70-642 Konfiguration einer Netzwerkinfrastruktur
Werbung
70-642 Konfigurieren einer Netzwerkinfrastruktur Windows Server 2008 Autor Autor Website Dokument Name Dokument Titel Dokument URL Dokument Datum Dokument Simon Gattner http://gattner.name/simon 70-642.doc Konfigurieren einer Netzwerkinfrastruktur Windows Server 2008 http://gattner.name/simon/public/microsoft/Windows%20Server %202008/70-642.doc http://gattner.name/simon/public/microsoft/Windows%20Server %202008/70-642.pdf http://gattner.name/simon/public/microsoft/Windows%20Server %202008/70-642.html 2010-11-29 Namen, Eigennamen $Befehle, ~Dateinamen IP Konfiguration TCP/IP (Transmittion Control Protocol/Internet Protocol) OSI-Model (Open Systems Interconnect) ist ein Schichtenmodel um z.B. den Transport von Informationen innerhalb von Kommunikation darzustellen. OSI-Model unterteilt Kommunikation in sieben Schichten. TCP/IP angewendet auf das OSI-Model (Quelle: http://www.computing.dcu.ie/~humphrys/Notes/Networks/intro.html ) TCP/IP vier Netzwerkschichten 2. Netzwerkschnittstellenschicht (Network Interface Layer): Ethernet/802.11WLAN und Frame Relay/ATM 3. Netzwerkschicht/Internetschicht (Network Layer): IPv4 IGMP/ICMP/ARP und IPv6 ND/MLD/ICMPv6 4. Transportschicht (Transport Layer): TCP und UDP 7. Anwendungsschicht (Application Layer): HTTP/FTP/SMTP und DNS/RIP/SNMP TCP/IP-Stack Windows 2008 Server (Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx ) IPv4 IPv4-Adressen sind 32Bits lang und bestehen aus 4 Oktetten zu jeweils 8Bits IPv4-Adressen in Punkt-Dezimal-Notationen dargestellt 192.168.23.42 IPv4-Adressen in 32Bit-Binärnotation dargestellt 11000000 10101000 00010111 00101010 IPv4-Adressen müssen innerhalb eines Netzwerkes einmalig sein IPv4-Adressen werden in Netzwerk-ID und Host-ID unterteilt IPv4-Adressen Netzwerk-ID + Host-ID = 32Bits IPv4-Adressen Netzwerk-ID 192.168.23.0 (in diesem Fall hat die Netzwerk-ID 24Bits) IPv4-Adressen Host-ID 192.168.23.42 (in diesem Fall hat die Host-ID 8Bits) IPv4-Adressen Subnetzmaske bestimmt welcher Teil einer 32Bit-IPv4-Adresse die Netzwerk-ID bildet 192.168.23.42/24 IPv4-Adressen Subnetzmasken in Schrägstrichnotation wird auch als CIDRNotation (Classless Inter Domain Routing) oder Netzwerkpräfixnotation bezeichnet /24 IPv4-Adressen Subnetmasken in 32Bit-Punkt-Dezimal-Notation 255.255.255.0 IPv4-Adressen Subnetmasken in 32Bit-Binärnotation 11111111 11111111 11111111 00000000 CIDRBinär-Notation Notation /16 11111111 11111111 /17 11111111 11111111 /18 11111111 11111111 /19 11111111 11111111 /20 11111111 11111111 /21 11111111 11111111 /22 11111111 11111111 /23 11111111 11111111 /24 11111111 11111111 /25 11111111 11111111 /26 11111111 11111111 /27 11111111 11111111 /28 11111111 11111111 /29 11111111 11111111 /30 11111111 11111111 00000000 10000000 11000000 11100000 11110000 11111000 11111100 11111110 11111111 11111111 11111111 11111111 11111111 11111111 11111111 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 10000000 11000000 11100000 11110000 11111000 11111100 Punkt-DezimalNotation 255.255.0.0 255.255.128.0 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 Adressen pro Block 65436 32768 16384 8192 4096 2048 1024 512 256 128 64 32 16 8 4 IPv4-Adressblöcke sind ein Satz einzelner IP-Adressen die eine Gemeinsame Netzwerk-ID haben. 206.73.118 206.73.118.0 bis 206.73.118.255 IPv4-Adressblöcke können in mehrere Subnetze unterteilt sein die jeweils einen eigenen Router haben. IPv4-Adressblöcke die in mehrere Subnetze unterteilt sind, haben eine verlängerte Netzwerk-ID um die Subnet-ID die aus der Host-ID abgezweigt wird, so dass mit Hilfe der Subnetz-ID Subnetze interpretiert werden können. IPv4-Adressräume (address spaces) sind die Bereiche der IP-Adressen, die in einem bestimmten Adressblock liegen. IPv4-Adressräume sind Adressblöcke minus Broadcast- und Netzwerkadressen. IPv4-Broadcastdomänen sind Adressblöcke des Netzwerkes die nicht in Subnetze unterteilt sind. IPv4-Standardgateway ist eine IP-Adresse innerhalb einer Broadcastdomäne, der Router übernimmt diese Rolle. IPv4-Unicastadressen öffentliche Unicastadressen werden von der IANA (Internet Assigned Numbers Authority) deligiert und mit Hilfe einer Reihe von Registrierungsstellen weltweit vergeben. In Deutschland vergibt die DENIC (Deutsches Network Information Center) IPv4-Adressblöcke, meist an ISP (Internet Service Profider) der diese an seine Endkunden weiterreicht. private Unicastadressen werden im globalen Internet niemals verwendet. Diese IPv4-Adressen werden für Hosts verwendet die eine IPv4-Verbindung benötigen aber nicht im WAN sichtbar sein müssen. Folgende IPv4Adressblöcke können für private Unicastadressen verwendet werden: 10.0.0.0/24 172.16.0.0 bis 172.31.255.254 192.168.0.0/16 APIPA Unicastadressen werden automatisch im IPv4-Adressbereich vergeben. 169.254.0.0/16 IPv4-Subnetze begrenzen den Broadcastverkehr. IPv4-Subnetze können den Netzwerktraffic verringern. IPv4-Subnetze können die Latenz verringern, wenn die Netzwerktopologie den physikalischen Gegebenheiten angepasst wird. (Quelle: http://www.h3c.com/) IPv4-Subnetz-ID ist die verlängerte Netzwerk-ID einer 32-Bit-IPv4-Adresse. IPv4-Subnetz-ID wird auch als Subnetzkennung bezeichnet. IPv4-Subnetz-Berechnung s = 2^b s = n-Subnetze b = n-Bits der Subnetz-ID b = n(int) – n(ext) n(int) = Länge der Netzwerk-ID + Subnetz-ID in Bits n(ext) = Länge der Netzwerk-ID IPv4-Subnetting Zugewiesenes Netzwerk: Standort A: 100 Geräte Standort B: 50 Geräte Standort C: 20 Geräte 192.168.122.0/24 (254 Hosts) 192.168.122.0/25 (126 Hosts) 192.168.122.128/26 (64 Hosts) 192.168.122.192/27 (32 Hosts) IPv4-VLAN ist eine Alternative zur Subnetzunterteilung. IPv4-VLAN können mit Hilfe von VLAN-Switches bereitgestellt werden. IPv4-VLAN schränken den Broadcastverkehr ein. IPv4-VLAN-Software kann unabhängig von der Hardwaretopologie Broadcastdomäns entfernen. IPv4-VLSM (Virtual Local Subnet Mask) nutzt eine ganz bestimmte Aufteilung der Adressblöcke. Zum Beispiel wird ein /22 Netzwerk in VLSMs mit /23 /24 /25 … oder ein /16 Netzwerk in /17 /18 /19 … IPv4-VLSMs beginnen (binär) immer mit einer 1 und enden Normalerweiße mit einer 0. Sie sind also immer (dezimal) gerade. IPv4-VLSMs die (binär) mit 1 beginnen und enden, ersetzen die darauf folgenden Subnetze. IPv6 IPv6-Adressen sind 128Bit lang und stellen einen Adressraum von 2^128 Adressen zu Verfügung IPv6-Adressen werden in acht Blöcke mit jeweils vier Hexadezimalziffern angegeben. Blöcke werden mit Doppelpunkten getrennt. Führende Nullen können gekürzt werden 2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A 2001:0DB8:3FA9:0:0:0:D3:9C5A 2001:0DB8:3FA9::D3:9C5A IPv6-Adressen verwenden auch Netzwerkpräfixe, die in Schrägstrichnotation angegeben wird. Das Präfix wird benutzt um Routen oder Adressbereiche anzugeben, keine Netzwerk-ID. Routingtabelleneintrag für IPv6 2001:DB8:3FA9::/48 IPv6-Adressen werden von benachbarten Routern oder von DHCPv6-Servern automatisch zugewiesen. Außerdem weisen Computer sich selbst eine verbindungslokale Adresse zu die nur um lokalen Subnetz benutzt wird (Quelle: http://www.networkworld.com/) IPv6-Adress-Zustände gelten für IPv6-Adressen die von Router oder einer IPv6Adressautokonfiguration vergeben werden Vorläufig (tentative) gilt im Zeitraum nach der Autokonfiguration, bis geprüft wurde ob keine Dublette vorliegt Bevorzugt (preferred) gilt im Zeitraum der Lebensdauer, wenn keine Dublette vorliegt Verworfen (deprecated) gilt im Zeitraum nach überschritten der Lebensdauer, in der die Adresse zwar noch erreicht werden kann, aber nicht für neue Kommunikationssitzungen verwendet wird Unicast-IPv6-Adressen bestehen aus einem 64Bit langen Netzwerkpräfix und einer 64Bit langen Schnittstellen-ID Unicast-IPv6-Adressen Netzwerkpräfix (Routingpräfix) wird von der IANA zugewiesen Unicast-IPv6-Adressen Schnittstellen-ID leitet sich üblicherweise aus der einmaligen 48Bit MAC-Adresse der NIC ab oder wird zufällig* generiert. * (Quelle: http://xkcd.com/221/) Unicast-IPv6-Adressen unterstützen keine Subnetz-IDs variabler Länge, der Routingpräfix hat immer die Länge von 64Bits IPv6-Loopback-Adresse there is no place like ::1 Eindeutige lokale IPv6-Adressen (Unique Local Address, ULA) sind das IPv6Gegenstück zu privaten Adressen (LAN-Adressen) in IPv4 Eindeutige lokale IPv6-Adressen sind routingfähig zwischen Subnetzen fd65:9abf:efb0:0001::0002 Eindeutige lokale IPv6-Adressen benutzen das Adresspräfix fd00::/8 fc00::/8 (in Zukunft unter umständen) Eindeutige lokale IPv6-Adressen beginnen immer mit den ersten 8Bits fd gefolgt von 40Bits des Globalen Routingpräfix, der zufällig generiert wird. Darauf folgen 16Bits Subnetz-ID und 64Bits der Schnittstellen-ID fd Eindeutiglokales Adresspräfix 65:9abf:efb0: Globales Routingpräfix (Globale-ID) 0001: Subnetz-ID ::0002 Schnittstellen-ID Standort lokale IPv6-Adressen wurden für obsolet erklärt und sollten nicht mehr verwendet werden feco::/10 Standortlokales Adresspräfix Globale IPv6-Adressen sind das Gegenstück öffentlicher IPv4-Adressen 2001:db8:21da:0007:713e:a426:d167:37ab Globale IPv6-Adressen benutzen das Adresspräfix 2000::/3 3000::/3 Globale IPv6-Adressen setzen sich aus 48Bits globalen Routingpräfix (wird von der IANA zugewiesen), 16Bits Subnetz-ID und 64Bits Schnittstellen-ID (Host-ID) zusammen 2001:db8:21da: Globales Routingpräfix (Globale-ID) 0007: Subnetz-ID 713e:a426:d167:37ab Schnittstellen-ID Verbindungslokale IPv6-Adressen (Link-Lokal Addresse, LLA) ähneln IPv4-APIPAAdressen fe80::54d:3cd7:b33b:1bc1%13 Verbdingunslokale IPv6-Adressen benutzen das Adresspräfix fe80:/8 Verbindungslokale IPv6-Adressen beginnen immer mit fe80::, die ersten 64Bits gefolgt von 64Bits der Schnittstellen-ID und der Zonen-ID fe80:0:0:0: Verbindungslokales Adresspräfix 54d:3cd7:b33b:1bc1 Schnittstellen-ID %13 Zonen-ID Verbindungslokale IPv6-Adressen werden automatisch vom Gerät konfiguriert Verbindungslokale IPv6-Adressen sind nicht routingfähig und funktionieren nur im lokalen Subnetz Verbindungslokale IPv6-Adressen bleiben Schnittstellen immer als sekundäre Adresse zugewiesen Zonen-ID ist nicht teil der Verbindungslokalen IPv6-Adresse. Die Zone gibt lediglich an mit welcher Netzwerkschnittstelle die Adresse verbunden ist Zonen-ID ist immer relativ zur lokalen Schnittstelle Zonen-ID muss beim anpingen einer Verbindungslokalen IPv6-Adresse der Zonen-ID der lokalen Schnittstelle (auf dem Gerät von dem aus gepingt wird) entsprechen Zonen-ID können unter Windows 7 mit folgendem Befehl angezeigt werden: $netsh interface ipv6 show interface IPv4-zu-IPv6-Kompatibilität IPv4-kompatible Adressen von Dual-Stack-Knoten die über IPv4-Infrastruktur mit IPv6 kommunizieren 0:0:0:0:0:0:0:0:a.b.c.d ::a.b.c.d IPv4-zugeordnete Adressen werden benutzt um reine IPv4-Knoten einem IPv6Knoten bekannt zu machen 0:0:0:0:0:ffff:a.b.c.d ::ffff:a.b.c.d 6to4-Adressen kann benutzt werden um IPv6-Pakete über ein IPv4-Netzwerk zu transportieren ohne das Tunnel konfiguriert werden müssen. Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als Übergangslösung geplant 2002:ab:cd::/16 Toredo-Adressen (RFC 4380) enthalten ein 32Bit-Teredo-Präfix. Auf das Präfix folgt die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert. Die nächsten 16Bit sind für Teredoflags reserviert. Die nächsten 16Bit speichern die UDP-Port-Nummern, die den gesamten TeredoVerkehr abwickelt. Die letzten 32Bit speichern die externe IPv4-Adresse die den gesamten TeredoVerkehr abwickelt 2001::/32 ISATAP-Adressen (Intra-Site Automatic Tunneling Adressing Protocol) werden von IPv6 benutzt um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet herzustellen. Die ersten 64Bits beginnen mit verbindungslokalen, standortlokalen, globalen oder 6to4-globalen Unicastpräfixen. Die nächsten 32Bits enthalten die ISATAP-Kennung 0:5efe. Die letzten 32Bits enthalten die IPv4-Adresse in Hex- oder Punkt-Dezimal-Notation. ISATAP-Adressen sind für öffentliche oder private IPv4-Adressen 5efe: IPv6-zu-IPv4-Kompatibilität $netsh interface $netsh interface $netsh interface $netsh interface 192.168.123.116 ipv6 ipv6 ipv6 ipv6 6to4 isatap add v6v4tunnel add v6v4tunnel “Remote” 10.0.0.11 Routing und Standardgateways Um Pakete an eine Remoteadresse zu senden vergleicht man die Zielnetzwerk-ID eines IPv4-Pakets mit der eigenen Netzwerk-ID um zu entscheiden ob das Paket als Broadcast an das lokale Subnetz gesendet wird oder an das Standartgateway geht. Um die Netzwerk-ID zu ermitteln benutzt man die Subnetzmaske. Standartgateway entscheidet anhand seiner Routingtabelle wie das Paket weiter versendet wird. Standartgateway (Router) muss dieselbe Netzwerk-ID wie die zu Host haben, für die es zuständig ist, und in derselben Broadcastdomäne liegen. Standartgateway ist in einer Host unkonfiguriert, kann die Host auf keine Ziele außerhalb seines lokalen Subnetzes zugreifen. (Quelle: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03302.html ) Kollisionsdomäne Unter einer Kollisionsdomäne wird ein einzelnes Segment beim Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision Detection) verstanden. Alle Geräte, die im selben Segment angeschlossen sind, sind Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte, zum gleichen Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer Kollision. Beide Geräte warten dann einen bestimmten Zeitraum zufällig gewählter Länge und versuchen dann erneut, das Paket zu senden. Durch diese Wartezeit verringert sich die effektive Bandbreite, die den Geräten zur Verfügung steht. Broadcastdomäne Broadcast-Informationen sind nicht an ein bestimmtes Endgerät gerichtet, sondern an alle "benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die jeweiligen Broadcast-Informationen der anderen Geräte empfangen, bilden zusammen eine Broadcastdomäne. Geräte, die in einer Broadcastdomäne zusammen gefasst sind, müssen sich nicht in derselben Kollisionsdomäne befinden. Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis 192.168.1.254 in einem IP-Subnetz mit einer Subnetzmaske von 255.255.255.0 eine Broadcastdomäne. Hub Hubs arbeiten auf der OSI Schicht 1 (Physikalische Schicht / Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben Kollisionsdomäne und damit auch in derselben Broadcastdomäne. Hubs werden heutzutage durch Access-Switches abgelöst. Bridge Bridges verbinden Netze auf der OSI Schicht 2 (Datalink Schicht / Sicherungsschicht) und segmentieren Kollisionsdomänen. Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen Stationen sind im Normalfall Bestandteil einer Broadcastdomäne. Bridges können auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI, etc.) auf der OSI Schicht 2 miteinander zu verbinden (transparent bridging, translational bridging). Hauptsächlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch erzielt, dass eine Bridge als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes Datenpaket weiterleitet. Bridges halten eine interne MAC-Adresstabelle vor, aus der hervorgeht, in welchem angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn die Bridge beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem Teilsegment A für eine Station aus dem Teilsegment A empfängt, wird dieses Datenpaket nicht in das Teilsegment B übertragen. Dadurch wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges durch Switches ersetzt. Layer-2-Switch Herkömmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind alle angeschlossenen Stationen Bestandteil einer Broadcastdomäne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header als Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete weitergeleitet werden. Trotz der vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges: Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine Bridge. Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits (ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich schneller als eine Bridge von einem Segment in ein anderes zu transportieren. Router Router arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem Router stellt eine eigene Broadcastdomäne und damit auch eine Kollisionsdomäne dar. Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden. Router werden verwendet, um lokale Netze zu segmentieren oder um lokale Netze über Weitverkehrsnetze zu verbinden. Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den nächsten Router, den sogenannten Next Hop. Router müssen jedes IP-Paket vor der Weiterleitung analysieren. Dies führt zu Verzögerungen und damit im Vergleich zu "klassischen" Switches zu einem geringeren Datendurchsatz. Layer-3-Switch und Layer-4-Switch Layer-3- und Layer-4-Switches sind Switches, die zusätzlich eine RoutingFunktionalität bieten. Layer-2-Switches verwenden die Ziel-MAC-Adresse im MACHeader eines Paketes zur Entscheidung, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden Datenpakete des Senders an diesen Empfänger werden daraufhin jedoch auf der OSI Schicht 2 (ZielMAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich höhere Durchsatzrate erzielen als ein herkömmlicher Router. Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer3-Switch verfügt in der Regel über eine wesentlich größere Portdichte. Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen herkömmliche LAN-to-LAN-Router ersetzen. Netzwerkverbindung Konfiguration $ipconfig $netsh interface $ncpa.cpl Systemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter $ping $tracert $pathping $arp $route $netstat Gesamtübersicht anzeigen Netzwerkübersicht von Geräten die im lokalen LAN mit deren Netzwerktopologie (basiert auf LLTD (Link Layer Topology Discovery) was als Client auf Windows XP nachinstalliert werden muss) Netzwerkübersicht ist standardmäßig deaktiviert. Verbindung herstellen oder trennen zeigt die aktiven Netzwerke an Netzwerkeinstellungen ändern Neue Verbindung oder Netzwerkeinrichten Verbindung zu einem Netzwerk herstellen Problembehandlung aufrufen Problembehandlung mit ICMP (Internet Control Message Protocol) Dienstprogrammen $ipconfig /renew (LAN-Verbindungen mit APIPA-Adressen können auf Probleme mit DHCP hindeuten) $ping <HOST>|<IP> $tracert <HOST>|<IP> $pathping –n <HOST> $arp -a Adaptereinstellungen ändern $ncpa.cpl $netsh interface <Interfacetype> <Befehl> “Adaptername” <Parameter> $netsh interface ipv4 show [“LAN-Verbindung”] config Adapter -> Status -> Details -> Netzwerkverbindungsdetails $ipconfig /all $netsh interface ipv4 set address “LAN-Verbindung” static 10.0.0.1 255.255.255.0 $netsh interface ip set dnsservers “LAN-Verbindung” static 10.0.0.2 primary $netsh interface ipv6 set address “LAN-Verbindung” 2001:db8:290c:1291::1 $netsh interface ip set address “LAN-Verbindung” dhcp $netsh interface ip set dnsservers “LAN-Verbindung” dhcp $ipconfig /renew[6] Adaptereinstellungen ändern Standardkomponenten für eine Verbindung (Adapter Eigenschaften) Netzwerkclients (z.B. Client für Microsoft-Netzwerke) Netzwerkdienst (z.B. Datei- und Druckerfreigabe für MicrosoftNetzwerk oder QOS-Paketplaner) Netzwerkprotokoll (z.B. Internetprotokoll Version 4 (TCP/IPv4) oder E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung) Netzwerk-Bridging (Adapter Verbindung überbrücken) Bridging kann dazu dienen alle Eingangspunkte eines Servers (Drahtlos, Token Ring und Ethernet) die gleiche Internetanbindung (WAN-Adapter) nutzen zu lassen Erweiterte Einstellungen Adapter und Bindung (Priorität der einzelnen Verbindungen und deren Dienste verändern) Anbieterreihenfolge (Priorität der einzelnen Netzwerkanbieter verändern) Erweiterte Freigabeeinstellung ändern nach Netzwerkstandort sortiert (Öffentlich, Privat und Domain) Netzwerkerkennung aktivieren/deaktivieren Datei- und Druckerfreigaben aktivieren/deaktivieren Freigaben des Öffentlichen Ordners lesen/schreiben aktivieren/deaktvieren Namensauflösung (name resolution) Namensauflösungsmethoden in Windows DNS (Domain Name System) LLMNR (Link Local Multicast Name Resolution) NetBIOS rlp 39/udp resource Location Protocol nameserver 42/tcp name Server nameserver 42/udp name Server nicname 43/tcp whois domain 53/tcp Name Server domain 53/udp Name Server hostname 101/tcp hostnames Name Server netbios-ns 137/tcp nbname Name Service netbios-ns 137/udp nbname Name Service netbios-dgm 138/udp nbdatagram Datagram Service netbios-ssn 139/tcp nbsession Session Service wins 1512/tcp Windows Internet Name Service wins 1512/udp Windows Internet Name Service #Resource #Host Name #Host Name #Domain #Domain #NIC Host #NETBIOS #NETBIOS #NETBIOS #NETBIOS #Microsoft #Microsoft LLMNR und Konfiguration LLMNR (Link Local Multicast Name Resolution) nutzt Multicasting um IPv6-Adressen in die Namen von Computern aufzulösen die sich im lokalen Subnet befinden. LLMNR wird für die Namensauflösung in einzelnen Subnets verwendet, die keine DNS-Infrastruktur besitzen. LLMNR kann eingesetzt werden ab Windows Vista. LLMNR sendet Namensauflösungsanforderungen über IPv6 standardmäßig, kann aber auch über IPv4 gesendet werden. LLMNR ist IPv6 kompatibel, vorkonfiguriert (out-of-box) für IPv6-Netzwerke und schlanker als NetBIOS. LLMNR löst keine Namen von Windows Server 2003, Windows XP und älteren Windowsversionen auf. LLMNR kann nur Namen auflösen innerhalb des lokalen Subnet. LLMNR brauch die Netzwerkerkennung. Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -> Erweiterte Freigabeeinstellungen ->Netzwerkerkennung Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -> Gesamtübersicht anzeigen NetBIOS und Konfiguration NetBIOS oder NetBIOS-over-TCP/IP (NetBT oder NBT) wird verwendet um die Kompatibilität zu alten Windowsversionen sicherzustellen. NetBIOS funktioniert standardmäßig, in einem IPv4-Netzwerk ohne DNS. NetBIOS ist nicht kompatibel mit IPv6. NetBIOS setzt voraus das jeder Gerätename einmalig ist. NetBIOS kann über den DHCP-Server eingestellt werden. Falls kein DHCP aktiviert ist wird NetBIOS-over-TCP/IP verwendet. NetBIOS umfasst drei Namensauflösungsmethoden Broadcasts über IPv4 mit dem ein Besitzer eines gesuchten Namens aufgefordert wird zu antworten WINS ist ein Verzeichnis von Computernamen auf einem WINS-Server. WINS ermöglicht NetBIOS die Namensauflösung über das eigene Subnet hinaus WINS registriert den Clienten automatisch im Server-Verzeichnis LMHOSTS ist eine statische, lokale Datenbank. LMHOSTS muss manuell erstellt werden und enthält Paare von IP + Host NetBIOS-Knotentypen legen fest auf welche Weise NetBIOS-Namen in IP-Adressen aufgelöst werden. Es gibt vier Knotentypen: Broadcast oder B-Knoten verwenden Broadcast-NetBIOS-Namensabfragen für die Namensregistrierung und –Auflösung. Nachteile sind: das Broadcasts von allen Knoten im Netzwerk verarbeitet werden müssen und das Broadcasts nur im eigenen Subnet funktionieren Punkt-zu-Punkt- oder P-Knoten verwenden Punkt-zu-Punkt-Kommunikation mit einem WINS-Server um Namen aufzulösen Gemischte oder M-Knoten verwenden erst Broadcasts und als fallback WINS-Abfragen Hypride oder H-Knoten verwenden WINS-Abfragen und als fallback LMHOST-Abfragen und Broadcasts Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften -> Internet Protokoll IPv4 -> Erweitert -> WINS $netsh interface ip set wins <Interfacename> (static|dhcp) $netsh interface ip add wins <Interfacename> (static|dhcp) $netsh interface ip add wins “LAN-Verbindung static 10.0.0.1 DNS DNS (Domain Name System) stellt eine hierarchische Struktur und automatisierte Methode zum Zwischenspeichern und Auflösen von Hostnamen zu Verfügung. $dig $nslookup $pathping $nslookup > ls <FQDN> DNS-Namensystem auf dem DNS basiert, ist eine hierarchische und logische Baumstruktur, die als DNS-Namespace bezeichnet wird. DNS-Namespace enthält einen eindeutigen Stamm (root), der beliebige untergeordnete Äste (Domänen) haben kann. Untergeordnete Domänen können weitere Domänen enthalten. DNS-Domänenstruktur enthält Knoten (Astgabelungen), die anhand eines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) identifiziert werden root_ |.org | |foo.org__ | | |alpha.foo.org_ | | | |one.alpha.foo.org | | |beta.foo.org | |bar.org__ | | |first.bar.org (Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx) DNS-Root wird von der IC ANN (Internet Corporation for Assigned Names and Numbers) verwalte. Die ICANN koordiniert die Zuweisung von global eindeutigen Kennungen, wie Internetdomänennamen, IP-Adresswerte, Protokollparameter oder Portnummern. DNS-Top-Level-Domänen sind dem DNS-Stamm untergeordnet Organisationsdomänen .org .com .net .edu .mil .aero .biz .info .name etc. Geographische Domänen nach ISO 3166 .de .fr .ly .se .uk .ru .fu .cn etc. Reverse-Domänen für Reverse-Lookups von Namen zu IP-Adresse in-addr.arpa (Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx) DNS-Top-Level-Domänen deligiert die ICANN und andere Internetstellen wie die DEBNIC. DNS-Komponenten sind DNS-Server, Zone, Auflösungen (Resolver) und Ressourceneinträge DNS-Server sind Geräte, die ein DNS-Serverprogramm wie z.B. Windows DNS-Server-Dienst oder BIND ausführen. DNS-Server enthalten DNS-Datenbankinformationen über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur und verarbeitet Anfragen zur Namensauflösung von DNS-Clients. DNS-Server setzen bei einer Anfrage Informationen bereit, liefern die Adresse eines anderen Servers der die Informationen liefern kann oder melden eine Antwortnachricht, dass Daten nicht verfügbar oder vorhanden sind. DNS-Server ist autorisierend (authoritive) für eine Domäne, wenn dieser auf lokal gespeicherte Datenbankdaten zugreift. DNS-Zonen sind zusammenhängende Abschnitte eines Namespaces, für die ein Server autorisiert ist. DNS-Zonen können durch Delegierung erzeugt werden. Spezielle Zonen sind Forward-Lookupzonen und Revers-Lookupzonen. Forward-Lookupzone ist eine Zone, in der Name in IP-Adresse aufgelöst wird. Reverse-Lookupzone ist eine Zone, in der IP-Adresse in Name aufgelöst wird. DNS-Auflösung (resolver) ist ein Dienst, der mit Hilfe des DNS-Protokolls Informationen von DNS-Servern abfragt. DNS-Auflösung kommuniziert entweder mit DNS-Remoteservern oder mit dem DNS-Serverprogramm. DNS-Auflösung wird unter Windows Server 2008 von DNS-Clients übernommen, die Einträge auch zwischenspeichern können DNS-Ressourceneinträge (resource records) sind Einträge in der DNSDatenbank. DNS-Ressourceneinträge werden verwendet um DNS-Clientanfragen zu beantworten DNS-Ressourceneintragstypen o A (IPv4-Hostadresse) o AAAA (IPv6-Hostadresse) o CNAME (Alias) o PTR (Zeiger) o MX (Mail-Exchanger) DNS-Abfrage (query) läuft folgendermaßen ab: wenn ein DNS-Client einen Namen sucht, fragt er nachdem er die HOST-Datei und den DNS-Cache geprüft hat den konfigurierten DNS-Server ab, um den Namen aufzulösen. Jede DNS-Abfrage enthält folgende Bestandteile: DNS-Domänennamen der als FQDN angegeben ist. Der DNS-Clientdienst fügt die Suffixe hinzu, falls nicht vorhanden, die für eine FQDN erforderlich ist Abfragetyp der entweder einen Ressourceneintrag anhand eines Typs oder eine spezielle Form von Abfragevorgang angibt Klasse des DNS-Domänennamen wird für den DNS-Clientdienst generell als Internet-Klasse (IN) angegeben DNS-Auflösung (answer) erhält der DNS-Cient den Ressourceneintrag der aus einem HOST/IP-Paar besteht. DNS-Abfrage (query) und DNS-Auflösung (answer) (Quelle : http://technet.microsoft.com/en-us/library/cc775637(WS.10).aspx) Stammhinweise (root hints) sind Startpunkte für die Suche nach Namen im DNSDomänennamespace. Dabei handelt es sich um vorbereitete Ressourceneinträge, die auf Server zeigen, die für den Stamm des DNS-Domänennamespaces autorisierend ist. DNS-Abfragen und DNS-Auflösung zwischen DNS-Client und DNS-Server sind recursiv. DNS-Abfragen und DNS-Auflösung zwischen DNS-Servern sind iterativ wenn es sich um einen Vorgang handelt, bei dem der DNS-Client wiederholt Anfragen an verschiedene DNS-Server sendet. DNS-Server können ebenfalls als DNS-Clients agieren, dieses verhalten heißt Rekursion. (Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx) ; ; ; ; Database file (null) for foo.local zone. Zone version: 132 @ ; ; ; IN hostmaster.foo.local. ( ; serial number ; refresh ; retry ; expire ; default TTL Zone NS records @ @ @ DC02.berlin DC02.berlin DC02.berlin DC02.berlin DC02.berlin ; ; ; SOA dc01.foo.local. 132 900 600 86400 3600 ) NS NS NS A A AAAA AAAA AAAA dc01.foo.local. dns01.foo.local. dc02.berlin.foo.local. 192.168.6.12 192.168.7.10 fd65:9abf:efb0:6::c fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5 fd65:9abf:efb0:7::a 600 600 A AAAA Zone records @ @ ; ; Delegated sub-zone: ; _msdcs ; End delegation 192.168.6.10 fd65:9abf:efb0:6::a _msdcs.foo.local. NS win-richruqv1eb.foo.local. _gc._tcp.Default-First-Site-Name._sites 600 SRV 0 100 3268 dc01.foo.local. _kerberos._tcp.Default-First-Site-Name._sites 600 SRV 0 100 88 dc01.foo.local. _ldap._tcp.Default-First-Site-Name._sites 600 SRV 0 100 389 dc01.foo.local. _gc._tcp 600 SRV 0 100 3268 dc01.foo.local. _kerberos._tcp 600 SRV 0 100 88 dc01.foo.local. _kpasswd._tcp 600 SRV 0 100 464 dc01.foo.local. _ldap._tcp 600 SRV 0 100 389 dc01.foo.local. _kerberos._udp 600 SRV 0 100 88 dc01.foo.local. _kpasswd._udp 600 SRV 0 100 464 dc01.foo.local. ; ; Delegated sub-zone: ; berlin DC02.berlin DC02.berlin DC02.berlin DC02.berlin DC02.berlin ; End delegation dc01 berlin.foo.local. NS A A AAAA AAAA AAAA dc02.berlin.foo.local. 192.168.6.12 192.168.7.10 fd65:9abf:efb0:6::c fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5 fd65:9abf:efb0:7::a A 192.168.6.10 AAAA fd65:9abf:efb0:6::a DNS01 1200 A 192.168.6.11 1200 AAAA fd65:9abf:efb0:6::b DomainDnsZones 600 A 192.168.6.10 600 AAAA fd65:9abf:efb0:6::a _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones 600 SRV 0 100 389 dc01.foo.local. _ldap._tcp.DomainDnsZones 600 SRV 0 100 389 dc01.foo.local. ws01.bar.local.DomainDnsZones A 192.168.6.10 ForestDnsZones 600 A 192.168.6.10 600 A 192.168.7.10 600 A 192.168.6.12 600 AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5 600 AAAA fd65:9abf:efb0:6::a 600 AAAA fd65:9abf:efb0:7::a 600 AAAA fd65:9abf:efb0:6::c _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones 600 SRV 0 100 389 dc02.berlin.foo.local. 600 SRV 0 100 389 dc01.foo.local. _ldap._tcp.ForestDnsZones 600 SRV 0 100 389 dc02.berlin.foo.local. 600 SRV 0 100 389 dc01.foo.local. win-richruqv1eb 1200 A 192.168.6.10 1200 AAAA fd65:9abf:efb0:1::a www CNAME . DNS-Client Konfiguration DNS-Suffix und Computername DNS-Suffix hat die Aufgabe den eigenen Hosteintrag automatisch in der DNS-Zone zu registrieren. DNS-Suffix wird automatisch DNS-Abfragen angefügt die noch kein Suffix haben um einen FQDN zu erhalten. Computername.DNS-Suffix Ws42.example.org $hostname $netdom <Computername> /NewName:<NeuerComputername> $netdom join <Computername> /Domain:<Domainenname> /UserD:<DomainUser> /PasswordD:<DomainUserPass> $sysdm.cpl -> Systemeigenschaften $sysdm.cpl -> Systemeigenschaften -> Computername -> Ändern -> Computername- bzw. –domänenänderungen -> Weiter -> DNS-Suffix und NetBIOSComputername Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> DNS-Client Primäre und verbindungsspezifisches DNS-Suffixe anhängen erlaubt FQDN in Anfragen zu senden. Primäres DNS-Suffix in einer AD-Domäne ist automatisch der Domänenname. Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Primäre und verbindungsspezifisches DNS-Suffixe Dieses DNS-Suffix anhängen (in Reihenfolge) oder auch DNS-Suffixlisten erweitern die DNS-Suchfähigkeit. DNS-Suffixlisten stellt dem DNS-Client eine Liste von DNS-Suffixes zur Verfügung die dem nicht qualifizierten Namen hinzugefügt werden. Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Diese DNS-Suffixe anhängen Übergeordnete Suffixe des primären DNS-Suffixes anhängen ermöglicht die erweiterte Suche: nachdem zuerst das primäre DNS-Suffix, dann das verbindungsspezifische Suffix angehängt wurde, folgt das übergeordnete Suffix (example.com) des primären DNS-Suffix (berlin.example.com) um einen FQDN zu bekommen. DNS-Suffix für diese Verbindung: ist ein verbindungsspezifisch DNS-Suffix (connection-specific suffix) welches mit einer bestimmten Netzwerkverbindung verknüpft ist. Verbindungsspezifische DNS-Suffix sind zum Beispiel nützlich um getrennte Netzwerkadapter die in zwei Subnetzen münden voneinander zu unterscheiden. Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> DNS-Suffix für diese Verbindung: DNS dynamische Registrierungen und Updates konfigurieren von A- (Host), AAAA(IPv6-Host) und PTR-Ressourceneinträgen (Zeiger) die von einem DNS-Client oder DHCP-Server im Namen des Clients übergeben werden. DNS dynamische Updates können nur stattfinden, wenn der Client mit einem primären oder verbindungsspezifischen DNS-Suffix konfiguriert ist, das dem Namen der Zone entspricht, die vom bevorzugten DNS-Server gehostet wird. Der DNSServer muss natürlich auch dynamische Updates zulassen. $ipconfig /renew DNS Standardverhalten bei Clientupdates für Zeigereinträge (PTR) ist dasselbe wie für Hosteinträge (A oder AAAA): DNS-Clients mit statisch zugewiesener Adresse versuchen immer, ihre Zeigereinträge beim DNS-Server zu registrieren und zu aktualisieren, wenn Adressen dieser Verbindung in DNS registrieren aktiviert ist. $ipconfig /registerdns Adressen dieser Verbindung in DNS registrieren aktiviert ist, versucht der Client, A-, AAAA- und PTR-Einträge bei seinem bevorzugten DNS-Server zu registrieren. Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Adressen dieser Verbindung in DNS registrieren $ipconfig /registerdns DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist, versucht der lokale Computer, A-, AAAA- und PTR-Einträge für alle verbindungsspezifischen DNS-Suffixe zu registrieren. Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden $ipconfig /registerdns DNS-Clientcache wird auch als DNS-Auflösungscache bezeichnet. Sobald der DNSClientdienst gestartet ist werden automatisch einträge der HOSTS-Datei dem DNSCache hinzugefügt. DNS-Clientcache enthält neben Einträgen aus der HOSTS-Datei Antworten auf Abfragen die an den konfigurierten DNS-Server gerichtet wurden. HOSTS-Datei wird automatisch eingelesen wenn Einträge verändert werden. %WinDir%\System32\Drivers\etc\HOSTS $ipconfig $ipconfig /flushdns $ipconfig /registerdns $ipconfig /displaydns $netsh interface ip(v4|v6) set dns <Interfacename> (static|dhcp) $netsh interface ip(v4|v6) add dns <Interfacename> (static|dhcp) $netsh interface ipv4 add dns “LAN-Verbindung static 10.0.0.1 $netsh interface ipv4 add dnsserver „LAN-Verbindung“ static 192.168.0.254 Index=1 $mmc services.msc -> DNS-Clientdienst -> restart Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften -> Internet Protokoll IP(v4|v6) -> Erweitert -> DNS DNS-Server Konfiguration DNS-Server die auf Domänencontroller installiert werden, haben den Vorteil, dass die Zone von Features wie dynamischen Updates und Active Directory-Replikationen profitiert. DNS-Server werden am besten gleich bei der Installation des Domänencontrollers mitinstalliert. Beim Hochstufen des Domänencontrollers gibt man den FQDN der GesamtstrukturStammdomäne an. Die FQDN gibt sowohl der Active Directory-Domäne als auch der DNS-Zone ihren Namen. $dnscmd $dnscmd /info $dnscmd /enumdirectorypartitions $mmc dnsmgmt.msc $dcdiag /test:replications $repadmin /showrepl $dig Dcpromo kann automatisch einen lokal gehosteten DNS-Server mit einer ForwardLookupzone für die Domäne konfigurieren. Dcpromo Antwortdateien können auf Windows Server 2008 erstellt werden, mit Hilfe der letzten Seite (Zusammenfassung) des Assistenten, bevor die Installation tatsächlich durchgeführt wird. $dcpromo $dcpromo /unattend:<Antwortdatei> DNS-Server auf Mitgliedservern oder ohne AD DS. DNS-Server ohne AD DS müssen manuell, mit mindestens einer ForwardLookupzone konfiguriert werden. DNS-Server für Zwischenspeicherung (caching-only server) hosten selbst überhaupt keine Zone und sind daher für keine bestimmte Domäne autorisiert. Sie dienen als gemeinsamer DNS-Servercache für Clients. DNS-Server für Zwischenspeicherung können die Reaktionszeiten zwischen verschiedenen Standorten erhöhen. $mmc servermanager.msc -> Assistenten “Rollen hinzufügen“ -> DNS-Server $dcpromo (Domaincontroller fügen automatisch die DNS-Rolle hinzu) $start /w ocsetup DNS-Server-Core-Role $start /w ocsetup DNS-Server-Core-Role /uninstall DNS-Manager kann ebenfalls Verbindung mit anderen DNS-Servern (Server-CoreInstallationen) aufbauen. $mmc dnsmgmt.msc $dnscmd . /ZoneUpdateDS <Zonenname> (Zoneupdate AD-integrierte-Zone) $dnscmd . /ZoneRefresh <Zonenname> (Zoneupdate sekundäre-Zone) DNS-Zonen DNS-Zonen sind Datenbanken, deren Einträge Namen mit Adressen verknüpfen, innerhalb eines Abschnitts des DNS-Namespaces. DNS-Zonen die lokal gehostet sind, dienen dazu DNS-Anfragen autorisierend zu beantworten. DNS-Zonen die nicht lokal gehostet sind, kann ein DNS-Server nicht autorisierend aus seinem Zwischenspeicher beantworten oder unmittelbar von einem weiteren DNS-Server beziehen. DNS-Namespaces die für eindeutige Domänennamen (example.org) definiert sind, können nur aus einer einzigen autorisierenden Quelle für Zonendaten stammen. $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Neue Zone Zonentyp o primäre Zone ist der wichtigste DNS-Zonentyp. Primäre Zonen stellen les- und schreibbare Quelldaten zu Verfügung. Dies ermöglicht dem lokalen DNS-Server, DNS-Abfragen über einen Abschnitt des DNSNamespace autorisierend zu beantworten. Primäre Zonen Masterexemplare der Zonendaten werden in einer lokalen Datei (%SystemRoot%\System32\Dns\<Zonenname>.dns) oder in AS DS gespeichert. o sekundäre Zone stellt eine autorisierende, schreibgeschützte Kopie einer primären Zone oder einer anderen sekundären Zone zur Verfügung. Sekundäre Zonen bieten die Möglichkeit, DNS-Abfrageverkehr zu delegieren. Falls der Zonenserver, der eine primäre Zone hostet ausfällt, kann eine sekundäre Zone die Namensauflösung für den Namespace übernehmen, bis der primäre Server wieder online ist. Quellzonen, von denen sekundäre Zonen ihre Informationen erhalten, werden als Master bezeichnet. Zonenübertragung (zone transfer) gewährleistet die regelmäßige Aktualisierung und Kopie der primären Daten. Master kann eine andere sekundäre Zone oder eine primäre Zone sein. Master die von einer sekundären Zone stammen, können nicht in der AD DS abgespeichert werden. o Stubzone ähnelt einer sekundären Zone, enthält aber nur Ressourceneinträge, um die autorisierenden DNS-Server für die Masterzone zu identifizieren. Stubzonen werden oft eingesetzt, um eine übergeordnete Zone (example.com) zu ermöglichen, eine aktualisierte Liste der Namenserver zu verwalten, die in delegierten untergeordneten Zonen (berlin.example.com) zur Verfügung stehen. Stubzonen können auch verwendet werden um Namensauflösungen zu beschleunigen und die DNS-Administration zu vereinfachen. o Zone in Active Directory speichern wird als Option angeboten, wenn eine neue primäre oder Stubzone auf einem Domänencontroller erstellt wird. Active Directory-Zonenreplikationsbereich stellt detaillierte Optionen für die Replikation zu Verfügung. Meistens sorgt die Option dafür, dass Zonenübertragung an sekundäre Server nicht konfiguriert werden muss. Die Integration in eine AD hat mehrere Vorteile: 1. AD führt die Zonenreplikation durch, was dazu führt, dass kein separater Mechanismus zur DNS-Zonenübertragung zwischen primären und sekundären Servern konfiguriert werden muss. Fehlertoleranz und bessere Leistung aufgrund der Verfügbarkeit mehrerer primärer Server mit Lese- und Schreibzugriff, weil Multimasterreplikationen im Netzwerk zur Verfügung stehen. 