Administrieren einer Windows Server 2003 Netzwerkinfrastruktur

 

(erstellt mit Winword 2003 und

Quelle: Administrieren einer Windows Server 2003 Netzwerkinfrastruktur   Auflage: 2

Autoren: J.C. Mackin und Ian McLean

Verlag Microsoft Press Deutschland 2008

 ISBN: 978-3-86645-906-9)

 

Vorwort

 

Hallo werte Leserinnen und werte Leser,

dies ist nicht auf Vollständigkeit beruhender Auszug aus dem oben genannten Buch.

Einfachhalber wird nicht zitiert.

Neben sehr kurz gefassten Einführungen sind dort u. a. Bedeutung, Beispiel, Definition, Hinweis, Insidertipps,
Lernzielkontrolle, Problembehandlung, Prüfungstipp, Schlüsselinformationen, Sicherheitserwägungen, Sicherheitswarnung, Szenarien, Tipp, Vorsicht, Warnung, Weitere Informationen, Wichtig und Zusammenfassung herausgezogen.

Sie dienen nur als begleitendes Prüfungsvorbereitungsmaterial.

Für die Richtigkeit aller in diesem Dokument gemachten Aussagen, bedingt durch Fehler aller Art,
wird keine Haftung für Folgeschäden aller Art (Arbeit und Prüfungen) übernommen.

Euer Andreas

 

 

Tipp außer der Reihe:

Beim Anmelden werden immer ein Anmeldeereignis (Logon-Event) und ein Anmeldeversuch (Account[Konto]-Logon-Event) ausgelöst.

Per Gruppenrichtlinie kann eines oder auch beides überwacht werden (standardmäßig keines von beiden).

Anmelde-Ereignis:         Dieses Ereignis wird immer an der Maschine geloggt, wo sich der Benutzer anmeldet

                                   (im lokalen Ereignisprotokoll). 

Anmelde-Versuch:         Dieses Ereignis wird immer dort geloggt, wo sich das Konto des Benutzers befindet
                                   (mit Domänenkonto im Ereignisprotokoll  eines Domänencontrollers und
                                   bei lokaler Anmeldung im Ereignisprotokoll der Maschine,
                                   wo man sich lokal anmeldet).

 


Inhaltsverzeichnis

1. Kapitel 1   Grundlagen der Windows Server 2003-Netzwerkinfrastruktur 3

1.1. Lektion 1   Aufbau einer Windows Server 2003-Netzwerkinfrastruktur 3

1.2. Lektion 2   Herstellen einer Verbindung zu einer Windows Server 2003-Netzwerkinfrastruktur 4

2. Kapitel 2   Grundlagen von TCP/IP. 6

2.1. Lektion 1   Grundlagen von TCP/IP. 6

2.2. Lektion 2   Arbeiten mit IP-Adressblöcken. 7

2.3. Lektion 3   Aufteilen von IP-Netzwerken in Subnetze. 8

3. Kapitel 3   Überwachung und Problembehandlung von TCP/IP-Verbindungen. 13

3.1. Lektion 1   Analysieren des Datenverkehrs mit dem Netzwerkmonitor 13

3.2. Lektion 2   Problembehandlung von TCP/IP-Verbindungen. 16

4. Kapitel 4   Konfigurieren von DNS-Servern und -Clients. 19

4.1.   Grundlagen der Namensauflösung in Windows Server 2003. 19

4.2. Lektion 2   Grundlagen von DNS in Windows  Server 2003-Netzwerken. 20

4.4 Lektion 4   Konfigurieren von DNS-Clients. 28

5. Kapitel 5   Konfigurieren einer DNS-Infrastruktur 33

5.1. Lektion 1   Konfigurieren der Eigenschaften von DNS-Servern. 33

5.2. Lektion 2   Konfigurieren von Zoneneigenschaften und -übertragungen. 38

5.3. Lektion 3   Konfigurieren der erweiterte Eigenschaften von DNS-Servern. 48

5.4. Lektion 4   Erstellen von Zonendelegierungen. 51

5.5 Lektion 5   Bereitstellen von Stubzonen. 54

6. Kapitel 6   Überwachung und Problembehandlung von DNS. 60

6.1. Lektion 1   Verwenden von Tools zur DNS-Problembehandlung. 60

6.2. Lektion 2   Verwenden von DNS-Überwachungstools. 64

7. Kapitel 7   Konfigurieren von DHCP-Servern und -Clients. 68

7.2 Lektion 2   Verwalten von DHCP in Windows-Netzwerken. 74

7.3 Lektion 3   Konfiguration von DHCP-Servern für das Durchführen von DNS-Updates. 79

8. Kapitel 8   Überwachung und Problembehandlung von DHCP. 83

8.1 Lektion 1   Analysieren des DHCP-Datenverkehrs. 83

8.2 Lektion 2   Überwachen von DHCP mithilfe der Überwachungsprotokollierung. 87

8.3 Lektion 3   Problembehandlung von DHCP. 90

9. Kapitel 9   Routing mit Windows Server 2003. 94

9.1. Lektion 1   Konfigurieren von Windows Server 2003 für LAN-Routing. 94

9.2 Lektion 2   Konfigurieren des Routings für Wählen bei Bedarf 98

9.3 Lektion 3   Konfigurieren von NAT. 101

9.4 Lektion 4   Konfigurieren und Verwalten von Routingprotokollen. 106

9.5 Lektion 5   Konfigurieren von Paketfiltern. 109

10. Kapitel 10   Konfigurieren und Verwalten des Remotezugriffs. 114

10.1 Lektion 1   Konfigurieren von RAS-Verbindungen. 114

10.2 Lektion 2   Autorisieren von RAS-Verbindungen. 119

10.3 Lektion 3   Implementieren von VPNs. 124

10.4 Lektion 4   Bereitstellen des Internetauthentifizierungsdienstes. 133

11. Kapitel 11    Verwalten der Netzwerksicherheit 141

11.1 Lektion 1   Implementierung von Verfahren für sichere Netzwerkverwaltung. 142

11.3 Lektion 3   Problembehandlung der Sicherheit von Netzwerkprotokollen. 162

12 Kapitel 12   Pflegen einer Netzwerkinfrastruktur 166

12.1 Lektion 1   Überwachen der Netzwerkleistung. 166

12.2 Lektion 2   Problembehandlung von Internetverbindungen. 167

12.3 Lektion 3   Problembehandlung von Serverdiensten. 168

12.4 Lektion 4   Konfigurieren einer Updateinfrastruktur 169

13 Kapitel 13   Implementieren, Verwalten und Pflegen der IP-Adressierung (1.0) 170

14 Kapitel 14   Implementieren, Verwalten und Pflegen der Namensauflösung (2.0) 170

15 Kapitel 15   Implementieren, Verwalten und Pflegen der Netzwerksicherheit (3.0) 170

16 Kapitel 16   Implementieren, Verwalten und Pflegen von Routing und RAS (4.0) 170

17 Kapitel 17   Pflegen einer Netzwerkinfrastruktur (5.0) 170

 

 

 


1. Kapitel 1   Grundlagen der Windows Server 2003-Netzwerkinfrastruktur

1.1. Lektion 1   Aufbau einer Windows Server 2003-Netzwerkinfrastruktur

 

Definition   0005

Netzwerkinfrastruktur => Es handelt sich um einen gemeinsam genutzten Satz physischer und logischer Komponenten, der die Grundlage für die Konnektivität, Sicherheit, Routing, Verwaltung, Zugriff und andere Kernfunktionen in einem Netzwerk bildet.

 

Hinweis   0009

Im Netzwerkmonitor und anderen Protokollanalyseprogrammen wird CIFS (Common Internet File System)  in den Netzwerkaufzeichnungen immer noch als SMB (Server Message Block) aufgelistet.

 

Prüfungstipp   0009

Fragen, in denen von „SMB-Serversoftware“ die Rede ist, handelt sich um einen UNIX-Server, auf denen die Windows-Clients auf dessen freigegebenen Dateien zugreifen können.

 

Hinweis   0010

Sie müssen IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) nur zu den Computern hinzufügen, die direkt mit älteren NetWare Servern kommunizieren.

Sie brauchen IPX/SPX nicht zu MS Windows-Clients hinzufügen,

die nur über einem Gateway auf die NetWare Server zugreifen.

 

Hinweis   0012

Ein ISA-Server (Internet Security and Acceleration-Server) fungiert normalerweise auch als Webproxy.

d.h. in den Internet Exlorer-Verbindungseinstellungen der Clients steht die Adresse des ISA-Servers.

 

Prüfungstipp   0013

Die verstärkte Sicherheitskonfiguration für den Internet Explorer (Internet Explorer Enhanced Security Configuration, IEESC) ist als eine Windows-Komponente auf Windows 2003-Servern standardmäßig aktiviert.

Wenn sich XP-Benutzer über den Remotedesktop eine Verbindung zu einem Windows Server 2003 Computer mit Terminaldiensten (TCP-Port 3398) versuchen, über den Remotedesktop im Web zu surfen, gelten die IEESC-Bestimmungen auch auf diese XP-Benutzer.

 

 


Zusammenfassung   Lektion 1.1   0015

Die physische Infrastruktur eines Netzwerks besteht aus seiner Topologie, also dem physischem Aufbau des Netzwerks, und Hardwarekomponenten wie Kabel, Router, Switches, Bridges, Hubs, Server und Hosts.

Sie umfasst zudem Technologien, mit denen Kommunikationsmethoden über bestimmte Typen physischer Verbindungen definiert werden.

Die logische Infrastruktur eines Netzwerks besteht aus einer Vielzahl von Softwareelementen, mit denen die Hosts im Netzwerk verbunden, verwaltet und geschützt werden.

Zu den Elementen einer Windows Server 2003-Netzwerkinfrastruktur gehören Protokolle, Adressierungs-schema, Adressierungsschema, Namenauflösungsmethode, Routing-, Remotezugriff-, Sicherheits- und Updateinfrastruktur.

 

 

1.2. Lektion 2   Herstellen einer Verbindung zu einer Windows Server 2003-Netzwerkinfrastruktur

 

Tipp   0017

Fenster Netzwerkverbindung: WINDOWS+R oder control netconnections

 

Hinweis   0017

TCP/IP (Version 4)

Es ist eine Gruppe von Protokollen, die als Stapel (stack) oder Familie (suite) bezeichnet wird.

ARP Address Resolution Protocol

DNS  Domain Name System

HTTP Hypertext Transfer Protocol

IP      Internet Protocol

TCP   Transmission Control Protocol

UDP  User Data Protocol

 

Tipp   0020

Netzwerkumgebung -> Extras -> Erweiterte Einstellungen: bei schlechter Netzwerkleistung

Bindungsreihenfolge für Adapter, Protokolle und Anbieter

 

Prüfungstipp   0025

Wenn sich zwei Clientcomputer gegenseitig erkennen, aber keine Verbindung zu anderen Geräten im Netzwerk oder dem Internet herstellen können, dann ist APIPA oft die Ursache.

Dann gibt es ein Problem beim DHCP-Server oder DHCP-Relay-Agent oder die Verbindung zum DHCP-Server ist gestört.

 

Prüfungstipp   0027

Falls der eine Computer im selben Netzwerksegment eine gültige Adresse vom DHCP-Server bekommt und ein anderer Computer dort nur eine APIPA (Automatische private IP-Adressierung).

 

Insidertipp   0027

APIPA-Adressen sind nicht routingfähig (kein Internet, keine Subnetze und zentralisierte Verwaltung).

Adressbereich: 169.254.0.1 bis 169.254.255.254/16

 

Schlüsselinformationen   0036

a) APIPA -> kein DHCP-Server erreichbar bzw. er arbeitet nicht richtig

b) Vorteile einer statischen Adresse und einer alternativen Konfiguration

c) verstärkte Sicherheitskonfiguration für den Internet Explorer wird als Windows Komponente automatisch auf   

    Windows Server 2003 installiert. Es verhindert in der Standardeinstellung die meisten Web-Zugriffe.

 

Schlüsselbegriffe   0037

APIPA => Es ist eine TCP/IP-Funktion in Windows XP und Server 2003 mit der automatisch eine eindeutige Adresse zugewiesen wird, wenn TCP/IP für die dynamische Adressierung konfiguriert wurde und ein DHCP-Server nicht verfügbar ist (Dynamic Host Configuration Protocol).

               IP-Adressen: 169.254.0.1 bis 169.254.255.254 mit Subnetzmaske 255.255.0.0

NetBT =>          NetBIOS über TCP/IP  (Protokoll für NetBIOS-Netzwerkdienste über TCP/IP-Netzwerke)

CIFS => Eine Erweiterung des SMB-Protokolls, die als Grundlage für die Dateifreigabe und andere Funktionen von MS-Netzwerken dient.

               Eine der Erweiterungen von CIFS gegenüber SMB ist die Möglichkeit, CIFS ohne NetBIOS direkt über DNS zu betreiben.

 


2. Kapitel 2   Grundlagen von TCP/IP

2.1. Lektion 1   Grundlagen von TCP/IP

 

Schichten des TCP/IP-Protokolls und die TCP/IP Protokoll-Familie

 

Anwendungs-Schicht     -> Telnet  FTP  SMTP  und  DNS  RIP  SNMP

Transport-Schicht          -> TCP                          und  UDP

Internet-Schicht             -> (ARP)  IP  (IGMP, ICMP)

Verbindungsschicht -> Ethernet  Token-Ring  FDDI  X.25  RS-232  V.35  Frame-Relay  ATM

 

Insidertipp   0043

Problem: Keine Verbindung zu einem Computer mit neu eingebauter Netzwerkkarte, welcher sich im Broadcastbereich befindet.

Lösung: arp –d löscht den arp-Cache; Die Zuordnung von der falschen (alte MAC-Adresse von ausgebauter Netzwerkkarte) MAC-Adresse zur IP-Adresse wird aufgehoben, da sie neu eingespeichert werden.

arp –a  Anzeige des arp-Cache

arp –d  Löschen des arp-Cache

Cachedauer: 2 Minuten

 

Praxistipp   0044

Firewall muss für das Senden eines Ping-Befehls geöffnet werden (oft bei den Client-Firewalls die ICMP-Nachrichtenanforderung auf Beantworten stellen).

 

Prüfungstipp   0045

Durch den Einsatz der Paketfilterung auf einem Router kann TCP- oder UDP-Datenverkehr je nach Portnummer blockiert oder zugelassen werden.

TCP-Port     UDP-Port  

20, 21                          FTP (File Transport Protocol)

23                           TelNet-Server

25                           SMTP (Simple Mail Transfer Protocol)

80                           HTTP (Hypertext Transfer Protocol)

88                           Kerberos

110                         POP3 (Post Office Protocol 3)

119                         NNTP (Network News Transfer Protocol)

123                         NTP (Network Time Protocol)

161                         SNTP (Simple Network Time Protocol

162                         SNTP trap

443                         HTTPS/SSL (Hypertext Transfer Protocol Secure / Secure Sockets Layer)

1723                       PPTP (point-to-Point Tunneling Protocol)

 

                  53         DNS (Domain Name System)

                  67         DHCP (Dynamic Host Configuration Protocol)

                  500       L2TP/IPSec

                  1701     L2TP/IPSec

                  4500     L2TP/IPSec

 

 

Prüfungstipp   0045

Verbindungslose Dienste in TCP/IP-Netwerken basieren auf UDP als Transportprotokoll.

 


2.2. Lektion 2   Arbeiten mit IP-Adressblöcken

 

Subnetzmasken

11111111 00000000 00000000 00000000   /8     255.0.0.0       224 =>  16.777.212 Hosts

11111111 10000000 00000000 00000000   /9     255.128.0.0   223 =>    8.388.606 Hosts

11111111 11000000 00000000 00000000   /10   255.192.0.0   222 =>    4.194.302 Hosts

11111111 11100000 00000000 00000000   /11   255.224.0.0   221 =>    2.097.150 Hosts

11111111 11110000 00000000 00000000   /12   255.240.0.0   220 =>    1.048.574 Hosts

11111111 11111000 00000000 00000000   /13   255.248.0.0   219 =>       524.286 Hosts

11111111 11111100 00000000 00000000   /14   255.252.0.0   218 =>       262.142 Hosts

11111111 11111110 00000000 00000000   /15   255.254.0.0   217 =>       131.072 Hosts

 

11111111 11111111 00000000 00000000   /16   255.255.0.0       216 =>  65.534 Hosts

11111111 11111111 10000000 00000000   /17   255.255.128.0   215 =>  32.766 Hosts

11111111 11111111 11000000 00000000   /18   255.255.192.0   214 =>  16.382 Hosts

11111111 11111111 11100000 00000000   /19   255.255.224.0   213 =>    8.190 Hosts

11111111 11111111 11110000 00000000   /20   255.255.240.0   212 =>    4.096 Hosts

11111111 11111111 11111000 00000000   /21   255.255.248.0   211 =>    2.046 Hosts

11111111 11111111 11111100 00000000   /22   255.255.252.0   210 =>    1.022 Hosts

11111111 11111111 11111110 00000000   /23   255.255.254.0   29  =>       510 Hosts

 

11111111 11111111 11111111 00000000   /24   255.255.255.0       28 =>  254 Hosts

11111111 11111111 11111111 10000000   /25   255.255.255.128   27 =>  126 Hosts

11111111 11111111 11111111 11000000   /26   255.255.255.192   26 =>    62 Hosts

11111111 11111111 11111111 11100000   /27   255.255.255.224   25 =>    30 Hosts

11111111 11111111 11111111 11110000   /28   255.255.255.240   24 =>    14 Hosts

11111111 11111111 11111111 11111000   /29   255.255.255.248   23 =>      6 Hosts

11111111 11111111 11111111 11111100   /30   255.255.255.252   22 =>      2 Hosts

 

Bereich = Anzahl der Hosts + 2  (24 = 16 und 16-2 = 14 Hosts)

Subnet und Hosts-Adressen mit NUR 0 oder 1 sind nicht erlaubt.

 

Private Adressbereiche  0052

10.0.0.0/8         von  10.0.0.0      bis 10.255.255.254

                                   von  172.16.0.0  bis  172.31.255.254 und

192.168.0.0/16   von  192.169.0.0 bis  192.168.255.254

Private Adressen sind im öffentlichen Netzwerk unsichtbar.

 

Clients mit einer privaten IP-Adresse gelangen mittels eines NAT-Servers (Network Address Translation = Netzwerkadressübersetzung) in das Internet.

NAT-Server können sein: Windows Server 2003 oder ein dediziertes Routinggerät

Vereinfachte NAT-Dienste: ICS (Internet Connection Sharing) von Win XP und Server 2003

 

Hinweis   0053

Adressblock ist ein Satz einzelner  IP-Adressen, die eine gemeinsame Netzwerkkennung haben.

Alle Adressen in diesem Adressblock gehören zu einem einzelnem Netzwerk, es sei denn sie wurden später in Subnetze unterteilt.

 

Prüfungstipp   0053

Standardgateway:

Es hat die gleiche Netzwerkkennung und muss in der derselben Broadcastdomäne liegen wie der Client.

Ein Host ohne Standardgateway kann keinen Computer außerhalb seines Broadcastbereiches erreichen.

Es kann nicht ausserhalb vom lokalen Subnetz auf einen Host zugegriffen werden, wenn dieser Zielhost keinen Standardgateway hat (wichtig für einen Server, der nur die Clients seines Subnetzes bedienen soll).

 

 


2.3. Lektion 3   Aufteilen von IP-Netzwerken in Subnetze 

 

Bei der Aufteilung in Subnetze handelt es sich um eine logische Unterteilung eines zugewiesenen Netzwerks-adressraums durch Verlängern der1-Bits-Folge, die in der Subnetzmaske eines Netzwerkes verwendet werden.

Die Subnetzkennung wird dabei aus der Hostkennung des zugewiesenen Netzwerkadressraumes abgezweigt.

 

Hinweis   0074

Als Alternative zur Aufteilung in Subnetze werden VLAN-Switches (Virtual Local Area Network) immer beliebter, um Broadcastdatenverkehr in großen Netzwerken einzuschränken.

Mit Hilfe von VLAN-Software, die alle VLAN-Switches im Netzwerk integriert, kann man Broadcastdomänen in beliebiger Weise entwerfen, unabhängig von der Hardwaretopologie des Netzwerks.

 

Tipp   0076

Man kann die Bits in der Subnetzkennung auch auf andere Weise ermitteln.

Zum Beispiel kann man erkennen, dass 255.255.255.0 genau 2 Bits von 255.255.255.252.0 entfernt ist.

In diesem Fall ist b=2 und man kann den wert einfach in die Formel s=2^b einsetzen.

 

Subnetting nach RFC 950

 

Subnetting nach RFC 950

 

128

64

32

16

8

4

2

1

Subnets

Hosts

128

1

0

0

0

0

0

0

0

 

 

192

1

1

0

0

0

0

0

0

2

62

224

1

1

1

0

0

0

0

0

6

30

240

1

1

1

1

0

0

0

0

14

14

248

1

1

1

1

1

0

0

0

30

6

252

1

1

1

1

1

1

0

0

62

2

254

1

1

1

1

1

1

1

0

 

 

255

1

1

1

1

1

1

1

1

 

 

Subnet und Hostadressen mit nur 0 oder nur 1 sind nicht erlaubt

 

Prüfungstipp   0077

Falls in der Aufgabe lediglich gefordert würde, eine Subnetzmaske zu nennen, die genug Subnetze für die Anforderungen ihres Netzwerks bietet (etwa 16), könnten Sie einfach eine Subnetzmaske nennen, die 32, 64 128 oder mehr Subnetze erstellt.

Damit die Antwort eindeutig ist, wird in der Frage normalerweise gefordert, „sparsam mit dem Netzwerkadressraum um zugehen“.

Das ist das Zeichen, dass man eine Subnetzmaske wählen soll, die nicht mehr Subnetze erstellt als nötig.

a)  Berechnung der Anzahl der Bits für die Subnetzkennung

    (z.B. für 15 Netzwerke bei 255.255.255.0 als Netzwerkmaske der zugewiesenen Netzwerkkennung)

     2b ≥ t

     t = 15  Weil 23 = 8 und 24 = 16 und 4 der kleinste Exponent ist, der einen Wert gleich oder größer 15

                liefert. Ist b=4.

     b = 4

b)  Subnetzmaske in der Punkt-Dezimal-Konvention in die Schrägstrich-Konvention umrechnen.

c)  nint = next + b (int = interne Netzwerkmaskenbits, ext = externe Netzwerkmaskenbits (zugewiesen))

            nint = 24 + 4 = 28

d)  Für das interne Netzwerk steht die Netzwerkmaske 255.255.255.240 fest.

    Für die Hosts stehen somit nur 4 Bis zur Verfügung, demnach sind 24 -2 = 16 -2 = 14 Hosts möglich.

 

Ermitteln der Adressblockgröße

Manchmal muss man ermitteln, wie groß der Adressblock sein muss, damit eine vorgegebene Zahl von Subnetzen und Computern darin Platz findet.

next = 32 – (b +h)                       (b = Netzmaskenbits und h = Hostbits des „internen“ Netzes)

 

Prüfungstipp   0079

In der Prüfung ist immer die Subnetzmaske richtig, die nicht mehr Subnetze oder Hosts als nötig liefert.

Also wie immer, nur soviel wie absolut nötig.

 


Das Abschätzen von Subnetzadressbreichen

Man benötigt zum Abschätzen die Subnetzmaske in der Punkt-Dezimal-Notation.

 

Einfacher Bereiche beinhalten nur Oktette, also nur 255 oder 0.

 

Ursprüngliche Subnetzmaske                                                         Interne Subnetzmaske                     Subnetzadressbereiche

(dem gesamten Adressblock zugewiesen)                                       (Zum Aufteilen in Subnetze)              (Beispiel)

255.0.0.0                                                                                      255.255.0.0  10.0.0.0 - 10.0.255.255

                                                                                                                      10.1.0.0 - 10.1.255.255

                                                                                                   10.2.0.0 - 10.2.255.255

 

255.255.0.0                                              255.255.255.0                172.16.0.0 - 172.16.0.255

                                                                                                   172.16.1.0 - 172.16.1.255

                                                                                                   172.16.2.0 - 172.16.2.255

 

Mittelschwere Bereiche

Der Gruppenwert (g) bestimmt den Anfangswert für jeden Subnetzadressblock.

Jeder Subnetzbereich beginnt mit einem Vielfachen von vom Gruppenwert (dazu gehört auch 0).

 

192.168.100.0    - 192.168.100.63        

192.168.100.64  - 192.168.100.127

192.168.100.128      - 192.168.100.191

192.168.100.192      - 192.168.100.255

 

oder

 

10.100.0.0   - 10.100.15.255

10.100.16.0 - 10.100.31.255

10.100.32.0 - 10.100.47.255

10.100.48.0 - 10.100.63.255

 

Feststellen, ob 2 Adressen im selben Subnetz liegen:

Liegen die Subnetzmasken /8, /16 oder /24 vor, braucht man nur die Werte der vordern 1,2 oder 3 Oktette vergleichen, ob 2 beliebige Adressen im selben Subnetz liegen.

Wenn ihre Subnetzmaske ein Oktett mit einem Wert aus dem Zwischenbereich enthält, z. B. 192 oder 248, muss man eine kleine Rechnung wie folgt ausführen.

a) Konvertieren sie die Subnetzmasken in die Punkt-Dezimal-Notation

b) Berechnung von f1 und f2

     f1 = [k1 / (256 -d)] - eventueller Rest

     f2 = [k2 / (256 -d)] - eventueller Rest

     mit d = Zwischenwert-Oktett

c) Falls f1 = f2 ist, liegen beide Adressen im selben Subnetz, ansonsten sind sie in verschiedenen Subnetzen.

Beispiel mit

192.168.100.200 mit Subnetzmaske 255.255.252.0 und

192.168.103.203 mit Subnetzmaske 255.255.252.0

d = 252

k1 = 100

k2 = 103

Berechnung:            f1 = [100 / (256 - 252)] = [100 / 4] = 25 und Rest 0

                  f2 = [103 / (256 - 252)] = [103 / 4] = 25 und Rest 0,75

f1 = f2 = 25 (Rest wird nicht berücksichtigt!)

 


 

Zusammenfassung der Lektion 2.3   0091

Unter Aufteilung in Subnetze (Subnetting) versteht man das Verfahren, wie man den Adressraum  logisch unterteilt.

Mit Hilfe der Subnetzaufteilung kann man den Netzwerkaufbau an eine verteilte Hardwaretopologie anpassen, den Broadcastverkehr in einem Netzwerk einschränken, die Sicherheit verbessern und die Netzwerkadministration vereinfachen.

Mit der Formel s = 2b kann man die Zahl der Subnetze in einem gegebenen Netzwerk ermitteln,

wobei s die Anzahl der Subnetze und b die Zahl der Bits in der Subnetzkennung.

Mit der Formel c = 2(32-n) - 2 k kann man die Zahl der möglichen Hosts pro Subnetz berechenen,

wobei c die Zahl der Computer ist, die in einem Subnetz Platz finden und n die Zahl der Bits in der Netzwerkkennung, die intern im Netzwerk benutzt wird.

 

 

 


Zusammenfassung des Kapitels 2   0095

- TCP/IP bildet die Grundlage des Netzwerkbetriebes für die Windowsnetzwerke und das Internet.

- Es umfasst ARP, IP und ICMP also Protokolle der Internetschicht und UDP und TCP als Protokolle der  

  Transportschicht.

- IP-Hostadressen müssen in jedem Netzwerk eindeutig sein.

- Der vordere Teil einer IP-Adresse wird immer als Netzwerkadresse oder Netzwerkkennung verwendet,

  während der hintere Teil als Hostadresse interpretiert werden soll.

- Mit der Formel 2h - 2 kann man ermitteln, wie viele Hosts in einem gegebenen Netzwerk Platz finden.

  Dabei steht h für die Anzahl der Bits in der Hostkennung.

- Man kann ein Netzwerk in mehrere logische Subnetze aufteilen, in dem man die Netzwerkkennung,

  die einem Adressblock extern zugewiesen ist, für die interne Benutzung innerhalb der Organisation

  verlängern.

