- gattner.name

Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 1 von 122
Administrieren einer Windows Server 2003 Netzwerkinfrastruktur
(erstellt mit Winword 2003 und
Quelle: Administrieren einer Windows Server 2003 Netzwerkinfrastruktur Auflage: 2
Autoren: J.C. Mackin und Ian McLean
Verlag Microsoft Press Deutschland 2008
ISBN: 978-3-86645-906-9)
Vorwort
Hallo werte Leserinnen und werte Leser,
dies ist nicht auf Vollständigkeit beruhender Auszug aus dem oben genannten Buch.
Einfachhalber wird nicht zitiert.
Neben sehr kurz gefassten Einführungen sind dort u. a. Bedeutung, Beispiel, Definition, Hinweis, Insidertipps,
Lernzielkontrolle, Problembehandlung, Prüfungstipp, Schlüsselinformationen, Sicherheitserwägungen,
Sicherheitswarnung, Szenarien, Tipp, Vorsicht, Warnung, Weitere Informationen, Wichtig und
Zusammenfassung herausgezogen.
Sie dienen nur als begleitendes Prüfungsvorbereitungsmaterial.
Für die Richtigkeit aller in diesem Dokument gemachten Aussagen, bedingt durch Fehler aller Art,
wird keine Haftung für Folgeschäden aller Art (Arbeit und Prüfungen) übernommen.
Euer Andreas
Tipp außer der Reihe:
Beim Anmelden werden immer ein Anmeldeereignis (Logon-Event) und ein Anmeldeversuch (Account[Konto]Logon-Event) ausgelöst.
Per Gruppenrichtlinie kann eines oder auch beides überwacht werden (standardmäßig keines von beiden).
Anmelde-Ereignis:
Dieses Ereignis wird immer an der Maschine geloggt, wo sich der Benutzer anmeldet
(im lokalen Ereignisprotokoll).
Anmelde-Versuch:
Dieses Ereignis wird immer dort geloggt, wo sich das Konto des Benutzers befindet
(mit Domänenkonto im Ereignisprotokoll eines Domänencontrollers und
bei lokaler Anmeldung im Ereignisprotokoll der Maschine,
wo man sich lokal anmeldet).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 2 von 122
Inhaltsverzeichnis
1. Kapitel 1 Grundlagen der Windows Server 2003-Netzwerkinfrastruktur ......................................................... 3
1.1. Lektion 1 Aufbau einer Windows Server 2003-Netzwerkinfrastruktur..................................................... 3
1.2. Lektion 2 Herstellen einer Verbindung zu einer Windows Server 2003-Netzwerkinfrastruktur ............... 4
2. Kapitel 2 Grundlagen von TCP/IP .................................................................................................................... 5
2.1. Lektion 1 Grundlagen von TCP/IP ............................................................................................................ 5
2.2. Lektion 2 Arbeiten mit IP-Adressblöcken ................................................................................................. 6
2.3. Lektion 3 Aufteilen von IP-Netzwerken in Subnetze ................................................................................ 7
3. Kapitel 3 Überwachung und Problembehandlung von TCP/IP-Verbindungen ............................................... 11
3.1. Lektion 1 Analysieren des Datenverkehrs mit dem Netzwerkmonitor .................................................... 11
3.2. Lektion 2 Problembehandlung von TCP/IP-Verbindungen ..................................................................... 13
4. Kapitel 4 Konfigurieren von DNS-Servern und -Clients ................................................................................ 15
4.1. Grundlagen der Namensauflösung in Windows Server 2003 .................................................................. 15
4.2. Lektion 2 Grundlagen von DNS in Windows Server 2003-Netzwerken ................................................ 16
4.4 Lektion 4 Konfigurieren von DNS-Clients............................................................................................... 22
5. Kapitel 5 Konfigurieren einer DNS-Infrastruktur ........................................................................................... 25
5.1. Lektion 1 Konfigurieren der Eigenschaften von DNS-Servern ............................................................... 25
5.2. Lektion 2 Konfigurieren von Zoneneigenschaften und -übertragungen .................................................. 28
5.3. Lektion 3 Konfigurieren der erweiterte Eigenschaften von DNS-Servern .............................................. 33
5.4. Lektion 4 Erstellen von Zonendelegierungen .......................................................................................... 35
5.5 Lektion 5 Bereitstellen von Stubzonen ..................................................................................................... 37
6. Kapitel 6 Überwachung und Problembehandlung von DNS ........................................................................... 41
6.1. Lektion 1 Verwenden von Tools zur DNS-Problembehandlung ............................................................. 41
6.2. Lektion 2 Verwenden von DNS-Überwachungstools ............................................................................. 44
7. Kapitel 7 Konfigurieren von DHCP-Servern und -Clients .............................................................................. 47
7.2 Lektion 2 Verwalten von DHCP in Windows-Netzwerken...................................................................... 51
7.3 Lektion 3 Konfiguration von DHCP-Servern für das Durchführen von DNS-Updates ........................... 54
8. Kapitel 8 Überwachung und Problembehandlung von DHCP ........................................................................ 57
8.1 Lektion 1 Analysieren des DHCP-Datenverkehrs .................................................................................... 57
8.2 Lektion 2 Überwachen von DHCP mithilfe der Überwachungsprotokollierung ...................................... 60
8.3 Lektion 3 Problembehandlung von DHCP ............................................................................................... 62
9. Kapitel 9 Routing mit Windows Server 2003 ................................................................................................. 65
9.1. Lektion 1 Konfigurieren von Windows Server 2003 für LAN-Routing .................................................. 65
9.2 Lektion 2 Konfigurieren des Routings für Wählen bei Bedarf ................................................................. 68
9.3 Lektion 3 Konfigurieren von NAT ........................................................................................................... 70
9.4 Lektion 4 Konfigurieren und Verwalten von Routingprotokollen ........................................................... 73
9.5 Lektion 5 Konfigurieren von Paketfiltern ................................................................................................ 75
10. Kapitel 10 Konfigurieren und Verwalten des Remotezugriffs ...................................................................... 79
10.1 Lektion 1 Konfigurieren von RAS-Verbindungen ................................................................................. 79
10.2 Lektion 2 Autorisieren von RAS-Verbindungen .................................................................................... 83
10.3 Lektion 3 Implementieren von VPNs ..................................................................................................... 87
10.4 Lektion 4 Bereitstellen des Internetauthentifizierungsdienstes .............................................................. 94
11. Kapitel 11 Verwalten der Netzwerksicherheit ........................................................................................... 100
11.1 Lektion 1 Implementierung von Verfahren für sichere Netzwerkverwaltung ...................................... 101
11.3 Lektion 3 Problembehandlung der Sicherheit von Netzwerkprotokollen ............................................. 114
12 Kapitel 12 Pflegen einer Netzwerkinfrastruktur ........................................................................................... 117
12.1 Lektion 1 Überwachen der Netzwerkleistung ...................................................................................... 117
12.2 Lektion 2 Problembehandlung von Internetverbindungen ................................................................... 118
12.3 Lektion 3 Problembehandlung von Serverdiensten .............................................................................. 119
12.4 Lektion 4 Konfigurieren einer Updateinfrastruktur .............................................................................. 120
13 Kapitel 13 Implementieren, Verwalten und Pflegen der IP-Adressierung (1.0) .......................................... 121
14 Kapitel 14 Implementieren, Verwalten und Pflegen der Namensauflösung (2.0) ........................................ 121
15 Kapitel 15 Implementieren, Verwalten und Pflegen der Netzwerksicherheit (3.0) ...................................... 121
16 Kapitel 16 Implementieren, Verwalten und Pflegen von Routing und RAS (4.0) ....................................... 121
17 Kapitel 17 Pflegen einer Netzwerkinfrastruktur (5.0) .................................................................................. 121
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 3 von 122
1. Kapitel 1 Grundlagen der Windows Server 2003-Netzwerkinfrastruktur
1.1. Lektion 1 Aufbau einer Windows Server 2003-Netzwerkinfrastruktur
Definition 0005
Netzwerkinfrastruktur => Es handelt sich um einen gemeinsam genutzten Satz physischer und logischer
Komponenten, der die Grundlage für die Konnektivität, Sicherheit, Routing, Verwaltung, Zugriff und andere
Kernfunktionen in einem Netzwerk bildet.
Hinweis 0009
Im Netzwerkmonitor und anderen Protokollanalyseprogrammen wird CIFS (Common Internet File System) in
den Netzwerkaufzeichnungen immer noch als SMB (Server Message Block) aufgelistet.
Prüfungstipp 0009
Fragen, in denen von „SMB-Serversoftware“ die Rede ist, handelt sich um einen UNIX-Server, auf denen die
Windows-Clients auf dessen freigegebenen Dateien zugreifen können.
Hinweis 0010
Sie müssen IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) nur zu den Computern
hinzufügen, die direkt mit älteren NetWare Servern kommunizieren.
Sie brauchen IPX/SPX nicht zu MS Windows-Clients hinzufügen,
die nur über einem Gateway auf die NetWare Server zugreifen.
Hinweis 0012
Ein ISA-Server (Internet Security and Acceleration-Server) fungiert normalerweise auch als Webproxy.
d.h. in den Internet Exlorer-Verbindungseinstellungen der Clients steht die Adresse des ISA-Servers.
Prüfungstipp 0013
Die verstärkte Sicherheitskonfiguration für den Internet Explorer (Internet Explorer Enhanced Security
Configuration, IEESC) ist als eine Windows-Komponente auf Windows 2003-Servern standardmäßig aktiviert.
Wenn sich XP-Benutzer über den Remotedesktop eine Verbindung zu einem Windows Server 2003 Computer
mit Terminaldiensten (TCP-Port 3398) versuchen, über den Remotedesktop im Web zu surfen, gelten die
IEESC-Bestimmungen auch auf diese XP-Benutzer.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 4 von 122
Zusammenfassung Lektion 1.1 0015
Die physische Infrastruktur eines Netzwerks besteht aus seiner Topologie, also dem physischem Aufbau des
Netzwerks, und Hardwarekomponenten wie Kabel, Router, Switches, Bridges, Hubs, Server und Hosts.
Sie umfasst zudem Technologien, mit denen Kommunikationsmethoden über bestimmte Typen physischer
Verbindungen definiert werden.
Die logische Infrastruktur eines Netzwerks besteht aus einer Vielzahl von Softwareelementen, mit denen die
Hosts im Netzwerk verbunden, verwaltet und geschützt werden.
Zu den Elementen einer Windows Server 2003-Netzwerkinfrastruktur gehören Protokolle, Adressierungsschema, Adressierungsschema, Namenauflösungsmethode, Routing-, Remotezugriff-, Sicherheits- und
Updateinfrastruktur.
1.2. Lektion 2 Herstellen einer Verbindung zu einer Windows Server 2003-Netzwerkinfrastruktur
Tipp 0017
Fenster Netzwerkverbindung: WINDOWS+R oder control netconnections
Hinweis 0017
TCP/IP (Version 4)
Es ist eine Gruppe von Protokollen, die als Stapel (stack) oder Familie (suite) bezeichnet wird.
ARP Address Resolution Protocol
DNS Domain Name System
HTTP Hypertext Transfer Protocol
IP
Internet Protocol
TCP Transmission Control Protocol
UDP User Data Protocol
Tipp 0020
Netzwerkumgebung -> Extras -> Erweiterte Einstellungen: bei schlechter Netzwerkleistung
Bindungsreihenfolge für Adapter, Protokolle und Anbieter
Prüfungstipp 0025
Wenn sich zwei Clientcomputer gegenseitig erkennen, aber keine Verbindung zu anderen Geräten im Netzwerk
oder dem Internet herstellen können, dann ist APIPA oft die Ursache.
Dann gibt es ein Problem beim DHCP-Server oder DHCP-Relay-Agent oder die Verbindung zum DHCP-Server
ist gestört.
Prüfungstipp 0027
Falls der eine Computer im selben Netzwerksegment eine gültige Adresse vom DHCP-Server bekommt und ein
anderer Computer dort nur eine APIPA (Automatische private IP-Adressierung).
Insidertipp 0027
APIPA-Adressen sind nicht routingfähig (kein Internet, keine Subnetze und zentralisierte Verwaltung).
Adressbereich: 169.254.0.1 bis 169.254.255.254/16
Schlüsselinformationen 0036
a) APIPA -> kein DHCP-Server erreichbar bzw. er arbeitet nicht richtig
b) Vorteile einer statischen Adresse und einer alternativen Konfiguration
c) verstärkte Sicherheitskonfiguration für den Internet Explorer wird als Windows Komponente automatisch auf
Windows Server 2003 installiert. Es verhindert in der Standardeinstellung die meisten Web-Zugriffe.
Schlüsselbegriffe 0037
APIPA => Es ist eine TCP/IP-Funktion in Windows XP und Server 2003 mit der automatisch eine eindeutige
Adresse zugewiesen wird, wenn TCP/IP für die dynamische Adressierung konfiguriert wurde und ein
DHCP-Server nicht verfügbar ist (Dynamic Host Configuration Protocol).
IP-Adressen: 169.254.0.1 bis 169.254.255.254 mit Subnetzmaske 255.255.0.0
NetBT => NetBIOS über TCP/IP (Protokoll für NetBIOS-Netzwerkdienste über TCP/IP-Netzwerke)
CIFS => Eine Erweiterung des SMB-Protokolls, die als Grundlage für die Dateifreigabe und andere
Funktionen von MS-Netzwerken dient.
Eine der Erweiterungen von CIFS gegenüber SMB ist die Möglichkeit, CIFS ohne NetBIOS direkt
über DNS zu betreiben.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 5 von 122
2. Kapitel 2 Grundlagen von TCP/IP
2.1. Lektion 1 Grundlagen von TCP/IP
Schichten des TCP/IP-Protokolls und die TCP/IP Protokoll-Familie
Anwendungs-Schicht
Transport-Schicht
Internet-Schicht
Verbindungsschicht
-> Telnet FTP SMTP und DNS RIP SNMP
-> TCP
und UDP
-> (ARP) IP (IGMP, ICMP)
-> Ethernet Token-Ring FDDI X.25 RS-232 V.35 Frame-Relay ATM
Insidertipp 0043
Problem: Keine Verbindung zu einem Computer mit neu eingebauter Netzwerkkarte, welcher sich im
Broadcastbereich befindet.
Lösung: arp –d löscht den arp-Cache; Die Zuordnung von der falschen (alte MAC-Adresse von ausgebauter
Netzwerkkarte) MAC-Adresse zur IP-Adresse wird aufgehoben, da sie neu eingespeichert werden.
arp –a Anzeige des arp-Cache
arp –d Löschen des arp-Cache
Cachedauer: 2 Minuten
Praxistipp 0044
Firewall muss für das Senden eines Ping-Befehls geöffnet werden (oft bei den Client-Firewalls die ICMPNachrichtenanforderung auf Beantworten stellen).
Prüfungstipp 0045
Durch den Einsatz der Paketfilterung auf einem Router kann TCP- oder UDP-Datenverkehr je nach Portnummer
blockiert oder zugelassen werden.
TCP-Port UDP-Port
20, 21
FTP (File Transport Protocol)
23
TelNet-Server
25
SMTP (Simple Mail Transfer Protocol)
80
HTTP (Hypertext Transfer Protocol)
88
Kerberos
110
POP3 (Post Office Protocol 3)
119
NNTP (Network News Transfer Protocol)
123
NTP (Network Time Protocol)
161
SNTP (Simple Network Time Protocol
162
SNTP trap
443
HTTPS/SSL (Hypertext Transfer Protocol Secure / Secure Sockets Layer)
1723
PPTP (point-to-Point Tunneling Protocol)
53
67
500
1701
4500
DNS (Domain Name System)
DHCP (Dynamic Host Configuration Protocol)
L2TP/IPSec
L2TP/IPSec
L2TP/IPSec
Prüfungstipp 0045
Verbindungslose Dienste in TCP/IP-Netwerken basieren auf UDP als Transportprotokoll.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 6 von 122
2.2. Lektion 2 Arbeiten mit IP-Adressblöcken
Subnetzmasken
11111111 00000000 00000000 00000000
11111111 10000000 00000000 00000000
11111111 11000000 00000000 00000000
11111111 11100000 00000000 00000000
11111111 11110000 00000000 00000000
11111111 11111000 00000000 00000000
11111111 11111100 00000000 00000000
11111111 11111110 00000000 00000000
/8
/9
/10
/11
/12
/13
/14
/15
255.0.0.0
255.128.0.0
255.192.0.0
255.224.0.0
255.240.0.0
255.248.0.0
255.252.0.0
255.254.0.0
11111111 11111111 00000000 00000000
11111111 11111111 10000000 00000000
11111111 11111111 11000000 00000000
11111111 11111111 11100000 00000000
11111111 11111111 11110000 00000000
11111111 11111111 11111000 00000000
11111111 11111111 11111100 00000000
11111111 11111111 11111110 00000000
/16
/17
/18
/19
/20
/21
/22
/23
255.255.0.0
255.255.128.0
255.255.192.0
255.255.224.0
255.255.240.0
255.255.248.0
255.255.252.0
255.255.254.0
11111111 11111111 11111111 00000000
11111111 11111111 11111111 10000000
11111111 11111111 11111111 11000000
11111111 11111111 11111111 11100000
11111111 11111111 11111111 11110000
11111111 11111111 11111111 11111000
11111111 11111111 11111111 11111100
/24
/25
/26
/27
/28
/29
/30
255.255.255.0
255.255.255.128
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
224 => 16.777.212 Hosts
223 => 8.388.606 Hosts
222 => 4.194.302 Hosts
221 => 2.097.150 Hosts
220 => 1.048.574 Hosts
2 19 =>
524.286 Hosts
218 =>
262.142 Hosts
2 17 =>
131.072 Hosts
2 16 =>
215 =>
214 =>
213 =>
212 =>
211 =>
210 =>
29 =>
65.534 Hosts
32.766 Hosts
16.382 Hosts
8.190 Hosts
4.096 Hosts
2.046 Hosts
1.022 Hosts
510 Hosts
2 8 => 254 Hosts
2 7 => 126 Hosts
26 => 62 Hosts
2 5 => 30 Hosts
2 4 => 14 Hosts
23 => 6 Hosts
2 2 => 2 Hosts
Bereich = Anzahl der Hosts + 2 (24 = 16 und 16-2 = 14 Hosts)
Subnet und Hosts-Adressen mit NUR 0 oder 1 sind nicht erlaubt.
Private Adressbereiche 0052
10.0.0.0/8
von 10.0.0.0 bis 10.255.255.254
von 172.16.0.0 bis 172.31.255.254 und
192.168.0.0/16 von 192.169.0.0 bis 192.168.255.254
Private Adressen sind im öffentlichen Netzwerk unsichtbar.
Clients mit einer privaten IP-Adresse gelangen mittels eines NAT-Servers (Network Address Translation =
Netzwerkadressübersetzung) in das Internet.
NAT-Server können sein: Windows Server 2003 oder ein dediziertes Routinggerät
Vereinfachte NAT-Dienste: ICS (Internet Connection Sharing) von Win XP und Server 2003
Hinweis 0053
Adressblock ist ein Satz einzelner IP-Adressen, die eine gemeinsame Netzwerkkennung haben.
Alle Adressen in diesem Adressblock gehören zu einem einzelnem Netzwerk, es sei denn sie wurden später in
Subnetze unterteilt.
Prüfungstipp 0053
Standardgateway:
Es hat die gleiche Netzwerkkennung und muss in der derselben Broadcastdomäne liegen wie der Client.
Ein Host ohne Standardgateway kann keinen Computer außerhalb seines Broadcastbereiches erreichen.
Es kann nicht ausserhalb vom lokalen Subnetz auf einen Host zugegriffen werden, wenn dieser Zielhost keinen
Standardgateway hat (wichtig für einen Server, der nur die Clients seines Subnetzes bedienen soll).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 7 von 122
2.3. Lektion 3 Aufteilen von IP-Netzwerken in Subnetze
Bei der Aufteilung in Subnetze handelt es sich um eine logische Unterteilung eines zugewiesenen Netzwerksadressraums durch Verlängern der1-Bits-Folge, die in der Subnetzmaske eines Netzwerkes verwendet werden.
Die Subnetzkennung wird dabei aus der Hostkennung des zugewiesenen Netzwerkadressraumes abgezweigt.
Hinweis 0074
Als Alternative zur Aufteilung in Subnetze werden VLAN-Switches (Virtual Local Area Network) immer
beliebter, um Broadcastdatenverkehr in großen Netzwerken einzuschränken.
Mit Hilfe von VLAN-Software, die alle VLAN-Switches im Netzwerk integriert, kann man Broadcastdomänen
in beliebiger Weise entwerfen, unabhängig von der Hardwaretopologie des Netzwerks.
Tipp 0076
Man kann die Bits in der Subnetzkennung auch auf andere Weise ermitteln.
Zum Beispiel kann man erkennen, dass 255.255.255.0 genau 2 Bits von 255.255.255.252.0 entfernt ist.
In diesem Fall ist b=2 und man kann den wert einfach in die Formel s=2^b einsetzen.
Subnetting nach RFC 950
Subnetting nach RFC 950
128
64
32
16
8
128
1
0
0
0
0
192
1
1
0
0
0
224
1
1
1
0
0
240
1
1
1
1
0
248
1
1
1
1
1
252
1
1
1
1
1
254
1
1
1
1
1
255
1
1
1
1
1
Subnet und Hostadressen mit nur 0 oder nur 1 sind nicht erlaubt
4
0
0
0
0
0
1
1
1
2
0
0
0
0
0
0
1
1
1
0
0
0
0
0
0
0
1
Subnets
Hosts
2
6
14
30
62
62
30
14
6
2
Prüfungstipp 0077
Falls in der Aufgabe lediglich gefordert würde, eine Subnetzmaske zu nennen, die genug Subnetze für die
Anforderungen ihres Netzwerks bietet (etwa 16), könnten Sie einfach eine Subnetzmaske nennen, die 32, 64 128
oder mehr Subnetze erstellt.
Damit die Antwort eindeutig ist, wird in der Frage normalerweise gefordert, „sparsam mit dem
Netzwerkadressraum um zugehen“.
Das ist das Zeichen, dass man eine Subnetzmaske wählen soll, die nicht mehr Subnetze erstellt als nötig.
a) Berechnung der Anzahl der Bits für die Subnetzkennung
(z.B. für 15 Netzwerke bei 255.255.255.0 als Netzwerkmaske der zugewiesenen Netzwerkkennung)
2b ≥ t
t = 15 Weil 23 = 8 und 24 = 16 und 4 der kleinste Exponent ist, der einen Wert gleich oder größer 15
liefert. Ist b=4.
b=4
b) Subnetzmaske in der Punkt-Dezimal-Konvention in die Schrägstrich-Konvention umrechnen.
c) nint = next + b (int = interne Netzwerkmaskenbits, ext = externe Netzwerkmaskenbits (zugewiesen))
nint = 24 + 4 = 28
d) Für das interne Netzwerk steht die Netzwerkmaske 255.255.255.240 fest.
Für die Hosts stehen somit nur 4 Bis zur Verfügung, demnach sind 24 -2 = 16 -2 = 14 Hosts möglich.
Ermitteln der Adressblockgröße
Manchmal muss man ermitteln, wie groß der Adressblock sein muss, damit eine vorgegebene Zahl von
Subnetzen und Computern darin Platz findet.
next = 32 – (b +h)
(b = Netzmaskenbits und h = Hostbits des „internen“ Netzes)
Prüfungstipp 0079
In der Prüfung ist immer die Subnetzmaske richtig, die nicht mehr Subnetze oder Hosts als nötig liefert.
Also wie immer, nur soviel wie absolut nötig.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 8 von 122
Das Abschätzen von Subnetzadressbreichen
Man benötigt zum Abschätzen die Subnetzmaske in der Punkt-Dezimal-Notation.
Einfacher Bereiche beinhalten nur Oktette, also nur 255 oder 0.
Ursprüngliche Subnetzmaske
Interne Subnetzmaske
(dem gesamten Adressblock zugewiesen) (Zum Aufteilen in Subnetze)
255.0.0.0
255.255.0.0
Subnetzadressbereiche
(Beispiel)
10.0.0.0 - 10.0.255.255
10.1.0.0 - 10.1.255.255
10.2.0.0 - 10.2.255.255
255.255.0.0
172.16.0.0 - 172.16.0.255
172.16.1.0 - 172.16.1.255
172.16.2.0 - 172.16.2.255
255.255.255.0
Mittelschwere Bereiche
Der Gruppenwert (g) bestimmt den Anfangswert für jeden Subnetzadressblock.
Jeder Subnetzbereich beginnt mit einem Vielfachen von vom Gruppenwert (dazu gehört auch 0).
192.168.100.0
192.168.100.64
192.168.100.128
192.168.100.192
- 192.168.100.63
- 192.168.100.127
- 192.168.100.191
- 192.168.100.255
oder
10.100.0.0 - 10.100.15.255
10.100.16.0 - 10.100.31.255
10.100.32.0 - 10.100.47.255
10.100.48.0 - 10.100.63.255
Feststellen, ob 2 Adressen im selben Subnetz liegen:
Liegen die Subnetzmasken /8, /16 oder /24 vor, braucht man nur die Werte der vordern 1,2 oder 3 Oktette
vergleichen, ob 2 beliebige Adressen im selben Subnetz liegen.
Wenn ihre Subnetzmaske ein Oktett mit einem Wert aus dem Zwischenbereich enthält, z. B. 192 oder 248, muss
man eine kleine Rechnung wie folgt ausführen.
a) Konvertieren sie die Subnetzmasken in die Punkt-Dezimal-Notation
b) Berechnung von f1 und f2
f1 = [k1 / (256 -d)] - eventueller Rest
f2 = [k2 / (256 -d)] - eventueller Rest
mit d = Zwischenwert-Oktett
c) Falls f1 = f2 ist, liegen beide Adressen im selben Subnetz, ansonsten sind sie in verschiedenen Subnetzen.
Beispiel mit
192.168.100.200 mit Subnetzmaske 255.255.252.0 und
192.168.103.203 mit Subnetzmaske 255.255.252.0
d = 252
k1 = 100
k2 = 103
Berechnung: f1 = [100 / (256 - 252)] = [100 / 4] = 25 und Rest 0
f2 = [103 / (256 - 252)] = [103 / 4] = 25 und Rest 0,75
f1 = f2 = 25 (Rest wird nicht berücksichtigt!)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 9 von 122
Zusammenfassung der Lektion 2.3 0091
Unter Aufteilung in Subnetze (Subnetting) versteht man das Verfahren, wie man den Adressraum logisch
unterteilt.
Mit Hilfe der Subnetzaufteilung kann man den Netzwerkaufbau an eine verteilte Hardwaretopologie anpassen,
den Broadcastverkehr in einem Netzwerk einschränken, die Sicherheit verbessern und die
Netzwerkadministration vereinfachen.
Mit der Formel s = 2b kann man die Zahl der Subnetze in einem gegebenen Netzwerk ermitteln,
wobei s die Anzahl der Subnetze und b die Zahl der Bits in der Subnetzkennung.
Mit der Formel c = 2(32-n) - 2 k kann man die Zahl der möglichen Hosts pro Subnetz berechenen,
wobei c die Zahl der Computer ist, die in einem Subnetz Platz finden und n die Zahl der Bits in der
Netzwerkkennung, die intern im Netzwerk benutzt wird.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 10 von 122
Zusammenfassung des Kapitels 2 0095
- TCP/IP bildet die Grundlage des Netzwerkbetriebes für die Windowsnetzwerke und das Internet.
- Es umfasst ARP, IP und ICMP also Protokolle der Internetschicht und UDP und TCP als Protokolle der
Transportschicht.
- IP-Hostadressen müssen in jedem Netzwerk eindeutig sein.
- Der vordere Teil einer IP-Adresse wird immer als Netzwerkadresse oder Netzwerkkennung verwendet,
während der hintere Teil als Hostadresse interpretiert werden soll.
- Mit der Formel 2h - 2 kann man ermitteln, wie viele Hosts in einem gegebenen Netzwerk Platz finden.
Dabei steht h für die Anzahl der Bits in der Hostkennung.
- Man kann ein Netzwerk in mehrere logische Subnetze aufteilen, in dem man die Netzwerkkennung,
die einem Adressblock extern zugewiesen ist, für die interne Benutzung innerhalb der Organisation
verlängern.
Schlüsselinformationen Kapitel 2 0095
- Funktion des ARP-Befehls (arp -a [Anzeige der arp-Einträge], arp -d [Löschen des arp-Caches])
Die Daten bleiben standardmäßig 2 Minuten im ARP-Cache
- Ports folgender Protokolle lernen:
FTP (20, 21), HTTP (80), HTTPS/SSL (443), DNS (UDP 53), PPTP (1723),
L2TP/IPSec (UDP 500, 1701 und 4500)
- 20 = 1, 21 = 2, 22 = 4, 25 = 32, 26 = 64, 27 = 128, 28 = 256, 29 = 512, 210 = 1024, 211 = 2048 und 212 = 4096
- Konvertieren der Schrägstrichnotation und der Punkt-Dezimal-Notation einer Subnetzmaske
- Bestimmen der Hostkapazität eines Netzwerkes
- Bestimmen der Zahl der Subnetze pro Netzwerk
- Bestimmung einer geeigneten Subnetzmaske für den Adressblock, wenn man die benötigte Anzahl von Hosts,
Subnetzen oder beides kennt.
- Abschätzen von Subnetzadressbereichen eines Netzwerkes durch Betrachten der Subnetzmaske in der PunktDezimal-Notation.
- Feststellen, ob 2 Adressen im selben Subnetz liegen.
Schlüsselbegriffe Kapitel 2 0096
ARP (Adress Resolution Protocol) In TCP/IP ein Protokoll, das logisch zugewiesene Adressen mit Hilfe von
Broadcasts im lokalen Netzwerk in die dementsprechende Hardware bzw. MAC-Adressen auflöst.
ICMP (Internet Control Message Protocol) ist ein notwendiges Wartungsprotokoll in der TCP/IP-Familie, das
Fehler meldet und einfache Konnektivität ermöglicht. Das Dienstprogramm Ping setzt ICMP zur Durchführung
der TCP/IP-Problembehandlung ein.
Hostkennung ist der Teil der IP-Adresse, der einen bestimmten Host innerhalb eines Netzwerk identifiziert.
Netzwerk-ID ist der Teil der IP-Adresse, der ein bestimmtes Netzwerk identifiziert.
Broadcastdomäne ist ein physischer Abschnitt eines Netzwerkes, in dem alle Netzwerkgeräte Nachrichten
empfangen, die an die Broadcastadresse 255.255.255.255 geschickt werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 11 von 122
3. Kapitel 3 Überwachung und Problembehandlung von TCP/IP-Verbindungen
3.1. Lektion 1 Analysieren des Datenverkehrs mit dem Netzwerkmonitor
Der Netzwerkmonitor wird mittels des Assistenten für Windows-Komponenten installiert.
Zusammen mit dem Netzwerkmonitor werden automatisch auch die Netzwerkmonitor-Treiber installiert.
Installation erfolgt nur mit Rechten eines Administrators.
Der Netzwerkmonitor ist ein softwarebasiertes Tool zur Analyse von Datenverkehr mit dem man folgende
Aufgaben machen kann:
- Sammeln von Rahmen direkt aus dem Netzwerk
- Anzeigen und Filtern gesammelter Rahmen (unmittelbar im Anschluss an eine Sammlung oder zu einem
späteren Zeitpunkt)
- Bearbeiten gesammelter Rahmen und Übertragen dieser Rahmen über das Netzwerk (nur Vollversion)
- sammeln von Rahmen auf einem Remotecomputer (nur Vollversion)
Insidertipp 0114
In der Theorie besteht ein gewaltiger Unterschied zwischen der Basis- und der Vollversion (extra kaufen).
In der Basisversion kann nur der Nachrichtenaustausch auf dem lokalen Computer gesammelt werden, während
in der Vollversion sämtlicher Datenverkehr zwischen den Computern im gesamten Netzwerksegment gesammelt
werden kann.
Diese Unterscheidung gilt nur für Netzwerke, welche ausschließlich Hubs verwenden. Heutige Netzwerke
verwenden dagegen Switches ein, welche die Rahmen nur an die Empfängercomputer weiterleiten.
Somit wird die Vollversion in ihrer Funktionalität sehr eingeschränkt und es gibt keine Vorteile gegenüber der
Basisversion.
Netzwerkmonitor
Netzwerkmonitor Funktion
(Basisversion)
(Vollversion)
-------------------------------------------------------------------------------------------------------------------- ---------------nur Datenverkehr,
alle Geräte
Lokales Sammeln
von und zu dem
im gesamten
Host, auf dem der
NetzwerkNetzwerkmonitor
segment
läuft
nicht verfügbar
ja
Sammeln im Remotebetrieb
nicht verfügbar
ja
Bestimmen des Benutzers mit dem höchsten Bandbreitenbedarf
nicht verfügbar
ja
Bestimmen des Protokolls mit dem höchsten Bandbreitenbedarf
nicht verfügbar
ja
Bestimmen der Geräte, die als Router fungieren.
nicht verfügbar
ja
Auflösen eines Gerätenamens in eine MAC (Media Access Control)Adresse
nicht verfügbar
ja
Bearbeiten und erneutes Übertragen von Datenverkehr im Netzwerk
Prüfungstipp 0119
mit dem Netzwerkmonitor können bestimmte Details wie die MAC-Adresse einer Netzwerkkarte, die GUID
eines Clientcomputers oder der vom Protokoll verwendeten Port ermittelt werden, die normalerweise nicht mehr
bekannt sind, weil die Handbücher nicht mehr aufzufinden sind.
Netzwerkmonitor und das OSI-Modell
OSI-Modell
TCP/IP-Modell
Anwendungsschicht
Darstellungsschicht
Sitzungsschicht
Anwendungsschicht
Transportschicht
Transportschicht
Vermittlungsschicht
Internetschicht
Sicherungsschicht
Physische Schicht
Verbindungsschicht
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 12 von 122
Prüfungstipp 0123
Beachten Sie für die Prüfung, dass NetBT ein Beispiel für eine Schnittstelle auf der Sitzungsschicht ist.
Tipp 0125
Wenn der Sammlungspuffer (Standard 1 MB, Maximalgröße = 935 MB) voll ist, verwirft der Netzwerkmonitor
einfach alle weiteren Rahmen.
Bei Standardeinstellungen der Rahmengröße generiert für eine normale Netzwerkanmeldung der Netzwerkmonitor (bei Standardrahmengröße) etwa 80 Kbyte.
Prüfungstipp 0126
Einsatzszenarien des Netzwerkmonitors:
Erkennen von Denail-of-Service-Angriffen und Rouge-Servern (z. B. nicht autorisierten DHCP-Servern).
Prüfungstipp 0126
Einbinden des Parsers in %Windir%\System32\Netmon\Parsers und Eintragung des neuen Parsers in der Datei
Parser.ini in %Windir%\System32\Netmon.
Der Netzwerkmonitor zeichnet alles vom Beginn des Rahmens auf, bis der Wert für die Rahmen Größe erreicht
ist. Der kleinste Rahmenwert ist 64 Byte und der maximale Wert (Standardeinstellung Full) 65.535 Byte.
Man ändert die Rahmengröße wie folgt:
Menü Sammeln -> Puffereinstellungen -> Sammlungspuffereinstellungen => Rahmengröße [Byte].
Modus „Nur sammeln“ wird verwendet, falls Rahmen verschluckt werden. Dabei werden keine Statistiken
angezeigt, sondern nur gesammelt. Menü Sammeln => Nur sammeln.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 13 von 122
3.2. Lektion 2 Problembehandlung von TCP/IP-Verbindungen
Dienstprogramme:
ipconfig /all
Netzwerkdiagnose
Netdiag
Tracert
PhatPing
für Überprüfung der TCP/IP des Computers
grafisches Tool zur Problembehandlung in der Windows Server 2003- Oberfläche
(Startmenü -> Hilfe- und Support -> Supportaufgaben -> Hilfe und Support Center
-> Tools => Netzwerkdiagnose (System überprüfen))
Befehlszeilendiagramm aus dem Ordner \Support\Tools\Sup-Tools.msi (Supporttools)
Netcard Queries Tests
Domain Membership Test
NetBT Name Test
WINS Service Test
DNS Test
Bindings Test
WAN Configuration Test
IP Security Test
dient dem Nachverfolgen von Routen über maximal 30 Abschnitte
(schnelles Feststellen, wo die Unterbrechung ist)
dient zum Ermitteln von Paketverlusten bzw. Verzögerungen einer Routingstrecke
Hinweis 0138
Vorgehensweise bei der Fehlersuche
1) Ping auf die Loopbackadresse, um sicherzustellen dass TCP/IP auf dem lokalen Computer installiert und
richtig konfiguriert ist. ping 127.0.0.1
Bei Fehlschlag antwortet der IP-Stapel nicht
(TCP-Treiber beschädigt oder defekter Netzwerkadapter oder ein anderer Dienst hat Konflikt mit IP)
2) Ping auf die IP-Adresse des lokalen Computers,
um festzustellen, dass die richtige IP-Adresse hinzugefügt wurde.
3) Ping auf IP-Adresse des lokalen Standardgateways auführen. Überprüfung, ob man mit einem anderen
Computer kommunizieren kann und ob der Standardgateway erreichbar ist.
4) Ping auf die IP-Adresse eines Remotehosts hinter dem Standardgateway
Kontrolle ob der Computer Hosts außerhalb des eigenen Netzwerksegmentes erreichen kann.
5) Ping auf den FQDN-Hostnamen eines Remotehosts hinter dem Standardgateway.
Kontrolle der DNS-Namensauflösung.
6) Ausführen einer PathPing-Analyse auf einen Remotehost (pathping >IP-Adresse des Remotehosts>),
um die Routerleistung zu überprüfen. Schneller, aber ohne Routerleistungsüberprüfung, geht es mit tracert.
Hinweis 0139
Wenn der Ping auf das Remotesystem über eine Verbindung mit großer Verzögerung (z. B. Satellitenverbindung) erfolgtkönnen die Antworten einige Zeit in Anspruch nehmen.
Mit dem Parameter -w kann ein längeres Timeout angegeben werden.
Mit dem Befehl ping -w 2000 172.16.48.11 wird beispielsweise vor dem Timeout 2 Sekunden gewartet.
Die Standardeinstellung lautet 1 Sekunde (1000 Millisekunden).
Prüfungstipp 0139
Verwenden Sie Tracert, um schnell die Stelle zu bestimmen, an der die im Verbindungspfad zu einem RemoteStandort eine Unterbrechung auftritt.
Pathping ist nützlicher, um bei vorhandener Konnektivität, die Stelle zu finden, an der Paketverluste oder große
Verzögerungen auftreten.
Um heraus zu finden, ob der Datenverkehr wegen einer fehlerhaften Proxy-ARP-anforderung des Routers fehl
schlägt, dann benutzt man das Dienstprogramm ARP.
arp -a
Kontrolle, ob die Computer über die richtigen MAC-Adressen des jeweiligen Gegenübers
verfügen (z.B. nach Austausch einer Netzwerkkarte).
arp -d
Löschen falscher arp-Einträge.
arp -s
Hinzufügen neuer ARP-Einträge
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 14 von 122
Zusammenfassung der Lektion 3.2 0144
- Netzwerkdiagnose ist ein grafisches Tool zur Problembehandlung, das detaillierte Infos über die Netzwerkkonfiguration eines lokalen Computers liefert (Zugriff über Hilfe- und Supportcenter).
- Netdiag ist ein befehlszeilenorientiertes Diagnose-Tool für Tests auf den lokalen Rechner.
- Ping ist gut für Test der Konnektivität auf IP-Ebene und
Pathping ist gut für Ermittlung von Paketverlusten bei Übertragungen über mehrere Abschnitte.
- Problembehandlung einer Verbindung:
Ping auf Loopbackadresse, Ping auf lokale IP-Adresse, Ping auf Standardgateway,
Ping auf IP-Adresse des Remotehost hinter dem Router und
am Ende den Remotehost mir seinem FQDN-Namen anpingen.
- Tracert ist zu verwenden, wenn die Verbindung zu einem Remotecomputer unterbrochen ist.
Es dient dem Nachverfolgen von Datenpaketen von Router zu Router über maximal 30 Abschnitte.
Genaue Ermittlung der Stelle, wo die Unterbrechung der Verbindung erfolgt (welcher Router ausgefallen ist).
- Wenn man einen Ping auf die Loopbackadresse (127.0.0.1), auf die eigene IP-Adresse und
auf das Standardgateway ausführen können, aber keinen Ping auf einen Computer im lokalen Subnetz,
muss anschließend der ARP-Cache auf Fehler überprüft werden.
- Wenn Sie keinen erfolgreichen Ping auf die IP-Adresse eines Computers im lokalen Netzwerk ausführen
können und mit dem Befehl arp -a keine Fehler in den Hardwareadresszuordnungen ermittelt werden,
müssen Sie die physischen Medien wie LAN-Karten, Hubs, Switches, und Kabel nach Fehlern untersuchen.
Zusammenfassung Kapitel 3 0147
- Netzwerkmonitor als Protokollanalyseprogramm benutzt man um böswillige Server, DoS-Angriffe,
offene Ports bei Routern zu ermitteln.
- Ipconfig /all dient dem Abrufen der IP-Adresse, der Subnetzmaske und des Standardgateways und zusätzlich
noch der Daten der einzelnen Netzwerkadapter.
Schlüsselinformationen Kapitel 3 0148
- Mit dem Netzwerkmonitor können Sie Bedrohungen für das Netzwerk erkennen und diagnostizieren,
zum Beispiel böswillige Server und DoS-angriffe.
- Prägen Sie sich die erweiterten Features des Netzwerkmonitors ein, z. B., wie Sie die Puffer- oder
Rahmengröße verändern und wie Sie den Modus aktivieren, in dem das Tool nur Daten aufzeichnet.
- Denken Sie daran, dass Sie für die Problembehandlung einer Verbindung Pings auf andere Hosts in einer
bestimmten Reihenfolge ausführen müssen: die Loopbackadresse, die lokale IP-Adresse, das Standardgateway, die Ip-adresse eines Remotehosts und den Namen (FQDN) eines Remotehosts.
