiniert – <strong>Windows</strong>-Komponente steuert. Bsp.: Active Directory-<br />
Domänendienst, Datei- und Druckerfreigabe oder Remotedesktop<br />
Normalerweise aktiviert <strong>Windows</strong> diese Regel automatisch<br />
• Benutzerdefiniert – Programm und Port Kombination.<br />
Aktionen<br />
• Verbindung zulassen<br />
• Verbindung zulassen, wenn sie sicher ist – IPSec AH<br />
o Verschlüsselung ist für Verbindung erforderlich – IPSec AH und<br />
ESP<br />
o Regel zum Blocken außer Kraft setzen – Setzt andere blockierende<br />
Regeln mit derselben Regeltypkonfiguration außer kraft, für bestimmte<br />
Computer oder Benutzer<br />
• Verbindung blocken<br />
Profil (Server sollten Regeln auf alle drei Profiltypen anwenden)<br />
• Domäne<br />
• Privat<br />
• Öffentlich<br />
Firewallregeln für ausgehende Verbindungen sind standardmäßig unter <strong>Windows</strong><br />
Server 2008 nicht aktiviert, sie sollten für den Notfall aber dennoch konfiguriert sein<br />
um den ausgehenden Filter schnell aktivieren zu können. Dabei sollte die<br />
grundlegende Netzwerkfunktionalität erhalten bleiben. Standardeinstellungen für<br />
ausgehende Regeln sind:<br />
• DHCP-Anforderung<br />
• DNS-Anforderung<br />
• Gruppenrichtlinienkommunikation<br />
• IGMP (Internet Group Management Protocol)<br />
• IPv6
Firewallregelbereiche (scopes) bieten die Möglichkeit Verbindungen aus Internen<br />
und Externen Netzwerken zu erlauben oder zu verbieten. Zum Beispiel:<br />
• Alle Verbindungen aus dem Internet auf Port 80 erlauben (Webserver),<br />
während Benutzer aus dem internen Netzwerk auch zugriff auf Port 80 haben,<br />
dem Intranetwebserver.<br />
• Interne Server dürfen nur Verbindungen zu internen Subnetz aufbauen.<br />
• Datensicherungsprogramme dürfen nur Verbindung zum<br />
Datensicherungsserver aufbauen.<br />
$mmc wf.msc -> Eingehende/Ausgehende Regeln -> Regelname -> Eigenschaften<br />
-> Remote-IP-Adressen -> Hinzufügen -> IP-Adresse<br />
• Diese IP-Adresse oder Subnetz – 10.0.42.23 oder 192.168.3.0/24<br />
• Dieser IP-Adressbereich – 192.168.2.1-192.168.2.254<br />
• Vordefinierte Computersätze – Standardgateway, WINS-Server, DNS-<br />
Server, DHCP-Server oder Lokales Subnetz
Manuelle Zugriffssteuerung wird mit autorisieren von Verbindungen (IPSec-<br />
Verbindungssicherheit) in <strong>einer</strong> Active Directory-Umgebung realisiert.<br />
Autorisierte Verbindungen greifen hierfür auf Remotecomputer oder –<br />
benutzerautorisierung über IPSec zurück.<br />
Autorisierte Verbindungen können zum Beispiel sicher stellen, dass sich Benutzer<br />
authentifizieren als zugehörige der Gruppe Buchhaltung, bevor sie zugriff auf Port<br />
3096 des Servers erhalten, auf dem die Buchhaltungssoftware läuft.<br />
$mmc wf.msc -> Eingehende/Ausgehende Regel -> Eigenschaften -> Allgemein -><br />
Nur sichere Verbindungen zulassen<br />
Benutzer und Computer (Eingehende Regel)/Computer (Ausgehende Regel)<br />
• Autorisierte Computer -> Nur Verbindungen von diesen Computern zulassen<br />
• Autorisierte Benutzer -> Nur Verbindungen von diesen Benutzern zulassen<br />
Firewalleinstellungen mit Gruppenrichtlinien können lokal oder mit der Konsole<br />
<strong>Windows</strong>-Firewall mit erweiterter Sicherheit vorgenommen werden.<br />
Firewalleinstellungen die auf <strong>Windows</strong> Vista, <strong>Windows</strong> 7, <strong>Windows</strong> Server 2008 und<br />
<strong>Windows</strong> Server 2008 R2 angewendet werden:<br />
$mmc wf.msc<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> <strong>Windows</strong>-Einstellungen<br />
-> Sicherheitseinstellungen -> <strong>Windows</strong>-Firewall mit erweiterter Sicherheit<br />
Firewalleinstellungen die auf <strong>Windows</strong> XP, <strong>Windows</strong> Vista, <strong>Windows</strong> 7, <strong>Windows</strong><br />
Server 2003, <strong>Windows</strong> Server 2008 und <strong>Windows</strong> Server 2008 R2 angewendet<br />
werden:<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen<br />
-> Netzwerk -> Netzwerkverbindungen -> <strong>Windows</strong>-Firewall<br />
Firewalleinstellungen erziehlen optimale Ergebnisse, wenn getrennte<br />
Gruppenrichtlinienobjekte für <strong>Windows</strong> Vista/7/Server 2008 und <strong>Windows</strong> XP/Server<br />
2003 erstellt werden. Mit Hilfe von WMI-Abfragen, können die<br />
Gruppenrichtlinienobjekte auf die Computer angewendet werden, auf dem die<br />
entsprechende <strong>Windows</strong>-Version läuft.<br />
$mmc wf.msc -> Firewall-Symbol -> Eigenschaften -> Domänenprofil/Privates<br />
Profil/Öffentliches Profil -> Protokollierung -> Anpassen -><br />
Protokollierungseinstellungen anpassen<br />
• Verworfene Pakete protokollieren<br />
• Erfolgreiche Verbindung protokollieren<br />
%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
Netzwerkzugriffschutz <strong>Konfigurieren</strong><br />
NAP (Network Access Protection) dient dazu, Hosts abhängig von ihrem aktuellen<br />
Integritätsstatus mit unterschiedlichen Netzwerksressourcen zu verbinden. Die<br />
Unterteilung der Netzwerkressourcen kann mit Hilfe von virtuellen LANs (VLANs), IP-<br />
Filtern, IP-Subnetzzuweisung, statischen Routen oder IPSec-Erzwingung<br />
implementiert werden.<br />
Wartungsnetzwerke sollten aus Sicherheitsgründen einen schreibgeschützten<br />
Domänencontroller, sowie eigene DHCP- und DNS-Server (die von der übrigen<br />
Infrastruktur getrennt sind) enthalten. So verringert sich das Risiko, dass sich<br />
Malware von inkompatiblen (in das Wartungsnetzwerk geleiteten) Computern im<br />
produktiven, privaten Netzwerk verbreitet.
NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem<br />
sie den Netzwerkzugriff entweder erlauben oder verbieten:<br />
• IPSec-Verbindungssicherheit<br />
IPSec-Erzwingung zwingt Clients eine NAP-Integritätsprüfung zu bestehen,<br />
bevor sie ein Integritätszertifikat erhalten.<br />
IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSec-<br />
Verbindungssicherheit notwendig sind, ohne die ein Client keine IPSecgeschützte-Verbindung<br />
zu einem Host herstellen kann.<br />
IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder<br />
TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen<br />
eingehalten werden.<br />
IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority,<br />
CA), auf der <strong>Windows</strong> Server 2008-Zertifikatdienste laufen. NAP muss<br />
Integritätszertifikate unterstützen.<br />
Produktivumgebungen sollten aus Redundanzgründen mindestens zwei<br />
Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht<br />
verwendet werden.<br />
IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die<br />
IPSec unterstützen.<br />
• 802.1X-Zugriffspunkte<br />
802.1X-Authentifizierung verwendet Ethernetswitches oder<br />
Drahtloszugriffspunkte.<br />
802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen<br />
Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz<br />
verbunden oder abgelehnt.<br />
802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem<br />
Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt<br />
sind.<br />
802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche<br />
Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer<br />
enthalten:<br />
o Zugriffssteuerungsliste (Access Control List, ACL) sind IPv4- und<br />
IPv6-Paketfilter, die auf 802.1X-Zugriffsgeräten konfiguriert werden.<br />
ACL werden normal auf inkompatible Computer angewendet,<br />
kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL.<br />
ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern<br />
untereinander einzuschränken.<br />
802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und<br />
verwerfen alle Pakete, die von der ACL nicht erlaubt sind.<br />
o VLAN (Virtual Local Area Networks) sind Gruppen von Ports die auf<br />
Switches zusammengefasst werden und ein separates Netzwerk<br />
bilden.<br />
VLANs können nur kommuniziere, wenn sie über einen Router<br />
verbunden werden.<br />
VLANs werden anhand <strong>einer</strong> VLAN-ID identifiziert, die auf den<br />
Switches selbst konfiguriert werden.<br />
NAP kann festlegen in welches VLAN kompatible, inkompatible oder<br />
nicht authentifizierte Computer verschoben werden.<br />
VLAN Nachteile sind zum Beispiel:<br />
• Netzwerkkonfiguration muss geändert werden, wenn ein NAP-<br />
Client auf einen kompatiblen NAP-Client hochgestuft wird.
• NAP-Clients erhalten womöglich keine<br />
Gruppenrichtlinienaktualisierung weil die Netzwerkkonfiguration<br />
während des Benutzeranmeldevorgangs durchgeführt wird.<br />
• NAP-Clients die inkompatibel sind können innerhalb eines<br />
VLANs kommunizieren<br />
• VPN-Server<br />
VPN-Erzwingung implementiert NAP für Remotezugriffsverbindungen die über<br />
einen VPN-Server mit <strong>Windows</strong> Server 2008 und Routing und RAS laufen.<br />
VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff.<br />
VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern<br />
auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff<br />
auf eine Wartungsservergruppe einzuschränken.<br />
VPN-Erzwingung kann IPv4- und IPv6-Paketfilter erzwingen.<br />
• DHCP-Server<br />
DHCP-Erzwingung verwendet einen <strong>Windows</strong> 2008 Server, auf dem der<br />
DHCP-Serverdienst läuft und Intranetclients IP-Adressen zuweist.<br />
DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die<br />
vollständigen Netzwerkzugriff gewährt. Inkompatible Computer bekommen<br />
eine IP-Adresse mit der Subnetzmaske 255.255.255.255 und ohne<br />
Standardgateway zugewiesen.<br />
DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von<br />
Hostrouten zu Netzwerkressourcen in <strong>einer</strong> Wartungsservergruppe.<br />
DHCP-Erzwingung wird durch den NAP-Client erneut eingeleitet wenn sich<br />
der Integritätsstatus verändert, indem eine DHCP-Erneuerung eingeleitet wird.<br />
DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung<br />
inkompatibel werden.<br />
DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand<br />
konfiguriert wird.<br />
NAP-Integritätsprüfung findet zwischen zwei Komponenten statt:<br />
• Systemintegritätsagent (System Health Agent, SHA)<br />
o Clients erstellen SoH (Statement of Health), das die Systemintegrität<br />
des Clientcomputers beschreibt.<br />
o Kompatibel mit <strong>Windows</strong> XP SP3, <strong>Windows</strong> Vista, <strong>Windows</strong> 7 und<br />
<strong>Windows</strong> Server 2008<br />
• Systemintegritätsprüfung (System Health Validation, SHV)<br />
o Server anaylisieren SoH und erstellen als Antwort ein SoHR<br />
(Statement of Health Response)<br />
o NAT-Integritätsrichtlinien legen anhand der SoHRs fest, welche<br />
Zugriffsebene der Client erhält.<br />
o <strong>Windows</strong> Server 2008 enthält einen SHV für SHA, kompatibel zu<br />
<strong>Windows</strong> XP, <strong>Windows</strong> Vista und <strong>Windows</strong> 7.
Netzwerkrichtlinienserver <strong>Konfigurieren</strong><br />
NAP läuft mit <strong>Windows</strong>-Server 2008-NAP-Integritätsrichtlinienserver (health policy<br />
server), der als RADIUS-Server agiert.<br />
NAP kann ebenfalls mit einem vorhandenen RADIUS-Server, <strong>Windows</strong> 2003 oder<br />
<strong>Windows</strong> Server 2008 und Internetauthentifizierungsdienst (Internet Authentication<br />
Service, IAS) zusammenarbeiten.<br />
NAP-Intigritätsrichtlinienserver sollten redundant sein, es sollten also mindestens<br />
zwei Intigritätsrichtlinienserver vorhanden sein, da bei einem Ausfall, ein Client sich<br />
nicht mehr mit dem Netzwerk verbinden kann.<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -><br />
Rollendienste -> Netzwerkrichtlinienserver<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -><br />
NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren<br />
NAP-Erzwingung muss aktiviert werden. Welche Schritte dafür notwendig sind,<br />
hängt davon ab, ob IPSec-, 802.1X-, DHCP- oder VPN-Erzwingung eingesetzt<br />
werden soll.<br />
NAP-Erzwingung mit IPSec benötigt den Rollendienst Integritätsregistrierungsinstanz<br />
(HRA, Health Registration Authority) und Active Directory-Zertifikatsdienst, sofern<br />
noch nicht vorhanden, für die PKI. HRA benötigt die PKI und einen IIS.<br />
NAP-Erzwingung mit Hilfe von IPSec:<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -><br />
NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Auswahl der<br />
Netzverbindungsmethode zur Verwendung mit NAP -> IPSec mit<br />
Integritätsregistrierungstelle (HRA)<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -><br />
NPS -> Richtlinien<br />
• Verbindungsanforderungsrichtlinien<br />
o NAP IPSec mit HRA<br />
• Integritätsrichtlinien<br />
o NAP IPSec mit HRA Kompatibel<br />
o NAP IPSec mit HRA Nicht kompatibel<br />
• Netzwerkrichtlinien<br />
o NAP IPsec mit HRA Kompatibel<br />
o NAP IPSec mit HRA Nicht kompatibel<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -><br />
