Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 1 von 122 Administrieren einer Windows Server 2003 Netzwerkinfrastruktur (erstellt mit Winword 2003 und Quelle: Administrieren einer Windows Server 2003 Netzwerkinfrastruktur Auflage: 2 Autoren: J.C. Mackin und Ian McLean Verlag Microsoft Press Deutschland 2008 ISBN: 978-3-86645-906-9) Vorwort Hallo werte Leserinnen und werte Leser, dies ist nicht auf Vollständigkeit beruhender Auszug aus dem oben genannten Buch. Einfachhalber wird nicht zitiert. Neben sehr kurz gefassten Einführungen sind dort u. a. Bedeutung, Beispiel, Definition, Hinweis, Insidertipps, Lernzielkontrolle, Problembehandlung, Prüfungstipp, Schlüsselinformationen, Sicherheitserwägungen, Sicherheitswarnung, Szenarien, Tipp, Vorsicht, Warnung, Weitere Informationen, Wichtig und Zusammenfassung herausgezogen. Sie dienen nur als begleitendes Prüfungsvorbereitungsmaterial. Für die Richtigkeit aller in diesem Dokument gemachten Aussagen, bedingt durch Fehler aller Art, wird keine Haftung für Folgeschäden aller Art (Arbeit und Prüfungen) übernommen. Euer Andreas Tipp außer der Reihe: Beim Anmelden werden immer ein Anmeldeereignis (Logon-Event) und ein Anmeldeversuch (Account[Konto]Logon-Event) ausgelöst. Per Gruppenrichtlinie kann eines oder auch beides überwacht werden (standardmäßig keines von beiden). Anmelde-Ereignis: Dieses Ereignis wird immer an der Maschine geloggt, wo sich der Benutzer anmeldet (im lokalen Ereignisprotokoll). Anmelde-Versuch: Dieses Ereignis wird immer dort geloggt, wo sich das Konto des Benutzers befindet (mit Domänenkonto im Ereignisprotokoll eines Domänencontrollers und bei lokaler Anmeldung im Ereignisprotokoll der Maschine, wo man sich lokal anmeldet). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 2 von 122 Inhaltsverzeichnis 1. Kapitel 1 Grundlagen der Windows Server 2003-Netzwerkinfrastruktur ......................................................... 3 1.1. Lektion 1 Aufbau einer Windows Server 2003-Netzwerkinfrastruktur..................................................... 3 1.2. Lektion 2 Herstellen einer Verbindung zu einer Windows Server 2003-Netzwerkinfrastruktur ............... 4 2. Kapitel 2 Grundlagen von TCP/IP .................................................................................................................... 5 2.1. Lektion 1 Grundlagen von TCP/IP ............................................................................................................ 5 2.2. Lektion 2 Arbeiten mit IP-Adressblöcken ................................................................................................. 6 2.3. Lektion 3 Aufteilen von IP-Netzwerken in Subnetze ................................................................................ 7 3. Kapitel 3 Überwachung und Problembehandlung von TCP/IP-Verbindungen ............................................... 11 3.1. Lektion 1 Analysieren des Datenverkehrs mit dem Netzwerkmonitor .................................................... 11 3.2. Lektion 2 Problembehandlung von TCP/IP-Verbindungen ..................................................................... 13 4. Kapitel 4 Konfigurieren von DNS-Servern und -Clients ................................................................................ 15 4.1. Grundlagen der Namensauflösung in Windows Server 2003 .................................................................. 15 4.2. Lektion 2 Grundlagen von DNS in Windows Server 2003-Netzwerken ................................................ 16 4.4 Lektion 4 Konfigurieren von DNS-Clients............................................................................................... 22 5. Kapitel 5 Konfigurieren einer DNS-Infrastruktur ........................................................................................... 25 5.1. Lektion 1 Konfigurieren der Eigenschaften von DNS-Servern ............................................................... 25 5.2. Lektion 2 Konfigurieren von Zoneneigenschaften und -übertragungen .................................................. 28 5.3. Lektion 3 Konfigurieren der erweiterte Eigenschaften von DNS-Servern .............................................. 33 5.4. Lektion 4 Erstellen von Zonendelegierungen .......................................................................................... 35 5.5 Lektion 5 Bereitstellen von Stubzonen ..................................................................................................... 37 6. Kapitel 6 Überwachung und Problembehandlung von DNS ........................................................................... 41 6.1. Lektion 1 Verwenden von Tools zur DNS-Problembehandlung ............................................................. 41 6.2. Lektion 2 Verwenden von DNS-Überwachungstools ............................................................................. 44 7. Kapitel 7 Konfigurieren von DHCP-Servern und -Clients .............................................................................. 47 7.2 Lektion 2 Verwalten von DHCP in Windows-Netzwerken...................................................................... 51 7.3 Lektion 3 Konfiguration von DHCP-Servern für das Durchführen von DNS-Updates ........................... 54 8. Kapitel 8 Überwachung und Problembehandlung von DHCP ........................................................................ 57 8.1 Lektion 1 Analysieren des DHCP-Datenverkehrs .................................................................................... 57 8.2 Lektion 2 Überwachen von DHCP mithilfe der Überwachungsprotokollierung ...................................... 60 8.3 Lektion 3 Problembehandlung von DHCP ............................................................................................... 62 9. Kapitel 9 Routing mit Windows Server 2003 ................................................................................................. 65 9.1. Lektion 1 Konfigurieren von Windows Server 2003 für LAN-Routing .................................................. 65 9.2 Lektion 2 Konfigurieren des Routings für Wählen bei Bedarf ................................................................. 68 9.3 Lektion 3 Konfigurieren von NAT ........................................................................................................... 70 9.4 Lektion 4 Konfigurieren und Verwalten von Routingprotokollen ........................................................... 73 9.5 Lektion 5 Konfigurieren von Paketfiltern ................................................................................................ 75 10. Kapitel 10 Konfigurieren und Verwalten des Remotezugriffs ...................................................................... 79 10.1 Lektion 1 Konfigurieren von RAS-Verbindungen ................................................................................. 79 10.2 Lektion 2 Autorisieren von RAS-Verbindungen .................................................................................... 83 10.3 Lektion 3 Implementieren von VPNs ..................................................................................................... 87 10.4 Lektion 4 Bereitstellen des Internetauthentifizierungsdienstes .............................................................. 94 11. Kapitel 11 Verwalten der Netzwerksicherheit ........................................................................................... 100 11.1 Lektion 1 Implementierung von Verfahren für sichere Netzwerkverwaltung ...................................... 101 11.3 Lektion 3 Problembehandlung der Sicherheit von Netzwerkprotokollen ............................................. 114 12 Kapitel 12 Pflegen einer Netzwerkinfrastruktur ........................................................................................... 117 12.1 Lektion 1 Überwachen der Netzwerkleistung ...................................................................................... 117 12.2 Lektion 2 Problembehandlung von Internetverbindungen ................................................................... 118 12.3 Lektion 3 Problembehandlung von Serverdiensten .............................................................................. 119 12.4 Lektion 4 Konfigurieren einer Updateinfrastruktur .............................................................................. 120 13 Kapitel 13 Implementieren, Verwalten und Pflegen der IP-Adressierung (1.0) .......................................... 121 14 Kapitel 14 Implementieren, Verwalten und Pflegen der Namensauflösung (2.0) ........................................ 121 15 Kapitel 15 Implementieren, Verwalten und Pflegen der Netzwerksicherheit (3.0) ...................................... 121 16 Kapitel 16 Implementieren, Verwalten und Pflegen von Routing und RAS (4.0) ....................................... 121 17 Kapitel 17 Pflegen einer Netzwerkinfrastruktur (5.0) .................................................................................. 121 Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 3 von 122 1. Kapitel 1 Grundlagen der Windows Server 2003-Netzwerkinfrastruktur 1.1. Lektion 1 Aufbau einer Windows Server 2003-Netzwerkinfrastruktur Definition 0005 Netzwerkinfrastruktur => Es handelt sich um einen gemeinsam genutzten Satz physischer und logischer Komponenten, der die Grundlage für die Konnektivität, Sicherheit, Routing, Verwaltung, Zugriff und andere Kernfunktionen in einem Netzwerk bildet. Hinweis 0009 Im Netzwerkmonitor und anderen Protokollanalyseprogrammen wird CIFS (Common Internet File System) in den Netzwerkaufzeichnungen immer noch als SMB (Server Message Block) aufgelistet. Prüfungstipp 0009 Fragen, in denen von „SMB-Serversoftware“ die Rede ist, handelt sich um einen UNIX-Server, auf denen die Windows-Clients auf dessen freigegebenen Dateien zugreifen können. Hinweis 0010 Sie müssen IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) nur zu den Computern hinzufügen, die direkt mit älteren NetWare Servern kommunizieren. Sie brauchen IPX/SPX nicht zu MS Windows-Clients hinzufügen, die nur über einem Gateway auf die NetWare Server zugreifen. Hinweis 0012 Ein ISA-Server (Internet Security and Acceleration-Server) fungiert normalerweise auch als Webproxy. d.h. in den Internet Exlorer-Verbindungseinstellungen der Clients steht die Adresse des ISA-Servers. Prüfungstipp 0013 Die verstärkte Sicherheitskonfiguration für den Internet Explorer (Internet Explorer Enhanced Security Configuration, IEESC) ist als eine Windows-Komponente auf Windows 2003-Servern standardmäßig aktiviert. Wenn sich XP-Benutzer über den Remotedesktop eine Verbindung zu einem Windows Server 2003 Computer mit Terminaldiensten (TCP-Port 3398) versuchen, über den Remotedesktop im Web zu surfen, gelten die IEESC-Bestimmungen auch auf diese XP-Benutzer. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 4 von 122 Zusammenfassung Lektion 1.1 0015 Die physische Infrastruktur eines Netzwerks besteht aus seiner Topologie, also dem physischem Aufbau des Netzwerks, und Hardwarekomponenten wie Kabel, Router, Switches, Bridges, Hubs, Server und Hosts. Sie umfasst zudem Technologien, mit denen Kommunikationsmethoden über bestimmte Typen physischer Verbindungen definiert werden. Die logische Infrastruktur eines Netzwerks besteht aus einer Vielzahl von Softwareelementen, mit denen die Hosts im Netzwerk verbunden, verwaltet und geschützt werden. Zu den Elementen einer Windows Server 2003-Netzwerkinfrastruktur gehören Protokolle, Adressierungsschema, Adressierungsschema, Namenauflösungsmethode, Routing-, Remotezugriff-, Sicherheits- und Updateinfrastruktur. 1.2. Lektion 2 Herstellen einer Verbindung zu einer Windows Server 2003-Netzwerkinfrastruktur Tipp 0017 Fenster Netzwerkverbindung: WINDOWS+R oder control netconnections Hinweis 0017 TCP/IP (Version 4) Es ist eine Gruppe von Protokollen, die als Stapel (stack) oder Familie (suite) bezeichnet wird. ARP Address Resolution Protocol DNS Domain Name System HTTP Hypertext Transfer Protocol IP Internet Protocol TCP Transmission Control Protocol UDP User Data Protocol Tipp 0020 Netzwerkumgebung -> Extras -> Erweiterte Einstellungen: bei schlechter Netzwerkleistung Bindungsreihenfolge für Adapter, Protokolle und Anbieter Prüfungstipp 0025 Wenn sich zwei Clientcomputer gegenseitig erkennen, aber keine Verbindung zu anderen Geräten im Netzwerk oder dem Internet herstellen können, dann ist APIPA oft die Ursache. Dann gibt es ein Problem beim DHCP-Server oder DHCP-Relay-Agent oder die Verbindung zum DHCP-Server ist gestört. Prüfungstipp 0027 Falls der eine Computer im selben Netzwerksegment eine gültige Adresse vom DHCP-Server bekommt und ein anderer Computer dort nur eine APIPA (Automatische private IP-Adressierung). Insidertipp 0027 APIPA-Adressen sind nicht routingfähig (kein Internet, keine Subnetze und zentralisierte Verwaltung). Adressbereich: 169.254.0.1 bis 169.254.255.254/16 Schlüsselinformationen 0036 a) APIPA -> kein DHCP-Server erreichbar bzw. er arbeitet nicht richtig b) Vorteile einer statischen Adresse und einer alternativen Konfiguration c) verstärkte Sicherheitskonfiguration für den Internet Explorer wird als Windows Komponente automatisch auf Windows Server 2003 installiert. Es verhindert in der Standardeinstellung die meisten Web-Zugriffe. Schlüsselbegriffe 0037 APIPA => Es ist eine TCP/IP-Funktion in Windows XP und Server 2003 mit der automatisch eine eindeutige Adresse zugewiesen wird, wenn TCP/IP für die dynamische Adressierung konfiguriert wurde und ein DHCP-Server nicht verfügbar ist (Dynamic Host Configuration Protocol). IP-Adressen: 169.254.0.1 bis 169.254.255.254 mit Subnetzmaske 255.255.0.0 NetBT => NetBIOS über TCP/IP (Protokoll für NetBIOS-Netzwerkdienste über TCP/IP-Netzwerke) CIFS => Eine Erweiterung des SMB-Protokolls, die als Grundlage für die Dateifreigabe und andere Funktionen von MS-Netzwerken dient. Eine der Erweiterungen von CIFS gegenüber SMB ist die Möglichkeit, CIFS ohne NetBIOS direkt über DNS zu betreiben. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 5 von 122 2. Kapitel 2 Grundlagen von TCP/IP 2.1. Lektion 1 Grundlagen von TCP/IP Schichten des TCP/IP-Protokolls und die TCP/IP Protokoll-Familie Anwendungs-Schicht Transport-Schicht Internet-Schicht Verbindungsschicht -> Telnet FTP SMTP und DNS RIP SNMP -> TCP und UDP -> (ARP) IP (IGMP, ICMP) -> Ethernet Token-Ring FDDI X.25 RS-232 V.35 Frame-Relay ATM Insidertipp 0043 Problem: Keine Verbindung zu einem Computer mit neu eingebauter Netzwerkkarte, welcher sich im Broadcastbereich befindet. Lösung: arp –d löscht den arp-Cache; Die Zuordnung von der falschen (alte MAC-Adresse von ausgebauter Netzwerkkarte) MAC-Adresse zur IP-Adresse wird aufgehoben, da sie neu eingespeichert werden. arp –a Anzeige des arp-Cache arp –d Löschen des arp-Cache Cachedauer: 2 Minuten Praxistipp 0044 Firewall muss für das Senden eines Ping-Befehls geöffnet werden (oft bei den Client-Firewalls die ICMPNachrichtenanforderung auf Beantworten stellen). Prüfungstipp 0045 Durch den Einsatz der Paketfilterung auf einem Router kann TCP- oder UDP-Datenverkehr je nach Portnummer blockiert oder zugelassen werden. TCP-Port UDP-Port 20, 21 FTP (File Transport Protocol) 23 TelNet-Server 25 SMTP (Simple Mail Transfer Protocol) 80 HTTP (Hypertext Transfer Protocol) 88 Kerberos 110 POP3 (Post Office Protocol 3) 119 NNTP (Network News Transfer Protocol) 123 NTP (Network Time Protocol) 161 SNTP (Simple Network Time Protocol 162 SNTP trap 443 HTTPS/SSL (Hypertext Transfer Protocol Secure / Secure Sockets Layer) 1723 PPTP (point-to-Point Tunneling Protocol) 53 67 500 1701 4500 DNS (Domain Name System) DHCP (Dynamic Host Configuration Protocol) L2TP/IPSec L2TP/IPSec L2TP/IPSec Prüfungstipp 0045 Verbindungslose Dienste in TCP/IP-Netwerken basieren auf UDP als Transportprotokoll. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 6 von 122 2.2. Lektion 2 Arbeiten mit IP-Adressblöcken Subnetzmasken 11111111 00000000 00000000 00000000 11111111 10000000 00000000 00000000 11111111 11000000 00000000 00000000 11111111 11100000 00000000 00000000 11111111 11110000 00000000 00000000 11111111 11111000 00000000 00000000 11111111 11111100 00000000 00000000 11111111 11111110 00000000 00000000 /8 /9 /10 /11 /12 /13 /14 /15 255.0.0.0 255.128.0.0 255.192.0.0 255.224.0.0 255.240.0.0 255.248.0.0 255.252.0.0 255.254.0.0 11111111 11111111 00000000 00000000 11111111 11111111 10000000 00000000 11111111 11111111 11000000 00000000 11111111 11111111 11100000 00000000 11111111 11111111 11110000 00000000 11111111 11111111 11111000 00000000 11111111 11111111 11111100 00000000 11111111 11111111 11111110 00000000 /16 /17 /18 /19 /20 /21 /22 /23 255.255.0.0 255.255.128.0 255.255.192.0 255.255.224.0 255.255.240.0 255.255.248.0 255.255.252.0 255.255.254.0 11111111 11111111 11111111 00000000 11111111 11111111 11111111 10000000 11111111 11111111 11111111 11000000 11111111 11111111 11111111 11100000 11111111 11111111 11111111 11110000 11111111 11111111 11111111 11111000 11111111 11111111 11111111 11111100 /24 /25 /26 /27 /28 /29 /30 255.255.255.0 255.255.255.128 255.255.255.192 255.255.255.224 255.255.255.240 255.255.255.248 255.255.255.252 224 => 16.777.212 Hosts 223 => 8.388.606 Hosts 222 => 4.194.302 Hosts 221 => 2.097.150 Hosts 220 => 1.048.574 Hosts 2 19 => 524.286 Hosts 218 => 262.142 Hosts 2 17 => 131.072 Hosts 2 16 => 215 => 214 => 213 => 212 => 211 => 210 => 29 => 65.534 Hosts 32.766 Hosts 16.382 Hosts 8.190 Hosts 4.096 Hosts 2.046 Hosts 1.022 Hosts 510 Hosts 2 8 => 254 Hosts 2 7 => 126 Hosts 26 => 62 Hosts 2 5 => 30 Hosts 2 4 => 14 Hosts 23 => 6 Hosts 2 2 => 2 Hosts Bereich = Anzahl der Hosts + 2 (24 = 16 und 16-2 = 14 Hosts) Subnet und Hosts-Adressen mit NUR 0 oder 1 sind nicht erlaubt. Private Adressbereiche 0052 10.0.0.0/8 von 10.0.0.0 bis 10.255.255.254 von 172.16.0.0 bis 172.31.255.254 und 192.168.0.0/16 von 192.169.0.0 bis 192.168.255.254 Private Adressen sind im öffentlichen Netzwerk unsichtbar. Clients mit einer privaten IP-Adresse gelangen mittels eines NAT-Servers (Network Address Translation = Netzwerkadressübersetzung) in das Internet. NAT-Server können sein: Windows Server 2003 oder ein dediziertes Routinggerät Vereinfachte NAT-Dienste: ICS (Internet Connection Sharing) von Win XP und Server 2003 Hinweis 0053 Adressblock ist ein Satz einzelner IP-Adressen, die eine gemeinsame Netzwerkkennung haben. Alle Adressen in diesem Adressblock gehören zu einem einzelnem Netzwerk, es sei denn sie wurden später in Subnetze unterteilt. Prüfungstipp 0053 Standardgateway: Es hat die gleiche Netzwerkkennung und muss in der derselben Broadcastdomäne liegen wie der Client. Ein Host ohne Standardgateway kann keinen Computer außerhalb seines Broadcastbereiches erreichen. Es kann nicht ausserhalb vom lokalen Subnetz auf einen Host zugegriffen werden, wenn dieser Zielhost keinen Standardgateway hat (wichtig für einen Server, der nur die Clients seines Subnetzes bedienen soll). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 7 von 122 2.3. Lektion 3 Aufteilen von IP-Netzwerken in Subnetze Bei der Aufteilung in Subnetze handelt es sich um eine logische Unterteilung eines zugewiesenen Netzwerksadressraums durch Verlängern der1-Bits-Folge, die in der Subnetzmaske eines Netzwerkes verwendet werden. Die Subnetzkennung wird dabei aus der Hostkennung des zugewiesenen Netzwerkadressraumes abgezweigt. Hinweis 0074 Als Alternative zur Aufteilung in Subnetze werden VLAN-Switches (Virtual Local Area Network) immer beliebter, um Broadcastdatenverkehr in großen Netzwerken einzuschränken. Mit Hilfe von VLAN-Software, die alle VLAN-Switches im Netzwerk integriert, kann man Broadcastdomänen in beliebiger Weise entwerfen, unabhängig von der Hardwaretopologie des Netzwerks. Tipp 0076 Man kann die Bits in der Subnetzkennung auch auf andere Weise ermitteln. Zum Beispiel kann man erkennen, dass 255.255.255.0 genau 2 Bits von 255.255.255.252.0 entfernt ist. In diesem Fall ist b=2 und man kann den wert einfach in die Formel s=2^b einsetzen. Subnetting nach RFC 950 Subnetting nach RFC 950 128 64 32 16 8 128 1 0 0 0 0 192 1 1 0 0 0 224 1 1 1 0 0 240 1 1 1 1 0 248 1 1 1 1 1 252 1 1 1 1 1 254 1 1 1 1 1 255 1 1 1 1 1 Subnet und Hostadressen mit nur 0 oder nur 1 sind nicht erlaubt 4 0 0 0 0 0 1 1 1 2 0 0 0 0 0 0 1 1 1 0 0 0 0 0 0 0 1 Subnets Hosts 2 6 14 30 62 62 30 14 6 2 Prüfungstipp 0077 Falls in der Aufgabe lediglich gefordert würde, eine Subnetzmaske zu nennen, die genug Subnetze für die Anforderungen ihres Netzwerks bietet (etwa 16), könnten Sie einfach eine Subnetzmaske nennen, die 32, 64 128 oder mehr Subnetze erstellt. Damit die Antwort eindeutig ist, wird in der Frage normalerweise gefordert, „sparsam mit dem Netzwerkadressraum um zugehen“. Das ist das Zeichen, dass man eine Subnetzmaske wählen soll, die nicht mehr Subnetze erstellt als nötig. a) Berechnung der Anzahl der Bits für die Subnetzkennung (z.B. für 15 Netzwerke bei 255.255.255.0 als Netzwerkmaske der zugewiesenen Netzwerkkennung) 2b ≥ t t = 15 Weil 23 = 8 und 24 = 16 und 4 der kleinste Exponent ist, der einen Wert gleich oder größer 15 liefert. Ist b=4. b=4 b) Subnetzmaske in der Punkt-Dezimal-Konvention in die Schrägstrich-Konvention umrechnen. c) nint = next + b (int = interne Netzwerkmaskenbits, ext = externe Netzwerkmaskenbits (zugewiesen)) nint = 24 + 4 = 28 d) Für das interne Netzwerk steht die Netzwerkmaske 255.255.255.240 fest. Für die Hosts stehen somit nur 4 Bis zur Verfügung, demnach sind 24 -2 = 16 -2 = 14 Hosts möglich. Ermitteln der Adressblockgröße Manchmal muss man ermitteln, wie groß der Adressblock sein muss, damit eine vorgegebene Zahl von Subnetzen und Computern darin Platz findet. next = 32 – (b +h) (b = Netzmaskenbits und h = Hostbits des „internen“ Netzes) Prüfungstipp 0079 In der Prüfung ist immer die Subnetzmaske richtig, die nicht mehr Subnetze oder Hosts als nötig liefert. Also wie immer, nur soviel wie absolut nötig. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 8 von 122 Das Abschätzen von Subnetzadressbreichen Man benötigt zum Abschätzen die Subnetzmaske in der Punkt-Dezimal-Notation. Einfacher Bereiche beinhalten nur Oktette, also nur 255 oder 0. Ursprüngliche Subnetzmaske Interne Subnetzmaske (dem gesamten Adressblock zugewiesen) (Zum Aufteilen in Subnetze) 255.0.0.0 255.255.0.0 Subnetzadressbereiche (Beispiel) 10.0.0.0 - 10.0.255.255 10.1.0.0 - 10.1.255.255 10.2.0.0 - 10.2.255.255 255.255.0.0 172.16.0.0 - 172.16.0.255 172.16.1.0 - 172.16.1.255 172.16.2.0 - 172.16.2.255 255.255.255.0 Mittelschwere Bereiche Der Gruppenwert (g) bestimmt den Anfangswert für jeden Subnetzadressblock. Jeder Subnetzbereich beginnt mit einem Vielfachen von vom Gruppenwert (dazu gehört auch 0). 192.168.100.0 192.168.100.64 192.168.100.128 192.168.100.192 - 192.168.100.63 - 192.168.100.127 - 192.168.100.191 - 192.168.100.255 oder 10.100.0.0 - 10.100.15.255 10.100.16.0 - 10.100.31.255 10.100.32.0 - 10.100.47.255 10.100.48.0 - 10.100.63.255 Feststellen, ob 2 Adressen im selben Subnetz liegen: Liegen die Subnetzmasken /8, /16 oder /24 vor, braucht man nur die Werte der vordern 1,2 oder 3 Oktette vergleichen, ob 2 beliebige Adressen im selben Subnetz liegen. Wenn ihre Subnetzmaske ein Oktett mit einem Wert aus dem Zwischenbereich enthält, z. B. 192 oder 248, muss man eine kleine Rechnung wie folgt ausführen. a) Konvertieren sie die Subnetzmasken in die Punkt-Dezimal-Notation b) Berechnung von f1 und f2 f1 = [k1 / (256 -d)] - eventueller Rest f2 = [k2 / (256 -d)] - eventueller Rest mit d = Zwischenwert-Oktett c) Falls f1 = f2 ist, liegen beide Adressen im selben Subnetz, ansonsten sind sie in verschiedenen Subnetzen. Beispiel mit 192.168.100.200 mit Subnetzmaske 255.255.252.0 und 192.168.103.203 mit Subnetzmaske 255.255.252.0 d = 252 k1 = 100 k2 = 103 Berechnung: f1 = [100 / (256 - 252)] = [100 / 4] = 25 und Rest 0 f2 = [103 / (256 - 252)] = [103 / 4] = 25 und Rest 0,75 f1 = f2 = 25 (Rest wird nicht berücksichtigt!) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 9 von 122 Zusammenfassung der Lektion 2.3 0091 Unter Aufteilung in Subnetze (Subnetting) versteht man das Verfahren, wie man den Adressraum logisch unterteilt. Mit Hilfe der Subnetzaufteilung kann man den Netzwerkaufbau an eine verteilte Hardwaretopologie anpassen, den Broadcastverkehr in einem Netzwerk einschränken, die Sicherheit verbessern und die Netzwerkadministration vereinfachen. Mit der Formel s = 2b kann man die Zahl der Subnetze in einem gegebenen Netzwerk ermitteln, wobei s die Anzahl der Subnetze und b die Zahl der Bits in der Subnetzkennung. Mit der Formel c = 2(32-n) - 2 k kann man die Zahl der möglichen Hosts pro Subnetz berechenen, wobei c die Zahl der Computer ist, die in einem Subnetz Platz finden und n die Zahl der Bits in der Netzwerkkennung, die intern im Netzwerk benutzt wird. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 10 von 122 Zusammenfassung des Kapitels 2 0095 - TCP/IP bildet die Grundlage des Netzwerkbetriebes für die Windowsnetzwerke und das Internet. - Es umfasst ARP, IP und ICMP also Protokolle der Internetschicht und UDP und TCP als Protokolle der Transportschicht. - IP-Hostadressen müssen in jedem Netzwerk eindeutig sein. - Der vordere Teil einer IP-Adresse wird immer als Netzwerkadresse oder Netzwerkkennung verwendet, während der hintere Teil als Hostadresse interpretiert werden soll. - Mit der Formel 2h - 2 kann man ermitteln, wie viele Hosts in einem gegebenen Netzwerk Platz finden. Dabei steht h für die Anzahl der Bits in der Hostkennung. - Man kann ein Netzwerk in mehrere logische Subnetze aufteilen, in dem man die Netzwerkkennung, die einem Adressblock extern zugewiesen ist, für die interne Benutzung innerhalb der Organisation verlängern. Schlüsselinformationen Kapitel 2 0095 - Funktion des ARP-Befehls (arp -a [Anzeige der arp-Einträge], arp -d [Löschen des arp-Caches]) Die Daten bleiben standardmäßig 2 Minuten im ARP-Cache - Ports folgender Protokolle lernen: FTP (20, 21), HTTP (80), HTTPS/SSL (443), DNS (UDP 53), PPTP (1723), L2TP/IPSec (UDP 500, 1701 und 4500) - 20 = 1, 21 = 2, 22 = 4, 25 = 32, 26 = 64, 27 = 128, 28 = 256, 29 = 512, 210 = 1024, 211 = 2048 und 212 = 4096 - Konvertieren der Schrägstrichnotation und der Punkt-Dezimal-Notation einer Subnetzmaske - Bestimmen der Hostkapazität eines Netzwerkes - Bestimmen der Zahl der Subnetze pro Netzwerk - Bestimmung einer geeigneten Subnetzmaske für den Adressblock, wenn man die benötigte Anzahl von Hosts, Subnetzen oder beides kennt. - Abschätzen von Subnetzadressbereichen eines Netzwerkes durch Betrachten der Subnetzmaske in der PunktDezimal-Notation. - Feststellen, ob 2 Adressen im selben Subnetz liegen. Schlüsselbegriffe Kapitel 2 0096 ARP (Adress Resolution Protocol) In TCP/IP ein Protokoll, das logisch zugewiesene Adressen mit Hilfe von Broadcasts im lokalen Netzwerk in die dementsprechende Hardware bzw. MAC-Adressen auflöst. ICMP (Internet Control Message Protocol) ist ein notwendiges Wartungsprotokoll in der TCP/IP-Familie, das Fehler meldet und einfache Konnektivität ermöglicht. Das Dienstprogramm Ping setzt ICMP zur Durchführung der TCP/IP-Problembehandlung ein. Hostkennung ist der Teil der IP-Adresse, der einen bestimmten Host innerhalb eines Netzwerk identifiziert. Netzwerk-ID ist der Teil der IP-Adresse, der ein bestimmtes Netzwerk identifiziert. Broadcastdomäne ist ein physischer Abschnitt eines Netzwerkes, in dem alle Netzwerkgeräte Nachrichten empfangen, die an die Broadcastadresse 255.255.255.255 geschickt werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 11 von 122 3. Kapitel 3 Überwachung und Problembehandlung von TCP/IP-Verbindungen 3.1. Lektion 1 Analysieren des Datenverkehrs mit dem Netzwerkmonitor Der Netzwerkmonitor wird mittels des Assistenten für Windows-Komponenten installiert. Zusammen mit dem Netzwerkmonitor werden automatisch auch die Netzwerkmonitor-Treiber installiert. Installation erfolgt nur mit Rechten eines Administrators. Der Netzwerkmonitor ist ein softwarebasiertes Tool zur Analyse von Datenverkehr mit dem man folgende Aufgaben machen kann: - Sammeln von Rahmen direkt aus dem Netzwerk - Anzeigen und Filtern gesammelter Rahmen (unmittelbar im Anschluss an eine Sammlung oder zu einem späteren Zeitpunkt) - Bearbeiten gesammelter Rahmen und Übertragen dieser Rahmen über das Netzwerk (nur Vollversion) - sammeln von Rahmen auf einem Remotecomputer (nur Vollversion) Insidertipp 0114 In der Theorie besteht ein gewaltiger Unterschied zwischen der Basis- und der Vollversion (extra kaufen). In der Basisversion kann nur der Nachrichtenaustausch auf dem lokalen Computer gesammelt werden, während in der Vollversion sämtlicher Datenverkehr zwischen den Computern im gesamten Netzwerksegment gesammelt werden kann. Diese Unterscheidung gilt nur für Netzwerke, welche ausschließlich Hubs verwenden. Heutige Netzwerke verwenden dagegen Switches ein, welche die Rahmen nur an die Empfängercomputer weiterleiten. Somit wird die Vollversion in ihrer Funktionalität sehr eingeschränkt und es gibt keine Vorteile gegenüber der Basisversion. Netzwerkmonitor Netzwerkmonitor Funktion (Basisversion) (Vollversion) -------------------------------------------------------------------------------------------------------------------- ---------------nur Datenverkehr, alle Geräte Lokales Sammeln von und zu dem im gesamten Host, auf dem der NetzwerkNetzwerkmonitor segment läuft nicht verfügbar ja Sammeln im Remotebetrieb nicht verfügbar ja Bestimmen des Benutzers mit dem höchsten Bandbreitenbedarf nicht verfügbar ja Bestimmen des Protokolls mit dem höchsten Bandbreitenbedarf nicht verfügbar ja Bestimmen der Geräte, die als Router fungieren. nicht verfügbar ja Auflösen eines Gerätenamens in eine MAC (Media Access Control)Adresse nicht verfügbar ja Bearbeiten und erneutes Übertragen von Datenverkehr im Netzwerk Prüfungstipp 0119 mit dem Netzwerkmonitor können bestimmte Details wie die MAC-Adresse einer Netzwerkkarte, die GUID eines Clientcomputers oder der vom Protokoll verwendeten Port ermittelt werden, die normalerweise nicht mehr bekannt sind, weil die Handbücher nicht mehr aufzufinden sind. Netzwerkmonitor und das OSI-Modell OSI-Modell TCP/IP-Modell Anwendungsschicht Darstellungsschicht Sitzungsschicht Anwendungsschicht Transportschicht Transportschicht Vermittlungsschicht Internetschicht Sicherungsschicht Physische Schicht Verbindungsschicht Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 12 von 122 Prüfungstipp 0123 Beachten Sie für die Prüfung, dass NetBT ein Beispiel für eine Schnittstelle auf der Sitzungsschicht ist. Tipp 0125 Wenn der Sammlungspuffer (Standard 1 MB, Maximalgröße = 935 MB) voll ist, verwirft der Netzwerkmonitor einfach alle weiteren Rahmen. Bei Standardeinstellungen der Rahmengröße generiert für eine normale Netzwerkanmeldung der Netzwerkmonitor (bei Standardrahmengröße) etwa 80 Kbyte. Prüfungstipp 0126 Einsatzszenarien des Netzwerkmonitors: Erkennen von Denail-of-Service-Angriffen und Rouge-Servern (z. B. nicht autorisierten DHCP-Servern). Prüfungstipp 0126 Einbinden des Parsers in %Windir%\System32\Netmon\Parsers und Eintragung des neuen Parsers in der Datei Parser.ini in %Windir%\System32\Netmon. Der Netzwerkmonitor zeichnet alles vom Beginn des Rahmens auf, bis der Wert für die Rahmen Größe erreicht ist. Der kleinste Rahmenwert ist 64 Byte und der maximale Wert (Standardeinstellung Full) 65.535 Byte. Man ändert die Rahmengröße wie folgt: Menü Sammeln -> Puffereinstellungen -> Sammlungspuffereinstellungen => Rahmengröße [Byte]. Modus „Nur sammeln“ wird verwendet, falls Rahmen verschluckt werden. Dabei werden keine Statistiken angezeigt, sondern nur gesammelt. Menü Sammeln => Nur sammeln. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 13 von 122 3.2. Lektion 2 Problembehandlung von TCP/IP-Verbindungen Dienstprogramme: ipconfig /all Netzwerkdiagnose Netdiag Tracert PhatPing für Überprüfung der TCP/IP des Computers grafisches Tool zur Problembehandlung in der Windows Server 2003- Oberfläche (Startmenü -> Hilfe- und Support -> Supportaufgaben -> Hilfe und Support Center -> Tools => Netzwerkdiagnose (System überprüfen)) Befehlszeilendiagramm aus dem Ordner \Support\Tools\Sup-Tools.msi (Supporttools) Netcard Queries Tests Domain Membership Test NetBT Name Test WINS Service Test DNS Test Bindings Test WAN Configuration Test IP Security Test dient dem Nachverfolgen von Routen über maximal 30 Abschnitte (schnelles Feststellen, wo die Unterbrechung ist) dient zum Ermitteln von Paketverlusten bzw. Verzögerungen einer Routingstrecke Hinweis 0138 Vorgehensweise bei der Fehlersuche 1) Ping auf die Loopbackadresse, um sicherzustellen dass TCP/IP auf dem lokalen Computer installiert und richtig konfiguriert ist. ping 127.0.0.1 Bei Fehlschlag antwortet der IP-Stapel nicht (TCP-Treiber beschädigt oder defekter Netzwerkadapter oder ein anderer Dienst hat Konflikt mit IP) 2) Ping auf die IP-Adresse des lokalen Computers, um festzustellen, dass die richtige IP-Adresse hinzugefügt wurde. 3) Ping auf IP-Adresse des lokalen Standardgateways auführen. Überprüfung, ob man mit einem anderen Computer kommunizieren kann und ob der Standardgateway erreichbar ist. 4) Ping auf die IP-Adresse eines Remotehosts hinter dem Standardgateway Kontrolle ob der Computer Hosts außerhalb des eigenen Netzwerksegmentes erreichen kann. 5) Ping auf den FQDN-Hostnamen eines Remotehosts hinter dem Standardgateway. Kontrolle der DNS-Namensauflösung. 6) Ausführen einer PathPing-Analyse auf einen Remotehost (pathping >IP-Adresse des Remotehosts>), um die Routerleistung zu überprüfen. Schneller, aber ohne Routerleistungsüberprüfung, geht es mit tracert. Hinweis 0139 Wenn der Ping auf das Remotesystem über eine Verbindung mit großer Verzögerung (z. B. Satellitenverbindung) erfolgtkönnen die Antworten einige Zeit in Anspruch nehmen. Mit dem Parameter -w kann ein längeres Timeout angegeben werden. Mit dem Befehl ping -w 2000 172.16.48.11 wird beispielsweise vor dem Timeout 2 Sekunden gewartet. Die Standardeinstellung lautet 1 Sekunde (1000 Millisekunden). Prüfungstipp 0139 Verwenden Sie Tracert, um schnell die Stelle zu bestimmen, an der die im Verbindungspfad zu einem RemoteStandort eine Unterbrechung auftritt. Pathping ist nützlicher, um bei vorhandener Konnektivität, die Stelle zu finden, an der Paketverluste oder große Verzögerungen auftreten. Um heraus zu finden, ob der Datenverkehr wegen einer fehlerhaften Proxy-ARP-anforderung des Routers fehl schlägt, dann benutzt man das Dienstprogramm ARP. arp -a Kontrolle, ob die Computer über die richtigen MAC-Adressen des jeweiligen Gegenübers verfügen (z.B. nach Austausch einer Netzwerkkarte). arp -d Löschen falscher arp-Einträge. arp -s Hinzufügen neuer ARP-Einträge Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 14 von 122 Zusammenfassung der Lektion 3.2 0144 - Netzwerkdiagnose ist ein grafisches Tool zur Problembehandlung, das detaillierte Infos über die Netzwerkkonfiguration eines lokalen Computers liefert (Zugriff über Hilfe- und Supportcenter). - Netdiag ist ein befehlszeilenorientiertes Diagnose-Tool für Tests auf den lokalen Rechner. - Ping ist gut für Test der Konnektivität auf IP-Ebene und Pathping ist gut für Ermittlung von Paketverlusten bei Übertragungen über mehrere Abschnitte. - Problembehandlung einer Verbindung: Ping auf Loopbackadresse, Ping auf lokale IP-Adresse, Ping auf Standardgateway, Ping auf IP-Adresse des Remotehost hinter dem Router und am Ende den Remotehost mir seinem FQDN-Namen anpingen. - Tracert ist zu verwenden, wenn die Verbindung zu einem Remotecomputer unterbrochen ist. Es dient dem Nachverfolgen von Datenpaketen von Router zu Router über maximal 30 Abschnitte. Genaue Ermittlung der Stelle, wo die Unterbrechung der Verbindung erfolgt (welcher Router ausgefallen ist). - Wenn man einen Ping auf die Loopbackadresse (127.0.0.1), auf die eigene IP-Adresse und auf das Standardgateway ausführen können, aber keinen Ping auf einen Computer im lokalen Subnetz, muss anschließend der ARP-Cache auf Fehler überprüft werden. - Wenn Sie keinen erfolgreichen Ping auf die IP-Adresse eines Computers im lokalen Netzwerk ausführen können und mit dem Befehl arp -a keine Fehler in den Hardwareadresszuordnungen ermittelt werden, müssen Sie die physischen Medien wie LAN-Karten, Hubs, Switches, und Kabel nach Fehlern untersuchen. Zusammenfassung Kapitel 3 0147 - Netzwerkmonitor als Protokollanalyseprogramm benutzt man um böswillige Server, DoS-Angriffe, offene Ports bei Routern zu ermitteln. - Ipconfig /all dient dem Abrufen der IP-Adresse, der Subnetzmaske und des Standardgateways und zusätzlich noch der Daten der einzelnen Netzwerkadapter. Schlüsselinformationen Kapitel 3 0148 - Mit dem Netzwerkmonitor können Sie Bedrohungen für das Netzwerk erkennen und diagnostizieren, zum Beispiel böswillige Server und DoS-angriffe. - Prägen Sie sich die erweiterten Features des Netzwerkmonitors ein, z. B., wie Sie die Puffer- oder Rahmengröße verändern und wie Sie den Modus aktivieren, in dem das Tool nur Daten aufzeichnet. - Denken Sie daran, dass Sie für die Problembehandlung einer Verbindung Pings auf andere Hosts in einer bestimmten Reihenfolge ausführen müssen: die Loopbackadresse, die lokale IP-Adresse, das Standardgateway, die Ip-adresse eines Remotehosts und den Namen (FQDN) eines Remotehosts. Schlüsselbegriffe Kapittel 3 0149 Parser Eine DDL, die Nachrichten eines bestimmten Protokolls liest und analysiert, die im Netzwerk gesammelt werden. Pathping Dient als Befehlszeilentool zur Ermittlung von Paketverlusten. Netdiag Befehlszeilentool, als Bestandteil der Supporttools auf der Windows Server 2003-DVD, liefert detaillierte Infos über die Netzwerkkonfiguration des lokalen Computers. GUID (Globaly Unique Identifier) Ein 16-Byte-Wert, der aus einer eindeutigen Kennung eines Gerätes, dem aktuellen Datum und der Uhrzeit sowie einer Sequenznummer generiert wird. Mit einer GUID kann ein bestimmtes Gerät oder eine bestimmte identifiziert werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 15 von 122 4. Kapitel 4 Konfigurieren von DNS-Servern und -Clients 4.1. Grundlagen der Namensauflösung in Windows Server 2003 Hinweis 0155 Bei NetBIOS handelt es sich eigentlich nicht um ein Namensystem, sondern um eine Schnittstelle zur Anwendungsprogrammierung (Application Programming Interface, API), die in älteren MS-Netzwerken eingesetzt wird und Computern die Herstellung von Verbindungen und eine Kommunikation ermöglicht. Benennung und Namensauflösung bilden zwei der Dienste, die von NetBIOS bereitgestellt werden. Hinweis 0156 Der DNS-Clientdienst wird auch als Auflösung oder Resolver bezeichnet. Vergleich von NetBIOS- und DNS-Namen NetBIOS-Computername Typ flach zulässige Zeichen Unicodezeichen, Zahlen, Leerstellen und die folgenden Symbole wie: ! @ # $ % ^& ‚ ) ( . - _ {} ~ Maximale Länge 15 Zeichen Namens-Dienst WINS NetBIOS-Broadcast Datei: Lmhosts DNS-Computername hierarisch A-Z, a-z, 0-9 und der Bindestrich (-). Der Punkt (.) ist für einen besonderen Zweck reserviert. 63 Bytes pro Bezeichnung und 255 Bytes pro FQDN DNS Datei: Hosts Prüfungstipp 0158 Nbtstat -c listet die Namen im lokalen Cache für NetBIOS-Namen auf Nbtstat -R Leert den lokalen Cache für NetBIOS-Namen Insidertipp 0158 Auch in Netzwerken, die nicht auf NetBIOS angewiesen sind, kann NetBIOS nur schwer vermieden werden. Die Bequemlichkeit der broadcastbasierten Namenauflösung (wenn auch nur als Reserve für DNS) oder der Netzwerksuche über den Knoten Microsoft Windows-Netzwerk kann kaum überboten werden. Man sollte es aus sicherheitstechnischen Gründen deaktivieren. Zusammenfassung Lektion 4.1 0162 - In Windows 2003 Server 2003-Netzwerken werden gewöhnlich 2 Arten von Computernamen verwendet: DNS-Namen und NetBIOS-Namen. Beide Namenstypen benötigen eigene Mechanismen für die Auflösung in IP-Adressen. - NetBIOS-Namen und NetBIOS-Protokoll sind für Windows NT-Domänen, Arbeitsgruppen vor Win. 2000 und für die Kompatibilität mit bestimmten Netzwerkdiensten wie dem Computerbrowser erforderlich. DNS-Namen und das DNS-Protokoll werden für die Aktiv Directory-Domänen und die Kompatibilität mit dem Internet oder mit Intranets benötigt. - Zur Auflösung von Computernamen unternimmt der DNS-Clientdienst in Windows Server 2003 zunächst den Versuch einer DNS-Namensauflösung, bevor er die NetBIOS Namensauflösung einsetzt. - NetBIOS-Namen und DNS-Namen basieren auf dem Namen, der einem Computer im Dialogfeld Systemeigenschaften zugewiesen wird. Wenn ein Computername zugewiesen wird, der mehr als 15 Zeichen lang ist, verwendet NetBIOS eine Version des Namens, die auf 15 Zeichen gekürzt ist. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 16 von 122 4.2. Lektion 2 Grundlagen von DNS in Windows Server 2003-Netzwerken Die Struktur von DNS Das DNS-Namensystem ist eine hierarchische und logische Baumstruktur, die als DNS-Namenspace bezeichnet wird. Der DNS-Namenspace enthält einen eindeutigen Stamm (negl. root), der beliebig viele untergeordnete DNS-Domänen haben kann, die wiederum weitere untergeordnete DNS-Domänen enthalten können. Jeder Knoten in der DNS-Domänenstruktur kann anhand eines FQDNs eindeutig identifiziert werden. Die ICANN (Internet Corporation for Assignet Names and Numbers) verwaltet den DNS-Stamm des Internets. Es gibt drei Formen von Top-Level-Domänen: Strukturdomänen lassen sich vom Hauptbetätigungsfeld einer Firma herleiten. Geografische Domänen sind die Domänen, welche mit Länderkennungen benannt wurden (z.B. de. ru.). Reverse-Domänen sind spezielle Domänen mit der Bezwichnung in-addr.arpa, die für die Zuordnung von Namen zu IP-Adressen (Reverse-Lookups) verwendet werden. Wichtig 0165 Die aktuellen Informationen über neue Top-Level-Domänen findet man unter http://www.icann/tlds. DNS-Server Sie enthalten DNS-Datenbankinformationen über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur und verarbeiten Abfragen zur Namensauflösung, die von DNS-Clients übermittelt werden. Bei einer Abfrage stellen die DNS-Server die angeforderten Informationen bereit, liefern einen Zeiger auf einen anderen Server, der die Auflösung der Abfrage unterstützen kann, oder melden in einer Antwortnachricht, dass die Informationen nicht verfügbar oder vorhanden sind. Ein DNS-Server ist für eine Zone autorisierend, wenn er die Zone entweder als primärer oder als sekundärer DNS-Server hostet. Ein DNS-Server ist für DNS-Domäne autorisierend, wenn er nicht mit zwischengespeicherten Informationen, sondern mit lokal konfigurierten Ressourcebeinträgen arbeitet, um Abfragen über Hosts in dieser DNS-Domäne zu beantworten. Derartige Server definieren ihren eigenen Abschnitt des DNS-Namenspaces. DNS-Server können für eine oder mehrere Ebenen der Domänen-Hierachie autorisierend sein. DNS-Zonen Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namespaces, für den ein Server autorisierend ist. Zusammenhängende DNS-Domänen wie .com, kuckuck.com und ups.kuckuck.com können mithilfe der Delegierung in separate Zonen unterteilt unterteilt werden. Durch die Delegierung wird die Zuständigkeit für eine untergeordnete Domäne innerhalb des DNS-Namenspaces einer eigenständigen Einheit zugewiesen. Zonendateien enthalten Ressourceneinträge für die Zonen, für die ein Server autorisierend ist. DNS-Auflösungen Bei einer DNS-Auflösung (resolver) handelt es sich um den DNS-Clientdienst, der mithilfe des DNS-Protokolls Informationen von DNS-Servern abfragt. Ressourceneinträge Es sind Einträge in der DNS-Datenbank, die zur Beantwortung von DNS-Clientabfragen verwendet werden. Es gibt folgende Eintragstypen wie Hostadresse (A), Alias (CNAME), Mail-Exchanger (MX), Server (SVR) und einige mehr. Prüfungstipp 0170 In der Prüfung sollten Sie den Begriff Rekursion einfach als Kontaktieren anderer DNS-Server durch einen DNS-Server ansehen, wenn dieser eine Abfrage nicht selbst beantworten kann. Die Iteration bildet keinen Bestandteil der Prüfung. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 17 von 122 Antworttypen auf Abfragen Autorisierende Antwort ist eine positive Antwort, die mit gesetztem Autoritätsbit in der DNS-Nachricht an den Client übermittelt wird. Das Autoritätsbit zeigt an, dass die antwort von einem Server Stammt, der für den abgefragten Namen direkt autorisierend ist. Positive Antwort enthält den Ressourceneintrag, der mit dem abgefragten Namen und dem Eintragstyp übereinstimmt, die in der ursprünglichen Abfragenachricht angegeben sind. Verweisende Antwort enthält zusätzliche Ressourceneinträge, die in der Abfrage nicht anhand des Namen oder des Typs angegeben sind. Wird übermittelt, wenn der Rekursionsvorgang vom DNS-Server nicht unterstützt wird, d.h. z.B. nur Aliase wie www vorliegen und nicht ein A-Eintrag. Der Client kann damit selbst eine Iteration durchführen. Negative Antwort vom DNS-Server deutet darauf hin, dass eines von 2 möglichen Ergebnissen eingetreten ist, während der Server versuchte, die Abfrage zu verarbeiten und mithilfe der Rekursion vollständig und autorisierend zu beantworten: - Ein autorisierter Server hat gemeldet, dass der abgefragte Name nicht im DNS-Namespace vorhanden ist. - Ein autorisierter Server hat gemeldet, dass der abgefragte Name zwar vorhanden ist, aber keine Einträge des angegeben Typs für diesen Namen verfügbar ist. Tipp 0173 Sobald Sie einen Eintrag zur Datei Hosts im Ordner %Windir%\System32\Drivers\Etc hinzufügen, wird dieser umgehend in den DNS-Auflösungs-Cache (DNS-Clientcache) geladen. Hinweis 0174 Mit dem Konsolenbefehl dnscmd /clearcache dem Verwaltungstool für den DNS-Server von den WindowsSupporttools (Windows Server 2003-CD) kann man den DNS-Servercache löschen. Der TTL-Wert (Time-to-Live, Gültigkeitsdauer) für die zwischengespeicherten Ressourceneinträge im DNSAuflösungscache und im DNS-Servercache ist standardmäßig 3600 Sekunden groß (1 h). Das DNS setzt mehrere Stufen der Zwischenspeicherung ein, um die Effizienz und Leistung zu erhöhen. Falls Abfragen mittels zwischengespeicherter Informationen aufgelöst werden, hat diese Methode den Nachteil, dass eine Änderung in DNS nicht umgehend an die Clients weitergereicht wird. Zusammenfassung der Lektion 4.2 0175 - Der DNS-Namenspace ist hierarchisch aufgebaut und basiert auf einem eindeutigen Stamm, der beliebig viele untergeordnete DNS-Domänen enthalten kann. - Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namenspaces, für den ein Server autorisierend ist. Ein Server kann für eine oder mehrere Zonen autorisierend sein, während eine Zone eine oder mehrere zusammenhängende DNS-Domänen enthalten kann. Ein DNS-Server ist erst dann für eine Zone autorisierend, wenn er die Zone entweder als primärer oder als sekundärer DNS-Server hostet. Jede DNS-Zone enthält die Ressourceneinträge, die erforderlich sind, um Abfragen bezüglich ihres Abschnitts des DNS-Namenspaces zu beantworten. - Der DNS-Clientdienst bzw. die Auflösung unternimmt als erstes den Versuch, Computernamen mithilfe lokal zwischengespeicherter Informationen aufzulösen, die auch den Inhalt der Datei %Windir%\System32\Drivers\Etc\Hosts umfassen. Wenn der Name im Cache nicht gefunden werden kann, fragt die Auflösung (resolver) einen DNS-Server ab. Wenn der DNS-Server den Namen nicht über seine autorisierenden Einträge oder mithilfe seines lokalen Caches auflösen kann, setzt er standardmäßig Rekursion ein, um den Namen für den Client aufzulösen. - Bei der Rekursion handelt es sich um einen Vorgang, bei dem ein DNS-Server andere DNS-Server im Auftrag des DNS-Clients abfragt. Um die Rekursion ordnungsgemäß durchzuführen, benötigt der DNS-Server Informationen über den Startpunkt für die Suche nach Namen im DNS-Namensraum. Diese Informationen werden mit der Datei Cache.dns bereitgestellt, die auf dem Servercomputer im Verzeichnis %Windir%\System32\dns\ gespeichert ist. - Ein TTL-Wert ist für alle zwischengespeicherten Ressourceneinträge wirksam. Solange der TTL-Wert für einen zwischengespeicherten Ressourceneintrag nicht abgelaufen ist, kann dieser Eintrag weiterhin von einem DNS-Server zur Beantwortung von Anfragen verwendet werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 18 von 122 4.3. Lektion 3 Bereitstellen von DNS-Servern Hinweis 0177 Alternativ zum Hinzufügen der Funktion DNS-Server (Startmenü -> Serververwaltung => Funktion hinzufügen oder entfernen) kann der DNS-Serverdienst über das Systemsteuerungsapplet Software installiert werden. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, und öffnen Sie die Komponente Netzwerkdienste und installieren da die Unterkomponente DNS-Server. Hinweis 0181 Sie können in einem DNS-Namensraum einen Stammserver erstellen, indem Sie eine Zone mit der Bezeichnung „.“ (nur ein einzelner Punkt) bilden. Wenn Sie diesen Schritt durchführen, kann der Server nicht mehr für die Rekursion oder die Weiterleitung von Abfragen an einen anderen Namenserver konfiguriert werden. Prüfungstipp 0182 Damit Sie die Prüfungsfragen richtig beantworten können, müssen Sie wissen, wie Sie Forward- und auch die Reverse-Lookupzonen erstellen. Prozeduren zum Erstellen von Forward-Lookupzonen erkennen Sie daran, dass gefordert wird, dass eine DNSDomäne auf einem bestimmten Server erstellt und gespeichert werden soll. Prozeduren zum Erstellen von Reverse-Lookupzonen erkennen Sie daran, dass gefordert wird, dass ein DNSServer IP-Adressen in Hostnamen auflösen soll (vorzugsweise für Netzwerkanalyse). Zonentypen Primäre Zone stellt als Typ ein autorisierendes, änderbares Exemplar der Zonendaten zur Verfügung. Sie dienen als Quelle für die Originaldaten, die an andere Zonen übertragen werden können. Wenn eine primäre Zone als Standardzone konfiguriert ist, ist diese primäre Zone die einzigste primäre Zone für die Zonendaten. Wenn Sie eine primäre Zone so konfigurieren, dass sie ihre Daten in Active Directory speichert, können Sie mehrere primäre Zonen für dieselben Zonendaten erstellen (DNS-Server muss auf einem AD-DC laufen). Sekundäre Zone stellt ein autorisierendes, schreibgeschütztes Exemplar einer primären Zone oder einer anderen sekundären Zone zur Verfügung. Sekundäre Server bieten eine Möglichkeit, den DNS-Abfrageverkehr in Bereiche des Netzwerks zu verlagern, in denen die Zone sehr häufig abgefragt und verwendet wird. Zudem stellt ein sekundärer DNS-Server, wenn der primäre Server offline ist, Namensauflöungsdienste in der Zone bereit, bis der primäre Server verfügbar ist. Server, von denen sekundäre Server Zoneninformationen abrufen, werden als Master bezeichnet und können sowohl primäre Server oder sekundäre Server sein. Sekundäre Server sollten möglichst nahe bei den Clients platziert sein. Stubzone ist eine Teilkopie einer anderen Zone und enthält nur Ressourceneinträge und enthält ausschließlich aktuell gehaltene Einträge über DNS-Server für eine autorisierte primäre oder sekundäre Zone. Standardzonen speichern im Gegensatz zu Active-Directory-integrierten Zonen ihre Daten in Textdateien auf dem lokalen DNS-Server. Primäre, sekundäre und Stubzonen werden alle standardmäßig als Standardzonen erstellt. Bei Standardzonen können Sie nur ein einzigstes änderbares (primäres) Exemplar der Zonendaten konfigurieren. Das Standardzonenmodel bietet somit eine schlechte Fehlertoleranz, weil aufgrund eines einzigsten Fehlers das gesamte Namenauflösungssystem für die Zone beeinflusst werden kann. Falls der primäre DNS-Server ausgefallen ist, können keine Änderungen an der Zone vorgenommen werden. Active-Directory-integrierte Zone speichert ihre Daten in Active Directory und Sie können mehrere änderbare (primäre) Exemplare der Zonendaten konfigurieren. Auch werden nur die Änderungen durch das gesamte Active Directory repliziert, statt ganzer Zonendateien Somit hält sich die Netzwerklast sehr in Grenzen. Es verbessert die Fehlertoleranz, weil standardmässig jeder Domänencontroller in der Domäne ein änderbares Exemplar der Zonendaten speichert (auch wenn kein DNS-Dienst auf einem DC läuft). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 19 von 122 Server für Zwischenspeicherungen hosten keine Zonen und sind auch für keine DNS-Zone autorisierend. Die enthaltenen Informationen sind ausschließlich auf die Informationen beschränkt, die bei der Auflösung von Abfragen zwischengespeichert wurden. Da keine Zonenreplikation stattfindet, ist er für einen Einsatz bei langsamen WAN-Verbindungen geeignet, da keine zusätzliche Netzwerklast auftritt. Der Namensauflösungs-Datenverkehr nimmt langsam ab, bis der Zwischenspeicher einmal erstellt wurde. Er ermöglicht eine lokale DNS-Funktionalität ohne Verwaltung von DNS-Domänen oder Zonen. Tipp 0185 Installieren Sie einen Server für Zwischenspeicherungen, wenn Sie den Datenverkehr für die Namensauflösung über WAN-Verbindungen minimieren müssen, ohne den Datenverkehr für Zonenübertragungen zu erweitern. Host (A) Eintrag kann auf drei verschiedene Arten erstellt werden: - Mit Hilfe der DNS-Konsole oder einem Supporttool DnsCmd kann ein A-Ressourceneintrag für ein statischen TCP/IP-Clientcomputer manuell erstellt werden. - Computer mit Windows 2000, XP oder Server 2003 verwenden den DHCP-Clientdienst, um die eigenen A-Ressourceneinträge dynamisch in DNS zu registrieren und zu aktualisieren. - DHCP-fähige Clientcomputer mit früheren Versionen von MS-Betriebssystemen können einen Proxy veranlassen, ihre A-Ressourceneinträge zu registrieren und zu aktualisieren, wenn sie ihre IP-Lease von einem entsprechenden DHCP-Server (Dynamic Host Configuration Protocol) erhalten. - Beispiel: server1 A 172.16.48.1 Hinweis 0188 Wenn Sie einen Computer mit Ping unter der Angabe einer IP-Adresse, aber nicht eines Namen erreichen, fehlt in DNS unter Umständen ein A-Ressourceneintrag für diesen Computer oder der DNS-Server ist nicht erreichbar. Sollte er erreichbar sein, sollte man beim Clientcomputer (Windows 2000, XP oder Server 2003) den Befehl ipconfig /registerdns ausführen. Prüfungstipp 0188 Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie Host (A)-Einträge anlegen. Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass Benutzer in der Lage seinen sollen, eine Verbindung zu einer gegebenen Adresse unter Angabe eines bestimmten Namens herzustellen. Alias (CNAME)-Ressourceneinträge werden auch als kanonische Namen bezeichnet und ermöglichen die Verwendung von mehr als einen Namen als Verweis auf einen einzelnen Host (A-Hosteintrag). Als Einsatzindikatoren wären zu erwähnen: - Wenn ein Host, der in einem A-Ressourceneintrag derselben Zone angegeben ist, umbenannt werden muss. - Wenn ein Server ausrangiert wurde, können Sie mithilfe eines CNAME-Eintrags Abfragen, die an den alten Server gerichtet waren, auf den neuen Server umleiten. - Wenn ein generischer Name für einen wohlbekannten Server wie www in eine Gruppe einzelner Computer mit jeweils separaten A-Ressourceneinträgen aufgelöst werden muss, die denselben Dienstbereitstellen (zum Beispiel eine Gruppe redundanter Webserver). - Beispiel: ftp CNAME server1.cont.de Prüfungstipp 0189 Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie Alias (CNAME)-Einträge anlegen. Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass Benutzer in der Lage sein sollen, eine Verbindung zu einem gegebenen Server unter Angabe von (zwei oder mehr) beliebigen Namen herstellen (zum Beispiel server1.cont.de und svr1.cont.de). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 20 von 122 MX-Ressourceneinträge werden als Mail-Exchanger-Ressourceneinträge von E-Mail-Anwendungen zum Auffinden eines Mailservers in einer Zone eingesetzt. Auf diese Weise kann ein Domänenname wie cont.de, der die E-Mail-Adresse [email protected] enthalten ist, dem A-Ressourceneintrag eines Computers zugeordnet werden, der den Mail-Server für die Domäne cont.de hostet. In vielen Fällen werden mehrere MX-Einträge erstellt, um Fehlertoleranz und Failover auf andere Mailserver breit zu stellen, Bei Einsatz von mehreren Mailservern, wird ein Wert für die Serverpriorität verwendet, wobei der niedrigste Wert dem der höchsten Priorität entspricht ( 1 = höchste Priorität). - Beispiel: @ MX 1 mailserver1.cont.de @ MX 10 mailserver2.cont.de @ MX 20 mailserver3.cont.de @ MX 30 mailserver4.cont.de Hinweis 0189 In diesem Beispiel steht das @-Zeichen für den Namen der lokalen Domäne, der in einer E-Mail-Adresse enthalten ist. Prüfungstipp 0189 Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie MX-Einträge anlegen. Sie müssen auch wissen, wie Sie mehrere MX-Einträge mit unterschiedlichen Prioritäten anlegen, wie im obigen Beispiel gezeigt. Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass die Mail beim ersten Versuch an einen bestimmten Mailserver geliefert werden soll, an einen zweiten Mailserver, falls der erste nicht zur Verfügung steht, und an einen dritten Mailserver, falls der zweite (und der erste) nicht zur Verfügung steht. Denken Sie daran, dass kleinere Zahlen für eine höhere Serverpriorität stehen. PTR-Ressourceneinträge werden als Zeiger nur in Reverse-Lookupzonen verwendet, um ReverseLookupvorgänge zu unterstützen, mit deren Abfragen zur Auflösung von IP-Adressen in Hostnamen und FQDNs durchgeführt werden. Reverse-Lookups werden in Zonen vorgenommen, deren Stamm die Zone in-addr.arpa bildet. PTR- Ressourceneinträge werden mit denselben manuellen und automatischen Methoden zu Zonen hinzugefügt, die auch für die A-Ressorceneinträge eingesetzt werden. - Beispiel: 1 PTR server1.cont.de Hinweis 0190 In diesem Beispiel ist die 1 der Name, der dem Host in der Domäne 172.16.48.in-addr.arpa zugeordnet ist. Diese Domäne, die auch den Namen der hostenden Zone ist, entspricht dem Subnetzt 172.16.48.0. Prüfungstipp 0190 Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie PTR-Einträge anlegen. Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass die Adresse eines gegeben Computers in einen bestimmten Namen aufgelöst werden soll (z. B. 172.16.48.1 in server1.cont.de). SVR-Ressourceneinträge (Dienstidentifizierung) werden verwendet, um die Position bestimmter Dienste in einer Domäne anzugeben. SRV-fähige Clientanwendungen können DNS einsetzen, um die SRV-Ressourceneinträge für bestimmte Anwendungsserver abzurufen. Windows Server 2003-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung. Der Anmeldedienst verwendet SVR-Einträge zur Lokalisierung von Domänencontrollern in einer Domäne, indem die Domäne nach dem LDAP (Lightweight Directory Access Protocol)-Dienst durchsucht wird. Server, welche Drucker-Dienste hosten, haben keinen SVR-Eintrag sondern einen A-Ressourceneintrag. Wenn ein Computer einen Domänencontroller in der Domäne cont.de ermitteln muss, sendet der DNS-Client eine SVR-Abfrage nach dem folgenden Namen: _ldap._tcp.cont.de . Obwohl die Mehrzahl der SVR-Einträge automatisch erstellt wird, müssen Sie sie unter Umständen über die Konsole DNS erstellen, um Fehlertoleranzen zu gewährleisten oder Probleme mit Netzwerkdiensten zu beheben: _ldap._tcp SRV 0 0 389 dc1.cont.de SRV 10 0 389 dc2.cont.de In diesem Beispiel ist dem Port 389 auf dem Host dc1.cont.de ein LDAP-Server (Domänencontroller) mit der Priorität 0 (der höchsten Priorität) zugeordnet. Ein zweiter DC mit der niedrigeren Priorität 10 ist dem Port 389 auf dem Host dc2.cont.de zugeordnet. Beide Einträge haben im Feld Gewichtung den Wert 0, so dass kein Lastenausgleichzwischen Servern gleicher Priorität konfiguriert wurde. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 21 von 122 Tipp 0190 Sämtliche SRV-Einträge, die für einen Active Directory-Domänencontroller erforderlich sind, sind in einer Datei mit der Bezeichnung Netlogon.dns enthalten, die im Ordner %Windir%\System32\Config gespeichert ist. Wenn in Ihrer Domäne SVR-Ressourceneinträge fehlen, können Sie sie automatisch neu laden, in dem Sie an der Befehlszeile den Befehl Netdiag /fix ausführen (Netdiag.exe ist ein Supporttool auf der Windows Server 2003-CD). Prüfungstipp 0191 Löschen des DNS-Servercaches: Konsole DNS => Cache löschen Befehlszeile: dnscmd /clearcache (Supporttools) Anzeige des DNS-Server-Caches: Ändern des DNS-Ansichtmodus auf erweiterte Ansicht und dann siehe Ordner zwischengespeicherte Lookupvorgänge. Zusammenfassung der Lektion 4.3 0197 - DNS-Server sind für die Zonen autorisierend, die sie hosten. Forward-Lookupzonen beantworten Abfragen für IP-Adressen (DNS-Namen in IP-Adressen), während Reverse-Lookupzonen der Beantwortung von Abfragen für FQDNs (IP-Adresse in DNS-Namen) dienen. - Primäre DNS-Zonen speichern die ursprünglichen Quelldateien für Zonen und sind änderbar. In Windows 2003 können primäre Zonen auf zweierlei Weise implementiert werden: a) primäre Standardzone, bei der die Zonendaten in einer Textdatei gespeichert werden b) Aktive-Directory-integrierte Zone, bei der die Zonendaten in einer Acitive Directory-Datenbank abgelegt werden - Sekundäre Zonen sind Standardzonen, die schreibgeschützte Kopien der Zonendaten speichern. Die Server, von denen sekundäre Zonen ihre Zoneninformationen abrufen, werden als Master bezeichnet. Bei einem Master kann es sich um eine primäre oder eine andere sekundäre Zone handeln. - Ein Server für Zwischenspeicherungen leitet alle Anforderungen an andere DNS-Zonen weiter und hostet selbst keine Zonen. Server für Zwischenspeicherungen nehmen jedoch eine Zwischenspeicherung der Antworten vor, die von anderen DNS-Servern empfangen werden, und können daher die Namensauflösung für ein Netzwerk verbessern, das keine Zone hostet und auch keinen DNS-Replikationsverkehr verursacht (z. B. bei langsamen WANs). - Neue Zonen enthalten nur 2 Ressourceneinträge: den Eintrag für den Autoritätsursprung (SOA) entsprechend der Zone und einen Nameserver (NS)-Eintrag für den lokalen DNS-Server, der für die Zone erstellt wurde. Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden. Die am häufigsten hinzugefügten Ressourceneinträge sind Host (A)-, Alias (CNAME)-, MX-, SRV- und PTR-Einträge. - Ein eher seltener Ressourceneintrag ist der für eine verantwortliche Person (auf der SOA-Registerseite einer DNS-Zone), welcher automatisch erstellt wird, wenn man dort eine Person zuordnet: RP. Der RP-Ressourceneintrag gibt den Namen eines Domänenpostfaches für die verantwortliche Person an. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 22 von 122 4.4 Lektion 4 Konfigurieren von DNS-Clients Hinweis 0199 Klicken Sie zum anzeigen des Dialogsfeldes Systemeigenschaften mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie anschließend auf Eigenschaften. Alternativ können Sie in der Systemsteuerung auf System doppelklicken. Hinweis 0199 Zeichen für DNS-Computernamen (laut RFC 1123 [Request for Comments]): A-Z, a-z, 0-9 und In der Praxis wird die Groß/Kleinschreibung bei DNS-Namen nicht berücksichtigt. Muss man auch NetBIOS berücksichtigen, weist man den Computern nur 15 Zeichen zu. Prüfungstipp 0205 Sie müssen in der Prüfung wissen, welche Bedeutung die DNS-Suffix-Listen haben. Sie müssen außerdem für die Simulationsfragen in der Lage sein, benutzerdefinierte DNS-Suffixsuchlisten zu konfigurieren. Ob Sie diese Prozedur durchführen müssen, erkennen Sie daran, dass gefordert wird, dass die Benutzer in der Lage sein sollen, Verbindung zu Servern in unterschiedlichen Domänen herzustellen, ohne FQDNs angeben zu müssen. Prüfungstipp 0205 Unix basierte DNS-Server mit BIND 8.1.2 oder höher lassen dynamische Updates zu. Prüfungstipp 0206 Manchmal kommt es vor, dass ein Client seinen DNS-Eintrag nicht automatisch aktualisiert, obwohl das Kontrollkästchen Adressen dieser Verbindung in DNS-Registrierung verwenden aktiviert ist. In einem solchen Fall können Sie versuchsweise das Kontrollkästchen DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktivieren, selbst dann, wenn Sie keine verbindungsspezifische Suffixe konfiguriert werden haben. Wenn diese Option aktiviert ist, wird der Client meist gezwungen, ein DNS-Update durchzuführen. Hinweis 0206 Für ICS (Gemeinsame Nutzung der Internetverbindung)-Clients müssen dynamische DNS-Updates auf andere Weise konfiguriert werden. Wenn DNS-Clients mit Windows 2000, XP oder Server 2003 ihre IP-Konfiguration von einem Computer mit ICS erhalten, können sie ihre Ressourceneinträge nur dann im DNS aktualisieren, wenn das Kontrollkästchen DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist. Ein verbindungsspezifisches Suffix muss nicht angegeben werden. Stattdessen wird der FQDN mit dem primären DNS-Suffix gebildet. Prüfungstipp 208 Lernen Sie für die Prüfung folgende DNS-bezogenen Befehle auswendig: - ipconfig /displaydns Zeigt den Inhalt des Client-DNS-Caches an. - ipconfig /flushdns Löscht den Inhalt des DNS-Client-Caches. - ipconfig /registerdns Erneuert alle DHCP-Leases und führt eine erneute Registrierung von DNS-Namen in DNS-Zonen durch, die für dynamische Updates konfiguriert sind (nur für Clients mit Windows 2000, XP und Server 2003). Prüfungstipp 208 Bei der Problembehandlung eines DNS-Problems kommt es gelegentlich vor, den Befehl ipconfig /flushdns öfters zu verwenden, um bei einem erfolgreichen manuellen Host (A)-Eintrag im DNS die Auflösung richtig zu testen. Fehlerhafte Zwischenspeicherungen (negative Antwort einer vorherigen Abfrage) werden somit gelöscht. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 23 von 122 Zusammenfassung Lektion 4.4 0212 - Das primäre DNS-Suffix bildet zusammen mit dem Computernamen den vollständigen Computernamen. - Wenn ein verbindungsspezifisches DNS-Suffix zu einem DNS-Computer- oder Hostnamen hinzugefügt wird, wird einem bestimmten Adapter auf dem Computer ein FQDN zugewiesen. Dieses Suffix kann auf der Registerkarte DNS des Dialogfeldes Erweiterte TCP/IP-Einstellungen konfiguriert werden. - Wenn Abfragen für nichtqualifizierte Namen übermittelt werden, fügt der DNS-Clientdienst zu diesen Namen zunächst das primäre Suffix hinzu und sendet anschließend die jeweilige Abfrage. Wenn diese Abfrage nicht erfolgreich ist, fügt der DNS-Clientdienst zu dem Namen verbindungspezifische Suffixe hinzu und übermittelt die neue Abfrage. Ist diese Strategie ebenfalls nicht erfolgreich, fügt der DNS-Cliebtdienst zu dem Namen das übergeordnete Suffix des primären DNS-Suffix hinzu und übermittelt die letzte Abfrage. - DNS-Clients mit Windows 2000, Windows XP oder Windows Server 2003 versuchen standardmäßig, ihre Ressourceneinträge dynamisch in DNS registrieren und zu aktualisieren . Clients mit einer statischen IP-Adresse aktualisieren sowohl die A- als auch die PTR-Ressourceneinträge. Clients, denen über DHCP eine IP-Adresse zugewiesen wurde, aktualisieren nur A-Ressourceneinträge. Das Updaten der PTR-Ressourceneinträge wird vom DHCP-Server vorgenommen. Um einen DNS-Client zu einer dynamischen Registrierung zu veranlassen, verwenden Sie den Befehl ipconfig /registerdns (oder starten den Computer neu). - Geben Sie zur Anzeige des DNS-Clientcaches an der Befehlszeile den Befehl ipconfig /displaydns ein. Geben Sie zum Löschen des DNS-Clientscaches den Befehl ipconfig /flushdns ein. Zusammenfassung des Kapitels 4 0215 - In Windows Server 2003-Netzwerken werden zwei Systeme für die Benennung von Computern verwendet: DNS und NetBIOS. Zur Auflösung von Computernamen unternimmt der DNS-Clientdienst in Windows Server 2003 zunächst den Versuch einer DNS-Namensauflösung, bevor er die NetBIOS-Namensauflösung einsetzt. - DNS-Namen und das DNS-Protokoll werden für Active Directory-Domänen und die Kompatibilität mit dem Internet oder dem Intranet benötigt. DNS-Hostnamen dürfen höchstes 63 Bytes umfassen. - Der DNS-Namenspace ist hierarchisch aufgebaut und basiert auf einen eindeutigen Stamm, der beliebig viele untergeordnete DNS-Domänen enthalten kann. Ein FQDN ist der Name eines DNS-Hosts in diesem DNS-Namensraum, der die Position des Hosts relativ zum Stamm der DNS-Domänenstruktur anzeigt (z.B.: host1.subdomain.cont.local). - Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namensraumes, für den ein Server autorisierend ist. Ein Server kann für eine oder mehrere Zonen autorisierend sein, während eine Zone eine oder mehrere zusammenhängende Domänen enthalten kann. Ein DNS-Server ist dann für eine Zone autorisierend, wenn er ein primäres oder sekundäres DNS-Exemplar der DNS-Zone hostet. - Der DNS-Clientdienst (bzw. die Auflösung) versucht zunächst, die Computernamen mithilfe lokal zwischenengespeicherter Informationen aufzulösen. Wenn dieser Vorgang erfolglos ist, fragt die Auflösung (Resolver) einen DNS-Server ab. Wenn der DNS-Server den Namen nicht über seine autorisierenden Einträge oder mithilfe seines lokalen Caches auflösen kann, setzt er die Rekursion ein, um den Namen für einen Client aufzulösen. - Bei der Rekursion handelt es sich um einen Vorgang, bei dem ein DNS-Server andere DNS-Server im Auftrag eines DNS-Clients abfragt. Um die Rekursion ordnungsgemäß durchzuführen, benötigt der DNS-Server Informationen über den Startpunkt für die Suche nach Namen im DNS-Namenraum. Diese Informationen werden mit der Datei für Stammhinweise Cache.dns bereitgestellt, die auf dem Servercomputer gespeichert ist. Ein DNS-Server, welcher die „.“-Zone hostet, hat keine Cache.dns Datei mehr und kann somit keine weiteren Stammserver im Internet finden. - Ein Server für Zwischenspeicherungen leitet alle Anforderungen an andere DNS-Server weiter und hostet keine Zonen. Server für Zwischenspeicherungen nehmen jedoch eine Zwischenspeicherung der Antworten vor, die von anderen DNS-Servern empfangen wurden, und können daher die Namensauflösung für ein Netzwerk verbessern, das keine Zone hostet (Indikator: kein Zonenreplikationsverkehr über eine langsame WAN-Strecke). Um zu sehen, welche DNS-Auflösungen auf einem DNS-Server zwischengespeichert wurden (Server-Cache), stellt am DNS-Server für Zwischenspeicherungen die Ansicht auf erweiterte Ansicht und schaut dann unter Zwischengespeicherte Lookupvorgänge nach. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 24 von 122 - Neue Zonen enthalten nur zwei Ressorceneinträge: den Eintrag für den Autoritätsursprung (SOA) entsprechend der Zone und einen Namenserver (NS)-Ressourceneintrag für den lokalen DNS-Server. Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden, wie z. b.: Host (A)-, Alias (CNAME)-, MX-, SVR- und PTR-Einträge - DNS-Clients mit Windows 2000, XP oder Server 2003 versuchen standardmäßig, ihre Ressourceneinträge dynamisch in DNS zu registrieren und zu aktualisieren. Clients mit einer statischen IP-Adresse aktualisieren den A- und den PTR-Eintrag. Clients, denen über DHCP eine IP-Adresse zugewiesen wurde, aktualisieren nur A-Ressourceneinträge. Das Update der PTR-Einträge wird vom DHCP-Server übernommen. Um einen DNS-Client zu einer dynamischen Registrierung zu veranlassen, verwenden Sie den Befehl ipconfig /registerdns oder Sie starten den Computer neu. - Geben Sie zur Anzeige des DNS-Caches eines DNS-Clients an der Befehlszeile ipconfig /displaydns ein. Geben Sie zum Löschen des DNS-Caches eines DNS-Clients ipconfig /flushdns an der Konsole ein. Schlüsselinformationen Kapitel 4 0217 - Das Thema DNS wird in der Prüfung 70-291 am ausführlichsten behandelt. Aus diesem Grund müssen Sie die die DNS-Konzepte perfekt beherrschen, wenn sie die Prüfung bestehen wollen. - Lernen Sie die gesamte Schrittfolge bei der Auflösung eines Namen durch den DNS-Clientdienst und die Funktionen, die der DNS-Clientcache, der DNS-Servercache und die Rekursion jeweils in diesem Prozess erfüllen. - Entwickeln Sie ein Verständnis für die Funktion von A-, CNAME-, MX-, NS-, PTR- und SVR-Ressourcen einträgen. - Lernen Sie die Unterschiede zwischen primären, sekundären und Stubzonen. - Lernen Sie die Anwendungsbereiche der folgenden Befehle: nbtstat -c listet die Namen im lokalen Cache für NetBIOS-Namen auf nbtstat -R leert den lokalen Cache für NetBIOS-Namen ipconfig /all Listet allgemine Konfigurationsdaten aller Netzwerkadapter auf (IP-Konfiguration ...) ipconfig /displaydns Anzeige des lokalen DNS-Client-Namencaches ipconfig /flushdns Löschen des lokalen DNS-Client-Namencaches ipconfig /registerdns Erneuert alle DHCP-Leases und führt eine erneute dynamische Registrierung (A- und PTR-Eintrag) des DNS-Namens eines Clients (Windows 2000, XP oder Server 2003) in einer DNS-Zone, die für dynamische Updates konfiguriert ist. - Entwickeln sie ein Verständnis für die verschiedenen Suffixsuchoptionen für DNS-Clients. - Lernen Sie, welche DNS-Clients in DNS dynamische Updates vornehmen können. Entwickeln Sie auch ein Verständnis für die Einträge, die DHCP- und Nicht-DHCP-Client standardmäßig aktualisieren. Lernen Sie schließlich die Einstellungen, die durch das Dialogfeld Erweiterte TCP/IP-Einstellungen das Verhalten bei dynamischen Updates geändert werden kann. - Prägen Sie sich für die Simulationsfragen ein, wie Sie Zonen und Ressourceneinträge unterschiedlicher Typen konfigurieren. Üben Sie auch, wie Sie DNS-Clientoptionen konfigurieren, zum Beispiel Optionen für dynamisches Update und DNS-Suffixsuchoptionen. Schlüsselbegriffe 218 NetBIOS ist eine API, die in älteren Microsoft-Netzwerken verwendet wird und Computern er möglicht, Verbindungen herzustellen und Nachrichten auszutauschen. Benennung und Namensauflösung bilden zwei der Dienste, die von NetBIOS bereitgestellt werden. FQDN vollqualifizierter Domänenname (Fully Qualified Domain Name). Ein DNS-Name, mit dem ein Computer eindeutig im Netzwerk indentifiziert wird. Rekursion ist ein Vorgang, bei dem ein DNS-Server andere DNS-Server abfragt, um im Auftrag eines Clients einen Namen aufzulösen. Rekursive Abfrage ist eine Clientabfrage, die vom Server mittels Rekursion verarbeitet werden soll. Stubzone ist ein Kopie einer Zone, die nur für die Identifizierung der autorisierenden DNS-Server für die Masterzone erforderlichen Ressourceneinträge enthält. Diese Einträge werden laufend aktualisiert. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 25 von 122 5. Kapitel 5 Konfigurieren einer DNS-Infrastruktur 5.1. Lektion 1 Konfigurieren der Eigenschaften von DNS-Servern Eigenschaften-Registerkarten zum Konfigurieren eines DNS-Servers Schnittstellen (Festlegen von lokalen IP-Adressen, zur DNS-Abfragen Überwachung) Weiterleitungen (Es Abfragen nach bestimmten DNS-Domänen an bestimmte DNS-Server weitergeleitet) Erweitert (Aktivieren/Deaktivieren von Serveroptionen wie Rekursion, Round-Robin, ...) Stammhinweise (Anzeige der der Datei welche in %Windir%\System32\Dns\Cache.dns liegt) Debugprotokollierung (standardmäßig deaktivierte Protokollierung der gesendeten/empfangenen Datenpakete) Ereignisprotok. (Spezifizierung, was im Ereignisprotokoll registriert werden soll) Überwachen (Überprüfung der DNS-Funktionalität) Sicherheit (steht nur zur Verfügung wenn der DNS-Server auch auf einem DC läuft) Prüfungstipp 0226 Zum Beantworten der Simulationsfragen müssen Sie wissen, wie sie die Überwachungseigenschaften von DNS konfigurieren, in dem Sie Schnittstellen zum DNS-Server hinzufügen oder entfernen. Die entsprechenden Fragen erkennen Sie daran, dass gefordert wird, dass ein DNS-Server nur auf Abfragen reagieren soll, die aus bestimmten Netzwerken stammen (zum Beispiel dem privaten Netzwerk). Tipp 0227 Um festzulegen, wie lange der Weiterleitungsserver vor einem Timeout auf eine Antwort von einer Weiterleitung warten soll, geben Sie der Registerkarte Weiterleitungen einen Wert in das Textfeld Sek. bis zur Zeitüberschreitung der Weiterleitungsabfragen ein. Der Standardwert beträgt 5. Eine bedingte Weiterleitung ist die Weiterleitung ausgewählter Abfragen, d.h. es wurde für je eine bestimmte Zone (von mehreren) ein entsprechender DNS-Server ausgewählt (z.B. für Zone cont.de der DNSServer 192.168.2.1 und für die rot.cont.de der DNS-Server 192.168.4.1). Anwendungsbereiche für Weiterleitungen - Mehrere interne DNS-Server sollen nicht direkt mit externen Servern kommunizieren, da das Netz über eine langsame WAN-Verbindung mit dem Internet verbunden ist. In diesem Falle werden alle DNS-Abfragen über eine Weiterleitung auf einen ganz bestimmten DNS-Server gebündelt, welcher als einzigster DNS-Server die DNS-Server im Internet abfragt. Der Servercache dieses bestimmten DNS-Servers wächst rasch bis zu seiner Maximalgröße an und vermindert somit rasch die Notwendigkeit externer Abfragen. - Zweiter Einsatzszenario wäre das Ermöglichen von DNS-Clients und DNS-Servern innerhalb einer Firewall zu ermöglichen, DNS-Namen sicher aufzulösen - ohne das interne Netzwerk für externe Server zugänglich zu machen. Hintergrund: Wenn ein interner DNS-Server oder -Client mittels iterativer Abfragen mit externen DNS-Servern kommu niziert, müssen die für die DNS-Kommunikation mit allen externen Servern verwendeten Ports normalerweise über die Feuerwall (z.B. ISA-Server 2006) offen gehalten werden. Wenn Sie jedoch genau einen DNS-Server innerhalb der Firewall jedoch für das Weiterleiten externer Abfra gen an eine einzelne DNS-Weiterleitung außerhalb der Firewall konfigurieren und Ports anschließend nur für diese Weiterleitung öffnen, können Sie Namen auflösen, ohne Ihr Netzwerk für externe Server zugänglich zu machen. Prüfungstipp 0228 Falls Ihre Weiterleitungen ausfallen, sollten Sie sie entfernen und Ihre DNS-Server zwingen, rekursiv die Stammserver abzufragen. Falls Sie Weiterleitungen konfigurieren und die Stammhinweise entfernen, zwingen sie dagegen ihre DNSServer, für alle nicht aufgelösten Abfragen die Weiterleitung zu benutzen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 26 von 122 Wann bedingte Weiterleitung eingesetzt werden sollte : Der Begriff bedingte Weiterleitung beschreibt eine DNS-Serverkonfiguration, bei der Abfragen nach bestimmten DNS-Domänen an bestimmte DNS-Server weitergeleitet werden. Es hat zwei Vorteile: Es wird einerseits der Zonenübertragungsverkehr vermieden, die Zonendaten sind auf den aktuellsten Stand und andererseits die Konfiguration und Wartung vereinfacht ist. Prüfungstipp: 0230 Bedingte Weiterleitung ist ein Thema, dass Ihnen in der Prüfung 70-291 möglicherweise gleich mehrmals begegnet. Lernen Sie, welchem Zweck sie dient und welche Vorteile sie bietet. Um die Simulationsfragen beantworten zu können, müssen Sie wissen, wie sie die bedingte Weiterleitung auf der Registerkarte Weiterleitungen des Eigenschaftendialogfelds des DNS-Servers konfigurieren. Sie erkennen solche Simulationsfragen daran, dass gefordert wird, dass Namensauflösungsanforderungen für eine bestimmte Domäne (z. B. rot.cont.de) von einem Server in dieser Domäne aufgelöst werden soll oder kein Zonenübertragungsverkehr über WAN (Wide Area Network)-Verbindung laufen soll. Beispielszenario für bedingte Weiterleitung: DNS-Server, welcher die Zone contoso.com hostet, leitet alle Abfragen nach fabrikam.com zum dortigen DNSServer und alle anderen externen Abfragen gehen zu einem DNS-Server außerhalb der Firewall. DNS-Server, welcher die Zone fabrikam.com hostet, leitet alle Abfragen nach contoso.com zum dortigen DNSServer und alle anderen externen Abfragen gehen zu einem DNS-Server außerhalb der Firewall oder zum ISP des Fabrikam-Unternehmens. Zwischen beiden Zonen gibt es keinen Zonenübertragungsverkehr. Vorteile des Deaktivierens der Rekursion: Auf der Registerkarte Erweitert kann die Rekursion für alle Abfragen deaktiviert werden, die unter Angabe einer Domäne durchgeführt werden (Haken weg bei „Rekursionsvorgang (und Forwarder) deaktivieren“). Somit wird die Antwortzeit für Abfragen, die für die Weiterleiterleitung konfiguriert wurden, auf die unausweichliche Antwortnachricht über einen Fehlschlag der Abfrage reduziert. Wenn Weiterleitungen in dieser Weise in Verbindung mit einer Deaktivierung der Rekursion konfiguriert werden, wird der lokale DNS-Server als Slave-Server, da er für Abfragen, die nicht lokal aufgelöst werden können, vollständig auf die Weiterleitung angewiesen ist. Hinweis 0231 Verwechseln Sie nicht den Begriff Slave-Server nicht mit dem Begriff Slave-Zone, der in einigen DNS-Implementierungen verwendet wird. Hinweis 0231 Während auf der Registerkarte Weiterleitungen die Rekursion für ausgewählte Abfragen für Domänen konfiguriert werden kann, in den Weiterleitungen eingesetzt werden, kann auf der Registerkarte Erweitert die Rekursion für alle Abfragen deaktiviert werden, die den lokalen Server erreichen. Hinweis 0232 Wenn die Rekursion auf einen DNS-Server mithilfe der Registerkarte Erweitert deaktiviert wird, können Weiterleitungen auf diesem Server nicht mehr verwendet werden, und die Registerkarte Weiterleitungen steht nicht mehr zur Verfügung!!! Prüfungstipp 0232 Sie müssen für die Prüfung die Themen Stammhinweise und Stammserver beherrschen, da sie sowohl in Multiple-Choise- als auch in Simulationsfragen vorkommt. Neben den bisher beschriebenen Informationen müssen Sie auch wissen, dass Sie einen DNS-Server in einen Stammserver verwandeln, wenn Sie eine Zone namens „.“ (nur ein einzelner Punkt)zu diesem DNS-Server hinzufügen. Und in diesem Fall leitet der DNS-Server überhaupt keine Abfragen weiter und führt auch keine Rekursion für externe Namen durch. Wenn Sie auf diese Weise einen Stammserver konfigurieren, können Clients im Allgemeinen nicht mehr auf das Internet zugreifen. Benutzer können aber weiterhin im Web surfen, wenn ein Web-Proxyserver, zum Beispiel ein Internet Security and Acceleration (ISA)-Server, im Netz bereitgestellt und die Browser so konfiguriert wurden, dass sie auf den Proxy Verweisen. Bei einen sehr großen privaten Namenspace kann man eigene Stammserver in die Cache.dns eintragen und die Internetstammserver löschen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 27 von 122 Hinweis 0233 Im Abstand von einigen Jahren wird die Liste der Stammserver im Internet regelmäßig leicht geändert. Da in der Datei %Windir%\System32\DNS\Cache.dns bereits recht viele Stammserver enthalten sind, die kontaktiert werden können, ist es nicht notwendig, die Datei für Stammhinweise bei jeder einzelnen Änderung anzupassen. Die aktuellste Version der Datei können Sie bei InterNIC unter ftp://internic.net/domain/named.cache herunterladen. Zusammenfassung der Lektion 5.1 0242 - Auf der Registerkarte Schnittstellen des Eigenschaftsdialogfeldes eines DNS-Servers können die IPAdressen des lokalen Computers angegeben werden, die der DNS-Server auf DNS-Anforderungen überwachen soll. - Auf der Registerkarte Weiterleitungen des Eigenschaftendialogfeldes eines DNS-Servers können die DNS-Abfragen, die vom lokalen DNS-Server empfangen werden, an übergeordnete DNS-Server, die so genannten Weiterleitungen, weitergereicht werden. Auf dieser Registerkarte kann auch die Rekursion für ausgewählte, unter Angabe der ausgewählten Domäne deaktiviert werden. - Wenn ein DNS-Server innerhalb der Firewall für das Weiterleiten externer Abfragen an eine einzelne DNSWeiterleitung außerhalb der Firewall konfiguriert wird und Ports anschließend nur für diese Weiterleitung geöffnet werden, können Namen aufgelöst werden, ohne das Netzwerk für externe Server zugänglich zu machen. - Die Registerkarte Stammhinweise bietet eine einfache Methode zur Änderung des Inhalts der Datei Cache.dns. Wenn Sie Ihren DNS-Server zur Auflösung von Internetnamen einsetzen, müssen diese Einträge in der Regel nicht geändert werden. Wenn der DNS-Server jedoch nur für die Beantwortung von Hosts in einem separaten und privaten DNSNamensraum genutzt wird, sollten diese Stammhinweise geändert werden, damit sie auf die Stammserver in Ihrem Netzwerk verweisen. Fungiert der DNS-Server schließlich als Stammserver (mit der Bezeichnung „.“) Ihres privaten Namenspaces, sollte die Datei gelöscht werden. - Auf der Registerkarte Überwachen des Eigenschaftendialogfeldes eines DNS-Servers kann die DNS-Basisfunktionalität mit zwei einfachen Tests überprüft werden: einer einfachen Abfrage auf den lokalen DNS-Server und einer rekursiven Abfrage an die DNS-Stammserver. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 28 von 122 5.2. Lektion 2 Konfigurieren von Zoneneigenschaften und -übertragungen Eigenschaften-Registerkarten zum Konfigurieren einer Zone Allgemein (Anhalten, Typ Ändern, Zonendateiname, dynamische Updates und Alterung) Autoritätsursprung (Seriennummer inkrementieren, primärer Server, verantwortliche Person, (SOA) Aktualisierungsintervall, Wiederholungs-, Läuft ab nach, Maximum TTL und TTL) Namenserver (enthält autorisierende Nameserver Einträge für eine Zone) WINS (WINS-Forward-Lookup verwenden, WIN-Server-IP-Adressen, TTL) Zonenübertragungen (Einschränkung von Zonendatenübertragungen auf bestimmte sekundäre Server) Prüfungstipp 0245 Es gibt mehrere Punkte, die Sie für die Prüfung 70-291 über Active-Directory-integrierte Zonen merken müssen. Erstens sollten Sie wissen, wie sie konfiguriert werden. Zweitens sollten Sie sich einprägen, Dass Sie Active Directory-integrierte Zonen nur auf DNS-Servern implementieren können, die auch Domänencontroller sind. Drittens ermöglichen sie es, DNS-Daten automatisch über das gesamte Active Directory zu replizieren. Somit können Sie darauf verzichten, sekundäre Server einzurichten. Viertens verringern Sie den Zonentransferverkehr, weil nur aktualisierte Einträge (im Gegensatz zu gesamten Zonen) über das Active Directory repliziert werden. Fünftens bieten die Active Directory-integrierte Zonen die Möglichkeit, sichere dynamische Updates durchzuführen. Tipp 0246 Um einen primären DNS-Standardserver zu migrieren, konfigurieren Sie einen sekundären Server, übertragen die Zone auf diesen Sekundären Server und stufen ihn anschließend zu einem primären DNS-Server herauf. Nach dem Heraufstufen des sekundären DNS-Serverskann der ursprüngliche Server gelöscht werden. Planung 0246 Weil Active-Directory-integrierte Zonen so viele Vorteile (kein separater Mechanismus für Zonenübertragungen, Fehlertoleranz durch Masterreplikation, schonender Umgang mit Netzwerkressourcen, da nur Änderungen repliziert werden und sichere Updates) bieten, sollten Sie Ihre DNS-Server nach Möglichkeit auf Domänencontrollern bereitstellen. Anwendungsverzeichnispartitionen und DNS-Replikation Eine Anwendungsverzeichnispartition ist eine Verzeichnispartition, die auf eine bestimmte Untermenge von Domänencontrollern mit Windows Server 2003 repliziert wird. - Vordefinierte Anwendungsverzeichnispartition Für DNS sind in jeder AD-Domäne zwei vordefinierte Anwendungsverzeichnispartitionen, nämlich die DomainDnsZones und die ForestDnsZones. Wenn Sie im Dialogfeld Bereich der Zonenreplikation ändern die Option Auf allen DNS-Servern in der Active Directory-Gesamtstruktur aktivieren, werden die DNS-Zonendaten in der Anwendungsverzeichnispartition ForestDNSZones gespeichert. Wenn Sie dagegen die Option Auf allen DNS-Servern in der Active Directory-Domäne aktivieren, wählen Sie die Speicherung der DNS-Zonendaten Anwendungsverzeichnispartition ForestDNSZones aus. - Erstellen benutzerdefinierter Anwendungsverzeichnispartitionen Man kann sie wie folgt erstellen: Mitglied der Organisations-Admins sein. dnscmd [servername] /createdirectorypartition FQDN (Partitionserstellung) dnscmd servername /enlistdirectorypartition FQDN (Hinzufügen weiterer DNS-Server) dnscmd server1 /createdirectorypartition SpezialDNS.cont.de (Erstellung der Anw-Verz-Partition SpezialDNS auf dem Server: server1) dnscmd server2 /enlistdirectorypartition SpezialDNS (Aufnehmen des DNS-Servers: server2 in die Anw.