2. AD ermöglicht, einzelne Eigenschaften von Ressourceneinträgen zu aktualisieren und zwischen DNSServern zu replizieren. Dies verhindert das ganze Ressourceneinträge aktualisiert werden müssen, was Netzwerkressourcen schont. 3. AD-integrierte Zonen haben den Vorteil, dass sie Sicherheit für dynamische Updates vorhalten, was mit der Option Dynamisches Update konfiguriert wird. o Standardzone (standard zone) werden gewählt, wenn die Option Zone in Active Directory Speichern deaktiviert ist auf einem Domänencontroller. Standardzonen sind die einzige Option, für eine neue Zone, wenn der Server kein Domänencontroller ist. Standardzonen werden in Textdateien auf dem lokalen Server gespeichert. Standardzonen können nur ein Exemplar mit Lese- und Schreibzugriff konfigurieren. Alle anderen Kopien der Zone (sekundäre Zonen) sind schreibgeschützt. Active Directory-Zonenreplikationsbereich legt fest welche Domänencontroller die Zone speichern. Die Auswahl Wie sollen Zonendaten repliziert werden? steht nur zur Verfügung wenn die Zone im Active Directory gespeichert wird: o Auf allen DNS-Servern in dieser Gesamtstruktur: <Domänenname> o Auf allen DNS-Servern in dieser Domäne: <Domänenname> o Auf allen Domänencontrollern in dieser Domäne (Windows 2000Kompatibilität): <Domänenname> o Auf allen Domänencontrollern, die im Bereich dieser Verzeichnispartition angegeben werden: <Verzeichnispartition> Forward- oder Reverse-Lookupzone legt fest ob die neue Zone als Forwardoder Reverse-Lookupzone arbeiten soll. o Forward-Lookupzone weist vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) die IP-Adresse zu. Forward-Lookupzonen bekommen den Namen der DNS-Domäne (example.com), für deren Name der Auflösungsdienst bereitgestellt wird. Forward-Lookupzonen-Einträge sind Host oder A (IPv4) bzw AAAA (quadrible A, IPv6) –Einträge (records oder entries): example.com ws42 A 192.168.1.182 o Reverse-Lookupzone weist IP-Adressen FQDN zu und beantworten somit Anfragen mit denen IP-Adressen in FQDN aufgelöst werden. Reverse-Lookupzonen bekommen den Namen der ersten drei Oktette des Adressraums (1.168.192), für den der ReverseNamensauflösungsdienst bereitgestellt wird plus das abschließende in-addr.arpa. Also 1.168.192.addr.arpa. Reverse-Lookupzonen-Einträge sind Zeiger (pointer) oder PTREinträge: 1.168.192.in-addr.arpa 182 PTR ws42.example.com Zonenname legt den Namen der Forward-Lookupzone fest (Der Name der Reverse-Lookupzone leitet sich automatisch aus dem IP-Adressbereich ab, für den der Server autorisiert ist). Falls die Zone, die Namensauflösung für eine Active Directory-Domäne zu Verfügung stellt, sollte derselbe Namen verwendet werden wie die Active Directory-Domäne. Wenn die Organisation zwei AD-Domänen namens example.com und berlin.example.com hat, sollten zwei Zonen mit eben diesen Namen eingerichtet werden. Dynamisches Update erlaubt DNS-Clientcomputern ihre Ressourceneinträge automatisch zu registrieren und dynamisch zu aktualisieren. Standardmäßig versuchen DNS-Clients, die mit statischen IP-Adressen konfiguriert sind, Host- (A oder AAAA) und Zeigereinträge (PTR) zu aktualisieren. DNS-Clients, die auch DHCP-Clients sind, versuchen nur Hosteinträge zu aktualisieren. Der DHCP-Server in Arbeitsgruppenumgebungen aktualisiert bei jeder IP-Konfiguration den Zeigereintrag erneut. Dynamische Updates funktionieren nur, wenn die Zonen so konfiguriert sind, dass sie dynamische Updates auch annehmen. Zwei Typen von dynamischen Updates können erlaubt werden: o Sichere Updates bei denen nur Registrierungen von Computern zugelassen sind, die AD-Domänenmitglieder sind, und Updates nur von dem Computer, der die ursprüngliche Registrierung durchgeführt hat. o Unsichere Updates erlaubt Updates von allen Computern. Forward-Lookupzone GlobalNames-Zone ist eine spezielle Zone die Windows Server 2008 zu Verfügung stellt. GlobalNames-Zone ermöglicht allen DNS-Clients über Hostnamen, wie zum Beispiel dev01, Verbindung zu Netzwerkessourcen herzustellen, auch in anderen Subnetzen. GlobalNames-Zone ist nützlich, wenn die Standardsuchliste für DNS-Suffixe bei DNS-Clients nicht erlaubt, über den reinen Hostnamen (Kurznamen) eine Verbindung mit einer Netzwerkressource herzustellen. GlobalNames-Zone ist standardmäßig nicht aktiviert. GlobalNames kann dazu genutzt werden, oft verwendete Netzwerkressourcen mit statischen IP-Adressen über den Hostnamen erreichbar zu machen ohne WINS. GlobalNames beinhaltet normal Alias-Ressourceneinträge. GlobalNames sind nur unter Windows Server 2008 kompatibel. Sie können nicht auf Server repliziert werden, die unter älteren Windows-Server-Versionen laufen. GlobalNames-Zone Bereitstellen: Aktivieren der Unterstützung für die GlobalNames-Zone muss auf jedem DNS-Server ausgeführt werden auf dem die Zone repliziert wird. $dnscmd . /config /enableglobalnamessupport 1 Erstellen der Zone GlobalNames unter der Forward-Lookupzone auf dem Domänencontroller. Füllen der GlobalNames-Zone mit CNAME-Einträgen wobei jeder CNAME auf einen Host-Eintrag in einer anderen Zone zeigen muss. DNS Ressourceneinträge Autoritätsursprung (Start Of Authority, SOA) Nameserver (NS) Host (Address, A oder AAAA) Alias (Canonical Name, CNAME) Mail-Exchanger (MX) Zeiger (Pointer, PTS) Dienstidentifizierung (Service, SRV) Hostinfo (HINFO) Bekannter Dienst (Well Known Service, WKS) Verantwortlicher (Responsible Person, RP) Kommentare (TXT) $mmc dnsmgmt.msc $nslookup $nslookup> ls <FQDN> SOA-Einträge SOA-Ressourceneinträge (start of authority) sind DNS-Einträge, anhand ein DNSServer grundlegende und autorisierende Eigenschaften für die Zone festlegt. SOA-Ressourceneinträge legen auch fest wie oft Zonenübertragungen zwischen primären und sekundären Servern durchgeführt werden. @ IN SOA dns01.example.com hostmaster.example.com ( 5099 ; serial number 3600 ; refresh (1 hour) 600 ; retry (10 mins) 860400 ; expire (1 day) 60 ) ; minimum TTL (1 min) $mmc dnsmgmt.msc SOA-Eintrag -> Eigenschaftsdialogfeld -> Autoritätssprung (SOA) Seriennummer ist die Version der Zonendatei. Die Seriennummer wird jedes Mal hochgezählt, wenn sich ein Ressourceneintrag in der Zone ändert oder der Wert von Hand, via Inkrement, erhöht wird. Falls Zonen so konfiguriert sind, dass sie Zonenübertragungen an einen oder mehrere sekundäre Server durchführen, rufen die sekundären Server regelmäßig die Seriennummer der Zone beim Masterserver ab. Diese Abfrage wird als SOA-Abfrage (SOA query) bezeichnet. Wird bei einem SOA query festgestellt, dass die Seriennummer der Masterzone der Seriennummer entspricht, die auf dem sekundären Server gespeichert ist, wird keine Übertragung durchgeführt. Ist die Zone auf dem Masterserver dagegen höher als auf dem sekundären Server, der die Abfrage schickt, leitet der sekundäre Server eine Übertragung ein. Inkrement erzwingt eine Zonenübertragung. Primärer Server enthält den vollständigen Computernamen des primären DNS-Servers der Zone. Dieser Name muss mit einem Punkt enden. Verantwortliche Person gibt den Namen eines RP-Ressourceneintrages (Responsible Person) an, der den Domänenmailboxnamen eines Zonenadministrators enthält. Der Namen des Eintrages, der in dieses Feld eingegeben wird, muss immer mit einem Punkt enden. In den Standardeinstellungen wird in diesem Feld der Name des hostmaster eingetragen. Aktualisierungsintervall legt fest wie lang ein sekundärer DNS-Server wartet, bevor er vom Masterserver für eine Zonenerneuerung abgefragt wird. Ist der Aktualisierungsintervall abgelaufen, fordert der sekundäre DNS-Server vom Masterserver eine Kopie des aktuellen SOA-Ressourceneintrags für die Zone ab. Der Masterserver beantwortet die SOA-Abfrage und der sekundäre DNS-Server vergleicht anschließend die Seriennummer des aktuellen SOAEintrages des Quellservers mit der Seriennummer seines lokalen SOAEintrages. Sind die Seriennummern verschieden, fordert der sekundäre DNSServer vom primären DNS-Server eine Zonenübertragung an. Standardwert für dieses Intervall beträgt 15 Minuten. Wiederholungsintervall legt fest, wie lang ein sekundärer DNS-Server wartet, bevor eine fehlgeschlagene Zonenübertragung erneut durchgeführt wird. Normalerweise ist diese Zeitspanne kürzer als das Aktualisierungsintervall. Standardwert beträgt 10 Minuten. Läuft ab nach legt fest, wie lang ein sekundärer DNS-Server, der keine Verbindung zu seinem Masterserver hat, die Beantwortung von DNSClientabfragen fortsetzt. Nach Ablauf dieser Zeitspanne werden Daten als nicht zuverlässig betrachtet. Standardwert ist 1 Stunde. Minimale Gültigkeitsdauer (Standard) bestimmt den Standard-TTL-Wert, der für alle Ressourceneinträge in der Zone wirksam ist. Standardwert beträgt 1 Stunde. TTL-Werte sind für Ressourceneinträge innerhalb der eigenen autorisierenden Zone nicht relevant. TTL-Wert legt fest, wie lange Ressourceneinträge auf nicht autorisierenden Servern zwischengespeichert wird. DNS-Server, die eine Abfrage zwischengespeichert haben, verwerfen den Eintrag, sobald der TTL-Wert des Eintrags verstrichen ist. TTL für diesen Eintrag legt TTL-Wert des vorhandenen SOARessourceneintrags fest. TTL für diesen Eintrag, setzt den Standardwert im Feld Minimale Gültigkeitsdauer (Standard) außer kraft. Namensservereinträge (NS) Namenservereintrag (NS) gibt einen Server an, der für eine bestimmte Zone autorisierend ist. Namenservereinträge werden standardmäßig, unter Windows Server 2008, für alle Server die eine primären Kopien einer Active Directory-integrierten Zone hosten, eingetragen. Beim erstellen einer primären Standardzone, erscheint standardmäßig ein NS-Eintrag für den lokalen Server in der Zone. Namenservereinträge für sekundäre Zonen, die in einer primären Kopie der Zone gehostet werden, müssen manuell erstellt werden. @ dns01.example.com. @ steht für die Zone, die vom SOA-Eintrag in derselben Zonendatei definiert wird. Der gesamte Eintrag, weist der Domäne example.com den DNS-Server dns01.example.com zu. $mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver $mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver -> Hinzufügen -> FQDN + IP Host-Ressourceneinträge (A oder AAAA) Host-Ressourceneinträge werden benutzt um Computer- oder Gerätenamen einer IP-Adresse zuzuordnen. Host-Ressourceneinträge sind im Normalfall der größte Teil der Ressourceneinträge in einer Zonendatenbank. Host-Ressourceneinträge manuell hinzuzufügen, ist notwendig wenn Computer- oder Geräte sich nicht automatisch eintragen können. dev01 könnte zum Beispiel ein BSD sein und www ein Webserver hinter einer Firwall. Host-Ressourceneinträge werden in die Standardzonendatei (zum Beispiel example.com.dns) eingetragen. ; ; ; Zoneneinträge dev01 www A AAAA A AAAA 192.168.0.42 fd00:0:0:5::8 70.32.6.212 fd00:0:0:5::10 $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse> Alias-Ressourceneinträge (CNAME) Alias-Ressourceneinträge (CNAME) werden auch als kanonische Namen bezeichnet. Alias-Ressourceneinträge erlauben, mehrere Namen auf denselben Host zu verweisen. www ftp ftp ftp01 ftp02 CNAME CNAME CNAME CNAME CNAME dev01.example.com ftp01.example.com ftp02.example.com ber.example.com ffm.example.com CNAME-Ressourceneinträge werden bei folgenden Szenarien empfohlen: Hosts deren A-Ressourceneintrag umbenannte werden muss. Generische Namen wie ftp, die in eine Gruppe einzelner Computer aufgelöst werden müssen. $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] CNAME <Hostname|Domänenname> MX-Ressourceneinträge Mail-Exchange-Ressourceneinträge (MX) werden von E-Mail-Anwendungen benutzt, um Mailserver innerhalb einer Zone zu finden. MX-Ressourceneinträge können Domänennamen wie example.com, die in einer EMail-Adresse wie zum Beispiel [email protected] angegeben werden, dem AEintrag eines Gerätes zuordnen, welches den Mail-Server hostet. MX-Ressourceneinträge werden oft mehrfach benannt um eine Fehlertoleranz zu gewährleisten. MX-Ressourceneinträge enthalten einen Präferenzwert an dritter Stelle, die die Priorität des zugehörigen Servers festlegt. Je kleiner der Wert, desto größer die Priorität. @ @ @ MX MX MX 1 10 20 mail01.example.com mail02.example.com mail03.example.com $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername> SRV-Ressourceneinträge Dienstidentifizierungs-Ressourceneinträge (SRV) werden benutzt, um die Position bestimmter Dienste in der Domäne anzugeben. SRV-Ressourceneinträge nutzen Clientanwendungen, die SRV-fähig sind, um über DNS gesuchte Anwendungserver abzurufen. _ldap._tcp SRV SRV SRV 0 10 5 0 0 0 389 389 389 dc01.example.com. dc02.example.com. dc03.example.com. SRV-Ressourceneinträge legen an der dritten Stelle die Priorität fest, 0 ist die höchste Priorität. SRV-Ressourceneinträge legen an der vierten Stelle die Gewichtung für den Lastenausgleich zwischen Servern mit gleicher Priorität fest. SRV-Ressourceneinträge legen an der fünften Stelle den Port des Dienstes fest. Windows Server 2008-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung. Der Anmeldedienst sucht mithilfe von SRV-Einträgen Domänencontroller in einer Domäne, indem er in der Domäne nach dem LDAPDienst (Lightweight Directory Access Protocol) sucht. Beispiel einer solchen DNSClient-SRV-Abfrage wäre: _ldap._tcp.example.com. DNS-Server-SRV-Antwort wäre (nach oberen Beispiel): ldap://dc01.example.com:389. ldap://dc03.example.com:389. ldap://dc02.example.com:389. PTR-Ressourceneinträge Zeiger-Ressourceneinträge werden für Reverse-Lookupzonen benutzt, um ReverseLookups zu ermöglichen. PTR-Ressourceneinträge werden für Abfragen genutzt, die eine IP-Adresse in den zugehörigen Hostnamen oder FQDN auflöst. Reverse-Lookups werden in Zonen durchgeführt, die unterhalb der Domäne in-addr.arpa liegen. 0.168.192.in-addr.arpa 42 PTR dev01.example.com. 6.32.70.in-addr.arpa 212 PTR www.example.com. PTR-Ressourceneinträge werden in die entsprechende Zonendatei eingetragen. Für das Klasse-B-Netz 192.168.0.0, heißt die Zonendatei 0.168.192.inaddr.arpa, für das Klasse-C-Netz 70.32.6.0, heißt die Zonendatei 6.32.70.in-addr.arpa. $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname> WINS-Ressourceneinträge WINS-Server können für Forward- und Reverse-Lookupzonen angegeben werden. Daraufhin wird ein spezieller WINS-Ressourceneintrag bzw. ein WINS-RRessourceneintrag zur Zone hinzugefügt der auf den WINS-Server zeigt. WINS-Server wird vom DNS-Server kontaktiert nachdem er eine DNS-Antwort in seinen Üblichen Quellen (Cache, lokale Zonendaten, andere-DNS-Server) nicht finden konnte. $mmc dnsmgmt.msc Zone -> Reverse- oder Forward-Lookupzone -> Eigenschaften -> WINS $dnscmd $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] CNAME <Hostname|Domänenname> $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse> $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername> $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname> $dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] <RRTyp> <RRDaten> $dnscmd /RecordDelete 10.in-addr.arpa 127.2.3 PTR $dnscmd /RecordAdd 196.168.in-addr.arpa 3.10 PTR $dnscmd /RecordAdd foo.local berlin A 192.168.3.1 $dnscmd dc02.foo.local /RecordAdd ffm.foo.local dns05 192.168.5.254 Alterung und Aufräumvorgänge Um das Alter von dynamisch registrierten Ressourceneinträgen zu bestimmen, verwendet DNS Zeitstempel. Alterung (aging) und Aufräumvorgänge (scavenging) hängen unmittelbar zusammen. Veraltete dynamische Ressourceneinträge, Ressourceneinträge bei denen der Zeitstempel abgelaufen ist, werden mit einem Aufräumvorgang gelöscht. Standardmäßig sind Alterung und Aufräumvorgang deaktiviert. $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Alterung/Aufräumvorgänge für alle Zonen festlegen… $mmc dnsmgmt.msc -> Zone -> Alterung/Aufräumvorgänge für alle Zonen festlegen… Wichtig ist das sowohl auf der DNS-Server-Ebene als auch auf der Zonen-Ebene die Option aktiviert sein muss. Da Alterung und Aufräumvorgänge, wenn man diese nur auf Server-Ebene aktiviert, nur für neue Zonen gilt, außer man aktiviert Diese Einstellung auf alle vorhandenen Active Directory-integrierten Zonen anwenden. Zeistempelwerte der Ressourceneinträge nutzt der DNS-Server für Alterung und Aufräumvorgang. Zeitstempel sind bei Active Directory-integrierten dynamisch registrierten Einträgen automatisch aktiviert. Zeitstempel sind bei dynamisch registrierten Einträgen in primären Standardzonen erst aktiviert wenn Alterung/Aufräumvorgang für alle Zonen festlegen… aktiviert wurde. Zeitstempel bei manuell erstellten Ressourceneinträgen sind immer 0. Zeitstempel 0 bedeutet das der Ressourceneintrag nicht altert. $mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung… Eigenschaften für Serveralterung/Aufräumvorgänge: Intervalls für Ändern des Nichtaktualisierung ist das Intervall in dem ein Server oder eine Zone die Aktualisierung eines Zeitstempels verweigert. Standardwert ist 7 Tage. Ändern des Aktualisierungsintervalls ist das Intervall in dem ein Server oder eine Zone nicht aufgeräumt wird und die Aktualisierung eines Zeitstempels erlaubt ist. Standardwert ist 7 Tage. Die Standardeinstellungen bedeuten also, dass dynamische registrierte Ressourceneinträge nach 14 Tagen aufgeräumt werden. Das Aktualisierungsintervall muss stets gleichgroß oder größer sein als das Nichtaktualisierungsintervall. $mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung… -> Eigenschaften für Serveralterung/Aufräumvoränge Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren: $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften -> Erweitert -> Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren Veraltete Ressourceneinträge aufräumen: $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Veraltete Ressourceneinträge aufräumen DNS-Zugriffssteuerungslisten (Discretionary Access Control List, DACL) der DNSZonen sind in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert. DNS-DACL können die Berechtigungen für die Active Directory-Benutzer und Gruppen steuern, die DNS-Zonen steuern dürfen. DNS-DACL-Verwaltung verlangt mindestens Mitglied der Gruppe DnsAdmins oder Domänen-Admins in AD DS oder einer entsprechenden Gruppe zu sein. Zonenreplikation und Zonenübertragung Konfiguration Zonenreplikation (zone replication) ist die Synchronisation von Zonendaten für Active Directory-integrierte Zonen. Active Directory-integrierte Zonen können nur auf Domänencontrollern installiert werden, bei denen die Serverrolle DNS-Server installiert ist. Active Directory-integrierte Zonen verfügen über eine Multimaster-Datenreplikation, die einfach zu konfigurieren ist und mehr Sicherheit und Effizienz bietet, im Gegensatz zu Standardzonen. Active Directory-integrierte Zonen mit integrierter Speicherung können DNS-Clients Updates auf die komplette Domänenstruktur replizieren. Anwendungsverzeichnispartitionen helfen beim Verwalten von