NPS -> Integritätsregistrierungsstelle -> Zertifizierungsstelle<br />
NAP-Erzwingung mit 802.1X benötigt in den meisten Fällen auch eine PKI wegen<br />
des RADIUS-Servers. Nachdem die 802.1X-Authentifizierungsswitches konfiguriert<br />
wurden.<br />
NAP-Erzwingung mit 802.1X kann ebenfalls über den Assistenten NAP-<br />
<strong>Konfigurieren</strong>, hier müssen Regeln für VLANs und ACLs erstellt werden.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -><br />
NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> <strong>Konfigurieren</strong> von<br />
VLANs (virtuelle LANs)<br />
NAP-Erzwingung mit DHCP benötigt die Angabe von Wartungsservern und falls<br />
DHCP nicht auf dem NPS-Server installiert ist einen RADIUS-Proxy.<br />
NAP-Erzwingung mit DHCP muss anschließend aktiviert werden.<br />
$mmc servermanager.msc -> Rollen -> DHCP-Server -> -><br />
IPv4 -> Eigenschaften -> Netzwerkzugriffsschutz-Einstellen<br />
NAP-Erzwingung benötigt den NAP-Clienten des Client-Computers der mit<br />
Gruppenrichtlinienobjekten konfiguriert werden kann.<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> <strong>Windows</strong>-Einstellungen<br />
-> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration<br />
-> Intigritätsregistrierungseinstellungen -> Vertrauenswürdige Servergruppe<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> <strong>Windows</strong>-Einstellungen<br />
-> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration<br />
-> Erzwingungsclients<br />
NAP-Clienten benötigen den Dienst NAP-Agent (Network Access Protection).<br />
$netsh nap client show state<br />
NAP-Integritätsanforderungsrichtlinien legen fest welche Clients<br />
Integritätsanforderungen erfüllen müssen.<br />
NAP-Integritätsanforderungsrichtlinien sind eine Kombination aus folgenden<br />
Elementen:<br />
• Verbdingunsanforderungsrichtlinie<br />
• Systemintegritätsprüfungen<br />
• Wartungsgruppe<br />
• Integritätsrichtlinie<br />
• Netzwerkrichtlinien<br />
NAP-SHVs unter <strong>Windows</strong> Server 2008 enthält standardmäßig nur die <strong>Windows</strong>-<br />
Sichherheitsintegritätsprüfung.<br />
NAP-SHVs können auch von Fremdherstellern implementiert werden.<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -><br />
NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung
NAP-Wartungsserver sollten es einem inkompatiblen Computer ermöglichen, seine<br />
Systemintegrität zu korrigieren. Folgende Wartungsserver sollten vorhanden sein:<br />
• DHCP-Server<br />
• DNS-Server und WINS-Server<br />
• Active Directory-Domänencontroller (schreibgeschützt)<br />
• Internetproxyserver<br />
• HRAs (das NAP-Clients Integritätszertifikate für IPsec-Erzwingung abrufen<br />
können)<br />
• IIS-Server (Problembehandlungs-URL-Server, der eine Website vorhält um<br />
Benutzer über das Problem zu informieren)<br />
• Antivirenupdateserver<br />
• Antispywareupdateserver<br />
• Softwareupdateserver<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -><br />
NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung -> Einstellungen -> NAP-<br />
Erzwingung -> <strong>Konfigurieren</strong> -> Wartungserver und Problembehandlungs-URL<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -><br />
NPS -> Netzwerkzugriffsschutz -> Wartungsservergruppe<br />
NAP-Netzwerkrichtlinien stellen fest, ob eine Verbindungsanforderung bestimmte<br />
Bedingungen erfüllt, zum Beispiel eine Integritätsrichtlinie oder ob ein Computer<br />
NAP-fähig ist.<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -><br />
NPS -> Richtlinien -> Netzwerkrichtlinien<br />
NAP-Überwachungsmodus ist besonders in der Anfangsphase der NAP-<br />
Bereitstellung sinnvoll, um inkompatiblen Computern zu erlauben, Verbindungen zu<br />
allen Netzwerkressourcen herzustellen.<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -><br />
NPS -> Richtlinien -> Netzwerkrichtlinien -> NAP-IPSec mit HRA Nicht kompatibel -><br />
Einstellungen -> NAP-Erzwingen -> Vollständigen Netzwerkzugriff gewähren<br />
NAP-Protokollierung dient dazu, inkompatible Computer zu identifizieren.<br />
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -><br />
NPS -> Eigenschaften -> Allgemein -> Abgelehnte Authentifizierungsanforderungen<br />
$mmc servermanager.msc -> Diagnose -> Ereignisanzeige -> <strong>Windows</strong>-<br />
Protokolle -> Sicherheit<br />
$mmc eventvwr.msc -> Anwendungs- und Dienstprotokolle -> Microsoft -><br />
<strong>Windows</strong> -> Netzwork Access Protection -> Operational
WSUS<br />
WSUS (<strong>Windows</strong> Server Update Service) verwaltet, genehmigt und verteilt <strong>Windows</strong>-<br />
Updates und Microsoft-Updates in Organisationsnetzwerken.<br />
WSUS-Clients, unter <strong>Windows</strong> XP und <strong>Windows</strong> 2000, Automatische Updates-<br />
Client, ist die Komponente die <strong>Windows</strong>-Updates von WSUS-Server abruft.<br />
$mmc wsus.msc<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen<br />
-> <strong>Windows</strong>-Komponenten -> <strong>Windows</strong> Update<br />
• Interner Pfad für den Microsoft Updatedienst angeben<br />
• Automatische Updates <strong>Konfigurieren</strong><br />
• Suchhäufigkeit für automatische Updates<br />
• Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten<br />
• Automatische Updates sofort installieren<br />
• Empfohlene Updates über automatische Updates aktivieren<br />
• Keinen automatischen Neustart für geplante Installationen durchführen<br />
• Erneut zu einem Neustart für geplante Installationen auffordern<br />
• Neustart für geplante Installationen verzögern<br />
• Zeitplan für geplante Installationen neu erstellen<br />
• Clientseitige Zielzuordnung aktivieren<br />
• <strong>Windows</strong> Update-Energieverwaltung aktivieren, um System zur Installation<br />
von geplanten Updates automatisch zu reaktiveren<br />
• Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienst<br />
WSUS-Server sollten für jedes LAN vorgehalten werden. Das bedeutet, wenn eine<br />
Organisation mehrere Niederlassungen hat, sollte jede Niederlassung einen WSUS-<br />
Server bereitstellen. WSUS-Clients sollten ihre Updates immer aus dem LAN<br />
herunterladen können.<br />
WSUS-Server können als Downstreamserver konfiguriert werden.<br />
WSUS-Downstreamserver holen Updates von einem Upstreamserver.<br />
WSUS-Kopie stellt Updates nicht lokal bereit sondern weißt WSUS-Clients an, die<br />
Updates direkt von Microsoft herunterzuladen.<br />
WSUS-Bereitstellung berücksichtigt folgende Voraussetzungen:<br />
• WSUS-Server benötigt Internet, HTTP-Verbindung<br />
• WSUS-Downstreamserver benötigen eine Verbindung via HTTP zum WSUS-<br />
Upstreamserver über Port 80 oder via HTTPS auf Port 443<br />
• WSUS-Clients benötigen eine Intranet-Verbindung zum WSUS-Server über<br />
HTTP oder HTTPS<br />
• WSUS-Clients sind kompatibel zu:<br />
o <strong>Windows</strong> 2000 SP3 oder SP4<br />
o <strong>Windows</strong> XP Professional<br />
o <strong>Windows</strong> Vista<br />
o <strong>Windows</strong> Server 2003<br />
o <strong>Windows</strong> Server 2008
WSUS-Installations-Planung<br />
1. Updatequelle<br />
• Direkt von Microsoft<br />
• WSUS-Upstreamserver<br />
2. Replikation von Genehmigungen und Konfiguration<br />
• kopie - Synchronisierung von Genehmigungen, Einstellungen,<br />