Schlüsselbegriffe Kapittel 3 0149
Parser
Eine DDL, die Nachrichten eines bestimmten Protokolls liest und analysiert, die im Netzwerk
gesammelt werden.
Pathping
Dient als Befehlszeilentool zur Ermittlung von Paketverlusten.
Netdiag
Befehlszeilentool, als Bestandteil der Supporttools auf der Windows Server 2003-DVD, liefert
detaillierte Infos über die Netzwerkkonfiguration des lokalen Computers.
GUID
(Globaly Unique Identifier) Ein 16-Byte-Wert, der aus einer eindeutigen Kennung eines Gerätes,
dem aktuellen Datum und der Uhrzeit sowie einer Sequenznummer generiert wird.
Mit einer GUID kann ein bestimmtes Gerät oder eine bestimmte identifiziert werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 15 von 122
4. Kapitel 4 Konfigurieren von DNS-Servern und -Clients
4.1. Grundlagen der Namensauflösung in Windows Server 2003
Hinweis 0155
Bei NetBIOS handelt es sich eigentlich nicht um ein Namensystem, sondern um eine Schnittstelle zur Anwendungsprogrammierung (Application Programming Interface, API), die in älteren MS-Netzwerken eingesetzt wird
und Computern die Herstellung von Verbindungen und eine Kommunikation ermöglicht.
Benennung und Namensauflösung bilden zwei der Dienste, die von NetBIOS bereitgestellt werden.
Hinweis 0156
Der DNS-Clientdienst wird auch als Auflösung oder Resolver bezeichnet.
Vergleich von NetBIOS- und DNS-Namen
NetBIOS-Computername
Typ
flach
zulässige Zeichen
Unicodezeichen, Zahlen, Leerstellen und
die folgenden Symbole wie:
! @ # $ % ^& ‚ ) ( . - _ {} ~
Maximale Länge
15 Zeichen
Namens-Dienst
WINS
NetBIOS-Broadcast
Datei: Lmhosts
DNS-Computername
hierarisch
A-Z, a-z, 0-9 und der Bindestrich (-).
Der Punkt (.) ist für einen besonderen
Zweck reserviert.
63 Bytes pro Bezeichnung und
255 Bytes pro FQDN
DNS
Datei: Hosts
Prüfungstipp 0158
Nbtstat -c
listet die Namen im lokalen Cache für NetBIOS-Namen auf
Nbtstat -R Leert den lokalen Cache für NetBIOS-Namen
Insidertipp 0158
Auch in Netzwerken, die nicht auf NetBIOS angewiesen sind, kann NetBIOS nur schwer vermieden werden.
Die Bequemlichkeit der broadcastbasierten Namenauflösung (wenn auch nur als Reserve für DNS) oder der
Netzwerksuche über den Knoten Microsoft Windows-Netzwerk kann kaum überboten werden.
Man sollte es aus sicherheitstechnischen Gründen deaktivieren.
Zusammenfassung Lektion 4.1 0162
- In Windows 2003 Server 2003-Netzwerken werden gewöhnlich 2 Arten von Computernamen verwendet:
DNS-Namen und NetBIOS-Namen.
Beide Namenstypen benötigen eigene Mechanismen für die Auflösung in IP-Adressen.
- NetBIOS-Namen und NetBIOS-Protokoll sind für Windows NT-Domänen, Arbeitsgruppen vor Win. 2000
und für die Kompatibilität mit bestimmten Netzwerkdiensten wie dem Computerbrowser erforderlich.
DNS-Namen und das DNS-Protokoll werden für die Aktiv Directory-Domänen und die Kompatibilität mit
dem Internet oder mit Intranets benötigt.
- Zur Auflösung von Computernamen unternimmt der DNS-Clientdienst in Windows Server 2003 zunächst
den Versuch einer DNS-Namensauflösung, bevor er die NetBIOS Namensauflösung einsetzt.
- NetBIOS-Namen und DNS-Namen basieren auf dem Namen, der einem Computer im Dialogfeld Systemeigenschaften zugewiesen wird. Wenn ein Computername zugewiesen wird, der mehr als 15 Zeichen lang ist,
verwendet NetBIOS eine Version des Namens, die auf 15 Zeichen gekürzt ist.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 16 von 122
4.2. Lektion 2 Grundlagen von DNS in Windows Server 2003-Netzwerken
Die Struktur von DNS
Das DNS-Namensystem ist eine hierarchische und logische Baumstruktur, die als DNS-Namenspace bezeichnet
wird. Der DNS-Namenspace enthält einen eindeutigen Stamm (negl. root), der beliebig viele untergeordnete
DNS-Domänen haben kann, die wiederum weitere untergeordnete DNS-Domänen enthalten können.
Jeder Knoten in der DNS-Domänenstruktur kann anhand eines FQDNs eindeutig identifiziert werden.
Die ICANN (Internet Corporation for Assignet Names and Numbers) verwaltet den DNS-Stamm des Internets.
Es gibt drei Formen von Top-Level-Domänen:
Strukturdomänen lassen sich vom Hauptbetätigungsfeld einer Firma herleiten.
Geografische Domänen sind die Domänen, welche mit Länderkennungen benannt wurden (z.B. de. ru.).
Reverse-Domänen sind spezielle Domänen mit der Bezwichnung in-addr.arpa, die für die Zuordnung von
Namen zu IP-Adressen (Reverse-Lookups) verwendet werden.
Wichtig 0165
Die aktuellen Informationen über neue Top-Level-Domänen findet man unter http://www.icann/tlds.
DNS-Server
Sie enthalten DNS-Datenbankinformationen über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur
und verarbeiten Abfragen zur Namensauflösung, die von DNS-Clients übermittelt werden.
Bei einer Abfrage stellen die DNS-Server die angeforderten Informationen bereit, liefern einen Zeiger auf einen
anderen Server, der die Auflösung der Abfrage unterstützen kann, oder melden in einer Antwortnachricht, dass
die Informationen nicht verfügbar oder vorhanden sind.
Ein DNS-Server ist für eine Zone autorisierend, wenn er die Zone entweder als primärer oder als sekundärer
DNS-Server hostet.
Ein DNS-Server ist für DNS-Domäne autorisierend, wenn er nicht mit zwischengespeicherten Informationen,
sondern mit lokal konfigurierten Ressourcebeinträgen arbeitet, um Abfragen über Hosts in dieser DNS-Domäne
zu beantworten. Derartige Server definieren ihren eigenen Abschnitt des DNS-Namenspaces.
DNS-Server können für eine oder mehrere Ebenen der Domänen-Hierachie autorisierend sein.
DNS-Zonen
Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namespaces, für den ein Server autorisierend ist.
Zusammenhängende DNS-Domänen wie .com, kuckuck.com und ups.kuckuck.com können mithilfe der Delegierung in separate Zonen unterteilt unterteilt werden.
Durch die Delegierung wird die Zuständigkeit für eine untergeordnete Domäne innerhalb des DNS-Namenspaces einer eigenständigen Einheit zugewiesen.
Zonendateien enthalten Ressourceneinträge für die Zonen, für die ein Server autorisierend ist.
DNS-Auflösungen
Bei einer DNS-Auflösung (resolver) handelt es sich um den DNS-Clientdienst, der mithilfe des DNS-Protokolls
Informationen von DNS-Servern abfragt.
Ressourceneinträge
Es sind Einträge in der DNS-Datenbank, die zur Beantwortung von DNS-Clientabfragen verwendet werden.
Es gibt folgende Eintragstypen wie Hostadresse (A), Alias (CNAME), Mail-Exchanger (MX), Server (SVR)
und einige mehr.
Prüfungstipp 0170
In der Prüfung sollten Sie den Begriff Rekursion einfach als Kontaktieren anderer DNS-Server durch einen
DNS-Server ansehen, wenn dieser eine Abfrage nicht selbst beantworten kann.
Die Iteration bildet keinen Bestandteil der Prüfung.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 17 von 122
Antworttypen auf Abfragen
Autorisierende Antwort ist eine positive Antwort, die mit gesetztem Autoritätsbit in der DNS-Nachricht an den
Client übermittelt wird. Das Autoritätsbit zeigt an, dass die antwort von einem Server Stammt, der für den
abgefragten Namen direkt autorisierend ist.
Positive Antwort enthält den Ressourceneintrag, der mit dem abgefragten Namen und dem Eintragstyp
übereinstimmt, die in der ursprünglichen Abfragenachricht angegeben sind.
Verweisende Antwort enthält zusätzliche Ressourceneinträge, die in der Abfrage nicht anhand des Namen oder
des Typs angegeben sind. Wird übermittelt, wenn der Rekursionsvorgang vom DNS-Server nicht unterstützt
wird, d.h. z.B. nur Aliase wie www vorliegen und nicht ein A-Eintrag. Der Client kann damit selbst eine
Iteration durchführen.
Negative Antwort vom DNS-Server deutet darauf hin, dass eines von 2 möglichen Ergebnissen eingetreten ist,
während der Server versuchte, die Abfrage zu verarbeiten und mithilfe der Rekursion vollständig und
autorisierend zu beantworten:
- Ein autorisierter Server hat gemeldet, dass der abgefragte Name nicht im DNS-Namespace vorhanden ist.
- Ein autorisierter Server hat gemeldet, dass der abgefragte Name zwar vorhanden ist,
aber keine Einträge des angegeben Typs für diesen Namen verfügbar ist.
Tipp 0173
Sobald Sie einen Eintrag zur Datei Hosts im Ordner %Windir%\System32\Drivers\Etc hinzufügen, wird dieser
umgehend in den DNS-Auflösungs-Cache (DNS-Clientcache) geladen.
Hinweis 0174
Mit dem Konsolenbefehl dnscmd /clearcache dem Verwaltungstool für den DNS-Server von den WindowsSupporttools (Windows Server 2003-CD) kann man den DNS-Servercache löschen.
Der TTL-Wert (Time-to-Live, Gültigkeitsdauer) für die zwischengespeicherten Ressourceneinträge im DNSAuflösungscache und im DNS-Servercache ist standardmäßig 3600 Sekunden groß (1 h).
Das DNS setzt mehrere Stufen der Zwischenspeicherung ein, um die Effizienz und Leistung zu erhöhen.
Falls Abfragen mittels zwischengespeicherter Informationen aufgelöst werden, hat diese Methode den
Nachteil, dass eine Änderung in DNS nicht umgehend an die Clients weitergereicht wird.
Zusammenfassung der Lektion 4.2 0175
- Der DNS-Namenspace ist hierarchisch aufgebaut und basiert auf einem eindeutigen Stamm, der beliebig
viele untergeordnete DNS-Domänen enthalten kann.
- Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namenspaces,
für den ein Server autorisierend ist.
Ein Server kann für eine oder mehrere Zonen autorisierend sein, während eine Zone eine oder mehrere
zusammenhängende DNS-Domänen enthalten kann.
Ein DNS-Server ist erst dann für eine Zone autorisierend, wenn er die Zone entweder als primärer oder als
sekundärer DNS-Server hostet.
Jede DNS-Zone enthält die Ressourceneinträge, die erforderlich sind, um Abfragen bezüglich ihres Abschnitts
des DNS-Namenspaces zu beantworten.
- Der DNS-Clientdienst bzw. die Auflösung unternimmt als erstes den Versuch, Computernamen mithilfe lokal
zwischengespeicherter Informationen aufzulösen, die auch den Inhalt der Datei
%Windir%\System32\Drivers\Etc\Hosts umfassen.
Wenn der Name im Cache nicht gefunden werden kann, fragt die Auflösung (resolver) einen DNS-Server ab.
Wenn der DNS-Server den Namen nicht über seine autorisierenden Einträge oder mithilfe seines lokalen
Caches auflösen kann, setzt er standardmäßig Rekursion ein, um den Namen für den Client aufzulösen.
- Bei der Rekursion handelt es sich um einen Vorgang, bei dem ein DNS-Server andere DNS-Server im Auftrag
des DNS-Clients abfragt.
Um die Rekursion ordnungsgemäß durchzuführen, benötigt der DNS-Server Informationen über den Startpunkt für die Suche nach Namen im DNS-Namensraum.
Diese Informationen werden mit der Datei Cache.dns bereitgestellt,
die auf dem Servercomputer im Verzeichnis %Windir%\System32\dns\ gespeichert ist.
- Ein TTL-Wert ist für alle zwischengespeicherten Ressourceneinträge wirksam.
Solange der TTL-Wert für einen zwischengespeicherten Ressourceneintrag nicht abgelaufen ist, kann dieser
Eintrag weiterhin von einem DNS-Server zur Beantwortung von Anfragen verwendet werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 18 von 122
4.3. Lektion 3 Bereitstellen von DNS-Servern
Hinweis 0177
Alternativ zum Hinzufügen der Funktion DNS-Server (Startmenü -> Serververwaltung => Funktion hinzufügen
oder entfernen) kann der DNS-Serverdienst über das Systemsteuerungsapplet Software installiert werden.
Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, und öffnen Sie die Komponente Netzwerkdienste
und installieren da die Unterkomponente DNS-Server.
Hinweis 0181
Sie können in einem DNS-Namensraum einen Stammserver erstellen, indem Sie eine Zone mit der Bezeichnung
„.“ (nur ein einzelner Punkt) bilden.
Wenn Sie diesen Schritt durchführen, kann der Server nicht mehr für die Rekursion oder die Weiterleitung von
Abfragen an einen anderen Namenserver konfiguriert werden.
Prüfungstipp 0182
Damit Sie die Prüfungsfragen richtig beantworten können, müssen Sie wissen, wie Sie Forward- und auch die
Reverse-Lookupzonen erstellen.
Prozeduren zum Erstellen von Forward-Lookupzonen erkennen Sie daran, dass gefordert wird, dass eine DNSDomäne auf einem bestimmten Server erstellt und gespeichert werden soll.
Prozeduren zum Erstellen von Reverse-Lookupzonen erkennen Sie daran, dass gefordert wird, dass ein DNSServer IP-Adressen in Hostnamen auflösen soll (vorzugsweise für Netzwerkanalyse).
Zonentypen
Primäre Zone stellt als Typ ein autorisierendes, änderbares Exemplar der Zonendaten zur Verfügung.
Sie dienen als Quelle für die Originaldaten, die an andere Zonen übertragen werden können.
Wenn eine primäre Zone als Standardzone konfiguriert ist, ist diese primäre Zone die einzigste primäre Zone für
die Zonendaten.
Wenn Sie eine primäre Zone so konfigurieren, dass sie ihre Daten in Active Directory speichert, können Sie
mehrere primäre Zonen für dieselben Zonendaten erstellen (DNS-Server muss auf einem AD-DC laufen).
Sekundäre Zone stellt ein autorisierendes, schreibgeschütztes Exemplar einer primären Zone oder einer anderen
sekundären Zone zur Verfügung.
Sekundäre Server bieten eine Möglichkeit, den DNS-Abfrageverkehr in Bereiche des Netzwerks zu verlagern, in
denen die Zone sehr häufig abgefragt und verwendet wird.
Zudem stellt ein sekundärer DNS-Server, wenn der primäre Server offline ist, Namensauflöungsdienste in der
Zone bereit, bis der primäre Server verfügbar ist.
Server, von denen sekundäre Server Zoneninformationen abrufen, werden als Master bezeichnet und können
sowohl primäre Server oder sekundäre Server sein.
Sekundäre Server sollten möglichst nahe bei den Clients platziert sein.
Stubzone ist eine Teilkopie einer anderen Zone und enthält nur Ressourceneinträge und enthält ausschließlich
aktuell gehaltene Einträge über DNS-Server für eine autorisierte primäre oder sekundäre Zone.
Standardzonen speichern im Gegensatz zu Active-Directory-integrierten Zonen ihre Daten in Textdateien auf
dem lokalen DNS-Server.
Primäre, sekundäre und Stubzonen werden alle standardmäßig als Standardzonen erstellt.
Bei Standardzonen können Sie nur ein einzigstes änderbares (primäres) Exemplar der Zonendaten konfigurieren.
Das Standardzonenmodel bietet somit eine schlechte Fehlertoleranz, weil aufgrund eines einzigsten Fehlers das
gesamte Namenauflösungssystem für die Zone beeinflusst werden kann. Falls der primäre DNS-Server ausgefallen ist, können keine Änderungen an der Zone vorgenommen werden.
Active-Directory-integrierte Zone speichert ihre Daten in Active Directory und Sie können mehrere änderbare
(primäre) Exemplare der Zonendaten konfigurieren.
Auch werden nur die Änderungen durch das gesamte Active Directory repliziert, statt ganzer Zonendateien Somit hält sich die Netzwerklast sehr in Grenzen.
Es verbessert die Fehlertoleranz, weil standardmässig jeder Domänencontroller in der Domäne ein änderbares
Exemplar der Zonendaten speichert (auch wenn kein DNS-Dienst auf einem DC läuft).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 19 von 122
Server für Zwischenspeicherungen hosten keine Zonen und sind auch für keine DNS-Zone autorisierend.
Die enthaltenen Informationen sind ausschließlich auf die Informationen beschränkt, die bei der Auflösung von
Abfragen zwischengespeichert wurden.
Da keine Zonenreplikation stattfindet, ist er für einen Einsatz bei langsamen WAN-Verbindungen geeignet, da
keine zusätzliche Netzwerklast auftritt. Der Namensauflösungs-Datenverkehr nimmt langsam ab, bis der
Zwischenspeicher einmal erstellt wurde.
Er ermöglicht eine lokale DNS-Funktionalität ohne Verwaltung von DNS-Domänen oder Zonen.
Tipp 0185
Installieren Sie einen Server für Zwischenspeicherungen, wenn Sie den Datenverkehr für die Namensauflösung
über WAN-Verbindungen minimieren müssen, ohne den Datenverkehr für Zonenübertragungen zu erweitern.
Host (A) Eintrag kann auf drei verschiedene Arten erstellt werden:
- Mit Hilfe der DNS-Konsole oder einem Supporttool DnsCmd kann ein A-Ressourceneintrag für ein statischen
TCP/IP-Clientcomputer manuell erstellt werden.
- Computer mit Windows 2000, XP oder Server 2003 verwenden den DHCP-Clientdienst, um die eigenen
A-Ressourceneinträge dynamisch in DNS zu registrieren und zu aktualisieren.
- DHCP-fähige Clientcomputer mit früheren Versionen von MS-Betriebssystemen können einen Proxy
veranlassen, ihre A-Ressourceneinträge zu registrieren und zu aktualisieren, wenn sie ihre IP-Lease von
einem entsprechenden DHCP-Server (Dynamic Host Configuration Protocol) erhalten.
- Beispiel: server1
A
172.16.48.1
Hinweis 0188
Wenn Sie einen Computer mit Ping unter der Angabe einer IP-Adresse, aber nicht eines Namen erreichen, fehlt
in DNS unter Umständen ein A-Ressourceneintrag für diesen Computer oder der DNS-Server ist nicht
erreichbar.
Sollte er erreichbar sein, sollte man beim Clientcomputer (Windows 2000, XP oder Server 2003) den Befehl
ipconfig /registerdns ausführen.
Prüfungstipp 0188
Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie Host (A)-Einträge anlegen.
Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass Benutzer in der Lage
seinen sollen, eine Verbindung zu einer gegebenen Adresse unter Angabe eines bestimmten Namens
herzustellen.
Alias (CNAME)-Ressourceneinträge werden auch als kanonische Namen bezeichnet und ermöglichen die
Verwendung von mehr als einen Namen als Verweis auf einen einzelnen Host (A-Hosteintrag).
Als Einsatzindikatoren wären zu erwähnen:
- Wenn ein Host, der in einem A-Ressourceneintrag derselben Zone angegeben ist, umbenannt werden muss.
- Wenn ein Server ausrangiert wurde, können Sie mithilfe eines CNAME-Eintrags Abfragen,
die an den alten Server gerichtet waren, auf den neuen Server umleiten.
- Wenn ein generischer Name für einen wohlbekannten Server wie www in eine Gruppe einzelner Computer
mit jeweils separaten A-Ressourceneinträgen aufgelöst werden muss, die denselben Dienstbereitstellen
(zum Beispiel eine Gruppe redundanter Webserver).
- Beispiel: ftp
CNAME
server1.cont.de
Prüfungstipp 0189
Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie Alias (CNAME)-Einträge anlegen.
Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass Benutzer in der Lage
sein sollen, eine Verbindung zu einem gegebenen Server unter Angabe von (zwei oder mehr) beliebigen Namen
herstellen (zum Beispiel server1.cont.de und svr1.cont.de).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 20 von 122
MX-Ressourceneinträge werden als Mail-Exchanger-Ressourceneinträge von E-Mail-Anwendungen zum Auffinden eines Mailservers in einer Zone eingesetzt.
Auf diese Weise kann ein Domänenname wie cont.de, der die E-Mail-Adresse [email protected] enthalten ist, dem
A-Ressourceneintrag eines Computers zugeordnet werden, der den Mail-Server für die Domäne cont.de hostet.
In vielen Fällen werden mehrere MX-Einträge erstellt, um Fehlertoleranz und Failover auf andere Mailserver
breit zu stellen, Bei Einsatz von mehreren Mailservern, wird ein Wert für die Serverpriorität verwendet, wobei
der niedrigste Wert dem der höchsten Priorität entspricht ( 1 = höchste Priorität).
- Beispiel: @
MX
1
mailserver1.cont.de
@
MX
10
mailserver2.cont.de
@
MX
20
mailserver3.cont.de
@
MX
30
mailserver4.cont.de
Hinweis 0189
In diesem Beispiel steht das @-Zeichen für den Namen der lokalen Domäne, der in einer E-Mail-Adresse
enthalten ist.
Prüfungstipp 0189
Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie MX-Einträge anlegen.
Sie müssen auch wissen, wie Sie mehrere MX-Einträge mit unterschiedlichen Prioritäten anlegen, wie im obigen
Beispiel gezeigt.
Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass die Mail beim ersten
Versuch an einen bestimmten Mailserver geliefert werden soll, an einen zweiten Mailserver, falls der erste nicht
zur Verfügung steht, und an einen dritten Mailserver, falls der zweite (und der erste) nicht zur Verfügung steht.
Denken Sie daran, dass kleinere Zahlen für eine höhere Serverpriorität stehen.
PTR-Ressourceneinträge werden als Zeiger nur in Reverse-Lookupzonen verwendet, um ReverseLookupvorgänge zu unterstützen, mit deren Abfragen zur Auflösung von IP-Adressen in Hostnamen und
FQDNs durchgeführt werden.
Reverse-Lookups werden in Zonen vorgenommen, deren Stamm die Zone in-addr.arpa bildet.
PTR- Ressourceneinträge werden mit denselben manuellen und automatischen Methoden zu Zonen hinzugefügt,
die auch für die A-Ressorceneinträge eingesetzt werden.
- Beispiel: 1
PTR
server1.cont.de
Hinweis 0190
In diesem Beispiel ist die 1 der Name, der dem Host in der Domäne 172.16.48.in-addr.arpa zugeordnet ist.
Diese Domäne, die auch den Namen der hostenden Zone ist, entspricht dem Subnetzt 172.16.48.0.
Prüfungstipp 0190
Für Simulationsfragen in der Prüfung müssen Sie wissen, wie Sie PTR-Einträge anlegen.
Dass Sie diese Prozedur durchführen sollen, erkennen Sie daran, dass gefordert wird, dass die Adresse eines
gegeben Computers in einen bestimmten Namen aufgelöst werden soll (z. B. 172.16.48.1 in server1.cont.de).
SVR-Ressourceneinträge (Dienstidentifizierung) werden verwendet, um die Position bestimmter Dienste in
einer Domäne anzugeben.
SRV-fähige Clientanwendungen können DNS einsetzen, um die SRV-Ressourceneinträge für bestimmte Anwendungsserver abzurufen.
Windows Server 2003-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung.
Der Anmeldedienst verwendet SVR-Einträge zur Lokalisierung von Domänencontrollern in einer Domäne,
indem die Domäne nach dem LDAP (Lightweight Directory Access Protocol)-Dienst durchsucht wird.
Server, welche Drucker-Dienste hosten, haben keinen SVR-Eintrag sondern einen A-Ressourceneintrag.
Wenn ein Computer einen Domänencontroller in der Domäne cont.de ermitteln muss, sendet der DNS-Client
eine SVR-Abfrage nach dem folgenden Namen: _ldap._tcp.cont.de .
Obwohl die Mehrzahl der SVR-Einträge automatisch erstellt wird, müssen Sie sie unter Umständen über die
Konsole DNS erstellen, um Fehlertoleranzen zu gewährleisten oder Probleme mit Netzwerkdiensten zu beheben:
_ldap._tcp SRV
0 0 389
dc1.cont.de
SRV
10 0 389
dc2.cont.de
In diesem Beispiel ist dem Port 389 auf dem Host dc1.cont.de ein LDAP-Server (Domänencontroller) mit der
Priorität 0 (der höchsten Priorität) zugeordnet.
Ein zweiter DC mit der niedrigeren Priorität 10 ist dem Port 389 auf dem Host dc2.cont.de zugeordnet.
Beide Einträge haben im Feld Gewichtung den Wert 0, so dass kein Lastenausgleichzwischen Servern gleicher
Priorität konfiguriert wurde.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 21 von 122
Tipp 0190
Sämtliche SRV-Einträge, die für einen Active Directory-Domänencontroller erforderlich sind, sind in einer Datei
mit der Bezeichnung Netlogon.dns enthalten, die im Ordner %Windir%\System32\Config gespeichert ist.
Wenn in Ihrer Domäne SVR-Ressourceneinträge fehlen, können Sie sie automatisch neu laden, in dem Sie an
der Befehlszeile den Befehl Netdiag /fix ausführen (Netdiag.exe ist ein Supporttool auf der Windows Server
2003-CD).
Prüfungstipp 0191
Löschen des DNS-Servercaches:
Konsole DNS => Cache löschen
Befehlszeile: dnscmd /clearcache (Supporttools)
Anzeige des DNS-Server-Caches: Ändern des DNS-Ansichtmodus auf erweiterte Ansicht und dann siehe Ordner
zwischengespeicherte Lookupvorgänge.
Zusammenfassung der Lektion 4.3 0197
- DNS-Server sind für die Zonen autorisierend, die sie hosten. Forward-Lookupzonen beantworten Abfragen für
IP-Adressen (DNS-Namen in IP-Adressen), während Reverse-Lookupzonen der Beantwortung von Abfragen
für FQDNs (IP-Adresse in DNS-Namen) dienen.
- Primäre DNS-Zonen speichern die ursprünglichen Quelldateien für Zonen und sind änderbar.
In Windows 2003 können primäre Zonen auf zweierlei Weise implementiert werden:
a) primäre Standardzone, bei der die Zonendaten in einer Textdatei gespeichert werden
b) Aktive-Directory-integrierte Zone, bei der die Zonendaten in einer Acitive Directory-Datenbank abgelegt
werden
- Sekundäre Zonen sind Standardzonen, die schreibgeschützte Kopien der Zonendaten speichern.
Die Server, von denen sekundäre Zonen ihre Zoneninformationen abrufen, werden als Master bezeichnet.
Bei einem Master kann es sich um eine primäre oder eine andere sekundäre Zone handeln.
- Ein Server für Zwischenspeicherungen leitet alle Anforderungen an andere DNS-Zonen weiter und hostet
selbst keine Zonen. Server für Zwischenspeicherungen nehmen jedoch eine Zwischenspeicherung der Antworten vor, die von anderen DNS-Servern empfangen werden, und können daher die Namensauflösung für
ein Netzwerk verbessern, das keine Zone hostet und auch keinen DNS-Replikationsverkehr verursacht
(z. B. bei langsamen WANs).
- Neue Zonen enthalten nur 2 Ressourceneinträge: den Eintrag für den Autoritätsursprung (SOA) entsprechend
der Zone und einen Nameserver (NS)-Eintrag für den lokalen DNS-Server, der für die Zone erstellt wurde.
Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden.
Die am häufigsten hinzugefügten Ressourceneinträge sind Host (A)-, Alias (CNAME)-, MX-, SRV- und
PTR-Einträge.
- Ein eher seltener Ressourceneintrag ist der für eine verantwortliche Person (auf der SOA-Registerseite einer
DNS-Zone), welcher automatisch erstellt wird, wenn man dort eine Person zuordnet: RP.
Der RP-Ressourceneintrag gibt den Namen eines Domänenpostfaches für die verantwortliche Person an.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 22 von 122
4.4 Lektion 4 Konfigurieren von DNS-Clients
Hinweis 0199
Klicken Sie zum anzeigen des Dialogsfeldes Systemeigenschaften mit der rechten Maustaste auf Arbeitsplatz,
und klicken Sie anschließend auf Eigenschaften.
Alternativ können Sie in der Systemsteuerung auf System doppelklicken.
Hinweis 0199
Zeichen für DNS-Computernamen (laut RFC 1123 [Request for Comments]): A-Z, a-z, 0-9 und In der Praxis wird die Groß/Kleinschreibung bei DNS-Namen nicht berücksichtigt.
Muss man auch NetBIOS berücksichtigen, weist man den Computern nur 15 Zeichen zu.
Prüfungstipp 0205
Sie müssen in der Prüfung wissen, welche Bedeutung die DNS-Suffix-Listen haben.
Sie müssen außerdem für die Simulationsfragen in der Lage sein, benutzerdefinierte DNS-Suffixsuchlisten zu
konfigurieren.
Ob Sie diese Prozedur durchführen müssen, erkennen Sie daran, dass gefordert wird, dass die Benutzer in der
Lage sein sollen, Verbindung zu Servern in unterschiedlichen Domänen herzustellen, ohne FQDNs angeben zu
müssen.
Prüfungstipp 0205
Unix basierte DNS-Server mit BIND 8.1.2 oder höher lassen dynamische Updates zu.
Prüfungstipp 0206
Manchmal kommt es vor, dass ein Client seinen DNS-Eintrag nicht automatisch aktualisiert, obwohl das
Kontrollkästchen Adressen dieser Verbindung in DNS-Registrierung verwenden aktiviert ist.
In einem solchen Fall können Sie versuchsweise das Kontrollkästchen DNS-Suffix dieser Verbindung in
DNS-Registrierung verwenden aktivieren, selbst dann, wenn Sie keine verbindungsspezifische Suffixe
konfiguriert werden haben.
Wenn diese Option aktiviert ist, wird der Client meist gezwungen, ein DNS-Update durchzuführen.
Hinweis 0206
Für ICS (Gemeinsame Nutzung der Internetverbindung)-Clients müssen dynamische DNS-Updates auf andere
Weise konfiguriert werden. Wenn DNS-Clients mit Windows 2000, XP oder Server 2003 ihre IP-Konfiguration
von einem Computer mit ICS erhalten, können sie ihre Ressourceneinträge nur dann im DNS aktualisieren, wenn
das Kontrollkästchen DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist.
Ein verbindungsspezifisches Suffix muss nicht angegeben werden.
Stattdessen wird der FQDN mit dem primären DNS-Suffix gebildet.
Prüfungstipp 208
Lernen Sie für die Prüfung folgende DNS-bezogenen Befehle auswendig:
- ipconfig /displaydns
Zeigt den Inhalt des Client-DNS-Caches an.
- ipconfig /flushdns
Löscht den Inhalt des DNS-Client-Caches.
- ipconfig /registerdns
Erneuert alle DHCP-Leases und führt eine erneute Registrierung von
DNS-Namen in DNS-Zonen durch, die für dynamische Updates
konfiguriert sind (nur für Clients mit Windows 2000, XP und Server 2003).
Prüfungstipp 208
Bei der Problembehandlung eines DNS-Problems kommt es gelegentlich vor, den Befehl ipconfig /flushdns
öfters zu verwenden, um bei einem erfolgreichen manuellen Host (A)-Eintrag im DNS die Auflösung richtig zu
testen. Fehlerhafte Zwischenspeicherungen (negative Antwort einer vorherigen Abfrage) werden somit gelöscht.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 23 von 122
Zusammenfassung Lektion 4.4 0212
- Das primäre DNS-Suffix bildet zusammen mit dem Computernamen den vollständigen Computernamen.
- Wenn ein verbindungsspezifisches DNS-Suffix zu einem DNS-Computer- oder Hostnamen hinzugefügt wird,
wird einem bestimmten Adapter auf dem Computer ein FQDN zugewiesen.
Dieses Suffix kann auf der Registerkarte DNS des Dialogfeldes
Erweiterte TCP/IP-Einstellungen konfiguriert werden.
- Wenn Abfragen für nichtqualifizierte Namen übermittelt werden, fügt der DNS-Clientdienst zu diesen
Namen zunächst das primäre Suffix hinzu und sendet anschließend die jeweilige Abfrage.
Wenn diese Abfrage nicht erfolgreich ist, fügt der DNS-Clientdienst zu dem Namen verbindungspezifische
Suffixe hinzu und übermittelt die neue Abfrage.
Ist diese Strategie ebenfalls nicht erfolgreich, fügt der DNS-Cliebtdienst zu dem Namen das übergeordnete
Suffix des primären DNS-Suffix hinzu und übermittelt die letzte Abfrage.
- DNS-Clients mit Windows 2000, Windows XP oder Windows Server 2003 versuchen standardmäßig, ihre
Ressourceneinträge dynamisch in DNS registrieren und zu aktualisieren .
Clients mit einer statischen IP-Adresse aktualisieren sowohl die A- als auch die PTR-Ressourceneinträge.
Clients, denen über DHCP eine IP-Adresse zugewiesen wurde, aktualisieren nur A-Ressourceneinträge.
Das Updaten der PTR-Ressourceneinträge wird vom DHCP-Server vorgenommen.
Um einen DNS-Client zu einer dynamischen Registrierung zu veranlassen, verwenden Sie den Befehl
ipconfig /registerdns (oder starten den Computer neu).
- Geben Sie zur Anzeige des DNS-Clientcaches an der Befehlszeile den Befehl ipconfig /displaydns ein.
Geben Sie zum Löschen des DNS-Clientscaches den Befehl ipconfig /flushdns ein.
Zusammenfassung des Kapitels 4 0215
- In Windows Server 2003-Netzwerken werden zwei Systeme für die Benennung von Computern verwendet:
DNS und NetBIOS.
Zur Auflösung von Computernamen unternimmt der DNS-Clientdienst in Windows Server 2003 zunächst den
Versuch einer DNS-Namensauflösung, bevor er die NetBIOS-Namensauflösung einsetzt.
- DNS-Namen und das DNS-Protokoll werden für Active Directory-Domänen und die Kompatibilität mit dem
Internet oder dem Intranet benötigt. DNS-Hostnamen dürfen höchstes 63 Bytes umfassen.
- Der DNS-Namenspace ist hierarchisch aufgebaut und basiert auf einen eindeutigen Stamm, der beliebig viele
untergeordnete DNS-Domänen enthalten kann.
Ein FQDN ist der Name eines DNS-Hosts in diesem DNS-Namensraum, der die Position des Hosts relativ
zum Stamm der DNS-Domänenstruktur anzeigt (z.B.: host1.subdomain.cont.local).
- Eine DNS-Zone ist ein zusammenhängender Abschnitt eines Namensraumes, für den ein Server autorisierend ist.
Ein Server kann für eine oder mehrere Zonen autorisierend sein, während eine Zone eine oder mehrere
zusammenhängende Domänen enthalten kann.
Ein DNS-Server ist dann für eine Zone autorisierend, wenn er ein primäres oder sekundäres DNS-Exemplar
der DNS-Zone hostet.
- Der DNS-Clientdienst (bzw. die Auflösung) versucht zunächst, die Computernamen mithilfe lokal zwischenengespeicherter Informationen aufzulösen.
Wenn dieser Vorgang erfolglos ist, fragt die Auflösung (Resolver) einen DNS-Server ab.
Wenn der DNS-Server den Namen nicht über seine autorisierenden Einträge oder mithilfe seines lokalen
Caches auflösen kann, setzt er die Rekursion ein, um den Namen für einen Client aufzulösen.
- Bei der Rekursion handelt es sich um einen Vorgang, bei dem ein DNS-Server andere DNS-Server im
Auftrag eines DNS-Clients abfragt.
Um die Rekursion ordnungsgemäß durchzuführen, benötigt der DNS-Server Informationen über den
Startpunkt für die Suche nach Namen im DNS-Namenraum.
Diese Informationen werden mit der Datei für Stammhinweise Cache.dns bereitgestellt, die auf dem
Servercomputer gespeichert ist.
Ein DNS-Server, welcher die „.“-Zone hostet, hat keine Cache.dns Datei mehr und kann somit keine
weiteren Stammserver im Internet finden.
- Ein Server für Zwischenspeicherungen leitet alle Anforderungen an andere DNS-Server weiter und hostet
keine Zonen. Server für Zwischenspeicherungen nehmen jedoch eine Zwischenspeicherung der Antworten
vor, die von anderen DNS-Servern empfangen wurden, und können daher die Namensauflösung für ein
Netzwerk verbessern, das keine Zone hostet
(Indikator: kein Zonenreplikationsverkehr über eine langsame WAN-Strecke).
Um zu sehen, welche DNS-Auflösungen auf einem DNS-Server zwischengespeichert wurden (Server-Cache),
stellt am DNS-Server für Zwischenspeicherungen die Ansicht auf erweiterte Ansicht und schaut dann unter
Zwischengespeicherte Lookupvorgänge nach.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 24 von 122
- Neue Zonen enthalten nur zwei Ressorceneinträge: den Eintrag für den Autoritätsursprung (SOA) entsprechend der Zone und einen Namenserver (NS)-Ressourceneintrag für den lokalen DNS-Server.
Nach dem Erstellen einer Zone müssen weitere Ressourceneinträge hinzugefügt werden, wie z. b.:
Host (A)-, Alias (CNAME)-, MX-, SVR- und PTR-Einträge
- DNS-Clients mit Windows 2000, XP oder Server 2003 versuchen standardmäßig, ihre Ressourceneinträge
dynamisch in DNS zu registrieren und zu aktualisieren.
Clients mit einer statischen IP-Adresse aktualisieren den A- und den PTR-Eintrag.
Clients, denen über DHCP eine IP-Adresse zugewiesen wurde, aktualisieren nur A-Ressourceneinträge.
Das Update der PTR-Einträge wird vom DHCP-Server übernommen.
Um einen DNS-Client zu einer dynamischen Registrierung zu veranlassen, verwenden Sie den Befehl
ipconfig /registerdns oder Sie starten den Computer neu.
- Geben Sie zur Anzeige des DNS-Caches eines DNS-Clients an der Befehlszeile ipconfig /displaydns ein.
Geben Sie zum Löschen des DNS-Caches eines DNS-Clients ipconfig /flushdns an der Konsole ein.
Schlüsselinformationen Kapitel 4 0217
- Das Thema DNS wird in der Prüfung 70-291 am ausführlichsten behandelt. Aus diesem Grund müssen Sie die
die DNS-Konzepte perfekt beherrschen, wenn sie die Prüfung bestehen wollen.
- Lernen Sie die gesamte Schrittfolge bei der Auflösung eines Namen durch den DNS-Clientdienst und die
Funktionen, die der DNS-Clientcache, der DNS-Servercache und die Rekursion jeweils in diesem Prozess
erfüllen.
- Entwickeln Sie ein Verständnis für die Funktion von A-, CNAME-, MX-, NS-, PTR- und SVR-Ressourcen
einträgen.
- Lernen Sie die Unterschiede zwischen primären, sekundären und Stubzonen.
- Lernen Sie die Anwendungsbereiche der folgenden Befehle:
nbtstat -c
listet die Namen im lokalen Cache für NetBIOS-Namen auf
nbtstat -R
leert den lokalen Cache für NetBIOS-Namen
ipconfig /all
Listet allgemine Konfigurationsdaten aller Netzwerkadapter auf (IP-Konfiguration ...)
ipconfig /displaydns
Anzeige des lokalen DNS-Client-Namencaches
ipconfig /flushdns
Löschen des lokalen DNS-Client-Namencaches
ipconfig /registerdns
Erneuert alle DHCP-Leases und führt eine erneute dynamische Registrierung
(A- und PTR-Eintrag) des DNS-Namens eines Clients (Windows 2000, XP
oder Server 2003) in einer DNS-Zone, die für dynamische Updates konfiguriert ist.
- Entwickeln sie ein Verständnis für die verschiedenen Suffixsuchoptionen für DNS-Clients.
- Lernen Sie, welche DNS-Clients in DNS dynamische Updates vornehmen können.
Entwickeln Sie auch ein Verständnis für die Einträge, die DHCP- und Nicht-DHCP-Client standardmäßig
aktualisieren.
Lernen Sie schließlich die Einstellungen, die durch das Dialogfeld Erweiterte TCP/IP-Einstellungen das
Verhalten bei dynamischen Updates geändert werden kann.
- Prägen Sie sich für die Simulationsfragen ein, wie Sie Zonen und Ressourceneinträge unterschiedlicher
Typen konfigurieren. Üben Sie auch, wie Sie DNS-Clientoptionen konfigurieren, zum Beispiel Optionen für
dynamisches Update und DNS-Suffixsuchoptionen.
Schlüsselbegriffe 218
NetBIOS
ist eine API, die in älteren Microsoft-Netzwerken verwendet wird und Computern er
möglicht, Verbindungen herzustellen und Nachrichten auszutauschen.
Benennung und Namensauflösung bilden zwei der Dienste, die von NetBIOS bereitgestellt
werden.
FQDN
vollqualifizierter Domänenname (Fully Qualified Domain Name).
Ein DNS-Name, mit dem ein Computer eindeutig im Netzwerk indentifiziert wird.
Rekursion
ist ein Vorgang, bei dem ein DNS-Server andere DNS-Server abfragt, um im Auftrag
eines Clients einen Namen aufzulösen.
Rekursive Abfrage ist eine Clientabfrage, die vom Server mittels Rekursion verarbeitet werden soll.
Stubzone
ist ein Kopie einer Zone, die nur für die Identifizierung der autorisierenden DNS-Server
für die Masterzone erforderlichen Ressourceneinträge enthält.
Diese Einträge werden laufend aktualisiert.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 25 von 122
5. Kapitel 5 Konfigurieren einer DNS-Infrastruktur
5.1. Lektion 1 Konfigurieren der Eigenschaften von DNS-Servern
Eigenschaften-Registerkarten zum Konfigurieren eines DNS-Servers
Schnittstellen
(Festlegen von lokalen IP-Adressen, zur DNS-Abfragen Überwachung)
Weiterleitungen
(Es Abfragen nach bestimmten DNS-Domänen an bestimmte DNS-Server weitergeleitet)
Erweitert
(Aktivieren/Deaktivieren von Serveroptionen wie Rekursion, Round-Robin, ...)
