|
Autor |
Simon
Gattner |
|
Autor
Website |
|
|
Dokument
Name |
70-642.doc |
|
Dokument
Titel |
Konfigurieren
einer Netzwerkinfrastruktur Windows
Server 2008 |
|
Dokument
URL |
http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.doc http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.pdf http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.html |
|
Dokument Datum |
2010-11-29 |
|
Dokument |
Namen, Eigennamen $Befehle, ~Dateinamen |
OSI-Model (Open Systems Interconnect) ist ein Schichtenmodel
um z.B. den Transport von Informationen innerhalb von Kommunikation
darzustellen.
OSI-Model
unterteilt Kommunikation in sieben Schichten.
TCP/IP angewendet auf das OSI-Model
(Quelle: http://www.computing.dcu.ie/~humphrys/Notes/Networks/intro.html)
TCP/IP vier Netzwerkschichten
TCP/IP-Stack Windows 2008
Server
(Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx)
IPv4-Adressen sind 32Bits lang und bestehen aus 4 Oktetten zu jeweils 8Bits
IPv4-Adressen in Punkt-Dezimal-Notationen
dargestellt
192.168.23.42
IPv4-Adressen in 32Bit-Binärnotation
dargestellt
11000000 10101000 00010111 00101010
IPv4-Adressen müssen innerhalb eines Netzwerkes einmalig sein
IPv4-Adressen werden in Netzwerk-ID und Host-ID unterteilt
IPv4-Adressen Netzwerk-ID + Host-ID = 32Bits
IPv4-Adressen Netzwerk-ID
192.168.23.0 (in diesem Fall hat die Netzwerk-ID 24Bits)
IPv4-Adressen Host-ID
192.168.23.42
(in diesem Fall hat die Host-ID 8Bits)
IPv4-Adressen Subnetzmaske bestimmt welcher Teil einer 32Bit-IPv4-Adresse die Netzwerk-ID
bildet
192.168.23.42/24
IPv4-Adressen Subnetzmasken in Schrägstrichnotation wird auch als CIDR-Notation
(Classless Inter Domain Routing) oder
Netzwerkpräfixnotation
bezeichnet
/24
IPv4-Adressen Subnetmasken in 32Bit-Punkt-Dezimal-Notation
255.255.255.0
IPv4-Adressen Subnetmasken in
32Bit-Binärnotation
11111111 11111111 11111111 00000000
|
CIDR-Notation |
Binär-Notation |
Punkt-Dezimal-Notation |
Adressen
pro Block |
|
/16 |
11111111
11111111 00000000 00000000 |
255.255.0.0 |
65436 |
|
/17 |
11111111
11111111 10000000 00000000 |
255.255.128.0 |
32768 |
|
/18 |
11111111
11111111 11000000 00000000 |
255.255.192.0 |
16384 |
|
/19 |
11111111
11111111 11100000 00000000 |
255.255.224.0 |
8192 |
|
/20 |
11111111
11111111 11110000 00000000 |
255.255.240.0 |
4096 |
|
/21 |
11111111
11111111 11111000 00000000 |
255.255.248.0 |
2048 |
|
/22 |
11111111
11111111 11111100 00000000 |
255.255.252.0 |
1024 |
|
/23 |
11111111
11111111 11111110 00000000 |
255.255.254.0 |
512 |
|
/24 |
11111111
11111111 11111111 00000000 |
255.255.255.0 |
256 |
|
/25 |
11111111
11111111 11111111 10000000 |
255.255.255.128 |
128 |
|
/26 |
11111111
11111111 11111111 11000000 |
255.255.255.192 |
64 |
|
/27 |
11111111
11111111 11111111 11100000 |
255.255.255.224 |
32 |
|
/28 |
11111111
11111111 11111111 11110000 |
255.255.255.240 |
16 |
|
/29 |
11111111
11111111 11111111 11111000 |
255.255.255.248 |
8 |
|
/30 |
11111111
11111111 11111111 11111100 |
255.255.255.252 |
4 |
IPv4-Adressblöcke sind ein Satz einzelner IP-Adressen die eine Gemeinsame
Netzwerk-ID haben.
206.73.118
206.73.118.0 bis 206.73.118.255
IPv4-Adressblöcke können in mehrere Subnetze
unterteilt sein die jeweils einen eigenen Router
haben.
IPv4-Adressblöcke die in mehrere Subnetze
unterteilt sind, haben eine verlängerte Netzwerk-ID
um die Subnet-ID die aus der Host-ID abgezweigt wird, so dass mit
Hilfe der Subnetz-ID Subnetze
interpretiert werden können.
IPv4-Adressräume (address
spaces) sind die Bereiche der IP-Adressen,
die in einem bestimmten Adressblock
liegen.
IPv4-Adressräume sind Adressblöcke minus Broadcast- und Netzwerkadressen.
IPv4-Broadcastdomänen sind Adressblöcke
des Netzwerkes die nicht in Subnetze
unterteilt sind.
IPv4-Standardgateway ist eine IP-Adresse
innerhalb einer Broadcastdomäne,
der Router übernimmt diese Rolle.
IPv4-Unicastadressen
10.0.0.0/24
172.16.0.0 bis 172.31.255.254
192.168.0.0/16
169.254.0.0/16
IPv4-Subnetze begrenzen den Broadcastverkehr.
IPv4-Subnetze können den Netzwerktraffic
verringern.
IPv4-Subnetze können die Latenz verringern,
wenn die Netzwerktopologie den
physikalischen Gegebenheiten angepasst wird.
(Quelle: http://www.h3c.com/)
IPv4-Subnetz-ID ist die verlängerte Netzwerk-ID einer 32-Bit-IPv4-Adresse.
IPv4-Subnetz-ID wird auch als Subnetzkennung
bezeichnet.
IPv4-Subnetz-Berechnung
s = 2^b
s = n-Subnetze
b = n-Bits der Subnetz-ID
b = n(int) – n(ext)
n(int) = Länge der Netzwerk-ID
+ Subnetz-ID in Bits
n(ext) = Länge der Netzwerk-ID
IPv4-Subnetting
Zugewiesenes Netzwerk: 192.168.122.0/24 (254 Hosts)
Standort A: 100 Geräte 192.168.122.0/25 (126 Hosts)
Standort B: 50 Geräte 192.168.122.128/26 (64 Hosts)
Standort C: 20 Geräte 192.168.122.192/27 (32 Hosts)
IPv4-VLAN ist eine Alternative zur Subnetzunterteilung.
IPv4-VLAN
können mit Hilfe von VLAN-Switches
bereitgestellt werden.
IPv4-VLAN
schränken den Broadcastverkehr ein.
IPv4-VLAN-Software kann unabhängig von der Hardwaretopologie Broadcastdomäns
entfernen.
IPv4-VLSM (Virtual Local
Subnet Mask) nutzt eine ganz bestimmte Aufteilung der Adressblöcke. Zum Beispiel wird ein /22 Netzwerk in VLSMs mit /23 /24 /25 … oder ein /16 Netzwerk
in /17
/18 /19 …
IPv4-VLSMs
beginnen (binär) immer mit einer 1 und enden
Normalerweiße mit einer 0. Sie sind
also immer (dezimal) gerade.
IPv4-VLSMs
die (binär) mit 1 beginnen und enden, ersetzen
die darauf folgenden Subnetze.
IPv6-Adressen sind 128Bit lang und stellen einen Adressraum von 2^128 Adressen zu
Verfügung
IPv6-Adressen werden in acht Blöcke mit jeweils vier Hexadezimalziffern angegeben.
Blöcke werden mit Doppelpunkten getrennt. Führende Nullen können gekürzt werden
2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A
2001:0DB8:3FA9:0:0:0:D3:9C5A
2001:0DB8:3FA9::D3:9C5A
IPv6-Adressen verwenden auch Netzwerkpräfixe,
die in Schrägstrichnotation angegeben
wird. Das Präfix wird benutzt um Routen oder Adressbereiche anzugeben, keine Netzwerk-ID.
Routingtabelleneintrag für IPv6
2001:DB8:3FA9::/48
IPv6-Adressen werden von benachbarten Routern
oder von DHCPv6-Servern automatisch
zugewiesen. Außerdem weisen Computer sich selbst eine verbindungslokale Adresse zu die nur um lokalen Subnetz benutzt
wird
(Quelle: http://www.networkworld.com/)
IPv6-Adress-Zustände gelten für IPv6-Adressen
die von Router oder einer IPv6-Adressautokonfiguration vergeben
werden
Unicast-IPv6-Adressen bestehen aus einem 64Bit langen Netzwerkpräfix und einer 64Bit langen Schnittstellen-ID
Unicast-IPv6-Adressen Netzwerkpräfix (Routingpräfix) wird von der IANA
zugewiesen
Unicast-IPv6-Adressen Schnittstellen-ID leitet sich üblicherweise aus der einmaligen 48Bit MAC-Adresse der NIC ab oder wird zufällig* generiert.
*
Unicast-IPv6-Adressen unterstützen keine Subnetz-IDs variabler Länge, der Routingpräfix hat immer die
Länge von 64Bits
IPv6-Loopback-Adresse
there
is no place like ::1
Eindeutige lokale IPv6-Adressen (Unique Local
Address, ULA) sind das IPv6-Gegenstück
zu privaten Adressen (LAN-Adressen) in IPv4
Eindeutige lokale IPv6-Adressen sind routingfähig zwischen Subnetzen
fd65:9abf:efb0:0001::0002
Eindeutige lokale IPv6-Adressen benutzen das Adresspräfix
fd00::/8
fc00::/8 (in Zukunft unter umständen)
Eindeutige lokale IPv6-Adressen beginnen immer mit den ersten 8Bits fd gefolgt von 40Bits des Globalen Routingpräfix, der zufällig generiert wird. Darauf folgen
16Bits Subnetz-ID und 64Bits der Schnittstellen-ID
fd Eindeutiglokales Adresspräfix
65:9abf:efb0: Globales Routingpräfix (Globale-ID)
0001: Subnetz-ID
::0002 Schnittstellen-ID
Standort lokale IPv6-Adressen wurden für obsolet erklärt und sollten nicht mehr
verwendet werden
feco::/10 Standortlokales Adresspräfix
Globale IPv6-Adressen sind das Gegenstück öffentlicher IPv4-Adressen
2001:db8:21da:0007:713e:a426:d167:37ab
Globale IPv6-Adressen benutzen das Adresspräfix
2000::/3
3000::/3
Globale IPv6-Adressen setzen sich aus 48Bits globalen Routingpräfix (wird von der IANA
zugewiesen), 16Bits Subnetz-ID und
64Bits Schnittstellen-ID (Host-ID) zusammen
2001:db8:21da:
Globales Routingpräfix (Globale-ID)
0007: Subnetz-ID
713e:a426:d167:37ab Schnittstellen-ID
Verbindungslokale IPv6-Adressen (Link-Lokal
Addresse, LLA) ähneln IPv4-APIPA-Adressen
fe80::54d:3cd7:b33b:1bc1%13
Verbdingunslokale IPv6-Adressen benutzen das Adresspräfix
fe80:/8
Verbindungslokale IPv6-Adressen beginnen immer mit fe80::, die ersten 64Bits gefolgt von 64Bits der Schnittstellen-ID und der Zonen-ID
fe80:0:0:0: Verbindungslokales Adresspräfix
54d:3cd7:b33b:1bc1 Schnittstellen-ID
%13 Zonen-ID
Verbindungslokale IPv6-Adressen werden automatisch vom Gerät konfiguriert
Verbindungslokale IPv6-Adressen sind nicht routingfähig und funktionieren nur im
lokalen Subnetz
Verbindungslokale IPv6-Adressen bleiben Schnittstellen immer als sekundäre Adresse
zugewiesen
Zonen-ID ist nicht teil der Verbindungslokalen IPv6-Adresse. Die Zone gibt lediglich an mit welcher Netzwerkschnittstelle die Adresse verbunden ist
Zonen-ID
ist immer relativ zur lokalen Schnittstelle
Zonen-ID
muss beim anpingen einer Verbindungslokalen
IPv6-Adresse der Zonen-ID der
lokalen Schnittstelle (auf dem Gerät von dem aus gepingt wird) entsprechen
Zonen-ID
können unter Windows 7 mit folgendem
Befehl angezeigt werden:
$netsh interface ipv6 show interface
IPv4-kompatible Adressen von Dual-Stack-Knoten die über IPv4-Infrastruktur mit IPv6 kommunizieren
0:0:0:0:0:0:0:0:a.b.c.d
::a.b.c.d
IPv4-zugeordnete Adressen werden benutzt um reine IPv4-Knoten einem
IPv6-Knoten bekannt zu machen
0:0:0:0:0:ffff:a.b.c.d
::ffff:a.b.c.d
6to4-Adressen kann benutzt werden um IPv6-Pakete
über ein IPv4-Netzwerk zu
transportieren ohne das Tunnel konfiguriert werden müssen.
Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als
Übergangslösung geplant
2002:ab:cd::/16
Toredo-Adressen (RFC 4380) enthalten ein 32Bit-Teredo-Präfix. Auf das Präfix folgt die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert.
Die nächsten 16Bit sind für Teredoflags reserviert.
Die nächsten 16Bit speichern
die UDP-Port-Nummern, die den
gesamten Teredo-Verkehr abwickelt.
Die letzten 32Bit speichern
die externe IPv4-Adresse die den
gesamten Teredo-Verkehr abwickelt
2001::/32
ISATAP-Adressen (Intra-Site Automatic Tunneling
Adressing Protocol) werden von IPv6
benutzt um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet herzustellen.
Die ersten 64Bits beginnen
mit verbindungslokalen, standortlokalen, globalen oder 6to4-globalen Unicastpräfixen.
Die nächsten 32Bits
enthalten die ISATAP-Kennung 0:5efe.
Die letzten 32Bits enthalten
die IPv4-Adresse in Hex- oder Punkt-Dezimal-Notation.
ISATAP-Adressen
sind für öffentliche oder private IPv4-Adressen
5efe:
$netsh interface ipv6 6to4
$netsh interface ipv6
isatap
$netsh interface ipv6 add
v6v4tunnel
$netsh interface ipv6 add
v6v4tunnel “Remote” 10.0.0.11 192.168.123.116
Um Pakete an eine Remoteadresse zu senden vergleicht man
die Zielnetzwerk-ID eines IPv4-Pakets mit der eigenen Netzwerk-ID um zu entscheiden ob das
Paket als Broadcast an das lokale Subnetz gesendet wird oder an das Standartgateway geht.
Um die Netzwerk-ID zu
ermitteln benutzt man die Subnetzmaske.
Standartgateway entscheidet anhand seiner Routingtabelle wie das Paket
weiter versendet wird.
Standartgateway (Router) muss dieselbe Netzwerk-ID wie die zu Host haben, für die es zuständig ist,
und in derselben Broadcastdomäne
liegen.
Standartgateway ist in einer Host unkonfiguriert, kann die Host auf keine Ziele
außerhalb seines lokalen Subnetzes zugreifen.
(Quelle: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03302.html)
Kollisionsdomäne
Unter einer Kollisionsdomäne wird ein einzelnes
Segment beim Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision Detection) verstanden.
Alle Geräte, die im selben Segment angeschlossen sind, sind Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte,
zum gleichen Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer
Kollision. Beide Geräte warten dann einen bestimmten Zeitraum zufällig
gewählter Länge und versuchen dann erneut, das Paket zu senden. Durch diese
Wartezeit verringert sich die effektive Bandbreite, die den Geräten zur
Verfügung steht.
Broadcastdomäne
Broadcast-Informationen
sind nicht an ein bestimmtes Endgerät gerichtet, sondern an alle
"benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die
jeweiligen Broadcast-Informationen
der anderen Geräte empfangen, bilden zusammen eine Broadcastdomäne. Geräte, die in einer Broadcastdomäne zusammen gefasst sind, müssen sich nicht in
derselben Kollisionsdomäne befinden.
Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise bilden die
Stationen mit den IP-Adressen von 192.168.1.1
bis 192.168.1.254 in einem IP-Subnetz
mit einer Subnetzmaske von 255.255.255.0 eine Broadcastdomäne.
Hub
Hubs
arbeiten auf der OSI Schicht 1 (Physikalische Schicht /
Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben
Kollisionsdomäne und damit auch in
derselben Broadcastdomäne.
Hubs
werden heutzutage durch Access-Switches
abgelöst.
Bridge
Bridges
verbinden Netze auf der OSI Schicht 2
(Datalink Schicht / Sicherungsschicht)
und segmentieren Kollisionsdomänen.
Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen
Stationen sind im Normalfall Bestandteil einer Broadcastdomäne.
Bridges
können auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI, etc.) auf
der OSI Schicht 2 miteinander zu
verbinden (transparent bridging,
translational bridging). Hauptsächlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung
wird dadurch erzielt, dass eine Bridge
als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes Datenpaket
weiterleitet.
