70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner

Weitere Magazine

Empfehlungen

Info

NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem sie den Netzwerkzugriff entweder erlauben oder verbieten: • IPSec-Verbindungssicherheit IPSec-Erzwingung zwingt Clients eine NAP-Integritätsprüfung zu bestehen, bevor sie ein Integritätszertifikat erhalten. IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSec- Verbindungssicherheit notwendig sind, ohne die ein Client keine IPSecgeschützte-Verbindung zu einem Host herstellen kann. IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen eingehalten werden. IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority, CA), auf der Windows Server 2008-Zertifikatdienste laufen. NAP muss Integritätszertifikate unterstützen. Produktivumgebungen sollten aus Redundanzgründen mindestens zwei Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht verwendet werden. IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die IPSec unterstützen. • 802.1X-Zugriffspunkte 802.1X-Authentifizierung verwendet Ethernetswitches oder Drahtloszugriffspunkte. 802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz verbunden oder abgelehnt. 802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt sind. 802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer enthalten: o Zugriffssteuerungsliste (Access Control List, ACL) sind IPv4- und IPv6-Paketfilter, die auf 802.1X-Zugriffsgeräten konfiguriert werden. ACL werden normal auf inkompatible Computer angewendet, kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL. ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern untereinander einzuschränken. 802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und verwerfen alle Pakete, die von der ACL nicht erlaubt sind. o VLAN (Virtual Local Area Networks) sind Gruppen von Ports die auf Switches zusammengefasst werden und ein separates Netzwerk bilden. VLANs können nur kommuniziere, wenn sie über einen Router verbunden werden. VLANs werden anhand einer VLAN-ID identifiziert, die auf den Switches selbst konfiguriert werden. NAP kann festlegen in welches VLAN kompatible, inkompatible oder nicht authentifizierte Computer verschoben werden. VLAN Nachteile sind zum Beispiel: • Netzwerkkonfiguration muss geändert werden, wenn ein NAP- Client auf einen kompatiblen NAP-Client hochgestuft wird.
• NAP-Clients erhalten womöglich keine Gruppenrichtlinienaktualisierung weil die Netzwerkkonfiguration während des Benutzeranmeldevorgangs durchgeführt wird. • NAP-Clients die inkompatibel sind können innerhalb eines VLANs kommunizieren • VPN-Server VPN-Erzwingung implementiert NAP für Remotezugriffsverbindungen die über einen VPN-Server mit Windows Server 2008 und Routing und RAS laufen. VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff. VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff auf eine Wartungsservergruppe einzuschränken. VPN-Erzwingung kann IPv4- und IPv6-Paketfilter erzwingen. • DHCP-Server DHCP-Erzwingung verwendet einen Windows 2008 Server, auf dem der DHCP-Serverdienst läuft und Intranetclients IP-Adressen zuweist. DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die vollständigen Netzwerkzugriff gewährt. Inkompatible Computer bekommen eine IP-Adresse mit der Subnetzmaske 255.255.255.255 und ohne Standardgateway zugewiesen. DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von Hostrouten zu Netzwerkressourcen in einer Wartungsservergruppe. DHCP-Erzwingung wird durch den NAP-Client erneut eingeleitet wenn sich der Integritätsstatus verändert, indem eine