 

Schlüsselinformationen Kapitel 2   0095

- Funktion des ARP-Befehls (arp -a [Anzeige der arp-Einträge], arp -d [Löschen des arp-Caches])

  Die Daten bleiben standardmäßig 2 Minuten im ARP-Cache

- Ports folgender Protokolle lernen:

  FTP (20, 21), HTTP (80), HTTPS/SSL (443), DNS (UDP 53),  PPTP (1723),

  L2TP/IPSec (UDP 500, 1701 und 4500)

- 20 = 1, 21 = 2, 22 = 4,   25 = 32,   26 = 64, 27 = 128, 28 = 256, 29 = 512, 210 = 1024, 211 = 2048 und 212 = 4096

- Konvertieren der Schrägstrichnotation und der Punkt-Dezimal-Notation einer Subnetzmaske

- Bestimmen der Hostkapazität eines Netzwerkes

- Bestimmen der Zahl der Subnetze pro Netzwerk

- Bestimmung einer geeigneten Subnetzmaske für den Adressblock, wenn man die benötigte Anzahl von Hosts,

   Subnetzen oder beides kennt.

- Abschätzen von Subnetzadressbereichen eines Netzwerkes durch Betrachten der Subnetzmaske in der Punkt-

   Dezimal-Notation.

- Feststellen, ob 2 Adressen im selben Subnetz liegen.

 

Schlüsselbegriffe Kapitel 2   0096

ARP  (Adress Resolution Protocol) In TCP/IP ein Protokoll, das logisch zugewiesene Adressen mit Hilfe von Broadcasts im lokalen Netzwerk in die dementsprechende Hardware bzw. MAC-Adressen auflöst.

ICMP  (Internet Control Message Protocol) ist ein notwendiges Wartungsprotokoll in der TCP/IP-Familie, das Fehler meldet und einfache Konnektivität ermöglicht. Das Dienstprogramm Ping setzt ICMP zur Durchführung der TCP/IP-Problembehandlung ein.

Hostkennung  ist der Teil der IP-Adresse, der einen bestimmten Host innerhalb eines Netzwerk identifiziert.

Netzwerk-ID  ist der Teil der IP-Adresse, der ein bestimmtes Netzwerk identifiziert.

Broadcastdomäne  ist ein physischer Abschnitt eines Netzwerkes, in dem alle Netzwerkgeräte Nachrichten empfangen, die an die Broadcastadresse 255.255.255.255 geschickt werden.


3. Kapitel 3   Überwachung und Problembehandlung von TCP/IP-Verbindungen 

3.1. Lektion 1   Analysieren des Datenverkehrs mit dem Netzwerkmonitor

 

Der Netzwerkmonitor wird mittels des Assistenten für Windows-Komponenten installiert.

Zusammen mit dem Netzwerkmonitor werden automatisch auch die Netzwerkmonitor-Treiber installiert.

Installation erfolgt nur mit Rechten eines Administrators.

Der Netzwerkmonitor ist ein softwarebasiertes Tool zur Analyse von Datenverkehr mit dem man folgende Aufgaben machen kann:

- Sammeln von Rahmen direkt aus dem Netzwerk

- Anzeigen und Filtern gesammelter Rahmen (unmittelbar im Anschluss an eine Sammlung oder zu einem

  späteren Zeitpunkt)

- Bearbeiten gesammelter Rahmen und Übertragen dieser Rahmen über das Netzwerk (nur Vollversion)

- sammeln von Rahmen auf einem Remotecomputer (nur Vollversion)

 

Insidertipp   0114

In der Theorie besteht ein gewaltiger Unterschied zwischen der Basis- und der Vollversion (extra kaufen).

In der Basisversion kann nur der Nachrichtenaustausch auf dem lokalen Computer gesammelt werden, während in der Vollversion sämtlicher Datenverkehr zwischen den Computern im gesamten Netzwerksegment gesammelt werden kann.

Diese Unterscheidung gilt nur für Netzwerke, welche ausschließlich Hubs verwenden. Heutige Netzwerke verwenden dagegen Switches ein, welche die Rahmen nur an die Empfängercomputer weiterleiten.

Somit wird die Vollversion in ihrer Funktionalität sehr eingeschränkt und es gibt keine Vorteile gegenüber der Basisversion.

 

Netzwerkmonitor      Netzwerkmonitor   Funktion

(Basisversion)          (Vollversion)

------------------------------------------------------------------------------------------------------------------------------------

nur Datenverkehr,     alle Geräte           Lokales Sammeln

von und zu dem       im gesamten

Host, auf dem der    Netzwerk-

Netzwerkmonitor      segment

läuft

nicht verfügbar         ja                         Sammeln im Remotebetrieb

nicht verfügbar         ja                         Bestimmen des Benutzers mit dem höchsten Bandbreitenbedarf

nicht verfügbar         ja                         Bestimmen des Protokolls mit dem höchsten Bandbreitenbedarf

nicht verfügbar         ja                         Bestimmen der Geräte, die als Router fungieren.

nicht verfügbar         ja                         Auflösen eines Gerätenamens in eine MAC (Media Access Control)-

                                                                    Adresse

nicht verfügbar         ja                         Bearbeiten und erneutes Übertragen von Datenverkehr im Netzwerk

 

Prüfungstipp   0119

mit dem Netzwerkmonitor können bestimmte Details wie die MAC-Adresse einer Netzwerkkarte, die GUID eines Clientcomputers oder der vom Protokoll verwendeten Port ermittelt werden, die normalerweise nicht mehr bekannt sind, weil die Handbücher nicht mehr aufzufinden sind.

 

Netzwerkmonitor und das OSI-Modell

OSI-Modell                                         TCP/IP-Modell

 

Anwendungsschicht

Darstellungsschicht                             Anwendungsschicht

Sitzungsschicht

 

Transportschicht                                 Transportschicht

 

Vermittlungsschicht                            Internetschicht

 

Sicherungsschicht                              Verbindungsschicht             

Physische Schicht

 

 


Prüfungstipp   0123

Beachten Sie für die Prüfung, dass NetBT ein Beispiel für eine Schnittstelle auf der Sitzungsschicht ist.

 

Tipp   0125

Wenn der Sammlungspuffer (Standard 1 MB, Maximalgröße = 935 MB) voll ist, verwirft der Netzwerkmonitor einfach alle weiteren Rahmen.

Bei Standardeinstellungen der Rahmengröße generiert für eine normale Netzwerkanmeldung der Netzwerk-monitor (bei Standardrahmengröße) etwa 80 Kbyte.

 

Prüfungstipp   0126

Einsatzszenarien des Netzwerkmonitors:

Erkennen von Denail-of-Service-Angriffen und Rouge-Servern (z. B. nicht autorisierten DHCP-Servern).

 

Prüfungstipp   0126

Einbinden des Parsers in  %Windir%\System32\Netmon\Parsers  und Eintragung des neuen Parsers in der Datei Parser.ini  in  %Windir%\System32\Netmon.

Der Netzwerkmonitor zeichnet alles vom Beginn des Rahmens auf, bis der Wert für die Rahmen Größe erreicht ist. Der kleinste Rahmenwert ist 64 Byte und der maximale Wert (Standardeinstellung Full) 65.535 Byte.

Man ändert die Rahmengröße wie folgt:

Menü Sammeln -> Puffereinstellungen -> Sammlungspuffereinstellungen => Rahmengröße [Byte].

Modus „Nur sammeln“ wird verwendet, falls Rahmen verschluckt werden. Dabei werden keine Statistiken angezeigt, sondern nur gesammelt. Menü Sammeln => Nur sammeln.


3.2. Lektion 2   Problembehandlung von TCP/IP-Verbindungen

 

Dienstprogramme:

ipconfig /all                                         für Überprüfung der TCP/IP des Computers

Netzwerkdiagnose    grafisches Tool zur Problembehandlung in der Windows Server 2003- Oberfläche

                              (Startmenü -> Hilfe- und Support -> Supportaufgaben -> Hilfe und Support Center

                                                         -> Tools => Netzwerkdiagnose (System überprüfen))

Netdiag                   Befehlszeilendiagramm aus dem Ordner \Support\Tools\Sup-Tools.msi (Supporttools)

                              Netcard Queries Tests                                    

                              Domain Membership Test

                              NetBT Name Test

                              WINS Service Test

                              DNS Test

                              Bindings Test

                              WAN Configuration Test

                              IP Security Test

Tracert                    dient dem Nachverfolgen von Routen über maximal 30 Abschnitte

                              (schnelles Feststellen, wo die Unterbrechung ist)

PhatPing                 dient zum Ermitteln von Paketverlusten bzw. Verzögerungen einer Routingstrecke

 

Hinweis   0138

Vorgehensweise bei der Fehlersuche

1)   Ping auf die Loopbackadresse, um sicherzustellen dass TCP/IP auf dem lokalen Computer installiert und

     richtig konfiguriert ist. ping 127.0.0.1

      Bei Fehlschlag antwortet der IP-Stapel nicht

      (TCP-Treiber beschädigt oder defekter Netzwerkadapter oder ein anderer Dienst hat Konflikt mit IP)

2)   Ping auf die IP-Adresse des lokalen Computers,

         um festzustellen, dass die richtige IP-Adresse hinzugefügt wurde.

3)   Ping auf IP-Adresse des lokalen Standardgateways auführen. Überprüfung, ob man mit einem anderen

       Computer kommunizieren kann und ob der Standardgateway erreichbar ist.

4)   Ping auf die IP-Adresse eines Remotehosts hinter dem Standardgateway

       Kontrolle ob der Computer Hosts außerhalb des eigenen Netzwerksegmentes erreichen kann.

5)   Ping auf den FQDN-Hostnamen eines Remotehosts hinter dem Standardgateway.

       Kontrolle der DNS-Namensauflösung.

6)   Ausführen einer PathPing-Analyse auf einen Remotehost (pathping >IP-Adresse des Remotehosts>), 

      um die Routerleistung zu überprüfen.                                        Schneller, aber ohne Routerleistungsüberprüfung, geht es mit tracert.

 

Hinweis   0139

Wenn der Ping auf das Remotesystem über eine Verbindung mit großer Verzögerung (z. B. Satellitenver-bindung) erfolgtkönnen die Antworten einige Zeit in Anspruch nehmen.

Mit dem Parameter -w kann ein längeres Timeout angegeben werden.

Mit dem Befehl   ping -w 2000 172.16.48.11   wird beispielsweise vor dem Timeout 2 Sekunden gewartet.

Die Standardeinstellung lautet 1 Sekunde (1000 Millisekunden).

 

Prüfungstipp   0139

Verwenden Sie Tracert, um schnell die Stelle zu bestimmen, an der die im Verbindungspfad zu einem Remote-Standort eine Unterbrechung auftritt.

Pathping ist nützlicher, um bei vorhandener Konnektivität, die Stelle zu finden, an der Paketverluste oder große Verzögerungen auftreten.

Um heraus zu finden, ob der Datenverkehr wegen einer fehlerhaften Proxy-ARP-anforderung des Routers fehl schlägt, dann benutzt man das Dienstprogramm ARP.

arp -a          Kontrolle, ob die Computer über die richtigen MAC-Adressen des jeweiligen Gegenübers

                  verfügen (z.B. nach Austausch einer Netzwerkkarte).

arp -d                      Löschen falscher arp-Einträge.

arp -s          Hinzufügen neuer ARP-Einträge

 


Zusammenfassung der Lektion 3.2   0144

-  Netzwerkdiagnose ist ein grafisches Tool zur Problembehandlung, das detaillierte Infos über die Netzwerk-

   konfiguration eines lokalen Computers liefert (Zugriff über Hilfe- und Supportcenter).

- Netdiag ist ein befehlszeilenorientiertes Diagnose-Tool für Tests auf den lokalen Rechner.

- Ping ist gut für Test der Konnektivität auf IP-Ebene und

   Pathping ist gut für Ermittlung von Paketverlusten bei Übertragungen über mehrere Abschnitte.

- Problembehandlung einer Verbindung:

   Ping auf Loopbackadresse, Ping auf lokale IP-Adresse, Ping auf Standardgateway,

   Ping auf IP-Adresse des Remotehost hinter dem Router und

   am Ende den Remotehost mir seinem FQDN-Namen anpingen.

- Tracert ist zu verwenden, wenn die Verbindung zu einem Remotecomputer unterbrochen ist.

   Es dient dem Nachverfolgen von Datenpaketen von Router zu Router über maximal 30 Abschnitte.

   Genaue Ermittlung der Stelle, wo die Unterbrechung der Verbindung erfolgt (welcher Router ausgefallen ist).

- Wenn man einen Ping auf die Loopbackadresse (127.0.0.1), auf die eigene IP-Adresse und

   auf das Standardgateway ausführen können, aber keinen Ping auf einen Computer im lokalen Subnetz,

   muss anschließend der ARP-Cache auf Fehler überprüft werden.

- Wenn Sie keinen erfolgreichen Ping auf die IP-Adresse eines Computers im lokalen Netzwerk ausführen

   können und mit dem Befehl   arp -a   keine Fehler in den Hardwareadresszuordnungen ermittelt werden,

   müssen Sie die physischen Medien wie LAN-Karten, Hubs, Switches, und Kabel nach Fehlern untersuchen.

 

Zusammenfassung Kapitel 3   0147

- Netzwerkmonitor als Protokollanalyseprogramm benutzt man um böswillige Server, DoS-Angriffe,

   offene Ports bei Routern zu ermitteln.

- Ipconfig /all dient dem Abrufen der IP-Adresse, der Subnetzmaske und des Standardgateways und zusätzlich

   noch der Daten der einzelnen Netzwerkadapter.

 

Schlüsselinformationen Kapitel 3   0148

- Mit dem Netzwerkmonitor können Sie Bedrohungen für das Netzwerk erkennen und diagnostizieren,

   zum Beispiel böswillige Server und DoS-angriffe.

- Prägen Sie sich die erweiterten Features des Netzwerkmonitors ein, z. B., wie Sie die Puffer- oder

   Rahmengröße verändern und wie Sie den Modus aktivieren, in dem das Tool nur Daten aufzeichnet.

- Denken Sie daran, dass Sie für die Problembehandlung einer Verbindung Pings auf andere Hosts in einer

   bestimmten Reihenfolge ausführen müssen: die Loopbackadresse, die lokale IP-Adresse, das Standardgate-

   way, die Ip-adresse eines Remotehosts und den Namen (FQDN) eines Remotehosts.

 

Schlüsselbegriffe Kapittel 3   0149

Parser                     Eine DDL, die Nachrichten eines bestimmten Protokolls liest und analysiert, die im Netzwerk

                  gesammelt werden.

Pathping     Dient als Befehlszeilentool zur Ermittlung von Paketverlusten.

Netdiag       Befehlszeilentool, als Bestandteil der Supporttools auf der Windows Server 2003-DVD, liefert

                  detaillierte Infos über die Netzwerkkonfiguration des lokalen Computers.

GUID          (Globaly Unique Identifier) Ein 16-Byte-Wert, der aus einer eindeutigen Kennung eines Gerätes,

                  dem aktuellen Datum und der Uhrzeit sowie einer Sequenznummer generiert wird.

                  Mit einer GUID kann ein bestimmtes Gerät oder eine bestimmte identifiziert werden.

 


4. Kapitel 4   Konfigurieren von DNS-Servern und -Clients

4.1.   Grundlagen der Namensauflösung in Windows Server 2003

 

Hinweis   0155

Bei NetBIOS handelt es sich eigentlich nicht um ein Namensystem, sondern um eine Schnittstelle zur Anwen-dungsprogrammierung (Application Programming Interface, API), die in älteren MS-Netzwerken eingesetzt wird und Computern die Herstellung von Verbindungen und eine Kommunikation ermöglicht.

Benennung und Namensauflösung bilden zwei der Dienste, die von NetBIOS bereitgestellt werden.

 

Hinweis   0156

Der DNS-Clientdienst wird auch als Auflösung oder Resolver bezeichnet.

 

Vergleich von NetBIOS- und DNS-Namen

                              NetBIOS-Computername                                 DNS-Computername

Typ                         flach                                                              hierarisch

zulässige Zeichen    Unicodezeichen, Zahlen, Leerstellen und           A-Z, a-z, 0-9 und der Bindestrich (-).

                              die folgenden Symbole wie:                              Der Punkt (.) ist für einen besonderen

                              ! @ # $ % ^& ‚ ) ( . - _ {} ~                                Zweck reserviert.

Maximale Länge      15 Zeichen                                                     63 Bytes pro Bezeichnung und

                                                                                                   255 Bytes pro FQDN

Namens-Dienst        WINS                                                             DNS

                              NetBIOS-Broadcast                                              

                              Datei: Lmhosts                                               Datei: Hosts

 

Prüfungstipp   0158

Nbtstat -c    listet die Namen im lokalen Cache für NetBIOS-Namen auf

Nbtstat -R   Leert den lokalen Cache für NetBIOS-Namen

 

Insidertipp   0158

Auch in Netzwerken, die nicht auf NetBIOS angewiesen sind, kann NetBIOS nur schwer vermieden werden.

Die Bequemlichkeit der broadcastbasierten Namenauflösung (wenn auch nur als Reserve für DNS) oder der Netzwerksuche über den Knoten Microsoft Windows-Netzwerk kann kaum überboten werden.

Man sollte es aus sicherheitstechnischen Gründen deaktivieren.

 

Zusammenfassung Lektion 4.1   0162

- In Windows 2003 Server 2003-Netzwerken werden gewöhnlich 2 Arten von Computernamen verwendet:

   DNS-Namen und NetBIOS-Namen.

   Beide Namenstypen benötigen eigene Mechanismen für die Auflösung in IP-Adressen.

- NetBIOS-Namen und NetBIOS-Protokoll sind für Windows NT-Domänen, Arbeitsgruppen vor Win. 2000

   und für die Kompatibilität mit bestimmten Netzwerkdiensten wie dem Computerbrowser erforderlich.

   DNS-Namen und das DNS-Protokoll werden für die Aktiv Directory-Domänen und die Kompatibilität mit

  dem Internet oder mit Intranets benötigt.

- Zur Auflösung von Computernamen unternimmt der DNS-Clientdienst in Windows Server 2003 zunächst

   den Versuch einer DNS-Namensauflösung, bevor er die NetBIOS Namensauflösung einsetzt.

- NetBIOS-Namen und DNS-Namen basieren auf dem Namen, der einem Computer im Dialogfeld System-

   eigenschaften zugewiesen wird. Wenn ein Computername zugewiesen wird, der mehr als 15 Zeichen lang ist,

   verwendet NetBIOS eine Version des Namens, die auf 15 Zeichen gekürzt ist.

 


4.2. Lektion 2   Grundlagen von DNS in Windows  Server 2003-Netzwerken

 

Die Struktur von DNS

Das DNS-Namensystem ist eine hierarchische und logische Baumstruktur, die als DNS-Namenspace bezeichnet wird. Der DNS-Namenspace enthält einen eindeutigen Stamm (negl. root), der beliebig viele untergeordnete DNS-Domänen haben kann, die wiederum weitere untergeordnete DNS-Domänen enthalten können.

Jeder Knoten in der DNS-Domänenstruktur kann anhand eines FQDNs eindeutig identifiziert werden.

Die ICANN (Internet Corporation for Assignet Names and Numbers) verwaltet den DNS-Stamm des Internets.

Es gibt drei Formen von Top-Level-Domänen:

Strukturdomänen lassen sich vom Hauptbetätigungsfeld einer Firma herleiten.

Geografische Domänen sind die Domänen, welche mit Länderkennungen benannt wurden (z.B. de. ru.).

Reverse-Domänen sind spezielle Domänen mit der Bezwichnung in-addr.arpa, die für die Zuordnung von Namen zu IP-Adressen (Reverse-Lookups) verwendet werden.

 

Wichtig   0165

Die aktuellen Informationen über neue Top-Level-Domänen findet man unter http://www.icann/tlds.

 

DNS-Server

Sie enthalten DNS-Datenbankinformationen über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur und verarbeiten Abfragen zur Namensauflösung, die von DNS-Clients übermittelt werden.

Bei einer Abfrage stellen die DNS-Server die angeforderten Informationen bereit, liefern einen Zeiger auf einen anderen Server, der die Auflösung der Abfrage unterstützen kann, oder melden in einer Antwortnachricht, dass

die Informationen nicht verfügbar oder vorhanden sind.

Ein DNS-Server ist für eine Zone autorisierend, wenn er die Zone entweder als primärer oder als sekundärer DNS-Server hostet.

Ein DNS-Server ist für DNS-Domäne autorisierend, wenn er nicht mit zwischengespeicherten Informationen, sondern mit lokal konfigurierten Ressourcebeinträgen arbeitet, um Abfragen über Hosts in dieser DNS-Domäne zu beantworten. Derartige Server definieren ihren eigenen Abschnitt des DNS-Namenspaces.

DNS-Server können für eine oder mehrere Ebenen der Domänen-Hierachie autorisierend sein.

 

DNS-Zonen

Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namespaces, für den ein Server autorisierend ist.

Zusammenhängende DNS-Domänen wie .com, kuckuck.com und ups.kuckuck.com können mithilfe der Dele-gierung in separate Zonen unterteilt unterteilt werden.

Durch die Delegierung wird die Zuständigkeit für eine untergeordnete Domäne innerhalb des DNS-Namen-spaces einer eigenständigen Einheit zugewiesen.

Zonendateien enthalten Ressourceneinträge für die Zonen, für die ein Server autorisierend ist.

 

DNS-Auflösungen

Bei einer DNS-Auflösung (resolver) handelt es sich um den DNS-Clientdienst, der mithilfe des DNS-Protokolls Informationen von DNS-Servern abfragt.

 

Ressourceneinträge

Es sind Einträge in der DNS-Datenbank, die zur Beantwortung von DNS-Clientabfragen verwendet werden.

Es gibt folgende Eintragstypen wie Hostadresse (A), Alias (CNAME), Mail-Exchanger (MX), Server (SVR)

und einige mehr.

 

Prüfungstipp   0170

In der Prüfung sollten Sie den Begriff Rekursion einfach als Kontaktieren anderer DNS-Server durch einen DNS-Server ansehen, wenn dieser eine Abfrage nicht selbst beantworten kann.

Die Iteration bildet keinen Bestandteil der Prüfung.

 


Antworttypen auf Abfragen

Autorisierende Antwort ist eine positive Antwort, die mit gesetztem Autoritätsbit in der DNS-Nachricht an den Client übermittelt wird. Das Autoritätsbit zeigt an, dass die antwort von einem Server Stammt, der für den abgefragten Namen direkt autorisierend ist.

Positive Antwort enthält den Ressourceneintrag, der mit dem abgefragten Namen und dem Eintragstyp übereinstimmt, die in der ursprünglichen Abfragenachricht angegeben sind.

Verweisende Antwort enthält zusätzliche Ressourceneinträge, die in der Abfrage nicht anhand des Namen oder des Typs angegeben sind. Wird übermittelt, wenn der Rekursionsvorgang vom DNS-Server nicht unterstützt wird, d.h. z.B. nur Aliase wie  www vorliegen und nicht ein A-Eintrag. Der Client kann damit selbst eine Iteration durchführen.

Negative Antwort vom DNS-Server deutet darauf hin, dass eines von 2 möglichen Ergebnissen eingetreten ist, während der Server versuchte, die Abfrage zu verarbeiten und mithilfe der Rekursion vollständig und autorisierend  zu beantworten:

- Ein autorisierter Server hat gemeldet, dass der abgefragte Name nicht im DNS-Namespace vorhanden ist.

- Ein autorisierter Server hat gemeldet, dass der abgefragte Name zwar vorhanden ist,

    aber keine Einträge des angegeben Typs für diesen Namen verfügbar ist.

 

Tipp   0173

Sobald Sie einen Eintrag zur Datei Hosts im Ordner   %Windir%\System32\Drivers\Etc   hinzufügen, wird dieser umgehend in den DNS-Auflösungs-Cache (DNS-Clientcache) geladen.

 

Hinweis   0174

Mit dem Konsolenbefehl   dnscmd /clearcache   dem Verwaltungstool für den DNS-Server von den Windows-Supporttools (Windows Server 2003-CD) kann man den DNS-Servercache löschen.

Der TTL-Wert (Time-to-Live, Gültigkeitsdauer) für die zwischengespeicherten Ressourceneinträge im DNS-
Auflösungscache und im DNS-Servercache ist standardmäßig 3600 Sekunden groß (1 h).

Das DNS setzt mehrere Stufen der Zwischenspeicherung ein, um die Effizienz und Leistung zu erhöhen.

Falls Abfragen mittels zwischengespeicherter Informationen aufgelöst werden, hat diese Methode den Nachteil, dass eine Änderung in DNS nicht umgehend an die Clients weitergereicht wird.

 

Zusammenfassung der Lektion 4.2   0175

- Der DNS-Namenspace ist hierarchisch aufgebaut und basiert auf einem eindeutigen Stamm, der beliebig
viele untergeordnete DNS-Domänen enthalten kann.

- Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namenspaces,
für den ein Server autorisierend ist.
Ein Server kann für eine oder mehrere Zonen autorisierend sein, während eine Zone eine oder mehrere zusammenhängende DNS-Domänen enthalten kann.

   Ein DNS-Server ist erst dann für eine Zone autorisierend, wenn er die Zone entweder als primärer oder als
   sekundärer DNS-Server hostet.

   Jede DNS-Zone enthält die Ressourceneinträge, die erforderlich sind, um Abfragen bezüglich ihres Abschnitts
   des DNS-Namenspaces zu beantworten.

- Der DNS-Clientdienst bzw. die Auflösung unternimmt als erstes den Versuch, Computernamen mithilfe lokal
   zwischengespeicherter Informationen aufzulösen, die auch den Inhalt der Datei
   %Windir%\System32\Drivers\Etc\Hosts umfassen.

   Wenn der Name im Cache nicht gefunden werden kann, fragt die Auflösung (resolver) einen DNS-Server ab.

   Wenn der DNS-Server den Namen nicht über seine autorisierenden Einträge oder mithilfe seines lokalen
   Caches auflösen kann, setzt er standardmäßig Rekursion ein, um den Namen für den Client aufzulösen.

- Bei der Rekursion handelt es sich um einen Vorgang, bei dem ein DNS-Server andere DNS-Server im Auftrag
   des DNS-Clients abfragt.

   Um die Rekursion ordnungsgemäß durchzuführen, benötigt der DNS-Server Informationen über den Start-
   punkt für die Suche nach Namen im DNS-Namensraum.

   Diese Informationen werden mit der Datei   Cache.dns   bereitgestellt,
   die auf dem Servercomputer im Verzeichnis   %Windir%\System32\dns\    gespeichert ist.

- Ein TTL-Wert ist für alle zwischengespeicherten Ressourceneinträge wirksam.

   Solange der TTL-Wert für einen zwischengespeicherten Ressourceneintrag nicht abgelaufen ist, kann dieser
   Eintrag weiterhin von einem DNS-Server zur Beantwortung von Anfragen verwendet werden.

 


4.3. Lektion 3   Bereitstellen von DNS-Servern

 

Hinweis   0177

Alternativ zum Hinzufügen der Funktion DNS-Server (Startmenü -> Serververwaltung => Funktion hinzufügen oder entfernen) kann der DNS-Serverdienst über das Systemsteuerungsapplet Software installiert werden.

Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, und öffnen Sie die Komponente Netzwerkdienste und installieren da die Unterkomponente DNS-Server.

 

Hinweis   0181

Sie können in einem DNS-Namensraum einen Stammserver erstellen, indem Sie eine Zone mit der Bezeichnung „.“ (nur ein einzelner Punkt) bilden.

Wenn Sie diesen Schritt durchführen, kann der Server nicht mehr für die Rekursion oder die Weiterleitung von Abfragen an einen anderen Namenserver konfiguriert werden.

 

Prüfungstipp   0182

Damit Sie die Prüfungsfragen richtig beantworten können, müssen Sie wissen, wie Sie Forward- und auch die Reverse-Lookupzonen erstellen.

Prozeduren zum Erstellen von Forward-Lookupzonen erkennen Sie daran, dass gefordert wird, dass eine DNS-Domäne auf einem bestimmten Server erstellt und gespeichert werden soll.