Bridges
halten eine interne MAC-Adresstabelle
vor, aus der hervorgeht, in welchem angeschlossenen Segment entsprechende
MAC-Adressen vorhanden sind. Wenn die Bridge
beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im
Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem
Teilsegment A für eine Station aus dem Teilsegment A empfängt, wird dieses
Datenpaket nicht in das Teilsegment B übertragen. Dadurch wird eine Entlastung
des Teilsegments B erreicht. Heutzutage werden Bridges durch Switches
ersetzt.
Layer-2-Switch
Herkömmliche Layer-2-Switches verbinden Netze auf der
OSI Schicht 2. Jeder Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind
alle angeschlossenen Stationen Bestandteil einer Broadcastdomäne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse
im MAC-Header als
Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete weitergeleitet werden. Trotz der
vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges:
Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente
miteinander als eine Bridge.
Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits
(ASICs). Dadurch ist ein Switch in der Lage, Datenpakete
wesentlich schneller als eine Bridge
von einem Segment in ein anderes zu transportieren.
Router
Router
arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete
anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem
Router stellt eine eigene Broadcastdomäne
und damit auch eine Kollisionsdomäne
dar.
Router
sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden.
Router
werden verwendet, um lokale Netze zu segmentieren oder um
lokale Netze über
Weitverkehrsnetze zu verbinden.
Router
identifiziert eine geeignete Verbindung zwischen dem Quellsystem
beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den
meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den
nächsten Router, den sogenannten Next Hop.
Router
müssen jedes IP-Paket vor der
Weiterleitung analysieren. Dies führt zu Verzögerungen und damit im Vergleich
zu "klassischen" Switches
zu einem geringeren Datendurchsatz.
Layer-3-Switch und Layer-4-Switch
Layer-3- und Layer-4-Switches sind Switches,
die zusätzlich eine Routing-Funktionalität
bieten. Layer-2-Switches verwenden
die Ziel-MAC-Adresse im MAC-Header eines Paketes zur
Entscheidung, zu welchem Port
Datenpakete weitergeleitet werden. Ein Layer-3-Switch
behandelt Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header).
Alle nachfolgenden Datenpakete des Senders an diesen Empfänger werden daraufhin
jedoch auf der OSI Schicht 2 (Ziel-MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich höhere
Durchsatzrate erzielen als ein herkömmlicher Router.
Ein weiteres
Unterscheidungsmerkmal zwischen einem Router
und einem Layer-3-Switch ist die
Anzahl von Ports zum Anschluss von
einzelnen Endgeräten. Ein Layer-3-Switch verfügt
in der Regel über eine wesentlich größere Portdichte.
Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen herkömmliche LAN-to-LAN-Router ersetzen.
$ipconfig
$netsh interface
$ncpa.cpl
Systemsteuerung -> Netzwerk und Internet ->
Netzwerk- und Freigabecenter
$ping
$tracert
$pathping
$arp
$route
$netstat
Gesamtübersicht anzeigen Netzwerkübersicht von Geräten die im lokalen LAN mit
deren Netzwerktopologie (basiert auf LLTD (Link Layer Topology Discovery) was
als Client auf Windows XP nachinstalliert werden muss)
Netzwerkübersicht ist
standardmäßig deaktiviert.
Verbindung herstellen oder trennen zeigt die aktiven Netzwerke an
Netzwerkeinstellungen ändern
Problembehandlung mit ICMP
(Internet Control Message Protocol) Dienstprogrammen
$ipconfig /renew (LAN-Verbindungen mit APIPA-Adressen können auf Probleme mit DHCP hindeuten)
$ping <HOST>|<IP>
$tracert <HOST>|<IP>
$pathping –n <HOST>
$arp -a
Adaptereinstellungen ändern
$ncpa.cpl
$netsh interface
<Interfacetype> <Befehl> “Adaptername” <Parameter>
$netsh interface ipv4 show
[“LAN-Verbindung”] config
Adapter -> Status -> Details -> Netzwerkverbindungsdetails
$ipconfig /all
$netsh interface ipv4 set
address “LAN-Verbindung” static 10.0.0.1 255.255.255.0
$netsh interface ip set
dnsservers “LAN-Verbindung” static 10.0.0.2 primary
$netsh interface ipv6 set
address “LAN-Verbindung” 2001:db8:290c:1291::1
$netsh interface ip set
address “LAN-Verbindung” dhcp
$netsh interface ip set
dnsservers “LAN-Verbindung” dhcp
$ipconfig /renew[6]
Adaptereinstellungen ändern
Standardkomponenten für eine Verbindung (Adapter
Eigenschaften)
·
Netzwerkclients (z.B. Client
für Microsoft-Netzwerke)
·
Netzwerkdienst (z.B. Datei-
und Druckerfreigabe für Microsoft-Netzwerk oder QOS-Paketplaner)
·
Netzwerkprotokoll (z.B. Internetprotokoll
Version 4 (TCP/IPv4) oder E/A-Treiber
für Verbindungsschicht-Topologieerkennungszuordnung)
Netzwerk-Bridging (Adapter Verbindung
überbrücken)
Bridging kann dazu dienen alle Eingangspunkte eines Servers (Drahtlos, Token Ring und Ethernet)
die gleiche Internetanbindung (WAN-Adapter) nutzen zu lassen
Erweiterte
Einstellungen
·
Adapter und
Bindung (Priorität der einzelnen
Verbindungen und deren Dienste verändern)
·
Anbieterreihenfolge (Priorität der einzelnen Netzwerkanbieter verändern)
Erweiterte Freigabeeinstellung ändern nach Netzwerkstandort sortiert (Öffentlich,
Privat und Domain)
rlp 39/udp resource #Resource Location Protocol
nameserver 42/tcp name #Host Name Server
nameserver 42/udp name #Host Name Server
nicname 43/tcp whois
domain 53/tcp #Domain Name Server
domain 53/udp #Domain Name Server
hostname 101/tcp hostnames #NIC Host Name Server
netbios-ns 137/tcp nbname #NETBIOS Name Service
netbios-ns 137/udp nbname #NETBIOS Name Service
netbios-dgm 138/udp nbdatagram #NETBIOS Datagram Service
netbios-ssn 139/tcp nbsession #NETBIOS Session Service
wins 1512/tcp #Microsoft Windows
Internet Name Service
wins 1512/udp #Microsoft Windows
Internet Name Service
LLMNR (Link Local
Multicast Name Resolution) nutzt Multicasting um IPv6-Adressen in die Namen von Computern aufzulösen die sich im
lokalen Subnet befinden.
LLMNR wird
für die Namensauflösung in einzelnen Subnets verwendet, die keine DNS-Infrastruktur besitzen.
LLMNR kann
eingesetzt werden ab Windows Vista.
LLMNR
sendet Namensauflösungsanforderungen über IPv6
standardmäßig, kann aber auch über IPv4
gesendet werden.
LLMNR ist IPv6 kompatibel, vorkonfiguriert
(out-of-box) für IPv6-Netzwerke und
schlanker als NetBIOS.
LLMNR löst
keine Namen von Windows Server 2003, Windows XP und älteren Windowsversionen
auf.
LLMNR kann
nur Namen auflösen innerhalb des lokalen Subnet.
LLMNR brauch die Netzwerkerkennung.
Systemsteuerung -> Netzwerk und Internet
->Netzwerk- und Freigabecenter -> Erweiterte Freigabeeinstellungen
->Netzwerkerkennung
Systemsteuerung -> Netzwerk und Internet
->Netzwerk- und Freigabecenter -> Gesamtübersicht anzeigen
NetBIOS oder NetBIOS-over-TCP/IP
(NetBT oder NBT) wird verwendet um die Kompatibilität zu alten Windowsversionen
sicherzustellen.
NetBIOS
funktioniert standardmäßig, in einem IPv4-Netzwerk
ohne DNS.
NetBIOS
ist nicht kompatibel mit IPv6.
NetBIOS
setzt voraus das jeder Gerätename einmalig ist.
NetBIOS
kann über den DHCP-Server eingestellt
werden. Falls kein DHCP aktiviert ist
wird NetBIOS-over-TCP/IP verwendet.
NetBIOS
umfasst drei Namensauflösungsmethoden
WINS ermöglicht NetBIOS die Namensauflösung über das
eigene Subnet hinaus
WINS registriert den Clienten automatisch im
Server-Verzeichnis
LMHOSTS muss manuell erstellt werden und enthält Paare von
IP + Host
NetBIOS-Knotentypen legen fest auf welche Weise NetBIOS-Namen
in IP-Adressen aufgelöst werden. Es
gibt vier Knotentypen:
Nachteile
sind: das Broadcasts von allen Knoten
im Netzwerk verarbeitet werden müssen und das Broadcasts nur im eigenen Subnet funktionieren
Systemsteuerung -> Netzwerk und
Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften ->
Internet Protokoll IPv4 -> Erweitert -> WINS
$netsh interface ip set
wins <Interfacename> (static|dhcp)
$netsh interface ip add
wins <Interfacename> (static|dhcp)
$netsh interface ip add wins “LAN-Verbindung static 10.0.0.1
DNS (Domain Name
System) stellt eine hierarchische Struktur und automatisierte Methode zum
Zwischenspeichern und Auflösen von Hostnamen
zu Verfügung.
$dig
$nslookup
$pathping
$nslookup > ls
<FQDN>
DNS-Namensystem auf dem DNS
basiert, ist eine hierarchische und logische Baumstruktur, die als DNS-Namespace
bezeichnet wird.
DNS-Namespace enthält einen eindeutigen Stamm (root), der beliebige
untergeordnete Äste (Domänen) haben kann. Untergeordnete Domänen können weitere Domänen enthalten.
DNS-Domänenstruktur enthält Knoten
(Astgabelungen), die anhand eines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN)
identifiziert werden
root_
|.org
| |foo.org__
| | |alpha.foo.org_
| | | |one.alpha.foo.org
| | |beta.foo.org
| |bar.org__
| | |first.bar.org
(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)
DNS-Root
wird von der IC ANN (Internet Corporation for Assigned Names
and Numbers) verwalte. Die ICANN
koordiniert die Zuweisung von global eindeutigen Kennungen, wie
Internetdomänennamen, IP-Adresswerte, Protokollparameter oder Portnummern.
DNS-Top-Level-Domänen sind dem DNS-Stamm
untergeordnet
.org .com .net
.edu .mil .aero .biz .info .name etc.
.de .fr .ly .se
.uk .ru .fu .cn etc.
in-addr.arpa
(Quelle:
http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)
DNS-Top-Level-Domänen deligiert die ICANN
und andere Internetstellen wie die DEBNIC.
DNS-Komponenten sind DNS-Server,
Zone, Auflösungen (Resolver)
und Ressourceneinträge
DNS-Server enthalten DNS-Datenbankinformationen
über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur und verarbeitet
Anfragen zur Namensauflösung von DNS-Clients.
DNS-Server setzen bei einer Anfrage Informationen bereit,
liefern die Adresse eines anderen Servers der die Informationen liefern kann
oder melden eine Antwortnachricht, dass Daten nicht verfügbar oder vorhanden
sind.
DNS-Server ist autorisierend
(authoritive) für eine Domäne, wenn dieser auf lokal
gespeicherte Datenbankdaten zugreift.
DNS-Zonen können durch Delegierung
erzeugt werden.
Spezielle
Zonen sind Forward-Lookupzonen und Revers-Lookupzonen.
Forward-Lookupzone ist eine Zone,
in der Name in IP-Adresse aufgelöst wird.
Reverse-Lookupzone ist eine Zone,
in der IP-Adresse in Name aufgelöst wird.
DNS-Auflösung kommuniziert entweder mit DNS-Remoteservern oder mit dem DNS-Serverprogramm.
DNS-Auflösung wird unter Windows Server 2008 von DNS-Clients übernommen, die Einträge
auch zwischenspeichern können
DNS-Ressourceneinträge werden verwendet um DNS-Clientanfragen zu beantworten
DNS-Ressourceneintragstypen
DNS-Abfrage (query)
läuft folgendermaßen ab: wenn ein DNS-Client
einen Namen sucht, fragt er nachdem er die HOST-Datei und den DNS-Cache
geprüft hat den konfigurierten DNS-Server
ab, um den Namen aufzulösen. Jede DNS-Abfrage
enthält folgende Bestandteile:
DNS-Auflösung (answer)
erhält der DNS-Cient den Ressourceneintrag der aus einem HOST/IP-Paar besteht.
DNS-Abfrage (query) und DNS-Auflösung (answer)
(Quelle : http://technet.microsoft.com/en-us/library/cc775637(WS.10).aspx)
Stammhinweise (root hints) sind
Startpunkte für die Suche nach Namen
im DNS-Domänennamespace. Dabei
handelt es sich um vorbereitete Ressourceneinträge,
die auf Server zeigen, die für den Stamm
des DNS-Domänennamespaces
autorisierend ist.
DNS-Abfragen
und DNS-Auflösung zwischen DNS-Client und DNS-Server sind recursiv.
DNS-Abfragen
und DNS-Auflösung zwischen DNS-Servern sind iterativ wenn es sich um
einen Vorgang handelt, bei dem der DNS-Client
wiederholt Anfragen an verschiedene DNS-Server
sendet.
DNS-Server
können ebenfalls als DNS-Clients
agieren, dieses verhalten heißt Rekursion.
(Quelle:
http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)
;
; Database file (null) for foo.local zone.
; Zone version: 132
;
@ IN SOA dc01.foo.local. hostmaster.foo.local. (
132 ;
serial number
900 ;
refresh
600 ; retry
86400 ;
expire
3600 ) ; default TTL
;
; Zone NS records
;
@ NS dc01.foo.local.
@ NS dns01.foo.local.
@ NS dc02.berlin.foo.local.
DC02.berlin A 192.168.6.12
DC02.berlin A 192.168.7.10
DC02.berlin AAAA fd65:9abf:efb0:6::c
DC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5
DC02.berlin AAAA fd65:9abf:efb0:7::a
;
; Zone records
;
@ 600 A 192.168.6.10
@ 600 AAAA fd65:9abf:efb0:6::a
;
; Delegated sub-zone: _msdcs.foo.local.
;
_msdcs NS win-richruqv1eb.foo.local.
; End delegation
_gc._tcp.Default-First-Site-Name._sites
600 SRV 0
100 3268 dc01.foo.local.
_kerberos._tcp.Default-First-Site-Name._sites
600 SRV 0
100 88 dc01.foo.local.
_ldap._tcp.Default-First-Site-Name._sites
600 SRV 0
100 389 dc01.foo.local.
_gc._tcp 600 SRV 0 100 3268 dc01.foo.local.
_kerberos._tcp 600 SRV 0 100 88 dc01.foo.local.
_kpasswd._tcp 600 SRV 0 100 464 dc01.foo.local.
_ldap._tcp 600 SRV 0 100 389 dc01.foo.local.
_kerberos._udp 600 SRV 0 100 88 dc01.foo.local.
_kpasswd._udp 600 SRV 0 100 464 dc01.foo.local.
;
; Delegated sub-zone: berlin.foo.local.
;
berlin NS dc02.berlin.foo.local.
DC02.berlin A 192.168.6.12
DC02.berlin A 192.168.7.10
DC02.berlin AAAA fd65:9abf:efb0:6::c
DC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5
DC02.berlin AAAA fd65:9abf:efb0:7::a
; End delegation
dc01 A 192.168.6.10
AAAA fd65:9abf:efb0:6::a
DNS01 1200 A 192.168.6.11
1200 AAAA fd65:9abf:efb0:6::b
DomainDnsZones 600 A 192.168.6.10
600 AAAA fd65:9abf:efb0:6::a
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones
600 SRV 0 100 389 dc01.foo.local.
_ldap._tcp.DomainDnsZones
600 SRV 0
100 389 dc01.foo.local.
ws01.bar.local.DomainDnsZones
A 192.168.6.10
ForestDnsZones 600 A 192.168.6.10
600 A 192.168.7.10
600 A 192.168.6.12
600 AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5
600 AAAA fd65:9abf:efb0:6::a
600 AAAA fd65:9abf:efb0:7::a
600 AAAA fd65:9abf:efb0:6::c
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones
600 SRV 0 100 389 dc02.berlin.foo.local.
600 SRV 0 100 389 dc01.foo.local.
_ldap._tcp.ForestDnsZones
600 SRV 0
100 389 dc02.berlin.foo.local.
600 SRV 0
100 389 dc01.foo.local.
win-richruqv1eb 1200 A 192.168.6.10
1200 AAAA fd65:9abf:efb0:1::a
www CNAME .
DNS-Suffix
und Computername
DNS-Suffix
hat die Aufgabe den eigenen Hosteintrag automatisch in der DNS-Zone zu registrieren.
DNS-Suffix
wird automatisch DNS-Abfragen
angefügt die noch kein Suffix haben
um einen FQDN zu erhalten.