DNS-Zonendaten. Anwendungsverzeichnispartitionen enthalten DNS-Zonendaten. Verzeichnispartitionen werden durch eine DNS-Subdomäne und einen FQDN identifiziert. Verzeichnispartitionen können auch manuell erstellt werden. Manuelle Verzeichnispartitionen können nur Mitglieder der Gruppe Organisations-Admins erstellen. $dnscmd <Servername> /createdirectorypartition <FQDN> $dnscmd <Servername> /enlistdirectorypatition <FQDN> $dnscmd . /createdirectorypartition DnsPartition01.example.com Verzeichnispartitionen DomainDnsZones und ForestDnsZones sind standardmäßig vorgegeben: DomainDnsZones (DomainDnsZone.example.com) wird auf allen Domäncontrollern repliziert. Um Replikationen auf Windows 2000 Server zu ermöglichen, kann man Active Directory-integrierte Zonen in dieser Verzeichnispartition speichern. ForestDnsZones (ForestDnsZone.example.com) wird auf allen DNSServern einer AD repliziert. $mmc dnsmgmt.msc -> DNS-Server Symbol -> StandardanwendungsVerzeichnispartitionen erstellen $mmc dnsmgmt.msc -> DNS-Server Symbol -> Neue Zone… -> Active DirectoryZonenreplikationsbereich $mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Replikation: Alle DNS-Server dieser Domäne -> Ändern… Auf allen DNS-Servern in dieser Gesamtstruktur bedeutet, dass die Zone in der Verzeichnispartition ForsestDnsZones gespeichert wird und von jedem DNS-Server der Gesamtstruktur repliziert wird. Auf allen DNS-Servern in dieser Domäne bedeutet, dass die Zone in der Verzeichnispartition DomainDnsZones gespeichert wird und von jedem DNSServer der Domäne repliziert wird. Auf allen Domänencontrollern in dieser Domäne (Windows 2000Kompatibel) bedeutet, dass die Zone in DomainDnsZones gespeichert wird und jeder DC eine Kopie erhält. Auf allen Domänencontrollern, die im Bereich dieser Verzeichnispartition angegeben werden bedeutet, dass die Verzeichnispartition benutzerdefiniert ausgewählt werden kann. Hier können benutzerdefinierte Verzeichnispartitionen eingebunden werde. Zonenübertragung (zone transfer) ist die Synchronisation von Zonendaten zwischen einer beliebigen Masterzone und einer sekundären Zone. Zonenübertragung muss genutzt werden wenn dein DNS-Server kein Domäncontroller ist. Zonenübertragung findet zum Beispiel statt, wenn eine Organisation mehrere DNSServer benötigt. Hier werden Quelldaten in eine schreibgeschützte sekundäre Zone kopiert auf einem weiteren DNS-Server. Zonenübertragung verwendet Standardzonen, Textdateien die ein jeder DNS-Server speichert. Zonenübertragung ist ein Pull-Vorgang, der von der sekundären Zone eingeleitet wird. Die sekundäre Zone kopiert hierbei Daten von der Masterzone. Sekundäre Zonen können so konfiguriert werden, dass sie eine Active Directoryintegrierte Masterzone übertragen. Zonenübertragung an sekundäre Zonen kann durch drei Ereignisse ausgelöst werden: Wenn der Aktualisierungsintervall im SOA-Ressourceneintrag der primären Zone abgelaufen ist. Der sekundäre Server leitet die Abfrage ein und vergleicht seine Seriennummer mit der der Masterzone. Wenn ein Server, der eine sekundäre Zone hostet, neu gestartet wurde. Der sekundäre Server leitet die Abfrage ein und vergleicht seine Seriennummer mit der der Masterzone. Wenn eine Änderung an der Konfiguration der primären Zone auftritt und diese primäre Zone so konfiguriert ist, dass sie eine sekundäre Zone über Zonenupdates benachrichtigt. $mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Zonenübertragungen Zonenübertragungen zulassen: An jeden Server ist die unsicherste Option, da jedem der Zugriff auf den DNS-Server gestattet wird um Zonendaten zu kopieren. Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind schränkt die Zonenübertragung auf sekundäre DNS-Server ein, die einen NSEintrag in der Zone haben und daher bereits autorisierend für Zonendaten sind. Nur an folgende Server schränkt die Zonenübertragung auf, in einer Liste festgelegte, IP/Hosts-Adressen ein, die nicht als NS-Eintrag vorhanden sein müssen. Benachrichtigungen… können Benachrichtigungen an sekundäre Server konfiguriert werden, wenn in der primären Zone Änderungen stattfinden. $mmc dnsmgmt.msc -> sekundäre Zone Übertragung vom Master prüft ob die Seriennummer des SEO-Eintrags der sekundären Zone abgelaufen ist und leitet bei Bedarf im Pull-Verfahren eine Zonenübertragung vom Masterserver ein. Erneut vom Master übertragen prüft nicht die Seriennummer sondern leitet direkt eine Zonenübertragung vom Masterserver der sekundären Zone ein. Neu laden lädt die sekundäre Zone neu aus dem lokalen Speicher. Stubzonen (stub zone) sind Kopien einer Zone, die nur die wichtigsten Einträge der Masterzone enthält. Stubzonen liefern einem DNS-Server die Namen der Server, die für bestimmte Zonen autorisierend sind. Sie verhindern somit Abfragen auf entfernte DNS-Server. Stubzonen sollen es dem lokalen DNS-Server ermöglichen, Abfragen an Namenserver weiterzuleiten, die für die Masterzone autorisierend sind. Stubzonen erfüllen, nach dem oberen Fall, die gleiche Aufgabe wie eine Delegierung. Stubzonen bieten aber den Vorteil, dass sie Zonenübertragungen von der (delegierten) Masterzone einleiten und empfangen können. So können übergeordnete Zonen über Updates in den NS-Einträgen von untergeordneten Zonen informiert werden. Stubzonen Aufgaben: Zoneninformationen auf dem neusten Stand halten – Wenn der DNSServer der übergeordneten Zone und die Stubzone (für seine untergeordneten Zonen) hostet, hat er immer eine Liste der autorisierenden DNS-Server für die untergeordnete Zone. Verbesserung der Namensauflösung – Stubzonen ermöglichen DNS-Server mit Rekursion durch die Namenserverliste der Stubzone zu gehen, ohne andere DNS-Server innerhalb des lokalen Namespace abfragen zu müssen. Stubzonen die auf diese Art bereit gestellt werden, können sekundäre Zonen ersetzen und werden über die gesammte AD-Domäne oder einen großen DNS-Namespace hinweg übertragen. Delegierte Zonen sind untergeordnete Zonen (zum Beispiel ffm.example.com) einer übergeordneten Zone (zum Beispiel example.com), die normalerweise auf ihrem eigenen DNS-Server gehostet wird. Bei Delegierung enthält die übergeordnete Zone einen NS-Eintrag für den Server, der die untergeordnete Zone hostet. Anfragen in der übergeordneten Domäne werden also an den NS-Server der untergeordneten Domäne weitergeleitet. DNS-Servercache DNS-Servercache speichert rekursive Abfragen von DNS-Clients. DNS-Servercache wird geleert sobald der DNS-Serverdienst angehalten wird. DNS-Auflösungscache verwendet eine TTL (Time-to-Live) für Ressourceneinträge. DNS-Auflösungscache TTL beträgt standardmäßig 3600 Sekunden. $dnscmd $dnscmd /clearcache $mmc dnsmgmt.msc Stammhinweise enthält eine Liste der Stammserver im Internet, die alle paar Jahre von leicht verändert wird. ftp://rs.internic.net/domain/named.cache Stammhinweise befinden sich unter Windows Server 2008 in der Datei %SystemRoot%\System32\Dns\Cache.dns. Stammhinweise enthalten standardmäßig Informationen für die Abfrage nach Internetnamen, die nicht verändert werden müssen. Stammhinweise sollten ganz gelöscht werden wenn ein DNS-Stammserver für ein privates Netzwerk (Zonenname: „“) eingerichtet wird. Stammhinweise stehen nicht zur Verfügung wenn ein DNS-Server einen Stammserver hostet. Stammhinweise müssen entfernt werden wenn ein DNS-Server eine Stammzone hostet, um das Auflösen von externen Namen zu gewährleisten. Weiterleitungen (forwards) bedient sich ein DNS-Server, wenn er keinen passenden Eintrag anhand seiner autorisierenden Daten (primäre oder sekundäre Zonendaten) oder zwischengespeicherten Daten beantworten kann. Weiterleitungen sind DNS-Server-zu-DNS-Server Anfragen. $netsh ip(v4|v6) set dnsserver “<Interfacename>“ static <IP> Weiterleitungen (forwardings) und deren Verwendung: Weiterleitungen werden oft benutzt, damit DNS-Clients und –Server innerhalb einer Firewall externe Namen auf sichere Weise auflösen können. Dabei können Anfragen an bestimmte externe DNS-Server gerichtet werden für die IP- oder Host-Abhängig Ports geöffnet sind Weiterleitungen können benutzt werden, um innerhalb einer AD DS eine DNSDeligierung zu ermöglich. Dabei können z.B. die DNS-Server der untergeordneten Domänen so konfiguriert werden, dass sie Anfragen an einen bestimmten DNS-Server richten in der übergeordneten (Stamm-)Domäne. So können Namen von Ressourcen in allen Domänen der Gesamtstruktur aufgelöst werden. Weiterleitende DNS-Server die intern, externe-DNS-Server-Anfragen auf eine Weiterleitung bündeln, können sinnvoll sein um den WAN-Traffic zu minimieren. $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -> Forward-Lookupzone Bedingte Weiterleitungen (conditional forwards) beschreibt eine DNS-ServerKonfiguration, bei der die Abfrage nach einer bestimmten Domäne an einen bestimmten DNS-Server weitergeleitet wird. Bedingte Weiterleitungen haben einen geringen Wartungsaufwand, verursachen kaum Zonentransfareverkehr und sind im Gegensatz zu sekundären und Stub-Zonen immer aktuell. $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -> Bedingte Weiterleitungen DNS-Server-Eigenschaften konfigurieren die Eigenschaften die für den DNS-Server und all seine gehosteten Zonen gelten. $mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften Schnittstellen legt fest auf welchen IP-Adressen DNS-Anforderungen verarbeitet werden. Standardmäßig nimmt der DNS-Server auf allen Schnittstellen DNS-Anfragen an. Stammhinweise enthält eine Kopie der Informationen aus %SystemRoot%\System32\Dns\Cache.dns . Bei DNS-Servern die einen Stammserver hostet ist dieser Reiter nicht vorhanden Weiterleitungen dienen dazu den lokalen DNS-Server so zu konfigurieren das er Anfragen an einen anderen DNS-Server, die hier mit IP-Adresse eingetragen sind, weiterleitet und an den Client zurückgibt DHCP DHCP (Dynamic Host Configuration Protocol) ermöglicht das Zuweisen von IPAdressen, Subnetzmasken, Standardgateways, DNS-Servern und anderen Konfigurationsinformationen an Clients im lokalen Netzwerk. Clients die für DHCP konfiguriert sind, rufen automatisch ihre IPv4-Adresse und Konfiguration vom DHCP-Server ab. Vier Schritte sind notwendig um einem Clienten eine IPv4-Adresse und Subnetzmaske zuzuweisen: 1. Broadcast mit DHCP-Discover – Der Client sendet eine DHCP-DiscoverNachricht als Broadcast in das lokale Netz, die sich an irgendeinen verfügbaren DHCP-Server richtet. 2. Antwort mit DHCP-Offer – Falls ein DHCP-Server im Broadcastbereich vorhanden ist und den DHCP-Client mit einer IP-Adresszuweisung versorgen kann, sendet er eine DHCP-Offer-Unicastnachricht an den DHCP-Client. DHCP-Offer-Nachrichten enthalten eine Liste der DHCPKonfigurationsparameter und eine verfügbare IP-Adresse aus dem DHCPBereich, die der DHCP-Server dem DHCP-Client anbietet. Falls der DHCP-Server eine Reservierung anhand der MAC-Adresse des DHCP-Clients feststellt, bietet er dem Client die reservierte Adresse an. 3. Antwort mit DHCP-Request – Der DCHP-Client antwortet auf die DHCPOffer-Nachricht und fordert die IP-Adresse an, die ihm angeboten wird. Es besteht aber auch die Möglichkeit, dass der DHCP-Client die IP-Adresse anfordert die ihm vorher zugewiesen war. 4. Bestätigung mit DHCP-Ack – Falls die IP-Adresse, die der DHCP-Client angefordert hat, noch verfügbar ist, antwortet der DHCP-Server mit einer DHCP-Ack-Bestätigungsnachricht. Der Client kann die IP-Adresse nun benutzen. Adressleases DHCP-Server verwalten eine Datenbank der Adressen, die der Server an Clients vergeben kann. Den Vorgang des Adressvergebens nennt man Lease. DHCP-Server zeichnen auf, welche Adresse an welchen Client vergeben ist, so dass Adressen niemals mehrfach vergeben werden. Leases dauern in den Standardeinstellungen 6 Tage oder 8 Stunden. Leases die abgelaufen sind – am Ende einer Leasedauer fordert der DHCP-Server die Adresse zurück. DHCP-Clients fordern nach der Hälfte der Leasedauer eine Erneuerung der Lease an den DHCP-Server. DHCP-Server online: genehmigt er normalerweise die Anforderung und die Leasdauer wird wieder neu gestartet. DHCP-Server nicht verfügbar: versucht der DHCP-Client, die DHCP-Lease zu verlängern wenn die Hälfte der Leasdauer verstrichen ist. Wenn 87,5% der Leasedauer verstrichen sind, versucht der Client einen neuen DHCP-Server zu finden. DHCP-Clients die heruntergefahren werden oder bei denen der Befehl runas /user:Administrator “ipconfig /release“ ausgeführt wird, senden eine DHCP-Release-Nachricht an den DHCP-Server, der die Adresse zugewiesen hat. Der DHCP-Server markiert daraufhin die Adresse als verfügbar und kann sie einem anderen DHCP-Client zuweisen. DHCP-Clients die plötzlich vom Netzwerk getrennt werden, senden keine DHCPRelease-Nachricht, was zu folge hat, dass die Adresse bis zum Ende der Leasedauer vergeben bleibt. Leasedauer sollte deshalb in Netzwerken mit häufigen Verbindungen und Trennungen (zum Beispiel WLANs) gering sein. DHCP-Clients Konfiguration Netzwerkadapter -> Eigenschaften -> Internetprotokoll IP(v4|v6) -> Allgemein IP-Adresse automatisch beziehen DNS-Server automatisch beziehen $netsh interface ipv4 set address <Adaptername> dhcp $netsh interface ipv4 set dnsserver <Adaptername> dhcp $netsh interface ipv6 set interface <Adaptername> managedaddress=(enable|disable) $netsh interface ipv6 set interface <Adaptername> otherstatful=(enable|disable) $ipconfig /release (erzwingen einer neuen Lease) $ipconfig /renew Statusbehafteter-Modus (statful mode) muss manuell aktiviert werden. Statusbehafteter-Modus fragt über DHCPv6 eine Adresse und IPv6Konfigurationsoptionen von einem DHCP-Server ab. Statusfreie-Modus (statless mode) ist standardmäßig auf IPv6-Clients aktiviert. Statusfreie DHCPv6-Modus bedeutet, dass der Client seine IP-Adresse durch Austausch von Routeranfrage- und Routerankündigungsnachricht mit einem benachbarten IPv6-Router konfiguriert. Statusfreie DHCPv6-Modus kann denoch DHCP-Optionen, wie zum Beispiel den IPv6-DNS-Server, beim DHCP-Server abfragen. DHCP-Server Konfiguration DHCP-Server unter Windows Server 2008 benötigen eine statische IP-Adresse, aus dem Subnetz das für den DHCP-Bereich konfiguriert werden soll. DHCP-Server die IP-Adressen an Clients leasen, müssen einen Bereich von IPAdressen für das Leasen vordefiniert haben. DHCP-Server die für die Subnetze 10.0.42.0/24 und 192.168.23.0/24 DHCPBereiche definiert haben, sollten direkt mit diesen Subnetzen (sofern kein DHCPRelay-Agent eingesetzt wird) verbunden sein. $mmc dhcpmgmt.msc $start /w ocsetup DHCPServerCore $net start dhcpserver $sc config dhcpserver start=auto $mmc servermanager.msc -> Assistenten „Rollen hinzufügen“ -> Serverrolle auswählen -> DHCP-Server Bindungen für Netzwerkverbindung auswählen – gibt die Netzwerkkarte oder den Adapter an, auf dem der DHCP-Server Clientanforderungen entgegennimmt. Angeben von IPv4-DNS-Servereinstellungen – gibt die DNS-Optionen 015 (DNS-Domänenname) und 006 (DNS-Server) an. Angeben von IPv4-WINS-Servereinstellungen – gibt die DNS-Option 044 (WINS/NBNS-Server) an. DHCP-Bereiche hinzufügen oder bearbeiten – gibt den DHCP-Bereiche an, eine Gruppe von IP-Adressen aus einem Subnetz, die der DHCP-Dienst nutzt um dynamische IP-Adressen zu vergeben. DHCP-Bereiche hinzufügen: Bereichname – Anzeigename der DHCP-Server-Konsole. Start- und End-IP-Adresse – DHCP-Bereich der aus IPs des Subnetzes die nicht statisch vergeben werden, besteht. Statisch konfigurierte Bereiche müssen ausgenommen werden. Bsp.: 192.168.0.1-20 ist statisch vergeben; DHCP-Bereich: 192.168.0.21-192.168.0.254 Subnetzmaske – die DHCP-Clients zugewiesen wird. Muss die gleiche sein wie die des DHCP-Servers. Standardgateway (optional) – Option 003 (Router). Subnetztyp – standard Leasedauer. Entweder 6 Tage oder 8 Stunden. Diesen Bereich aktivieren – nur aktivierte Bereiche vergeben Leases. Konfigurieren des statusfreien DHCPv6-Modus – statless mode ist der Standardadressierungsmodus für IPv6-Hosts, wobei Adressen ohne Hilfe eines DHCP-Servers konfiguriert werden. Optionen können aber denoch von einem DHCP-Server abgerufen werden. Statusfreien DHCPv6-Modus kann deaktiviert werden, um dem DHCP-Server zu ermöglichen statusbehaftete Adressierungen zu vergeben. Hierfür muss später ein weiterer DHCP-Bereich im Knoten IPv6 der DHCP-Konsole eingerichtet werden. IPv6 DNS-Servereinstellungen angeben – (wird nur gezeigt wenn statusfreien DHCPv6-Modus deaktiviert ist) DHCP-Server autorisieren – bevor ein DHCP-Server in einer Domänenumgebung Leases für Adressen aus einem vorhandenen Bereich an DHCP-Clients vergeben kann, muss der Server erst autorisiert und der Bereich aktiviert sein. DHCP-Bereiche (scope) sind die wichtigsten Mechanismen, wie Server Verteilung und Zuweisung von IP-Adressen und Optionen an Clients verwalten. DHCP-Bereiche müssen in einem einzelnen Hardwaresubnetz liegen, für die dass DHCP-Dienste angeboten wird. $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereich $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Adresspool -> Neuer augeschlossener Bereich… -> Ausschluss hinzufügen Ausgeschlossene Bereiche sind Adessausschlüsse aus dem vordefinierten DHCPBereich. Adressausschlüsse dienen dazu einzelne IPs oder IP-Blöcke vom DHCP-Bereich auszuschließen, die statisch vergeben wurden. $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Reservierungen -> Neue Reservierung… -> Neue Reservierung Reservierungsname IP-Adresse Mac-Adresse Beschreibung Unterstützte Typen (Beide|Nur DHCP| Nur BOOTP) $getmac /s <IP> | clip Reservierungen haben den Vorteil, dass sie gegenüber von Handverwalteten, statischen IP-Adressen, zentral verwaltet werden können. Reservierungen haben den Nachteil, dass sie erst spät im Startprozess zugewiesen werden und ein DHCP-Server vorhanden sein muss. Reservierungen können zum Beispiel bei Druckservern oder Anwendungsserver praktikabel sein. DNS-Server sollten auf keinen Fall von DHCP-Servern abhängig sein. $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Eigenschaften -> Allgemein -> Leasedauer für DHCP-Clients Leasdauern für LANs ist die standardmäßig, sinnvoll mit der Dauer von 6 Tage festgelegt. Kann aber erhöht werden falls die Computer selten umgestellt oder neu angeschlossen werden. Leasdauern sollten relativ kurz sein, 8 Stunden, wo die Adressen knapp sind und die Verbindungsdauern kurz. $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Adressleases -> Löschen Adressleases zeigt an welche IP-Adressen momentan als Leases an welche Clienten vergeben sind. Adressleases Löschen kann gleich mehrere Clients auswählen und Leases vieler Clients aufeinmal beenden um ihre Leases zu erneuern und die neuen Adressen oder neuen Optionen abzurufen. DHCP-Optionen stellen Clients zusammen mit der Adresslease zusätzliche Konfigurationsparameter zur Verfügung, etwa DNS- oder WINS-Serveradressen. DHCP-Optionen werden normalerweise für einen gesamten Bereich zugewiesen (Serveroptionen). DHCP-Optionen können aber auch auf Serverebene eingestellt werden und gelten dann für alle Leases auf allen Bereichen, die für DHCPServerinstallationen definiert sind (Bereichsoptionen). DHCP-Optionen können auf Reservierungsebene einzelnen Computern zugewiesen werden (Optionsklassen). $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Bereichoptionen -> Optionen Konfigurieren… -> Optionen - Bereich -> Allgemein $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Serveroptionen -> Optionen Konfigurieren… -> Optionen - Server -> Allgemein DNS-Bereich- und Serveroptionen unterscheiden sich dadurch, wie der Name schon sagt, dass die Optionen einmal auf Bereichsebene und einmal auf Serverebene angewendet werden. 