Prozeduren zum Erstellen von Reverse-Lookupzonen erkennen Sie daran, dass gefordert wird, dass ein DNS-Server IP-Adressen in Hostnamen auflösen soll (vorzugsweise für Netzwerkanalyse).

 

Zonentypen

 

Primäre Zone stellt als Typ ein autorisierendes, änderbares Exemplar der Zonendaten zur Verfügung.

Sie dienen als Quelle für die Originaldaten, die an andere Zonen übertragen werden können.

Wenn eine primäre Zone als Standardzone konfiguriert ist, ist diese primäre Zone die einzigste primäre Zone für die Zonendaten.

Wenn Sie eine primäre Zone so konfigurieren, dass sie ihre Daten in Active Directory speichert, können Sie mehrere primäre Zonen für dieselben Zonendaten erstellen (DNS-Server muss auf einem AD-DC laufen).

 

Sekundäre Zone stellt ein autorisierendes, schreibgeschütztes Exemplar einer primären Zone oder einer anderen sekundären Zone zur Verfügung.

Sekundäre Server bieten eine Möglichkeit, den DNS-Abfrageverkehr in Bereiche des Netzwerks zu verlagern, in denen die Zone sehr häufig abgefragt und verwendet wird.

Zudem stellt ein sekundärer DNS-Server, wenn der primäre Server offline ist, Namensauflöungsdienste in der Zone bereit, bis der primäre Server verfügbar ist.

Server, von denen sekundäre Server Zoneninformationen abrufen, werden als Master bezeichnet und können sowohl primäre Server oder sekundäre Server sein.

Sekundäre Server sollten möglichst nahe bei den Clients platziert sein.

 

Stubzone ist eine Teilkopie einer anderen Zone und enthält nur Ressourceneinträge und enthält ausschließlich aktuell gehaltene Einträge über DNS-Server für eine autorisierte primäre oder sekundäre Zone.

 

Standardzonen speichern im Gegensatz zu Active-Directory-integrierten Zonen ihre Daten in Textdateien auf dem lokalen DNS-Server.

Primäre, sekundäre und Stubzonen werden alle standardmäßig als Standardzonen erstellt.

Bei Standardzonen können Sie nur ein einzigstes änderbares (primäres) Exemplar der Zonendaten konfigurieren.

Das Standardzonenmodel bietet somit eine schlechte Fehlertoleranz, weil aufgrund eines einzigsten Fehlers das gesamte Namenauflösungssystem für die Zone beeinflusst werden kann. Falls der primäre DNS-Server ausge­fallen ist, können keine Änderungen an der Zone vorgenommen werden.

 

Active-Directory-integrierte Zone speichert ihre Daten in Active Directory und Sie können mehrere änder­bare (primäre) Exemplare der Zonendaten konfigurieren.

Auch werden nur die Änderungen durch das gesamte Active Directory repliziert, statt ganzer Zonendateien - Somit hält sich die Netzwerklast sehr in Grenzen.

Es verbessert die Fehlertoleranz, weil standardmässig jeder Domänencontroller in der Domäne ein änderbares Exemplar der Zonendaten speichert (auch wenn kein DNS-Dienst auf einem DC läuft).


Server für Zwischenspeicherungen hosten keine Zonen und sind auch für keine DNS-Zone autorisierend.

Die enthaltenen Informationen sind ausschließlich auf die Informationen beschränkt, die bei der Auflösung von Abfragen zwischengespeichert wurden.

Da keine Zonenreplikation  stattfindet, ist er für einen Einsatz bei langsamen WAN-Verbindungen geeignet, da keine zusätzliche Netzwerklast auftritt. Der Namensauflösungs-Datenverkehr nimmt langsam ab, bis der Zwischenspeicher einmal erstellt wurde.

Er ermöglicht eine lokale DNS-Funktionalität ohne Verwaltung von DNS-Domänen oder Zonen.

 

Tipp   0185

Installieren Sie einen Server für Zwischenspeicherungen, wenn Sie den Datenverkehr für die Namensauflösung über WAN-Verbindungen minimieren müssen, ohne den Datenverkehr für Zonenübertragungen zu erweitern.

 

Host (A) Eintrag kann auf drei verschiedene Arten erstellt werden:

- Mit Hilfe der DNS-Konsole oder einem Supporttool DnsCmd kann ein A-Ressourceneintrag für ein statischen
   TCP/IP-Clientcomputer manuell erstellt werden.

- Computer mit Windows 2000, XP oder Server 2003 verwenden den DHCP-Clientdienst, um die eigenen
   A-Ressourceneinträge dynamisch in DNS zu registrieren und zu aktualisieren.

- DHCP-fähige Clientcomputer mit früheren Versionen von MS-Betriebssystemen können einen Proxy
   veranlassen, ihre A-Ressourceneinträge zu registrieren und zu aktualisieren, wenn sie ihre IP-Lease von
   einem entsprechenden DHCP-Server (Dynamic Host Configuration Protocol) erhalten.

- Beispiel:   server1                             A                                        172.16.48.1

 

Hinweis   0188

Wenn Sie einen Computer mit Ping unter der Angabe einer IP-Adresse, aber nicht eines Namen erreichen, fehlt in DNS unter Umständen ein A-Ressourceneintrag für diesen Computer oder der DNS-Server ist nicht erreichbar.

Sollte er erreichbar sein, sollte man beim Clientcomputer (Windows 2000, XP oder Server 2003) den Befehl
ipconfig /registerdns ausführen.

 

Prüfungstipp   0188

Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie Host (A)-Einträge anlegen.

Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass Benutzer in der Lage seinen sollen, eine Verbindung zu einer gegebenen Adresse unter Angabe eines bestimmten Namens herzustellen.

 

Alias (CNAME)-Ressourceneinträge werden auch als kanonische Namen bezeichnet und ermöglichen die Verwendung von mehr als einen Namen als Verweis auf einen einzelnen Host (A-Hosteintrag).

Als Einsatzindikatoren wären zu erwähnen:

-  Wenn ein Host, der in einem A-Ressourceneintrag derselben Zone angegeben ist, umbenannt werden muss.

-  Wenn ein Server ausrangiert wurde, können Sie mithilfe eines CNAME-Eintrags Abfragen,
   die an den alten Server gerichtet waren, auf den neuen Server umleiten.

- Wenn ein  generischer Name für einen wohlbekannten Server wie www in eine Gruppe einzelner Computer
mit jeweils separaten A-Ressourceneinträgen aufgelöst werden muss, die denselben Dienstbereitstellen
(zum Beispiel eine Gruppe redundanter Webserver).

- Beispiel:   ftp                                    CNAME                              server1.cont.de

 

Prüfungstipp   0189

Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie Alias (CNAME)-Einträge anlegen.

Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass Benutzer in der Lage sein sollen, eine Verbindung zu einem gegebenen Server unter Angabe von (zwei oder mehr) beliebigen Namen herstellen (zum Beispiel server1.cont.de und svr1.cont.de).

 


MX-Ressourceneinträge werden als Mail-Exchanger-Ressourceneinträge von E-Mail-Anwendungen zum Auf­finden eines Mailservers in einer Zone eingesetzt.

Auf diese Weise kann ein Domänenname wie cont.de, der die E-Mail-Adresse user1@cont.de enthalten ist, dem A-Ressourceneintrag eines Computers zugeordnet werden, der den Mail-Server für die Domäne cont.de hostet.

In vielen Fällen werden mehrere MX-Einträge erstellt, um Fehlertoleranz und Failover auf andere Mailserver breit zu stellen,  Bei Einsatz von mehreren Mailservern, wird ein Wert für die Serverpriorität verwendet, wobei der niedrigste Wert dem der höchsten Priorität entspricht ( 1 = höchste Priorität).

- Beispiel:   @         MX                       1                    mailserver1.cont.de

                  @         MX                       10                  mailserver2.cont.de

                  @         MX                       20                  mailserver3.cont.de

                  @         MX                       30                  mailserver4.cont.de

 

Hinweis   0189

In diesem Beispiel steht das @-Zeichen für den Namen der lokalen Domäne, der in einer E-Mail-Adresse enthalten ist.

 

Prüfungstipp   0189

Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie MX-Einträge anlegen.

Sie müssen auch wissen, wie Sie mehrere MX-Einträge mit unterschiedlichen Prioritäten anlegen, wie im obigen Beispiel gezeigt.

Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass die Mail beim ersten Versuch an einen bestimmten Mailserver geliefert werden soll, an einen zweiten Mailserver, falls der erste nicht zur Verfügung steht, und an einen dritten Mailserver, falls der zweite (und der erste) nicht zur Verfügung steht. Denken Sie daran, dass kleinere Zahlen für eine höhere Serverpriorität stehen.

 

PTR-Ressourceneinträge werden als Zeiger nur in Reverse-Lookupzonen verwendet, um Reverse-Lookupvorgänge zu unterstützen, mit deren Abfragen zur Auflösung von IP-Adressen in Hostnamen und FQDNs durchgeführt werden.

Reverse-Lookups werden in Zonen vorgenommen, deren Stamm die Zone in-addr.arpa bildet.

PTR- Ressourceneinträge werden mit denselben manuellen und automatischen Methoden zu Zonen hinzugefügt, die auch für die A-Ressorceneinträge eingesetzt werden.

- Beispiel:   1                                     PTR                                    server1.cont.de

 

Hinweis   0190

In diesem Beispiel ist die 1 der Name, der dem Host in der Domäne 172.16.48.in-addr.arpa zugeordnet ist.

Diese Domäne, die auch den Namen der hostenden Zone ist, entspricht dem Subnetzt 172.16.48.0.

 

Prüfungstipp   0190

Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie PTR-Einträge anlegen.

Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass die Adresse eines gegeben Computers in einen bestimmten Namen aufgelöst werden soll (z. B. 172.16.48.1 in server1.cont.de).

 

SVR-Ressourceneinträge (Dienstidentifizierung) werden verwendet, um die Position bestimmter Dienste in einer Domäne anzugeben.

SRV-fähige Clientanwendungen können DNS einsetzen, um die SRV-Ressourceneinträge für bestimmte Anwen­dungsserver abzurufen.

Windows Server 2003-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung.

Der Anmeldedienst verwendet SVR-Einträge zur Lokalisierung von Domänencontrollern in einer Domäne, indem die Domäne nach dem LDAP (Lightweight Directory Access Protocol)-Dienst durchsucht wird.

Server, welche Drucker-Dienste hosten, haben keinen SVR-Eintrag sondern einen A-Ressourceneintrag.

Wenn ein Computer einen Domänencontroller in der Domäne cont.de ermitteln muss, sendet der DNS-Client eine SVR-Abfrage nach dem folgenden Namen:    _ldap._tcp.cont.de  .

Obwohl die Mehrzahl der SVR-Einträge automatisch erstellt wird, müssen Sie sie  unter Umständen über die Konsole DNS erstellen, um Fehlertoleranzen zu gewährleisten oder Probleme mit Netzwerkdiensten zu beheben:

_ldap._tcp   SRV     0    0    389          dc1.cont.de

                  SRV     10  0    389           dc2.cont.de

In diesem Beispiel ist dem Port 389 auf dem Host dc1.cont.de ein LDAP-Server (Domänencontroller) mit der Priorität 0 (der höchsten Priorität) zugeordnet.

Ein zweiter DC mit der niedrigeren Priorität 10 ist dem Port 389 auf dem Host dc2.cont.de zugeordnet.

Beide Einträge haben im Feld Gewichtung den Wert 0, so dass kein Lastenausgleichzwischen Servern gleicher Priorität konfiguriert wurde.

 


Tipp   0190

Sämtliche SRV-Einträge, die für einen Active Directory-Domänencontroller erforderlich sind, sind in einer Datei mit der Bezeichnung   Netlogon.dns   enthalten, die im Ordner   %Windir%\System32\Config   gespeichert ist.

Wenn in Ihrer Domäne SVR-Ressourceneinträge fehlen, können Sie sie automatisch neu laden, in dem Sie an der Befehlszeile den Befehl   Netdiag /fix   ausführen (Netdiag.exe ist ein Supporttool auf der Windows  Server 2003-CD).

 

Prüfungstipp 0191

Löschen des DNS-Servercaches:

Konsole DNS => Cache löschen

Befehlszeile: dnscmd /clearcache (Supporttools)

Anzeige des DNS-Server-Caches: Ändern des DNS-Ansichtmodus auf erweiterte Ansicht und dann siehe Ordner
                                                 zwischengespeicherte Lookupvorgänge.

 

Zusammenfassung der Lektion 4.3   0197

-  DNS-Server sind für die Zonen autorisierend, die sie hosten. Forward-Lookupzonen beantworten Abfragen für
   IP-Adressen (DNS-Namen in IP-Adressen), während Reverse-Lookupzonen der Beantwortung von Abfragen
   für FQDNs (IP-Adresse in DNS-Namen) dienen.

- Primäre DNS-Zonen speichern die ursprünglichen Quelldateien für Zonen und sind änderbar.

   In Windows 2003 können primäre Zonen auf zweierlei  Weise implementiert werden:

   a) primäre Standardzone, bei der die Zonendaten in einer Textdatei gespeichert werden

   b) Aktive-Directory-integrierte Zone, bei der die Zonendaten in einer Acitive Directory-Datenbank abgelegt
       werden

- Sekundäre Zonen sind Standardzonen, die schreibgeschützte Kopien der Zonendaten speichern.

   Die Server, von denen sekundäre Zonen ihre Zoneninformationen abrufen, werden als Master bezeichnet.

   Bei einem Master kann es sich um eine primäre oder eine andere sekundäre Zone handeln.

- Ein Server für Zwischenspeicherungen leitet alle Anforderungen an andere DNS-Zonen weiter und hostet selbst keine Zonen. Server für Zwischenspeicherungen nehmen jedoch eine Zwischenspeicherung der Ant­worten vor, die von anderen DNS-Servern empfangen werden, und können daher die Namensauflösung für
ein Netzwerk verbessern, das keine Zone hostet und auch keinen DNS-Replikationsverkehr verursacht
(z. B. bei langsamen WANs).

- Neue Zonen enthalten nur 2 Ressourceneinträge: den Eintrag für den Autoritätsursprung (SOA) entsprechend
   der Zone und einen Nameserver (NS)-Eintrag für den lokalen DNS-Server, der für die Zone erstellt wurde.

   Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden.

Die am häufigsten hinzugefügten Ressourceneinträge sind Host (A)-, Alias (CNAME)-, MX-, SRV- und

PTR-­Einträge.

-  Ein eher seltener Ressourceneintrag ist der für eine verantwortliche Person (auf der SOA-Registerseite einer      DNS-Zone), welcher automatisch erstellt wird,  wenn man dort eine Person zuordnet: RP.

   Der RP-Ressourceneintrag gibt den Namen eines Domänenpostfaches für die verantwortliche Person an.

 

 


4.4 Lektion 4   Konfigurieren von DNS-Clients

 

Hinweis   0199

Klicken Sie zum anzeigen des Dialogsfeldes Systemeigenschaften mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie anschließend  auf Eigenschaften.

Alternativ können Sie in der Systemsteuerung auf System doppelklicken.

 

Hinweis   0199

Zeichen für DNS-Computernamen (laut RFC 1123 [Request for Comments]): A-Z, a-z, 0-9 und -

In der Praxis wird die Groß/Kleinschreibung bei DNS-Namen nicht berücksichtigt.

Muss man auch NetBIOS berücksichtigen, weist man den Computern nur 15 Zeichen zu.

 

Prüfungstipp   0205

Sie müssen in der Prüfung wissen, welche Bedeutung die DNS-Suffix-Listen haben.

Sie müssen außerdem für die Simulationsfragen in der Lage sein, benutzerdefinierte DNS-Suffixsuchlisten zu konfigurieren.

Ob Sie diese Prozedur durchführen müssen, erkennen Sie daran, dass gefordert wird, dass die Benutzer in der Lage sein sollen, Verbindung zu Servern in unterschiedlichen Domänen herzustellen, ohne FQDNs angeben zu müssen.

 

Prüfungstipp   0205

Unix basierte DNS-Server mit BIND 8.1.2 oder höher lassen dynamische Updates zu.

 

Prüfungstipp   0206

Manchmal kommt es vor, dass ein Client seinen DNS-Eintrag nicht automatisch aktualisiert, obwohl das Kontrollkästchen   Adressen dieser Verbindung in DNS-Registrierung verwenden   aktiviert ist.

In einem solchen Fall können Sie versuchsweise das Kontrollkästchen   DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden   aktivieren, selbst dann, wenn Sie keine verbindungsspezifische Suffixe konfiguriert werden haben.

Wenn diese Option aktiviert ist, wird der Client meist gezwungen, ein DNS-Update durchzuführen.

 

Hinweis   0206

Für ICS (Gemeinsame Nutzung der Internetverbindung)-Clients müssen dynamische DNS-Updates auf andere Weise konfiguriert werden. Wenn DNS-Clients mit Windows 2000, XP oder Server 2003 ihre IP-Konfiguration von einem Computer mit ICS erhalten, können sie ihre Ressourceneinträge nur dann im DNS aktualisieren, wenn das Kontrollkästchen   DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden   aktiviert ist.

Ein verbindungsspezifisches Suffix muss nicht angegeben werden.

Stattdessen wird der FQDN mit dem primären DNS-Suffix gebildet.

 

Prüfungstipp   208

Lernen Sie für die Prüfung folgende DNS-bezogenen Befehle auswendig:

- ipconfig /displaydns           Zeigt den Inhalt des Client-DNS-Caches an.

- ipconfig /flushdns                          Löscht den Inhalt des DNS-Client-Caches.

- ipconfig /registerdns          Erneuert alle DHCP-Leases und führt eine erneute Registrierung von

                                             DNS-Namen in DNS-Zonen durch, die für dynamische Updates

                                             konfiguriert sind (nur für Clients mit Windows 2000, XP und Server 2003).

 

Prüfungstipp   208

Bei der Problembehandlung eines DNS-Problems kommt es gelegentlich vor, den Befehl   ipconfig /flushdns   öfters zu verwenden, um bei einem erfolgreichen manuellen Host (A)-Eintrag im DNS die Auflösung richtig zu testen. Fehlerhafte Zwischenspeicherungen (negative Antwort einer vorherigen Abfrage) werden somit gelöscht.

 


 

Zusammenfassung Lektion 4.4  0212

- Das primäre DNS-Suffix bildet zusammen mit dem Computernamen den vollständigen Computernamen.

- Wenn ein verbindungsspezifisches DNS-Suffix zu einem DNS-Computer- oder Hostnamen hinzugefügt wird,
   wird einem bestimmten Adapter auf dem Computer ein FQDN zugewiesen.

   Dieses Suffix kann auf der Registerkarte   DNS   des Dialogfeldes   
   Erweiterte TCP/IP-Einstellungen   konfiguriert werden.

- Wenn Abfragen für nichtqualifizierte Namen übermittelt werden, fügt der DNS-Clientdienst zu diesen
   Namen zunächst das primäre Suffix hinzu und sendet anschließend die jeweilige Abfrage.

   Wenn diese Abfrage nicht erfolgreich ist, fügt der DNS-Clientdienst zu dem Namen verbindungspezifische
   Suffixe hinzu und übermittelt die neue Abfrage.

   Ist diese Strategie ebenfalls nicht erfolgreich, fügt der DNS-Cliebtdienst zu dem Namen das überge­ordnete
   Suffix des primären DNS-Suffix hinzu und übermittelt die letzte Abfrage.

- DNS-Clients mit Windows 2000, Windows XP oder Windows Server 2003 versuchen standardmäßig, ihre
   Ressourceneinträge dynamisch in DNS registrieren und zu aktualisieren .

   Clients mit einer statischen IP-Adresse aktualisieren sowohl die A- als auch die PTR-Ressourceneinträge.

   Clients, denen über DHCP eine IP-Adresse zugewiesen wurde, aktualisieren nur A-Ressourceneinträge.
   Das Updaten der PTR-Ressourceneinträge wird vom DHCP-Server vorgenommen.
   Um einen DNS-Client zu einer dynamischen Registrierung zu veranlassen, verwenden Sie den Befehl   

   ipconfig /registerdns   (oder starten den Computer neu).

- Geben Sie zur Anzeige des DNS-Clientcaches an der Befehlszeile den Befehl   ipconfig /displaydns   ein.

   Geben Sie zum Löschen des DNS-Clientscaches den Befehl   ipconfig /flushdns   ein.

 

Zusammenfassung des Kapitels 4   0215

-  In Windows Server 2003-Netzwerken werden zwei Systeme für die Benennung von Computern verwendet:
   DNS und NetBIOS.

   Zur Auflösung von Computernamen unternimmt der DNS-Clientdienst in Windows Server 2003 zunächst den
   Versuch einer DNS-Namensauflösung, bevor er die NetBIOS-Namensauflösung einsetzt.

-  DNS-Namen und das DNS-Protokoll werden für Active Directory-Domänen und die Kompatibilität mit dem
   Internet oder dem Intranet benötigt. DNS-Hostnamen dürfen höchstes 63 Bytes umfassen.

- Der DNS-Namenspace ist hierarchisch aufgebaut und basiert auf einen eindeutigen Stamm, der beliebig viele
   untergeordnete DNS-Domänen enthalten kann.
   Ein   FQDN   ist der Name eines DNS-Hosts in diesem DNS-Namensraum, der die Position des Hosts relativ
   zum Stamm der DNS-Domänenstruktur anzeigt (z.B.: host1.subdomain.cont.local).

-  Eine   DNS-Zone   ist ein zusammenhängender Abschnitt eines Namensraumes, für den ein Server autori-
   sierend ist.

   Ein Server kann für eine oder mehrere Zonen autorisierend sein, während eine Zone eine oder mehrere
   zusammenhängende Domänen enthalten kann.

   Ein DNS-Server ist dann für eine Zone autorisierend, wenn er ein primäres oder sekundäres DNS-Exemplar
   der DNS-Zone hostet.

- Der   DNS-Clientdienst   (bzw. die Auflösung) versucht zunächst, die Computernamen mithilfe lokal zwi-
   schen­engespeich­erter Informationen aufzulösen.

   Wenn dieser Vorgang erfolglos ist, fragt die Auflösung (Resolver) einen DNS-Server ab.

   Wenn der DNS-Server den Namen nicht über seine autorisierenden Einträge oder mithilfe seines lokalen
   Caches auflösen kann, setzt er die Rekursion ein, um den Namen für einen Client aufzulösen.

- Bei der   Rekursion   handelt es sich um einen Vorgang, bei dem ein DNS-Server andere DNS-Server im
   Auftrag eines DNS-Clients abfragt.

   Um die Rekursion ordnungsgemäß durchzuführen, benötigt der DNS-Server Informationen über den
   Startpunkt für die Suche nach Namen im DNS-Namenraum.
   Diese Informationen werden mit der Datei für Stammhinweise   Cache.dns   bereitgestellt, die auf dem
   Servercomputer gespeichert ist.

   Ein DNS-Server, welcher die „.“-Zone hostet, hat keine Cache.dns Datei mehr und kann somit keine
   weiteren Stammserver im Internet finden.

-  Ein   Server für Zwischenspeicherungen   leitet alle Anforderungen an andere DNS-Server weiter und hostet
   keine Zonen. Server für Zwischenspeicherungen nehmen jedoch eine Zwischenspeicherung der Antworten
   vor, die von anderen DNS-Servern empfangen wurden, und können daher die Namensauflösung für ein
   Netzwerk verbessern, das keine Zone hostet
   (Indikator: kein Zonenreplikationsverkehr über eine langsame WAN-Strecke).

   Um zu sehen, welche DNS-Auflösungen auf einem DNS-Server zwischengespeichert wurden (Server-Cache),

   stellt am DNS-Server für Zwischenspeicherungen die Ansicht auf   erweiterte Ansicht   und schaut dann unter
   Zwischengespeicherte Lookupvorgänge   nach.


- Neue Zonen   enthalten nur zwei Ressorceneinträge: den Eintrag für den Autoritätsursprung (SOA) ent-
   sprechend der Zone und einen Namenserver (NS)-Ressourceneintrag für den lokalen DNS-Server.

   Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden, wie z. b.:
   Host (A)-, Alias (CNAME)-, MX-, SVR- und PTR-Einträge

- DNS-Clients mit Windows 2000, XP oder Server 2003 versuchen standardmäßig, ihre Ressourceneinträge
   dynamisch in DNS zu registrieren und zu aktualisieren.

   Clients mit einer statischen IP-Adresse aktualisieren den A- und den PTR-Eintrag.

   Clients, denen über DHCP eine IP-Adresse zugewiesen wurde, aktualisieren nur A-Ressourceneinträge.
   Das Update der PTR-Einträge wird vom DHCP-Server übernommen.

   Um einen DNS-Client zu einer dynamischen Registrierung zu veranlassen, verwenden Sie den Befehl
   ipconfig /registerdns   oder Sie starten den Computer neu.

- Geben Sie zur Anzeige des DNS-Caches eines DNS-Clients an der Befehlszeile   ipconfig /displaydns   ein.
   Geben Sie zum Löschen des DNS-Caches eines DNS-Clients   ipconfig /flushdns an der Konsole ein.

 

Schlüsselinformationen Kapitel 4   0217

- Das Thema DNS wird in der Prüfung 70-291 am ausführlichsten behandelt. Aus diesem Grund müssen Sie die
   die DNS-Konzepte perfekt beherrschen, wenn sie die Prüfung bestehen wollen.

-  Lernen Sie die gesamte Schrittfolge bei der Auflösung eines Namen durch den DNS-Clientdienst und die
   Funktionen, die der DNS-Clientcache, der DNS-Servercache und die Rekursion jeweils in diesem Prozess
   erfüllen.

- Entwickeln Sie ein Verständnis für die Funktion von A-, CNAME-, MX-, NS-, PTR- und SVR-Ressour­cen­
   einträgen.

- Lernen Sie die Unterschiede zwischen primären, sekundären und Stubzonen.

-  Lernen Sie die Anwendungsbereiche der folgenden Befehle:
   nbtstat -c             listet die Namen im lokalen Cache für NetBIOS-Namen auf 

   nbtstat -R            leert den lokalen Cache für NetBIOS-Namen

   ipconfig /all        Listet allgemine Konfigurationsdaten aller Netzwerkadapter auf (IP-Konfiguration ...)

   ipconfig /displaydns           Anzeige                                          des lokalen DNS-Client-Namencaches

   ipconfig /flushdns                          Löschen des lokalen DNS-Client-Namencaches

   ipconfig /registerdns          Erneuert alle DHCP-Leases und führt eine erneute dynamische Registrierung
                                             (A- und PTR-Eintrag) des DNS-Namens eines Clients (Windows 2000, XP
                                             oder Server 2003) in einer DNS-Zone, die für dynamische Updates konfigu-
                                             riert ist.
- Entwickeln sie ein Verständnis für die verschiedenen Suffixsuchoptionen für DNS-Clients.

-  Lernen Sie, welche DNS-Clients in DNS dynamische Updates vornehmen können.

   Entwickeln Sie auch ein Verständnis für die Einträge, die DHCP- und Nicht-DHCP-Client standardmäßig            aktualisieren.

   Lernen Sie schließlich die Einstellungen, die durch das Dialogfeld   Erweiterte TCP/IP-Einstellungen   das
   Verhalten bei dynamischen Updates geändert werden kann.

-  Prägen Sie sich für die Simulationsfragen ein, wie Sie Zonen und Ressourceneinträge unterschiedlicher
   Typen konfigurieren. Üben Sie auch, wie Sie DNS-Clientoptionen konfigurieren, zum Beispiel Optionen für
   dynamisches Update und DNS-Suffixsuchoptionen.

 

Schlüsselbegriffe   218

NetBIOS                 ist  eine API, die in älteren Microsoft-Netzwerken verwendet wird und Computern er­
                              möglicht, Verbindungen herzustellen und Nachrichten auszutauschen.

                              Benennung und Namensauflösung bilden zwei der Dienste, die von NetBIOS bereitgestellt
                              werden.

FQDN                     vollqualifizierter Domänenname (Fully Qualified Domain Name).

                              Ein DNS-Name, mit dem ein Computer eindeutig im Netzwerk indentifiziert wird.