Computername.DNS-Suffix
Ws42.example.org
$hostname
$netdom
<Computername> /NewName:<NeuerComputername>
$netdom join
<Computername> /Domain:<Domainenname> /UserD:<DomainUser>
/PasswordD:<DomainUserPass>
$sysdm.cpl -> Systemeigenschaften
$sysdm.cpl -> Systemeigenschaften -> Computername -> Ändern
-> Computername- bzw. –domänenänderungen -> Weiter -> DNS-Suffix und
NetBIOS-Computername
Netzwerkadapter -> Eigenschaften -> Erweiterte
TCP/IP-Einstellungen -> DNS
GPO -> Computerkonfiguration -> Richtlinien
-> Administrative Vorlagen -> Netzwerk -> DNS-Client
Primäre und verbindungsspezifisches
DNS-Suffixe anhängen erlaubt FQDN in Anfragen zu senden.
Primäres DNS-Suffix in einer AD-Domäne ist
automatisch der Domänenname.
Netzwerkadapter -> Eigenschaften -> Erweiterte
TCP/IP-Einstellungen -> DNS -> Primäre und verbindungsspezifisches
DNS-Suffixe
Dieses DNS-Suffix anhängen (in
Reihenfolge) oder auch DNS-Suffixlisten erweitern die DNS-Suchfähigkeit.
DNS-Suffixlisten stellt dem DNS-Client eine Liste von DNS-Suffixes zur Verfügung die dem nicht qualifizierten Namen hinzugefügt
werden.
Netzwerkadapter -> Eigenschaften -> Erweiterte
TCP/IP-Einstellungen -> DNS ->
Diese DNS-Suffixe anhängen
Übergeordnete Suffixe des primären
DNS-Suffixes anhängen ermöglicht die erweiterte Suche: nachdem
zuerst das primäre DNS-Suffix, dann
das verbindungsspezifische Suffix
angehängt wurde, folgt das übergeordnete
Suffix (example.com) des primären DNS-Suffix (berlin.example.com) um einen FQDN
zu bekommen.
DNS-Suffix für diese Verbindung: ist ein verbindungsspezifisch
DNS-Suffix (connection-specific suffix) welches mit einer bestimmten Netzwerkverbindung
verknüpft ist.
Verbindungsspezifische DNS-Suffix sind zum Beispiel nützlich um getrennte
Netzwerkadapter die in zwei Subnetzen münden voneinander zu unterscheiden.
Netzwerkadapter -> Eigenschaften -> Erweiterte
TCP/IP-Einstellungen -> DNS -> DNS-Suffix für diese Verbindung:
DNS dynamische Registrierungen und Updates
konfigurieren von A- (Host), AAAA- (IPv6-Host) und PTR-Ressourceneinträgen
(Zeiger) die von einem DNS-Client
oder DHCP-Server im Namen des Clients
übergeben werden.
DNS dynamische Updates können nur stattfinden, wenn der Client mit einem primären oder verbindungsspezifischen DNS-Suffix konfiguriert ist, das dem Namen der Zone entspricht, die vom bevorzugten
DNS-Server gehostet wird. Der DNS-Server
muss natürlich auch dynamische Updates
zulassen.
$ipconfig /renew
DNS Standardverhalten bei Clientupdates für
Zeigereinträge (PTR) ist dasselbe wie für Hosteinträge
(A oder AAAA): DNS-Clients mit
statisch zugewiesener Adresse versuchen immer, ihre Zeigereinträge beim DNS-Server
zu registrieren und zu aktualisieren, wenn Adressen dieser Verbindung in DNS registrieren aktiviert ist.
$ipconfig /registerdns
Adressen dieser Verbindung in DNS registrieren aktiviert ist, versucht der Client, A-, AAAA-
und PTR-Einträge bei seinem
bevorzugten DNS-Server zu
registrieren.
Netzwerkadapter -> Eigenschaften -> Erweiterte
TCP/IP-Einstellungen -> DNS ->
Adressen dieser Verbindung in DNS registrieren
$ipconfig /registerdns
DNS-Suffix dieser Verbindung in
DNS-Registrierung verwenden
aktiviert ist, versucht der lokale Computer, A-, AAAA- und PTR-Einträge
für alle verbindungsspezifischen
DNS-Suffixe zu registrieren.
Netzwerkadapter -> Eigenschaften -> Erweiterte
TCP/IP-Einstellungen -> DNS -> DNS-Suffix dieser Verbindung in
DNS-Registrierung verwenden
$ipconfig /registerdns
DNS-Clientcache wird auch als DNS-Auflösungscache
bezeichnet. Sobald der DNS-Clientdienst
gestartet ist werden automatisch einträge der HOSTS-Datei dem DNS-Cache
hinzugefügt.
DNS-Clientcache enthält neben Einträgen aus der HOSTS-Datei
Antworten auf Abfragen die an den konfigurierten DNS-Server gerichtet wurden.
HOSTS-Datei wird automatisch eingelesen wenn Einträge verändert
werden.
%WinDir%\System32\Drivers\etc\HOSTS
$ipconfig
$ipconfig /flushdns
$ipconfig /registerdns
$ipconfig /displaydns
$netsh interface ip(v4|v6)
set dns <Interfacename> (static|dhcp)
$netsh interface ip(v4|v6)
add dns <Interfacename> (static|dhcp)
$netsh interface ipv4 add dns “LAN-Verbindung static 10.0.0.1
$netsh interface ipv4 add dnsserver
„LAN-Verbindung“ static 192.168.0.254 Index=1
$mmc services.msc -> DNS-Clientdienst -> restart
Systemsteuerung -> Netzwerk und
Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften ->
Internet Protokoll IP(v4|v6) -> Erweitert -> DNS
DNS-Server
die auf Domänencontroller installiert
werden, haben den Vorteil, dass die Zone
von Features wie dynamischen Updates
und Active Directory-Replikationen
profitiert.
DNS-Server
werden am besten gleich bei der Installation des Domänencontrollers mitinstalliert.
Beim Hochstufen des Domänencontrollers
gibt man den FQDN der Gesamtstruktur-Stammdomäne an. Die FQDN gibt sowohl der Active Directory-Domäne als auch der DNS-Zone ihren Namen.
$dnscmd
$dnscmd /info
$dnscmd /enumdirectorypartitions
$mmc dnsmgmt.msc
$dcdiag /test:replications
$repadmin /showrepl
$dig
Dcpromo
kann automatisch einen lokal gehosteten DNS-Server
mit einer Forward-Lookupzone für die Domäne konfigurieren.
Dcpromo Antwortdateien können auf Windows Server 2008 erstellt werden, mit
Hilfe der letzten Seite (Zusammenfassung)
des Assistenten, bevor die
Installation tatsächlich durchgeführt wird.
$dcpromo
$dcpromo /unattend:<Antwortdatei>
DNS-Server
auf Mitgliedservern oder ohne AD DS.
DNS-Server ohne
AD DS müssen manuell, mit mindestens
einer Forward-Lookupzone konfiguriert
werden.
DNS-Server
für Zwischenspeicherung (caching-only server) hosten selbst
überhaupt keine Zone und sind daher
für keine bestimmte Domäne
autorisiert. Sie dienen als gemeinsamer DNS-Servercache
für Clients.
DNS-Server für Zwischenspeicherung können die Reaktionszeiten zwischen verschiedenen
Standorten erhöhen.
$mmc servermanager.msc -> Assistenten “Rollen hinzufügen“ ->
DNS-Server
$dcpromo (Domaincontroller fügen
automatisch die DNS-Rolle hinzu)
$start /w ocsetup
DNS-Server-Core-Role
$start /w ocsetup
DNS-Server-Core-Role /uninstall
DNS-Manager
kann ebenfalls Verbindung mit anderen DNS-Servern
(Server-Core-Installationen)
aufbauen.
$mmc dnsmgmt.msc
$dnscmd . /ZoneUpdateDS
<Zonenname> (Zoneupdate AD-integrierte-Zone)
$dnscmd . /ZoneRefresh <Zonenname> (Zoneupdate sekundäre-Zone)
DNS-Zonen
sind Datenbanken, deren Einträge Namen mit Adressen verknüpfen, innerhalb eines
Abschnitts des DNS-Namespaces.
DNS-Zonen die
lokal gehostet sind, dienen dazu DNS-Anfragen
autorisierend zu beantworten.
DNS-Zonen
die nicht lokal gehostet sind, kann ein DNS-Server
nicht autorisierend aus seinem Zwischenspeicher
beantworten oder unmittelbar von einem weiteren DNS-Server beziehen.
DNS-Namespaces die für eindeutige Domänennamen
(example.org) definiert sind, können nur aus einer einzigen autorisierenden Quelle für Zonendaten stammen.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Neue Zone
Primäre Zonen Masterexemplare der Zonendaten
werden in einer lokalen Datei (%SystemRoot%\System32\Dns\<Zonenname>.dns)
oder in AS DS gespeichert.
Sekundäre Zonen bieten die Möglichkeit, DNS-Abfrageverkehr zu delegieren. Falls der Zonenserver, der eine primäre
Zone hostet ausfällt, kann eine sekundäre
Zone die Namensauflösung für den Namespace übernehmen, bis der primäre Server wieder online ist.
Quellzonen, von denen sekundäre
Zonen ihre Informationen erhalten, werden als Master bezeichnet.
Zonenübertragung (zone transfer)
gewährleistet die regelmäßige Aktualisierung und Kopie der primären Daten.
Master kann eine andere sekundäre
Zone oder eine primäre Zone sein.
Master die von einer sekundären
Zone stammen, können nicht in der AD
DS abgespeichert werden.
Stubzonen werden oft eingesetzt, um eine übergeordnete Zone (example.com) zu ermöglichen, eine aktualisierte Liste der Namenserver zu verwalten, die in
delegierten untergeordneten Zonen (berlin.example.com) zur Verfügung stehen.
Stubzonen können auch verwendet werden um Namensauflösungen zu beschleunigen und die DNS-Administration zu vereinfachen.
Active
Directory-Zonenreplikationsbereich
stellt detaillierte Optionen für die Replikation
zu Verfügung. Meistens sorgt die Option dafür, dass Zonenübertragung an sekundäre
Server nicht konfiguriert werden muss.
Die
Integration in eine AD hat mehrere
Vorteile:
1.
AD führt
die Zonenreplikation durch, was dazu
führt, dass kein separater Mechanismus zur DNS-Zonenübertragung
zwischen primären und sekundären Servern konfiguriert werden
muss. Fehlertoleranz und bessere Leistung aufgrund der
Verfügbarkeit mehrerer primärer Server
mit Lese- und Schreibzugriff, weil Multimasterreplikationen im Netzwerk zur
Verfügung stehen.
2.
AD
ermöglicht, einzelne Eigenschaften
von Ressourceneinträgen zu
aktualisieren und zwischen DNS-Servern
zu replizieren. Dies verhindert das ganze Ressourceneinträge
aktualisiert werden müssen, was Netzwerkressourcen schont.
3.
AD-integrierte
Zonen haben den Vorteil, dass sie
Sicherheit für dynamische Updates vorhalten, was mit der Option Dynamisches Update konfiguriert wird.
Standardzonen
sind die einzige Option, für eine neue
Zone, wenn der Server kein Domänencontroller
ist.
Standardzonen werden in Textdateien auf dem lokalen Server gespeichert.
Standardzonen können nur ein Exemplar mit Lese- und Schreibzugriff konfigurieren. Alle anderen Kopien der
Zone (sekundäre Zonen) sind schreibgeschützt.
Forward-Lookupzonen bekommen den Namen der DNS-Domäne (example.com),
für deren Name der Auflösungsdienst bereitgestellt wird.
Forward-Lookupzonen-Einträge sind Host oder A (IPv4) bzw
AAAA (quadrible A,
IPv6) –Einträge (records oder entries):
example.com
ws42 A 192.168.1.182
Reverse-Lookupzonen bekommen den Namen der ersten drei Oktette des
Adressraums (1.168.192), für den der Reverse-Namensauflösungsdienst bereitgestellt wird plus das abschließende in-addr.arpa. Also 1.168.192.addr.arpa.
Reverse-Lookupzonen-Einträge sind Zeiger (pointer) oder PTR-Einträge:
1.168.192.in-addr.arpa
182 PTR ws42.example.com
Falls
die Zone, die Namensauflösung für eine Active
Directory-Domäne zu Verfügung stellt, sollte derselbe Namen verwendet
werden wie die Active Directory-Domäne.
Wenn
die Organisation zwei AD-Domänen
namens example.com und berlin.example.com hat, sollten zwei Zonen mit eben diesen Namen eingerichtet werden.
Standardmäßig versuchen DNS-Clients, die mit statischen IP-Adressen
konfiguriert sind, Host- (A oder AAAA) und Zeigereinträge
(PTR) zu aktualisieren. DNS-Clients, die auch DHCP-Clients sind, versuchen nur Hosteinträge zu aktualisieren. Der DHCP-Server in Arbeitsgruppenumgebungen aktualisiert bei jeder IP-Konfiguration den Zeigereintrag erneut.
Dynamische
Updates funktionieren nur, wenn die Zonen so konfiguriert sind, dass sie dynamische Updates auch annehmen. Zwei
Typen von dynamischen Updates können
erlaubt werden:
Forward-Lookupzone GlobalNames-Zone ist eine spezielle Zone die Windows Server 2008 zu Verfügung stellt.
GlobalNames-Zone ermöglicht allen DNS-Clients über Hostnamen, wie zum Beispiel dev01, Verbindung zu Netzwerkessourcen herzustellen, auch in
anderen Subnetzen.
GlobalNames-Zone ist nützlich, wenn die Standardsuchliste für DNS-Suffixe bei DNS-Clients nicht erlaubt, über den reinen Hostnamen (Kurznamen)
eine Verbindung mit einer Netzwerkressource
herzustellen.
GlobalNames-Zone ist standardmäßig nicht
aktiviert.
GlobalNames kann dazu genutzt werden, oft verwendete Netzwerkressourcen mit
statischen IP-Adressen über den Hostnamen erreichbar zu machen ohne WINS.
GlobalNames beinhaltet normal Alias-Ressourceneinträge.
GlobalNames
sind nur unter Windows Server 2008 kompatibel. Sie können nicht auf Server
repliziert werden, die unter älteren Windows-Server-Versionen laufen.
GlobalNames-Zone Bereitstellen:
$dnscmd . /config
/enableglobalnamessupport 1
$mmc dnsmgmt.msc
$nslookup
$nslookup> ls <FQDN>
SOA-Ressourceneinträge (start of
authority) sind DNS-Einträge,
anhand ein DNS-Server grundlegende und autorisierende Eigenschaften für die Zone festlegt.
SOA-Ressourceneinträge legen auch fest wie oft Zonenübertragungen zwischen primären
und sekundären Servern durchgeführt
werden.
@ IN SOA dns01.example.com hostmaster.example.com (
5099 ; serial number
3600 ; refresh (1 hour)
600 ; retry (10 mins)
860400 ; expire (1 day)
60 ) ; minimum TTL (1 min)
$mmc dnsmgmt.msc SOA-Eintrag -> Eigenschaftsdialogfeld ->
Autoritätssprung (SOA)
Falls
Zonen so konfiguriert sind, dass sie Zonenübertragungen an einen oder mehrere
sekundäre Server durchführen, rufen
die sekundären Server regelmäßig die Seriennummer der Zone beim Masterserver
ab. Diese Abfrage wird als SOA-Abfrage
(SOA query) bezeichnet. Wird bei
einem SOA query festgestellt, dass
die Seriennummer der Masterzone der Seriennummer entspricht, die auf dem sekundären Server gespeichert ist, wird keine Übertragung durchgeführt. Ist die Zone auf dem Masterserver dagegen höher als auf dem sekundären Server, der die Abfrage schickt, leitet der sekundäre Server eine Übertragung ein.
Inkrement erzwingt eine Zonenübertragung.
Ist
der Aktualisierungsintervall
abgelaufen, fordert der sekundäre
DNS-Server vom Masterserver eine
Kopie des aktuellen SOA-Ressourceneintrags
für die Zone ab. Der Masterserver beantwortet die SOA-Abfrage und der sekundäre DNS-Server vergleicht anschließend die Seriennummer des
aktuellen SOA-Eintrages des Quellservers mit der Seriennummer seines lokalen
SOA-Eintrages. Sind die Seriennummern
verschieden, fordert der sekundäre
DNS-Server vom primären DNS-Server
eine Zonenübertragung an.
Standardwert für dieses Intervall
beträgt 15 Minuten.
Standardwert beträgt 10
Minuten.
Standardwert ist 1 Stunde.
Standardwert beträgt 1
Stunde.
TTL-Werte sind für Ressourceneinträge
innerhalb der eigenen autorisierenden
Zone nicht relevant.
TTL-Wert legt fest, wie lange Ressourceneinträge auf nicht
autorisierenden Servern zwischengespeichert wird.
DNS-Server, die eine Abfrage zwischengespeichert haben,
verwerfen den Eintrag, sobald der TTL-Wert
des Eintrags verstrichen ist.
TTL für diesen Eintrag, setzt den Standardwert
im Feld Minimale Gültigkeitsdauer
(Standard) außer kraft.