60 DHCP-Standardoptionen stehen unter Windows Server 2008 zu Verfügung. Folgende sind für die IPv4-Konfiguration die wichtigsten: 003 Router – Liste mit den IPv4-Adressen der bevorzugten Router im selben Subnetz wie DHCP-Clients 006 DNS-Server – Liste mit den IPv4-Adressen von DNS-Namenservern 015 DNS-Domänenname – Gibt den Domänenname an, die der Client als primäres DNS-Suffix verwenden soll und für dynamische DNS-Updates 044 WINS/NBNS-Server – Gibt die IPv4-Adresse der primären und sekundären WINS-Server an 046 WINS/NBT-Knotentyp – Gibt die bevorzugte NetBIOSNamensauflösungsmethode (Broadcast, H-Knoten) an 051 Lease – Gibt eine spezielle Leasedauer für Remotezugriffsclients an, welche durch eine bestimmte Benutzerklasseninformationen identifiziert werden Standardbenutzerklasse (default user class) ist eine Klasse, zu der alle DHCPClients gehören und die auf alle DHCP-Clients angewendet wird. In dieser Klasse werden in der Standardeinstellung alle Optionen erstellt. DHCP-Konflikterkennungsversuche, falls mit dem Wert 2 konfiguriert, erkennen via ping über ICMP ob IPs schon geleast sind. DHCP-Datenbank kompremieren: $cd %systemroot%\system32\dhcp $net stop dhcpserver $jetpack dhcp.mdb tmp.mdb $net start dhcpserver DHCP-Optionsklassen (options class) ist eine Clientkategorie, die es dem DHCPServer erlaubt, Optionen nur an bestimmte Clients innerhalb eines Bereiches zuzuweisen. Optionsklassen die einem Server hinzugefügt werden, können Clients dieser Klasse mit klassenspezifischen Optionen versorgt werden. Optionsklassen werden nach der Standardbenutzerklasse angewandt und überschreiben deren Option. Es gibt zwei Typen von Optionsklassen: Herstellerklassen (vendor class) werden benutzt, um DHCP-Clients, die als Produkte eines bestimmten Herstellers identifiziert werden, herstellerspezifische Optionen zuzuweisen. Clients mit Windows 2000 können so zum Beispiel ermittelt werden, und abhängig davon NetBIOS aktiviert oder deaktiviert werden. $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Herstellerklassen definieren -> DHCP-Herstellerklassen Benutzerklassen (user class) werden benutzt, um Optionen an beliebige Gruppen von Clients zuzuweisen. Diese Klassen sind im Gegensatz zu Herstellerklassen konfigurierbar. Nachdem eine Benutzerklasse auf dem Server erstellt wurde, muss die Klasse auf den Clientcomputern konfiguriert werden. $mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Benutzerklassen definieren -> DHCP-Benutzerklassen -> Hinzufügen… $ipconfig /setclassid <Adaptername> <Benutzklassen-ID> IP-Routing Routing erlautb es Routern, Verkehr untereinander weiterzuleiten, so dass Clients und Server in unterschiedlichen Subnetzen miteinander kommunizieren können. Routing kann mit ICMP (Internet Control Message Protocol) überwacht, verfolgt und visualisiert werden. Routing kann dynamisch, mit Hilfe von Routingprotokollen, oder statisch mit Hilfe von Routentabellen gesteuert und konfiguriert werden. $pathping dc01 Routenverfolgung zu DC01.foo.local [fd65:9abf:efb0:6::a] über maximal 30 Abschnitte: 0 DNS01.foo.local [fd65:9abf:efb0:6::b] 1 DC01 [fd65:9abf:efb0:6::a] Berechnung der Statistiken dauert ca. 25 Sekunden... Quelle zum Abs. Knoten/Verbindung Abs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse 0 DNS01.foo.local [fd65:9abf:efb0:6::b] 0/ 100 = 0% | 1 0ms 0/ 100 = 0% 0/ 100 = 0% DC01 [fd65:9abf:efb0:6::a] $tracert freebsd.org Routenverfolgung zu freebsd.org [69.147.83.40] 1 2 3 4 5 6 7 8 9 10 11 12 13 1 1 17 11 28 41 33 121 195 189 190 195 191 ms ms ms ms ms ms ms ms ms ms ms ms ms 1 1 18 10 28 37 34 * 213 191 194 194 189 ms ms ms ms ms ms ms ms ms ms ms ms 1 1 25 10 32 28 32 131 209 204 206 191 192 ms ms ms ms ms ms ms ms ms ms ms ms ms über maximal 30 Abschnitte: 192.168.32.64 fritz.box [192.168.64.128] lo1.br14.ber.de.hansenet.net [213.191.64.25] ae1-102.cr01.ber.de.hansenet.net [62.109.108.125] so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.66.21] ae0-0.pr01.fra.de.hansenet.net [213.191.66.201] ge-1-3-0.pat2.dee.yahoo.com [80.81.193.115] as-1.pat2.dcp.yahoo.com [66.196.65.129] as-0.pat2.da3.yahoo.com [216.115.101.155] as-1.pat2.sjc.yahoo.com [216.115.101.151] ae-0-d161.msr1.sp1.yahoo.com [216.115.107.59] gi-1-48.bas-b1.sp1.yahoo.com [209.131.32.47] freefall.freebsd.org [69.147.83.40] Ablaufverfolgung beendet. Routingprotokolle Routingprotokolle vereinfachen die Konfigurationen und erlauben es Routern, automatische Anpassungen vorzunehmen, wenn sich die Netzwerkbedingungen ändern (wenn zum Beispiel ein Router oder eine Netzwerkverbindung ausfällt). Routingprotokolle sind zum Beispiel RIP (Routing Information Protokoll) oder OSPF (Open Shortest Path First). Router mit aktiviertem Routingprotokoll, die an ein Netzwerk angeschlossen sind, kündigt das Routingprotokoll eine Liste der Netzwerke an, mit dem der Router verbunden ist. Der Router nimmt die Ankündigungen von benachbarten Routern entgegen, so dass er erfährt, wie er bestimmte Remotenetzwerke erreichen kann. Routing- und RAS-Dienste Routing- und RAS-Dienste (Remote Access System) Serverrolle aktiviert unter Windows Server 2008 dynamisches routing mit Hilfe von RIP (Routing Information Protokoll).. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 Neues Routingprotokoll o RIP, Version 2, für das Internetprotokoll o Neue Schnittstelle für RIP, Version 2, für das Internetprotokoll Schnittstelle -> Eigenschaften o Allgemein – RIPv1 oder RIPv2 sowie Authentifizierung o Sicherheit – legt fest von welche angekündigten Routen akzeptiert werden o Nachbarn – Liste der Nachbarn o Erweitert – Ankündigungsintervall und Zeitüberschreitung Standardmäßig verwendet Windows Server 2008 RIPv2. (http://administrator.de/) Statisches Routing Statische Routen können zum Beispiel notwendig sein, wenn Geräte eine Verbindung mit einem entfernten Subnetz herstellen müssen und das Standardgateway nicht direkt mit einer Schnittstelle an besagtes Subnetz angebunden ist. Statische Routen können unter Windows 2008 Server entweder mit $route oder dem Routing- und RAS-Dienst konfiguriert werden. $route print =========================================================================== Schnittstellenliste 3...00 0c 29 43 b0 31 ......Intel(R) PRO/1000 MT-Netzwerkverbindung 1...........................Software Loopback Interface 1 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.6.1 192.168.6.11 11 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 192.168.6.0 255.255.255.0 Auf Verbindung 192.168.6.11 266 192.168.6.11 255.255.255.255 Auf Verbindung 192.168.6.11 266 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.6.11 266 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.6.11 266 =========================================================================== Ständige Routen: Netzwerkadresse Netzmaske Gatewayadresse Metrik 0.0.0.0 0.0.0.0 192.168.6.1 1 =========================================================================== IPv6-Routentabelle =========================================================================== Aktive Routen: If Metrik Netzwerkziel Gateway 1 306 ::1/128 Auf Verbindung 3 266 fd65:9abf:efb0:6::/64 Auf Verbindung 3 266 fd65:9abf:efb0:6::b/128 Auf Verbindung 3 266 fe80::/64 Auf Verbindung 3 266 fe80::cd3c:3113:f394:a01b/128 Auf Verbindung 1 306 ff00::/8 Auf Verbindung 3 266 ff00::/8 Auf Verbindung =========================================================================== Folgender Befehl trägt in die Routertabelle ein, dass das Subnetz 192.168.2.0/24 über den Router 192.168.1.2 zu erreichen ist, anstatt über das Standardgateway: $route -p add 192.168.2.0 MASK 255.255.255.0 192.168.1.2 Statische Routen mit Routing- und RAS-Dienst lassen sich ebenfalls eintragen: $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 -> Statische Routen -> Neue Statische Routen -> Statische IPv4-Route Schnittstelle Ziel Netzwerkmaske Gateway Metrik IPSec IPSec (Internet Protocoll Security) schützt Netzwerke, indem Daten authentifiziert und verschlüsselt werden. IPSec schütz vor Spoofing, manipulierten Daten, Relay-Angriffen und Spionage. IPSec wird eingesetzt, um die Kommunikation zwischen zwei Hosts oder um Verkehr, der über das Internet fließt, bei der Benutzung von VPN, zu schützen. IPSec basiert auf Standards, die von der IPSec-Arbeitsgruppe der IETF (Internet Engineering Task Force) entwickelt wurden. IPSec schützt Daten mit folgenden Diensten: Datenauthentifizierung o Der Ursprung der Daten wird authentifiziert – IPSec stellt sicher, dass der Absender nicht gefälscht ist und ein Paket wirklich von einem vertrauenswürdigen Absender stammt. o Datenintegrität – IPSec stellt sicher, dass Daten nicht auf ihrem Weg manipuliert wurden. o Anti-Relay-Schutz – IPSec stellt sicher, dass jedes Paket einmalig und keine Kopie ist. Verschlüsselung o Datenverschlüsselung – IPSec kann Daten verschlüsseln, so dass sie unlesbar sind, falls sie abgefangen werden. IPSec-Sicherheitszuordnungen (Security Association, SA) schützen die Daten, die zwischen zwei Computern ausgetauscht werden. IPSec-Sicherheitszuordnungen werden aufgebaut wenn zwei Computer IPSecVerbindungen aushandeln. Sicherheitszuordnungen werden durch zwei IPSec-Protokolle gewährleistet: Authentication Header (AH) – stellt Authentifizierung der Datenherkunft, Datenintegrität und Anti-Replay-Schutz für das gesamte IP-Packet sicher. Encapsulating Security Payload (ESP) – bietet Datenverschlüsselung, Authentifizierung der Datenherkunft und Anti-Relay-Schutz für die ESPNuterdaten. IPSec-Verbindungen werden über IKE-Protokolle (Internet key Exchange) initialisiert um Sicherheitszuordnungen dynamisch zwischen zwei IPSec-Partnern aufzubauen. IPSec-Verbindungen werden mit IKE in zwei Phasen ausgehandelt: 1. Hauptmodusaushandlung (main mode negotation) dient dazu, dass aushandeln des Kommunikationsverfahrens und des Verschlüsselungsalgorithmus mit einer SA zu schützen. 2. Schnellmodusaushandlung (quick mode negotiation) stellt aus dem ausgehandelten Verschlüsselungsalgorithmus und dem Kommunikationsverfahren eine weitere SA her, über die die Daten schließlich gesendet werden. IPSec-Verbindungen arbeiten standardmäßig im Transportmodus (transport mode), bei dem end-to-end-Sicherheit zwischen Geräten gewährleistet wird. IPSec-Transportmodus wird bei den meisten VPNs eingesetzt, in Kombination mit L2TP (Layer Two Tunneling Protocol), um die IPSec-Verbindung durch das WAN zu Tunneln. IPSec-Tunnelmodus kommt zum Einsatz, wenn VPN-Gateways nicht L2TP/IPSecVPN kompatibel sind. IPSec-Tunnelmodus schützt gesamte IP-Pakete, die dann in einen zusätzlichen, ungeschützten IP-Header verpackt werden. Der äußere IP-Header gibt die IPAdressen der Tunnelendpunkte an, der innere IP-Header die eigentliche Quell- und Zieladresse. IPSec-Tunnelmodus wird von Remotezugriff-VPNs nicht unterstützt, hier muss L2TP/IPSec oder PPTP zum einsatz kommen. IPSec-Authentifizierungsmethoden Kerberos (Active Directory) – ist die Standardauthentifizierungsprotokoll in einer AD-Umgebung, deshalb am einfachsten zu konfigurieren, wenn IPSec innerhalb einer einzigen AD-Gesamtstruktur implementiert wird, kann die Authentifizierung über die AD-Einbindung erfolgen. Zertifikate – sollten eingesetzt werden wenn keine Kerberos-Authentifizierung zu Verfügung steht. Nötig ist dafür eine Zertifikatinfrastruktur, die die Zertifikate der Peer-Partner ausstellt. Jeder Host muss der Zertifizierungsstelle vertrauen, die das Zertifikat des Kommunikationspartners ausgestellt hat. Vorinstallierte Schlüssel – sind Kennwörter die beide Peers kennen. Mit dem Kennwort wird ein- und ausgehender Verkehr verschlüsselt. Da der Schlüssel im Klartext gespeichert wird, eignet sich diese Authentifizierungsmethode nicht für den produktiven Einsatz. IPSec Konfiguration IPSec wird unter Windows Server 2008 mit Sicherheitsrichtlinien oder Gruppenrichtlinien verwaltet. IPSec wird unter Windows Server 2008, Windows Vista und Windows 7 entweder über IPSec-Richtlinien (IPSec policy) oder Verbindungssicherheitsregeln (connection security rule) erzwungen. IPSec-Richtlinien bietet im Gegensatz zu Verbindungssicherheitsregeln, in den Standardeinstellungen, nicht nur schutz vor Spoofing (gefälschten Daten), manipulierten Daten und Relay-Angriffen, sondern auch Verschlüsselung. IPSec-Richtlinien wie auch Verbindungssicherheitsregeln, können so konfiguriert werden, dass sie eine beliebige Kombination aus Datenauthentifizierung und Verschlüsselung bereitstellt. IPSec-Richtlinien und Verbindungssicherheitsrichtlinien können über ein Gruppenrichtlinienobjekt oder lokal erzwungen werden. IPSec-Richtlinien IPSec-Richtlinienregeln (IPSec policy rule) sind mit IP-Filterlisten (IP filter list) und Filteraktionen (filter action) verknüpft. Jede Richtlinie hat einen Filterliste und Filteraktion. IP-Filterlisten enthalten einen Satz aus einem oder mehrern IP-Filtern, die IPVerkehr für eine IPSec-Richtlinie abfangen. IP-Filter definieren Quell- oder Zieladresse, Adressbereich, Computername, TCP/UDP-Port oder Servicetyp (DNS, WINS, DHCP, Standardgateway). $mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory IPSec-Richtlinienregel Bsp.: IPSec-Richtlinie Richtlinienregel 1 IP-Filterliste Filter 1: Telnet-Verkehr von 192.168.23.42 Filter 2: POP3-Verkehr von 192.168.23.196 Richtlinienregel 2 Filter 1: gesamte Telnet-Verkehr Filter 2: gesamte POP3-Verkehr Filter 1: gesamte Verkehr Richtlinienregel 3 Filteraktion Sicherheit aushandeln (Verschlüsselung zwingend erforderlich) Blocken Sicherheit aushandeln (Authentifizierung anfordern) Vordefinierte IPSec-Richtlinien Vordefinierte IPSec-Richtlinien – kann jeweils nur eine der folgenden drei, einem Gerät oder Computer zugewiesen werden: Client (nur Antwort) / Client (Respond Only) – normalerweise wird diese Richtlinie Intranetcomputern zugewiesen, die mit geschützten Servern kommunizieren müssen, aber nicht den gesamten Verkehr zu schützen brauchen. Server (Sicherheit anfordern) / Server (Request Security) – sollte Computern zugewiesen werden, bei denen Verschlüsselung bevorzugt wird, aber nicht unbedingt erforderlich ist. Der Computer nimmt ungeschützten Verkehr an, versucht aber immer, weitere Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen Absender fordert. Sicherer Server (Sicherheit erforderlich) / Secure Server (Require Security) – sollte Intranetservern zugewiesen werden, die sichere Kommunikation benötigen. $mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory Benutzerdefinierte IPSec-Richtlinien Benutzerdefinierte IPSec-Richtlinien gruppieren benutzerdefinierte IPSec-Regeln. $mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory -> IPSicherheitsrichtline erstellen… -> IPSec-Sicherheitsrichtlinien Assistent Name o leere Richtlinie o benutzerdefinierter Name o Standardantwortregel (default response rule) Eigenschaften o Regel Hinzufügen (Sicherheitsregel Assistent) Tunnelpunkt (IPSec-Tunnelmodus) Netzwerktyp (IPSec-LAN oder Remotezugriffsverbindungen) IP-Filterliste (All ICMP Traffic, All IP Traffic, benutzerdefinierte IP-Filterliste (DHCP, DNS, WINS etc.)) o IP-Filter-Assistent Filteraktion (Permit, Request Security, Require Security) Authentifizierungsmethode (Kerberos, Zertifikat, Schlüsselaustausch) o Allgemein Verbindungssicherheitsregeln Verbindungssicherheitsregeln sind ähnlich wie IPSec-Richtlinienregeln, allerdings sind Verbindungssicherheitsregeln nicht so leistungsfähig wie IPSecRichtlinienregeln. Verbindungssicherheitsregeln gelten nicht für ausgewählte Protokolle (DNS, Telnet), sondern sie gelten für den gesamten Verkehr, der von oder zu bestimmten IPAdressen, Subnetzen oder Servern läuft. $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter Sicherheit -> Verbindungssicherheitsregeln Benutzerdefinierte Verbindungssicherheitsregeln $mmc wf.msc -> Verbindungssicherheitsregeln -> Neue Regel… -> Assistent für neue Verbindungssicherheitsregeln Regeltyp o Isoliert – Verkehr für das ausgewählte Netzwerkprofil (Netzwerkstandorttyp) – Domäne, Privat oder Öffentlich o Authentifizierungsausnahme – für Computer, Gruppe oder Bereich von IP-Adessen (Computern) die sich nicht authentifizieren müssen zum Beispiel für Infrastrukturcomputer wie DHCP-Server auf die ein Client zugreifen muss bevor er eine Authentifizierung durchführen kann o Server-zu-Server – authentifiziert die Kommunikation zwischen IPAdressen oder IP-Adressblöcken o Tunnel – IPSec-Tunnelmodus für VPN-Gateways o Benutzerdefiniert – kombination aus mehreren anderen Regeln oder selbst definierte Regeln. Endpunkte festlegen - Remotecomputer Anforderungen – Permit, Request Security, Require Security Authentifizierungsmethode – Kerberos, Zertifikat, Schlüsselaustausch Profil – aktiv für folgenden Standorttyp: Domäne, Privat oder Öffentlich Name – der Verbindungssicherheitsregel $mmc wf.msc -> Verbindungssicherheitsregeln -> Eigenschaften -> IPSecEinstellungen -> IPSec-Standardeinstellungen IPSec-Einstellungen anpassen o Schlüsselaustauschen o Datenschutzt o Authentifizierungsmethode IPSec-Ausnahmen o IPSec-Ausschließen (ICMP) NAT NAT (Network Adress Translation) – ein Dienst der Private-IP-Adressen, die im LAN verwendet werden, in öffentliche (WAN) IP-Adressen, die im Internet kommunizieren übersetzt. NAT wurde entwickelt, weil öffentliche IP-Adressen im Internet knapp wurden. NAT ermöglicht Organisationen, Private-IP-Adress-Blöcke zu vergebe, die Hunderte oder Tausende Hosts Adressieren können. Eine genatete öffentliche IP-Adresse reicht aus, um die Kommunikation dieser Hosts mit dem Internet zu gewährleisten. Verschiedene Organisationen können identische Private-IP-Adress-Blöcke vergeben: 192.168.0.0 – 192.168.255.255 172.16.0.0 – 172.31.255.255 10.0.0.0 – 10.255.255.255 PAT (Port Adress Translation) funktioniert wie NAT, übersetzt allerdings auch Ports. NAT Konfigurieren Windows Server 2008 kann als NAT-Server eingesetzt werden und stellt zwei NATDienste bereit: Gemeinsame Nutzung der Internetverbindung (Internet Connection Sharing, ICS) – ist für Heimnetzwerke und kleine Büros gedacht Routing- und RAS-Dienste – ist für Organisationen gedacht mit geroutetem Intranet ICS benötigt zwei Schnittstellen. Auf der öffentlichen Schnittstelle eine öffentliche IPAdresse und auf der internen Schnittstelle eine private. ICS-Dienst weist automatisch dem ICS-Computer die private IP-Adresse 192.168.0.1 zu und via DHCP, Computern im LAN, IP-Adressen aus dem Bereich 192.168.0.0/24. ICS-Dienst aktiviert automatisch DHCP-Dienst (ICS-DHCP ist nicht kompatibel zur Serverrolle DHCP-Server oder dem DHCP-Relay-Agenten und anderen Routing- und RAS-Komponenten). ICS-Dienst kann auch VPN- oder DFÜ-Verbindungen verwalten. Öffentliche Schnittstelle -> Eigenschaften -> Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden Routing und RAS ermöglicht sämtliche NAT-Fähigkeiten zu nutzen. Routing und RAS hat folgende Vorteile gegenüber ICS: Manuelle Konfiguration des internen Netzwerks Routen in mehrere interne Netzwerke Serverrolle DHCP-Server kompatibel Routing- und RAS-Komponenten kompatibel Routing und RAS NAT-Server aktivieren: Schnittstellen o interne Schnittstelle o externe Schnittstelle NAT o Serverrolle Netzwerkrichtlinien- und Zugriffsdienste, Rollendienst Routing- und RAS konfiguriert Netzwerkadressübersetzung (NAT) und NAT-Internetverbindung DHCP o Serverrolle