Computern und Gruppen vom WSUS-Upstreamserver<br />
• autonom<br />
3. Updatespeicherung<br />
• WSUS-Server kopiert Updates und speichert sie lokal<br />
• Clients kopieren Updates direkt von Microsoft<br />
4. Datenbank<br />
• C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf<br />
• Auch MS SQL möglich<br />
5. Websiteauswahl<br />
• WSUS benötigt IIS<br />
• Verbindungen über HTTP/HTTPS<br />
6. Sprache<br />
7. Produkte<br />
• Microsoft Updates<br />
• <strong>Windows</strong> Updates<br />
WSUS-Überwachung um fehlgeschlagene Updates zu lokalisieren<br />
• <strong>Windows</strong> Update-Konsole $mmc wsus.msc<br />
• Microsoft System Center Configuration Manager 2007<br />
• Microsoft Basline Security Analyzer (MBSA)<br />
• Netzwerkzugriffsschutz (Netzwork Access Protection, NAP)<br />
WSUS-Konfiguration<br />
1. WSUS-Optionen optimieren<br />
2. Computergruppen, mit denen die Updates zu unterschiedlichen Zeiten auf<br />
unterschiedliche Gruppen von Computern verteilt werden können<br />
3. Clientcomputer konfigurieren für das abfrufen von Updates vom WSUS-<br />
Server<br />
4. Testen und Genehmigen von Updates<br />
5. Auswerten von Berichten auf Erfolg oder Misserfolg<br />
WSUS-Optionen<br />
• Updatequelle und Proxyserver<br />
• Produkte und Klassifizierungen<br />
• Dateien und Sprachen aktualisieren (d.h. Updatedateien und -sprachen)<br />
• Synchronisierungszeitplan<br />
• Automatische Genehmigungen<br />
• Computer<br />
• Assistent für Serverbereinigung<br />
• Berichterstattungsrollup<br />
• E-Mail-Benachrichtigung<br />
• Programm zur Verbesserung von Microsoft Update<br />
• Personalisierung
• Assistent für die WSUS-Serverkonfiguration<br />
WSUS-Computergruppen dienen dazu Computermodelle (x86/x64) oder<br />
Organisationseinheiten für Updates zu definieren. Es gibt zwei Möglichkeiten<br />
Computergruppen zu konfigurieren:<br />
• Serverseitige Zuordnung<br />
o Eignet sich für kleine Organisationen<br />
o Konfiguration über die Update Service Konsole<br />
o mmc wsus.msc<br />
• Clientseitige Zuordnung<br />
o Eignet sich auch für große Organisationen<br />
o Konfiguration über Gruppenrichtlinieneinstellungen<br />
o mmc wsus.msc -> Optionen -> Computer Gruppenrichtlinien oder<br />
Registrierungseinstellungen auf Computern verwenden<br />
o mmc gpmc.msc -> Computerconfiguration -> Richtlinien -><br />
Adminsitrative Vorlagen -> <strong>Windows</strong>-Komponenten -> <strong>Windows</strong><br />
Updates<br />
WSUS-Problembehandlung<br />
• Anwendungsereignisprotokoll<br />
o Synchronisierungsereignisse und –Fehler, Datenbankfehler<br />
o Detailierte Berichte<br />
• %SystemDir%\%Programmfiles%\Updates<br />
Services\LogFiles\Change.txt<br />
o Updateinstallations-, Synchronisierungs und WSUS-<br />
Konfigurationsänderungs Einträge<br />
o Allgemeine Berichte<br />
• %SystemRoot%\%Programmfiles%\Update<br />
Services\LogFiles\SoftwareDistribution.txt<br />
o Debuglog<br />
o Detailierte Ablaufberichte<br />
WSUS-Client-Problembehandlung<br />
• %SystemRoot%\WindwosUpdate.log<br />
o Welcher Updateserver wird kontaktiert?<br />
o Fehlermeldungen<br />
• $iexplorer.exe http:///iuident.cab<br />
• $rsop.msc -> Computerkonfiguration -> Administrative Vorlagen -><br />
<strong>Windows</strong>-Komponenten -> <strong>Windows</strong> Update<br />
• $net stop wuauserv<br />
$net start wuauserv<br />
$wuauclt /a<br />
• Anwendungs- und Dienstprotokoll -> Microsoft -> <strong>Windows</strong>UpdateClient -><br />
Operational
Monitoring<br />
Ereignisweiterleitung<br />
Ereignisweiterleitung (event forwarding) senden Ereignisse die bestimmte Kriterien<br />
erfüllen an einen zentralen Rechner.<br />
Ereignisweiterleitung sendet Ereignisse über HTTP und HTTPS.<br />
Ereignisweiterleitungen nutzen Weiterleitungs- und Sammelcomputer. Beide müssen<br />
konfiguriert werden.<br />
Ereignisweiterleitung benötigt folgende Dienste auf dem Weiterleitungs- sowie<br />
Sammelcomputer:<br />
• <strong>Windows</strong>-Remoteverwaltung<br />
• <strong>Windows</strong>-Ereignissammlung<br />
Ereignisweiterleitung auf dem Weiterleitungscomputer benötigt weiterhin eine<br />
<strong>Windows</strong>-Firewallausnahme für eingehende Verbindungen auf Port 80 bzw. 443.<br />
Ereignisweiterleitung Sammelcomputer benötigen das Betriebsystem <strong>Windows</strong><br />
Vista, <strong>Windows</strong> 7, <strong>Windows</strong> Server 2008 oder <strong>Windows</strong> Server 2003 R2.<br />
Ereignisweiterleitung Weiterleitungscomputer benötigen das Betriebssystem<br />
<strong>Windows</strong> XP SP2, <strong>Windows</strong> Server 2003 SP1, <strong>Windows</strong> Server 2003 R2, <strong>Windows</strong><br />
Vista, <strong>Windows</strong> 7 oder Window Server 2008. <strong>Windows</strong> XP und <strong>Windows</strong> Server<br />
2003 benötigen zudem das Paket WS-Management 1.1.<br />
Ereignisweiterleitung Weiterleitungscomputer:<br />
$winrm quickconfig<br />
$net localgroup “Ereignisprotokollleser”<br />
@ /add<br />
Ereignisweiterleitung Sammelcomputer:<br />
$wecutil qc<br />
$mmc servermanager.msc -> Diagnose -> Abonnements -> Abonnement<br />
erstellen<br />
$wecutil ss /cm:custom<br />
$wecutil ss /hi:<br />
$wecutil gs (Zeigt den Verzögerungswert an)<br />
$winrm get winrm/config (Bandbreite minimieren / Wartezeit minimieren)<br />
Ereignisweiterleitung SSL, HTTPS, Port 443<br />
$winrm quickconfig -transport:https
Systemmonitor<br />
Systemmonitor zeigt Echtzeitleistungsdaten grafisch an.<br />
Systemmonitor zeigt zum Beispiel Daten zur Prozessorauslastung,<br />
Netzwerkbandbreitenausnutzung oder Arbeitsspeicherbelegung an.<br />
Systemmonitor Leistungsindikatoren zeichnen die einzelnen Echtzeitgraphen.<br />
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -><br />
Überwachungstools -> Systemonitor<br />
Zuverlässigkeitsüberwachung<br />
Zuverlässigkeitsüberwachung überwacht die Stabilität eines Computers.<br />
Zuverlässigkeitsüberwachung zeigt einen Zuverlässigkeitsindex von 0-10 an. 0 ist<br />
der niedrigste wert.<br />
Zuverlässigkeitsüberwachung zeigt Anwendungsinstallationen, Hardware-, <strong>Windows</strong>-<br />
und sonstige Fehler an.<br />
Zuverlässigkeitsüberwachung zeigt die Daten an die von RAC (Reliability Analysis<br />
Component) aufgezeichnet wurden.<br />
Zuverlässigkeitsüberwachung benötigt den Dienst Aufgabenplanung.<br />
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -><br />
Überwachungstools -> Zuverlässigkeitsüberwachung<br />
Sammlungssätze<br />
Sammlungssätze sammeln Systeminformationen, Konfigurationseinstellungen und<br />
Leistungsdaten und erzeugen einen Log-File.<br />
Vordefinierte Sammlungssätze in <strong>Windows</strong> 2008 Server:<br />
• Active Directory Diagnostics (Active Directory-Diagnose)<br />
• LAN Diagnostic (LAN-Diagnose)<br />
• System Performance (Systemleistung)<br />
• System Diagnostic (Systemdiagnose)<br />
• Wireless Diagnostic (Drahtlosdiagnose)<br />
Vordefinierte Sammlungssätze zeichnen Daten zwischen <strong>einer</strong> und fünf Minuten auf.<br />
Vordefinierte Sammlungsatz LAN-Diagnose und Drahtlosdiagnose laufen unendlich.<br />
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -><br />
Sammlungssatz System<br />
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Bericht<br />
Sammlungssätze können auch manuell erstellt oder angepasst werden.