-Verz.-P. SpezialDNS) Die Option Auf allen Domänencontrollern, die im Bereich der folgenden Anwendungsverzeichnispartition ist nur verfügbar, wenn im Netzwerk mindesten eine benutzerdefinierte Anwendungsverzeichnispartition für DNS vorhanden ist. - Replikation mit Windows 2000 Servern Da Anwendungsverzeichnispartitionen auf Windows 2000-Domänencontrollern nicht zur Verfügung stehen, müssen Sie im Dialogfels Bereich der Zonenreplikation ändern die dritte Option aktivieren, damit die Zonendaten von DNS-Servern mit Windows 2000 gelesen werden können. - Bei aktivierter vierter Option Auf allen Domänencontrollern in der Active Directory-Domäne werden die Daten nicht nur auf alle DNS-Server repliziert, die auch als DCs fungieren, sondern auf alle Domänencontroller, ohne zu berücksichtigen, ob es sich dabei auch um DNS-Server handelt. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 29 von 122 Anzeige der Anwendungsverzeichnispartitionen Die Anwendungsverzeichnispartitionen werden wie folgt angezeigt: Hinweis: 0248 Wenn eine der beiden Anwendungsverzeichnispartitionen gelöscht oder beschädigt wird, können Sie sie in der Konsole DNS neu erstellen, indem Sie mit der rechten Maustaste auf den Serverknoten klicken und anschließend auf Standard-Anwendungs-Verzeichnispartitionen erstellen klicken. Prüfungstipp 0249 Gehen Sie davon aus, dass die Konzepte im Zusammenhang mit Anwendungsverzeichnispartitionen sowie Optionen im Dialogfeld Bereich der Zonenreplikation ändern Bestandteil der Prüfung sind. Damit Sie auf Simulationsfragen vorbereitet sind, sollten Sie auch üben, wie den Bereich der Zonenreplikation einstellen. Praxistipp 0251 Hosteinträge per Hand hinzufügen. Auch wenn für eine bestimmte Zone dynamische Updates aktiviert sind, ist unter Umständen manchmal nötig, Hosteinträge von Hand zur Zone hinzufügen. Nehmen wir z. B. an, ein Unternehmen namens Cont benutzt den Domänennamen cont.de sowohl für seinen öffentlichen Namensraum als auch für seine interne Active Directory-Domäne. Server-Szenario: NS.cont.de und www.cont.de sind als öffentliche Server außen vor der Firewall und dns1.cont.de, dc.cont.de und web.cont.de als interne Server hinter der Firewall im privaten Netzwerk cont.de aufgestellt. In diesem Fall liegt der öffentliche Webserver mit dem Namen www.cont.de außerhalb der Active DirectoryDomäne. Updates führt er nur auf dem öffentlichen DNS-Server aus, der für cont.de autorisierend ist. Interne Client richten ihre DNS-Abfrage dagegen an die interne DNS-Server. Weil der A-Eintrag für www.cont.de auf diesen internen DNS-Servern nicht dynamisch aktualisiert wird, muss der Eintrag von Hand hinzugefügt werden. Nur dann können interne Clients den Namen auflösen und eine Verbindung zum öffentlichen Webserver herstellen. Auch wenn Sie einen alten UNIX-DNS-Server im Netz haben, müssen Sie möglicherweise Hosteinträge von Hand eintragen (Clients und Server). Auslöser für dynamische Updates. - Im Dialogfeld Eigenschaften von Internetprotokoll (TCP/IP) wird eine IP-Adresse hinzugefügt, entfernt oder geändert. - Auf dem DHCP-Server wird eine IP-Adresslease für eine der auf dem lokalen Computer installierten Netzwerkverbindungen geändert oder erneuert. Diese Situation tritt zum Beispiel ein, wenn der Computer gestartet oder der Befehl ipconfig /renew verwendet wird. - Auf einem DNS-Clientcomputer wird der Befehl ipconfig /registerdns eingesetzt, um manuell eine Aktualisierung der Clientnamensregistrierung in DNS zu veranlassen. - Der DNS-Client wird eingeschaltet. - Ein Mitgliedsserver in der Zone wird zu einem Domänencontroller heraufgestuft. Prüfungstipp 0253 Damit Sie auf Simulationsfragen vorbereitet sind, sollten Sie üben, wie Sie sichere dynamische Updates für eine Zone obligatorisch machen. Sie erkennen solche Fragen daran, dass gefordert wird, dass nur autorisierte Clientcomputer DNS-Updates durchführen dürfen oder ein Computer nicht in der Lage sein darf, den Eintrag im Auftrag eines anderen Computer zu überschreiben. Hinweis 0253 Nur Clients mit Windows 2000, XP oder Windows Server 2003 können dynamische Updates an einen DNSServer senden. Für Windows NT, Windows 95/98/Me stehen dynamische Updates generell nicht zur Verfügung. Bei entsprechender Konfiguration des Servers (z.B. ein DHCP-Server) jedoch dynamische Updates im Auftrag anderer Clients durchführen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 30 von 122 Sichere dynamische Updates und die Gruppe DnsUpdateProxy Wenn in einer Zone sichere dynamische Updates erforderlich sind, kann ein Ressourceneintrag nur von seinem Besitzer aktualisiert werden (der Besitzer eines Eintrages ist der Computer, der den Eintrag ursprünglich registriert hat). Fügen Sie zur Sicherheitsgruppe DnsUpdateProxy die DHCP-Server hinzu, die Einträge im Auftrag anderer Computer (oft Windows 95/98/Me-Clients) registrieren. Mitglieder dieser Gruppe werden daran gehindert, das Besitzrecht an den Ressourceneinträgen zu übernehmen , die sie in DNS aktualisieren. Dieses Verfahren lockert daher die Sicherheit der jeweiligen Einträge, bis sie durch den wahren Besitzer registriert werden können. Prüfungstipp 0253 Sie sollten die Bedeutung der Gruppe DnsUpdateProxy kennen, wenn Sie die Prüfung 70-291 ablegen wollen. Hinweis 0255 Wenn Alterung und Aufräumvorgänge für eine Zone aktiviert sind, können Zonendateien nicht von DNSServern mit einem Prä-Windows 2000-Betriebssystem gelesen werden. Tipp 0255 Wenn Sie das Intervall für Nichtaktualisierung oder das Aktualisierungsintervall (Zeitspanne nach dem Intervall für Nichtaktualisierung) ändern, müssen Sie unbedingt darauf achten, dass das Aktualisierungsintervall nicht kleiner sein darf als das Intervall für Nichtaktualisierung. Standardintervall für Nichtaktualisierung beträgt 7 Tage. Standardaktualisierungsintervall beträgt 7 Tage. Prüfungstipp 0255 Bereiten Sie sich auf Simulationsfragen vor, in denen Sie Alterung und Aufräumvorgang für eine Zone konfigurieren müssen. Zum Beispiel könnte eine Frage die Anforderung enthalten, dass Hosts ihre Einträge nur alle 12 Tage aktualisieren sollen. In diesem Fall müssen Sie erkennen, dass sich diese Anforderung auf das Intervall für Nichtaktualisierung bezieht. Und wenn Sie eine Anforderung lesen, dass Einträge, die 20 Tage lang nicht aktualisiert wurden, aus der Zonendatenbank gelöscht werden sollen, müssen Sie erkennen, dass es um die Summe aus Intervall für Nichtaktualisierung plus Aktivierungsintervall geht. Falls Das Intervall für Nichtaktualisierung 8 Tage beträgt, muss das Aktivierungsintervall also auf 12 Tage gesetzt werden, damit die Anforderungen erfüllt wird. Denken Sie unbedingt daran, Alterung und Aufräumvorgang sowohl auf Zonen- als auch auf Serverebene zu aktivieren. Prüfungstipp 0257 Wenn Sie die Schaltfläche Inkrement auf der SOA-Registerkarte anklicken, erzwingen Sie einen DNSZonentransfer. Tipp 0257 Durch das Vergrößern des Aktualisierungsintervalls (Standard 15 Minuten) wird der Datenverkehr für ZonenÜbertragungen reduziert. Prüfungstipp 258 Machen Sie sich mit allen Einstellungen und Konzepten im Zusammenhang mit der Registerkarte Autoritätsursprung (SOA) eingehend vertraut. Seriennummer: beginnt mit 1 und wächst mit jeder Änderung um 1 Primärer Server: vollständiger Computername mit einem Punkt am Ende (ganz rechts) Verantwortl. Person: Verwaltet diese DNS-Zone, erzeugt einen RP-Ressourceneintrag (Domänen-Mail-Adresse) Aktualisierungsintervall: Standardzeit = 15 Minuten Wiederholungsintervall: Standardzeit = 10 Minuten Läuft ab nach: Standardwert = 1 Tag Minimum TTL (Standard): Standardwert = 1 Stunde Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 31 von 122 Hinweis 0259 Jede Zone muss im Zonenstamm mindestens einen NS-Ressourceneintrag enthalten. Hinweis 0259 In primären Zonen sind Zonenübertragungen nur für Server zulässig, die auf der Registerkarte Namenserver angegeben sind. Diese Einschränkung wurde mit Windows Server 2003 neu eingeführt. Prüfungstipp 0260 Für die Prüfung 70-291 müssen Sie die Optionen für WINS-Lookupvorgänge kennen. Wenn Sie für eine Forward-Lookupzone WINS-Lookupvorgänge konfigurieren, wird zur Zonendatenbank ein WINS-Ressourceneintrag hinzugefügt, der auf den WINS-Server verweist, der auf der Registerkarte WINS angegeben ist. Wenn Sie für eine Reverse-Lookupzone WINS-R-Lookupvorgänge konfigurieren, wird zur Zonendatenbank ein entsprechender WINS-R-Ressourceneintrag hinzugefügt. Sie können die Redundanz erhöhen, indem Sie zwei Einträge hinzufügen, die auf unterschiedliche WINS-Server verweisen. Prüfungstipp 0261 Prägen Sie sich für die Simulationsfragen die Prozedur zum Konfigurieren der Zonentransfers ein. Lernen Sie die Unterschiede zwischen den drei Zonentransferoptionen. Insidertipp 0261 In Windows 2000 war die Standardeinstellung auf der Registerkarte Zonenübertragungen für primäre Zonen so eingerichtet, dass Übertragungen an alle (DNS) Server möglich waren, was jedoch eine unnötige Sicherheitslücke war. Warum sollten Sie auch jeder Person, die auf Ihren DNS-Server zugreifen kann, die Einrichtung eines sekundären DNS-Servers und somit eine genaue Durchsicht der Ressourceneinträge Ihres Netzwerkes ermöglichen? Die standardmäßige Einschränkung der Zonenübertragung ist hingegen wesentlich eleganter (Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind). Sie ermöglicht das Unterbinden nicht autorisierter Kopiervorgänge von Zonendaten. Bei aktivierten Zonenübertragungen werden standardmäßig alle Server, die auf der Registerkarte Namenserver aufgeführt sind, automatisch über Zonenänderungen informiert. Prüfungstipp 0261 Prägen Sie sich für die Simulationsfragen die Prozedur zum Aktivieren von Benachrichtigungen an andere DNSServer in einer Zone ein. Solche Fragen erkennen Sie daran, dass gefordert wird, dass Änderungen in einer Zone sofort in allen sekundären Zonen aktualisiert werden sollen. Denken Sie auch daran, dass Sie für Active-Directory-integrierte Zonen keine Benachrichtigungen zu konfigurieren brauchen (Replikation alle 15 Minuten). Benachrichtigung und Einleitung der Zonenübertragung - Aktualisierungsintervall des SOA-Ressourceneintrages der primären Zone ist abgelaufen * - Start eines sekundären Servers. * - Änderung der Konfiguration des primären DNS-Servers. * = Der sekundäre DNS-Server leitet die SOA-Abfrage ein, um festzustellen ob sich die Zonendaten geändert haben. Übertragungen finden nur statt, wenn die Zonendatenbank geändert wurde. IXFR inkrementelle Zonenübertragungen (sek. Server startet diese Abfrage an den Master-Server) Standard bei Windows Server 2003 Windows NT DNS-Server unterstützen nicht IXFR. AXFR vollständige Zonenübertragung (sek. Server startet diese Abfrage an den Master-Server) Wird unterstützt von Windows Server 2003- und NT-DNS-Servern. Vorgang der Übertragungsabfrage zwischen einen sekundären und einem Master-Server 1. Zielserver (Sek. Server) macht SOA-Abfrage für die Zone an den QuellServer (Master-Server) 2. Quellserver antwortet auf diese SOA-Abfrage mit Zonenstatus-Übermittlung an Zielserver 3. Zielserver macht eine IXFR- oder AXFR-Abfrage für die Zone an den Quellserver 4. Antwort vom Quell-Server auf IXFR- oder AXFR-Abfrage (Zonentransfer) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 32 von 122 Wichtig 0262 In Active-Directory-integrierten Zonen müssen Zonenübertragungen oder die Benachrichtigung unter Domänencontrollern oder DNS-Servern nicht konfiguriert werden. Für die Server in diesen Zonen werden Übertragungen automatisch durchgeführt (alle 15 Minuten). Prüfungstipp 0263 Sie sollten das Thema sekundäre Zonen sicher beherrschen, bevor Sie die Prüfung 70-291 ablegen. Sie können damit rechnen, dass Sie eine Simulationsabfrage bekommen, in der Sie eine sekundäre Zone konfigurieren müssen. Sie erkennen Fragen zu sekundären Zonen daran, dass gefordert wird, dass die Namensauflösungen lokal stattfinden oder der Namensauflösungsverkehr über eine WAN-Verbindung minimiert werden soll. Eine andere Möglichkeit: Es wird gefordert, dass ein vollständiges Exemplar der Zone auf dem DNS-Server gespeichert werden soll. Zusammenfassung Lektion 5.2 0267 - Wenn ein DNS-Server auf einem Domänencontroller eingerichtet wird, können die Zonendaten in der Active-Directory-Datenbank gespeichert werden. Durch Active-Directory-integrierte Zonen wird der Datenverkehr für Zonenübertragungen minimiert, die Sicherheit erhöht, der Verwaltungsaufwand reduziert und eine höhere Fehlertoleranz erreicht. Zonendaten können so konfiguriert werden, dass sie auf alle DNS-Server in der Active Directory-Gesamtstruktur, auf alle DNS-Server in der Active Directory-Domäne, auf alle Domänencontroller in der Active Directory-Domäne oder auf alle Server repliziert werden, die in einer benutzerdefinierten Anwendungsverzeichnispartition aufgeführt sind. - Wenn in einer DNS-Zone dynamische Updates zugelassen sind, können bestimmte DNS-Clients ihre Ressourceneinträge auf einem DNS-Server registrieren und aktualisieren. Wenn in der Zone sichere dynamische Updates erforderlich sind, kann ein Eintrag nur von seinem Besitzer aktualisierte werden. Sichere dynamische Updates können nur in Active-Directory-integrierten Zonen vorgeschrieben werden. Client-Computer mit Windows 2000, Windows XP und Server 2003 können dynamische Updates vornehmen. - Die Gruppe DnsUpdateProxy wird in der Regel für DHCP-Server eingesetzt, die dynamische DNSUpdates im Auftrag anderer Computer durchführen. Mitglieder dieser Gruppe übernehmen nicht das Besitzrecht an den Ressourceneinträgen, die sie in DNS registrieren. Diese Einschränkung verhindert Probleme mit Zonen, in denen nur sichere dynamische Updates zugelassen sind. - Auf der Registerkarte Autoritätsursprung (SOA) können der SOA-Ressourceneintrag der Zone und verschiedene Parameter konfiguriert werden, die Zonenübertragungen betreffen, z.B. Aktualisierungsintervall, Wiederholungsintervall, Lauft ab nach und Minimum TTL (Standard). - Auf der Registerkarte Zonenübertragung können die Übertragungen von der aktuellen Zone gesteuert werden. Zonenübertragungen sind entweder vollständig deaktiviert oder auf die Server beschränkt, die auf der Registerkarte Namenserver angegeben sind. Die Art dieser Einschränkung hängt vom Zonentyp und der Methode ab, mit der der DNS-Server installiert wurde. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 33 von 122 5.3. Lektion 3 Konfigurieren der erweiterte Eigenschaften von DNS-Servern Standardeinstellungen für die DNS-Installation Eigenschaft Rekursionsvorgang (und Forwarder) deaktivieren BIND-Sekundärzonen Beim Laden unzulässiger Zonendaten fehlschlagen Round-Robin aktivieren Netzwerkmaskenanforderungen aktivieren Cache vor Beschädigungen sichern Namensüberprüfung Zonendaten beim Start laden Aufräumvorgang bei veralteten Einträgen automatisch aktivieren Einstellung Deaktiviert Aktiviert Deaktiviert Aktiviert Aktiviert Aktiviert MultiByte (UTF8) von Active Directory und Registrierung deaktiviert (bei Aktivierung ist Konfiguration erforderlich) Für die meisten Situationen sind diese Installationsstandardwerte akzeptabel und erfordern keine Änderung. Prüfungstipp 0270 Wenn Sie die Prüfung 70-291 ablegen wollen, sollten Sie mindestens mit den Optionen Rekursionsvorgang (und Forwarder) deaktivieren, Round-Robin aktivieren und Netzwerkmaskenanforderung aktivieren vertraut sein. Warnung 0271 Wenn die Rekursion auf einen DNS-Server mithilfe der Registerkarte Erweitert deaktiviert wird, können Weiterleitungen auf diesen Server nicht mehr verwendet werden und die Registerkarte Weiterleitung steht nicht mehr zur Verfügung Prüfungshinweis 0271 (eigener) Soll der lokale DNS-Server nur Ressourceneinträge für den privaten Namenspace enthalten, aber die Clients Internetnamen auflösen können, muss die Option Rekursionsvorgang (und Forwarder) deaktivieren aktiviert werden. Die Clients bekommen dann vom DNS-Server die Verweise, mit deren Hilfe sie dann selber iterative Abfragen für die Auflösung der Internetnamen durchführen können. Hinweis 0271 BIND ist eine verbreitete DNS-Implementierung, die auf den meisten Versionen des UNIX-Betriebs portiert wird. Aktuellste Version: BIND 9.3.2 Hinweis 0272 Bei der Option Netzwerkmaskenanforderung aktivieren wird bei multigehosteten (multihomed) Servern den Clients zuerst die IP-Adresse vom betreffenden Server mitgeteilt, in dessen Subnetz auch der Client ist. Beispiel 0272 Priorität des lokalen Netzwerk: svr1.cont.de svr1 IN A 192.168.2.1 svr1 IN A 10.0.2.1 svr1 IN A 172.16.20.1 Client mit IP-Adresse 192.168.2.31 bekommt vom DNS-Server für die Abfrage svr1.cont.de die IP-Adresse 192.168.2.1 als Antwort wieder, da der DNS-Server festgestellt hat, dass der Client die gleiche Netzwerkkennung wie 192.168.2.1 hat (192.168.0.0). Hinweis 0274 Die Netzwerkmaskenanforderung hat bei mehrfach vernetzten Computern (z.B. Web-Servern) Vorrang vor der Round-Robin-Rotation. Eine aktivierte Round-Robin-Rotation wird jedoch als nach geordnete Sortiermethode für mehrere Einträge, die in einer Antwortliste übermittelt werden. Bei einer Deaktivierung der Round-Robin-Rotation übermittelt der DNS-Server die übereinstimmenden A-Ressourceneinträge immer in der Reihenfolge, in der diese Einträge in der Zone vorliegen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 34 von 122 Cache vor Beschädigungen sichern ist standardmäßig aktiviert und bewirkt, dass der DNS-Server seinen DNS-Cache vor Verweisen schützt, die möglicherweise schädigend oder nicht sicher sind. Zudem führt der Server eine Zwischenspeicherung dann nur für Einträge durch, deren Namen der Domäne dem des ursprünglich abgefragten Namen entsprechen. Beispiel 0275 Wenn eine Abfrage zum Beispiel ursprünglich für svr1.cont.de ausgeführt wurde und auf eine verweisende Antwort einen Ressourcen-Eintrag für den Namen außerhalb der Domänennamenstruktur cont.de (z.B. contoso.de), wird dieser Name verworfen, falls Cache vor Beschädigungen sichern aktiviert ist. Somit wird verhindert, dass nicht autorisierte Computer die Identität eines anderen Netzwerkservers annehmen können. Namensüberprüfung Methode ausschließlich RFC (ANSI) kein RFC (ANSI) Multibyte (UTF8) (Standard) alle Namen Beschreibung Verwendet eine strenge Überprüfung der Namen nach RFC 1123. A-Z, a-z, Zahlen 0-9 (kann auch 1. Zeichen sein) und Bindestriche Lässt Namen zu, die nicht dem Standard entsprechen und nicht den Namenspezifikationen für Internethosts in RFC 1123 genügen. Standardeinstellung. Lässt die Erkennung von anderen Zeichen als ASCII-Zeichen zu. Namen im UTF-8-Format dürfen die Größenbeschränkungen nicht überschreiten, die in RFC 2181 angegeben sind (max. 63 Oktette je Bezeichnung und 255 Oktette pro Name). Lässt alle Namenkonventionen zu Sollte man mit Nicht-Windows-Servern Zonenübertragungen durchführen, die nicht UTF-8-fähig sind, dann aktiviert man die Option ausschließlich RFC (ANSI). Hinweis 0278 BIND-Server 4.9.4 4.9.7 8.1.2 8.2.1 Hinweis schnelles Übertragungsformat durch Datenkomprimierung (aber ganze Zonendatei wird übertragen) SVR-Ressorceneinträge dynamische Aktualisierung von Ressourceneinträgen -> Active Directory tauglich IFXR Zusammenfassung der Lektion 5.3 0280 - Auf der Registerkarte Erweitert des Eigenschaftendialogfelds eines DNS-Servers können neun Installationseinstellungen konfiguriert werden (siehe Seite 31, und außerdem nur AFXR). - Die Serveroption Rekursionsvorgang (und Forwarder) deaktivieren ist standardmäßig deaktiviert, so dass die Rekursion für den DNS-Server aktiviert ist und der Server Abfragen für seine Clients durchführt, sofern dieses Verhalten nicht durch eine spezielle Clientkonfiguration außer Kraft gesetzt wird. Bei der Aktivierung dieser Serveroption ist der Reiter Weiterleitung nicht da und auch keine möglich. - Die Option BIND-Sekundärzonen ist standardmäßig aktiviert. Daher setzen DNS-Server in Windows 2003 kein schnelles Übertragungsformat ein, wenn sie eine Zonenübertragung auf BIND-basierte DNS-Server durchführen. Diese Funktion ermöglicht hinsichtlicht hinsichtlich der Zonenübertragungen die Kompatibilität mit älteren BIND-Versionen (BIND 8.2.1 kann IFXR [und das ältere AFXR]). - Die Option Netzwerkmaskenanforderung aktivieren ist standardmäßig aktiviert. Daher übermittelt ein DNS-Server in Windows Server 2003 als Antwort auf eine Anforderung zur Auflösung es Namens eines mehrfach vernetzten Computers (eines Computers mit mindestens zwei IP-Adressen) zunächst die IP-Adresse an den Client, die zum Subnetz des Clients gehört. - Die Option Round-Robin aktivieren ist standardmäßig aktiviert. Daher wechseln DNS-Server in Windows 2003 als Antwort auf eine Anforderung zur Auflösung des Namens eines mehrfach vernetzten Computers sowie in Situationen, in denen der keine gefundene IP-Adresse im selben Subnetz wie der Client liegt, immer wieder die Reihenfolge der übereinstimmenden A-Ressourceneinträge in der Antwortliste die an verschiedene Clients übermittelt wird („Lastverteilung“). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 35 von 122 5.4. Lektion 4 Erstellen von Zonendelegierungen Das Delegieren einer Zone bedeutet, die Autorität über Abschnitte eines DNS-Namenraums an untergeordnete DNS-Domänen innerhalb dieses Namenraums zuzuweisen. Wann sind Zonendelegierungen sinnvoll? - Die Verwaltung einer DNS-Domäne muss an eine Niederlassung oder Abteilung innerhalb Ihrer Organisation delegiert werden. - Die Last der Pflege einer umfangreichen DNS-Datenbank muss auf mehrere Namenserver verteilt werden, um die Leistungen der Namensauflösung und die Fehlertoleranz zu erhöhen. - Hosts und Hostnamen müssen innerhalb Ihrer Organisation gemäß der Zugehörigkeit zu Niederlassungen oder Abteilungen strukturiert werden. Funktionsweise einer Delegierung - Ein NS-Eintrag (auch als Delegierungseintrag bezeichnet) zu Erstellung der eigentlichen Delegierung. Dieser Eintrag wird verwendet, um abfragenden Clients anzuzeigen, dass es sich beim Computer svr2.rot.cont.de um einen autorisierenden Server für die delegierte untergeordnete DNS-Domäne handelt. - Ein A-Ressourceneintrag (auch als Verbindungseintrag bezeichnet) zur Auflösung des Servernamens, der, der im NS-Eintrag angegeben ist, in die entsprechende IP-Adresse. Verbindungseinträge sind notwendig, wenn der für die delegierte DNS-Zone autorisierende Namenserver selbst ein Mitglied der delegierten Domäne ist. Der Vorgang der Auflösung des Hostnamens in diesem Eintrag mit den delegierten DNS-Server im NS-Eintrag wird bisweilen auch als Verbindungsverfolgung bezeichnet. Hinweis 0282 Diese beiden Einträge werden automatisch durch die Konsole DNS erstellt, wenn eine neue Delegierung erstellt wird. Hinweis 0283 Nach der Erstellung einer Delegierung über die Konsole DNS wird in den Zonendaten automatisch ein Verbindungseintrag vorgenommen. Dieser Eintrag wird in der Konsole DNS ausgeblendet. Hinweis 0284 Delegierungen haben Vorrang vor der Weiterleitung. Wenn im z.B. der für die Domäne cont.de autorisierende Server für die Weiterleitung aller Abfragen konfiguriert wird, die er nicht beantworten kann, wird der Server eine Abfrage für den Namen xp2.rot.cont.de weiterhin durch Kontaktieren des DNS-Servers auf svr4.rot.cont.de beantworten, und nicht durch Kontaktieren der Weiterleitung, die auf der Registerkarte Weiterleitungen angegeben ist. (Szenario: Auf dem DNS-Server svr1.cont.de gibt es eine Delegierung für die DNS-Zone rot.cont.de an den DNS-Server svr4.rot.cont.de und Client xp1.cont.de möchte den Namen von Client xp2.rot.cont.de in eine IP-Adresse auflösen) Prüfungstipp 0285 In dieser Lektion haben wir nur das Delegieren von Forward-Lookupzonen behandelt, es aber auch ReverseLookupzonen werden delegiert. RFC 2317 legt fest, dass Sie mit einem NS-Eintrag Ihren DNS-Server so konfigurieren können, dass er den Auftrag, IP-Adressen innerhalb Ihres Adressraumes in Hostnamen zu übersetzen, an einen anderen DNS-Server delegiert (Diese Reverse-Delegierung kann auch bei Ihrem Internetprovider durchgeführt werden, wo sie auf Ihre internen DNS-Server verweist.). Zum Beispiel können Sie einen DNS-Server namens svr1.cont.de so konfigurieren, dass er Reverse-Lookups für den Adressraum 192.198.4.0/24 an einen DNS-Server namens svr4.rot.cont.de delegiert. Dazu konfigurieren Sie auf svr1.cont.de eine Zone namens 0.2.168.192.in-addr.arpa und fügen einen NS-Eintag hinzu, u die DNS-Zonen-Delegierung zu implementieren. Der NS-Eintrag hat folgendes Format: 0/24 NS svr4.rot.cont.de. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 36 von 122 Prüfungstipp 0285 Damit Sie die Simulationsfragen richtig beantworten können, müssen Sie das Einrichten einer Delegierung beherrschen. Diese Aufhabe müssen Sie durchführen, wenn in einer Frage gefordert wird, dass Clients, die auf DNS-Server in einer übergeordneten Domäne verweisen, in der Lage sein müssen, Namen in der untergeordneten oder Subdomäne aufzulösen. Zusammenfassung der Lektion 5.4 0290 - Das Delegieren einer Zone entspricht dem Zuweisen der Autorität über Abschnitte eines DNS-Namenraumes an untergeordnete DNS-Domänen innerhalb eines Namenspaces. Eine Zonendelegierung wird vorgenommen, wenn die Zuständigkeit für die Ressourceneinträge einer untergeordneten Domäne vom Besitzer der übergeordneten Domäne auf den Besitzer der untergeordneten Domäne übertragen wird. - Die Delegierung einer Zone innerhalb eines Netzwerks sollte in Betracht gezogen werden, wenn die Verwaltung einer DNS-Domäne an eine Niederlassung oder Abteilung innerhalb der Organisation delegiert werden muss, um die Leistung der Namensauflösung oder die Fehlertoleranz zu erhöhen, oder wenn Hosts und Hostsnamen gemäß der Zugehörigkeit zu Niederlassungen oder Abteilungen in der Organisation strukturiert werden müssen. - Damit eine Delegierung implementiert werden kann, muss die übergeordnete Zone sowohl einen NS-Ressourceneintrag als auch einen A-Ressorceneintrag enthalten, der auf den autorisierten Server der neu delegierten Domäne verweist. Diese Einträge sind für die Übertragung der Autorität auf die neuen Namenserver und für die Bereitstellung von Verweisen für Clients erforderlich, die iterative Abfragen durchführen. Die Einträge werden automatisch durch die Konsole DNS erstellt, wenn eine neue Delegierung erstellt wird. - Zu Erstellung einer Zonendelegierung erstellen Sie zuerst die zu delegierende Domäne auf dem Server, der die delegierte Zone hosten wird. Anschließend führen Sie auf dem Server, der die übergeordnete Zone hostet, den Assistenten zum Erstellen neuer Delegierungen aus, in dem Sie in der Konsole DNS mit der rechten Maustaste auf den Knoten der übergeordneten Zone klicken und anschliessend auf Neue Delegierung klicken. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 37 von 122 5.5 Lektion 5 Bereitstellen von Stubzonen Eine Stubzone ist eine gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die NS-Einträge enthält, die zu einer Masterzone gehören. Ein Server, der eine Stubzone hostet, beantwortet keine Abfrage für die Zone direkt, sondern leitet diese Abfragen an einen der Namenserver weiter, der in den NS-Ressourceneinträgen der Stubzone angegeben ist. Eine Stubzone erfüllt somit genau dieselbe Funktion wie eine Zonendelegierung. Aber weil Stubzonen Zonenübertragungen von der (delegierten) Masterzoneeinleiten und empfangen können, bieten Stubzonen den zusätzlichen Vorteil, dass sie übergeordnete Zonen darüber informieren, wenn sich die NS-Einträge untergeordneter Zonen verändert haben. Stubzonen werden also verwendet, um sämtliche NS-Ressourceneinträge einer Masterzone auf dem aktuellen Stand zu halten. Zur Konfiguration einer Stubzone müssen Sie mindestens einen Namenserver angeben, der als Master fungiert und dessen IP-Adresse nicht geändert wird, während die anderen Namenserver kommen und gehen. Die Ressourceneinträge einer Stubzone können nicht geändert werden. Alle Änderungen, die an diesen Einträgen in einer Stubzone vorgenommen werden sollen, müssen in der ursprünglichen primären Zone vorgenommen werden, von der die Stubzone abgeleitet wurde. Vorteile von Stubzonen - Bessere Namensauflösung Mit Stubzonen kann ein DNS-Server die Rekursion einsetzen, indem er die Namenserverliste der Stubzone verwendet, ohne den Stammserver abzufragen. - Zoneninformationen Dritter auf dem aktuellen Stand halten Durch regelmäßiges Aktualisieren der Stubzone unterhält der DNS-Server, der die Stubzone hostet, eine aktuelle Liste von Namenservern für eine andere Zone, z. B. eine delegierte Zone auf einen anderen DNS-Server. - Delegierung mit Updates Sie können Stubzonen als Alternative zu Zonendelegierungen einsetzen. Statt eine Delegierung an eine Subdomäne zu definieren, erstellen Sie einfach in der übergeordneten Domäne eine Stubzone für die Subdomäne. Im Unterschied zu Zonendelegierungen ist es bei Stubzonen möglich, Änderungen an den NS-Einträgen bei der übergeordneten Domäne bekannt zu machen. - Vereinfachen der DNS-Administration Durch den Einsatz von Stubzonen in der gesamten DNS-Infrastruktur können Zoneninformationen ohne Einsatz sekundärer Zonen verteilt werden. Wichtig 0292 Stubzonen dienen nicht demselben Zweck wie sekundäre Zonen und sind bei der Planung für Fehlertoleranz, Redundanz oder Lastenausgleich keine Alternative. Stubzonen werden meist verwendet, um Zonendelegierungen durchzuführen, wenn abzusehen ist, dass sich die Namenserver der delegierten Zone ändern. Sie werden auch eingesetzt, um Namensauflösungen über Domänen hinweg in einer weise zu vereinfachen, mit der ein Abfragen von Stammservern oder Weiterleitungen vermieden wird. Sie sind für die Herstellung einer domänenübergreifenden DNS-Konnektivität von Bedeutung. Prüfungstipp 0293 Sie sollten darauf vorbereitet sein, dass Stubzonen Bestandteil der Prüfung 70-291 sind. Sie müssen vor allem in der Lage sein, Szenarien zu erkennen, in denen das Einrichten einer Stubzone die beste Lösung ist. Damit Sie die Simulationsfragen richtig beantworten können, müssen Sie das Erstellen einer Stubzone beherrschen. Sie erkennen Fragen zu Stubzonen daran, dass gefordert wird, dass alle neu zur Zielzone hinzugefügten DNSServer in der Liste der abgefragten Server erscheinen müssen. Hinweis 0295 Stubzonen weisen wie Delegierungen ebenfalls Verbindungseinträge in den Zonendaten auf, die in der Konsole DNS jedoch nicht angezeigt wird. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 38 von 122 Updates von Stubzonen - Neu laden Mit diesem Vorgang wird die Stubzone aus dem lokalen Speicher des DNS-Servers geladen, der sie hostet. - Übertragungen vom Master Der DNS-Server, der die Stubzone hostet, stellt fest, ob die Seriennummer im SOA-Ressourceneintrag der Stubzone abgelaufen ist, und führt darauf hin eine Zonenübertragung vom Masterserver der Stubzone durch. - Erneut vom Masterserver übertragen Mit dieser Option wird ungeachtet der Seriennummer im SOA-Ressourceneintrag der Stubzone eine Zonenübertragung vom Masterserver der Stubzone durchgeführt. Prüfungstipp 0296 Für die Prüfung 70-291 müssen Sie die Unterschiede zwischen diesen drei Optionen kennen, die auf sekundäre und auf Stubzonen angewendet werden können. Zusammenfassung der Lektion 5.5 0299 - Eine Stubzone ist die gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die NS-Einträge enthält, die zu einer Masterzone gehören. Stubzonen werden in den meisten Fällen als Alternative zu einer Delegierung eingesetzt. Im Vergleich zu einer Delegierung bietet eine Stubzone den zusätzlichen Vorteil, dass eine übergeordnete Zone ihre Liste der autorisierenden Namenserver in der untergeordneten Zone auf dem neuesten Stand halten kann. - Stubzone können auch eingesetzt werden, um die Namensauflösung über Domänen hinweg in einer Weise zu vereinfachen, mit der das Abfragen des Stammservers oder der Weiterleitung in der Stammdomäne eines DNS-Namenspace vermieden wird. - Zur Erstellung einer Stubzone zeigen Sie den Assistenten zum Erstellen neuer Zonen an, in dem Sie in der Konsole DNS mit der rechten Maustaste auf das DNS-Serversymbol klicken und anschließend auf Neue Zone klicken. Im Assistenten zum Einstellen neuer Zonen aktivieren Sie die Option Stubzone und folgen den Anweisungen des Assistenten. - Zur Konfiguration einer Stubzone muss mindesten ein Namenserver angegeben werden, der als Master fungiert und dessen IP-Adresse nicht geändert wird. Die Stubzone wird über Zonenübertragungen automatisch mit allen neuen Namenservern aktualisiert, die zu einem späteren Zeitpunkt zur Masterzone hinzugefügt werden. - Stubzonen dienen nicht demselben Zweck wie sekundäre Zonen und sind keine Alternative bei der Planung für Fehlertoleranz, Redundanz oder Lastenausgleich. Hinweis Problembehandlung 0302 - netdiag /fix Reparieren bzw. Neuerstellen von wichtigen DNS-Einträgen (kerberos) - dnscmd /zoneresettyp rot.cont.de /dsprimary umwandeln in Active-Directory-integrierte Zone - dnscmd . /config rot.cont.de /allowuopdate 2 nur sichere Updates sind zugelassen (nur Computer können die Res-Eintrage aktualisieren, die sie selbst erstellt haben) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 39 von 122 Zusammenfassung des Kapitels 5 0303 - Auf der Registerkarte Weiterleitungen des Eigenschaftendialogfelds eines DNS-Servers können DNS-Abfragen, die vom lokalen DNS-Server empfangen werden, an übergeordnete DNS-Server, so genannte Weiterleitungen, weitergeleitet werden. Auf dieser Registerkarte kann auch die Rekursion für ausgewählte Abfragen (unter Angabe der Domäne) deaktiviert werden. - Die Registerkarte Stammhinweise des Eigenschaftendialogfelds eines DNS-Servers bietet eine einfache Methode zur Änderung des Inhalts der Datei Cache.dns. Wenn der DNS-Server zur Auflösung von Internetnamen eingesetzt wird, müssen diese Einträge in der Regel nicht geändert werden. Wenn der DNS-Server jedoch nur für die Beantwortung von Abfragen für Hosts in einem separaten und privaten DNS-Namenspace genutzt wird, sollen diese Stammhinweise geändert werden, damit sie auf die Stammserver in Ihrem Netzwerk verweisen. Fungiert ein DNS-Server schließlich als Stammserver (mit der Bezeichnung „.“) Ihres privaten Namenspaces, sollte die Datei Cache.dns gelöscht werden. - Wenn ein DNS-Server auf einem Domänencontroller eingerichtet, können die Zonendaten in der Active-Directory-Datenbank gespeichert werden. Durch Active-Directory-integrierte Zonen wird der Datenverkehr für die Zonenübertragung minimiert, die Sicherheit erhöht, der Verwaltungsaufwand reduziert und eine höhere Fehlertoleranz erreicht. Zonendaten können so konfiguriert werden, dass sie auf alle DNS-Server in der Active Directory-Gesamtstruktur, auf alle DNS-Server in der Active Directory-Domäne, auf alle Domänencontroller in der Active Directory-Domäne oder auf alle Server repliziert werden, die in einer benutzerdefinierten Anwendungsverzeichnispartition aufgeführt sind. - Wenn in einer Zone nicht sichere dynamische Updates zugelassen sind, kann jeder Computer einen Ressourceneintrag in einer DNS-Zone aktualisieren. Wenn nur sichere dynamische Updates zugelassen sind, darf ein DNS-Ressourceneintrag nur von seinem Besitzer aktualisiert werden. Sichere dynamische Updates können nur in Active-Directory-integrierten Zonen vorgeschrieben werden. - Auf der Registerkarte Zonenübertragungen können die Übertragungen von der aktuellen Zone eingeschränkt werden. Zonenübertragungen von primären Servern entweder vollständig deaktiviert oder auf die Server beschränkt, die auf der Registerkarte Namenserver angegeben sind. Die Art dieser Einschränkung hängt von der Methode ab, mit der der DNS-Server installiert wurde. - Das Delegieren einer Zone entspricht dem Zuweisen der Autorität über Abschnitte eines DNS-Namenspaces. Eine Zonendelegierung wird vorgenommen, wenn die Zuständigkeit für die Ressourceneinträge einer untergeordneten Domäne vom Besitzer der übergeordneten Domäne auf den Besitzer der untergeordneten Domäne übertragen wird. - Eine Stubzone ist die gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die NS-Einträge enthält, die zu einer Masterzone gehören (der die Masterzone hostende DNS-Server hat eine unveränderliche IP-Adresse). Stubzonen werden in den meisten Fällen als Alternative zu einer Delegierung eingesetzt. Schlüsselinformationen Kapitel 5 0304 - Vollziehen Sie die verschiedenen Breichsoptionen für die Zonenreplikation nach, die für Active-Directory-integrierte Zonen verfügbar sind. - DNS wird von allen Themen in der Prüfung 70-291 am eingehendsten geprüft. Daher sollten Sie mit allen Einstellungen in den verschiedenen Registerkarten des Eigenschaftendialogfeldes eines DNS-Servers und allen Einstellungen in den Registerkarten des Eigenschaftendialogfeldes einer Zone gut vertraut sein. - Machen Sie sich mit der Oberfläche der Konsole DNS gut vertraut. Mindestens eine Simulationsfrage dürfte sich mit dem Thema DNS befassen. - Lernen Sie, die Szenarien zu erkennen, in denen die Weiterleitung eingerichtet werden sollte. - Machen Sie sich den Unterschied zwischen sicheren und nicht sicheren dynamischen Updates bewusst. - Lernen Sie, die Szenarien zu erkennen, in denen primäre Zonen, sekundäre Zonen, Stubzonen bzw. Active-Directory-integrierte Zonen eingeführt werden sollten. - Lernen Sie, die Szenarien zu erkennen, in denen Delegierungen eingeführt werden sollten. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 40 von 122 Schlüsselbegriffe Kapitel 5 0304 Anwendungsverzeichnispartition Eine Partition von Daten, die in der Active Directory-Datenbank auf eine Untermenge von Domänencontrollern repliziert wird. Anwendungsverzeichnispartitionen enthalten Informationen, die von einer bestimmten Anwendung oder einem bestimmten Dienst wie DNS eingesetzt werden können. Rekursion Der Vorgang, bei dem eine DNS-Abfrage im Auftrag eines DNS-Clients beantwortet wird. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 41 von 122 6. Kapitel 6 Überwachung und Problembehandlung von DNS Der Dienst DNS-Server (Domain Name System) ist der wichtigste Einzeldienst in Microsoft Windows Server 2003-Netzwerken. Von einem DNS-Ausfall sind auch der Verzeichnisdienst Active Directory und die meisten Internetverbindungen betroffen. Auf Grund dieser Bedeutung müssen Sie in der Lage sein, DNS zu überwachen, zu diagnostizieren und zu reparieren, um seine ordnungsgemäße Funktion im Netzwerk zu gewährleisten. Überwachungstools sind zum Beispiel Nslookup, Protokoll DNS-Ereignisse, die Konsole Replikationsmonitor und das Protokoll DNS-Server. 6.1. Lektion 1 Verwenden von Tools zur DNS-Problembehandlung Das Befehlszeilentool Nslookup.exe kann entweder als einfacher einmaliger Befehl (nichtinteraktiver Modus => z:\>nslookup svr2.cont.de <ENTER>) oder als ein Programm ausgeführt werden, das fortlaufende Befehle und Abfragen akzeptiert (interaktiver Modus => z:>nslookup <ENTER> ...). Zur Auflösung der Abfrage übermittelt das Dienstprogramm nslookup den Namen an den DNS-Server, der für die primäre Verbindung auf den lokalen Clientcomputer angegeben ist. Dieser DNS-Server kann die Abfrage daraufhin über seinen Cache oder über Rekursion beantworten. Wenn Sie eine Problembehandlung bei einen bestimmten DNS-Server statt bei dem Server durchführen möchten, der für die primäre Verbindung auf den lokalen Clientcomputer festgelegt ist, können Sie diesen DNSServer im Nslookup-Befehl angegeben. Mit dem folgenden Befehl, der in einer Eingabeaufforderung ausgeführt, wird eine Abfrage für den Namen svr2.cont.de an den DNS-Server 192.168.2.3 übermittelt. Z:\>nslookup svr1.cont.de 192.168.2.3 Server: svr3.cont.de Address: 192.168.2.3 Name: svr2.cont.de Address: 192.168.2.2 Hinweis 0318 Reverse-Lookupvorgänge beruhen auf Zeiger (PTR)-Ressourceneinträgen, die in Reverse-Lookupdomänen konfiguriert werden. konfiguriert werden. Nicht für alle Internethosts stehen Reverse-Lookupdomänen zur Verfügung. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 42 von 122 Wichtig 0319 Befehle, die im interaktiven Modus von Nslookup werden, beachten die Groß-/Kleinschreibung und müssen alle in Kleinbuchstaben eingegeben werden. nslookup <ENTER> set all set [no] debug set [no] d2 set domain=<Domainname> set timeout=<Timeout-Wert> set type=<Eintragstyp> oder set querytype=<Eintragstyp> oder set q=<Eintragstyp> exit Zeigt den Konfigurationsstatus aller Optionen an. Versetzt Nslookup in den Debugmodus werden mehr Informationen über das an den DNS-Server gesendete Paket und die entsprechende Antwort ausgegeben. Versetzt Nslookup in den Modus für ausführliches Debuggen, damit die Abfrage- und Antwortpakete zwischen der Auflösung und dem DNS-Server untersucht werden können. Informiert die Auflösung über den DNS-Domänennamen, der an nichtqualifizierte Abfragen einschließlich aller abgefragten Namen ohne abschließenden Punkt angehängt werden soll. Informiert die Auflösung über den zu verwendeten Timeout-Wert in Sekunden. Diese Option ist für langsame Verbindung nützlich, auf denen Abfragen häufig durch Zeitüberschreitungen ablaufen und die Wartezeit verlängert werden muss. Informiert die Auflösung über die Ressourcentypen, die gesucht werden sollen (z.B. A, MX, NS, PTR, RP, SRV). Wenn die Auflösung nach allen Einträgen suchen soll, geben Sie set type=all ein. Verlassen des interaktiven Modus von Nslookup. Prüfungstipp 0321 Sie können mit Nslookup überprüfen, ob eine übergeordnete DNS-Domäne Namen für eine delegierte Subdomäne auflösen kann. Geben Sie dazu auf einem DNS-Server der übergeordneten Domäne (zum Beispiel cont.de) in der NslookupEingabeaufforderung den Befehl set querytype=ns ein, gefolgt von dem Namen der Subdomäne (zum Beispiel rot.cont.de oder gold.rot.cont.de). Verwenden von Nslookup zum Anzeigen von Zonendaten nslookup <ENTER> ls -a <Domainname> Anzeige aller A- und CNAME-Einträge in der betreffenden Domäne ls -d <Domainname> Anzeige aller Einträge in der betreffenden Domäne ls -t <Typ> <Domainname> Anzeige aller <Typ>-Einträge in der betreffenden Domäne (z. B.: A, Alias, MX, NS, PTR, RP, SRV) exit Verlassen des interaktiven Modus von Nslookup. Prüfungstipp 0323 Für die Prüfung müssen Sie wissen, dass mit dem Nslookup-Befehl ls eine Zonenübertragung simuliert wird Zonenübertragungen in Windows Server 2003 standardmäßig eingeschränkt sind. Um einen DNS-Server mit Windows Server 2003 mit dem Nslookup-Befehl ls abzufragen, müssen Sie unbedingt Zonenübertragungen auf den Computer zulassen, auf dem Nslookup ausgeführt wird. Damit eine Abfrage von einem normalen DNS-Client gemacht werden kann, muss im DNS-Server die Zonenreplikation an alle Server aktiviert sein und nicht die Standardeinstellung „Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind“. Prüfungstipp 0323 Falls neben einem Serversymbol in der Konsole DNS ein Warnsymbol angezeigt wird, sollten Sie als Erstes im DNS-Ereignisprotokoll nach Fehlern suchen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 43 von 122 Die DNS-Debugprotokolldatei befindet sich im Ordner %Windir%\System32\Dns in der Datei Dns.log und enthält die auf der Registerkarte Debugprotokollierung konfigurierten Daten: - Abfragen - Benachrichtigungsnachrichten von anderen Servern - dynamische Updates - Inhalt des Abfrageabschnitts von DNS-Abfragenachrichten - Inhalt des Antwortabschnitts von DNS-Abfragenachrichten - Anzahl der von diesem Server übermittelten Anfragen - Anzahl der von diesem Server empfangenen Anfragen - Anzahl der über einen UDP (User Datagram Protocol)-Port empfangenen DNS-Anforerungen - Anzahl der über einen TCP (Transmission Control Protocol)-Port empfangenen DNS-Anforerungen - Anzahl der vom Server übermittelten vollständigen Datenpakete - Anzahl der durch den Server und zurück zur Zone geleiteten Datenpakete Prüfungstipp 0326 Sie brauchen für die Prüfung 70-291 nicht alle Elemente in der Liste auswendig lernen, aber Ihnen sollte klar sein, dass es am sinnvollsten ist, diese Ereignistypen, bei der Debugprotokollierung aufzuzeichnen. Warnung 0326 Lassen Sie die DNS-Protokollierung nicht während des normalen Arbeitsablaufs aktiviert, da sie sowohl Rechenleistung als auch Festplattenressourcen beansprucht. Aktivieren Sie sie nur für die Diagnose und Behebung von DNS-Problemen. Zusammenfassung der Lektion 6.1 0333 - Nslookup biete die Möglichkeit, Abfragetest vom DNS-Servern durchzuführen und über eine Eingabeaufforderung detaillierte Antworten abzurufen (ls -d <Eintragytyp> <Domainname>). - Im DNS-Ereignisprotokoll werden Fehler im DNS-Serverdienst des Betriebssystem Windows Server 2003 aufgezeichnet. Wenn Probleme im Zusammenhang mit DNS auftreten, kann die Ereignisanzeige auf DNS-bezogene Ereignisse überprüft werden. - Der DNS-Serverdienst unterhält ein eigenständiges Protokoll für das Debuggen. Bei diesem DNS-Debugprotokoll handelt es sich um die Datei Dns.log, die im Ordner %winddir%\System32\Dns gespeichert ist. - Um die Protokollierung von DNS-Datenpaketen in der Datei Dns.log zu aktivieren, aktivieren Sie auf der Registerkarte Debugprotokollierung des Eigenschaftendialogfelds für den jeweiligen DNS-Server das Kontrollkästchen Pakete zum Debuggen protokollieren. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 44 von 122 6.2. Lektion 2 Verwenden von DNS-Überwachungstools Der Replikationsmonitor dient der Überwachung der Replikation von DNS-Zonendaten und der Systemmonitor durch das Verwenden seiner entsprech. Indikatoren zur Überwachung der DNS-Leistung. Verwenden des Replikationsmonitors - Erzwingen der Replikation von DNS-Daten in verschiedenen Replikationsbereichen - Ermitteln der Ausfälle von Replikationspartnern - Anzeigen der Replikationstopologie - Abfragen von Replikationspartnern und Generieren individueller Verläufe erfolgreicher und fehlgeschlagener Replikationsereignisse - Anzeigen und Ändern, die noch nicht von einem gegebenen Replikationspartner repliziert wurden - Überwachen des Replikationsstatus von Domänencontrollern aus mehreren Gesamtstrukturen Mit dem Befehl replmon aus den Windows-Support-Tools wird der Replikationsmonitor gestartet. Standardmäßig sind keine Domänencontroller in der Konsolenstruktur enthalten. Durch den Rechtsklick auf das Symbol Monitored Servers und dann folgend auf Add Monitored Server werden Domänencontroller zur Konsolenstruktur hinzugefügt und somit überwacht. Die Konsolenkonfiguration kann als Ini-Datei gespeichert werden und später innerhalb des Replikationsmontors geöffnet werden. Verzeichnispartitionen: - Domänenpartition - Konfigurationspartition - Schemapartition - vordefinierte Anwendungsverzeichnispartition DomainDnsZones - vordefinierte Anwendungsverzeichnispartition ForestDnsZones (DNS-Zonendaten werden dort gespeichert bei Aktivierung folgender Option: Auf allen DNS-Servern in der Active Directory-Domäne) (DNS-Zonendaten werden dort gespeichert bei Aktivierung folgender Option: Auf allen DNS-Servern in der Active Directory-Gesamtstruktur) Prüfungstipp 0336 Für die Prüfung müssen Sie die Anwendungspartitionen DomainDnsZones und ForrestDnsZones kennen. Prüfungstipp 0336 Wenn Sie herausfinden wollen, welche Zonen auf einen bestimmten DNS-Server gehostet werden, können Sie mit dem Befehl dnscmd mit dem Befehlszeilenparameter /enumzones aufrufen. Praxistipp 0336 Dnscmd-Parameter für die DNS-Replikation: dnscmd <Servername> /zoneinfo cont.de Festlegung des Bereichs für die DNSZonenreplikation für die Zone cont.de dnscmd /zonechangedirectorypartition Bereich der Zonenreplikation ändern dnscmd /zonechangedirectorypartition <cont.de> /domain für alle DNS-Server der Domäne cont.de dnscmd /zonechangedirectorypartition <Forest> /forest für alle DNS-Server der Gesamtstruktur dnscmd /zonechangedirectorypartition <cont.de> /legacy für alle AD-Controller der Domäne cont.de Wenn Sie über die geeigneten Anmeldeinformationen verfügen, können Sie diese Befehlesogar im Remotezugriff ausführen. Geben Sie in diesem Fall nach dem Ausdruck dnscmd den Servernamen an. Im Replmon kann man die Verzeichnispartition erzwingen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 45 von 122 Prüfungstipp 0338 Falls Sie feststellen, dass DNS-Daten für die Active-Directory-integrierte Zone nicht mehr auf den aktuellen Stand sind, sollten sie mit Replmon nach Active Directory-Replikationsfehlern suchen. Alternativ kann der Replikationsmonitor, dass nach einer bestimmten Anzahl von Replikationsfehlern eine eMail an den Administrator gesendet wird. Tipp 0338 Der replikationsmonitor stellt eine allegemeine Methode zur Überwachung der Active Directory-Replikation und zur Ermittlung von Replikationsfehlern dar. Setzen Sie zur detaillierten Analyse und Problembehandlung der Active Directory-Replikation das Befehlszeilenprogramm Repadmin ein, dass sich ebenfalls in den Windows-Supporttools enthalten ist. Echtzeitüberwachung der DNS-Leistung mit dem Systemmonitor Beim Systemmonior handelt es sich um ein Tool in der Strukturansicht der Konsole Leistung. Weitere Informationen 0339 Weitere Informationen über die Verwendung der Konsole Leistung finden Sie im Kapitel 12, „Pflegen einer Netzwerkinfrastruktur“. Prüfungstipp 0340 Es gibt 62 Leistungsindikatoren für DNS-Server, die wichtigsten sind: - Cachespeicher - Empfangene dynamische Aktualisierungen - Verweigerte dynamische Aktualisierungen - In Datenbank geschriebene dynamische Aktualisierungen - Fehlschläge der sicheren Aktualisierungen - Empfangene sichere Aktualisierungen - Empfangene Abfragen insgesamt - Empfangene Abfragen insgesamt / Sekunde - Gesendete Antworten insgesamt - Gesendete Antworten insgesamt / Sekunde - Fehlgeschlagene Zonenübertragungen - Empfangene Zonenübertragungsanforderungen - Erfolgreiche Zonenübertragungen Insidertipps 0340 Die Mehrzahl der Leistungsindikatoren im Systemmonitor wird nur selten verwendet. Dennoch witzeln die Netztwerkadministratoren oft, dass der Systemmonitor das wichtigste aller Verwaltungstools sei. Wenn der Systemmonitor ausgeführt wird, und seine Echtzeitdiagramme für alle deutlich sichtbar wird, kann nämlich immer der Eindruck erweckt werden, das Sie schwer beschäftigt sind. Sicherheitswarnung 0341 Verwenden Sie die Sicherheitsgruppen Leistungsprotokollbenutzer und Systemmonitorbenutzer, um sicherzustellen. dass nur vertrauenswürdige auf vertrauliche Leistungsdaten zugreifen und diese bearbeiten können. Diese Sicherheitsgruppen wurden in Windows Server 2003 neu eingeführt. Prüfungstipp 0344 Die Windows-Supporttools enthalten das Befehlszeilenprogramm DNSLint, dessen hauptfunktion die Behebung fehlerhafter Delegierungen ist. DNSLint kann zudem eingesetzt werden, um DNS-Einträge zu überprüfen, die für die Active DirectoryReplikation genutzt werden, und auf mehreren DNS-Servern nach verschiedenen Eintragstypen zu suchen. Prüfungstipp 0345 Lernen Sie folgenden Befehl zum Löschen des DNS-Server-Cache für die Prüfung auswendig: dnscmd <Computername des Servers > /clearcache. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 46 von 122 Zusammenfassung des Kapitels 6 0346 - Nslookup ist ein Befehlszeilentool, mit dem DNS-Server abgefragt und Probleme im Zusammenhang mit DNS-Servern behoben werden können. - Im DNS-Ereignisprotokoll werden Fehler im DNS-Serverdienst des Betriebssystem Windows Server 2003 aufgezeichnet. - Der DNS-Serverdienst unterhält ein Debuggerprotokoll in der Datei Dns.log, die sich im Ordner %Windir%\System32\Dns gespeichert ist. - Der Replikationsmonitor ist ein grafisches Tool, mit dem die Active Directory-Replikation überwacht und auftretende Probleme Behoben werden können. Er kann eingesetzt werden, um eine Replikation Active-Directory-integrierter Zonen zu erzwingen und die Domäne nach Replikationsfehlern zu durchsuchen. - Der Systemmonitor, als Teilfunktion der Konsole Leistung, ermöglicht die Überwachung von Echtzeit-Leistungsindikatoren. - Das Leistungsobjekt DNS enthält 62 Indikatoren. Schlüsselinformationen Kapitel 6 0347 - Lernen Sie die grundsätzlichen Befehle und Parameter, die im Dienstprogramm Nslookup einngesetzt werden. - machen Sie sich mit dem Lesen von Meldungen im DNS-ereignisprotokoll vertraut. - Lernen Sie, welche Arten von DNS-Ereignissen Sie am besten mit Hilfe von Debugprotokollierung aufzeichnen können. - Lernen Sie, welche Arten von DNS-Ereignissen Sie am besten mit Hilfe des Systemmonitors aufzeichnen können. - Lernen Sie die Methoden zur Erzwingung der Replikation und Überprüfung auf Replikationsfehler in Active-Directory-integrierten Zonen. - Lernen Sie die Namen der verschiedenen Partitionen, in denen Active-Directory-integrierten Zonendaten gespeichert werden können. Schlüsselbegriffe Kapitel 6 0347 Replikat Kopie einer Active Directory-Partition, die auf einem Domänencontroller gespeichert ist. Schema Der Satz von Definitionen für sämtliche Objekte, die in einem Verzeichnis gespeichert werden können. Im Schema ist für alle Objektklassen festgelegt, über welche Attribute eine Klasseninstanz verfügen muss, welche zusätzlichen Attribute sie enthalten kann und welche weiteren Objektklassen als übergeordnete Objektklasse fungieren können. classSchema Ein Objekt; das im Schema zur Definition von Klassen verwendet wird. Ein classSchema-Objekt liefert die Vorlage für die Erstellung von Verzeichnisobjekten dieser Klasse. Beispiel für classSchema-Objekte sind User und Server. attributeSchema Ein Objekt; das im Schema zur Definition von Attributen verwendet wird. Mit einem attributeSchema-Objekt werden der zulässige Inhalt und die zulässige Syntax für Instanzen des jeweilgen Attributs im Verzeichnis festgelegt. Beispiele für attributeSchema-Objekte sind User-Prinzipal-Name und Telex-Nummer. Rekursive Abfrage Eine Abfrage, die einen Server zum Einsatz der Rekursion veranlasst. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 47 von 122 7. Kapitel 7 Konfigurieren von DHCP-Servern und -Clients DHCP (Dynamic Host Configuration Protokol) dient gemeinsam mit DNS (Domain Name System) als Grundlage einer Netzwerkinfrastruktur mit Microsoft Windows 2003. Bis auf ganz kleine Netzwerke statt DHCP überhall Hosts mit einer IP (Internet Protocol)-Konfiguration aus, die für eine Kommunikation mit anderen Computern im Netzwerk erforderlich ist. Diese Konfiguration umfasst mindestens eine IP-Adresse und eine Subnetzmaske. In der Regel sind jedoch ein primäres (DNS)-Domänensuffix, ein Standardgateway, bevorzugte und alternative DNS-Server, WINS-Server (Windows Internet Name Service) und verschiedene weitere Optionen enthalten. Könnten Sie als Administrator Clients nicht mit einer zuverlässigen und automatischen Methode eine solche Konfiguration zuweisen, wären Sie schnell mit der Aufgabe der manuellen Verwaltung dieser Konfigurationen überlastet. DHCP ist ein IP-Standard, mit dem die Komplexität der Verwaltung dieser Adresskonfiguration reduziert werden soll. Durch Ausstellen von Leases aus einer zentralen Datenbank verwaltet DHCP automatisch die Zuweisung von Adressen und konfiguriert weitere wichtige Einstellungen für Ihre Netzwerkclients. 7.1. Lektion 1 Konfigurieren des DHCP-Servers Hinweis 0356 Sie müssen als Administrator angemeldet sein (zum Beispiel als Mitglied der domänenlokalen Sicherheitsgruppe DHCP-Administratoren oder der globalen Gruppe Domänen-Admins), um eine Windowskomponente wie DHCP installieren zu können. Tipp 0356 Weisen Sie dem Computer, welcher als dem DHCP-Server fungieren soll, eine statische Adresse zu. Wenn ein DHCP-Server in Active-Directory-Netzwerke integriert weden sollen, müssen sie autorisiert werden. Nur Domänencontroller und Domänenmitgliedsserver sind Bestandteil von Active Directory, und nur diese Servertypen können autorisiert werden. Beim ersten DHCP-Server in einem Netzwerk mit Active Directory-Domäne handelt es sich immer um einen autorisierten Server. Rouge-Server ist ein eigenständiger DHCP-Server, welcher zusammen mit autorisierten Servern implementiert wurde. Wenn Rouge-Server auf einem Computer mit Windows Server 2000 oder 2003 im eigenen Subnetz einen autorisierenden DHCP-Server ermitteln, dann stoppt der eigenständige DHCP-Server das Leasen von IPAdressen an DHCP-Clients. Warnung 0357 Auch wenn ein DHCP-server auf einem Domänencontroller installiert werden kann, sollte diese Vorgehensweise aus Gründen, die im Abschnitt „Sicherheitserwägungen“ dieses Kapitels behandelt werden, vermieden werden (Anmeldung an einen Domänencontroller u.s.w.). Hinweis 0357 Um über die erforderlichen Berechtigungen für das Autorisieren eines DHCP-Servers oder für das Aufheben einer entsprechenden Autorisierung zu verfügen, müssen Sie Mitglied der globalen Sicherheitsgruppe Organisations-Admins sein. Konfigurieren von Bereichen Bei einem DHCP-Bereich (englisch scope) handelt es sich um einen Pool von IP-Adressen innerhalb eines logischen Subnetzes, die ein DHCP-Server Clients zuweisen kann. Bereiche sind für einen Server eine wichtige Möglichkeit, die Verteilung und Zuweisung von IP-Adressen und allen damit verbundenen Konfigurationsparametern (z.B. in den Bereichsoptionen) an Clients im Netzwerk zu verwalten. Einen neuen Bereich erstellt man mit einem Rechtsklick auf dem Serverknoten und Klick auf „Neuer Bereich“. Tipp 0358 Ein DHCP-Server sollte eine Statische IP-Adresse zugewiesen bekommen haben, die mit dem Segment kompatibel ist, in welchem sich die DHCP-Clients befinden (direkt oder DHCP-Relay-Agent). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 48 von 122 Prüfungstipp 0358 Um die Simulationsfragen in der Prüfung beantworten zu können, müssen Sie das Erstellen neuer Bereiche sicher Beherrschen. Sie müssen auch in der Lage sein, mit dem Bereichserstellungs-Assistenten alle Features zu konfigurieren, die in der folgenden Aufzählung erwähnt werden. Das ist nicht besonders Anspruchsvoll, aber es wird in den Simulationen dadurch erschwert, dass Sie nicht direkt alle Informationen genannt bekommen, die Sie brauchen. Zum Beispiel könnte es sein, dass in der Prüfungsfrage nicht erwähnt wird, welche IP-Adresse Sie auf der Seite Router (Standardgateway) konfigurieren müssen. Stattdessen müssen Sie anhand einer Grafik des LANs (Local Area Network) herausfinden, welche Adresse als Standardgateway für ein bestimmtes LAN-Segment konfiguriert werden soll. Es kann auch sein, dass die Frage nicht explizit den Adressbereich nennt, der für den Bereich konfiguriert werden soll. Stattdessen müssen Sie sich wieder eine Grafik des LANs ansehen und herausfinden, welche Adressen bereits statisch an Server und Router zugewiesen sind. Anschließend müssen Sie einen Adressbereich erstellen, der die statischen Adressen ausschließt, aber zum selben logischen Subnetz gehört wie diese Adressen. Seiten des Bereichserstellungs-Assistenten - Bereichsname - IP-Adressbereich (Start und End-IP-Adresse und Subnetzmaske) - Ausschlüsse hinzufügen - Leasedauer (Standard: 8 Tage) - DHCP-Optionen konfigurieren (u. a. Entscheidung, ob sofort konfiguriert wird oder später) - Router (Standardgateway) (optional) - Domänenname und DNS-Server (optional) - WINS-Server (optional) - Bereich aktivieren (optional) (Frage, ob der Bereich nach Fertigstellen des Assistenten aktiviert soll) Diese Funktionen können zu einem späteren Bereich über die Konsole DHCP geändert werden, aber bei einer IP-Adressbereichsänderung muss der Bereich neu angelegt werden. Wichtig 0359 Wenn Sie die Option aktivieren, die DHCP-Optionen zu einem späteren Zeitpunkt zu konfigurieren, erhalten Sie keine Gelegenheit mehr, den Bereich zu aktivieren. Der Bereich muss dann manuell aktiviert werden, bevor Adressleases ausgestellt werden können. Tipp 0361 Sie sollten einem Windows 2003-Computer, auf dem der DHCP-Dienst läuft, eine statisch konfigurierte Adresse zuweisen. Stellen Sie sicher, dass diese Adresse entweder außerhalb des konfigurierten Bereichs liegt oder aus ddiesem Bereich ausgeschlossen wurde. Adresspool ist der noch verfügbare Adressbereich, welcher übrig bleibt, nachdem der Ausschlussbereich konfiguriert wurde (Adresspool = Adressbereich-Ausschlussbereich). Verwenden der 80:20-Regel für Server und Bereiche Sind 2 DHCP-Server im Einsatz, um die Last auszugleichen, dann verwaltet der erste 80% des Adresspools und der andere 20% des Adresspools vom gleichen Adressbereich. Es ist somit auch eine Ausfallsicherheit vorhanden. Beispiel: 2 Subnetze mit 2 DHCP-Servern DHCP-Server 1 verwaltet 80% der Adressen eines Bereiches (Bereich: 192.168.1.11 - 192.168.1.254 mit Adressausschlüsse: 192.168.1.205 - 192.168.1.254) und (Bereich: 192.168.2.11 - 192.168.2.254 mit Adressausschlüsse: 192.168.2.11 - 192.168.2.204) DHCP-Server 2 verwaltet 20% der Adressen eines Bereiches (Bereich: 192.168.2.11 - 192.168.2.254, Adressausschlüsse: 192.168.2.205 - 192.168.1.254) (Bereich: 192.168.1.11 - 192.168.1.254 mit Adressausschlüsse: 192.168.1.11 - 192.168.1.204) und Regel: pro Broadcastdomäne ein DHCP-Server (es lassen sich in einer Active Directory-Domäne nicht 2 DHCP-Server in einer Broadcastdomäne installieren) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 49 von 122 Prüfungstipp 0363 Prägen Sie sich für die Simulationsfragen ein, auf welche Weise Sie eine DHCP-Reservierung definieren. Fragen zum Thema DHCP-Reservierung erkennen Sie daran, dass gefordert wird, dass ein Computer immer eine bestimmte IP-Adresse benutzen muss (Adresse wird angegeben). Eine Reservierung ist auch oft erforderlich, wenn in einer Frage die MAC-Adresse eines Computers angegeben wird. In der Prüfung 70-291 sind MAC-Adressen nur im Zusammenhang mit Reservierungen und dem Befehl Arp von Bedeutung. Denken Sie auch daran, dass Sie keine Interpunktionszeichen (etwa Bindestriche oder Doppelpunkte) eingeben brauchen, wenn Sie in einer Reservierung eine MAC-Adresse angeben. Reservierungen können nicht anstelle von manuellen (statischen) Konfigurationen eingesetzt werden. Reservierungen sind keine zulässige Alternative zu statischen Adressen (z.B. für DNS- und DHCP-Servern und Servern überhaupt). Prüfungstipp 0364 Für die Prüfung 70-291 müssen Sie die Vererbung der DHCP-Optionen verstehen. Reservierungsoptionen setzen sich gegenüber den Bereichsoptionen und diese gegenüber den Serveroptionen durch. Von den mehr als 60 DHCP-Standard-Optionen sind folgende am häufigsten eingesetzt: - 003 Router Liste bevorzugter IP-Adressen für Router in selben Subnetz wie die DHCP-Clients. - 006 DNS-Server IP-Adressen der DNS-Server, die die Clients kontaktieren können. - 015 DNS-Domänenname DNS-Domänenname und ermöglicht die dynamische DNS-Updates der Clients - 044 WINS/NBNS-Server IP-adressen von primären und sekundären WINS-Servern, die der Client nutzen soll. - 044 WINS/NBNS-Knotentyp bevorzugte Methode der NetBIOS-Namensauflösung 0x1 für ausschließlichen Broadcast (B-Knoten) 0x8 für eine Mischung aus Endpunkt und Broadcastmethoden (H-Knoten) - 051 Lease Eine Option, mit der ausschließlich RAS-Clients eine bestimmte Leasedauer zugewiesen wird. Diese Option beruht auf Benutzerklassseninformationen (siehe Kapitel 7 Lektion2). Hinweis 0366 Der Befehl im Menü Aktion wechselt zum Befehl Deaktivieren, wenn der markierte Bereich momentan aktiviert ist. In Produktivumgebungen sollte ein Bereich nur dann deaktiviertw erden, wenn Sie ihn permanent aus dem Netzwerk entfernen möchten. Prüfungstipp 0366 In der Prüfung wird oft eine Frage vorkommen, bei der DHCP nicht funktioniert, weil entweder der Bereich nicht aktiviert oder der Server nicht autorisiert wurde. Konfiguration des Clients Damit der Client seine IP-Adresse und Netzwerkkonfiguration vom DHCP-Server bezieht, muss im Dialogfeld Eigenschaften von Internetprotokoll (TCP/IP) für die entsprechende Netzwerkverbindung die Option IP-Adresse automatisch beziehen aktiviert sein (alles außer IP-Adresse des zuständigen DNS-Server). Damit der DHCP-Client auch die DNS-Optionen vom DHCP-Server bezíeht, aktivieren sie die darunter zu sehende Option DNS-Serveradresse automatisch beziehen. Migrieren von APIPA- oder alternativen Konfiguration Wenn ein Client für das automatische Abrufen einer IP-Adresse und einer DNS-Serveradresse konfiguriert wurde und das Netzwerk kein ICS einsetzt, muss lediglich die IP-Konfiguration wie folgt erneuert werden: - ipconfig /renew - Neustart des Computers Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 50 von 122 Migrieren von einer ICS-Verbindung Bei ICS (Internet Connect Sharing = Gemeinsame Nutzung der Internetverbindung) handelt es sich um eine freigegebene DFÜ-Verbindung auf einem Server, die Netzwerkclients mit Internetzugriff ausstattet und Clientcomputer automatisch mit einer Adresse im Subnetzbereich 192.168.0.x konfiguriert. Da dieser Dienst mit dem DHCP-Serverdienst konkurriert, sollten Sie alle freigegebenen (ICS-fähigen) DFÜVerbindungen auf dem Server löschen und den Servercomputer neu starten, bevor Sie die Windowskomponente DHCP-Protokoll (Dynamic Host Configuration Protokol) installieren oder die Funktion DHCPServer hinzufügen. Praxistipp Migrieren von ICS-Clients 0367 ICS-Clients sind bereits für das automatische Abrufen einer IP-adresse konfiguriert, sodass theoretisch über einen einfachen Neustart hinaus keine Neukonfiguration erforderlich ist, wenn auf DHCP migriert werden soll. In der Praxis stellen Sie möglicherweise fest, dass ICS-Clients hartnäckig an ihren ICS-IP-Adressen festhalten, selbst nachdem DHCP eingeführt worden ist. Um derartige Komplikationen zu vermeiden, können Sie nach dem Löschen der ICS-Verbindung zunächst eine manuelle (statische) Adresse auf die Clientcomputer anwenden. Auf diese Weise wird die ICS-Verbindung unterbrochen. Nehmen Sie anschließend einen Neustart der Clientcomputer vor. Nach dem Neustart dr Clients migrieren diese ordnungsgemäß auf DHCP, sobald sie sie erneut für das automatische Abrufen einer Adresse konfigurieren. Tipp 0367 Überprüfung der Konfiguration des Clientcomputers: ipconfig /all Tipp 0367 Wenn Benutzern ermöglicht werden soll, DHCP-Informationen zu lesen, ohne in der Lage zu sein, diese Daten zu verwalten oder zu ändern, können sie zur domänenlokalen Sicherheitsgruppe DHCP-Benutzer hinzugefügt werden. Kommandozeilenbefehle 0367 netsh netsh interface ip set adress „lan-verbindung“ static 192.168.2.3 255.255.255.0 Netzwerkadapter „LAN-Verbindung„ wird die statische Adresse 192.168.2.3 zugewiesen netsh interface ip set dns „lan-verbindung“ static 192.168.2.1 Netzwerkadapter „LAN-Verbindung„ wird der bevorzugte DNS-Server mit der IP-Adresse 192.168.2.3 statisch zugewiesen Zusammenfassung der Lektion 7.1 0373 - Wenn ein DHCP-Server verfügbar ist, fordern Computer, die für das automatische Abrufen einer IP-Adresse konfiguriert sind, beim Starten ihre IP-Konfiguration von diesem DHCP-Server an. - Wenn DHCP-Server in Active Directory-Netzwerke integrieren werden sollen, müssen sie autorisiert sein. - Ein DHCP-Bereich ist ein zusammenhängender Bereich von IP-Adressen, die innerhalb eines einzelnen logischen Subnetzes definiert werden und Clients von DHCP-Server zugewiesen werden können. Ein Bereich muss nach Definition und Konfiguration aktiviert werden, bevor der DHCP-Server Clients bedienen kann. - Ein Ausschlussbereich ist ein Satz mit einer oder mehreren IP-Adressen innerhalb eines festgelegten Bereiches, für den keine Leases an DHCP-Clients ausgestellt werden sollen. Eine Reservierung wird eingesetzt, um eine dauerhafte Adressleasezuweisung durch den DHCP anzulegen (MAC-Adressen werden ohne Sonderzeichen wie Bindestriche Leerzeichen und Doppelpunkte eingegeben). - Mit Hilfe von DHCP-Optionen Clients neben einer Adresslease mit zusätzlichen Konfigurationsdaten ausgestattet, zum Beispiel mit den Adressen des Standardgateway oder des DNS-Servers. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 51 von 122 7.2 Lektion 2 Verwalten von DHCP in Windows-Netzwerken Ändern des DHCP-Serverstatus a) Konsole DHCP b) Konsole Dienste c) Befehlszeile net start dhcpserver net stop dhcpserver net pause dhcpserver net continue dhcpserver Prüfungstipp 0375 Die Befehle net start/stop/pause/continue dhcpserver müssen Sie für die Prüfung kennen. Hinweis 0375 Wenn der Dienst ausgeführt wird, während die Sie die Option Deaktiviert auswählen, wird die Einstellung nach dem nächsten Neustart wirksam. Verwalten von DHCP über die Befehlszeile - Bei der Verwaltung von DHCP-Servern in WANs können Befehle an der Netsh-Eingabeaufforderung eingesetzt werden, um administrative Aufgaben über langsame Netzwerkverbindungen durchzuführen. - Bei der Verwaltung einer großen Anzahl von DHCP-Servern können Befehle im Batchmodus verwendet werden, um sich wiederholende administrative Aufgaben zu automatisieren, die für alle Server durchgeführt werden müssen. Hinweis 0376 Es ist nicht notwendig, schrittweise zu den verschiedenen Ebenen von Netsh-Eingabeaufforderungen zu wechseln, um einen Netsh-Befehl auszuführen. Um zum Beispiel eine Zusammenfassung der DHCP-Serverkonfiguration anzuzeigen, können Sie einfach eine Eingabeaufforderung anzeigen und den Befehl netsh dhcp server show all in einer Zeile eingeben. Wenn sie jedoch separat in die einzelnen Kontexte wechseln, können Sie mit Hilfe des Befehls help, list oder ? eine Liste der Befehle anzeigen, die im jeweiligen Kontext zur Verfügung stehen. Hinweis 0377 Zur Verwaltung eines DHCP-Servers unter Einsatz der Netsh-Befehlszeile müssen Sie als Mitglieder lokalen Gruppe Administratoren oder DHCP-Administratoren des entsprechenden Servercomputers angemeldet sein. Hinweis 0379 Breichsgruppierungen enthalten lediglich eine Liste der Mitgleidbereiche oder untergeordnete Bereiche, die gemeinsam aktiviert werden können. Sie werden nicht zur Konfiguration weiterer Einzelheiten über die Bereichverwendung eingesetzt. Hinweis 0379 Setzen Sie, wenn Sie in einem physikalischen Segment zwei logische Subnetze unterstützen, einen Router ein, um den Nachrichtenverkehr zwischen den beiden Subnetzen zu unterstützen. Bereichsgruppierung mit Unterstützung für 2 lokale DHCP-Server Sie wird verwendet, um Clients, die zum falschen Subnetz gehören, zu hindern sich eine neue IP-Adresse zu holen, wobei somit die Möglichkeit bestände sich danach im falschen Subnetz zu befinden. Beispiel 0382 Vorgabe: 1 physikalisches Netzwerk und 2 DHCP-Server und 1 VLAN-fähigen Switch DHCP-Server-1: Bereichsgruppierung Bereich A 192.168.8.1-192.168.8.254 und Bereich B 192.168.10.1-192.168.10.254 Ausschlüsse: 192.168.10.1-192.168.10.254 (nur in den Bereichen definiert) DHCP-Server-1: Bereichsgruppierung Bereich A 192.168.8.1-192.168.8.254 und Bereich B 192.168.10.1-192.168.10.254 Ausschlüsse: 192.168.8.1-192.168.8.254 (nur in den Bereichen definiert) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 52 von 122 Wichtig 0382 Seien Sie bei einer Änderung von Bereichseigenschaften vorsichtig, damit keine aktiven Leases ausgeschlossen und keine Adressen für das Subnetz in den neu konfigurierten Bereich einbezogen werden, die anderen Computern manuell zugewiesen wurden. Hinweis 0383 (eigener) Umfasst der Adressbereich 10 Adressen und sind genau 10 reservierte Adressen vorhanden, dann kann sich kein anderer Computer eine Adresse beziehen (wichtig für WLAN). Prüfungstipp 0383 Auf der Registerkarte Erweitert des Eigenschaftenfelds für einen DHCP-Server kann die Konflikterkennung aktiviert werden. Mit dieser Funktion kann angegeben werden, wie oft ein DHCP-Server einen Ping für eine angegebene Adresse im Netzwerk ausführt, bevor diese Adresse einem Client zugewiesen wird. Wenn der Ping-Versuch erfolgreich ist und eine Antwort generiert wird, wird diese Adresse nicht zugewiesen. Diese Funktion ist zum Beispiel nützlich, wenn ein neuer DHCP-Server eingeführt werden muss, um einen kürzlich ausgefallenen Server zu ersetzen. In diesem Fall kann die Konflikterkennung ohne die Unterstützung einer aktualisierten DHCP-Serverdatenbank gewährleisten, dass anderen Clients keine aktuell aktiven Lease zugewiesen werden. Tipp 0384 Es wird empfohlen, die DHCP-Datenbank regelmäßig auf Wechselmedien zu sichern (automatisch alle 60 Minuten oder per Hand über Sichern in der Konsole DHCP). Dafür können Sie das Sicherungsprogramm (ntbackup.exe) benutzen, das in Windows Server 2003 integriert ist. Planen Sie darin eine Datensicherungstask für den Ordner %Windir%\System32\Dhcp\Backup (Datei: dhcpcfg). Prüfungstipp 0385 Um einen DHCP-Server von einem Server auf einen anderen zu migrieren, muss die DHCP-Datenbank auf den neuen Server verschoben werden (Konsole DHCP Sichern und alten DHCP-Serverdienst beenden und beim neuen Server DHCP-Dienst starten und Konsole DHCP Wiederherstellen). Sie müssen für die Prüfung 70-291 wissen, wie Sie einen DHCP-Server migrieren. Verwenden von Optionsklassen Sie dienen dem Verwalten von Optionen, die Clients innerhalb eines Bereichs bereitgestellt werden. - Herstellerklassen dienen der Zuweisung herstellerspezifischer Optionen an Clients, die einen gemeinsamen allgemeinen definierten Herstellertyp haben. - Benutzerklassen werden verwendet, um diejenigen Clients Optionen zuzuweisen, die durch gemeinsame Anforderungen hinsichtlich gleicher DHCP-Optionskonfigurationen gekennzeichnet sind. Prüfungstipp 0386 In Windows Server 2003 enthält der DHCP-Server eine vordefinierte Benutzerklasse mit der Bezeichnung Standardrouting- und RAS-Klasse. Optionen in dieser Klasse sind nur für Clients wirksam, die eine Adresskonfiguration anfordern, während sie eine RAS-Verbindung herstellen. Eine dieser Optionen, die wahrscheinlich Bestandteil der Prüfung sein wird, ist die Option 051 Lease. Durch Konfigurieren dieser Option können RAS-Clients kürzere Leasedauern zugewiesen werden als anderen DHCP-Clients. Hinweis 0388 Der Befehl ipconfig /showclassid <Adapternummer> kann verwendet werden, um sämtliche DHCP-Klassenkennungen anzuzeigen, die vom DHCP-Server für Netzwerkadapter zugelasen sind, die auf Ihrem Computer installiert sind. Der Befehl ipconfig /setclassid <Adapternummer> legt die DHCP-Klassenkennung fest, die der Client beim Aufrufen seiner Lease vom DHCP-Server angibt. Wichtig 0390 Bevor Mitgliedsbereiche einer Bereichsgruppierung gelöscht werden können, muss zunächst die Bereichsgruppierung selbst gelöscht werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 53 von 122 Zusammenfassung der Lektion 7.2 0392 - Eine Bereichsgruppierung ist eine administrative Gruppierung von Bereichen, die zur Unterstützung von Multinets oder mehreren logischen Subnetzen in einem einzelnen physischen Subnetz eingesetzt wird. - Wenn zu einem völlig neuen Bereich migriert werden muss, erstellen und aktivieren Sie zunächst und deaktivieren Sie anschließend den alten Bereich. Stellen Sie vor dem Entfernen eines Bereichs unbedingt sicher, dass der Bereich für einen ausreichend langen Zeitraum deaktiviert wird, damit Clients zum neuen DHCP-Server migriert werden können. - Um eine Sicherung der DHCP-Datenbank vorzunehmen, klicken Sie in der Konsole DHCP mit der rechten Maustaste auf das DHCP-Serversymbol, und klicken Sie anschließend auf Sichern. Um die DHCP-Datenbank von einer Sicherheitskopie wiederherzustellen, klicken Sie auf der Konsole DHCP mit der rechten Maustaste auf das DHCP-Serversymbol, und anschließend auf Wiederherstellen. Um die DHCP-Datenbank zu verschieben, sichern Sie sie, und verschieben Sie anschließend an einen anderen Speicherort. - Wenn zum Server eine Optionsklasse hinzugefügt wird, können Clients dieser Klasse mit klassenspezifischen DHCP-Optionen für ihre Konfiguration ausgestattet werden. Wenn eine Klasse erstellt wird, erstellen Sie auch eine entsprechende Klassenkennung. Um zu einer Klasse einen DHCP-Client als Mitgleid hinzuzufügen, verwenden Sie den Befehl ipconfig /setclassid. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 54 von 122 7.3 Lektion 3 Konfiguration von DHCP-Servern für das Durchführen von DNS-Updates Hinweis 0393 Die Einstellungen für DNS-Updates für DHCP-Server können auch im Eigenschaftendialogfeld eines Bereichs oder einer Reservierung konfiguriert werden. Prüfungstipp 0395 Folgende Einstellungen der Registerkarte DNS sind für die Prüfung 70-291 wichtig: - Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren (Standard) DNS-A und -PTR-Einträge nur nach Aufforderung von DHCP-Clients dynamisch aktualisieren (Stand.) DNS-A und -PTR-Einträge immer dynamisch aktualisieren - A- und -PTR-Einträge beim Löschen der Release verwerfen (Standard) - DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern (zum Beispiel Clients, die Windows NT 4.0 ausführen) dynamisch aktualisieren Wichtig 0396 Wenn aus Gründen der Fehlertoleranz mehrere DHCP-Server eingesetzt werden und in den Zonen, die von diesen DHCP-Servern bedient werden, sichere dynamische DNS-Updates erforderlich sind, müssen alle Computer, auf denen Windows Server 2003 DHCP-Server ausgeführt wird, unbedingt zur globalen Sicherheitsgruppe DNSUpdateProxy hinzugefügt werden. Sicherheitserwägungen 0396 Obwohl durch das Hinzufügen aller DHCP-Server zu dieser speziellen vordefinierten Gruppe einige Bedenken über die Pflege sicherer DNS-Updates zerstreut werden, führt diese Lösung doch zu einigen zusätzlichen Sicherheitsrisiken. DNS-Domänennamen, die von einem Computer registriert werden, auf dem der DHCP-Server ausgeführt wird, sind zum Beispiel nicht sicher. Der A-Ressourceneintrag für den DHCP-Server selbst ist ein Beispiel für solchen Eintrag. Zur Absicherung gegen dieses Risiko können sie für alle DNS-Einträge, die mit dem DHCP-Server selbst verknüpft sind, manuell einen anderen Besitzer angeben. Ein wesentlich größeres Problem tritt jedoch auf, wenn der DHCP-Server (ein Mitglied der Gruppe DnsUpdateProxy) auf einen Domänencontroller installiert wird. In diesem Fall ist kein Dienstidentifizierung (SRV)-, Host (A)- oder Alias (CNAME)-Ressourceneintrag sicher, der vom Anmeldedienst für Domänencontroller installiert wurde. Um dieses Problem zu minimieren, sollte ein DHCP-Server bei Verwendung dynamischer Updates nicht auf einen Domänencontroller installiert werden. Warnung 0397 Auf Windows Server 2003 kann der Einsatz sicherer dynamischer Updates durch Ausführen eines DHCPServers auf einem Domänencontroller gefährdet werden., wenn der DHCP-Dienst von Windows Server 2003 für die Registrierung von DNS-Einträgen im Auftrag von DHCP-Clients konfiguriert ist. Richten Sie DHCP-Server und Domänencontroller zur Vermeidung dieses Problems auf verschiedenen Computern ein. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 55 von 122 Zusammenfassung der Lektion 7.3 0398 - Ein DHCP-Server aktualisiert standardmäßig den PTR-Eintrag eines DHCP-Clients mit Windows 2000, XP oder Server 2003. - Das dynamische Updateverhalten für einen DHCP-Server kann auf der Registerkarte DNS im Eigenschaftendialogfeld des jeweiligen DHCP-Servers geändert werden. Optionale Einstellungen umfassen die grundsätzliche Durchführung von Updates (ungeachtet der Clientanforderung), das Unterlassen der Durchführung von Updates, und das Durchführen für Clients mit Windowsversionen von 2000 und das Entfernen con Clienteinträgen in DNS bei Löschung einer Adresslease. - Wenn eine DNS-Zone nur sichere dynamische Updates zulässt, kann eine Konfiguration, in der der DHCP-Server dynamische Updates im Auftrag von Clients vornehmen, gelegentlich zu veralteten Ressourceneinträgen führen. Da der Besitzer eines Ressourceneintrags diesen Eintrag bei sicheren dynamischen Updates selbst aktualisieren muss, werden ressourceneinträge nicht aktualisiert, falls sich die Konfiguration zu einem bestimmten Zeitpunkt geändert wird. - Ressourceneinträge, die von den Mitgliedern der Gruppe DnsUpdateProxy registriert oder aktualisiert werden, sind nicht geschützt. Daher hat der Eintrag keinen Besitzer und kann folglich von einem DHCP-Server bzw. Client aktualisiert werden, der ihn nicht erstellt hat. Dies trifft auch in Zonen zu, die für die sichere Updates erforderlich sind. - Sobald der erste DHCP-Server oder -Client, der kein Mitglied der Gruppe DNSUpdateProxy ist, einen solchen Eintrag ändert, fungiert dieser Server bzw. Client als dessen Besitzer. In dessen Folge kann der Eintrag in Zonen, die für die sichere Updates erforderlich sind, nur vom Besitzer aktualisiert werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 56 von 122 Zusammenfassung des Kapitels 7 0401 - Wenn DHCP-Server in Active Directory-Netzwerke integriert werden sollen, müssen sie autorisiert werden. - Ein DHCP-Bereich ist ein zusammenhängender Bereich von IP-Adressen, die innerhalb eines einzelnen logischen Subnetzes definiert werden und Clients vom DHCP-Server zugewiesen werden können. Ein Bereich muss nach Definition und Konfiguration aktiviert werden, bevor der DHCP-Server Clients bedienen kann. - Mit Hilfe von DHCP-Optionen werden Clients neben einer Adresslease mit zusätzlichen Konfigurationsdaten ausgestattet, zum Beispiel mit der Adresse des Standardgateways oder des DNS-Servers. - Eine Bereichsgruppierung ist eine administrative Gruppierung von Bereichen, die zur Unterstützung von Multinets oder mehreren logischen Netzwerken in einem einzelnen physischen Subnetz eingesetzt wird. - Wenn zum Server eine Optionsklasse hinzugefügt wird, können Clients dieser Klasse mit klassenspezifischen DHCP-Optionen für ihre Konfiguration ausgestattet werden. Bei den Bereichsoptionen des DHCP-Servers kann man auf „Optionen konfigurieren ...“ und auf Registerkarte dann Herstellerklasse: DHCP-Standardoption und die entsprechende Benutzerklasse aussuchen. Wenn eine Klasse erstellt wird, erstellen Sie auch eine entsprechende Klassenkennung (z.B. im ASCCI-Feld beliebige Zeichen a-z, A-z, 0-9, Leerzeichen). Um zu einer Klasse einen DHCP-Client als Mitglied hinzuzufügen (Adapternamen in „“ setzen, falls er ein Leerzeichen enthält), verwenden Sie den Befehl ipconfig /setclassid <Adaptername> [Klassenkennung]. Um festzustellen, zu welcher Optionsklasse der Adapter eines Clients gehört, verwenden Sie den Befehl ipconfig /showclassid <Adaptername>. Um von einer Klasse einen DHCP-Client als Mitglied zu entfernen, verwenden Sie den Befehl ipconfig /setclassid <Adaptername>. - Ein DHCP-Server aktualisiert standardmäßig den PTR-Eintrag eines Clients mit Windows 2000, XP oder Windows Server 2003. Dieses Verhalten entspricht der Durchführung dynamischer Updates entsprechend der Clientanforderung. Ein DHCP-Server kann für die Aktualisierung sowohl der A- als auch PTR-Ressourceneinträge konfiguriert werden, in dem Sie auf der Registerkarte DNS im Eigenschaftendialogfeld des jeweiligen Servers die Option DNS-A- und PTR-Einträge immer aktualisieren aktivieren. - Ressourceneinträge, die von den Mitgliedern der Gruppe DnsUpdateProxy registriert oder aktualisiert werden, sind nicht geschützt. Daher hat der Eintrag keinen Besitzer und kann folglich von einem DHCP-Server oder -Client aktualisiert werden, der ihn nicht erstellt hat. Dies trifft auch für Zonen zu, für die sichere Updates erforderlich sind. Deswegen sollten DHCP-Server nicht auf Domänencontrollern installiert werden, sofern dies die Netzwerkinfrastruktur zulässt, d.h. ein Mitgliedsserver der Domäne frei zur Verfügung steht. Schlüsselinformationen Kapitel 7 0402 - Machen Sie sich mit DHCP-Bereichen, -Ausschlüssen und -Reservierungen vertraut. Für Simulationsfragen müssen Sie wissen, wie Sie alle diese Elemente erstellen. - Machen Sie sich mit DHCP-Leases und den entsprechenden Befehlen für Freigabe und Erneuerung vertraut. - Lernen Sie die Funktionen von Bereichsgruppierungen. - Machen Sie sich mit den Funktionen von Optionsklassen vertraut. - Lernen Sie, wie DHCP-Server für die Durchführung von DNS-Updates konfiguriert werden können. Schlüsselbegriffe Kapitel 7 0402 Multinets sind mehrere Subnetze, die in einem einzelnen Netzwerksegment konfiguriert sind. Die wechselseitige Konfiguration von Multinets erfolgt über einen Router. Rouge-Server Ein eigenständiger DHCP-Server, der sich in einem Active-Directory-Netzwerk befindet (z.B. Windows NT-DHCP-Server oder ein im Router integrierter DHCP-Server). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 57 von 122 8. Kapitel 8 Überwachung und Problembehandlung von DHCP 8.1 Lektion 1 Analysieren des DHCP-Datenverkehrs Leaseinitialisierung Nachricht D DHCP Discover Infos vom DHCP-Client als Broadcast gesendet (mit Client-MAC-Adresse) O DHCP Offer vom DHCP-Server an die MAC-Adresse des Clients gesendet DHCP-Server unterbreitet eine IP-Adresse als Angebot (direkt an den Client, da er dessen MAC-Adresse kennt) R DHCP Request DHCP-Client wählt eine angebotene IP-Adresse aus und sendet an den DHCP-Server eine Antwortnachricht A DHCP Acknowledgment DHCP-Server sendet eine Bestätigungs-Nachricht an den DHCP-Client mit den Bereichsoptionen usw. --------------------------------------------------------N DHCP Negative Acknowledgment DHCP-Server sendet die NACK-Nachricht an den DHCP-Client, wenn keine Lease angeboten werden kann (IP schon vorhanden, keine IP-Adresse mehr verfügbar) Es wird eine neue Leaseinitialisierung vom Client eingeleitet. 1. Der DHCP-Client übermittelt eine DHCP-Discover-Nachricht als Broadcast an das lokale Netzwerk. 2. Ein DHCP-Server kann mit einer DHCP-Offer-Nachricht antworten, die ein IP-Adressangebot als Clientlease enthält. 3. Wenn kein DHCP-Server auf die Suchanfrage des Clients antwortet, kann der Client auf zwei verschiedenen Arten fortfahren: a) Wenn der Client Microsoft 2000 ausführt, nimmt der Client eine Selbstkonfiguration mit einer APIPA (Automatische Private IP-Adressierung)-Adresse vor. b) Wenn Microsoft Windows XP oder ein Mitglied der Windows Server 2003-Familie auf dem Client ausgeführt wird, nimmt der Client eine Selbstkonfiguration mit einer alternativen Adresse vor, falls eine solche bereitgestellt wurde. Wenn keine statische alternative Adresse angegeben wurde, nimmt der Client eine Selbstkonfiguration mit einer APIPA-Adresse (169.254.xxx.xxx/16) vor. Wenn der Client eine Windows-Version ausführt, die älter als Windows 2000 ist, oder wenn keine statische alternative IP-Adresse bereitgestellt und die IP-Autokonfiguration deaktiviert wurde, kann der Client keine Initialisierung vornehmen. Wenn der Client weiter online ist, fährt er fort, DHCP-Discover-Nachrichten zu senden (4 Nachrichten in 5 Minuten), bis er eine DHCP Offer-Nachricht von einem Server empfängt. 4. Sobald eine DHCP Offer-Nachricht eingegangen ist, wählt der Client die angebotene IP-Adresse aus, indem er dem Server eine DHCP Request-Antwortnachricht übermittelt. 5. Sobald der Client die Bestätigung (ACK-Nachricht) mit den dort enthaltenen DHCP-Optionen erhält, konfiguriert er seine TCP/IP (Transmission Control Protocol / Internet Protocol)-Eigenschaften unter Verwendung der Informationen in der Antwortnachricht und wird somit in das Netzwerk eingegliedert. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 58 von 122 Leaseerneuerung Wenn ein DHCP-Client heruntergefahren und neu gestartet wird, ruft er in der Regel eine Lease für dieselbe IPAdresse ab, die er vor dem Herunterfahren aufwies. Die Leases werden erneuert, wenn die Hälfte der Clientleasedauer (standardmäßig vier Tage) verstrichen ist oder der Befehl ipconfig /renew ausgeführt wird. Folgendes passiert beim Ausführen des Befehls ipconfig /renew, wenn der Client seine Lease erneuern will: 1. Der Client sendet eine DHCP Request-Nachricht direkt an den Server, der die aktuelle Adresslease ausgestellt hat, um diese zu erneuern und zu verlängern. 2. Wenn der DHCP-Server erreichbar ist, sendet er in der Regel eine DHCP ACK-Nachricht mit den aktuellen Informationen an den Client, mit der die aktuelle Lease erneuert wird. Wie beim ersten Leasevorgang sind auch in dieser Anwort weitere Informationen über DHCP-Optionen enthalten. Wenn Optionsinformationen nach dem ersten Abrufen einer Lease durch den Client geändert werden, aktualisiert der Client seine Konfiguration entsprechend. 3. Wenn der Client nicht in der Lage ist, mit seinen ursprünglichen DHCP-Server zu kommunizieren, wartet er bis er einen Neueinbindungszustand erreicht. Dieser Zustand wird standardmäßig sieben Tage nach der letzten Leaseerneuerung erreicht. Wenn der Client in dieses Stadium eintritt, versucht er seine aktuelle Lease auf einem beliebigen verfügbaren DHCP-Server über Broadcast zu erneuern. 4. Wenn ein Server mit einer DHCP Offer-Nachricht antwortet, um die aktuelle Clientlease zu erneuen kann der Client seine Lease über den anbietenden Server erneuern und den Betrieb fortsetzen. 5. Wenn die Lease abläuft und kein DHCP-Server kontaktiert werden konnte, muss der Client umgehend die Verwendung seiner geleasten IP-Adresse einstellen. 6. Anschließend führt der Client dasselbe Verfahren durch, das während der ersten Starts genutzt wurde, um eine neue IP-Adresse abzurufen (siehe Leaseinitialisierungsvorgang). Infos DHCP-Client fragt den DHCP-Server, ob er seine IP-Adresse weiterhin behalten kann A DHCP Acknowledgment DHCP-Server sendet eine Bestätigungs-Nachricht an den DHCP-Client mit den Bereichsoptionen usw. --------------------------------------------------------N DHCP Negative Acknowledgment DHCP-Server sendet die NACK-Nachricht an den DHCP-Client, wenn Leaseverlängerung nicht möglich ist. (IP-Adresse mehrfach im Netz, keine IP-Adresse mehr verfügbar) Es wird eine neue Leaseinitialisierung vom Client eingeleitet. R Nachricht DHCP Request Hinweis 0413 In bestimmten Situationen kann ein DHCP-Server statt der DHCP ACK-Nachricht in Schritt 2 der Leaseerneuerung eine DHCP-NACK (Negative Acknowledgment)-Nachricht an den Client übermitteln. Die NACK-Nachricht wird an den Client gesendet, um anzuzeigen, dass die vom Client angeforderte IP-Adresse vom DHCP-Server nicht bereitgestellt werden kann. Diese Situation kann eintreten, wenn ein Client eine nicht zulässige oder mehrfach im Netzwerk vorhandene Adresse anfordert. Wenn ein Client eine negative Bestätigung empfängt, schlägt die Leaseerneuerung fehl und der DHCP-Client startet einen neuen Leaseinitialisierungsvorgang. Hinweis 0420 Bei der DHCP Request-Nachricht handelt es sich um die Nachricht, mit der dynamische Updates vom Server angefordert werden. In der Regel ist in der Request-Nachricht der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Clients angegeben, so dass der DHCP-Server den PTR-Ressourceneintrag des Clients anschließend entsprechend aktualisieren kann. Prüfungstipp 0423 Sie sollten für die Prüfung 70-291 zwar alle DHCP-Nachrichten kennen, die in diesem Kapitel beschrieben wurden, besonders intensiv sollten Sie sich mit der NACK-Nachricht beschäftigen. Sie sollten zum Beispiel wissen, dass ein Client eine NACK-Nachricht bekommt, wenn ein DHCP-Server eine Anforderung für eine Adresse erhält, für die er keine Lease vergeben kann. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 59 von 122 Zusammenfassung der Lektion 8.1 0428 - Die DHCP-Clientinitialisierung erfolgt, wenn ein Clientcomputer zum ersten Mal gestartet und in das Netzwerk einbezogen wird. der Initialisierungsvorgang besteht aus einem Austausch von 4 Broadcastnachrichten. - Ein DHCP-Client versucht zunächst, einen DHCP-Server im lokalen Netzwerk zu finden, indem er eine DHCP Discover-Nachricht als Broadcast übermittelt. - Wenn ein DHCP-Server die DHCP Discover-Nachricht empfängt, antwortet er normalerweise, indem er eine DHCP Offer-Nachricht als Broadcast übermittelt, die ein IP-adressangebot an den Clients enthält. - Der DHCP-Client antwortet auf eine DHCP-Offer-Nachricht mit einer DHCP-Request-Nachricht, mit der die angebotene IP-Adresse angefordert wird. - Zum Schluss übermittelt der anbietende DHCP-Server als Broadcast eine DHCP ACK-Nachricht, mit der die Lease bestätigt wird und dem Client DHCP-Optionen zugewiesen werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 60 von 122 8.2 Lektion 2 Überwachen von DHCP mithilfe der Überwachungsprotokollierung Der DHCP-Serverdienst schreibt standardmäßig tägliche Überwachungsprotokolle (je 1 MB groß) in den Ordner %Windir%\System\32\Dhcp solange, bis die entsprechende Festplattenpartition noch 20 MB frei hat. Die Dateien heißen DhcpSrvLog-Mo, -Di, -Mi, -Do, -Fr, -Sa und DhcpSrvLog-So. Felder in DHCP-Serverprotokollen Kennung Der Wert der Kennung eines DHCP-Serverereignisses Datum Das Datum, an dem dieser Eintrag protokolliert wurde Zeit Die Uhrzeit, an dem dieser Eintrag protokolliert wurde Beschreibung Eine Beschreibung des jeweiligen DHCP-Serverereignisses IP-Adresse IP-Adresse des DHCP-Clients Hostname Hostname des IP-Clients MAC-Adresse Die MAC (Media Access Control)-Adresse, die von der Netzwerkadapterhardware des Clients verwendet wird Serverautorisierungsereignisse betreffend den Active Directory-Autorisierungsstatus des DHCP-Servers: 50 Unereichbare Domäne (DHCP-Server konnte die jeweilige Domäne für seine konfigurierte AD-Installation nicht finden) 51 Autorisierung erfolgreich 52 Auf einen Windows Server 2003-Betriebssystem aktualisiert. (Diese Funktion wird verwendet, um zu ermitteln, ob der Server in Active Directory autorisiert wurde.) 53 Zwischengespeicherte Autorisierung (Der DHCP-Server wurde für das Starten unter Verwendung vorher zwischengespeicherter Informationen autorisiert. Zum Zeitpunkt, als der Server im Netzwerk gestartet wurde, war Active Directory nicht verfügbar.) 54 Autorisierung fehlgeschlagen (Der DHCP-Server wurde für den Start im Netzwerk nicht autorisiert und DHCP-Server-Dienst wurde wahrscheinlich angehalten.) 55 Autorisiert (Dienst gestartet) 56 Autorisierung fehlgeschlagen. Dienst wurde beendet. (Vor einem erneuten Start muss der DHCP-Server in Active Directory) 57 Server wurde in eigener Domäne gefunden (Ein weiterer DHCP-Server ist vorhanden und wurde in die selbe Active Directory-Domäne für den Dienst autorisiert.) 58 Server konnte die Domäne nicht finden (Der DHCP-Server konnte die angegebene Active Directory-Domäne nicht finden.) 59 Netzwerkfehler (Aufgrund eines netzwerkbezogenen Fehlers konnte der Server seinen Autorisierungsstatus nicht bestimmen.) 60 Kein Domänencontroller ist für Verzeichnisdienst aktiviert (Es konnte kein Active Directory-Domänencontroller gefunden werden. Ein Active Directory-aktivierter Domänencontroller ist erforderlich, um den Autorisierungsstatus des Servers zu bestimmen.) 61 Server wurde gefunden, der einer Verzeichnisdienstdomäne angehört (Ein weiterer DHCP-Server, der zur Active Directory-Domäne gehört, wurde im Netzwerk gefunden.) 62 Anderer Server gefunden (Ein weiterer DHCP-Server wurde im Netzwerk gefunden.) 63 Rogue-Erkennung wird neu gestartet (Der DHCP-Server versucht ein weiteres Mal zu ermitteln, ob er für den Start und das Bereitstellen des Dienstes im Netzwerk autorisiert ist.) 64 Keine DHCP-aktivierten Schnittstellen (Die Dienstanbindungen oder Netzwerkverbindungen des DHCP-Servers wurden so konfiguriert, dass dieser leinen DHCP-Dienst bereitstellen kann. Diese Konfiguration resultiert gewöhnlich aus einer der folgenden Bedingungen: - Die Netzwerkverbindung des Servers sind entweder nicht installiert oder nicht aktiv mit dem Netzwerk verbunden. - Der Server wurde nicht mit mindestens einer statischen IP-Adresse für eine seiner installierten und aktiven Netzwerkverbindungen konfiguriert. - Sämtliche statisch konfigurierten Netzwerkverbindungen des Servers sind deaktiviert. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 61 von 122 Tipp 0434 Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das DHCPProtokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler aufgetreten ist. Zusammenfassung der Lektion 8.2 0435 - Mithilfe der Überwachungsprotokollierung wird die gesamte tägliche DHCP-Serveraktivität in kommagetrennten Textdateien aufgezeichnet. DHCP-Serverprotokolldateien werden standardmäßig im Ordner %windir%\System32\Dhcp gespeichert. - DHCP-Serverprotokolldateien haben Namen wie DhcpSrvLog-Mo oder DhcpSrvLog-Di, die den Wochentagen entsprechen, an denen die DHCP-Aktivität jeweils 00:00 Uhr aufgezeichnet wird. Die Dateien werden wöchentlich überschrieben. - Ergebnisse werden in DHCP-Serverprotokolldateien mit einer Ereigniskennung angegeben. Ereigniskennungen, deren Wert unter 50 liegt, werden in den einzelnen Protokolldateien beschrieben und müssen daher nicht auswendig gelernt werden. Ereignisse, deren Kennung größer oder gleich 50 ist, betreffen den Status der Active Directory-Autorisierung. sie können diese Ereignisse entweder auswendig lernen oder in einer Referenz nachschlagen, wenn die Bedeutung der Ereignisse bestimmt werden muss. - Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler oder ein anderer Fehler aufgetreten ist. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 62 von 122 8.3 Lektion 3 Problembehandlung von DHCP Folgendes kann man untersuchen: - Überprüfen der Clientkonfiguration - Adresskonflikte feststellen - Fehler beim Abrufen einer DHCP-Adresse - Adresse aus einem falschen Bereich empfangen (DHCP-Relay-Agent, RFC-1542-Router richtig konfigurieren) - Überprüfen der Serverkonfiguration (Bindungen) - Überprüfen der Bereichskonfiguration - Abstimmen der DHCP-Datenbank - Überprüfen der Ereignisanzeige Hinweis 0438 Mit dem Befehl shutdown /i wird ein grafisches Tool angezeigt, in dem eine Anzahl von Remotecomputern ausgewählt werden kann, die herunter gefahren werden sollen. Tipp 0438 Wenn sie den Standort, die Adresse oder den Namen des DHCP-Servers im Netzwerk nicht kennen, dann führen Sie in einer Eingabeaufforderung den Befehl netsh dhcp show server aus. Dieser Befehl zeigt die Namen und Adressen sämtlicher Server an, die in Active Directory autorisiert sind. Hinweis 0439 DHCP Request-Nachrichten enthalten das Giaddr-Feld, mit dem der DHCP-Server über das Subnetz informiert wird, aus dem die Anforderung stammt. Wenn dieses Feld leer ist, wird dem Client eine Adresse aus dem lokalen Bereich zugewiesen. Wenn das Giaddr-Feld wie im lokalen fall eine Adresse enthält, weisst der DHCP-Server dem Client eine Adresse aus dem Bereich zu, der mit dieser Adresse kompatibel ist (DHCP: Relay IP Address (giaddr) = 192.168.6.1). Prüfungstipp 0440 Sie können damit rechnen, dass in Prüfung 70-291 eine Frage vorkommt, in der ein DHCP-Server nicht funktioniert, weil er nicht autorisiert ist. Häufig gibt es auch Fragen, in denen Clients keine Adresse abrufen können, weil der DHCP-Bereich nicht aktiviert ist. Prüfungstipp 0440 DHCP-Optionen werden zwar normalerweise auf der Bereichsebene angewendet. Sie dürfen aber nicht vergessen, dass Sie Optionen auch auf der Server- oder Reservierungsebene anwenden können. Wenn Sie Optionen auf der Server-Ebene konfigurieren, werden diese Optionen an alle lokal konfigurierten Bereiche und Reservierungen vererbt. Wenn Sie Optionen auf der Bereichs-Ebene konfigurieren, werden diese Optionen an alle Reservierungen innerhalb dieses Bereichs vererbt. Falls Sie möchten, dass DHCP-Optionen nur für bestimmte Computer gelten sollen, können Sie Reservierungen für diese Computer konfigurieren und dann Optionen auf der Reservierungsebene festlegen. Prüfungstipp 0441 Achten Sie auf Fragen, in denen die Leasedauer in einem Bereich herabgesetzt werden muss, um in einem Adressraum viele Benutzer aufnehmen zu können. In der Regel schließen diese Szenarien viele Laptopbenutzer oder Telearbeiter ein, die eine Einwahl von Remotestandorten aus vornehmen. Prüfungstipp 0441 Wenn Sie eine Reservierung erstellen müssen, sind Trennzeichen egal. Es ist also unerheblich, ob Sie Bindestricher, Doppelpunkte oder gar nichts verwenden. In Windows Server 2003 versteht der DHCP-Server MAC-Adressen unabhängig davon, ob sie Trennzeichen enthalten oder nicht. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 63 von 122 Hinweis 0441 (eigener) Bei Netzwerken, in denen mehrere DHCP-Server innerhalb eines bestimmten Broadcastbereiches eingerichtet sind, muss abschließend sichergestellt werden, dass die Bereichsgruppierungen konfiguriert und die von den einzelnen DHCP-Servern ausgestellten Adressbereiche auf den jeweils anderen Server ausgeschlossen sind . Praxistipp 0442 Ermitteln und Überprüfen von MAC-Adressen für Reservierungen Zur Konfiguration einer Adressreservierung muss die Hardwareadresse des Computers bekannt sein,dessen IPAdresse reserviert werden soll. Das Dialogfeld Status von LAN-Verbindungen bildet die grundlegende grafische Benuteroberfläche (GUI) zur Ermittlung der Hardwareadresse eines lokalen Computer (oder eines Remotecomputers über eine Remotedesktopverbindung). Klicke Sie in diesem Dialogfeld auf die Registerkarte Netzwerkunterstützung und anschließend auf Details. Auf diese Weise wird das Dialogfeld Netzwerkverbindungsdetails angezeigt, das zusammenfassende Informationen wie die MAC-Adresse des Computers (Feld Physikalische Adresse ), die IP-Adresse, die Adresse des DHCP-Servers, die Adresse des DNS-Servers und weitere nützliche Informationen enthält. Die MAC-Adresse des lokalen Computers ist außerdem in der Angabe des Befehls ipconfig /all enthalten. Diese Methoden sind praktisch. Es steht jedoch ein wesentlich schnelleres Verfahren zur Verfügung, um MAC-Adressen von lokalen und Remotecomputern zu ermitteln. In den Windows-Supporttools ist das Dienstprogramm Getmac enthalten. Beim Aufruf mit dem Parameter /s (getmac /s) erlaubt dieses Programm das Abrufen der Hardwareadresse eines beliebigen Computers im Netzwerk oder in einem Remotenetzwerk. Durch Weiterleiten der der Getmac-Ausgabe in die Zwischenablage kann die MAC-Adresse des Remotecomputers in das Dialogefeld Neue Reservierung eingefügt werden. Geben sie hierfür in einer Eingabeaufforderung zum Beispiel den folgenden Befehl ein: getmac /s svr3 | clip Zeigen Sie anschließend den Editor an und drücken Sie STRG+V. Auf diese Weise wird die Ausgabe der vorherigen Getmac-Operation eingefügt. Anschließend können Sie die Hardwareadresse von svr3 aus dem Editor kopieren und in das Dialogfeld Neue Reservierung einfügen. Hinweis 0445 Wenn Sie mehr Informationen über das DHCP-Serververhalten benötigen, als das Ereignisprotokoll liefert, sehen Sie sich die täglichen DHCP-Serverprotokolldateien mittels eines Editors im Verzeichnis %Windir\System32\Dhcp an. Zusammenfassung der Lektion 8.3 0446 - Ermitteln Sie bei der DHCP-Problembehandlung zunächst, ob der Fehler auf dem Client, der Netzwerkhardware oder auf dem Server auftritt. - Verwenden Sie Statusdialogfeld der Verbindung oder die Ausgabe des Befehls ipconfig /all, um zu ermitteln, ob eine Clientadresse ordnungsgemäß von einem DHCP-Server abgerufen wurde. - Stellen Sie sicher, dass die Adressen der einzelnen Clients im Broadcastbereich eines konfigurierten DHCP-Servers, DHCP-Relay-Agents oder RFC 1542-kompatiblen Routers vorliegen. - Vergewissern Sie sich zur Überprüfung der Konfiguration eines DHCP-Servers, dass der Server ordnungsgemäß installiert, autorisiert und gebunden wurde. - Stellen sie bei der Überprüfung der Bereichskonfiguration sicher, dass der Bereich aktiviert ist, und prüfen sie die Einstellungen für den Adressbereich, die Subnetzmaske, Ausschlüsse, Reservierungen und Bereichsgruppierungen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 64 von 122 Zusammenfassung des Kapitels 8 0448 - Die DHCP-Clientinitialisierung erfolgt, wenn ein Clientcomputer zum ersten Mal gestartet und in das Netzwerk einbezogen wird. Der Initialisierungsvorgang besteht aus einem Austausch von vier Broadcastnachrichten: Discover, Offer, Request und Acknowledgment (ACK). - Mithilfe der Überwachungsprotokollierung wird die gesamte tägliche DHCP-Server-Aktivität in kommagetrennten Textdateien aufgezeichnet. DHCP-serverprotokolldateien werden standardmäßig im Ordner %Windir%\System32\Dhcp gespeichert. - Ereignisse werden in DHCP-Serverprotokolldateien mit einer Ereigniskennung angeben. Ereigniskennungen, deren Wert unter 50 liegt, werden in den einzelnen Protokolldateien beschrieben und müssen daher nicht auswendig gelernt werden. Ereignisse, deren Kennung größer oder gleich 50 ist, betreffen die Erkennung von Rogue-Servern (den Status der Active Directory-Autorisierung). Sie können diese Ereignisse entweder auswendig lernen oder in einer Referenz nachschlagen, wenn die Bedeutung der Ereignisse bestimmt werden muss. - Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler aufgetreten ist. - Ermitteln Sie bei der DHCP-Problembehandlung zunächst, ob der Fehler auf dem Client, in der Netzwerkhardware oder auf dem Server auftritt. - Vergewissern Sie sich zur Überprüfung der Konfiguration eines DHCP-Servers, dass der Server ordnungsgemäß installiert, autorisiert und gebunden wurde. - Stellen Sie bei der Überprüfung der Bereichskonfigurierung sicher, dass der Bereich aktiviert ist, und prüfen Sie die Einstellungen für den Adressbereich, die Subnetzmaske, Ausschlüsse, Reservierungen und Bereichsgruppierungen. Schlüsselinformationen Kapitel 8 0449 - Lernen Sie die verschiedenen Typen von DHCP-Nachrichten und ihre Funktionen ( Discover, Offer, Request und Acknowledgment (ACK) ). - Machen Sie sich mit den verschiedenen Methoden der Erneuerung und Aktualisierung einer Adresslease vertraut: ipconfig /renew, die Schaltfläche Reparieren und das Neustarten des Clientcomputers. - Entwickeln Sie ein Verständnis für die verschiedenen Funktionen des DHCP-Überwachungsprotokolls und stellen Sie sicher, dass Sie in der Lage sind, Nachrichten aus dem Überwachungsprotokoll lesen zu können. - Lernen Sie die Vorteile des Anhebens der Anzahl von Konfliktversuchen auf dem DHCP-Server. - Entwickeln Sie ein Verständnis für die Vorteile und Nachteile von langen bzw. kurzen Leasedauern. - Stellen Sie sicher, dass Sie Fehler in der Konfiguration eines DHCP-Servers oder eines Bereiches erkennen. Schlüsselbegriffe Kapitel 8 0449 DHCP Discover Eine DHCP-Nachricht, die von einem DHCP-Client als Broadcast übermittelt wird und ihm so ermöglicht, einen DHCP-Server zu ermitteln. DHCP NACK Eine Nachricht, die von einem DHCP-Server an einen Client gesendet wird, um anzuzeigen, dass die vom Client angeforderte IP-Adresse für das lokale Netzwerk, dass vom DHCP-Server versorgt wird, nicht geeignet ist. Giaddr Ein Feld in der DHCP-Nachricht, in dem die Adresse des DHCP-Relay-Agents oder eines RFC 1542kompatiblen Routers enthalten ist. Mittels dieses Feldes kann ein DHCP-Server Clients in Remotesubnetzen geeignete Adressen zuweisen. Flag für die Wiederherstellung der Datenbank Eine Einstellung, die festlegt, ob der DHCP-Serverdienst eine Kopie der DHCP-Datenbank in sein Standardsicherungsverzeichnis kopiert, wenn der Dienst neu initialisiert wird. Standardmäßig ist das Flag auf 0 gesetzt, sodass die Sicherung beim Start des Dienstes nicht geladen wird. Wenn das Flag auf 1 gesetzt ist, wird die Sicherung beim Start des Dienstes geladen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 65 von 122 9. Kapitel 9 Routing mit Windows Server 2003 Routing liefert die Grundlage für das Internet und einen Großteil der Netzwerkkommunikation. Obwohl Routing ein entscheidendes Merkmal der meisten Netzwerke ist, können Router nur selten einfach konfiguriert und unterstützt werden. Das Routing über DFÜ-Verbindungen zum Beispiel erfordert Kenntnisse über Authentifizierung, statische Routen und eine Adresszuweisung, die auf Routingsszenarien zugeschnitten ist. Das Routing über Standleitungen bietet indessen seine eigenen spezifischen Herausforderungen. Effektiv arbeitende Netzwerkadministratoren müssen in der Lage sein, die Vielzahl komplexer Elemente von gerouteten Netzwerken wie Routingprotokolle und Routingtabellen zu verwalten, für die Unterstützung und Konfiguration erforderlich ist. Microsoft Windows Server 2003 kann als Nezwerkrouter konfiguriert werden. Wenn eine Einführung von Windows Server 2003-Routern praktikabel ist, bietet sie gegenüber dedizierten Hardwareroutern verschiedene Vorteile, darunter geringere Kosten, einfachere Verwaltung sowie Integration in die Windows-Sicherheit und Gruppenrichtlinien. In diesem Kapitel wird die Konfiguration und Verwaltung der mit dem Routing und RAS-Dienst in Windows Server 2003 verbundenen Routingfunktionen beschrieben, einschließlich der Netzwerkadressübersetzung, des Routings für Wählen bei Bedarf und der Paketfilter. 9.1. Lektion 1 Konfigurieren von Windows Server 2003 für LAN-Routing Das Routing ist die Übertragung von Daten zwischen zwei LANs (Local Area Networks, lokale Netzwerke) über ein Verbundnetzwerk. Der Routing und RAS-Dienst kann für LAN zu LAN-, LAN zu WAN- (Wide Area Network), VPN- (Virtuelles Privates Netzwerk) und NAT (Netzwerkadressenübersetzung)-Routing über IP-Netzwerke konfiguriert werden. Hinweis 0460 Windows Server 2003 bietet zudem Unterstützung für AppleTalk-Routing. Während das IPX (Internetwork Packet Exchange)-Routing in Microsoft Windows 2000 noch unterstützt wird, können Computer mit Windows 2003 nicht als IPX-Router fungieren. Hinweis 0462 Berücksichtigen Sie, dass sich eine Schnittstelle für Wählen bei Bedarf nicht unbedingt auf eine DFÜVerbindung bezieht. Eine solche Schnittstelle kann auch zu einer VPN- oder PPPoE-Verbindung über eine Standleitung gehören. Das Konfigurieren der Eigenschaften des Routing und RAS-Dienstes erfolgt über die Einstellungsseiten: Allgemein (Router wie Nur LAN-Roting oder LAN und bei Bedarf wählendes Routing und RAS-Server) Sicherheit (Authentifizierungsanbieter, Authentifizierungsmethoden [EAP {geschütztes EAP = PEAP, MD5 Challenge, Smartcard oder ein anderes Zertifikat}, MS-CHAP v2, MS-CHAP, CHAP, SPAP, PAP = unverschlüsseltes Kennwort und Nichtauthentifizierter Zugriff] und Kontoanbieter [kein, Windows-Kontoführung, RAS-Kontoführung], benutzerdefinierte IPSec-Richtlinie für L2TP-verbindungen), IP (IP-Routing aktivieren, IP-basierte RAS- und Verbindungen für Wählen bei Bedarf zulassen, IP-Adresszuweisung [DHCP oder statischen Adresspool], Broadcastnamensauflösung aktivieren, Adapter) PPP (Mehrfachverbindungen oder Dynamische Bandbreitensteuerung mit BAP oder BACP oder Link Control-Protocol [LCP]-Erweiterungen oder Softwarekomprimierung) Protokollierung (Nur Fehler Protokollieren oder Fehler und Warnungen protokollieren oder Alle Ereignisse protokollieren oder keine Ereignisse protokollieren und/oder Zusätzliche Routing- und RAS-Informationen protokollieren [für Debugzwecke, Protokolle sind im %windir%\tracing ]). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 66 von 122 Arbeiten mit Routingtabellen Die Routingtabelle zeigt folgendes an: Ziel , Netzwerkmaske, Gateway, Schnittstelle, Metrik und Protokoll. Die Routingtabelle enthält Einträge, die als Routen bezwichnet werden und die Richtungen zu den Zielnetzwerken oder Zielhosts angeben: - Hostroute Dieser Routentyp liefert eine Route zu einem bestimmten Zielhost oder zu einer bestimmten Broadcastadresse. In IP-Routingtabellen werden Hostrouten durch die Netzwerkmaske 255.255.255.255 gekennzeichnet. - Netzwerkroute Dieser Routentyp liefert eine Route zu einem bestimmten Zielnetzwerk. In IP-Routingtabellen werden Netzwerkrouten durch eine Subnetzmaske zwischen 0.0.0.0 und 255.255.255.255 gekennzeichnet. - Standardroute Routingtabellen enthalten eine einzigste Standardroute. Diese Route wird zur Weiterleitung aller Datenpakete verwendet, deren Zieladresse mit keiner anderen Adresse in der Routingtabelle übereinstimmt. In IP-Routingtabellen wird die Standardroute durch die Adresse 0.0.0.0 und die Netzwerkmaske 0.0.0.0 festgelegt. Prüfungstipp 0478 Für die Simulationsfragen sollten Sie wissen, wie Sie statische Routen in der Konsole Routing und RAS erstellen. Falls in einer Frage gefordert wird, eine statische Route für ein bestimmtes Netzwerk (z.B. 192.168.2.0) zu erstellen, ist dieses Netzwerk die Zieladresse innerhalb der statischen Route. Falls Sie Gateway nicht explizit genannt bekommen, sollten Sie nach den Anforderungen Ausschau halten, in denen beschrieben wird, dass Pakete, die an ein bestimmtes Netzwerk (Zielnetzwerk) gerichtet sind, an eine bestimmte Adresse (das Gateway) geschickt werden sollen. Hinweis 0478 Statische Routen, die über die Konsole Routing und RAS hinzugefügt werden, sind permanent, bleiben also auch nach einem Neustart des Routingcomputers aktiv. Hinweis 0478 Konsolenbefehl route route print Ausdrucken der Routingtabelle (Anzeigen auf dem Monitor) mit der Schnittstellenliste route add -p 192.168.4.0 mask 255.255.255.0 192,168.2.2 Hinzufügen einer statischen Route mittels Parameter -p route delete 192.168.4.0 Löschen einer Route, wobei nur die Kennung nach dem Parameter delete angegeben wird Vorteile einer statischen Route: - Bevorzugt in kleinen Netzwerken eingesetzt wegen der leichteren Bereitstellung der Routen. - Statische Routen sind weniger ressourcenintensiv, da keine Kommunikation zwischen den Routern gibt. Daher sind sie für WAN-Verbindungen geeignet. - Statische Routen unterstützen im Gegensatz zu dynamischen Routing nicht nummerierte Verbindungen. Dabei handelt es sich um Verbindungen, bei dem höchstens eine der beiden verbindenden logischen Schnittstellen (gewöhnlich in der Verbindung für Wählen bei Bedarf) eine IP-Adresse abrufen kann. In der Regel wird Routing für Wählen bei Bedarf über nummerierte Verbindungen betrieben. D.h., dass sowohl der Senderrouter als auch der Empfangsrouter gegenseitig die IP-Adressen abrufen und diese Adressen den logischen Endpunkten der Punkt-zu-Punkt-Verbindung zuweisen. Wenn dieser Vorgang unter Windows Server 2003 fehlschlägt, werden den verbindenden logischen Schnittstellen normalerweise APIPA zugewiesen. Nicht nummerierte Verbindungen treten daher nur auf, wenn einer der Router APIPA nicht unterstützt. Nachteile einer statischen Route: - Sobald das Netzwerk wächst und groß wird, übersteigen die Verwaltungskosten der Pflege statischer Routen schnell die Kosten der Implementierung und Pflege eines Protokolls für dynamisches Routing. - Mangelnde Fehlertoleranz (Verbindung ist unterbrochen, solange die Route nicht ordnungsgemäß konfiguriert wurde) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 67 von 122 Routingschleife (Fehlerfall) Zwei benachbarte Router sollten nicht mit Standardroutenkonfiguriert werden, die wechselseitig aufeinander verweisen, denn sie verursachen somit einen für den Datenverkehr nicht erreichbares Ziel. Insidertipp 0480 In der Prüfung werden unter Umständen statische Routen behandelt, die im Szenario eines Unternehmens-LANs eingesetzt werden. In der Praxis jedoch werden diese Routen nur verwendet, wenn keine andere Option verfügbar ist. Die Pflege statischer Routen für reale Netzwerke wäre zu mühsam und zeitaufwendig. Sie müssten nicht nur Zeit für die Erstellung der statischen Route aufbringen, sondern auch alle Updates und Problembehandlungen manuell vornehmen. Im Vergleich dazu ist das Protokoll für dynamisches Routing RIP, das im Wesentlichen dieselbe Funktion wie statische Routen erfüllt, problemlos zu installieren und erfordert nahezu keine Pflege. Für größere Netzwerke, für die das Protokoll für dynamisches Routing OSPF erforderlich ist, stellt statisches Routing noch nicht mal eine Option dar. Im Grunde genommen sollten statische Routen nur dann statt RIP oder OSPF eingesetzt werden, wenn eine Verbindung zu einem Remoterouter nur sporadisch genutzt wird. In diesen Fällen können Protokolle für dynamisches Routing nicht verwendet werden, da Router hier im Abstand von einigen Sekunden (30 für RIP und 10 für OSPF) regelmäßig miteinander kommunizieren müssen. Zusammenfassung der Lektion 9.1 0483 - beim Routing und RAS-Dienst in Windows Server 2003 handelt es sich um einen MultiprotokollSoftwarerouter, der leicht in Windows-Funktionen wie Sicherheitskonten und Gruppenrichtlienien integriert werden kann. Die Konsole Routing und RAS ist das wichtigste Tool für die Konfiguration und Verwaltung dieses Dienstes. - Router lesen die Zieladressen von empfangenen Datenpaketen und leiten diese Pakete anschließend in die Richtungen weiter, die in den Routingtabellen angegeben sind. In Windows Server 2003 kann die IP-Routingtabelle über die Konsole Routing und RAS oder mithilfe des Befehls route print angezeigt werden. - Routenquellen können unter Verwendung des Dialogfeldes Eigenschaften von Allgemein Vorrangstufen zugeordnet werden. Auf dieses Dialogfeld kann über den untergeordneten Knoten Allgemein des Knoten IP-Routing zugegriffen werden. Mit diesen Vorrangstufen wird ermittelt, welche Route Vorrang hat, wenn mehrere Quellen überlappende roten bereitstellen. - Ohne Protokolle für dynamisches Routing muss ein Router statische Routen einsetzen, um eine Verbindung zu nicht benachbarten Subnetzen herzustellen, die nicht in derselben Richtung wie die Standardroute liegen. - Statische Routen können über die Konsole Routing und RAS oder mit Hilfe des Befehls route add hinzugefügt werden. Durch Hinzufügen des Parameters -p zum Befehl route add wird eine permanente statische Route erstellt. Diese Route bleibt also selbst nach einem Neustart des Routers aktiv. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 68 von 122 9.2 Lektion 2 Konfigurieren des Routings für Wählen bei Bedarf Schnittstellen für Wählen bei Bedarf können verwendet werden, um Verbindungen zwischen Remotecomputern in einer Konfiguration zu erstellen, die als Routing für Wählen bei Bedarf bezeichnet wird. Routing für Wählen bei Bedarf wird in den meisten fällen eingesetzt, wenn die Kosten der Bereitstellung einer dedizierten Verbindung zwischen zwei Remotecomputern zu hoch sind oder die Verbindung nicht häufig genug verwendet wird, um die Kosten einer Standleitung zu rechtfertigen. Problembehandlung von Routing für Wählen bei Bedarf a. Damit das Routing für Wählen bei Bedarf ordnungsgemäß betrieben werden kann, muss auf beiden Verbindungsendpunkten eine Reihe von grundlegenden Funktionen aktiviert werden. Stellen Sie sicher, dass der Routing und RAS-Dienst auf beiden Servern konfiguriert und aktiviert ist. Vergewissern Sie sich daraufhin, dass beide Server in der Konsole Routing und RAS für LAN-Routing und das Routing für Wählen bei Bedarf konfiguriert wurden. Das IP-Routing muss ebenfalls aktiviert werden. Stellen Sie abschließend sicher, dass die notwendigen Schnittstellen für Wählen bei Bedarf nicht deaktiviert sind. b. Für den ordnungsgemäßen Betrieb des Routings für Wählen bei Bedarf müssen statische Routen für beide Endpunkte der Verbindung für Wählen bei Bedarf konfiguriert werden. Stellen Sie sicher, dass die Routen richtig konfiguriert sind. Vergewissern Sie sich außerdem, dass das Kontrollkästchen Bei Bedarf herzustellende Verbindung über diese Route für das Routing für Wählen bei Bedarf aktiviert ist. c. Damit die Verbindung als Verbindung zu einem gerouteten Netzwerk fungieren kann, darf die Verbindung für Wählen bei Bedarf nicht als RAS-Verbindung angesehen werden. Damit gewährleistet ist, dass die Verbindung richtig interpretiert wird, müssen Sie sich vergewissern, dass der Benutzername in den Anmeldeinformationen des anrufenden Routers dem Namen einer Schnittstelle für Wählen bei Bedarf entspricht, die auf dem antwortenden Router entspricht. Stellen Sie sicher, dass die Anmeldeinformationen des anrufenden Routers, die aus einem Benutzernamen, einem Kennwort und einem Domänennamen bestehen, richtig sind und durch den antwortenden Router bestätigt werden können. d. Antwortende Router müssen für den Betrieb in Active Directory-Domänen autorisiert werden. Bei einem Antwortenden Router, der ein Mitglied einer Active Directory-Domäne ist, muss sichergestellt werden, dass das Computerkonto des antwortenden Routers ein Mitglied der Sicherheitsgruppe RAS- und IAS-Server ist. e. Geroutete Verbindungen werden sowohl authentifiziert als auch verschlüsselt (siehe Thema 10). Damit gewährleistet ist, dass eine geroutete Verbindung für Wählen bei Bedarf hergestellt werden kann, müssen Sie sicherstellen, dass der anrufende und der antwortende Router in Verbindung mit einer RAS-Richtlinie für den Einsatz mindest einer gebräuchlichen Authentifizierungsmethode und einer verbreiteten Verschlüsselungsmethode konfiguriert sind. f. Für jede Schnittstelle für Wählen bei Bedarf können Einschränkungen in Form von Hinauswählzeiten und Filtern für Wählen bei Bedarf konfiguriert werden. Stellen Sie für alle Schnittstellen sicher, dass die Hinauswählzeiten oder Filter für Wählen bei Bedarf für die einzelnen Schnittstellen für Wählen bei Bedarf, die auf den anrufenden Router konfiguriert sind, den Verbindungsversuch nicht verhindern. g. Schnittstellen für Wählen bei Bedarf kommunizieren über Ports, die wiederum in der Konsole Routing und RAS für eingehenden und ausgehenden Datenverkehr deaktiviert werden können. Wenn eine Verbindung an einem der Endpunkte einer Routingverbindung für Wählen bei Bedarf nicht hergestellt werden kann, stellen Sie sicher, dass die verwendeten DFÜ-Ports für wählen bei Bedarf (eingehend und ausgehend) konfiguriert sind. h. Paketfilter können den Zugriff über einen Verbindungspunkt hinaus blockieren. Wenn Sie keine Verbindung mit Ressourcen hinter der dem antwortenden Router herstellen können, stellen Sie sicher, dass das Weiterreichen von erwünschtem Datenverkehr nicht von einem Paketfilter auf einer der Schnittstellen für Wählen bei Bedarf verhindert wird. Jede Schnittstelle für Wählen bei Bedarf kann mit eingehenden und ausgehenden IP-Filtern konfiguriert werden, mit denen genau gesteuert werden kann, welcher eingehende und ausgehende Datenverkehr für die Schnittstelle für Wählen bei Bedarf zugelassen ist (Paktfilterung siehe Lektion 9.5). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 69 von 122 Zusammenfassung der Lektion 9.2 0499 - Beim Routing für Wählen bei Bedarf handelt es sich um das Übertragen von Daten zwischen zwei Routern über eine DFÜ-Verbindung. Diese DFÜ-Verbindung kann in einem Szenario für Wählen bei Bedarf gegebenenfalls aktiviert oder als permanente Verbindung aufrechterhalten werden. - der Router, der als anrufender Router fungiert, muss bei jedem Verbindungsversuch für Wählen bei Bedarf vom angerufenen Router authentifiziert und autorisiert werden. Die Authentifizierung beruht auf den Anmeldeinformationen des anrufenden Routers, die während der Herstellung der Verbindung übertragen werden. Die übermittelten Anmeldeinformationen müssen einem Benutzerkonto entsprechen. Die Autorisierung wird auf der Grundlage der Einwählberechtigung des Benutzerkontos und der RAS-Richtlinien gewährt. - Um einen RAS-Client von einem Router für Wählen bei Bedarf unterscheiden zu können, muss der Benutzername in den Anmeldeinformationen für die Authentifizierung exakt dem Namen der Schnittstelle für Wählen bei Bedarf entsprechen. Anderenfalls wird die eingehende Verbindung als RAS-Verbindung betrachtet. - Zur Implementierung des Routings für Wählen bei Bedarf muss eine statische Route für die Initiierung der Verbindung für Wählen bei Bedarf angegeben werden. - Über die Konsole Routing und RAS können verschiedene Funktionen für das Routing für Wählen bei Bedarf konfiguriert werden. Zu diesen Funktionen gehören der Rückruf, Filter für Wählen bei Bedarf, Paktfilter und Hinauswählzeiten. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 70 von 122 9.3 Lektion 3 Konfigurieren von NAT Mit der Komponente Netzwerkadressübersetzung (Network Address Translation, NAT)des Routing und RASDienstes von Windows Server 2003 werden IP-Datenpakete, die zwischen dem lokalen Netzwerk und dem Internet ausgetauscht werden, weitergeleitet und neu adressiert. Mit NAT können Sie allen internen Clients private Adressen zuweisen und es ist lediglich für die externe Schnittstelle des NAT-Computers eine einzige (oder auch mehrere) öffentliche Adresse(n) erforderlich. Grundlagen von NAT Bei NAT handelt es sich um einen Dienst, der als integrierter Bestandteil eines Routers die Headerinformationen in IP-Datagrammen ändert, bevor sie an ihre Bestimmungsorte übertragen werden. Der Computer, auf dem Nat konfiguriert wird, kann als Netzwerkadressübersetung, als vereinfachter DHCPServer, als DNS-Proxy und als WINS-Proxy fungieren. NAT kann über eine Schnittstelle für Wählen bei Bedarf oder über eine permanente Verbindung konfiguriert werden. Unterschied zwischen NAT und ICS ICS (Internet Connection Sharing) ermöglicht internen Clients ebenso wie NAT, private IP-Adressen beizubehalten, während diese Clients eine Verbindung mit öffentlichen externen Adressen herstellen. Der Hauptunterschied zwischen NAT und ICS betrifft die Konfigurierbarkeit. ICS ist vorkonfiguriert und legt die interne Adresse des Computers, auf dem die gemeinsam genutzte Verbindung konfiguriert ist, automatisch auf den Wert 192.168.0.1 fest. Alle internen Clients sind Bestandteil eines einzelnen physischen Subnetzes und werden mit Adressen aus dem Bereich 192.168.0.0/24 ausgestattet. Diese internen Clients verweisen für DNS-Auflösungszwecke auf den ICS-Computer. Die externe, gemeinsam genutzte Schnittstelle wird mit einer einzelnen öffentlichen Adresse konfiguriert. NAT ist flexibler konfigurierbar. Mit NAT können Sie eine beliebige IP-Adresse als interne des NAT-Computers wählen und haben die Möglichkeit, dessen Funktionen als DHCP-Server und DNS-Proxy zu deaktivieren. NAT kann im Gegensatz zu ICS mehrere interne Schnittstellen verwalten, die aber alle im gleichen logeischen Subnetz sein müssen. NAT kann auch im Gegensatz zu ICS mehrere öffentliche Netzwerkadressen verwalten, was günstig sich für das Betreiben von öffentlichen Web- und Fileservern auswirkt. Prüfungstipp 0501 Für die Prüfung 70-291 müssen Sie ICS kennen. Prüfungstipp 0502 Bei der Zuweisung von IP-Adressen nimmt ICS keine Überprüfung auf Konflikte mit statischen Adressen vor, die bereits von Computern im Netzwerk verwendet werden. Daher sollte ICS nicht in einem Netzwerk eingeführt werden, dessen kritische Server mit statischen Adressen am Anfang des Bereichs 192.168.0.0/24 vorkonfiguriert sind. Wenn wichtige Server mit statischen Adressen aus einem anderen logischen Adressraum (zum Beispiel 192.168.1.0/24) vorkonfiguriert sind, kann die Einführung von ICS außerdem dazu führen, dass auf diese Server nicht mehr zugegriffen werden kann. Wenn also in einem Prüfungsszenario wichtige Netzwerkdienste nach einer ICS-Installation nicht mehr zur Verfügung stehen, suchen Sie nach einer Möglichkeit, ICS durch NAT zu ersetzen. Vergleich der Funktionen von übersetzten Verbindungen Gemeinsame Nutzung der Internetverbindung Netzwerkadressübersetzung (ICS) (NAT) Konfiguration über nur 1 Kontrollkästchen Manuelle Konfiguration Einzelne öffentliche IP-Adresse Einzelne oder mehrere öffentliche IP-Adressen Fester Adressbereich (192.168.0.0/24) Konfigurierbarer Adressbereich für interne Hosts für interne Hosts Einzelne interne Schnittstelle, die mit einem Eine oder mehrere interne Schnittstellen, die mit einzelnen logischen Subnetz verbunden ist einem einzelnen logischen Subnetz verbunden sind Installation über das Fenster Installation über die Konsole Netzwerkverbindungen Routing und RAS Microsoft Windows 98 SR2, oder höher Windows Server 2000 oder Windows Server 2003 Windows Firewall Basisfirewall Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 71 von 122 Praxistipp Eingehende Anrufe und NAT 0502 ICS verfügt über eine interessante Funktion, die NAT nicht besitzt: Wenn ICS auf einer DFÜ-Verbindung konfiguriert wird, werden eingehende Anrufe nicht beantwortet. Wenn Sie im Gegensatz dazu NAT über eine Schnittstelle für Wählen bei Bedarf konfigurieren, wird das Modem von der Schnittstelle angewiesen, eingehende Anrufe nach nur 2 Rufzeichen zu antworten. Das kann lästig sein, insbesondere wenn Sie sowohl für eine gemeinsam genutzte Internetverbindung als auch für Telefonanrufe dieselbe Telefonleitung benutzen. Wenn Sie in diesem Fall nicht nach einem Rufzeichen abheben, wird Ihr Gespräch wahrscheinlich von den recht lauten Geräuschen des Modems unterbrochen. Wenn Sie ICS nicht einsetzen können, aber denn noch sowohl für die Internetverbindung als auch für die Telefonanrufe dieselbe Telefonleitung verwenden möchten, können Sie die Registrierung so ändern, dass der Telefonanruf erst nach einer größeren Anzahl von Rufzeichen angenommen wird. Zeigen Sie zu diesem Zweck den Registrierungseditor an, und fügen Sie einen REG_DWORD-Wert mit der Bezeichnung NumberOfRings zum folgenden Registrierungsschlüssel hinzu: HKEY_LOCAL_MASCHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters . Dieser Wert kann mit einer beliebigen Zahl zwischen 0 und 20 besetzt werden. In einem künftigen Servicepack wird unter Umständen durch den Wert 0 verhindert, dass das Modem überhaupt antwortet. Derzeit jedoch hat der Wert 0 denselben Effekt wie der Wert 2. Wenn das Modem keine Telefonanrufe mehr abfangen soll, können Sie NumberOfRings auf den Maximalwert 20 festlegen. Dabei handelt es sich jedoch nicht um eine perfekte Lösung, denn auch in diesem Fall könnte ein energischer Anrufer 20 Rufzeichen abwarten, sodass der Anruf vom Modem abgefangen wird. Problembehandlung von NAT 0503 Konzeptionelle Zusammenfassung der Konfigurationsanforderungen für eine NAT-Einrichtung: a. Für den ordnungsgemäßen Betrieb von NAT müssen die geeigneten externen (öffentlichen) und internen (privaten) Schnittstellen in der Konsole Routing und RAS zum NAT-Protokoll hinzugefügt werden. Die Interne Schnittstelle wird gewöhnlich standardmäßig erstellt. Die externe Schnittstelle muss unter Umständen manuell erstellt werden, bevor sie hinzugefügt werden kann. Stellen Sie nach dem Hinzufügen der beiden Schnittstellen sicher, dass die öffentliche Schnittstelle (die für Verbindungen für Wählen bei Bedarf standardmäßig mit der Bezeichnung Remoterouter versehen wird) in ihrem Eigenschaftendialogfeld im Knoten NAT/Basisfirewall als öffentliche Schnittstelle angegeben ist. Analog muss die private Schnittstelle in ihrem Eigenschaftendialogfeld im Knoten NAT/Basisfirewall als private Schnittstelle konfiguriert werden. b. In der Konsole Routing und RAS muss für NAT eine statische Standardroute hinzugefügt werden. das Ziel und die Netzwerkmaske für diese statische Route müssen mit dem Wert 0.0.0.0 konfiguriert sein, ein Gateway sollte nicht angegeben werden und die Schnittstelle muss auf die öffentliche (externe) Schnittstelle konfiguriert werden, die mit dem Internet verbunden ist. c. Bei Einsatz von NAT muss ein DHCP-Dienst für interne Clients ordnungsgemäß konfiguriert sein. Wenn Sie keinen DHCP-Server konfiguriert haben, stellen Sie sicher, dass auf der Registerkarte Adresszuweisung des Dialogfelds Eigenschaften von NAT/Basisfirewall das Kontrollkästchen IP-Adressen automatisch mit der DHCP-Zuweisung zuordnen aktiviert ist. d. Damit NAT in Verbindung mit der DNS-Namensauflösung eingesetzt werden kann, muss entweder auf dem NAT-Computer ein DNS-Server konfiguriert sein, oder über den DNS-Proxy in NAT angegeben werden. Wenn Sie auf dem NAT-Computer keinen DNS-Server konfiguriert haben, stellen Sie sicher, dass auf der Registerkarte Namensauflösung des Dialogfelds Eigenschaften von NAT/Basisfirewall das Kontrollkästchen Clients, die DNS (Domain Name System) verwenden und damit der DNS-Proxy aktiviert ist. e. Für bestimmte NAT-Funktionen ist eine komplexere Konfiguration erforderlich. Wenn Sie der externen Schnittstelle einen Adresspool zugewiesen haben, müssen Sie sicherstellen, dass die Adressen und die Maske richtig konfiguriert wurden. Überprüfen Sie für spezielle Ports die Konfiguration der öffentlichen Adresse und des Ports sowie der privaten Adresse und des entsprechenden Ports. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 72 von 122 Sicherheitswarnung 0504 Bei NAT-Übungen sich als Nicht-Administrator anmelden und Ausführen als verwenden. Prüfungstipp 0504 In der Prüfung 70-291 kann Ihnen eine Simulationsfrage gestellt werden, in denen Sie NAT konfigurieren müssen. Arbeiten Sie die Übungen also sorgfältig durch. Prüfungstipp 0509 Für die Prüfung 70-291 müssen Sie wissen, dass die Funktionalität, die auf der Registerkarte Dienste und Ports bereitgestellt und in folgendem Szenario illustriert wird, als Konfiguration spezieller Ports bezeichnet wird. Die Konfiguration eines speziellen Ports entspricht der Zuordnung eines internen Dienstes (z.B. WWW-Dienst, Telnet oder FTP-Server) zur externen Schnittstelle des NAT-Computers. Mit dieser Funktion können externe Anforderungen für interne Dienste an den geeigneten Computer weitergeleitet werden. Szenario: NAT-Tabelle Portnummer Adresszuordnung 80 192.168.1.5 21 192.168.1.8 Clientrechner --> Internet --> NAT-Server --> Externe Schnittstelle: 297.68.200.10 Interne Schnittstelle: 192.168.1.1 Web-Server 192.168.1.5 FTP-Server 192.168.1.8 Webanforderung vom Client --> 207.168.200.100:80 --> Zusammenfassung Lektion 9.2 0511 - Bei Nat handelt es sich um einen Dienst, der als integrierter Bestandteil eines Routers die Quelladresse von IP-Datagrammen ändert, bevor sie an ihre Bestimmungsorte übertragen werden. Mithilfe dieser Funktionalität können NAT-Clients eine Verbindung mit dem Internet herstellen, indem sie eine oder mehrere öffentlich registrierte IP-Adressen auf dem NAT-Computer gemeinsam nutzen. - In der Konsole Routing und RAS kann NAT auch als DHCP-zuweisung, als DNS-Proxy oder als WINS-Proxy konfiguriert werden. - NAT kann als vollständig konfigurierbare Version von ICS angesehen werden. Für einen ordnungsgemäßen Betrieb von NAT muss eine Standardroute ohne angegebenes Gateway konfiguriert werden. - NAT-Clients in demselben Subnetz wie der NAT-Server müssen so konfiguriert werden, dass sie den NAT-Server als Standardgateway einsetzen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 73 von 122 9.4 Lektion 4 Konfigurieren und Verwalten von Routingprotokollen Mit Hilfe der Protokolle für dynamisches Routing, RIP und OSPF, können Router geeignete Pfade für die Übertragung von Datenverkehr übermitteln. Der Dienst DHCP-Relay-Agent wird in Routing und RAS ebenfalls als Routingprotokoll betrachtet. Mithilfe dieses Dienstes kann ein DHCP-server in Remotesubnetzen eine IP-Konfiguration zur Verfügung stellen. Die 4 Routingprotokolle des Windows Server 2003: RIP Protokoll für das dynamisches Routing OSPF Protokoll für das dynamisches Routing von ganz großen Netzen IGMP-Router & -Proxy Multicast-Routingprotokoll DHCP-Relay-Agent zum Verteilen von IP-Adressen Prüfungstipp 0512 Für die Simulationsfragen müssen Sie wissen, wie Sie ein Routingprotokoll zur Konsole Routing und RAS hinzufügen und wie Sie dieses Routingprotokoll auf bestimmte Schnittstellen aktivieren. Denken Sie daran, dass Sie das Protokoll zuerst über den Knoten Allgemein hinzufügen müssen und es dann aktivieren können, indem Sie mit der rechten Maustaste auf das Protokollsymbol klicken und den Befehl Neue Schnittstelle wählen. Konfigurieren von RIP RIP (Routing Information Protocol) ist ein Protokoll für dynamisches Routing, mit dessen Hilfe Router den besten Pfad für die Übertragung gegebener Daten ermitteln können. Routen zu Zielen werden entsprechend den geringsten Kosten ausgewählt. Diese Kosten werden standardmäßig anhand der Anzahl der Abschnitte oder Router zwischen Endpunkten bestimmt. Die Kosten der einzelnen Routen können jedoch gegebenenfalls manuell angepasst werden. Hierbei ist entscheidend, dass RIP Routen verwirft, für die Kosten oberhalb des Werts 155 ermittelt werden. Auf diese Weise wird effektiv die Größe des Netzwerks begrenzt, in dem RIP betrieben werden kann. Eine weitere wichtige Funktion von RIP besteht darin, dass RIP-fähige Router ihre gesamten Routingtabellen alle 30 Sekunden wechselseitig austauschen und somit aber einen erheblichen Datenverkehr induzieren. RIP-Umgebung - Ein kleines bis mittleres Verbundnetzwerk bestehend aus 10 bis 50 Netzwerken. Außerdem darf der Durchmesser eines RIP-Netzwerkes nicht mehr als 15 Router enthalten. - Multipath-Funktionalität bedeutet, dass für die Übertragung von Paketen zwischen zwei beliebigen Endpunkten im Verbundnetzwerk mehrere Pfade zur Verfügung stehen. - Dynamisch bedeutet, dass die Topologie des Verbundnetzwerkes geändert werden kann. Vor- und Nachteile von RIP Hauptvorteil von RIP besteht in der problemlosen Bereitstellung. Das Protokoll kann einfach durch Aktivierung auf den einzelnen Routern in einem Netzwerk implementiert werden. Hauptnachteil von RIP ist seine Einschränkung auf 15 Abschnitte und kann somit nicht auf große Netzwerke skaliert werden. Weitere Nachteile von RIP sind seine langen Konvergenzzeiten in mittelgroßen Netzwerken und die fehlende Möglichkeit, andere Kosten als Abschnitte (z.B. Bandbreite) in Routenkosten einfließen zu lassen. Prüfungstipp 0514 Für die Prüfung 70-291 müssen Sie mit diesen RIP-Sicherheitsfunktionen vertraut sein. RIP-Authentifizierung dient zum Vorbeugen von Beschädigungen durch nicht autorisierte RIP-Router oder böswilligen Angreifern, wobei anzumerken ist, dass wegen der einfachen Kennwortauthentifizierung das Kennwort als Klartext übertragen wird. Die RIP-Authentifizierung wird im Eigenschaftendialogfeld der RIP-Schnittstelle (z.B. der LAN-Verbindung) auf der Registerkarte Allgemein aktiviert, in dem dort ein Haken bei Authentifizierung ankündigen gesetzt wird und das Kennwort eingegeben wird. Peerfilterung wird auf der Registerkarte Sicherheit im Dialogfeld Eigenschaften von RIP konfiguriert. Es enthält eine IP-Adressen-Liste von Routern, von denen RIP-Ankündigungen angenommen werden, wobei standardmäßig RIP-Ankündingungen von allen Routern akzeptiert werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 74 von 122 Routenfilter werden auf den RIP-Schnittstellen konfiguriert und dienen zum Herausfiltern der Netzwerke, welche überhaupt geroutet werden sollen. Sie können auf der Registerkarte Sicherheit im Eigenschaftendialogfeld der RIP-Schnittstelle konfiguriert werden. Nachbarn werden verwendet, um zu verhindern, dass andere Knoten außer den benachbarten RIP-Routern den RIP-Datenverkehr bekommen. Die RIP-Nachbarn werden auf der Registerkarte Nachbarn im Eigenschaftendialogfeld der RIP-Schnittstelle konfiguriert. Überblick über OSPF (Open Shortest Path First) Es dient dem Austausch von Routinginformationen in einem großen oder sehr großen Verbundnetzwerken. OSF im Vergleich mit RIP - OSPF kann auf große oder sehr große Verbundnetzwerke skaliert werden. - OSPF weist kein Abschnittlimit auf. - OSPF bietet kürzere Konvergenzzeiten auf. - OSPF setzt weniger Netzwerkbandbreite ein. - Routen, die mit OSPF berechnet wurden, weisen grundsätzlich keine Schleifen auf. Grundlagen zu DHCP-Relay-Agent der DHCP-Relay-agent ermöglicht es den Clientcomputern, seine IP-adresse von einem DHCP-Server in einem Remotesubnetz abzurufen. In der Regel senden die DHCP-Clients DHCP-Discover-Pakete als Broadcast, die daraufhin vom DHCP-Server im eigenen Subnetz empfangen und beantwortet werden. Da Router aber Broadcastnachrichten blockieren, müssen DHCP-Clients und DHCP-server normalerweise in demselben Subnetz eingerichtet werden. Es gibt 2 Methoden zur Umgehung dieses Problems: RFC 1452-kompatible Router und der Einsatz eines DHCPRelay-Agents. Obwohl das Routingprotokoll DHCP-Relay-Agent über die Konsole Routing und RAS konfiguriert wird, muss der Computer, der den DHCP-Relay-Agenten hostet, nicht als Router zwischen zwei Subnetzen fungieren. Tipp 0520 In einem Netzwerk mit mehreren Subnetzen können Sie in jedem Subnetz sowohl einen DHCP-Server als auch einen DHCP-Relay-Agent bereitstellen, wenn Sie eine hohe Fehlertoleranz erreichen wollen. Hierbei kommt dann auch die 80:20-Regel zum Einsatz. beim DHCP-Relay-Agent muss folgendes konfiguriert werden: a. Angabe des DHCP-Server, an denen die DHCP-Discovers der Clients weitergeleitet werden sollen. b. Angabe der Schnittestelle (IP-Adresse), in welches Subnetz es horchen soll, um Clients-anfragen entgegen zu nehmen. Hinweis 0520 Die Komponente DHCP-Relay-Agent kann nicht auf einen Computer verwendet werden, auf dem der DHCP-Dienst (auf den der DHCP-Relay-Agent verweist), die NAT-Routingprotokollkomponente mit aktivierter automatischer Adressierung oder ICS ausgeführt wird. Zusammenfassung der Lektion 9.4 0522 - RIP ist ein Protokoll für dynamisches Routing, dass einfach bereitgestellt werden kann, aber eine Reihe beträchtlicher Beschränkungen hat. RIP-Netzwerke sind z. B: auf einen Durchmesser von 15 Abschnitten beschränkt. Darüber hinaus verbraucht RIP vergleichsweise viel Netzwerkbandbreite. - RIP umfasst eine Reihekonfigurierbarer Sicherheitsfunktionen, einschließlich der RIP-Authentifizierung, der Peerfilterung, der Routenfilter und der Nachbarn. - OSPF ist ein Protokoll für dynamisches Routing, dass für einen Austausch von Routinginformationen in einem großen oder sehr großen Verbundnetzwerk entworfen wurde (mit Routerdatenbanken). Obwohl die Bereitstellung schwierig ist, bietet es gegenüber RIP eine Reihe von Vorteilen, einschließlich größerer Effizient (weniger Netzbanbreite als RIP), Genauigkeit, Skalierbarkeit und Konfigurierbarkeit. - Wenn für alle Subnetze in jedem Netzwerk die automatische Adressierung bereitgestellt werden soll, muss jedes Subnetz mit einem DHCP-Server oder mit einem DHCP-Relay-Agent konfiguriert werden, der auf einen DHCP-Server verweist. Alternativ können DHCP-Clients von DHCP-Servern oder DHCP-Relay-Agents durch Router getrennt werden, die eine BOOTP-Weiterleitung vornehmen können (also RFC 1542-kompatible Router). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 75 von 122 9.5 Lektion 5 Konfigurieren von Paketfiltern Paketfilter sind Regeln, die für eine bestimmte Schnittstelle definiert werden und Datenverkehr nach Quelladresse, Zieladresse, Richtung oder Protokolltyp zulassen oder beschränken können. Funktionalität der Paketfilterung: - Weiterleiten des gesamten Datenverkehrs mit Ausnahme der durch Filter gesperrten Pakete. - Verwerfen des gesamten Datenverkehrs mit Ausnahme der durch Filter zugelassenen Pakete (ist besser). Wenn in der Konsole Routing und RAS die Basisfirewall auf einer externen Schnittstelle aktiviert wird, verhindert diese Schnittstelle die Übertragung jeglichen nicht angeforderten Datenverkehr in da Netzwerk. Paketfilter können den Datenverkehr auf dieser Schnittstelle detailliert öffnen bzw. schließen (z. B. den Datenverkehr von und zu den eigen öffentlichen Web-Servern öffnen). Prüfungstipp 0524 Achten Sie auf Fragen, in denen zwar alle Paketfilter, aber nicht die entsprechenden Filteraktionen richtig konfiguriert sind. Die Paketfilter werden über die Konsole Routing und RAS, dann Knoten IP-Routing und Allgemein aktiviert und mit den Schaltflächen Eingehende Filter und Ausgehende Filter erstellt und konfiguriert. Prüfungstipp 0526 Für die Simulationsfragen müssen Sie wissen, wie Sie Paketfilter in der Konsole Routing und RAS erstellen. Es dürfte mindestens eine Frage kommen, in der Sie entweder eingehende oder ausgehende Filter erstellen müssen, die Verkehr entweder blockieren oder erlauben und entweder für bestimmte Adressen oder für bestimmte Ports (z. B. TCP-Port 80) gelten. Hinweis 0526 Paketfilter können auch in einem RAS-Richtlinienprofil definiert werden. RAS-Richtlinien, die im Kapitel 10 behandelt werden, ermöglichen die Anwendung von Regeln und Einschränkungen auf bestimmte RAS-Verbindungen. Durch Festlegung von Paketfiltern und der RAS-Richtlinienebene können verschiedene Stufen von Zugriffsbeschränkungen auf unterschiedliche Benutzer angewendet werden. Paketfilter werden im Allgemeinen auf die externe Schnittestelle, welche ins Internet geht, erstellt und konfiguriert. Prüfungstipp 0527 Eine Protokollnummer wird in der Regel verwendet, um einen mit einem bestimmten Dienst (z. B. Port 80 für HTTP oder PPTP: TCP-Port 1723 für Erstellung und Aufrechterhaltung einer VPN-Verbindung und IP-Protokoll 47 für das Senden von Daten mittels PPTP [Point-to-Point Tunneling Protocol]) verknüpften Datenstrom zu definieren. Um einen Paketfilter für eine Protokollnummer zu erstellen, wählen Sie sie im Dropdown-Listenfeld Protokoll des Dialogfeldes IP-Filter hinzufügen die Option Weitere. geben Sie daraufhin im Textfeld Protokollnummer den gewünschten Wert an. Prüfungstipp 0527 Für die Prüfung müssen Sie die Protokollnummern und Ports kennen, die für PPTP (Point-to-Point Tunneling Protocol) und L2TP/IPSec (Layer2 Tunneling Protocol/Internet Protocol Security) erforderlich sind: PPTP: TCP-Port 1723 (Erstellung und Aufrechterhaltung der VPN-Verbindung IP-Protokoll 47 (Datenstrom) L2TP/IPSec UDP-Port 500 (Erstellen und Aufrechterhaltung der Verbindung) UDP-Port 4500 (Erstellen und Aufrechterhaltung der Verbindung) IP-Protokoll 50 (Datenstrom) Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 76 von 122 Zusammenfassung der Lektion 9.5 0528 - Paketfilter sind Regeln, die für eine bestimmte Schnittstelle definiert werden und Datenverkehr nach Quelladresse, Zieladresse, Richtung oder Protokolltyp zulassen oder beschränken. Ohne Paketfilter blockiert eine Firewall einfach alle Anforderungen, die aus externen Netzwerken stammen. - Um externen Benutzern die Herstellung einer Verbindung zu einem Server oder Dienst in Ihrem internen Netzwerk zu ermöglichen, können Sie auf einer Firewall Paketfilter erstellen, mit denen alle Anforderungen aus dem externen Netzwerk mit Ausnahme der Anforderungen blockiert werden, die für den angegebenen internen Dienst bestimmt sind. - In Windows Server 2003 schränken Paketfilter den Datenverkehr nur in einer Richtung ein. Um externe Zugriffe auf einen internen Dienst zu ermöglichen, können Sie auf der externen Schnittstelle Ihrer Firewall einen eingehenden Filter und einen ausgehenden Filter erstellen. Geben Sie für die einzelnen Filter das Dienstprotokoll und die Adresse an, unter der der Dienst gehostet wird. Um die Sicherheit zu erhöhen, kann ein weiterer ähnlichre Filtersatz auf der internen Schnittstelle der Firewall konfiguriert werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 77 von 122 Zusammenfassung des Kapitel 9 0531 - Der Routing und RAS-Dienst kann für den Betrieb als Softwarerouter konfiguriert werden. - Die Konsole Routing und RAS ist das wichtigste Tool für die Konfiguration und Verwaltung des Routing und RAS-Dienstes. - In Windows Server 2003 kann die IP-Routingtabelle über die Konsole Routing und RAS oder mithilfe des Befehls route print angezeigt werden. - Ohne Protokolle für dynamisches Routing muss ein Router statische Routen einsetzen, um eine Verbindung zu nicht benachbarten Subnetzen herzustellen, die nicht in derselben Richtung wie die Standardroute liegen. - Statische Routen können über die Konsole Routing und RAS oder mithilfe des Befehls route add hinzugefügt werden. Durch Hinzufügen des Parameters -p zum Befehl route add wird eine permanente statische Route erstellt. Diese Route ist also auch nach einem Neustart des Routers wieder in der Routingtabelle enthalten. - Beim Routing für Wählen bei Bedarf handelt es sich um das Übertragen von Daten zwischen zwei Routern über eine DFÜ-Verbindung. Diese DFÜ-Verbindung kann in einem Szenario für Wählen bei Bedarf gegebenenfalls aktiviert sein oder als permanente Verbindung aufrechterhalten werden. - Bei NAT handelt es sich um einen Dienst, der als integrierter Bestandteil eines Routers die Quelladresse von IP-Datagrammen ändert, bevor sie an das öffentliche Internet übertragen werden. Mithilfe dieser Funktionalität können NAT-Clients eine Verbindung mit dem Internet herstellen, indem sie eine oder mehrere öffentlich registrierte IP-Adressen auf dem NAT-Computer gemeinsam nutzen. NAT kann als vollständig konfigurierbare Versuch von ICS angesehen werden. - RIP ist ein Protokoll für dynamisches Routing, das einfach bereitgestellt werden kann, aber ressourcenintensiv und für sehr große Netze nicht geeignet ist. OSPF ist dagegen ein Protokoll für dynamisches Routing, dass nur schwer eingerichtet werden kann, aber skalierbar, elegant und effizient ist. - DHCP-Relay-Agent ist ein Routingprotokoll, dass in der Konsole Routing und RAS unterm Knoten IP-Routing konfiguriert wird Clientcomputern ermöglicht, eine Adresse von einem DHCP-Server in einem Remotesubnetz abzurufen. - Um externen Benutzern die Herstellung einer Verbindung zu einem Server oder Dienst in Ihrem internen Netzwerk zu ermöglichen, können Sie auf einer Firewall Paketfilter erstellen, mit denen alle Anforderungen aus dem externen Netzwerk mit Ausnahme der Anforderungen blockiert werden, die für den angegebenen internen Dienst bestimmt sind. Schlüsselinformationen Kapitel 9 0532 - Lernen Sie, wann und wie Sie statische Routen erstellen sollten. - Machen Sie sich mit dem Lesen einer Routingtabelle vertraut. - Machen Sie sich mit allen Konfigurationsoptionen im Zusammenhang mit Schnittstellen für Wählen bei Bedarf vertraut. - Stellen Sie sicher, dass Sie in der Lage sind, ICS udn NAT zu vergleichen und die Unterschiede herausarbeiten zu können. Lernen Sie, den geeigneten Dienst für gegebene Netzwerkszenarien zu bestimmen. - Lernen Sie, RIP und OSPF zu vergleichen und die Unterschiede herauszuarbeiten. Lernen Sie das geeignete Protokoll für gegebene Netzwerkszenarien zu bestimmen. - Sie sollten beim Studium einer Netzwerktopologie in der Lage sein, die Subnetze zu bestimmen, für die ein DHCP-Relay-Agent erforderlich ist. - Prägen Sie sich die Paketfilter ein, die auf einer Firewall installiert werden müssen, um externen Benutzern Zugriff auf interne Dienste wie einem Wen- oder VPN-Server zu ermöglichen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 78 von 122 Schlüsselbegriffe Kapitel 9 0533 Rückruf Eine Funktion, bei der ein antwortender Router eine DFÜ-Verbindung trennt und eine vorher konfigurierte Rufnummer zurückruft. BAP/BACP Bandwidth Allocation Protocol/Bandwidth Allocation Control Protocol. Diese Protokolle werden eingesetzt, damit Mehrfachverbindungen als Reaktion auf einen Anstieg oder ein Absinken der verfügbaren Netzwerkbandbreite Leitungen hinzufügen oder entfernen können. Autostatische Routen Eine Funktion, bei der RIP keine der üblichen Ankündigungen über eine bestimmte Verbindung überträgt. Stattdessen werden Routen halbautomatisch aktualisiert: entweder ausgelöst durch einen Administrator oder durch ein geplantes Skript. BOOT-Weiterleitung Ein Vorgang, mit dem RFC 1542-kompatible Router DHCP-Broadcastmeldungen zwischen zwei Subnetzen übertragen. IP-Adressen die bei der NAT/Basisfirewall (Dienste und Ports) an einer Schnittstelle überwacht werden können Ein/Ausgehender Port Dienst 21 FTP-Server 220 Internet Mail Access Protocol 3 (IMAP 3) 143 Internet Mail Access Protocol 4 (IMAP 4) 25 Internet Mail Server (SMTP) 500 IP-Sicherheit (IKE) 4500 IP-Sicherheit (IKE-NAT durchquerend) 110 Post Office Protocol, Version 3 (POP 3) 3389 Remotedesktop 443 sicherer Webserver (HTTPS) 3398 Terminal-Server 23 Telnetserver 1701 VPN-Gateway (L2TP/IPSec wird auf diesem Server ausgeführt) 1723 VPN-Gateway (PPTP) 80 Webserver (HTTP) 1645 Zugriffsserver RADIUS-Authentifizierungsanforderung Weitere wichtige Portnummern 53 UDP 67 UDP 68 UDP 1812 UDP 1813 1645 1645 DNS DHCP DHCP RADIUS-Server (UDP, Authentifizierung) RADIUS-Server (UDP, Kontoführung) Zugriffsserver RADIUS-Authentifizierungsanforderung Zugriffsserver RADIUS-Authentifizierungsanforderung Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 79 von 122 10. Kapitel 10 Konfigurieren und Verwalten des Remotezugriffs 10.1 Lektion 1 Konfigurieren von RAS-Verbindungen Verschiedene vorbereitende Schritte sind erforderlich, um Benutzern die Herstellung einer RAS-Verbindung (z. B. eine DFÜ-Verbindung oder einer VPN-Verbindung) zu einem Netzwerk zu ermöglichen. Dazu gehört: - die Implementierung einer Adressauflösung, die den DFÜ-Clients die Kommunikation im Remotenetzwerk erlaubt, und - die Konfiguration der Benutzerauthentifizierung durch Implementieren eines geeigneten Authentifizierungsprotokolls. Sowohl serverseitig über die Konsole Routing und RAS und clientseitig mittels des Netzwerkumgebungsobjektes „VPN-Verbindung“ muss der Remotezugriff über VPN konfiguriert werden. Hinweis 0544 (privat) Das Remotenetzwerk und das Netzwerk, in welchem der VPN-Server steht müssen verschieden sein. Sind beide Netzwerke z. B. ein 192.168.2.0/24er Netz, dann kann vom Remotenetzwerk nicht zum Server geroutet werden, da es die gleiche Netzwerkkennung wie der Server hat und es somit keinen Anlass gibt, das IP-Paket rauszurouten. Sobald auf dem Server ein VPN-Server installiert werden soll, darf auf diesem Server niemals vorher ein NAT installiert werden. Hinweis 0544 Der Setup-Assistent für den Routing- und RAS-Server steht nicht zur Verfügung, wenn der Routing und RASDienst auf Ihrem Server noch nicht konfiguriert wurde. Um den Setup-Assistenten für Routing- und RAS-Server anzuzeigen, klicken Sie in der Konsole Routing und RAS mit der rechten Maustaste auf das Serversymbol, und klicken Sie anschließend auf Routing und RAS Konfiguration und aktivieren. Prüfungstipp 0546 Für die Prüfung müssen Sie mit der Methode vertraut sein, die der Routing und RAS-Dienst einsetzt, um IPAdressen und zu verteilen. Darüber hinaus müssen Sie wissen, dass der Remotezugriff fehlschlägt, wenn der Routing und RAS-Dienst nicht in der Lage ist, 10 freie Leases von einem DHCP-Server zu erhalten. Ein häufiges Anzeichen für diese Fehlfunktion ist das Vorhandensein einer APIPA-Adresse auf dem RASClient. Berücksichtigen Sie außerdem, dass eine APIPA-Adresse auch ein Anzeichen dafür sein kann, dass ein DHCPServer oder DHCP-Relay-Agent im Netzwerksegment des RAS-Servers konfiguriert werden muss. Hinweis 0547 Während sich die Authentifizierung auf den Vorgang der Überprüfung von Benutzeranmeldeinformationen bezieht, bezeichnet die Autorisierung den Vorgang, Benutzern den Zugriff auf Ressourcen zu gewähren. Nach erfolgter RAS-Authentifizeirung wird die RAS-Verbindung nur dann autorisiert, wenn sowohl in den DFÜ-Eigenschaften des Benutzerkontos als auch in der RAS-Richtlinie, die für die Verbindung wirksam ist, die richtigen Berechtigungen konfiguriert sind. In Lektion 10.2 werden RAS-Richtlinien und RAS-Autorisierung erläutert. Hinweis 0548 Wenn ein Benutzer eine Firewall auf einen eigenständigen RAS-Server vornimmt, der kein Mitglied einer Domäne ist, muss sich der Benutzer zunächst an seinem lokalen Computer oder seiner lokalen Domäne anmelden, bevor der versuchen kann, eine Verbindung mit dem Remoteserver herzustellen. In diesem Fall ist die Überprüfung der Anmeldeinformationen die einzigste Authentifizierung, die stattfinden muss, bevor die Verbindung autorisiert und hergestellt wird. Diese Anmeldeinformationen müssen in der lokalen Sicherheitskontenverwaltung (Security Accounts Manager, SAM) des antwortenden Servers gespeichert werden, bevor der Benutzer die Verbindung herstellt. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 80 von 122 Authentifizierungsprotokolle (Die Sichersten werden zuerst genannt.) - EAP-TLS (Extensible Authentication Protocol-Transport Level Security) Eine zertifikatbasierte Authentifizierung, die auf EAP beruht, einem erweiterbaren Framework, dass neue Authentifizierungsmethoden unterstützt. EAP-TLS wird in der Regel in Verbindung mit Smartcards eingesetzt. EAP-TLS unterstützt die Verschlüsselung von Authentifizierungs- und Verbindungsdaten. Beachten Sie, das EAP-TLS auf eigenständigen Servern nicht unterstützt wird. Der RAS-Server mit Windows Server 2003 muss Mitglied einer Active Directory-Domäne sein. - MS-CHAP v2 (Microsoft-Challenge Handshake Authentication Protocol Version 2) Eine wechselseitige Authentifizierungsmethode, die Verschlüsselung von Authentifizierungs- und Verbindungsdaten bietet. Für jede Verbindung und jede Übertragungsrichtung wird ein neuer kryptografischer Schlüssel verwendet. MS-CHAP Version 2 ist in Windows Server 2000, 2003 und Windows XP standardmäßig aktiviert. - MS-CHAP v1 (Microsoft-Challenge Handshake Authentication Protocol Version 1) Eine einseitige Authentifizierungsmethode, die Verschlüsselung von Authentifizierungs- und Verbindungsdaten bietet. Für alle Verbindungen wird derselbe kryptografische Schlüssel verwendet. MS-CHAP v1 unterstützt ätere Windowsclient wie Microsoft Windows 95 und 98. - EAP-MD5 CHAP (Extensible Authentication Protocol-Message Digest 5 Challenge Handshake Authentication Protocol) Eine CHAP-Version (siehe nächster Eintrag), die auf das EAP-Framework portiert wurde. EAP-MD5 CHAP unterstützt die Verschlüsselung von Authentifizierungsdaten mithilfe des MD5-Hashschemas, das als Industriestandard gilt. Es bietet die Kompatibilität mit Nicht-Microsoft-Clients, zum Beispiel Clients mit Mac OSX. Verschlüsselung von Verbindungsdaten wird nicht unterstützt. - CHAP (Challenge Handshake Authentication Protocol) Eine generische Authentifizierungsmethode, die Verschlüsselung von Authentifizierungsdaten über das MD5-Hashschema bereitstellt. CHAP bietet Kompatibilität mit Nicht-Microsoft-Clients. Die Gruppenrichtlinie, die für Konten mit dieser Authentifizierungsmethode wirksam ist, muss so konfiguriert werden, dass Kennwörter mit umkehrbarer Verschlüsselung gespeichert werden (die Kennwörter müssen nach Anwendung dieser neuen Richtlinie zurückgesetzt werden). CHAP unterstützt nicht die Verschlüsselung von Verbindungsdaten. - SPAP (Shiva Password Authentication Protocol) Ein schwach verschlüsseltes Authentifizierungsprotokoll, das Interoperabilität mit Shiva-Remotenetzwerkprodukten bietet (Benutzername ist unverschlüsselt und Kennwort verschlüsselt). SPAP unterstützt nicht die Verschlüsselung von Verbindungsdaten. - PAP (Password Authentication Protocol) Eine generische Authentifizierungsmethode, mit der keine Authentifizierungsdaten verschlüsselt werden. Anmeldeinformationen von Benutzern werden als Klartext über das Netzwerk übertragen (Benutzername und Kennwort sind unverschlüsselt). PAP unterstützt nicht die Verschlüsselung von Verbindungsdaten. - Nicht authentifizierter Zugriff Kein Authentifizierungsprotokoll, sondern eine Konfigurationsoption, die eine Herstellung von RAS-Verbindungen ohne Übermittlung von Anmeldeinformationen erlaubt, wenn sie auf dem RAS-Server und in der für die Verbindung wirksamen RAS-Richtlinie festgelegt wird. Nicht authentifizierter Zugriff kann eingesetzt werden, um RAS-Verbindungen zu testen oder entsprechende Probleme zu beheben. Unterstützt nicht die Verschlüsselung von Verbindungsdaten. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 81 von 122 Funktionen von Authentifizierungsprotokollen Anforderung Empfohlende Auswahl Unterstützung von verschlüsselter Authentifizierung für zertifikatbasierte Infrastrukturen öffentlicher Schlüssel (PKI), z.B. in Verbindung mit Smartcards (wenn der RAS-Server ein Mitglied einer Windows 2000/2003-Domäne ist. EAP-TLS Wechselseitige Authentifizierung (Server und Client nehmen grundsätzlich eine gegenseitige Authentifizierung vor) EAP-TLS; MS-CHAP v2 Unterstützung für Verschlüsselung von Verbindungsdaten EAP-TLS; MS-CHAP v2 und v1 Unterstützung von verschlüsselter Authentifizierung für weitere RAS-Clients mit Windows 2000, XP oder Windows Server 2003 MS-CHAP v2 Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit Windows 95/98/Me oder Microsoft Windows NT (mit dem aktuellsten DFÜ-Netzwerkupdate) MS-CHAP v2 (VPN nur für 95) Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit Windows 95/98/Me oder Microsoft Windows NT (systemeigene Unterstützung) MS-CHAP v1 Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit anderen Betriebssystemen EAP-MD5 CHAP; CHAP Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit Shiva-LAN-Rover-Software SPAP Unverschlüsselte Authentifizierung, wenn die RAS-Clients kein anderes Protokoll kennen. PAP Keine Anmeldeinformation für eine Authentifizierung vom RAS-Client übermittelt Nicht authentifizierter Zugriff Prüfungstipp 0551 Gehen Sie davon aus, dass in der Prüfung mindestens eine Frage gestellt wird, bei der Sie die Funktionen und Beschränkungen von Authentifizierungsprotokollen kennen müssen. Von den hier beschriebenen Protokollen kommen in der Prüfung am weitaus häufigsten EAP-TLS und MS-CHAP vor. Sie sollten in der Lage sein, die folgenden Fragen zu beantworten: - Welches Protokoll ist für Smartcards erforderlich? - Für welches Protokoll müssen Zertifikate eingesetzt werden. - In welcher Situation ist MS-CHAP Version 1 die beste Wahl einer Authentifizierungsmethode? - In welcher Situation ist MS-CHAP Version 2 die beste Wahl einer Authentifizierungsmethode? - Worin besteht der Unterschied zwischen einer Authentifizierungsverschlüsselung und der Datenverschlüsselung? - Welche Protokolle unterstützen die Verschlüsselung der Daten? - Welche Protokolle verschlüsseln keine Authentifizierungsdaten? - Welche Protokolle unterstützen die wechselseitige Authentifizierung? Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur DFÜ-Netzwerkclient Windows Server 2003; Windows XP; Windows 2000 Windows NT 4.0 Windows NT 3.5 und 3.51 Windows Me/98 Windows 95 (Stand: 18.12.2008) Seite 82 von 122 Unterstützung von Authentifizierungsprotokollen unterstützte Authentifizierungsprotokolle Nicht unterst. Auth.-Protokolle MS-CHAP; CHAP; SPAP; PAP; MS-CHAP v2; EAP MS-CHAP; CHAP; SPAP; PAP; MS-CHA v2 (mit Win NT 4.0 EAP Servicepack 4 oder höher) MS-CHAP; CHAP; SPAP; PAP EAP; MS-CHAP v2 MS-CHAP; CHAP; SPAP; PAP; MS-CHAP v2 (mit Win 98 Servicepack 1 EAP oder höher) MS-CHAP; CHAP;SPAP;PAP (mit dem Windows DFÜ 1.3-Leistungs- und SichEAP; MS-CHAP v2 erheitsupdate für Windows 95 und höher) Prüfungstipp 0552 Berücksichtigen sie für die Prüfung, das Windows 95 keine Unterstützung für MS-CHAP Version 2 über DFÜLeitungen bietet. Berücksichtigen Sie außerdem, dass EAP nur von Windows Server 2003, Windows Server 2000 und Windows XP unterstützt wird. Hinweis 0554 Das Authentifizierungsprotokoll EAP-TLS ermöglicht ebenfalls die Verschlüsselung von PPPVerbindungsdaten. Dieses Protokoll muss jedoch konfiguriert werden und wird auf der Registerkarte Sicherheit der Verbindung nicht automatisch durch die Option Datenverschlüsselung ist erforderlich (Verbindung wird bei unverschlüsselten Daten getrennt) aktiviert. Zusammenfassung der Lektion 10.1 0561 - Der RAS-Server stellt die IP-Adressierung für RAS-Clients entweder über einen DHCP-Server oder über einen statischen Bereich von IP-Adressen bereit. In der Regel erhalten die Clients Adressen, mit denen sie das logische Subnetz der Computer unmittelbar hinter dem RAS-Server platziert werden. - Die RAS-Authentifizierung hat Vorrang gegenüber der Authentifizierung von Domänenanmeldungen. Wenn ein DFÜ-Benutzer eine Remoteanmeldung an einer Domäne vornimmt, muss die DFÜ-Verbindung authentifiziert, autorisiert und hergestellt werden, bevor die normale Domänenanmeldung erfolgen kann. - Authentifizierungsprotokollen wird auf der Basis der Sicherheitsstufe eine Priorität zugewiesen. Bei der Authentifizierungsmethode, die bei einer Verbindung verwendet wird, handelt es sich um das sicherste Protokoll, das in den Eigenschaften der Clientverbindung, den Eigenschaften des RAS-Servers und und in der RAS-Richtlinie aktiviert ist, die auf die Verbindung angewendet wird. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 83 von 122 10.2 Lektion 2 Autorisieren von RAS-Verbindungen Nach der Authentifizierung der Anmeldeinformationen, die mit der RAS-Verbindung übermittelt werden, muss die Verbindung autorisiert werden. Die RAS-Autorisierung besteht aus 2 Schritten: a. Überprüfung der der Einwähleigenschaften des Benutzerkontos, die von der DFÜ-Verbindung übermittelt wurden und danach b. Die Anwendung der ersten übereinstimmenden RAS-Richtlinie, die in der Konsole Routing und RAS aufgeführt ist. Konfigurieren der Einwähleigenschaften des Benutzerkontos beim Reiter Einwählen: - RAS-Berechtigung (Einwählen oder VPN) Standardmäßig aktiviert -> nur nicht beim Functionlevel Windows 2000 gemischt (Zugriff gestatten, Zugriff verweigern oder Zugriff über RAS-Richtlinien steuern) - Anrufkennung verifizieren - Rückrufoptionen (kein Rückruf, vom Anrufer festgelegt [nur RRAS-Dienst] oder immer Rückruf an: ) - Statische IP-Adresse zuweisen - Statische Routen anwenden Wichtig 0564 Active Directory-Domänen in Windows Server 2003 werden standardmäßig mit der Domänenfunktionsebene Windows 2000 gemischt installiert. In dieser Serverumgebung stehen für Benutzerkonten nur die RAS-Berechtigungen Zugriff gestatten und Zugriff verweigern zur Verfügung. Die Einstellung Zugriff verweigern ist in diesem Fall standardmäßig aktiviert. Die Aktivierung der Benutzereinwähloption Zugriff gestatten bewirkt, dass die RAS-Richtlinien-Einstellung RAS-Berechtigung verweigern ignoriert wird. Aber man kann durch das RAS-Richtlinienprofil den Zugriff über Remote beeinflussen (z.B. Einwählzeiten vorgeben). Prüfungstipp 0565 Für die Rückruffunktionalität müssen die LCP (Link Control Protocol)-Erweiterungen im Eigenschaftendialogfeld aktiviert werden (standardmäßig aktiviert). Insidertipp 0565 Internetdienstanbieter verwenden die Option Statische IP-Adresse zuweisen, um Kunden gegen eine zusätzliche Gebühr mit einer reservierten IP-Adresse auszustatten. Da sie nun wissen, wie einfach eine reservierte IP-Adresse konfiguriert werden kann, sollten Sie sich wehren, wenn ISP dafür horrende Gebühren fordert. Grundlagen RAS-Richtlinien Eine RAS-Richtliene ist ein Satz von Berechtigungen oder Einschränkungen, der von einem Server, der den Remotezugriff authentifiziert, gelesen und auf RAS-Verbindungen angewendet wird. Auf einem authentifizierenden RAS-Server können zu einem bestimmten Zeitpunkt viele RAS-Richtlinien gespeichert sein, aber nur eine RAS-Richtlinie kann auf eine Verbindung angewendet werden. Um die wirksame Richtlinie zu ermitteln, werden die Bedingungen der einzelnen RAS-Richtlinien mit der aktuellen RAS-Richtlinie mit der aktuellen Verbindung angewendet. Nur die erste übereinstimmende Richtlinie wird auf die RAS-Verbindung angewendet. Falls keine Richtlinie mit der Verbindung übereinstimmt, wird diese Verbindung blockiert. RAS-Richtlinien sind auf einen einzelnen lokalen Computer, aber nicht auf den Routing und RAS-Dienst beschränkt. Nach ihrer Erstellung können sie entweder vom Routing und RAS-Dienst oder von einem RADIUS-Server (Remote Authentication Dial-In User Service) gelesen werden, der auf dem lokalen Computer konfiguriert ist. RAS-Richtlinien können auch nicht einfach durch Deaktivieren des Routing und RAS-Dienstes entfernt werden. Sie wedren auf die lokale Festplatte geschrieben und gespeichert, bis sie entweder von der Konsole Routing und RAS oder von der Konsole Internetauthentifizierungsdienst (dem Verwatungstool für RADIUSServer) aus explizit gelöscht werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 84 von 122 Genau zwei RAS-Richtlienien werden in Windows Server 2003 standardmäßig vorab konfiguriert. - Verbindung mit dem Microsoft Routing- und RAS-Server Reihenfolge 1 Sie ist so konfiguriert, dass sie mit jeder RAS-Verbindung über Routing und RAS übereinstimmt. - Verbindungen mit anderen Zugriffsservern Reihenfolge 2 Sie ist so konfiguriert, dass sie mit jeder eingehenden Verbindung ungeachtes des Typs des NAS-Servers übereinstimmt. Sie kann nur von einem RADIUS-Server gelesen werden, wenn sie in Reihenfolge 2 und die erste Richtlinie nicht gelöscht worden ist. Richtlinienprofil - Registerkarte Einwähleinschränkungen Verbindung trennen bei einer Leerlaufzeit von zugelassene Sitzungslänge für Clients in Minuten Zugriff nur an folgenden Tagen und Uhrzeiten gewähren Nur auf folgende Nummer Zugriff gewähren Zugriff nur mit diesen Medien gewähren (FDDI, Token Ring, Drahtlos - IEEE 802.11, Drahtlos Anderer, xDSL, Ethernet, IDSL-ISDN-Teilnehmeranschluss, ADSL-DMT, ADSL-CAP, SDSL, G.3-Fax, X.75, X.25, HDLC-Tranparent, PIAFS, Virtuell = VPN, ISDN-Asynchron V 110 und V120, ISDN-Synchron, Synchron = T1-Leitung und Asynchron = Modem) - Registerkarte IP IP-Adresse durch Server zuteilen Client kann eine IP-Adresse anfordern Servereinstellungen definieren als IP-Adresszuordnung (Standardeinstellung) statische IP-Adresse zuweisen (sie wird zugewiesen, um herstellerspezifische Attribute für IP-Adressen aufzunehmen) - Registerkarte Mehrfachverbindung (Maximale Anzahl von Ports, BAP [Bandwidht Allocation Protocol], beides standardmäßig deaktiviert und Mehrfachverbindung und BAP sind nur für den Routing und RAS-Dienst relevant) - Registerkarte Authentifizierung EAP-Methoden (PEAP und/oder MD5-Challenge) Microsoft verschlüsselte Authentifizierung Version 2 (MS-CHAP v2) (standardmäßig aktiviert) Benutzer darf das Kennwort nach Ablaufdatum ändern (standardmäßig aktiviert) Microsoft verschlüsselte Authentifizierung (MS-CHAP mit Benutzer darf das Kennwort nach Ablaufdatum ändern) Verschlüsselte Authentifizierung (CHAP) Unverschlüsselte Authentifizierung (PAP, SPAP) Nichtauthentifizierter Zugriff - Registerkarte Verschlüsselung (MPPE für DFÜ- und PPTP-basierte VPN-Verbindungen und DES als allgemeines Verschlüsselungschema für VPN’s mit L2TP/IPSec) Basisverschlüsselung MPPE 40 Bit (über L2TP/IPSec IPSec DES 56 Bit) Starke Verschlüsselung MPPE 56 Bit (über L2TP/IPSec IPSec DES 56 Bit) Stärkste Verschlüsselung MPPE 128 Bit (über L2TP/IPSec IPSec DES 168 Bit) keine Verschlüsselung - Registerkarte Erweitert (erweiterte Eigenschaften zur Angabe von Radius-Attributen) Prüfungstipp 0571 Für die Prüfung müssen Sie mit den Verschlüsselungseinstellungen vertraut sein. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 85 von 122 Problembehandlung von DFÜ-RAS-Verbindungen (Prüfliste) 0577 - Stellen Sie sicher, dass in der Konsole Routing und RAS auf der Registerkarte Allgemein der Servereigenschaften die Option RAS-Server aktiviert ist. - Wenn Sie einen statischen Adresspool konfiguriert haben, müssen Sie sich vergewissern, dass der Pool groß genug ist, um die erforderliche Anzahl gleichzeitiger Clientverbindungen ausstatten zu können. - Wenn Sie den RAS-Server für die Zuweisung von Adressen über einen DHCP-Server konfiguriert haben, müssen Sie sicherstellen, dass auf dem DHCP-Server festgelegte Adressbereich groß genug ist, um Blöcke von jeweils 10 Adressen bereitstellen zu können, die vom RAS-Server angefordert werden. - Vergewissern Sie sich, dass im Knoten Ports so viele Modems konfiguriert sind, wie für die Anzahl der gleichzeitigen Clientverbindungen erforderlich sind. - Stellen Sie sicher, dass der DFÜ-Client, der den RAS-Server und die RAS-Richtlinie für den Einsatz von mindestens einem Authentifizierungsprotokoll konfiguriert sind. - Stellen Sie sicher, dass der DFÜ-Client, der RAS-Server und die RAS-Richtlinie für den Einsatz von mindestens einer gebräuchlichen Verschlüsselungsstärke konfiguriert sind. - Vergewissern Sie sich, dass die DFÜ-Verbindung über die Einwähleigenschaften des Benutzerkontos und die RAS-Richtlinie über die geeigneten Berechtigungen verfügt. - Stellen Sie sicher, dass der RAS (oder Radius)-Servercomputer ein Mitglied der Sicherheitsgruppe RAS- und ISA-Server in der lokalen Domäne ist. - Vergewissern Sie sich, dass keine Konflikte zwischen den Einstellungen des RAS-Richtlinienprofils und den Eigenschaften des RAS-Servers auftreten. - Stellen Sie bei Einsatz von MS-CHAP Version 1 als Authentifizierungsprotokoll sicher, dass das Benutzerkennwort höchstens 14 Zeichen enthält. Hinweis 0579 Wenn auf dem RAS-Server ein Routingprotokoll eingeführt wird, müssen auch benachbarte Router für die Annahme von Updates (Ankündigungen) von diesem Server konfiguriert werden. Problembehandlung von Zugriffen hinter dem RAS-Server (0579) - Stellen Sie sicher, dass auf der Registerkarte Allgemein des Eigenschaftendialogfelds für den Server das Kontrollkästchen Router aktiviert ist. - Vergewissern Sie sich, dass auf der Registerkarte Allgemein des Eigenschaftendialogfelds für den Server die Option LAN und bei Bedarf wählendes Routing aktiviert ist. - Stellen Sie sicher, dass auf der Registerkarte IP des Eigenschaftendialogfelds für den Server das Kontrollkästchen IP-Routing aktiviert ist. - Wenn Ihren RAS-Clients ein Adressbereich zugewiesen wird, mit dem sie in einem Subnetz platziert werden, das vom Subnetz unmittelbar hinter dem antwortenden Router logisch getrennt ist, müssen Sie sicherstellen, dass die Router in Ihrem Netzwerk mit der Position des RAS-Subnetzes konfiguriert wurden. - Vergewissern Sie sich, dass auf der Registerkarte IP im Eigenschaftendialogfeld des Servers das Kontrollkästchen Broadcastnamensauflösung aktivieren aktiviert ist. Dieser Schritt ist nur dann erforderlich, wenn das Remotenetzwerk die NetBIOS-Namensauflösung, aber kein WINS eingesetzt wird und wenn die RAS-Clients in demselben logischen Subnetz wie die NetBIOS-Dienste platziert sind, mit denen sie eine Verbindung herstellen werden. Prüfungstipp 0582 Für die Simulationsfragen in der Prüfung 70-291 müssen Sie wissen, wie Sie RAS-Richtlinien erstellen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 86 von 122 Zusammenfassung der Lektion 10.2 0586 - Wenn eine RAS-Verbindung erfolgreich authentifiziert wird, muss sie autorisiert werden, bevor der Remotezugriff stattfinden kann. Die RAS-Autorisierung erfolgt in 2 Stufen: 1. Zunächst werden die Einwähleigenschaften des Benutzerkonto überprüft. 