DHCP-Server (oder) o Netzwerkrichtlinien- und Zugriffsdienst -> Routing und RAS -> IPv4 -> NAT -> Eigenschaften -> IP-Adressen automatisch mit der DHCPZuweisung zuordnen DNS o Serverrolle DNS-Server (oder) o Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 -> NAT -> Eigenschaften -> Namensauflösung -> Clients, die DNS (Domain Name System) verwenden Ereignisanzeige -> Windows-Protokolle -> System (Quelle: SharedAccess_NAT) Drahtlosnetzwerke Drahtlosnetzwerkstandards und Drahtlosnetzwerktechnologien: 802.11b o Netzwerkdurchsatz: 11MBit/s real 3-4MBit/s o Clients kompatible zu 802.11g und 802.11n 802.11g o Netzwerkdurchsatz: 54MBits/s real 10-15MBit/s o Zugriffspunkt-Modi: gemischt (unterstützt 802.11b Clients, verringert die Bandbreite auf 802.11b) reines 802.11g 802.11n o Nachfolger von 802.11b und 802.11g mit höherer Reichweite o Netzwerkdurchsatz: 250MBit/s real ca. 50MBit/s o Clients kompatible zu 802.11a, 802.11b und 802.11g Drahtlosnetzwerksicherheitsstandards: Keine Sicherheit o Keine Verschlüsselung oder Authentifizierung WEP (Wired Equivalent Protection) o Verschlüsselung mit 64-Bit oder 128-Bit und Authentifizierung über eine Passphrase oder einen Schlüssel WPA (Wi-Fi Protection Access) o WPA-PSK (WPA-Personal) für vorinstallierte Schlüssel, PreShared Keys. Verwendet statische Schlüssel zur Authentifizierung. o WPA-EAP (Extensible Authentication Protocol) auch WPA-Enterprise, übergibt Authentifizierungsanfroderungen an einen Backendserver (RADIUS). WPA2 (IEEE 802.11i) entspricht WPA mit erhöhter Sicherheit o WPA2-PSK o WPA2-EAP Drahtlosnetzwerke-Client Konfigurieren Verbindung herstelle -> Verbindung mit einem Netzwerk herstellen -> Zusätzliche Anmeldeinformationeneingeben oder auswählen -> Anmeldeinformationen -> Netzwerkstandort festlegen Bootstrap Wireless Profile erlaubt es vor dem Anmelden, Verbindung zu einem Drahtlosnetzwerk herzustellen. Drahtlosenetzwerke Konfigurieren Windows 2008 Server können als RADIUS-Server arbeiten und erreichen so eine dynamische Drahtlosnetzwerkauthentifizierung, Active Directory integriert. Netzwerkrichtlinienserver (Network Policy Server, NPS) stellt RADIUSAuthentifizierung für WPA/WPA2-Enterprise bereit. PKI (public key infrastructure) Konfigurieren o Serverrolle Active Directory-Zertifikatdienst o GPO -> Computerkonfiguration -> Richtlinien -> Windos-Einstellungen > Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Zertifikatdiensteclient automatische Registrierung -> Eigenschaften -> Eigenschaften von Zertifikatdiensteclient – automatische Registrierung > Konfigurationsmodell -> Aktiviert RADIUS-Server Konfigurieren o Serverrolle Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste auswählen -> Netzwerkrichtlinienserver -> Routing- und RAS-Dienste o Netzwerkrichtlinien- und Zugriffsdienste -> NPS -> Standardkonfiguration -> RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen 802.1X konfigurieren -> 802.1X-Verbindungstyp auswählen -> Sichere Drahtlosverbindung 802.1X-Swichtes angeben -> Hinzufügen -> Neuer RADIUS-Client -> Gemeinsamer geheimer Schlüssel -> Manuell/Generieren Authentifizierungsmethode konfigurieren -> Typ Microsoft: Geschützt EAP (PEAP) – Authentifizierung durch Computerzertifikate die über PKI und Active Directory-Zertifikat-Dienst bereitgestellt und als vertrauenswürdig eingestuft werden. PEAP ist kompatibel zu NAP. Microsoft: Smartcard- oder anderes Zertifikat – Authentifizierungsmethode ist dieselbe wie bei PEAP, nur dass der Benutzer eine Authentifizierung via Smartcard bereitstellt. Microsoft: Gesichertes Kennwort (EAP-MSCHAPv2) – Authentifizierung mit Domänenanmeldeinformationen. Gesichertes Kennwort erfordert auf RADIUS-Servern Computerzertifikate zu installieren. Clients müssen der Zertifizierungsstelle der Zertifikate vertrauen. Benutzergruppe -> Hinzufügen (die berechtigt ist Drahtlosverbindungen herzustellen) VLAN -> konfigurieren (um Netzwerkressourcen einzuschränken) Abschließen neuer sicherer verkabelter und drahtloser IEEE 802.1X-Verbindung und RADIUS-Clients o Netzwerkrichtlinien- und Zugriffsdienste -> NPS -> Server in Active Directory registrieren Remotenetzwerke DFÜ-Verbindungen DFÜ-Verbindungen (dail-up connection) ist die herkömmliche (und inzwischen weitgehend veraltete) Remotezugriffstechnik. DFÜ-Verbdingungen verwenden Clientcomputer ein Modem, um über eine Telefonleitung, die Verbindung zu einem RAS-Server herzustellen. DFÜ-Verbindungen Vorteile Keine Internetverbindung nötig – DFÜ-Verbindungen verwenden eine analoge Telefonleitung, um eine Netzwerkverbindung direkt in das interne Netzwerk aufzubauen. Das interne Netzwerk muss nicht für Authentifizierungsanforderungen aus dem Internet konfiguriert sein, wie bei VPN-Verbindungen. Das interne Netzwerk brauch nicht einmal eine Verbindung zum Internet – eine übliche Anforderung für Hochsicherheitsnetzwerke. Minimale Datenschutzrisiken – DFÜ-Verbindungen bieten zwar keine Verschlüsselung, aber der Verkehr wird durch ein öffentliches Telefonnetz (Public Switched Telephone Network, PSTN) geleitet. Sicherheitsexperten behaupten, dass der Schutz der Daten hier besser ist als im öffentlichen Internet. Konstante Leistung – DFÜ-Verbindungen bieten gleichbleibende, vorherplanbare Leistung, weil die Verbindung nur von einem einzigen Client benutzt wird. DFÜ-Verbindungen Nachteile Hohe Kosten für Skalierbarkeit – Viele Mitarbeiter die Remote auf das interne Netzwerk zugreifen wollen, bedeuten viele Telefonleitungen und viele Modems. Geringe Bandbreite – Modems für herkömmliche analoge Telefonleitungen sind technisch für eine Bandbreite von 56KBit/s spezifiziert, die reale Bandbreite beträgt zwischen 20 und 25KBit/s. Zum vergleich, DSL 2000 hat eine Bandbreite von 1024KBit/s, DSL 16000 eine Bandbreite von 6016KBit/s – einfache Aufgaben wie Webbrowsen sind mit 25KBit/s also sehr langsam. Digitale Telefonleitungen, wie zum Beispiel ISDN (Integrated Services Digital Network) bietet zwar immerhin echte 128KBit/s, aber zu deutlich erhöhten kosten. DFÜ-Verbindungen Konfigurieren Modemhardware an den Server anschließen und Modem mit der Telefonleitung verbinden. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und aktivieren -> Konfigurieren o RAS (DFÜ oder VPN) o RAS -> DFÜ o Netzwerkauswahl o IP-Adressezuweisung -> Automatisch/Aus einem angegebenen Adressbereich Adressbereichszuweisung o Mehrere RAS-Server verwalten -> Ja, diesen Server für die Verwendung eines RADIUS-Servers einrichten/Nein, Routing und RAS zum Authentifizieren von Verbindungsanforderungen verwenden $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Eigenschaften -> Allgemein -> Eigenschaften von Routing und RAS o IPv4-Router -> LAN und bei Bedarf wählendes Routing -> IPv4-RASServer o IPv6-Router -> LAN und bei Bedarf wählendes Routing -> IPv6-RASServer o IPv4 IPv4-Weiterleitung aktivieren Dynamic Host Coniguration-Protokoll (DHCP)/Statische Adresspool o IPv6 IPv6-Weiterleitung aktivieren Standardroutenankündigung aktivieren/IPv6-Präfixzuweisung o PPP o Protokollierung Alle Ereignisse protokollieren -> Zusätzliche Routing- und RASInformationen protokollieren Keine Ereignisse Protokollieren $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften o Eigenschaften von Ports -> Modem -> Konfigurieren o Geräte konfigurieren RAS-Verbindungen Rufnummer dieses Geräts DFÜ-Verbindungen mit RADIUS-Server konfigurieren DFÜ-RADIUS-Server funktionieren ähnlich wie Drahtlosnetzwerk-RADIUS-Server. DFÜ-RADIUS-Server authentifizieren Anmeldungen über Modem und Einwahlserver. Da viele Firmen mehr als ein oder zwei Modems benötigen, wird auf dedizierte Hardware, eine Modembank, die auch beim Provider stehen kann, gesetzt. Modembanken nehmen Authentifizierungen an und leiten diese weiter an den RADIUS-Server. Erstellen einer Benutzergruppe, der der DFÜ-Zugriff gestattet ist. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> NPS o RADIUS-Server für DFÜ- oder VPN-Verbindungen -> VPN oder DFÜ konfiguration -> VPN oder DFÜ konfigurieren DFÜ- oder VPN-Verbindungstyp -> DFÜ-Verbindungen Angeben des DFÜ- oder VPN-Server -> Hinzufügen Neuer RADIUS-Client o Anzeigename o Adresse o Gemeinsamer geheimer Schlüssel -> Generieren/Manuell Authentifizierungsmethoden konfigurieren Benutzergruppen IP-Filter Eingabefilter Ausgabefilter Angeben der Verschlüsselungseinstellungen Bereichsname DFÜ-Clients Konfigurieren Verbindung herstellen -> Eine Verbindung oder ein Netzwerk einrichten -> Wählen Sie eine Verbindungsoption aus -> Wählverbindung einrichten -> Wählverbindung einrichten VPN-Verbindungen VPN (Virtualle private Netzwerke) befördern Daten durch das öffentliche Internet, im Gegensatz zu DFÜ-Verbindungen die Daten durch das öffentliche Telefonnetz leiten. VPN-Verbindungen brauchen womöglich keine zusätzliche Bandbreite, da die Organisation schon eine Internetanbindung hat, deren Bandbreite ausreicht. VPN-Verbindungen Höhere mögliche Bandbreite – theoretisch kann die VPN-Bandbreite so hoch sein wie die Internetverbindung von Client bzw. VPN-Server es zulässt. Die Bandbreite einer Internetverbindung beträgt selbst bei schlechten Bedingungen min. das Zehnfache einer Modemverbindung. Geringe Kosten – sowohl VPN-Server als auch Clients, müssen mit dem Internet verbunden sein. Die meisten Organisationen haben aber schon eine Internetanbindung und viele Benutzer haben Internetzugriff, während sie zuhause oder auf reisen sind. Daher fallen keine Verbindungskosten an, wenn VPNs benutzt werden, unabhängig davon, wie viele eingehende Verbindungen bedient werden. Falls eingehende Verbindungen mehr Bandbreite benötigen, muss unter umständen mehr Bandbreite oder eine weitere Leitung bei einem Internetprovider gekauft werden. Die kosten werden wahrscheinlich viel geringer als die Anschaffungskosten für eine entsprechende Zahl von Telefonleitungen und Modems für DFÜ-Verbindungen sein. VPNs haben Nachteile Internetverbindung nötig – VPN-Server und somit das interne Netzwerk, muss mit dem Internet verbunden sein und eingehenden VPN-Verkehr durch alle Firewalls erlauben. Benutzer müssen zudem eine Internetverbindung haben, um ein VPN verwenden zu können. Einer der folgenden Ansätze werden normalerweise verwendet: o Vertrag mit einem Internetprovider, um den Internetzugriff für alle Benutzer zu ermöglichen, entweder über DFÜ-Verbindungen oder eine Breitbandverbindung, zum Beispiel ein Kabelmodem oder DSL. o Benutzer (VPN-Clients) müssen selbst einen Internetprovider finden. Da die meisten Benutzer heutzutage einen Internetanschluss zuhause haben und Benutzer die auf Reisen sind, Internetverbindungen oft über öffentliche Hotspots oder im Hotel, bzw. über Drahtlosbeitbrandverbindungen herstellen können, stellt dies kein Problem dar. Schlechte Latenz – sogar bei sehr hoher Bandbreite, wirken VPNVerbindungen oft langsam. Die Ursache ist eine hohe Latenz. Latenz ist die Verzögerung, die auftritt, wenn ein Paket von einem Client zu einem Server befördert wird. Die Latenz bei einer VPN-Verbindung kann oft um ein Vielfaches größer sein als die einer DFÜ-Verbindung. Schlechte Effizienz bei DFÜ-Verbindungen – es ist zwar möglich, eine Einwahlverbindung ins Internet aufzubauen und dann eine Verbindung mit einem VPN aufzubauen, aber der zusätzliche Aufwand für VPN und Latenz, die durch das Internet hinzukommt, verschlechtert die Leistung gegenüber einer direkten DFÜ-Verbindung zu einem RAS-Server. Falls Benutzer über eine DFÜ-Verbindung auf das Internet zugreifen, erhalten sie viel bessere Leistung, wenn sie sich stattdessen gleich direkt in das Intranet einwählen. VPN-Verbindungen Konfigurieren Windows Server 2008, Windows Vista und Windows 7 unterstützen drei VPNTechnologien: PPTP (Point-to-Point Tunneling Protocol) o PPP-Authentifizierungsmethoden (Point-to-Point Protocol) für die Benutzerauthentifizierungn o MPPE (Microsoft Point-to-Point Encryption) für die Datenverschlüsselung o keine Clientzertifikate, wenn die Authentifizierung PEAP-MS-CHAP, EAP-MS-CHAPv2 oder MS-CHAPv2 verwendet wird o Microsoft Technologie L2TP (Layer Two Tunneling Protocol) o PPP-Authentifizierungsmethoden für Benutzerauthentifizierung o IPSec für Peerauthentifizierung auf Computerebene, Datenauthentifizierung, Datenintegrität und Datenverschlüsselung o Computerzertifikate für VPN-Clients und VPN-Server (Active DirectoryZertifikatsdienste) o IPv6 kompatibel o VPN-Technologie nach offenen Standards SSTP (Secure Socket Tunneling Protocol) o PPP-Authentifizierungsmethode für Benutzerauthentifizierung o SSL (Secure Socket Layer) Datenauthentifizierung, Datenintegrität und Datenverschlüsselung o HTTP-Kapselung ermöglicht SSTP auf Port 443 durch die meisten Firewalls zu gelangen o Computerzertifikat auf dem VPN-Server, Clients müssen der Zertifizierungsstelle vertrauen o Unterstützt auf Betriebssystemen ab Windows Vista SP1 Windows 2008 Server unterstützt in den Standardeinstellungen alle drei VPNTechnologien gleichzeitig. Einzelne Protokolle können auch deaktiviert werden. VPN-Server konfigurieren Zwei Netzwerkkarten o externe Netzwerkkarte o interne Netzwerkkarte $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und aktivieren o Konfigurieren -> RAS (DFÜ oder VPN) o RAS -> VPN o VPN-Verbindung o Netzwerkauswahl o IP-Adresszuweisung -> Authomatisch/Aus einem angegebenen Adressbereich o Mehrere RAS-Server verwalten $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften -> Eigenschaften von Ports -> Konfigurieren $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 -> DHCP-Relay-Agent $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IP(v4|v6) -> Allgemein -> Eigenschaften -> Allgemein -> Eingehende Filter oder Ausgehende Filter VPN-Client Konfigurieren Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> Verbindung trennen oder Verbindung zu einem anderen Netzwerk herstellen -> Wählen sie eine Verbindungsoptionen -> Verbindung mit dem Arbeitsplatz herstellen -> Möchten Sie eine bestehende Verbindung verwenden -> Nein, Neue Verbindung erstellen -> Wie möchten sie eine Verbindung herstellen -> Die Internetverbindung (VPN) verwenden -> Geben Sie die Internetadresse zum Herstellen einer Verbindung ein -> Geben Sie den Benutzernamen und das Kennwort ein -> Dieses Kennwort speichern -> Verbinden Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> VPNVerbindung VPN-Verbindungen über PPTP nutzt GRE was auf Port 1723 abhört. Verbindungseinschränkungen Konfigurieren Server-Manager -> Richtlinien -> Netzwerkrichtlinien -> Zu ändernde Richtline -> Eigenschaften -> Bedingungen -> Hinzufügen Bedingungen auswählen o Windows-Gruppen, Computergruppen und Benutzergruppen o Tag- und Uhrzeiteinschränkungen o IPv4-Adresse für Zugriffsclient und IPv6-Adresse für Zugriffsclient o Client-IPv4-Adresse und Client-IPv6-Adresse o NAS IPv4-Adresse und NAS IPv6-Adresse o Authentifizierungstyp, Zulässige EAP-Typen, Eingerahmtes Protokoll, Diensttyp und Tunneltyp o Anrufer-ID o NAS-Porttyp Einschränkungen (Leerlaufzeit) Einstellungen (NAP-Einstellungen) Windows-Firewall Konfigurieren Windows-Firewall filtert eingehenden und ausgehenden Verkehr. Windows-Firewall ist also ein Packetfilter. $mmc wf.msc $netstat -a -b Aktive Verbindungen Proto Lokale Adresse TCP 0.0.0.0:53 [dns.exe] Remoteadresse Dcsrv1:0 Status Abhören Firewallprofile bilden Container in denen Firewallregeln gespeichert werden können. Firewallprofile erlauben es mobilen Computern, auf verschiedene Netzwerk- und Standorttypen zu reagieren. Firewallprofile sind standardmäßig drei unter Windows Vista, Windows 7 und Windows Server 2008 vorhanden: Domäne – wird angewendet wenn der Computer sich in einer Active Directory-Umgebung befindet o Eingehender Verkehr Datei- und Druckerfreigaben etc. o Ausgehender Verkehr Alles zugelassen Privat – wird standardmäßig nicht angewendet. Manuell angewendet, kann das Profil in einem vertrauenswürdigen, privaten Netzwerk sinnvoll sein. o Eingehender Verkehr Datei- und Druckerfreigaben etc. o Ausgehender Verkehr Alles zugelassen Öffentlich – das Standardprofil, das auf alle Netzwerke angewendet wird, wenn kein Domänencontroller zur Verfügung steht. In den o Eingehender Verkehr Nicht zugelassen o Ausgehender Verkehr Alles zugelassen Server sind normal in eine Domänenumgebung eingebunden. Falls dies nicht der Fall ist sollten alle drei Profile mit denselben Firewallregeln konfiguriert sein. Firewallregeln sind in eingehende und ausgehende Regeln unterteilt. Firewallregeln – etliche sind vordefiniert, zum Beispiel Regeln für NFS oder ICMP. Firewallregeln die nicht automatisch von installierten Programmen erstellt werden, müssen unter umständen nachkonfiguriert werden: $mmc wf.msc -> Eingehende/Ausgehende Regeln Regeltyp Programm – Ausführbare Dateien - Hier ist es egal welchen Port das Programm öffnet Port – Kommunikation über einen bestimmte TCP- oder UDP-Portnummer Vordefiniert – Windows-Komponente steuert. Bsp.: Active DirectoryDomänendienst, Datei- und Druckerfreigabe oder Remotedesktop Normalerweise aktiviert Windows diese Regel automatisch Benutzerdefiniert – Programm und Port Kombination. Aktionen Verbindung zulassen Verbindung zulassen, wenn sie sicher ist – IPSec AH o Verschlüsselung ist für Verbindung erforderlich – IPSec AH und ESP o Regel zum Blocken außer Kraft setzen – Setzt andere blockierende Regeln mit derselben Regeltypkonfiguration außer kraft, für bestimmte Computer oder Benutzer Verbindung blocken Profil (Server sollten Regeln auf alle drei Profiltypen anwenden) Domäne Privat Öffentlich Firewallregeln für ausgehende Verbindungen sind standardmäßig unter Windows Server 2008 nicht aktiviert, sie sollten für den Notfall aber dennoch konfiguriert sein um den ausgehenden Filter schnell aktivieren zu können. Dabei sollte die grundlegende Netzwerkfunktionalität erhalten bleiben. Standardeinstellungen für ausgehende Regeln sind: DHCP-Anforderung DNS-Anforderung Gruppenrichtlinienkommunikation IGMP (Internet Group Management Protocol) IPv6 Firewallregelbereiche (scopes) bieten die Möglichkeit Verbindungen aus Internen und Externen Netzwerken zu erlauben oder zu verbieten. Zum Beispiel: Alle Verbindungen aus dem Internet auf Port 80 erlauben (Webserver), während Benutzer aus dem internen Netzwerk auch zugriff auf Port 80 haben, dem Intranetwebserver. Interne Server dürfen nur Verbindungen zu internen Subnetz aufbauen. Datensicherungsprogramme dürfen nur Verbindung zum Datensicherungsserver aufbauen. $mmc wf.msc -> Eingehende/Ausgehende Regeln -> Regelname -> Eigenschaften > Remote-IP-Adressen -> Hinzufügen -> IP-Adresse Diese IP-Adresse oder Subnetz – 10.0.42.23 oder 192.168.3.0/24 Dieser IP-Adressbereich – 192.168.2.1-192.168.2.254 Vordefinierte Computersätze – Standardgateway, WINS-Server, DNSServer, DHCP-Server oder Lokales Subnetz Manuelle Zugriffssteuerung wird mit autorisieren von Verbindungen (IPSecVerbindungssicherheit) in einer Active Directory-Umgebung realisiert. Autorisierte Verbindungen greifen hierfür auf Remotecomputer oder – benutzerautorisierung über IPSec zurück. Autorisierte Verbindungen können zum Beispiel sicher stellen, dass sich Benutzer authentifizieren als zugehörige der Gruppe Buchhaltung, bevor sie zugriff auf Port 3096 des Servers erhalten, auf dem die Buchhaltungssoftware läuft. $mmc wf.msc -> Eingehende/Ausgehende Regel -> Eigenschaften -> Allgemein -> Nur sichere Verbindungen zulassen Benutzer und Computer (Eingehende Regel)/Computer (Ausgehende Regel) Autorisierte Computer -> Nur Verbindungen von diesen Computern zulassen Autorisierte Benutzer -> Nur Verbindungen von diesen Benutzern zulassen Firewalleinstellungen mit Gruppenrichtlinien können lokal oder mit der Konsole Windows-Firewall mit erweiterter Sicherheit vorgenommen werden. Firewalleinstellungen die auf Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 angewendet werden: $mmc wf.msc $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit Firewalleinstellungen die auf Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 angewendet werden: $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall Firewalleinstellungen erziehlen optimale Ergebnisse, wenn getrennte Gruppenrichtlinienobjekte für Windows Vista/7/Server 2008 und Windows XP/Server 2003 erstellt werden. Mit Hilfe von WMI-Abfragen, können die Gruppenrichtlinienobjekte auf die Computer angewendet werden, auf dem die entsprechende Windows-Version läuft. $mmc wf.msc -> Firewall-Symbol -> Eigenschaften -> Domänenprofil/Privates Profil/Öffentliches Profil -> Protokollierung -> Anpassen -> Protokollierungseinstellungen anpassen Verworfene Pakete protokollieren Erfolgreiche Verbindung protokollieren %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log Netzwerkzugriffschutz Konfigurieren NAP (Network Access Protection) dient dazu, Hosts abhängig von ihrem aktuellen Integritätsstatus mit unterschiedlichen Netzwerksressourcen zu verbinden. Die Unterteilung der Netzwerkressourcen kann mit Hilfe von virtuellen LANs (VLANs), IPFiltern, IP-Subnetzzuweisung, statischen Routen oder IPSec-Erzwingung implementiert werden. Wartungsnetzwerke sollten aus Sicherheitsgründen einen schreibgeschützten Domänencontroller, sowie eigene DHCP- und DNS-Server (die von der übrigen Infrastruktur getrennt sind) enthalten. So verringert sich das Risiko, dass sich Malware von inkompatiblen (in das Wartungsnetzwerk geleiteten) Computern im produktiven, privaten Netzwerk verbreitet. NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem sie den Netzwerkzugriff entweder erlauben oder verbieten: IPSec-Verbindungssicherheit IPSec-Erzwingung zwingt Clients eine NAP-Integritätsprüfung zu bestehen, bevor sie ein Integritätszertifikat erhalten. IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSecVerbindungssicherheit notwendig sind, ohne die ein Client keine IPSecgeschützte-Verbindung zu einem Host herstellen kann. IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen eingehalten werden. IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority, CA), auf der Windows Server 2008-Zertifikatdienste laufen. NAP muss Integritätszertifikate unterstützen. Produktivumgebungen sollten aus Redundanzgründen mindestens zwei Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht verwendet werden. IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die IPSec unterstützen. 