Stammhinweise
(Anzeige der der Datei welche in %Windir%\System32\Dns\Cache.dns liegt)
Debugprotokollierung (standardmäßig deaktivierte Protokollierung der gesendeten/empfangenen Datenpakete)
Ereignisprotok.
(Spezifizierung, was im Ereignisprotokoll registriert werden soll)
Überwachen
(Überprüfung der DNS-Funktionalität)
Sicherheit
(steht nur zur Verfügung wenn der DNS-Server auch auf einem DC läuft)
Prüfungstipp 0226
Zum Beantworten der Simulationsfragen müssen Sie wissen, wie sie die Überwachungseigenschaften von DNS
konfigurieren, in dem Sie Schnittstellen zum DNS-Server hinzufügen oder entfernen.
Die entsprechenden Fragen erkennen Sie daran, dass gefordert wird, dass ein DNS-Server nur auf Abfragen
reagieren soll, die aus bestimmten Netzwerken stammen (zum Beispiel dem privaten Netzwerk).
Tipp 0227
Um festzulegen, wie lange der Weiterleitungsserver vor einem Timeout auf eine Antwort von einer
Weiterleitung warten soll, geben Sie der Registerkarte Weiterleitungen einen Wert in das Textfeld
Sek. bis zur Zeitüberschreitung der Weiterleitungsabfragen ein. Der Standardwert beträgt 5.
Eine bedingte Weiterleitung ist die Weiterleitung ausgewählter Abfragen, d.h. es wurde für je eine
bestimmte Zone (von mehreren) ein entsprechender DNS-Server ausgewählt (z.B. für Zone cont.de der DNSServer 192.168.2.1 und für die rot.cont.de der DNS-Server 192.168.4.1).
Anwendungsbereiche für Weiterleitungen
- Mehrere interne DNS-Server sollen nicht direkt mit externen Servern kommunizieren, da das Netz über eine
langsame WAN-Verbindung mit dem Internet verbunden ist.
In diesem Falle werden alle DNS-Abfragen über eine Weiterleitung auf einen ganz bestimmten DNS-Server
gebündelt, welcher als einzigster DNS-Server die DNS-Server im Internet abfragt.
Der Servercache dieses bestimmten DNS-Servers wächst rasch bis zu seiner Maximalgröße an und vermindert
somit rasch die Notwendigkeit externer Abfragen.
- Zweiter Einsatzszenario wäre das Ermöglichen von DNS-Clients und DNS-Servern innerhalb einer Firewall
zu ermöglichen, DNS-Namen sicher aufzulösen - ohne das interne Netzwerk für externe Server zugänglich zu
machen.
Hintergrund:
Wenn ein interner DNS-Server oder -Client mittels iterativer Abfragen mit externen DNS-Servern kommu
niziert, müssen die für die DNS-Kommunikation mit allen externen Servern verwendeten Ports normalerweise
über die Feuerwall (z.B. ISA-Server 2006) offen gehalten werden.
Wenn Sie jedoch genau einen DNS-Server innerhalb der Firewall jedoch für das Weiterleiten externer Abfra
gen an eine einzelne DNS-Weiterleitung außerhalb der Firewall konfigurieren und Ports anschließend nur für
diese Weiterleitung öffnen, können Sie Namen auflösen, ohne Ihr Netzwerk für externe Server zugänglich zu
machen.
Prüfungstipp 0228
Falls Ihre Weiterleitungen ausfallen, sollten Sie sie entfernen und Ihre DNS-Server zwingen, rekursiv die
Stammserver abzufragen.
Falls Sie Weiterleitungen konfigurieren und die Stammhinweise entfernen, zwingen sie dagegen ihre DNSServer, für alle nicht aufgelösten Abfragen die Weiterleitung zu benutzen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 26 von 122
Wann bedingte Weiterleitung eingesetzt werden sollte :
Der Begriff bedingte Weiterleitung beschreibt eine DNS-Serverkonfiguration, bei der Abfragen nach
bestimmten DNS-Domänen an bestimmte DNS-Server weitergeleitet werden.
Es hat zwei Vorteile:
Es wird einerseits der Zonenübertragungsverkehr vermieden, die Zonendaten sind auf den aktuellsten Stand und
andererseits die Konfiguration und Wartung vereinfacht ist.
Prüfungstipp: 0230
Bedingte Weiterleitung ist ein Thema, dass Ihnen in der Prüfung 70-291 möglicherweise gleich mehrmals begegnet. Lernen Sie, welchem Zweck sie dient und welche Vorteile sie bietet. Um die Simulationsfragen beantworten
zu können, müssen Sie wissen, wie sie die bedingte Weiterleitung auf der Registerkarte Weiterleitungen des
Eigenschaftendialogfelds des DNS-Servers konfigurieren.
Sie erkennen solche Simulationsfragen daran, dass gefordert wird, dass Namensauflösungsanforderungen für
eine bestimmte Domäne (z. B. rot.cont.de) von einem Server in dieser Domäne aufgelöst werden soll oder kein
Zonenübertragungsverkehr über WAN (Wide Area Network)-Verbindung laufen soll.
Beispielszenario für bedingte Weiterleitung:
DNS-Server, welcher die Zone contoso.com hostet, leitet alle Abfragen nach fabrikam.com zum dortigen DNSServer und alle anderen externen Abfragen gehen zu einem DNS-Server außerhalb der Firewall.
DNS-Server, welcher die Zone fabrikam.com hostet, leitet alle Abfragen nach contoso.com zum dortigen DNSServer und alle anderen externen Abfragen gehen zu einem DNS-Server außerhalb der Firewall oder zum ISP
des Fabrikam-Unternehmens.
Zwischen beiden Zonen gibt es keinen Zonenübertragungsverkehr.
Vorteile des Deaktivierens der Rekursion:
Auf der Registerkarte Erweitert kann die Rekursion für alle Abfragen deaktiviert werden, die unter Angabe einer
Domäne durchgeführt werden (Haken weg bei „Rekursionsvorgang (und Forwarder) deaktivieren“).
Somit wird die Antwortzeit für Abfragen, die für die Weiterleiterleitung konfiguriert wurden, auf die
unausweichliche Antwortnachricht über einen Fehlschlag der Abfrage reduziert.
Wenn Weiterleitungen in dieser Weise in Verbindung mit einer Deaktivierung der Rekursion konfiguriert
werden, wird der lokale DNS-Server als Slave-Server, da er für Abfragen, die nicht lokal aufgelöst werden
können, vollständig auf die Weiterleitung angewiesen ist.
Hinweis 0231
Verwechseln Sie nicht den Begriff Slave-Server nicht mit dem Begriff Slave-Zone, der in einigen DNS-Implementierungen verwendet wird.
Hinweis 0231
Während auf der Registerkarte Weiterleitungen die Rekursion für ausgewählte Abfragen für Domänen konfiguriert werden kann, in den Weiterleitungen eingesetzt werden,
kann auf der Registerkarte Erweitert die Rekursion für alle Abfragen deaktiviert werden, die den lokalen
Server erreichen.
Hinweis 0232
Wenn die Rekursion auf einen DNS-Server mithilfe der Registerkarte Erweitert deaktiviert wird, können
Weiterleitungen auf diesem Server nicht mehr verwendet werden, und die Registerkarte Weiterleitungen steht
nicht mehr zur Verfügung!!!
Prüfungstipp 0232
Sie müssen für die Prüfung die Themen Stammhinweise und Stammserver beherrschen, da sie sowohl in
Multiple-Choise- als auch in Simulationsfragen vorkommt.
Neben den bisher beschriebenen Informationen müssen Sie auch wissen, dass Sie einen DNS-Server in einen
Stammserver verwandeln, wenn Sie eine Zone namens „.“ (nur ein einzelner Punkt)zu diesem DNS-Server
hinzufügen.
Und in diesem Fall leitet der DNS-Server überhaupt keine Abfragen weiter und führt auch keine Rekursion für
externe Namen durch. Wenn Sie auf diese Weise einen Stammserver konfigurieren, können Clients im
Allgemeinen nicht mehr auf das Internet zugreifen.
Benutzer können aber weiterhin im Web surfen, wenn ein Web-Proxyserver, zum Beispiel ein Internet Security
and Acceleration (ISA)-Server, im Netz bereitgestellt und die Browser so konfiguriert wurden, dass sie auf den
Proxy Verweisen.
Bei einen sehr großen privaten Namenspace kann man eigene Stammserver in die Cache.dns eintragen und die
Internetstammserver löschen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 27 von 122
Hinweis 0233
Im Abstand von einigen Jahren wird die Liste der Stammserver im Internet regelmäßig leicht geändert.
Da in der Datei %Windir%\System32\DNS\Cache.dns bereits recht viele Stammserver enthalten sind, die
kontaktiert werden können, ist es nicht notwendig, die Datei für Stammhinweise bei jeder einzelnen Änderung
anzupassen.
Die aktuellste Version der Datei können Sie bei InterNIC unter ftp://internic.net/domain/named.cache
herunterladen.
Zusammenfassung der Lektion 5.1 0242
- Auf der Registerkarte Schnittstellen des Eigenschaftsdialogfeldes eines DNS-Servers können die IPAdressen des lokalen Computers angegeben werden, die der DNS-Server auf DNS-Anforderungen
überwachen soll.
- Auf der Registerkarte Weiterleitungen des Eigenschaftendialogfeldes eines DNS-Servers können die
DNS-Abfragen, die vom lokalen DNS-Server empfangen werden, an übergeordnete DNS-Server,
die so genannten Weiterleitungen, weitergereicht werden.
Auf dieser Registerkarte kann auch die Rekursion für ausgewählte, unter Angabe der ausgewählten Domäne
deaktiviert werden.
- Wenn ein DNS-Server innerhalb der Firewall für das Weiterleiten externer Abfragen an eine einzelne DNSWeiterleitung außerhalb der Firewall konfiguriert wird und Ports anschließend nur für diese Weiterleitung
geöffnet werden, können Namen aufgelöst werden, ohne das Netzwerk für externe Server zugänglich zu
machen.
- Die Registerkarte Stammhinweise bietet eine einfache Methode zur Änderung des Inhalts der Datei
Cache.dns.
Wenn Sie Ihren DNS-Server zur Auflösung von Internetnamen einsetzen, müssen diese Einträge in der Regel
nicht geändert werden.
Wenn der DNS-Server jedoch nur für die Beantwortung von Hosts in einem separaten und privaten DNSNamensraum genutzt wird, sollten diese Stammhinweise geändert werden, damit sie auf die Stammserver
in Ihrem Netzwerk verweisen.
Fungiert der DNS-Server schließlich als Stammserver (mit der Bezeichnung „.“) Ihres privaten Namenspaces,
sollte die Datei gelöscht werden.
- Auf der Registerkarte Überwachen des Eigenschaftendialogfeldes eines DNS-Servers kann die
DNS-Basisfunktionalität mit zwei einfachen Tests überprüft werden:
einer einfachen Abfrage auf den lokalen DNS-Server und einer rekursiven Abfrage an die DNS-Stammserver.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 28 von 122
5.2. Lektion 2 Konfigurieren von Zoneneigenschaften und -übertragungen
Eigenschaften-Registerkarten zum Konfigurieren einer Zone
Allgemein
(Anhalten, Typ Ändern, Zonendateiname, dynamische Updates und Alterung)
Autoritätsursprung (Seriennummer inkrementieren, primärer Server, verantwortliche Person,
(SOA)
Aktualisierungsintervall, Wiederholungs-, Läuft ab nach, Maximum TTL und TTL)
Namenserver
(enthält autorisierende Nameserver Einträge für eine Zone)
WINS
(WINS-Forward-Lookup verwenden, WIN-Server-IP-Adressen, TTL)
Zonenübertragungen (Einschränkung von Zonendatenübertragungen auf bestimmte sekundäre Server)
Prüfungstipp 0245
Es gibt mehrere Punkte, die Sie für die Prüfung 70-291 über Active-Directory-integrierte Zonen merken müssen.
Erstens sollten Sie wissen, wie sie konfiguriert werden.
Zweitens sollten Sie sich einprägen, Dass Sie Active Directory-integrierte Zonen nur auf DNS-Servern implementieren können, die auch Domänencontroller sind.
Drittens ermöglichen sie es, DNS-Daten automatisch über das gesamte Active Directory zu replizieren.
Somit können Sie darauf verzichten, sekundäre Server einzurichten.
Viertens verringern Sie den Zonentransferverkehr, weil nur aktualisierte Einträge (im Gegensatz zu gesamten
Zonen) über das Active Directory repliziert werden.
Fünftens bieten die Active Directory-integrierte Zonen die Möglichkeit, sichere dynamische Updates durchzuführen.
Tipp 0246
Um einen primären DNS-Standardserver zu migrieren, konfigurieren Sie einen sekundären Server, übertragen
die Zone auf diesen Sekundären Server und stufen ihn anschließend zu einem primären DNS-Server herauf.
Nach dem Heraufstufen des sekundären DNS-Serverskann der ursprüngliche Server gelöscht werden.
Planung 0246
Weil Active-Directory-integrierte Zonen so viele Vorteile (kein separater Mechanismus für Zonenübertragungen,
Fehlertoleranz durch Masterreplikation, schonender Umgang mit Netzwerkressourcen, da nur Änderungen
repliziert werden und sichere Updates) bieten, sollten Sie Ihre DNS-Server nach Möglichkeit auf
Domänencontrollern bereitstellen.
Anwendungsverzeichnispartitionen und DNS-Replikation
Eine Anwendungsverzeichnispartition ist eine Verzeichnispartition, die auf eine bestimmte Untermenge von Domänencontrollern mit Windows Server 2003 repliziert wird.
- Vordefinierte Anwendungsverzeichnispartition Für DNS sind in jeder AD-Domäne zwei vordefinierte
Anwendungsverzeichnispartitionen, nämlich die DomainDnsZones und die ForestDnsZones.
Wenn Sie im Dialogfeld Bereich der Zonenreplikation ändern die Option
Auf allen DNS-Servern in der Active Directory-Gesamtstruktur aktivieren,
werden die DNS-Zonendaten in der Anwendungsverzeichnispartition ForestDNSZones gespeichert.
Wenn Sie dagegen die Option Auf allen DNS-Servern in der Active Directory-Domäne aktivieren,
wählen Sie die Speicherung der DNS-Zonendaten Anwendungsverzeichnispartition ForestDNSZones
aus.
- Erstellen benutzerdefinierter Anwendungsverzeichnispartitionen Man kann sie wie folgt erstellen:
Mitglied der Organisations-Admins sein.
dnscmd [servername] /createdirectorypartition FQDN
(Partitionserstellung)
dnscmd servername /enlistdirectorypartition FQDN
(Hinzufügen weiterer DNS-Server)
dnscmd server1 /createdirectorypartition SpezialDNS.cont.de
(Erstellung der Anw-Verz-Partition
SpezialDNS auf dem Server: server1)
dnscmd server2 /enlistdirectorypartition SpezialDNS
(Aufnehmen des DNS-Servers: server2
in die Anw.-Verz.-P. SpezialDNS)
Die Option Auf allen Domänencontrollern, die im Bereich der folgenden Anwendungsverzeichnispartition ist nur verfügbar, wenn im Netzwerk mindesten eine benutzerdefinierte Anwendungsverzeichnispartition für DNS vorhanden ist.
- Replikation mit Windows 2000 Servern
Da Anwendungsverzeichnispartitionen auf Windows 2000-Domänencontrollern nicht zur Verfügung stehen,
müssen Sie im Dialogfels Bereich der Zonenreplikation ändern die dritte Option aktivieren, damit die
Zonendaten von DNS-Servern mit Windows 2000 gelesen werden können.
- Bei aktivierter vierter Option Auf allen Domänencontrollern in der Active Directory-Domäne werden
die Daten nicht nur auf alle DNS-Server repliziert, die auch als DCs fungieren, sondern auf alle Domänencontroller, ohne zu berücksichtigen, ob es sich dabei auch um DNS-Server handelt.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 29 von 122
Anzeige der Anwendungsverzeichnispartitionen
Die Anwendungsverzeichnispartitionen werden wie folgt angezeigt:
Hinweis: 0248
Wenn eine der beiden Anwendungsverzeichnispartitionen gelöscht oder beschädigt wird, können Sie sie in der
Konsole DNS neu erstellen, indem Sie mit der rechten Maustaste auf den Serverknoten klicken und
anschließend auf Standard-Anwendungs-Verzeichnispartitionen erstellen klicken.
Prüfungstipp 0249
Gehen Sie davon aus, dass die Konzepte im Zusammenhang mit Anwendungsverzeichnispartitionen sowie
Optionen im Dialogfeld Bereich der Zonenreplikation ändern Bestandteil der Prüfung sind.
Damit Sie auf Simulationsfragen vorbereitet sind, sollten Sie auch üben, wie den Bereich der Zonenreplikation
einstellen.
Praxistipp 0251
Hosteinträge per Hand hinzufügen.
Auch wenn für eine bestimmte Zone dynamische Updates aktiviert sind, ist unter Umständen manchmal nötig,
Hosteinträge von Hand zur Zone hinzufügen.
Nehmen wir z. B. an, ein Unternehmen namens Cont benutzt den Domänennamen cont.de sowohl für seinen
öffentlichen Namensraum als auch für seine interne Active Directory-Domäne.
Server-Szenario:
NS.cont.de und www.cont.de sind als öffentliche Server außen vor der Firewall und
dns1.cont.de, dc.cont.de und web.cont.de als interne Server hinter der Firewall im privaten Netzwerk cont.de
aufgestellt.
In diesem Fall liegt der öffentliche Webserver mit dem Namen www.cont.de außerhalb der Active DirectoryDomäne.
Updates führt er nur auf dem öffentlichen DNS-Server aus, der für cont.de autorisierend ist.
Interne Client richten ihre DNS-Abfrage dagegen an die interne DNS-Server.
Weil der A-Eintrag für www.cont.de auf diesen internen DNS-Servern nicht dynamisch aktualisiert wird, muss
der Eintrag von Hand hinzugefügt werden.
Nur dann können interne Clients den Namen auflösen und eine Verbindung zum öffentlichen Webserver
herstellen.
Auch wenn Sie einen alten UNIX-DNS-Server im Netz haben, müssen Sie möglicherweise Hosteinträge von
Hand eintragen (Clients und Server).
Auslöser für dynamische Updates.
- Im Dialogfeld Eigenschaften von Internetprotokoll (TCP/IP) wird eine IP-Adresse hinzugefügt, entfernt
oder geändert.
- Auf dem DHCP-Server wird eine IP-Adresslease für eine der auf dem lokalen Computer installierten Netzwerkverbindungen geändert oder erneuert.
Diese Situation tritt zum Beispiel ein, wenn der Computer gestartet oder der Befehl ipconfig /renew verwendet wird.
- Auf einem DNS-Clientcomputer wird der Befehl ipconfig /registerdns eingesetzt, um manuell eine Aktualisierung der Clientnamensregistrierung in DNS zu veranlassen.
- Der DNS-Client wird eingeschaltet.
- Ein Mitgliedsserver in der Zone wird zu einem Domänencontroller heraufgestuft.
Prüfungstipp 0253
Damit Sie auf Simulationsfragen vorbereitet sind, sollten Sie üben, wie Sie sichere dynamische Updates für
eine Zone obligatorisch machen.
Sie erkennen solche Fragen daran, dass gefordert wird, dass nur autorisierte Clientcomputer DNS-Updates
durchführen dürfen oder ein Computer nicht in der Lage sein darf, den Eintrag im Auftrag eines anderen
Computer zu überschreiben.
Hinweis 0253
Nur Clients mit Windows 2000, XP oder Windows Server 2003 können dynamische Updates an einen DNSServer senden.
Für Windows NT, Windows 95/98/Me stehen dynamische Updates generell nicht zur Verfügung.
Bei entsprechender Konfiguration des Servers (z.B. ein DHCP-Server) jedoch dynamische Updates im Auftrag
anderer Clients durchführen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 30 von 122
Sichere dynamische Updates und die Gruppe DnsUpdateProxy
Wenn in einer Zone sichere dynamische Updates erforderlich sind, kann ein Ressourceneintrag nur von seinem
Besitzer aktualisiert werden (der Besitzer eines Eintrages ist der Computer, der den Eintrag ursprünglich
registriert hat).
Fügen Sie zur Sicherheitsgruppe DnsUpdateProxy die DHCP-Server hinzu, die Einträge im Auftrag anderer
Computer (oft Windows 95/98/Me-Clients) registrieren.
Mitglieder dieser Gruppe werden daran gehindert, das Besitzrecht an den Ressourceneinträgen zu
übernehmen , die sie in DNS aktualisieren.
Dieses Verfahren lockert daher die Sicherheit der jeweiligen Einträge, bis sie durch den wahren Besitzer
registriert werden können.
Prüfungstipp 0253
Sie sollten die Bedeutung der Gruppe DnsUpdateProxy kennen, wenn Sie die Prüfung 70-291 ablegen wollen.
Hinweis 0255
Wenn Alterung und Aufräumvorgänge für eine Zone aktiviert sind, können Zonendateien nicht von DNSServern mit einem Prä-Windows 2000-Betriebssystem gelesen werden.
Tipp 0255
Wenn Sie das Intervall für Nichtaktualisierung oder das Aktualisierungsintervall (Zeitspanne nach dem Intervall
für Nichtaktualisierung) ändern, müssen Sie unbedingt darauf achten, dass das Aktualisierungsintervall nicht
kleiner sein darf als das Intervall für Nichtaktualisierung.
Standardintervall für Nichtaktualisierung beträgt 7 Tage.
Standardaktualisierungsintervall beträgt 7 Tage.
Prüfungstipp 0255
Bereiten Sie sich auf Simulationsfragen vor, in denen Sie Alterung und Aufräumvorgang für eine Zone konfigurieren müssen.
Zum Beispiel könnte eine Frage die Anforderung enthalten, dass Hosts ihre Einträge nur alle 12 Tage
aktualisieren sollen.
In diesem Fall müssen Sie erkennen, dass sich diese Anforderung auf das Intervall für Nichtaktualisierung
bezieht.
Und wenn Sie eine Anforderung lesen, dass Einträge, die 20 Tage lang nicht aktualisiert wurden, aus der Zonendatenbank gelöscht werden sollen, müssen Sie erkennen, dass es um die Summe aus Intervall für Nichtaktualisierung plus Aktivierungsintervall geht. Falls Das Intervall für Nichtaktualisierung 8 Tage beträgt,
muss das Aktivierungsintervall also auf 12 Tage gesetzt werden, damit die Anforderungen erfüllt wird.
Denken Sie unbedingt daran, Alterung und Aufräumvorgang sowohl auf Zonen- als auch auf Serverebene zu
aktivieren.
Prüfungstipp 0257
Wenn Sie die Schaltfläche Inkrement auf der SOA-Registerkarte anklicken, erzwingen Sie einen DNSZonentransfer.
Tipp 0257
Durch das Vergrößern des Aktualisierungsintervalls (Standard 15 Minuten) wird der Datenverkehr für ZonenÜbertragungen reduziert.
Prüfungstipp 258
Machen Sie sich mit allen Einstellungen und Konzepten im Zusammenhang mit der Registerkarte
Autoritätsursprung (SOA) eingehend vertraut.
Seriennummer:
beginnt mit 1 und wächst mit jeder Änderung um 1
Primärer Server:
vollständiger Computername mit einem Punkt am Ende (ganz rechts)
Verantwortl. Person:
Verwaltet diese DNS-Zone, erzeugt einen RP-Ressourceneintrag
(Domänen-Mail-Adresse)
Aktualisierungsintervall:
Standardzeit = 15 Minuten
Wiederholungsintervall:
Standardzeit = 10 Minuten
Läuft ab nach:
Standardwert = 1 Tag
Minimum TTL (Standard):
Standardwert = 1 Stunde
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 31 von 122
Hinweis 0259
Jede Zone muss im Zonenstamm mindestens einen NS-Ressourceneintrag enthalten.
Hinweis 0259
In primären Zonen sind Zonenübertragungen nur für Server zulässig, die auf der Registerkarte Namenserver
angegeben sind.
Diese Einschränkung wurde mit Windows Server 2003 neu eingeführt.
Prüfungstipp 0260
Für die Prüfung 70-291 müssen Sie die Optionen für WINS-Lookupvorgänge kennen.
Wenn Sie für eine Forward-Lookupzone WINS-Lookupvorgänge konfigurieren, wird zur Zonendatenbank ein
WINS-Ressourceneintrag hinzugefügt, der auf den WINS-Server verweist, der auf der Registerkarte WINS
angegeben ist.
Wenn Sie für eine Reverse-Lookupzone WINS-R-Lookupvorgänge konfigurieren, wird zur Zonendatenbank ein
entsprechender WINS-R-Ressourceneintrag hinzugefügt.
Sie können die Redundanz erhöhen, indem Sie zwei Einträge hinzufügen, die auf unterschiedliche WINS-Server
verweisen.
Prüfungstipp 0261
Prägen Sie sich für die Simulationsfragen die Prozedur zum Konfigurieren der Zonentransfers ein.
Lernen Sie die Unterschiede zwischen den drei Zonentransferoptionen.
Insidertipp 0261
In Windows 2000 war die Standardeinstellung auf der Registerkarte Zonenübertragungen für primäre Zonen
so eingerichtet, dass Übertragungen an alle (DNS) Server möglich waren, was jedoch eine unnötige
Sicherheitslücke war.
Warum sollten Sie auch jeder Person, die auf Ihren DNS-Server zugreifen kann, die Einrichtung eines sekundären DNS-Servers und somit eine genaue Durchsicht der Ressourceneinträge Ihres Netzwerkes ermöglichen?
Die standardmäßige Einschränkung der Zonenübertragung ist hingegen wesentlich eleganter (Nur an Server, die
in der Registerkarte „Namenserver“ aufgeführt sind).
Sie ermöglicht das Unterbinden nicht autorisierter Kopiervorgänge von Zonendaten.
Bei aktivierten Zonenübertragungen werden standardmäßig alle Server, die auf der Registerkarte
Namenserver aufgeführt sind, automatisch über Zonenänderungen informiert.
Prüfungstipp 0261
Prägen Sie sich für die Simulationsfragen die Prozedur zum Aktivieren von Benachrichtigungen an andere DNSServer in einer Zone ein.
Solche Fragen erkennen Sie daran, dass gefordert wird, dass Änderungen in einer Zone sofort in allen
sekundären Zonen aktualisiert werden sollen.
Denken Sie auch daran, dass Sie für Active-Directory-integrierte Zonen keine Benachrichtigungen zu
konfigurieren brauchen (Replikation alle 15 Minuten).
Benachrichtigung und Einleitung der Zonenübertragung
- Aktualisierungsintervall des SOA-Ressourceneintrages der primären Zone ist abgelaufen *
- Start eines sekundären Servers. *
- Änderung der Konfiguration des primären DNS-Servers.
* = Der sekundäre DNS-Server leitet die SOA-Abfrage ein, um festzustellen ob sich die Zonendaten geändert
haben. Übertragungen finden nur statt, wenn die Zonendatenbank geändert wurde.
IXFR
inkrementelle Zonenübertragungen (sek. Server startet diese Abfrage an den Master-Server)
Standard bei Windows Server 2003
Windows NT DNS-Server unterstützen nicht IXFR.
AXFR vollständige Zonenübertragung (sek. Server startet diese Abfrage an den Master-Server)
Wird unterstützt von Windows Server 2003- und NT-DNS-Servern.
Vorgang der Übertragungsabfrage zwischen einen sekundären und einem Master-Server
1. Zielserver (Sek. Server) macht SOA-Abfrage für die Zone an den QuellServer (Master-Server)
2. Quellserver antwortet auf diese SOA-Abfrage mit Zonenstatus-Übermittlung an Zielserver
3. Zielserver macht eine IXFR- oder AXFR-Abfrage für die Zone an den Quellserver
4. Antwort vom Quell-Server auf IXFR- oder AXFR-Abfrage (Zonentransfer)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 32 von 122
Wichtig 0262
In Active-Directory-integrierten Zonen müssen Zonenübertragungen oder die Benachrichtigung unter
Domänencontrollern oder DNS-Servern nicht konfiguriert werden.
Für die Server in diesen Zonen werden Übertragungen automatisch durchgeführt (alle 15 Minuten).
Prüfungstipp 0263
Sie sollten das Thema sekundäre Zonen sicher beherrschen, bevor Sie die Prüfung 70-291 ablegen.
Sie können damit rechnen, dass Sie eine Simulationsabfrage bekommen, in der Sie eine sekundäre Zone
konfigurieren müssen.
Sie erkennen Fragen zu sekundären Zonen daran, dass gefordert wird, dass die Namensauflösungen lokal
stattfinden oder der Namensauflösungsverkehr über eine WAN-Verbindung minimiert werden soll.
Eine andere Möglichkeit: Es wird gefordert, dass ein vollständiges Exemplar der Zone auf dem DNS-Server
gespeichert werden soll.
Zusammenfassung Lektion 5.2 0267
- Wenn ein DNS-Server auf einem Domänencontroller eingerichtet wird, können die Zonendaten in der
Active-Directory-Datenbank gespeichert werden.
Durch Active-Directory-integrierte Zonen wird der Datenverkehr für Zonenübertragungen minimiert, die
Sicherheit erhöht, der Verwaltungsaufwand reduziert und eine höhere Fehlertoleranz erreicht.
Zonendaten können so konfiguriert werden, dass
sie auf alle DNS-Server in der Active Directory-Gesamtstruktur,
auf alle DNS-Server in der Active Directory-Domäne,
auf alle Domänencontroller in der Active Directory-Domäne oder
auf alle Server repliziert werden, die in einer benutzerdefinierten Anwendungsverzeichnispartition aufgeführt sind.
- Wenn in einer DNS-Zone dynamische Updates zugelassen sind, können bestimmte DNS-Clients ihre
Ressourceneinträge auf einem DNS-Server registrieren und aktualisieren.
Wenn in der Zone sichere dynamische Updates erforderlich sind, kann ein Eintrag nur von seinem Besitzer
aktualisierte werden.
Sichere dynamische Updates können nur in Active-Directory-integrierten Zonen vorgeschrieben werden.
Client-Computer mit Windows 2000, Windows XP und Server 2003 können dynamische Updates vornehmen.
- Die Gruppe DnsUpdateProxy wird in der Regel für DHCP-Server eingesetzt, die dynamische DNSUpdates im Auftrag anderer Computer durchführen.
Mitglieder dieser Gruppe übernehmen nicht das Besitzrecht an den Ressourceneinträgen, die sie in DNS
registrieren.
Diese Einschränkung verhindert Probleme mit Zonen, in denen nur sichere dynamische Updates zugelassen
sind.
- Auf der Registerkarte Autoritätsursprung (SOA) können der SOA-Ressourceneintrag der Zone und
verschiedene Parameter konfiguriert werden, die Zonenübertragungen betreffen, z.B. Aktualisierungsintervall, Wiederholungsintervall, Lauft ab nach und Minimum TTL (Standard).
- Auf der Registerkarte Zonenübertragung können die Übertragungen von der aktuellen Zone gesteuert
werden.
Zonenübertragungen sind entweder vollständig deaktiviert oder auf die Server beschränkt, die auf der
Registerkarte Namenserver angegeben sind.
Die Art dieser Einschränkung hängt vom Zonentyp und der Methode ab, mit der der DNS-Server installiert
wurde.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 33 von 122
5.3. Lektion 3 Konfigurieren der erweiterte Eigenschaften von DNS-Servern
Standardeinstellungen für die DNS-Installation
Eigenschaft
Rekursionsvorgang (und Forwarder) deaktivieren
BIND-Sekundärzonen
Beim Laden unzulässiger Zonendaten fehlschlagen
Round-Robin aktivieren
Netzwerkmaskenanforderungen aktivieren
Cache vor Beschädigungen sichern
Namensüberprüfung
Zonendaten beim Start laden
Aufräumvorgang bei veralteten Einträgen automatisch aktivieren
Einstellung
Deaktiviert
Aktiviert
Deaktiviert
Aktiviert
Aktiviert
Aktiviert
MultiByte (UTF8)
von Active Directory und Registrierung
deaktiviert (bei Aktivierung ist
Konfiguration erforderlich)
Für die meisten Situationen sind diese Installationsstandardwerte akzeptabel und erfordern keine Änderung.
Prüfungstipp 0270
Wenn Sie die Prüfung 70-291 ablegen wollen, sollten Sie mindestens mit den Optionen Rekursionsvorgang
(und Forwarder) deaktivieren, Round-Robin aktivieren und Netzwerkmaskenanforderung aktivieren
vertraut sein.
Warnung 0271
Wenn die Rekursion auf einen DNS-Server mithilfe der Registerkarte Erweitert deaktiviert wird, können
Weiterleitungen auf diesen Server nicht mehr verwendet werden und die Registerkarte Weiterleitung steht
nicht mehr zur Verfügung
Prüfungshinweis 0271 (eigener)
Soll der lokale DNS-Server nur Ressourceneinträge für den privaten Namenspace enthalten, aber die Clients
Internetnamen auflösen können, muss die Option Rekursionsvorgang (und Forwarder) deaktivieren
aktiviert werden.
Die Clients bekommen dann vom DNS-Server die Verweise, mit deren Hilfe sie dann selber iterative Abfragen
für die Auflösung der Internetnamen durchführen können.
Hinweis 0271
BIND ist eine verbreitete DNS-Implementierung, die auf den meisten Versionen des UNIX-Betriebs portiert
wird. Aktuellste Version: BIND 9.3.2
Hinweis 0272
Bei der Option Netzwerkmaskenanforderung aktivieren wird bei multigehosteten (multihomed) Servern
den Clients zuerst die IP-Adresse vom betreffenden Server mitgeteilt, in dessen Subnetz auch der Client ist.
Beispiel 0272
Priorität des lokalen Netzwerk: svr1.cont.de
svr1 IN A 192.168.2.1
svr1 IN A 10.0.2.1
svr1 IN A 172.16.20.1
Client mit IP-Adresse 192.168.2.31 bekommt vom DNS-Server für die Abfrage svr1.cont.de die IP-Adresse
192.168.2.1 als Antwort wieder, da der DNS-Server festgestellt hat, dass der Client die gleiche Netzwerkkennung wie 192.168.2.1 hat (192.168.0.0).
Hinweis 0274
Die Netzwerkmaskenanforderung hat bei mehrfach vernetzten Computern (z.B. Web-Servern) Vorrang vor
der Round-Robin-Rotation.
Eine aktivierte Round-Robin-Rotation wird jedoch als nach geordnete Sortiermethode für mehrere Einträge, die
in einer Antwortliste übermittelt werden.
Bei einer Deaktivierung der Round-Robin-Rotation übermittelt der DNS-Server die übereinstimmenden A-Ressourceneinträge immer in der Reihenfolge, in der diese Einträge in der Zone vorliegen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 34 von 122
Cache vor Beschädigungen sichern ist standardmäßig aktiviert und bewirkt, dass der DNS-Server seinen
DNS-Cache vor Verweisen schützt, die möglicherweise schädigend oder nicht sicher sind.
Zudem führt der Server eine Zwischenspeicherung dann nur für Einträge durch, deren Namen der Domäne dem
des ursprünglich abgefragten Namen entsprechen.
Beispiel 0275
Wenn eine Abfrage zum Beispiel ursprünglich für svr1.cont.de ausgeführt wurde und auf eine verweisende
Antwort einen Ressourcen-Eintrag für den Namen außerhalb der Domänennamenstruktur cont.de (z.B.
contoso.de), wird dieser Name verworfen, falls Cache vor Beschädigungen sichern aktiviert ist.
Somit wird verhindert, dass nicht autorisierte Computer die Identität eines anderen Netzwerkservers annehmen
können.
Namensüberprüfung
Methode
ausschließlich RFC (ANSI)
kein RFC (ANSI)
Multibyte (UTF8) (Standard)
alle Namen
Beschreibung
Verwendet eine strenge Überprüfung der Namen nach RFC 1123.
A-Z, a-z, Zahlen 0-9 (kann auch 1. Zeichen sein) und Bindestriche
Lässt Namen zu, die nicht dem Standard entsprechen und nicht den Namenspezifikationen für Internethosts in RFC 1123 genügen.
Standardeinstellung.
Lässt die Erkennung von anderen Zeichen als ASCII-Zeichen zu.
Namen im UTF-8-Format dürfen die Größenbeschränkungen nicht überschreiten, die in RFC 2181 angegeben sind (max. 63 Oktette je Bezeichnung
und 255 Oktette pro Name).
Lässt alle Namenkonventionen zu
Sollte man mit Nicht-Windows-Servern Zonenübertragungen durchführen, die nicht UTF-8-fähig sind, dann
aktiviert man die Option ausschließlich RFC (ANSI).
Hinweis 0278
BIND-Server
4.9.4
4.9.7
8.1.2
8.2.1
Hinweis
schnelles Übertragungsformat durch Datenkomprimierung
(aber ganze Zonendatei wird übertragen)
SVR-Ressorceneinträge
dynamische Aktualisierung von Ressourceneinträgen -> Active Directory tauglich
IFXR
Zusammenfassung der Lektion 5.3 0280
- Auf der Registerkarte Erweitert des Eigenschaftendialogfelds eines DNS-Servers können neun
Installationseinstellungen konfiguriert werden (siehe Seite 31, und außerdem nur AFXR).
- Die Serveroption Rekursionsvorgang (und Forwarder) deaktivieren ist standardmäßig deaktiviert, so
dass die Rekursion für den DNS-Server aktiviert ist und der Server Abfragen für seine Clients durchführt,
sofern dieses Verhalten nicht durch eine spezielle Clientkonfiguration außer Kraft gesetzt wird.
Bei der Aktivierung dieser Serveroption ist der Reiter Weiterleitung nicht da und auch keine möglich.
- Die Option BIND-Sekundärzonen ist standardmäßig aktiviert.
Daher setzen DNS-Server in Windows 2003 kein schnelles Übertragungsformat ein, wenn sie eine Zonenübertragung auf BIND-basierte DNS-Server durchführen.
Diese Funktion ermöglicht hinsichtlicht hinsichtlich der Zonenübertragungen die Kompatibilität mit älteren
BIND-Versionen (BIND 8.2.1 kann IFXR [und das ältere AFXR]).
- Die Option Netzwerkmaskenanforderung aktivieren ist standardmäßig aktiviert.
Daher übermittelt ein DNS-Server in Windows Server 2003 als Antwort auf eine Anforderung zur Auflösung
es Namens eines mehrfach vernetzten Computers (eines Computers mit mindestens zwei IP-Adressen)
zunächst die IP-Adresse an den Client, die zum Subnetz des Clients gehört.
- Die Option Round-Robin aktivieren ist standardmäßig aktiviert.
Daher wechseln DNS-Server in Windows 2003 als Antwort auf eine Anforderung zur Auflösung des Namens
eines mehrfach vernetzten Computers sowie in Situationen, in denen der keine gefundene IP-Adresse im
selben Subnetz wie der Client liegt, immer wieder die Reihenfolge der übereinstimmenden
A-Ressourceneinträge in der Antwortliste die an verschiedene Clients übermittelt wird („Lastverteilung“).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 35 von 122
5.4. Lektion 4 Erstellen von Zonendelegierungen
Das Delegieren einer Zone bedeutet, die Autorität über Abschnitte eines DNS-Namenraums an untergeordnete
DNS-Domänen innerhalb dieses Namenraums zuzuweisen.
Wann sind Zonendelegierungen sinnvoll?
- Die Verwaltung einer DNS-Domäne muss an eine Niederlassung oder Abteilung innerhalb Ihrer Organisation
delegiert werden.
- Die Last der Pflege einer umfangreichen DNS-Datenbank muss auf mehrere Namenserver verteilt werden,
um die Leistungen der Namensauflösung und die Fehlertoleranz zu erhöhen.
- Hosts und Hostnamen müssen innerhalb Ihrer Organisation gemäß der Zugehörigkeit zu Niederlassungen
oder Abteilungen strukturiert werden.
Funktionsweise einer Delegierung
- Ein NS-Eintrag (auch als Delegierungseintrag bezeichnet) zu Erstellung der eigentlichen Delegierung.
Dieser Eintrag wird verwendet, um abfragenden Clients anzuzeigen, dass es sich beim Computer
svr2.rot.cont.de um einen autorisierenden Server für die delegierte untergeordnete DNS-Domäne handelt.
- Ein A-Ressourceneintrag (auch als Verbindungseintrag bezeichnet) zur Auflösung des Servernamens,
der, der im NS-Eintrag angegeben ist, in die entsprechende IP-Adresse.
Verbindungseinträge sind notwendig, wenn der für die delegierte DNS-Zone autorisierende Namenserver
selbst ein Mitglied der delegierten Domäne ist.
Der Vorgang der Auflösung des Hostnamens in diesem Eintrag mit den delegierten DNS-Server im
NS-Eintrag wird bisweilen auch als Verbindungsverfolgung bezeichnet.
Hinweis 0282
Diese beiden Einträge werden automatisch durch die Konsole DNS erstellt, wenn eine neue Delegierung
erstellt wird.
Hinweis 0283
Nach der Erstellung einer Delegierung über die Konsole DNS wird in den Zonendaten automatisch ein
Verbindungseintrag vorgenommen.
Dieser Eintrag wird in der Konsole DNS ausgeblendet.
Hinweis 0284
Delegierungen haben Vorrang vor der Weiterleitung.
Wenn im z.B. der für die Domäne cont.de autorisierende Server für die Weiterleitung aller Abfragen konfiguriert
wird, die er nicht beantworten kann, wird der Server eine Abfrage für den Namen xp2.rot.cont.de weiterhin
durch Kontaktieren des DNS-Servers auf svr4.rot.cont.de beantworten, und nicht durch Kontaktieren der
Weiterleitung, die auf der Registerkarte Weiterleitungen angegeben ist.
