70-642 Konfigurieren einer Netzwerkinfrastruktur

Windows Server 2008

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Autor

Simon Gattner

Autor Website

http://gattner.name/simon

Dokument Name

70-642.doc

Dokument Titel

Konfigurieren einer Netzwerkinfrastruktur

Windows Server 2008

Dokument URL

http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.doc

http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.pdf

http://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.html

Dokument Datum

2010-11-29

Dokument

Namen, Eigennamen

$Befehle, ~Dateinamen

 

IP Konfiguration

TCP/IP (Transmittion Control Protocol/Internet Protocol)

OSI-Model (Open Systems Interconnect) ist ein Schichtenmodel um z.B. den Transport von Informationen innerhalb von Kommunikation darzustellen.

OSI-Model unterteilt Kommunikation in sieben Schichten.

 

TCP/IP angewendet auf das OSI-Model

(Quelle: http://www.computing.dcu.ie/~humphrys/Notes/Networks/intro.html)

 

 

TCP/IP vier Netzwerkschichten

  1. Netzwerkschnittstellenschicht (Network Interface Layer): Ethernet/802.11-WLAN und Frame Relay/ATM
  2. Netzwerkschicht/Internetschicht (Network Layer): IPv4 IGMP/ICMP/ARP und IPv6 ND/MLD/ICMPv6
  3. Transportschicht (Transport Layer): TCP und UDP
  1. Anwendungsschicht (Application Layer): HTTP/FTP/SMTP und DNS/RIP/SNMP

 

TCP/IP-Stack Windows 2008 Server

 

 

(Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx)

 

IPv4

IPv4-Adressen sind 32Bits lang und bestehen aus 4 Oktetten zu jeweils 8Bits

IPv4-Adressen in Punkt-Dezimal-Notationen dargestellt

192.168.23.42

IPv4-Adressen in 32Bit-Binärnotation dargestellt

11000000 10101000 00010111 00101010

IPv4-Adressen müssen innerhalb eines Netzwerkes einmalig sein

IPv4-Adressen werden in Netzwerk-ID und Host-ID unterteilt

IPv4-Adressen Netzwerk-ID + Host-ID = 32Bits

 

IPv4-Adressen Netzwerk-ID

            192.168.23.0 (in diesem Fall hat die Netzwerk-ID 24Bits)

IPv4-Adressen Host-ID

            192.168.23.42 (in diesem Fall hat die Host-ID 8Bits)

IPv4-Adressen Subnetzmaske bestimmt welcher Teil einer 32Bit-IPv4-Adresse die Netzwerk-ID bildet

            192.168.23.42/24

IPv4-Adressen Subnetzmasken in Schrägstrichnotation wird auch als CIDR-Notation (Classless Inter Domain Routing) oder Netzwerkpräfixnotation bezeichnet

/24

IPv4-Adressen Subnetmasken in 32Bit-Punkt-Dezimal-Notation

255.255.255.0

IPv4-Adressen Subnetmasken in 32Bit-Binärnotation

            11111111 11111111 11111111 00000000

 

CIDR-Notation

Binär-Notation

Punkt-Dezimal-Notation

Adressen pro Block

/16

11111111 11111111 00000000 00000000

255.255.0.0

65436

/17

11111111 11111111 10000000 00000000

255.255.128.0

32768

/18

11111111 11111111 11000000 00000000

255.255.192.0

16384

/19

11111111 11111111 11100000 00000000

255.255.224.0

8192

/20

11111111 11111111 11110000 00000000

255.255.240.0

4096

/21

11111111 11111111 11111000 00000000

255.255.248.0

2048

/22

11111111 11111111 11111100 00000000

255.255.252.0

1024

/23

11111111 11111111 11111110 00000000

255.255.254.0

512

/24

11111111 11111111 11111111 00000000

255.255.255.0

256

/25

11111111 11111111 11111111 10000000

255.255.255.128

128

/26

11111111 11111111 11111111 11000000

255.255.255.192

64

/27

11111111 11111111 11111111 11100000

255.255.255.224

32

/28

11111111 11111111 11111111 11110000

255.255.255.240

16

/29

11111111 11111111 11111111 11111000

255.255.255.248

8

/30

11111111 11111111 11111111 11111100

255.255.255.252

4

 

IPv4-Adressblöcke sind ein Satz einzelner IP-Adressen die eine Gemeinsame Netzwerk-ID haben.

206.73.118

206.73.118.0 bis 206.73.118.255

IPv4-Adressblöcke können in mehrere Subnetze unterteilt sein die jeweils einen eigenen Router haben.

IPv4-Adressblöcke die in mehrere Subnetze unterteilt sind, haben eine verlängerte Netzwerk-ID um die Subnet-ID die aus der Host-ID abgezweigt wird, so dass mit Hilfe der Subnetz-ID Subnetze interpretiert werden können.

 

IPv4-Adressräume (address spaces) sind die Bereiche der IP-Adressen, die in einem bestimmten Adressblock liegen.

IPv4-Adressräume sind Adressblöcke minus Broadcast- und Netzwerkadressen.

 

IPv4-Broadcastdomänen sind Adressblöcke des Netzwerkes die nicht in Subnetze unterteilt sind.

IPv4-Standardgateway ist eine IP-Adresse innerhalb einer Broadcastdomäne, der Router übernimmt diese Rolle.

 

IPv4-Unicastadressen

10.0.0.0/24

172.16.0.0 bis 172.31.255.254

192.168.0.0/16

169.254.0.0/16

 

IPv4-Subnetze begrenzen den Broadcastverkehr.

IPv4-Subnetze können den Netzwerktraffic verringern.

IPv4-Subnetze können die Latenz verringern, wenn die Netzwerktopologie den physikalischen Gegebenheiten angepasst wird.

 

(Quelle: http://www.h3c.com/)

 

 

IPv4-Subnetz-ID ist die verlängerte Netzwerk-ID einer 32-Bit-IPv4-Adresse.

IPv4-Subnetz-ID wird auch als Subnetzkennung bezeichnet.

 

IPv4-Subnetz-Berechnung

 

     s = 2^b

     s = n-Subnetze

     b = n-Bits der Subnetz-ID

 

     b = n(int) – n(ext)

     n(int) = Länge der Netzwerk-ID + Subnetz-ID in Bits

     n(ext) = Länge der Netzwerk-ID

 

IPv4-Subnetting

 

Zugewiesenes Netzwerk:  192.168.122.0/24 (254 Hosts)

Standort A: 100 Geräte  192.168.122.0/25 (126 Hosts)

Standort B: 50 Geräte   192.168.122.128/26 (64 Hosts)

Standort C: 20 Geräte   192.168.122.192/27 (32 Hosts)

 

IPv4-VLAN ist eine Alternative zur Subnetzunterteilung.

IPv4-VLAN können mit Hilfe von VLAN-Switches bereitgestellt werden.

IPv4-VLAN schränken den Broadcastverkehr ein.

 

IPv4-VLAN-Software kann unabhängig von der Hardwaretopologie Broadcastdomäns entfernen.

 

IPv4-VLSM (Virtual Local Subnet Mask) nutzt eine ganz bestimmte Aufteilung der Adressblöcke. Zum Beispiel wird ein /22 Netzwerk in VLSMs mit /23 /24 /25 … oder ein /16 Netzwerk in /17 /18 /19

IPv4-VLSMs beginnen (binär) immer mit einer 1 und enden Normalerweiße mit einer 0. Sie sind also immer (dezimal) gerade.

IPv4-VLSMs die (binär) mit 1 beginnen und enden, ersetzen die darauf folgenden Subnetze.

IPv6

IPv6-Adressen sind 128Bit lang und stellen einen Adressraum von 2^128 Adressen zu Verfügung

IPv6-Adressen werden in acht Blöcke mit jeweils vier Hexadezimalziffern angegeben. Blöcke werden mit Doppelpunkten getrennt. Führende Nullen können gekürzt werden

     2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A

     2001:0DB8:3FA9:0:0:0:D3:9C5A

     2001:0DB8:3FA9::D3:9C5A

IPv6-Adressen verwenden auch Netzwerkpräfixe, die in Schrägstrichnotation angegeben wird. Das Präfix wird benutzt um Routen oder Adressbereiche anzugeben, keine Netzwerk-ID. Routingtabelleneintrag für IPv6

            2001:DB8:3FA9::/48

IPv6-Adressen werden von benachbarten Routern oder von DHCPv6-Servern automatisch zugewiesen. Außerdem weisen Computer sich selbst eine verbindungslokale Adresse zu die nur um lokalen Subnetz benutzt wird

 

(Quelle: http://www.networkworld.com/)

 

IPv6-Adress-Zustände gelten für IPv6-Adressen die von Router oder einer IPv6-Adressautokonfiguration vergeben werden

Unicast-IPv6-Adressen bestehen aus einem 64Bit langen Netzwerkpräfix und einer 64Bit langen Schnittstellen-ID

Unicast-IPv6-Adressen Netzwerkpräfix (Routingpräfix) wird von der IANA zugewiesen

Unicast-IPv6-Adressen Schnittstellen-ID leitet sich üblicherweise aus der einmaligen 48Bit MAC-Adresse der NIC ab oder wird zufällig* generiert.

 

 * (Quelle: http://xkcd.com/221/)

Unicast-IPv6-Adressen unterstützen keine Subnetz-IDs variabler Länge, der Routingpräfix  hat immer die Länge von 64Bits

 

IPv6-Loopback-Adresse

there is no place like ::1

 

 

Eindeutige lokale IPv6-Adressen (Unique Local Address, ULA) sind das IPv6-Gegenstück zu privaten Adressen (LAN-Adressen) in IPv4

Eindeutige lokale IPv6-Adressen sind routingfähig zwischen Subnetzen

            fd65:9abf:efb0:0001::0002

 

Eindeutige lokale IPv6-Adressen benutzen das Adresspräfix

            fd00::/8

     fc00::/8 (in Zukunft unter umständen)

 

Eindeutige lokale IPv6-Adressen beginnen immer mit den ersten 8Bits fd gefolgt von 40Bits des Globalen Routingpräfix, der zufällig generiert wird. Darauf folgen 16Bits Subnetz-ID und 64Bits der Schnittstellen-ID

            fd                               Eindeutiglokales Adresspräfix

            65:9abf:efb0:             Globales Routingpräfix (Globale-ID)

            0001:                            Subnetz-ID

            ::0002                           Schnittstellen-ID

 

Standort lokale IPv6-Adressen wurden für obsolet erklärt und sollten nicht mehr verwendet werden

            feco::/10                         Standortlokales Adresspräfix

 Globale IPv6-Adressen sind das Gegenstück öffentlicher IPv4-Adressen

            2001:db8:21da:0007:713e:a426:d167:37ab

 

Globale IPv6-Adressen benutzen das Adresspräfix

            2000::/3

     3000::/3

 

Globale IPv6-Adressen setzen sich aus 48Bits globalen Routingpräfix (wird von der IANA zugewiesen), 16Bits Subnetz-ID und 64Bits Schnittstellen-ID (Host-ID) zusammen

            2001:db8:21da:                        Globales Routingpräfix (Globale-ID)

            0007:                                        Subnetz-ID

            713e:a426:d167:37ab     Schnittstellen-ID

 

Verbindungslokale IPv6-Adressen (Link-Lokal Addresse, LLA) ähneln IPv4-APIPA-Adressen

            fe80::54d:3cd7:b33b:1bc1%13

 

Verbdingunslokale IPv6-Adressen benutzen das Adresspräfix

            fe80:/8

 

Verbindungslokale IPv6-Adressen beginnen immer mit fe80::, die ersten 64Bits gefolgt von 64Bits der Schnittstellen-ID und der Zonen-ID

     fe80:0:0:0:        Verbindungslokales Adresspräfix

     54d:3cd7:b33b:1bc1 Schnittstellen-ID

     %13                Zonen-ID

 

Verbindungslokale IPv6-Adressen werden automatisch vom Gerät konfiguriert

Verbindungslokale IPv6-Adressen sind nicht routingfähig und funktionieren nur im lokalen Subnetz

Verbindungslokale IPv6-Adressen bleiben Schnittstellen immer als sekundäre Adresse zugewiesen

 

Zonen-ID ist nicht teil der Verbindungslokalen IPv6-Adresse. Die Zone gibt lediglich an mit welcher Netzwerkschnittstelle die Adresse verbunden ist

Zonen-ID ist immer relativ zur lokalen Schnittstelle

Zonen-ID muss beim anpingen einer Verbindungslokalen IPv6-Adresse der Zonen-ID der lokalen Schnittstelle (auf dem Gerät von dem aus gepingt wird) entsprechen

Zonen-ID können unter Windows 7 mit folgendem Befehl angezeigt werden:

 

$netsh interface ipv6 show interface

 

IPv4-zu-IPv6-Kompatibilität

IPv4-kompatible Adressen  von Dual-Stack-Knoten die über IPv4-Infrastruktur mit IPv6 kommunizieren

0:0:0:0:0:0:0:0:a.b.c.d

::a.b.c.d

 

IPv4-zugeordnete Adressen werden benutzt um reine IPv4-Knoten einem IPv6-Knoten bekannt zu machen

0:0:0:0:0:ffff:a.b.c.d

::ffff:a.b.c.d

 

6to4-Adressen kann benutzt werden um IPv6-Pakete über ein IPv4-Netzwerk zu transportieren ohne das Tunnel konfiguriert werden müssen.

Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als Übergangslösung geplant

            2002:ab:cd::/16

 

Toredo-Adressen (RFC 4380) enthalten ein 32Bit-Teredo-Präfix. Auf das Präfix folgt die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert.

Die nächsten 16Bit sind für Teredoflags reserviert.

Die nächsten 16Bit speichern die UDP-Port-Nummern, die den gesamten Teredo-Verkehr abwickelt.

Die letzten 32Bit speichern die externe IPv4-Adresse die den gesamten Teredo-Verkehr abwickelt

2001::/32

 

ISATAP-Adressen (Intra-Site Automatic Tunneling Adressing Protocol) werden von IPv6 benutzt um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet herzustellen.

Die ersten 64Bits beginnen mit verbindungslokalen, standortlokalen, globalen oder 6to4-globalen Unicastpräfixen.

Die nächsten 32Bits enthalten die ISATAP-Kennung 0:5efe.

Die letzten 32Bits enthalten die IPv4-Adresse in Hex- oder Punkt-Dezimal-NotationHhh.

ISATAP-Adressen sind für öffentliche oder private IPv4-Adressen

            5efe:

IPv6-zu-IPv4-Kompatibilität

$netsh interface ipv6 6to4

$netsh interface ipv6 isatap

$netsh interface ipv6 add v6v4tunnel

$netsh interface ipv6 add v6v4tunnel “Remote” 10.0.0.11 192.168.123.116

 

Routing und Standardgateways

Um Pakete an eine Remoteadresse zu senden vergleicht man die Zielnetzwerk-ID eines IPv4-Pakets mit der eigenen Netzwerk-ID um zu entscheiden ob das Paket als Broadcast an das lokale Subnetz gesendet wird oder an das Standartgateway geht.

Um die Netzwerk-ID zu ermitteln benutzt man die Subnetzmaske.

Standartgateway entscheidet anhand seiner Routingtabelle wie das Paket weiter versendet wird.

Standartgateway (Router) muss dieselbe Netzwerk-ID wie die zu Host haben, für die es zuständig ist, und in derselben Broadcastdomäne liegen.

Standartgateway ist in einer Host unkonfiguriert, kann die Host auf keine Ziele außerhalb seines lokalen Subnetzes zugreifen.

 

(Quelle: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03302.html)

 

Kollisionsdomäne

Unter einer Kollisionsdomäne wird ein einzelnes Segment beim Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision Detection) verstanden. Alle Geräte, die im selben Segment angeschlossen sind, sind Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte, zum gleichen Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer Kollision. Beide Geräte warten dann einen bestimmten Zeitraum zufällig gewählter Länge und versuchen dann erneut, das Paket zu senden. Durch diese Wartezeit verringert sich die effektive Bandbreite, die den Geräten zur Verfügung steht.

 

Broadcastdomäne

Broadcast-Informationen sind nicht an ein bestimmtes Endgerät gerichtet, sondern an alle "benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die jeweiligen Broadcast-Informationen der anderen Geräte empfangen, bilden zusammen eine Broadcastdomäne. Geräte, die in einer Broadcastdomäne zusammen gefasst sind, müssen sich nicht in derselben Kollisionsdomäne befinden. Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis 192.168.1.254 in einem IP-Subnetz mit einer Subnetzmaske von 255.255.255.0 eine Broadcastdomäne.

 

 

 

 

 

 

Hub

Hubs arbeiten auf der OSI Schicht 1 (Physikalische Schicht / Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben Kollisionsdomäne und damit auch in derselben Broadcastdomäne.

Hubs werden heutzutage durch Access-Switches abgelöst.