DHCP-Erneuerung eingeleitet wird. DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung inkompatibel werden. DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand konfiguriert wird. NAP-Integritätsprüfung findet zwischen zwei Komponenten statt: • Systemintegritätsagent (System Health Agent, SHA) o Clients erstellen SoH (Statement of Health), das die Systemintegrität des Clientcomputers beschreibt. o Kompatibel mit Windows XP SP3, Windows Vista, Windows 7 und Windows Server 2008 • Systemintegritätsprüfung (System Health Validation, SHV) o Server anaylisieren SoH und erstellen als Antwort ein SoHR (Statement of Health Response) o NAT-Integritätsrichtlinien legen anhand der SoHRs fest, welche Zugriffsebene der Client erhält. o Windows Server 2008 enthält einen SHV für SHA, kompatibel zu Windows XP, Windows Vista und Windows 7.
Seite 1 und 2:
70-642 Konfigurieren einer Netzwerk
Seite 3:
TCP/IP-Stack Windows 2008 Server (Q
Seite 6 und 7:
IPv4-Adressräume (address spaces)
Seite 8 und 9:
IPv6 IPv6-Adressen sind 128Bit lang
Seite 10 und 11:
Globale IPv6-Adressen sind das Gege
Seite 12 und 13:
Routing und Standardgateways Um Pak
Seite 14 und 15:
Router Router arbeiten auf der OSI
Seite 16 und 17:
Adaptereinstellungen ändern Standa
Seite 18 und 19:
NetBIOS und Konfiguration NetBIOS o
Seite 20 und 21:
DNS-Root wird von der ICANN (Intern
Seite 22 und 23:
DNS-Abfrage (query) und DNS-Auflös
Seite 24 und 25:
; ; Delegated sub-zone: berlin.foo.
Seite 26 und 27:
DNS-Suffix für diese Verbindung: i
Seite 28 und 29:
DNS-Server Konfiguration DNS-Server
Seite 30 und 31: Active Directory-Zonenreplikationsb
Seite 32 und 33: Wenn die Organisation zwei AD-Domä
Seite 34 und 35: • Primärer Server enthält den v
Seite 36 und 37: Alias-Ressourceneinträge (CNAME) A
Seite 38 und 39: WINS-Ressourceneinträge WINS-Serve
Seite 40 und 41: Aufräumvorgänge bei veralteten Ei
Seite 42: $mmc dnsmgmt.msc -> DNS-Server Symb
Seite 45 und 46: Stubzonen (stub zone) sind Kopien e
Seite 47 und 48: $mmc dnsmgmt.msc -> Symbol des DNS-
Seite 49 und 50: DHCP-Clients die heruntergefahren w
Seite 51 und 52: DHCP-Server Konfiguration DHCP-Serv
Seite 53 und 54: $mmc $dhcpmgmt.msc -> DHCP-Server S
Seite 55 und 56: IP-Routing Routing erlautb es Route
Seite 57 und 58: Statisches Routing Statische Routen
Seite 59 und 60: IPSec IPSec (Internet Protocoll Sec
Seite 61 und 62: IPSec Konfiguration IPSec wird unte
Seite 63 und 64: Verbindungssicherheitsregeln Verbin
Seite 65 und 66: NAT Konfigurieren Windows Server 20
Seite 67 und 68: Drahtlosenetzwerke Konfigurieren Wi
Seite 69 und 70: DFÜ-Verbindungen Konfigurieren •
Seite 71 und 72: VPN-Verbindungen VPN (Virtualle pri
Seite 73 und 74: VPN-Server konfigurieren • Zwei N
Seite 75 und 76: Windows-Firewall Konfigurieren Wind
Seite 77 und 78: Firewallregelbereiche (scopes) biet
Seite 79: Netzwerkzugriffschutz Konfigurieren
Seite 83 und 84: $mmc servermanager.msc -> Rollen ->
Seite 85 und 86: WSUS WSUS (Windows Server Update Se
Seite 87 und 88: • Assistent für die WSUS-Serverk
Seite 89 und 90: Systemmonitor Systemmonitor zeigt E
Seite 91 und 92: Datenverwaltung NTFS-Dateiberechtig
Seite 93 und 94: $dirquota quota add /Path: /Limit:(
Seite 95 und 96: Druckerverwaltung • Es sollten zw
Seite 97 und 98: Druckertreiber $mmc printmanagemnet
Seite 99 und 100: Services # Copyright (c) 1993-1999
Seite 101 und 102: l2tp 1701/udp #Layer Two Tunneling
Seite 103: IPv4 http://www.ietf.org/rfc/rfc791
Alle anzeigen

70-642 Konfigurieren einer Netzwerkinfrastruktur Windows ... - Gattner

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?