Rekursion              ist ein Vorgang, bei dem ein DNS-Server andere DNS-Server abfragt, um im Auftrag
                              eines Clients einen Namen aufzulösen.

Rekursive Abfrage                ist eine Clientabfrage, die vom Server mittels Rekursion verarbeitet werden soll.

Stubzone               ist ein Kopie einer Zone, die nur für die Identifizierung der autorisierenden DNS-Server
                              für die Masterzone erforderlichen Ressourceneinträge enthält.
                              Diese Einträge werden laufend aktualisiert.

 


5. Kapitel 5   Konfigurieren einer DNS-Infrastruktur

5.1. Lektion 1   Konfigurieren der Eigenschaften von DNS-Servern

 

Eigenschaften-Registerkarten zum Konfigurieren eines DNS-Servers

Schnittstellen          (Festlegen von lokalen IP-Adressen, zur DNS-Abfragen Überwachung)

Weiterleitungen        (Es Abfragen nach bestimmten DNS-Domänen an bestimmte DNS-Server weitergeleitet)  

Erweitert                 (Aktivieren/Deaktivieren von Serveroptionen wie Rekursion, Round-Robin, ...)

Stammhinweise       (Anzeige der der Datei welche in   %Windir%\System32\Dns\Cache.dns   liegt)

Debugprotokollierung               (standardmäßig deaktivierte Protokollierung der gesendeten/empfangenen Datenpakete)

Ereignisprotok.        (Spezifizierung, was im Ereignisprotokoll registriert werden soll)

Überwachen                           (Überprüfung der DNS-Funktionalität)

Sicherheit                (steht nur zur Verfügung wenn der DNS-Server auch auf einem DC läuft)

 

Prüfungstipp   0226

Zum Beantworten der Simulationsfragen müssen Sie wissen, wie sie die Überwachungseigenschaften von DNS konfigurieren, in dem Sie Schnittstellen zum DNS-Server hinzufügen oder entfernen.

Die entsprechenden Fragen erkennen Sie daran, dass gefordert wird, dass ein DNS-Server nur auf Abfragen reagieren soll, die aus bestimmten Netzwerken stammen (zum Beispiel dem privaten  Netzwerk).

 

Tipp   0227

Um festzulegen, wie lange der Weiterleitungsserver vor einem Timeout auf eine Antwort von einer Weiterleitung warten soll, geben Sie der Registerkarte   Weiterleitungen   einen Wert in das Textfeld  

Sek. bis zur Zeitüberschreitung der Weiterleitungsabfragen   ein. Der Standardwert beträgt 5.

 

Eine   bedingte Weiterleitung   ist die Weiterleitung ausgewählter Abfragen, d.h. es wurde für je eine bestimmte Zone (von mehreren) ein entsprechender DNS-Server ausgewählt (z.B. für Zone cont.de der DNS-Server 192.168.2.1 und für die  rot.cont.de der DNS-Server 192.168.4.1).

 

Anwendungsbereiche für Weiterleitungen

-  Mehrere interne DNS-Server sollen nicht direkt mit externen Servern kommunizieren, da das Netz über eine
   langsame WAN-Verbindung mit dem Internet verbunden ist.
   In diesem Falle werden alle DNS-Abfragen über eine Weiterleitung auf einen ganz bestimmten DNS-Server
   gebündelt, welcher als einzigster DNS-Server die DNS-Server im  Internet abfragt.

   Der Servercache dieses bestimmten DNS-Servers wächst rasch bis zu seiner Maximalgröße an und vermindert

   somit rasch die Notwendigkeit externer Abfragen.

- Zweiter Einsatzszenario wäre das Ermöglichen von DNS-Clients und DNS-Servern innerhalb einer Firewall
   zu ermöglichen, DNS-Namen sicher aufzulösen - ohne das interne Netzwerk für externe Server zugänglich zu
   machen.

   Hintergrund:

   Wenn ein interner DNS-Server oder -Client mittels iterativer Abfragen mit externen DNS-Servern kommu­
   niziert, müssen die für die DNS-Kommunikation mit allen externen Servern verwendeten Ports normalerweise
   über die Feuerwall (z.B. ISA-Server 2006) offen gehalten werden.

   Wenn Sie jedoch genau einen DNS-Server innerhalb der Firewall jedoch für das Weiterleiten externer Abfra­
   gen an eine einzelne DNS-Weiterleitung außerhalb der Firewall konfigurieren und Ports anschließend nur für
   diese Weiterleitung öffnen, können Sie Namen auflösen, ohne Ihr Netzwerk für externe Server zugänglich zu
   machen.

 

Prüfungstipp   0228

Falls Ihre Weiterleitungen ausfallen, sollten Sie sie entfernen und Ihre DNS-Server zwingen, rekursiv die Stammserver abzufragen.

Falls Sie Weiterleitungen konfigurieren und die Stammhinweise entfernen, zwingen sie dagegen ihre DNS-Server, für alle nicht aufgelösten Abfragen die Weiterleitung zu benutzen.

 


Wann bedingte Weiterleitung eingesetzt werden sollte :

Der Begriff   bedingte Weiterleitung   beschreibt eine DNS-Serverkonfiguration, bei der Abfragen nach bestimmten DNS-Domänen an bestimmte DNS-Server weitergeleitet werden.

Es hat zwei Vorteile:

Es wird einerseits der Zonenübertragungsverkehr vermieden, die Zonendaten sind auf den aktuellsten Stand und

andererseits die Konfiguration und Wartung vereinfacht ist.

 

Prüfungstipp:   0230

Bedingte Weiterleitung ist ein Thema, dass Ihnen in der Prüfung 70-291 möglicherweise gleich mehrmals begeg­net. Lernen Sie, welchem Zweck sie dient und welche Vorteile sie bietet. Um die Simulationsfragen beantworten zu können, müssen Sie wissen, wie sie die bedingte Weiterleitung auf der Registerkarte   Weiterleitungen   des Eigenschaftendialogfelds des DNS-Servers konfigurieren.

Sie erkennen solche Simulationsfragen daran, dass gefordert wird, dass Namensauflösungsanforderungen für eine bestimmte Domäne (z. B. rot.cont.de) von einem Server in dieser Domäne aufgelöst werden soll oder kein Zonenübertragungsverkehr über WAN (Wide Area Network)-Verbindung laufen soll.

 

Beispielszenario für bedingte Weiterleitung:

DNS-Server, welcher die Zone contoso.com hostet, leitet alle Abfragen nach fabrikam.com zum dortigen DNS-Server und alle anderen externen Abfragen gehen zu einem DNS-Server außerhalb der Firewall.

DNS-Server, welcher die Zone fabrikam.com hostet, leitet alle Abfragen nach contoso.com zum dortigen DNS-Server und alle anderen externen Abfragen gehen zu einem DNS-Server außerhalb der Firewall oder zum ISP des Fabrikam-Unternehmens.

Zwischen beiden Zonen gibt es keinen Zonenübertragungsverkehr.

 

Vorteile des Deaktivierens der Rekursion:

Auf der Registerkarte Erweitert kann die Rekursion für alle Abfragen deaktiviert werden, die unter Angabe einer Domäne durchgeführt werden (Haken weg bei „Rekursionsvorgang (und Forwarder) deaktivieren“).

Somit wird die Antwortzeit für Abfragen, die für die Weiterleiterleitung konfiguriert wurden, auf die unausweichliche Antwortnachricht über einen Fehlschlag der Abfrage reduziert.

Wenn Weiterleitungen in dieser Weise in Verbindung mit einer Deaktivierung der Rekursion konfiguriert werden, wird der lokale DNS-Server als Slave-Server, da er für Abfragen, die nicht lokal aufgelöst werden können, vollständig auf die Weiterleitung angewiesen ist.

 

Hinweis   0231

Verwechseln Sie nicht den Begriff Slave-Server nicht mit dem Begriff Slave-Zone, der in einigen DNS-Imple­mentierungen verwendet wird.

 

Hinweis   0231

Während auf der Registerkarte   Weiterleitungen   die Rekursion für ausgewählte Abfragen für Domänen kon­figuriert werden kann, in den Weiterleitungen eingesetzt werden,

kann auf der Registerkarte   Erweitert   die Rekursion für alle Abfragen deaktiviert werden, die den lokalen Server erreichen.

 

Hinweis   0232

Wenn die Rekursion auf einen DNS-Server mithilfe der Registerkarte   Erweitert   deaktiviert wird, können Weiterleitungen auf diesem Server nicht mehr verwendet werden, und  die Registerkarte   Weiterleitungen   steht nicht mehr zur Verfügung!!!

 

Prüfungstipp   0232

Sie müssen für die Prüfung die Themen Stammhinweise und Stammserver beherrschen, da sie sowohl in Multiple-Choise- als auch in Simulationsfragen vorkommt.

Neben den bisher beschriebenen Informationen müssen Sie auch wissen, dass Sie einen DNS-Server in einen Stammserver verwandeln, wenn Sie eine Zone namens „.“ (nur ein einzelner Punkt)zu diesem DNS-Server hinzufügen.

Und in diesem Fall leitet der DNS-Server überhaupt keine Abfragen weiter und führt auch keine Rekursion  für externe Namen durch. Wenn Sie auf diese Weise einen Stammserver konfigurieren, können Clients im Allgemeinen nicht mehr auf das Internet zugreifen.

Benutzer können aber weiterhin im Web surfen, wenn ein Web-Proxyserver, zum Beispiel ein Internet Security and Acceleration (ISA)-Server, im Netz bereitgestellt und die Browser so konfiguriert wurden, dass sie auf den Proxy Verweisen.

Bei einen sehr großen privaten Namenspace kann man eigene Stammserver in die Cache.dns eintragen und die Internetstammserver löschen.


Hinweis   0233

Im Abstand von einigen Jahren wird die Liste der Stammserver im Internet regelmäßig leicht geändert.

Da in der Datei   %Windir%\System32\DNS\Cache.dns   bereits recht viele Stammserver enthalten sind, die kontaktiert werden können, ist es nicht notwendig, die Datei für Stammhinweise bei jeder einzelnen Änderung anzupassen.

Die aktuellste Version der Datei können Sie bei InterNIC unter ftp://internic.net/domain/named.cache herunterladen.

 

Zusammenfassung der Lektion 5.1   0242

- Auf der Registerkarte   Schnittstellen   des Eigenschaftsdialogfeldes eines DNS-Servers können die IP-
   Adressen des lokalen Computers angegeben werden, die der DNS-Server auf DNS-Anforderungen
   überwachen soll.

-  Auf der Registerkarte   Weiterleitungen    des Eigenschaftendialogfeldes eines DNS-Servers können die
   DNS-Abfragen, die vom lokalen DNS-Server empfangen werden, an übergeordnete DNS-Server,
   die so genannten Weiterleitungen, weitergereicht werden.

   Auf dieser Registerkarte kann auch die Rekursion für ausgewählte, unter Angabe der ausgewählten Domäne
   deaktiviert werden.

- Wenn ein DNS-Server innerhalb der Firewall für das Weiterleiten externer Abfragen an eine einzelne DNS-
   Weiterleitung außerhalb der Firewall konfiguriert wird und Ports anschließend nur für diese Weiterleitung
   geöffnet werden, können Namen aufgelöst werden, ohne das Netzwerk für externe Server zugänglich zu
   machen.

- Die Registerkarte   Stammhinweise   bietet eine einfache Methode zur Änderung des Inhalts der Datei
   Cache.dns.

   Wenn Sie Ihren DNS-Server zur Auflösung von Internetnamen einsetzen, müssen diese Einträge in der Regel
   nicht geändert werden.

   Wenn der DNS-Server jedoch nur für die Beantwortung von Hosts in einem separaten und privaten DNS-
   Namensraum genutzt wird, sollten diese Stammhinweise geändert werden, damit sie auf die Stammserver
   in Ihrem Netzwerk verweisen.

   Fungiert der DNS-Server schließlich als Stammserver (mit der Bezeichnung „.“) Ihres privaten Namenspaces,
   sollte die Datei gelöscht werden.

- Auf der Registerkarte   Überwachen   des Eigenschaftendialogfeldes eines DNS-Servers kann die
   DNS-Basisfunktionalität mit zwei einfachen Tests überprüft werden:

   einer einfachen Abfrage auf den lokalen DNS-Server und einer rekursiven Abfrage an die DNS-Stammserver.

 


5.2. Lektion 2   Konfigurieren von Zoneneigenschaften und -übertragungen

 

Eigenschaften-Registerkarten zum Konfigurieren einer Zone

Allgemein                (Anhalten, Typ Ändern, Zonendateiname, dynamische Updates und Alterung)

Autoritätsursprung    (Seriennummer inkrementieren, primärer Server, verantwortliche Person,

(SOA)                                    Aktualisierungsintervall, Wiederholungs-, Läuft ab nach, Maximum TTL und TTL)

Namenserver                          (enthält autorisierende Nameserver Einträge für eine Zone)

WINS                      (WINS-Forward-Lookup verwenden, WIN-Server-IP-Adressen, TTL)

Zonenübertragungen (Einschränkung von Zonendatenübertragungen auf bestimmte sekundäre Server)

 

Prüfungstipp   0245

Es gibt mehrere Punkte, die Sie für die Prüfung 70-291 über Active-Directory-integrierte Zonen merken müssen.

Erstens sollten Sie wissen, wie sie konfiguriert werden.

Zweitens sollten Sie sich einprägen, Dass Sie Active Directory-integrierte Zonen nur auf DNS-Servern imple­mentieren können, die auch Domänencontroller sind.

Drittens ermöglichen sie es, DNS-Daten automatisch über das gesamte Active Directory zu replizieren.

Somit können Sie darauf verzichten, sekundäre Server einzurichten.

Viertens verringern Sie den Zonentransferverkehr, weil nur aktualisierte Einträge (im Gegensatz zu gesamten Zonen) über das Active Directory repliziert werden.

Fünftens bieten die Active Directory-integrierte Zonen die Möglichkeit, sichere dynamische Updates durchzu­führen.

 

Tipp   0246

Um einen primären DNS-Standardserver zu migrieren, konfigurieren Sie einen sekundären Server, übertragen die Zone auf diesen Sekundären Server und stufen ihn anschließend zu einem primären DNS-Server herauf.

Nach dem Heraufstufen des sekundären DNS-Serverskann der ursprüngliche Server gelöscht werden.

 

Planung 0246

Weil Active-Directory-integrierte Zonen so viele Vorteile (kein separater Mechanismus für Zonenübertragungen, Fehlertoleranz durch Masterreplikation, schonender Umgang mit Netzwerkressourcen, da nur Änderungen repliziert werden und sichere Updates) bieten, sollten Sie Ihre DNS-Server nach Möglichkeit auf Domänencontrollern bereitstellen.

 

Anwendungsverzeichnispartitionen und DNS-Replikation

Eine Anwendungsverzeichnispartition ist eine Verzeichnispartition, die auf eine bestimmte Untermenge von Do­mänencontrollern mit Windows Server 2003 repliziert wird.

- Vordefinierte Anwendungsverzeichnispartition   Für DNS sind in jeder AD-Domäne zwei vordefinierte
   Anwendungsverzeichnispartitionen, nämlich die DomainDnsZones und die ForestDnsZones.

   Wenn Sie im Dialogfeld   Bereich der Zonenreplikation ändern   die Option  

   Auf allen DNS-Servern in der Active Directory-Gesamtstruktur aktivieren,

   werden die DNS-Zonendaten in der   Anwendungsverzeichnispartition ForestDNSZones   gespeichert.

   Wenn Sie dagegen die Option Auf allen DNS-Servern in der Active Directory-Domäne aktivieren,
   wählen Sie die Speicherung der DNS-Zonendaten   Anwendungsverzeichnispartition ForestDNSZones  
   aus.

- Erstellen benutzerdefinierter Anwendungsverzeichnispartitionen   Man kann sie wie folgt erstellen:

   Mitglied der   Organisations-Admins   sein.

   dnscmd [servername] /createdirectorypartition FQDN           (Partitionserstellung)

   dnscmd servername /enlistdirectorypartition FQDN              (Hinzufügen weiterer DNS-Server)

   dnscmd server1 /createdirectorypartition SpezialDNS.cont.de        (Erstellung der Anw-Verz-Partition

                                                                                           SpezialDNS auf dem Server: server1)

   dnscmd server2 /enlistdirectorypartition SpezialDNS            (Aufnehmen des DNS-Servers: server2

                                                                                           in die Anw.-Verz.-P. SpezialDNS)

   Die Option   Auf allen Domänencontrollern, die im Bereich der folgenden Anwendungsverzeichnis­-
   partition   ist nur verfügbar, wenn im Netzwerk mindesten eine benutzerdefinierte Anwendungsverzeichnis-
   partition  für DNS vorhanden ist.

- Replikation mit Windows 2000 Servern  

   Da Anwendungsverzeichnispartitionen auf Windows 2000-Domänencontrollern nicht zur Verfügung stehen,
   müssen Sie im Dialogfels   Bereich der Zonenreplikation ändern   die dritte Option aktivieren, damit die
   Zonendaten von DNS-Servern mit Windows 2000 gelesen werden können.

-  Bei aktivierter vierter Option   Auf allen Domänencontrollern in der Active Directory-Domäne   werden
   die Daten nicht nur auf alle DNS-Server repliziert, die auch als DCs fungieren, sondern auf alle Domänen-
   controller, ohne zu berücksichtigen, ob es sich dabei auch um DNS-Server handelt.  


Anzeige der Anwendungsverzeichnispartitionen

Die Anwendungsverzeichnispartitionen werden wie folgt angezeigt:

 

Hinweis:   0248

Wenn eine der beiden Anwendungsverzeichnispartitionen gelöscht oder beschädigt wird, können Sie sie in der Konsole   DNS   neu erstellen, indem Sie mit der rechten Maustaste auf den Serverknoten klicken und anschließend auf   Standard-Anwendungs-Verzeichnispartitionen erstellen   klicken.

 

Prüfungstipp    0249

Gehen Sie davon aus, dass die Konzepte im Zusammenhang mit Anwendungsverzeichnispartitionen sowie Optionen im Dialogfeld   Bereich der Zonenreplikation ändern   Bestandteil der Prüfung sind.

Damit Sie auf Simulationsfragen vorbereitet sind, sollten Sie auch üben, wie den Bereich der Zonenreplikation einstellen.

 

Praxistipp   0251

Hosteinträge per Hand hinzufügen.

Auch wenn für eine bestimmte Zone dynamische Updates aktiviert sind, ist unter Umständen manchmal nötig, Hosteinträge von Hand zur Zone hinzufügen.

Nehmen wir z. B. an, ein Unternehmen namens Cont benutzt den Domänennamen cont.de sowohl für seinen öffentlichen Namensraum als auch für seine interne Active Directory-Domäne.

Server-Szenario:

NS.cont.de und www.cont.de sind als öffentliche Server außen vor der Firewall und

dns1.cont.de, dc.cont.de und web.cont.de als interne Server hinter der Firewall im privaten Netzwerk cont.de aufgestellt.

In diesem Fall liegt der öffentliche Webserver mit dem Namen www.cont.de außerhalb der Active Directory-Domäne.

Updates führt er nur auf dem öffentlichen DNS-Server aus, der für cont.de autorisierend ist.

Interne Client richten ihre DNS-Abfrage dagegen an die interne DNS-Server.

Weil der A-Eintrag für www.cont.de auf diesen internen DNS-Servern nicht dynamisch aktualisiert wird, muss der Eintrag von Hand hinzugefügt werden.

Nur dann können interne Clients den Namen auflösen und eine Verbindung zum öffentlichen Webserver herstellen.

Auch wenn Sie einen alten UNIX-DNS-Server im Netz haben, müssen Sie möglicherweise Hosteinträge von Hand eintragen (Clients und Server).

 

Auslöser für dynamische Updates.

-  Im Dialogfeld   Eigenschaften von Internetprotokoll (TCP/IP)   wird eine IP-Adresse hinzugefügt, entfernt

   oder geändert.

- Auf dem DHCP-Server wird eine IP-Adresslease für eine der auf dem lokalen Computer installierten Netz-
   werkverbindungen geändert oder erneuert.

   Diese Situation tritt zum Beispiel ein, wenn der Computer gestartet oder der Befehl   ipconfig /renew   ver-
   wendet wird.

-  Auf einem DNS-Clientcomputer wird der Befehl   ipconfig /registerdns   eingesetzt, um manuell eine Aktu-
   alisierung der Clientnamensregistrierung in DNS zu veranlassen.

- Der DNS-Client wird eingeschaltet.

-  Ein Mitgliedsserver in der Zone wird zu einem Domänencontroller heraufgestuft.

 

Prüfungstipp   0253

Damit Sie auf Simulationsfragen vorbereitet sind, sollten Sie üben, wie Sie sichere dynamische Updates für eine Zone  obligatorisch machen.

Sie erkennen solche Fragen daran, dass gefordert wird, dass nur autorisierte Clientcomputer DNS-Updates durchführen dürfen oder ein Computer nicht in der Lage sein darf, den Eintrag im Auftrag eines anderen Computer zu überschreiben.

 

Hinweis   0253

Nur Clients mit Windows 2000, XP oder Windows Server 2003 können dynamische Updates an einen DNS-Server senden.  

Für Windows NT, Windows 95/98/Me stehen dynamische Updates generell nicht zur Verfügung.

Bei entsprechender Konfiguration des Servers (z.B. ein DHCP-Server) jedoch dynamische Updates im Auftrag anderer Clients durchführen.      


Sichere dynamische Updates und die Gruppe DnsUpdateProxy

Wenn in einer Zone sichere dynamische Updates erforderlich sind, kann ein Ressourceneintrag nur von seinem Besitzer aktualisiert werden (der Besitzer eines Eintrages ist der Computer, der den Eintrag ursprünglich registriert hat).

Fügen Sie zur Sicherheitsgruppe    DnsUpdateProxy   die DHCP-Server hinzu, die Einträge im Auftrag anderer Computer (oft Windows 95/98/Me-Clients) registrieren.

Mitglieder dieser Gruppe werden daran    gehindert, das Besitzrecht an den Ressourceneinträgen zu übernehmen   , die sie in DNS aktualisieren.

Dieses Verfahren lockert daher die Sicherheit der jeweiligen Einträge, bis sie durch den wahren Besitzer registriert werden können.

 

Prüfungstipp   0253

Sie sollten die Bedeutung der Gruppe DnsUpdateProxy kennen, wenn Sie die Prüfung 70-291 ablegen wollen.

 

Hinweis   0255

Wenn Alterung und Aufräumvorgänge für eine Zone aktiviert sind, können Zonendateien nicht von DNS-Servern mit einem Prä-Windows 2000-Betriebssystem gelesen werden.

 

Tipp   0255

Wenn Sie das Intervall für Nichtaktualisierung oder das Aktualisierungsintervall (Zeitspanne nach dem Intervall für Nichtaktualisierung) ändern, müssen Sie unbedingt darauf achten, dass das Aktualisierungsintervall nicht kleiner sein darf  als das Intervall für Nichtaktualisierung.

Standardintervall für Nichtaktualisierung beträgt 7 Tage.

Standardaktualisierungsintervall beträgt 7 Tage.

 

 

Prüfungstipp   0255

Bereiten Sie sich auf Simulationsfragen vor, in denen Sie Alterung und Aufräumvorgang für eine Zone konfigu-rieren müssen.

Zum Beispiel könnte eine Frage die Anforderung enthalten, dass Hosts ihre Einträge nur alle 12 Tage aktualisieren sollen.

In diesem Fall müssen Sie erkennen, dass sich diese Anforderung auf das Intervall für Nichtaktualisierung bezieht.

Und wenn Sie eine Anforderung lesen, dass Einträge, die 20 Tage lang nicht aktualisiert wurden, aus der Zonen-datenbank gelöscht werden sollen, müssen Sie erkennen, dass es um die Summe aus Intervall für  Nicht-aktualisierung plus Aktivierungsintervall geht. Falls Das Intervall für Nichtaktualisierung 8 Tage beträgt,

muss das Aktivierungsintervall also auf 12 Tage gesetzt werden, damit die Anforderungen erfüllt wird.

Denken Sie unbedingt daran, Alterung und Aufräumvorgang sowohl auf Zonen- als auch auf Serverebene zu aktivieren.

 

Prüfungstipp   0257

Wenn Sie die Schaltfläche   Inkrement   auf der SOA-Registerkarte anklicken, erzwingen Sie einen DNS-Zonentransfer.

 

 

Tipp   0257

Durch das Vergrößern des Aktualisierungsintervalls (Standard 15 Minuten) wird der Datenverkehr für Zonen-Übertragungen reduziert.

 

Prüfungstipp   258

Machen Sie sich mit allen Einstellungen und Konzepten im Zusammenhang mit der Registerkarte Autoritätsursprung (SOA) eingehend vertraut.

Seriennummer:                       beginnt mit 1 und wächst mit jeder Änderung um 1

Primärer Server:                      vollständiger Computername mit einem Punkt am Ende (ganz rechts)

Verantwortl. Person:                Verwaltet diese DNS-Zone, erzeugt einen RP-Ressourceneintrag

                                             (Domänen-Mail-Adresse)

Aktualisierungsintervall:           Standardzeit = 15 Minuten

Wiederholungsintervall:            Standardzeit = 10 Minuten

Läuft ab nach:                         Standardwert = 1 Tag

Minimum TTL (Standard):         Standardwert = 1 Stunde

 


Hinweis   0259

Jede Zone muss im Zonenstamm mindestens einen NS-Ressourceneintrag enthalten.

 

Hinweis   0259

In primären Zonen sind Zonenübertragungen nur für Server zulässig, die auf der Registerkarte   Namenserver   angegeben sind.

Diese Einschränkung wurde mit Windows Server 2003 neu eingeführt.

 

Prüfungstipp   0260

Für die Prüfung 70-291 müssen Sie die Optionen für WINS-Lookupvorgänge kennen.

Wenn Sie für eine Forward-Lookupzone WINS-Lookupvorgänge konfigurieren, wird zur Zonendatenbank ein WINS-Ressourceneintrag hinzugefügt, der auf den WINS-Server verweist, der auf der Registerkarte   WINS   angegeben ist.

Wenn Sie für eine Reverse-Lookupzone WINS-R-Lookupvorgänge konfigurieren, wird zur Zonendatenbank ein entsprechender WINS-R-Ressourceneintrag hinzugefügt.

Sie können die Redundanz erhöhen, indem Sie zwei Einträge hinzufügen, die auf unterschiedliche WINS-Server verweisen.

 

Prüfungstipp   0261

Prägen Sie sich für die Simulationsfragen die Prozedur zum Konfigurieren der Zonentransfers ein.

Lernen Sie die Unterschiede zwischen den drei Zonentransferoptionen.

 

Insidertipp   0261

In Windows 2000 war die Standardeinstellung auf der Registerkarte   Zonenübertragungen   für primäre Zonen so eingerichtet, dass Übertragungen an alle (DNS) Server möglich waren, was jedoch eine unnötige Sicherheitslücke war.

Warum sollten Sie auch jeder Person, die auf Ihren DNS-Server zugreifen kann, die Einrichtung eines sekun-dären DNS-Servers und somit eine genaue Durchsicht der Ressourceneinträge Ihres Netzwerkes ermöglichen?

Die standardmäßige Einschränkung der Zonenübertragung ist hingegen wesentlich eleganter (Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind).

Sie ermöglicht das Unterbinden nicht autorisierter Kopiervorgänge von Zonendaten.

 

Bei aktivierten  Zonenübertragungen werden standardmäßig alle Server, die auf der Registerkarte   Namenserver   aufgeführt sind, automatisch über Zonenänderungen informiert.

 

Prüfungstipp   0261

Prägen Sie sich für die Simulationsfragen die Prozedur zum Aktivieren von Benachrichtigungen an andere DNS-Server in einer Zone ein.

Solche Fragen erkennen Sie daran, dass gefordert wird, dass Änderungen in einer Zone sofort in allen sekundären Zonen aktualisiert werden sollen.

Denken Sie auch daran, dass Sie für Active-Directory-integrierte Zonen keine Benachrichtigungen zu konfigurieren brauchen (Replikation alle 15 Minuten).