 

Bridge

Bridges verbinden Netze auf der OSI Schicht 2 (Datalink Schicht / Sicherungsschicht) und segmentieren Kollisionsdomänen. Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen Stationen sind im Normalfall Bestandteil einer Broadcastdomäne.

Bridges können auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI, etc.) auf der OSI Schicht 2 miteinander zu verbinden (transparent bridging, translational bridging). Hauptsächlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch erzielt, dass eine Bridge als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes Datenpaket weiterleitet.

Bridges halten eine interne MAC-Adresstabelle vor, aus der hervorgeht, in welchem angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn die Bridge beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem Teilsegment A für eine Station aus dem Teilsegment A empfängt, wird dieses Datenpaket nicht in das Teilsegment B übertragen. Dadurch wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges durch Switches ersetzt.

 

Layer-2-Switch

Herkömmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind alle angeschlossenen Stationen Bestandteil einer Broadcastdomäne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header als Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete weitergeleitet werden. Trotz der vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges:

Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine Bridge.

Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits (ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich schneller als eine Bridge von einem Segment in ein anderes zu transportieren.

 

 

 

 

 

 

 

 

 

 

 

 

Router

Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem Router stellt eine eigene Broadcastdomäne und damit auch eine Kollisionsdomäne dar.

Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden.

Router werden verwendet, um lokale Netze zu segmentieren oder um

lokale Netze über Weitverkehrsnetze zu verbinden.

Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den nächsten Router, den sogenannten Next Hop.

Router müssen jedes IP-Paket vor der Weiterleitung analysieren. Dies führt zu Verzögerungen und damit im Vergleich zu "klassischen" Switches zu einem geringeren Datendurchsatz.

 

Layer-3-Switch und Layer-4-Switch

Layer-3- und Layer-4-Switches sind Switches, die zusätzlich eine Routing-Funktionalität bieten. Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-Header eines Paketes zur Entscheidung, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden Datenpakete des Senders an diesen Empfänger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich höhere Durchsatzrate erzielen als ein herkömmlicher Router.

Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer-3-Switch verfügt in der Regel über eine wesentlich größere Portdichte.

Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen herkömmliche LAN-to-LAN-Router ersetzen.

Netzwerkverbindung Konfiguration

$ipconfig

$netsh interface

 

$ncpa.cpl

Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter

 

$ping

$tracert

$pathping

$arp

$route

$netstat

 

Gesamtübersicht anzeigen Netzwerkübersicht von Geräten die im lokalen LAN mit deren Netzwerktopologie (basiert auf LLTD (Link Layer Topology Discovery) was als Client auf Windows XP nachinstalliert werden muss)

Netzwerkübersicht ist standardmäßig deaktiviert.

 

Verbindung herstellen oder trennen zeigt die aktiven Netzwerke an

 

Netzwerkeinstellungen ändern

Problembehandlung mit ICMP (Internet Control Message Protocol) Dienstprogrammen

$ipconfig /renew (LAN-Verbindungen mit APIPA-Adressen können auf Probleme mit DHCP hindeuten)

$ping <HOST>|<IP>

$tracert <HOST>|<IP>

$pathping –n <HOST>

$arp -a

 

Adaptereinstellungen ändern

$ncpa.cpl

$netsh interface <Interfacetype> <Befehl> “Adaptername” <Parameter>

 

$netsh interface ipv4 show [“LAN-Verbindung”] config

Adapter -> Status -> Details -> Netzwerkverbindungsdetails

$ipconfig /all

 

$netsh interface ipv4 set address “LAN-Verbindung” static 10.0.0.1 255.255.255.0

$netsh interface ip set dnsservers “LAN-Verbindung” static 10.0.0.2 primary

 

$netsh interface ipv6 set address “LAN-Verbindung” 2001:db8:290c:1291::1

 

$netsh interface ip set address “LAN-Verbindung” dhcp

$netsh interface ip set dnsservers “LAN-Verbindung” dhcp

$ipconfig /renew[6]

Adaptereinstellungen ändern

Standardkomponenten für eine Verbindung (Adapter Eigenschaften)

·        Netzwerkclients (z.B. Client für Microsoft-Netzwerke)

·        Netzwerkdienst (z.B. Datei- und Druckerfreigabe für Microsoft-Netzwerk oder QOS-Paketplaner)

·        Netzwerkprotokoll (z.B. Internetprotokoll Version 4 (TCP/IPv4) oder E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung)

 

Netzwerk-Bridging (Adapter Verbindung überbrücken)

Bridging kann dazu dienen alle Eingangspunkte eines Servers (Drahtlos, Token Ring und Ethernet) die gleiche Internetanbindung (WAN-Adapter) nutzen zu lassen

 

Erweiterte Einstellungen

·        Adapter und Bindung (Priorität der einzelnen Verbindungen und deren Dienste verändern)

·        Anbieterreihenfolge (Priorität der einzelnen Netzwerkanbieter verändern)

 

Erweiterte Freigabeeinstellung ändern nach Netzwerkstandort sortiert (Öffentlich, Privat und Domain)

Namensauflösung (name resolution)

Namensauflösungsmethoden in Windows

 

rlp                39/udp    resource               #Resource Location Protocol

nameserver         42/tcp    name                   #Host Name Server

nameserver         42/udp    name                   #Host Name Server

nicname            43/tcp    whois

domain             53/tcp                           #Domain Name Server

domain             53/udp                           #Domain Name Server

hostname          101/tcp    hostnames              #NIC Host Name Server

netbios-ns        137/tcp    nbname                 #NETBIOS Name Service

netbios-ns        137/udp    nbname                 #NETBIOS Name Service

netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service

netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service

wins             1512/tcp                           #Microsoft Windows Internet Name Service

wins             1512/udp                           #Microsoft Windows Internet Name Service

LLMNR und Konfiguration

LLMNR (Link Local Multicast Name Resolution) nutzt Multicasting um IPv6-Adressen in die Namen von Computern aufzulösen die sich im lokalen Subnet befinden.

LLMNR wird für die Namensauflösung in einzelnen Subnets verwendet, die keine DNS-Infrastruktur besitzen.

LLMNR kann eingesetzt werden ab Windows Vista.

LLMNR sendet Namensauflösungsanforderungen über IPv6 standardmäßig, kann aber auch über IPv4 gesendet werden.

LLMNR ist IPv6 kompatibel, vorkonfiguriert (out-of-box) für IPv6-Netzwerke und schlanker als NetBIOS.

LLMNR löst keine Namen von Windows Server 2003, Windows XP und älteren Windowsversionen auf.

LLMNR kann nur Namen auflösen innerhalb des lokalen Subnet.

LLMNR brauch die Netzwerkerkennung.

 

Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -> Erweiterte Freigabeeinstellungen ->Netzwerkerkennung

 

Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -> Gesamtübersicht anzeigen

NetBIOS und Konfiguration

NetBIOS oder NetBIOS-over-TCP/IP (NetBT oder NBT) wird verwendet um die Kompatibilität zu alten Windowsversionen sicherzustellen.

NetBIOS funktioniert standardmäßig, in einem IPv4-Netzwerk ohne DNS.

NetBIOS ist nicht kompatibel mit IPv6.

NetBIOS setzt voraus das jeder Gerätename einmalig ist.

NetBIOS kann über den DHCP-Server eingestellt werden. Falls kein DHCP aktiviert ist wird NetBIOS-over-TCP/IP verwendet.

NetBIOS umfasst drei Namensauflösungsmethoden

WINS ermöglicht NetBIOS die Namensauflösung über das eigene Subnet hinaus

WINS registriert den Clienten automatisch im Server-Verzeichnis

LMHOSTS muss manuell erstellt werden und enthält Paare von IP + Host

 

NetBIOS-Knotentypen legen fest auf welche Weise NetBIOS-Namen in IP-Adressen aufgelöst werden. Es gibt vier Knotentypen:

Nachteile sind: das Broadcasts von allen Knoten im Netzwerk verarbeitet werden müssen und das Broadcasts nur im eigenen Subnet funktionieren

 

Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften -> Internet Protokoll IPv4 -> Erweitert -> WINS

 

$netsh interface ip set wins <Interfacename> (static|dhcp)

$netsh interface ip add wins <Interfacename> (static|dhcp)

$netsh interface ip add wins “LAN-Verbindung static 10.0.0.1

DNS

DNS (Domain Name System) stellt eine hierarchische Struktur und automatisierte Methode zum Zwischenspeichern und Auflösen von Hostnamen zu Verfügung.

 

$dig

$nslookup

$pathping

 

$nslookup > ls <FQDN>

 

DNS-Namensystem auf dem DNS basiert, ist eine hierarchische und logische Baumstruktur, die als DNS-Namespace bezeichnet wird.

DNS-Namespace enthält einen eindeutigen Stamm (root), der beliebige untergeordnete Äste (Domänen) haben kann. Untergeordnete Domänen können weitere Domänen enthalten.

DNS-Domänenstruktur enthält Knoten (Astgabelungen), die anhand eines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) identifiziert werden

root_

     |.org

     |    |foo.org__

|    |        |alpha.foo.org_

|    |        |             |one.alpha.foo.org

|    |        |beta.foo.org

     |    |bar.org__

|    |        |first.bar.org

 

(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

DNS-Root wird von der IC ANN (Internet Corporation for Assigned Names and Numbers) verwalte. Die ICANN  koordiniert die Zuweisung von global eindeutigen Kennungen, wie Internetdomänennamen, IP-Adresswerte, Protokollparameter oder Portnummern.

DNS-Top-Level-Domänen sind dem DNS-Stamm untergeordnet

.org .com .net .edu .mil .aero .biz .info .name etc.

.de .fr .ly .se .uk .ru .fu .cn etc.

in-addr.arpa

 

(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

 

 

DNS-Top-Level-Domänen deligiert die ICANN und andere Internetstellen wie die DEBNIC.

 

DNS-Komponenten sind DNS-Server, Zone, Auflösungen (Resolver) und Ressourceneinträge

DNS-Server enthalten DNS-Datenbankinformationen über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur und verarbeitet Anfragen zur Namensauflösung von DNS-Clients.

DNS-Server setzen bei einer Anfrage Informationen bereit, liefern die Adresse eines anderen Servers der die Informationen liefern kann oder melden eine Antwortnachricht, dass Daten nicht verfügbar oder vorhanden sind.

DNS-Server ist autorisierend (authoritive) für eine Domäne, wenn dieser auf lokal gespeicherte Datenbankdaten zugreift.

DNS-Zonen können durch Delegierung erzeugt werden.

Spezielle Zonen sind Forward-Lookupzonen und Revers-Lookupzonen.

Forward-Lookupzone ist eine Zone, in der Name in IP-Adresse aufgelöst wird.

Reverse-Lookupzone ist eine Zone, in der IP-Adresse in Name aufgelöst wird.

DNS-Auflösung kommuniziert entweder mit DNS-Remoteservern oder mit dem DNS-Serverprogramm.

DNS-Auflösung wird unter Windows Server 2008 von DNS-Clients übernommen, die Einträge auch zwischenspeichern können

DNS-Ressourceneinträge werden verwendet um DNS-Clientanfragen zu beantworten

DNS-Ressourceneintragstypen

 

DNS-Abfrage (query) läuft folgendermaßen ab: wenn ein DNS-Client einen Namen sucht, fragt er nachdem er die HOST-Datei und den DNS-Cache geprüft hat den konfigurierten DNS-Server ab, um den Namen aufzulösen. Jede DNS-Abfrage enthält folgende Bestandteile:

 

DNS-Auflösung (answer) erhält der DNS-Cient den Ressourceneintrag der aus einem HOST/IP-Paar besteht.

DNS-Abfrage (query) und DNS-Auflösung (answer)

 

(Quelle : http://technet.microsoft.com/en-us/library/cc775637(WS.10).aspx)

 

Stammhinweise (root hints) sind Startpunkte für die Suche nach Namen im DNS-Domänennamespace. Dabei handelt es sich um vorbereitete Ressourceneinträge, die auf Server zeigen, die für den Stamm des DNS-Domänennamespaces autorisierend ist.

 

DNS-Abfragen und DNS-Auflösung zwischen DNS-Client und DNS-Server sind recursiv.

DNS-Abfragen und DNS-Auflösung zwischen DNS-Servern sind iterativ wenn es sich um einen Vorgang handelt, bei dem der DNS-Client wiederholt Anfragen an verschiedene DNS-Server sendet.

DNS-Server können ebenfalls als DNS-Clients agieren, dieses verhalten heißt Rekursion.

 

(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

;

;  Database file (null) for foo.local zone.

;      Zone version:  132

;

 

@                       IN  SOA dc01.foo.local. hostmaster.foo.local. (

                                   132          ; serial number

                                   900          ; refresh

                                   600          ; retry

                                   86400        ; expire

                                   3600       ) ; default TTL

 

;

;  Zone NS records

;

 

@                       NS   dc01.foo.local.

@                       NS   dns01.foo.local.

@                       NS   dc02.berlin.foo.local.

DC02.berlin             A    192.168.6.12

DC02.berlin             A    192.168.7.10

DC02.berlin             AAAA fd65:9abf:efb0:6::c

DC02.berlin             AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5

DC02.berlin             AAAA fd65:9abf:efb0:7::a

 

;

;  Zone records

;

 

@                       600  A     192.168.6.10

@                       600  AAAA  fd65:9abf:efb0:6::a

 

;

;  Delegated sub-zone:  _msdcs.foo.local.

;

_msdcs                  NS   win-richruqv1eb.foo.local.

;  End delegation

 

_gc._tcp.Default-First-Site-Name._sites 600    SRV   0 100 3268  dc01.foo.local.

_kerberos._tcp.Default-First-Site-Name._sites 600    SRV   0 100 88    dc01.foo.local.

_ldap._tcp.Default-First-Site-Name._sites 600  SRV   0 100 389   dc01.foo.local.

_gc._tcp                600  SRV   0 100 3268  dc01.foo.local.

_kerberos._tcp          600  SRV   0 100 88    dc01.foo.local.

_kpasswd._tcp           600  SRV   0 100 464   dc01.foo.local.

_ldap._tcp              600  SRV   0 100 389   dc01.foo.local.

_kerberos._udp          600  SRV   0 100 88    dc01.foo.local.

_kpasswd._udp           600  SRV   0 100 464   dc01.foo.local.

 

;

;  Delegated sub-zone:  berlin.foo.local.

;

berlin                  NS   dc02.berlin.foo.local.

DC02.berlin             A    192.168.6.12

DC02.berlin             A    192.168.7.10

DC02.berlin             AAAA fd65:9abf:efb0:6::c

DC02.berlin             AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5

DC02.berlin             AAAA fd65:9abf:efb0:7::a

;  End delegation

 

dc01                    A    192.168.6.10

                        AAAA fd65:9abf:efb0:6::a

DNS01                   1200 A     192.168.6.11

                        1200 AAAA  fd65:9abf:efb0:6::b

DomainDnsZones          600  A     192.168.6.10

                        600  AAAA  fd65:9abf:efb0:6::a

_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones 600     SRV   0 100 389      dc01.foo.local.

_ldap._tcp.DomainDnsZones 600 SRV   0 100 389   dc01.foo.local.

ws01.bar.local.DomainDnsZones A    192.168.6.10

ForestDnsZones          600  A     192.168.6.10

                        600  A     192.168.7.10

                        600  A     192.168.6.12

                        600  AAAA  fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5

                        600  AAAA  fd65:9abf:efb0:6::a

                        600  AAAA  fd65:9abf:efb0:7::a

                        600  AAAA  fd65:9abf:efb0:6::c

_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones 600     SRV   0 100 389      dc02.berlin.foo.local.

                        600  SRV   0 100 389   dc01.foo.local.

_ldap._tcp.ForestDnsZones 600 SRV   0 100 389   dc02.berlin.foo.local.

                        600  SRV   0 100 389   dc01.foo.local.

win-richruqv1eb         1200 A     192.168.6.10

                        1200 AAAA  fd65:9abf:efb0:1::a

www                     CNAME .

DNS-Client Konfiguration

DNS-Suffix und Computername

DNS-Suffix hat die Aufgabe den eigenen Hosteintrag automatisch in der DNS-Zone zu registrieren.

DNS-Suffix wird automatisch DNS-Abfragen angefügt die noch kein Suffix haben um einen FQDN zu erhalten.

 

     Computername.DNS-Suffix

Ws42.example.org

 

$hostname

$netdom <Computername> /NewName:<NeuerComputername>

$netdom join <Computername> /Domain:<Domainenname> /UserD:<DomainUser> /PasswordD:<DomainUserPass>

$sysdm.cpl -> Systemeigenschaften

 

$sysdm.cpl -> Systemeigenschaften -> Computername -> Ändern -> Computername- bzw. –domänenänderungen -> Weiter -> DNS-Suffix und NetBIOS-Computername

 

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS

 

GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> DNS-Client

 

Primäre und verbindungsspezifisches DNS-Suffixe anhängen erlaubt FQDN in Anfragen zu senden.