Namenservereintrag (NS) gibt einen Server an, der für eine bestimmte Zone autorisierend ist.
Namenservereinträge werden standardmäßig, unter Windows
Server 2008, für alle Server die eine
primären Kopien einer Active
Directory-integrierten Zone hosten, eingetragen. Beim erstellen einer
primären Standardzone, erscheint standardmäßig ein NS-Eintrag für den lokalen Server in der Zone.
Namenservereinträge für sekundäre Zonen, die in
einer primären Kopie der Zone gehostet werden, müssen manuell
erstellt werden.
@ dns01.example.com.
@ steht für die Zone, die vom SOA-Eintrag in derselben Zonendatei
definiert wird.
Der gesamte Eintrag, weist
der Domäne example.com den DNS-Server
dns01.example.com zu.
$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld ->
Namenserver
$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld ->
Namenserver -> Hinzufügen -> FQDN + IP
Host-Ressourceneinträge werden benutzt um Computer- oder Gerätenamen einer IP-Adresse zuzuordnen.
Host-Ressourceneinträge sind im Normalfall der größte Teil der Ressourceneinträge in einer Zonendatenbank.
Host-Ressourceneinträge manuell hinzuzufügen, ist notwendig wenn Computer-
oder Geräte sich nicht automatisch eintragen können. dev01 könnte zum Beispiel ein BSD sein und www ein Webserver hinter einer Firwall.
Host-Ressourceneinträge werden in die Standardzonendatei
(zum Beispiel example.com.dns) eingetragen.
;
; Zoneneinträge
;
dev01 A 192.168.0.42
AAAA fd00:0:0:5::8
www A 70.32.6.212
AAAA fd00:0:0:5::10
$dnscmd <Servername> /RecordAdd
<Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse>
Alias-Ressourceneinträge (CNAME) werden auch als kanonische Namen bezeichnet.
Alias-Ressourceneinträge erlauben, mehrere Namen auf denselben Host zu verweisen.
www CNAME dev01.example.com
ftp CNAME ftp01.example.com
ftp CNAME ftp02.example.com
ftp01 CNAME ber.example.com
ftp02 CNAME ffm.example.com
CNAME-Ressourceneinträge werden bei folgenden Szenarien empfohlen:
$dnscmd
<Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging]
[/OpenAcl] [Ttl] CNAME <Hostname|Domänenname>
Mail-Exchange-Ressourceneinträge (MX) werden von E-Mail-Anwendungen
benutzt, um Mailserver innerhalb einer Zone
zu finden.
MX-Ressourceneinträge können Domänennamen
wie example.com, die in einer E-Mail-Adresse wie zum Beispiel joe@example.com
angegeben werden, dem A-Eintrag eines Gerätes zuordnen,
welches den Mail-Server hostet.
MX-Ressourceneinträge werden oft mehrfach benannt um eine Fehlertoleranz
zu gewährleisten.
MX-Ressourceneinträge enthalten einen Präferenzwert
an dritter Stelle, die die Priorität
des zugehörigen Servers festlegt. Je kleiner der Wert, desto größer die Priorität.
@ MX 1 mail01.example.com
@ MX 10 mail02.example.com
@ MX 20 mail03.example.com
$dnscmd <Servername> /RecordAdd
<Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername>
Dienstidentifizierungs-Ressourceneinträge (SRV) werden benutzt, um die Position bestimmter Dienste in der Domäne anzugeben.
SRV-Ressourceneinträge nutzen Clientanwendungen, die SRV-fähig sind, um über DNS
gesuchte Anwendungserver abzurufen.
_ldap._tcp SRV 0 0 389 dc01.example.com.
SRV 10 0 389 dc02.example.com.
SRV 5 0 389 dc03.example.com.
SRV-Ressourceneinträge legen an der dritten
Stelle die Priorität fest, 0 ist die
höchste Priorität.
SRV-Ressourceneinträge legen an der vierten
Stelle die Gewichtung für den Lastenausgleich zwischen Servern mit gleicher Priorität fest.
SRV-Ressourceneinträge legen an der fünften
Stelle den Port des Dienstes fest.
Windows Server 2008-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung. Der
Anmeldedienst sucht mithilfe von SRV-Einträgen Domänencontroller in einer
Domäne, indem er in der Domäne nach dem LDAP-Dienst
(Lightweight Directory Access Protocol)
sucht. Beispiel einer solchen DNS-Client-SRV-Abfrage
wäre:
_ldap._tcp.example.com.
DNS-Server-SRV-Antwort wäre (nach oberen Beispiel):
ldap://dc01.example.com:389.
ldap://dc03.example.com:389.
ldap://dc02.example.com:389.
Zeiger-Ressourceneinträge werden für Reverse-Lookupzonen
benutzt, um Reverse-Lookups zu
ermöglichen.
PTR-Ressourceneinträge werden für Abfragen genutzt, die eine IP-Adresse in den zugehörigen Hostnamen oder FQDN auflöst. Reverse-Lookups
werden in Zonen durchgeführt, die unterhalb der Domäne in-addr.arpa liegen.
0.168.192.in-addr.arpa
42 PTR dev01.example.com.
6.32.70.in-addr.arpa
212 PTR www.example.com.
PTR-Ressourceneinträge werden in die entsprechende Zonendatei eingetragen. Für das Klasse-B-Netz
192.168.0.0, heißt die Zonendatei
0.168.192.in-addr.arpa, für das Klasse-C-Netz
70.32.6.0, heißt die Zonendatei
6.32.70.in-addr.arpa.
$dnscmd
<Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging]
[/OpenAcl] [Ttl] PTR <Hostname|Domänenname>
WINS-Server
können für Forward- und Reverse-Lookupzonen angegeben werden.
Daraufhin wird ein spezieller WINS-Ressourceneintrag
bzw. ein WINS-R-Ressourceneintrag zur
Zone hinzugefügt der auf den WINS-Server zeigt.
WINS-Server
wird vom DNS-Server kontaktiert
nachdem er eine DNS-Antwort in seinen
Üblichen Quellen (Cache, lokale
Zonendaten, andere-DNS-Server) nicht finden konnte.
$mmc dnsmgmt.msc Zone -> Reverse- oder Forward-Lookupzone ->
Eigenschaften -> WINS
$dnscmd
$dnscmd
<Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging]
[/OpenAcl] [Ttl] CNAME <Hostname|Domänenname>
$dnscmd <Servername> /RecordAdd
<Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse>
$dnscmd <Servername> /RecordAdd
<Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername>
$dnscmd <Servername> /RecordAdd
<Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname>
$dnscmd <Servername> /RecordAdd
<Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] <RRTyp> <RRDaten>
$dnscmd /RecordDelete 10.in-addr.arpa
127.2.3 PTR
$dnscmd /RecordAdd
196.168.in-addr.arpa 3.10 PTR
$dnscmd /RecordAdd
foo.local berlin A 192.168.3.1
$dnscmd dc02.foo.local
/RecordAdd ffm.foo.local dns05 192.168.5.254
Um das Alter von dynamisch registrierten Ressourceneinträgen
zu bestimmen, verwendet DNS Zeitstempel.
Alterung (aging)
und Aufräumvorgänge
(scavenging) hängen unmittelbar
zusammen.
Veraltete dynamische Ressourceneinträge, Ressourceneinträge bei denen der Zeitstempel abgelaufen ist, werden mit
einem Aufräumvorgang gelöscht.
Standardmäßig sind Alterung und Aufräumvorgang deaktiviert.
$mmc dnsmgmt.msc -> Symbol des DNS-Servers ->
Alterung/Aufräumvorgänge für alle Zonen festlegen…
$mmc dnsmgmt.msc -> Zone
-> Alterung/Aufräumvorgänge für alle Zonen festlegen…
Wichtig ist das sowohl auf
der DNS-Server-Ebene als auch auf der
Zonen-Ebene die Option aktiviert sein
muss. Da Alterung und Aufräumvorgänge, wenn man diese nur auf Server-Ebene aktiviert, nur für neue Zonen gilt, außer man aktiviert Diese Einstellung auf alle vorhandenen
Active Directory-integrierten Zonen anwenden.
Zeistempelwerte der Ressourceneinträge nutzt der DNS-Server für
Alterung und Aufräumvorgang.
Zeitstempel sind bei Active Directory-integrierten dynamisch
registrierten Einträgen automatisch aktiviert.
Zeitstempel sind bei
dynamisch registrierten Einträgen in primären Standardzonen erst aktiviert wenn
Alterung/Aufräumvorgang für alle Zonen festlegen… aktiviert wurde.
Zeitstempel bei manuell
erstellten Ressourceneinträgen sind immer 0.
Zeitstempel 0 bedeutet das
der Ressourceneintrag nicht altert.
$mmc dnsmgmt.msc -> Zone
-> Eigenschaften -> Allgemein -> Alterung…
Eigenschaften für Serveralterung/Aufräumvorgänge:
Standardwert ist 7 Tage.
Standardwert ist 7 Tage.
Die Standardeinstellungen bedeuten also, dass dynamische registrierte Ressourceneinträge nach 14 Tagen aufgeräumt werden.
Das Aktualisierungsintervall muss stets gleichgroß oder größer sein als
das Nichtaktualisierungsintervall.
$mmc dnsmgmt.msc -> Zone
-> Eigenschaften -> Allgemein -> Alterung… -> Eigenschaften
für Serveralterung/Aufräumvoränge
Aufräumvorgänge bei
veralteten Einträgen automatisch aktivieren:
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften
-> Erweitert -> Aufräumvorgänge bei veralteten Einträgen automatisch
aktivieren
Veraltete Ressourceneinträge
aufräumen:
$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Veraltete
Ressourceneinträge aufräumen
DNS-Zugriffssteuerungslisten (Discretionary
Access Control List, DACL) der DNS-Zonen
sind in den Active
Directory-Domänendiensten (Active
Directory Domain Services, AD DS) gespeichert.
DNS-DACL-Verwaltung
verlangt mindestens Mitglied der Gruppe
DnsAdmins oder Domänen-Admins in AD DS oder einer entsprechenden Gruppe
zu sein.
Zonenreplikation (zone
replication) ist die Synchronisation
von Zonendaten für Active Directory-integrierte Zonen.
Active Directory-integrierte Zonen können nur auf Domänencontrollern
installiert werden, bei denen die Serverrolle
DNS-Server installiert ist.
Active Directory-integrierte Zonen verfügen über eine Multimaster-Datenreplikation, die einfach zu konfigurieren ist und
mehr Sicherheit und Effizienz bietet, im Gegensatz zu Standardzonen.
Active Directory-integrierte Zonen mit integrierter Speicherung können DNS-Clients Updates auf die komplette Domänenstruktur replizieren.
Anwendungsverzeichnispartitionen helfen beim Verwalten von DNS-Zonendaten.
Anwendungsverzeichnispartitionen enthalten DNS-Zonendaten.
Verzeichnispartitionen werden durch eine DNS-Subdomäne und einen FQDN
identifiziert.
Verzeichnispartitionen können auch manuell erstellt werden. Manuelle Verzeichnispartitionen können nur Mitglieder der Gruppe Organisations-Admins erstellen.
$dnscmd <Servername>
/createdirectorypartition <FQDN>
$dnscmd <Servername>
/enlistdirectorypatition <FQDN>
$dnscmd . /createdirectorypartition DnsPartition01.example.com
Verzeichnispartitionen DomainDnsZones und ForestDnsZones
sind standardmäßig vorgegeben:
Um
Replikationen auf Windows 2000 Server zu ermöglichen, kann
man Active Directory-integrierte Zonen
in dieser Verzeichnispartition speichern.
$mmc dnsmgmt.msc -> DNS-Server Symbol ->
Standardanwendungs-Verzeichnispartitionen erstellen
$mmc dnsmgmt.msc ->
DNS-Server Symbol -> Neue Zone… ->
Active Directory-Zonenreplikationsbereich
$mmc dnsmgmt.msc -> Zone -> Eigenschaften ->
Allgemein -> Replikation: Alle
DNS-Server dieser Domäne -> Ändern…
Zonenübertragung (zone transfer)
ist die Synchronisation von Zonendaten zwischen einer beliebigen Masterzone und einer sekundären Zone.
Zonenübertragung muss genutzt werden wenn dein DNS-Server
kein Domäncontroller ist.
Zonenübertragung findet zum Beispiel statt, wenn eine Organisation mehrere DNS-Server benötigt. Hier werden Quelldaten in eine schreibgeschützte sekundäre Zone kopiert auf einem weiteren DNS-Server.
Zonenübertragung verwendet Standardzonen, Textdateien die ein jeder DNS-Server speichert.
Zonenübertragung ist ein Pull-Vorgang, der von
der sekundären Zone eingeleitet wird.
Die sekundäre Zone kopiert hierbei
Daten von der Masterzone.
Sekundäre Zonen können so konfiguriert werden, dass sie eine Active Directory-integrierte Masterzone
übertragen.
Zonenübertragung an sekundäre
Zonen kann durch drei Ereignisse ausgelöst werden:
$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Zonenübertragungen
Zonenübertragungen zulassen:
$mmc dnsmgmt.msc -> sekundäre Zone
Stubzonen (stub zone)
sind Kopien einer Zone, die nur die
wichtigsten Einträge der Masterzone enthält.
Stubzonen liefern einem DNS-Server
die Namen der Server, die für bestimmte Zonen autorisierend sind. Sie verhindern somit Abfragen auf entfernte DNS-Server.
Stubzonen sollen es dem lokalen
DNS-Server ermöglichen, Abfragen an Namenserver
weiterzuleiten, die für die Masterzone
autorisierend sind.
Stubzonen erfüllen, nach dem oberen Fall, die gleiche Aufgabe
wie eine Delegierung.
Stubzonen bieten aber den Vorteil, dass sie Zonenübertragungen von der (delegierten) Masterzone einleiten und empfangen können. So können übergeordnete Zonen über Updates in den NS-Einträgen von untergeordneten Zonen informiert werden.
Stubzonen
Aufgaben:
Delegierte Zonen sind untergeordnete
Zonen (zum Beispiel ffm.example.com) einer übergeordneten
Zone (zum Beispiel example.com), die normalerweise auf ihrem eigenen DNS-Server gehostet wird. Bei Delegierung enthält die übergeordnete Zone einen NS-Eintrag für den Server, der die untergeordnete Zone hostet. Anfragen in
der übergeordneten Domäne werden also
an den NS-Server der untergeordneten Domäne weitergeleitet.
DNS-Servercache speichert rekursive Abfragen von DNS-Clients.
DNS-Servercache wird geleert sobald der DNS-Serverdienst angehalten wird.
DNS-Auflösungscache verwendet eine TTL
(Time-to-Live) für Ressourceneinträge.
DNS-Auflösungscache
TTL beträgt
standardmäßig 3600 Sekunden.
$dnscmd
$dnscmd /clearcache
$mmc dnsmgmt.msc
Stammhinweise enthält eine Liste der Stammserver im Internet, die alle paar Jahre von leicht verändert
wird.
ftp://rs.internic.net/domain/named.cache
Stammhinweise befinden sich unter Windows Server 2008 in der Datei
%SystemRoot%\System32\Dns\Cache.dns.
Stammhinweise enthalten standardmäßig Informationen für die
Abfrage nach Internetnamen, die nicht
verändert werden müssen.
Stammhinweise sollten ganz
gelöscht werden wenn ein DNS-Stammserver
für ein privates Netzwerk (Zonenname: „“) eingerichtet wird.
Stammhinweise stehen nicht zur Verfügung wenn ein DNS-Server einen Stammserver hostet.
Stammhinweise müssen entfernt werden
wenn ein DNS-Server eine Stammzone hostet, um das Auflösen von externen Namen
zu gewährleisten.
Weiterleitungen (forwards)
bedient sich ein DNS-Server, wenn er
keinen passenden Eintrag anhand seiner autorisierenden Daten (primäre oder
sekundäre Zonendaten) oder
zwischengespeicherten Daten beantworten kann.
Weiterleitungen sind DNS-Server-zu-DNS-Server
Anfragen.
$netsh ip(v4|v6) set dnsserver
“<Interfacename>“ static <IP>
Weiterleitungen (forwardings) und
deren Verwendung:
So können Namen
von Ressourcen in allen Domänen der Gesamtstruktur aufgelöst werden.
$mmc
dnsmgmt.msc -> Symbol des DNS-Servers -> Globale
Protokolle -> Forward-Lookupzone
Bedingte Weiterleitungen (conditional
forwards) beschreibt eine DNS-Server-Konfiguration,
bei der die Abfrage nach einer bestimmten Domäne an einen bestimmten DNS-Server weitergeleitet wird.
Bedingte
Weiterleitungen haben einen
geringen Wartungsaufwand, verursachen kaum Zonentransfareverkehr
und sind im Gegensatz zu sekundären
und Stub-Zonen immer aktuell.
$mmc
dnsmgmt.msc -> Symbol des DNS-Servers -> Globale
Protokolle -> Bedingte Weiterleitungen
DNS-Server-Eigenschaften konfigurieren die Eigenschaften die für den DNS-Server und all seine gehosteten
Zonen gelten.