 

Benachrichtigung und Einleitung der Zonenübertragung

-  Aktualisierungsintervall des SOA-Ressourceneintrages der primären Zone ist abgelaufen *

-  Start eines sekundären Servers. *

-  Änderung der Konfiguration des primären DNS-Servers.

* =     Der sekundäre DNS-Server leitet die SOA-Abfrage ein, um festzustellen ob sich die Zonendaten geändert
         haben. Übertragungen finden nur statt, wenn die Zonendatenbank geändert wurde.

 

IXFR     inkrementelle Zonenübertragungen (sek. Server startet diese Abfrage an den Master-Server)

            Standard bei Windows Server 2003

            Windows NT DNS-Server unterstützen nicht IXFR.

AXFR    vollständige Zonenübertragung (sek. Server startet diese Abfrage an den Master-Server)

            Wird unterstützt von Windows Server 2003- und NT-DNS-Servern.

 

Vorgang der Übertragungsabfrage zwischen einen sekundären und einem Master-Server

1.      Zielserver (Sek. Server) macht SOA-Abfrage für die Zone an den QuellServer  (Master-Server)

2.      Quellserver antwortet auf diese SOA-Abfrage mit Zonenstatus-Übermittlung an Zielserver

3.      Zielserver macht eine IXFR- oder AXFR-Abfrage für die Zone an den Quellserver

4.      Antwort vom Quell-Server auf IXFR- oder AXFR-Abfrage (Zonentransfer)


Wichtig   0262

In Active-Directory-integrierten Zonen müssen Zonenübertragungen oder die Benachrichtigung unter Domänencontrollern oder DNS-Servern nicht konfiguriert werden.

Für die Server in diesen Zonen werden Übertragungen automatisch durchgeführt (alle 15 Minuten).

 

Prüfungstipp   0263

Sie sollten das Thema sekundäre Zonen sicher beherrschen, bevor Sie die Prüfung 70-291 ablegen.

Sie können damit rechnen, dass Sie eine Simulationsabfrage bekommen, in der Sie eine sekundäre Zone konfigurieren müssen.

Sie erkennen Fragen zu sekundären Zonen daran, dass gefordert wird, dass die Namensauflösungen lokal stattfinden oder der Namensauflösungsverkehr über eine WAN-Verbindung minimiert werden soll.

Eine andere Möglichkeit: Es wird gefordert, dass ein vollständiges Exemplar der Zone auf dem DNS-Server gespeichert werden soll.

 

 

Zusammenfassung Lektion 5.2   0267

-  Wenn ein DNS-Server auf einem Domänencontroller eingerichtet wird, können die Zonendaten in der
   Active-Directory-Datenbank gespeichert werden.

   Durch Active-Directory-integrierte Zonen wird der Datenverkehr für Zonenübertragungen minimiert, die
   Sicherheit erhöht, der Verwaltungsaufwand reduziert und eine höhere Fehlertoleranz erreicht.

   Zonendaten können so konfiguriert werden, dass

   sie auf alle DNS-Server in der Active Directory-Gesamtstruktur,

   auf alle DNS-Server in der Active Directory-Domäne,

   auf alle Domänencontroller in der Active Directory-Domäne oder

   auf alle Server repliziert werden, die in einer benutzerdefinierten Anwendungsverzeichnispartition auf­ge­-

   führt sind.

-  Wenn in einer DNS-Zone dynamische Updates zugelassen sind, können bestimmte DNS-Clients ihre
   Ressourceneinträge auf einem DNS-Server registrieren und aktualisieren.

   Wenn in der Zone sichere dynamische Updates erforderlich sind, kann ein Eintrag nur von seinem Besitzer
   aktualisierte werden.

   Sichere dynamische Updates können nur in Active-Directory-integrierten Zonen vorgeschrieben werden.

   Client-Computer mit Windows 2000, Windows XP und Server 2003 können dynamische Updates vornehmen.

-  Die Gruppe   DnsUpdateProxy   wird in der Regel für DHCP-Server eingesetzt, die dynamische DNS-
   Updates im Auftrag anderer Computer durchführen.

   Mitglieder dieser Gruppe übernehmen nicht das Besitzrecht an den Ressourceneinträgen, die sie in DNS
   registrieren.

   Diese Einschränkung verhindert Probleme mit Zonen, in denen nur sichere dynamische Updates zugelassen
   sind.

-  Auf der Registerkarte   Autoritätsursprung (SOA)   können der SOA-Ressourceneintrag der Zone und
   verschiedene Parameter konfiguriert werden, die Zonenübertragungen betreffen, z.B. Aktualisierungs-
   intervall,   Wiederholungsintervall,   Lauft ab nach   und   Minimum TTL (Standard). 

-  Auf der Registerkarte   Zonenübertragung   können die Übertragungen von der aktuellen Zone gesteuert
   werden.

   Zonenübertragungen sind entweder vollständig deaktiviert oder auf die Server beschränkt, die auf der
   Registerkarte   Namenserver   angegeben sind.

   Die Art dieser Einschränkung hängt vom Zonentyp und der Methode ab, mit der der DNS-Server installiert
   wurde.

 

 


5.3. Lektion 3   Konfigurieren der erweiterte Eigenschaften von DNS-Servern

 

Standardeinstellungen für die DNS-Installation

Eigenschaft                                                                         Einstellung

Rekursionsvorgang (und Forwarder) deaktivieren                     Deaktiviert

BIND-Sekundärzonen                                                                    Aktiviert

Beim Laden unzulässiger Zonendaten fehlschlagen                 Deaktiviert

Round-Robin aktivieren                                                         Aktiviert

Netzwerkmaskenanforderungen aktivieren                                       Aktiviert

Cache vor Beschädigungen sichern                                       Aktiviert

Namensüberprüfung                                                             MultiByte (UTF8)

Zonendaten beim Start laden                                                 von Active Directory und Registrierung

Aufräumvorgang bei veralteten Einträgen automatisch aktivieren        deaktiviert    (bei Aktivierung ist
                                                                                          Konfiguration erforderlich)

Für die meisten Situationen sind diese Installationsstandardwerte akzeptabel und erfordern keine Änderung.

 

Prüfungstipp   0270

Wenn Sie die Prüfung 70-291 ablegen wollen, sollten Sie mindestens mit den Optionen   Rekursionsvorgang (und Forwarder) deaktivieren, Round-Robin aktivieren   und   Netzwerkmaskenanforderung aktivieren   vertraut sein. 

 

Warnung   0271

Wenn die Rekursion auf einen DNS-Server mithilfe der Registerkarte   Erweitert   deaktiviert wird, können Weiterleitungen auf diesen Server nicht mehr verwendet werden und die Registerkarte   Weiterleitung   steht nicht mehr zur Verfügung

 

Prüfungshinweis 0271 (eigener)

Soll der lokale DNS-Server nur Ressourceneinträge für den privaten Namenspace enthalten, aber die Clients Internetnamen auflösen können, muss die Option   Rekursionsvorgang (und Forwarder) deaktivieren   aktiviert werden.

Die Clients bekommen dann vom DNS-Server die Verweise, mit deren Hilfe sie dann selber iterative Abfragen für die Auflösung der Internetnamen durchführen können.

 

Hinweis   0271

BIND ist eine verbreitete DNS-Implementierung, die auf den meisten Versionen des UNIX-Betriebs portiert wird. Aktuellste Version: BIND 9.3.2

 

Hinweis   0272

Bei der Option   Netzwerkmaskenanforderung aktivieren   wird bei multigehosteten (multihomed) Servern den Clients zuerst die IP-Adresse vom betreffenden Server mitgeteilt, in dessen Subnetz auch der Client ist.

 

Beispiel   0272

Priorität des lokalen Netzwerk:  svr1.cont.de

svr1   IN   A   192.168.2.1

svr1   IN   A   10.0.2.1

svr1   IN   A   172.16.20.1

Client mit IP-Adresse   192.168.2.31   bekommt vom DNS-Server für die Abfrage svr1.cont.de die IP-Adresse 192.168.2.1 als Antwort wieder, da der DNS-Server festgestellt hat, dass der Client die gleiche Netzwerk­ken-nung wie 192.168.2.1 hat (192.168.0.0).

 

Hinweis   0274

Die Netzwerkmaskenanforderung hat bei mehrfach vernetzten Computern (z.B. Web-Servern) Vorrang vor der Round-Robin-Rotation.

Eine aktivierte Round-Robin-Rotation wird jedoch als nach geordnete Sortiermethode für mehrere Einträge, die in einer Antwortliste übermittelt werden.

Bei einer Deaktivierung der Round-Robin-Rotation übermittelt der DNS-Server die übereinstimmenden A-Res­sourceneinträge immer in der Reihenfolge, in der diese Einträge in der Zone vorliegen.


 

Cache vor Beschädigungen sichern   ist standardmäßig aktiviert und bewirkt, dass der DNS-Server seinen DNS-Cache vor Verweisen schützt, die möglicherweise schädigend oder nicht sicher sind.

Zudem führt der Server eine Zwischenspeicherung dann nur für Einträge durch, deren Namen der Domäne dem des ursprünglich abgefragten Namen entsprechen.

 

Beispiel   0275

Wenn eine Abfrage zum Beispiel ursprünglich für   svr1.cont.de   ausgeführt wurde und auf eine verweisende Ant­wort einen Ressourcen-Eintrag für den Namen außerhalb der Domänennamenstruktur   cont.de   (z.B. contoso.de), wird dieser Name verworfen, falls   Cache vor Beschädigungen sichern   aktiviert ist.

Somit wird verhindert, dass nicht autorisierte Computer die Identität eines anderen Netzwerkservers annehmen können.

 

Namensüberprüfung

Methode                                             Beschreibung

ausschließlich RFC (ANSI)      Verwendet eine strenge Überprüfung der Namen nach RFC 1123.

                                             A-Z, a-z, Zahlen 0-9 (kann auch 1. Zeichen sein) und Bindestriche

kein RFC (ANSI)                     Lässt Namen zu, die nicht dem Standard entsprechen und nicht den Namen-
                                             spezifikationen für Internethosts in RFC 1123 genügen.

Multibyte (UTF8) (Standard)    Standardeinstellung.
                                             Lässt die Erkennung von anderen Zeichen als ASCII-Zeichen zu.

                                             Namen im UTF-8-Format dürfen die Größenbeschränkungen nicht über-
                                             schreiten, die in RFC 2181 angegeben sind (max. 63 Oktette je Bezeichnung
                                             und 255 Oktette pro Name).
alle Namen                             Lässt alle Namenkonventionen zu

 

Sollte man mit Nicht-Windows-Servern Zonenübertragungen durchführen, die nicht UTF-8-fähig sind, dann aktiviert man die Option   ausschließlich RFC (ANSI).

 

Hinweis   0278

BIND-Server       Hinweis

4.9.4                 schnelles Übertragungsformat durch Datenkomprimierung
                        (aber ganze Zonendatei wird übertragen)

4.9.7                 SVR-Ressorceneinträge

8.1.2                 dynamische Aktualisierung von Ressourceneinträgen -> Active Directory tauglich

8.2.1                 IFXR

 

Zusammenfassung der Lektion 5.3   0280

-  Auf der Registerkarte   Erweitert   des Eigenschaftendialogfelds eines DNS-Servers können neun
   Installationseinstellungen konfiguriert werden (siehe Seite 31, und außerdem nur AFXR).

-  Die Serveroption   Rekursionsvorgang (und Forwarder) deaktivieren   ist standardmäßig deaktiviert, so
   dass die Rekursion für den DNS-Server aktiviert ist und der Server Abfragen für seine Clients durchführt,
   sofern dieses Verhalten nicht durch eine spezielle Clientkonfiguration außer Kraft gesetzt wird.

   Bei der Aktivierung dieser Serveroption ist der Reiter   Weiterleitung   nicht da und auch keine möglich.

-  Die Option   BIND-Sekundärzonen   ist standardmäßig aktiviert.

   Daher setzen DNS-Server in Windows 2003 kein schnelles Übertragungsformat ein, wenn sie eine Zonen-
   übertragung auf BIND-basierte DNS-Server durchführen.

   Diese Funktion ermöglicht hinsichtlicht hinsichtlich der Zonenübertragungen die Kompatibilität mit älteren
   BIND-Versionen (BIND 8.2.1 kann IFXR [und das ältere AFXR]).

-  Die Option   Netzwerkmaskenanforderung aktivieren   ist standardmäßig aktiviert.

   Daher übermittelt ein DNS-Server in Windows Server 2003 als Antwort auf eine Anforderung zur Auflösung
   es Namens eines mehrfach vernetzten Computers (eines Computers mit mindestens zwei IP-Adressen)
   zunächst die IP-Adresse an den Client, die zum Subnetz des Clients gehört.

-  Die Option   Round-Robin aktivieren   ist standardmäßig aktiviert.

   Daher wechseln DNS-Server in Windows 2003 als Antwort auf eine Anforderung zur Auflösung des Namens
   eines mehrfach vernetzten Computers sowie in Situationen, in denen der keine gefundene IP-Adresse im
   selben Subnetz wie der Client liegt, immer wieder die Reihenfolge der übereinstimmenden
   A-Ressourceneinträge in der Antwortliste die an verschiedene Clients übermittelt wird („Lastverteilung“).

 


5.4. Lektion 4   Erstellen von Zonendelegierungen

 

Das Delegieren einer Zone bedeutet, die Autorität über Abschnitte eines DNS-Namenraums an untergeordnete DNS-Domänen innerhalb dieses Namenraums zuzuweisen.

 

Wann sind Zonendelegierungen sinnvoll?

-  Die Verwaltung einer DNS-Domäne muss an eine Niederlassung oder Abteilung innerhalb Ihrer Organisation
   delegiert werden.

-  Die Last der Pflege einer umfangreichen DNS-Datenbank muss auf mehrere Namenserver verteilt werden,

   um die Leistungen der Namensauflösung und die Fehlertoleranz zu erhöhen.

- Hosts und Hostnamen müssen innerhalb Ihrer Organisation gemäß der Zugehörigkeit zu Niederlassungen
   oder Abteilungen strukturiert werden.

 

Funktionsweise einer Delegierung

-  Ein NS-Eintrag (auch als   Delegierungseintrag   bezeichnet) zu Erstellung der eigentlichen Delegierung.

   Dieser Eintrag wird verwendet, um abfragenden Clients anzuzeigen, dass es sich beim Computer
   svr2.rot.cont.de um einen autorisierenden Server für die delegierte untergeordnete DNS-Domäne handelt.

-  Ein A-Ressourceneintrag (auch als   Verbindungseintrag   bezeichnet) zur Auflösung des Servernamens,
   der, der im NS-Eintrag angegeben ist, in die entsprechende IP-Adresse.

   Verbindungseinträge sind notwendig, wenn der für die delegierte DNS-Zone autorisierende Namenserver
   selbst ein Mitglied der delegierten Domäne ist.

   Der Vorgang der Auflösung des Hostnamens in diesem Eintrag mit den delegierten DNS-Server im
   NS-Eintrag wird bisweilen auch als Verbindungsverfolgung bezeichnet.

 

Hinweis   0282

Diese beiden Einträge werden automatisch durch die Konsole   DNS   erstellt, wenn eine neue Delegierung erstellt wird.

 

Hinweis   0283

Nach der Erstellung einer Delegierung über die Konsole   DNS   wird in den Zonendaten automatisch ein Verbindungseintrag vorgenommen.

Dieser Eintrag wird in der Konsole   DNS   ausgeblendet.

 

Hinweis   0284

Delegierungen haben Vorrang vor der Weiterleitung.

Wenn im z.B. der für die Domäne cont.de autorisierende Server für die Weiterleitung aller Abfragen konfiguriert wird, die er nicht beantworten kann, wird der Server eine Abfrage für den Namen xp2.rot.cont.de weiterhin durch Kontaktieren des DNS-Servers auf svr4.rot.cont.de beantworten, und nicht durch Kontaktieren der Weiterleitung, die auf der Registerkarte   Weiterleitungen   angegeben ist.

(Szenario:

Auf dem DNS-Server svr1.cont.de gibt es eine Delegierung für die DNS-Zone rot.cont.de  an den DNS-Server svr4.rot.cont.de und

Client xp1.cont.de möchte den Namen von Client xp2.rot.cont.de in eine IP-Adresse auflösen)

 

Prüfungstipp   0285

In dieser Lektion haben wir nur das Delegieren von Forward-Lookupzonen behandelt, es aber auch Reverse-Lookupzonen werden delegiert.

RFC 2317 legt fest, dass Sie mit einem NS-Eintrag Ihren DNS-Server so konfigurieren können, dass er den Auftrag, IP-Adressen innerhalb Ihres Adressraumes in Hostnamen zu übersetzen, an einen anderen DNS-Server delegiert (Diese Reverse-Delegierung kann auch bei Ihrem Internetprovider durchgeführt werden, wo sie auf Ihre internen DNS-Server verweist.).

Zum Beispiel können  Sie einen DNS-Server namens svr1.cont.de so konfigurieren, dass er Reverse-Lookups für den Adressraum 192.198.4.0/24 an einen DNS-Server namens svr4.rot.cont.de delegiert.

Dazu konfigurieren Sie auf svr1.cont.de eine Zone namens 0.2.168.192.in-addr.arpa und fügen einen NS-Eintag hinzu, u die DNS-Zonen-Delegierung zu implementieren.

Der NS-Eintrag hat folgendes Format:   0/24   NS   svr4.rot.cont.de.

 


 

Prüfungstipp   0285

Damit Sie die Simulationsfragen richtig beantworten können, müssen Sie das Einrichten einer Delegierung be­herr­­schen.

Diese Aufhabe müssen Sie durchführen, wenn in einer Frage gefordert wird, dass Clients, die auf DNS-Server in einer übergeordneten Domäne verweisen, in der Lage sein müssen, Namen in der untergeordneten oder Subdomäne aufzulösen.

 

Zusammenfassung der Lektion 5.4   0290

-  Das Delegieren einer Zone entspricht dem Zuweisen der Autorität über Abschnitte eines DNS-Namenraumes
   an untergeordnete DNS-Domänen innerhalb eines Namenspaces.

   Eine Zonendelegierung wird vorgenommen, wenn die Zuständigkeit für die Ressourceneinträge einer unter-
   geordneten Domäne vom Besitzer der übergeordneten Domäne auf den Besitzer der untergeordneten Domäne
   übertragen wird.

-  Die Delegierung einer Zone innerhalb eines Netzwerks sollte in Betracht gezogen werden, wenn die Verwal-
   tung einer DNS-Domäne an eine Niederlassung oder Abteilung innerhalb der Organisation delegiert werden
   muss, um die Leistung der Namensauflösung oder die Fehlertoleranz zu erhöhen, oder wenn Hosts und Hosts-
   namen gemäß der Zugehörigkeit zu Niederlassungen oder Abteilungen in der Organisation strukturiert werden
   müssen.

- Damit eine Delegierung implementiert werden kann, muss die übergeordnete Zone sowohl einen NS-Ressour-

   ceneintrag als auch einen A-Ressorceneintrag enthalten, der auf den autorisierten Server der neu delegierten      Domäne verweist.

   Diese Einträge sind für die Übertragung der Autorität auf die neuen Namenserver und für die Bereitstellung
   von Verweisen für Clients erforderlich, die iterative Abfragen durchführen.

   Die Einträge werden automatisch durch die Konsole   DNS   erstellt, wenn eine neue Delegierung erstellt
   wird.

- Zu Erstellung einer Zonendelegierung erstellen Sie zuerst die zu delegierende Domäne auf dem Server,
   der die delegierte Zone hosten wird.

   Anschließend führen Sie auf dem Server, der die übergeordnete Zone hostet, den Assistenten zum Erstellen
   neuer Delegierungen aus, in dem Sie in der Konsole   DNS   mit der rechten Maustaste auf den Knoten der
   übergeordneten Zone klicken und anschliessend auf   Neue Delegierung   klicken.

 


5.5 Lektion 5   Bereitstellen von Stubzonen

 

Eine Stubzone ist eine gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die
NS-Einträge enthält, die zu einer Masterzone gehören.

 

Ein Server, der eine Stubzone hostet, beantwortet keine Abfrage für die Zone direkt, sondern leitet diese Abfragen an einen der Namenserver weiter, der in den NS-Ressourceneinträgen der Stubzone angegeben ist.

Eine Stubzone erfüllt somit genau dieselbe Funktion wie eine Zonendelegierung.

Aber weil Stubzonen Zonenübertragungen von der (delegierten) Masterzoneeinleiten und empfangen können,
bieten Stubzonen den zusätzlichen Vorteil, dass sie übergeordnete Zonen darüber informieren, wenn sich die
NS-Einträge untergeordneter Zonen verändert haben.

 

Stubzonen werden also verwendet, um sämtliche NS-Ressourceneinträge einer Masterzone auf dem aktuellen Stand zu halten.

Zur Konfiguration einer Stubzone müssen Sie mindestens einen Namenserver angeben, der als Master fungiert und dessen IP-Adresse nicht geändert wird, während die anderen Namenserver kommen und gehen.

 

Die Ressourceneinträge einer Stubzone können nicht geändert werden.

Alle Änderungen, die an diesen Einträgen in einer Stubzone vorgenommen werden sollen, müssen in der ursprünglichen primären Zone vorgenommen werden, von der die Stubzone abgeleitet wurde.

 

Vorteile von Stubzonen

-  Bessere Namensauflösung   Mit Stubzonen kann ein DNS-Server die Rekursion einsetzen, indem er die
   Namenserverliste der Stubzone verwendet, ohne den Stammserver abzufragen.

- Zoneninformationen Dritter auf dem aktuellen Stand halten   Durch regelmäßiges Aktualisieren  der
   Stubzone unterhält der DNS-Server, der die Stubzone hostet, eine aktuelle Liste von Namenservern für eine
   andere Zone, z. B. eine delegierte Zone auf einen anderen DNS-Server.

- Delegierung mit Updates   Sie können Stubzonen als Alternative zu Zonendelegierungen einsetzen.

   Statt eine Delegierung an eine Subdomäne zu definieren, erstellen Sie einfach in der übergeordneten Domäne
   eine Stubzone für die Subdomäne.

   Im Unterschied zu Zonendelegierungen ist es bei Stubzonen möglich, Änderungen an den NS-Einträgen bei
   der übergeordneten Domäne bekannt zu machen.

-  Vereinfachen der DNS-Administration   Durch den Einsatz von Stubzonen in der gesamten DNS-Infra-
   struktur können Zoneninformationen ohne Einsatz sekundärer Zonen verteilt werden.

 

Wichtig   0292

Stubzonen dienen nicht demselben Zweck wie sekundäre Zonen und sind bei der Planung für Fehlertoleranz,
Redundanz oder Lastenausgleich keine Alternative.

 

Stubzonen werden meist verwendet, um Zonendelegierungen durchzuführen, wenn abzusehen ist, dass sich die Namenserver der delegierten Zone ändern.

Sie werden auch eingesetzt, um Namensauflösungen über Domänen hinweg in einer weise zu vereinfachen, mit der ein Abfragen von Stammservern oder Weiterleitungen vermieden wird.

Sie sind für die Herstellung einer domänenübergreifenden DNS-Konnektivität von Bedeutung.

 

Prüfungstipp   0293

Sie sollten darauf vorbereitet sein, dass Stubzonen Bestandteil der Prüfung 70-291 sind.

Sie müssen vor allem in der Lage sein, Szenarien zu erkennen, in denen das Einrichten einer Stubzone die beste Lösung ist. Damit Sie die Simulationsfragen richtig beantworten können, müssen Sie das Erstellen einer Stubzone beherrschen.

Sie erkennen Fragen zu Stubzonen daran, dass gefordert wird, dass alle neu zur Zielzone hinzugefügten DNS-
Server in der Liste der abgefragten Server erscheinen müssen.

 

Hinweis   0295

Stubzonen weisen wie Delegierungen ebenfalls Verbindungseinträge in den Zonendaten auf, die in der Konsole   DNS   jedoch nicht angezeigt wird.

 

 


Updates von Stubzonen

-  Neu laden   Mit diesem Vorgang wird die Stubzone aus dem lokalen Speicher des DNS-Servers geladen,
   der sie hostet.

- Übertragungen vom Master   Der DNS-Server, der die Stubzone hostet, stellt fest, ob die Seriennummer im
   SOA-Ressourceneintrag der Stubzone abgelaufen ist, und führt darauf hin eine Zonenübertragung vom
   Masterserver der Stubzone durch.

- Erneut vom Masterserver übertragen   Mit dieser Option wird ungeachtet der Seriennummer im
   SOA-Ressourceneintrag der Stubzone eine Zonenübertragung vom Masterserver der Stubzone durchgeführt.

 

Prüfungstipp   0296

Für die Prüfung 70-291 müssen Sie die Unterschiede zwischen diesen drei Optionen kennen, die auf sekundäre und auf Stubzonen angewendet werden können.

 

Zusammenfassung der Lektion 5.5    0299

- Eine Stubzone ist die gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die
   NS-Einträge enthält, die zu einer Masterzone gehören.

   Stubzonen werden in den meisten Fällen als Alternative zu einer Delegierung eingesetzt.

   Im Vergleich zu einer Delegierung bietet eine Stubzone den zusätzlichen Vorteil, dass eine übergeordnete
   Zone ihre Liste der autorisierenden Namenserver in der untergeordneten Zone auf dem neuesten Stand
   halten kann.

-  Stubzone können auch eingesetzt werden, um die Namensauflösung über Domänen hinweg in einer Weise zu
   vereinfachen, mit der das Abfragen des Stammservers oder der Weiterleitung in der Stammdomäne eines
   DNS-Namenspace vermieden wird.

-  Zur Erstellung einer Stubzone zeigen Sie den Assistenten zum Erstellen neuer Zonen an, in dem Sie in der
   Konsole   DNS   mit der rechten Maustaste auf das DNS-Serversymbol klicken und anschließend auf
   Neue Zone   klicken.

   Im Assistenten zum Einstellen neuer Zonen aktivieren Sie die Option   Stubzone   und folgen den
   Anweisungen des Assistenten.

- Zur Konfiguration einer Stubzone muss mindesten ein Namenserver angegeben werden, der als Master
   fungiert und dessen IP-Adresse nicht geändert wird.
   Die Stubzone wird über Zonenübertragungen automatisch mit allen neuen Namenservern aktualisiert,
   die zu einem späteren Zeitpunkt zur Masterzone hinzugefügt werden.

- Stubzonen dienen nicht demselben Zweck wie sekundäre Zonen und sind keine Alternative bei der
   Planung für Fehlertoleranz, Redundanz oder Lastenausgleich.

 

Hinweis Problembehandlung   0302

-  netdiag /fix                          Reparieren bzw. Neuerstellen von wichtigen DNS-Einträgen (kerberos)

- dnscmd /zoneresettyp rot.cont.de /dsprimary      umwandeln in Active-Directory-integrierte Zone

-  dnscmd . /config rot.cont.de /allowuopdate 2      nur sichere Updates sind zugelassen
                                                                      (nur Computer können die Res-Eintrage aktualisieren,
                                                                        die sie selbst erstellt haben)


Zusammenfassung des Kapitels 5   0303

-  Auf der Registerkarte   Weiterleitungen   des Eigenschaftendialogfelds eines DNS-Servers können
   DNS-Abfragen, die vom lokalen DNS-Server empfangen werden, an übergeordnete DNS-Server,
   so genannte Weiterleitungen, weitergeleitet werden.

   Auf dieser Registerkarte kann auch die Rekursion für ausgewählte Abfragen (unter Angabe der Domäne)
   deaktiviert werden.
-  Die Registerkarte   Stammhinweise   des Eigenschaftendialogfelds eines DNS-Servers bietet eine einfache
   Methode zur Änderung des Inhalts der Datei   Cache.dns.

   Wenn der DNS-Server zur Auflösung von Internetnamen eingesetzt wird, müssen diese Einträge in der Regel
   nicht geändert werden.

   Wenn der DNS-Server jedoch nur für die Beantwortung von Abfragen für Hosts in einem separaten und
   privaten DNS-Namenspace genutzt wird, sollen diese Stammhinweise geändert werden, damit sie auf die
   Stammserver in Ihrem Netzwerk verweisen.

   Fungiert ein DNS-Server schließlich als Stammserver (mit der Bezeichnung „.“) Ihres privaten Namenspaces,
   sollte die Datei   Cache.dns   gelöscht werden.