Primäres DNS-Suffix in einer AD-Domäne ist automatisch der Domänenname.

 

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Primäre und verbindungsspezifisches DNS-Suffixe

 

223in2626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626

 

Dieses DNS-Suffix anhängen (in Reihenfolge) oder auch DNS-Suffixlisten erweitern die DNS-Suchfähigkeit.

DNS-Suffixlisten stellt dem DNS-Client eine Liste von DNS-Suffixes zur Verfügung die dem nicht qualifizierten Namen hinzugefügt werden.

 

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS  -> Diese DNS-Suffixe anhängen

 

 

Übergeordnete Suffixe des primären DNS-Suffixes anhängen  ermöglicht die erweiterte Suche: nachdem zuerst das primäre DNS-Suffix, dann das verbindungsspezifische Suffix angehängt wurde, folgt das übergeordnete Suffix (example.com)  des primären DNS-Suffix (olgt dast wird, weiterte Suche, nachdem fixes anhängen 262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262626berlin.example.com)  um einen FQDN  zu bekommen.

 

 

 

 

 

DNS-Suffix für diese Verbindung: ist ein verbindungsspezifisch DNS-Suffix (connection-specific suffix) welches mit einer bestimmten Netzwerkverbindung verknüpft ist.

Verbindungsspezifische DNS-Suffix sind zum Beispiel nützlich um getrennte Netzwerkadapter die in zwei Subnetzen münden voneinander zu unterscheiden.

 

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> DNS-Suffix für diese Verbindung:

 

 

DNS dynamische Registrierungen und Updates konfigurieren von A- (Host), AAAA- (IPv6-Host) und PTR-Ressourceneinträgen (Zeiger) die von einem DNS-Client oder DHCP-Server im Namen des Clients übergeben werden.

DNS dynamische Updates können nur stattfinden, wenn der Client mit einem primären oder verbindungsspezifischen DNS-Suffix konfiguriert ist, das dem Namen der Zone entspricht, die vom bevorzugten DNS-Server gehostet wird. Der DNS-Server muss natürlich auch dynamische Updates zulassen.

 

$ipconfig /renew

 

r DNS-Server muss natürlich auch dynamische Updates zulassen.ist, versucht der Client, A- und AAAA-Einträge bei seinem bevorzug

DNS Standardverhalten bei Clientupdates für Zeigereinträge (PTR) ist dasselbe wie für Hosteinträge (A oder AAAA): DNS-Clients mit statisch zugewiesener Adresse versuchen immer, ihre Zeigereinträge beim DNS-Server zu registrieren und zu aktualisieren, wenn Adressen dieser Verbindung in DNS registrieren aktiviert ist.

 

$ipconfig /registerdns

 

 

Adressen dieser Verbindung in DNS registrieren aktiviert ist, versucht der Client, A-, AAAA- und PTR-Einträge bei seinem bevorzugten DNS-Server zu registrieren.

 

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS  -> Adressen dieser Verbindung in DNS registrieren

 

$ipconfig /registerdns

 

 

DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist, versucht der lokale Computer, A-, AAAA- und PTR-Einträge für alle verbindungsspezifischen DNS-Suffixe zu registrieren.

 

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS  -> DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden

 

$ipconfig /registerdns

DNS-Clientcache wird auch als DNS-Auflösungscache bezeichnet. Sobald der DNS-Clientdienst gestartet ist werden automatisch einträge der HOSTS-Datei dem DNS-Cache hinzugefügt.

DNS-Clientcache enthält neben Einträgen aus der HOSTS-Datei Antworten auf Abfragen die an den konfigurierten DNS-Server gerichtet wurden.

 

HOSTS-Datei wird automatisch eingelesen wenn Einträge verändert werden.

%WinDir%\System32\Drivers\etc\HOSTS

 

$ipconfig

$ipconfig /flushdns

$ipconfig /registerdns

$ipconfig /displaydns

 

$netsh interface ip(v4|v6) set dns <Interfacename> (static|dhcp)

$netsh interface ip(v4|v6) add dns <Interfacename> (static|dhcp)

$netsh interface ipv4 add dns “LAN-Verbindung static 10.0.0.1

$netsh interface ipv4 add dnsserver „LAN-Verbindung“ static 192.168.0.254 Index=1

 

$mmc services.msc -> DNS-Clientdienst -> restart

 

Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften -> Internet Protokoll IP(v4|v6) -> Erweitert -> DNS

DNS-Server Konfiguration

DNS-Server die auf Domänencontroller installiert werden, haben den Vorteil, dass die Zone von Features wie dynamischen Updates und Active Directory-Replikationen profitiert.

DNS-Server werden am besten gleich bei der Installation des Domänencontrollers mitinstalliert.

Beim Hochstufen des Domänencontrollers gibt man den FQDN der Gesamtstruktur-Stammdomäne an. Die FQDN gibt sowohl der Active Directory-Domäne als auch der DNS-Zone ihren Namen.

 

$dnscmd

$dnscmd /info

$dnscmd /enumdirectorypartitions

 

$mmc dnsmgmt.msc

 

$dcdiag /test:replications

$repadmin /showrepl

$dig

 

Dcpromo kann automatisch einen lokal gehosteten DNS-Server mit einer Forward-Lookupzone für die Domäne konfigurieren.

Dcpromo Antwortdateien können auf Windows Server 2008 erstellt werden, mit Hilfe der letzten Seite (Zusammenfassung) des Assistenten, bevor die Installation tatsächlich durchgeführt wird.

 

$dcpromo

$dcpromo /unattend:<Antwortdatei>

 

DNS-Server auf Mitgliedservern oder ohne AD DS.

DNS-Server ohne AD DS müssen manuell, mit mindestens einer Forward-Lookupzone konfiguriert werden.

DNS-Server für Zwischenspeicherung (caching-only server) hosten selbst überhaupt keine Zone und sind daher für keine bestimmte Domäne autorisiert. Sie dienen als gemeinsamer DNS-Servercache für Clients.

DNS-Server für Zwischenspeicherung können die Reaktionszeiten zwischen verschiedenen Standorten erhöhen.

 

$mmc servermanager.msc -> Assistenten “Rollen hinzufügen“ -> DNS-Server

 

$dcpromo (Domaincontroller fügen automatisch die DNS-Rolle hinzu)

 

$start /w ocsetup DNS-Server-Core-Role

$start /w ocsetup DNS-Server-Core-Role /uninstall

 

DNS-Manager kann ebenfalls Verbindung mit anderen DNS-Servern (Server-Core-Installationen) aufbauen.

 

$mmc dnsmgmt.msc

 

$dnscmd . /ZoneUpdateDS <Zonenname> (Zoneupdate AD-integrierte-Zone)

$dnscmd . /ZoneRefresh <Zonenname> (Zoneupdate sekundäre-Zone)

DNS-Zonen

DNS-Zonen sind Datenbanken, deren Einträge Namen mit Adressen verknüpfen, innerhalb eines Abschnitts des DNS-Namespaces.

DNS-Zonen die lokal gehostet sind, dienen dazu DNS-Anfragen autorisierend zu beantworten.

DNS-Zonen die nicht lokal gehostet sind, kann ein DNS-Server nicht autorisierend aus seinem Zwischenspeicher beantworten oder unmittelbar von einem weiteren DNS-Server beziehen.

DNS-Namespaces die für eindeutige Domänennamen (example.org) definiert sind, können nur aus einer einzigen autorisierenden Quelle für Zonendaten stammen.

 

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Neue Zone

 

Primäre Zonen Masterexemplare der Zonendaten werden in einer lokalen Datei (%SystemRoot%\System32\Dns\<Zonenname>.dns) oder in AS DS gespeichert.

Sekundäre Zonen bieten die Möglichkeit, DNS-Abfrageverkehr zu delegieren. Falls der Zonenserver, der eine primäre Zone hostet ausfällt, kann eine sekundäre Zone die Namensauflösung für den Namespace übernehmen, bis der primäre Server wieder online ist.

Quellzonen, von denen sekundäre Zonen ihre Informationen erhalten, werden als Master bezeichnet.

Zonenübertragung (zone transfer) gewährleistet die regelmäßige Aktualisierung und Kopie der primären Daten.

Master kann eine andere sekundäre Zone oder eine primäre Zone sein.

Master die von einer sekundären Zone stammen, können nicht in der AD DS abgespeichert werden.

Stubzonen werden oft eingesetzt, um eine übergeordnete Zone (example.com) zu ermöglichen, eine aktualisierte Liste der Namenserver zu verwalten, die in delegierten untergeordneten Zonen (berlin.example.com) zur Verfügung stehen.

Stubzonen können auch verwendet werden um Namensauflösungen zu beschleunigen und die DNS-Administration zu vereinfachen.

 

 

Active Directory-Zonenreplikationsbereich stellt detaillierte Optionen für die Replikation zu Verfügung. Meistens sorgt die Option dafür, dass Zonenübertragung an sekundäre Server nicht konfiguriert werden muss.

Die Integration in eine AD hat mehrere Vorteile:

1.      AD führt die Zonenreplikation durch, was dazu führt, dass kein separater Mechanismus zur DNS-Zonenübertragung zwischen primären und sekundären Servern konfiguriert werden muss. Fehlertoleranz und bessere Leistung aufgrund der Verfügbarkeit mehrerer primärer Server mit Lese- und Schreibzugriff, weil Multimasterreplikationen im Netzwerk zur Verfügung stehen.

2.      AD ermöglicht, einzelne Eigenschaften von Ressourceneinträgen zu aktualisieren und zwischen DNS-Servern zu replizieren. Dies verhindert das ganze Ressourceneinträge aktualisiert werden müssen, was Netzwerkressourcen schont.

3.      AD-integrierte Zonen haben den Vorteil, dass sie Sicherheit für dynamische Updates vorhalten, was mit der Option Dynamisches Update konfiguriert wird.

Standardzonen sind die einzige Option, für eine neue Zone, wenn der Server kein Domänencontroller ist.

Standardzonen werden in Textdateien auf dem lokalen Server gespeichert.

Standardzonen können nur ein Exemplar mit Lese- und Schreibzugriff konfigurieren. Alle anderen Kopien der Zone (sekundäre Zonen) sind schreibgeschützt.

Forward-Lookupzonen bekommen den Namen der DNS-Domäne (example.com), für deren Name der Auflösungsdienst bereitgestellt wird.

Forward-Lookupzonen-Einträge sind Host oder A (IPv4) bzw AAAA (quadrible A, IPv6) –Einträge (records oder entries):

 

example.com

ws42     A        192.168.1.182

 

 

Reverse-Lookupzonen bekommen den Namen der ersten drei Oktette des Adressraums (1.168.192), für den der Reverse-Namensauflösungsdienst bereitgestellt wird plus das abschließende in-addr.arpa. Also 1.168.192.addr.arpa.

Reverse-Lookupzonen-Einträge sind Zeiger (pointer) oder PTR-Einträge:

 

1.168.192.in-addr.arpa

182      PTR      ws42.example.com

Falls die Zone, die Namensauflösung für eine Active Directory-Domäne zu Verfügung stellt, sollte derselbe Namen verwendet werden wie die Active Directory-Domäne.

Wenn die Organisation zwei AD-Domänen namens example.com und berlin.example.com hat, sollten zwei Zonen mit eben diesen Namen eingerichtet werden.

Standardmäßig versuchen DNS-Clients, die mit statischen IP-Adressen konfiguriert sind, Host- (A oder AAAA) und Zeigereinträge (PTR) zu aktualisieren. DNS-Clients, die auch DHCP-Clients sind, versuchen nur Hosteinträge zu aktualisieren. Der DHCP-Server in Arbeitsgruppenumgebungen aktualisiert bei jeder IP-Konfiguration den Zeigereintrag erneut.

Dynamische Updates funktionieren nur, wenn die Zonen so konfiguriert sind, dass sie dynamische Updates auch annehmen. Zwei Typen von dynamischen Updates können erlaubt werden:

 

 

Forward-Lookupzone GlobalNames-Zone ist eine spezielle Zone die Windows Server 2008 zu Verfügung stellt.

GlobalNames-Zone ermöglicht allen DNS-Clients über Hostnamen, wie zum Beispiel dev01, Verbindung zu Netzwerkessourcen herzustellen, auch in anderen Subnetzen.

GlobalNames-Zone ist nützlich, wenn die Standardsuchliste für DNS-Suffixe bei DNS-Clients nicht erlaubt, über den reinen Hostnamen (Kurznamen) eine Verbindung mit einer Netzwerkressource herzustellen.

GlobalNames-Zone ist standardmäßig nicht aktiviert.

GlobalNames kann dazu genutzt werden, oft verwendete Netzwerkressourcen mit

statischen IP-Adressen über den Hostnamen erreichbar zu machen ohne WINS.

GlobalNames beinhaltet normal Alias-Ressourceneinträge.

GlobalNames sind nur unter Windows Server 2008 kompatibel. Sie können nicht auf Server repliziert werden, die unter älteren Windows-Server-Versionen laufen.

 

GlobalNames-Zone Bereitstellen:

 

$dnscmd . /config /enableglobalnamessupport 1

 

DNS Ressourceneinträge

 

 

$mmc dnsmgmt.msc

 

$nslookup

$nslookup> ls <FQDN>

 

SOA-Einträge

SOA-Ressourceneinträge (start of authority) sind DNS-Einträge, anhand ein DNS-Server grundlegende und autorisierende Eigenschaften für die Zone festlegt.

SOA-Ressourceneinträge legen auch fest wie oft Zonenübertragungen zwischen primären und sekundären Servern durchgeführt werden.

 

@    IN SOA dns01.example.com hostmaster.example.com (

5099     ; serial number

3600     ; refresh (1 hour)

600      ; retry (10 mins)

860400   ; expire (1 day)

60 )     ; minimum TTL (1 min)

 

 

$mmc dnsmgmt.msc SOA-Eintrag -> Eigenschaftsdialogfeld -> Autoritätssprung (SOA)

 

Falls Zonen so konfiguriert sind, dass sie Zonenübertragungen an einen oder mehrere sekundäre Server durchführen, rufen die sekundären Server regelmäßig die Seriennummer der Zone beim Masterserver ab. Diese Abfrage wird als SOA-Abfrage (SOA query) bezeichnet. Wird bei einem SOA query festgestellt, dass die Seriennummer der Masterzone der Seriennummer entspricht, die auf dem sekundären Server gespeichert ist, wird keine Übertragung durchgeführt. Ist die Zone auf dem Masterserver dagegen höher als auf dem sekundären Server, der die Abfrage schickt, leitet der sekundäre Server eine Übertragung ein.

Inkrement erzwingt eine Zonenübertragung.

Ist der Aktualisierungsintervall abgelaufen, fordert der sekundäre DNS-Server vom Masterserver eine Kopie des aktuellen SOA-Ressourceneintrags für die Zone ab. Der Masterserver beantwortet die SOA-Abfrage und der sekundäre DNS-Server vergleicht anschließend die Seriennummer des aktuellen SOA-Eintrages des Quellservers mit der Seriennummer seines lokalen SOA-Eintrages. Sind die Seriennummern verschieden, fordert der sekundäre DNS-Server vom primären DNS-Server eine Zonenübertragung an.

Standardwert für dieses Intervall beträgt 15 Minuten.

Standardwert beträgt 10 Minuten.

Standardwert ist 1 Stunde.

Standardwert beträgt 1 Stunde.

TTL-Werte sind für Ressourceneinträge innerhalb der eigenen autorisierenden Zone nicht relevant.

TTL-Wert legt fest, wie lange Ressourceneinträge auf nicht autorisierenden Servern zwischengespeichert wird.

DNS-Server, die eine Abfrage zwischengespeichert haben, verwerfen den Eintrag, sobald der TTL-Wert des Eintrags verstrichen ist.

TTL für diesen Eintrag, setzt den Standardwert im Feld Minimale Gültigkeitsdauer (Standard) außer kraft.

Namensservereinträge (NS)

Namenservereintrag (NS) gibt einen Server an, der für eine bestimmte Zone autorisierend ist.

Namenservereinträge werden standardmäßig, unter Windows Server 2008, für alle Server die eine primären Kopien einer Active Directory-integrierten Zone hosten, eingetragen. Beim erstellen einer primären Standardzone, erscheint standardmäßig ein NS-Eintrag für den lokalen Server in der Zone.

Namenservereinträge für sekundäre Zonen, die in einer primären Kopie der Zone gehostet werden, müssen manuell erstellt werden.

 

@    dns01.example.com.

 

@ steht für die Zone, die vom SOA-Eintrag in derselben Zonendatei definiert wird.

Der gesamte Eintrag, weist der Domäne example.com den DNS-Server dns01.example.com zu.

 

$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver

$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver -> Hinzufügen -> FQDN + IP

 

Host-Ressourceneinträge (A oder AAAA)

Host-Ressourceneinträge werden benutzt um Computer- oder Gerätenamen einer IP-Adresse zuzuordnen.