Netzwerkmonitor<br />
Netzwerkmonitor ist ein Protokoll-Analyzer der auf <strong>Windows</strong> nachinstalliert werden<br />
kann.<br />
Netzwerkmonitor zeichnet den Netzwerkverkehr auf und analysiert ihn.<br />
Netzwerkmonitor zeichnet Frames auf, Schicht-2-Daten, zum Beispiel<br />
Ethernetheader.<br />
$nmcap /network * /capture /file .cap<br />
$nmcap /network * /capture “DNS” /file .cap<br />
$nmap /network * /disablelocalonly /capture /file .cap<br />
$nmap /network * /capture “DHCP” /stopwhen /timeafter 2 min<br />
/file .cap<br />
$nmcap /inputcapture data.cap /capture DNS /file DNSdata.cap<br />
Netzwerkmonitor erlaubt es, aufgezeichnete Frames zu filtern mit Capture oder<br />
Display Filtern. Die Wichtigsten Filter sind:<br />
• BaseNetworkTShoot (ICMP, ARP und TCP-Resets / Lowl-Level-<br />
Netzwerkproblem)<br />
• Broadcasts und No-Broadcasts<br />
• DNS<br />
• NameResolution (DNS, NetBIOS und ARP)<br />
• HttpWebpageSearch<br />
• MyIPv4Address und MyIPv6Address<br />
• IPv4Address, IPv6DestinationAddress, IPv6SourceAddress<br />
• IPv4SubNet<br />
Netzwerkmonitor Filter Beispiele:<br />
DNS && IPv4.SourceAdress == 192.168.13.45<br />
Contains(http.Request.URI, “page.html“ ||<br />
contains(http.Request.URI,“other.html“<br />
Ethernet.Address == 0x001731D55EFF && DHCP
Datenverwaltung<br />
NTFS-Dateiberechtigungen<br />
NTFS-Standarddateiberechtigungen für Benutzer- und Systemordner:<br />
• Benutzerdateien %USERPROFIEL%<br />
o Benutzer: Lesezugriff und Schreibzugriff verweigert<br />
o Administratoren und Eigentümer: Vollzugriff<br />
• Systemdateien %SYSTEMROOT%<br />
o Benutzer: Lesezugriff auf Ordner und Unterordner<br />
o Administratoren: Hinzufügen und Ändern<br />
• Progamme %PROGRAMFILES%<br />
o Benutzer: ausführen<br />
o Administratoren: Vollzugriff<br />
• Neue Ordner im Stammverzeichnis eines Datenträgeres<br />
o Benutzer: Lesezugriff<br />
o Administratoren: Vollzugriff<br />
NTFS-Standardberechtigungen:<br />
• Ordnerinhalt auflisten – Ordner kann durchsucht werden<br />
• Lesen – Ordnerinhalt lesbar; Dateien lesen<br />
• Lesen, Ausführen – Dateien lesen und ausführen<br />
• Schreiben – Dateien erstellen<br />
• Ändern – Ordner und Dateien, lesen, bearbeiten und löschen<br />
• Vollzugriff – Ordner und Dateien, lesen, bearbeiten und löschen;<br />
Berechtigungen ändern<br />
EFS verschlüsselte Dateisysteme<br />
$mmc gpmc.msc -> Richtlinien -> <strong>Windows</strong>-Einstellungen -><br />
Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsselte<br />
Dateisystem<br />
• Dateiverschlüsselung mit EFS (Encrypting File System)<br />
• Inhalte des Ordners „Dokumente“ des Benutzers verschlüsseln<br />
• Smartcard für EFS verlangen<br />
• Zwischenspeicherfähige Benutzerschlüssel von Smartcard erstellen<br />
• Auslagerungsdateiverschlüsselung aktivieren<br />
• Schlüsselsicherungsbenachrichtigung anzeigen, wenn der Benutzerschlüssel<br />
erstellt oder geändert wird<br />
• Bei nicht verfügbarer Zertifizierungsstelle EFS gestatten, selbstsignierte<br />
Zertifikate zu erzeugen<br />
$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Netzwerk -><br />
Offlinedateicache verschlüsseln<br />
$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> <strong>Windows</strong>-<br />
Komponenten -> Suche -> Indizierung verschlüsselter Dateien zulassen
DRA (Data Recovery Agent)<br />
$mmc gpmc.msc -> Richtlinien -> <strong>Windows</strong>-Einstellungen -><br />
Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsseltes<br />
Dateisystem -> Datenwiederherstellungs-Agent<br />
Datenwiederherstellungs-Agenten oder andere Konten mit sehr hohen Privilegien<br />
sollten immer im Kollusion-Mode laufen.<br />
Kollusion (geheimes Einverständnis) bezeichnet ein Sicherheitskonzept, bei dem<br />
zwei Partner miteinander zusammenarbeiten müssen.<br />
Im Fall eines Datenwiederherstellungs-Agenten, teilt man das Benutzerkennwort in<br />
zwei Teile und gibt jeweils einen Teil <strong>einer</strong> anderen Personen.<br />
DFS (Distributed File System)<br />
DFS stellt einen einzigen Namespace für freigegebene Ordner in <strong>einer</strong> Organisation<br />
bereit, sowie Redundanz, weil es Replikation implementiert.<br />
DFS kann freigegebene Ordner auf mehreren Servern hosten, wobei der<br />
Clientcomputer automatisch eine Verbindung zum nächstmöglichen verfügbaren<br />
Server herstellt.<br />
$mmc servermanager.msc -> Rollen -> Dateidienste<br />
• Dateiserver (Freigabe- und Speicherverwaltung)<br />
• Verteiltes Dateisystem (DFS)<br />
• Ressourcen-Manager für Dateiserver (Speicherberichte, Kontingenten,<br />
Dateiprüfungsrichtlinien)<br />
• Dienste für NFS (Network File System)<br />
• <strong>Windows</strong>-Suchdienst<br />
• Dateidienste für <strong>Windows</strong> Server 2003<br />
$mmc servermanager.msc -> Rollen -> Dateidienste -> DFS-Verwaltung -><br />
Namespace<br />
$dfsutil<br />
$dfsutil domain <br />
$dfsutil server <br />
$dfsutil target <br />
$dfsutil link <br />
$dfsutil client siteinfo <br />
DFS-Kontingente dienen dazu Benutzer zu überwachen, die mehr als eine<br />
festgelegte Menge Festplattenplatz verbrauchen.<br />
DFS-Kontingente können erzwungen werden, um zu verhindern, dass Benutzer mehr<br />
Festplattenplatz belegen, als ihnen zugewiesen ist.<br />
$mmc fsrm.msc -> Kontingentverwaltung<br />
$dirquota<br />
$dirquota quota list<br />
$dirquota quota add /Path:<br />
/SourceTemplate:””
$dirquota quota add /Path: /Limit:(MB|GB) /Type:(hard|soft)<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen<br />
-> System -> Datenträgerkontingente<br />
• Datenträgerkontingente ermöglichen<br />