$mmc
dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften
Bei DNS-Servern
die einen Stammserver hostet ist dieser Reiter nicht vorhanden
Weiterleitungen dienen dazu den lokalen DNS-Server so zu
konfigurieren das er Anfragen an einen anderen DNS-Server, die hier mit
IP-Adresse eingetragen sind, weiterleitet und an den Client zurückgibt
DHCP (Dynamic Host
Configuration Protocol) ermöglicht das Zuweisen von IP-Adressen, Subnetzmasken,
Standardgateways, DNS-Servern und anderen Konfigurationsinformationen an Clients
im lokalen Netzwerk.
Clients die für DHCP konfiguriert sind, rufen automatisch ihre IPv4-Adresse und Konfiguration vom DHCP-Server ab.
Vier Schritte sind notwendig um
einem Clienten eine IPv4-Adresse und Subnetzmaske zuzuweisen:
DHCP-Offer-Nachrichten enthalten eine Liste der DHCP-Konfigurationsparameter und eine verfügbare IP-Adresse aus dem DHCP-Bereich, die der DHCP-Server
dem DHCP-Client anbietet.
Falls der DHCP-Server eine Reservierung anhand der MAC-Adresse
des DHCP-Clients feststellt, bietet
er dem Client die reservierte Adresse an.
DHCP-Server verwalten eine Datenbank
der Adressen, die der Server an Clients vergeben kann. Den Vorgang des
Adressvergebens nennt man Lease.
DHCP-Server zeichnen auf, welche Adresse an welchen Client
vergeben ist, so dass Adressen niemals mehrfach vergeben werden.
Leases dauern in den Standardeinstellungen
6 Tage oder 8 Stunden.
Leases die abgelaufen sind – am Ende einer Leasedauer fordert der DHCP-Server die Adresse zurück.
DHCP-Clients fordern nach der Hälfte der Leasedauer eine Erneuerung der Lease
an den DHCP-Server.
Wenn 87,5% der Leasedauer
verstrichen sind, versucht der Client einen neuen DHCP-Server zu finden.
DHCP-Clients die heruntergefahren werden oder bei denen der
Befehl runas /user:Administrator “ipconfig /release“ ausgeführt wird, senden eine DHCP-Release-Nachricht an den DHCP-Server,
der die Adresse zugewiesen hat. Der DHCP-Server
markiert daraufhin die Adresse als verfügbar und kann sie einem anderen DHCP-Client zuweisen.
DHCP-Clients die plötzlich vom Netzwerk getrennt werden, senden
keine DHCP-Release-Nachricht, was zu
folge hat, dass die Adresse bis zum Ende der Leasedauer vergeben bleibt.
Leasedauer sollte deshalb in Netzwerken mit häufigen
Verbindungen und Trennungen (zum Beispiel WLANs)
gering sein.
Netzwerkadapter
-> Eigenschaften -> Internetprotokoll IP(v4|v6) -> Allgemein
$netsh interface ipv4 set address
<Adaptername> dhcp
$netsh interface ipv4 set dnsserver
<Adaptername> dhcp
$netsh interface ipv6 set interface
<Adaptername> managedaddress=(enable|disable)
$netsh interface ipv6 set interface
<Adaptername> otherstatful=(enable|disable)
$ipconfig
/release (erzwingen einer
neuen Lease)
$ipconfig
/renew
Statusbehafteter-Modus (statful mode)
muss manuell aktiviert werden.
Statusbehafteter-Modus fragt über
DHCPv6 eine Adresse und IPv6-Konfigurationsoptionen
von einem DHCP-Server ab.
Statusfreie-Modus (statless mode)
ist standardmäßig auf IPv6-Clients aktiviert.
Statusfreie
DHCPv6-Modus bedeutet, dass
der Client seine IP-Adresse durch
Austausch von Routeranfrage- und Routerankündigungsnachricht mit einem
benachbarten IPv6-Router
konfiguriert.
Statusfreie
DHCPv6-Modus kann denoch DHCP-Optionen, wie zum Beispiel den IPv6-DNS-Server, beim DHCP-Server abfragen.
DHCP-Server
unter Windows Server 2008 benötigen eine statische IP-Adresse, aus dem Subnetz
das für den DHCP-Bereich konfiguriert
werden soll.
DHCP-Server
die IP-Adressen an Clients leasen,
müssen einen Bereich von IP-Adressen
für das Leasen vordefiniert haben.
DHCP-Server
die für die Subnetze 10.0.42.0/24 und 192.168.23.0/24 DHCP-Bereiche definiert
haben, sollten direkt mit diesen Subnetzen
(sofern kein DHCP-Relay-Agent eingesetzt
wird) verbunden sein.
$mmc dhcpmgmt.msc
$start /w ocsetup
DHCPServerCore
$net start dhcpserver
$sc config dhcpserver start=auto
$mmc servermanager.msc -> Assistenten
„Rollen hinzufügen“ -> Serverrolle auswählen -> DHCP-Server
·
Bindungen
für Netzwerkverbindung auswählen –
gibt die Netzwerkkarte oder den Adapter an, auf dem der DHCP-Server Clientanforderungen
entgegennimmt.
·
Angeben von
IPv4-DNS-Servereinstellungen –
gibt die DNS-Optionen 015 (DNS-Domänenname) und 006 (DNS-Server)
an.
·
Angeben von
IPv4-WINS-Servereinstellungen –
gibt die DNS-Option 044 (WINS/NBNS-Server) an.
·
DHCP-Bereiche
hinzufügen oder bearbeiten –
gibt den DHCP-Bereiche an, eine
Gruppe von IP-Adressen aus einem Subnetz, die der DHCP-Dienst nutzt um dynamische
IP-Adressen zu vergeben.
DHCP-Bereiche hinzufügen:
·
Bereichname – Anzeigename
der DHCP-Server-Konsole.
·
Start- und
End-IP-Adresse – DHCP-Bereich der aus IPs des Subnetzes die nicht statisch vergeben werden, besteht. Statisch
konfigurierte Bereiche müssen ausgenommen werden.
Bsp.:
192.168.0.1-20 ist statisch vergeben;
DHCP-Bereich: 192.168.0.21-192.168.0.254
·
Subnetzmaske – die DHCP-Clients
zugewiesen wird. Muss die gleiche sein wie die des DHCP-Servers.
·
Standardgateway
(optional) – Option 003 (Router).
·
Subnetztyp – standard
Leasedauer. Entweder 6 Tage oder 8 Stunden.
·
Diesen Bereich
aktivieren – nur aktivierte Bereiche vergeben Leases.
·
Konfigurieren
des statusfreien DHCPv6-Modus – statless mode ist der Standardadressierungsmodus für IPv6-Hosts, wobei Adressen ohne Hilfe
eines DHCP-Servers konfiguriert
werden. Optionen können aber denoch von einem DHCP-Server abgerufen werden.
Statusfreien DHCPv6-Modus kann deaktiviert werden, um dem DHCP-Server zu ermöglichen statusbehaftete
Adressierungen zu vergeben. Hierfür muss später ein weiterer DHCP-Bereich im Knoten IPv6 der DHCP-Konsole eingerichtet werden.
·
IPv6
DNS-Servereinstellungen angeben
– (wird nur gezeigt wenn statusfreien DHCPv6-Modus
deaktiviert ist)
·
DHCP-Server
autorisieren – bevor ein DHCP-Server in einer Domänenumgebung Leases für Adressen aus einem
vorhandenen Bereich an DHCP-Clients vergeben
kann, muss der Server erst autorisiert
und der Bereich aktiviert sein.
DHCP-Bereiche (scope)
sind die wichtigsten Mechanismen, wie Server Verteilung und Zuweisung von IP-Adressen und Optionen an Clients
verwalten.
DHCP-Bereiche müssen in einem einzelnen Hardwaresubnetz
liegen, für die dass DHCP-Dienste
angeboten wird.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereich
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Adresspool ->
Neuer augeschlossener Bereich… -> Ausschluss hinzufügen
Ausgeschlossene Bereiche sind Adessausschlüsse
aus dem vordefinierten DHCP-Bereich.
Adressausschlüsse dienen dazu einzelne IPs oder
IP-Blöcke vom DHCP-Bereich auszuschließen, die statisch vergeben wurden.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Reservierungen -> Neue
Reservierung… -> Neue Reservierung
$getmac /s <IP> | clip
Reservierungen haben den Vorteil, dass sie gegenüber von
Handverwalteten, statischen IP-Adressen,
zentral verwaltet werden können.
Reservierungen haben den Nachteil, dass sie erst spät im Startprozess zugewiesen werden und ein DHCP-Server vorhanden sein muss.
Reservierungen können zum Beispiel bei Druckservern
oder Anwendungsserver praktikabel
sein. DNS-Server sollten auf keinen
Fall von DHCP-Servern abhängig sein.
$mmc $dhcpmgmt.msc -> DHCP-Server
Symbol -> IPv4 -> Bereichname -> Eigenschaften -> Allgemein -> Leasedauer für DHCP-Clients
Leasdauern für LANs
ist die standardmäßig, sinnvoll mit der Dauer von 6 Tage festgelegt. Kann aber erhöht werden falls die Computer
selten umgestellt oder neu angeschlossen werden.
Leasdauern
sollten relativ kurz sein, 8 Stunden,
wo die Adressen knapp sind und die Verbindungsdauern kurz.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Adressleases -> Löschen
Adressleases zeigt an welche IP-Adressen
momentan als Leases an welche
Clienten vergeben sind.
Adressleases Löschen kann gleich mehrere Clients auswählen und Leases vieler Clients aufeinmal beenden
um ihre Leases zu erneuern und die
neuen Adressen oder neuen Optionen abzurufen.
DHCP-Optionen stellen Clients zusammen mit der Adresslease zusätzliche Konfigurationsparameter zur Verfügung,
etwa DNS- oder WINS-Serveradressen.
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname ->
Bereichoptionen -> Optionen
Konfigurieren… -> Optionen - Bereich -> Allgemein
$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Serveroptionen -> Optionen
Konfigurieren… -> Optionen - Server -> Allgemein
DNS-Bereich- und Serveroptionen unterscheiden sich
dadurch, wie der Name schon sagt, dass die Optionen einmal auf Bereichsebene und einmal auf Serverebene angewendet werden.
60 DHCP-Standardoptionen stehen unter Windows
Server 2008 zu Verfügung. Folgende sind für die IPv4-Konfiguration die wichtigsten:
Standardbenutzerklasse (default user
class) ist eine Klasse, zu der alle DHCP-Clients
gehören und die auf alle DHCP-Clients
angewendet wird. In dieser Klasse werden in der Standardeinstellung alle Optionen erstellt.
DHCP-Konflikterkennungsversuche, falls mit dem Wert 2 konfiguriert, erkennen via ping über ICMP ob IPs schon geleast
sind.
DHCP-Datenbank kompremieren:
$cd
%systemroot%\system32\dhcp
$net stop dhcpserver
$jetpack dhcp.mdb tmp.mdb
$net start
dhcpserver
DHCP-Optionsklassen (options class) ist eine Clientkategorie,
die es dem DHCP-Server erlaubt,
Optionen nur an bestimmte Clients innerhalb eines Bereiches zuzuweisen.
Optionsklassen die einem Server hinzugefügt werden, können Clients dieser Klasse mit klassenspezifischen Optionen versorgt werden. Optionsklassen
werden nach der Standardbenutzerklasse angewandt und überschreiben deren
Option. Es gibt zwei Typen von Optionsklassen:
Clients
mit Windows 2000 können so zum
Beispiel ermittelt werden, und abhängig davon NetBIOS aktiviert oder deaktiviert werden.
$mmc $dhcpmgmt.msc -> DHCP-Server
Symbol -> IPv4 -> Herstellerklassen definieren ->
DHCP-Herstellerklassen
Nachdem
eine Benutzerklasse auf dem Server
erstellt wurde, muss die Klasse auf den Clientcomputern konfiguriert werden.
$mmc $dhcpmgmt.msc -> DHCP-Server
Symbol -> IPv4 -> Benutzerklassen definieren -> DHCP-Benutzerklassen
-> Hinzufügen…
$ipconfig /setclassid <Adaptername> <Benutzklassen-ID>
Routing erlautb es Routern,
Verkehr untereinander weiterzuleiten, so dass Clients und Server in
unterschiedlichen Subnetzen
miteinander kommunizieren können.
Routing
kann mit ICMP (Internet Control Message Protocol) überwacht, verfolgt und
visualisiert werden.
Routing
kann dynamisch, mit Hilfe von Routingprotokollen,
oder statisch mit Hilfe von Routentabellen gesteuert und
konfiguriert werden.
$pathping dc01
Routenverfolgung zu DC01.foo.local
[fd65:9abf:efb0:6::a]
über maximal 30 Abschnitte:
0 DNS01.foo.local [fd65:9abf:efb0:6::b]
1 DC01
[fd65:9abf:efb0:6::a]
Berechnung der Statistiken dauert ca. 25
Sekunden...
Quelle zum Abs. Knoten/Verbindung
Abs. Zeit
Verl./Ges.= %
Verl./Ges.= % Adresse
0 DNS01.foo.local
[fd65:9abf:efb0:6::b]
0/ 100 = 0% |
1
0ms 0/ 100 = 0%
0/ 100 = 0% DC01 [fd65:9abf:efb0:6::a]
$tracert freebsd.org
Routenverfolgung zu freebsd.org [69.147.83.40] über
maximal 30 Abschnitte:
1 1
ms 1 ms 1 ms
192.168.32.64
2 1
ms 1 ms 1 ms
fritz.box [192.168.64.128]
3 17
ms 18 ms 25 ms
lo1.br14.ber.de.hansenet.net [213.191.64.25]
4 11
ms 10 ms 10 ms
ae1-102.cr01.ber.de.hansenet.net [62.109.108.125]
5 28
ms 28 ms 32 ms
so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.66.21]
6 41
ms 37 ms 28 ms
ae0-0.pr01.fra.de.hansenet.net [213.191.66.201]
7 33
ms 34 ms 32 ms
ge-1-3-0.pat2.dee.yahoo.com [80.81.193.115]
8 121
ms * 131 ms
as-1.pat2.dcp.yahoo.com [66.196.65.129]
9 195
ms 213 ms 209 ms
as-0.pat2.da3.yahoo.com [216.115.101.155]
10 189
ms 191 ms 204 ms
as-1.pat2.sjc.yahoo.com [216.115.101.151]
11 190
ms 194 ms 206 ms
ae-0-d161.msr1.sp1.yahoo.com [216.115.107.59]
12 195
ms 194 ms 191 ms
gi-1-48.bas-b1.sp1.yahoo.com [209.131.32.47]
13 191
ms 189 ms 192 ms
freefall.freebsd.org [69.147.83.40]
Ablaufverfolgung beendet.
Routingprotokolle vereinfachen die Konfigurationen und erlauben es Routern, automatische Anpassungen vorzunehmen, wenn sich die
Netzwerkbedingungen ändern (wenn zum Beispiel ein Router oder eine Netzwerkverbindung ausfällt).
Routingprotokolle sind zum Beispiel RIP (Routing Information Protokoll) oder OSPF (Open Shortest Path First).
Router mit
aktiviertem Routingprotokoll, die an
ein Netzwerk angeschlossen sind, kündigt das Routingprotokoll eine Liste der Netzwerke an, mit dem der Router verbunden ist. Der Router nimmt die Ankündigungen von
benachbarten Routern entgegen, so
dass er erfährt, wie er bestimmte Remotenetzwerke
erreichen kann.
Routing- und RAS-Dienste (Remote Access
System) Serverrolle aktiviert
unter Windows Server 2008 dynamisches
routing mit Hilfe von RIP (Routing
Information Protokoll)..
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS
-> IPv4
Standardmäßig verwendet Windows
Server 2008 RIPv2.
(http://administrator.de/)
Statische Routen können zum Beispiel notwendig sein, wenn Geräte eine
Verbindung mit einem entfernten Subnetz
herstellen müssen und das Standardgateway
nicht direkt mit einer Schnittstelle an besagtes Subnetz angebunden ist.
Statische Routen können unter Windows 2008 Server
entweder mit $route oder dem Routing- und RAS-Dienst konfiguriert
werden.