(Szenario:
Auf dem DNS-Server svr1.cont.de gibt es eine Delegierung für die DNS-Zone rot.cont.de an den DNS-Server
svr4.rot.cont.de und
Client xp1.cont.de möchte den Namen von Client xp2.rot.cont.de in eine IP-Adresse auflösen)
Prüfungstipp 0285
In dieser Lektion haben wir nur das Delegieren von Forward-Lookupzonen behandelt, es aber auch ReverseLookupzonen werden delegiert.
RFC 2317 legt fest, dass Sie mit einem NS-Eintrag Ihren DNS-Server so konfigurieren können, dass er den
Auftrag, IP-Adressen innerhalb Ihres Adressraumes in Hostnamen zu übersetzen, an einen anderen DNS-Server
delegiert (Diese Reverse-Delegierung kann auch bei Ihrem Internetprovider durchgeführt werden, wo sie auf
Ihre internen DNS-Server verweist.).
Zum Beispiel können Sie einen DNS-Server namens svr1.cont.de so konfigurieren, dass er Reverse-Lookups für
den Adressraum 192.198.4.0/24 an einen DNS-Server namens svr4.rot.cont.de delegiert.
Dazu konfigurieren Sie auf svr1.cont.de eine Zone namens 0.2.168.192.in-addr.arpa und fügen einen NS-Eintag
hinzu, u die DNS-Zonen-Delegierung zu implementieren.
Der NS-Eintrag hat folgendes Format: 0/24 NS svr4.rot.cont.de.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 36 von 122
Prüfungstipp 0285
Damit Sie die Simulationsfragen richtig beantworten können, müssen Sie das Einrichten einer Delegierung beherrschen.
Diese Aufhabe müssen Sie durchführen, wenn in einer Frage gefordert wird, dass Clients, die auf DNS-Server in
einer übergeordneten Domäne verweisen, in der Lage sein müssen, Namen in der untergeordneten oder
Subdomäne aufzulösen.
Zusammenfassung der Lektion 5.4 0290
- Das Delegieren einer Zone entspricht dem Zuweisen der Autorität über Abschnitte eines DNS-Namenraumes
an untergeordnete DNS-Domänen innerhalb eines Namenspaces.
Eine Zonendelegierung wird vorgenommen, wenn die Zuständigkeit für die Ressourceneinträge einer untergeordneten Domäne vom Besitzer der übergeordneten Domäne auf den Besitzer der untergeordneten Domäne
übertragen wird.
- Die Delegierung einer Zone innerhalb eines Netzwerks sollte in Betracht gezogen werden, wenn die Verwaltung einer DNS-Domäne an eine Niederlassung oder Abteilung innerhalb der Organisation delegiert werden
muss, um die Leistung der Namensauflösung oder die Fehlertoleranz zu erhöhen, oder wenn Hosts und Hostsnamen gemäß der Zugehörigkeit zu Niederlassungen oder Abteilungen in der Organisation strukturiert werden
müssen.
- Damit eine Delegierung implementiert werden kann, muss die übergeordnete Zone sowohl einen NS-Ressourceneintrag als auch einen A-Ressorceneintrag enthalten, der auf den autorisierten Server der neu delegierten
Domäne verweist.
Diese Einträge sind für die Übertragung der Autorität auf die neuen Namenserver und für die Bereitstellung
von Verweisen für Clients erforderlich, die iterative Abfragen durchführen.
Die Einträge werden automatisch durch die Konsole DNS erstellt, wenn eine neue Delegierung erstellt
wird.
- Zu Erstellung einer Zonendelegierung erstellen Sie zuerst die zu delegierende Domäne auf dem Server,
der die delegierte Zone hosten wird.
Anschließend führen Sie auf dem Server, der die übergeordnete Zone hostet, den Assistenten zum Erstellen
neuer Delegierungen aus, in dem Sie in der Konsole DNS mit der rechten Maustaste auf den Knoten der
übergeordneten Zone klicken und anschliessend auf Neue Delegierung klicken.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 37 von 122
5.5 Lektion 5 Bereitstellen von Stubzonen
Eine Stubzone ist eine gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die
NS-Einträge enthält, die zu einer Masterzone gehören.
Ein Server, der eine Stubzone hostet, beantwortet keine Abfrage für die Zone direkt, sondern leitet diese
Abfragen an einen der Namenserver weiter, der in den NS-Ressourceneinträgen der Stubzone angegeben ist.
Eine Stubzone erfüllt somit genau dieselbe Funktion wie eine Zonendelegierung.
Aber weil Stubzonen Zonenübertragungen von der (delegierten) Masterzoneeinleiten und empfangen können,
bieten Stubzonen den zusätzlichen Vorteil, dass sie übergeordnete Zonen darüber informieren, wenn sich die
NS-Einträge untergeordneter Zonen verändert haben.
Stubzonen werden also verwendet, um sämtliche NS-Ressourceneinträge einer Masterzone auf dem aktuellen
Stand zu halten.
Zur Konfiguration einer Stubzone müssen Sie mindestens einen Namenserver angeben, der als Master fungiert
und dessen IP-Adresse nicht geändert wird, während die anderen Namenserver kommen und gehen.
Die Ressourceneinträge einer Stubzone können nicht geändert werden.
Alle Änderungen, die an diesen Einträgen in einer Stubzone vorgenommen werden sollen, müssen in der
ursprünglichen primären Zone vorgenommen werden, von der die Stubzone abgeleitet wurde.
Vorteile von Stubzonen
- Bessere Namensauflösung Mit Stubzonen kann ein DNS-Server die Rekursion einsetzen, indem er die
Namenserverliste der Stubzone verwendet, ohne den Stammserver abzufragen.
- Zoneninformationen Dritter auf dem aktuellen Stand halten Durch regelmäßiges Aktualisieren der
Stubzone unterhält der DNS-Server, der die Stubzone hostet, eine aktuelle Liste von Namenservern für eine
andere Zone, z. B. eine delegierte Zone auf einen anderen DNS-Server.
- Delegierung mit Updates Sie können Stubzonen als Alternative zu Zonendelegierungen einsetzen.
Statt eine Delegierung an eine Subdomäne zu definieren, erstellen Sie einfach in der übergeordneten Domäne
eine Stubzone für die Subdomäne.
Im Unterschied zu Zonendelegierungen ist es bei Stubzonen möglich, Änderungen an den NS-Einträgen bei
der übergeordneten Domäne bekannt zu machen.
- Vereinfachen der DNS-Administration Durch den Einsatz von Stubzonen in der gesamten DNS-Infrastruktur können Zoneninformationen ohne Einsatz sekundärer Zonen verteilt werden.
Wichtig 0292
Stubzonen dienen nicht demselben Zweck wie sekundäre Zonen und sind bei der Planung für Fehlertoleranz,
Redundanz oder Lastenausgleich keine Alternative.
Stubzonen werden meist verwendet, um Zonendelegierungen durchzuführen, wenn abzusehen ist, dass sich die
Namenserver der delegierten Zone ändern.
Sie werden auch eingesetzt, um Namensauflösungen über Domänen hinweg in einer weise zu vereinfachen, mit
der ein Abfragen von Stammservern oder Weiterleitungen vermieden wird.
Sie sind für die Herstellung einer domänenübergreifenden DNS-Konnektivität von Bedeutung.
Prüfungstipp 0293
Sie sollten darauf vorbereitet sein, dass Stubzonen Bestandteil der Prüfung 70-291 sind.
Sie müssen vor allem in der Lage sein, Szenarien zu erkennen, in denen das Einrichten einer Stubzone die beste
Lösung ist. Damit Sie die Simulationsfragen richtig beantworten können, müssen Sie das Erstellen einer
Stubzone beherrschen.
Sie erkennen Fragen zu Stubzonen daran, dass gefordert wird, dass alle neu zur Zielzone hinzugefügten DNSServer in der Liste der abgefragten Server erscheinen müssen.
Hinweis 0295
Stubzonen weisen wie Delegierungen ebenfalls Verbindungseinträge in den Zonendaten auf, die in der Konsole
DNS jedoch nicht angezeigt wird.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 38 von 122
Updates von Stubzonen
- Neu laden Mit diesem Vorgang wird die Stubzone aus dem lokalen Speicher des DNS-Servers geladen,
der sie hostet.
- Übertragungen vom Master Der DNS-Server, der die Stubzone hostet, stellt fest, ob die Seriennummer im
SOA-Ressourceneintrag der Stubzone abgelaufen ist, und führt darauf hin eine Zonenübertragung vom
Masterserver der Stubzone durch.
- Erneut vom Masterserver übertragen Mit dieser Option wird ungeachtet der Seriennummer im
SOA-Ressourceneintrag der Stubzone eine Zonenübertragung vom Masterserver der Stubzone durchgeführt.
Prüfungstipp 0296
Für die Prüfung 70-291 müssen Sie die Unterschiede zwischen diesen drei Optionen kennen, die auf sekundäre
und auf Stubzonen angewendet werden können.
Zusammenfassung der Lektion 5.5 0299
- Eine Stubzone ist die gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur die
NS-Einträge enthält, die zu einer Masterzone gehören.
Stubzonen werden in den meisten Fällen als Alternative zu einer Delegierung eingesetzt.
Im Vergleich zu einer Delegierung bietet eine Stubzone den zusätzlichen Vorteil, dass eine übergeordnete
Zone ihre Liste der autorisierenden Namenserver in der untergeordneten Zone auf dem neuesten Stand
halten kann.
- Stubzone können auch eingesetzt werden, um die Namensauflösung über Domänen hinweg in einer Weise zu
vereinfachen, mit der das Abfragen des Stammservers oder der Weiterleitung in der Stammdomäne eines
DNS-Namenspace vermieden wird.
- Zur Erstellung einer Stubzone zeigen Sie den Assistenten zum Erstellen neuer Zonen an, in dem Sie in der
Konsole DNS mit der rechten Maustaste auf das DNS-Serversymbol klicken und anschließend auf
Neue Zone klicken.
Im Assistenten zum Einstellen neuer Zonen aktivieren Sie die Option Stubzone und folgen den
Anweisungen des Assistenten.
- Zur Konfiguration einer Stubzone muss mindesten ein Namenserver angegeben werden, der als Master
fungiert und dessen IP-Adresse nicht geändert wird.
Die Stubzone wird über Zonenübertragungen automatisch mit allen neuen Namenservern aktualisiert,
die zu einem späteren Zeitpunkt zur Masterzone hinzugefügt werden.
- Stubzonen dienen nicht demselben Zweck wie sekundäre Zonen und sind keine Alternative bei der
Planung für Fehlertoleranz, Redundanz oder Lastenausgleich.
Hinweis Problembehandlung 0302
- netdiag /fix
Reparieren bzw. Neuerstellen von wichtigen DNS-Einträgen (kerberos)
- dnscmd /zoneresettyp rot.cont.de /dsprimary
umwandeln in Active-Directory-integrierte Zone
- dnscmd . /config rot.cont.de /allowuopdate 2
nur sichere Updates sind zugelassen
(nur Computer können die Res-Eintrage aktualisieren,
die sie selbst erstellt haben)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 39 von 122
Zusammenfassung des Kapitels 5 0303
- Auf der Registerkarte Weiterleitungen des Eigenschaftendialogfelds eines DNS-Servers können
DNS-Abfragen, die vom lokalen DNS-Server empfangen werden, an übergeordnete DNS-Server,
so genannte Weiterleitungen, weitergeleitet werden.
Auf dieser Registerkarte kann auch die Rekursion für ausgewählte Abfragen (unter Angabe der Domäne)
deaktiviert werden.
- Die Registerkarte Stammhinweise des Eigenschaftendialogfelds eines DNS-Servers bietet eine einfache
Methode zur Änderung des Inhalts der Datei Cache.dns.
Wenn der DNS-Server zur Auflösung von Internetnamen eingesetzt wird, müssen diese Einträge in der Regel
nicht geändert werden.
Wenn der DNS-Server jedoch nur für die Beantwortung von Abfragen für Hosts in einem separaten und
privaten DNS-Namenspace genutzt wird, sollen diese Stammhinweise geändert werden, damit sie auf die
Stammserver in Ihrem Netzwerk verweisen.
Fungiert ein DNS-Server schließlich als Stammserver (mit der Bezeichnung „.“) Ihres privaten Namenspaces,
sollte die Datei Cache.dns gelöscht werden.
- Wenn ein DNS-Server auf einem Domänencontroller eingerichtet, können die Zonendaten in der
Active-Directory-Datenbank gespeichert werden.
Durch Active-Directory-integrierte Zonen wird der Datenverkehr für die Zonenübertragung minimiert,
die Sicherheit erhöht, der Verwaltungsaufwand reduziert und eine höhere Fehlertoleranz erreicht.
Zonendaten können so konfiguriert werden, dass sie auf alle DNS-Server in der Active Directory-Gesamtstruktur, auf alle DNS-Server in der Active Directory-Domäne, auf alle Domänencontroller in der
Active Directory-Domäne oder auf alle Server repliziert werden, die in einer benutzerdefinierten
Anwendungsverzeichnispartition aufgeführt sind.
- Wenn in einer Zone nicht sichere dynamische Updates zugelassen sind, kann jeder Computer einen Ressourceneintrag in einer DNS-Zone aktualisieren.
Wenn nur sichere dynamische Updates zugelassen sind, darf ein DNS-Ressourceneintrag nur von seinem
Besitzer aktualisiert werden.
Sichere dynamische Updates können nur in Active-Directory-integrierten Zonen vorgeschrieben werden.
- Auf der Registerkarte Zonenübertragungen können die Übertragungen von der aktuellen Zone
eingeschränkt werden.
Zonenübertragungen von primären Servern entweder vollständig deaktiviert oder auf die Server beschränkt,
die auf der Registerkarte Namenserver angegeben sind.
Die Art dieser Einschränkung hängt von der Methode ab, mit der der DNS-Server installiert wurde.
- Das Delegieren einer Zone entspricht dem Zuweisen der Autorität über Abschnitte eines DNS-Namenspaces.
Eine Zonendelegierung wird vorgenommen, wenn die Zuständigkeit für die Ressourceneinträge einer
untergeordneten Domäne vom Besitzer der übergeordneten Domäne auf den Besitzer der untergeordneten
Domäne übertragen wird.
- Eine Stubzone ist die gekürzte Kopie einer Zone, die in regelmäßigen Abständen aktualisiert wird und nur
die NS-Einträge enthält, die zu einer Masterzone gehören (der die Masterzone hostende DNS-Server hat
eine unveränderliche IP-Adresse).
Stubzonen werden in den meisten Fällen als Alternative zu einer Delegierung eingesetzt.
Schlüsselinformationen Kapitel 5 0304
- Vollziehen Sie die verschiedenen Breichsoptionen für die Zonenreplikation nach, die für
Active-Directory-integrierte Zonen verfügbar sind.
- DNS wird von allen Themen in der Prüfung 70-291 am eingehendsten geprüft.
Daher sollten Sie mit allen Einstellungen in den verschiedenen Registerkarten des Eigenschaftendialogfeldes
eines DNS-Servers und allen Einstellungen in den Registerkarten des Eigenschaftendialogfeldes einer Zone
gut vertraut sein.
- Machen Sie sich mit der Oberfläche der Konsole DNS gut vertraut.
Mindestens eine Simulationsfrage dürfte sich mit dem Thema DNS befassen.
- Lernen Sie, die Szenarien zu erkennen, in denen die Weiterleitung eingerichtet werden sollte.
- Machen Sie sich den Unterschied zwischen sicheren und nicht sicheren dynamischen Updates bewusst.
- Lernen Sie, die Szenarien zu erkennen, in denen primäre Zonen, sekundäre Zonen, Stubzonen bzw.
Active-Directory-integrierte Zonen eingeführt werden sollten.
- Lernen Sie, die Szenarien zu erkennen, in denen Delegierungen eingeführt werden sollten.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 40 von 122
Schlüsselbegriffe Kapitel 5 0304
Anwendungsverzeichnispartition Eine Partition von Daten, die in der Active Directory-Datenbank auf eine
Untermenge von Domänencontrollern repliziert wird.
Anwendungsverzeichnispartitionen enthalten Informationen, die von einer bestimmten Anwendung oder einem
bestimmten Dienst wie DNS eingesetzt werden können.
Rekursion Der Vorgang, bei dem eine DNS-Abfrage im Auftrag eines DNS-Clients beantwortet wird.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 41 von 122
6. Kapitel 6 Überwachung und Problembehandlung von DNS
Der Dienst DNS-Server (Domain Name System) ist der wichtigste Einzeldienst in Microsoft Windows
Server 2003-Netzwerken. Von einem DNS-Ausfall sind auch der Verzeichnisdienst Active Directory und die
meisten Internetverbindungen betroffen.
Auf Grund dieser Bedeutung müssen Sie in der Lage sein, DNS zu überwachen, zu diagnostizieren und zu
reparieren, um seine ordnungsgemäße Funktion im Netzwerk zu gewährleisten.
Überwachungstools sind zum Beispiel Nslookup, Protokoll DNS-Ereignisse,
die Konsole Replikationsmonitor und das Protokoll DNS-Server.
6.1. Lektion 1 Verwenden von Tools zur DNS-Problembehandlung
Das Befehlszeilentool Nslookup.exe kann entweder als einfacher einmaliger Befehl (nichtinteraktiver Modus
=> z:\>nslookup svr2.cont.de <ENTER>) oder als ein Programm ausgeführt werden, das fortlaufende Befehle
und Abfragen akzeptiert (interaktiver Modus => z:>nslookup <ENTER> ...).
Zur Auflösung der Abfrage übermittelt das Dienstprogramm nslookup den Namen an den DNS-Server, der für
die primäre Verbindung auf den lokalen Clientcomputer angegeben ist.
Dieser DNS-Server kann die Abfrage daraufhin über seinen Cache oder über Rekursion beantworten.
Wenn Sie eine Problembehandlung bei einen bestimmten DNS-Server statt bei dem Server durchführen möchten, der für die primäre Verbindung auf den lokalen Clientcomputer festgelegt ist, können Sie diesen DNSServer im Nslookup-Befehl angegeben.
Mit dem folgenden Befehl, der in einer Eingabeaufforderung ausgeführt, wird eine Abfrage für den Namen
svr2.cont.de an den DNS-Server 192.168.2.3 übermittelt.
Z:\>nslookup svr1.cont.de 192.168.2.3
Server: svr3.cont.de
Address: 192.168.2.3
Name: svr2.cont.de
Address: 192.168.2.2
Hinweis 0318
Reverse-Lookupvorgänge beruhen auf Zeiger (PTR)-Ressourceneinträgen, die in Reverse-Lookupdomänen
konfiguriert werden. konfiguriert werden.
Nicht für alle Internethosts stehen Reverse-Lookupdomänen zur Verfügung.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 42 von 122
Wichtig 0319
Befehle, die im interaktiven Modus von Nslookup werden, beachten die Groß-/Kleinschreibung und
müssen alle in Kleinbuchstaben eingegeben werden.
nslookup <ENTER>
set all
set [no] debug
set [no] d2
set domain=<Domainname>
set timeout=<Timeout-Wert>
set type=<Eintragstyp> oder
set querytype=<Eintragstyp> oder
set q=<Eintragstyp>
exit
Zeigt den Konfigurationsstatus aller Optionen an.
Versetzt Nslookup in den Debugmodus werden mehr Informationen
über das an den DNS-Server gesendete Paket und die entsprechende
Antwort ausgegeben.
Versetzt Nslookup in den Modus für ausführliches Debuggen, damit
die Abfrage- und Antwortpakete zwischen der Auflösung
und dem DNS-Server untersucht werden können.
Informiert die Auflösung über den DNS-Domänennamen, der an
nichtqualifizierte Abfragen einschließlich aller abgefragten Namen
ohne abschließenden Punkt angehängt werden soll.
Informiert die Auflösung über den zu verwendeten Timeout-Wert in
Sekunden.
Diese Option ist für langsame Verbindung nützlich, auf denen Abfragen häufig durch Zeitüberschreitungen ablaufen und die
Wartezeit verlängert werden muss.
Informiert die Auflösung über die Ressourcentypen, die gesucht
werden sollen (z.B. A, MX, NS, PTR, RP, SRV). Wenn die Auflösung nach allen Einträgen suchen soll, geben Sie set type=all ein.
Verlassen des interaktiven Modus von Nslookup.
Prüfungstipp 0321
Sie können mit Nslookup überprüfen, ob eine übergeordnete DNS-Domäne Namen für eine delegierte
Subdomäne auflösen kann.
Geben Sie dazu auf einem DNS-Server der übergeordneten Domäne (zum Beispiel cont.de) in der NslookupEingabeaufforderung den Befehl set querytype=ns ein, gefolgt von dem Namen der Subdomäne (zum
Beispiel rot.cont.de oder gold.rot.cont.de).
Verwenden von Nslookup zum Anzeigen von Zonendaten
nslookup <ENTER>
ls -a <Domainname>
Anzeige aller A- und CNAME-Einträge in der betreffenden Domäne
ls -d <Domainname>
Anzeige aller Einträge in der betreffenden Domäne
ls -t <Typ> <Domainname>
Anzeige aller <Typ>-Einträge in der betreffenden Domäne
(z. B.: A, Alias, MX, NS, PTR, RP, SRV)
exit
Verlassen des interaktiven Modus von Nslookup.
Prüfungstipp 0323
Für die Prüfung müssen Sie wissen, dass mit dem Nslookup-Befehl ls eine Zonenübertragung simuliert wird
Zonenübertragungen in Windows Server 2003 standardmäßig eingeschränkt sind.
Um einen DNS-Server mit Windows Server 2003 mit dem Nslookup-Befehl ls abzufragen, müssen Sie unbedingt Zonenübertragungen auf den Computer zulassen, auf dem Nslookup ausgeführt wird.
Damit eine Abfrage von einem normalen DNS-Client gemacht werden kann, muss im DNS-Server die
Zonenreplikation an alle Server aktiviert sein und nicht die Standardeinstellung „Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind“.
Prüfungstipp 0323
Falls neben einem Serversymbol in der Konsole DNS ein Warnsymbol angezeigt wird, sollten Sie als Erstes im
DNS-Ereignisprotokoll nach Fehlern suchen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 43 von 122
Die DNS-Debugprotokolldatei befindet sich im Ordner %Windir%\System32\Dns in der Datei Dns.log und
enthält die auf der Registerkarte Debugprotokollierung konfigurierten Daten:
- Abfragen
- Benachrichtigungsnachrichten von anderen Servern
- dynamische Updates
- Inhalt des Abfrageabschnitts von DNS-Abfragenachrichten
- Inhalt des Antwortabschnitts von DNS-Abfragenachrichten
- Anzahl der von diesem Server übermittelten Anfragen
- Anzahl der von diesem Server empfangenen Anfragen
- Anzahl der über einen UDP (User Datagram Protocol)-Port empfangenen DNS-Anforerungen
- Anzahl der über einen TCP (Transmission Control Protocol)-Port empfangenen DNS-Anforerungen
- Anzahl der vom Server übermittelten vollständigen Datenpakete
- Anzahl der durch den Server und zurück zur Zone geleiteten Datenpakete
Prüfungstipp 0326
Sie brauchen für die Prüfung 70-291 nicht alle Elemente in der Liste auswendig lernen, aber Ihnen sollte klar
sein, dass es am sinnvollsten ist, diese Ereignistypen, bei der Debugprotokollierung aufzuzeichnen.
Warnung 0326
Lassen Sie die DNS-Protokollierung nicht während des normalen Arbeitsablaufs aktiviert, da sie sowohl
Rechenleistung als auch Festplattenressourcen beansprucht.
Aktivieren Sie sie nur für die Diagnose und Behebung von DNS-Problemen.
Zusammenfassung der Lektion 6.1 0333
- Nslookup biete die Möglichkeit, Abfragetest vom DNS-Servern durchzuführen und über eine Eingabeaufforderung detaillierte Antworten abzurufen (ls -d <Eintragytyp> <Domainname>).
- Im DNS-Ereignisprotokoll werden Fehler im DNS-Serverdienst des Betriebssystem Windows Server 2003
aufgezeichnet.
Wenn Probleme im Zusammenhang mit DNS auftreten, kann die Ereignisanzeige auf DNS-bezogene
Ereignisse überprüft werden.
- Der DNS-Serverdienst unterhält ein eigenständiges Protokoll für das Debuggen.
Bei diesem DNS-Debugprotokoll handelt es sich um die Datei Dns.log,
die im Ordner %winddir%\System32\Dns gespeichert ist.
- Um die Protokollierung von DNS-Datenpaketen in der Datei Dns.log zu aktivieren, aktivieren Sie auf der
Registerkarte Debugprotokollierung des Eigenschaftendialogfelds für den jeweiligen DNS-Server das
Kontrollkästchen Pakete zum Debuggen protokollieren.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 44 von 122
6.2. Lektion 2 Verwenden von DNS-Überwachungstools
Der Replikationsmonitor dient der Überwachung der Replikation von DNS-Zonendaten und
der Systemmonitor durch das Verwenden seiner entsprech. Indikatoren zur Überwachung der DNS-Leistung.
Verwenden des Replikationsmonitors
- Erzwingen der Replikation von DNS-Daten in verschiedenen Replikationsbereichen
- Ermitteln der Ausfälle von Replikationspartnern
- Anzeigen der Replikationstopologie
- Abfragen von Replikationspartnern und Generieren individueller Verläufe erfolgreicher und
fehlgeschlagener Replikationsereignisse
- Anzeigen und Ändern, die noch nicht von einem gegebenen Replikationspartner repliziert wurden
- Überwachen des Replikationsstatus von Domänencontrollern aus mehreren Gesamtstrukturen
Mit dem Befehl replmon aus den Windows-Support-Tools wird der Replikationsmonitor gestartet.
Standardmäßig sind keine Domänencontroller in der Konsolenstruktur enthalten.
Durch den Rechtsklick auf das Symbol Monitored Servers und dann folgend auf Add Monitored Server
werden Domänencontroller zur Konsolenstruktur hinzugefügt und somit überwacht.
Die Konsolenkonfiguration kann als Ini-Datei gespeichert werden und später innerhalb des Replikationsmontors
geöffnet werden.
Verzeichnispartitionen:
- Domänenpartition
- Konfigurationspartition
- Schemapartition
- vordefinierte Anwendungsverzeichnispartition DomainDnsZones
- vordefinierte Anwendungsverzeichnispartition ForestDnsZones
(DNS-Zonendaten werden dort
gespeichert
bei Aktivierung folgender Option:
Auf allen DNS-Servern in der
Active Directory-Domäne)
(DNS-Zonendaten werden dort
gespeichert
bei Aktivierung folgender Option:
Auf allen DNS-Servern in der
Active Directory-Gesamtstruktur)
Prüfungstipp 0336
Für die Prüfung müssen Sie die Anwendungspartitionen DomainDnsZones und ForrestDnsZones kennen.
Prüfungstipp 0336
Wenn Sie herausfinden wollen, welche Zonen auf einen bestimmten DNS-Server gehostet werden, können Sie
mit dem Befehl dnscmd mit dem Befehlszeilenparameter /enumzones aufrufen.
Praxistipp 0336
Dnscmd-Parameter für die DNS-Replikation:
dnscmd <Servername> /zoneinfo cont.de
Festlegung des Bereichs für die DNSZonenreplikation für die Zone cont.de
dnscmd /zonechangedirectorypartition
Bereich der Zonenreplikation ändern
dnscmd /zonechangedirectorypartition <cont.de> /domain
für alle DNS-Server der Domäne cont.de
dnscmd /zonechangedirectorypartition <Forest> /forest
für alle DNS-Server der Gesamtstruktur
dnscmd /zonechangedirectorypartition <cont.de> /legacy
für alle AD-Controller der Domäne cont.de
Wenn Sie über die geeigneten Anmeldeinformationen verfügen, können Sie diese Befehlesogar im Remotezugriff ausführen. Geben Sie in diesem Fall nach dem Ausdruck dnscmd den Servernamen an.
Im Replmon kann man die Verzeichnispartition erzwingen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 45 von 122
Prüfungstipp 0338
Falls Sie feststellen, dass DNS-Daten für die Active-Directory-integrierte Zone nicht mehr auf den aktuellen
Stand sind, sollten sie mit Replmon nach Active Directory-Replikationsfehlern suchen.
Alternativ kann der Replikationsmonitor, dass nach einer bestimmten Anzahl von Replikationsfehlern eine eMail
an den Administrator gesendet wird.
Tipp 0338
Der replikationsmonitor stellt eine allegemeine Methode zur Überwachung der Active Directory-Replikation und
zur Ermittlung von Replikationsfehlern dar.
Setzen Sie zur detaillierten Analyse und Problembehandlung der Active Directory-Replikation das
Befehlszeilenprogramm Repadmin ein, dass sich ebenfalls in den Windows-Supporttools enthalten ist.
Echtzeitüberwachung der DNS-Leistung mit dem Systemmonitor
Beim Systemmonior handelt es sich um ein Tool in der Strukturansicht der Konsole Leistung.
Weitere Informationen 0339
Weitere Informationen über die Verwendung der Konsole Leistung finden Sie im Kapitel 12, „Pflegen einer
Netzwerkinfrastruktur“.
Prüfungstipp 0340
Es gibt 62 Leistungsindikatoren für DNS-Server, die wichtigsten sind:
- Cachespeicher
- Empfangene dynamische Aktualisierungen
- Verweigerte dynamische Aktualisierungen
- In Datenbank geschriebene dynamische Aktualisierungen
- Fehlschläge der sicheren Aktualisierungen
- Empfangene sichere Aktualisierungen
- Empfangene Abfragen insgesamt
- Empfangene Abfragen insgesamt / Sekunde
- Gesendete Antworten insgesamt
- Gesendete Antworten insgesamt / Sekunde
- Fehlgeschlagene Zonenübertragungen
- Empfangene Zonenübertragungsanforderungen
- Erfolgreiche Zonenübertragungen
Insidertipps 0340
Die Mehrzahl der Leistungsindikatoren im Systemmonitor wird nur selten verwendet.
Dennoch witzeln die Netztwerkadministratoren oft, dass der Systemmonitor das wichtigste aller Verwaltungstools sei.
Wenn der Systemmonitor ausgeführt wird, und seine Echtzeitdiagramme für alle deutlich sichtbar wird, kann
nämlich immer der Eindruck erweckt werden, das Sie schwer beschäftigt sind.
Sicherheitswarnung 0341
Verwenden Sie die Sicherheitsgruppen Leistungsprotokollbenutzer und Systemmonitorbenutzer, um
sicherzustellen. dass nur vertrauenswürdige auf vertrauliche Leistungsdaten zugreifen und diese bearbeiten
können. Diese Sicherheitsgruppen wurden in Windows Server 2003 neu eingeführt.
Prüfungstipp 0344
Die Windows-Supporttools enthalten das Befehlszeilenprogramm DNSLint, dessen hauptfunktion die
Behebung fehlerhafter Delegierungen ist.
DNSLint kann zudem eingesetzt werden, um DNS-Einträge zu überprüfen, die für die Active DirectoryReplikation genutzt werden, und auf mehreren DNS-Servern nach verschiedenen Eintragstypen zu suchen.
Prüfungstipp 0345
Lernen Sie folgenden Befehl zum Löschen des DNS-Server-Cache für die Prüfung auswendig:
dnscmd <Computername des Servers > /clearcache.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 46 von 122
Zusammenfassung des Kapitels 6 0346
- Nslookup ist ein Befehlszeilentool, mit dem DNS-Server abgefragt und Probleme im Zusammenhang mit
DNS-Servern behoben werden können.
- Im DNS-Ereignisprotokoll werden Fehler im DNS-Serverdienst des Betriebssystem Windows Server 2003
aufgezeichnet.
- Der DNS-Serverdienst unterhält ein Debuggerprotokoll in der Datei Dns.log, die sich im Ordner
%Windir%\System32\Dns gespeichert ist.
- Der Replikationsmonitor ist ein grafisches Tool, mit dem die Active Directory-Replikation überwacht und
auftretende Probleme Behoben werden können.
Er kann eingesetzt werden, um eine Replikation Active-Directory-integrierter Zonen zu erzwingen und
die Domäne nach Replikationsfehlern zu durchsuchen.
- Der Systemmonitor, als Teilfunktion der Konsole Leistung, ermöglicht die Überwachung von
Echtzeit-Leistungsindikatoren.
- Das Leistungsobjekt DNS enthält 62 Indikatoren.
Schlüsselinformationen Kapitel 6 0347
- Lernen Sie die grundsätzlichen Befehle und Parameter, die im Dienstprogramm Nslookup einngesetzt werden.
- machen Sie sich mit dem Lesen von Meldungen im DNS-ereignisprotokoll vertraut.
- Lernen Sie, welche Arten von DNS-Ereignissen Sie am besten mit Hilfe von Debugprotokollierung
aufzeichnen können.
- Lernen Sie, welche Arten von DNS-Ereignissen Sie am besten mit Hilfe des Systemmonitors
aufzeichnen können.
- Lernen Sie die Methoden zur Erzwingung der Replikation und
Überprüfung auf Replikationsfehler in Active-Directory-integrierten Zonen.
- Lernen Sie die Namen der verschiedenen Partitionen, in denen Active-Directory-integrierten Zonendaten
gespeichert werden können.
Schlüsselbegriffe Kapitel 6 0347
Replikat Kopie einer Active Directory-Partition, die auf einem Domänencontroller gespeichert ist.
Schema Der Satz von Definitionen für sämtliche Objekte, die in einem Verzeichnis gespeichert werden
können.
Im Schema ist für alle Objektklassen festgelegt, über welche Attribute eine Klasseninstanz verfügen muss,
welche zusätzlichen Attribute sie enthalten kann und welche weiteren Objektklassen als übergeordnete
Objektklasse fungieren können.
classSchema Ein Objekt; das im Schema zur Definition von Klassen verwendet wird.
Ein classSchema-Objekt liefert die Vorlage für die Erstellung von Verzeichnisobjekten dieser Klasse.
Beispiel für classSchema-Objekte sind User und Server.
attributeSchema Ein Objekt; das im Schema zur Definition von Attributen verwendet wird.
Mit einem attributeSchema-Objekt werden der zulässige Inhalt und die zulässige Syntax für Instanzen des
jeweilgen Attributs im Verzeichnis festgelegt.
Beispiele für attributeSchema-Objekte sind User-Prinzipal-Name und Telex-Nummer.
Rekursive Abfrage Eine Abfrage, die einen Server zum Einsatz der Rekursion veranlasst.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 47 von 122
7. Kapitel 7 Konfigurieren von DHCP-Servern und -Clients
DHCP (Dynamic Host Configuration Protokol) dient gemeinsam mit DNS (Domain Name System) als
Grundlage einer Netzwerkinfrastruktur mit Microsoft Windows 2003.
Bis auf ganz kleine Netzwerke statt DHCP überhall Hosts mit einer IP (Internet Protocol)-Konfiguration aus, die
für eine Kommunikation mit anderen Computern im Netzwerk erforderlich ist.
Diese Konfiguration umfasst mindestens eine IP-Adresse und eine Subnetzmaske.
In der Regel sind jedoch ein primäres (DNS)-Domänensuffix, ein Standardgateway, bevorzugte und alternative
DNS-Server, WINS-Server (Windows Internet Name Service) und verschiedene weitere Optionen enthalten.
Könnten Sie als Administrator Clients nicht mit einer zuverlässigen und automatischen Methode eine solche
Konfiguration zuweisen, wären Sie schnell mit der Aufgabe der manuellen Verwaltung dieser Konfigurationen
überlastet.
DHCP ist ein IP-Standard, mit dem die Komplexität der Verwaltung dieser Adresskonfiguration reduziert
werden soll.
Durch Ausstellen von Leases aus einer zentralen Datenbank verwaltet DHCP automatisch die Zuweisung von
Adressen und konfiguriert weitere wichtige Einstellungen für Ihre Netzwerkclients.
7.1. Lektion 1 Konfigurieren des DHCP-Servers
Hinweis 0356
Sie müssen als Administrator angemeldet sein (zum Beispiel als Mitglied der domänenlokalen Sicherheitsgruppe DHCP-Administratoren oder der globalen Gruppe Domänen-Admins), um eine Windowskomponente wie DHCP installieren zu können.
Tipp 0356
Weisen Sie dem Computer, welcher als dem DHCP-Server fungieren soll, eine statische Adresse zu.
Wenn ein DHCP-Server in Active-Directory-Netzwerke integriert weden sollen, müssen sie autorisiert
werden.
Nur Domänencontroller und Domänenmitgliedsserver sind Bestandteil von Active Directory, und nur diese
Servertypen können autorisiert werden.
Beim ersten DHCP-Server in einem Netzwerk mit Active Directory-Domäne handelt es sich immer um einen
autorisierten Server.
Rouge-Server ist ein eigenständiger DHCP-Server, welcher zusammen mit autorisierten Servern implementiert
wurde.
Wenn Rouge-Server auf einem Computer mit Windows Server 2000 oder 2003 im eigenen Subnetz einen
autorisierenden DHCP-Server ermitteln, dann stoppt der eigenständige DHCP-Server das Leasen von IPAdressen an DHCP-Clients.
Warnung 0357
Auch wenn ein DHCP-server auf einem Domänencontroller installiert werden kann, sollte diese Vorgehensweise
aus Gründen, die im Abschnitt „Sicherheitserwägungen“ dieses Kapitels behandelt werden, vermieden werden
(Anmeldung an einen Domänencontroller u.s.w.).
Hinweis 0357
Um über die erforderlichen Berechtigungen für das Autorisieren eines DHCP-Servers oder für das Aufheben
einer entsprechenden Autorisierung zu verfügen, müssen Sie Mitglied der globalen Sicherheitsgruppe
Organisations-Admins sein.
Konfigurieren von Bereichen
Bei einem DHCP-Bereich (englisch scope) handelt es sich um einen Pool von IP-Adressen innerhalb eines
logischen Subnetzes, die ein DHCP-Server Clients zuweisen kann.
Bereiche sind für einen Server eine wichtige Möglichkeit, die Verteilung und Zuweisung von IP-Adressen und
allen damit verbundenen Konfigurationsparametern (z.B. in den Bereichsoptionen) an Clients im Netzwerk zu
verwalten.
Einen neuen Bereich erstellt man mit einem Rechtsklick auf dem Serverknoten und Klick auf „Neuer Bereich“.
Tipp 0358
Ein DHCP-Server sollte eine Statische IP-Adresse zugewiesen bekommen haben, die mit dem Segment
kompatibel ist, in welchem sich die DHCP-Clients befinden (direkt oder DHCP-Relay-Agent).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 48 von 122
Prüfungstipp 0358
Um die Simulationsfragen in der Prüfung beantworten zu können, müssen Sie das Erstellen neuer Bereiche
sicher Beherrschen.
Sie müssen auch in der Lage sein, mit dem Bereichserstellungs-Assistenten alle Features zu konfigurieren, die in
der folgenden Aufzählung erwähnt werden.
Das ist nicht besonders Anspruchsvoll, aber es wird in den Simulationen dadurch erschwert, dass Sie nicht direkt
alle Informationen genannt bekommen, die Sie brauchen.
Zum Beispiel könnte es sein, dass in der Prüfungsfrage nicht erwähnt wird, welche IP-Adresse Sie auf der Seite
Router (Standardgateway) konfigurieren müssen.
Stattdessen müssen Sie anhand einer Grafik des LANs (Local Area Network) herausfinden, welche Adresse als
Standardgateway für ein bestimmtes LAN-Segment konfiguriert werden soll.
Es kann auch sein, dass die Frage nicht explizit den Adressbereich nennt, der für den Bereich konfiguriert
werden soll.
Stattdessen müssen Sie sich wieder eine Grafik des LANs ansehen und herausfinden, welche Adressen bereits
statisch an Server und Router zugewiesen sind.
Anschließend müssen Sie einen Adressbereich erstellen, der die statischen Adressen ausschließt, aber zum
selben logischen Subnetz gehört wie diese Adressen.
Seiten des Bereichserstellungs-Assistenten
- Bereichsname
- IP-Adressbereich
(Start und End-IP-Adresse und Subnetzmaske)
- Ausschlüsse hinzufügen
- Leasedauer
(Standard: 8 Tage)
- DHCP-Optionen konfigurieren (u. a. Entscheidung, ob sofort konfiguriert wird oder später)
- Router (Standardgateway) (optional)
- Domänenname und DNS-Server (optional)
- WINS-Server (optional)
- Bereich aktivieren (optional) (Frage, ob der Bereich nach Fertigstellen des Assistenten aktiviert soll)
Diese Funktionen können zu einem späteren Bereich über die Konsole DHCP geändert werden, aber
bei einer IP-Adressbereichsänderung muss der Bereich neu angelegt werden.
Wichtig 0359
Wenn Sie die Option aktivieren, die DHCP-Optionen zu einem späteren Zeitpunkt zu konfigurieren, erhalten Sie
keine Gelegenheit mehr, den Bereich zu aktivieren.
Der Bereich muss dann manuell aktiviert werden, bevor Adressleases ausgestellt werden können.
Tipp 0361
Sie sollten einem Windows 2003-Computer, auf dem der DHCP-Dienst läuft, eine statisch konfigurierte Adresse
zuweisen.
Stellen Sie sicher, dass diese Adresse entweder außerhalb des konfigurierten Bereichs liegt oder aus ddiesem
Bereich ausgeschlossen wurde.
Adresspool ist der noch verfügbare Adressbereich, welcher übrig bleibt, nachdem der Ausschlussbereich
konfiguriert wurde (Adresspool = Adressbereich-Ausschlussbereich).
Verwenden der 80:20-Regel für Server und Bereiche
Sind 2 DHCP-Server im Einsatz, um die Last auszugleichen, dann verwaltet der erste 80% des Adresspools und
der andere 20% des Adresspools vom gleichen Adressbereich.
Es ist somit auch eine Ausfallsicherheit vorhanden.
Beispiel:
2 Subnetze mit 2 DHCP-Servern
DHCP-Server 1 verwaltet 80% der Adressen eines Bereiches
(Bereich: 192.168.1.11 - 192.168.1.254 mit Adressausschlüsse: 192.168.1.205 - 192.168.1.254) und
(Bereich: 192.168.2.11 - 192.168.2.254 mit Adressausschlüsse: 192.168.2.11 - 192.168.2.204)
DHCP-Server 2 verwaltet 20% der Adressen eines Bereiches
(Bereich: 192.168.2.11 - 192.168.2.254, Adressausschlüsse: 192.168.2.205 - 192.168.1.254)
(Bereich: 192.168.1.11 - 192.168.1.254 mit Adressausschlüsse: 192.168.1.11 - 192.168.1.204) und
Regel: pro Broadcastdomäne ein DHCP-Server
(es lassen sich in einer Active Directory-Domäne nicht 2 DHCP-Server in einer Broadcastdomäne installieren)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 49 von 122
Prüfungstipp 0363
Prägen Sie sich für die Simulationsfragen ein, auf welche Weise Sie eine DHCP-Reservierung definieren.