-  Wenn ein DNS-Server auf einem Domänencontroller eingerichtet, können die Zonendaten in der
   Active-Directory-Datenbank gespeichert werden.
   Durch   Active-Directory-integrierte Zonen   wird der Datenverkehr für die Zonenübertragung minimiert,
   die Sicherheit erhöht, der Verwaltungsaufwand reduziert und eine höhere Fehlertoleranz erreicht.
   Zonendaten können so konfiguriert werden, dass sie auf alle DNS-Server in der Active Directory-Gesamt-
   struktur, auf alle DNS-Server in der Active Directory-Domäne, auf alle Domänencontroller in der
   Active Directory-Domäne oder auf alle Server repliziert werden, die in einer benutzerdefinierten
   Anwendungsverzeichnispartition aufgeführt sind.

- Wenn in einer Zone nicht sichere dynamische Updates zugelassen sind, kann jeder Computer einen Res-
   sourceneintrag in einer DNS-Zone aktualisieren.

   Wenn nur sichere dynamische Updates zugelassen sind, darf ein DNS-Ressourceneintrag nur von seinem
   Besitzer aktualisiert werden.

   Sichere dynamische Updates können nur in Active-Directory-integrierten Zonen vorgeschrieben werden.

-  Auf der Registerkarte   Zonenübertragungen   können die Übertragungen von der aktuellen Zone
   eingeschränkt werden.
   Zonenübertragungen von primären Servern entweder vollständig deaktiviert oder auf die Server beschränkt,
   die auf der Registerkarte   Namenserver   angegeben sind.

   Die Art dieser Einschränkung hängt von der Methode ab, mit der der DNS-Server installiert wurde.

-  Das Delegieren einer Zone entspricht dem Zuweisen der Autorität über Abschnitte eines DNS-Namenspaces.
   Eine Zonendelegierung wird vorgenommen, wenn die Zuständigkeit für die Ressourceneinträge einer
   untergeordneten Domäne vom Besitzer der übergeordneten Domäne auf den Besitzer der untergeordneten
   Domäne übertragen wird.

- Eine Stubzone ist die gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur
   die NS-Einträge enthält, die zu einer Masterzone gehören (der die Masterzone hostende DNS-Server hat
   eine unveränderliche IP-Adresse).
   Stubzonen werden in den meisten Fällen als Alternative zu einer Delegierung eingesetzt.

Schlüsselinformationen Kapitel 5   0304

-  Vollziehen Sie die verschiedenen Breichsoptionen für die Zonenreplikation nach, die für
   Active-Directory-integrierte Zonen verfügbar sind.

-  DNS wird von allen Themen in der Prüfung 70-291 am eingehendsten geprüft.
   Daher sollten Sie mit allen Einstellungen in den verschiedenen Registerkarten des Eigenschaftendialogfeldes
   eines DNS-Servers und allen Einstellungen in den Registerkarten des Eigenschaftendialogfeldes einer Zone
   gut vertraut sein.

- Machen Sie sich mit der Oberfläche der Konsole   DNS   gut vertraut.

   Mindestens eine Simulationsfrage dürfte sich mit dem Thema DNS befassen.

- Lernen Sie, die Szenarien zu erkennen, in denen die Weiterleitung eingerichtet werden sollte.

- Machen Sie sich den Unterschied zwischen sicheren und nicht sicheren dynamischen Updates bewusst.

- Lernen Sie, die Szenarien zu erkennen, in denen primäre Zonen, sekundäre Zonen, Stubzonen bzw.
   Active-Directory-integrierte Zonen eingeführt werden sollten.

- Lernen Sie, die Szenarien zu erkennen, in denen Delegierungen eingeführt werden sollten.


Schlüsselbegriffe Kapitel 5   0304

Anwendungsverzeichnispartition   Eine Partition von Daten, die in der Active Directory-Datenbank auf eine Untermenge von Domänencontrollern repliziert wird.

Anwendungsverzeichnispartitionen enthalten Informationen, die von einer bestimmten Anwendung oder einem bestimmten Dienst wie DNS eingesetzt werden können.

 

Rekursion   Der Vorgang, bei dem eine DNS-Abfrage im Auftrag eines DNS-Clients beantwortet wird.

 


6. Kapitel 6   Überwachung und Problembehandlung von DNS

 

Der Dienst DNS-Server (Domain Name System) ist der wichtigste Einzeldienst in Microsoft Windows Server 2003-Netzwerken. Von einem DNS-Ausfall sind auch der Verzeichnisdienst Active Directory und die meisten Internetverbindungen betroffen.

Auf Grund dieser Bedeutung müssen Sie in der Lage sein, DNS zu überwachen, zu diagnostizieren und zu reparieren, um seine ordnungsgemäße Funktion im Netzwerk zu gewährleisten.

Überwachungstools sind zum Beispiel Nslookup,   Protokoll DNS-Ereignisse,  
die Konsole   Replikationsmonitor   und das Protokoll   DNS-Server.  

 

6.1. Lektion 1   Verwenden von Tools zur DNS-Problembehandlung   

 

Das Befehlszeilentool   Nslookup.exe   kann entweder als einfacher einmaliger Befehl (nichtinteraktiver Modus => z:\>nslookup svr2.cont.de <ENTER>) oder als ein Programm ausgeführt werden, das fortlaufende Befehle und Abfragen akzeptiert (interaktiver Modus => z:>nslookup <ENTER> ...).

 

Zur Auflösung der Abfrage übermittelt das Dienstprogramm nslookup den Namen an den DNS-Server, der für die primäre Verbindung auf den lokalen Clientcomputer angegeben ist.

Dieser DNS-Server kann die Abfrage daraufhin über seinen Cache oder über Rekursion beantworten.

 

Wenn Sie eine Problembehandlung bei einen bestimmten DNS-Server statt bei dem Server durchführen möch-ten, der für die primäre Verbindung auf den lokalen Clientcomputer festgelegt ist, können Sie diesen DNS-Server im Nslookup-Befehl angegeben.

Mit dem folgenden Befehl, der in einer Eingabeaufforderung ausgeführt, wird eine Abfrage für den Namen svr2.cont.de an den DNS-Server 192.168.2.3 übermittelt.

 

Z:\>nslookup svr1.cont.de 192.168.2.3

Server:  svr3.cont.de

Address:  192.168.2.3

 

Name:    svr2.cont.de

Address:  192.168.2.2

 

Hinweis   0318

Reverse-Lookupvorgänge beruhen auf Zeiger (PTR)-Ressourceneinträgen, die in Reverse-Lookupdomänen konfiguriert werden. konfiguriert werden.

Nicht für alle Internethosts stehen Reverse-Lookupdomänen zur Verfügung.

 


Wichtig   0319

Befehle, die im interaktiven Modus von Nslookup werden, beachten die Groß-/Kleinschreibung und

müssen alle in Kleinbuchstaben eingegeben werden.

 

nslookup <ENTER>

set all                                                                                 Zeigt den Konfigurationsstatus aller Optionen an.

set [no] debug                                    Versetzt Nslookup in den Debugmodus werden mehr Informationen
                                                         über das an den DNS-Server gesendete Paket und die entsprechende
                                                         Antwort ausgegeben.

set [no] d2                                          Versetzt Nslookup in den Modus für ausführliches Debuggen, damit
                                                         die Abfrage- und Antwortpakete zwischen der Auflösung
                                                         und dem DNS-Server untersucht werden können.

set domain=<Domainname>                Informiert die Auflösung über den DNS-Domänennamen, der an                                                     nichtqualifizierte Abfragen einschließlich aller abgefragten Namen
                                                         ohne abschließenden Punkt angehängt werden soll.

set timeout=<Timeout-Wert>               Informiert die Auflösung über den zu verwendeten Timeout-Wert in

                                                         Sekunden.

                                                         Diese Option ist für langsame Verbindung nützlich, auf denen Ab-
                                                         fragen häufig durch Zeitüberschreitungen ablaufen und die
                                                         Wartezeit verlängert werden muss.

set type=<Eintragstyp> oder                Informiert die Auflösung über die Ressourcentypen, die gesucht
set querytype=<Eintragstyp> oder        werden sollen (z.B. A, MX, NS, PTR, RP, SRV). Wenn die Auflö-
set q=<Eintragstyp>                                                            sung nach  allen Einträgen suchen soll, geben Sie   set type=all   ein.

exit                                                    Verlassen des interaktiven Modus von Nslookup.

 

Prüfungstipp   0321

Sie können mit   Nslookup   überprüfen, ob eine übergeordnete DNS-Domäne Namen für eine delegierte Subdomäne auflösen kann.

Geben Sie dazu auf einem DNS-Server der übergeordneten Domäne (zum Beispiel cont.de) in der Nslookup-Eingabeaufforderung den Befehl   set querytype=ns   ein, gefolgt von dem Namen der Subdomäne (zum Beispiel rot.cont.de oder gold.rot.cont.de).

 

Verwenden von Nslookup zum Anzeigen von Zonendaten

nslookup <ENTER>

ls -a <Domainname>                                                         Anzeige aller A- und CNAME-Einträge in der betreffenden Domäne

ls -d <Domainname>                                                         Anzeige aller Einträge in der betreffenden Domäne

ls -t <Typ> <Domainname>               Anzeige aller <Typ>-Einträge in der betreffenden Domäne

                                                         (z. B.: A, Alias, MX, NS, PTR, RP, SRV)

exit                                                    Verlassen des interaktiven Modus von Nslookup.

 

Prüfungstipp    0323

Für die Prüfung müssen Sie wissen, dass mit dem Nslookup-Befehl   ls   eine Zonenübertragung simuliert wird Zonenübertragungen in Windows Server 2003 standardmäßig eingeschränkt sind.

Um einen DNS-Server mit Windows Server 2003 mit dem Nslookup-Befehl   ls   abzufragen, müssen Sie unbe­dingt Zonenübertragungen auf den Computer zulassen, auf dem Nslookup ausgeführt wird.

Damit eine  Abfrage von einem normalen DNS-Client gemacht werden kann, muss im DNS-Server die Zonenreplikation an alle Server aktiviert sein und nicht die Standardeinstellung „Nur an Server, die in der Regis-terkarte „Namenserver“ aufgeführt sind“.

 

Prüfungstipp   0323

Falls neben einem Serversymbol in der Konsole DNS ein Warnsymbol angezeigt wird, sollten Sie als Erstes im DNS-Ereignisprotokoll nach Fehlern suchen.

 


Die DNS-Debugprotokolldatei befindet sich im Ordner %Windir%\System32\Dns in der Datei Dns.log und enthält die auf der Registerkarte   Debugprotokollierung   konfigurierten Daten:

-  Abfragen

-  Benachrichtigungsnachrichten von anderen Servern

-  dynamische Updates

- Inhalt des Abfrageabschnitts von DNS-Abfragenachrichten

- Inhalt des Antwortabschnitts von DNS-Abfragenachrichten

- Anzahl der von diesem Server übermittelten Anfragen

- Anzahl der von diesem Server empfangenen Anfragen

-  Anzahl der über einen UDP (User Datagram Protocol)-Port empfangenen DNS-Anforerungen

-  Anzahl der über einen TCP (Transmission Control Protocol)-Port empfangenen DNS-Anforerungen

- Anzahl der vom Server übermittelten vollständigen Datenpakete

- Anzahl der durch den Server und  zurück zur Zone geleiteten Datenpakete

 

Prüfungstipp   0326

Sie brauchen für die Prüfung 70-291 nicht alle Elemente in der Liste auswendig lernen, aber Ihnen sollte klar sein, dass es am sinnvollsten ist, diese Ereignistypen, bei der Debugprotokollierung aufzuzeichnen.

 

Warnung   0326

Lassen Sie die DNS-Protokollierung nicht während des normalen Arbeitsablaufs aktiviert, da sie sowohl Rechen­leistung als auch Festplattenressourcen beansprucht.

Aktivieren Sie sie nur für die Diagnose und Behebung von DNS-Problemen.

 

Zusammenfassung der Lektion 6.1   0333

- Nslookup biete die Möglichkeit, Abfragetest vom DNS-Servern durchzuführen und über eine Eingabeauf-
   forderung detaillierte Antworten abzurufen (ls -d <Eintragytyp> <Domainname>).

- Im DNS-Ereignisprotokoll werden Fehler im DNS-Serverdienst des Betriebssystem Windows Server 2003
   aufgezeichnet.

   Wenn Probleme im Zusammenhang mit DNS auftreten, kann die Ereignisanzeige auf DNS-bezogene
   Ereignisse überprüft werden.

-  Der DNS-Serverdienst unterhält ein eigenständiges Protokoll für das Debuggen.
   Bei diesem DNS-Debugprotokoll handelt es sich um die Datei   Dns.log,  
   die im Ordner   %winddir%\System32\Dns   gespeichert ist.

- Um die Protokollierung von DNS-Datenpaketen in der Datei   Dns.log   zu aktivieren, aktivieren Sie auf der
   Registerkarte   Debugprotokollierung   des Eigenschaftendialogfelds für den jeweiligen DNS-Server das
   Kontrollkästchen   Pakete zum Debuggen protokollieren.


6.2. Lektion 2   Verwenden von DNS-Überwachungstools

 

Der Replikationsmonitor dient der Überwachung der Replikation von DNS-Zonendaten und

der Systemmonitor durch das Verwenden seiner entsprech. Indikatoren zur Überwachung der DNS-Leistung.

 

Verwenden des Replikationsmonitors

-  Erzwingen der Replikation von DNS-Daten in verschiedenen Replikationsbereichen

-  Ermitteln der Ausfälle von Replikationspartnern

- Anzeigen der Replikationstopologie

-  Abfragen von Replikationspartnern und Generieren individueller Verläufe erfolgreicher und
   fehlgeschlagener Replikationsereignisse

-  Anzeigen und Ändern, die noch nicht von einem gegebenen Replikationspartner repliziert wurden

-  Überwachen des Replikationsstatus von Domänencontrollern aus mehreren Gesamtstrukturen

 

Mit dem Befehl   replmon   aus den Windows-Support-Tools wird der Replikationsmonitor gestartet.

Standardmäßig sind keine Domänencontroller in der Konsolenstruktur enthalten.

Durch den Rechtsklick auf das Symbol   Monitored Servers   und dann folgend auf   Add Monitored Server werden Domänencontroller zur Konsolenstruktur hinzugefügt und somit überwacht.

Die Konsolenkonfiguration kann als Ini-Datei gespeichert werden und später innerhalb des Replikationsmontors geöffnet werden.

 

Verzeichnispartitionen:

-  Domänenpartition

-  Konfigurationspartition

-  Schemapartition

-  vordefinierte Anwendungsverzeichnispartition DomainDnsZones      (DNS-Zonendaten werden dort
                                                                                                   gespeichert

                                                                                                   bei Aktivierung folgender Option: 

                                                                                                   Auf allen DNS-Servern in der
                                                                                                   Active Directory-Domäne)

-  vordefinierte Anwendungsverzeichnispartition ForestDnsZones              (DNS-Zonendaten werden dort
                                                                                                   gespeichert

                                                                                                   bei Aktivierung folgender Option:

                                                                                                   Auf allen DNS-Servern in der
                                                                                                   Active Directory-Gesamtstruktur)

 

Prüfungstipp   0336

Für die Prüfung müssen Sie die Anwendungspartitionen DomainDnsZones und ForrestDnsZones kennen.

 

Prüfungstipp   0336

Wenn Sie herausfinden wollen, welche Zonen auf einen bestimmten DNS-Server gehostet werden, können Sie mit dem Befehl   dnscmd   mit dem Befehlszeilenparameter   /enumzones   aufrufen.

 

Praxistipp   0336

Dnscmd-Parameter für die DNS-Replikation:

dnscmd <Servername> /zoneinfo cont.de                                        Festlegung des Bereichs für die DNS-
                                                                                          Zonenreplikation für die Zone cont.de

dnscmd /zonechangedirectorypartition                                   Bereich der Zonenreplikation ändern

dnscmd /zonechangedirectorypartition <cont.de> /domain       für alle DNS-Server der Domäne cont.de

dnscmd /zonechangedirectorypartition <Forest>  /forest          für alle DNS-Server der Gesamtstruktur

dnscmd /zonechangedirectorypartition <cont.de> /legacy        für alle AD-Controller der Domäne cont.de

Wenn Sie über die geeigneten Anmeldeinformationen verfügen, können Sie diese Befehlesogar im Remotezu­griff ausführen. Geben Sie in diesem Fall nach dem Ausdruck   dnscmd   den Servernamen an.

 

Im   Replmon   kann man die Verzeichnispartition erzwingen.

 


Prüfungstipp   0338

Falls Sie feststellen, dass DNS-Daten für die Active-Directory-integrierte Zone nicht mehr auf den aktuellen Stand sind, sollten sie mit Replmon nach Active Directory-Replikationsfehlern suchen.

Alternativ kann der Replikationsmonitor, dass nach einer bestimmten Anzahl von Replikationsfehlern eine eMail an den Administrator gesendet wird.

 

Tipp   0338

Der replikationsmonitor stellt eine allegemeine Methode zur Überwachung der Active Directory-Replikation und zur Ermittlung von Replikationsfehlern dar.

Setzen Sie zur detaillierten Analyse und Problembehandlung der Active Directory-Replikation das Befehlszeilenprogramm Repadmin ein, dass sich ebenfalls in den Windows-Supporttools enthalten ist.

 

Echtzeitüberwachung der DNS-Leistung mit dem Systemmonitor

Beim Systemmonior handelt es sich um ein Tool in der Strukturansicht der Konsole Leistung.  

 

Weitere Informationen   0339

Weitere Informationen über die Verwendung der Konsole Leistung finden Sie im Kapitel 12, „Pflegen einer Netzwerkinfrastruktur“.

 

Prüfungstipp   0340

Es gibt 62 Leistungsindikatoren für DNS-Server, die wichtigsten sind:

-  Cachespeicher

-  Empfangene dynamische Aktualisierungen

-  Verweigerte dynamische Aktualisierungen

-  In Datenbank geschriebene dynamische Aktualisierungen

-  Fehlschläge der sicheren Aktualisierungen

-  Empfangene sichere Aktualisierungen

-  Empfangene Abfragen insgesamt

-  Empfangene Abfragen insgesamt / Sekunde

-  Gesendete Antworten insgesamt

-  Gesendete Antworten insgesamt / Sekunde

-  Fehlgeschlagene Zonenübertragungen

-  Empfangene Zonenübertragungsanforderungen

- Erfolgreiche Zonenübertragungen

 

Insidertipps   0340

Die Mehrzahl der Leistungsindikatoren im Systemmonitor wird nur selten verwendet.

Dennoch witzeln die Netztwerkadministratoren oft, dass der Systemmonitor das wichtigste aller  Verwaltungs-tools sei.

Wenn der Systemmonitor ausgeführt wird, und seine Echtzeitdiagramme für alle deutlich sichtbar wird, kann nämlich immer der Eindruck erweckt werden, das Sie schwer beschäftigt sind.

 

Sicherheitswarnung   0341

Verwenden Sie die Sicherheitsgruppen   Leistungsprotokollbenutzer   und   Systemmonitorbenutzer,   um

sicherzustellen. dass nur vertrauenswürdige auf vertrauliche Leistungsdaten zugreifen und diese bearbeiten können. Diese Sicherheitsgruppen wurden in Windows Server 2003 neu eingeführt.

 

Prüfungstipp   0344

Die Windows-Supporttools enthalten das Befehlszeilenprogramm   DNSLint,   dessen hauptfunktion die Behebung fehlerhafter Delegierungen ist.

DNSLint   kann zudem eingesetzt werden, um DNS-Einträge zu überprüfen, die für die Active Directory-Replikation genutzt werden, und auf mehreren DNS-Servern nach verschiedenen Eintragstypen zu suchen.

 

Prüfungstipp   0345

Lernen Sie folgenden Befehl zum Löschen des DNS-Server-Cache für die Prüfung auswendig:  

dnscmd <Computername des Servers > /clearcache.  

 


Zusammenfassung des Kapitels 6   0346

-  Nslookup ist ein Befehlszeilentool, mit dem DNS-Server abgefragt und Probleme im Zusammenhang mit
   DNS-Servern behoben werden können.

- Im DNS-Ereignisprotokoll werden Fehler im DNS-Serverdienst des Betriebssystem Windows Server 2003
   aufgezeichnet.

-  Der DNS-Serverdienst unterhält ein Debuggerprotokoll in der Datei   Dns.log,   die sich im Ordner
   %Windir%\System32\Dns   gespeichert ist.

-  Der Replikationsmonitor ist ein grafisches Tool, mit dem die Active Directory-Replikation überwacht und
   auftretende Probleme Behoben werden können.

   Er kann eingesetzt werden, um eine Replikation Active-Directory-integrierter Zonen zu erzwingen und
   die Domäne nach Replikationsfehlern zu durchsuchen.

-  Der Systemmonitor, als Teilfunktion der Konsole Leistung, ermöglicht die Überwachung von
   Echtzeit-Leistungsindikatoren.

-  Das Leistungsobjekt   DNS   enthält 62 Indikatoren.

 

Schlüsselinformationen Kapitel 6   0347

-  Lernen Sie die grundsätzlichen Befehle und Parameter, die im Dienstprogramm Nslookup einngesetzt werden.

-  machen Sie sich mit dem Lesen von Meldungen im DNS-ereignisprotokoll vertraut.

-  Lernen Sie, welche Arten von DNS-Ereignissen Sie am besten mit Hilfe von Debugprotokollierung
   aufzeichnen können.

- Lernen Sie, welche Arten von DNS-Ereignissen Sie am besten mit Hilfe des Systemmonitors
   aufzeichnen können.

-  Lernen Sie die Methoden zur Erzwingung der Replikation und
   Überprüfung auf  Replikationsfehler in Active-Directory-integrierten Zonen.

-  Lernen Sie die Namen der verschiedenen Partitionen, in denen Active-Directory-integrierten Zonendaten
   gespeichert werden können.

 

Schlüsselbegriffe Kapitel 6   0347

Replikat   Kopie einer Active Directory-Partition, die auf einem Domänencontroller gespeichert ist.

 

Schema   Der Satz von Definitionen für sämtliche Objekte, die in einem Verzeichnis gespeichert werden können.

Im Schema ist für alle Objektklassen festgelegt, über welche Attribute eine Klasseninstanz verfügen muss,
welche zusätzlichen Attribute sie enthalten kann und welche weiteren Objektklassen als übergeordnete Objektklasse fungieren können.

 

classSchema   Ein Objekt; das im Schema zur Definition von Klassen verwendet wird.

Ein classSchema-Objekt liefert die Vorlage für die Erstellung von Verzeichnisobjekten dieser Klasse.

Beispiel für classSchema-Objekte sind User und Server.

 

attributeSchema   Ein Objekt; das im Schema zur Definition von Attributen verwendet wird.

Mit einem attributeSchema-Objekt werden der zulässige Inhalt und die zulässige Syntax für Instanzen des jeweilgen Attributs im Verzeichnis festgelegt.

Beispiele für attributeSchema-Objekte sind User-Prinzipal-Name und Telex-Nummer.

 

Rekursive Abfrage   Eine Abfrage, die einen Server zum Einsatz der Rekursion veranlasst.

 


7. Kapitel 7   Konfigurieren von DHCP-Servern und -Clients

 

DHCP (Dynamic Host Configuration Protokol) dient gemeinsam mit DNS (Domain Name System) als Grundlage einer Netzwerkinfrastruktur mit Microsoft Windows 2003.

Bis auf ganz kleine Netzwerke statt DHCP überhall Hosts mit einer IP (Internet Protocol)-Konfiguration aus, die für eine Kommunikation mit anderen Computern im Netzwerk erforderlich ist.

Diese Konfiguration umfasst mindestens eine IP-Adresse und eine Subnetzmaske.

In der Regel sind jedoch ein primäres (DNS)-Domänensuffix, ein Standardgateway, bevorzugte und alternative DNS-Server, WINS-Server (Windows Internet Name Service) und verschiedene weitere Optionen enthalten.

Könnten Sie als Administrator Clients nicht mit einer zuverlässigen und automatischen Methode eine solche Konfiguration zuweisen, wären Sie schnell mit der Aufgabe der manuellen Verwaltung dieser Konfigurationen überlastet.

DHCP ist ein IP-Standard, mit dem die Komplexität der Verwaltung dieser Adresskonfiguration reduziert werden soll.

Durch Ausstellen von Leases aus einer zentralen Datenbank verwaltet DHCP automatisch die Zuweisung von Adressen und konfiguriert weitere wichtige Einstellungen für Ihre Netzwerkclients.

 

7.1. Lektion 1   Konfigurieren des DHCP-Servers

 

Hinweis   0356

Sie müssen als Administrator angemeldet sein (zum Beispiel als Mitglied der domänenlokalen Sicherheits-gruppe   DHCP-Administratoren   oder der globalen Gruppe   Domänen-Admins),   um eine Windows-komponente wie   DHCP   installieren zu können.

 

Tipp   0356

Weisen Sie dem Computer, welcher als dem DHCP-Server fungieren soll, eine statische Adresse zu.

 

Wenn ein DHCP-Server in Active-Directory-Netzwerke integriert weden sollen, müssen sie   autorisiert   werden.

Nur Domänencontroller und Domänenmitgliedsserver sind Bestandteil von Active Directory, und nur diese Servertypen können autorisiert werden.

Beim ersten DHCP-Server in einem Netzwerk mit Active Directory-Domäne handelt es sich immer um einen autorisierten Server.

 

Rouge-Server ist ein eigenständiger DHCP-Server, welcher zusammen mit autorisierten Servern implementiert wurde.

Wenn Rouge-Server auf  einem Computer mit Windows Server 2000 oder 2003 im eigenen Subnetz einen autorisierenden DHCP-Server ermitteln, dann stoppt der eigenständige DHCP-Server das Leasen von IP-Adressen an DHCP-Clients.

 

Warnung   0357

Auch wenn ein DHCP-server auf einem Domänencontroller installiert werden kann, sollte diese Vorgehensweise aus Gründen, die im Abschnitt „Sicherheitserwägungen“ dieses Kapitels behandelt werden, vermieden werden (Anmeldung an einen Domänencontroller u.s.w.).

 

Hinweis   0357

Um über die erforderlichen Berechtigungen für das Autorisieren eines DHCP-Servers oder für das Aufheben einer entsprechenden Autorisierung zu verfügen, müssen Sie Mitglied der globalen Sicherheitsgruppe    Organisations-Admins   sein.

 

Konfigurieren von Bereichen

Bei einem DHCP-Bereich (englisch scope) handelt es sich um einen Pool von IP-Adressen innerhalb eines logischen Subnetzes, die ein DHCP-Server Clients zuweisen kann.

Bereiche sind für einen Server eine wichtige Möglichkeit, die Verteilung und Zuweisung von IP-Adressen und allen damit verbundenen Konfigurationsparametern (z.B. in den Bereichsoptionen) an Clients im Netzwerk zu verwalten.

Einen neuen Bereich erstellt man mit einem Rechtsklick auf dem Serverknoten und Klick auf  „Neuer Bereich“.

 

Tipp   0358

Ein DHCP-Server sollte eine Statische IP-Adresse zugewiesen bekommen haben, die mit dem Segment kompatibel ist, in welchem sich die DHCP-Clients befinden (direkt oder DHCP-Relay-Agent). 

 


Prüfungstipp   0358

Um die Simulationsfragen in der Prüfung beantworten zu können, müssen Sie das Erstellen neuer Bereiche sicher Beherrschen.

Sie müssen auch in der Lage sein, mit dem Bereichserstellungs-Assistenten alle Features zu konfigurieren, die in der folgenden Aufzählung erwähnt werden.

Das ist nicht besonders Anspruchsvoll, aber es wird in den Simulationen dadurch erschwert, dass Sie nicht direkt alle Informationen genannt bekommen, die Sie brauchen.

Zum Beispiel könnte es sein, dass in der Prüfungsfrage nicht erwähnt wird, welche IP-Adresse Sie auf der Seite Router (Standardgateway)   konfigurieren müssen.