• Datenträgerkontingente erzwingen<br />
• Standarddatenträgerkontingente und Warnrufe<br />
• Ereignis protokollieren, wenn die Datenträgerkontingentgrenze überschritten<br />
wird<br />
• Ereignis protokollieren, wenn die Kontingentwarnstufe überschritten wird<br />
• Richtlinie auf austauschbare Datenträger verwenden<br />
Ordnerfreigaben<br />
<strong>Windows</strong>-Explorer -> Freigabe -> Dateifreigabe<br />
• Leser – Schreibgeschützter Zugriff (lesen)<br />
• Mitwirkender – Lese- und Schreibzugriff (ändern)<br />
• Mitbesitzer – Lese- und Schreibzugriff sowie Dateiberechtigungen ändern<br />
(Vollzugriff)<br />
• Besitzer – (Vollzugriff)<br />
$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und<br />
Speicherverwaltung -> Freigabe bereitstellen -> Assistent zum Bereitstellen eines<br />
freigegebenen Ordners (SMB und NFS für Unix-Clients)<br />
$net share<br />
$net share =<br />
$net use <br />
$net use X: \\Server01\Documents<br />
$dir <br />
Offlinedateien<br />
$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und<br />
Speicherverwaltung -> Freigabe -> Verwaltung -> Zwischenspeicherung<br />
• Nur von Benutzern angegebene Dateien und Programme sind offline<br />
verfügbar<br />
• Alle Dateien und Programme, die Benutzer auf der Freigabe öffnen, sind<br />
automatisch offline verfügbar<br />
• Keine Dateien oder Programme der Freigabe sind offline verfügbar
Dateiwiederherstellung<br />
Schattenkopien ermöglichen es Datensicherungssoftware, auf Dateien zuzugreifen,<br />
die gerade benutzt werden.<br />
Schattenkopien von Dateien und Ordnern werden automatisch von <strong>Windows</strong> erstellt.<br />
Schattenkopien speichern jeweils nur die Änderung zur Vorgängerversion.<br />
Schattenkopien sind Datensicherungen.<br />
$vssadmin<br />
$vssadmin create shadow /For=<br />
$vssadmin list shadowstorage<br />
$vssadmin list shadow<br />
$vssadmin revert shadow /Shadow=<br />
$vssadmin revert shadow /Shadow={57384783-49ef-cddc-98a5-<br />
448df848}<br />
<strong>Windows</strong> Server-Sicherung kopiert ein gesamtes Datenträgervolumen in eine<br />
.vhd-Datei auf <strong>einer</strong> zweiten lokalen Festplatte.<br />
<strong>Windows</strong> Server-Sicherungen sind Systemsicherungen (.vhd) und<br />
Datensicherungen (Backup---).<br />
<strong>Windows</strong> Server-Sicherung erstellt den Ordner <strong>Windows</strong>ImageBackup im Stamm<br />
des Sicherungsmediums.<br />
<strong>Windows</strong> Server-Sicherung kann mit Hilfe der Aufgabenplanung automatisierte<br />
Backups erstellen.<br />
\<strong>Windows</strong>ImageBackup\<br />
$mmc servermanager.msc -> Features -> Features hinzufügen -> <strong>Windows</strong><br />
Server-Sicherungsfeatures -> <strong>Windows</strong> Server-Sicherung<br />
$mmc wbadmin.msc<br />
$wbadmin<br />
$wbadmin start backup -backupTarget:<br />
-include: -quit<br />
$wbadmin start systemstaterecovery
Druckerverwaltung<br />
• Es sollten zwei oder mehr identische Drucker an jedem Standort bereitgestellt<br />
und zu Druckerpools konfiguriert sein. Mit Hilfe von Druckerpools können<br />
Benutzer ohne Unterbrechung drucken, auch wenn ein Drucker ausfällt –<br />
denn Hardwareprobleme sind bei Druckern recht häufig.<br />
• Die gesamte Organisation sollte versucht sein, Druckermodelle auf ein oder<br />
zwei verschiedene zu beschränken. Das vereinfacht die Beschaffung von<br />
Tinte und Ersatzteile sowie den Schulungsaufwand für die Angestellten.<br />
• Drucker sollten direkt mit dem Kabelnetzwerk verbunden sei, statt sie an<br />
Server anzuschließen. So können der Standort der Drucker flexibler gewählt<br />
werden und die Server physisch optimal geschützt werden.<br />
• Benutzer sollten geschult werden, in der Durchführung einfacher<br />
Druckerverwaltungsaufgaben, zum Beispiel Nachlegen von Papier, Ersetzen<br />
von Tintenpatronen und Beseitigen von Papierstaus. Das verringert die Anzahl<br />
von Supportanrufen aufgrund von Druckerproblem.<br />
$mmc servermanager.msc -> Rollen -> Druckerdienste (Dokumente- und<br />
Druckerdienste)<br />
• Druckserver – Druckerverwaltung für <strong>Windows</strong> und nicht <strong>Windows</strong> Clients<br />
• LDP-Dienst – LDP-Protokoll (Line Printer Daemon Protocol) gewöhnlich für<br />
Unix-Clients<br />
• Internetdruck – IPP (Internet Printing Protocol) erstellt eine Website auf der<br />
Nutzer Ihre Druckaufträge im Browser verwalten können. Erfordert IIS<br />
(Internet Information Service).<br />
Druckerverwalten<br />
$mmc printmanagement.msc<br />
$mmc printmanagement.msc -> Druckerverwaltung -> Druckerserver -><br />
-> Drucker -> Drucker hinzufügen<br />
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -><br />
-> Drucker -> -> Freigeben<br />
• Druckauftragsaufbereitung auf Clientcomputern durchführen (Clients<br />
führen den prozessorintensieven Renderingvorgang selbst durch)<br />
• Im verzeichnis Anzeigen (Falls der Drucker im Active Directory angezeigt<br />
werden soll)<br />
• Zusätzliche Treiber (Stellt zum Beispiel x64 Versionen des Druckertreibers<br />
bereit)<br />
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -><br />
-> Drucker -> -> Eigenschaften -> Sicherheit<br />
• Drucken<br />
• Drucker verwalten<br />
• Dokumente verwalten
$mmc servermanagerment.msc -> Rollen -> Druckerdienste -><br />
Druckerverwaltung -> Druckserver -> -> Drucker -> Mit<br />
Gruppenrichtlinie bereitstellen<br />
• Die Computer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro<br />
Computer)<br />
• Die Benutzer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro<br />
Benutzer)<br />