Host-Ressourceneinträge sind im Normalfall der größte Teil der Ressourceneinträge in einer Zonendatenbank.

Host-Ressourceneinträge manuell hinzuzufügen, ist notwendig wenn Computer- oder Geräte sich nicht automatisch eintragen können. dev01 könnte zum Beispiel ein BSD sein und www ein Webserver hinter einer Firwall.

Host-Ressourceneinträge werden in die Standardzonendatei (zum Beispiel example.com.dns) eingetragen.

 

;

;    Zoneneinträge

;

 

dev01    A        192.168.0.42

         AAAA     fd00:0:0:5::8

www      A        70.32.6.212

         AAAA     fd00:0:0:5::10

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse>

Alias-Ressourceneinträge (CNAME)

Alias-Ressourceneinträge (CNAME) werden auch als kanonische Namen bezeichnet.

Alias-Ressourceneinträge erlauben, mehrere Namen auf denselben Host zu verweisen.

 

www      CNAME    dev01.example.com

ftp      CNAME    ftp01.example.com

ftp      CNAME    ftp02.example.com

ftp01    CNAME    ber.example.com

ftp02    CNAME    ffm.example.com

 

CNAME-Ressourceneinträge werden bei folgenden Szenarien empfohlen:

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] CNAME <Hostname|Domänenname>

 

MX-Ressourceneinträge

Mail-Exchange-Ressourceneinträge (MX) werden von E-Mail-Anwendungen benutzt, um Mailserver innerhalb einer Zone zu finden.

MX-Ressourceneinträge können Domänennamen wie example.com, die in einer E-Mail-Adresse wie zum Beispiel joe@example.com angegeben werden, dem A-Eintrag eines Gerätes zuordnen, welches den Mail-Server hostet.

MX-Ressourceneinträge werden oft mehrfach benannt um eine Fehlertoleranz zu gewährleisten.

MX-Ressourceneinträge enthalten einen Präferenzwert an dritter Stelle, die die Priorität des zugehörigen Servers festlegt. Je kleiner der Wert, desto größer die Priorität.

 

@         MX       1        mail01.example.com

@        MX       10       mail02.example.com

@        MX       20       mail03.example.com

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername>

 

SRV-Ressourceneinträge

Dienstidentifizierungs-Ressourceneinträge (SRV) werden benutzt, um die Position bestimmter Dienste in der Domäne anzugeben.

SRV-Ressourceneinträge nutzen Clientanwendungen, die SRV-fähig sind, um über DNS gesuchte Anwendungserver abzurufen.

 

_ldap._tcp    SRV  0    0    389      dc01.example.com.

              SRV  10   0    389      dc02.example.com.

              SRV  5    0    389      dc03.example.com.

 

SRV-Ressourceneinträge legen an der dritten Stelle die Priorität fest, 0 ist die höchste Priorität.

SRV-Ressourceneinträge legen an der vierten Stelle die Gewichtung für den Lastenausgleich zwischen Servern mit gleicher Priorität fest.

SRV-Ressourceneinträge legen an der fünften Stelle den Port des Dienstes fest.

 

Windows Server 2008-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung. Der Anmeldedienst sucht mithilfe von SRV-Einträgen Domänencontroller in einer Domäne, indem er in der Domäne nach dem LDAP-Dienst (Lightweight Directory Access Protocol) sucht. Beispiel einer solchen DNS-Client-SRV-Abfrage wäre:

_ldap._tcp.example.com.

DNS-Server-SRV-Antwort wäre (nach oberen Beispiel):

     ldap://dc01.example.com:389.

     ldap://dc03.example.com:389.

     ldap://dc02.example.com:389.

 

PTR-Ressourceneinträge

Zeiger-Ressourceneinträge werden für Reverse-Lookupzonen benutzt, um Reverse-Lookups zu ermöglichen.

PTR-Ressourceneinträge werden für Abfragen genutzt, die eine IP-Adresse in den zugehörigen Hostnamen oder FQDN auflöst. Reverse-Lookups werden in Zonen durchgeführt, die unterhalb der Domäne in-addr.arpa liegen.

 

0.168.192.in-addr.arpa

42       PTR      dev01.example.com.

 

6.32.70.in-addr.arpa

212      PTR      www.example.com.

 

PTR-Ressourceneinträge werden in die entsprechende Zonendatei eingetragen. Für das Klasse-B-Netz 192.168.0.0, heißt die Zonendatei 0.168.192.in-addr.arpa, für das Klasse-C-Netz 70.32.6.0, heißt die Zonendatei 6.32.70.in-addr.arpa.

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname>

 

WINS-Ressourceneinträge

WINS-Server können für Forward- und Reverse-Lookupzonen angegeben werden. Daraufhin wird ein spezieller WINS-Ressourceneintrag bzw. ein WINS-R-Ressourceneintrag zur Zone hinzugefügt der auf den WINS-Server zeigt.

WINS-Server wird vom DNS-Server kontaktiert nachdem er eine DNS-Antwort in seinen Üblichen Quellen (Cache, lokale Zonendaten, andere-DNS-Server) nicht finden konnte.

 

$mmc dnsmgmt.msc Zone -> Reverse- oder Forward-Lookupzone -> Eigenschaften -> WINS

 

 

 

$dnscmd

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] CNAME <Hostname|Domänenname>

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse>

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername>

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname>

 

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] <RRTyp> <RRDaten>

 

$dnscmd /RecordDelete 10.in-addr.arpa 127.2.3 PTR

$dnscmd /RecordAdd 196.168.in-addr.arpa 3.10 PTR

$dnscmd /RecordAdd foo.local berlin A 192.168.3.1

$dnscmd dc02.foo.local /RecordAdd ffm.foo.local dns05 192.168.5.254

 

 

Alterung und Aufräumvorgänge

Um das Alter von dynamisch registrierten Ressourceneinträgen zu bestimmen, verwendet DNS Zeitstempel.

Alterung (aging) und Aufräumvorgänge (scavenging) hängen unmittelbar zusammen.

Veraltete dynamische Ressourceneinträge, Ressourceneinträge bei denen der Zeitstempel abgelaufen ist, werden mit einem Aufräumvorgang gelöscht.

Standardmäßig sind Alterung und Aufräumvorgang deaktiviert.

 

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Alterung/Aufräumvorgänge für alle Zonen festlegen…

$mmc dnsmgmt.msc -> Zone  -> Alterung/Aufräumvorgänge für alle Zonen festlegen…

 

Wichtig ist das sowohl auf der DNS-Server-Ebene als auch auf der Zonen-Ebene die Option aktiviert sein muss. Da Alterung und Aufräumvorgänge, wenn man diese nur auf Server-Ebene aktiviert, nur für neue Zonen gilt, außer man aktiviert Diese Einstellung auf alle vorhandenen Active Directory-integrierten Zonen anwenden.

 

Zeistempelwerte der Ressourceneinträge nutzt der DNS-Server für Alterung und Aufräumvorgang.

Zeitstempel sind bei Active Directory-integrierten dynamisch registrierten Einträgen automatisch aktiviert.

Zeitstempel sind bei dynamisch registrierten Einträgen in primären Standardzonen erst aktiviert wenn Alterung/Aufräumvorgang für alle Zonen festlegen… aktiviert wurde.

Zeitstempel bei manuell erstellten Ressourceneinträgen sind immer 0.

Zeitstempel 0 bedeutet das der Ressourceneintrag nicht altert.

 

$mmc dnsmgmt.msc -> Zone  -> Eigenschaften -> Allgemein -> Alterung…

 

 

Eigenschaften für Serveralterung/Aufräumvorgänge:

Standardwert ist 7 Tage.

Standardwert ist 7 Tage.

 

Die Standardeinstellungen bedeuten also, dass dynamische registrierte Ressourceneinträge nach 14 Tagen aufgeräumt werden.

Das Aktualisierungsintervall muss stets gleichgroß oder größer sein als das Nichtaktualisierungsintervall.

 

$mmc dnsmgmt.msc -> Zone  -> Eigenschaften -> Allgemein -> Alterung… -> Eigenschaften für Serveralterung/Aufräumvoränge

 

 

Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren:

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften -> Erweitert -> Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren

 

Veraltete Ressourceneinträge aufräumen:

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Veraltete Ressourceneinträge aufräumen

 

DNS-Zugriffssteuerungslisten (Discretionary Access Control List, DACL) der DNS-Zonen sind in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert.

DNS-DACL können die Berechtigungen für die Active Directory-Benutzer und -Gruppen steuern, die DNS-Zonen steuern dürfen.

DNS-DACL-Verwaltung verlangt mindestens Mitglied der Gruppe DnsAdmins oder Domänen-Admins in AD DS oder einer entsprechenden Gruppe zu sein.



 

 

Zonenreplikation und Zonenübertragung Konfiguration

Zonenreplikation (zone replication) ist die Synchronisation von Zonendaten für Active Directory-integrierte Zonen.

 

Active Directory-integrierte Zonen können nur auf Domänencontrollern installiert werden, bei denen die Serverrolle DNS-Server installiert ist.

Active Directory-integrierte Zonen verfügen über eine Multimaster-Datenreplikation, die einfach zu konfigurieren ist und mehr Sicherheit und Effizienz bietet, im Gegensatz  zu Standardzonen.

Active Directory-integrierte Zonen mit integrierter Speicherung können DNS-Clients Updates auf die komplette Domänenstruktur replizieren.

 

Anwendungsverzeichnispartitionen helfen beim Verwalten von DNS-Zonendaten.

Anwendungsverzeichnispartitionen enthalten DNS-Zonendaten.

Verzeichnispartitionen werden durch eine DNS-Subdomäne und einen FQDN identifiziert.

Verzeichnispartitionen können auch manuell erstellt werden. Manuelle Verzeichnispartitionen können nur Mitglieder der Gruppe Organisations-Admins erstellen.

 

$dnscmd <Servername> /createdirectorypartition <FQDN>

$dnscmd <Servername> /enlistdirectorypatition <FQDN>

$dnscmd . /createdirectorypartition DnsPartition01.example.com

 

 

Verzeichnispartitionen DomainDnsZones und ForestDnsZones sind standardmäßig vorgegeben:

Um Replikationen auf Windows 2000 Server zu ermöglichen, kann man Active Directory-integrierte Zonen in dieser Verzeichnispartition speichern.

 

$mmc dnsmgmt.msc -> DNS-Server Symbol -> Standardanwendungs-Verzeichnispartitionen erstellen

 

$mmc dnsmgmt.msc -> DNS-Server Symbol -> Neue Zone… -> Active Directory-Zonenreplikationsbereich

 

$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Replikation: Alle DNS-Server dieser Domäne -> Ändern…

 

 

 

Zonenübertragung (zone transfer) ist die Synchronisation von Zonendaten zwischen einer beliebigen Masterzone und einer sekundären Zone.

Zonenübertragung muss genutzt werden wenn dein DNS-Server kein Domäncontroller ist.

Zonenübertragung findet zum Beispiel statt, wenn eine Organisation mehrere DNS-Server benötigt. Hier werden Quelldaten in eine schreibgeschützte sekundäre Zone kopiert auf einem weiteren DNS-Server.

Zonenübertragung verwendet Standardzonen, Textdateien die ein jeder DNS-Server speichert.

Zonenübertragung ist ein Pull-Vorgang, der von der sekundären Zone eingeleitet wird. Die sekundäre Zone kopiert hierbei Daten von der Masterzone.

Sekundäre Zonen können so konfiguriert werden, dass sie eine Active Directory-integrierte Masterzone übertragen.

 

Zonenübertragung an sekundäre Zonen kann durch drei Ereignisse ausgelöst werden:

 

$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Zonenübertragungen

 

Zonenübertragungen zulassen:

 

$mmc dnsmgmt.msc -> sekundäre Zone

 

Stubzonen (stub zone) sind Kopien einer Zone, die nur die wichtigsten Einträge der Masterzone enthält.

Stubzonen liefern einem DNS-Server die Namen der Server, die für bestimmte Zonen autorisierend sind. Sie verhindern somit Abfragen auf entfernte DNS-Server.

Stubzonen sollen es dem lokalen DNS-Server ermöglichen, Abfragen an Namenserver weiterzuleiten, die für die Masterzone autorisierend sind.

Stubzonen erfüllen, nach dem oberen Fall, die gleiche Aufgabe wie eine Delegierung.

Stubzonen bieten aber den Vorteil, dass sie Zonenübertragungen von der (delegierten) Masterzone einleiten und empfangen können. So können übergeordnete Zonen über Updates in den NS-Einträgen von untergeordneten Zonen informiert werden.

 

Stubzonen Aufgaben:

 

 

Delegierte Zonen sind untergeordnete Zonen (zum Beispiel ffm.example.com) einer übergeordneten Zone (zum Beispiel example.com), die normalerweise auf ihrem eigenen DNS-Server gehostet wird. Bei Delegierung enthält die übergeordnete Zone einen NS-Eintrag für den Server, der die untergeordnete Zone hostet. Anfragen in der übergeordneten Domäne werden also an den NS-Server der untergeordneten Domäne weitergeleitet.

 

 

 

 

DNS-Servercache

DNS-Servercache speichert rekursive Abfragen von DNS-Clients.

DNS-Servercache wird geleert sobald der DNS-Serverdienst angehalten wird.

DNS-Auflösungscache verwendet eine TTL (Time-to-Live) für Ressourceneinträge.

DNS-Auflösungscache TTL beträgt standardmäßig 3600 Sekunden.

 

$dnscmd

$dnscmd /clearcache

 

$mmc dnsmgmt.msc

 

 

Stammhinweise enthält eine Liste der Stammserver im Internet, die alle paar Jahre von leicht verändert wird.

ftp://rs.internic.net/domain/named.cache

 

Stammhinweise befinden sich unter Windows Server 2008 in der Datei

 %SystemRoot%\System32\Dns\Cache.dns.

 

Stammhinweise enthalten standardmäßig Informationen für die Abfrage nach Internetnamen, die nicht verändert werden müssen.

Stammhinweise  sollten ganz gelöscht werden wenn ein DNS-Stammserver für ein privates Netzwerk (Zonenname: „“) eingerichtet wird.

Stammhinweise stehen nicht zur Verfügung wenn ein DNS-Server einen Stammserver hostet.

Stammhinweise müssen entfernt werden wenn ein DNS-Server eine Stammzone hostet, um das Auflösen von externen Namen zu gewährleisten.

 

 

Weiterleitungen (forwards) bedient sich ein DNS-Server, wenn er keinen passenden Eintrag anhand seiner autorisierenden Daten (primäre oder sekundäre Zonendaten) oder zwischengespeicherten Daten beantworten kann.

Weiterleitungen sind DNS-Server-zu-DNS-Server Anfragen.

 

$netsh ip(v4|v6) set dnsserver “<Interfacename>“ static <IP>

 

Weiterleitungen (forwardings) und deren Verwendung:

So können Namen von Ressourcen in allen Domänen der Gesamtstruktur aufgelöst werden.

 

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -> Forward-Lookupzone

 

Bedingte Weiterleitungen (conditional forwards) beschreibt eine DNS-Server-Konfiguration, bei der die Abfrage nach einer bestimmten Domäne an einen bestimmten DNS-Server weitergeleitet wird.

Bedingte Weiterleitungen haben einen geringen Wartungsaufwand, verursachen kaum Zonentransfareverkehr und sind im Gegensatz zu sekundären und Stub-Zonen immer aktuell.

 

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -> Bedingte Weiterleitungen

 

DNS-Server-Eigenschaften konfigurieren die Eigenschaften die für den DNS-Server und all seine gehosteten Zonen gelten.

 

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften

 

Bei DNS-Servern die einen Stammserver hostet ist dieser Reiter nicht vorhanden

Weiterleitungen dienen dazu den lokalen DNS-Server so zu konfigurieren das er Anfragen an einen anderen DNS-Server, die hier mit IP-Adresse eingetragen sind, weiterleitet und an den Client zurückgibt

DHCP

DHCP (Dynamic Host Configuration Protocol) ermöglicht das Zuweisen von IP-Adressen, Subnetzmasken, Standardgateways, DNS-Servern und anderen Konfigurationsinformationen an Clients im lokalen Netzwerk.

Clients die für DHCP konfiguriert sind, rufen automatisch ihre IPv4-Adresse und Konfiguration vom DHCP-Server ab.

Vier Schritte sind notwendig um einem Clienten eine IPv4-Adresse und Subnetzmaske zuzuweisen:

 

  1. Broadcast mit DHCP-Discover – Der Client sendet eine DHCP-Discover-Nachricht als Broadcast in das lokale Netz, die sich an irgendeinen verfügbaren DHCP-Server richtet.
  2. Antwort mit DHCP-Offer – Falls ein DHCP-Server im Broadcastbereich vorhanden ist und den DHCP-Client mit einer IP-Adresszuweisung versorgen kann, sendet er eine DHCP-Offer-Unicastnachricht an den DHCP-Client.