Stattdessen müssen Sie anhand einer Grafik des LANs (Local Area Network) herausfinden, welche Adresse als Standardgateway für ein bestimmtes LAN-Segment konfiguriert werden soll.

Es kann auch sein, dass die Frage nicht explizit den Adressbereich nennt, der für den Bereich konfiguriert  werden soll.

Stattdessen müssen Sie sich wieder eine Grafik des LANs ansehen und herausfinden, welche Adressen bereits statisch an Server und Router zugewiesen sind.

Anschließend müssen Sie einen Adressbereich erstellen, der die statischen Adressen ausschließt, aber zum selben logischen Subnetz gehört wie diese Adressen.

 

Seiten des Bereichserstellungs-Assistenten

-  Bereichsname

-  IP-Adressbereich                             (Start und End-IP-Adresse und Subnetzmaske)

-  Ausschlüsse hinzufügen

-  Leasedauer                         (Standard: 8 Tage)

-  DHCP-Optionen konfigurieren            (u. a. Entscheidung, ob sofort konfiguriert wird oder später)

-  Router (Standardgateway) (optional)

-  Domänenname und DNS-Server (optional)

-  WINS-Server (optional)

-  Bereich aktivieren (optional) (Frage, ob der Bereich nach Fertigstellen des Assistenten aktiviert soll)

Diese Funktionen können zu einem späteren Bereich über die Konsole   DHCP   geändert werden, aber

bei einer IP-Adressbereichsänderung muss der Bereich neu angelegt werden.

 

Wichtig   0359

Wenn Sie die Option aktivieren, die DHCP-Optionen zu einem späteren Zeitpunkt zu konfigurieren, erhalten Sie keine Gelegenheit mehr, den Bereich zu aktivieren.

Der Bereich muss dann manuell aktiviert werden, bevor Adressleases ausgestellt werden können.

 

Tipp   0361

Sie sollten einem Windows 2003-Computer, auf dem der DHCP-Dienst läuft, eine statisch konfigurierte Adresse zuweisen.

Stellen Sie sicher, dass diese Adresse entweder außerhalb des konfigurierten  Bereichs liegt oder aus ddiesem Bereich ausgeschlossen wurde.

 

Adresspool   ist der noch verfügbare Adressbereich, welcher übrig bleibt, nachdem der Ausschlussbereich konfiguriert wurde (Adresspool = Adressbereich-Ausschlussbereich).

 

Verwenden der 80:20-Regel für Server und Bereiche

Sind 2 DHCP-Server im Einsatz, um die Last auszugleichen, dann verwaltet der erste 80% des Adresspools und der andere 20% des Adresspools vom gleichen Adressbereich.

Es ist somit auch eine Ausfallsicherheit vorhanden.

Beispiel:

2 Subnetze mit 2 DHCP-Servern

DHCP-Server 1 verwaltet 80% der Adressen eines Bereiches

(Bereich: 192.168.1.11 - 192.168.1.254 mit Adressausschlüsse: 192.168.1.205 - 192.168.1.254) und

(Bereich: 192.168.2.11 - 192.168.2.254 mit Adressausschlüsse: 192.168.2.11 - 192.168.2.204)

DHCP-Server 2 verwaltet 20% der Adressen eines Bereiches 

(Bereich: 192.168.2.11 - 192.168.2.254, Adressausschlüsse: 192.168.2.205 - 192.168.1.254)

(Bereich: 192.168.1.11 - 192.168.1.254 mit Adressausschlüsse: 192.168.1.11 - 192.168.1.204) und

Regel: pro Broadcastdomäne ein DHCP-Server
(es lassen sich in einer Active Directory-Domäne nicht 2 DHCP-Server in einer Broadcastdomäne installieren)


Prüfungstipp   0363

Prägen Sie sich für die Simulationsfragen ein, auf welche Weise Sie eine DHCP-Reservierung definieren.

Fragen zum Thema DHCP-Reservierung erkennen Sie daran, dass gefordert wird, dass ein Computer immer eine bestimmte IP-Adresse benutzen muss (Adresse wird angegeben).

Eine Reservierung ist auch oft erforderlich, wenn in einer Frage die MAC-Adresse eines Computers angegeben wird.

In der Prüfung 70-291 sind MAC-Adressen nur im Zusammenhang mit Reservierungen und dem Befehl Arp von Bedeutung.

Denken Sie auch daran, dass Sie keine Interpunktionszeichen (etwa Bindestriche oder Doppelpunkte) eingeben brauchen, wenn Sie in einer Reservierung   eine   MAC-Adresse angeben.

Reservierungen können nicht anstelle von manuellen (statischen) Konfigurationen eingesetzt werden.

Reservierungen sind keine zulässige Alternative zu statischen Adressen   (z.B. für DNS- und DHCP-Servern und Servern überhaupt).

 

Prüfungstipp   0364

Für die Prüfung 70-291 müssen Sie die Vererbung der DHCP-Optionen verstehen.

Reservierungsoptionen setzen sich gegenüber den Bereichsoptionen und diese gegenüber den Serveroptionen  durch.

 

Von den mehr als 60               DHCP-Standard-Optionen sind folgende am häufigsten eingesetzt:

-  003 Router            Liste bevorzugter IP-Adressen für Router in selben Subnetz wie die DHCP-Clients.

-  006 DNS-Server    IP-Adressen der DNS-Server, die die Clients kontaktieren können.

-  015 DNS-Domänenname       DNS-Domänenname und ermöglicht die dynamische DNS-Updates der Clients

-  044 WINS/NBNS-Server        IP-adressen von primären und sekundären WINS-Servern, die der Client
                                             nutzen soll.

-  044 WINS/NBNS-Knotentyp  bevorzugte Methode der NetBIOS-Namensauflösung

                                             0x1 für ausschließlichen Broadcast (B-Knoten)

                                             0x8 für eine Mischung aus Endpunkt und Broadcastmethoden (H-Knoten)

-  051 Lease            Eine Option, mit der ausschließlich RAS-Clients eine bestimmte Leasedauer zuge-
                              wiesen wird.

                              Diese Option beruht auf Benutzerklassseninformationen (siehe Kapitel 7 Lektion2).

 

Hinweis   0366

Der Befehl im Menü   Aktion   wechselt zum Befehl   Deaktivieren,   wenn der markierte Bereich momentan aktiviert ist.

In Produktivumgebungen sollte ein Bereich nur dann deaktiviertw erden, wenn Sie ihn permanent aus dem Netzwerk entfernen möchten.

 

Prüfungstipp   0366

In der Prüfung wird oft eine Frage vorkommen, bei der DHCP nicht funktioniert, weil entweder der Bereich nicht aktiviert oder der Server nicht autorisiert wurde.

 

Konfiguration des Clients

Damit der Client seine IP-Adresse und Netzwerkkonfiguration vom DHCP-Server bezieht, muss im Dialogfeld    Eigenschaften von Internetprotokoll (TCP/IP)   für die entsprechende Netzwerkverbindung die Option
IP-Adresse automatisch beziehen   aktiviert sein (alles außer IP-Adresse des zuständigen DNS-Server).

Damit der DHCP-Client auch die DNS-Optionen vom DHCP-Server bezíeht, aktivieren sie die darunter zu sehende Option   DNS-Serveradresse automatisch beziehen.

 

Migrieren von APIPA- oder alternativen Konfiguration

Wenn ein Client für das automatische Abrufen einer IP-Adresse und einer DNS-Serveradresse konfiguriert wurde und   das Netzwerk kein ICS   einsetzt, muss lediglich die IP-Konfiguration wie folgt erneuert werden:
-  ipconfig /renew  

-  Neustart des Computers

 


Migrieren von einer ICS-Verbindung

Bei ICS (Internet Connect Sharing = Gemeinsame Nutzung der Internetverbindung) handelt es sich um eine freigegebene DFÜ-Verbindung auf einem Server, die Netzwerkclients mit Internetzugriff ausstattet und Clientcomputer automatisch mit einer Adresse im Subnetzbereich 192.168.0.x konfiguriert.

Da dieser Dienst mit dem DHCP-Serverdienst konkurriert, sollten Sie alle freigegebenen (ICS-fähigen) DFÜ-Verbindungen auf dem Server löschen und den Servercomputer neu starten,   bevor   Sie die Windowskom­ponente   DHCP-Protokoll (Dynamic Host Configuration Protokol)   installieren oder die Funktion DHCP-Server hinzufügen.

 

Praxistipp   Migrieren von ICS-Clients   0367

ICS-Clients sind bereits für das automatische Abrufen einer IP-adresse konfiguriert, sodass theoretisch über einen einfachen Neustart hinaus keine Neukonfiguration erforderlich ist, wenn auf DHCP migriert werden soll.

In der Praxis stellen Sie möglicherweise fest, dass ICS-Clients hartnäckig an ihren ICS-IP-Adressen festhalten, selbst nachdem DHCP eingeführt worden ist.

Um derartige Komplikationen zu vermeiden, können Sie nach dem Löschen der ICS-Verbindung zunächst eine

manuelle (statische) Adresse auf die Clientcomputer anwenden.

Auf diese Weise wird die ICS-Verbindung unterbrochen.

Nehmen Sie anschließend einen Neustart der Clientcomputer vor.

Nach dem Neustart dr Clients migrieren diese ordnungsgemäß auf DHCP, sobald sie sie erneut für das automatische Abrufen einer Adresse konfigurieren.

 

Tipp   0367

Überprüfung der Konfiguration des Clientcomputers:   ipconfig /all  

 

Tipp   0367

Wenn Benutzern ermöglicht werden soll, DHCP-Informationen zu lesen, ohne in der Lage zu sein, diese Daten zu verwalten oder zu ändern, können sie zur domänenlokalen Sicherheitsgruppe   DHCP-Benutzer   hinzugefügt werden.

 

Kommandozeilenbefehle   0367   netsh

netsh interface ip set adress „lan-verbindung“ static 192.168.2.3 255.255.255.0       

Netzwerkadapter „LAN-Verbindung„ wird die statische Adresse 192.168.2.3 zugewiesen

netsh interface ip set dns „lan-verbindung“ static 192.168.2.1   

Netzwerkadapter „LAN-Verbindung„ wird der bevorzugte DNS-Server mit der  IP-Adres­se 192.168.2.3 statisch zugewiesen

 

Zusammenfassung der Lektion 7.1   0373

-  Wenn ein DHCP-Server verfügbar ist, fordern Computer, die für das automatische Abrufen einer IP-Adresse
   konfiguriert sind, beim Starten ihre IP-Konfiguration von diesem DHCP-Server an.

-  Wenn DHCP-Server in Active Directory-Netzwerke integrieren werden sollen, müssen sie autorisiert sein.

-  Ein DHCP-Bereich ist ein zusammenhängender Bereich von IP-Adressen, die innerhalb eines einzelnen
   logischen Subnetzes definiert werden und Clients von DHCP-Server zugewiesen werden können.

   Ein Bereich muss nach Definition und Konfiguration aktiviert werden, bevor der DHCP-Server Clients
   bedienen kann.

- Ein Ausschlussbereich ist ein Satz mit einer oder mehreren IP-Adressen innerhalb eines festgelegten
   Bereiches, für den keine Leases an DHCP-Clients ausgestellt werden sollen.

   Eine Reservierung wird eingesetzt, um eine dauerhafte Adressleasezuweisung durch den DHCP anzulegen

   (MAC-Adressen werden ohne Sonderzeichen wie Bindestriche Leerzeichen und Doppelpunkte eingegeben).
-  Mit Hilfe von DHCP-Optionen Clients neben einer Adresslease mit zusätzlichen Konfigurationsdaten
   ausgestattet, zum Beispiel mit den Adressen des Standardgateway oder des DNS-Servers.

 


7.2 Lektion 2   Verwalten von DHCP in Windows-Netzwerken

 

Ändern des DHCP-Serverstatus

a) Konsole   DHCP  

b) Konsole   Dienste  

c) Befehlszeile

   net start dhcpserver

   net stop dhcpserver

   net pause dhcpserver

   net continue dhcpserver

 

Prüfungstipp   0375

Die Befehle   net   start/stop/pause/continue dhcpserver   müssen Sie für die Prüfung kennen.

 

Hinweis   0375

Wenn der Dienst ausgeführt wird, während die Sie die Option   Deaktiviert   auswählen,
wird die Einstellung nach dem nächsten Neustart wirksam.

 

Verwalten von DHCP über die Befehlszeile

-  Bei der Verwaltung von DHCP-Servern in WANs können Befehle an der Netsh-Eingabeaufforderung
   eingesetzt werden, um administrative Aufgaben über langsame Netzwerkverbindungen durchzuführen.

-  Bei der Verwaltung einer großen Anzahl von DHCP-Servern können   Befehle im Batchmodus   verwendet
   werden, um sich wiederholende administrative Aufgaben zu automatisieren, die für alle Server durchgeführt
   werden müssen.

 

Hinweis   0376

Es ist nicht notwendig, schrittweise zu den verschiedenen Ebenen von Netsh-Eingabeaufforderungen zu wech­seln, um einen Netsh-Befehl auszuführen.

Um zum Beispiel eine Zusammenfassung der DHCP-Serverkonfiguration anzuzeigen, können Sie einfach eine Eingabeaufforderung anzeigen und den Befehl   netsh dhcp server show all   in einer Zeile eingeben. 

Wenn sie jedoch separat in die einzelnen Kontexte wechseln, können Sie mit Hilfe des Befehls   help, list oder ?  
eine Liste der Befehle anzeigen, die im jeweiligen Kontext zur Verfügung stehen.

 

Hinweis   0377

Zur Verwaltung eines DHCP-Servers unter Einsatz der Netsh-Befehlszeile müssen Sie als Mitglieder lokalen Gruppe   Administratoren   oder   DHCP-Administratoren   des entsprechenden Servercomputers angemeldet sein.

 

Hinweis   0379

Breichsgruppierungen enthalten lediglich eine Liste der Mitgleidbereiche oder untergeordnete Bereiche, die gemeinsam aktiviert werden können.

Sie werden nicht zur Konfiguration weiterer Einzelheiten über die Bereichverwendung eingesetzt.

 

Hinweis   0379

Setzen Sie, wenn Sie in einem physikalischen Segment zwei logische Subnetze unterstützen, einen Router ein, um den Nachrichtenverkehr zwischen den beiden Subnetzen zu unterstützen.

 

Bereichsgruppierung mit Unterstützung für 2 lokale DHCP-Server

Sie wird verwendet, um Clients, die zum falschen Subnetz gehören, zu hindern sich eine neue IP-Adresse zu holen, wobei somit die Möglichkeit bestände sich danach im falschen Subnetz zu befinden.

 

Beispiel   0382

Vorgabe: 1 physikalisches Netzwerk und 2 DHCP-Server  und 1 VLAN-fähigen Switch

DHCP-Server-1:       Bereichsgruppierung
                        Bereich A 192.168.8.1-192.168.8.254 und

                        Bereich B 192.168.10.1-192.168.10.254

                        Ausschlüsse: 192.168.10.1-192.168.10.254  (nur in den Bereichen definiert)

DHCP-Server-1:       Bereichsgruppierung
                        Bereich A 192.168.8.1-192.168.8.254 und

                        Bereich B 192.168.10.1-192.168.10.254

                        Ausschlüsse: 192.168.8.1-192.168.8.254  (nur in den Bereichen definiert)


Wichtig   0382

Seien Sie bei einer Änderung von Bereichseigenschaften vorsichtig, damit keine aktiven Leases ausgeschlossen und keine Adressen für das Subnetz in den neu konfigurierten Bereich einbezogen werden, die anderen Computern manuell zugewiesen wurden.

 

Hinweis   0383 (eigener)

Umfasst der Adressbereich 10 Adressen und sind genau 10 reservierte Adressen vorhanden, dann kann sich kein anderer Computer eine Adresse beziehen (wichtig für WLAN).

 

Prüfungstipp   0383

Auf der Registerkarte   Erweitert   des Eigenschaftenfelds für einen DHCP-Server kann die    Konflikter­ken­nung   aktiviert werden.

Mit dieser Funktion kann angegeben werden, wie oft ein DHCP-Server einen Ping für eine angegebene Adresse im Netzwerk ausführt, bevor diese Adresse einem Client zugewiesen wird.

Wenn der Ping-Versuch erfolgreich ist und eine Antwort generiert wird, wird diese Adresse nicht zugewiesen.

Diese Funktion ist zum Beispiel nützlich, wenn ein neuer DHCP-Server eingeführt werden muss, um einen kürz­lich ausgefallenen Server zu ersetzen.

In diesem Fall kann die Konflikterkennung ohne die Unterstützung einer aktualisierten DHCP-Serverdatenbank gewährleisten, dass anderen Clients keine aktuell aktiven Lease zugewiesen werden.

 

Tipp   0384

Es wird empfohlen, die DHCP-Datenbank regelmäßig auf Wechselmedien zu sichern (automatisch alle 60 Minuten oder per Hand über Sichern in der Konsole DHCP).

Dafür können Sie das Sicherungsprogramm (ntbackup.exe) benutzen, das in Windows Server 2003 integriert ist.

Planen Sie darin eine Datensicherungstask für den Ordner   %Windir%\System32\Dhcp\Backup
(Datei: dhcpcfg).  

 

Prüfungstipp   0385

Um einen DHCP-Server von einem Server auf einen anderen zu migrieren, muss die DHCP-Datenbank auf den neuen Server verschoben werden (Konsole DHCP Sichern und alten DHCP-Serverdienst beenden und beim neuen Server DHCP-Dienst starten und Konsole DHCP Wiederherstellen).

Sie müssen für die Prüfung 70-291 wissen, wie Sie einen DHCP-Server migrieren.

 

Verwenden von Optionsklassen

Sie dienen dem Verwalten von Optionen, die Clients innerhalb eines Bereichs bereitgestellt werden.

- Herstellerklassen               dienen der Zuweisung herstellerspezifischer Optionen an Clients, die einen
   gemeinsamen allgemeinen definierten Herstellertyp haben.

- Benutzerklassen                werden verwendet, um diejenigen Clients Optionen zuzuweisen, die durch gemeinsame
   Anforderungen hinsichtlich gleicher DHCP-Optionskonfigurationen gekennzeichnet sind.

 

Prüfungstipp   0386

In Windows Server 2003 enthält der DHCP-Server eine vordefinierte Benutzerklasse mit der Bezeichnung  
Standardrouting- und RAS-Klasse.  

Optionen in dieser Klasse sind nur für Clients wirksam, die eine Adresskonfiguration anfordern, während sie eine RAS-Verbindung herstellen.

Eine dieser Optionen, die wahrscheinlich Bestandteil der Prüfung sein wird, ist die Option   051 Lease.  

Durch Konfigurieren dieser Option können RAS-Clients kürzere Leasedauern zugewiesen werden als anderen DHCP-Clients.

 

Hinweis   0388

Der Befehl   ipconfig /showclassid <Adapternummer>   kann verwendet werden, um sämtliche DHCP-Klas­senkennungen anzuzeigen, die vom DHCP-Server für Netzwerkadapter zugelasen sind, die auf Ihrem Computer installiert sind.

Der Befehl   ipconfig /setclassid <Adapternummer>   legt die DHCP-Klassenkennung fest, die der Client beim Aufrufen seiner Lease vom DHCP-Server angibt.

 

Wichtig   0390

Bevor Mitgliedsbereiche einer Bereichsgruppierung gelöscht werden können, muss zunächst die Bereichsgrup­pier­ung selbst gelöscht werden.  


Zusammenfassung der Lektion 7.2   0392

- Eine Bereichsgruppierung ist eine administrative Gruppierung von Bereichen, die zur Unterstützung von
   Multinets oder mehreren logischen Subnetzen in einem einzelnen physischen Subnetz eingesetzt wird.

- Wenn zu einem völlig neuen Bereich migriert werden muss, erstellen und aktivieren Sie zunächst und
   deaktivieren Sie anschließend den alten Bereich.

   Stellen Sie vor dem Entfernen eines Bereichs unbedingt sicher, dass der Bereich für einen ausreichend langen
   Zeitraum deaktiviert wird, damit Clients zum neuen DHCP-Server migriert werden können.

-  Um eine Sicherung der DHCP-Datenbank vorzunehmen, klicken Sie in der Konsole   DHCP   mit der
   rechten Maustaste auf das DHCP-Serversymbol, und klicken Sie anschließend auf   Sichern.  
   Um die DHCP-Datenbank von einer Sicherheitskopie wiederherzustellen, klicken Sie auf der Konsole   DHCP  
   mit der rechten Maustaste auf das DHCP-Serversymbol, und anschließend auf   Wiederherstellen.  
   Um die DHCP-Datenbank zu verschieben, sichern Sie sie, und verschieben Sie anschließend an einen anderen
   Speicherort.

- Wenn zum Server eine Optionsklasse hinzugefügt wird, können Clients dieser Klasse mit klassen­spezifischen
   DHCP-Optionen für ihre Konfiguration ausgestattet werden.
   Wenn eine Klasse erstellt wird, erstellen Sie auch eine entsprechende Klassenkennung.

   Um zu einer Klasse einen DHCP-Client als Mitgleid hinzuzufügen, verwenden Sie den
   Befehl   ipconfig /setclassid.  

 


7.3 Lektion 3   Konfiguration von DHCP-Servern für das Durchführen von DNS-Updates

 

Hinweis   0393

Die Einstellungen für DNS-Updates für DHCP-Server können auch im Eigenschaftendialogfeld eines Bereichs oder einer Reservierung konfiguriert werden.

 

Prüfungstipp   0395

Folgende Einstellungen der Registerkarte   DNS   sind für die Prüfung 70-291 wichtig:

-  Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren (Standard)

         DNS-A und -PTR-Einträge nur nach Aufforderung von DHCP-Clients dynamisch aktualisieren (Stand.)

         DNS-A und -PTR-Einträge immer dynamisch aktualisieren

-  A- und -PTR-Einträge beim Löschen der Release verwerfen (Standard)

- DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern
   (zum Beispiel Clients, die Windows NT 4.0 ausführen) dynamisch aktualisieren

 

Wichtig   0396

Wenn aus Gründen der Fehlertoleranz   mehrere DHCP-Server   eingesetzt werden und in den Zonen, die von diesen DHCP-Servern bedient werden, sichere dynamische DNS-Updates erforderlich sind, müssen alle    Computer,   auf denen Windows Server 2003 DHCP-Server ausgeführt wird, unbedingt zur globalen Sicherheitsgruppe   DNSUpdateProxy   hinzugefügt werden.  

 

Sicherheitserwägungen   0396

Obwohl durch das Hinzufügen aller DHCP-Server zu dieser speziellen vordefinierten Gruppe einige Bedenken über die Pflege sicherer DNS-Updates zerstreut werden, führt diese Lösung doch zu einigen zusätzlichen Sicherheitsrisiken.

DNS-Domänennamen, die von einem Computer registriert werden, auf dem der DHCP-Server ausgeführt wird, sind zum Beispiel nicht sicher.

Der A-Ressourceneintrag für den DHCP-Server selbst ist ein Beispiel für solchen Eintrag.

Zur Absicherung gegen dieses Risiko können sie für alle DNS-Einträge, die mit dem DHCP-Server selbst verknüpft sind, manuell einen anderen Besitzer angeben.

Ein wesentlich größeres Problem tritt jedoch auf, wenn der DHCP-Server (ein Mitglied der Gruppe   DnsUpdateProxy)   auf einen Domänencontroller installiert wird.

In diesem Fall ist kein Dienstidentifizierung (SRV)-, Host (A)- oder Alias (CNAME)-Ressourceneintrag sicher, der vom Anmeldedienst für Domänencontroller installiert wurde.  

Um dieses Problem zu minimieren, sollte ein DHCP-Server bei Verwendung dynamischer Updates   nicht   auf einen Domänencontroller installiert werden.

 

Warnung   0397

Auf Windows Server 2003 kann der Einsatz sicherer dynamischer Updates durch Ausführen eines DHCP-Servers auf einem Domänencontroller gefährdet werden., wenn der DHCP-Dienst von Windows Server 2003 für die Registrierung von DNS-Einträgen im Auftrag von DHCP-Clients konfiguriert ist.

Richten Sie DHCP-Server und Domänencontroller zur Vermeidung dieses Problems auf verschiedenen Computern ein.

 


Zusammenfassung der Lektion 7.3   0398

-  Ein DHCP-Server aktualisiert standardmäßig den PTR-Eintrag eines DHCP-Clients mit
   Windows 2000, XP oder Server 2003.

-  Das dynamische Updateverhalten für einen DHCP-Server kann auf der Registerkarte   DNS   im Eigen-
   schaftendialogfeld des jeweiligen DHCP-Servers geändert werden.
   Optionale Einstellungen umfassen die grundsätzliche Durchführung von Updates (ungeachtet der Client-
   anforderung), das Unterlassen der Durchführung von Updates, und das Durchführen für Clients mit
   Windowsversionen von 2000 und das Entfernen con Clienteinträgen in DNS bei Löschung einer
   Adresslease.

-  Wenn eine DNS-Zone nur sichere dynamische Updates zulässt, kann eine Konfiguration, in der der
   DHCP-Server dynamische Updates im Auftrag von Clients vornehmen, gelegentlich zu veralteten
   Ressourceneinträgen führen.
   Da der Besitzer eines Ressourceneintrags diesen Eintrag bei sicheren dynamischen Updates selbst
   aktualisieren muss, werden ressourceneinträge nicht aktualisiert, falls sich die Konfiguration zu einem
   bestimmten Zeitpunkt geändert wird.

- Ressourceneinträge, die von den Mitgliedern der Gruppe   DnsUpdateProxy   registriert oder aktualisiert
   werden, sind nicht geschützt.
   Daher hat der Eintrag keinen Besitzer und kann folglich von einem DHCP-Server bzw. Client aktualisiert
   werden, der ihn nicht erstellt hat.

   Dies trifft auch in Zonen zu, die für die sichere Updates erforderlich sind. 

- Sobald der erste DHCP-Server oder -Client, der kein Mitglied der Gruppe   DNSUpdateProxy   ist,
   einen solchen Eintrag ändert, fungiert dieser Server bzw. Client als dessen Besitzer.
   In dessen Folge kann der Eintrag in Zonen, die für die sichere Updates erforderlich sind,
   nur vom Besitzer aktualisiert werden.

 

 


Zusammenfassung des Kapitels 7   0401

- Wenn DHCP-Server in Active Directory-Netzwerke integriert werden sollen, müssen sie autorisiert werden.

- Ein DHCP-Bereich ist ein zusammenhängender Bereich von IP-Adressen, die innerhalb eines einzelnen log-
   ischen Subnetzes definiert werden und Clients vom DHCP-Server zugewiesen werden können.
   Ein Bereich muss nach Definition und Konfiguration aktiviert werden, bevor der DHCP-Server Clients
   bedienen kann.

-  Mit Hilfe von DHCP-Optionen werden Clients neben einer Adresslease mit zusätzlichen Konfigurationsdaten
   ausgestattet, zum Beispiel mit der Adresse des Standardgateways oder des DNS-Servers.

-  Eine Bereichsgruppierung ist eine administrative Gruppierung von Bereichen, die zur Unterstützung von
   Multinets oder mehreren logischen Netzwerken in einem einzelnen physischen Subnetz eingesetzt wird.

- Wenn zum Server eine Optionsklasse hinzugefügt wird, können Clients dieser Klasse mit klassenspezifischen
   DHCP-Optionen für ihre Konfiguration ausgestattet werden.

   Bei den Bereichsoptionen des DHCP-Servers kann man auf  „Optionen konfigurieren ...“ und auf Register-
   karte dann Herstellerklasse: DHCP-Standardoption und die entsprechende Benutzerklasse aussuchen.
   Wenn eine Klasse erstellt wird, erstellen Sie auch eine entsprechende Klassenkennung (z.B. im ASCCI-Feld
   beliebige Zeichen a-z, A-z, 0-9, Leerzeichen).
   Um zu einer Klasse einen DHCP-Client als Mitglied hinzuzufügen
   (Adapternamen in „“ setzen, falls er ein Leerzeichen enthält),
   verwenden Sie den Befehl   ipconfig /setclassid <Adaptername> [Klassenkennung].  
   Um festzustellen, zu welcher Optionsklasse der Adapter eines Clients gehört,
   verwenden Sie den Befehl   ipconfig /showclassid <Adaptername>.