$mmc gpmc.msc -> Richtlinien -> <strong>Windows</strong>-Einstellungen -> Bereitgestellte Drucker<br />
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\<br />
• PrnMngr.vbs – Drucker hinzufügen und entfernen<br />
• PrnCnfg.vbs – Drucker konfigurieren (Druckername, Druckerstandort,<br />
Druckerberechtigungen)<br />
• PrnDrvr.vbs – Druckertreiber hinzufügen und entfernen<br />
• PrnJobs.vbs – Druckeraufträge verwalten<br />
• PrnPort.vbs – Druckeranschlüsse verwalten<br />
• PrnQctl.vbs – Druckertestseite drucken<br />
• PubPrn.vbs – Druckerveröffentlichung im Active Directory<br />
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-<br />
DE\prnmngr.vbs -a –p -m ““<br />
-r lpt1:<br />
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-<br />
DE\prncnfg.vbs -t -s -p <br />
+keepprintedjobs<br />
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-<br />
DE\prndrvr.vbs -l -s <br />
$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-<br />
DE\prndrvr.vbs -a -m “” -v 4 -e<br />
“” -i -h<br />
<br />
Migration: Druckerimportieren und Druckerexportieren<br />
$printbrm –b –f printers.printerexport<br />
$printbrm –r –f printers.printersexport
Druckertreiber<br />
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -><br />
-> Drucker -> -> Treiber<br />
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> <strong>Windows</strong>-Einstellungen<br />
-> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Geräte:<br />
Anwender das Installieren von Druckertreibern nicht erlauben<br />
Druckerpools<br />
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -><br />
-> Drucker -> -> Eigenschaften -> Druckerpool<br />
Druckerpools dienen dazu den Druckprozess zu verschnellern und Ausfallsicherheit<br />
herzustellen.<br />
Drucker eines Druckerpools müssen alle denselben Druckertreiber verwenden, es<br />
müssen also nicht identische Geräte sein (meist funktioniert ein Druckertreiber für<br />
mehrere Geräte <strong>einer</strong> Firma).<br />
Es sollte nur ein Drucker eines Druckerpools freigegeben sein, sonst kann der Pool<br />
umgangen werden.<br />
Druckerprioritäten<br />
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -><br />
-> Drucker -> -> Eigenschaften -> Erweitert -><br />
Priorität<br />
Druckerprioritäten können mit Hilfe von mehreren logischen Installationen eines<br />
Druckers gelöst werden. Jeder logischen Installation wird eine andere Priorität<br />
zugewiesen.<br />
Internetdrucker<br />
Internetdrucker können mit Internet Explorer verwaltet werden.<br />
Internetdrucker benötigen im Internet Explorer die Option, dass Add-Ons ausgeführt<br />
werden dürfen.<br />
Internetdrucker können zum Beispiel eine bequeme Alternative für Gäste sein.<br />
http:///Drucker/<br />
http:///Drucker//.drucker<br />
Druckerbenachrichtigungen<br />
$mmc servermanager.msc -> Druckerdienste -> Druckerverwaltung -><br />
Benutzerdefinierte Filter -> Neuer Druckerfilter<br />
• Feld – definiert, welche Kriterien verglichen werden. Zum Beispiel<br />
Warteschlangenstatus<br />
• Bedingung<br />
• Wert
MMC Microsoft Management Console + Microsoft Saved Console<br />
Standard Konsolen in \<strong>Windows</strong>\System32\<br />
certmgr.msc Manages certificates<br />
ciadv.msc Manages the Indexing Service<br />
compmgmt.msc The Computer Management Console<br />
devmgmt.msc The Device Manager<br />
dfrg.msc Disk Defragmenter<br />
diskmgmt.msc Disk Management<br />
eventvwr.msc Event Viewer for managing system logs<br />
fsmgmt.msc Shared Folder Management<br />
gpmc.msc Group Policy Editor<br />
lusrmgr.msc Local Users and Groups Manager<br />
ntmsmgr.msc Removable Storage Manager<br />
ntmsoprq.msc Removable Storage Operator Requests<br />
perfmon.msc System Performance Monitor<br />
rsop.msc Resultant Set of Policy<br />
secpol.msc Security Policy<br />
services.msc Manages services<br />
wmimgmt.msc <strong>Windows</strong> Management Instrumentation Service
Services<br />
# Copyright (c) 1993-1999 Microsoft Corp.<br />
#<br />
# Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.<br />
#<br />
# Format:<br />
#<br />
# / [Alias...] [#]<br />
#<br />
echo 7/tcp<br />
echo 7/udp<br />
discard 9/tcp sink null<br />
discard 9/udp sink null<br />
systat 11/tcp users #Active users<br />
systat 11/tcp users #Active users<br />
daytime 13/tcp<br />
daytime 13/udp<br />
qotd 17/tcp quote #Quote of the day<br />
qotd 17/udp quote #Quote of the day<br />
chargen 19/tcp ttytst source #Character generator<br />
chargen 19/udp ttytst source #Character generator<br />
ftp-data 20/tcp #FTP, data<br />
ftp 21/tcp #FTP. control<br />
telnet 23/tcp<br />
smtp 25/tcp mail #Simple Mail Transfer<br />
Protocol<br />
time 37/tcp timserver<br />
time 37/udp timserver<br />
rlp 39/udp resource #Resource Location<br />
Protocol<br />
nameserver 42/tcp name #Host Name Server<br />
nameserver 42/udp name #Host Name Server<br />
nicname 43/tcp whois<br />
domain 53/tcp #Domain Name Server<br />
domain 53/udp #Domain Name Server<br />
bootps 67/udp dhcps #Bootstrap Protocol<br />
Server<br />
bootpc 68/udp dhcpc #Bootstrap Protocol<br />
Client<br />
tftp 69/udp #Trivial File Transfer<br />
gopher <strong>70</strong>/tcp<br />
finger 79/tcp<br />
http 80/tcp www www-http #World Wide Web<br />
kerberos 88/tcp krb5 kerberos-sec #Kerberos<br />
kerberos 88/udp krb5 kerberos-sec #Kerberos<br />
hostname 101/tcp hostnames #NIC Host Name Server<br />
iso-tsap 102/tcp #ISO-TSAP Class 0<br />
rtelnet 107/tcp #Remote Telnet Service<br />
pop2 109/tcp postoffice #Post Office Protocol -<br />
Version 2<br />
pop3 110/tcp #Post Office Protocol -<br />