DHCP-Offer-Nachrichten enthalten eine Liste der DHCP-Konfigurationsparameter und eine verfügbare IP-Adresse aus dem DHCP-Bereich, die der DHCP-Server dem DHCP-Client anbietet.

Falls der DHCP-Server eine Reservierung anhand der MAC-Adresse des DHCP-Clients feststellt, bietet er dem Client die reservierte Adresse an.

  1. Antwort mit DHCP-Request – Der DCHP-Client antwortet auf die DHCP-Offer-Nachricht und fordert die IP-Adresse an, die ihm angeboten wird. Es besteht aber auch die Möglichkeit, dass der DHCP-Client die IP-Adresse anfordert die ihm vorher zugewiesen war.
  2. Bestätigung mit DHCP-Ack – Falls die IP-Adresse, die der DHCP-Client angefordert hat, noch verfügbar ist, antwortet der DHCP-Server mit einer DHCP-Ack-Bestätigungsnachricht. Der Client kann die IP-Adresse nun benutzen.

 

Adressleases

DHCP-Server verwalten eine Datenbank der Adressen, die der Server an Clients vergeben kann. Den Vorgang des Adressvergebens nennt man Lease.

DHCP-Server zeichnen auf, welche Adresse an welchen Client vergeben ist, so dass Adressen niemals mehrfach vergeben werden.

 

Leases dauern in den Standardeinstellungen 6 Tage oder 8 Stunden.

Leases die abgelaufen sind – am Ende einer Leasedauer fordert der DHCP-Server die Adresse zurück.

 

DHCP-Clients fordern nach der Hälfte der Leasedauer eine Erneuerung der Lease an den DHCP-Server.

Wenn 87,5% der Leasedauer verstrichen sind, versucht der Client einen neuen DHCP-Server zu finden.

 

DHCP-Clients die heruntergefahren werden oder bei denen der Befehl runas /user:Administrator “ipconfig /release“ ausgeführt wird, senden eine DHCP-Release-Nachricht an den DHCP-Server, der die Adresse zugewiesen hat. Der DHCP-Server markiert daraufhin die Adresse als verfügbar und kann sie einem anderen DHCP-Client zuweisen.

DHCP-Clients die plötzlich vom Netzwerk getrennt werden, senden keine DHCP-Release-Nachricht, was zu folge hat, dass die Adresse bis zum Ende der Leasedauer vergeben bleibt.

Leasedauer sollte deshalb in Netzwerken mit häufigen Verbindungen und Trennungen (zum Beispiel WLANs) gering sein.

 

 

DHCP-Clients Konfiguration

 

Netzwerkadapter -> Eigenschaften -> Internetprotokoll IP(v4|v6)  -> Allgemein

 

$netsh interface ipv4 set address <Adaptername> dhcp

$netsh interface ipv4 set dnsserver <Adaptername> dhcp

 

$netsh interface ipv6 set interface <Adaptername> managedaddress=(enable|disable)

$netsh interface ipv6 set interface <Adaptername> otherstatful=(enable|disable)

 

$ipconfig /release (erzwingen einer neuen Lease)

$ipconfig /renew

 

Statusbehafteter-Modus (statful mode) muss manuell aktiviert werden.

Statusbehafteter-Modus fragt über DHCPv6 eine Adresse und IPv6-Konfigurationsoptionen von einem DHCP-Server ab.

Statusfreie-Modus (statless mode) ist standardmäßig auf IPv6-Clients aktiviert.

Statusfreie DHCPv6-Modus bedeutet, dass der Client seine IP-Adresse durch Austausch von Routeranfrage- und Routerankündigungsnachricht mit einem benachbarten IPv6-Router konfiguriert.

Statusfreie DHCPv6-Modus kann denoch DHCP-Optionen, wie zum Beispiel den IPv6-DNS-Server, beim DHCP-Server abfragen.

 

 

 

 

 

DHCP-Server Konfiguration

DHCP-Server unter Windows Server 2008 benötigen eine statische IP-Adresse, aus dem Subnetz das für den DHCP-Bereich konfiguriert werden soll.

DHCP-Server die IP-Adressen an Clients leasen, müssen einen Bereich von IP-Adressen für das Leasen vordefiniert haben.

DHCP-Server die für die Subnetze 10.0.42.0/24 und 192.168.23.0/24 DHCP-Bereiche definiert haben, sollten direkt mit diesen Subnetzen (sofern kein DHCP-Relay-Agent eingesetzt wird) verbunden sein.

 

$mmc dhcpmgmt.msc

 

 

$start /w ocsetup DHCPServerCore

$net start dhcpserver

$sc config dhcpserver start=auto

 

$mmc servermanager.msc  -> Assistenten „Rollen hinzufügen“ -> Serverrolle auswählen -> DHCP-Server

 

·        Bindungen für Netzwerkverbindung auswählen – gibt die Netzwerkkarte oder den Adapter an, auf dem der DHCP-Server Clientanforderungen entgegennimmt.

·        Angeben von IPv4-DNS-Servereinstellungen – gibt die DNS-Optionen 015 (DNS-Domänenname) und 006 (DNS-Server) an.

·        Angeben von IPv4-WINS-Servereinstellungen – gibt die DNS-Option 044 (WINS/NBNS-Server) an.

·        DHCP-Bereiche hinzufügen oder bearbeiten – gibt den DHCP-Bereiche an, eine Gruppe von IP-Adressen aus einem Subnetz, die der DHCP-Dienst nutzt um dynamische IP-Adressen zu vergeben.

DHCP-Bereiche hinzufügen:

·        BereichnameAnzeigename der DHCP-Server-Konsole.

·        Start- und End-IP-AdresseDHCP-Bereich der aus IPs des Subnetzes die nicht statisch vergeben werden, besteht. Statisch konfigurierte Bereiche müssen ausgenommen werden.

Bsp.:             192.168.0.1-20 ist statisch vergeben;

DHCP-Bereich: 192.168.0.21-192.168.0.254

·        Subnetzmaske – die DHCP-Clients zugewiesen wird. Muss die gleiche sein wie die des DHCP-Servers.

·        Standardgateway (optional)Option 003 (Router).

·        Subnetztypstandard Leasedauer. Entweder 6 Tage oder 8 Stunden.

·        Diesen Bereich aktivieren – nur aktivierte Bereiche vergeben Leases.

·        Konfigurieren des statusfreien DHCPv6-Modus statless mode ist der Standardadressierungsmodus für IPv6-Hosts, wobei Adressen ohne Hilfe eines DHCP-Servers konfiguriert werden. Optionen können aber denoch von einem DHCP-Server abgerufen werden.

Statusfreien DHCPv6-Modus kann deaktiviert werden, um dem DHCP-Server zu ermöglichen statusbehaftete Adressierungen zu vergeben. Hierfür muss später ein weiterer DHCP-Bereich im Knoten IPv6 der DHCP-Konsole eingerichtet werden.

·        IPv6 DNS-Servereinstellungen angeben – (wird nur gezeigt wenn statusfreien DHCPv6-Modus deaktiviert ist)

·        DHCP-Server autorisieren – bevor ein DHCP-Server in einer Domänenumgebung Leases für Adressen aus einem vorhandenen Bereich an DHCP-Clients vergeben kann, muss der Server erst autorisiert und der Bereich aktiviert sein.

 

DHCP-Bereiche (scope) sind die wichtigsten Mechanismen, wie Server Verteilung und Zuweisung von IP-Adressen und Optionen an Clients verwalten.

DHCP-Bereiche müssen in einem einzelnen Hardwaresubnetz liegen, für die dass DHCP-Dienste angeboten wird.

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereich

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Adresspool -> Neuer augeschlossener Bereich -> Ausschluss hinzufügen

 

Ausgeschlossene Bereiche sind Adessausschlüsse aus dem vordefinierten DHCP-Bereich.

Adressausschlüsse dienen dazu einzelne IPs oder IP-Blöcke vom DHCP-Bereich auszuschließen, die statisch vergeben wurden.

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Reservierungen -> Neue Reservierung… -> Neue Reservierung

 

 

$getmac /s <IP> | clip

 

Reservierungen haben den Vorteil, dass sie gegenüber von Handverwalteten, statischen IP-Adressen, zentral verwaltet werden können.

Reservierungen haben den Nachteil, dass sie erst spät im Startprozess zugewiesen werden und ein DHCP-Server vorhanden sein muss.

Reservierungen können zum Beispiel bei Druckservern oder Anwendungsserver praktikabel sein. DNS-Server sollten auf keinen Fall von DHCP-Servern abhängig sein.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Eigenschaften -> Allgemein -> Leasedauer für DHCP-Clients

 

Leasdauern für LANs ist die standardmäßig, sinnvoll mit der Dauer von 6 Tage festgelegt. Kann aber erhöht werden falls die Computer selten umgestellt oder neu angeschlossen werden.

Leasdauern sollten relativ kurz sein, 8 Stunden, wo die Adressen knapp sind und die Verbindungsdauern kurz.

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Adressleases -> Löschen

 

Adressleases zeigt an welche IP-Adressen momentan als Leases an welche Clienten vergeben sind.

Adressleases Löschen kann gleich mehrere Clients auswählen und Leases vieler Clients aufeinmal beenden um ihre Leases zu erneuern und die neuen Adressen oder neuen Optionen abzurufen.

 

DHCP-Optionen stellen Clients zusammen mit der Adresslease zusätzliche Konfigurationsparameter zur Verfügung, etwa DNS- oder WINS-Serveradressen.

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Bereichoptionen -> Optionen Konfigurieren… -> Optionen - Bereich -> Allgemein

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Serveroptionen -> Optionen Konfigurieren… -> Optionen - Server -> Allgemein

 

DNS-Bereich- und Serveroptionen unterscheiden sich dadurch, wie der Name schon sagt, dass die Optionen einmal auf Bereichsebene und einmal auf Serverebene angewendet werden.

 

60 DHCP-Standardoptionen stehen unter Windows Server 2008 zu Verfügung. Folgende sind für die IPv4-Konfiguration die wichtigsten:

Standardbenutzerklasse (default user class) ist eine Klasse, zu der alle DHCP-Clients gehören und die auf alle DHCP-Clients angewendet wird. In dieser Klasse werden in der Standardeinstellung alle Optionen erstellt.

 

DHCP-Konflikterkennungsversuche, falls mit dem Wert 2 konfiguriert, erkennen via ping über ICMP ob IPs schon geleast sind.

 

DHCP-Datenbank kompremieren:

$cd %systemroot%\system32\dhcp

$net stop dhcpserver

$jetpack dhcp.mdb tmp.mdb

$net start dhcpserver

 

DHCP-Optionsklassen (options class) ist eine Clientkategorie, die es dem DHCP-Server erlaubt, Optionen nur an bestimmte Clients innerhalb eines Bereiches zuzuweisen.

Optionsklassen die einem Server hinzugefügt werden, können Clients dieser Klasse mit klassenspezifischen Optionen versorgt werden. Optionsklassen werden nach der Standardbenutzerklasse angewandt und überschreiben deren Option. Es gibt zwei Typen von Optionsklassen:

Clients mit Windows 2000 können so zum Beispiel ermittelt werden, und abhängig davon NetBIOS aktiviert oder deaktiviert werden.

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Herstellerklassen definieren -> DHCP-Herstellerklassen

 

Nachdem eine Benutzerklasse auf dem Server erstellt wurde, muss die Klasse auf den Clientcomputern konfiguriert werden.

 

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Benutzerklassen definieren -> DHCP-Benutzerklassen -> Hinzufügen…

 

$ipconfig /setclassid  <Adaptername> <Benutzklassen-ID>

 

 

 

 

 

IP-Routing

Routing erlautb es Routern, Verkehr untereinander weiterzuleiten, so dass Clients und Server in unterschiedlichen Subnetzen miteinander kommunizieren können.

Routing kann mit ICMP (Internet Control Message Protocol) überwacht, verfolgt und visualisiert werden.

Routing kann dynamisch, mit Hilfe von Routingprotokollen, oder statisch mit Hilfe von Routentabellen gesteuert und konfiguriert werden.

 

$pathping dc01

Routenverfolgung zu DC01.foo.local [fd65:9abf:efb0:6::a]

über maximal 30 Abschnitte:

  0  DNS01.foo.local [fd65:9abf:efb0:6::b]

  1  DC01 [fd65:9abf:efb0:6::a]

Berechnung der Statistiken dauert ca. 25 Sekunden...

            Quelle zum Abs.  Knoten/Verbindung

Abs. Zeit   Verl./Ges.=   %  Verl./Ges.=   %  Adresse

  0                                           DNS01.foo.local [fd65:9abf:efb0:6::b]

                                0/ 100 =  0%   |

  1    0ms     0/ 100 =  0%     0/ 100 =  0%  DC01 [fd65:9abf:efb0:6::a]

$tracert freebsd.org

Routenverfolgung zu freebsd.org [69.147.83.40]  über maximal 30 Abschnitte:

 

  1     1 ms     1 ms     1 ms  192.168.32.64

  2     1 ms     1 ms     1 ms  fritz.box [192.168.64.128]

  3    17 ms    18 ms    25 ms  lo1.br14.ber.de.hansenet.net [213.191.64.25]

  4    11 ms    10 ms    10 ms  ae1-102.cr01.ber.de.hansenet.net [62.109.108.125]

  5    28 ms    28 ms    32 ms  so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.66.21]

  6    41 ms    37 ms    28 ms  ae0-0.pr01.fra.de.hansenet.net [213.191.66.201]

  7    33 ms    34 ms    32 ms  ge-1-3-0.pat2.dee.yahoo.com [80.81.193.115]

  8   121 ms     *      131 ms  as-1.pat2.dcp.yahoo.com [66.196.65.129]

  9   195 ms   213 ms   209 ms  as-0.pat2.da3.yahoo.com [216.115.101.155]

 10   189 ms   191 ms   204 ms  as-1.pat2.sjc.yahoo.com [216.115.101.151]

 11   190 ms   194 ms   206 ms  ae-0-d161.msr1.sp1.yahoo.com [216.115.107.59]

 12   195 ms   194 ms   191 ms  gi-1-48.bas-b1.sp1.yahoo.com [209.131.32.47]

 13   191 ms   189 ms   192 ms  freefall.freebsd.org [69.147.83.40]

 

Ablaufverfolgung beendet.

 

Routingprotokolle

Routingprotokolle vereinfachen die Konfigurationen und erlauben es Routern, automatische Anpassungen vorzunehmen, wenn sich die Netzwerkbedingungen ändern (wenn zum Beispiel ein Router oder eine Netzwerkverbindung ausfällt).

Routingprotokolle sind zum Beispiel RIP (Routing Information Protokoll) oder OSPF (Open Shortest Path First).

 

Router mit aktiviertem Routingprotokoll, die an ein Netzwerk angeschlossen sind, kündigt das Routingprotokoll eine Liste der Netzwerke an, mit dem der Router verbunden ist. Der Router nimmt die Ankündigungen von benachbarten Routern entgegen, so dass er erfährt, wie er bestimmte Remotenetzwerke erreichen kann.

Routing- und RAS-Dienste

Routing- und RAS-Dienste (Remote Access System) Serverrolle aktiviert unter Windows Server 2008 dynamisches routing mit Hilfe von RIP (Routing Information Protokoll)..

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und  RAS -> IPv4

 

 

Standardmäßig verwendet Windows Server 2008 RIPv2.

 

(http://administrator.de/)

Statisches Routing

Statische Routen können zum Beispiel notwendig sein, wenn Geräte eine Verbindung mit einem entfernten Subnetz herstellen müssen und das Standardgateway nicht direkt mit einer Schnittstelle an besagtes Subnetz angebunden ist.

Statische Routen können unter Windows 2008 Server entweder mit $route oder dem Routing- und RAS-Dienst konfiguriert werden.

 

$route print

===========================================================================

Schnittstellenliste

  3...00 0c 29 43 b0 31 ......Intel(R) PRO/1000 MT-Netzwerkverbindung

  1...........................Software Loopback Interface 1

===========================================================================

 

IPv4-Routentabelle

===========================================================================

Aktive Routen:

     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik

          0.0.0.0          0.0.0.0      192.168.6.1     192.168.6.11     11

        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306

        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306

  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306

      192.168.6.0    255.255.255.0   Auf Verbindung      192.168.6.11    266

     192.168.6.11  255.255.255.255   Auf Verbindung      192.168.6.11    266

        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306

        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.6.11    266

  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306

  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.6.11    266

===========================================================================

Ständige Routen:

  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik

          0.0.0.0          0.0.0.0      192.168.6.1       1

===========================================================================

 

IPv6-Routentabelle

===========================================================================

Aktive Routen:

 If Metrik Netzwerkziel             Gateway

  1    306 ::1/128                  Auf Verbindung

  3    266 fd65:9abf:efb0:6::/64    Auf Verbindung

  3    266 fd65:9abf:efb0:6::b/128  Auf Verbindung

  3    266 fe80::/64                Auf Verbindung

  3    266 fe80::cd3c:3113:f394:a01b/128

                                    Auf Verbindung

  1    306 ff00::/8                 Auf Verbindung

  3    266 ff00::/8                 Auf Verbindung

===========================================================================

 

 

Folgender Befehl trägt in die Routertabelle ein, dass das Subnetz 192.168.2.0/24 über den Router 192.168.1.2 zu erreichen ist, anstatt über das Standardgateway:

 

$route -p add 192.168.2.0 MASK 255.255.255.0 192.168.1.2

 

Statische Routen mit Routing- und RAS-Dienst lassen sich ebenfalls eintragen:

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und  RAS -> IPv4 -> Statische Routen -> Neue Statische Routen -> Statische IPv4-Route

 

IPSec

IPSec (Internet Protocoll Security) schützt Netzwerke, indem Daten authentifiziert und verschlüsselt werden.