   Um von einer Klasse einen DHCP-Client als Mitglied zu entfernen,
   verwenden Sie den Befehl   ipconfig /setclassid <Adaptername>.

-  Ein DHCP-Server aktualisiert standardmäßig den PTR-Eintrag eines Clients mit Windows 2000, XP oder
   Windows Server 2003.
   Dieses Verhalten entspricht der Durchführung dynamischer Updates entsprechend der Clientanforderung.
   Ein DHCP-Server kann für die Aktualisierung sowohl der A- als auch PTR-Ressourceneinträge konfiguriert
   werden, in dem Sie auf der Registerkarte   DNS   im Eigenschaftendialogfeld des jeweiligen Servers die
   Option   DNS-A- und PTR-Einträge immer aktualisieren   aktivieren.

- Ressourceneinträge, die von den Mitgliedern der Gruppe   DnsUpdateProxy   registriert oder aktualisiert
   werden, sind nicht geschützt.
   Daher hat der Eintrag keinen Besitzer und kann folglich von einem DHCP-Server oder -Client aktualisiert
   werden, der ihn nicht erstellt hat.
   Dies trifft auch für Zonen zu, für die sichere Updates erforderlich sind.
   Deswegen sollten DHCP-Server nicht auf Domänencontrollern installiert werden,
   sofern dies die Netzwerkinfrastruktur zulässt, d.h. ein Mitgliedsserver der Domäne frei zur Verfügung steht.

 

Schlüsselinformationen Kapitel 7   0402

- Machen Sie sich mit DHCP-Bereichen, -Ausschlüssen und -Reservierungen vertraut.
   Für Simulationsfragen müssen Sie wissen, wie Sie alle diese Elemente erstellen.

-  Machen Sie sich mit DHCP-Leases und den entsprechenden Befehlen für Freigabe und Erneuerung vertraut.

-  Lernen Sie die Funktionen von Bereichsgruppierungen.

- Machen Sie sich mit den Funktionen von Optionsklassen vertraut.

- Lernen Sie, wie DHCP-Server für die Durchführung von DNS-Updates konfiguriert werden können.

 

Schlüsselbegriffe Kapitel 7   0402

Multinets   sind mehrere Subnetze, die in einem einzelnen Netzwerksegment konfiguriert sind.
Die wechselseitige Konfiguration von Multinets erfolgt über einen Router.

 

Rouge-Server   Ein eigenständiger DHCP-Server, der sich in einem Active-Directory-Netzwerk befindet
(z.B. Windows NT-DHCP-Server oder ein im Router integrierter DHCP-Server).

 


8. Kapitel 8   Überwachung und Problembehandlung von DHCP

8.1 Lektion 1   Analysieren des DHCP-Datenverkehrs

 

Leaseinitialisierung

         Nachricht                                        Infos

D       DHCP   Discover                             vom DHCP-Client als Broadcast gesendet
                                                               (mit Client-MAC-Adresse) 

O       DHCP   Offer                                  vom DHCP-Server an die MAC-Adresse des Clients gesendet
                                                               DHCP-Server unterbreitet eine IP-Adresse als Angebot
                                                               (direkt an den Client, da er dessen MAC-Adresse kennt)

R       DHCP   Request                             DHCP-Client wählt eine angebotene IP-Adresse aus und
                                                               sendet an den DHCP-Server  eine Antwortnachricht

A       DHCP   Acknowledgment               DHCP-Server sendet eine Bestätigungs-Nachricht an den
                                                               DHCP-Client mit den Bereichsoptionen usw.

---------------------------------------------------------    

N       DHCP   Negative Acknowledgment                           DHCP-Server sendet die NACK-Nachricht an den DHCP-Client,

                                                               wenn keine Lease angeboten werden kann
                                                               (IP schon vorhanden, keine IP-Adresse mehr verfügbar)

                                                               Es wird eine neue Leaseinitialisierung vom Client eingeleitet.

 

1.      Der DHCP-Client übermittelt eine DHCP-Discover-Nachricht als Broadcast an das lokale Netzwerk.

2.      Ein DHCP-Server kann mit einer DHCP-Offer-Nachricht antworten, die ein IP-Adressangebot als Clientlease
   enthält.

3.      Wenn kein DHCP-Server auf die Suchanfrage des Clients antwortet, kann der Client auf zwei
   verschiedenen Arten fortfahren:

   a)   Wenn der Client Microsoft 2000 ausführt, nimmt der Client eine Selbstkonfiguration mit einer
         APIPA (Automatische Private IP-Adressierung)-Adresse vor.

   b)   Wenn Microsoft Windows XP oder ein Mitglied der Windows Server 2003-Familie auf dem Client
         ausgeführt wird, nimmt der Client eine Selbstkonfiguration mit einer alternativen Adresse vor,
         falls eine solche bereitgestellt wurde.

         Wenn keine statische alternative Adresse angegeben wurde, nimmt der Client eine Selbstkonfiguration
         mit einer APIPA-Adresse (169.254.xxx.xxx/16) vor.

   Wenn der Client eine Windows-Version ausführt, die älter als Windows 2000 ist, oder wenn keine statische
   alternative IP-Adresse bereitgestellt und die IP-Autokonfiguration deaktiviert wurde,
   kann der Client keine Initialisierung vornehmen.
   Wenn der Client weiter online ist, fährt er fort, DHCP-Discover-Nachrichten zu senden (4 Nachrichten in
   5 Minuten), bis er eine DHCP Offer-Nachricht  von einem Server empfängt.

4.      Sobald eine DHCP Offer-Nachricht eingegangen ist, wählt der Client die angebotene IP-Adresse aus,
   indem er dem Server eine DHCP Request-Antwortnachricht übermittelt.

5.      Sobald der Client die Bestätigung (ACK-Nachricht) mit den dort enthaltenen DHCP-Optionen erhält,
   konfiguriert er seine TCP/IP (Transmission Control Protocol / Internet Protocol)-Eigenschaften unter
   Verwendung der Informationen in der Antwortnachricht und wird somit in das Netzwerk eingegliedert.


Leaseerneuerung

 

Wenn ein DHCP-Client heruntergefahren und neu gestartet wird, ruft er in der Regel eine Lease für dieselbe IP-Adresse ab, die er vor dem Herunterfahren aufwies.

Die Leases werden erneuert, wenn die Hälfte der Clientleasedauer (standardmäßig vier Tage) verstrichen ist oder der Befehl   ipconfig /renew   ausgeführt wird.

Folgendes passiert beim Ausführen des Befehls   ipconfig /renew,   wenn der Client seine Lease erneuern will:

1.      Der Client sendet eine DHCP Request-Nachricht direkt an den Server, der die aktuelle Adresslease ausgestellt
   hat, um diese zu erneuern und zu verlängern.

2. Wenn der DHCP-Server erreichbar ist, sendet er in der Regel eine DHCP ACK-Nachricht mit den aktuellen
   Informationen an den Client, mit der die aktuelle Lease erneuert wird.
   Wie beim ersten Leasevorgang sind auch in dieser Anwort weitere Informationen über DHCP-Optionen
   enthalten.
   Wenn Optionsinformationen nach dem ersten Abrufen einer Lease durch den Client geändert werden,
   aktualisiert der Client seine Konfiguration entsprechend.

3.      Wenn der Client nicht in der Lage ist, mit seinen ursprünglichen DHCP-Server zu kommunizieren, wartet er
   bis er einen   Neueinbindungszustand   erreicht.
   Dieser Zustand wird standardmäßig   sieben Tage   nach der letzten Leaseerneuerung erreicht.
   Wenn der Client in dieses Stadium eintritt, versucht er seine aktuelle Lease auf einem beliebigen verfügbaren
   DHCP-Server über Broadcast zu erneuern.

4.      Wenn ein Server mit einer DHCP Offer-Nachricht antwortet, um die aktuelle Clientlease zu erneuen kann der
   Client seine Lease über den anbietenden Server erneuern und den Betrieb fortsetzen.

5.      Wenn die Lease abläuft und kein DHCP-Server kontaktiert werden konnte, muss der Client umgehend die
   Verwendung seiner geleasten IP-Adresse einstellen.

6.      Anschließend führt der Client dasselbe Verfahren durch, das während der ersten Starts genutzt wurde,
   um eine neue IP-Adresse abzurufen (siehe Leaseinitialisierungsvorgang).

 

         Nachricht                                        Infos

R       DHCP   Request                             DHCP-Client fragt den DHCP-Server, ob er seine IP-Adresse
                                                               weiterhin behalten kann 

A       DHCP   Acknowledgment               DHCP-Server sendet eine Bestätigungs-Nachricht an den
                                                               DHCP-Client mit den Bereichsoptionen usw.

---------------------------------------------------------   

N       DHCP   Negative Acknowledgment                           DHCP-Server sendet die NACK-Nachricht an den DHCP-Client,

                                                               wenn Leaseverlängerung nicht möglich ist.                                                                                  (IP-Adresse mehrfach im Netz, keine IP-Adresse mehr verfügbar)

                                                               Es wird eine neue Leaseinitialisierung vom Client eingeleitet.

 

Hinweis   0413

In bestimmten Situationen kann ein DHCP-Server statt der DHCP ACK-Nachricht in Schritt 2 der Lease­erneuerung eine DHCP-NACK (Negative Acknowledgment)-Nachricht an den Client übermitteln.

Die NACK-Nachricht wird an den Client gesendet, um anzuzeigen, dass die vom Client angeforderte IP-Adresse vom DHCP-Server nicht bereitgestellt werden kann.

Diese Situation kann eintreten, wenn ein Client eine nicht zulässige oder mehrfach im Netzwerk vorhandene Adresse anfordert.

Wenn ein Client eine negative Bestätigung empfängt, schlägt die Leaseerneuerung fehl und der
DHCP-Client startet einen neuen Leaseinitialisierungsvorgang.

 

Hinweis   0420

Bei der DHCP Request-Nachricht handelt es sich um die Nachricht, mit der dynamische Updates vom Server angefordert werden.

In der Regel ist in der Request-Nachricht der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Clients angegeben, so dass der DHCP-Server den PTR-Ressourceneintrag des Clients anschließend entsprechend aktualisieren kann.

 

Prüfungstipp   0423

Sie sollten für die Prüfung 70-291 zwar alle DHCP-Nachrichten kennen, die in diesem Kapitel beschrieben wurden, besonders intensiv sollten Sie sich mit der NACK-Nachricht beschäftigen.

Sie sollten zum Beispiel wissen, dass ein Client eine NACK-Nachricht bekommt, wenn ein DHCP-Server eine Anforderung für eine Adresse erhält, für die er keine Lease vergeben kann.


Zusammenfassung der Lektion 8.1   0428

-  Die DHCP-Clientinitialisierung erfolgt, wenn ein Clientcomputer zum ersten Mal gestartet und in das Netz-
   werk einbezogen wird.
   der Initialisierungsvorgang besteht aus einem Austausch von 4 Broadcastnachrichten.

-  Ein DHCP-Client versucht zunächst, einen DHCP-Server im lokalen Netzwerk zu finden, indem er eine
   DHCP Discover-Nachricht als Broadcast übermittelt.

-  Wenn ein DHCP-Server die DHCP Discover-Nachricht empfängt, antwortet er normalerweise, indem er
   eine DHCP Offer-Nachricht als Broadcast übermittelt, die ein IP-adressangebot an  den Clients enthält.

-  Der DHCP-Client antwortet auf eine DHCP-Offer-Nachricht mit einer DHCP-Request-Nachricht,
   mit der die angebotene IP-Adresse angefordert wird.

-  Zum Schluss übermittelt der anbietende DHCP-Server als Broadcast eine DHCP ACK-Nachricht,
   mit der die Lease bestätigt wird und dem Client DHCP-Optionen zugewiesen werden.

 


8.2 Lektion 2   Überwachen von DHCP mithilfe der Überwachungsprotokollierung

 

Der DHCP-Serverdienst schreibt standardmäßig tägliche Überwachungsprotokolle (je 1 MB groß) in den Ordner  
%Windir%\System\32\Dhcp   solange, bis die entsprechende Festplattenpartition noch 20 MB frei hat.

Die Dateien heißen   DhcpSrvLog-Mo, -Di, -Mi, -Do, -Fr, -Sa und DhcpSrvLog-So.  

 

Felder in DHCP-Serverprotokollen

Kennung                 Der Wert der Kennung eines DHCP-Serverereignisses

Datum                     Das Datum, an dem dieser Eintrag protokolliert wurde

Zeit                         Die Uhrzeit, an dem dieser Eintrag protokolliert wurde

Beschreibung          Eine Beschreibung des jeweiligen DHCP-Serverereignisses

IP-Adresse              IP-Adresse des DHCP-Clients

Hostname               Hostname des IP-Clients

MAC-Adresse          Die MAC (Media Access Control)-Adresse, die von der Netzwerkadapterhardware
                              des Clients verwendet wird

 

Serverautorisierungsereignisse betreffend den Active Directory-Autorisierungsstatus des DHCP-Servers:

50      Unereichbare Domäne

         (DHCP-Server konnte die jeweilige Domäne für seine konfigurierte AD-Installation nicht finden)

51      Autorisierung erfolgreich

52      Auf einen Windows Server 2003-Betriebssystem aktualisiert.

         (Diese Funktion wird verwendet, um zu ermitteln, ob der Server in Active Directory autorisiert wurde.)

53      Zwischengespeicherte Autorisierung

         (Der DHCP-Server wurde für das Starten unter Verwendung vorher zwischengespeicherter Infor-
         mationen autorisiert.

         Zum Zeitpunkt, als der Server im Netzwerk gestartet wurde, war Active Directory nicht verfügbar.)

54      Autorisierung fehlgeschlagen

         (Der DHCP-Server wurde für den Start im Netzwerk nicht autorisiert und
         DHCP-Server-Dienst wurde wahrscheinlich angehalten.)

55      Autorisiert (Dienst gestartet)

56      Autorisierung fehlgeschlagen. Dienst wurde beendet.

         (Vor einem erneuten Start muss der DHCP-Server in Active Directory)

57      Server wurde in eigener Domäne gefunden

         (Ein weiterer DHCP-Server ist vorhanden und wurde in die selbe Active Directory-Domäne für den
         Dienst autorisiert.)

58      Server konnte die Domäne nicht finden

         (Der DHCP-Server konnte die angegebene Active Directory-Domäne nicht finden.)

59      Netzwerkfehler

         (Aufgrund eines netzwerkbezogenen Fehlers konnte der Server seinen Autorisierungsstatus nicht
         bestimmen.)

60      Kein Domänencontroller ist für Verzeichnisdienst aktiviert

         (Es konnte kein Active Directory-Domänencontroller gefunden werden.

         Ein Active Directory-aktivierter Domänencontroller ist erforderlich, um den Autorisierungsstatus des
         Servers zu bestimmen.)

61      Server wurde gefunden, der einer Verzeichnisdienstdomäne angehört

         (Ein weiterer DHCP-Server, der zur Active Directory-Domäne gehört, wurde im Netzwerk gefunden.)

62      Anderer Server gefunden

         (Ein weiterer DHCP-Server wurde im Netzwerk gefunden.)

63      Rogue-Erkennung wird neu gestartet

         (Der DHCP-Server versucht ein weiteres Mal zu ermitteln, ob er für den Start und das Bereitstellen des
         Dienstes im Netzwerk autorisiert ist.)

64      Keine DHCP-aktivierten Schnittstellen

         (Die Dienstanbindungen oder Netzwerkverbindungen des DHCP-Servers wurden so konfiguriert, dass
         dieser leinen DHCP-Dienst bereitstellen kann.

         Diese Konfiguration resultiert gewöhnlich aus einer der folgenden Bedingungen:

         -  Die Netzwerkverbindung des Servers sind entweder nicht installiert oder nicht aktiv mit dem Netzwerk
            verbunden.
         -  Der Server wurde nicht mit mindestens einer statischen IP-Adresse für eine seiner installierten und
            aktiven Netzwerkverbindungen konfiguriert.

         -  Sämtliche statisch konfigurierten Netzwerkverbindungen des Servers sind deaktiviert.

 


Tipp   0434

Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler aufgetreten ist.

 

Zusammenfassung der Lektion 8.2   0435

-  Mithilfe der Überwachungsprotokollierung wird die gesamte tägliche DHCP-Serveraktivität in komma-      getrennten Textdateien aufgezeichnet.

   DHCP-Serverprotokolldateien werden standardmäßig im Ordner   %windir%\System32\Dhcp gespeichert.

-  DHCP-Serverprotokolldateien haben Namen wie   DhcpSrvLog-Mo   oder   DhcpSrvLog-Di,   die den
   Wochentagen entsprechen, an denen die DHCP-Aktivität jeweils 00:00 Uhr aufgezeichnet wird.

   Die Dateien werden  wöchentlich überschrieben.

-  Ergebnisse werden in DHCP-Serverprotokolldateien mit einer Ereigniskennung angegeben.

   Ereigniskennungen, deren Wert unter 50 liegt, werden in den einzelnen Protokolldateien beschrieben und
   müssen daher nicht auswendig gelernt werden.

   Ereignisse, deren Kennung größer oder gleich 50 ist, betreffen den Status der Active Directory-Autorisierung.

   sie können diese Ereignisse entweder auswendig lernen oder in einer Referenz nachschlagen,
   wenn die Bedeutung der Ereignisse bestimmt werden muss.

-  Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das
   DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler oder ein anderer Fehler
   aufgetreten ist.

 


8.3 Lektion 3   Problembehandlung von DHCP

 

Folgendes kann man untersuchen:

-  Überprüfen der Clientkonfiguration

-  Adresskonflikte feststellen

-  Fehler beim Abrufen einer DHCP-Adresse

-  Adresse aus einem falschen Bereich empfangen
   (DHCP-Relay-Agent, RFC-1542-Router richtig konfigurieren)

- Überprüfen der Serverkonfiguration (Bindungen)

-  Überprüfen der Bereichskonfiguration

-  Abstimmen der DHCP-Datenbank

-  Überprüfen der Ereignisanzeige

 

Hinweis   0438

Mit dem Befehl    shutdown /i   wird ein grafisches Tool angezeigt, in dem eine Anzahl von Remotecomputern ausgewählt werden kann, die herunter gefahren werden sollen.

 

Tipp   0438

Wenn sie den Standort, die Adresse oder den Namen des DHCP-Servers im Netzwerk nicht kennen, dann führen Sie in einer Eingabeaufforderung den Befehl   netsh dhcp show server   aus.

Dieser Befehl zeigt die Namen und Adressen sämtlicher Server an, die in Active Directory autorisiert sind.

 

Hinweis   0439

DHCP Request-Nachrichten enthalten das   Giaddr-Feld,   mit dem der DHCP-Server über das Subnetz informiert wird, aus dem die Anforderung stammt.

Wenn dieses Feld leer ist, wird dem Client eine Adresse aus dem lokalen Bereich zugewiesen.

Wenn das   Giaddr-Feld   wie im lokalen fall eine Adresse enthält, weisst der DHCP-Server dem Client eine Adresse aus dem Bereich zu, der mit dieser Adresse kompatibel ist

(DHCP:  Relay    IP  Address   (giaddr)  =  192.168.6.1).

 

Prüfungstipp   0440

Sie können damit rechnen, dass in Prüfung 70-291 eine Frage vorkommt, in der ein DHCP-Server nicht funktioniert, weil er nicht autorisiert ist.

Häufig gibt es auch Fragen, in denen Clients keine Adresse abrufen können, weil der DHCP-Bereich nicht aktiviert ist.

 

Prüfungstipp   0440

DHCP-Optionen werden zwar normalerweise auf der Bereichsebene angewendet.

Sie dürfen aber nicht vergessen, dass Sie Optionen auch auf der Server- oder Reservierungsebene anwenden können.

Wenn Sie Optionen auf der Server-Ebene konfigurieren, werden diese Optionen an alle lokal konfigurierten Bereiche und Reservierungen vererbt.

Wenn Sie Optionen auf der Bereichs-Ebene konfigurieren, werden diese Optionen an alle Reservierungen innerhalb dieses Bereichs vererbt.

Falls Sie möchten, dass DHCP-Optionen nur für bestimmte Computer gelten sollen, können Sie Reservierungen für diese Computer konfigurieren und dann Optionen auf der Reservierungsebene festlegen.

 

Prüfungstipp   0441

Achten Sie auf Fragen, in denen die Leasedauer in einem Bereich herabgesetzt werden muss, um in einem Adressraum viele Benutzer aufnehmen zu können.

In der Regel schließen diese Szenarien viele Laptopbenutzer oder Telearbeiter ein, die eine Einwahl von Remotestandorten aus vornehmen.

 

Prüfungstipp   0441

Wenn Sie eine Reservierung erstellen müssen, sind Trennzeichen egal.

Es ist also unerheblich, ob Sie Bindestricher, Doppelpunkte oder gar nichts verwenden.

In Windows Server 2003 versteht der DHCP-Server MAC-Adressen unabhängig davon,
ob sie Trennzeichen enthalten oder nicht.


Hinweis   0441 (eigener)

Bei Netzwerken, in denen mehrere DHCP-Server innerhalb eines bestimmten Broadcastbereiches eingerichtet sind, muss abschließend sichergestellt werden, dass die Bereichsgruppierungen konfiguriert und die von den einzelnen DHCP-Servern ausgestellten Adressbereiche auf den jeweils anderen Server ausgeschlossen  sind .

 

Praxistipp   0442

Ermitteln und Überprüfen von MAC-Adressen für Reservierungen

Zur Konfiguration einer Adressreservierung muss die Hardwareadresse des Computers bekannt sein,dessen IP-Adresse reserviert werden soll.

Das Dialogfeld   Status von LAN-Verbindungen   bildet die grundlegende grafische Benuteroberfläche (GUI) zur Ermittlung der Hardwareadresse eines lokalen Computer (oder eines Remotecomputers über eine Remote­desktopverbindung).

Klicke Sie in diesem Dialogfeld auf die Registerkarte   Netzwerkunterstützung   und anschließend auf   Details.  

Auf diese Weise wird das Dialogfeld   Netzwerkverbindungsdetails   angezeigt, das zusammenfassende Infor­mationen wie die MAC-Adresse des Computers (Feld   Physikalische Adresse   ), die IP-Adresse, die Adresse des DHCP-Servers, die Adresse des DNS-Servers und weitere nützliche Informationen enthält.

Die MAC-Adresse des lokalen Computers ist außerdem in der Angabe des Befehls   ipconfig /all   enthalten.

Diese Methoden sind praktisch.

Es steht jedoch ein wesentlich schnelleres Verfahren zur Verfügung, um MAC-Adressen von lokalen und Remotecomputern zu ermitteln.

In den   Windows-Supporttools   ist das Dienstprogramm   Getmac   enthalten.

Beim Aufruf mit dem Parameter   /s  (getmac /s)   erlaubt dieses Programm das Abrufen der Hardware­adresse eines beliebigen Computers im Netzwerk oder in einem Remotenetzwerk.

Durch Weiterleiten der der Getmac-Ausgabe in die Zwischenablage kann die MAC-Adresse des Remote­computers in das Dialogefeld   Neue Reservierung   eingefügt werden.

Geben sie hierfür in einer Eingabeaufforderung zum Beispiel den folgenden Befehl ein:

getmac  /s  svr3 | clip

Zeigen Sie anschließend den Editor an und drücken Sie STRG+V.

 

Auf diese Weise wird die Ausgabe der vorherigen Getmac-Operation eingefügt.

Anschließend können Sie die Hardwareadresse von svr3 aus dem Editor kopieren und in das Dialogfeld   Neue Reservierung   einfügen.

 

Hinweis   0445

Wenn Sie mehr Informationen über das DHCP-Serververhalten benötigen, als das Ereignisprotokoll liefert,
sehen Sie sich die täglichen DHCP-Serverprotokolldateien mittels eines Editors im Verzeichnis   %Windir\System32\Dhcp   an.

 

Zusammenfassung der Lektion 8.3   0446

-  Ermitteln Sie bei der DHCP-Problembehandlung zunächst, ob der Fehler auf dem Client, der Netzwerk-
   hardware oder auf dem Server auftritt.

-  Verwenden Sie Statusdialogfeld der Verbindung oder die Ausgabe des Befehls   ipconfig /all,  
   um zu ermitteln, ob eine Clientadresse ordnungsgemäß von einem DHCP-Server abgerufen wurde.

-  Stellen Sie sicher, dass die Adressen der einzelnen Clients im Broadcastbereich eines konfigurierten
   DHCP-Servers, DHCP-Relay-Agents oder RFC 1542-kompatiblen Routers vorliegen.

-  Vergewissern Sie sich zur Überprüfung der Konfiguration eines DHCP-Servers, dass der Server
   ordnungsgemäß installiert, autorisiert und gebunden wurde.

-  Stellen sie bei der Überprüfung der Bereichskonfiguration sicher, dass der Bereich aktiviert ist,
   und prüfen sie die Einstellungen für den Adressbereich, die Subnetzmaske, Ausschlüsse, Reservierungen
   und Bereichsgruppierungen.

 


Zusammenfassung des Kapitels 8   0448

-  Die DHCP-Clientinitialisierung erfolgt, wenn ein Clientcomputer zum ersten Mal gestartet und in das
   Netzwerk einbezogen wird.
   Der Initialisierungsvorgang besteht aus einem Austausch von vier Broadcastnachrichten:    

   Discover, Offer, Request und Acknowledgment (ACK).  

-  Mithilfe der Überwachungsprotokollierung wird die gesamte tägliche DHCP-Server-Aktivität in
   kommagetrennten Textdateien aufgezeichnet.
   DHCP-serverprotokolldateien werden standardmäßig im Ordner   %Windir%\System32\Dhcp  
   gespeichert.

-  Ereignisse werden in DHCP-Serverprotokolldateien mit einer Ereigniskennung angeben.

   Ereigniskennungen, deren Wert unter 50 liegt, werden in den einzelnen Protokolldateien beschrieben und
   müssen daher nicht auswendig gelernt werden.
   Ereignisse, deren Kennung größer oder gleich 50 ist, betreffen die Erkennung von   Rogue-Servern  
   (den Status der Active Directory-Autorisierung).

   Sie können diese Ereignisse entweder auswendig lernen oder in einer Referenz nachschlagen,
   wenn die Bedeutung der Ereignisse bestimmt werden muss.

-  Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich
   das DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler aufgetreten ist.

-  Ermitteln Sie bei der DHCP-Problembehandlung zunächst, ob der Fehler auf dem Client, in der Netzwerk-
   hardware oder auf dem Server auftritt.

-  Vergewissern Sie sich zur Überprüfung der Konfiguration eines DHCP-Servers, dass der Server
   ordnungsgemäß installiert, autorisiert und gebunden wurde.

-  Stellen Sie bei der Überprüfung der Bereichskonfigurierung sicher, dass der Bereich aktiviert ist, und
   prüfen Sie die Einstellungen für den Adressbereich, die Subnetzmaske, Ausschlüsse, Reservierungen und
   Bereichsgruppierungen.

 

Schlüsselinformationen Kapitel 8   0449

-  Lernen Sie die verschiedenen Typen von DHCP-Nachrichten und ihre Funktionen

   (   Discover, Offer, Request und Acknowledgment (ACK)   ).

-  Machen Sie sich mit den verschiedenen Methoden der Erneuerung und Aktualisierung einer Adresslease
   vertraut:   ipconfig /renew,   die Schaltfläche   Reparieren   und das Neustarten des Clientcomputers.

- Entwickeln Sie ein Verständnis für die verschiedenen Funktionen des DHCP-Überwachungsprotokolls
   und stellen Sie sicher, dass Sie in der Lage sind,
   Nachrichten aus dem Überwachungsprotokoll lesen zu können.

-  Lernen Sie die Vorteile des Anhebens der Anzahl von Konfliktversuchen auf dem DHCP-Server.

- Entwickeln Sie ein Verständnis für die Vorteile und Nachteile von langen bzw. kurzen Leasedauern.

-  Stellen Sie sicher, dass Sie Fehler in der Konfiguration eines DHCP-Servers oder eines Bereiches erkennen.

 

Schlüsselbegriffe Kapitel 8   0449

DHCP Discover