802.1X-Zugriffspunkte 802.1X-Authentifizierung verwendet Ethernetswitches oder Drahtloszugriffspunkte. 802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz verbunden oder abgelehnt. 802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt sind. 802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer enthalten: o Zugriffssteuerungsliste (Access Control List, ACL) sind IPv4- und IPv6-Paketfilter, die auf 802.1X-Zugriffsgeräten konfiguriert werden. ACL werden normal auf inkompatible Computer angewendet, kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL. ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern untereinander einzuschränken. 802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und verwerfen alle Pakete, die von der ACL nicht erlaubt sind. o VLAN (Virtual Local Area Networks) sind Gruppen von Ports die auf Switches zusammengefasst werden und ein separates Netzwerk bilden. VLANs können nur kommuniziere, wenn sie über einen Router verbunden werden. VLANs werden anhand einer VLAN-ID identifiziert, die auf den Switches selbst konfiguriert werden. NAP kann festlegen in welches VLAN kompatible, inkompatible oder nicht authentifizierte Computer verschoben werden. VLAN Nachteile sind zum Beispiel: Netzwerkkonfiguration muss geändert werden, wenn ein NAPClient auf einen kompatiblen NAP-Client hochgestuft wird. NAP-Clients erhalten womöglich keine Gruppenrichtlinienaktualisierung weil die Netzwerkkonfiguration während des Benutzeranmeldevorgangs durchgeführt wird. NAP-Clients die inkompatibel sind können innerhalb eines VLANs kommunizieren VPN-Server VPN-Erzwingung implementiert NAP für Remotezugriffsverbindungen die über einen VPN-Server mit Windows Server 2008 und Routing und RAS laufen. VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff. VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff auf eine Wartungsservergruppe einzuschränken. VPN-Erzwingung kann IPv4- und IPv6-Paketfilter erzwingen. DHCP-Server DHCP-Erzwingung verwendet einen Windows 2008 Server, auf dem der DHCP-Serverdienst läuft und Intranetclients IP-Adressen zuweist. DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die vollständigen Netzwerkzugriff gewährt. Inkompatible Computer bekommen eine IP-Adresse mit der Subnetzmaske 255.255.255.255 und ohne Standardgateway zugewiesen. DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von Hostrouten zu Netzwerkressourcen in einer Wartungsservergruppe. DHCP-Erzwingung wird durch den NAP-Client erneut eingeleitet wenn sich der Integritätsstatus verändert, indem eine DHCP-Erneuerung eingeleitet wird. DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung inkompatibel werden. DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand konfiguriert wird. NAP-Integritätsprüfung findet zwischen zwei Komponenten statt: Systemintegritätsagent (System Health Agent, SHA) o Clients erstellen SoH (Statement of Health), das die Systemintegrität des Clientcomputers beschreibt. o Kompatibel mit Windows XP SP3, Windows Vista, Windows 7 und Windows Server 2008 Systemintegritätsprüfung (System Health Validation, SHV) o Server anaylisieren SoH und erstellen als Antwort ein SoHR (Statement of Health Response) o NAT-Integritätsrichtlinien legen anhand der SoHRs fest, welche Zugriffsebene der Client erhält. o Windows Server 2008 enthält einen SHV für SHA, kompatibel zu Windows XP, Windows Vista und Windows 7. Netzwerkrichtlinienserver Konfigurieren NAP läuft mit Windows-Server 2008-NAP-Integritätsrichtlinienserver (health policy server), der als RADIUS-Server agiert. NAP kann ebenfalls mit einem vorhandenen RADIUS-Server, Windows 2003 oder Windows Server 2008 und Internetauthentifizierungsdienst (Internet Authentication Service, IAS) zusammenarbeiten. NAP-Intigritätsrichtlinienserver sollten redundant sein, es sollten also mindestens zwei Intigritätsrichtlinienserver vorhanden sein, da bei einem Ausfall, ein Client sich nicht mehr mit dem Netzwerk verbinden kann. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste -> Netzwerkrichtlinienserver $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren NAP-Erzwingung muss aktiviert werden. Welche Schritte dafür notwendig sind, hängt davon ab, ob IPSec-, 802.1X-, DHCP- oder VPN-Erzwingung eingesetzt werden soll. NAP-Erzwingung mit IPSec benötigt den Rollendienst Integritätsregistrierungsinstanz (HRA, Health Registration Authority) und Active Directory-Zertifikatsdienst, sofern noch nicht vorhanden, für die PKI. HRA benötigt die PKI und einen IIS. NAP-Erzwingung mit Hilfe von IPSec: $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Auswahl der Netzverbindungsmethode zur Verwendung mit NAP -> IPSec mit Integritätsregistrierungstelle (HRA) $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Richtlinien Verbindungsanforderungsrichtlinien o NAP IPSec mit HRA Integritätsrichtlinien o NAP IPSec mit HRA Kompatibel o NAP IPSec mit HRA Nicht kompatibel Netzwerkrichtlinien o NAP IPsec mit HRA Kompatibel o NAP IPSec mit HRA Nicht kompatibel $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Integritätsregistrierungsstelle -> Zertifizierungsstelle NAP-Erzwingung mit 802.1X benötigt in den meisten Fällen auch eine PKI wegen des RADIUS-Servers. Nachdem die 802.1X-Authentifizierungsswitches konfiguriert wurden. NAP-Erzwingung mit 802.1X kann ebenfalls über den Assistenten NAPKonfigurieren, hier müssen Regeln für VLANs und ACLs erstellt werden. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Konfigurieren von VLANs (virtuelle LANs) NAP-Erzwingung mit DHCP benötigt die Angabe von Wartungsservern und falls DHCP nicht auf dem NPS-Server installiert ist einen RADIUS-Proxy. NAP-Erzwingung mit DHCP muss anschließend aktiviert werden. $mmc servermanager.msc -> Rollen -> DHCP-Server -> <Computername> -> IPv4 -> Eigenschaften -> Netzwerkzugriffsschutz-Einstellen NAP-Erzwingung benötigt den NAP-Clienten des Client-Computers der mit Gruppenrichtlinienobjekten konfiguriert werden kann. $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration -> Intigritätsregistrierungseinstellungen -> Vertrauenswürdige Servergruppe $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration -> Erzwingungsclients NAP-Clienten benötigen den Dienst NAP-Agent (Network Access Protection). $netsh nap client show state NAP-Integritätsanforderungsrichtlinien legen fest welche Clients Integritätsanforderungen erfüllen müssen. NAP-Integritätsanforderungsrichtlinien sind eine Kombination aus folgenden Elementen: Verbdingunsanforderungsrichtlinie Systemintegritätsprüfungen Wartungsgruppe Integritätsrichtlinie Netzwerkrichtlinien NAP-SHVs unter Windows Server 2008 enthält standardmäßig nur die WindowsSichherheitsintegritätsprüfung. NAP-SHVs können auch von Fremdherstellern implementiert werden. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung NAP-Wartungsserver sollten es einem inkompatiblen Computer ermöglichen, seine Systemintegrität zu korrigieren. Folgende Wartungsserver sollten vorhanden sein: DHCP-Server DNS-Server und WINS-Server Active Directory-Domänencontroller (schreibgeschützt) Internetproxyserver HRAs (das NAP-Clients Integritätszertifikate für IPsec-Erzwingung abrufen können) IIS-Server (Problembehandlungs-URL-Server, der eine Website vorhält um Benutzer über das Problem zu informieren) Antivirenupdateserver Antispywareupdateserver Softwareupdateserver $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung -> Einstellungen -> NAPErzwingung -> Konfigurieren -> Wartungserver und Problembehandlungs-URL $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Wartungsservergruppe NAP-Netzwerkrichtlinien stellen fest, ob eine Verbindungsanforderung bestimmte Bedingungen erfüllt, zum Beispiel eine Integritätsrichtlinie oder ob ein Computer NAP-fähig ist. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien NAP-Überwachungsmodus ist besonders in der Anfangsphase der NAPBereitstellung sinnvoll, um inkompatiblen Computern zu erlauben, Verbindungen zu allen Netzwerkressourcen herzustellen. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien -> NAP-IPSec mit HRA Nicht kompatibel -> Einstellungen -> NAP-Erzwingen -> Vollständigen Netzwerkzugriff gewähren NAP-Protokollierung dient dazu, inkompatible Computer zu identifizieren. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Eigenschaften -> Allgemein -> Abgelehnte Authentifizierungsanforderungen $mmc servermanager.msc -> Diagnose -> Ereignisanzeige -> WindowsProtokolle -> Sicherheit $mmc eventvwr.msc -> Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Netzwork Access Protection -> Operational WSUS WSUS (Windows Server Update Service) verwaltet, genehmigt und verteilt WindowsUpdates und Microsoft-Updates in Organisationsnetzwerken. WSUS-Clients, unter Windows XP und Windows 2000, Automatische UpdatesClient, ist die Komponente die Windows-Updates von WSUS-Server abruft. $mmc wsus.msc $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update Interner Pfad für den Microsoft Updatedienst angeben Automatische Updates Konfigurieren Suchhäufigkeit für automatische Updates Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten Automatische Updates sofort installieren Empfohlene Updates über automatische Updates aktivieren Keinen automatischen Neustart für geplante Installationen durchführen Erneut zu einem Neustart für geplante Installationen auffordern Neustart für geplante Installationen verzögern Zeitplan für geplante Installationen neu erstellen Clientseitige Zielzuordnung aktivieren Windows Update-Energieverwaltung aktivieren, um System zur Installation von geplanten Updates automatisch zu reaktiveren Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienst WSUS-Server sollten für jedes LAN vorgehalten werden. Das bedeutet, wenn eine Organisation mehrere Niederlassungen hat, sollte jede Niederlassung einen WSUSServer bereitstellen. WSUS-Clients sollten ihre Updates immer aus dem LAN herunterladen können. WSUS-Server können als Downstreamserver konfiguriert werden. WSUS-Downstreamserver holen Updates von einem Upstreamserver. WSUS-Kopie stellt Updates nicht lokal bereit sondern weißt WSUS-Clients an, die Updates direkt von Microsoft herunterzuladen. WSUS-Bereitstellung berücksichtigt folgende Voraussetzungen: WSUS-Server benötigt Internet, HTTP-Verbindung WSUS-Downstreamserver benötigen eine Verbindung via HTTP zum WSUSUpstreamserver über Port 80 oder via HTTPS auf Port 443 WSUS-Clients benötigen eine Intranet-Verbindung zum WSUS-Server über HTTP oder HTTPS WSUS-Clients sind kompatibel zu: o Windows 2000 SP3 oder SP4 o Windows XP Professional o Windows Vista o Windows Server 2003 o Windows Server 2008 WSUS-Installations-Planung 1. Updatequelle Direkt von Microsoft WSUS-Upstreamserver 2. Replikation von Genehmigungen und Konfiguration kopie - Synchronisierung von Genehmigungen, Einstellungen, Computern und Gruppen vom WSUS-Upstreamserver autonom 3. Updatespeicherung WSUS-Server kopiert Updates und speichert sie lokal Clients kopieren Updates direkt von Microsoft 4. Datenbank C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf Auch MS SQL möglich 5. Websiteauswahl WSUS benötigt IIS Verbindungen über HTTP/HTTPS 6. Sprache 7. Produkte Microsoft Updates Windows Updates WSUS-Überwachung um fehlgeschlagene Updates zu lokalisieren Windows Update-Konsole $mmc wsus.msc Microsoft System Center Configuration Manager 2007 Microsoft Basline Security Analyzer (MBSA) Netzwerkzugriffsschutz (Netzwork Access Protection, NAP) WSUS-Konfiguration 1. WSUS-Optionen optimieren 2. Computergruppen, mit denen die Updates zu unterschiedlichen Zeiten auf unterschiedliche Gruppen von Computern verteilt werden können 3. Clientcomputer konfigurieren für das abfrufen von Updates vom WSUSServer 4. Testen und Genehmigen von Updates 5. Auswerten von Berichten auf Erfolg oder Misserfolg WSUS-Optionen Updatequelle und Proxyserver Produkte und Klassifizierungen Dateien und Sprachen aktualisieren (d.h. Updatedateien und -sprachen) Synchronisierungszeitplan Automatische Genehmigungen Computer Assistent für Serverbereinigung Berichterstattungsrollup E-Mail-Benachrichtigung Programm zur Verbesserung von Microsoft Update Personalisierung Assistent für die WSUS-Serverkonfiguration WSUS-Computergruppen dienen dazu Computermodelle (x86/x64) oder Organisationseinheiten für Updates zu definieren. Es gibt zwei Möglichkeiten Computergruppen zu konfigurieren: Serverseitige Zuordnung o Eignet sich für kleine Organisationen o Konfiguration über die Update Service Konsole o mmc wsus.msc Clientseitige Zuordnung o Eignet sich auch für große Organisationen o Konfiguration über Gruppenrichtlinieneinstellungen o mmc wsus.msc -> Optionen -> Computer Gruppenrichtlinien oder Registrierungseinstellungen auf Computern verwenden o mmc gpmc.msc -> Computerconfiguration -> Richtlinien -> Adminsitrative Vorlagen -> Windows-Komponenten -> Windows Updates WSUS-Problembehandlung Anwendungsereignisprotokoll o Synchronisierungsereignisse und –Fehler, Datenbankfehler o Detailierte Berichte %SystemDir%\%Programmfiles%\Updates Services\LogFiles\Change.txt o Updateinstallations-, Synchronisierungs und WSUSKonfigurationsänderungs Einträge o Allgemeine Berichte %SystemRoot%\%Programmfiles%\Update Services\LogFiles\SoftwareDistribution.txt o Debuglog o Detailierte Ablaufberichte WSUS-Client-Problembehandlung %SystemRoot%\WindwosUpdate.log o Welcher Updateserver wird kontaktiert? o Fehlermeldungen $iexplorer.exe http://<WSUSServerName>/iuident.cab $rsop.msc -> Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update $net stop wuauserv $net start wuauserv $wuauclt /a Anwendungs- und Dienstprotokoll -> Microsoft -> WindowsUpdateClient -> Operational Monitoring Ereignisweiterleitung Ereignisweiterleitung (event forwarding) senden Ereignisse die bestimmte Kriterien erfüllen an einen zentralen Rechner. Ereignisweiterleitung sendet Ereignisse über HTTP und HTTPS. Ereignisweiterleitungen nutzen Weiterleitungs- und Sammelcomputer. Beide müssen konfiguriert werden. Ereignisweiterleitung benötigt folgende Dienste auf dem Weiterleitungs- sowie Sammelcomputer: Windows-Remoteverwaltung Windows-Ereignissammlung Ereignisweiterleitung auf dem Weiterleitungscomputer benötigt weiterhin eine Windows-Firewallausnahme für eingehende Verbindungen auf Port 80 bzw. 443. Ereignisweiterleitung Sammelcomputer benötigen das Betriebsystem Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2003 R2. Ereignisweiterleitung Weiterleitungscomputer benötigen das Betriebssystem Windows XP SP2, Windows Server 2003 SP1, Windows Server 2003 R2, Windows Vista, Windows 7 oder Window Server 2008. Windows XP und Windows Server 2003 benötigen zudem das Paket WS-Management 1.1. Ereignisweiterleitung Weiterleitungscomputer: $winrm quickconfig $net localgroup “Ereignisprotokollleser” <Sammelcomputer>@<Domänenname> /add Ereignisweiterleitung Sammelcomputer: $wecutil qc $mmc servermanager.msc -> Diagnose -> Abonnements -> Abonnement erstellen $wecutil ss <Abonnementname> /cm:custom $wecutil ss <Abonnementname> /hi:<Verzögerungswert in Millisekunden> $wecutil gs <Abonnementname> (Zeigt den Verzögerungswert an) $winrm get winrm/config (Bandbreite minimieren / Wartezeit minimieren) Ereignisweiterleitung SSL, HTTPS, Port 443 $winrm quickconfig -transport:https Systemmonitor Systemmonitor zeigt Echtzeitleistungsdaten grafisch an. Systemmonitor zeigt zum Beispiel Daten zur Prozessorauslastung, Netzwerkbandbreitenausnutzung oder Arbeitsspeicherbelegung an. Systemmonitor Leistungsindikatoren zeichnen die einzelnen Echtzeitgraphen. $mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Überwachungstools -> Systemonitor Zuverlässigkeitsüberwachung Zuverlässigkeitsüberwachung überwacht die Stabilität eines Computers. Zuverlässigkeitsüberwachung zeigt einen Zuverlässigkeitsindex von 0-10 an. 0 ist der niedrigste wert. Zuverlässigkeitsüberwachung zeigt Anwendungsinstallationen, Hardware-, Windowsund sonstige Fehler an. Zuverlässigkeitsüberwachung zeigt die Daten an die von RAC (Reliability Analysis Component) aufgezeichnet wurden. Zuverlässigkeitsüberwachung benötigt den Dienst Aufgabenplanung. $mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Überwachungstools -> Zuverlässigkeitsüberwachung Sammlungssätze Sammlungssätze sammeln Systeminformationen, Konfigurationseinstellungen und Leistungsdaten und erzeugen einen Log-File. Vordefinierte Sammlungssätze in Windows 2008 Server: Active Directory Diagnostics (Active Directory-Diagnose) LAN Diagnostic (LAN-Diagnose) System Performance (Systemleistung) System Diagnostic (Systemdiagnose) Wireless