IPSec schütz vor Spoofing, manipulierten Daten, Relay-Angriffen und Spionage.

IPSec wird eingesetzt, um die Kommunikation zwischen zwei Hosts oder um Verkehr, der über das Internet fließt, bei der Benutzung von VPN, zu schützen.

IPSec basiert auf Standards, die von der IPSec-Arbeitsgruppe der IETF (Internet Engineering Task Force) entwickelt wurden.

IPSec schützt Daten mit folgenden Diensten:

 

IPSec-Sicherheitszuordnungen (Security Association, SA) schützen die Daten, die zwischen zwei Computern ausgetauscht werden.

IPSec-Sicherheitszuordnungen werden aufgebaut wenn zwei Computer IPSec-Verbindungen aushandeln.

Sicherheitszuordnungen werden durch zwei IPSec-Protokolle gewährleistet:

 

IPSec-Verbindungen werden über IKE-Protokolle (Internet key Exchange) initialisiert um Sicherheitszuordnungen dynamisch zwischen zwei IPSec-Partnern aufzubauen.

IPSec-Verbindungen werden mit IKE in zwei Phasen ausgehandelt:

  1. Hauptmodusaushandlung (main mode negotation) dient dazu, dass aushandeln des Kommunikationsverfahrens und des Verschlüsselungsalgorithmus mit einer SA zu schützen.
  2. Schnellmodusaushandlung (quick mode negotiation) stellt aus dem ausgehandelten Verschlüsselungsalgorithmus und dem Kommunikationsverfahren eine weitere SA her, über die die Daten schließlich gesendet werden.

 

IPSec-Verbindungen arbeiten standardmäßig im Transportmodus (transport mode), bei dem end-to-end-Sicherheit zwischen Geräten gewährleistet wird.

IPSec-Transportmodus wird bei den meisten VPNs eingesetzt, in Kombination mit L2TP (Layer Two Tunneling Protocol), um die IPSec-Verbindung durch das WAN zu Tunneln.

IPSec-Tunnelmodus kommt zum Einsatz, wenn VPN-Gateways nicht L2TP/IPSec-VPN kompatibel sind.

IPSec-Tunnelmodus schützt gesamte IP-Pakete, die dann in einen zusätzlichen, ungeschützten IP-Header verpackt werden. Der äußere IP-Header gibt die IP-Adressen der Tunnelendpunkte an, der innere IP-Header die eigentliche Quell- und Zieladresse.

IPSec-Tunnelmodus wird von Remotezugriff-VPNs nicht unterstützt, hier muss L2TP/IPSec oder PPTP zum einsatz kommen.

 

IPSec-Authentifizierungsmethoden

 

IPSec Konfiguration

IPSec wird unter Windows Server 2008 mit Sicherheitsrichtlinien oder Gruppenrichtlinien verwaltet.

IPSec wird unter Windows Server 2008, Windows Vista und Windows 7 entweder über IPSec-Richtlinien (IPSec policy) oder Verbindungssicherheitsregeln (connection security rule) erzwungen.

IPSec-Richtlinien bietet im Gegensatz zu Verbindungssicherheitsregeln, in den Standardeinstellungen, nicht nur schutz vor Spoofing (gefälschten Daten), manipulierten Daten und Relay-Angriffen, sondern auch Verschlüsselung.

IPSec-Richtlinien wie auch Verbindungssicherheitsregeln, können so konfiguriert werden, dass sie eine beliebige Kombination aus Datenauthentifizierung und Verschlüsselung bereitstellt.

IPSec-Richtlinien und Verbindungssicherheitsrichtlinien können über ein Gruppenrichtlinienobjekt oder lokal erzwungen werden.

 

IPSec-Richtlinien

IPSec-Richtlinienregeln (IPSec policy rule) sind mit IP-Filterlisten (IP filter list) und Filteraktionen (filter action) verknüpft. Jede Richtlinie hat einen Filterliste und Filteraktion.

 

IP-Filterlisten enthalten einen Satz aus einem oder mehrern IP-Filtern, die IP-Verkehr für eine IPSec-Richtlinie abfangen.

IP-Filter definieren Quell- oder Zieladresse, Adressbereich, Computername, TCP/UDP-Port oder Servicetyp (DNS, WINS, DHCP, Standardgateway).

 

$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien ->  Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory

 

 

IPSec-Richtlinienregel Bsp.:

 

IPSec-Richtlinie

IP-Filterliste

Filteraktion

Richtlinienregel 1

Filter 1: Telnet-Verkehr von 192.168.23.42

Filter 2: POP3-Verkehr von 192.168.23.196

Sicherheit aushandeln (Verschlüsselung zwingend erforderlich)

Richtlinienregel 2

Filter 1: gesamte Telnet-Verkehr

Filter 2: gesamte POP3-Verkehr

Blocken

Richtlinienregel 3

Filter 1: gesamte Verkehr

Sicherheit aushandeln (Authentifizierung anfordern)

 

 

Vordefinierte IPSec-Richtlinien

Vordefinierte IPSec-Richtlinien – kann jeweils nur eine der folgenden drei, einem Gerät oder Computer zugewiesen werden:

Der Computer nimmt ungeschützten Verkehr an, versucht aber immer, weitere Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen Absender fordert.

 

$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien ->  Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory

 

Benutzerdefinierte IPSec-Richtlinien

Benutzerdefinierte IPSec-Richtlinien gruppieren benutzerdefinierte IPSec-Regeln.

 

$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien ->  Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory -> IP-Sicherheitsrichtline erstellen… -> IPSec-Sicherheitsrichtlinien Assistent

 

 

 

Verbindungssicherheitsregeln

Verbindungssicherheitsregeln sind ähnlich wie IPSec-Richtlinienregeln, allerdings sind Verbindungssicherheitsregeln nicht so leistungsfähig wie IPSec-Richtlinienregeln.

Verbindungssicherheitsregeln gelten nicht für ausgewählte Protokolle (DNS, Telnet), sondern sie gelten für den gesamten Verkehr, der von oder zu bestimmten IP-Adressen, Subnetzen oder Servern läuft.

 

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter Sicherheit -> Verbindungssicherheitsregeln

 

Benutzerdefinierte Verbindungssicherheitsregeln

$mmc wf.msc -> Verbindungssicherheitsregeln -> Neue Regel… -> Assistent für neue Verbindungssicherheitsregeln

 

$mmc wf.msc -> Verbindungssicherheitsregeln -> Eigenschaften -> IPSec-Einstellungen -> IPSec-Standardeinstellungen

 

 

 


NAT

NAT (Network Adress Translation) – ein Dienst der Private-IP-Adressen, die im LAN verwendet werden, in öffentliche (WAN) IP-Adressen, die im Internet kommunizieren übersetzt.

NAT wurde entwickelt, weil öffentliche IP-Adressen im Internet knapp wurden.

NAT ermöglicht Organisationen, Private-IP-Adress-Blöcke zu vergebe, die Hunderte oder Tausende Hosts Adressieren können. Eine genatete öffentliche IP-Adresse reicht aus, um die Kommunikation dieser Hosts mit dem Internet zu gewährleisten. Verschiedene Organisationen können identische Private-IP-Adress-Blöcke vergeben:

 

     192.168.0.0 – 192.168.255.255

     172.16.0.0 – 172.31.255.255

     10.0.0.0 – 10.255.255.255

 

PAT (Port Adress Translation) funktioniert wie NAT, übersetzt allerdings auch Ports.

 

 


NAT Konfigurieren

Windows Server 2008 kann als NAT-Server eingesetzt werden und stellt zwei NAT-Dienste bereit:

 

ICS benötigt zwei Schnittstellen. Auf der öffentlichen Schnittstelle eine öffentliche IP-Adresse und auf der internen Schnittstelle eine private.

ICS-Dienst weist automatisch dem ICS-Computer die private IP-Adresse 192.168.0.1 zu und via DHCP, Computern im LAN, IP-Adressen aus dem Bereich 192.168.0.0/24.

ICS-Dienst aktiviert automatisch DHCP-Dienst (ICS-DHCP ist nicht kompatibel zur Serverrolle DHCP-Server oder dem DHCP-Relay-Agenten und anderen Routing- und RAS-Komponenten).

ICS-Dienst kann auch VPN- oder DFÜ-Verbindungen verwalten.

 

Öffentliche Schnittstelle -> Eigenschaften -> Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden

 

 

Routing und RAS ermöglicht sämtliche NAT-Fähigkeiten zu nutzen.

Routing und RAS hat folgende Vorteile gegenüber ICS:

 

Routing und RAS NAT-Server aktivieren:

 

Ereignisanzeige -> Windows-Protokolle -> System (Quelle: SharedAccess_NAT)


Drahtlosnetzwerke

Drahtlosnetzwerkstandards und Drahtlosnetzwerktechnologien:

 

Drahtlosnetzwerksicherheitsstandards:

 

Drahtlosnetzwerke-Client Konfigurieren

Verbindung herstelle -> Verbindung mit einem Netzwerk herstellen -> Zusätzliche Anmeldeinformationeneingeben oder auswählen -> Anmeldeinformationen -> Netzwerkstandort festlegen

 

Bootstrap Wireless Profile erlaubt es vor dem Anmelden, Verbindung zu einem Drahtlosnetzwerk herzustellen.


Drahtlosenetzwerke Konfigurieren

Windows 2008 Server können als RADIUS-Server arbeiten und erreichen so eine dynamische Drahtlosnetzwerkauthentifizierung, Active Directory integriert.

 

Netzwerkrichtlinienserver (Network Policy Server, NPS) stellt RADIUS-Authentifizierung für WPA/WPA2-Enterprise bereit.

 

PEAP ist kompatibel zu NAP.

 

 

Remotenetzwerke

DFÜ-Verbindungen

DFÜ-Verbindungen (dail-up connection) ist die herkömmliche (und inzwischen weitgehend veraltete) Remotezugriffstechnik.

DFÜ-Verbdingungen verwenden Clientcomputer ein Modem, um über eine Telefonleitung, die Verbindung zu einem RAS-Server herzustellen.

DFÜ-Verbindungen Vorteile

 

DFÜ-Verbindungen Nachteile

Digitale Telefonleitungen, wie zum Beispiel ISDN (Integrated Services Digital Network) bietet zwar immerhin echte 128KBit/s, aber zu deutlich erhöhten kosten.


DFÜ-Verbindungen Konfigurieren

 


DFÜ-Verbindungen mit RADIUS-Server konfigurieren

DFÜ-RADIUS-Server funktionieren ähnlich wie Drahtlosnetzwerk-RADIUS-Server.

DFÜ-RADIUS-Server authentifizieren Anmeldungen über Modem und Einwahlserver.

Da viele Firmen mehr als ein oder zwei Modems benötigen, wird auf dedizierte Hardware, eine Modembank, die auch beim Provider stehen kann, gesetzt.

Modembanken nehmen Authentifizierungen an und leiten diese weiter an den RADIUS-Server.

 

 

DFÜ-Clients Konfigurieren

Verbindung herstellen -> Eine Verbindung oder ein Netzwerk einrichten -> Wählen Sie eine Verbindungsoption aus -> Wählverbindung einrichten -> Wählverbindung einrichten

 

 


VPN-Verbindungen

VPN (Virtualle private Netzwerke) befördern Daten durch das öffentliche Internet, im Gegensatz zu DFÜ-Verbindungen die Daten durch das öffentliche Telefonnetz leiten.

VPN-Verbindungen brauchen womöglich keine zusätzliche Bandbreite, da die Organisation schon eine Internetanbindung hat, deren Bandbreite ausreicht.

 

VPN-Verbindungen

 

VPNs haben Nachteile

 

VPN-Verbindungen Konfigurieren

Windows Server 2008, Windows Vista und Windows 7 unterstützen drei VPN-Technologien:

·        PPTP (Point-to-Point Tunneling Protocol)

o       PPP-Authentifizierungsmethoden (Point-to-Point Protocol) für die Benutzerauthentifizierungn

o       MPPE (Microsoft Point-to-Point Encryption) für die Datenverschlüsselung

o       keine Clientzertifikate, wenn die Authentifizierung PEAP-MS-CHAP, EAP-MS-CHAPv2 oder MS-CHAPv2 verwendet wird

o       Microsoft Technologie

·        L2TP (Layer Two Tunneling Protocol)

o       PPP-Authentifizierungsmethoden für Benutzerauthentifizierung

o       IPSec für Peerauthentifizierung auf Computerebene, Datenauthentifizierung, Datenintegrität und Datenverschlüsselung

o       Computerzertifikate für VPN-Clients und VPN-Server (Active Directory-Zertifikatsdienste)

o       IPv6 kompatibel

o       VPN-Technologie nach offenen Standards

·        SSTP (Secure Socket Tunneling Protocol)

o       PPP-Authentifizierungsmethode für Benutzerauthentifizierung

o       SSL (Secure Socket Layer) Datenauthentifizierung, Datenintegrität und Datenverschlüsselung

o       HTTP-Kapselung ermöglicht SSTP auf Port 443 durch die meisten Firewalls zu gelangen

o       Computerzertifikat auf dem VPN-Server, Clients müssen der Zertifizierungsstelle vertrauen

o       Unterstützt auf Betriebssystemen ab Windows Vista SP1

 

Windows 2008 Server unterstützt in den Standardeinstellungen alle drei VPN-Technologien gleichzeitig. Einzelne Protokolle können auch deaktiviert werden.

 


VPN-Server konfigurieren

 

VPN-Client Konfigurieren

Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> Verbindung trennen oder Verbindung zu einem anderen Netzwerk herstellen -> Wählen sie eine Verbindungsoptionen -> Verbindung mit dem Arbeitsplatz herstellen -> Möchten Sie eine bestehende Verbindung verwenden -> Nein, Neue Verbindung erstellen -> Wie möchten sie eine Verbindung herstellen -> Die Internetverbindung (VPN) verwenden -> Geben Sie die Internetadresse zum Herstellen einer Verbindung ein -> Geben Sie den Benutzernamen und das Kennwort ein -> Dieses Kennwort speichern -> Verbinden

 

Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> VPN-Verbindung

 

VPN-Verbindungen über PPTP nutzt GRE  was auf Port 1723 abhört.

 

 


Verbindungseinschränkungen Konfigurieren

Server-Manager -> Richtlinien -> Netzwerkrichtlinien -> Zu ändernde Richtline -> Eigenschaften -> Bedingungen -> Hinzufügen

 


Windows-Firewall Konfigurieren

Windows-Firewall filtert eingehenden und ausgehenden Verkehr. Windows-Firewall ist also ein Packetfilter.

 

$mmc wf.msc

 

$netstat -a -b

 

Aktive Verbindungen

 

Proto    Lokale Adresse          Remoteadresse      Status

TCP       0.0.0.0:53         Dcsrv1:0           Abhören

[dns.exe]

 

 

Firewallprofile bilden Container in denen Firewallregeln gespeichert werden können.

Firewallprofile erlauben es mobilen Computern, auf verschiedene Netzwerk- und Standorttypen zu reagieren.

Firewallprofile sind standardmäßig drei unter Windows Vista, Windows 7 und Windows Server 2008 vorhanden:

 

Server sind normal in eine Domänenumgebung eingebunden. Falls dies nicht der Fall ist sollten alle drei Profile mit denselben Firewallregeln konfiguriert sein.

 


Firewallregeln sind in eingehende und ausgehende Regeln unterteilt.

Firewallregeln – etliche sind vordefiniert, zum Beispiel Regeln für NFS oder ICMP.