Fragen zum Thema DHCP-Reservierung erkennen Sie daran, dass gefordert wird, dass ein Computer immer eine
bestimmte IP-Adresse benutzen muss (Adresse wird angegeben).
Eine Reservierung ist auch oft erforderlich, wenn in einer Frage die MAC-Adresse eines Computers angegeben
wird.
In der Prüfung 70-291 sind MAC-Adressen nur im Zusammenhang mit Reservierungen und dem Befehl Arp von
Bedeutung.
Denken Sie auch daran, dass Sie keine Interpunktionszeichen (etwa Bindestriche oder Doppelpunkte) eingeben
brauchen, wenn Sie in einer Reservierung eine MAC-Adresse angeben.
Reservierungen können nicht anstelle von manuellen (statischen) Konfigurationen eingesetzt werden.
Reservierungen sind keine zulässige Alternative zu statischen Adressen (z.B. für DNS- und DHCP-Servern
und Servern überhaupt).
Prüfungstipp 0364
Für die Prüfung 70-291 müssen Sie die Vererbung der DHCP-Optionen verstehen.
Reservierungsoptionen setzen sich gegenüber den Bereichsoptionen und diese gegenüber den Serveroptionen
durch.
Von den mehr als 60 DHCP-Standard-Optionen sind folgende am häufigsten eingesetzt:
- 003 Router
Liste bevorzugter IP-Adressen für Router in selben Subnetz wie die DHCP-Clients.
- 006 DNS-Server IP-Adressen der DNS-Server, die die Clients kontaktieren können.
- 015 DNS-Domänenname
DNS-Domänenname und ermöglicht die dynamische DNS-Updates der Clients
- 044 WINS/NBNS-Server
IP-adressen von primären und sekundären WINS-Servern, die der Client
nutzen soll.
- 044 WINS/NBNS-Knotentyp bevorzugte Methode der NetBIOS-Namensauflösung
0x1 für ausschließlichen Broadcast (B-Knoten)
0x8 für eine Mischung aus Endpunkt und Broadcastmethoden (H-Knoten)
- 051 Lease
Eine Option, mit der ausschließlich RAS-Clients eine bestimmte Leasedauer zugewiesen wird.
Diese Option beruht auf Benutzerklassseninformationen (siehe Kapitel 7 Lektion2).
Hinweis 0366
Der Befehl im Menü Aktion wechselt zum Befehl Deaktivieren, wenn der markierte Bereich momentan
aktiviert ist.
In Produktivumgebungen sollte ein Bereich nur dann deaktiviertw erden, wenn Sie ihn permanent aus dem
Netzwerk entfernen möchten.
Prüfungstipp 0366
In der Prüfung wird oft eine Frage vorkommen, bei der DHCP nicht funktioniert, weil entweder der Bereich
nicht aktiviert oder der Server nicht autorisiert wurde.
Konfiguration des Clients
Damit der Client seine IP-Adresse und Netzwerkkonfiguration vom DHCP-Server bezieht, muss im Dialogfeld
Eigenschaften von Internetprotokoll (TCP/IP) für die entsprechende Netzwerkverbindung die Option
IP-Adresse automatisch beziehen aktiviert sein (alles außer IP-Adresse des zuständigen DNS-Server).
Damit der DHCP-Client auch die DNS-Optionen vom DHCP-Server bezíeht, aktivieren sie die darunter zu
sehende Option DNS-Serveradresse automatisch beziehen.
Migrieren von APIPA- oder alternativen Konfiguration
Wenn ein Client für das automatische Abrufen einer IP-Adresse und einer DNS-Serveradresse konfiguriert
wurde und das Netzwerk kein ICS einsetzt, muss lediglich die IP-Konfiguration wie folgt erneuert werden:
- ipconfig /renew
- Neustart des Computers
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 50 von 122
Migrieren von einer ICS-Verbindung
Bei ICS (Internet Connect Sharing = Gemeinsame Nutzung der Internetverbindung) handelt es sich um eine
freigegebene DFÜ-Verbindung auf einem Server, die Netzwerkclients mit Internetzugriff ausstattet und
Clientcomputer automatisch mit einer Adresse im Subnetzbereich 192.168.0.x konfiguriert.
Da dieser Dienst mit dem DHCP-Serverdienst konkurriert, sollten Sie alle freigegebenen (ICS-fähigen) DFÜVerbindungen auf dem Server löschen und den Servercomputer neu starten, bevor Sie die Windowskomponente DHCP-Protokoll (Dynamic Host Configuration Protokol) installieren oder die Funktion DHCPServer hinzufügen.
Praxistipp Migrieren von ICS-Clients 0367
ICS-Clients sind bereits für das automatische Abrufen einer IP-adresse konfiguriert, sodass theoretisch über
einen einfachen Neustart hinaus keine Neukonfiguration erforderlich ist, wenn auf DHCP migriert werden soll.
In der Praxis stellen Sie möglicherweise fest, dass ICS-Clients hartnäckig an ihren ICS-IP-Adressen festhalten,
selbst nachdem DHCP eingeführt worden ist.
Um derartige Komplikationen zu vermeiden, können Sie nach dem Löschen der ICS-Verbindung zunächst eine
manuelle (statische) Adresse auf die Clientcomputer anwenden.
Auf diese Weise wird die ICS-Verbindung unterbrochen.
Nehmen Sie anschließend einen Neustart der Clientcomputer vor.
Nach dem Neustart dr Clients migrieren diese ordnungsgemäß auf DHCP, sobald sie sie erneut für das
automatische Abrufen einer Adresse konfigurieren.
Tipp 0367
Überprüfung der Konfiguration des Clientcomputers: ipconfig /all
Tipp 0367
Wenn Benutzern ermöglicht werden soll, DHCP-Informationen zu lesen, ohne in der Lage zu sein, diese Daten
zu verwalten oder zu ändern, können sie zur domänenlokalen Sicherheitsgruppe DHCP-Benutzer hinzugefügt
werden.
Kommandozeilenbefehle 0367 netsh
netsh interface ip set adress „lan-verbindung“ static 192.168.2.3 255.255.255.0
Netzwerkadapter „LAN-Verbindung„ wird die statische Adresse 192.168.2.3 zugewiesen
netsh interface ip set dns „lan-verbindung“ static 192.168.2.1
Netzwerkadapter „LAN-Verbindung„ wird der bevorzugte DNS-Server mit der IP-Adresse 192.168.2.3 statisch
zugewiesen
Zusammenfassung der Lektion 7.1 0373
- Wenn ein DHCP-Server verfügbar ist, fordern Computer, die für das automatische Abrufen einer IP-Adresse
konfiguriert sind, beim Starten ihre IP-Konfiguration von diesem DHCP-Server an.
- Wenn DHCP-Server in Active Directory-Netzwerke integrieren werden sollen, müssen sie autorisiert sein.
- Ein DHCP-Bereich ist ein zusammenhängender Bereich von IP-Adressen, die innerhalb eines einzelnen
logischen Subnetzes definiert werden und Clients von DHCP-Server zugewiesen werden können.
Ein Bereich muss nach Definition und Konfiguration aktiviert werden, bevor der DHCP-Server Clients
bedienen kann.
- Ein Ausschlussbereich ist ein Satz mit einer oder mehreren IP-Adressen innerhalb eines festgelegten
Bereiches, für den keine Leases an DHCP-Clients ausgestellt werden sollen.
Eine Reservierung wird eingesetzt, um eine dauerhafte Adressleasezuweisung durch den DHCP anzulegen
(MAC-Adressen werden ohne Sonderzeichen wie Bindestriche Leerzeichen und Doppelpunkte eingegeben).
- Mit Hilfe von DHCP-Optionen Clients neben einer Adresslease mit zusätzlichen Konfigurationsdaten
ausgestattet, zum Beispiel mit den Adressen des Standardgateway oder des DNS-Servers.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 51 von 122
7.2 Lektion 2 Verwalten von DHCP in Windows-Netzwerken
Ändern des DHCP-Serverstatus
a) Konsole DHCP
b) Konsole Dienste
c) Befehlszeile
net start dhcpserver
net stop dhcpserver
net pause dhcpserver
net continue dhcpserver
Prüfungstipp 0375
Die Befehle net start/stop/pause/continue dhcpserver müssen Sie für die Prüfung kennen.
Hinweis 0375
Wenn der Dienst ausgeführt wird, während die Sie die Option Deaktiviert auswählen,
wird die Einstellung nach dem nächsten Neustart wirksam.
Verwalten von DHCP über die Befehlszeile
- Bei der Verwaltung von DHCP-Servern in WANs können Befehle an der Netsh-Eingabeaufforderung
eingesetzt werden, um administrative Aufgaben über langsame Netzwerkverbindungen durchzuführen.
- Bei der Verwaltung einer großen Anzahl von DHCP-Servern können Befehle im Batchmodus verwendet
werden, um sich wiederholende administrative Aufgaben zu automatisieren, die für alle Server durchgeführt
werden müssen.
Hinweis 0376
Es ist nicht notwendig, schrittweise zu den verschiedenen Ebenen von Netsh-Eingabeaufforderungen zu wechseln, um einen Netsh-Befehl auszuführen.
Um zum Beispiel eine Zusammenfassung der DHCP-Serverkonfiguration anzuzeigen, können Sie einfach eine
Eingabeaufforderung anzeigen und den Befehl netsh dhcp server show all in einer Zeile eingeben.
Wenn sie jedoch separat in die einzelnen Kontexte wechseln, können Sie mit Hilfe des Befehls help, list oder ?
eine Liste der Befehle anzeigen, die im jeweiligen Kontext zur Verfügung stehen.
Hinweis 0377
Zur Verwaltung eines DHCP-Servers unter Einsatz der Netsh-Befehlszeile müssen Sie als Mitglieder lokalen
Gruppe Administratoren oder DHCP-Administratoren des entsprechenden Servercomputers angemeldet
sein.
Hinweis 0379
Breichsgruppierungen enthalten lediglich eine Liste der Mitgleidbereiche oder untergeordnete Bereiche, die
gemeinsam aktiviert werden können.
Sie werden nicht zur Konfiguration weiterer Einzelheiten über die Bereichverwendung eingesetzt.
Hinweis 0379
Setzen Sie, wenn Sie in einem physikalischen Segment zwei logische Subnetze unterstützen, einen Router ein,
um den Nachrichtenverkehr zwischen den beiden Subnetzen zu unterstützen.
Bereichsgruppierung mit Unterstützung für 2 lokale DHCP-Server
Sie wird verwendet, um Clients, die zum falschen Subnetz gehören, zu hindern sich eine neue IP-Adresse zu
holen, wobei somit die Möglichkeit bestände sich danach im falschen Subnetz zu befinden.
Beispiel 0382
Vorgabe: 1 physikalisches Netzwerk und 2 DHCP-Server und 1 VLAN-fähigen Switch
DHCP-Server-1: Bereichsgruppierung
Bereich A 192.168.8.1-192.168.8.254 und
Bereich B 192.168.10.1-192.168.10.254
Ausschlüsse: 192.168.10.1-192.168.10.254 (nur in den Bereichen definiert)
DHCP-Server-1: Bereichsgruppierung
Bereich A 192.168.8.1-192.168.8.254 und
Bereich B 192.168.10.1-192.168.10.254
Ausschlüsse: 192.168.8.1-192.168.8.254 (nur in den Bereichen definiert)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 52 von 122
Wichtig 0382
Seien Sie bei einer Änderung von Bereichseigenschaften vorsichtig, damit keine aktiven Leases ausgeschlossen
und keine Adressen für das Subnetz in den neu konfigurierten Bereich einbezogen werden, die anderen
Computern manuell zugewiesen wurden.
Hinweis 0383 (eigener)
Umfasst der Adressbereich 10 Adressen und sind genau 10 reservierte Adressen vorhanden, dann kann sich kein
anderer Computer eine Adresse beziehen (wichtig für WLAN).
Prüfungstipp 0383
Auf der Registerkarte Erweitert des Eigenschaftenfelds für einen DHCP-Server kann die Konflikterkennung aktiviert werden.
Mit dieser Funktion kann angegeben werden, wie oft ein DHCP-Server einen Ping für eine angegebene Adresse
im Netzwerk ausführt, bevor diese Adresse einem Client zugewiesen wird.
Wenn der Ping-Versuch erfolgreich ist und eine Antwort generiert wird, wird diese Adresse nicht zugewiesen.
Diese Funktion ist zum Beispiel nützlich, wenn ein neuer DHCP-Server eingeführt werden muss, um einen kürzlich ausgefallenen Server zu ersetzen.
In diesem Fall kann die Konflikterkennung ohne die Unterstützung einer aktualisierten DHCP-Serverdatenbank
gewährleisten, dass anderen Clients keine aktuell aktiven Lease zugewiesen werden.
Tipp 0384
Es wird empfohlen, die DHCP-Datenbank regelmäßig auf Wechselmedien zu sichern (automatisch alle 60
Minuten oder per Hand über Sichern in der Konsole DHCP).
Dafür können Sie das Sicherungsprogramm (ntbackup.exe) benutzen, das in Windows Server 2003 integriert ist.
Planen Sie darin eine Datensicherungstask für den Ordner %Windir%\System32\Dhcp\Backup
(Datei: dhcpcfg).
Prüfungstipp 0385
Um einen DHCP-Server von einem Server auf einen anderen zu migrieren, muss die DHCP-Datenbank auf den
neuen Server verschoben werden (Konsole DHCP Sichern und alten DHCP-Serverdienst beenden und beim
neuen Server DHCP-Dienst starten und Konsole DHCP Wiederherstellen).
Sie müssen für die Prüfung 70-291 wissen, wie Sie einen DHCP-Server migrieren.
Verwenden von Optionsklassen
Sie dienen dem Verwalten von Optionen, die Clients innerhalb eines Bereichs bereitgestellt werden.
- Herstellerklassen dienen der Zuweisung herstellerspezifischer Optionen an Clients, die einen
gemeinsamen allgemeinen definierten Herstellertyp haben.
- Benutzerklassen werden verwendet, um diejenigen Clients Optionen zuzuweisen, die durch gemeinsame
Anforderungen hinsichtlich gleicher DHCP-Optionskonfigurationen gekennzeichnet sind.
Prüfungstipp 0386
In Windows Server 2003 enthält der DHCP-Server eine vordefinierte Benutzerklasse mit der Bezeichnung
Standardrouting- und RAS-Klasse.
Optionen in dieser Klasse sind nur für Clients wirksam, die eine Adresskonfiguration anfordern, während sie
eine RAS-Verbindung herstellen.
Eine dieser Optionen, die wahrscheinlich Bestandteil der Prüfung sein wird, ist die Option 051 Lease.
Durch Konfigurieren dieser Option können RAS-Clients kürzere Leasedauern zugewiesen werden als anderen
DHCP-Clients.
Hinweis 0388
Der Befehl ipconfig /showclassid <Adapternummer> kann verwendet werden, um sämtliche DHCP-Klassenkennungen anzuzeigen, die vom DHCP-Server für Netzwerkadapter zugelasen sind, die auf Ihrem Computer
installiert sind.
Der Befehl ipconfig /setclassid <Adapternummer> legt die DHCP-Klassenkennung fest, die der Client beim
Aufrufen seiner Lease vom DHCP-Server angibt.
Wichtig 0390
Bevor Mitgliedsbereiche einer Bereichsgruppierung gelöscht werden können, muss zunächst die Bereichsgruppierung selbst gelöscht werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 53 von 122
Zusammenfassung der Lektion 7.2 0392
- Eine Bereichsgruppierung ist eine administrative Gruppierung von Bereichen, die zur Unterstützung von
Multinets oder mehreren logischen Subnetzen in einem einzelnen physischen Subnetz eingesetzt wird.
- Wenn zu einem völlig neuen Bereich migriert werden muss, erstellen und aktivieren Sie zunächst und
deaktivieren Sie anschließend den alten Bereich.
Stellen Sie vor dem Entfernen eines Bereichs unbedingt sicher, dass der Bereich für einen ausreichend langen
Zeitraum deaktiviert wird, damit Clients zum neuen DHCP-Server migriert werden können.
- Um eine Sicherung der DHCP-Datenbank vorzunehmen, klicken Sie in der Konsole DHCP mit der
rechten Maustaste auf das DHCP-Serversymbol, und klicken Sie anschließend auf Sichern.
Um die DHCP-Datenbank von einer Sicherheitskopie wiederherzustellen, klicken Sie auf der Konsole DHCP
mit der rechten Maustaste auf das DHCP-Serversymbol, und anschließend auf Wiederherstellen.
Um die DHCP-Datenbank zu verschieben, sichern Sie sie, und verschieben Sie anschließend an einen anderen
Speicherort.
- Wenn zum Server eine Optionsklasse hinzugefügt wird, können Clients dieser Klasse mit klassenspezifischen
DHCP-Optionen für ihre Konfiguration ausgestattet werden.
Wenn eine Klasse erstellt wird, erstellen Sie auch eine entsprechende Klassenkennung.
Um zu einer Klasse einen DHCP-Client als Mitgleid hinzuzufügen, verwenden Sie den
Befehl ipconfig /setclassid.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 54 von 122
7.3 Lektion 3 Konfiguration von DHCP-Servern für das Durchführen von DNS-Updates
Hinweis 0393
Die Einstellungen für DNS-Updates für DHCP-Server können auch im Eigenschaftendialogfeld eines Bereichs
oder einer Reservierung konfiguriert werden.
Prüfungstipp 0395
Folgende Einstellungen der Registerkarte DNS sind für die Prüfung 70-291 wichtig:
- Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren (Standard)
DNS-A und -PTR-Einträge nur nach Aufforderung von DHCP-Clients dynamisch aktualisieren (Stand.)
DNS-A und -PTR-Einträge immer dynamisch aktualisieren
- A- und -PTR-Einträge beim Löschen der Release verwerfen (Standard)
- DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern
(zum Beispiel Clients, die Windows NT 4.0 ausführen) dynamisch aktualisieren
Wichtig 0396
Wenn aus Gründen der Fehlertoleranz mehrere DHCP-Server eingesetzt werden und in den Zonen, die von
diesen DHCP-Servern bedient werden, sichere dynamische DNS-Updates erforderlich sind, müssen alle
Computer, auf denen Windows Server 2003 DHCP-Server ausgeführt wird, unbedingt zur globalen
Sicherheitsgruppe DNSUpdateProxy hinzugefügt werden.
Sicherheitserwägungen 0396
Obwohl durch das Hinzufügen aller DHCP-Server zu dieser speziellen vordefinierten Gruppe einige Bedenken
über die Pflege sicherer DNS-Updates zerstreut werden, führt diese Lösung doch zu einigen zusätzlichen
Sicherheitsrisiken.
DNS-Domänennamen, die von einem Computer registriert werden, auf dem der DHCP-Server ausgeführt wird,
sind zum Beispiel nicht sicher.
Der A-Ressourceneintrag für den DHCP-Server selbst ist ein Beispiel für solchen Eintrag.
Zur Absicherung gegen dieses Risiko können sie für alle DNS-Einträge, die mit dem DHCP-Server selbst
verknüpft sind, manuell einen anderen Besitzer angeben.
Ein wesentlich größeres Problem tritt jedoch auf, wenn der DHCP-Server (ein Mitglied der Gruppe
DnsUpdateProxy) auf einen Domänencontroller installiert wird.
In diesem Fall ist kein Dienstidentifizierung (SRV)-, Host (A)- oder Alias (CNAME)-Ressourceneintrag
sicher, der vom Anmeldedienst für Domänencontroller installiert wurde.
Um dieses Problem zu minimieren, sollte ein DHCP-Server bei Verwendung dynamischer Updates nicht
auf einen Domänencontroller installiert werden.
Warnung 0397
Auf Windows Server 2003 kann der Einsatz sicherer dynamischer Updates durch Ausführen eines DHCPServers auf einem Domänencontroller gefährdet werden., wenn der DHCP-Dienst von Windows Server 2003 für
die Registrierung von DNS-Einträgen im Auftrag von DHCP-Clients konfiguriert ist.
Richten Sie DHCP-Server und Domänencontroller zur Vermeidung dieses Problems auf verschiedenen
Computern ein.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 55 von 122
Zusammenfassung der Lektion 7.3 0398
- Ein DHCP-Server aktualisiert standardmäßig den PTR-Eintrag eines DHCP-Clients mit
Windows 2000, XP oder Server 2003.
- Das dynamische Updateverhalten für einen DHCP-Server kann auf der Registerkarte DNS im Eigenschaftendialogfeld des jeweiligen DHCP-Servers geändert werden.
Optionale Einstellungen umfassen die grundsätzliche Durchführung von Updates (ungeachtet der Clientanforderung), das Unterlassen der Durchführung von Updates, und das Durchführen für Clients mit
Windowsversionen von 2000 und das Entfernen con Clienteinträgen in DNS bei Löschung einer
Adresslease.
- Wenn eine DNS-Zone nur sichere dynamische Updates zulässt, kann eine Konfiguration, in der der
DHCP-Server dynamische Updates im Auftrag von Clients vornehmen, gelegentlich zu veralteten
Ressourceneinträgen führen.
Da der Besitzer eines Ressourceneintrags diesen Eintrag bei sicheren dynamischen Updates selbst
aktualisieren muss, werden ressourceneinträge nicht aktualisiert, falls sich die Konfiguration zu einem
bestimmten Zeitpunkt geändert wird.
- Ressourceneinträge, die von den Mitgliedern der Gruppe DnsUpdateProxy registriert oder aktualisiert
werden, sind nicht geschützt.
Daher hat der Eintrag keinen Besitzer und kann folglich von einem DHCP-Server bzw. Client aktualisiert
werden, der ihn nicht erstellt hat.
Dies trifft auch in Zonen zu, die für die sichere Updates erforderlich sind.
- Sobald der erste DHCP-Server oder -Client, der kein Mitglied der Gruppe DNSUpdateProxy ist,
einen solchen Eintrag ändert, fungiert dieser Server bzw. Client als dessen Besitzer.
In dessen Folge kann der Eintrag in Zonen, die für die sichere Updates erforderlich sind,
nur vom Besitzer aktualisiert werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 56 von 122
Zusammenfassung des Kapitels 7 0401
- Wenn DHCP-Server in Active Directory-Netzwerke integriert werden sollen, müssen sie autorisiert werden.
- Ein DHCP-Bereich ist ein zusammenhängender Bereich von IP-Adressen, die innerhalb eines einzelnen logischen Subnetzes definiert werden und Clients vom DHCP-Server zugewiesen werden können.
Ein Bereich muss nach Definition und Konfiguration aktiviert werden, bevor der DHCP-Server Clients
bedienen kann.
- Mit Hilfe von DHCP-Optionen werden Clients neben einer Adresslease mit zusätzlichen Konfigurationsdaten
ausgestattet, zum Beispiel mit der Adresse des Standardgateways oder des DNS-Servers.
- Eine Bereichsgruppierung ist eine administrative Gruppierung von Bereichen, die zur Unterstützung von
Multinets oder mehreren logischen Netzwerken in einem einzelnen physischen Subnetz eingesetzt wird.
- Wenn zum Server eine Optionsklasse hinzugefügt wird, können Clients dieser Klasse mit klassenspezifischen
DHCP-Optionen für ihre Konfiguration ausgestattet werden.
Bei den Bereichsoptionen des DHCP-Servers kann man auf „Optionen konfigurieren ...“ und auf Registerkarte dann Herstellerklasse: DHCP-Standardoption und die entsprechende Benutzerklasse aussuchen.
Wenn eine Klasse erstellt wird, erstellen Sie auch eine entsprechende Klassenkennung (z.B. im ASCCI-Feld
beliebige Zeichen a-z, A-z, 0-9, Leerzeichen).
Um zu einer Klasse einen DHCP-Client als Mitglied hinzuzufügen
(Adapternamen in „“ setzen, falls er ein Leerzeichen enthält),
verwenden Sie den Befehl ipconfig /setclassid <Adaptername> [Klassenkennung].
Um festzustellen, zu welcher Optionsklasse der Adapter eines Clients gehört,
verwenden Sie den Befehl ipconfig /showclassid <Adaptername>.
Um von einer Klasse einen DHCP-Client als Mitglied zu entfernen,
verwenden Sie den Befehl ipconfig /setclassid <Adaptername>.
- Ein DHCP-Server aktualisiert standardmäßig den PTR-Eintrag eines Clients mit Windows 2000, XP oder
Windows Server 2003.
Dieses Verhalten entspricht der Durchführung dynamischer Updates entsprechend der Clientanforderung.
Ein DHCP-Server kann für die Aktualisierung sowohl der A- als auch PTR-Ressourceneinträge konfiguriert
werden, in dem Sie auf der Registerkarte DNS im Eigenschaftendialogfeld des jeweiligen Servers die
Option DNS-A- und PTR-Einträge immer aktualisieren aktivieren.
- Ressourceneinträge, die von den Mitgliedern der Gruppe DnsUpdateProxy registriert oder aktualisiert
werden, sind nicht geschützt.
Daher hat der Eintrag keinen Besitzer und kann folglich von einem DHCP-Server oder -Client aktualisiert
werden, der ihn nicht erstellt hat.
Dies trifft auch für Zonen zu, für die sichere Updates erforderlich sind.
Deswegen sollten DHCP-Server nicht auf Domänencontrollern installiert werden,
sofern dies die Netzwerkinfrastruktur zulässt, d.h. ein Mitgliedsserver der Domäne frei zur Verfügung steht.
Schlüsselinformationen Kapitel 7 0402
- Machen Sie sich mit DHCP-Bereichen, -Ausschlüssen und -Reservierungen vertraut.
Für Simulationsfragen müssen Sie wissen, wie Sie alle diese Elemente erstellen.
- Machen Sie sich mit DHCP-Leases und den entsprechenden Befehlen für Freigabe und Erneuerung vertraut.
- Lernen Sie die Funktionen von Bereichsgruppierungen.
- Machen Sie sich mit den Funktionen von Optionsklassen vertraut.
- Lernen Sie, wie DHCP-Server für die Durchführung von DNS-Updates konfiguriert werden können.
Schlüsselbegriffe Kapitel 7 0402
Multinets sind mehrere Subnetze, die in einem einzelnen Netzwerksegment konfiguriert sind.
Die wechselseitige Konfiguration von Multinets erfolgt über einen Router.
Rouge-Server Ein eigenständiger DHCP-Server, der sich in einem Active-Directory-Netzwerk befindet
(z.B. Windows NT-DHCP-Server oder ein im Router integrierter DHCP-Server).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 57 von 122
8. Kapitel 8 Überwachung und Problembehandlung von DHCP
8.1 Lektion 1 Analysieren des DHCP-Datenverkehrs
Leaseinitialisierung
Nachricht
D
DHCP Discover
Infos
vom DHCP-Client als Broadcast gesendet
(mit Client-MAC-Adresse)
O
DHCP Offer
vom DHCP-Server an die MAC-Adresse des Clients gesendet
DHCP-Server unterbreitet eine IP-Adresse als Angebot
(direkt an den Client, da er dessen MAC-Adresse kennt)
R
DHCP Request
DHCP-Client wählt eine angebotene IP-Adresse aus und
sendet an den DHCP-Server eine Antwortnachricht
A
DHCP Acknowledgment
DHCP-Server sendet eine Bestätigungs-Nachricht an den
DHCP-Client mit den Bereichsoptionen usw.
--------------------------------------------------------N
DHCP Negative Acknowledgment DHCP-Server sendet die NACK-Nachricht an den DHCP-Client,
wenn keine Lease angeboten werden kann
(IP schon vorhanden, keine IP-Adresse mehr verfügbar)
Es wird eine neue Leaseinitialisierung vom Client eingeleitet.
1. Der DHCP-Client übermittelt eine DHCP-Discover-Nachricht als Broadcast an das lokale Netzwerk.
2. Ein DHCP-Server kann mit einer DHCP-Offer-Nachricht antworten, die ein IP-Adressangebot als Clientlease
enthält.
3. Wenn kein DHCP-Server auf die Suchanfrage des Clients antwortet, kann der Client auf zwei
verschiedenen Arten fortfahren:
a) Wenn der Client Microsoft 2000 ausführt, nimmt der Client eine Selbstkonfiguration mit einer
APIPA (Automatische Private IP-Adressierung)-Adresse vor.
b) Wenn Microsoft Windows XP oder ein Mitglied der Windows Server 2003-Familie auf dem Client
ausgeführt wird, nimmt der Client eine Selbstkonfiguration mit einer alternativen Adresse vor,
falls eine solche bereitgestellt wurde.
Wenn keine statische alternative Adresse angegeben wurde, nimmt der Client eine Selbstkonfiguration
mit einer APIPA-Adresse (169.254.xxx.xxx/16) vor.
Wenn der Client eine Windows-Version ausführt, die älter als Windows 2000 ist, oder wenn keine statische
alternative IP-Adresse bereitgestellt und die IP-Autokonfiguration deaktiviert wurde,
kann der Client keine Initialisierung vornehmen.
Wenn der Client weiter online ist, fährt er fort, DHCP-Discover-Nachrichten zu senden (4 Nachrichten in
5 Minuten), bis er eine DHCP Offer-Nachricht von einem Server empfängt.
4. Sobald eine DHCP Offer-Nachricht eingegangen ist, wählt der Client die angebotene IP-Adresse aus,
indem er dem Server eine DHCP Request-Antwortnachricht übermittelt.
5. Sobald der Client die Bestätigung (ACK-Nachricht) mit den dort enthaltenen DHCP-Optionen erhält,
konfiguriert er seine TCP/IP (Transmission Control Protocol / Internet Protocol)-Eigenschaften unter
Verwendung der Informationen in der Antwortnachricht und wird somit in das Netzwerk eingegliedert.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 58 von 122
Leaseerneuerung
Wenn ein DHCP-Client heruntergefahren und neu gestartet wird, ruft er in der Regel eine Lease für dieselbe IPAdresse ab, die er vor dem Herunterfahren aufwies.
Die Leases werden erneuert, wenn die Hälfte der Clientleasedauer (standardmäßig vier Tage) verstrichen ist oder
der Befehl ipconfig /renew ausgeführt wird.
Folgendes passiert beim Ausführen des Befehls ipconfig /renew, wenn der Client seine Lease erneuern will:
1. Der Client sendet eine DHCP Request-Nachricht direkt an den Server, der die aktuelle Adresslease ausgestellt
hat, um diese zu erneuern und zu verlängern.
2. Wenn der DHCP-Server erreichbar ist, sendet er in der Regel eine DHCP ACK-Nachricht mit den aktuellen
Informationen an den Client, mit der die aktuelle Lease erneuert wird.
Wie beim ersten Leasevorgang sind auch in dieser Anwort weitere Informationen über DHCP-Optionen
enthalten.
Wenn Optionsinformationen nach dem ersten Abrufen einer Lease durch den Client geändert werden,
aktualisiert der Client seine Konfiguration entsprechend.
3. Wenn der Client nicht in der Lage ist, mit seinen ursprünglichen DHCP-Server zu kommunizieren, wartet er
bis er einen Neueinbindungszustand erreicht.
Dieser Zustand wird standardmäßig sieben Tage nach der letzten Leaseerneuerung erreicht.
Wenn der Client in dieses Stadium eintritt, versucht er seine aktuelle Lease auf einem beliebigen verfügbaren
DHCP-Server über Broadcast zu erneuern.
4. Wenn ein Server mit einer DHCP Offer-Nachricht antwortet, um die aktuelle Clientlease zu erneuen kann der
Client seine Lease über den anbietenden Server erneuern und den Betrieb fortsetzen.
5. Wenn die Lease abläuft und kein DHCP-Server kontaktiert werden konnte, muss der Client umgehend die
Verwendung seiner geleasten IP-Adresse einstellen.
6. Anschließend führt der Client dasselbe Verfahren durch, das während der ersten Starts genutzt wurde,
um eine neue IP-Adresse abzurufen (siehe Leaseinitialisierungsvorgang).
Infos
DHCP-Client fragt den DHCP-Server, ob er seine IP-Adresse
weiterhin behalten kann
A
DHCP Acknowledgment
DHCP-Server sendet eine Bestätigungs-Nachricht an den
DHCP-Client mit den Bereichsoptionen usw.
--------------------------------------------------------N
DHCP Negative Acknowledgment DHCP-Server sendet die NACK-Nachricht an den DHCP-Client,
wenn Leaseverlängerung nicht möglich ist.
(IP-Adresse mehrfach im Netz, keine IP-Adresse mehr verfügbar)
Es wird eine neue Leaseinitialisierung vom Client eingeleitet.
R
Nachricht
DHCP Request
Hinweis 0413
In bestimmten Situationen kann ein DHCP-Server statt der DHCP ACK-Nachricht in Schritt 2 der Leaseerneuerung eine DHCP-NACK (Negative Acknowledgment)-Nachricht an den Client übermitteln.
Die NACK-Nachricht wird an den Client gesendet, um anzuzeigen, dass die vom Client angeforderte IP-Adresse
vom DHCP-Server nicht bereitgestellt werden kann.
Diese Situation kann eintreten, wenn ein Client eine nicht zulässige oder mehrfach im Netzwerk vorhandene
Adresse anfordert.
Wenn ein Client eine negative Bestätigung empfängt, schlägt die Leaseerneuerung fehl und der
DHCP-Client startet einen neuen Leaseinitialisierungsvorgang.
Hinweis 0420
Bei der DHCP Request-Nachricht handelt es sich um die Nachricht, mit der dynamische Updates vom Server
angefordert werden.
In der Regel ist in der Request-Nachricht der vollqualifizierte Domänenname (Fully Qualified Domain Name,
FQDN) des Clients angegeben, so dass der DHCP-Server den PTR-Ressourceneintrag des Clients anschließend
entsprechend aktualisieren kann.
Prüfungstipp 0423
Sie sollten für die Prüfung 70-291 zwar alle DHCP-Nachrichten kennen, die in diesem Kapitel beschrieben
wurden, besonders intensiv sollten Sie sich mit der NACK-Nachricht beschäftigen.
Sie sollten zum Beispiel wissen, dass ein Client eine NACK-Nachricht bekommt, wenn ein DHCP-Server eine
Anforderung für eine Adresse erhält, für die er keine Lease vergeben kann.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 59 von 122
Zusammenfassung der Lektion 8.1 0428
- Die DHCP-Clientinitialisierung erfolgt, wenn ein Clientcomputer zum ersten Mal gestartet und in das Netzwerk einbezogen wird.
der Initialisierungsvorgang besteht aus einem Austausch von 4 Broadcastnachrichten.
- Ein DHCP-Client versucht zunächst, einen DHCP-Server im lokalen Netzwerk zu finden, indem er eine
DHCP Discover-Nachricht als Broadcast übermittelt.
- Wenn ein DHCP-Server die DHCP Discover-Nachricht empfängt, antwortet er normalerweise, indem er
eine DHCP Offer-Nachricht als Broadcast übermittelt, die ein IP-adressangebot an den Clients enthält.
- Der DHCP-Client antwortet auf eine DHCP-Offer-Nachricht mit einer DHCP-Request-Nachricht,
mit der die angebotene IP-Adresse angefordert wird.
- Zum Schluss übermittelt der anbietende DHCP-Server als Broadcast eine DHCP ACK-Nachricht,
mit der die Lease bestätigt wird und dem Client DHCP-Optionen zugewiesen werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 60 von 122
8.2 Lektion 2 Überwachen von DHCP mithilfe der Überwachungsprotokollierung
Der DHCP-Serverdienst schreibt standardmäßig tägliche Überwachungsprotokolle (je 1 MB groß) in den Ordner
%Windir%\System\32\Dhcp solange, bis die entsprechende Festplattenpartition noch 20 MB frei hat.
Die Dateien heißen DhcpSrvLog-Mo, -Di, -Mi, -Do, -Fr, -Sa und DhcpSrvLog-So.
Felder in DHCP-Serverprotokollen
Kennung
Der Wert der Kennung eines DHCP-Serverereignisses
Datum
Das Datum, an dem dieser Eintrag protokolliert wurde
Zeit
Die Uhrzeit, an dem dieser Eintrag protokolliert wurde
Beschreibung
Eine Beschreibung des jeweiligen DHCP-Serverereignisses
IP-Adresse
IP-Adresse des DHCP-Clients
Hostname
Hostname des IP-Clients
MAC-Adresse
Die MAC (Media Access Control)-Adresse, die von der Netzwerkadapterhardware
des Clients verwendet wird
Serverautorisierungsereignisse betreffend den Active Directory-Autorisierungsstatus des DHCP-Servers:
50
Unereichbare Domäne
(DHCP-Server konnte die jeweilige Domäne für seine konfigurierte AD-Installation nicht finden)
51
Autorisierung erfolgreich
52
Auf einen Windows Server 2003-Betriebssystem aktualisiert.
(Diese Funktion wird verwendet, um zu ermitteln, ob der Server in Active Directory autorisiert wurde.)
53
Zwischengespeicherte Autorisierung
(Der DHCP-Server wurde für das Starten unter Verwendung vorher zwischengespeicherter Informationen autorisiert.
Zum Zeitpunkt, als der Server im Netzwerk gestartet wurde, war Active Directory nicht verfügbar.)
54
Autorisierung fehlgeschlagen
(Der DHCP-Server wurde für den Start im Netzwerk nicht autorisiert und
DHCP-Server-Dienst wurde wahrscheinlich angehalten.)
55
Autorisiert (Dienst gestartet)
56
Autorisierung fehlgeschlagen. Dienst wurde beendet.
(Vor einem erneuten Start muss der DHCP-Server in Active Directory)
57
Server wurde in eigener Domäne gefunden
(Ein weiterer DHCP-Server ist vorhanden und wurde in die selbe Active Directory-Domäne für den
Dienst autorisiert.)
58
Server konnte die Domäne nicht finden
(Der DHCP-Server konnte die angegebene Active Directory-Domäne nicht finden.)
59
Netzwerkfehler
(Aufgrund eines netzwerkbezogenen Fehlers konnte der Server seinen Autorisierungsstatus nicht
bestimmen.)
60
Kein Domänencontroller ist für Verzeichnisdienst aktiviert
(Es konnte kein Active Directory-Domänencontroller gefunden werden.
Ein Active Directory-aktivierter Domänencontroller ist erforderlich, um den Autorisierungsstatus des
Servers zu bestimmen.)
61
Server wurde gefunden, der einer Verzeichnisdienstdomäne angehört
(Ein weiterer DHCP-Server, der zur Active Directory-Domäne gehört, wurde im Netzwerk gefunden.)
62
Anderer Server gefunden
(Ein weiterer DHCP-Server wurde im Netzwerk gefunden.)
63
Rogue-Erkennung wird neu gestartet
(Der DHCP-Server versucht ein weiteres Mal zu ermitteln, ob er für den Start und das Bereitstellen des
Dienstes im Netzwerk autorisiert ist.)
64
Keine DHCP-aktivierten Schnittstellen
(Die Dienstanbindungen oder Netzwerkverbindungen des DHCP-Servers wurden so konfiguriert, dass
dieser leinen DHCP-Dienst bereitstellen kann.
Diese Konfiguration resultiert gewöhnlich aus einer der folgenden Bedingungen:
- Die Netzwerkverbindung des Servers sind entweder nicht installiert oder nicht aktiv mit dem Netzwerk
verbunden.
- Der Server wurde nicht mit mindestens einer statischen IP-Adresse für eine seiner installierten und
aktiven Netzwerkverbindungen konfiguriert.
- Sämtliche statisch konfigurierten Netzwerkverbindungen des Servers sind deaktiviert.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 61 von 122
Tipp 0434
Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das DHCPProtokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler aufgetreten ist.
Zusammenfassung der Lektion 8.2 0435
- Mithilfe der Überwachungsprotokollierung wird die gesamte tägliche DHCP-Serveraktivität in kommagetrennten Textdateien aufgezeichnet.
DHCP-Serverprotokolldateien werden standardmäßig im Ordner %windir%\System32\Dhcp gespeichert.
- DHCP-Serverprotokolldateien haben Namen wie DhcpSrvLog-Mo oder DhcpSrvLog-Di, die den
Wochentagen entsprechen, an denen die DHCP-Aktivität jeweils 00:00 Uhr aufgezeichnet wird.
Die Dateien werden wöchentlich überschrieben.
- Ergebnisse werden in DHCP-Serverprotokolldateien mit einer Ereigniskennung angegeben.
Ereigniskennungen, deren Wert unter 50 liegt, werden in den einzelnen Protokolldateien beschrieben und
müssen daher nicht auswendig gelernt werden.
Ereignisse, deren Kennung größer oder gleich 50 ist, betreffen den Status der Active Directory-Autorisierung.
sie können diese Ereignisse entweder auswendig lernen oder in einer Referenz nachschlagen,
wenn die Bedeutung der Ereignisse bestimmt werden muss.
- Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich das
DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler oder ein anderer Fehler
aufgetreten ist.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 62 von 122
8.3 Lektion 3 Problembehandlung von DHCP
Folgendes kann man untersuchen:
- Überprüfen der Clientkonfiguration
- Adresskonflikte feststellen
- Fehler beim Abrufen einer DHCP-Adresse
- Adresse aus einem falschen Bereich empfangen
(DHCP-Relay-Agent, RFC-1542-Router richtig konfigurieren)
- Überprüfen der Serverkonfiguration (Bindungen)
- Überprüfen der Bereichskonfiguration
- Abstimmen der DHCP-Datenbank
- Überprüfen der Ereignisanzeige
Hinweis 0438
Mit dem Befehl shutdown /i wird ein grafisches Tool angezeigt, in dem eine Anzahl von Remotecomputern
ausgewählt werden kann, die herunter gefahren werden sollen.
Tipp 0438
Wenn sie den Standort, die Adresse oder den Namen des DHCP-Servers im Netzwerk nicht kennen, dann führen
Sie in einer Eingabeaufforderung den Befehl netsh dhcp show server aus.