$route print
===========================================================================
Schnittstellenliste
3...00 0c
29 43 b0 31 ......Intel(R) PRO/1000 MT-Netzwerkverbindung
1...........................Software Loopback Interface 1
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.6.1 192.168.6.11 11
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255
255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.6.0 255.255.255.0 Auf Verbindung 192.168.6.11 266
192.168.6.11 255.255.255.255 Auf Verbindung 192.168.6.11 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.6.11 266
255.255.255.255
255.255.255.255 Auf
Verbindung 127.0.0.1 306
255.255.255.255
255.255.255.255 Auf
Verbindung 192.168.6.11 266
===========================================================================
Ständige Routen:
Netzwerkadresse
Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.6.1 1
===========================================================================
IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik
Netzwerkziel Gateway
1 306 ::1/128 Auf Verbindung
3 266 fd65:9abf:efb0:6::/64 Auf Verbindung
3 266 fd65:9abf:efb0:6::b/128 Auf Verbindung
3 266 fe80::/64 Auf Verbindung
3 266 fe80::cd3c:3113:f394:a01b/128
Auf
Verbindung
1 306 ff00::/8 Auf Verbindung
3 266 ff00::/8 Auf Verbindung
===========================================================================
Folgender Befehl trägt in
die Routertabelle ein, dass das Subnetz 192.168.2.0/24
über den Router 192.168.1.2 zu erreichen ist, anstatt über das Standardgateway:
$route -p add 192.168.2.0 MASK 255.255.255.0 192.168.1.2
Statische Routen mit Routing-
und RAS-Dienst lassen sich ebenfalls eintragen:
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsdienste -> Routing und RAS
-> IPv4 -> Statische Routen -> Neue Statische Routen -> Statische
IPv4-Route
IPSec (Internet
Protocoll Security) schützt Netzwerke, indem Daten authentifiziert und verschlüsselt
werden.
IPSec
schütz vor Spoofing, manipulierten Daten, Relay-Angriffen und Spionage.
IPSec wird
eingesetzt, um die Kommunikation zwischen zwei Hosts oder um Verkehr, der über das Internet fließt, bei der
Benutzung von VPN, zu schützen.
IPSec
basiert auf Standards, die von der IPSec-Arbeitsgruppe
der IETF (Internet Engineering Task Force) entwickelt wurden.
IPSec
schützt Daten mit folgenden Diensten:
IPSec-Sicherheitszuordnungen (Security
Association, SA) schützen die Daten, die zwischen zwei Computern
ausgetauscht werden.
IPSec-Sicherheitszuordnungen werden aufgebaut wenn zwei Computer IPSec-Verbindungen aushandeln.
Sicherheitszuordnungen werden durch zwei IPSec-Protokolle gewährleistet:
IPSec-Verbindungen werden über IKE-Protokolle
(Internet key Exchange) initialisiert
um Sicherheitszuordnungen dynamisch
zwischen zwei IPSec-Partnern
aufzubauen.
IPSec-Verbindungen werden mit IKE in zwei Phasen ausgehandelt:
IPSec-Verbindungen arbeiten standardmäßig im Transportmodus
(transport mode), bei dem end-to-end-Sicherheit zwischen Geräten
gewährleistet wird.
IPSec-Transportmodus wird bei den meisten VPNs eingesetzt, in Kombination mit L2TP (Layer Two Tunneling
Protocol), um die IPSec-Verbindung
durch das WAN zu Tunneln.
IPSec-Tunnelmodus kommt zum Einsatz, wenn VPN-Gateways nicht L2TP/IPSec-VPN kompatibel sind.
IPSec-Tunnelmodus schützt gesamte IP-Pakete,
die dann in einen zusätzlichen, ungeschützten IP-Header verpackt werden. Der äußere IP-Header gibt die
IP-Adressen der Tunnelendpunkte
an, der innere IP-Header die
eigentliche Quell- und Zieladresse.
IPSec-Tunnelmodus wird von Remotezugriff-VPNs
nicht unterstützt, hier muss L2TP/IPSec
oder PPTP zum einsatz kommen.
IPSec-Authentifizierungsmethoden
IPSec wird unter Windows
Server 2008 mit Sicherheitsrichtlinien
oder Gruppenrichtlinien verwaltet.
IPSec wird
unter Windows Server 2008, Windows Vista und Windows 7 entweder über IPSec-Richtlinien
(IPSec policy) oder Verbindungssicherheitsregeln (connection security rule) erzwungen.
IPSec-Richtlinien bietet im Gegensatz zu Verbindungssicherheitsregeln,
in den Standardeinstellungen, nicht
nur schutz vor Spoofing (gefälschten
Daten), manipulierten Daten und Relay-Angriffen,
sondern auch Verschlüsselung.
IPSec-Richtlinien wie auch Verbindungssicherheitsregeln,
können so konfiguriert werden, dass sie eine beliebige Kombination aus Datenauthentifizierung und Verschlüsselung bereitstellt.
IPSec-Richtlinien und Verbindungssicherheitsrichtlinien
können über ein Gruppenrichtlinienobjekt
oder lokal erzwungen werden.
IPSec-Richtlinienregeln (IPSec policy
rule) sind mit IP-Filterlisten (IP filter list) und Filteraktionen (filter action)
verknüpft. Jede Richtlinie hat einen Filterliste
und Filteraktion.
IP-Filterlisten enthalten einen Satz aus einem oder mehrern IP-Filtern, die IP-Verkehr für eine IPSec-Richtlinie
abfangen.
IP-Filter definieren Quell-
oder Zieladresse, Adressbereich, Computername, TCP/UDP-Port oder
Servicetyp (DNS, WINS, DHCP, Standardgateway).
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien
-> Windows-Einstellungen ->
Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory
IPSec-Richtlinienregel Bsp.:
|
IPSec-Richtlinie |
IP-Filterliste |
Filteraktion |
|
Richtlinienregel 1 |
Filter 1: Telnet-Verkehr
von 192.168.23.42 Filter
2: POP3-Verkehr von 192.168.23.196 |
Sicherheit aushandeln (Verschlüsselung zwingend erforderlich) |
|
Richtlinienregel 2 |
Filter 1: gesamte Telnet-Verkehr Filter
2: gesamte POP3-Verkehr |
Blocken |
|
Richtlinienregel 3 |
Filter 1: gesamte Verkehr |
Sicherheit aushandeln (Authentifizierung anfordern) |
Vordefinierte IPSec-Richtlinien – kann jeweils nur eine der folgenden drei, einem
Gerät oder Computer zugewiesen werden:
Der
Computer nimmt ungeschützten Verkehr an, versucht aber immer, weitere
Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen Absender
fordert.
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien
-> Windows-Einstellungen ->
Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory
Benutzerdefinierte IPSec-Richtlinien gruppieren benutzerdefinierte
IPSec-Regeln.
$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien
-> Windows-Einstellungen ->
Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory
-> IP-Sicherheitsrichtline erstellen… -> IPSec-Sicherheitsrichtlinien Assistent
Verbindungssicherheitsregeln sind ähnlich wie IPSec-Richtlinienregeln,
allerdings sind Verbindungssicherheitsregeln
nicht so leistungsfähig wie IPSec-Richtlinienregeln.
Verbindungssicherheitsregeln gelten nicht für ausgewählte Protokolle (DNS, Telnet),
sondern sie gelten für den gesamten Verkehr, der von oder zu bestimmten IP-Adressen, Subnetzen oder Servern
läuft.
$mmc gpmc.msc -> Computerkonfiguration ->
Richtlinien -> Windows-Einstellungen -> Windows-Firewall mit erweiterter
Sicherheit -> Windows-Firewall mit erweiterter Sicherheit ->
Verbindungssicherheitsregeln
$mmc wf.msc -> Verbindungssicherheitsregeln -> Neue Regel… -> Assistent für neue
Verbindungssicherheitsregeln
$mmc wf.msc -> Verbindungssicherheitsregeln -> Eigenschaften ->
IPSec-Einstellungen -> IPSec-Standardeinstellungen
NAT (Network Adress Translation) – ein Dienst
der Private-IP-Adressen, die im LAN verwendet werden, in öffentliche (WAN) IP-Adressen, die im
Internet kommunizieren übersetzt.
NAT wurde
entwickelt, weil öffentliche IP-Adressen
im Internet knapp wurden.
NAT
ermöglicht Organisationen, Private-IP-Adress-Blöcke
zu vergebe, die Hunderte oder Tausende Hosts
Adressieren können. Eine genatete öffentliche
IP-Adresse reicht aus, um die Kommunikation dieser Hosts mit dem Internet zu gewährleisten. Verschiedene
Organisationen können identische Private-IP-Adress-Blöcke
vergeben:
192.168.0.0
– 192.168.255.255
172.16.0.0 – 172.31.255.255
10.0.0.0 – 10.255.255.255
PAT (Port Adress Translation) funktioniert
wie NAT, übersetzt allerdings auch Ports.
Windows Server 2008 kann als NAT-Server
eingesetzt werden und stellt zwei NAT-Dienste
bereit:
ICS
benötigt zwei Schnittstellen. Auf der
öffentlichen Schnittstelle eine öffentliche IP-Adresse und auf der
internen Schnittstelle eine private.
ICS-Dienst weist automatisch dem ICS-Computer die private
IP-Adresse 192.168.0.1 zu und via DHCP, Computern im LAN, IP-Adressen aus dem
Bereich 192.168.0.0/24.
ICS-Dienst
aktiviert automatisch DHCP-Dienst (ICS-DHCP ist nicht kompatibel zur Serverrolle DHCP-Server oder dem DHCP-Relay-Agenten und anderen Routing- und RAS-Komponenten).
ICS-Dienst
kann auch VPN- oder DFÜ-Verbindungen verwalten.
Öffentliche Schnittstelle -> Eigenschaften ->
Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als
Internetverbindung zu verwenden
Routing und RAS ermöglicht sämtliche NAT-Fähigkeiten zu nutzen.
Routing und RAS hat folgende Vorteile gegenüber ICS:
Routing und RAS NAT-Server aktivieren:
Ereignisanzeige ->
Windows-Protokolle -> System (Quelle: SharedAccess_NAT)
Drahtlosnetzwerkstandards und Drahtlosnetzwerktechnologien:
Drahtlosnetzwerksicherheitsstandards:
Verbindung herstelle ->
Verbindung mit einem Netzwerk herstellen -> Zusätzliche
Anmeldeinformationeneingeben oder auswählen -> Anmeldeinformationen ->
Netzwerkstandort festlegen
Bootstrap Wireless Profile erlaubt es vor dem Anmelden, Verbindung zu einem Drahtlosnetzwerk herzustellen.
Windows 2008 Server können als RADIUS-Server
arbeiten und erreichen so eine dynamische Drahtlosnetzwerkauthentifizierung,
Active Directory integriert.
Netzwerkrichtlinienserver (Network
Policy Server, NPS) stellt RADIUS-Authentifizierung
für WPA/WPA2-Enterprise bereit.
PEAP ist kompatibel zu NAP.
DFÜ-Verbindungen (dail-up connection) ist die
herkömmliche (und inzwischen weitgehend veraltete) Remotezugriffstechnik.
DFÜ-Verbdingungen verwenden Clientcomputer ein Modem,
um über eine Telefonleitung, die Verbindung
zu einem RAS-Server herzustellen.
DFÜ-Verbindungen Vorteile
DFÜ-Verbindungen Nachteile
Digitale Telefonleitungen, wie zum Beispiel ISDN (Integrated Services
Digital Network) bietet zwar immerhin echte 128KBit/s, aber zu deutlich
erhöhten kosten.
DFÜ-RADIUS-Server funktionieren ähnlich wie Drahtlosnetzwerk-RADIUS-Server.
DFÜ-RADIUS-Server authentifizieren Anmeldungen über Modem
und Einwahlserver.
Da viele Firmen mehr als ein
oder zwei Modems benötigen, wird auf
dedizierte Hardware, eine Modembank,
die auch beim Provider stehen kann, gesetzt.
Modembanken
nehmen Authentifizierungen an und leiten diese weiter an den RADIUS-Server.
Verbindung herstellen -> Eine
Verbindung oder ein Netzwerk einrichten -> Wählen Sie eine Verbindungsoption
aus -> Wählverbindung einrichten -> Wählverbindung einrichten
VPN (Virtualle private Netzwerke) befördern
Daten durch das öffentliche Internet, im Gegensatz zu DFÜ-Verbindungen die Daten durch das öffentliche Telefonnetz leiten.
VPN-Verbindungen brauchen womöglich keine zusätzliche Bandbreite, da die Organisation schon eine Internetanbindung hat,
deren Bandbreite ausreicht.
VPN-Verbindungen
VPNs haben Nachteile
Windows Server 2008, Windows Vista und Windows 7 unterstützen drei VPN-Technologien:
·
PPTP (Point-to-Point
Tunneling Protocol)
o PPP-Authentifizierungsmethoden (Point-to-Point
Protocol) für die Benutzerauthentifizierungn
o MPPE (Microsoft Point-to-Point Encryption) für
die Datenverschlüsselung
o keine Clientzertifikate, wenn die Authentifizierung PEAP-MS-CHAP, EAP-MS-CHAPv2
oder MS-CHAPv2 verwendet wird
o Microsoft Technologie
·
L2TP (Layer
Two Tunneling Protocol)
o PPP-Authentifizierungsmethoden für Benutzerauthentifizierung
o IPSec
für Peerauthentifizierung auf
Computerebene, Datenauthentifizierung,
Datenintegrität und Datenverschlüsselung
o Computerzertifikate für VPN-Clients
und VPN-Server (Active Directory-Zertifikatsdienste)
o IPv6
kompatibel
o
VPN-Technologie nach offenen Standards
·
SSTP (Secure
Socket Tunneling Protocol)
o
PPP-Authentifizierungsmethode für Benutzerauthentifizierung
o SSL (Secure Socket Layer) Datenauthentifizierung, Datenintegrität und Datenverschlüsselung
o HTTP-Kapselung ermöglicht SSTP auf Port 443 durch die meisten Firewalls zu gelangen
o Computerzertifikat auf dem VPN-Server,
Clients müssen der Zertifizierungsstelle
vertrauen
o Unterstützt auf Betriebssystemen ab Windows Vista
SP1
Windows 2008 Server unterstützt in den Standardeinstellungen
alle drei VPN-Technologien
gleichzeitig. Einzelne Protokolle können auch deaktiviert werden.
Verbindung herstellen ->
Verbindung mit einem Netzwerk herstellen -> Verbindung trennen oder
Verbindung zu einem anderen Netzwerk herstellen -> Wählen sie eine
Verbindungsoptionen -> Verbindung mit dem Arbeitsplatz herstellen -> Möchten
Sie eine bestehende Verbindung verwenden -> Nein, Neue Verbindung erstellen
-> Wie möchten sie eine Verbindung herstellen -> Die Internetverbindung
(VPN) verwenden -> Geben Sie die Internetadresse zum Herstellen einer
Verbindung ein -> Geben Sie den Benutzernamen und das Kennwort ein ->
Dieses Kennwort speichern -> Verbinden
Verbindung herstellen ->
Verbindung mit einem Netzwerk herstellen -> VPN-Verbindung
VPN-Verbindungen über PPTP nutzt GRE
was auf Port 1723 abhört.
Server-Manager -> Richtlinien -> Netzwerkrichtlinien -> Zu ändernde
Richtline -> Eigenschaften -> Bedingungen -> Hinzufügen
Windows-Firewall filtert eingehenden und ausgehenden Verkehr. Windows-Firewall ist also ein Packetfilter.
$mmc wf.msc
$netstat -a -b
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:53 Dcsrv1:0 Abhören
[dns.exe]
Firewallprofile bilden Container in denen Firewallregeln gespeichert werden können.
Firewallprofile erlauben es mobilen Computern,
auf verschiedene Netzwerk- und Standorttypen
zu reagieren.
Firewallprofile sind standardmäßig drei unter Windows
Vista, Windows 7 und Windows Server 2008 vorhanden:
Server sind normal in eine Domänenumgebung eingebunden. Falls dies
nicht der Fall ist sollten alle drei Profile mit denselben Firewallregeln konfiguriert sein.
Firewallregeln sind in eingehende
und ausgehende Regeln unterteilt.
Firewallregeln – etliche sind vordefiniert, zum Beispiel Regeln für NFS oder ICMP.
Firewallregeln die nicht automatisch von installierten Programmen erstellt werden,
müssen unter umständen nachkonfiguriert werden:
$mmc wf.msc -> Eingehende/Ausgehende Regeln
Regeltyp
Aktionen
Profil (Server sollten Regeln auf alle drei Profiltypen anwenden)
Firewallregeln für ausgehende
Verbindungen sind standardmäßig unter
Windows Server 2008 nicht aktiviert,
sie sollten für den Notfall aber dennoch konfiguriert sein um den ausgehenden Filter schnell aktivieren zu
können. Dabei sollte die grundlegende Netzwerkfunktionalität
erhalten bleiben. Standardeinstellungen für ausgehende Regeln sind:
Firewallregelbereiche (scopes)
bieten die Möglichkeit Verbindungen aus Internen und Externen Netzwerken zu
erlauben oder zu verbieten. Zum Beispiel:
$mmc wf.msc -> Eingehende/Ausgehende Regeln -> Regelname -> Eigenschaften
-> Remote-IP-Adressen -> Hinzufügen -> IP-Adresse
Manuelle Zugriffssteuerung wird mit autorisieren von Verbindungen (IPSec-Verbindungssicherheit) in einer Active Directory-Umgebung realisiert.
Autorisierte Verbindungen greifen hierfür auf Remotecomputer oder –benutzerautorisierung
über IPSec zurück.