Firewallregeln die nicht automatisch von installierten Programmen erstellt werden, müssen unter umständen nachkonfiguriert werden:

 

$mmc wf.msc -> Eingehende/Ausgehende Regeln

 

Regeltyp

 

Aktionen

 

Profil (Server sollten Regeln auf alle drei Profiltypen anwenden)

 

Firewallregeln für ausgehende Verbindungen sind standardmäßig unter Windows Server 2008 nicht aktiviert, sie sollten für den Notfall aber dennoch konfiguriert sein um den ausgehenden Filter schnell aktivieren zu können. Dabei sollte die grundlegende Netzwerkfunktionalität erhalten bleiben. Standardeinstellungen für ausgehende Regeln sind:

 


Firewallregelbereiche (scopes) bieten die Möglichkeit Verbindungen aus Internen und Externen Netzwerken zu erlauben oder zu verbieten. Zum Beispiel:

 

 

$mmc wf.msc -> Eingehende/Ausgehende Regeln -> Regelname -> Eigenschaften -> Remote-IP-Adressen -> Hinzufügen -> IP-Adresse

 


Manuelle Zugriffssteuerung wird mit autorisieren von Verbindungen (IPSec-Verbindungssicherheit) in einer Active Directory-Umgebung realisiert.

Autorisierte Verbindungen greifen hierfür auf Remotecomputer oder –benutzerautorisierung über IPSec zurück.

Autorisierte Verbindungen können zum Beispiel sicher stellen, dass sich Benutzer authentifizieren als zugehörige der Gruppe Buchhaltung, bevor sie zugriff auf Port 3096 des Servers erhalten, auf dem die Buchhaltungssoftware läuft.

 

$mmc wf.msc -> Eingehende/Ausgehende Regel -> Eigenschaften -> Allgemein -> Nur sichere Verbindungen zulassen

 

Benutzer und Computer (Eingehende Regel)/Computer (Ausgehende Regel)

 

 

Firewalleinstellungen mit Gruppenrichtlinien können lokal oder mit der Konsole Windows-Firewall mit erweiterter Sicherheit vorgenommen werden.

Firewalleinstellungen die auf Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 angewendet werden:

$mmc wf.msc

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit

 

Firewalleinstellungen die auf Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 angewendet werden:

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall

 

Firewalleinstellungen erziehlen optimale Ergebnisse, wenn getrennte Gruppenrichtlinienobjekte für Windows Vista/7/Server 2008 und Windows XP/Server 2003 erstellt werden. Mit Hilfe von WMI-Abfragen, können die Gruppenrichtlinienobjekte auf die Computer angewendet werden, auf dem die entsprechende Windows-Version läuft.

 

$mmc wf.msc -> Firewall-Symbol -> Eigenschaften -> Domänenprofil/Privates Profil/Öffentliches Profil -> Protokollierung -> Anpassen -> Protokollierungseinstellungen anpassen

 

%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log


Netzwerkzugriffschutz Konfigurieren

NAP (Network Access Protection) dient dazu, Hosts abhängig von ihrem aktuellen Integritätsstatus mit unterschiedlichen Netzwerksressourcen zu verbinden. Die Unterteilung der Netzwerkressourcen kann mit Hilfe von virtuellen LANs (VLANs), IP-Filtern, IP-Subnetzzuweisung, statischen Routen oder IPSec-Erzwingung implementiert werden.

Wartungsnetzwerke sollten aus Sicherheitsgründen einen schreibgeschützten Domänencontroller,  sowie eigene DHCP- und DNS-Server (die von der übrigen Infrastruktur getrennt sind) enthalten. So verringert sich das Risiko, dass sich Malware von inkompatiblen (in das Wartungsnetzwerk geleiteten) Computern im produktiven, privaten Netzwerk verbreitet.

 


NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem sie den Netzwerkzugriff entweder erlauben oder verbieten:

IPSec-Erzwingung  zwingt Clients eine NAP-Integritätsprüfung zu bestehen, bevor sie ein Integritätszertifikat erhalten.

IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSec-Verbindungssicherheit notwendig sind, ohne die ein Client keine IPSec-geschützte-Verbindung zu einem Host herstellen kann.

IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen eingehalten werden.

IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority, CA), auf der Windows Server 2008-Zertifikatdienste laufen. NAP muss Integritätszertifikate unterstützen.

Produktivumgebungen sollten aus Redundanzgründen mindestens zwei Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht verwendet werden.

IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die IPSec unterstützen.

802.1X-Authentifizierung verwendet Ethernetswitches oder Drahtloszugriffspunkte.

802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz verbunden oder abgelehnt.

802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt sind.

802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer enthalten:

ACL werden normal auf inkompatible Computer angewendet, kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL.

ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern untereinander einzuschränken.

802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und verwerfen alle Pakete, die von der ACL nicht erlaubt sind.

VLANs können nur kommuniziere, wenn sie über einen Router verbunden werden.

VLANs werden anhand einer VLAN-ID identifiziert, die auf den Switches selbst konfiguriert werden.

NAP kann festlegen in welches VLAN kompatible, inkompatible oder nicht authentifizierte Computer verschoben werden.

VLAN Nachteile sind zum Beispiel:

·        Netzwerkkonfiguration muss geändert werden, wenn ein NAP-Client auf einen kompatiblen NAP-Client hochgestuft wird.

·        NAP-Clients erhalten womöglich keine Gruppenrichtlinienaktualisierung weil die Netzwerkkonfiguration während des Benutzeranmeldevorgangs durchgeführt wird.

·        NAP-Clients die inkompatibel sind können innerhalb eines VLANs kommunizieren

VPN-Erzwingung implementiert NAP für Remotezugriffsverbindungen die über einen VPN-Server mit Windows Server 2008 und Routing und RAS laufen.

VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff.

VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff auf eine Wartungsservergruppe einzuschränken.

VPN-Erzwingung kann IPv4- und IPv6-Paketfilter erzwingen.

DHCP-Erzwingung verwendet einen Windows 2008 Server, auf dem der DHCP-Serverdienst läuft und Intranetclients IP-Adressen zuweist.

DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die vollständigen Netzwerkzugriff gewährt. Inkompatible Computer bekommen eine IP-Adresse mit der Subnetzmaske 255.255.255.255 und ohne Standardgateway zugewiesen.

DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von Hostrouten zu Netzwerkressourcen in einer Wartungsservergruppe.

DHCP-Erzwingung wird durch den NAP-Client erneut eingeleitet wenn sich der Integritätsstatus verändert, indem eine DHCP-Erneuerung eingeleitet wird.

DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung inkompatibel werden.

DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand konfiguriert wird.

 

NAP-Integritätsprüfung findet zwischen zwei Komponenten statt:

 

 


Netzwerkrichtlinienserver Konfigurieren

NAP läuft mit Windows-Server 2008-NAP-Integritätsrichtlinienserver (health policy server), der als RADIUS-Server agiert.

NAP kann ebenfalls mit einem vorhandenen RADIUS-Server, Windows 2003 oder Windows Server 2008 und Internetauthentifizierungsdienst (Internet Authentication Service, IAS) zusammenarbeiten.

NAP-Intigritätsrichtlinienserver sollten redundant sein, es sollten also mindestens zwei Intigritätsrichtlinienserver vorhanden sein, da bei einem Ausfall, ein Client sich nicht mehr mit dem Netzwerk verbinden kann.

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste -> Netzwerkrichtlinienserver

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren

 

NAP-Erzwingung muss aktiviert werden. Welche Schritte dafür notwendig sind, hängt davon ab, ob IPSec-, 802.1X-, DHCP- oder VPN-Erzwingung eingesetzt werden soll.

NAP-Erzwingung mit IPSec benötigt den Rollendienst Integritätsregistrierungsinstanz (HRA, Health Registration Authority) und Active Directory-Zertifikatsdienst, sofern noch nicht vorhanden, für die PKI. HRA benötigt die PKI und einen IIS.

NAP-Erzwingung mit Hilfe von IPSec:

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Auswahl der Netzverbindungsmethode zur Verwendung mit NAP -> IPSec mit Integritätsregistrierungstelle (HRA)

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Richtlinien

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Integritätsregistrierungsstelle -> Zertifizierungsstelle

 

NAP-Erzwingung mit 802.1X benötigt in den meisten Fällen auch eine PKI wegen des RADIUS-Servers. Nachdem die 802.1X-Authentifizierungsswitches konfiguriert wurden.

NAP-Erzwingung mit 802.1X kann ebenfalls über den Assistenten NAP-Konfigurieren, hier müssen Regeln für VLANs und ACLs erstellt werden.

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Konfigurieren von VLANs (virtuelle LANs)

 

NAP-Erzwingung mit DHCP benötigt die Angabe von Wartungsservern und falls DHCP nicht auf dem NPS-Server installiert ist einen RADIUS-Proxy.

NAP-Erzwingung mit DHCP muss anschließend aktiviert werden.

 

$mmc servermanager.msc -> Rollen -> DHCP-Server -> <Computername> -> IPv4 -> Eigenschaften -> Netzwerkzugriffsschutz-Einstellen

 

NAP-Erzwingung benötigt den NAP-Clienten des Client-Computers der mit Gruppenrichtlinienobjekten konfiguriert werden kann.

 

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration -> Intigritätsregistrierungseinstellungen -> Vertrauenswürdige Servergruppe

 

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration -> Erzwingungsclients

 

NAP-Clienten benötigen den Dienst NAP-Agent (Network Access Protection).

 

$netsh nap client show state

 

NAP-Integritätsanforderungsrichtlinien legen fest welche Clients Integritätsanforderungen erfüllen müssen.

NAP-Integritätsanforderungsrichtlinien sind eine Kombination aus folgenden Elementen:

 

NAP-SHVs unter Windows Server 2008 enthält standardmäßig nur die Windows-Sichherheitsintegritätsprüfung.

NAP-SHVs können auch von Fremdherstellern implementiert werden.

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung

 


NAP-Wartungsserver sollten es einem inkompatiblen Computer ermöglichen, seine Systemintegrität zu korrigieren. Folgende Wartungsserver sollten vorhanden sein:

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung -> Einstellungen -> NAP-Erzwingung -> Konfigurieren -> Wartungserver und Problembehandlungs-URL

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Wartungsservergruppe

 

NAP-Netzwerkrichtlinien stellen fest, ob eine Verbindungsanforderung bestimmte Bedingungen erfüllt, zum Beispiel eine Integritätsrichtlinie oder ob ein Computer NAP-fähig ist.

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien

 

NAP-Überwachungsmodus ist besonders in der Anfangsphase der NAP-Bereitstellung sinnvoll, um inkompatiblen Computern zu erlauben, Verbindungen zu allen Netzwerkressourcen herzustellen.

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien -> NAP-IPSec mit HRA Nicht kompatibel -> Einstellungen -> NAP-Erzwingen -> Vollständigen Netzwerkzugriff gewähren

 

NAP-Protokollierung dient dazu, inkompatible Computer zu identifizieren.

 

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Eigenschaften -> Allgemein -> Abgelehnte Authentifizierungsanforderungen

 

$mmc servermanager.msc -> Diagnose -> Ereignisanzeige -> Windows-Protokolle -> Sicherheit

 

$mmc eventvwr.msc -> Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Netzwork Access Protection -> Operational

 

 

 


WSUS

WSUS (Windows Server Update Service) verwaltet, genehmigt und verteilt Windows-Updates und Microsoft-Updates in Organisationsnetzwerken.

WSUS-Clients, unter Windows XP und Windows 2000, Automatische Updates-Client, ist die Komponente die Windows-Updates von WSUS-Server abruft.

 

$mmc wsus.msc

 

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update

 

WSUS-Server sollten für jedes LAN vorgehalten werden. Das bedeutet, wenn eine Organisation mehrere Niederlassungen hat, sollte jede Niederlassung einen WSUS-Server bereitstellen. WSUS-Clients sollten ihre Updates immer aus dem LAN herunterladen können.

WSUS-Server können als Downstreamserver konfiguriert werden.

WSUS-Downstreamserver holen Updates von einem Upstreamserver.

 

WSUS-Kopie stellt Updates nicht lokal bereit sondern weißt WSUS-Clients an, die Updates direkt von Microsoft herunterzuladen.

 

WSUS-Bereitstellung berücksichtigt folgende Voraussetzungen:


WSUS-Installations-Planung

  1. Updatequelle
  2. Replikation von Genehmigungen und Konfiguration
  3. Updatespeicherung
  4. Datenbank
  5. Websiteauswahl
  6. Sprache
  7. Produkte

 

WSUS-Überwachung um fehlgeschlagene Updates zu lokalisieren

 

WSUS-Konfiguration

  1. WSUS-Optionen optimieren
  2. Computergruppen, mit denen die Updates zu unterschiedlichen Zeiten auf unterschiedliche Gruppen von Computern verteilt werden können
  3. Clientcomputer konfigurieren für das abfrufen von Updates vom WSUS-Server
  4. Testen und Genehmigen von Updates
  5. Auswerten von Berichten auf Erfolg oder Misserfolg

 

WSUS-Optionen

 

WSUS-Computergruppen dienen dazu Computermodelle (x86/x64) oder Organisationseinheiten für Updates zu definieren. Es gibt zwei Möglichkeiten Computergruppen zu konfigurieren:

 

WSUS-Problembehandlung

 

WSUS-Client-Problembehandlung

$net start wuauserv

$wuauclt /a

 

 


Monitoring

Ereignisweiterleitung

Ereignisweiterleitung (event forwarding) senden Ereignisse die bestimmte Kriterien erfüllen an einen zentralen Rechner.

Ereignisweiterleitung sendet Ereignisse über HTTP und HTTPS.

Ereignisweiterleitungen nutzen Weiterleitungs- und Sammelcomputer. Beide müssen konfiguriert werden.

Ereignisweiterleitung benötigt folgende Dienste auf dem Weiterleitungs- sowie Sammelcomputer:

 

Ereignisweiterleitung auf dem Weiterleitungscomputer benötigt weiterhin eine Windows-Firewallausnahme für eingehende Verbindungen auf Port 80 bzw. 443.

 

Ereignisweiterleitung Sammelcomputer benötigen das Betriebsystem Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2003 R2.

 

Ereignisweiterleitung Weiterleitungscomputer benötigen das Betriebssystem Windows XP SP2, Windows Server 2003 SP1, Windows Server 2003 R2, Windows Vista, Windows 7 oder Window Server 2008. Windows XP und Windows Server 2003 benötigen zudem das Paket WS-Management 1.1.

 

Ereignisweiterleitung Weiterleitungscomputer:

$winrm quickconfig

$net localgroup “Ereignisprotokollleser” <Sammelcomputer>@<Domänenname> /add

 

Ereignisweiterleitung Sammelcomputer:

$wecutil qc

$mmc servermanager.msc -> Diagnose -> Abonnements -> Abonnement erstellen

 

$wecutil ss <Abonnementname> /cm:custom

$wecutil ss <Abonnementname> /hi:<Verzögerungswert in Millisekunden>

 

$wecutil gs <Abonnementname> (Zeigt den Verzögerungswert an)

 

$winrm get winrm/config (Bandbreite minimieren / Wartezeit minimieren)

 

Ereignisweiterleitung SSL, HTTPS, Port 443

$winrm quickconfig -transport:https

 


Systemmonitor

Systemmonitor zeigt Echtzeitleistungsdaten grafisch an.

Systemmonitor zeigt zum Beispiel Daten zur Prozessorauslastung, Netzwerkbandbreitenausnutzung oder Arbeitsspeicherbelegung an.

Systemmonitor Leistungsindikatoren zeichnen die einzelnen Echtzeitgraphen.

 

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Überwachungstools -> Systemonitor

 

Zuverlässigkeitsüberwachung

Zuverlässigkeitsüberwachung überwacht die Stabilität eines Computers.

Zuverlässigkeitsüberwachung zeigt einen Zuverlässigkeitsindex von 0-10 an. 0 ist der niedrigste wert.

Zuverlässigkeitsüberwachung zeigt Anwendungsinstallationen, Hardware-, Windows- und sonstige Fehler an.

Zuverlässigkeitsüberwachung zeigt die Daten an die von RAC (Reliability Analysis Component) aufgezeichnet wurden.

Zuverlässigkeitsüberwachung benötigt den Dienst Aufgabenplanung.

 

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Überwachungstools -> Zuverlässigkeitsüberwachung

 

Sammlungssätze

Sammlungssätze sammeln Systeminformationen, Konfigurationseinstellungen und Leistungsdaten und erzeugen einen Log-File.

 

Vordefinierte Sammlungssätze in Windows 2008 Server:

 

Vordefinierte Sammlungssätze zeichnen Daten zwischen einer und fünf Minuten auf.

Vordefinierte Sammlungsatz LAN-Diagnose und Drahtlosdiagnose laufen unendlich.

 

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Sammlungssatz System

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Bericht

 

Sammlungssätze können auch manuell erstellt oder angepasst werden.

 


Netzwerkmonitor

Netzwerkmonitor ist ein Protokoll-Analyzer der auf Windows nachinstalliert werden kann.

Netzwerkmonitor zeichnet den Netzwerkverkehr auf und analysiert ihn.

Netzwerkmonitor zeichnet Frames auf, Schicht-2-Daten, zum Beispiel Ethernetheader.