Diagnostic (Drahtlosdiagnose) Vordefinierte Sammlungssätze zeichnen Daten zwischen einer und fünf Minuten auf. Vordefinierte Sammlungsatz LAN-Diagnose und Drahtlosdiagnose laufen unendlich. $mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Sammlungssatz System $mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Bericht Sammlungssätze können auch manuell erstellt oder angepasst werden. Netzwerkmonitor Netzwerkmonitor ist ein Protokoll-Analyzer der auf Windows nachinstalliert werden kann. Netzwerkmonitor zeichnet den Netzwerkverkehr auf und analysiert ihn. Netzwerkmonitor zeichnet Frames auf, Schicht-2-Daten, zum Beispiel Ethernetheader. $nmcap /network * /capture /file <store>.cap $nmcap /network * /capture “DNS” /file <store>.cap $nmap /network * /disablelocalonly /capture /file <store>.cap $nmap /network * /capture “DHCP” /stopwhen /timeafter 2 min /file <store>.cap $nmcap /inputcapture data.cap /capture DNS /file DNSdata.cap Netzwerkmonitor erlaubt es, aufgezeichnete Frames zu filtern mit Capture oder Display Filtern. Die Wichtigsten Filter sind: BaseNetworkTShoot (ICMP, ARP und TCP-Resets / Lowl-LevelNetzwerkproblem) Broadcasts und No-Broadcasts DNS NameResolution (DNS, NetBIOS und ARP) HttpWebpageSearch MyIPv4Address und MyIPv6Address IPv4Address, IPv6DestinationAddress, IPv6SourceAddress IPv4SubNet Netzwerkmonitor Filter Beispiele: DNS && IPv4.SourceAdress == 192.168.13.45 Contains(http.Request.URI, “page.html“ || contains(http.Request.URI,“other.html“ Ethernet.Address == 0x001731D55EFF && DHCP Datenverwaltung NTFS-Dateiberechtigungen NTFS-Standarddateiberechtigungen für Benutzer- und Systemordner: Benutzerdateien %USERPROFIEL% o Benutzer: Lesezugriff und Schreibzugriff verweigert o Administratoren und Eigentümer: Vollzugriff Systemdateien %SYSTEMROOT% o Benutzer: Lesezugriff auf Ordner und Unterordner o Administratoren: Hinzufügen und Ändern Progamme %PROGRAMFILES% o Benutzer: ausführen o Administratoren: Vollzugriff Neue Ordner im Stammverzeichnis eines Datenträgeres o Benutzer: Lesezugriff o Administratoren: Vollzugriff NTFS-Standardberechtigungen: Ordnerinhalt auflisten – Ordner kann durchsucht werden Lesen – Ordnerinhalt lesbar; Dateien lesen Lesen, Ausführen – Dateien lesen und ausführen Schreiben – Dateien erstellen Ändern – Ordner und Dateien, lesen, bearbeiten und löschen Vollzugriff – Ordner und Dateien, lesen, bearbeiten und löschen; Berechtigungen ändern EFS verschlüsselte Dateisysteme $mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsselte Dateisystem Dateiverschlüsselung mit EFS (Encrypting File System) Inhalte des Ordners „Dokumente“ des Benutzers verschlüsseln Smartcard für EFS verlangen Zwischenspeicherfähige Benutzerschlüssel von Smartcard erstellen Auslagerungsdateiverschlüsselung aktivieren Schlüsselsicherungsbenachrichtigung anzeigen, wenn der Benutzerschlüssel erstellt oder geändert wird Bei nicht verfügbarer Zertifizierungsstelle EFS gestatten, selbstsignierte Zertifikate zu erzeugen $mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Offlinedateicache verschlüsseln $mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> WindowsKomponenten -> Suche -> Indizierung verschlüsselter Dateien zulassen DRA (Data Recovery Agent) $mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsseltes Dateisystem -> Datenwiederherstellungs-Agent Datenwiederherstellungs-Agenten oder andere Konten mit sehr hohen Privilegien sollten immer im Kollusion-Mode laufen. Kollusion (geheimes Einverständnis) bezeichnet ein Sicherheitskonzept, bei dem zwei Partner miteinander zusammenarbeiten müssen. Im Fall eines Datenwiederherstellungs-Agenten, teilt man das Benutzerkennwort in zwei Teile und gibt jeweils einen Teil einer anderen Personen. DFS (Distributed File System) DFS stellt einen einzigen Namespace für freigegebene Ordner in einer Organisation bereit, sowie Redundanz, weil es Replikation implementiert. DFS kann freigegebene Ordner auf mehreren Servern hosten, wobei der Clientcomputer automatisch eine Verbindung zum nächstmöglichen verfügbaren Server herstellt. $mmc servermanager.msc -> Rollen -> Dateidienste Dateiserver (Freigabe- und Speicherverwaltung) Verteiltes Dateisystem (DFS) Ressourcen-Manager für Dateiserver (Speicherberichte, Kontingenten, Dateiprüfungsrichtlinien) Dienste für NFS (Network File System) Windows-Suchdienst Dateidienste für Windows Server 2003 $mmc servermanager.msc -> Rollen -> Dateidienste -> DFS-Verwaltung -> Namespace $dfsutil $dfsutil $dfsutil $dfsutil $dfsutil $dfsutil domain <Domänenname> server <Servername> target <\\Domänenname\Namespacestamm> link <\\Domänenname\Namespacestamm\Ordner> client siteinfo <Clientname> DFS-Kontingente dienen dazu Benutzer zu überwachen, die mehr als eine festgelegte Menge Festplattenplatz verbrauchen. DFS-Kontingente können erzwungen werden, um zu verhindern, dass Benutzer mehr Festplattenplatz belegen, als ihnen zugewiesen ist. $mmc fsrm.msc -> Kontingentverwaltung $dirquota $dirquota quota list $dirquota quota add /Path:<Volumen:\Pfad> /SourceTemplate:”<Kontingentvorlagenname>” $dirquota quota add /Path:<Volumen:\Pfad> /Limit:<Größe N in>(MB|GB) /Type:(hard|soft) $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Datenträgerkontingente Datenträgerkontingente ermöglichen Datenträgerkontingente erzwingen Standarddatenträgerkontingente und Warnrufe Ereignis protokollieren, wenn die Datenträgerkontingentgrenze überschritten wird Ereignis protokollieren, wenn die Kontingentwarnstufe überschritten wird Richtlinie auf austauschbare Datenträger verwenden Ordnerfreigaben Windows-Explorer -> Freigabe -> Dateifreigabe Leser – Schreibgeschützter Zugriff (lesen) Mitwirkender – Lese- und Schreibzugriff (ändern) Mitbesitzer – Lese- und Schreibzugriff sowie Dateiberechtigungen ändern (Vollzugriff) Besitzer – (Vollzugriff) $mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe bereitstellen -> Assistent zum Bereitstellen eines freigegebenen Ordners (SMB und NFS für Unix-Clients) $net share $net share <Freigabenamen>=<Volumen:\Pfad> $net use <Volumen:> <\\Servername\Freigabenname> $net use X: \\Server01\Documents $dir <\\Servername\Freigabenname> Offlinedateien $mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe -> Verwaltung -> Zwischenspeicherung Nur von Benutzern angegebene Dateien und Programme sind offline verfügbar Alle Dateien und Programme, die Benutzer auf der Freigabe öffnen, sind automatisch offline verfügbar Keine Dateien oder Programme der Freigabe sind offline verfügbar Dateiwiederherstellung Schattenkopien ermöglichen es Datensicherungssoftware, auf Dateien zuzugreifen, die gerade benutzt werden. Schattenkopien von Dateien und Ordnern werden automatisch von Windows erstellt. Schattenkopien speichern jeweils nur die Änderung zur Vorgängerversion. Schattenkopien sind Datensicherungen. $vssadmin $vssadmin create shadow /For=<Volumen:> $vssadmin list shadowstorage $vssadmin list shadow $vssadmin revert shadow /Shadow=<Schattenkopie-ID> $vssadmin revert shadow /Shadow={57384783-49ef-cddc-98a5448df848} Windows Server-Sicherung kopiert ein gesamtes Datenträgervolumen in eine .vhd-Datei auf einer zweiten lokalen Festplatte. Windows Server-Sicherungen sind Systemsicherungen (.vhd) und Datensicherungen (Backup<Jahr>-<Monat>-<Tag>-<Uhrzeit>). Windows Server-Sicherung erstellt den Ordner WindowsImageBackup im Stamm des Sicherungsmediums. Windows Server-Sicherung kann mit Hilfe der Aufgabenplanung automatisierte Backups erstellen. <Volumen:>\WindowsImageBackup\<Computername> $mmc servermanager.msc -> Features -> Features hinzufügen -> Windows Server-Sicherungsfeatures -> Windows Server-Sicherung $mmc wbadmin.msc $wbadmin $wbadmin start backup -backupTarget:<Volumen:> include:<Volumen:> -quit $wbadmin start systemstaterecovery Druckerverwaltung Es sollten zwei oder mehr identische Drucker an jedem Standort bereitgestellt und zu Druckerpools konfiguriert sein. Mit Hilfe von Druckerpools können Benutzer ohne Unterbrechung drucken, auch wenn ein Drucker ausfällt – denn Hardwareprobleme sind bei Druckern recht häufig. Die gesamte Organisation sollte versucht sein, Druckermodelle auf ein oder zwei verschiedene zu beschränken. Das vereinfacht die Beschaffung von Tinte und Ersatzteile sowie den Schulungsaufwand für die Angestellten. Drucker sollten direkt mit dem Kabelnetzwerk verbunden sei, statt sie an Server anzuschließen. So können der Standort der Drucker flexibler gewählt werden und die Server physisch optimal geschützt werden. Benutzer sollten geschult werden, in der Durchführung einfacher Druckerverwaltungsaufgaben, zum Beispiel Nachlegen von Papier, Ersetzen von Tintenpatronen und Beseitigen von Papierstaus. Das verringert die Anzahl von Supportanrufen aufgrund von Druckerproblem. $mmc servermanager.msc -> Rollen -> Druckerdienste (Dokumente- und Druckerdienste) Druckserver – Druckerverwaltung für Windows und nicht Windows Clients LDP-Dienst – LDP-Protokoll (Line Printer Daemon Protocol) gewöhnlich für Unix-Clients Internetdruck – IPP (Internet Printing Protocol) erstellt eine Website auf der Nutzer Ihre Druckaufträge im Browser verwalten können. Erfordert IIS (Internet Information Service). Druckerverwalten $mmc printmanagement.msc $mmc printmanagement.msc -> Druckerverwaltung -> Druckerserver -> <Servername> -> Drucker -> Drucker hinzufügen $mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Freigeben Druckauftragsaufbereitung auf Clientcomputern durchführen (Clients führen den prozessorintensieven Renderingvorgang selbst durch) Im verzeichnis Anzeigen (Falls der Drucker im Active Directory angezeigt werden soll) Zusätzliche Treiber (Stellt zum Beispiel x64 Versionen des Druckertreibers bereit) $mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Sicherheit Drucken Drucker verwalten Dokumente verwalten $mmc servermanagerment.msc -> Rollen -> Druckerdienste -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> Mit Gruppenrichtlinie bereitstellen Die Computer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro Computer) Die Benutzer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro Benutzer) $mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\ PrnMngr.vbs – Drucker hinzufügen und entfernen PrnCnfg.vbs – Drucker konfigurieren (Druckername, Druckerstandort, Druckerberechtigungen) PrnDrvr.vbs – Druckertreiber hinzufügen und entfernen PrnJobs.vbs – Druckeraufträge verwalten PrnPort.vbs – Druckeranschlüsse verwalten PrnQctl.vbs – Druckertestseite drucken PubPrn.vbs – Druckerveröffentlichung im Active Directory $cscript %SystemRoot%\System32\Printing_Admin_Scripts\deDE\prnmngr.vbs -a –p <Druckername> -m “<Druckertreibername>“ r lpt1: $cscript %SystemRoot%\System32\Printing_Admin_Scripts\deDE\prncnfg.vbs -t -s <Servername> -p <Druckername> +keepprintedjobs $cscript %SystemRoot%\System32\Printing_Admin_Scripts\deDE\prndrvr.vbs -l -s <\\Servername> $cscript %SystemRoot%\System32\Printing_Admin_Scripts\deDE\prndrvr.vbs -a -m “<Druckertreibername>” -v 4 -e “<Architektur>” -i <Volumen:\Pfad\Treiberdatei.inf> -h <Volumen:\Pfad> Migration: Druckerimportieren und Druckerexportieren $printbrm –b –f printers.printerexport $printbrm –r –f printers.printersexport Druckertreiber $mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Treiber $mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Geräte: Anwender das Installieren von Druckertreibern nicht erlauben Druckerpools $mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Druckerpool Druckerpools dienen dazu den Druckprozess zu verschnellern und Ausfallsicherheit herzustellen. Drucker eines Druckerpools müssen alle denselben Druckertreiber verwenden, es müssen also nicht identische Geräte sein (meist funktioniert ein Druckertreiber für mehrere Geräte einer Firma). Es sollte nur ein Drucker eines Druckerpools freigegeben sein, sonst kann der Pool umgangen werden. Druckerprioritäten $mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Erweitert -> Priorität Druckerprioritäten können mit Hilfe von mehreren logischen Installationen eines Druckers gelöst werden. Jeder logischen Installation wird eine andere Priorität zugewiesen. Internetdrucker Internetdrucker können mit Internet Explorer verwaltet werden. Internetdrucker benötigen im Internet Explorer die Option, dass Add-Ons ausgeführt werden dürfen. Internetdrucker können zum Beispiel eine bequeme Alternative für Gäste sein. http://<Servername>/Drucker/ http://<Servername>/Drucker/<Druckername>/.drucker Druckerbenachrichtigungen $mmc servermanager.msc -> Druckerdienste -> Druckerverwaltung -> Benutzerdefinierte Filter -> Neuer Druckerfilter Feld – definiert, welche Kriterien verglichen werden. Zum Beispiel Warteschlangenstatus Bedingung Wert MMC Microsoft Management Console + Microsoft Saved Console Standard Konsolen in \Windows\System32\ certmgr.msc ciadv.msc compmgmt.msc devmgmt.msc dfrg.msc diskmgmt.msc eventvwr.msc fsmgmt.msc gpmc.msc lusrmgr.msc ntmsmgr.msc ntmsoprq.msc perfmon.msc rsop.msc secpol.msc services.msc wmimgmt.msc Manages certificates Manages the Indexing Service The Computer Management Console The Device Manager Disk Defragmenter Disk Management Event Viewer for managing system logs Shared Folder Management Group Policy Editor Local Users and Groups Manager Removable Storage Manager Removable Storage Operator Requests System Performance Monitor Resultant Set of Policy Security Policy Manages services Windows Management Instrumentation Service Services # # # # # # # # Copyright (c) 1993-1999 Microsoft Corp. Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA. Format: <Dienstname> echo echo discard discard systat systat daytime daytime qotd qotd chargen chargen ftp-data ftp telnet smtp Protocol time time rlp Protocol nameserver nameserver nicname domain domain bootps Server bootpc Client tftp gopher finger http kerberos kerberos hostname iso-tsap rtelnet pop2 Version 2 pop3 Version 3 sunrpc Call sunrpc Call auth Protocol uucp-path nntp Protocol ntp epmap resolution epmap resolution netbios-ns netbios-ns <Portnummer>/<Protokoll> 7/tcp 7/udp 9/tcp 9/udp 11/tcp 11/tcp 13/tcp 13/udp 17/tcp 17/udp 19/tcp 19/udp 20/tcp 21/tcp 23/tcp 25/tcp [Alias...] sink null sink null users users [#<Kommentar>] #Active users #Active users quote quote ttytst source ttytst source #Quote of the day #Quote of the day #Character generator #Character generator #FTP, data #FTP. control mail #Simple Mail Transfer 37/tcp 37/udp 39/udp timserver timserver resource #Resource Location 42/tcp 42/udp 43/tcp 53/tcp 53/udp 67/udp name name whois dhcps #Domain Name Server #Domain Name Server #Bootstrap Protocol 68/udp dhcpc #Bootstrap Protocol 69/udp 70/tcp 79/tcp 80/tcp 88/tcp 88/udp 101/tcp 102/tcp 107/tcp 109/tcp #Host Name Server #Host Name Server #Trivial File Transfer www www-http krb5 kerberos-sec krb5 kerberos-sec hostnames postoffice 110/tcp #World Wide Web #Kerberos #Kerberos #NIC Host Name Server #ISO-TSAP Class 0 #Remote Telnet Service #Post Office Protocol #Post Office Protocol - 111/tcp rpcbind portmap #SUN Remote Procedure 111/udp rpcbind portmap #SUN Remote Procedure 113/tcp ident tap #Identification 117/tcp 119/tcp usenet #Network News Transfer 123/udp 135/tcp loc-srv #Network Time Protocol #DCE endpoint 135/udp loc-srv #DCE endpoint 137/tcp 137/udp nbname nbname #NETBIOS Name Service #NETBIOS Name Service netbios-dgm 138/udp Service netbios-ssn 139/tcp Service imap 143/tcp Access Protocol pcmail-srv 158/tcp snmp 161/udp snmptrap 162/udp print-srv 170/tcp bgp 179/tcp Protocol irc 194/tcp Protocol ipx 213/udp ldap 389/tcp Access Protocol https 443/tcp https 443/udp microsoft-ds 445/tcp microsoft-ds 445/udp kpasswd 464/tcp kpasswd 464/udp isakmp 500/udp exec 512/tcp Execution biff 512/udp login 513/tcp who 513/udp cmd 514/tcp syslog 514/udp printer 515/tcp talk 517/udp ntalk 518/udp efs 520/tcp Server router 520/udp timed 525/udp tempo 526/tcp courier 530/tcp conference 531/tcp netnews 532/tcp netwall 533/udp broadcasts uucp 540/tcp klogin 543/tcp kshell 544/tcp new-rwho 550/udp remotefs 556/tcp rmonitor 560/udp monitor 561/udp ldaps 636/tcp doom 666/tcp doom 666/udp kerberos-adm 749/tcp administration kerberos-adm 749/udp administration kerberos-iv 750/udp kpop 1109/tcp phone 1167/udp ms-sql-s 1433/tcp ms-sql-s 1433/udp ms-sql-m 1434/tcp ms-sql-m 1434/udp wins 1512/tcp Internet Name Service wins 1512/udp Internet Name Service ingreslock 1524/tcp nbdatagram #NETBIOS Datagram nbsession #NETBIOS Session imap4 #Internet Message snmp-trap #PCMail Server #SNMP #SNMP trap #Network PostScript #Border Gateway #Internet Relay Chat #IPX over IP #Lightweight Directory MCom MCom ike # Kerberos (v5) # Kerberos (v5) #Internet Key Exchange #Remote Process comsat #Remote Login whod shell spooler #Extended File Name route routed timeserver newdate rpc chat readnews #For emergency uucpd krcmd new-who rfs rfs_server rmonitord sldap #Kerberos login #Kerberos remote shell #LDAP over TLS/SSL #Doom Id Software #Doom Id Software #Kerberos #Kerberos #Kerberos version IV #Kerberos POP #Conference calling #Microsoft-SQL-Server #Microsoft-SQL-Server #Microsoft-SQL-Monitor #Microsoft-SQL-Monitor #Microsoft Windows #Microsoft Windows ingres l2tp 1701/udp Protocol pptp 1723/tcp tunnelling protocol radius 1812/udp protocol radacct 1813/udp protocol nfsd 2049/udp knetd 2053/tcp man 9535/tcp #Layer Two Tunneling #Point-to-point #RADIUS authentication #RADIUS accounting nfs #NFS server #Kerberos de-multiplexo #Remote Man Server Links und Downloads TechNet http://technet.microsoft.com/ TechNet Virtual Labs: Windows Server http://technet.microsoft.com/en-us/windowsserver/default.aspx TechNet Virtual Labs: Windows Server 2008 http://technet.microsoft.com/de-de/windowsserver/bb512925.aspx TechNet Library: Windows Server 2008 und Windows Server 2008 R2 http://technet.microsoft.com/de-de/library/cc728909.aspx TechNet Library: Windows 2008 Server und Windows Vista TCP/IP-Stack http://technet.microsoft.com/de-de/library/cc754287(WS.10).aspx http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx TechNet Library: Windows Server http://technet.microsoft.com/en-us/library/bb625087.aspx TechNet Library: DNS http://technet.microsoft.com/en-us/library/cc779380(WS.10).aspx TechNet Library: DNS Server http://technet.microsoft.com/en-us/library/cc732997(WS.10).aspx TechNet Library: DHCP http://technet.microsoft.com/en-us/library/cc778368(WS.10).aspx TechNet Library: DHCP Server http://technet.microsoft.com/en-us/library/cc896553(WS.10).aspx TechNet Networking and Access Technologies: Routing und RAS http://technet.microsoft.com/en-us/network/bb545655.aspx TechNet Networking and Access Technologies: IPSec http://technet.microsoft.com/en-us/network/bb531150.aspx Windows Server 2008 Website http://www.microsoft.com/germany/windowsserver2008/default.mspx Windows Cmd Reference http://gattner.name/simon/public/microsoft/Windows%20Cmd%20Reference/ Microsoft Netzwerkmonitor http://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb4658-b7f6-3088333d062f&displaylang=en IPv4 http://www.ietf.org/rfc/rfc791.txt http://www.ietf.org/rfc/rfc3927.txt IPv6 http://www.ietf.org/rfc/rfc2373.txt http://www.ietf.org/rfc/rfc2460.txt http://www.ietf.org/rfc/rfc2462.txt DNS http://www.ietf.org/rfc/rfc1034.txt http://www.ietf.org/rfc/rfc1035.txt http://www.ietf.org/rfc/rfc1591.txt DHCP/BOOTP http://www.ietf.org/rfc/rfc2131.txt http://www.ietf.org/rfc/rfc2132.txt http://www.ietf.org/rfc/rfc3736.txt