Autorisierte Verbindungen können zum Beispiel sicher stellen, dass sich
Benutzer authentifizieren als zugehörige der Gruppe Buchhaltung, bevor sie zugriff auf Port 3096 des Servers erhalten, auf dem die Buchhaltungssoftware läuft.
$mmc wf.msc -> Eingehende/Ausgehende Regel ->
Eigenschaften -> Allgemein -> Nur
sichere Verbindungen zulassen
Benutzer und Computer (Eingehende Regel)/Computer
(Ausgehende Regel)
Firewalleinstellungen mit
Gruppenrichtlinien können lokal oder mit der Konsole Windows-Firewall mit erweiterter Sicherheit vorgenommen
werden.
Firewalleinstellungen die auf Windows
Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 angewendet werden:
$mmc wf.msc
$mmc gpmc.msc -> Computerkonfiguration ->
Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen ->
Windows-Firewall mit erweiterter Sicherheit
Firewalleinstellungen die auf Windows
XP, Windows Vista, Windows 7, Windows
Server 2003, Windows Server 2008
und Windows Server 2008 R2 angewendet
werden:
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien ->
Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen ->
Windows-Firewall
Firewalleinstellungen erziehlen optimale Ergebnisse, wenn getrennte Gruppenrichtlinienobjekte für Windows Vista/7/Server 2008 und Windows XP/Server 2003 erstellt werden.
Mit Hilfe von WMI-Abfragen, können
die Gruppenrichtlinienobjekte auf die
Computer angewendet werden, auf dem die entsprechende Windows-Version läuft.
$mmc wf.msc -> Firewall-Symbol -> Eigenschaften -> Domänenprofil/Privates
Profil/Öffentliches Profil -> Protokollierung
-> Anpassen -> Protokollierungseinstellungen anpassen
%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
NAP (Network Access Protection) dient dazu, Hosts abhängig von ihrem aktuellen Integritätsstatus mit unterschiedlichen Netzwerksressourcen zu verbinden. Die
Unterteilung der Netzwerkressourcen
kann mit Hilfe von virtuellen LANs (VLANs), IP-Filtern, IP-Subnetzzuweisung,
statischen Routen oder IPSec-Erzwingung implementiert werden.
Wartungsnetzwerke sollten aus Sicherheitsgründen einen schreibgeschützten Domänencontroller, sowie eigene DHCP- und DNS-Server (die
von der übrigen Infrastruktur getrennt sind) enthalten. So verringert sich das
Risiko, dass sich Malware von
inkompatiblen (in das Wartungsnetzwerk
geleiteten) Computern im produktiven, privaten Netzwerk verbreitet.
NAP-Erzwingungstypen sind Netzwerkkomponenten,
die NAP erzwingen, indem sie den Netzwerkzugriff entweder erlauben oder
verbieten:
IPSec-Erzwingung zwingt
Clients eine NAP-Integritätsprüfung zu
bestehen, bevor sie ein Integritätszertifikat
erhalten.
IPSec-Erzwingung benötigt Integritätszertifikate,
die für die IPSec-Verbindungssicherheit
notwendig sind, ohne die ein Client keine IPSec-geschützte-Verbindung zu einem Host
herstellen kann.
IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen
eingehalten werden.
IPSec-Erzwingung benötigt eine Zertifizierungsstelle
(Certification Authority, CA), auf
der Windows Server 2008-Zertifikatdienste
laufen. NAP muss Integritätszertifikate unterstützen.
Produktivumgebungen
sollten aus Redundanzgründen mindestens zwei Zertifizierungsstellen bereitstellen. PKIs (Public Key
Infrastrukture) kann nicht verwendet werden.
IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur
Computer die IPSec unterstützen.
802.1X-Authentifizierung verwendet Ethernetswitches
oder Drahtloszugriffspunkte.
802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen Netzwerkzugriff, inkompatible Computer
werden in ein Wartungsnetz verbunden
oder abgelehnt.
802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem Zugriff
reagieren, wenn Systemintegritätsanforderungen
nicht mehr erfüllt sind.
802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche Zugriffsebene kompatibel, inkompatibel
und nicht authentifizierte Computer enthalten:
ACL werden normal auf inkompatible Computer angewendet, kompatible Computer
erhalten vollen Netzwerkzugriff ohne ACL.
ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern
untereinander einzuschränken.
802.1X-Zugriffsgeräte wenden ACL
auf Verbindungen an und verwerfen alle Pakete, die von der ACL nicht erlaubt sind.
VLANs können nur kommuniziere, wenn sie über einen Router verbunden werden.
VLANs werden anhand einer VLAN-ID identifiziert, die auf den Switches selbst konfiguriert werden.
NAP kann festlegen in welches VLAN
kompatible, inkompatible oder nicht authentifizierte Computer verschoben
werden.
VLAN Nachteile sind zum Beispiel:
·
Netzwerkkonfiguration muss geändert werden, wenn ein NAP-Client auf einen kompatiblen NAP-Client hochgestuft wird.
·
NAP-Clients
erhalten womöglich keine Gruppenrichtlinienaktualisierung
weil die Netzwerkkonfiguration
während des Benutzeranmeldevorgangs
durchgeführt wird.
·
NAP-Clients
die inkompatibel sind können innerhalb eines VLANs kommunizieren
VPN-Erzwingung implementiert NAP
für Remotezugriffsverbindungen die
über einen VPN-Server mit Windows Server 2008 und Routing und RAS laufen.
VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff.
VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern
auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff auf
eine Wartungsservergruppe
einzuschränken.
VPN-Erzwingung kann IPv4-
und IPv6-Paketfilter erzwingen.
DHCP-Erzwingung verwendet einen Windows
2008 Server, auf dem der DHCP-Serverdienst
läuft und Intranetclients IP-Adressen
zuweist.
DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die vollständigen Netzwerkzugriff gewährt. Inkompatible
Computer bekommen eine IP-Adresse mit
der Subnetzmaske 255.255.255.255 und ohne Standardgateway
zugewiesen.
DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von Hostrouten
zu Netzwerkressourcen in einer Wartungsservergruppe.
DHCP-Erzwingung wird durch den NAP-Client
erneut eingeleitet wenn sich der Integritätsstatus
verändert, indem eine DHCP-Erneuerung
eingeleitet wird.
DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung
inkompatibel werden.
DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand konfiguriert wird.
NAP-Integritätsprüfung findet zwischen zwei Komponenten statt:
NAP läuft
mit Windows-Server
2008-NAP-Integritätsrichtlinienserver (health
policy server), der als RADIUS-Server
agiert.
NAP kann
ebenfalls mit einem vorhandenen RADIUS-Server,
Windows 2003 oder Windows Server 2008 und Internetauthentifizierungsdienst (Internet Authentication Service, IAS)
zusammenarbeiten.
NAP-Intigritätsrichtlinienserver sollten redundant sein, es sollten also mindestens
zwei Intigritätsrichtlinienserver
vorhanden sein, da bei einem Ausfall, ein Client sich nicht mehr mit dem
Netzwerk verbinden kann.
$mmc servermanager.msc -> Rollen ->
Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste ->
Netzwerkrichtlinienserver
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP
konfigurieren
NAP-Erzwingung muss aktiviert werden. Welche Schritte dafür
notwendig sind, hängt davon ab, ob IPSec-,
802.1X-, DHCP- oder VPN-Erzwingung
eingesetzt werden soll.
NAP-Erzwingung mit IPSec
benötigt den Rollendienst Integritätsregistrierungsinstanz (HRA, Health Registration Authority) und Active Directory-Zertifikatsdienst,
sofern noch nicht vorhanden, für die PKI.
HRA benötigt die PKI und einen IIS.
NAP-Erzwingung mit Hilfe von IPSec:
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP
konfigurieren -> Auswahl der Netzverbindungsmethode zur Verwendung mit NAP
-> IPSec mit Integritätsregistrierungstelle (HRA)
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsschutz -> NPS -> Richtlinien
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsschutz -> NPS -> Integritätsregistrierungsstelle ->
Zertifizierungsstelle
NAP-Erzwingung mit 802.1X benötigt in den meisten Fällen auch eine PKI wegen des RADIUS-Servers. Nachdem die
802.1X-Authentifizierungsswitches konfiguriert wurden.
NAP-Erzwingung mit 802.1X kann ebenfalls über den Assistenten NAP-Konfigurieren, hier müssen Regeln für VLANs und ACLs erstellt werden.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und
Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP
konfigurieren -> Konfigurieren von VLANs (virtuelle LANs)
NAP-Erzwingung mit DHCP benötigt die Angabe von Wartungsservern und falls DHCP
nicht auf dem NPS-Server installiert
ist einen RADIUS-Proxy.
NAP-Erzwingung mit DHCP muss anschließend aktiviert werden.
$mmc servermanager.msc -> Rollen -> DHCP-Server ->
<Computername> -> IPv4 -> Eigenschaften -> Netzwerkzugriffsschutz-Einstellen
NAP-Erzwingung benötigt den NAP-Clienten des
Client-Computers der mit Gruppenrichtlinienobjekten konfiguriert
werden kann.
$mmc gpmc.msc -> Computerkonfiguration ->
Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen ->
Network Access Protection -> NAP-Clientkonfiguration ->
Intigritätsregistrierungseinstellungen -> Vertrauenswürdige Servergruppe
$mmc gpmc.msc -> Computerkonfiguration ->
Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen ->
Network Access Protection -> NAP-Clientkonfiguration ->
Erzwingungsclients
NAP-Clienten benötigen den Dienst
NAP-Agent (Network Access Protection).
$netsh nap client show state
NAP-Integritätsanforderungsrichtlinien legen fest welche Clients Integritätsanforderungen
erfüllen müssen.
NAP-Integritätsanforderungsrichtlinien sind eine Kombination aus folgenden Elementen:
NAP-SHVs unter Windows
Server 2008 enthält standardmäßig nur die
Windows-Sichherheitsintegritätsprüfung.
NAP-SHVs können auch von
Fremdherstellern implementiert werden.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und
Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung
NAP-Wartungsserver sollten es einem inkompatiblen Computer ermöglichen,
seine Systemintegrität zu korrigieren.
Folgende Wartungsserver sollten vorhanden sein:
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und
Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz ->
Systemintegritätsprüfung -> Einstellungen -> NAP-Erzwingung -> Konfigurieren
-> Wartungserver und Problembehandlungs-URL
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und
Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Wartungsservergruppe
NAP-Netzwerkrichtlinien stellen fest, ob eine Verbindungsanforderung bestimmte Bedingungen erfüllt, zum Beispiel
eine Integritätsrichtlinie oder ob
ein Computer NAP-fähig ist.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und
Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien
NAP-Überwachungsmodus ist besonders in der Anfangsphase der NAP-Bereitstellung sinnvoll, um
inkompatiblen Computern zu erlauben, Verbindungen zu allen Netzwerkressourcen
herzustellen.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und
Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien -> NAP-IPSec
mit HRA Nicht kompatibel -> Einstellungen -> NAP-Erzwingen ->
Vollständigen Netzwerkzugriff gewähren
NAP-Protokollierung dient dazu, inkompatible Computer zu identifizieren.
$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und
Zugriffsdienste -> NPS -> Eigenschaften -> Allgemein -> Abgelehnte
Authentifizierungsanforderungen
$mmc servermanager.msc -> Diagnose -> Ereignisanzeige ->
Windows-Protokolle -> Sicherheit
$mmc eventvwr.msc -> Anwendungs- und Dienstprotokolle ->
Microsoft -> Windows -> Netzwork Access Protection -> Operational
WSUS (Windows Server Update Service)
verwaltet, genehmigt und verteilt Windows-Updates
und Microsoft-Updates in
Organisationsnetzwerken.
WSUS-Clients, unter Windows
XP und Windows 2000, Automatische Updates-Client, ist die
Komponente die Windows-Updates von WSUS-Server abruft.
$mmc wsus.msc
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien
-> Administrative Vorlagen -> Windows-Komponenten -> Windows Update
WSUS-Server sollten für jedes LAN vorgehalten werden. Das bedeutet, wenn eine Organisation
mehrere Niederlassungen hat, sollte jede Niederlassung einen WSUS-Server bereitstellen. WSUS-Clients sollten ihre Updates immer
aus dem LAN herunterladen können.
WSUS-Server
können als Downstreamserver konfiguriert
werden.
WSUS-Downstreamserver holen Updates von einem Upstreamserver.
WSUS-Kopie stellt Updates nicht lokal bereit sondern weißt WSUS-Clients an, die Updates direkt von Microsoft herunterzuladen.
WSUS-Bereitstellung berücksichtigt folgende Voraussetzungen:
WSUS-Installations-Planung
WSUS-Überwachung um fehlgeschlagene Updates zu lokalisieren
WSUS-Konfiguration
WSUS-Optionen
WSUS-Computergruppen dienen dazu Computermodelle
(x86/x64) oder Organisationseinheiten für Updates zu definieren. Es gibt zwei
Möglichkeiten Computergruppen zu
konfigurieren:
WSUS-Problembehandlung
WSUS-Client-Problembehandlung
$net start wuauserv
$wuauclt /a
Ereignisweiterleitung (event
forwarding) senden Ereignisse die
bestimmte Kriterien erfüllen an einen zentralen Rechner.
Ereignisweiterleitung sendet Ereignisse
über HTTP und HTTPS.
Ereignisweiterleitungen nutzen Weiterleitungs-
und Sammelcomputer. Beide müssen
konfiguriert werden.
Ereignisweiterleitung benötigt folgende Dienste auf dem Weiterleitungs-
sowie Sammelcomputer:
Ereignisweiterleitung auf dem Weiterleitungscomputer
benötigt weiterhin eine Windows-Firewallausnahme
für eingehende Verbindungen auf Port
80 bzw. 443.
Ereignisweiterleitung Sammelcomputer benötigen das Betriebsystem
Windows Vista, Windows 7, Windows
Server 2008 oder Windows Server 2003
R2.
Ereignisweiterleitung
Weiterleitungscomputer benötigen
das Betriebssystem Windows XP SP2,
Windows Server 2003 SP1, Windows Server 2003 R2, Windows Vista, Windows 7 oder
Window Server 2008. Windows XP und Windows Server 2003 benötigen zudem das Paket WS-Management 1.1.
Ereignisweiterleitung
Weiterleitungscomputer:
$winrm quickconfig
$net localgroup “Ereignisprotokollleser”
<Sammelcomputer>@<Domänenname> /add
Ereignisweiterleitung Sammelcomputer:
$wecutil qc
$mmc servermanager.msc -> Diagnose
-> Abonnements -> Abonnement erstellen
$wecutil ss <Abonnementname> /cm:custom
$wecutil ss <Abonnementname>
/hi:<Verzögerungswert in Millisekunden>
$wecutil gs <Abonnementname> (Zeigt den Verzögerungswert an)
$winrm get winrm/config (Bandbreite minimieren / Wartezeit minimieren)
Ereignisweiterleitung SSL, HTTPS, Port 443
$winrm quickconfig -transport:https
Systemmonitor zeigt Echtzeitleistungsdaten
grafisch an.
Systemmonitor zeigt zum Beispiel Daten zur Prozessorauslastung,
Netzwerkbandbreitenausnutzung oder Arbeitsspeicherbelegung an.
Systemmonitor Leistungsindikatoren zeichnen
die einzelnen Echtzeitgraphen.
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und
Leistung -> Überwachungstools -> Systemonitor
Zuverlässigkeitsüberwachung überwacht die Stabilität eines Computers.
Zuverlässigkeitsüberwachung zeigt einen Zuverlässigkeitsindex
von 0-10 an. 0 ist der niedrigste wert.
Zuverlässigkeitsüberwachung zeigt Anwendungsinstallationen,
Hardware-, Windows- und sonstige Fehler
an.
Zuverlässigkeitsüberwachung zeigt die Daten an die von RAC (Reliability Analysis
Component) aufgezeichnet wurden.
Zuverlässigkeitsüberwachung benötigt den Dienst
Aufgabenplanung.
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und
Leistung -> Überwachungstools -> Zuverlässigkeitsüberwachung
Sammlungssätze sammeln Systeminformationen, Konfigurationseinstellungen
und Leistungsdaten und erzeugen einen
Log-File.
Vordefinierte Sammlungssätze in Windows
2008 Server:
Vordefinierte Sammlungssätze zeichnen Daten zwischen einer und fünf Minuten auf.
Vordefinierte Sammlungsatz
LAN-Diagnose und Drahtlosdiagnose laufen unendlich.
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und
Leistung -> Sammlungssatz System
$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung
-> Bericht
Sammlungssätze können auch manuell erstellt oder angepasst werden.
Netzwerkmonitor ist ein Protokoll-Analyzer
der auf Windows nachinstalliert
werden kann.
Netzwerkmonitor zeichnet den Netzwerkverkehr auf und analysiert ihn.
Netzwerkmonitor zeichnet Frames auf, Schicht-2-Daten, zum Beispiel Ethernetheader.