Version 3<br />
sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure<br />
Call<br />
sunrpc 111/udp rpcbind portmap #SUN Remote Procedure<br />
Call<br />
auth 113/tcp ident tap #Identification<br />
Protocol<br />
uucp-path 117/tcp<br />
nntp 119/tcp usenet #Network News Transfer<br />
Protocol<br />
ntp 123/udp #Network Time Protocol<br />
epmap 135/tcp loc-srv #DCE endpoint<br />
resolution<br />
epmap 135/udp loc-srv #DCE endpoint<br />
resolution<br />
netbios-ns 137/tcp nbname #NETBIOS Name Service<br />
netbios-ns 137/udp nbname #NETBIOS Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram<br />
Service<br />
netbios-ssn 139/tcp nbsession #NETBIOS Session<br />
Service<br />
imap 143/tcp imap4 #Internet Message<br />
Access Protocol<br />
pcmail-srv 158/tcp #PCMail Server<br />
snmp 161/udp #SNMP<br />
snmptrap 162/udp snmp-trap #SNMP trap<br />
print-srv 1<strong>70</strong>/tcp #Network PostScript<br />
bgp 179/tcp #Border Gateway<br />
Protocol<br />
irc 194/tcp #Internet Relay Chat<br />
Protocol<br />
ipx 213/udp #IPX over IP<br />
ldap 389/tcp #Lightweight Directory<br />
Access Protocol<br />
https 443/tcp MCom<br />
https 443/udp MCom<br />
microsoft-ds 445/tcp<br />
microsoft-ds 445/udp<br />
kpasswd 464/tcp # Kerberos (v5)<br />
kpasswd 464/udp # Kerberos (v5)<br />
isakmp 500/udp ike #Internet Key Exchange<br />
exec 512/tcp #Remote Process<br />
Execution<br />
biff 512/udp comsat<br />
login 513/tcp #Remote Login<br />
who 513/udp whod<br />
cmd 514/tcp shell<br />
syslog 514/udp<br />
printer 515/tcp spooler<br />
talk 517/udp<br />
ntalk 518/udp<br />
efs 520/tcp #Extended File Name<br />
Server<br />
router 520/udp route routed<br />
timed 525/udp timeserver<br />
tempo 526/tcp newdate<br />
courier 530/tcp rpc<br />
conference 531/tcp chat<br />
netnews 532/tcp readnews<br />
netwall 533/udp #For emergency<br />
broadcasts<br />
uucp 540/tcp uucpd<br />
klogin 543/tcp #Kerberos login<br />
kshell 544/tcp krcmd #Kerberos remote shell<br />
new-rwho 550/udp new-who<br />
remotefs 556/tcp rfs rfs_server<br />
rmonitor 560/udp rmonitord<br />
monitor 561/udp<br />
ldaps 636/tcp sldap #LDAP over TLS/SSL<br />
doom 666/tcp #Doom Id Software<br />
doom 666/udp #Doom Id Software<br />
kerberos-adm 749/tcp #Kerberos<br />
administration<br />
kerberos-adm 749/udp #Kerberos<br />
administration<br />
kerberos-iv 750/udp #Kerberos version IV<br />
kpop 1109/tcp #Kerberos POP<br />
phone 1167/udp #Conference calling<br />
ms-sql-s 1433/tcp #Microsoft-SQL-Server<br />
ms-sql-s 1433/udp #Microsoft-SQL-Server<br />
ms-sql-m 1434/tcp #Microsoft-SQL-Monitor<br />
ms-sql-m 1434/udp #Microsoft-SQL-Monitor<br />
wins 1512/tcp #Microsoft <strong>Windows</strong><br />
Internet Name Service<br />
wins 1512/udp #Microsoft <strong>Windows</strong><br />
Internet Name Service<br />
ingreslock 1524/tcp ingres
l2tp 1<strong>70</strong>1/udp #Layer Two Tunneling<br />
Protocol<br />
pptp 1723/tcp #Point-to-point<br />
tunnelling protocol<br />
radius 1812/udp #RADIUS authentication<br />
protocol<br />
radacct 1813/udp #RADIUS accounting<br />
protocol<br />
nfsd 2049/udp nfs #NFS server<br />
knetd 2053/tcp #Kerberos de-multiplexo<br />
man 9535/tcp #Remote Man Server
Links und Downloads<br />
TechNet<br />
http://technet.microsoft.com/<br />
TechNet Virtual Labs: <strong>Windows</strong> Server<br />
http://technet.microsoft.com/en-us/windowsserver/default.aspx<br />
TechNet Virtual Labs: <strong>Windows</strong> Server 2008<br />
http://technet.microsoft.com/de-de/windowsserver/bb512925.aspx<br />
TechNet Library: <strong>Windows</strong> Server 2008 und <strong>Windows</strong> Server 2008 R2<br />
http://technet.microsoft.com/de-de/library/cc728909.aspx<br />
TechNet Library: <strong>Windows</strong> 2008 Server und <strong>Windows</strong> Vista TCP/IP-Stack<br />
http://technet.microsoft.com/de-de/library/cc754287(WS.10).aspx<br />
http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx<br />
TechNet Library: <strong>Windows</strong> Server<br />
http://technet.microsoft.com/en-us/library/bb625087.aspx<br />
TechNet Library: DNS<br />
http://technet.microsoft.com/en-us/library/cc779380(WS.10).aspx<br />
TechNet Library: DNS Server<br />
http://technet.microsoft.com/en-us/library/cc732997(WS.10).aspx<br />
TechNet Library: DHCP<br />
http://technet.microsoft.com/en-us/library/cc778368(WS.10).aspx<br />
TechNet Library: DHCP Server<br />
http://technet.microsoft.com/en-us/library/cc896553(WS.10).aspx<br />
TechNet Networking and Access Technologies: Routing und RAS<br />
http://technet.microsoft.com/en-us/network/bb545655.aspx<br />
TechNet Networking and Access Technologies: IPSec<br />
http://technet.microsoft.com/en-us/network/bb531150.aspx<br />
<strong>Windows</strong> Server 2008 Website<br />
http://www.microsoft.com/germany/windowsserver2008/default.mspx<br />
<strong>Windows</strong> Cmd Reference<br />
http://gattner.name/simon/public/microsoft/<strong>Windows</strong>%20Cmd%20Reference/<br />
Microsoft Netzwerkmonitor<br />
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-<br />
4658-b7f6-3088333d062f&displaylang=en
IPv4<br />
http://www.ietf.org/rfc/rfc791.txt<br />
http://www.ietf.org/rfc/rfc3927.txt<br />
IPv6<br />
http://www.ietf.org/rfc/rfc2373.txt<br />
http://www.ietf.org/rfc/rfc2460.txt<br />
http://www.ietf.org/rfc/rfc2462.txt<br />
DNS<br />
http://www.ietf.org/rfc/rfc1034.txt<br />
http://www.ietf.org/rfc/rfc1035.txt<br />
http://www.ietf.org/rfc/rfc1591.txt<br />
DHCP/BOOTP<br />
http://www.ietf.org/rfc/rfc2131.txt<br />
http://www.ietf.org/rfc/rfc2132.txt<br />
http://www.ietf.org/rfc/rfc3736.txt