Dieser Befehl zeigt die Namen und Adressen sämtlicher Server an, die in Active Directory autorisiert sind.
Hinweis 0439
DHCP Request-Nachrichten enthalten das Giaddr-Feld, mit dem der DHCP-Server über das Subnetz
informiert wird, aus dem die Anforderung stammt.
Wenn dieses Feld leer ist, wird dem Client eine Adresse aus dem lokalen Bereich zugewiesen.
Wenn das Giaddr-Feld wie im lokalen fall eine Adresse enthält, weisst der DHCP-Server dem Client eine
Adresse aus dem Bereich zu, der mit dieser Adresse kompatibel ist
(DHCP: Relay IP Address (giaddr) = 192.168.6.1).
Prüfungstipp 0440
Sie können damit rechnen, dass in Prüfung 70-291 eine Frage vorkommt, in der ein DHCP-Server nicht
funktioniert, weil er nicht autorisiert ist.
Häufig gibt es auch Fragen, in denen Clients keine Adresse abrufen können, weil der DHCP-Bereich nicht
aktiviert ist.
Prüfungstipp 0440
DHCP-Optionen werden zwar normalerweise auf der Bereichsebene angewendet.
Sie dürfen aber nicht vergessen, dass Sie Optionen auch auf der Server- oder Reservierungsebene anwenden
können.
Wenn Sie Optionen auf der Server-Ebene konfigurieren, werden diese Optionen an alle lokal konfigurierten
Bereiche und Reservierungen vererbt.
Wenn Sie Optionen auf der Bereichs-Ebene konfigurieren, werden diese Optionen an alle Reservierungen
innerhalb dieses Bereichs vererbt.
Falls Sie möchten, dass DHCP-Optionen nur für bestimmte Computer gelten sollen, können Sie Reservierungen
für diese Computer konfigurieren und dann Optionen auf der Reservierungsebene festlegen.
Prüfungstipp 0441
Achten Sie auf Fragen, in denen die Leasedauer in einem Bereich herabgesetzt werden muss, um in einem
Adressraum viele Benutzer aufnehmen zu können.
In der Regel schließen diese Szenarien viele Laptopbenutzer oder Telearbeiter ein, die eine Einwahl von
Remotestandorten aus vornehmen.
Prüfungstipp 0441
Wenn Sie eine Reservierung erstellen müssen, sind Trennzeichen egal.
Es ist also unerheblich, ob Sie Bindestricher, Doppelpunkte oder gar nichts verwenden.
In Windows Server 2003 versteht der DHCP-Server MAC-Adressen unabhängig davon,
ob sie Trennzeichen enthalten oder nicht.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 63 von 122
Hinweis 0441 (eigener)
Bei Netzwerken, in denen mehrere DHCP-Server innerhalb eines bestimmten Broadcastbereiches eingerichtet
sind, muss abschließend sichergestellt werden, dass die Bereichsgruppierungen konfiguriert und die von den
einzelnen DHCP-Servern ausgestellten Adressbereiche auf den jeweils anderen Server ausgeschlossen sind .
Praxistipp 0442
Ermitteln und Überprüfen von MAC-Adressen für Reservierungen
Zur Konfiguration einer Adressreservierung muss die Hardwareadresse des Computers bekannt sein,dessen IPAdresse reserviert werden soll.
Das Dialogfeld Status von LAN-Verbindungen bildet die grundlegende grafische Benuteroberfläche (GUI)
zur Ermittlung der Hardwareadresse eines lokalen Computer (oder eines Remotecomputers über eine Remotedesktopverbindung).
Klicke Sie in diesem Dialogfeld auf die Registerkarte Netzwerkunterstützung und anschließend auf
Details.
Auf diese Weise wird das Dialogfeld Netzwerkverbindungsdetails angezeigt, das zusammenfassende Informationen wie die MAC-Adresse des Computers (Feld Physikalische Adresse ), die IP-Adresse, die Adresse
des DHCP-Servers, die Adresse des DNS-Servers und weitere nützliche Informationen enthält.
Die MAC-Adresse des lokalen Computers ist außerdem in der Angabe des Befehls ipconfig /all enthalten.
Diese Methoden sind praktisch.
Es steht jedoch ein wesentlich schnelleres Verfahren zur Verfügung, um MAC-Adressen von lokalen und
Remotecomputern zu ermitteln.
In den Windows-Supporttools ist das Dienstprogramm Getmac enthalten.
Beim Aufruf mit dem Parameter /s (getmac /s) erlaubt dieses Programm das Abrufen der Hardwareadresse
eines beliebigen Computers im Netzwerk oder in einem Remotenetzwerk.
Durch Weiterleiten der der Getmac-Ausgabe in die Zwischenablage kann die MAC-Adresse des Remotecomputers in das Dialogefeld Neue Reservierung eingefügt werden.
Geben sie hierfür in einer Eingabeaufforderung zum Beispiel den folgenden Befehl ein:
getmac /s svr3 | clip
Zeigen Sie anschließend den Editor an und drücken Sie STRG+V.
Auf diese Weise wird die Ausgabe der vorherigen Getmac-Operation eingefügt.
Anschließend können Sie die Hardwareadresse von svr3 aus dem Editor kopieren und in das Dialogfeld
Neue Reservierung einfügen.
Hinweis 0445
Wenn Sie mehr Informationen über das DHCP-Serververhalten benötigen, als das Ereignisprotokoll liefert,
sehen Sie sich die täglichen DHCP-Serverprotokolldateien mittels eines Editors im Verzeichnis
%Windir\System32\Dhcp an.
Zusammenfassung der Lektion 8.3 0446
- Ermitteln Sie bei der DHCP-Problembehandlung zunächst, ob der Fehler auf dem Client, der Netzwerkhardware oder auf dem Server auftritt.
- Verwenden Sie Statusdialogfeld der Verbindung oder die Ausgabe des Befehls ipconfig /all,
um zu ermitteln, ob eine Clientadresse ordnungsgemäß von einem DHCP-Server abgerufen wurde.
- Stellen Sie sicher, dass die Adressen der einzelnen Clients im Broadcastbereich eines konfigurierten
DHCP-Servers, DHCP-Relay-Agents oder RFC 1542-kompatiblen Routers vorliegen.
- Vergewissern Sie sich zur Überprüfung der Konfiguration eines DHCP-Servers, dass der Server
ordnungsgemäß installiert, autorisiert und gebunden wurde.
- Stellen sie bei der Überprüfung der Bereichskonfiguration sicher, dass der Bereich aktiviert ist,
und prüfen sie die Einstellungen für den Adressbereich, die Subnetzmaske, Ausschlüsse, Reservierungen
und Bereichsgruppierungen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 64 von 122
Zusammenfassung des Kapitels 8 0448
- Die DHCP-Clientinitialisierung erfolgt, wenn ein Clientcomputer zum ersten Mal gestartet und in das
Netzwerk einbezogen wird.
Der Initialisierungsvorgang besteht aus einem Austausch von vier Broadcastnachrichten:
Discover, Offer, Request und Acknowledgment (ACK).
- Mithilfe der Überwachungsprotokollierung wird die gesamte tägliche DHCP-Server-Aktivität in
kommagetrennten Textdateien aufgezeichnet.
DHCP-serverprotokolldateien werden standardmäßig im Ordner %Windir%\System32\Dhcp
gespeichert.
- Ereignisse werden in DHCP-Serverprotokolldateien mit einer Ereigniskennung angeben.
Ereigniskennungen, deren Wert unter 50 liegt, werden in den einzelnen Protokolldateien beschrieben und
müssen daher nicht auswendig gelernt werden.
Ereignisse, deren Kennung größer oder gleich 50 ist, betreffen die Erkennung von Rogue-Servern
(den Status der Active Directory-Autorisierung).
Sie können diese Ereignisse entweder auswendig lernen oder in einer Referenz nachschlagen,
wenn die Bedeutung der Ereignisse bestimmt werden muss.
- Wenn ein DHCP-Server die Bereitstellung von Leases für Clients beendet, sollten Sie grundsätzlich
das DHCP-Protokoll überprüfen, um festzustellen, ob ein Autorisierungsfehler aufgetreten ist.
- Ermitteln Sie bei der DHCP-Problembehandlung zunächst, ob der Fehler auf dem Client, in der Netzwerkhardware oder auf dem Server auftritt.
- Vergewissern Sie sich zur Überprüfung der Konfiguration eines DHCP-Servers, dass der Server
ordnungsgemäß installiert, autorisiert und gebunden wurde.
- Stellen Sie bei der Überprüfung der Bereichskonfigurierung sicher, dass der Bereich aktiviert ist, und
prüfen Sie die Einstellungen für den Adressbereich, die Subnetzmaske, Ausschlüsse, Reservierungen und
Bereichsgruppierungen.
Schlüsselinformationen Kapitel 8 0449
- Lernen Sie die verschiedenen Typen von DHCP-Nachrichten und ihre Funktionen
( Discover, Offer, Request und Acknowledgment (ACK) ).
- Machen Sie sich mit den verschiedenen Methoden der Erneuerung und Aktualisierung einer Adresslease
vertraut: ipconfig /renew, die Schaltfläche Reparieren und das Neustarten des Clientcomputers.
- Entwickeln Sie ein Verständnis für die verschiedenen Funktionen des DHCP-Überwachungsprotokolls
und stellen Sie sicher, dass Sie in der Lage sind,
Nachrichten aus dem Überwachungsprotokoll lesen zu können.
- Lernen Sie die Vorteile des Anhebens der Anzahl von Konfliktversuchen auf dem DHCP-Server.
- Entwickeln Sie ein Verständnis für die Vorteile und Nachteile von langen bzw. kurzen Leasedauern.
- Stellen Sie sicher, dass Sie Fehler in der Konfiguration eines DHCP-Servers oder eines Bereiches erkennen.
Schlüsselbegriffe Kapitel 8 0449
DHCP Discover Eine DHCP-Nachricht, die von einem DHCP-Client als Broadcast übermittelt wird und ihm
so ermöglicht, einen DHCP-Server zu ermitteln.
DHCP NACK Eine Nachricht, die von einem DHCP-Server an einen Client gesendet wird, um anzuzeigen,
dass die vom Client angeforderte IP-Adresse für das lokale Netzwerk, dass vom DHCP-Server versorgt wird,
nicht geeignet ist.
Giaddr Ein Feld in der DHCP-Nachricht, in dem die Adresse des DHCP-Relay-Agents oder eines RFC 1542kompatiblen Routers enthalten ist.
Mittels dieses Feldes kann ein DHCP-Server Clients in Remotesubnetzen geeignete Adressen zuweisen.
Flag für die Wiederherstellung der Datenbank Eine Einstellung, die festlegt, ob der DHCP-Serverdienst eine
Kopie der DHCP-Datenbank in sein Standardsicherungsverzeichnis kopiert, wenn der Dienst neu initialisiert
wird.
Standardmäßig ist das Flag auf 0 gesetzt, sodass die Sicherung beim Start des Dienstes nicht geladen wird.
Wenn das Flag auf 1 gesetzt ist, wird die Sicherung beim Start des Dienstes geladen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 65 von 122
9. Kapitel 9 Routing mit Windows Server 2003
Routing liefert die Grundlage für das Internet und einen Großteil der Netzwerkkommunikation.
Obwohl Routing ein entscheidendes Merkmal der meisten Netzwerke ist, können Router nur selten einfach
konfiguriert und unterstützt werden.
Das Routing über DFÜ-Verbindungen zum Beispiel erfordert Kenntnisse über Authentifizierung, statische
Routen und eine Adresszuweisung, die auf Routingsszenarien zugeschnitten ist.
Das Routing über Standleitungen bietet indessen seine eigenen spezifischen Herausforderungen.
Effektiv arbeitende Netzwerkadministratoren müssen in der Lage sein, die Vielzahl komplexer Elemente von
gerouteten Netzwerken wie Routingprotokolle und Routingtabellen zu verwalten, für die Unterstützung und
Konfiguration erforderlich ist.
Microsoft Windows Server 2003 kann als Nezwerkrouter konfiguriert werden.
Wenn eine Einführung von Windows Server 2003-Routern praktikabel ist, bietet sie gegenüber dedizierten
Hardwareroutern verschiedene Vorteile, darunter geringere Kosten, einfachere Verwaltung sowie Integration in
die Windows-Sicherheit und Gruppenrichtlinien.
In diesem Kapitel wird die Konfiguration und Verwaltung der mit dem Routing und RAS-Dienst in Windows
Server 2003 verbundenen Routingfunktionen beschrieben, einschließlich der Netzwerkadressübersetzung,
des Routings für Wählen bei Bedarf und der Paketfilter.
9.1. Lektion 1 Konfigurieren von Windows Server 2003 für LAN-Routing
Das Routing ist die Übertragung von Daten zwischen zwei LANs (Local Area Networks, lokale Netzwerke) über
ein Verbundnetzwerk.
Der Routing und RAS-Dienst kann für LAN zu LAN-, LAN zu WAN- (Wide Area Network), VPN- (Virtuelles
Privates Netzwerk) und NAT (Netzwerkadressenübersetzung)-Routing über IP-Netzwerke konfiguriert werden.
Hinweis 0460
Windows Server 2003 bietet zudem Unterstützung für AppleTalk-Routing.
Während das IPX (Internetwork Packet Exchange)-Routing in Microsoft Windows 2000 noch unterstützt wird,
können Computer mit Windows 2003 nicht als IPX-Router fungieren.
Hinweis 0462
Berücksichtigen Sie, dass sich eine Schnittstelle für Wählen bei Bedarf nicht unbedingt auf eine DFÜVerbindung bezieht.
Eine solche Schnittstelle kann auch zu einer VPN- oder PPPoE-Verbindung über eine Standleitung gehören.
Das Konfigurieren der Eigenschaften des Routing und RAS-Dienstes erfolgt über die Einstellungsseiten:
Allgemein
(Router wie Nur LAN-Roting oder LAN und bei Bedarf wählendes Routing und RAS-Server)
Sicherheit
(Authentifizierungsanbieter, Authentifizierungsmethoden [EAP {geschütztes EAP = PEAP,
MD5 Challenge, Smartcard oder ein anderes Zertifikat}, MS-CHAP v2, MS-CHAP, CHAP,
SPAP, PAP = unverschlüsseltes Kennwort und Nichtauthentifizierter Zugriff] und
Kontoanbieter [kein, Windows-Kontoführung, RAS-Kontoführung],
benutzerdefinierte IPSec-Richtlinie für L2TP-verbindungen),
IP
(IP-Routing aktivieren, IP-basierte RAS- und Verbindungen für Wählen bei Bedarf zulassen,
IP-Adresszuweisung [DHCP oder statischen Adresspool],
Broadcastnamensauflösung aktivieren, Adapter)
PPP
(Mehrfachverbindungen oder Dynamische Bandbreitensteuerung mit BAP oder BACP oder
Link Control-Protocol [LCP]-Erweiterungen oder Softwarekomprimierung)
Protokollierung (Nur Fehler Protokollieren oder Fehler und Warnungen protokollieren oder
Alle Ereignisse protokollieren oder keine Ereignisse protokollieren
und/oder Zusätzliche Routing- und RAS-Informationen protokollieren
[für Debugzwecke, Protokolle sind im %windir%\tracing ]).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 66 von 122
Arbeiten mit Routingtabellen
Die Routingtabelle zeigt folgendes an: Ziel , Netzwerkmaske, Gateway, Schnittstelle, Metrik und Protokoll.
Die Routingtabelle enthält Einträge, die als Routen bezwichnet werden und die Richtungen zu den
Zielnetzwerken oder Zielhosts angeben:
- Hostroute
Dieser Routentyp liefert eine Route zu einem bestimmten Zielhost oder zu einer bestimmten
Broadcastadresse.
In IP-Routingtabellen werden Hostrouten durch die Netzwerkmaske 255.255.255.255
gekennzeichnet.
- Netzwerkroute Dieser Routentyp liefert eine Route zu einem bestimmten Zielnetzwerk.
In IP-Routingtabellen werden Netzwerkrouten durch eine
Subnetzmaske zwischen 0.0.0.0 und 255.255.255.255 gekennzeichnet.
- Standardroute Routingtabellen enthalten eine einzigste Standardroute.
Diese Route wird zur Weiterleitung aller Datenpakete verwendet, deren Zieladresse mit keiner
anderen Adresse in der Routingtabelle übereinstimmt.
In IP-Routingtabellen wird die Standardroute durch die
Adresse 0.0.0.0 und die Netzwerkmaske 0.0.0.0 festgelegt.
Prüfungstipp 0478
Für die Simulationsfragen sollten Sie wissen, wie Sie statische Routen in der Konsole Routing und RAS
erstellen.
Falls in einer Frage gefordert wird, eine statische Route für ein bestimmtes Netzwerk (z.B. 192.168.2.0) zu
erstellen, ist dieses Netzwerk die Zieladresse innerhalb der statischen Route.
Falls Sie Gateway nicht explizit genannt bekommen, sollten Sie nach den Anforderungen Ausschau halten, in
denen beschrieben wird, dass Pakete, die an ein bestimmtes Netzwerk (Zielnetzwerk) gerichtet sind, an eine
bestimmte Adresse (das Gateway) geschickt werden sollen.
Hinweis 0478
Statische Routen, die über die Konsole Routing und RAS hinzugefügt werden, sind permanent, bleiben also
auch nach einem Neustart des Routingcomputers aktiv.
Hinweis 0478
Konsolenbefehl route
route print
Ausdrucken der Routingtabelle (Anzeigen auf dem Monitor) mit der Schnittstellenliste
route add -p 192.168.4.0 mask 255.255.255.0 192,168.2.2
Hinzufügen einer statischen Route mittels Parameter -p
route delete 192.168.4.0
Löschen einer Route, wobei nur die Kennung nach dem Parameter delete angegeben wird
Vorteile einer statischen Route:
- Bevorzugt in kleinen Netzwerken eingesetzt wegen der leichteren Bereitstellung der Routen.
- Statische Routen sind weniger ressourcenintensiv, da keine Kommunikation zwischen den Routern gibt.
Daher sind sie für WAN-Verbindungen geeignet.
- Statische Routen unterstützen im Gegensatz zu dynamischen Routing nicht nummerierte Verbindungen.
Dabei handelt es sich um Verbindungen, bei dem höchstens eine der beiden verbindenden logischen
Schnittstellen (gewöhnlich in der Verbindung für Wählen bei Bedarf) eine IP-Adresse abrufen kann.
In der Regel wird Routing für Wählen bei Bedarf über nummerierte Verbindungen betrieben.
D.h., dass sowohl der Senderrouter als auch der Empfangsrouter gegenseitig die IP-Adressen abrufen und
diese Adressen den logischen Endpunkten der Punkt-zu-Punkt-Verbindung zuweisen.
Wenn dieser Vorgang unter Windows Server 2003 fehlschlägt, werden den verbindenden logischen Schnittstellen normalerweise APIPA zugewiesen.
Nicht nummerierte Verbindungen treten daher nur auf, wenn einer der Router APIPA nicht unterstützt.
Nachteile einer statischen Route:
- Sobald das Netzwerk wächst und groß wird, übersteigen die Verwaltungskosten der Pflege statischer Routen
schnell die Kosten der Implementierung und Pflege eines Protokolls für dynamisches Routing.
- Mangelnde Fehlertoleranz (Verbindung ist unterbrochen, solange die Route nicht ordnungsgemäß
konfiguriert wurde)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 67 von 122
Routingschleife (Fehlerfall)
Zwei benachbarte Router sollten nicht mit Standardroutenkonfiguriert werden, die wechselseitig aufeinander
verweisen, denn sie verursachen somit einen für den Datenverkehr nicht erreichbares Ziel.
Insidertipp 0480
In der Prüfung werden unter Umständen statische Routen behandelt, die im Szenario eines Unternehmens-LANs
eingesetzt werden.
In der Praxis jedoch werden diese Routen nur verwendet, wenn keine andere Option verfügbar ist.
Die Pflege statischer Routen für reale Netzwerke wäre zu mühsam und zeitaufwendig.
Sie müssten nicht nur Zeit für die Erstellung der statischen Route aufbringen, sondern auch alle Updates und
Problembehandlungen manuell vornehmen.
Im Vergleich dazu ist das Protokoll für dynamisches Routing RIP, das im Wesentlichen dieselbe Funktion wie
statische Routen erfüllt, problemlos zu installieren und erfordert nahezu keine Pflege.
Für größere Netzwerke, für die das Protokoll für dynamisches Routing OSPF erforderlich ist, stellt statisches
Routing noch nicht mal eine Option dar.
Im Grunde genommen sollten statische Routen nur dann statt RIP oder OSPF eingesetzt werden, wenn eine
Verbindung zu einem Remoterouter nur sporadisch genutzt wird.
In diesen Fällen können Protokolle für dynamisches Routing nicht verwendet werden, da Router hier im Abstand
von einigen Sekunden (30 für RIP und 10 für OSPF) regelmäßig miteinander kommunizieren müssen.
Zusammenfassung der Lektion 9.1 0483
- beim Routing und RAS-Dienst in Windows Server 2003 handelt es sich um einen MultiprotokollSoftwarerouter, der leicht in Windows-Funktionen wie Sicherheitskonten und Gruppenrichtlienien integriert
werden kann.
Die Konsole Routing und RAS ist das wichtigste Tool für die Konfiguration und Verwaltung dieses
Dienstes.
- Router lesen die Zieladressen von empfangenen Datenpaketen und leiten diese Pakete anschließend in die
Richtungen weiter, die in den Routingtabellen angegeben sind.
In Windows Server 2003 kann die IP-Routingtabelle über die Konsole Routing und RAS
oder mithilfe des Befehls route print angezeigt werden.
- Routenquellen können unter Verwendung des Dialogfeldes Eigenschaften von Allgemein Vorrangstufen
zugeordnet werden.
Auf dieses Dialogfeld kann über den untergeordneten Knoten Allgemein des Knoten IP-Routing
zugegriffen werden.
Mit diesen Vorrangstufen wird ermittelt, welche Route Vorrang hat, wenn mehrere Quellen überlappende
roten bereitstellen.
- Ohne Protokolle für dynamisches Routing muss ein Router statische Routen einsetzen, um eine Verbindung
zu nicht benachbarten Subnetzen herzustellen, die nicht in derselben Richtung wie die Standardroute liegen.
- Statische Routen können über die Konsole Routing und RAS oder
mit Hilfe des Befehls route add hinzugefügt werden.
Durch Hinzufügen des Parameters -p zum Befehl route add wird eine permanente statische Route
erstellt.
Diese Route bleibt also selbst nach einem Neustart des Routers aktiv.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 68 von 122
9.2 Lektion 2 Konfigurieren des Routings für Wählen bei Bedarf
Schnittstellen für Wählen bei Bedarf können verwendet werden, um Verbindungen zwischen Remotecomputern
in einer Konfiguration zu erstellen, die als Routing für Wählen bei Bedarf bezeichnet wird.
Routing für Wählen bei Bedarf wird in den meisten fällen eingesetzt, wenn die Kosten der Bereitstellung einer
dedizierten Verbindung zwischen zwei Remotecomputern zu hoch sind oder die Verbindung nicht häufig genug
verwendet wird, um die Kosten einer Standleitung zu rechtfertigen.
Problembehandlung von Routing für Wählen bei Bedarf
a. Damit das Routing für Wählen bei Bedarf ordnungsgemäß betrieben werden kann, muss auf beiden Verbindungsendpunkten eine Reihe von grundlegenden Funktionen aktiviert werden.
Stellen Sie sicher, dass der Routing und RAS-Dienst auf beiden Servern konfiguriert und aktiviert ist.
Vergewissern Sie sich daraufhin, dass beide Server in der Konsole Routing und RAS für LAN-Routing und
das Routing für Wählen bei Bedarf konfiguriert wurden.
Das IP-Routing muss ebenfalls aktiviert werden.
Stellen Sie abschließend sicher, dass die notwendigen Schnittstellen für Wählen bei Bedarf nicht deaktiviert
sind.
b. Für den ordnungsgemäßen Betrieb des Routings für Wählen bei Bedarf müssen statische Routen für beide
Endpunkte der Verbindung für Wählen bei Bedarf konfiguriert werden.
Stellen Sie sicher, dass die Routen richtig konfiguriert sind.
Vergewissern Sie sich außerdem, dass das Kontrollkästchen Bei Bedarf herzustellende Verbindung über
diese Route für das Routing für Wählen bei Bedarf aktiviert ist.
c. Damit die Verbindung als Verbindung zu einem gerouteten Netzwerk fungieren kann, darf die Verbindung
für Wählen bei Bedarf nicht als RAS-Verbindung angesehen werden.
Damit gewährleistet ist, dass die Verbindung richtig interpretiert wird, müssen Sie sich vergewissern, dass
der Benutzername in den Anmeldeinformationen des anrufenden Routers dem Namen einer Schnittstelle für
Wählen bei Bedarf entspricht, die auf dem antwortenden Router entspricht.
Stellen Sie sicher, dass die Anmeldeinformationen des anrufenden Routers, die aus einem Benutzernamen,
einem Kennwort und einem Domänennamen bestehen, richtig sind und durch den antwortenden Router
bestätigt werden können.
d. Antwortende Router müssen für den Betrieb in Active Directory-Domänen autorisiert werden.
Bei einem Antwortenden Router, der ein Mitglied einer Active Directory-Domäne ist, muss sichergestellt
werden, dass das Computerkonto des antwortenden Routers ein Mitglied der Sicherheitsgruppe
RAS- und IAS-Server ist.
e. Geroutete Verbindungen werden sowohl authentifiziert als auch verschlüsselt (siehe Thema 10).
Damit gewährleistet ist, dass eine geroutete Verbindung für Wählen bei Bedarf hergestellt werden kann,
müssen Sie sicherstellen, dass der anrufende und der antwortende Router in Verbindung mit einer
RAS-Richtlinie für den Einsatz mindest einer gebräuchlichen Authentifizierungsmethode und einer
verbreiteten Verschlüsselungsmethode konfiguriert sind.
f. Für jede Schnittstelle für Wählen bei Bedarf können Einschränkungen in Form von Hinauswählzeiten und
Filtern für Wählen bei Bedarf konfiguriert werden.
Stellen Sie für alle Schnittstellen sicher, dass die Hinauswählzeiten oder Filter für Wählen bei Bedarf
für die einzelnen Schnittstellen für Wählen bei Bedarf, die auf den anrufenden Router konfiguriert sind,
den Verbindungsversuch nicht verhindern.
g. Schnittstellen für Wählen bei Bedarf kommunizieren über Ports, die wiederum in der Konsole
Routing und RAS für eingehenden und ausgehenden Datenverkehr deaktiviert werden können.
Wenn eine Verbindung an einem der Endpunkte einer Routingverbindung für Wählen bei Bedarf nicht
hergestellt werden kann, stellen Sie sicher, dass die verwendeten DFÜ-Ports für wählen bei Bedarf
(eingehend und ausgehend) konfiguriert sind.
h. Paketfilter können den Zugriff über einen Verbindungspunkt hinaus blockieren.
Wenn Sie keine Verbindung mit Ressourcen hinter der dem antwortenden Router herstellen können,
stellen Sie sicher, dass das Weiterreichen von erwünschtem Datenverkehr nicht von einem Paketfilter
auf einer der Schnittstellen für Wählen bei Bedarf verhindert wird.
Jede Schnittstelle für Wählen bei Bedarf kann mit eingehenden und ausgehenden IP-Filtern konfiguriert
werden, mit denen genau gesteuert werden kann, welcher eingehende und ausgehende Datenverkehr für
die Schnittstelle für Wählen bei Bedarf zugelassen ist (Paktfilterung siehe Lektion 9.5).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 69 von 122
Zusammenfassung der Lektion 9.2 0499
- Beim Routing für Wählen bei Bedarf handelt es sich um das Übertragen von Daten zwischen zwei Routern
über eine DFÜ-Verbindung.
Diese DFÜ-Verbindung kann in einem Szenario für Wählen bei Bedarf gegebenenfalls aktiviert oder als
permanente Verbindung aufrechterhalten werden.
- der Router, der als anrufender Router fungiert, muss bei jedem Verbindungsversuch für Wählen bei Bedarf
vom angerufenen Router authentifiziert und autorisiert werden.
Die Authentifizierung beruht auf den Anmeldeinformationen des anrufenden Routers, die während der
Herstellung der Verbindung übertragen werden.
Die übermittelten Anmeldeinformationen müssen einem Benutzerkonto entsprechen.
Die Autorisierung wird auf der Grundlage der Einwählberechtigung des Benutzerkontos und der
RAS-Richtlinien gewährt.
- Um einen RAS-Client von einem Router für Wählen bei Bedarf unterscheiden zu können, muss der
Benutzername in den Anmeldeinformationen für die Authentifizierung exakt dem Namen der Schnittstelle
für Wählen bei Bedarf entsprechen.
Anderenfalls wird die eingehende Verbindung als RAS-Verbindung betrachtet.
- Zur Implementierung des Routings für Wählen bei Bedarf muss eine statische Route für
die Initiierung der Verbindung für Wählen bei Bedarf angegeben werden.
- Über die Konsole Routing und RAS können verschiedene Funktionen für das Routing für Wählen bei
Bedarf konfiguriert werden.
Zu diesen Funktionen gehören der Rückruf, Filter für Wählen bei Bedarf, Paktfilter und Hinauswählzeiten.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 70 von 122
9.3 Lektion 3 Konfigurieren von NAT
Mit der Komponente Netzwerkadressübersetzung (Network Address Translation, NAT)des Routing und RASDienstes von Windows Server 2003 werden IP-Datenpakete, die zwischen dem lokalen Netzwerk und dem
Internet ausgetauscht werden, weitergeleitet und neu adressiert.
Mit NAT können Sie allen internen Clients private Adressen zuweisen und es ist lediglich für die externe
Schnittstelle des NAT-Computers eine einzige (oder auch mehrere) öffentliche Adresse(n) erforderlich.
Grundlagen von NAT
Bei NAT handelt es sich um einen Dienst, der als integrierter Bestandteil eines Routers die Headerinformationen
in IP-Datagrammen ändert, bevor sie an ihre Bestimmungsorte übertragen werden.
Der Computer, auf dem Nat konfiguriert wird, kann als Netzwerkadressübersetung, als vereinfachter DHCPServer, als DNS-Proxy und als WINS-Proxy fungieren.
NAT kann über eine Schnittstelle für Wählen bei Bedarf oder über eine permanente Verbindung konfiguriert
werden.
Unterschied zwischen NAT und ICS
ICS (Internet Connection Sharing) ermöglicht internen Clients ebenso wie NAT, private IP-Adressen
beizubehalten, während diese Clients eine Verbindung mit öffentlichen externen Adressen herstellen.
Der Hauptunterschied zwischen NAT und ICS betrifft die Konfigurierbarkeit.
ICS ist vorkonfiguriert und legt die interne Adresse des Computers, auf dem die gemeinsam genutzte
Verbindung konfiguriert ist, automatisch auf den Wert 192.168.0.1 fest.
Alle internen Clients sind Bestandteil eines einzelnen physischen Subnetzes und werden mit Adressen aus dem
Bereich 192.168.0.0/24 ausgestattet.
Diese internen Clients verweisen für DNS-Auflösungszwecke auf den ICS-Computer.
Die externe, gemeinsam genutzte Schnittstelle wird mit einer einzelnen öffentlichen Adresse konfiguriert.
NAT ist flexibler konfigurierbar.
Mit NAT können Sie eine beliebige IP-Adresse als interne des NAT-Computers wählen und haben die
Möglichkeit, dessen Funktionen als DHCP-Server und DNS-Proxy zu deaktivieren.
NAT kann im Gegensatz zu ICS mehrere interne Schnittstellen verwalten, die aber alle im gleichen logeischen
Subnetz sein müssen.
NAT kann auch im Gegensatz zu ICS mehrere öffentliche Netzwerkadressen verwalten, was günstig sich für das
Betreiben von öffentlichen Web- und Fileservern auswirkt.
Prüfungstipp 0501
Für die Prüfung 70-291 müssen Sie ICS kennen.
Prüfungstipp 0502
Bei der Zuweisung von IP-Adressen nimmt ICS keine Überprüfung auf Konflikte mit statischen Adressen vor,
die bereits von Computern im Netzwerk verwendet werden.
Daher sollte ICS nicht in einem Netzwerk eingeführt werden, dessen kritische Server mit statischen Adressen am
Anfang des Bereichs 192.168.0.0/24 vorkonfiguriert sind.
Wenn wichtige Server mit statischen Adressen aus einem anderen logischen Adressraum (zum Beispiel
192.168.1.0/24) vorkonfiguriert sind, kann die Einführung von ICS außerdem dazu führen, dass auf diese Server
nicht mehr zugegriffen werden kann.
Wenn also in einem Prüfungsszenario wichtige Netzwerkdienste nach einer ICS-Installation nicht mehr zur
Verfügung stehen, suchen Sie nach einer Möglichkeit, ICS durch NAT zu ersetzen.
Vergleich der Funktionen von übersetzten Verbindungen
Gemeinsame Nutzung der Internetverbindung
Netzwerkadressübersetzung
(ICS)
(NAT)
Konfiguration über nur 1 Kontrollkästchen
Manuelle Konfiguration
Einzelne öffentliche IP-Adresse
Einzelne oder mehrere öffentliche IP-Adressen
Fester Adressbereich (192.168.0.0/24)
Konfigurierbarer Adressbereich für interne Hosts
für interne Hosts
Einzelne interne Schnittstelle, die mit einem
Eine oder mehrere interne Schnittstellen, die mit
einzelnen logischen Subnetz verbunden ist
einem einzelnen logischen Subnetz verbunden sind
Installation über das Fenster
Installation über die Konsole
Netzwerkverbindungen
Routing und RAS
Microsoft Windows 98 SR2, oder höher
Windows Server 2000 oder Windows Server 2003
Windows Firewall
Basisfirewall
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 71 von 122
Praxistipp Eingehende Anrufe und NAT 0502
ICS verfügt über eine interessante Funktion, die NAT nicht besitzt:
Wenn ICS auf einer DFÜ-Verbindung konfiguriert wird, werden eingehende Anrufe nicht beantwortet.
Wenn Sie im Gegensatz dazu NAT über eine Schnittstelle für Wählen bei Bedarf konfigurieren, wird das
Modem von der Schnittstelle angewiesen, eingehende Anrufe nach nur 2 Rufzeichen zu antworten.
Das kann lästig sein, insbesondere wenn Sie sowohl für eine gemeinsam genutzte Internetverbindung als auch
für Telefonanrufe dieselbe Telefonleitung benutzen.
Wenn Sie in diesem Fall nicht nach einem Rufzeichen abheben, wird Ihr Gespräch wahrscheinlich von den recht
lauten Geräuschen des Modems unterbrochen.
Wenn Sie ICS nicht einsetzen können, aber denn noch sowohl für die Internetverbindung als auch für die
Telefonanrufe dieselbe Telefonleitung verwenden möchten, können Sie die Registrierung so ändern, dass der
Telefonanruf erst nach einer größeren Anzahl von Rufzeichen angenommen wird.
Zeigen Sie zu diesem Zweck den Registrierungseditor an, und fügen Sie einen REG_DWORD-Wert mit der
Bezeichnung NumberOfRings zum folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MASCHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters .
Dieser Wert kann mit einer beliebigen Zahl zwischen 0 und 20 besetzt werden.
In einem künftigen Servicepack wird unter Umständen durch den Wert 0 verhindert, dass das Modem überhaupt
antwortet.
Derzeit jedoch hat der Wert 0 denselben Effekt wie der Wert 2.
Wenn das Modem keine Telefonanrufe mehr abfangen soll, können Sie NumberOfRings auf den
Maximalwert 20 festlegen.
Dabei handelt es sich jedoch nicht um eine perfekte Lösung, denn auch in diesem Fall könnte ein energischer
Anrufer 20 Rufzeichen abwarten, sodass der Anruf vom Modem abgefangen wird.
Problembehandlung von NAT 0503
Konzeptionelle Zusammenfassung der Konfigurationsanforderungen für eine NAT-Einrichtung:
a. Für den ordnungsgemäßen Betrieb von NAT müssen die geeigneten externen (öffentlichen) und internen
(privaten) Schnittstellen in der Konsole Routing und RAS zum NAT-Protokoll hinzugefügt werden.
Die Interne Schnittstelle wird gewöhnlich standardmäßig erstellt.
Die externe Schnittstelle muss unter Umständen manuell erstellt werden, bevor sie hinzugefügt werden kann.
Stellen Sie nach dem Hinzufügen der beiden Schnittstellen sicher, dass die öffentliche Schnittstelle
(die für Verbindungen für Wählen bei Bedarf standardmäßig mit der Bezeichnung Remoterouter
versehen wird) in ihrem Eigenschaftendialogfeld im Knoten NAT/Basisfirewall als öffentliche Schnittstelle
angegeben ist.
Analog muss die private Schnittstelle in ihrem Eigenschaftendialogfeld im Knoten NAT/Basisfirewall als
private Schnittstelle konfiguriert werden.
b. In der Konsole Routing und RAS muss für NAT eine statische Standardroute hinzugefügt werden.
das Ziel und die Netzwerkmaske für diese statische Route müssen mit dem Wert 0.0.0.0 konfiguriert sein,
ein Gateway sollte nicht angegeben werden und die Schnittstelle muss auf die öffentliche (externe)
Schnittstelle konfiguriert werden, die mit dem Internet verbunden ist.
c. Bei Einsatz von NAT muss ein DHCP-Dienst für interne Clients ordnungsgemäß konfiguriert sein.
Wenn Sie keinen DHCP-Server konfiguriert haben, stellen Sie sicher, dass auf der Registerkarte
Adresszuweisung des Dialogfelds Eigenschaften von NAT/Basisfirewall das Kontrollkästchen
IP-Adressen automatisch mit der DHCP-Zuweisung zuordnen aktiviert ist.
d. Damit NAT in Verbindung mit der DNS-Namensauflösung eingesetzt werden kann, muss entweder auf dem
NAT-Computer ein DNS-Server konfiguriert sein, oder über den DNS-Proxy in NAT angegeben werden.
Wenn Sie auf dem NAT-Computer keinen DNS-Server konfiguriert haben, stellen Sie sicher, dass auf der
Registerkarte Namensauflösung des Dialogfelds Eigenschaften von NAT/Basisfirewall das Kontrollkästchen Clients, die DNS (Domain Name System) verwenden und damit der DNS-Proxy aktiviert ist.
e. Für bestimmte NAT-Funktionen ist eine komplexere Konfiguration erforderlich.
Wenn Sie der externen Schnittstelle einen Adresspool zugewiesen haben, müssen Sie sicherstellen, dass
die Adressen und die Maske richtig konfiguriert wurden.
Überprüfen Sie für spezielle Ports die Konfiguration der öffentlichen Adresse und des Ports sowie der
privaten Adresse und des entsprechenden Ports.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 72 von 122
Sicherheitswarnung 0504
Bei NAT-Übungen sich als Nicht-Administrator anmelden und Ausführen als verwenden.
Prüfungstipp 0504
In der Prüfung 70-291 kann Ihnen eine Simulationsfrage gestellt werden, in denen Sie NAT konfigurieren
müssen. Arbeiten Sie die Übungen also sorgfältig durch.
Prüfungstipp 0509
Für die Prüfung 70-291 müssen Sie wissen, dass die Funktionalität, die auf der Registerkarte Dienste und
Ports bereitgestellt und in folgendem Szenario illustriert wird, als Konfiguration spezieller Ports bezeichnet
wird.
Die Konfiguration eines speziellen Ports entspricht der Zuordnung eines internen Dienstes (z.B. WWW-Dienst,
Telnet oder FTP-Server) zur externen Schnittstelle des NAT-Computers.
Mit dieser Funktion können externe Anforderungen für interne Dienste an den geeigneten Computer
weitergeleitet werden.
Szenario:
NAT-Tabelle
Portnummer Adresszuordnung
80
192.168.1.5
21
192.168.1.8
Clientrechner --> Internet -->
NAT-Server
-->
Externe Schnittstelle: 297.68.200.10
Interne Schnittstelle: 192.168.1.1
Web-Server
192.168.1.5
FTP-Server
192.168.1.8
Webanforderung vom Client
--> 207.168.200.100:80 -->
Zusammenfassung Lektion 9.2 0511
- Bei Nat handelt es sich um einen Dienst, der als integrierter Bestandteil eines Routers die Quelladresse von
IP-Datagrammen ändert, bevor sie an ihre Bestimmungsorte übertragen werden.
Mithilfe dieser Funktionalität können NAT-Clients eine Verbindung mit dem Internet herstellen, indem sie
eine oder mehrere öffentlich registrierte IP-Adressen auf dem NAT-Computer gemeinsam nutzen.
- In der Konsole Routing und RAS kann NAT auch als DHCP-zuweisung, als DNS-Proxy oder als
WINS-Proxy konfiguriert werden.
- NAT kann als vollständig konfigurierbare Version von ICS angesehen werden.
Für einen ordnungsgemäßen Betrieb von NAT muss eine Standardroute ohne angegebenes Gateway
konfiguriert werden.
- NAT-Clients in demselben Subnetz wie der NAT-Server müssen so konfiguriert werden,
dass sie den NAT-Server als Standardgateway einsetzen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 73 von 122
9.4 Lektion 4 Konfigurieren und Verwalten von Routingprotokollen
Mit Hilfe der Protokolle für dynamisches Routing, RIP und OSPF, können Router geeignete Pfade für die
Übertragung von Datenverkehr übermitteln.
Der Dienst DHCP-Relay-Agent wird in Routing und RAS ebenfalls als Routingprotokoll betrachtet.
Mithilfe dieses Dienstes kann ein DHCP-server in Remotesubnetzen eine IP-Konfiguration zur Verfügung
stellen.
Die 4 Routingprotokolle des Windows Server 2003:
RIP
Protokoll für das dynamisches Routing
OSPF
Protokoll für das dynamisches Routing von ganz großen Netzen
IGMP-Router & -Proxy
Multicast-Routingprotokoll
DHCP-Relay-Agent
zum Verteilen von IP-Adressen
Prüfungstipp 0512
Für die Simulationsfragen müssen Sie wissen, wie Sie ein Routingprotokoll zur Konsole Routing und RAS
hinzufügen und wie Sie dieses Routingprotokoll auf bestimmte Schnittstellen aktivieren.