$nmcap /network * /capture
/file <store>.cap
$nmcap /network * /capture
“DNS” /file <store>.cap
$nmap /network *
/disablelocalonly /capture /file <store>.cap
$nmap /network * /capture
“DHCP” /stopwhen /timeafter 2 min /file <store>.cap
$nmcap /inputcapture data.cap
/capture DNS /file DNSdata.cap
Netzwerkmonitor erlaubt es, aufgezeichnete Frames
zu filtern mit Capture oder Display Filtern. Die Wichtigsten Filter
sind:
Netzwerkmonitor Filter Beispiele:
DNS && IPv4.SourceAdress == 192.168.13.45
Contains(http.Request.URI, “page.html“ ||
contains(http.Request.URI,“other.html“
Ethernet.Address == 0x001731D55EFF
&& DHCP
NTFS-Standarddateiberechtigungen für Benutzer-
und Systemordner:
NTFS-Standardberechtigungen:
$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen
-> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel
-> Verschlüsselte Dateisystem
$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen
-> Netzwerk -> Offlinedateicache verschlüsseln
$mmc gpmc.msc -> Richtlinien -> Administrative
Vorlagen -> Windows-Komponenten -> Suche -> Indizierung
verschlüsselter Dateien zulassen
$mmc gpmc.msc -> Richtlinien ->
Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für
öffentliche Schlüssel -> Verschlüsseltes Dateisystem -> Datenwiederherstellungs-Agent
Datenwiederherstellungs-Agenten oder andere
Konten mit sehr hohen Privilegien sollten immer im Kollusion-Mode laufen.
Kollusion (geheimes Einverständnis) bezeichnet ein Sicherheitskonzept, bei dem zwei Partner
miteinander zusammenarbeiten müssen.
Im
Fall eines Datenwiederherstellungs-Agenten,
teilt man das Benutzerkennwort in
zwei Teile und gibt jeweils einen Teil einer anderen Personen.
DFS stellt einen
einzigen Namespace für freigegebene Ordner in einer
Organisation bereit, sowie Redundanz,
weil es Replikation implementiert.
DFS kann freigegebene Ordner auf mehreren Servern
hosten, wobei der Clientcomputer automatisch eine Verbindung zum
nächstmöglichen verfügbaren Server herstellt.
$mmc
servermanager.msc -> Rollen ->
Dateidienste
$mmc
servermanager.msc -> Rollen ->
Dateidienste -> DFS-Verwaltung -> Namespace
$dfsutil
$dfsutil domain
<Domänenname>
$dfsutil server
<Servername>
$dfsutil target
<\\Domänenname\Namespacestamm>
$dfsutil link
<\\Domänenname\Namespacestamm\Ordner>
$dfsutil client
siteinfo <Clientname>
DFS-Kontingente dienen dazu
Benutzer zu überwachen, die mehr als eine festgelegte Menge Festplattenplatz
verbrauchen.
DFS-Kontingente können
erzwungen werden, um zu verhindern, dass Benutzer mehr Festplattenplatz
belegen, als ihnen zugewiesen ist.
$mmc fsrm.msc -> Kontingentverwaltung
$dirquota
$dirquota quota
list
$dirquota quota
add /Path:<Volumen:\Pfad>
/SourceTemplate:”<Kontingentvorlagenname>”
$dirquota quota
add /Path:<Volumen:\Pfad> /Limit:<Größe N in>(MB|GB)
/Type:(hard|soft)
$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien
-> Administrative Vorlagen -> System -> Datenträgerkontingente
Windows-Explorer
-> Freigabe -> Dateifreigabe
$mmc
servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und
Speicherverwaltung -> Freigabe bereitstellen -> Assistent zum Bereitstellen
eines freigegebenen Ordners (SMB
und NFS für Unix-Clients)
$net share
$net share
<Freigabenamen>=<Volumen:\Pfad>
$net use
<Volumen:> <\\Servername\Freigabenname>
$net use X:
\\Server01\Documents
$dir
<\\Servername\Freigabenname>
$mmc
servermanager.msc -> Rollen ->
Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe ->
Verwaltung -> Zwischenspeicherung
Schattenkopien ermöglichen
es Datensicherungssoftware, auf
Dateien zuzugreifen, die gerade benutzt werden.
Schattenkopien von Dateien
und Ordnern werden automatisch von Windows erstellt.
Schattenkopien speichern
jeweils nur die Änderung zur Vorgängerversion.
Schattenkopien sind Datensicherungen.
$vssadmin
$vssadmin create shadow /For=<Volumen:>
$vssadmin list shadowstorage
$vssadmin list shadow
$vssadmin revert shadow
/Shadow=<Schattenkopie-ID>
$vssadmin revert shadow
/Shadow={57384783-49ef-cddc-98a5-448df848}
Windows
Server-Sicherung kopiert ein gesamtes Datenträgervolumen
in eine .vhd-Datei auf
einer zweiten lokalen Festplatte.
Windows
Server-Sicherungen sind Systemsicherungen
(.vhd) und Datensicherungen (Backup<Jahr>-<Monat>-<Tag>-<Uhrzeit>).
Windows
Server-Sicherung erstellt den Ordner WindowsImageBackup im Stamm des Sicherungsmediums.
Windows
Server-Sicherung kann mit Hilfe der Aufgabenplanung
automatisierte Backups erstellen.
<Volumen:>\WindowsImageBackup\<Computername>
$mmc
servermanager.msc -> Features ->
Features hinzufügen -> Windows Server-Sicherungsfeatures -> Windows
Server-Sicherung
$mmc wbadmin.msc
$wbadmin
$wbadmin start backup -backupTarget:<Volumen:>
-include:<Volumen:> -quit
$wbadmin start systemstaterecovery
$mmc servermanager.msc -> Rollen -> Druckerdienste (Dokumente- und
Druckerdienste)
$mmc printmanagement.msc
$mmc printmanagement.msc -> Druckerverwaltung -> Druckerserver
-> <Servername> -> Drucker -> Drucker hinzufügen
$mmc printmanagemnet.msc ->
Druckerverwaltung -> Druckserver -> <Servername> -> Drucker
-> <Druckername> -> Freigeben
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver ->
<Servername> -> Drucker -> <Druckername> -> Eigenschaften
-> Sicherheit
$mmc servermanagerment.msc -> Rollen -> Druckerdienste ->
Druckerverwaltung -> Druckserver -> <Servername> -> Drucker
-> Mit Gruppenrichtlinie
bereitstellen
$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen
-> Bereitgestellte Drucker
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\
$cscript
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prnmngr.vbs -a –p <Druckername>
-m “<Druckertreibername>“ -r lpt1:
$cscript
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prncnfg.vbs -t -s
<Servername> -p <Druckername> +keepprintedjobs
$cscript
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prndrvr.vbs -l -s
<\\Servername>
$cscript
%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prndrvr.vbs -a -m
“<Druckertreibername>” -v 4 -e “<Architektur>” -i
<Volumen:\Pfad\Treiberdatei.inf> -h <Volumen:\Pfad>
$printbrm –b –f printers.printerexport
$printbrm –r –f printers.printersexport
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver
-> <Servername> -> Drucker -> <Druckername> -> Treiber
$mmc gpmc.msc -> Computerkonfiguration ->
Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen ->
Lokale Richtlinien -> Sicherheitsoptionen -> Geräte: Anwender das Installieren von Druckertreibern nicht erlauben
$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver
-> <Servername> -> Drucker -> <Druckername> ->
Eigenschaften -> Druckerpool
Druckerpools dienen dazu den Druckprozess
zu verschnellern und Ausfallsicherheit herzustellen.
Drucker
eines Druckerpools müssen alle
denselben Druckertreiber verwenden,
es müssen also nicht identische Geräte sein (meist funktioniert ein Druckertreiber für mehrere Geräte einer
Firma).
Es sollte nur ein Drucker eines Druckerpools freigegeben sein, sonst kann der Pool umgangen werden.
$mmc printmanagemnet.msc ->
Druckerverwaltung -> Druckserver -> <Servername> -> Drucker
-> <Druckername> -> Eigenschaften -> Erweitert -> Priorität
Druckerprioritäten können mit Hilfe von mehreren logischen Installationen eines Druckers gelöst werden. Jeder logischen Installation wird eine andere Priorität zugewiesen.
Internetdrucker können mit Internet Explorer
verwaltet werden.
Internetdrucker benötigen im Internet Explorer
die Option, dass Add-Ons ausgeführt
werden dürfen.
Internetdrucker können zum Beispiel eine bequeme Alternative für Gäste sein.
http://<Servername>/Drucker/
http://<Servername>/Drucker/<Druckername>/.drucker
$mmc servermanager.msc -> Druckerdienste -> Druckerverwaltung
-> Benutzerdefinierte Filter -> Neuer
Druckerfilter
Standard Konsolen in \Windows\System32\
certmgr.msc Manages certificates
ciadv.msc Manages the Indexing Service
compmgmt.msc The Computer Management Console
devmgmt.msc The Device Manager
dfrg.msc Disk Defragmenter
diskmgmt.msc Disk Management
eventvwr.msc Event Viewer for managing system logs
fsmgmt.msc Shared Folder Management
gpmc.msc Group
Policy Editor
lusrmgr.msc Local Users and Groups Manager
ntmsmgr.msc Removable Storage Manager
ntmsoprq.msc Removable Storage Operator Requests
perfmon.msc System Performance Monitor
rsop.msc Resultant Set of Policy
secpol.msc Security Policy
services.msc Manages services
wmimgmt.msc Windows Management Instrumentation Service
#
Copyright (c) 1993-1999 Microsoft Corp.
#
#
Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.
#
#
Format:
#
#
<Dienstname>
<Portnummer>/<Protokoll>
[Alias...] [#<Kommentar>]
#
echo
7/tcp
echo
7/udp
discard
9/tcp sink null
discard
9/udp sink null
systat
11/tcp users #Active users
systat
11/tcp users #Active users
daytime
13/tcp
daytime
13/udp
qotd
17/tcp quote #Quote of the day
qotd
17/udp quote #Quote of the day
chargen
19/tcp ttytst source #Character generator
chargen
19/udp ttytst source #Character generator
ftp-data
20/tcp
#FTP, data
ftp
21/tcp
#FTP. control
telnet
23/tcp
smtp
25/tcp mail #Simple Mail Transfer
Protocol
time
37/tcp timserver
time
37/udp timserver
rlp
39/udp resource #Resource Location Protocol
nameserver
42/tcp name #Host Name Server
nameserver
42/udp name #Host Name Server
nicname
43/tcp whois
domain
53/tcp
#Domain Name Server
domain
53/udp
#Domain Name Server
bootps
67/udp dhcps #Bootstrap Protocol Server
bootpc
68/udp dhcpc #Bootstrap Protocol Client
tftp
69/udp
#Trivial File Transfer
gopher
70/tcp
finger
79/tcp
http
80/tcp www www-http #World Wide Web
kerberos 88/tcp krb5 kerberos-sec #Kerberos
kerberos 88/udp krb5 kerberos-sec #Kerberos
hostname
101/tcp hostnames #NIC Host Name Server
iso-tsap
102/tcp #ISO-TSAP Class 0
rtelnet
107/tcp
#Remote Telnet Service
pop2
109/tcp postoffice #Post Office Protocol - Version 2
pop3
110/tcp
#Post Office Protocol - Version 3
sunrpc
111/tcp rpcbind portmap #SUN Remote Procedure Call
sunrpc
111/udp rpcbind portmap #SUN Remote Procedure Call
auth
113/tcp ident tap #Identification Protocol
uucp-path
117/tcp
nntp
119/tcp usenet #Network News Transfer
Protocol
ntp
123/udp
#Network Time Protocol
epmap
135/tcp loc-srv #DCE endpoint resolution
epmap
135/udp loc-srv #DCE endpoint resolution
netbios-ns
137/tcp nbname #NETBIOS Name Service
netbios-ns
137/udp nbname #NETBIOS Name Service
netbios-dgm
138/udp nbdatagram #NETBIOS Datagram Service
netbios-ssn
139/tcp nbsession #NETBIOS Session Service
imap
143/tcp imap4 #Internet Message Access
Protocol
pcmail-srv
158/tcp #PCMail Server
snmp
161/udp
#SNMP
snmptrap
162/udp snmp-trap #SNMP trap
print-srv
170/tcp
#Network PostScript
bgp
179/tcp #Border Gateway Protocol
irc
194/tcp
#Internet Relay Chat Protocol
ipx
213/udp
#IPX over IP
ldap
389/tcp
#Lightweight Directory Access Protocol
https
443/tcp MCom
https
443/udp MCom
microsoft-ds
445/tcp
microsoft-ds
445/udp
kpasswd
464/tcp
# Kerberos (v5)
kpasswd
464/udp # Kerberos (v5)
isakmp
500/udp ike #Internet Key Exchange
exec
512/tcp
#Remote Process Execution
biff
512/udp comsat
login
513/tcp #Remote Login
who
513/udp whod
cmd
514/tcp shell
syslog
514/udp
printer
515/tcp spooler
talk
517/udp
ntalk
518/udp
efs
520/tcp #Extended File Name Server
router
520/udp route routed
timed
525/udp timeserver
tempo
526/tcp newdate
courier
530/tcp rpc
conference
531/tcp chat
netnews
532/tcp readnews
netwall
533/udp
#For emergency broadcasts
uucp
540/tcp uucpd
klogin
543/tcp
#Kerberos login
kshell
544/tcp krcmd #Kerberos remote shell
new-rwho
550/udp new-who
remotefs
556/tcp rfs rfs_server
rmonitor
560/udp rmonitord
monitor
561/udp
ldaps
636/tcp sldap #LDAP over TLS/SSL
doom
666/tcp #Doom Id Software
doom
666/udp
#Doom Id Software
kerberos-adm
749/tcp
#Kerberos administration
kerberos-adm 749/udp #Kerberos administration
kerberos-iv 750/udp #Kerberos version IV
kpop 1109/tcp #Kerberos POP
phone
1167/udp
#Conference calling
ms-sql-s
1433/tcp #Microsoft-SQL-Server
ms-sql-s
1433/udp
#Microsoft-SQL-Server
ms-sql-m
1434/tcp
#Microsoft-SQL-Monitor
ms-sql-m
1434/udp
#Microsoft-SQL-Monitor
wins
1512/tcp
#Microsoft Windows Internet Name Service
wins
1512/udp
#Microsoft Windows Internet Name Service
ingreslock
1524/tcp ingres
l2tp 1701/udp #Layer Two Tunneling
Protocol
pptp
1723/tcp
#Point-to-point tunnelling protocol
radius
1812/udp
#RADIUS authentication protocol
radacct 1813/udp #RADIUS accounting
protocol
nfsd
2049/udp nfs #NFS server
knetd
2053/tcp
#Kerberos de-multiplexo
man
9535/tcp #Remote Man Server
TechNet
TechNet Virtual Labs: Windows Server
http://technet.microsoft.com/en-us/windowsserver/default.aspx
TechNet Virtual Labs: Windows Server 2008
http://technet.microsoft.com/de-de/windowsserver/bb512925.aspx
TechNet Library: Windows Server 2008 und Windows Server 2008 R2
http://technet.microsoft.com/de-de/library/cc728909.aspx
TechNet Library: Windows 2008 Server und Windows Vista TCP/IP-Stack
http://technet.microsoft.com/de-de/library/cc754287(WS.10).aspx
http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx
TechNet Library: Windows Server
http://technet.microsoft.com/en-us/library/bb625087.aspx
TechNet Library: DNS
http://technet.microsoft.com/en-us/library/cc779380(WS.10).aspx
TechNet Library: DNS Server
http://technet.microsoft.com/en-us/library/cc732997(WS.10).aspx
TechNet Library: DHCP
http://technet.microsoft.com/en-us/library/cc778368(WS.10).aspx
TechNet Library: DHCP Server
http://technet.microsoft.com/en-us/library/cc896553(WS.10).aspx
TechNet Networking and Access Technologies: Routing und RAS
http://technet.microsoft.com/en-us/network/bb545655.aspx
TechNet Networking and Access Technologies: IPSec
http://technet.microsoft.com/en-us/network/bb531150.aspx
Windows Server 2008 Website
http://www.microsoft.com/germany/windowsserver2008/default.mspx
Windows Cmd Reference
http://gattner.name/simon/public/microsoft/Windows%20Cmd%20Reference/
Microsoft Netzwerkmonitor
IPv4
http://www.ietf.org/rfc/rfc791.txt
http://www.ietf.org/rfc/rfc3927.txt
IPv6
http://www.ietf.org/rfc/rfc2373.txt
http://www.ietf.org/rfc/rfc2460.txt
http://www.ietf.org/rfc/rfc2462.txt
DNS
http://www.ietf.org/rfc/rfc1034.txt
http://www.ietf.org/rfc/rfc1035.txt
http://www.ietf.org/rfc/rfc1591.txt
DHCP/BOOTP
http://www.ietf.org/rfc/rfc2131.txt