 

$nmcap /network * /capture /file <store>.cap

 

$nmcap /network * /capture “DNS” /file <store>.cap

$nmap /network * /disablelocalonly /capture /file <store>.cap

$nmap /network * /capture “DHCP” /stopwhen /timeafter 2 min /file <store>.cap

$nmcap /inputcapture data.cap /capture DNS /file DNSdata.cap

 

Netzwerkmonitor erlaubt es, aufgezeichnete Frames zu filtern mit Capture oder Display Filtern. Die Wichtigsten Filter sind:

 

Netzwerkmonitor Filter Beispiele:

     DNS && IPv4.SourceAdress == 192.168.13.45

Contains(http.Request.URI, “page.html“ || contains(http.Request.URI,“other.html“

Ethernet.Address == 0x001731D55EFF && DHCP


Datenverwaltung

NTFS-Dateiberechtigungen

NTFS-Standarddateiberechtigungen für Benutzer- und Systemordner:

 

NTFS-Standardberechtigungen:

 

EFS verschlüsselte Dateisysteme

$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsselte Dateisystem

 

$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Offlinedateicache verschlüsseln

 

$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Suche -> Indizierung verschlüsselter Dateien zulassen

 

 

 

DRA (Data Recovery Agent)

$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsseltes Dateisystem -> Datenwiederherstellungs-Agent

 

Datenwiederherstellungs-Agenten oder andere Konten mit sehr hohen Privilegien sollten immer im Kollusion-Mode laufen.

Kollusion (geheimes Einverständnis) bezeichnet ein Sicherheitskonzept, bei dem zwei Partner miteinander zusammenarbeiten müssen.

Im Fall eines Datenwiederherstellungs-Agenten, teilt man das Benutzerkennwort in zwei Teile und gibt jeweils einen Teil einer anderen Personen.

 

DFS (Distributed File System)

DFS stellt einen einzigen Namespace für freigegebene Ordner in einer Organisation bereit, sowie Redundanz, weil es Replikation implementiert.

DFS kann freigegebene Ordner auf mehreren Servern hosten, wobei der Clientcomputer automatisch eine Verbindung zum nächstmöglichen verfügbaren Server herstellt.

 

$mmc servermanager.msc -> Rollen -> Dateidienste

 

$mmc servermanager.msc -> Rollen -> Dateidienste -> DFS-Verwaltung -> Namespace

 

$dfsutil

$dfsutil domain <Domänenname>

$dfsutil server <Servername>

$dfsutil target <\\Domänenname\Namespacestamm>

$dfsutil link <\\Domänenname\Namespacestamm\Ordner>

$dfsutil client siteinfo <Clientname>

 

DFS-Kontingente dienen dazu Benutzer zu überwachen, die mehr als eine festgelegte Menge Festplattenplatz verbrauchen.

DFS-Kontingente können erzwungen werden, um zu verhindern, dass Benutzer mehr Festplattenplatz belegen, als ihnen zugewiesen ist.

 

$mmc fsrm.msc -> Kontingentverwaltung

 

$dirquota

$dirquota quota list

$dirquota quota add /Path:<Volumen:\Pfad> /SourceTemplate:”<Kontingentvorlagenname>”

$dirquota quota add /Path:<Volumen:\Pfad> /Limit:<Größe N in>(MB|GB) /Type:(hard|soft)

 

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Datenträgerkontingente

 

 

Ordnerfreigaben

Windows-Explorer -> Freigabe -> Dateifreigabe

 

$mmc servermanager.msc ->  Rollen -> Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe bereitstellen -> Assistent zum Bereitstellen eines freigegebenen Ordners (SMB und NFS für Unix-Clients)

 

$net share

$net share <Freigabenamen>=<Volumen:\Pfad>

 

$net use <Volumen:> <\\Servername\Freigabenname>

$net use X: \\Server01\Documents

 

$dir <\\Servername\Freigabenname>

 

Offlinedateien

$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe -> Verwaltung -> Zwischenspeicherung


Dateiwiederherstellung

Schattenkopien ermöglichen es Datensicherungssoftware, auf Dateien zuzugreifen, die gerade benutzt werden.

Schattenkopien von Dateien und Ordnern werden automatisch von Windows erstellt.

Schattenkopien speichern jeweils nur die Änderung zur Vorgängerversion.

Schattenkopien sind Datensicherungen.

 

$vssadmin

$vssadmin create shadow /For=<Volumen:>

 

$vssadmin list shadowstorage

$vssadmin list shadow

 

$vssadmin revert shadow /Shadow=<Schattenkopie-ID>

$vssadmin revert shadow /Shadow={57384783-49ef-cddc-98a5-448df848}

 

 

Windows Server-Sicherung kopiert ein gesamtes Datenträgervolumen in eine .vhd-Datei auf einer zweiten lokalen Festplatte.

Windows Server-Sicherungen sind Systemsicherungen (.vhd) und Datensicherungen (Backup<Jahr>-<Monat>-<Tag>-<Uhrzeit>).

Windows Server-Sicherung erstellt den Ordner WindowsImageBackup im Stamm des Sicherungsmediums.

Windows Server-Sicherung kann mit Hilfe der Aufgabenplanung automatisierte Backups erstellen.

 

<Volumen:>\WindowsImageBackup\<Computername>

 

$mmc servermanager.msc -> Features -> Features hinzufügen -> Windows Server-Sicherungsfeatures -> Windows Server-Sicherung

 

$mmc wbadmin.msc

 

$wbadmin

$wbadmin start backup -backupTarget:<Volumen:> -include:<Volumen:> -quit

$wbadmin start systemstaterecovery


Druckerverwaltung

 

$mmc servermanager.msc -> Rollen -> Druckerdienste (Dokumente- und Druckerdienste)

 

Druckerverwalten

$mmc printmanagement.msc

$mmc printmanagement.msc -> Druckerverwaltung -> Druckerserver -> <Servername> -> Drucker -> Drucker hinzufügen

 

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Freigeben

 

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Sicherheit

 

 

 

$mmc servermanagerment.msc -> Rollen -> Druckerdienste -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> Mit Gruppenrichtlinie bereitstellen

 

$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker

 

%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\

 

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prnmngr.vbs -a –p <Druckername> -m “<Druckertreibername>“ -r lpt1:

 

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prncnfg.vbs -t -s <Servername> -p <Druckername> +keepprintedjobs

 

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prndrvr.vbs -l -s <\\Servername>

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prndrvr.vbs -a -m “<Druckertreibername>” -v 4 -e “<Architektur>” -i <Volumen:\Pfad\Treiberdatei.inf> -h <Volumen:\Pfad>

 

Migration: Druckerimportieren und Druckerexportieren

$printbrm –b –f printers.printerexport

$printbrm –r –f printers.printersexport


Druckertreiber

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Treiber

 

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Geräte: Anwender das Installieren von Druckertreibern nicht erlauben

 

Druckerpools

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Druckerpool

 

Druckerpools dienen dazu den Druckprozess zu verschnellern und Ausfallsicherheit herzustellen.

Drucker eines Druckerpools müssen alle denselben Druckertreiber verwenden, es müssen also nicht identische Geräte sein (meist funktioniert ein Druckertreiber für mehrere Geräte einer Firma).

Es sollte nur ein Drucker eines Druckerpools freigegeben sein, sonst kann der Pool umgangen werden.

 

Druckerprioritäten

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Erweitert -> Priorität

 

Druckerprioritäten können mit Hilfe von mehreren logischen Installationen eines Druckers gelöst werden. Jeder logischen Installation wird eine andere Priorität zugewiesen.

 

Internetdrucker

Internetdrucker können mit Internet Explorer verwaltet werden.

Internetdrucker benötigen im Internet Explorer die Option, dass Add-Ons ausgeführt werden dürfen.

Internetdrucker können zum Beispiel eine bequeme Alternative für Gäste sein.

 

http://<Servername>/Drucker/

http://<Servername>/Drucker/<Druckername>/.drucker

 

Druckerbenachrichtigungen

$mmc servermanager.msc -> Druckerdienste -> Druckerverwaltung -> Benutzerdefinierte Filter -> Neuer Druckerfilter

 

MMC Microsoft Management Console +  Microsoft Saved Console

 

Standard Konsolen in \Windows\System32\

 

certmgr.msc   Manages certificates

ciadv.msc     Manages the Indexing Service

compmgmt.msc  The Computer Management Console

devmgmt.msc   The Device Manager

dfrg.msc      Disk Defragmenter

diskmgmt.msc  Disk Management

eventvwr.msc  Event Viewer for managing system logs

fsmgmt.msc    Shared Folder Management

gpmc.msc      Group Policy Editor

lusrmgr.msc   Local Users and Groups Manager

ntmsmgr.msc   Removable Storage Manager

ntmsoprq.msc  Removable Storage Operator Requests

perfmon.msc   System Performance Monitor

rsop.msc      Resultant Set of Policy

secpol.msc    Security Policy

services.msc  Manages services

wmimgmt.msc   Windows Management Instrumentation Service

Services

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.

#

# Format:

#

# <Dienstname>  <Portnummer>/<Protokoll>  [Alias...]   [#<Kommentar>]

#

 

echo                7/tcp

echo                7/udp

discard             9/tcp    sink null

discard             9/udp    sink null

systat             11/tcp    users                  #Active users

systat             11/tcp    users                  #Active users

daytime            13/tcp

daytime            13/udp

qotd               17/tcp    quote                  #Quote of the day

qotd               17/udp    quote                  #Quote of the day

chargen            19/tcp    ttytst source          #Character generator

chargen            19/udp    ttytst source          #Character generator

ftp-data           20/tcp                           #FTP, data

ftp                21/tcp                           #FTP. control

telnet             23/tcp

smtp               25/tcp    mail                   #Simple Mail Transfer Protocol

time               37/tcp    timserver

time               37/udp    timserver

rlp                39/udp    resource               #Resource Location Protocol

nameserver         42/tcp    name                   #Host Name Server

nameserver         42/udp    name                   #Host Name Server

nicname            43/tcp    whois

domain             53/tcp                           #Domain Name Server

domain             53/udp                           #Domain Name Server

bootps             67/udp    dhcps                  #Bootstrap Protocol Server

bootpc             68/udp    dhcpc                  #Bootstrap Protocol Client

tftp               69/udp                           #Trivial File Transfer

gopher             70/tcp

finger             79/tcp

http               80/tcp    www www-http           #World Wide Web

kerberos           88/tcp    krb5 kerberos-sec      #Kerberos

kerberos           88/udp    krb5 kerberos-sec      #Kerberos

hostname          101/tcp    hostnames              #NIC Host Name Server

iso-tsap          102/tcp                           #ISO-TSAP Class 0

rtelnet           107/tcp                           #Remote Telnet Service

pop2              109/tcp    postoffice             #Post Office Protocol - Version 2

pop3              110/tcp                           #Post Office Protocol - Version 3

sunrpc            111/tcp    rpcbind portmap        #SUN Remote Procedure Call

sunrpc            111/udp    rpcbind portmap        #SUN Remote Procedure Call

auth              113/tcp    ident tap              #Identification Protocol

uucp-path         117/tcp

nntp              119/tcp    usenet                 #Network News Transfer Protocol

ntp               123/udp                           #Network Time Protocol

epmap             135/tcp    loc-srv                #DCE endpoint resolution

epmap             135/udp    loc-srv                #DCE endpoint resolution

netbios-ns        137/tcp    nbname                 #NETBIOS Name Service

netbios-ns        137/udp    nbname                 #NETBIOS Name Service

netbios-dgm       138/udp    nbdatagram             #NETBIOS Datagram Service

netbios-ssn       139/tcp    nbsession              #NETBIOS Session Service

imap              143/tcp    imap4                  #Internet Message Access Protocol

pcmail-srv        158/tcp                           #PCMail Server

snmp              161/udp                           #SNMP

snmptrap          162/udp    snmp-trap              #SNMP trap

print-srv         170/tcp                           #Network PostScript

bgp               179/tcp                           #Border Gateway Protocol

irc               194/tcp                           #Internet Relay Chat Protocol       

ipx               213/udp                           #IPX over IP

ldap              389/tcp                           #Lightweight Directory Access Protocol

https             443/tcp    MCom

https             443/udp    MCom

microsoft-ds      445/tcp

microsoft-ds      445/udp

kpasswd           464/tcp                           # Kerberos (v5)

kpasswd           464/udp                           # Kerberos (v5)

isakmp            500/udp    ike                    #Internet Key Exchange

exec              512/tcp                           #Remote Process Execution

biff              512/udp    comsat

login             513/tcp                           #Remote Login

who               513/udp    whod

cmd               514/tcp    shell

syslog            514/udp

printer           515/tcp    spooler

talk              517/udp

ntalk             518/udp

efs               520/tcp                           #Extended File Name Server

router            520/udp    route routed

timed             525/udp    timeserver

tempo             526/tcp    newdate

courier           530/tcp    rpc

conference        531/tcp    chat

netnews           532/tcp    readnews

netwall           533/udp                           #For emergency broadcasts

uucp              540/tcp    uucpd

klogin            543/tcp                           #Kerberos login

kshell            544/tcp    krcmd                  #Kerberos remote shell

new-rwho          550/udp    new-who

remotefs          556/tcp    rfs rfs_server

rmonitor          560/udp    rmonitord

monitor           561/udp

ldaps             636/tcp    sldap                  #LDAP over TLS/SSL

doom              666/tcp                           #Doom Id Software

doom              666/udp                           #Doom Id Software

kerberos-adm      749/tcp                           #Kerberos administration

kerberos-adm      749/udp                           #Kerberos administration

kerberos-iv       750/udp                           #Kerberos version IV

kpop             1109/tcp                           #Kerberos POP

phone            1167/udp                           #Conference calling

ms-sql-s         1433/tcp                           #Microsoft-SQL-Server

ms-sql-s         1433/udp                           #Microsoft-SQL-Server

ms-sql-m         1434/tcp                           #Microsoft-SQL-Monitor

ms-sql-m         1434/udp                           #Microsoft-SQL-Monitor               

wins             1512/tcp                           #Microsoft Windows Internet Name Service

wins             1512/udp                           #Microsoft Windows Internet Name Service

ingreslock       1524/tcp    ingres

l2tp             1701/udp                           #Layer Two Tunneling Protocol

pptp             1723/tcp                           #Point-to-point tunnelling protocol

radius           1812/udp                           #RADIUS authentication protocol

radacct          1813/udp                           #RADIUS accounting protocol

nfsd             2049/udp    nfs                    #NFS server

knetd            2053/tcp                           #Kerberos de-multiplexo

man              9535/tcp                           #Remote Man Server

Links und Downloads

 

TechNet

http://technet.microsoft.com/

 

TechNet Virtual Labs: Windows Server

http://technet.microsoft.com/en-us/windowsserver/default.aspx

 

TechNet Virtual Labs: Windows Server 2008

http://technet.microsoft.com/de-de/windowsserver/bb512925.aspx

 

TechNet Library: Windows Server 2008 und Windows Server 2008 R2

http://technet.microsoft.com/de-de/library/cc728909.aspx

 

TechNet Library: Windows 2008 Server und Windows Vista TCP/IP-Stack

http://technet.microsoft.com/de-de/library/cc754287(WS.10).aspx

http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx

 

TechNet Library: Windows Server

http://technet.microsoft.com/en-us/library/bb625087.aspx

 

TechNet Library: DNS

http://technet.microsoft.com/en-us/library/cc779380(WS.10).aspx

 

TechNet Library: DNS Server

http://technet.microsoft.com/en-us/library/cc732997(WS.10).aspx

 

TechNet Library: DHCP

http://technet.microsoft.com/en-us/library/cc778368(WS.10).aspx

 

TechNet Library: DHCP Server

http://technet.microsoft.com/en-us/library/cc896553(WS.10).aspx

 

TechNet Networking and Access Technologies: Routing und RAS

http://technet.microsoft.com/en-us/network/bb545655.aspx

 

TechNet Networking and Access Technologies: IPSec

http://technet.microsoft.com/en-us/network/bb531150.aspx

 

Windows Server 2008 Website

http://www.microsoft.com/germany/windowsserver2008/default.mspx

 

Windows Cmd Reference

http://gattner.name/simon/public/microsoft/Windows%20Cmd%20Reference/

 

Microsoft Netzwerkmonitor

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

 

 

IPv4

http://www.ietf.org/rfc/rfc791.txt

http://www.ietf.org/rfc/rfc3927.txt

 

IPv6

http://www.ietf.org/rfc/rfc2373.txt

http://www.ietf.org/rfc/rfc2460.txt

http://www.ietf.org/rfc/rfc2462.txt

 

DNS

http://www.ietf.org/rfc/rfc1034.txt

http://www.ietf.org/rfc/rfc1035.txt

http://www.ietf.org/rfc/rfc1591.txt

 

DHCP/BOOTP

http://www.ietf.org/rfc/rfc2131.txt

http://www.ietf.org/rfc/rfc2132.txt

http://www.ietf.org/rfc/rfc3736.txt