Denken Sie daran, dass Sie das Protokoll zuerst über den Knoten Allgemein hinzufügen müssen und es dann
aktivieren können, indem Sie mit der rechten Maustaste auf das Protokollsymbol klicken und den Befehl
Neue Schnittstelle wählen.
Konfigurieren von RIP
RIP (Routing Information Protocol) ist ein Protokoll für dynamisches Routing, mit dessen Hilfe Router den
besten Pfad für die Übertragung gegebener Daten ermitteln können.
Routen zu Zielen werden entsprechend den geringsten Kosten ausgewählt.
Diese Kosten werden standardmäßig anhand der Anzahl der Abschnitte oder Router zwischen Endpunkten
bestimmt.
Die Kosten der einzelnen Routen können jedoch gegebenenfalls manuell angepasst werden.
Hierbei ist entscheidend, dass RIP Routen verwirft, für die Kosten oberhalb des Werts 155 ermittelt
werden.
Auf diese Weise wird effektiv die Größe des Netzwerks begrenzt, in dem RIP betrieben werden kann.
Eine weitere wichtige Funktion von RIP besteht darin, dass RIP-fähige Router ihre gesamten Routingtabellen
alle 30 Sekunden wechselseitig austauschen und somit aber einen erheblichen Datenverkehr induzieren.
RIP-Umgebung
- Ein kleines bis mittleres Verbundnetzwerk bestehend aus 10 bis 50 Netzwerken.
Außerdem darf der Durchmesser eines RIP-Netzwerkes nicht mehr als 15 Router enthalten.
- Multipath-Funktionalität bedeutet, dass für die Übertragung von Paketen zwischen zwei beliebigen
Endpunkten im Verbundnetzwerk mehrere Pfade zur Verfügung stehen.
- Dynamisch bedeutet, dass die Topologie des Verbundnetzwerkes geändert werden kann.
Vor- und Nachteile von RIP
Hauptvorteil von RIP besteht in der problemlosen Bereitstellung.
Das Protokoll kann einfach durch Aktivierung auf den einzelnen Routern in einem Netzwerk implementiert
werden.
Hauptnachteil von RIP ist seine Einschränkung auf 15 Abschnitte und kann somit nicht auf große Netzwerke
skaliert werden.
Weitere Nachteile von RIP sind seine langen Konvergenzzeiten in mittelgroßen Netzwerken und die fehlende
Möglichkeit, andere Kosten als Abschnitte (z.B. Bandbreite) in Routenkosten einfließen zu lassen.
Prüfungstipp 0514
Für die Prüfung 70-291 müssen Sie mit diesen RIP-Sicherheitsfunktionen vertraut sein.
RIP-Authentifizierung dient zum Vorbeugen von Beschädigungen durch nicht autorisierte RIP-Router oder
böswilligen Angreifern, wobei anzumerken ist, dass wegen der einfachen Kennwortauthentifizierung das
Kennwort als Klartext übertragen wird.
Die RIP-Authentifizierung wird im Eigenschaftendialogfeld der RIP-Schnittstelle (z.B. der LAN-Verbindung)
auf der Registerkarte Allgemein aktiviert, in dem dort ein Haken bei Authentifizierung ankündigen gesetzt wird und das Kennwort eingegeben wird.
Peerfilterung wird auf der Registerkarte Sicherheit im Dialogfeld Eigenschaften von RIP konfiguriert.
Es enthält eine IP-Adressen-Liste von Routern, von denen RIP-Ankündigungen angenommen werden, wobei
standardmäßig RIP-Ankündingungen von allen Routern akzeptiert werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 74 von 122
Routenfilter werden auf den RIP-Schnittstellen konfiguriert und dienen zum Herausfiltern der Netzwerke,
welche überhaupt geroutet werden sollen.
Sie können auf der Registerkarte Sicherheit im Eigenschaftendialogfeld der RIP-Schnittstelle konfiguriert
werden.
Nachbarn werden verwendet, um zu verhindern, dass andere Knoten außer den benachbarten RIP-Routern den
RIP-Datenverkehr bekommen.
Die RIP-Nachbarn werden auf der Registerkarte Nachbarn im Eigenschaftendialogfeld der RIP-Schnittstelle
konfiguriert.
Überblick über OSPF (Open Shortest Path First)
Es dient dem Austausch von Routinginformationen in einem großen oder sehr großen Verbundnetzwerken.
OSF im Vergleich mit RIP
- OSPF kann auf große oder sehr große Verbundnetzwerke skaliert werden.
- OSPF weist kein Abschnittlimit auf.
- OSPF bietet kürzere Konvergenzzeiten auf.
- OSPF setzt weniger Netzwerkbandbreite ein.
- Routen, die mit OSPF berechnet wurden, weisen grundsätzlich keine Schleifen auf.
Grundlagen zu DHCP-Relay-Agent
der DHCP-Relay-agent ermöglicht es den Clientcomputern, seine IP-adresse von einem DHCP-Server in einem
Remotesubnetz abzurufen.
In der Regel senden die DHCP-Clients DHCP-Discover-Pakete als Broadcast, die daraufhin vom DHCP-Server
im eigenen Subnetz empfangen und beantwortet werden.
Da Router aber Broadcastnachrichten blockieren, müssen DHCP-Clients und DHCP-server normalerweise in
demselben Subnetz eingerichtet werden.
Es gibt 2 Methoden zur Umgehung dieses Problems: RFC 1452-kompatible Router und der Einsatz eines DHCPRelay-Agents.
Obwohl das Routingprotokoll DHCP-Relay-Agent über die Konsole Routing und RAS konfiguriert wird,
muss der Computer, der den DHCP-Relay-Agenten hostet, nicht als Router zwischen zwei Subnetzen fungieren.
Tipp 0520
In einem Netzwerk mit mehreren Subnetzen können Sie in jedem Subnetz sowohl einen DHCP-Server als auch
einen DHCP-Relay-Agent bereitstellen, wenn Sie eine hohe Fehlertoleranz erreichen wollen.
Hierbei kommt dann auch die 80:20-Regel zum Einsatz.
beim DHCP-Relay-Agent muss folgendes konfiguriert werden:
a. Angabe des DHCP-Server, an denen die DHCP-Discovers der Clients weitergeleitet werden sollen.
b. Angabe der Schnittestelle (IP-Adresse), in welches Subnetz es horchen soll, um Clients-anfragen entgegen zu
nehmen.
Hinweis 0520
Die Komponente DHCP-Relay-Agent kann nicht auf einen Computer verwendet werden, auf dem der
DHCP-Dienst (auf den der DHCP-Relay-Agent verweist), die NAT-Routingprotokollkomponente mit aktivierter
automatischer Adressierung oder ICS ausgeführt wird.
Zusammenfassung der Lektion 9.4 0522
- RIP ist ein Protokoll für dynamisches Routing, dass einfach bereitgestellt werden kann,
aber eine Reihe beträchtlicher Beschränkungen hat.
RIP-Netzwerke sind z. B: auf einen Durchmesser von 15 Abschnitten beschränkt.
Darüber hinaus verbraucht RIP vergleichsweise viel Netzwerkbandbreite.
- RIP umfasst eine Reihekonfigurierbarer Sicherheitsfunktionen, einschließlich der RIP-Authentifizierung,
der Peerfilterung, der Routenfilter und der Nachbarn.
- OSPF ist ein Protokoll für dynamisches Routing, dass für einen Austausch von Routinginformationen in
einem großen oder sehr großen Verbundnetzwerk entworfen wurde (mit Routerdatenbanken).
Obwohl die Bereitstellung schwierig ist, bietet es gegenüber RIP eine Reihe von Vorteilen, einschließlich
größerer Effizient (weniger Netzbanbreite als RIP), Genauigkeit, Skalierbarkeit und Konfigurierbarkeit.
- Wenn für alle Subnetze in jedem Netzwerk die automatische Adressierung bereitgestellt werden soll, muss
jedes Subnetz mit einem DHCP-Server oder mit einem DHCP-Relay-Agent konfiguriert werden,
der auf einen DHCP-Server verweist.
Alternativ können DHCP-Clients von DHCP-Servern oder DHCP-Relay-Agents durch Router getrennt
werden, die eine BOOTP-Weiterleitung vornehmen können (also RFC 1542-kompatible Router).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 75 von 122
9.5 Lektion 5 Konfigurieren von Paketfiltern
Paketfilter sind Regeln, die für eine bestimmte Schnittstelle definiert werden und Datenverkehr nach
Quelladresse, Zieladresse, Richtung oder Protokolltyp zulassen oder beschränken können.
Funktionalität der Paketfilterung:
- Weiterleiten des gesamten Datenverkehrs mit Ausnahme der durch Filter gesperrten Pakete.
- Verwerfen des gesamten Datenverkehrs mit Ausnahme der durch Filter zugelassenen Pakete (ist besser).
Wenn in der Konsole Routing und RAS die Basisfirewall auf einer externen Schnittstelle aktiviert
wird, verhindert diese Schnittstelle die Übertragung jeglichen nicht angeforderten Datenverkehr in da Netzwerk.
Paketfilter können den Datenverkehr auf dieser Schnittstelle detailliert öffnen bzw. schließen (z. B. den
Datenverkehr von und zu den eigen öffentlichen Web-Servern öffnen).
Prüfungstipp 0524
Achten Sie auf Fragen, in denen zwar alle Paketfilter, aber nicht die entsprechenden Filteraktionen richtig
konfiguriert sind.
Die Paketfilter werden über die Konsole Routing und RAS, dann Knoten IP-Routing und Allgemein
aktiviert und mit den Schaltflächen Eingehende Filter und Ausgehende Filter erstellt und konfiguriert.
Prüfungstipp 0526
Für die Simulationsfragen müssen Sie wissen, wie Sie Paketfilter in der Konsole Routing und RAS erstellen.
Es dürfte mindestens eine Frage kommen, in der Sie entweder eingehende oder ausgehende Filter erstellen
müssen, die Verkehr entweder blockieren oder erlauben und entweder für bestimmte Adressen oder für
bestimmte Ports (z. B. TCP-Port 80) gelten.
Hinweis 0526
Paketfilter können auch in einem RAS-Richtlinienprofil definiert werden.
RAS-Richtlinien, die im Kapitel 10 behandelt werden, ermöglichen die Anwendung von Regeln und
Einschränkungen auf bestimmte RAS-Verbindungen.
Durch Festlegung von Paketfiltern und der RAS-Richtlinienebene können verschiedene Stufen von
Zugriffsbeschränkungen auf unterschiedliche Benutzer angewendet werden.
Paketfilter werden im Allgemeinen auf die externe Schnittestelle, welche ins Internet geht, erstellt und
konfiguriert.
Prüfungstipp 0527
Eine Protokollnummer wird in der Regel verwendet, um einen mit einem bestimmten Dienst (z. B. Port 80 für
HTTP oder PPTP: TCP-Port 1723 für Erstellung und Aufrechterhaltung einer VPN-Verbindung und IP-Protokoll
47 für das Senden von Daten mittels PPTP [Point-to-Point Tunneling Protocol]) verknüpften Datenstrom zu
definieren.
Um einen Paketfilter für eine Protokollnummer zu erstellen, wählen Sie sie im Dropdown-Listenfeld Protokoll
des Dialogfeldes IP-Filter hinzufügen die Option Weitere.
geben Sie daraufhin im Textfeld Protokollnummer den gewünschten Wert an.
Prüfungstipp 0527
Für die Prüfung müssen Sie die Protokollnummern und Ports kennen, die für
PPTP (Point-to-Point Tunneling Protocol) und
L2TP/IPSec (Layer2 Tunneling Protocol/Internet Protocol Security)
erforderlich sind:
PPTP:
TCP-Port 1723
(Erstellung und Aufrechterhaltung der VPN-Verbindung
IP-Protokoll 47
(Datenstrom)
L2TP/IPSec
UDP-Port 500
(Erstellen und Aufrechterhaltung der Verbindung)
UDP-Port 4500
(Erstellen und Aufrechterhaltung der Verbindung)
IP-Protokoll 50
(Datenstrom)
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 76 von 122
Zusammenfassung der Lektion 9.5 0528
- Paketfilter sind Regeln, die für eine bestimmte Schnittstelle definiert werden und Datenverkehr nach Quelladresse, Zieladresse, Richtung oder Protokolltyp zulassen oder beschränken.
Ohne Paketfilter blockiert eine Firewall einfach alle Anforderungen, die aus externen Netzwerken stammen.
- Um externen Benutzern die Herstellung einer Verbindung zu einem Server oder Dienst in Ihrem internen
Netzwerk zu ermöglichen, können Sie auf einer Firewall Paketfilter erstellen, mit denen alle Anforderungen
aus dem externen Netzwerk mit Ausnahme der Anforderungen blockiert werden, die für den angegebenen
internen Dienst bestimmt sind.
- In Windows Server 2003 schränken Paketfilter den Datenverkehr nur in einer Richtung ein.
Um externe Zugriffe auf einen internen Dienst zu ermöglichen, können Sie auf der externen Schnittstelle
Ihrer Firewall einen eingehenden Filter und einen ausgehenden Filter erstellen.
Geben Sie für die einzelnen Filter das Dienstprotokoll und die Adresse an, unter der der Dienst gehostet
wird.
Um die Sicherheit zu erhöhen, kann ein weiterer ähnlichre Filtersatz auf der internen Schnittstelle der Firewall
konfiguriert werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 77 von 122
Zusammenfassung des Kapitel 9 0531
- Der Routing und RAS-Dienst kann für den Betrieb als Softwarerouter konfiguriert werden.
- Die Konsole Routing und RAS ist das wichtigste Tool für die Konfiguration und Verwaltung des
Routing und RAS-Dienstes.
- In Windows Server 2003 kann die IP-Routingtabelle über die Konsole Routing und RAS oder mithilfe des
Befehls route print angezeigt werden.
- Ohne Protokolle für dynamisches Routing muss ein Router statische Routen einsetzen, um eine Verbindung zu
nicht benachbarten Subnetzen herzustellen, die nicht in derselben Richtung wie die Standardroute liegen.
- Statische Routen können über die Konsole Routing und RAS oder mithilfe des
Befehls route add hinzugefügt werden.
Durch Hinzufügen des Parameters -p zum Befehl route add wird eine permanente statische Route
erstellt.
Diese Route ist also auch nach einem Neustart des Routers wieder in der Routingtabelle enthalten.
- Beim Routing für Wählen bei Bedarf handelt es sich um das Übertragen von Daten zwischen zwei Routern
über eine DFÜ-Verbindung.
Diese DFÜ-Verbindung kann in einem Szenario für Wählen bei Bedarf gegebenenfalls aktiviert sein oder
als permanente Verbindung aufrechterhalten werden.
- Bei NAT handelt es sich um einen Dienst, der als integrierter Bestandteil eines Routers die Quelladresse
von IP-Datagrammen ändert, bevor sie an das öffentliche Internet übertragen werden.
Mithilfe dieser Funktionalität können NAT-Clients eine Verbindung mit dem Internet herstellen, indem sie
eine oder mehrere öffentlich registrierte IP-Adressen auf dem NAT-Computer gemeinsam nutzen.
NAT kann als vollständig konfigurierbare Versuch von ICS angesehen werden.
- RIP ist ein Protokoll für dynamisches Routing, das einfach bereitgestellt werden kann, aber ressourcenintensiv
und für sehr große Netze nicht geeignet ist.
OSPF ist dagegen ein Protokoll für dynamisches Routing, dass nur schwer eingerichtet werden kann,
aber skalierbar, elegant und effizient ist.
- DHCP-Relay-Agent ist ein Routingprotokoll, dass in der Konsole Routing und RAS unterm Knoten
IP-Routing konfiguriert wird Clientcomputern ermöglicht, eine Adresse von einem DHCP-Server in
einem Remotesubnetz abzurufen.
- Um externen Benutzern die Herstellung einer Verbindung zu einem Server oder Dienst in Ihrem internen
Netzwerk zu ermöglichen, können Sie auf einer Firewall Paketfilter erstellen, mit denen alle Anforderungen
aus dem externen Netzwerk mit Ausnahme der Anforderungen blockiert werden, die für den angegebenen
internen Dienst bestimmt sind.
Schlüsselinformationen Kapitel 9 0532
- Lernen Sie, wann und wie Sie statische Routen erstellen sollten.
- Machen Sie sich mit dem Lesen einer Routingtabelle vertraut.
- Machen Sie sich mit allen Konfigurationsoptionen im Zusammenhang mit
Schnittstellen für Wählen bei Bedarf vertraut.
- Stellen Sie sicher, dass Sie in der Lage sind, ICS udn NAT zu vergleichen und die Unterschiede herausarbeiten
zu können.
Lernen Sie, den geeigneten Dienst für gegebene Netzwerkszenarien zu bestimmen.
- Lernen Sie, RIP und OSPF zu vergleichen und die Unterschiede herauszuarbeiten.
Lernen Sie das geeignete Protokoll für gegebene Netzwerkszenarien zu bestimmen.
- Sie sollten beim Studium einer Netzwerktopologie in der Lage sein, die Subnetze zu bestimmen,
für die ein DHCP-Relay-Agent erforderlich ist.
- Prägen Sie sich die Paketfilter ein, die auf einer Firewall installiert werden müssen,
um externen Benutzern Zugriff auf interne Dienste wie einem Wen- oder VPN-Server zu ermöglichen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 78 von 122
Schlüsselbegriffe Kapitel 9 0533
Rückruf Eine Funktion, bei der ein antwortender Router eine DFÜ-Verbindung trennt und
eine vorher konfigurierte Rufnummer zurückruft.
BAP/BACP Bandwidth Allocation Protocol/Bandwidth Allocation Control Protocol.
Diese Protokolle werden eingesetzt, damit Mehrfachverbindungen als Reaktion auf einen Anstieg oder ein
Absinken der verfügbaren Netzwerkbandbreite Leitungen hinzufügen oder entfernen können.
Autostatische Routen Eine Funktion, bei der RIP keine der üblichen Ankündigungen über eine bestimmte
Verbindung überträgt.
Stattdessen werden Routen halbautomatisch aktualisiert: entweder ausgelöst durch einen Administrator oder
durch ein geplantes Skript.
BOOT-Weiterleitung Ein Vorgang, mit dem RFC 1542-kompatible Router DHCP-Broadcastmeldungen
zwischen zwei Subnetzen übertragen.
IP-Adressen die bei der NAT/Basisfirewall (Dienste und Ports) an einer Schnittstelle überwacht werden
können
Ein/Ausgehender Port
Dienst
21
FTP-Server
220
Internet Mail Access Protocol 3 (IMAP 3)
143
Internet Mail Access Protocol 4 (IMAP 4)
25
Internet Mail Server (SMTP)
500
IP-Sicherheit (IKE)
4500
IP-Sicherheit (IKE-NAT durchquerend)
110
Post Office Protocol, Version 3 (POP 3)
3389
Remotedesktop
443
sicherer Webserver (HTTPS)
3398
Terminal-Server
23
Telnetserver
1701
VPN-Gateway (L2TP/IPSec wird auf diesem Server ausgeführt)
1723
VPN-Gateway (PPTP)
80
Webserver (HTTP)
1645
Zugriffsserver RADIUS-Authentifizierungsanforderung
Weitere wichtige Portnummern
53
UDP 67
UDP 68
UDP 1812
UDP 1813
1645
1645
DNS
DHCP
DHCP
RADIUS-Server (UDP, Authentifizierung)
RADIUS-Server (UDP, Kontoführung)
Zugriffsserver RADIUS-Authentifizierungsanforderung
Zugriffsserver RADIUS-Authentifizierungsanforderung
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 79 von 122
10. Kapitel 10 Konfigurieren und Verwalten des Remotezugriffs
10.1 Lektion 1 Konfigurieren von RAS-Verbindungen
Verschiedene vorbereitende Schritte sind erforderlich, um Benutzern die Herstellung einer RAS-Verbindung
(z. B. eine DFÜ-Verbindung oder einer VPN-Verbindung) zu einem Netzwerk zu ermöglichen.
Dazu gehört:
- die Implementierung einer Adressauflösung, die den DFÜ-Clients die Kommunikation im Remotenetzwerk
erlaubt, und
- die Konfiguration der Benutzerauthentifizierung durch Implementieren eines geeigneten Authentifizierungsprotokolls.
Sowohl serverseitig über die Konsole Routing und RAS und clientseitig mittels des Netzwerkumgebungsobjektes „VPN-Verbindung“ muss der Remotezugriff über VPN konfiguriert werden.
Hinweis 0544 (privat)
Das Remotenetzwerk und das Netzwerk, in welchem der VPN-Server steht müssen verschieden sein.
Sind beide Netzwerke z. B. ein 192.168.2.0/24er Netz, dann kann vom Remotenetzwerk nicht zum Server
geroutet werden, da es die gleiche Netzwerkkennung wie der Server hat und es somit keinen Anlass gibt,
das IP-Paket rauszurouten.
Sobald auf dem Server ein VPN-Server installiert werden soll, darf auf diesem Server niemals vorher ein
NAT installiert werden.
Hinweis 0544
Der Setup-Assistent für den Routing- und RAS-Server steht nicht zur Verfügung, wenn der Routing und RASDienst auf Ihrem Server noch nicht konfiguriert wurde.
Um den Setup-Assistenten für Routing- und RAS-Server anzuzeigen, klicken Sie in der Konsole
Routing und RAS mit der rechten Maustaste auf das Serversymbol, und klicken Sie anschließend auf
Routing und RAS Konfiguration und aktivieren.
Prüfungstipp 0546
Für die Prüfung müssen Sie mit der Methode vertraut sein, die der Routing und RAS-Dienst einsetzt, um IPAdressen und zu verteilen.
Darüber hinaus müssen Sie wissen, dass der Remotezugriff fehlschlägt, wenn der Routing und RAS-Dienst nicht
in der Lage ist, 10 freie Leases von einem DHCP-Server zu erhalten.
Ein häufiges Anzeichen für diese Fehlfunktion ist das Vorhandensein einer APIPA-Adresse auf dem RASClient.
Berücksichtigen Sie außerdem, dass eine APIPA-Adresse auch ein Anzeichen dafür sein kann, dass ein DHCPServer oder DHCP-Relay-Agent im Netzwerksegment des RAS-Servers konfiguriert werden muss.
Hinweis 0547
Während sich die Authentifizierung auf den Vorgang der Überprüfung von Benutzeranmeldeinformationen
bezieht, bezeichnet die Autorisierung den Vorgang, Benutzern den Zugriff auf Ressourcen zu gewähren.
Nach erfolgter RAS-Authentifizeirung wird die RAS-Verbindung nur dann autorisiert, wenn sowohl in den
DFÜ-Eigenschaften des Benutzerkontos als auch in der RAS-Richtlinie, die für die Verbindung wirksam ist, die
richtigen Berechtigungen konfiguriert sind.
In Lektion 10.2 werden RAS-Richtlinien und RAS-Autorisierung erläutert.
Hinweis 0548
Wenn ein Benutzer eine Firewall auf einen eigenständigen RAS-Server vornimmt, der kein Mitglied einer
Domäne ist, muss sich der Benutzer zunächst an seinem lokalen Computer oder seiner lokalen Domäne
anmelden, bevor der versuchen kann, eine Verbindung mit dem Remoteserver herzustellen.
In diesem Fall ist die Überprüfung der Anmeldeinformationen die einzigste Authentifizierung, die stattfinden
muss, bevor die Verbindung autorisiert und hergestellt wird.
Diese Anmeldeinformationen müssen in der lokalen Sicherheitskontenverwaltung (Security Accounts Manager,
SAM) des antwortenden Servers gespeichert werden, bevor der Benutzer die Verbindung herstellt.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 80 von 122
Authentifizierungsprotokolle (Die Sichersten werden zuerst genannt.)
- EAP-TLS (Extensible Authentication Protocol-Transport Level Security)
Eine zertifikatbasierte Authentifizierung, die auf EAP beruht, einem erweiterbaren Framework, dass neue
Authentifizierungsmethoden unterstützt.
EAP-TLS wird in der Regel in Verbindung mit Smartcards eingesetzt.
EAP-TLS unterstützt die Verschlüsselung von Authentifizierungs- und Verbindungsdaten.
Beachten Sie, das EAP-TLS auf eigenständigen Servern nicht unterstützt wird.
Der RAS-Server mit Windows Server 2003 muss Mitglied einer Active Directory-Domäne sein.
- MS-CHAP v2 (Microsoft-Challenge Handshake Authentication Protocol Version 2)
Eine wechselseitige Authentifizierungsmethode, die Verschlüsselung von Authentifizierungs- und
Verbindungsdaten bietet.
Für jede Verbindung und jede Übertragungsrichtung wird ein neuer kryptografischer Schlüssel verwendet.
MS-CHAP Version 2 ist in Windows Server 2000, 2003 und Windows XP standardmäßig aktiviert.
- MS-CHAP v1 (Microsoft-Challenge Handshake Authentication Protocol Version 1)
Eine einseitige Authentifizierungsmethode, die Verschlüsselung von Authentifizierungs- und Verbindungsdaten bietet.
Für alle Verbindungen wird derselbe kryptografische Schlüssel verwendet.
MS-CHAP v1 unterstützt ätere Windowsclient wie Microsoft Windows 95 und 98.
- EAP-MD5 CHAP (Extensible Authentication Protocol-Message Digest 5
Challenge Handshake Authentication Protocol)
Eine CHAP-Version (siehe nächster Eintrag), die auf das EAP-Framework portiert wurde.
EAP-MD5 CHAP unterstützt die Verschlüsselung von Authentifizierungsdaten mithilfe des MD5-Hashschemas, das als Industriestandard gilt.
Es bietet die Kompatibilität mit Nicht-Microsoft-Clients, zum Beispiel Clients mit Mac OSX.
Verschlüsselung von Verbindungsdaten wird nicht unterstützt.
- CHAP (Challenge Handshake Authentication Protocol)
Eine generische Authentifizierungsmethode, die Verschlüsselung von Authentifizierungsdaten über das
MD5-Hashschema bereitstellt.
CHAP bietet Kompatibilität mit Nicht-Microsoft-Clients.
Die Gruppenrichtlinie, die für Konten mit dieser Authentifizierungsmethode wirksam ist, muss so konfiguriert
werden, dass Kennwörter mit umkehrbarer Verschlüsselung gespeichert werden (die Kennwörter müssen nach
Anwendung dieser neuen Richtlinie zurückgesetzt werden).
CHAP unterstützt nicht die Verschlüsselung von Verbindungsdaten.
- SPAP (Shiva Password Authentication Protocol)
Ein schwach verschlüsseltes Authentifizierungsprotokoll, das Interoperabilität mit
Shiva-Remotenetzwerkprodukten bietet
(Benutzername ist unverschlüsselt und Kennwort verschlüsselt).
SPAP unterstützt nicht die Verschlüsselung von Verbindungsdaten.
- PAP (Password Authentication Protocol)
Eine generische Authentifizierungsmethode, mit der keine Authentifizierungsdaten verschlüsselt werden.
Anmeldeinformationen von Benutzern werden als Klartext über das Netzwerk übertragen
(Benutzername und Kennwort sind unverschlüsselt).
PAP unterstützt nicht die Verschlüsselung von Verbindungsdaten.
- Nicht authentifizierter Zugriff
Kein Authentifizierungsprotokoll, sondern eine Konfigurationsoption, die eine Herstellung von
RAS-Verbindungen ohne Übermittlung von Anmeldeinformationen erlaubt, wenn sie auf dem RAS-Server
und in der für die Verbindung wirksamen RAS-Richtlinie festgelegt wird.
Nicht authentifizierter Zugriff kann eingesetzt werden, um RAS-Verbindungen zu testen oder
entsprechende Probleme zu beheben.
Unterstützt nicht die Verschlüsselung von Verbindungsdaten.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 81 von 122
Funktionen von Authentifizierungsprotokollen
Anforderung
Empfohlende Auswahl
Unterstützung von verschlüsselter Authentifizierung für zertifikatbasierte
Infrastrukturen öffentlicher Schlüssel (PKI),
z.B. in Verbindung mit Smartcards (wenn der RAS-Server ein Mitglied
einer Windows 2000/2003-Domäne ist.
EAP-TLS
Wechselseitige Authentifizierung
(Server und Client nehmen grundsätzlich eine gegenseitige Authentifizierung vor)
EAP-TLS;
MS-CHAP v2
Unterstützung für Verschlüsselung von Verbindungsdaten
EAP-TLS;
MS-CHAP v2 und v1
Unterstützung von verschlüsselter Authentifizierung für weitere RAS-Clients
mit Windows 2000, XP oder Windows Server 2003
MS-CHAP v2
Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit
Windows 95/98/Me oder Microsoft Windows NT
(mit dem aktuellsten DFÜ-Netzwerkupdate)
MS-CHAP v2
(VPN nur für 95)
Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit
Windows 95/98/Me oder Microsoft Windows NT
(systemeigene Unterstützung)
MS-CHAP v1
Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit
anderen Betriebssystemen
EAP-MD5 CHAP;
CHAP
Unterstützung von verschlüsselter Authentifizierung für RAS-Clients mit
Shiva-LAN-Rover-Software
SPAP
Unverschlüsselte Authentifizierung, wenn die RAS-Clients kein
anderes Protokoll kennen.
PAP
Keine Anmeldeinformation für eine Authentifizierung vom RAS-Client
übermittelt
Nicht authentifizierter
Zugriff
Prüfungstipp 0551
Gehen Sie davon aus, dass in der Prüfung mindestens eine Frage gestellt wird, bei der Sie die Funktionen und
Beschränkungen von Authentifizierungsprotokollen kennen müssen.
Von den hier beschriebenen Protokollen kommen in der Prüfung am weitaus häufigsten EAP-TLS und
MS-CHAP vor.
Sie sollten in der Lage sein, die folgenden Fragen zu beantworten:
- Welches Protokoll ist für Smartcards erforderlich?
- Für welches Protokoll müssen Zertifikate eingesetzt werden.
- In welcher Situation ist MS-CHAP Version 1 die beste Wahl einer Authentifizierungsmethode?
- In welcher Situation ist MS-CHAP Version 2 die beste Wahl einer Authentifizierungsmethode?
- Worin besteht der Unterschied zwischen einer Authentifizierungsverschlüsselung und
der Datenverschlüsselung?
- Welche Protokolle unterstützen die Verschlüsselung der Daten?
- Welche Protokolle verschlüsseln keine Authentifizierungsdaten?
- Welche Protokolle unterstützen die wechselseitige Authentifizierung?
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
DFÜ-Netzwerkclient
Windows Server 2003;
Windows XP; Windows 2000
Windows NT 4.0
Windows NT 3.5 und 3.51
Windows Me/98
Windows 95
(Stand: 18.12.2008)
Seite 82 von 122
Unterstützung von Authentifizierungsprotokollen
unterstützte Authentifizierungsprotokolle
Nicht unterst. Auth.-Protokolle
MS-CHAP; CHAP; SPAP; PAP;
MS-CHAP v2; EAP
MS-CHAP; CHAP; SPAP; PAP;
MS-CHA v2 (mit Win NT 4.0
EAP
Servicepack 4 oder höher)
MS-CHAP; CHAP; SPAP; PAP
EAP; MS-CHAP v2
MS-CHAP; CHAP; SPAP; PAP;
MS-CHAP v2 (mit Win 98 Servicepack 1 EAP
oder höher)
MS-CHAP; CHAP;SPAP;PAP (mit dem
Windows DFÜ 1.3-Leistungs- und SichEAP; MS-CHAP v2
erheitsupdate für Windows 95 und höher)
Prüfungstipp 0552
Berücksichtigen sie für die Prüfung, das Windows 95 keine Unterstützung für MS-CHAP Version 2 über DFÜLeitungen bietet.
Berücksichtigen Sie außerdem, dass EAP nur von Windows Server 2003, Windows Server 2000 und
Windows XP unterstützt wird.
Hinweis 0554
Das Authentifizierungsprotokoll EAP-TLS ermöglicht ebenfalls die Verschlüsselung von PPPVerbindungsdaten.
Dieses Protokoll muss jedoch konfiguriert werden und wird auf der Registerkarte Sicherheit der Verbindung
nicht automatisch durch die Option Datenverschlüsselung ist erforderlich (Verbindung wird bei
unverschlüsselten Daten getrennt) aktiviert.
Zusammenfassung der Lektion 10.1 0561
- Der RAS-Server stellt die IP-Adressierung für RAS-Clients entweder über einen DHCP-Server oder über
einen statischen Bereich von IP-Adressen bereit.
In der Regel erhalten die Clients Adressen, mit denen sie das logische Subnetz der Computer unmittelbar
hinter dem RAS-Server platziert werden.
- Die RAS-Authentifizierung hat Vorrang gegenüber der Authentifizierung von Domänenanmeldungen.
Wenn ein DFÜ-Benutzer eine Remoteanmeldung an einer Domäne vornimmt, muss die DFÜ-Verbindung
authentifiziert, autorisiert und hergestellt werden, bevor die normale Domänenanmeldung erfolgen kann.
- Authentifizierungsprotokollen wird auf der Basis der Sicherheitsstufe eine Priorität zugewiesen.
Bei der Authentifizierungsmethode, die bei einer Verbindung verwendet wird, handelt es sich um das
sicherste Protokoll, das in den Eigenschaften der Clientverbindung, den Eigenschaften des RAS-Servers und
und in der RAS-Richtlinie aktiviert ist, die auf die Verbindung angewendet wird.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 83 von 122
10.2 Lektion 2 Autorisieren von RAS-Verbindungen
Nach der Authentifizierung der Anmeldeinformationen, die mit der RAS-Verbindung übermittelt werden, muss
die Verbindung autorisiert werden.
Die RAS-Autorisierung besteht aus 2 Schritten:
a. Überprüfung der der Einwähleigenschaften des Benutzerkontos, die von der DFÜ-Verbindung übermittelt
wurden und danach
b. Die Anwendung der ersten übereinstimmenden RAS-Richtlinie, die in der Konsole Routing und RAS
aufgeführt ist.
Konfigurieren der Einwähleigenschaften des Benutzerkontos beim Reiter Einwählen:
- RAS-Berechtigung (Einwählen oder VPN)
Standardmäßig aktiviert -> nur nicht beim Functionlevel Windows 2000 gemischt
(Zugriff gestatten, Zugriff verweigern oder Zugriff über RAS-Richtlinien steuern)
- Anrufkennung verifizieren
- Rückrufoptionen
(kein Rückruf, vom Anrufer festgelegt [nur RRAS-Dienst] oder immer Rückruf an: )
- Statische IP-Adresse zuweisen
- Statische Routen anwenden
Wichtig 0564
Active Directory-Domänen in Windows Server 2003 werden standardmäßig mit der Domänenfunktionsebene
Windows 2000 gemischt installiert.
In dieser Serverumgebung stehen für Benutzerkonten nur die RAS-Berechtigungen Zugriff gestatten und
Zugriff verweigern zur Verfügung.
Die Einstellung Zugriff verweigern ist in diesem Fall standardmäßig aktiviert.
Die Aktivierung der Benutzereinwähloption Zugriff gestatten bewirkt, dass die RAS-Richtlinien-Einstellung
RAS-Berechtigung verweigern ignoriert wird.
Aber man kann durch das RAS-Richtlinienprofil den Zugriff über Remote beeinflussen (z.B. Einwählzeiten
vorgeben).
Prüfungstipp 0565
Für die Rückruffunktionalität müssen die LCP (Link Control Protocol)-Erweiterungen im Eigenschaftendialogfeld aktiviert werden (standardmäßig aktiviert).
Insidertipp 0565
Internetdienstanbieter verwenden die Option Statische IP-Adresse zuweisen, um Kunden gegen eine
zusätzliche Gebühr mit einer reservierten IP-Adresse auszustatten.
Da sie nun wissen, wie einfach eine reservierte IP-Adresse konfiguriert werden kann, sollten Sie sich wehren,
wenn ISP dafür horrende Gebühren fordert.
Grundlagen RAS-Richtlinien
Eine RAS-Richtliene ist ein Satz von Berechtigungen oder Einschränkungen, der von einem Server, der den
Remotezugriff authentifiziert, gelesen und auf RAS-Verbindungen angewendet wird.
Auf einem authentifizierenden RAS-Server können zu einem bestimmten Zeitpunkt viele RAS-Richtlinien
gespeichert sein, aber nur eine RAS-Richtlinie kann auf eine Verbindung angewendet werden.
Um die wirksame Richtlinie zu ermitteln, werden die Bedingungen der einzelnen RAS-Richtlinien mit der
aktuellen RAS-Richtlinie mit der aktuellen Verbindung angewendet.
Nur die erste übereinstimmende Richtlinie wird auf die RAS-Verbindung angewendet.
Falls keine Richtlinie mit der Verbindung übereinstimmt, wird diese Verbindung blockiert.
RAS-Richtlinien sind auf einen einzelnen lokalen Computer, aber nicht auf den Routing und RAS-Dienst
beschränkt.
Nach ihrer Erstellung können sie entweder vom Routing und RAS-Dienst oder von einem RADIUS-Server
(Remote Authentication Dial-In User Service) gelesen werden, der auf dem lokalen Computer konfiguriert ist.
RAS-Richtlinien können auch nicht einfach durch Deaktivieren des Routing und RAS-Dienstes entfernt werden.
Sie wedren auf die lokale Festplatte geschrieben und gespeichert, bis sie entweder von der Konsole Routing
und RAS oder von der Konsole Internetauthentifizierungsdienst (dem Verwatungstool für RADIUSServer) aus explizit gelöscht werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 84 von 122
Genau zwei RAS-Richtlienien werden in Windows Server 2003 standardmäßig vorab konfiguriert.
- Verbindung mit dem Microsoft Routing- und RAS-Server
Reihenfolge 1
Sie ist so konfiguriert, dass sie mit jeder RAS-Verbindung über Routing und RAS übereinstimmt.
- Verbindungen mit anderen Zugriffsservern
Reihenfolge 2
Sie ist so konfiguriert, dass sie mit jeder eingehenden Verbindung ungeachtes des Typs des NAS-Servers
übereinstimmt.
Sie kann nur von einem RADIUS-Server gelesen werden, wenn sie in Reihenfolge 2 und die erste
Richtlinie nicht gelöscht worden ist.
Richtlinienprofil
- Registerkarte Einwähleinschränkungen
Verbindung trennen bei einer Leerlaufzeit von
zugelassene Sitzungslänge für Clients in Minuten
Zugriff nur an folgenden Tagen und Uhrzeiten gewähren
Nur auf folgende Nummer Zugriff gewähren
Zugriff nur mit diesen Medien gewähren
(FDDI, Token Ring, Drahtlos - IEEE 802.11, Drahtlos Anderer, xDSL, Ethernet,
IDSL-ISDN-Teilnehmeranschluss, ADSL-DMT, ADSL-CAP, SDSL, G.3-Fax, X.75, X.25,
HDLC-Tranparent, PIAFS, Virtuell = VPN, ISDN-Asynchron V 110 und V120, ISDN-Synchron,
Synchron = T1-Leitung und Asynchron = Modem)
- Registerkarte IP
IP-Adresse durch Server zuteilen
Client kann eine IP-Adresse anfordern
Servereinstellungen definieren als IP-Adresszuordnung (Standardeinstellung)
statische IP-Adresse zuweisen
(sie wird zugewiesen, um herstellerspezifische Attribute für IP-Adressen aufzunehmen)
- Registerkarte Mehrfachverbindung
(Maximale Anzahl von Ports, BAP [Bandwidht Allocation Protocol], beides standardmäßig deaktiviert und
Mehrfachverbindung und BAP sind nur für den Routing und RAS-Dienst relevant)
- Registerkarte Authentifizierung
EAP-Methoden (PEAP und/oder MD5-Challenge)
Microsoft verschlüsselte Authentifizierung Version 2 (MS-CHAP v2) (standardmäßig aktiviert)
Benutzer darf das Kennwort nach Ablaufdatum ändern (standardmäßig aktiviert)
Microsoft verschlüsselte Authentifizierung
(MS-CHAP mit Benutzer darf das Kennwort nach Ablaufdatum ändern)
Verschlüsselte Authentifizierung (CHAP)
Unverschlüsselte Authentifizierung (PAP, SPAP)
Nichtauthentifizierter Zugriff
- Registerkarte Verschlüsselung
(MPPE für DFÜ- und PPTP-basierte VPN-Verbindungen und
DES als allgemeines Verschlüsselungschema für VPN’s mit L2TP/IPSec)
Basisverschlüsselung
MPPE
40 Bit
(über L2TP/IPSec IPSec DES 56 Bit)
Starke Verschlüsselung
MPPE
56 Bit
(über L2TP/IPSec IPSec DES 56 Bit)
Stärkste Verschlüsselung
MPPE
128 Bit
(über L2TP/IPSec IPSec DES 168 Bit)
keine Verschlüsselung
- Registerkarte Erweitert
(erweiterte Eigenschaften zur Angabe von Radius-Attributen)
Prüfungstipp 0571
Für die Prüfung müssen Sie mit den Verschlüsselungseinstellungen vertraut sein.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 85 von 122
Problembehandlung von DFÜ-RAS-Verbindungen (Prüfliste) 0577
- Stellen Sie sicher, dass in der Konsole Routing und RAS auf der Registerkarte Allgemein der
Servereigenschaften die Option RAS-Server aktiviert ist.
- Wenn Sie einen statischen Adresspool konfiguriert haben, müssen Sie sich vergewissern, dass der Pool groß
genug ist, um die erforderliche Anzahl gleichzeitiger Clientverbindungen ausstatten zu können.
- Wenn Sie den RAS-Server für die Zuweisung von Adressen über einen DHCP-Server konfiguriert haben,
müssen Sie sicherstellen, dass auf dem DHCP-Server festgelegte Adressbereich groß genug ist, um Blöcke
von jeweils 10 Adressen bereitstellen zu können, die vom RAS-Server angefordert werden.
- Vergewissern Sie sich, dass im Knoten Ports so viele Modems konfiguriert sind, wie für die Anzahl der
gleichzeitigen Clientverbindungen erforderlich sind.
- Stellen Sie sicher, dass der DFÜ-Client, der den RAS-Server und die RAS-Richtlinie für den Einsatz von
mindestens einem Authentifizierungsprotokoll konfiguriert sind.