2. Daraufhin wird die erste übereinstimmende RAS-Richtlinie auf die Verbindung angewendet. - Die Einwähleigenschaften des Benutzerkontos enthalten die Einstellung für RAS-Berechtigungen, die aus 3 Optionen bestehen: 1. Zugriff gewähren, 2. Zugriff verweigern, und 3. Zugriff über RAS-Richtlinien steuern. - Eine RAS-Richtlinie enthält eine Richtlinienbedingung, die den Verbindungstyp beschreibt, auf den die Richtlinie angewendet wird. RAS-Richtlinien sind in einer bestimmten Reihenfolge angeordnet, und nur die erste übereinstimmende RAS-Richtlinie wird auf eine RAS-Verbindung angewendet. RAS-Richtlinie enthalten eine Einstellung für das Gewähren oder Verweigern des Zugriffs, die von den Einstellungen des Benutzerkontos außer Kraft gesetzt werden können. RAS-Richtlinien enthalten außerdem ein Richtlinienprofil, mit dem verschiedene Attribute wie Authentifizierungs-, Verschlüsselungsanforderungen oder Paketfilter auf die Verbindung angewendet werden können. - Um Zugriff von Clients hinter den RAS-Server zu ermöglichen, muss der RAS-Server als Router fungieren und die Option IP-Routing aktivieren im Eigenschaftendialogfeld des RAS-Servers aktiviert werden. - RAS-Clientverbindungen können in der Konsole Routing und RAS über den Knoten RAS-Clients verwaltet werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 87 von 122 10.3 Lektion 3 Implementieren von VPNs Ein virtuelles privates Netzwerk (VPN) ermöglicht Benutzern die Herstellung einer sicheren Verbindung mit einem privaten Remotenetzwerk über das Internet. Virtuelle private Netzwerke sind logische Netzwerke, die sich physisch über das Internet erstrecken. In einem VPN werden private Datenpakete zunächst verschlüsselt und darauf in öffentlichen Paketen gekapselt, die an den Remote-VPN-Server adressiert werden. Mithilfe dieser Routinginformationen kann die verschlüsselte Nutzlast von privaten daten das öffentliche Netzwerk „tunneln“, um seinen Bestimmungsort zu erreichen. Nach dem Erhalt der gekapselten Daten über einen VPN-Tunnel entfernt der VPN-Server den öffentlichen Header und entschlüsselt die private Nutzlast. Eine wichtige Funktion von VPN besteht darin, dass sie das öffentliche physische Netzwerk, über das private Daten gesendet werden, für die beiden Kommunikationsendpunkte transparent wird. Szenario 10.3.1 0588 |------ privates Netzwerk ------| Datenpaket (original) |------ privates Netzwerk ------| Nachspann verschlüs- Header des Tunnel- seltes des Tunnelprotokolls Datenpaket protokolls Datenpaket (original) Client PC 1 ----------> VPN-Server 1 ---------- TUNNEL ---------- VPN-Server 2 ----------> Client PC 2 pc1 (mit DHCP-Server) pc2 Ausgangs-IP-Konfiguration 192.168.9.21 192.168.9.1 207.46.102.32 VPN-IP-Konfiguration 192.168.8.22 INTERNET 131.107.5.9 192.168.8.1 192.168.8.21 EIN LOGISCHES NETZWERK 192.168.8.21 Nach der Etablierung der VPN-Verbindung, gehört der Client-PC 1 dem logischen Subnetz des Client-PC 2 an! vom pc1 aus: c:\tracert pc2 Routenverfolgung zu pc2 [192.168.8.21] über maximal 30 Abschnitte 1 460 ms 460 ms 580 ms pc2 [192.168.8.21] Ablaufverfolgung beendet. vom pc2 aus: c:\tracert pc1 Routenverfolgung zu pc1 [192.168.8.22] über maximal 30 Abschnitte 1 482 ms 496 ms 528 ms pc2 [192.168.8.22] Ablaufverfolgung beendet. Die Transparenz dieser physischen Verbindung kann mithilfe der Ergebnisse des tracert -Befehls verdeutlicht werden, der auf den beiden Computern ausgeführt wird. Obwohl die beiden Computer durch viele Abschnitte (hops) voneinander getrennt sind, scheinen sie über die VPN-Verbindung nur einen einzigen Abschnitt voneinander entfernt zu sein. Die Kommunikation erfolgt zwischen den beiden privaten IP-Adressen (beide innerhalb des Subnetzes 192.168.8.0/24) so, als befänden sich die beiden Computer PC1 und PC2 in einem isolierten Netzwerksegment. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 88 von 122 Szenario 10.3.2 0589 RAS-VPN reservierte IP-Adresse des VPN-Servers 207.68.200.67 Mobiler ---Blitz---> ISP -------------- Wolke-Internet -------------- VPN -- { Bürointranet }Domänencontroller Benutzer 555-2323 Server | 192.168.8.0 | von Domäne cont.de (Telemitarbeiter-1) Netzwerkverbindungen Eigener ISP verbunden mit 555-2323 Angegebenes Domänenbenutzerkonto Anmeldename: VpnBenutzer Mitglied von Gruppe: cont.de\Telearbeiter Einwählen-Eigenschaft: „Zugriff über RAS-Richtlinien steuern“ Eigenes VPN verbunden mit Benutzername: Domäne: RAS-Richtlinie Name: Telearbeiter 207.68.200.67 VpnBenutzer cont.de Bedingungen: NAS-Port entspricht „Virtuell (VPN)“ und Windows-Groups entspricht „cont.de\Telearbeiter“ Option „RAS-Berechtigung erteilen“ aktiviert Hinweis 0590 Schnittstellen für Wählen bei Bedarf beschreiben nicht notwendigerweise DFÜ-Verbindungen. VPN-Verbindungen werden im Routing und RAS-Dienst grundsätzlich als eine Form von Schnittstelle für Wählen bei Bedarf angesehen, selbst wenn Sie die Kommunikation über eine T1-Leitung initiieren und entsprechend antworten. Bei RIP müssen die Router unbedingt für autostatische Updates konfiguriert sein, damit VPN über DFÜ-Leitungen eingeführt werden kann. Szenario 10.3.3 0591 Extranet-/Routerübergreifendes VPN In einem Extranetszenario werden 2 Büronetzwerke mit Hilfe von VPN-Servern verbunden, auf denen der Routing und RAS-Dienst ausgeführt wird. Auf jedem Server werden VPN-Verbindungen sowohl von Schnittstellen für Wählen bei Bedarf eingeleitet als auch beantwortet. Die VPN-Konnektivität beruht auf der Autorisierung dieser Schnittstellen für Wählen bei Bedarf, und nicht auf der Autorisierung einzelner Benutzer. Für jede VPN-Schnittstelle für Wählen bei Bedarf muss ein Satz von Anmeldeinformationen für das Hinauswählen konfiguriert werden, mit einem Benutzernamen, einem Kennwort und einer Domäne. Der Benutzername entspricht standardmäßig dem Namen der Schnittstelle für Wählen bei Bedarf. Dieser Benutzername muss jedoch auch mit dem Namen der Schnittstelle für Wählen bei Bedarf übereinstimmen, die auf dem antwortenden VPN-Server konfiguriert ist. Um die Konfiguration zu vereinfachen, können Sie den einander entsprechenden Schnittstellen für Wählen bei Bedarf denselben Namen zuweisen. Um vollständigen Extranetkonnektivität zu ermöglichen, müssen abschließend auf allen VPN-Servern statische Routen eingerichtet werden. Die Funktion dieser statischen Routen besteht darin, Datenverkehr, der für das andere private Netzwerk bestimmt ist, über die VPN-Schnittstelle für Wählen bei Bedarf weiterzuleiten. Diese statischen Routen werden für Anforderungen, aber auch für Antwortdatenverkehr verwendet, sodass sie auf beiden (VPN-)Servern konfiguriert werden müssen, selbst wenn alle Remoteanforderungen aus demselben Netzwerk stammen. Domänenname: cont.de Benutzerkonto soll Berl_Pots heißen. Benutzerkonten befinden sich in der globalen Gruppe VpnRouter. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 89 von 122 Reservierte IP-Adresse: Reservierte IP-Adresse: 131.107.134.3 207.66.200.76 | | DC {Bürointranet Berlin} VPN- -------- INTERNET -------- VPN- {Bürointranet Potsdam} DC von | 192.168.8.0724 | Server (Wolke) Server | 192.168.9.0/24 | von cont.de cont.de Schnittstelle für Wählen bei Bedarf Berl_Pots verbunden mit 207.66.200.76 Schnittstelle für Wählen bei Bedarf Berl_Pots verbunden mit 131.107.134.3 Angegebenes Domänenbenutzerkonto Kontoname: Berl_Pots Gruppenmitglied von: cont.de\VpnRouter Einwählen-Eigenschaft: „Zugriff über RAS-Richtlinien steuern“ Angegebenes Domänenbenutzerkonto Kontoname: Berl_Pots Gruppenmitglied von: cont.de\VpnRouter Einwählen-Eigenschaft: „Zugriff über RAS-Richtlinien steuern“ RAS-Richtlinie Name: Extranetverbindungen zulassen RAS-Richtlinie Name: Extranetverbindungen zulassen Bedingungen: NAS-Port-Type entspricht „Virtuell (VPN)“ und Windows-Groups entspricht „cont.de\VpnRouter“ Bedingungen: NAS-Port-Type entspricht „Virtuell (VPN)“ und Windows-Groups entspricht „cont.de\VpnRouter“ Option “RAS-Richtlinien erteilen” aktiviert Option “RAS-Richtlinien erteilen” aktiviert Statische Route Ziel: 192.168.9.0 Netwerkmaske: 255.255.255.0 Schnittstelle: Berl_Pots Statische Route Ziel: 192.168.8.0 Netwerkmaske: 255.255.255.0 Schnittstelle: Berl_Pots Problembehandlung von RAS-VPNs 0592 - Stellen Sie sicher, dass auf dem VPN-Server im Knoten Ports für den entsprechenden VPN-Typ (PPTP oder L2TP) genügend Ports konfiguriert sind und nicht alle verfügbaren Ports aktuell verwendet werden. - Vergewissern Sie sich, dass in der Konsole Routing und RAS auf der Registerkarte Allgemein der Servereigenschaften die Option RAS-Server aktiviert ist. - Überprüfen Sie, ob die VPN-Verbindung über die Einwähleigenschaften des Benutzerkontos und die RAS-Richtlinien über die geeigneten Berechtigung verfügt. - Stellen Sie sicher, dass der VPN-Client, der RAS-Server und die RAS-Richtlinie für den Einsatz mindestens einem Authentifizierungsprotokoll konfiguriert sind. - Vergewissern Sie sich, dass der VPN-Client, der RAS-Server und die RAS-Richtlinie für den Einsatz mindestens einer Verschlüsselungsstärke konfiguriert sind. - Stellen Sie sicher, dass der RAS (oder RADIUS)-Servercomputer ein Mitglied der Sicherheitsgruppe RAS und IAS-Server in der lokalen Domäne ist. - Stellen Sie sicher, dass keine Konflikte zwischen den Einstellungen des RAS-Richtlinienprofils und den Eigenschaften des RAS-Servers auftreten. - Stellen Sie bei Einsatz von MS-CHAP Version 1 als Authentifizierungsprotokoll sicher, dass das Benutzerkennwort höchstens 14 Zeichen enthält. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 90 von 122 Problembehandlung von routerübergreifenden VPNs 0593 - Vergewissern Sie sich, dass an beiden Endpunkten der VPN-Verbindung in der Konsole Routing und RAS auf der Registerkarte Allgemein der Servereigenschaften die Optionen Router und LAN und bei Bedarf wählendes Routing aktiviert sind. - Stellen Sie auf jedem RAS-Server sicher, dass in der Konsole Routing und RAS auf der Registerkarte IP der Servereigenschaften die Option IP-Routing aktivieren aktiviert ist. - Überprüfen Sie auf jedem RAS-Server, ob im Knoten Ports für den entsprechenden VPN-Typ (PPTP oder L2TP) genügend Ports konfiguriert wurden. - Stellen Sie sicher, dass Sie für jede Schnittstelle für Wählen bei Bedarf, die für die VPN-Verbindung erstellt wird, im Assistenten für ein Schnittstelle für Wählen bei Bedarf die Option für die Weiterleitung des IP-Datenverkehrs über diese Schnittstelle für Wählen bei Bedarf aktiviert haben. - Vergewissern Sie sich, dass Sie auf jedem RAS-Server statische Routen konfiguriert haben, damit Datenverkehr, der für das andere Netzwerk bestimmt ist, mit der entsprechenden VPN-Schnittstelle verknüpft wird. - Stellen Sie auf jedem RAS-Server sicher, dass die Anmeldeinformationen für das Hinauswählen der lokal konfigurierten Schnittstelle für Wählen bei Bedarf mit dem Namen der antwortenden Remoteschnittstelle und mit einem Benutzerkonto samt Kennwort in der Remotedomäne übereinstimmen. - Vergewissern Sie sich, dass jede VPN-Schnittstelle für Wählen bei Bedarf, der antwortende RAS-Server und die antwortende RAS-Richtlinie für den Einsatz von mindestens einem verbreiteten Authentifizierungsprotokoll und einer gebräuchlichen Verschlüsselungsstärke konfiguriert sind. - Vergewissern Sie sich, dass die RAS-Verbindung über die Einwähleigenschaften des Benutzerkontos (das dem Namen der Schnittstelle für Wählen bei Bedarf entspricht) und die RAS-Richtliniem über die geeigneten Berechtigungen verfügt. - Stellen Sie an beiden Endpunkten der VPN-Verbindung sicher, dass der RAS (oder RADIUS)-Servercomputer ein Mitglied der Sicherheitsgruppe RAS- und IAS-Server in der lokalen Domäne ist. - Vergewissern Sie sich, auf jedem RAS, das keine Konflikte zwischen den Einstellungen des RAS-Richtlinienprofils und den Eigenschaften des jeweiligen RAS-Servers bestehen. Hinweis 0595 Wenn bei der Ausführung des Setup-Assistenten für den Routing- und RAS-Server ursprünglich eine VPN-RASServerfunktion angegeben wurde, werden von jedem VPN-Typ standardmäßig 128 Ports konfiguriert. Prüfungstipp 0595 Für die Prüfung müssen Sie sich mit den VPN-Ports auskennen. Gehen Sie davon aus, dass Fragen gestellt werden, bei denen der VPN-Zugang blockiert wird, da eine zu geringe Anzahl von Ports konfiguriert ist. Mit weiteren Fragen wird Ihr Wissen über die Anzahl der Ports, die erstellt werden können, und über die Anzahl der gleichzeitigen Verbindungen getestet, die Windows Server 2003 bewältigen kann. Prüfungstipp 0595 Wenn Sie in der Prüfung bemerken, dass in einer möglichen Antwort das Protokoll GRE erwähnt wird, berücksichtigen Sie, dass es sich dabei um einen indirekten Verweis auf PPP handelt. Im Allgemeinen können VPN-Tunnel vom Typ PPTP einfacher implementiert werden, sind aber weniger sicher als die Tunnel des zertifikatbasierten Typs L2TP. VPN-Verbindungen vom Typ PPP bieten: - eine Vertraulichkeit der Daten (abgefangene Datenpakete können ohne den Verschlüsselungsschlüssel nicht interpretiert werden) - keine Datenintegrität (Daten wurden während der Übertragung nicht geändert) - keine Authentifizierung des Datenursprungs (Daten wurden vom autorisierten Benutzer gesendet). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 91 von 122 Hinweis 0598 In RAS-Richtlinien können VPN-Verbindungen nur über das Attribut NAS-Port-Type von anderen Verbindungen unterschieden werden. Für VPN-Verbindungen wird NAS-Port-Type in RAS-Richtlinien mit dem Eintrag Virtuell (VPN) belegt. Beachten Sie, außerdem, dass es in RAS-Richtlinien nicht möglich ist, PPTP-Verbindungen und L2TP/IPSec-Verbindungen zu unterscheiden. Standardmäßig ist für VPN-Verbindungstyp der Eintrag Automatisch aktiviert. In diesem Modus versucht die VPN-Verbindung zunächst eine L2TP-Kommunikation über das zertifikatbasierte IPSec. Erst wenn dieser Versuch fehlschlägt, erfolgt eine Kommunikation über PPTP. Konfigurieren von PPTP/L2TP-verbindungen auf einen VPN-Client: Eigenschaften der VPN-Verbindung: Reiter Allgemein --> Internetprotokoll (TCP/IP) ==> VPN-Typ (automatisch [Standard]/PPTP-VPN/L2TP-IPSec-VPN) Insidertipp 0597 VPN-Verbindungen vom PPTP-Typ stehen unverdient in dem Ruf unsicher zu sein, und werden, da sie so einfach konfiguriert werden können, von vorgeblichen technischen Experten als „VPN für Anfänger“ herabgewürdigt. In Wahrheit ist PPTP nicht wirklich unsicher, sondern lediglich weniger sicher als L2TP/IPSec. Zudem ist PPTP in einigen Netzwerken die bessere Option. Wenn Sie zum Beispiel Remotebenutzer unterstützen müssen, die von öffentlichen Computern aus (etwa in einer Bibliothek) eine Verbindung herstellen, ist PPTP aufgrund der fehlenden Möglichkeit, Computerzertifikate einzusetzen, die einzigste realistische VPN-Lösung Aufbau eines PPTP-Pakets: |<-------- PPP-Rahmen --------------------------> | | IP-Header | GRE-Header | PPP-Header | Verschlüsselte PPP-Nutzlast = IP Datagramm | Aufbau eines L2TP-Pakets: | IP| ESP- | UDP- | L2TP- | PPP- | PP| ESP| ESP| | Header | Header | Header | Header | Header | Nutzlast=IP-Paket | Nachspann | Auth.-Nachspann | |<---------|<--------------------- Verschlüsselt mit ESP-Header ----------->| ESP-Auth.-Nachspann ----------->| Für die Verbindungen vom L2TP/IPSec-Typ stellt das Protokoll L2TP den VPN-Tunnel bereit, während das Protokoll ESP (Encapsulation Security Payload), das seinerseits eine IPSec-Feature ist, die Datenverschlüsselung gewährleistet. Bei L2TP/IPSec-Verbindungen muss im Gegensatz zu PPTP-Verbindungen neben dem Benutzer auch der Computer authentifiziert werden. Die Computerauthentifizierung erfolgt bei allen L2TP/IPSec-Verbindungsversuchen zwischen RAS-Clients und RAS-Servern. Nachdem die die Tunnelendpunkte authentifiziert wurden und ein sicherer Kanal zwischen dem Client und dem Server hergestellt wurde, folgt die Benutzerauthentifizierung. Die Authentifizierung von Benutzern über VPN-Verbindungen vom L2TP/IPSec-Typ wird mithilfe desselben Satzes von Authentifizierungsprotokollen vorgenommen, die auch für PPTP- und DFÜ-Verbindungen eingesetzt werden. Hinweis 0598 Denken Sie daran, dass die Authentifizierung nur der erste Schritt im Gesamtprozess des Verbindungsaufbaues ist. Nachdem Computer und Benutzer authentifiziert sind folgt der Vorgang der Autorisierung (siehe Lektion 10.2). Eine Verbindung wird nur dann hergestellt, wenn die Verbindung autorisiert wurde. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 92 von 122 Computerzertifikate und L2TP/IPSec Für die Mehrzahl der L2TP-basierten VPN-Verbindungen wird die Computerauthentifizierung mithilfe der Zertifikatinfrastruktur durchgeführt. Um diesen VPN-Typ erfolgreich zu implementieren, müssen Sie auf allen VPN-Clients und VPN-Servern Computerzertifikate erstellt werden, die von derselben Zertifizierungsstelle (Certification Authority, CA) ausgestellt wurden. Wenn Sie als ausstellende Zertifizierungsstelle eine Windows Server 2003-Unternehmenszertifizierungsstelle einsetzen, sollten Sie Ihre Active Directory-Domäne unter Verwendung der Gruppenrichtlinie Computerkonfiguration für die automatische Registrierung von Computerzertifikaten konfigurieren. Mithilfe dieser Methode fordert jeder Computer, der ein Mitglied der Domäne ist, automatisch ein Computerzertifikat an, wenn die Gruppenrichtlinie Computerkonfiguration aktualisiertw ird. Hinweis 0598 Einzelheiten zur Bereitstellung des zertifikatbasierten L2TP/IPSec sprengen den Rahmen der Prüfung 70-291. Weitere Informationen über dieses Thema finden Sie jedoch unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/vpndeplr.mspx#EI AA (alles in englischer Sprache, am 2008-10-29 war Seite vorhanden). Zertifikate enthalten Erweiterungen zum erweiterten Schlüsselaustausch (Enhanced Key Usage, EKU), mit denen der Zweck des Zertifikats festgelegt wird. Das Computerzertifikat, das sie dem L2TP/IPSec-Client zuweisen, muss in seinen EKU-Erweiterungen entweder den Zweck Clientauthentifizierung oder den Zweck IPSec aufweisen. Gleichzeitig muss der VPN-Server, wenn er als RAS-Server bereitgestellt wird, den Zweck Serverauthentifizierung enthalten. Wenn er aber in einem routerübergreifenden VPN eingerichtet wird, muss er sowohl den Zweck Serverauthentifizierung als auch den Zweck Clientauthentifizierung aufweisen. Wenn zwei oder oder mehr Verwendungszwecke erforderlich sind, müssen sie alle in die Erweiterungen desselben Zertifikats einbezogen werden. Prüfungstipp 0598 Für die Prüfung 70-291 müssen Sie wissen, wann in Zertifikaten, die für VPNs benutzt werden, Clienterweiterungen, Servererweiterungen oder beide erforderlich sind. Hinweis 0599 Deaktivierung von L2TP/IPSec-verbindungen wird realisiert, in dem die Anzahl der L2TP-Ports auf 0 gestellt wird (PPTP hat diese Option nicht). Dialogfeld Eigenschafen von Ports ---> Porttyp WAN-Miniport (L2TP) ---> Konfigurieren ---> Maximale Portanzahl = 0 setzen. Hinweis 0599 Wenn EAP-TLS für die Benutzerauthentifizierung eingesetzt wird, muss auf allen VPN-Clients ein Benutzerzertifikat installiert werden. Wenn es sich beim authentifizierenden Server um einen Radius-Server handelt, muss auf diesem Server ein Computerzertifikat installiert werden. Bei VPNs mit L2TP/IPSec ist der Einsatz von EAP-TLS für die Benutzerauthentifizierung nicht erforderlich. Hinweis 0599 Vorinstallierte Schlüssel und L2TP/IPSec Die einzige Situation, in der Zertifikate für VPN-Verbindungen nicht erforderlich sind, liegt vor, wenn sowohl auf dem VPN-Client als auch auf dem VPN-Server das Betriebssystem Windows Server 2003 ausgeführt wird. In diesem Fall haben Sie die Möglichkeit, die Computerauthentifizierung über den Einsatz eines vorinstallierten Schlüssels zu konfigurieren. Dabei handelt es sich um eine Klartext-Zeichenfolge, die zur Verschlüsselung und Entschlüsselung der IPSecKommunikation verwendet wird. Vorinstallierte Schlüssel werden nicht als sichere Authentifizierungsmethode betrachtet und daher nur für Testeinrichtungen oder temporäre Einrichtungen empfohlen. Hinweis 0599 Falls erwünscht, können Sie eine oder beide DFÜ-Verbindungen durch eine dedizierte ISP-Verbindung ersetzen. Um die VPN-Konnektivität einrichten und testen zu können, müssen Sie in diesem Fall jedoch einige kleinere Anpassungen bei den folgenden Anweisungen (in der praktischen Übung) vornehmen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 93 von 122 Zusammenfassung der Lektion 10.3 0606 - Virtuelle private Netzwerke sind Netzwerke, die in logischer Hinsicht ein lokales Netzwerk nachbilden, sich aber physisch über das Internet erstrecken. - In einem RAS-VPN-Szenario mit Windows Server 2003 stellt ein einzelner Benutzer eine Verbindung über das Internet mit einem Windows Server 2003-Computer her, auf dem der Routing und RAS-Dienst ausgeführt wird. In einem Extranetszenario werden private LANs von zwei Windows Server 2003-Computern, auf denen der Routing und RAS-Dienst ausgeführt wird, über das Internet miteinander verbunden. - Im Allgemeinen können VPN-Tunnel vom PPTP-Typ einfacher implementiert werden, sind aber weniger sicher als die Tunnel des zertifikatbasierten L2TP-Typs. Bei PPTP-Verbindungen wird die Verschlüsselung von MPPE bereitgestellt. - Bei L2TP/IPSec-Verbindungen muss man im Gegensatz zu PPTP-Verbindungen neben dem Benutzer auch der Computer authentifiziert werden. Wenn die Authentifizierung von Computern über den Einsatz einer Zertifikatinfrastruktur gewährleistet wird, werden VPN-Verbindungen vom L2TP-Typ als sehr sicher angesehen. Wenn die Authentifizierung von Computern über den Einsatz vorinstallierter Schlüssel gewährleistet wird, werden solche VPN-Verbindungen vom L2TP-Typ als nicht sicher angesehen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 94 von 122 10.4 Lektion 4 Bereitstellen des Internetauthentifizierungsdienstes Der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ist die Microsoft-Implementierung eines RADIUS (Remote Authentication Dial-In User Service)-servers und -Proxys. Als Radius-Server führt IAS eine zentralisierte Verbindungs-Authentifizierung, Verbindungs-Autorisierung und Verbindungs-Kontoführung für viele Formen von Netzwerkzugriffen durch, darunter drahtlose Verbindungen, authentifizierender Switch-, DFÜ-, und VPN-RAS-Verbindungen sowie routerübergreifende Verbindungen. Als RADIUS-Proxy leitet IAS Authentifzierungs- und Kontoführungsnachrichten an andere RADIUS-Server weiter. Szenario 1 für einen RADIUS-Server DFÜ-Benutzer aus 2 verschiedenen Städten stellen eine Verbindung mit einem ISP her. Die Netzwerkzugriffsserver, auf denen der Routing und RAS-Dienst ausgeführt wird, leiten RAS-Anforderungen mittels des RADIUS-Protokolls an einen RADIUS-Server weiter. Der RADIUS-Server kommuniziert daraufhin zwecks Benutzerauthentifizierung mit dem Domänencontroller. Nach der Benutzerauthentifizierung werden die auf dem RADIUS-Server definierten RAS-Richtlinien auf die Verbindung angewendet. Wenn die RAS-Verbindung autorisiert wird, kommuniziert der RADIUS-Server mit dem Netwerkzugriffsserver, um den Netzwerkzugriff zu gewähren. Falls nicht, wird der Netzwerkzugriff verweigert. DFÜ-Benutzer 1 in Berlin ---> Modembank ------ Netzwerkzugriffsserver/ -RADIUS-Client \ DFÜ-Benutzer 2 in Potsdam \ +-- IAS/RADIUS- ---- Domänencontroller / Server ---> Modembank ------ Netzwerkzugriffsserver / RAS-Richtlinien RADIUS-Client Der RADIUS-Server wird in einer gebräuchlichen Implementierung auf einem separaten Computer installiert. Er kann auch auf einem Netzwerkzugriffsserver bereitgestellt werden. Szenario 2 für einen RADIUS-Server Wenn eine Vielzahl von RAS-Methoden unterstützt werden sollen (z. B. VPN, Drahtlos und DFÜ), können auch kleinere Organisationen die RAS-Verwaltung mit RADIUS-Servern zentralisieren. Durch Einführung einer zentralen Autorisierungsstelle kann die Organisation verschiedene, nicht allzu spezielle Anforderungen an einen einzelnen Satz von RAS-Richtlinien leiten. Clients für Zugriff --------- | --Netzwerkzugriffsserver/ -- | ---- RADIUS- --| RADIUS-Clients Protokoll DFÜ-Benutzer 1 ------------------\ +---- DFÜ-Server DFÜ-Benutzer 2 ------------------/ <------------------>| | | Desktop-Benutzer 1 -- Internet--\ (Wolke) +---- VPN-Server Desktop-Benutzer 2 -- Internet--/ | <------------------->+--RADIUS- <----> Datenbank | Server mit den | Benutzerkonten Laptop 1 ..Wireless-LAN..........\ | +- Drahtloszugriffspunkt <------------------->| Szenario 3 für einen RADIUS-Server Es werden hier z.B. die Netzwerkzugriffsanforderungen, die die externe Schnittstelle des Servers erreichen, vom Routing und RAS-Dienst verarbeitet. Der Routing und RAS-Dienst leitet diese RAS-Anforderung anschließend an den Internetauthentifizierungsdienst (IAS) weiter, der mit der internen IP-Adresse desselben Computers verknüpft ist. Dieser IAS-Dienst fungiert nicht nur für RADIUS-Anforderungen als RADIUS-Server, sondern auch für RADIUS-Anforderungen von anderen Netzwerkzugriffsservern im gesamten Netzwerk. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 95 von 122 RADIUS-Unterstützung für IEEE 802.1x und Drahtlosauthentifizierung IEEE 802.1x ist ein Standard, mit dem Sie erzwingen können, dass sich die Benutzer über ein EAP-basiertes Protokoll authentifizieren, bevor ihnen der Zugriff auf ein Drahtlosnetzwerk gestattet wird. Szenario 4 für einen RADIUS-Server Wenn ein Benutzer versucht über eine 802.1x-kompatible Netzwerkkarte eine Verbindung zum RemoteNetzwerk herzustellen, leitet der Zugriffspunkt die Anmeldeinformationen des Benutzers an einen RADIUSServer weiter, z.B. IAS. Nachdem IAS die Anmeldeinformationen vom Drahtloszugriffpunkt empfangen hat, authentifiziert er diese Anmeldeinformationen. Normalerweise nimmt er dazu Kontakt mit einem Domänencontroller auf. Dieser Domänencontroller kann auf demselben Computer wie IAS eingerichtet sein. Erst nachdem der der Server den Benutzer authentifiziertund die Verbindung autorisiert hat, öffnet der Zugriffspunkt den Port für den Client und erlaubt dem Benutzer, auf das Netzwerk zuzugreifen. ...... = Luft-Strecke Drahtlos-Client 1 .......... 802.1x-Zugriffspunkt/RADIUS-Client--+ | .......... 802.1x-Zugriffspunkt/RADIUS-Client---+-- INTRANET ----+ -- ISA-Server/DC | Drahtlos-Client 2 .......... 802.1x-Zugriffspunkt/RADIUS-Client--+ Microsoft-Netzwerke unterstützen in 802.1x-Netzwerken zwei EAP-Methoden. Sie müssen diese Authentifizierungsmethoden sowohl auf dem Client (in den Eigenschaften der DrahtlosVerbindung) als auch auf dem ISA-Server (in der RAS-Richtlinie, die für die Drahtlosverbindung gilt) konfigurieren. IEEE 802.1x - EAP-Metoden: - EAP-TLS Dieses Authentifizierungsprotokoll benutzt Zertifikate auf dem Drahtlosclient und dem RADIUSServer, um eine gegenseitige Authentifizierung zu gewährleisten. Nach erfolgreicher gegenseitiger Authentifizierung stellt EAP-TLS eine verschlüsselte TLS-Sitzung zwischen Client und Server her. Fall Sie eine PKI und Zertifikate für die Drahtlosauthentifizierung benutzen wollen, sollten Sie für Ihre 802.1x-Breitstellung EAP-TLS wählen. - PEAP Protected EAP mit MS-CHAP v2 PEAP benutzt serverseitige Zertifikate. Nachdem die Serverauthentifizierung abgeschlossen ist, wird eine MS-CHAP v2-Sitzung innerhalb von PEAP getunnelt, sodass der Client gegenüber dem Server anhand von Benutzername und Kennwort authentifiziert werden kann. Falls sie für Ihr Drahtlosnetzwerk keine PKI vorgesehen haben, sollten Sie für Ihre 802.1x-Bereitstellung PEAP-MS-CHAP v2 einsetzen. Prüfungstipp 0612 PEAP unterstützt eine schnelle Verbindungsherstellung. Mobile Benutzer können daher eine kontinuierliche Drahtlosnetzwerkverbindung aufrechterhalten, während sie sich von einem Drahtloszugriffspunkt im Netzwerk zu einem anderen bewegen (allerdings müssen alle verwendeten Drahtloszugriffspunkte als Clients desselben IAS-Servers konfiguriert sein). damit das problemlos funktioniert, müssen Sie sowohl beim Drahtlos-Client als auch beim RADIUS-Server die schnelle Wiederherstellung der Verbindung aktivieren. Drahtlosbereitstellungsdienste (Wireless Provisioning Services, WPS) sind ein Satz von Diensten, die drahtlosen Internetzugriff (Wireless ISP, WISP) zur Verfügung stellen. WPS wird zusammen mit virtuellen LANs (VLANs) und VLAN-fähigen Geräten bereitgestellt (die so genannten Zugriffscontroller odre engl access controler). Hinweis 0612 WPS (Wireless Provisioning Services) ist ein neues Feature von Windows Server 2003 Servicepack 1(SP 1). Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 96 von 122 Indikatoren für die Installation für RADIUS-Proxys: - Sie sind ein Dienstanbieter, der mehreren Kunden ausgegliederte Netzwerkzugriffsdienste bereitstellt. Mittels Verbindungsanforderungsrichtlinien kann der RADIUS-Proxy das Bereichsnamenattribut in verschiedenen Verbindungsanforderungen auslesen und diese Anforderungen an den geeigneten RADIUS-Server des Kunden weiterleiten. - Sie möchten eine Authentifizierung und Autorisierung für Benutzerkonten bereitstellen, die keine Mitglieder der Domäne sind, die für die IAS-Serverdomäne vertrauenswürdig sind. Mittels Verbindungsanforderungsrichtlinien kann der RADIUS-Proxy das Bereichsnamenattribut in verschiedenen Verbindungsanforderungen auslesen und diese Anforderungen an den geeigneten RADIUS-Server der Domäne weiterleiten. - Sie möchten eine große Anzahl von Verbindungsanforderungen möglichst effizient verarbeiten. Zu diesem Zweck verteilt der RADIUS-Proxy die Lasten der Verbindungs- und Kontoführungsanforderungen dynamisch auf mehrere RADIUS -Server und erhöht die Effizienz der Verarbeitung. Prüfungstipp 0615 Lesen Sie sich diesen Abschnitt genau durch. Für die Prüfung 70-291 müssen Sie wissen, wie Sie RADIUS-Clients und RADIUS-Server konfigurieren. Der RADIUS-Client wird in den Knoten-Eigenschaften des Routing und RAS-Servers auf der Registerkarte Sicherheit eingestellt (Authentifizierungsanbieter = RADIUS-Authentifizierung und Kontoanbieter = RADIUSKontoführung samt Konfiguration [bei Windowskontoführung ist Konfiguration jeweils ausgegraut]). Der RADIUS-Server steht erst mit der Installation der Windowskomponente Internetauthentifizierungsdienst (IAS) prinzipiell zur Verfügung. Danach muss der IAS-Server in Active Directory registriert werden. Über die Registrierung wird der IAS-Computer in die domänenlokale Sicherheitsgruppe RAS- und IAS-Server in der Domäne aufgenommen, deren Mitglied der ISA-Servercomputer ist. Mitglieder der domänenlokalen Gruppe RAS- und IAS-Server können RAS-Attribute von Benutzerkonten lesen. In der Konsole Internetauthentifizierungsdienst müssen alle RADIUS-Clients angegeben werden, die Zugriffsanforderungen an den lokalen IAS-Server weiterleiten. Hinweis 0618 Ein RADIUS-Server kann unter Verwendung des Befehlszeilenprogramms Netsh und des AAAA-Kontextes gesichert, wiederhergestellt oder migriert werden. Geben Sie zunächst den Befehl netsh aaaa show config > Dateiname.txt ein, um ein Abbild der gesamten ISA-Serverkonfiguration in einer Skriptdatei zu speichern. Anschließend können Sie die in dieser Skriptdatei enthaltene Konfiguration auf einen bestimmten IAS-Server installieren, indem Sie auf dem Zielservercomputer den Befehl netsh exec [Pfad]\Dateiname.txt ausführen. Wichtig 0619 Der geheime Schlüssel wird als Schlüssel für die Verschlüsselung der Kommunikation zwischen einen bestimmten RADIUS-Client und einem bestimmten RADIUS-Server verwendet. Derselbe geheime Schlüssel muss auch auf dem RADIUS-Server konfiguriert werden. In einer Produktivumgebung sollten Sie den geheimen Schlüssel mit einer zufälligen Anordnung von Buchstaben, Zahlen, und Symbolen und einer Länge von midestens 22 Zeichen lang sein. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 97 von 122 Zusammenfassung der Lektion 10.4 0622 - Beim Internetauthentifizierungsdienst (IAS) handelt es sich um die Microsoft-Implementierung eines RADIUS-Servers. Der Hauptzweck eines RADIUS-Servers besteht in der Zentralisierung der RAS-Authentifizierung, -Autorisierung und -Protokollierung. - In der typischen IAS/RADIUS-Serverimplementierung leiten mehrere Netzwerkzugriffsserver, auf denen der Routing und RAS-Dienst ausgeführt wird, Zugriffsanforderungen an den RADIUS-Server weiter. Der RADIUS-Server fragt daraufhin den Domänencontroller für Authentifizierungszwecke ab und wendet RAS-Richtlinien auf die Verbindungsanforderung an. - Ein Radius-Server (zum Beispiel IAS) kann auch 802.1x-Clients authentifizieren. Das 802.1x-Protokoll wird normalerweise für Drahtlosauthentifizierung eingesetzt. - Ab Windows Server 2003 Service Pack 1 kann IAS auch dazu dienen, mithilfe der Drahtlosbereitstellungsdienste (WPS) Clients bei einem Anbieter für drahtlosen Internetzugriff (WISP) zu authentifizieren. - IAS kann auch als ein RADIUS-Proxy bereitgestellt werden. Bei dieser Form der Implementierung werden Netwerkzugriffsserver für das Weiterleiten der Authentifizierung und Kontoführung an einen IAS-Server konfiguriert. Dieser wird anschließend als RADIUS-Proxy konfiguriert, um die Nachrichten an eine RADIUS-Servergruppe weiterzuleiten. Diese Funktion kann benutzt werden, um einen Lastenausgleich für Zugriffsanforderungen bereitzustellen oder um einen ausgelagerten Netzwerkzugriffsanbieter zu ermöglichen, Zugriffsanforderungen an entsprechende Organisationen weiterzuleiten. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 98 von 122 Zusammenfassung des Kapitels 10 0624 - RAS-Server, auf denen der Routing und RAS-Dienst ausgeführt wird, müssen IP-Adressen für RAS-Clients bereitstellen. Dies kann entweder indirekt über DHCP-Server oder direkt über einen statischen Adresspool erfolgen. In der Regel erhalten die Clients Adressen, mit denen sie das logische Subnetz der Computer unmittelbar hinter dem RAS-Server plaziert werden. - RAS-Verbindungen müssen authentifiziert werden, bevor sie autorisiert werden können. Die RAS-Authentifizierung erfolgt mittels eines Authentifizierungsprotokolls, dass in der Regel den Benutzernamen und das Kennwort verschlüsselt, die über das Netzwerk übertragen werden. Die Authentifizierungsprotokolle EAP-TLS, MS-CHAP Version 1 und MS-CHAP Version 2 verschlüsseln auch die Verbindungsdaten. - Bei der Authentifizierungsmethode, die bei einer Verbindung verwendet wird, handelt es sich um das sicherste Authentifizierungsprotokoll, das in den Eigenschaften der Clientverbindung, den Eigenschaften des RAS-Servers und in der RAS-Richtlinie aktiviert ist, die auf die Verbindung angewendet wird. - Die RAS-Autorisierung erfolgt zunächst durch Überprüfen der Einwähleigenschaften des Benutzerkontos danach durch Anwenden der ersten übereinstimmenden RAS-Richtlinie (von oben nach unten gelesen) auf die Verbindung. - Wenn ein Benutzer eine Remoteanmeldung an eine Domäne vornimmt, erfolgt die Domänenanmeldung separat und erst, nachdem die RAS-Verbindung authentifiziert und autorisiert worden ist. - Um Zugriffe hinter den RAS-Server zu ermöglichen, muss der RAS-Server als Router konfiguriert und die Option IP-Routing aktivieren im Eigenschaftendialogfeld des RAS-Servers aktiviert werden. - Virtuelle private Netzwerke (VPNs) sind Netzwerke die in logischer Hinsicht ein lokales Netzwerk nachbilden, sich aber physisch über das Internet erstrecken. In RAS-VPNs muss das Benutzerkonto authentifiziert und autorisiert werden. In einem routerübergreifenden (Extranet-) VPN müssen die Router authentifiziert und autorisiert werden. - Im Allgemeinen können VPN-Tunnel vom PPTP-Typ einfacher implementiert werden, sind aber weniger sicher als die Tunnel des zertifikatbasierten L2TP-Typs. - Beim Internetauthentifizierungsdienst (IAS) handelt es sich um die Microsoft-Implementierung eines RADIUS-Servers. Der Hauptzweck eines RADIUS-Servers besteht in der Zentralisierung der RAS-Authentifizierung, RAS-Autorisierung und RAS-Protokollierung. Schlüsselinformationen Kapitel 10 0625 - Beschreiben Sie die verschiedenen Funktionen und Grenzen der Authentifizierungsprotokolle, etwa EAP-TLS und MS-CHAP. - Beschreiben Sie die verschiedenen Schritte der RAS-Authentifizierung und RAS-Autorisierung. Lernen Sie, welche Bedingungen erfüllt seinen müssen, damit eine RAS-Verbindung hergestellt werden kann. - Lernen Sie, sie RAS-Richtlinien konfiguriert werden. - Beschreiben Sie den Unterschied zwischen VPNs vom PPTP-Typ und VPNs vom L2TP/IPSEc-Typ. - Lernen Sie die funktionalen Unterschiede zwischen RADIUS-Clients, RADIUS-Servern und RADIUS-Proxys. Beschreiben Sie die Szenarien, in denen RADIUS-Server und RADIUS-Proxys eingesetzt werden. - Lernen Sie, wie RADIUS-Server und -Clients konfiguriert werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 99 von 122 Schlüsselbegriffe Kapitel 10 0626 3DES Triple Data Encryption Standard. Ein Algorithmus für die stärkste Verschlüsselung von L2TP/IPSec-Verbindungen (168-Bit). DES Data Encryption Standard. Ein Algorithmus für die starke 56-Bit-Verschlüsselung von L2TP/IPSec-Verbindungen. MPPE Microsoft point-to-Point Encryption. Eine Implementierung der RSA (Rivest Shamir Adleman) RC4_Familie von Verschlüsselungsalgorithmen. MPPE wird in den Authentifizierungsprotokollen MS-CHAP (Version 1 und Version 2) und EAP-TLS für die Verschlüsselung von Verbindungsdaten verwendet. Zudem wird es für die Verschlüsselung von Verbindungsdaten in VPNs vom PPTP-Typ verwendet. RADIUS Remote Authentication Dial-In User Service. Ein Dienst, der eine zentralisierte RAS-Authentifizierung und RAS-Autorisierung ermöglicht. Beim Internetauthentifizierungsdienst (IAS) handelt es sich um die Microsoft-Implementierung von RADIUS. Prüfungsvorbereitung 70-291 11. Kapitel 11 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 100 von 122 Verwalten der Netzwerksicherheit Bedeutung der Verwaltung der Netzwerksicherheit 0631 Ihre Arbeit bleibt ergebnislos, wenn Sie nicht über eine Strategie verfügen, in er die Sicherheit Ihres Netzwerkes berücksichtigt wird. Ihre sorgfältig konzipierten und implementierten Systeme können durch Denial-of-Service-Angriffe oder schädigende Software heruntergefahren oder anderweitig überlastet werden. Ihre Daten können gestohlen, geändert, gelöscht oder aufgrund von Viren, Unfällen und direkten Angriffen beschädigt werden. Ein Computer kann von einem böswilligen Angreifer im Remotezugriff gesteuert, Ihre Webseite geändert oder der Ruf Ihres Unternehmen beschädigt werden. Im unangenehmsten Fall können nichtgeschützte System und Netzwerke als Quelle von Angriffen auf Systeme anderer Organisationen oder auf kritische Versorgungseinrichtungen wie Dämme, Hochspannungsnetze uns. missbraucht werden. Dieses Kapitel liefert eine Einführung in einige Tools und Techniken zur Erhöhung der Sicherheit Ihres Netzwerks, zur Erfüllung der Sicherheitsrichtlinie Ihres Unternehmens und zur Überwachung und Problembehandlung von Protokollen für die Netzwerksicherheit. Der Schutz einzelner Systeme, die Ausdehnung dieser Kontrolle auf das gesamte Unternehmen und die Aufrechterhaltung der Kontrolle über die Daten bei der Übertragung zwischen Computern sind Themen dieses Kapitel 11. Darüber hinaus wird ein wichtiges Sicherheits-Paradigma eingeführt: das Prinzip des geringstmöglichen Rechts. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 101 von 122 11.1 Lektion 1 Implementierung von Verfahren für sichere Netzwerkverwaltung Tools zum Verwalten der Gruppenrichtlinien - Gruppenrichtlinienobjekt-Editor (gpedit.msc) gpedit.msc: Bearbeitung des lokalen Gruppenrichtlinienobjekts MMC-Snap-In: Bearbeitung eines beliebigen Gruppenrichtlinienobjekts auf der Ebene von Standort, Domäne, Organisationseinheit oder lokaler Computer. - Richtlinienergebnissatz-Snap-In Es zeigt die effektiven Gruppenrichtlinieneinstellungen an, die sich aus mehreren Gruppenrichtlinienobjekten ergeben und auf einen beliebigen Benutzer oder Computer angewendet werden. - Gpresult Gpresult.exe ist die Befehlszeilenversion des Richtlinienergebnissatz-Snap-Ins. Es zeigt Informationen darüber an, welche Gruppenrichtlinienobjekteinstellungen momentan auf den lokalen Computer und den lokal angemeldeten Benutzer angewendet werden. - Gruppenrichtlinien-Verwaltungskonsole Sie ist ein neues Tool, um Bereitstellung, Verwaltung und Problembehandlung von Gruppenrichtlinien zu erleichtern. Die Gruppenrichtlinien-Verwaltungskonsole ist nicht in Windows Server 2003 eingebaut, sondern vielmehr ein Add-On-Tool (gpmc.msi), dass Sie von http.//www.microsoft.com/downloads herunterladen und installieren müssen. Nachdem die Gruppenrichtlinien-Verwaltungskonsole installiert wurde, steht im Startmenü ein neues Verwaltungstool (Konsole) zur Verfügung, und in der Liste der verfügbaren MMC-Snap-Ins befindet sich ein neuer Eintrag (). Die Gruppenrichtlinien-Verwaltungskonsole stellte eine Oberfläche mit ausführlichen Informationen über alle Gruppenrichtlinienobjekte zur Verfügung, die im Netzwerk zur Verfügung stehen. Sie können darin sehen, welche Gruppenrichtlinienobjekte mit bestimmten Standorten, Domänen und Organisationseinheiten verknüpft wurden. Außerdem können Sie in der Die Gruppenrichtlinien-Verwaltungskonsole Sicherheitseinstellungen für Gruppenrichtlinien verwalten, Abfragen und dem Richtlinienergebnissatz von Gruppenrichtlinienobjektdaten ausführen. - Active Directory-Benutzer und -Computer eignet, falls Sie die Gruppenrichtlinien-Verwaltungskonsole nicht installiert haben, sich zum Editieren von Gruppenrichtlinienobjekten auf der Ebene von Organisationseinheit und Domäne. - Active Directory-Standorte und Dienste eignet, falls Sie die Gruppenrichtlinien-Verwaltungskonsole nicht installiert haben, sich zum Editieren von Gruppenrichtlinienobjekten auf der Ebene von Standorten. - Gpupdate (Gpupdate.exe) Es ist ein Befehlszeilentool zum sofortigen Erzwingen der Gruppenrichtlinieneinstellungen auf den lokalen Server erzwingen können (Es ist nicht möglich, mit diesem Tool von einer zentralen Stelle aus Gruppenrichtlinieneinstellungen im Remotezugriff zu erzwingen). Falls man den Befehl Gpupdate.exe nicht ausführen, aktualisieren sich die Gruppenrichtlinieneinstellungen automatisch auf Domänencontrollern alle 5 Minuten und auf anderen Servern alle 90 Minuten. Prüfungstipp 0635 Sie müssen in der Prüfung mit dem Snap-In Richtlinienergebnissatz, Gpresult, der GruppenrichtlinienVerwaltung und Gpupdate vertraut sein. Hinweis 0635 Ein grundlegendes Verständnis von Gruppenrichtlinien ist für dieses Training und Prüfung 70-291 unerlässlich. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 102 von 122 Jedes Gruppenrichtlinienobjekt enthält einen Knoten namens Sicherheitseinstellungen. - Kennwortrichtlinien (Sie werden auf Domänenebene verarbeitet minimale Kennwortlänge, max. Kennwortalter, Erzwingen der Kennwortkomplexität, ab Windows Server 2003 standardmäßig keine leeren Kennwörter erlaubt) - Kontosperrungsrichtlinien (legen fest, wie oft ein Benutzer ein falsches Kennwort eingeben darf, bis sein Benutzerkonto gesperrt wird und wie lange es gesperrt bleibt) - Kerberos-Richtlinie (Parameter im Zusammenhang mit Kerberos Anmeldungen und -Ticket fest) - Überwachungsrichtlinie (Es wird festgelegt, welche Ereignisse in das Ereignisprotokoll geschrieben werden. Überwacht werden kann z.B.: Herunterfahren des Systems, Anmeldeereignisse überwachen für lokale Anmeldungen, Anmeldeversuche überwachen für Domänen-anmeldungen, Datei- oder Ordnerzugriff (Objektzugriffsversuche überwachen aktivieren und auf Registerkarte Sicherheit des Objekts [Datei/Ordner] -> Erweitert dann -> Überwachung festlegen bei welchen Mitgliedern der Zugriff überwacht werden soll) Zugriff auf Registrierungsschlüssel (analog wie bei Datei und Ordnerzugriff) - Zuweisen von Benutzerrechten (zuweisen von bis zu 39 grundlegenden Benutzerrechen wie z.B.: sich lokal anmelden, Netzwerkzugriff auf einen Computer, System herunterfahren, Systemzeit ändern, sich über Terminaldienste anzumelden) - Sicherheitsoptionen (70 Richtlinien in 15 Kategorien [unsignierte Treiberinstallation]) - Ereignisprotokoll (Richtlinien betreffs der Ereignisprotokollanforderungen) - Eingeschränkte Gruppen (Erzwingung, dass Mitgliedschaft in lokalen Gruppen auf Computern in der Domäne auf den angegeben lokalen oder Domänenkonten beschränkt ist. - Systemdienste (Startparameter für Dienste) - Registrierung, Dateisystem (Steuerung der Zugriffssteuerungseinträge wie Access Control Entry, ACE und Vererbungseigenschaften für bestimmte Registrierungsschlüssel oder Datei/Ordnerobjekte auf Computern in der Domäne) - Drahtlosnetzwerkrichtlinien (IEEE 802.1x) - Richtlinien öffentlicher Schlüssel - Richtlinien für Softwarebeschränkung (Schutz des Computers vor unsicherem Code mit 4 arten von Regeln: * Hashregeln * Zertifikatregeln * Pfadregeln (UNC [Universal Naming Convention]-Pfad) * Internetzonenregeln (gelten für Windows-Installer-Dateien) - IP-Sicherheitsregeln (Konfiguration der IPSec-Dienste für die Authentifizierung oder Verschlüsselung des Netzwerkverkehrs) Tipp 0636 Sie können eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren, indem Sie mit der rechten Maustaste auf den Knoten Sicherheitseinstellungen klicken und im Kontextmenü den Befehl Richtlinie importieren wählen. Prüfungstipp 0636 Als Brute-Force-Angriff wird ein Versuch bezeichnet, bei dem sich ein Angreifer nicht autorisierten Zugriff auf ein System verschaffen will, indem er wiederholt einen Benutzernamen mit geratenen oder zufällig generierten Kennwörtern eingibt. Falls das Limit für die Zahl der Anmeldeversuche, wie es in den Kontosperrungsrichtlinien festgelegt ist, erreicht wird, bevor der Brute-Force-Angriff zum Erfolg führt, ist das Ergebnis eines solchen Angriffs auf den Server, dass ein Konto gesperrt wird. Falls der im Brute-Force-Angriff verwendete Benutzername zu einem Dienstkonto gehört (also ein Konto, unter dem sich ein Dienst anmeldet), wird das Dienstkonto gesperrt und die entsprechenden Dienste und Anwendungen können nicht mehr starten, bis das Dienstkonto zurückgesetzt wird. Tipp 0637 Falls sie das lokale Adminsitratorkonto benutzen und (dank einer aktivierten Anmeldeereignisse überwachenRichtlinie, die fehlgeschlagene Versuche aufzeichnet) massenhaft fehlgeschlagene Versuche entdecken, sich mit dem lokalen Administratorkonto anzumelden, sollten Sie das lokale Administratorkonto ganz deaktivieren! Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 103 von 122 Hinweis 0638 Ab Windows Server 2003 Service Pack 1 können Sie auch den Zugriff auf die Metabasis der Internetinformationsdienste (Internet Information Services, IIS) 6.0 überwachen. Die IIS-Metabasis ist die Datenbank mit Konfigurationseinstellungen für IIS, sie erfüllt eine ähnliche Funktion wie die Windows-Registrierung. Das kann zum Beispiel nützlich sein, falls die IIS-Metabasis beschädigt wird und Sie die Ursache herausfinden wollen. Wenn Sie die Überwachung der IIS-Metabasis aktivieren wollen, müssen Sie zuerst die Richtlinie Objektzugriffsversuche überwachen so konfigurieren, dass erfolgreiche, fehlgeschlagene oder (falls nötig) beide Versuche überwacht werden (wie oben beschrieben). Geben Sie danach in einer Eingabeaufforderung den Befehl iiscnfg /Enableaudit Pfad ein, wobei Pfad für den Pfad der IIS-Metabasis steht. Um zum Beispiel die Metabasisüberwachung für das virtuelle Web-Verzeichnis „MeinVdir“ zu aktivieren, lautet der Befehl: iiscnfg /EnableAudit W3SVC/1/ROOT/MeinVdir . Prüfungstipp 0639 Das Recht, ein System herunterzufahren, erlaubt dem Besitzer auch, das Herunterfahren des Systems hinauszuschieben, zum Beispiel nach der Installation von Windows-Updates. Hinweis 0639 Sie können Benutzerrechte in Domänencontrollern hinzufügen oder entfernen, indem Sie die Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten im Gruppenrichtlinienobjekt Default Domain Controllers Policy konfigurieren. Sie können Benutzerrechte für Mitgliedsserver, Mitgliedsarbeitsstationen, eigenständige Server oder eigenständige Arbeitsstationen hinzufügen oder entfernen, indem Sie die Richtlinieneinstellungen im Knoten Zuweisen von Benutzrechten der Konsole Lokale Sicherheitsrichtlinie auf dem jeweiligen Computer bearbeiten (also nicht in einem Gruppenrichtlinienobjekt in Active Directory). Prüfungstipp 0639 In der Standardeinstellung verfügen nur die Gruppen Administratoren, Konten-Operatoren, SicherungsOperatoren und Server-Operatoren über das Recht, sich lokal an einen Domänencontroller anzumelden. Sollte es nötig sein, dass sich ein anderes Konto lokal an einen Domänencontroller anmelden darf, müssen Sie dem Benutzer das Recht von hand zuweisen, indem Sie das Gruppenrichtlinienobjekt Default Domain Controller Policy bearbeiten. Und wenn Sie einem Benutzer erlauben, sich an einen Domänencontroller anzumelden, ist es wahrscheinlich auch sinnvoll, ihm gleich zu erlauben, Active Directory im remotezugriff von Mitgliedsservern aus zu verwalten. In solchen Fällen sollten Sie das Paket der Windows Server 2003-Verwaltungsprogramme (Adminpack.msi) auf dem lokalen Computer des Benutzers installieren. Dann erhält der Benutzer Zugriff auf alle Verwaltungstools (zum Beispiel Active Directory-Benutzer und -Computer), die er auch auf dem Domänencontroller findet. Prüfungstipp 0640 Sie können Sicherheitseinstellungen für das Dateisystem NTFS auf mehrere Computer kopieren, indem Sie die Einstellungen im Knoten Dateisystem eines Gruppenrichtlinienobjekts konfigurieren und dann eine Sicherheitsvorlage exportieren. Prüfungstipp 0640 Die schnelle Verbindungswiederherstellung mit PEAP erlaubt es mobilen Benutzern, eine dauerhafte Drahtlosnetzwerkverbindung beizubehalten, während sie sich von einem Drahtloszugriffspunkt zum andern bewegen. Alle Zugriffspunkte müssen allerdings als Clients desselben IAS (Information Access Service)-Servers (RADIUS) konfiguriert sein. Falls Benutzer ständig die Verbindung verlieren, während sie von einem Zugriffspunkt zum anderen wechseln, müssen Sie die schnelle Verbindungswiederherstellung aktivieren. Prüfungstipp 0641 Sie können damit rechnen, dass in Prüfung 70-291 Fragen zu Regeln im Zusammenhang mit Richtlinien für Softwarebeschränkung vorkommen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 104 von 122 Prüfungstipp 0642 Beim Verwalten von Gruppenrichtlinienberechtigungen müssen Berechtigungen sowohl für Gruppenrichtlinienobjekte als auch für Active Directory-Objekte, wie Standorte, Domänen und Organisationseinheiten konfiguriert werden. Zum Beispiel können Sie die Berechtigung Schreiben bei einem Gruppenrichtlinienobjekt auf Zulassen setzen, damit die Einstellungen on diesem Gruppenrichtlinienobjekt verändert werden dürfen. Wenn Sie allerdings Benutzern erlauben wollen, ein Gruppenrichtlinienobjekt auf einen Standort, eine Domäne, oder eine Organisationseinheit anzuwenden, müssen Sie die Berechtigungen für den entsprechenden Active Directory-Container anpassen. Dazu müssen Sie in der Konsole Active Directory-Benutzer und -Computer (oder im fall von Standorten in der Konsole Active Directory-Standorte und -Dienste) den Assistenten zum Zuweisen der Objektverwaltung starten und für die gewünschten Konten die Berechtigung Verwaltet Gruppenrichtlinien-Verknüpfungen auf Zulassen setzen. Wenn Sie diesen Vorgang in der Gruppenrichtlinien-Verwaltungskonsole (gpmc.msi als Installationsdatei von Microsoft herunterladen) durchführen wollen, müssen Sie den betreffenden Active Directory-Container markieren, im rechten Fensterabschnitt die Registerkarte Delegierung auswählen, um Kombinationsfeld Berechtigungen den Eintrag Gruppenrichtlinienobjekte verknüpfen auswählen und dann die gewünschten Benutzer- und Gruppenkonten hinzufügen. Prinzip des geringsten Rechts Es besagt, dass Sie den Benutzern nur gerade so viele Rechte und Privilegien gewähren sollten, wie sie benötigen, um ihre Aufgaben durchzuführen (also nur so viel wie nötig, statt wie möglich). Einige der schlimmsten Verletzungen für das Prinzip des geringstmöglichen Rechts betreffen Administratorkonten: das Konteo Administrator sowie die Gruppen Administratoren, Domänen-Admins und Organisations-Admins. Vermeidung von 2 häufigen Fehlern: * Bleiben Sie nicht längere Zeit als Administrator angemeldet * einem Benutzer vollständige Administratorrechte zu gewähren Wichtig 0644 Wenn Sie eine Anwendung installieren wollen, müssen Sie die Anmeldeinformationen eines lokalen Administrators oder eines Mitglieds der lokalen Gruppe Hauptbenutzer angeben. Prüfungstipp 0644 Für die Simulationsfragen sollten Sie wissen, wie sie eine eigene benutzerdefinierte Administratorengruppe erstellen können, indem Sie spezifische Benutzerrechte zu einem Gruppenkonto hinzufügen. Sie sollten außerdem wissen, wie Sie einzelne Benutzer zu diesem Gruppenkonto hinzufügen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 105 von 122 Prüfungstipp 0644 Die beiden wichtigsten Gruppen der 15 vordefinierten Gruppen sind Hauptbenutzer und Remotedesktopbenutzer. Gruppen im Active Directory-Container Builtin: - Konten-Operatoren - Administratoren - Sicherungs-Operatoren - Netzwerkkonfigurations-Operatoren - Systemmonitorbenutzer - Leistungsprotokollbenutzer - Druck-Operatoren - Remotedesktopbenutzer (ermöglicht das Anmelden an Domänencontrollern) - Benutzer Gruppen im Active Directory-Container Users: - DnsAdmins (installiert mit DNS) - DNSUpdateProxy (damit ein anderer DNS-Server die Einträge aktualisieren kann) - Domänen-Admins - Domänen-Benutzer - Organisations-Admins (nur in der Gesamtstruktur-Stammdomäne) - RAS- und IAS-Server - Richtlinien-Ersteller-Besitzer (können Gruppenrichtlinien in der Domäne ändern) - Zertifikatherausgeber Vordefinierte lokale Gruppen: - Administratoren - Sicherungs-Operatoren - DHCP-Administratoren - DHCP-Benutzer - (installiert mit DHCP-Serverdienst, Administratorzugriff auf den DHCP-Server) (installiert mit DHCP-Serverdienst, Anzeige von Eigenschaften des DHCP-Servers) Systemmonitorbenutzer Netzwerkkonfigurations-Operatoren Leistungsprotokollbenutzer Hauptbenutzer Druck-Operatoren Remotedesktopbenutzer Terminalserverbenutzer Benutzer Prüfungstipp 0645 Merken Sie sich die wichtigsten 17 Gruppen: Administratoren, DHCP-Administratoren, DHCP-Benutzer, DNSAdmins, DNSUpdateProxy, Druck-Operatoren, Hauptbenutzer, Konten-Operatoren, Leistungsprotokollbenutzer, Netzwerkkonfigurations-Operatoren, RAS- und IAS-Server, Remotedesktopbenutzer, Richtlinien-Ersteller-Besitzer, Server-Operatoren, Sicherungs-Operatoren, Systemmonitorbenutzer und Zertifikatsherausgeber Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 106 von 122 Hinweis 654 Durch das Durchsuchen des Snap-Ins Sicherheitsvorlagen wird die Sicherheitsrichtlinie eines Computers nicht geändert. Sie wird nicht einmal dann geändert, wenn Sie Einstellungen ändern. Um die Sicherheit tatsächlich zu ändern, muss die Vorlage angewendet werden. Das Snap-In Sicherheitsvorlagen ist standardmäßig mit dem Ordner %Windir%\Security\Templates verknüpft, in dem die verfügbaren Vorlagen gespeichert werden. Sie können die Standardvorlagen aus dem Ordner %Windir\Inf zum Standardspeicherort für Vorlagen hinzufügen, damit sie angezeigt werden können. Zudem können Sie einen Ordner erstellen und Vorlagen aus anderen Quellen hinzufügen. Weitere Informationen 0654 Das Whitepaper „Windows Server 2003 Security“ liefert hervorragende Informationen zu Sicherheitsvorlagen und beschreibt deren Verwendung zur Implementierung einer Strategie wie der hier definierten. Dieses Whitepaper finden Sie unter http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655512EA6C7B4DB&displaylang=en (am 31.10.2008 war diese Seite nicht mehr auffindbar). Die in Windows Server 2003 enthaltenen Vorlagen: Vorlage Speicherort Beschreibung Compatws Security\Templates Wendet Datei- und Registrierungsberechtigungen an, die erforderlich sind sein können, damit alte Anwendungen (Windows NT) ausgeführt werden können, ohne die Benutzer zur Gruppe Hauptbenutzer hinzuzufügen. Mit der Vorlage Compatws wird die Sicherheit herabgesetzt. DCsecurity Security\Templates Wendet Standardsicherheitseinstellungen für einen Domänencontroller an. Hisecdc Security\Templates Schützt einen Domänencontroller mit weiteren Einstellungen, enthält erhöhte Sicherheit für New Technology Local Area Network Manager (NTLM) Hisecws Security\Templates Schützt eine Arbeitsstation mit weiteren Einstellungen, enthält erhöhte Sicherheit für NTLM und entfernt alle Mitglieder aus der Gruppe Hauptbenutzer. Beschränkt die Mitgliedschaft in der lokalen Gruppe Administratoren auf die Gruppe Domänen-Admins und den Administrator. Hisecws ist eine stärkere und sichere Einstellung als Securews. Iesacls Security\Templates Wendet Registrierungsberechtigungen auf Schlüssel an, die zum Internet Explorer gehören. Diese Vorlage legt die Registrierungsberechtigungen so fest, dass die Gruppe Jeder über die Berechtigungen Vollzugriff und Lesen verfügt. Rootsec Security\Templates Wendet die Stammberechtigung auf das Systemlaufwerk an. Securedc Security\Templates Schränkt die Kontorichtlinien ein. Wendet LAN Manager-Einschränkungen an und stellt sicher, dass nur Kerberos und NTLMv2 für die Anmeldung benutzt werden. Prüfungsvorbereitung 70-291 Securews Administrieren einer Windows 2003 Netzwerkinfrastruktur Security\Templates (Stand: 18.12.2008) Seite 107 von 122 Verstärkt die lokalen Kontorichtlinien. Wendet LAN Manager-Einschränkungen an und stellt sicher, dass nur Kerberos und NTLMv2 für die Anmeldung benutzt werden. Wendet LAN Managereinschränkungen an und stellt sicher, dass nur Kerberos und NTLMv2 für die Anmeldung benutzt werden. Setupsecurity Security\Templates Repräsentiert die Sicherheit, die auf den aktuellen Computer und seine Installation angewendet wird. Defltsv %Windir%\Inf Wendet die Standardservervorlage an, die während der Installation eingesetzt wird. Defltdc %Windir%\Inf Wendet die Standardvorlage für Domänencontroller an, die während der Ausführung des Dienstprogramms Dcpromo eingesetzt wird. Tipp 0656 Die Mehrzahl der Vorlageneinstellungen sollten unter Verwendung des Snap-Ins Sicherheitsvorlagen hinzugefügt werden. Die Vorlagendatei ist zwar eine Textdatei, die erforderliche Syntax kann aber verwirrend sein. Durch den Einsatz des Snap-Ins wird sichergestellt, dass die Einstellungen mit der richtigen Syntax geändert werden. Diese Regel hat jedoch eine Ausnahme, nämlich das Hinzufügen von Registrierungseinstellungen, die nicht bereits im Abschnitt Sicherheitsoptionen der Vorlage enthalten sind. Wenn neue Sicherheitseinstellungen bekannt werden und sie unter Verwendung eines Registrierungsschlüssels konfiguriert werden können, können Sie sie zum Abschnitt [Registry Values] einer Sicherheitsvorlage hinzufügen. Informationen zu diesem Verfahren finden Sie im Artikel „How to Add Custom Registry Settings to Security Configuration Editor” unter http://support.microsoft/?kbid=214752 (am 31.10.2008 nicht mehr vorhanden). Die Sicherheit wird nicht durch das Erstellen und Ändern von Vorlagen erhöht, sondern durch das Anwenden der Vorlagen. Eine Vorlage kann durch die Verwendung des Snap-Ins Sicherheitskonfiguration und -analyse auf den lokalen Rechner angewendet werden. Dieses Tool, welches erst ab Windows Server 2003 Sp1 als eine Windowskomponente zur Verfügung steht, kann auch eingesetzt, um Einstellungen in einer Vorlage mit den Einstellungen auf dem Computer zu vergleichen. Bei der Durchführung der Analyse werden die Unterschiede zwischen der vorhandenen Sicherheitsimplementierung und der ausgewählten Vorlage in der Oberfläche mit einem roten x gekennzeichnet. Dieser Vergleichstyp zeigt an, welche Auswirkungen es hat, wenn eine Vorlage angewendet wird. Wenn Sie weitere Vorlagen anwenden, müssen Sie sich entscheiden, ob die Datenbank gelehrt werden soll. Bei leerer Datenbank werden nur die Einstellungen in der neuen Vorlage angewendet. Wenn die alten Vorlageneinstellungen jedoch vorher auf den Computer angewendet wurden, werden diese Einstellungen nicht durch das Entfernen der Vorlage aus der Datenbank entfernt. Wenn die Datenbank nicht geleert wird, bewirkt das Hinzufügen einer weiteren Vorlage Folgendes: - Wenn eine Einstellung in der alten Vorlage festgelegt, aber nicht in der neuen Vorlage definiert ist, wird die Einstellung der alten Vorlage beibehalten. - Wenn eine Einstellung in der neuen Vorlage festgelegt, aber nicht in der alten Vorlage definiert ist, wird die Einstellung der neuen Vorlage übernommen. - Wenn eine alte Einstellung sowohl in der alten als auch der neuen Vorlage definiert ist, wird die Einstellung in der neuen Vorlage angewendet. Prüfungstipp 0659 Sie können damit rechnen, dass sich in der Prüfung 70-291 eine Frage mit dem SicherheitskonfigurationsAssistenten beschäftigt. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 108 von 122 In Windows Server 2003 Service Pack 1 ist die Windows-Firewall standardmäßig deaktiviert, mit Ausnahme der Zeitpunkte während und unmittelbar nach einer Installation einer mit SP1 aktualisierten Slipstream-Version von Windows Server 2003. Falls Sie Windows Server 2ßß3 und Service Pack 1 auf diese Weise zusammen installiert haben, werden Sie sofort aufgefordert, Windows-Updates herunterzuladen. Dafür ist ein Feature verantwortlich, dass als Sicherheitskonfiguration (Post-Setup Security Updates, PSSU) bezeichnet wird. PSSU schützt somit einen Windows Server 2003-Computer, indem es die Windows-Firewall aktiviert hält, bis die neuesten Windows-Updates auf den lokalen Computer angewendet wurden. Möglichkeiten der Windows-Firewall (Windows Server 2003 SP1): - Definieren von Programmausnahmen - Zulassen lokaler Programmausnahmen - Definieren von Portausnahmen - Zulassen lokaler Portausnahmen - Zulassen von ICMP-Ausnahmen (Internet Control Message Protocol) - Verbieten von Benachrichtigungen - Zulassen von Ausnahmen für datei- und Druckerfreigaben - Zulassen der Protokollierung Andere Sicherheitsfeatures in Service Pack 1: - Einschränkungen der RPC-Schnittstelle (anonyme Verbindungen zu RPC-Schnittstellen sind verbietbar) - Sicherheitsverbesserungen für Internet Explorer (IE) (erweiterte Gruppenrichtlinieneinstellungen) - Remotezugriffsquarantäne (Quarantänemodus für den Remotezugriff ermöglicht Netzwerkadministratoren die Möglichkeit, die Konfiguration von Remoteclientcomputern zu überprüfen, bevor ihnen Zugriff auf das Unternehmensnetzwerk gewährt wird. Es setzt vorraus, dass auf dem RAS-Server der Remote-Quarantänedienst (rqs.exe) läuft und ein Verbindungs-Manager-Profil konfiguriert wurde, um den Remotezugriffsquarantäneclient (rqc.exe) auf dem Remoteclientcomputer auszuführen.) Prüfungstipp 0661 Arbeiten Sie diese Übung sorgfältig durch. Sie können damit rechnen, dass Sie in der Prüfung 70-291 eine Simulationsfrage bekommen, indem Sie eine Sicherheitsvorlage erstellen und anwenden müssen. Stellen Sie sicher, dass Sie den Umgang mit den beiden Snap-Ins Sicherheitsvorlagen und Sicherheitskonfiguration und -analyse sicher beherrschen. Hinweis 0612 Als optimale Vorgehensweise wird empfohlen, Standardvorlagen zu keinem Zeitpunkt zu ändern. Stattdessen werden neue Vorlagen oder Kopien der aktuellen Vorlagen an einem anderen Speicherort abgelegt und anschließend eingesetzt, um benutzerdefinierte Vorlagen zu erstellen. Auf diese Weise stehen die Standardvorlagen immer unverändert zur Verfügung. Weil benutzerdefinierte Vorlagen getrennt gespeichert werden, können sie leichter kopiert und die Originale an einem sicheren Ort abgelegt werden. Hinweis 0665 Die verfügbaren Einstellungen und Methoden sind je nach Richtlinie unterschiedlich. Bei vielen Einstellungen muss in der Vorlage zunächst das Kontrollkästchen Richtlinieneinstellung in der Vorlage definieren aktiviert werden, bevor unter Verwendung von Hinzufügen-Schaltflächen, Textfeldern, Dropdown-Listenfeldern und Optionen Änderungen an bestimmten Einstellungen vorgenommen werden können. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 109 von 122 Lernzielkontrolle Lektion 11.1 0669 - Sie möchten eine neue Registrierungseinstellung auf sämtliche Server in Ihrem Netzwerk anwenden. Wie kann diese Aufgabe möglichst effizient durchgeführt werden? Mithilfe des Editors können zur .inf-Datei einer Sicherheitsvorlage beliebige Registrierungswerte hinzugefügt werden. Diese Werte müssen zum Abschnitt [Registry Values] hinzugefügt werden. Bei der nächsten Anwendung der Vorlage werden die jeweiligen Einstellungen geändert. Sie können Batchskripts erstellen, um die Vorlage auf mehrere Computer anzuwenden, oder die Vorlage in die Gruppenrichtlinien importieren. - Sie wollen verhindern, dass Benutzer in der Domäne auf ihren lokalen Computern Anwendungen ausführen, die nicht von vertrauenswürdigen Herausgebern stammen. Wie erreichen Sie das? Definieren Sie in einem Gruppenrichtlinienobjekt in den Richtlinien für Softwareeinschränkungen eine Zertifikatregel und wenden Sie das Gruppenrichtlinienobjekt auf der Domänenebene an. - Sie wollen einem Benutzer das Recht gewähren, Freigaben auf einen bestimmten Server zu erstellen. Der Benutzer sollte keine weiteren administrativen Privilegien erhalten. Zu welcher vordefinierten Gruppe sollten Sie den Benutzer hinzufügen? a. Server-Operatoren auf dem lokalen Computer b. Server-Operatoren auf der Domänenebene c. Hauptbenutzer auf dem lokalen Computer d. Hauptbenutzer auf der Domänenebene richtige Antwort: c. Hauptbenutzer auf dem lokalen Computer - Welche Schritte sind unter Umständen erforderlich, um eine Wiederherstellung nach der Anwendung einer Sicherheitsvorlage auf einen Dateiserver vornehmen, mit der die Netzwerkzugriffe sämtlicher Benutzer auf den Server unterbunden werden. Wählen Sie die effizienteste Methode aus: a. Melden Sie sich lokal als Administrator auf den Dateiserver an, und wenden Sie die Vorlage rootsec an. b. Melden Sie sich lokal als Administrator auf den Dateiserver an, und wenden Sie die Rollbackvorlage an, die aus der falschen Sicherheitsvorlage generiert wurde. c. Melden Sie sich remote als Mitglied der Gruppe Organisations-admins auf den Dateiserver an, und verwenden Sie die Konsole Lokale Sicherheit, um die Richtlinien für Benutzerrechte zu ändern, die möglicherweise nicht richtig sind. d. Melden Sie sich remote als Administrator auf den Dateiserver an, und wenden Sie die Rollbackvorlage an, die aus der Sicherheitsvorlage generiert wurde. Richtige Antwort lautet b: b. Melden Sie sich lokal als Administrator auf den Dateiserver an, und wenden Sie die Rollbackvorlage an, die aus der falschen Sicherheitsvorlage generiert wurde. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 110 von 122 Zusammenfassung der Lektion 11.1 0670 - Gruppenrichtlinien enthalten eine Reihe wichtiger Elemente im Zusammenhang mit der Sicherheit. Sie müssen mit diesen Elementen vertraut sein, damit Sie eine Sicherheitsrichtlinie entwickeln, implementieren und verwalten können. - Das Prinzip des geringstmöglichen Rechts besagt, dass den Benutzern nur gerade so viele Rechte und Privilegien gewährt werden sollen, wie sie unbedingt brauchen, um ihre Aufgaben zu erledigen. Um dieses Prinzip zu verwirklichen, sollten Sie den Befehl Ausführen als nutzen und nicht über längere Zeit als Administrator angemeldet bleiben. Sie sollten auch außerdem lernen, welche Gruppenkonten in Windows Server 2003 vordefiniert sind, damit Sie Benutzer zu Gruppen mit geeigneten Privilegien hinzufügen können. - Windows Server 2003 Service Pack 1 enthält den Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW). Mit diesem Tool wird es deutlich einfacher, die Sicherheitseinstellungen für einen Windows-Server zu verschärfen und eine Vorlage auf Basis einer Serverfunktion zu erstellen. - Sicherheitsvorlagen definieren eine große Anzahl von sicherheitsrelevanten Einstellungen in einem Gruppenrichtlinienobjekt. Sie können mithilfe von Sicherheitsvorlagen wesentliche Elemente der Basissicherheitsrichtlinie für Computer definieren, wie sie vom Management festgelegt wurde. - Im Snap-In Sicherheitskonfiguration und -analyse können Sie Sicherheitsvorlagen anwenden und überprüfen, ob die Sicherheit des Computers den Vorgaben entspricht. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 111 von 122 11.2 Lektion 2 Überwachen der Sicherheit von Netzwerkprotokollen Hinweis 0671 Bei IPSec handelt es sich um ein komplexes Protokoll zum Verschlüsseln und Authentifizieren von IP-Datenverkehr. In diesem Fall bedeutet „authentifizieren“, dass die Integrität verifiziert wird. Anders ausgedrückt: Sie können mit IPSec sicherstellen, dass Daten während der Übertragung nicht geändert wurden. Überwachungstools für IPSec-Aktivitäten: - Das Snap-In IP-Sicherheitsmonitor - Das Snap-In IP-Sicherheitsrichtlinienverwaltung - Das Snap-In IP-Sicherheitsrichtlinien in einem Gruppenrichtlinienobjekt oder der Konsole Lokale Sicherheitsrichtlinie - Netsh - Netdiag - Ereignisprotokolle Weitere Informationen 0672 wenn Sie umfassende Studien zu IPSec anstellen möchten, finden Sie weitere Informationen in den RFCs 3457, 3456, 3281, 3193, 2857, 3193, 2857, 2709 und weiteren 22 RFCs. Diese RFCs finden Sie unter http://www.ieft.org (Seite war am 31.10.2008 vorhanden). Das Internet Key Exchange (IKE)-Protokoll wird benutzt, um Sicherheitszuordnungen zwischen den IPSecPartnern dynamisch zu erstellen. Schritte, mit denen eine IPSec-Verbindung aufgebaut wird: 1. Erstellen einer Hauptmodus-Sicherheitszuordnung 2. Aushandeln der Kommunikationsbedingungen und des Verschlüsselungsalgorithmus 3. erstellen einer Schnellmodus-Sicherheitszuordnung 4. Senden der Daten Standard-IP-Sicherheitsrichtlinien - Client (nur Antwort) Wenn einem Computer diese Richtlinie zugewiesen ist, versucht der Computer niemals selbst, einen IPSec-Kommunikationskanal zu einen anderen computer anzufordern. Jeder Computer, dem eine Richtlinie Client (nur Antwort) zugewiesen ist, handelt aber die IPSecKommunikation aus und stellt eine entsprechende Verbindung her, wenn dies vom anderen Computer angefordert wird. Diese Richtlinie wird normalerweise Computern im Intranet zugewiesen, die mit geschützten Servern kommunizieren, aber nicht den gesamten Datenverkehr schützen müssen. - Server (Sicherheit anfordern) Diese Richtlinie sollte Computern zugewiesen werden, bei denen Verschlüsselung empfehlenswert, aber nicht obligatorisch ist. Mit dieser Richtlinie akzeptiert der Computer ungeschützten Datenverkehr, indem er beim ursprünglichen Absender Sicherheit anfordert. Diese Richtlinie lässt zu, dass die gesamte Kommunikation ungeschützt abläuft, sofern der andere Computer nicht IPSec-fähig ist. Zum Beispiel kann die Kommunikation zu bestimmten Servern geschützt werden, es den Server aber trotzdem erlaubt bleiben, ungeschützt zu kommunizieren. So können die Server unterschiedliche Arten von Clients bedienen (von denen möglicherweise einige IPSec unterstützen, andere aber nicht). - Sicherer Server (Sicherheit erforderlich) Diese Richtlinie sollte Servern im Intranet zugewiesen werden, die eine geschützte Kommunikation erfordern, zum Beispiel einem Server, der geheime Daten überträgt. Es gibt keine ungeschützte Kommunikation. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 112 von 122 Prüfungstipp 0674 In der Prüfung 70-291 müssen Sie wahrscheinlich Fragen zu den Standard-IP-Sicherheitsrichtlinien beantworten. Folgende Informationen können vom Snap-In IP-Sicherheitsmonitor abgerufen werden: - Name der aktiven IP-Sicherheitsrichtlinie - Einzelheiten über die aktive IP-Sicherheitsrichtlinie - Schnellmodusstatistiken - Hauptmodusstatistiken - Informationen über aktive Sicherheitszuordnungen Prüfungstipp 0675 Verwenden Sie die Konsole IP-Sicherheitsmonitor, wenn Sie eine Fehlerbehebung für einen IPSec in Angriff nehmen. Falls sich eine IP-Sicherheitsrichtlinie nicht wie erwartet verhält, sollten Sie zuerst prüfen, ob tatsächlich die IPSicherheitsrichtlinie aktiv ist, die Sie brauchen. Falls Sie feststellen, dass nicht die erwartete IP-Sicherheitsrichtlinie aktiv ist, können Sie in der Gruppenrichtlinien-Verwaltungskonsole mithilfe der Tools Richtlinienergebnissatz oder Gruppenrichtlinienergebnisse feststellen, warum die derzeit aktive Richtlinie zum Zug gekommen ist. Der IP-Sicherheitsmonitor zeigt für Computer standardmäßig nur ihre Adressen an, nicht die Namen. Während der Fehlerbehebung sollten Sie die DNS-Namensauflösung aktivieren, indem Sie das Eigenschaftendialogfeld für das Computersymbol öffnen,. So weisen Sie den IP-Sicherheitsmonitor an, die DNS-Namen der Computer anzuzeigen, und nicht mehr nur deren IP-Adressen. Netcap.exe ist ein Befehlszeilentool (aus den Supporttools), mit dem Datenverkehr im Netzwerk in einer Sammlungsdatei aufgezeichnet werden kann. Anschließend kann diese Datei im Netzwerkmonitor geladen werden, um den gesammelten Datenverkehr anzuzeigen. Netcap kann auch auf Computern mit Windows XP ausgeführt werden. Prüfungstipp 0676 Wenn Sie Pakete auf einem Windows XP-Computer aufzeichnen wollen, sollten Sie Netcap benutzen. Beispielbefehle für Netcap: - Sammeln der auf NIC 2 empfangenen Pakete unter Verwendung eines 20-MByte-Puffers (Standard 1MByte) netcup /n:2 /b:20 - Durchführen einer einstündigen Sammlung netcup /L:01:00:00 Schützen des Intranetdatenverkehrs mithilfe der Internetinformationsdienste (IIS) Wenn sie darauf verzichten wollen oder müssen, IPSec in Ihrer Organisation bereitzustellen, können Sie auch eine SSL-fähige Webseite nutzen, um Netzwerkverkehr zu und von Webordnern zu verschlüsseln, die zentral auf einen Server gespeichert sind, der die Internetinformationsdienste ausführt. Hinweis 0677 Wenn eine Verbindung zu einer SSL-fähigen Webseite hergestellt wird, zeigt der Webbrowser die Adresse mit dem Präfix https:// an. Beachten Sie aber, dass Sie eine Verbindung zu Webordnern auch über Windows-Explorer herstellen können. In diesem Fall werden die Adressen der SSL-fähigen Webordner einfach als UNC-Pfadnamen (Univseral Naming Convention) angezeigt, zum Beispiel \\Servername\Freigabename. Wenn Sie SSL für eine Webseite vorschreiben, brauchen Sie nur ein serverseitiges Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anzugeben (kein Active Directory ist erforderlich). Dass dieser Schutz mit SSL so einfach bereitzustellen ist, gibt möglicherweise den Ausschlag, wenn Sie sich entscheiden, ob Sie IIS mit SSL oder IPSec implementieren sollen. Prüfungstipp 0678 Sie sollten auf Servern, für die Sicherheit von Bedeutung ist, NETBIOS immer deaktivieren. Dazu gehören zum Beispiel Server, auf denen geschützte Webordner, vertrauliche Dokumente oder beides gespeichert sind. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 113 von 122 Weitere Informationen 0679 Bei Kerberos handelt es sich um ein komplexes Authentifizierungsprotokoll, das in RFC 1510 (The Kerberos Network Authentication V5) beschrieben wird ( http://www.ietf.org/rfc/rfc1510.txt?number=1510 ). Weitere englische Informationen über die Implementierung von Kerberos in Windows finden Sie außerdem im Kerberis-Whitepaper unter http://microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/kerberos.mspx. Praktische Kerberos-Nachverfolgung Um Anmeldungen nachverfolgen zu können, müssen zunächst die Tools vorbereitet und gestartet werden, die eingesetzt werden sollen. - Stellen Sie sicher, dass die Überwachung von Anmelde-Ereignissen und Kontoanmelde-Ereignisse für Domänencontroller und Domänencomputer aktiviert ist. Dies sollte in der Standarddomänen-Richtlinie erfolgen. Vergewissern Sie sich, dass die Richtlinie aktualisiert wurde. - Laden Sie die Ressource Kit-Dienstprogramme Kerbtray.exe und Klist.exe (Liste der Tickes im Kerberos-Cache abrufen) herunter, und installieren Sie sie. Stellen Sie sicher, dass auf dem Anmeldeclient eine Kopie verfügbar ist. - Starten Sie den Netzwerkmonitor, und beginnen Sie vor der Anmeldung eine Sammlung. - Erstellen Sie auf dem Domänencontroller einen Ordner, um Netzwerksammlungen und eine Kopie des Sicherheitsprotokolls zu speichern (optional). Dieser Ordner kann vorübergehend freigegeben werden, um die Dateien für Untersuchungszwecke auf den Server herunterzuladen. Auf diese Weise können Sie die Dateien untersuchen, während sie im lokalen Sicherheitsprotokoll die Einzelheiten überprüfen und im Kerberos-Cache die Tickets betrachten. Die ist wesentlich einfacher, als ständig zwischen zwei Computern zu wechseln oder eine Terminalsitzung einzurichten. Zusammenfassung der Lektion 11.2 0711 - IPSec wird benutzt, um IP-Verkehr zu verschlüsseln und zu authentifizieren. In Windows Server 2003-Netzwerken wird IPSec entsprechen den IP-Sicherheitsrichtlinien erzwungen. IP-Sicherheitsrichtlinien bestehen aus Regeln, die festlegen, welche Art von Datenverkehr zugelassen, blockiert, authentifiziert oder verschlüsselt wird. - Windows Server 2003 stellt folgende drei Standard-IP-Sicherheitsrichtlinien zur Verfügung, mit denen Sie den Verkehr in Ihrem Netzwerk verschlüsseln können: Client (nur Antwort), Server (Sicherheit anfordern) und Sicherer Server (Sicherheit erforderlich). - Statt in Ihrer Organisation IPSec bereitzustellen, können Sie auch eine SSL-fähige Webseite nutzen, um den Netzwerkverkehr zu und von Webordnern zu verschlüsseln, die zentral auf einem Server mit IIS gespeichert sind. - Mit dem Programm Netdiag können Sie überprüfen, ob Kerberos und viele andere Netzwerkfunktionen korrekt funktionieren. Mit Kerbtray.exe können Informationen über die Kerberos-Tickets angemeldeter Benutzer angezeigt werden. Mit Klist.exe können Tickets über die Befehlszeile angezeigt und gelöscht werden. - Mit Netcap.exe kann eine Netzwerksammlung auf einem System durchgeführt werden, auf dem der Netzwerkmonitor nicht installiert ist. Die Sammlung kann anschließend auf einem Computer mit dem Netzwerkmonitor angezeigt werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 114 von 122 11.3 Lektion 3 Problembehandlung der Sicherheit von Netzwerkprotokollen Vorsicht 0712 Passen Sie die Leitlinien in diesem Abschnitt an, wenn Sie eine tatsächliche Problembehandlung durchführen. Sie müssen sicherstellen, dass während der Problembehandlung keine Daten versehentlich beschädigt oder kritische Transaktionen unterbrochen werden. Die Empfehlungen umfassen häufig Schritte, die geändert werden müssen, zum Beispiel die folgenden: 1. Durch das Leeren von Protokollen müssen weniger Daten untersucht werden. In der Praxis kann dies jedoch erreicht werden, indem das Protokoll zunächst gespeichert wird. Die Ereignisprotokolle müssen intakt sein. Darüber hinaus sollten sie gespeichert werden, so dass sie anschließend auf einen anderen Computer ausgewertet werden können. 2. Sie sollten nur dann einen Neustart vornehmen, wenn Sie gewährleisten können, dass das Produktivsystem oder die Personen, die es nutzen, nicht beeinträchtigt werden. Wichtig 0712 Berücksichtigen Sie bei der Problembehandlung, dass der einzige Zweck eines Netzwerkes darin besteht, die jeweiligen Geschäftsanforderungen zu unterstützen. Nichtsdestoweniger müssen Sie jedes einzelne Problem für sich angehen und eine Entscheidung über die erforderlichen Schritte und den Zeitpunkt der Reaktion treffen. Wenn zum Beispiel ein kritisches System offline ist, müssen Sie unter Umständen eine andere Herangehensweise wählen, als wenn Sie nur Versuchen ein kleines Problem zu beheben. Hinweis 0713 Die IKE-Protokollierung ist standardmäßig aktiviert. Wenn die Überwachung von Anmeldeereignissen aktiviert ist, zeichnet IKE die Aushandlungsergebnisse im Sicherheitsprotokoll auf. Sobald Richtlinien zugewiesen wurden, und aktiv sind, können Sie diese Funktion deaktivieren, indem Sie den Registrierungsschlüssel DisableIKEAudits hinzufügen und mit dem Wert 1 versehen. Anschließend muss der IPSec-Dienst beendet und wieder neu gestartet werden. Dieser Schlüssel muss unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit erstellt werden. Darüber hinaus können Sie den Umfang der Informationen heraufsetzen, die im Sicherheitsprotokoll aufgezeichnet werden, indem Sie die Protokollierung von Verwerfen-Ereignissen pro Paket anfordern. Dies kann durch Erhöhen der Überwachungsstufe auf Stufe 7 erreicht werden. Sie können entweder Netsh einsetzen oder den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\EnableDiagnostics auf den Wert 7 festzulegen. Ungeachtet der verwendeten Methode muss der Computer neu gestartet werden, damit die Änderungen wirksam werden. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 115 von 122 Behebung von Problemen im Zusammenhang mit einer IP-Sicherheitsrichtlinie - Ist die Richtlinie zugewiesen? Verwenden Sie das Snap-In IP-Sicherheitsmonitor oder den Befehl netsh ipsec static show gpoassignedpolicy, um die aktuell aktive Richtlinie zu bestimmen. - Wenn die Richtlinie nicht der Richtlinie entspricht, die Sie erwarten: Welches Gruppenrichtlinienobjekt ist zuständig? Verwenden Sie den Befehl netsh ipsec static show gpoassignedpolicy oder das Snap-In IP-Sicherheitsmonitor oder das Snap-In Richtlinienergebnissatz, um diese Frage zu beantworten. - Wie lauten die Einzelheiten der Richtlinie? Verwenden Sie den Befehl netsh ipsec static show all. Sie suchen nach einer Bestätigung für die Zuweisung der Richtlinie und für die Richtigkeit ihrer Parameter. Diese Informationen können auch unter Verwendung des Snap-In’s IP-Sicherheitsrichtlinienverwaltung zur Anzeige der Richtlinien für den lokalen Computer ermittelt werden. - Erreichen Datenpakete den richtigen Computer? Der Netzwerkmonitor kann zur Sammlung von IPSec-Paketen eingesetzt werden. Sie werden zwar nicht in der Lage sein, verschlüsselten Text anzuzeigen, aber Informationen darüber erhalten, ob die Pakete den Computer ereichen, da sie die die Quelladresse anzeigen können. Außerdem erfahren Sie, ob IPSec angewendet wird. Darüber hinaus können Sie die Richtlinie für einen Einsatz ohne Verschlüsselung konfigurieren und anschließend die Pakete sammeln, um Informationen zu sammeln. - Werden Datenpakete verworfen? Ein IPSec-Leistungsindikator steht nicht zur Verfügung. Verworfene IPSec-Pakete werden den Indikatoren Empfangene Datagramme verworfen und Ausgehende Datagramme verworfen im Leistungsobjekt IPv4 zugeschlagen. Die Frage, ob Pakete verworfen werden, kann am besten beantwortet werden, indem im Snap-In IP-Sicherheitsmonitor die Anzahl der verworfenen Pakete angezeigt wird. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 116 von 122 Zusammenfassung des Kapitel 11 0728 - Sie müssen mit den vielen sicherheitsrelevanten Elementen in Gruppenrichtlinien vertraut sein, um eine Sicherheitsrichtlinie entwickeln, implementieren und verwalten zu können. Die meisten dieser Einstellungen können Sie mit einer Datei importiert oder exportiert werden. Diese Datei ist eine so genannte Sicherheitsvorlage. - Windows Server 2003 stellt folgende drei Standard-IP-Sicherheitsrichtlinien zur Verfügung, mit denen Sie den Verkehr in Ihrem Netzwerk verschlüsseln können: Client (nur Antwort), Server (Sicherheit anfordern) und Sicherer Server (Sicherheit erforderlich). - Mit den IPSec-Überwachungstools kann sichergestellt werden, dass IP-Sicherheitsrichtlinien wie erwartet funktionieren. Zu diesem Zweck können das Dienstprogramm Netsh, das Snap-In IP-Sicherheitsmonitor, Sammlungen im Netzwerkmonitor und das Sicherheitsprotokoll eingesetzt werden. - Mit einer Überwachung der Kerberos-Aktivitäten kann gewährleistet werden, dass dieses stärkere Authentifizierungsprotokoll tatsächlich verwendet wird. Nutzen Sie zu diesem Zweck den Netzwerkmonitor und das Sicherheitsprotokoll. Probleme mit Kerberos können auf Probleme mit Active Directory und insbesondere mit der Replikation hindeuten. - Sie können Sicherheitsvorlagen zur Konfiguration von Sicherheitseinstellungen einsetzen und diese daraufhin auf eigenständigen Computern durch Verwenden des Snap-Ins Sicherheitskonfiguration und -analyse und in einer Domäne durch Importieren der Vorlage in die Gruppenrichtlinien anwenden. Schlüsselinformationen Kapitel 11 0729 - Machen sie sich mit den verschiedenen Tools für die Verwaltung von Gruppenrichtlinien und die Fehlerbehebung vertraut. - Prägen Sie sich die Aufgaben aller Unterknoten des Knotens Sicherheitseinstellungen in einem Gruppenrichtlinienobjekt ein. - Lernen Sie, welche Unterschiede zwischen den vier Typen von Richtlinien für Softwareeinschränkungen bestehen und wann Sie welchen Typ implementieren sollten. - Lernen Sie die Privilegien und Benutzerrechte so vieler vordefinierter Gruppen wie möglich. - Prägen Sie sich die Unterschiede zwischen den drei Standard-IP-Sicherheitsrichtlinien ein, und üben Sie, wann Sie welche implementieren sollten. Schlüsselbegriffe Kapitel 11 0729 Hauptmodus Die erste Phase einer IPSec-Verbindung. Im Hauptmodus werden die einzelnen Computer gegenseitig authentifiziert. Anschließend wird IKE (Internet Key Exchange = Protokoll) verwendet, um den Hauptschlüssel zu berechnen. Alle weiteren Schlüssel werden vom Hauptschlüssel abgeleitet. Eine IKE-Sicherheitszuordnung (Security Association, SA) wird erstellt, über die der Schnellmodus ausgehandelt werden kann. Schnellmodus Die zweite Phase von IPSec. Im Schnellmodus wird eine Übereinstimmung für die Verschlüsselung, die Integritätsalgorithmen und weitere Richtlinieneinstellungen erzielt. Zwei Sicherheitszuordnungen, nämlich eine eingehende und eine ausgehende, werden erstellt. TGT (Ticket Granting Ticket) Ein Ticket, dass für die Anforderungen von Tickets für den Zugriff auf Ressourcen verwendet werden kann. Der Client muss gegenüber dem KDC (Key Distribution Center) authentifiziert werden, um das TGT zu erhalten. Der erste Schritt bei der Kerberos-Authentifizierung besteht im Abrufen von TGTs. Sitzungsticket Das Ticket, das verwendet wird, um Zugriff auf Ressourcen zu erhalten. Ein TGT muss eingesetzt werden, um ein Sitzungsticket bzw. Benutzerticket anzufordern. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur 12 Kapitel 12 Pflegen einer Netzwerkinfrastruktur 12.1 Lektion 1 Überwachen der Netzwerkleistung (Stand: 18.12.2008) Seite 117 von 122 Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur 12.2 Lektion 2 Problembehandlung von Internetverbindungen (Stand: 18.12.2008) Seite 118 von 122 Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur 12.3 Lektion 3 Problembehandlung von Serverdiensten (Stand: 18.12.2008) Seite 119 von 122 Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 120 von 122 12.4 Lektion 4 Konfigurieren einer Updateinfrastruktur Hinweis 0792 In der Standardeinstellung werden Gruppenrichtlinien im Hintergrund alle 90 Minuten aktualisiert, mit einem zufälligen Offset zwischen 0 und 30 Minuten. Falls Sie die Gruppenrichtlinien früher aktualisieren wollen, können sie auf dem Clientcomputer eine Eingabeaufforderung öffnen und den Befehl gpupdate /force eingeben. Prüfungstipp 0729 Statt zu warten, bis ein WSUS-Client seinen Status automatisch an einen WSUS-Server meldet, können Sie auf dem WSUS-Client auch den Befehl wuauclt.exe /detectnow ausführen, um die automatischen Updates zu zwingen, sofort Kontakt mit dem WSUS-Server aufzunehmen. Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) 13 Kapitel 13 Implementieren, Verwalten und Pflegen der IP-Adressierung (1.0) 14 Kapitel 14 Implementieren, Verwalten und Pflegen der Namensauflösung (2.0) 15 Kapitel 15 Implementieren, Verwalten und Pflegen der Netzwerksicherheit (3.0) 16 Kapitel 16 Implementieren, Verwalten und Pflegen von Routing und RAS (4.0) 17 Kapitel 17 Pflegen einer Netzwerkinfrastruktur (5.0) Seite 121 von 122 Prüfungsvorbereitung 70-291 Administrieren einer Windows 2003 Netzwerkinfrastruktur (Stand: 18.12.2008) Seite 122 von 122