- Stellen Sie sicher, dass der DFÜ-Client, der RAS-Server und die RAS-Richtlinie für den Einsatz von
mindestens einer gebräuchlichen Verschlüsselungsstärke konfiguriert sind.
- Vergewissern Sie sich, dass die DFÜ-Verbindung über die Einwähleigenschaften des Benutzerkontos und
die RAS-Richtlinie über die geeigneten Berechtigungen verfügt.
- Stellen Sie sicher, dass der RAS (oder Radius)-Servercomputer ein Mitglied der Sicherheitsgruppe
RAS- und ISA-Server in der lokalen Domäne ist.
- Vergewissern Sie sich, dass keine Konflikte zwischen den Einstellungen des RAS-Richtlinienprofils und den
Eigenschaften des RAS-Servers auftreten.
- Stellen Sie bei Einsatz von MS-CHAP Version 1 als Authentifizierungsprotokoll sicher,
dass das Benutzerkennwort höchstens 14 Zeichen enthält.
Hinweis 0579
Wenn auf dem RAS-Server ein Routingprotokoll eingeführt wird, müssen auch benachbarte Router für die
Annahme von Updates (Ankündigungen) von diesem Server konfiguriert werden.
Problembehandlung von Zugriffen hinter dem RAS-Server (0579)
- Stellen Sie sicher, dass auf der Registerkarte Allgemein des Eigenschaftendialogfelds für den Server
das Kontrollkästchen Router aktiviert ist.
- Vergewissern Sie sich, dass auf der Registerkarte Allgemein des Eigenschaftendialogfelds für den Server
die Option LAN und bei Bedarf wählendes Routing aktiviert ist.
- Stellen Sie sicher, dass auf der Registerkarte IP des Eigenschaftendialogfelds für den Server
das Kontrollkästchen IP-Routing aktiviert ist.
- Wenn Ihren RAS-Clients ein Adressbereich zugewiesen wird, mit dem sie in einem Subnetz platziert werden,
das vom Subnetz unmittelbar hinter dem antwortenden Router logisch getrennt ist, müssen Sie sicherstellen,
dass die Router in Ihrem Netzwerk mit der Position des RAS-Subnetzes konfiguriert wurden.
- Vergewissern Sie sich, dass auf der Registerkarte IP im Eigenschaftendialogfeld des Servers
das Kontrollkästchen Broadcastnamensauflösung aktivieren aktiviert ist.
Dieser Schritt ist nur dann erforderlich, wenn das Remotenetzwerk die NetBIOS-Namensauflösung,
aber kein WINS eingesetzt wird und wenn die RAS-Clients in demselben logischen Subnetz wie die
NetBIOS-Dienste platziert sind, mit denen sie eine Verbindung herstellen werden.
Prüfungstipp 0582
Für die Simulationsfragen in der Prüfung 70-291 müssen Sie wissen, wie Sie RAS-Richtlinien erstellen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 86 von 122
Zusammenfassung der Lektion 10.2 0586
- Wenn eine RAS-Verbindung erfolgreich authentifiziert wird, muss sie autorisiert werden, bevor der
Remotezugriff stattfinden kann.
Die RAS-Autorisierung erfolgt in 2 Stufen:
1. Zunächst werden die Einwähleigenschaften des Benutzerkonto überprüft.
2. Daraufhin wird die erste übereinstimmende RAS-Richtlinie auf die Verbindung angewendet.
- Die Einwähleigenschaften des Benutzerkontos enthalten die Einstellung für RAS-Berechtigungen,
die aus 3 Optionen bestehen:
1. Zugriff gewähren,
2. Zugriff verweigern, und
3. Zugriff über RAS-Richtlinien steuern.
- Eine RAS-Richtlinie enthält eine Richtlinienbedingung, die den Verbindungstyp beschreibt,
auf den die Richtlinie angewendet wird.
RAS-Richtlinien sind in einer bestimmten Reihenfolge angeordnet, und nur die erste übereinstimmende
RAS-Richtlinie wird auf eine RAS-Verbindung angewendet.
RAS-Richtlinie enthalten eine Einstellung für das Gewähren oder Verweigern des Zugriffs, die von den
Einstellungen des Benutzerkontos außer Kraft gesetzt werden können.
RAS-Richtlinien enthalten außerdem ein Richtlinienprofil, mit dem verschiedene Attribute wie
Authentifizierungs-, Verschlüsselungsanforderungen oder Paketfilter auf die Verbindung angewendet werden
können.
- Um Zugriff von Clients hinter den RAS-Server zu ermöglichen, muss der RAS-Server als Router fungieren
und die Option IP-Routing aktivieren im Eigenschaftendialogfeld des RAS-Servers aktiviert werden.
- RAS-Clientverbindungen können in der Konsole Routing und RAS über den Knoten RAS-Clients
verwaltet werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 87 von 122
10.3 Lektion 3 Implementieren von VPNs
Ein virtuelles privates Netzwerk (VPN) ermöglicht Benutzern die Herstellung einer sicheren Verbindung mit
einem privaten Remotenetzwerk über das Internet.
Virtuelle private Netzwerke sind logische Netzwerke, die sich physisch über das Internet erstrecken.
In einem VPN werden private Datenpakete zunächst verschlüsselt und darauf in öffentlichen Paketen gekapselt,
die an den Remote-VPN-Server adressiert werden.
Mithilfe dieser Routinginformationen kann die verschlüsselte Nutzlast von privaten daten das öffentliche
Netzwerk „tunneln“, um seinen Bestimmungsort zu erreichen.
Nach dem Erhalt der gekapselten Daten über einen VPN-Tunnel entfernt der VPN-Server den öffentlichen
Header und entschlüsselt die private Nutzlast.
Eine wichtige Funktion von VPN besteht darin, dass sie das öffentliche physische Netzwerk, über das private
Daten gesendet werden, für die beiden Kommunikationsendpunkte transparent wird.
Szenario 10.3.1 0588
|------ privates Netzwerk ------|
Datenpaket
(original)
|------ privates Netzwerk ------|
Nachspann verschlüs- Header
des Tunnel- seltes
des Tunnelprotokolls Datenpaket protokolls
Datenpaket
(original)
Client PC 1 ----------> VPN-Server 1 ---------- TUNNEL ---------- VPN-Server 2 ----------> Client PC 2
pc1
(mit DHCP-Server)
pc2
Ausgangs-IP-Konfiguration
192.168.9.21 192.168.9.1 207.46.102.32
VPN-IP-Konfiguration
192.168.8.22
INTERNET
131.107.5.9 192.168.8.1 192.168.8.21
EIN LOGISCHES NETZWERK
192.168.8.21
Nach der Etablierung der VPN-Verbindung, gehört der Client-PC 1 dem logischen Subnetz des Client-PC 2 an!
vom pc1 aus:
c:\tracert pc2
Routenverfolgung zu pc2 [192.168.8.21]
über maximal 30 Abschnitte
1 460 ms 460 ms 580 ms pc2 [192.168.8.21]
Ablaufverfolgung beendet.
vom pc2 aus:
c:\tracert pc1
Routenverfolgung zu pc1 [192.168.8.22]
über maximal 30 Abschnitte
1 482 ms 496 ms 528 ms
pc2 [192.168.8.22]
Ablaufverfolgung beendet.
Die Transparenz dieser physischen Verbindung kann mithilfe der Ergebnisse des tracert -Befehls verdeutlicht
werden, der auf den beiden Computern ausgeführt wird.
Obwohl die beiden Computer durch viele Abschnitte (hops) voneinander getrennt sind, scheinen sie über die
VPN-Verbindung nur einen einzigen Abschnitt voneinander entfernt zu sein.
Die Kommunikation erfolgt zwischen den beiden privaten IP-Adressen (beide innerhalb des Subnetzes
192.168.8.0/24) so, als befänden sich die beiden Computer PC1 und PC2 in einem isolierten Netzwerksegment.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 88 von 122
Szenario 10.3.2 0589
RAS-VPN
reservierte IP-Adresse des VPN-Servers
207.68.200.67
Mobiler ---Blitz---> ISP -------------- Wolke-Internet -------------- VPN -- { Bürointranet }Domänencontroller
Benutzer
555-2323
Server | 192.168.8.0 | von Domäne cont.de
(Telemitarbeiter-1)
Netzwerkverbindungen
Eigener ISP
verbunden mit 555-2323
Angegebenes Domänenbenutzerkonto
Anmeldename: VpnBenutzer
Mitglied von Gruppe: cont.de\Telearbeiter
Einwählen-Eigenschaft:
„Zugriff über RAS-Richtlinien steuern“
Eigenes VPN
verbunden mit
Benutzername:
Domäne:
RAS-Richtlinie
Name: Telearbeiter
207.68.200.67
VpnBenutzer
cont.de
Bedingungen:
NAS-Port entspricht „Virtuell (VPN)“
und
Windows-Groups entspricht
„cont.de\Telearbeiter“
Option „RAS-Berechtigung erteilen“
aktiviert
Hinweis 0590
Schnittstellen für Wählen bei Bedarf beschreiben nicht notwendigerweise DFÜ-Verbindungen.
VPN-Verbindungen werden im Routing und RAS-Dienst grundsätzlich als eine Form von Schnittstelle für
Wählen bei Bedarf angesehen, selbst wenn Sie die Kommunikation über eine T1-Leitung initiieren und
entsprechend antworten.
Bei RIP müssen die Router unbedingt für autostatische Updates konfiguriert sein, damit VPN über
DFÜ-Leitungen eingeführt werden kann.
Szenario 10.3.3 0591
Extranet-/Routerübergreifendes VPN
In einem Extranetszenario werden 2 Büronetzwerke mit Hilfe von VPN-Servern verbunden, auf denen der
Routing und RAS-Dienst ausgeführt wird.
Auf jedem Server werden VPN-Verbindungen sowohl von Schnittstellen für Wählen bei Bedarf eingeleitet als
auch beantwortet.
Die VPN-Konnektivität beruht auf der Autorisierung dieser Schnittstellen für Wählen bei Bedarf, und nicht
auf der Autorisierung einzelner Benutzer.
Für jede VPN-Schnittstelle für Wählen bei Bedarf muss ein Satz von Anmeldeinformationen für das
Hinauswählen konfiguriert werden, mit einem Benutzernamen, einem Kennwort und einer Domäne.
Der Benutzername entspricht standardmäßig dem Namen der Schnittstelle für Wählen bei Bedarf.
Dieser Benutzername muss jedoch auch mit dem Namen der Schnittstelle für Wählen bei Bedarf übereinstimmen, die auf dem antwortenden VPN-Server konfiguriert ist.
Um die Konfiguration zu vereinfachen, können Sie den einander entsprechenden Schnittstellen für Wählen bei
Bedarf denselben Namen zuweisen.
Um vollständigen Extranetkonnektivität zu ermöglichen, müssen abschließend auf allen VPN-Servern statische
Routen eingerichtet werden.
Die Funktion dieser statischen Routen besteht darin, Datenverkehr, der für das andere private Netzwerk
bestimmt ist, über die VPN-Schnittstelle für Wählen bei Bedarf weiterzuleiten.
Diese statischen Routen werden für Anforderungen, aber auch für Antwortdatenverkehr verwendet, sodass sie
auf beiden (VPN-)Servern konfiguriert werden müssen, selbst wenn alle Remoteanforderungen aus demselben
Netzwerk stammen.
Domänenname: cont.de
Benutzerkonto soll Berl_Pots heißen.
Benutzerkonten befinden sich in der globalen Gruppe VpnRouter.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 89 von 122
Reservierte IP-Adresse:
Reservierte IP-Adresse:
131.107.134.3
207.66.200.76
|
|
DC {Bürointranet Berlin} VPN- -------- INTERNET -------- VPN- {Bürointranet Potsdam} DC
von
| 192.168.8.0724 | Server
(Wolke)
Server | 192.168.9.0/24 |
von
cont.de
cont.de
Schnittstelle für Wählen bei Bedarf
Berl_Pots
verbunden mit 207.66.200.76
Schnittstelle für Wählen bei Bedarf
Berl_Pots
verbunden mit 131.107.134.3
Angegebenes Domänenbenutzerkonto
Kontoname: Berl_Pots
Gruppenmitglied von: cont.de\VpnRouter
Einwählen-Eigenschaft:
„Zugriff über RAS-Richtlinien steuern“
Angegebenes Domänenbenutzerkonto
Kontoname: Berl_Pots
Gruppenmitglied von: cont.de\VpnRouter
Einwählen-Eigenschaft:
„Zugriff über RAS-Richtlinien steuern“
RAS-Richtlinie
Name: Extranetverbindungen zulassen
RAS-Richtlinie
Name: Extranetverbindungen zulassen
Bedingungen:
NAS-Port-Type entspricht „Virtuell (VPN)“
und
Windows-Groups entspricht
„cont.de\VpnRouter“
Bedingungen:
NAS-Port-Type entspricht „Virtuell (VPN)“
und
Windows-Groups entspricht
„cont.de\VpnRouter“
Option “RAS-Richtlinien erteilen” aktiviert
Option “RAS-Richtlinien erteilen” aktiviert
Statische Route
Ziel:
192.168.9.0
Netwerkmaske: 255.255.255.0
Schnittstelle:
Berl_Pots
Statische Route
Ziel:
192.168.8.0
Netwerkmaske: 255.255.255.0
Schnittstelle:
Berl_Pots
Problembehandlung von RAS-VPNs 0592
- Stellen Sie sicher, dass auf dem VPN-Server im Knoten Ports für den entsprechenden VPN-Typ
(PPTP oder L2TP) genügend Ports konfiguriert sind und
nicht alle verfügbaren Ports aktuell verwendet werden.
- Vergewissern Sie sich, dass in der Konsole Routing und RAS auf der Registerkarte Allgemein der
Servereigenschaften die Option RAS-Server aktiviert ist.
- Überprüfen Sie, ob die VPN-Verbindung über die Einwähleigenschaften des Benutzerkontos und die
RAS-Richtlinien über die geeigneten Berechtigung verfügt.
- Stellen Sie sicher, dass der VPN-Client, der RAS-Server und die RAS-Richtlinie für den Einsatz
mindestens einem Authentifizierungsprotokoll konfiguriert sind.
- Vergewissern Sie sich, dass der VPN-Client, der RAS-Server und die RAS-Richtlinie für den Einsatz
mindestens einer Verschlüsselungsstärke konfiguriert sind.
- Stellen Sie sicher, dass der RAS (oder RADIUS)-Servercomputer ein Mitglied der Sicherheitsgruppe
RAS und IAS-Server in der lokalen Domäne ist.
- Stellen Sie sicher, dass keine Konflikte zwischen den Einstellungen des RAS-Richtlinienprofils und
den Eigenschaften des RAS-Servers auftreten.
- Stellen Sie bei Einsatz von MS-CHAP Version 1 als Authentifizierungsprotokoll sicher,
dass das Benutzerkennwort höchstens 14 Zeichen enthält.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 90 von 122
Problembehandlung von routerübergreifenden VPNs 0593
- Vergewissern Sie sich, dass an beiden Endpunkten der VPN-Verbindung in der Konsole Routing und RAS
auf der Registerkarte Allgemein der Servereigenschaften die Optionen Router und
LAN und bei Bedarf wählendes Routing aktiviert sind.
- Stellen Sie auf jedem RAS-Server sicher, dass in der Konsole Routing und RAS auf der Registerkarte
IP der Servereigenschaften die Option IP-Routing aktivieren aktiviert ist.
- Überprüfen Sie auf jedem RAS-Server, ob im Knoten Ports für den entsprechenden VPN-Typ
(PPTP oder L2TP) genügend Ports konfiguriert wurden.
- Stellen Sie sicher, dass Sie für jede Schnittstelle für Wählen bei Bedarf, die für die VPN-Verbindung erstellt
wird, im Assistenten für ein Schnittstelle für Wählen bei Bedarf die Option für die Weiterleitung des
IP-Datenverkehrs über diese Schnittstelle für Wählen bei Bedarf aktiviert haben.
- Vergewissern Sie sich, dass Sie auf jedem RAS-Server statische Routen konfiguriert haben, damit
Datenverkehr, der für das andere Netzwerk bestimmt ist, mit der entsprechenden VPN-Schnittstelle
verknüpft wird.
- Stellen Sie auf jedem RAS-Server sicher, dass die Anmeldeinformationen für das Hinauswählen der lokal
konfigurierten Schnittstelle für Wählen bei Bedarf mit dem Namen der antwortenden Remoteschnittstelle
und mit einem Benutzerkonto samt Kennwort in der Remotedomäne übereinstimmen.
- Vergewissern Sie sich, dass jede VPN-Schnittstelle für Wählen bei Bedarf, der antwortende RAS-Server und
die antwortende RAS-Richtlinie für den Einsatz von mindestens einem verbreiteten Authentifizierungsprotokoll und einer gebräuchlichen Verschlüsselungsstärke konfiguriert sind.
- Vergewissern Sie sich, dass die RAS-Verbindung über die Einwähleigenschaften des Benutzerkontos
(das dem Namen der Schnittstelle für Wählen bei Bedarf entspricht) und
die RAS-Richtliniem über die geeigneten Berechtigungen verfügt.
- Stellen Sie an beiden Endpunkten der VPN-Verbindung sicher, dass der RAS (oder RADIUS)-Servercomputer
ein Mitglied der Sicherheitsgruppe RAS- und IAS-Server in der lokalen Domäne ist.
- Vergewissern Sie sich, auf jedem RAS, das keine Konflikte zwischen den Einstellungen des
RAS-Richtlinienprofils und den Eigenschaften des jeweiligen RAS-Servers bestehen.
Hinweis 0595
Wenn bei der Ausführung des Setup-Assistenten für den Routing- und RAS-Server ursprünglich eine VPN-RASServerfunktion angegeben wurde, werden von jedem VPN-Typ standardmäßig 128 Ports konfiguriert.
Prüfungstipp 0595
Für die Prüfung müssen Sie sich mit den VPN-Ports auskennen.
Gehen Sie davon aus, dass Fragen gestellt werden, bei denen der VPN-Zugang blockiert wird, da eine zu geringe
Anzahl von Ports konfiguriert ist.
Mit weiteren Fragen wird Ihr Wissen über die Anzahl der Ports, die erstellt werden können, und über die Anzahl
der gleichzeitigen Verbindungen getestet, die Windows Server 2003 bewältigen kann.
Prüfungstipp 0595
Wenn Sie in der Prüfung bemerken, dass in einer möglichen Antwort das Protokoll GRE erwähnt wird,
berücksichtigen Sie, dass es sich dabei um einen indirekten Verweis auf PPP handelt.
Im Allgemeinen können VPN-Tunnel vom Typ PPTP einfacher implementiert werden, sind aber
weniger sicher als die Tunnel des zertifikatbasierten Typs L2TP.
VPN-Verbindungen vom Typ PPP bieten:
- eine Vertraulichkeit der Daten
(abgefangene Datenpakete können ohne den Verschlüsselungsschlüssel nicht interpretiert werden)
- keine Datenintegrität
(Daten wurden während der Übertragung nicht geändert)
- keine Authentifizierung des Datenursprungs
(Daten wurden vom autorisierten Benutzer gesendet).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 91 von 122
Hinweis 0598
In RAS-Richtlinien können VPN-Verbindungen nur über das Attribut NAS-Port-Type von anderen Verbindungen unterschieden werden.
Für VPN-Verbindungen wird NAS-Port-Type in RAS-Richtlinien mit dem Eintrag Virtuell (VPN) belegt.
Beachten Sie, außerdem, dass es in RAS-Richtlinien nicht möglich ist, PPTP-Verbindungen und
L2TP/IPSec-Verbindungen zu unterscheiden.
Standardmäßig ist für VPN-Verbindungstyp der Eintrag Automatisch aktiviert.
In diesem Modus versucht die VPN-Verbindung zunächst eine L2TP-Kommunikation über das zertifikatbasierte
IPSec.
Erst wenn dieser Versuch fehlschlägt, erfolgt eine Kommunikation über PPTP.
Konfigurieren von PPTP/L2TP-verbindungen auf einen VPN-Client:
Eigenschaften der VPN-Verbindung:
Reiter Allgemein --> Internetprotokoll (TCP/IP) ==> VPN-Typ
(automatisch [Standard]/PPTP-VPN/L2TP-IPSec-VPN)
Insidertipp 0597
VPN-Verbindungen vom PPTP-Typ stehen unverdient in dem Ruf unsicher zu sein, und werden, da sie so
einfach konfiguriert werden können, von vorgeblichen technischen Experten als „VPN für Anfänger“ herabgewürdigt.
In Wahrheit ist PPTP nicht wirklich unsicher, sondern lediglich weniger sicher als L2TP/IPSec.
Zudem ist PPTP in einigen Netzwerken die bessere Option.
Wenn Sie zum Beispiel Remotebenutzer unterstützen müssen, die von öffentlichen Computern aus (etwa in einer
Bibliothek) eine Verbindung herstellen, ist PPTP aufgrund der fehlenden Möglichkeit, Computerzertifikate
einzusetzen, die einzigste realistische VPN-Lösung
Aufbau eines PPTP-Pakets:
|<-------- PPP-Rahmen --------------------------> |
| IP-Header | GRE-Header | PPP-Header | Verschlüsselte PPP-Nutzlast = IP Datagramm |
Aufbau eines L2TP-Pakets:
| IP| ESP- | UDP- | L2TP- | PPP- | PP| ESP| ESP|
| Header | Header | Header | Header | Header | Nutzlast=IP-Paket | Nachspann | Auth.-Nachspann |
|<---------|<---------------------
Verschlüsselt mit ESP-Header
----------->|
ESP-Auth.-Nachspann
----------->|
Für die Verbindungen vom L2TP/IPSec-Typ stellt das Protokoll L2TP den VPN-Tunnel bereit, während das
Protokoll ESP (Encapsulation Security Payload), das seinerseits eine IPSec-Feature ist, die Datenverschlüsselung
gewährleistet.
Bei L2TP/IPSec-Verbindungen muss im Gegensatz zu PPTP-Verbindungen neben dem Benutzer auch der
Computer authentifiziert werden.
Die Computerauthentifizierung erfolgt bei allen L2TP/IPSec-Verbindungsversuchen zwischen RAS-Clients und
RAS-Servern.
Nachdem die die Tunnelendpunkte authentifiziert wurden und ein sicherer Kanal zwischen dem Client und dem
Server hergestellt wurde, folgt die Benutzerauthentifizierung.
Die Authentifizierung von Benutzern über VPN-Verbindungen vom L2TP/IPSec-Typ wird mithilfe desselben
Satzes von Authentifizierungsprotokollen vorgenommen, die auch für PPTP- und DFÜ-Verbindungen eingesetzt
werden.
Hinweis 0598
Denken Sie daran, dass die Authentifizierung nur der erste Schritt im Gesamtprozess des Verbindungsaufbaues
ist.
Nachdem Computer und Benutzer authentifiziert sind folgt der Vorgang der Autorisierung (siehe Lektion 10.2).
Eine Verbindung wird nur dann hergestellt, wenn die Verbindung autorisiert wurde.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 92 von 122
Computerzertifikate und L2TP/IPSec
Für die Mehrzahl der L2TP-basierten VPN-Verbindungen wird die Computerauthentifizierung mithilfe der
Zertifikatinfrastruktur durchgeführt.
Um diesen VPN-Typ erfolgreich zu implementieren, müssen Sie auf allen VPN-Clients und VPN-Servern
Computerzertifikate erstellt werden, die von derselben Zertifizierungsstelle (Certification Authority, CA)
ausgestellt wurden.
Wenn Sie als ausstellende Zertifizierungsstelle eine Windows Server 2003-Unternehmenszertifizierungsstelle
einsetzen, sollten Sie Ihre Active Directory-Domäne unter Verwendung der Gruppenrichtlinie
Computerkonfiguration für die automatische Registrierung von Computerzertifikaten konfigurieren.
Mithilfe dieser Methode fordert jeder Computer, der ein Mitglied der Domäne ist, automatisch ein
Computerzertifikat an, wenn die Gruppenrichtlinie Computerkonfiguration aktualisiertw ird.
Hinweis 0598
Einzelheiten zur Bereitstellung des zertifikatbasierten L2TP/IPSec sprengen den Rahmen der Prüfung 70-291.
Weitere Informationen über dieses Thema finden Sie jedoch unter
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/vpndeplr.mspx#EI
AA (alles in englischer Sprache, am 2008-10-29 war Seite vorhanden).
Zertifikate enthalten Erweiterungen zum erweiterten Schlüsselaustausch (Enhanced Key Usage, EKU), mit
denen der Zweck des Zertifikats festgelegt wird.
Das Computerzertifikat, das sie dem L2TP/IPSec-Client zuweisen, muss in seinen EKU-Erweiterungen entweder
den Zweck Clientauthentifizierung oder den Zweck IPSec aufweisen.
Gleichzeitig muss der VPN-Server, wenn er als RAS-Server bereitgestellt wird, den Zweck Serverauthentifizierung enthalten.
Wenn er aber in einem routerübergreifenden VPN eingerichtet wird, muss er sowohl den Zweck Serverauthentifizierung als auch den Zweck Clientauthentifizierung aufweisen.
Wenn zwei oder oder mehr Verwendungszwecke erforderlich sind, müssen sie alle in die Erweiterungen
desselben Zertifikats einbezogen werden.
Prüfungstipp 0598
Für die Prüfung 70-291 müssen Sie wissen, wann in Zertifikaten, die für VPNs benutzt werden,
Clienterweiterungen, Servererweiterungen oder beide erforderlich sind.
Hinweis 0599
Deaktivierung von L2TP/IPSec-verbindungen wird realisiert, in dem die Anzahl der L2TP-Ports auf 0
gestellt wird (PPTP hat diese Option nicht).
Dialogfeld Eigenschafen von Ports ---> Porttyp WAN-Miniport (L2TP) ---> Konfigurieren --->
Maximale Portanzahl = 0 setzen.
Hinweis 0599
Wenn EAP-TLS für die Benutzerauthentifizierung eingesetzt wird, muss auf allen VPN-Clients ein Benutzerzertifikat installiert werden.
Wenn es sich beim authentifizierenden Server um einen Radius-Server handelt, muss auf diesem Server ein
Computerzertifikat installiert werden.
Bei VPNs mit L2TP/IPSec ist der Einsatz von EAP-TLS für die Benutzerauthentifizierung nicht erforderlich.
Hinweis 0599
Vorinstallierte Schlüssel und L2TP/IPSec
Die einzige Situation, in der Zertifikate für VPN-Verbindungen nicht erforderlich sind, liegt vor, wenn sowohl
auf dem VPN-Client als auch auf dem VPN-Server das Betriebssystem Windows Server 2003 ausgeführt wird.
In diesem Fall haben Sie die Möglichkeit, die Computerauthentifizierung über den Einsatz eines
vorinstallierten Schlüssels zu konfigurieren.
Dabei handelt es sich um eine Klartext-Zeichenfolge, die zur Verschlüsselung und Entschlüsselung der IPSecKommunikation verwendet wird.
Vorinstallierte Schlüssel werden nicht als sichere Authentifizierungsmethode betrachtet und daher nur für
Testeinrichtungen oder temporäre Einrichtungen empfohlen.
Hinweis 0599
Falls erwünscht, können Sie eine oder beide DFÜ-Verbindungen durch eine dedizierte ISP-Verbindung ersetzen.
Um die VPN-Konnektivität einrichten und testen zu können, müssen Sie in diesem Fall jedoch einige kleinere
Anpassungen bei den folgenden Anweisungen (in der praktischen Übung) vornehmen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 93 von 122
Zusammenfassung der Lektion 10.3 0606
- Virtuelle private Netzwerke sind Netzwerke, die in logischer Hinsicht ein lokales Netzwerk nachbilden,
sich aber physisch über das Internet erstrecken.
- In einem RAS-VPN-Szenario mit Windows Server 2003 stellt ein einzelner Benutzer eine Verbindung über
das Internet mit einem Windows Server 2003-Computer her, auf dem der Routing und RAS-Dienst ausgeführt
wird.
In einem Extranetszenario werden private LANs von zwei Windows Server 2003-Computern, auf denen der
Routing und RAS-Dienst ausgeführt wird, über das Internet miteinander verbunden.
- Im Allgemeinen können VPN-Tunnel vom PPTP-Typ einfacher implementiert werden, sind aber weniger
sicher als die Tunnel des zertifikatbasierten L2TP-Typs.
Bei PPTP-Verbindungen wird die Verschlüsselung von MPPE bereitgestellt.
- Bei L2TP/IPSec-Verbindungen muss man im Gegensatz zu PPTP-Verbindungen neben dem Benutzer auch
der Computer authentifiziert werden.
Wenn die Authentifizierung von Computern über den Einsatz einer Zertifikatinfrastruktur gewährleistet wird,
werden VPN-Verbindungen vom L2TP-Typ als sehr sicher angesehen.
Wenn die Authentifizierung von Computern über den Einsatz vorinstallierter Schlüssel gewährleistet wird,
werden solche VPN-Verbindungen vom L2TP-Typ als nicht sicher angesehen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 94 von 122
10.4 Lektion 4 Bereitstellen des Internetauthentifizierungsdienstes
Der Internetauthentifizierungsdienst (Internet Authentication Service, IAS) ist die Microsoft-Implementierung
eines RADIUS (Remote Authentication Dial-In User Service)-servers und -Proxys.
Als Radius-Server führt IAS eine zentralisierte Verbindungs-Authentifizierung, Verbindungs-Autorisierung
und Verbindungs-Kontoführung für viele Formen von Netzwerkzugriffen durch, darunter drahtlose
Verbindungen, authentifizierender Switch-, DFÜ-, und VPN-RAS-Verbindungen sowie routerübergreifende
Verbindungen.
Als RADIUS-Proxy leitet IAS Authentifzierungs- und Kontoführungsnachrichten an andere RADIUS-Server
weiter.
Szenario 1 für einen RADIUS-Server
DFÜ-Benutzer aus 2 verschiedenen Städten stellen eine Verbindung mit einem ISP her.
Die Netzwerkzugriffsserver, auf denen der Routing und RAS-Dienst ausgeführt wird, leiten RAS-Anforderungen
mittels des RADIUS-Protokolls an einen RADIUS-Server weiter.
Der RADIUS-Server kommuniziert daraufhin zwecks Benutzerauthentifizierung mit dem Domänencontroller.
Nach der Benutzerauthentifizierung werden die auf dem RADIUS-Server definierten RAS-Richtlinien auf die
Verbindung angewendet.
Wenn die RAS-Verbindung autorisiert wird, kommuniziert der RADIUS-Server mit dem
Netwerkzugriffsserver, um den Netzwerkzugriff zu gewähren.
Falls nicht, wird der Netzwerkzugriff verweigert.
DFÜ-Benutzer 1
in Berlin
---> Modembank ------ Netzwerkzugriffsserver/ -RADIUS-Client
\
DFÜ-Benutzer 2
in Potsdam
\
+-- IAS/RADIUS- ---- Domänencontroller
/ Server
---> Modembank ------ Netzwerkzugriffsserver /
RAS-Richtlinien
RADIUS-Client
Der RADIUS-Server wird in einer gebräuchlichen Implementierung auf einem separaten Computer installiert.
Er kann auch auf einem Netzwerkzugriffsserver bereitgestellt werden.
Szenario 2 für einen RADIUS-Server
Wenn eine Vielzahl von RAS-Methoden unterstützt werden sollen (z. B. VPN, Drahtlos und DFÜ), können auch
kleinere Organisationen die RAS-Verwaltung mit RADIUS-Servern zentralisieren.
Durch Einführung einer zentralen Autorisierungsstelle kann die Organisation verschiedene, nicht allzu spezielle
Anforderungen an einen einzelnen Satz von RAS-Richtlinien leiten.
Clients für Zugriff --------- | --Netzwerkzugriffsserver/ -- | ---- RADIUS- --|
RADIUS-Clients
Protokoll
DFÜ-Benutzer 1 ------------------\
+---- DFÜ-Server
DFÜ-Benutzer 2 ------------------/
<------------------>|
|
|
Desktop-Benutzer 1 -- Internet--\
(Wolke) +---- VPN-Server
Desktop-Benutzer 2 -- Internet--/
|
<------------------->+--RADIUS- <----> Datenbank
| Server
mit den
|
Benutzerkonten
Laptop 1 ..Wireless-LAN..........\
|
+- Drahtloszugriffspunkt <------------------->|
Szenario 3 für einen RADIUS-Server
Es werden hier z.B. die Netzwerkzugriffsanforderungen, die die externe Schnittstelle des Servers erreichen, vom
Routing und RAS-Dienst verarbeitet.
Der Routing und RAS-Dienst leitet diese RAS-Anforderung anschließend an den Internetauthentifizierungsdienst (IAS) weiter, der mit der internen IP-Adresse desselben Computers verknüpft ist.
Dieser IAS-Dienst fungiert nicht nur für RADIUS-Anforderungen als RADIUS-Server, sondern auch für
RADIUS-Anforderungen von anderen Netzwerkzugriffsservern im gesamten Netzwerk.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 95 von 122
RADIUS-Unterstützung für IEEE 802.1x und Drahtlosauthentifizierung
IEEE 802.1x ist ein Standard, mit dem Sie erzwingen können, dass sich die Benutzer über ein EAP-basiertes
Protokoll authentifizieren, bevor ihnen der Zugriff auf ein Drahtlosnetzwerk gestattet wird.
Szenario 4 für einen RADIUS-Server
Wenn ein Benutzer versucht über eine 802.1x-kompatible Netzwerkkarte eine Verbindung zum RemoteNetzwerk herzustellen, leitet der Zugriffspunkt die Anmeldeinformationen des Benutzers an einen RADIUSServer weiter, z.B. IAS.
Nachdem IAS die Anmeldeinformationen vom Drahtloszugriffpunkt empfangen hat, authentifiziert er diese
Anmeldeinformationen.
Normalerweise nimmt er dazu Kontakt mit einem Domänencontroller auf.
Dieser Domänencontroller kann auf demselben Computer wie IAS eingerichtet sein.
Erst nachdem der der Server den Benutzer authentifiziertund die Verbindung autorisiert hat, öffnet der
Zugriffspunkt den Port für den Client und erlaubt dem Benutzer, auf das Netzwerk zuzugreifen.
...... = Luft-Strecke
Drahtlos-Client 1 .......... 802.1x-Zugriffspunkt/RADIUS-Client--+
|
.......... 802.1x-Zugriffspunkt/RADIUS-Client---+-- INTRANET ----+ -- ISA-Server/DC
|
Drahtlos-Client 2 .......... 802.1x-Zugriffspunkt/RADIUS-Client--+
Microsoft-Netzwerke unterstützen in 802.1x-Netzwerken zwei EAP-Methoden.
Sie müssen diese Authentifizierungsmethoden sowohl auf dem Client (in den Eigenschaften der DrahtlosVerbindung) als auch auf dem ISA-Server (in der RAS-Richtlinie, die für die Drahtlosverbindung gilt)
konfigurieren.
IEEE 802.1x - EAP-Metoden:
- EAP-TLS Dieses Authentifizierungsprotokoll benutzt Zertifikate auf dem Drahtlosclient und dem RADIUSServer, um eine gegenseitige Authentifizierung zu gewährleisten.
Nach erfolgreicher gegenseitiger Authentifizierung stellt EAP-TLS eine verschlüsselte TLS-Sitzung
zwischen Client und Server her.
Fall Sie eine PKI und Zertifikate für die Drahtlosauthentifizierung benutzen wollen, sollten Sie für Ihre
802.1x-Breitstellung EAP-TLS wählen.
- PEAP Protected EAP mit MS-CHAP v2 PEAP benutzt serverseitige Zertifikate.
Nachdem die Serverauthentifizierung abgeschlossen ist, wird eine MS-CHAP v2-Sitzung innerhalb von
PEAP getunnelt, sodass der Client gegenüber dem Server anhand von Benutzername und Kennwort
authentifiziert werden kann.
Falls sie für Ihr Drahtlosnetzwerk keine PKI vorgesehen haben, sollten Sie für Ihre 802.1x-Bereitstellung
PEAP-MS-CHAP v2 einsetzen.
Prüfungstipp 0612
PEAP unterstützt eine schnelle Verbindungsherstellung.
Mobile Benutzer können daher eine kontinuierliche Drahtlosnetzwerkverbindung aufrechterhalten, während sie
sich von einem Drahtloszugriffspunkt im Netzwerk zu einem anderen bewegen (allerdings müssen alle
verwendeten Drahtloszugriffspunkte als Clients desselben IAS-Servers konfiguriert sein).
damit das problemlos funktioniert, müssen Sie sowohl beim Drahtlos-Client als auch beim RADIUS-Server die
schnelle Wiederherstellung der Verbindung aktivieren.
Drahtlosbereitstellungsdienste (Wireless Provisioning Services, WPS) sind ein Satz von Diensten, die drahtlosen
Internetzugriff (Wireless ISP, WISP) zur Verfügung stellen.
WPS wird zusammen mit virtuellen LANs (VLANs) und VLAN-fähigen Geräten bereitgestellt (die so genannten
Zugriffscontroller odre engl access controler).
Hinweis 0612
WPS (Wireless Provisioning Services) ist ein neues Feature von Windows Server 2003 Servicepack 1(SP 1).
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 96 von 122
Indikatoren für die Installation für RADIUS-Proxys:
- Sie sind ein Dienstanbieter, der mehreren Kunden ausgegliederte Netzwerkzugriffsdienste bereitstellt.
Mittels Verbindungsanforderungsrichtlinien kann der RADIUS-Proxy das Bereichsnamenattribut in
verschiedenen Verbindungsanforderungen auslesen und diese Anforderungen an
den geeigneten RADIUS-Server des Kunden weiterleiten.
- Sie möchten eine Authentifizierung und Autorisierung für Benutzerkonten bereitstellen,
die keine Mitglieder der Domäne sind, die für die IAS-Serverdomäne vertrauenswürdig sind.
Mittels Verbindungsanforderungsrichtlinien kann der RADIUS-Proxy das Bereichsnamenattribut in
verschiedenen Verbindungsanforderungen auslesen und diese Anforderungen
an den geeigneten RADIUS-Server der Domäne weiterleiten.
- Sie möchten eine große Anzahl von Verbindungsanforderungen möglichst effizient verarbeiten.
Zu diesem Zweck verteilt der RADIUS-Proxy die Lasten der Verbindungs- und Kontoführungsanforderungen dynamisch auf mehrere RADIUS -Server und erhöht die Effizienz der Verarbeitung.
Prüfungstipp 0615
Lesen Sie sich diesen Abschnitt genau durch.
Für die Prüfung 70-291 müssen Sie wissen, wie Sie RADIUS-Clients und RADIUS-Server konfigurieren.
Der RADIUS-Client wird in den Knoten-Eigenschaften des Routing und RAS-Servers auf der Registerkarte
Sicherheit eingestellt (Authentifizierungsanbieter = RADIUS-Authentifizierung und Kontoanbieter = RADIUSKontoführung samt Konfiguration [bei Windowskontoführung ist Konfiguration jeweils ausgegraut]).
Der RADIUS-Server steht erst mit der Installation der Windowskomponente Internetauthentifizierungsdienst (IAS) prinzipiell zur Verfügung.
Danach muss der IAS-Server in Active Directory registriert werden.
Über die Registrierung wird der IAS-Computer in die domänenlokale Sicherheitsgruppe
RAS- und IAS-Server in der Domäne aufgenommen, deren Mitglied der ISA-Servercomputer ist.
Mitglieder der domänenlokalen Gruppe RAS- und IAS-Server können RAS-Attribute von Benutzerkonten
lesen.
In der Konsole Internetauthentifizierungsdienst müssen alle RADIUS-Clients angegeben werden, die
Zugriffsanforderungen an den lokalen IAS-Server weiterleiten.
Hinweis 0618
Ein RADIUS-Server kann unter Verwendung des Befehlszeilenprogramms Netsh und des AAAA-Kontextes
gesichert, wiederhergestellt oder migriert werden.
Geben Sie zunächst den Befehl netsh aaaa show config > Dateiname.txt ein, um ein Abbild der gesamten
ISA-Serverkonfiguration in einer Skriptdatei zu speichern.
Anschließend können Sie die in dieser Skriptdatei enthaltene Konfiguration auf einen bestimmten IAS-Server
installieren, indem Sie auf dem Zielservercomputer den Befehl netsh exec [Pfad]\Dateiname.txt ausführen.
Wichtig 0619
Der geheime Schlüssel wird als Schlüssel für die Verschlüsselung der Kommunikation zwischen einen
bestimmten RADIUS-Client und einem bestimmten RADIUS-Server verwendet.
Derselbe geheime Schlüssel muss auch auf dem RADIUS-Server konfiguriert werden.
In einer Produktivumgebung sollten Sie den geheimen Schlüssel mit einer zufälligen Anordnung von
Buchstaben, Zahlen, und Symbolen und einer Länge von midestens 22 Zeichen lang sein.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 97 von 122
Zusammenfassung der Lektion 10.4 0622
- Beim Internetauthentifizierungsdienst (IAS) handelt es sich um die Microsoft-Implementierung eines
RADIUS-Servers.
Der Hauptzweck eines RADIUS-Servers besteht in der Zentralisierung der
RAS-Authentifizierung, -Autorisierung und -Protokollierung.
- In der typischen IAS/RADIUS-Serverimplementierung leiten mehrere Netzwerkzugriffsserver, auf denen
der Routing und RAS-Dienst ausgeführt wird, Zugriffsanforderungen an den RADIUS-Server weiter.
Der RADIUS-Server fragt daraufhin den Domänencontroller für Authentifizierungszwecke ab und
wendet RAS-Richtlinien auf die Verbindungsanforderung an.
- Ein Radius-Server (zum Beispiel IAS) kann auch 802.1x-Clients authentifizieren.
Das 802.1x-Protokoll wird normalerweise für Drahtlosauthentifizierung eingesetzt.
- Ab Windows Server 2003 Service Pack 1 kann IAS auch dazu dienen, mithilfe der Drahtlosbereitstellungsdienste (WPS) Clients bei einem Anbieter für drahtlosen Internetzugriff (WISP) zu authentifizieren.
- IAS kann auch als ein RADIUS-Proxy bereitgestellt werden.
Bei dieser Form der Implementierung werden Netwerkzugriffsserver für das Weiterleiten
der Authentifizierung und Kontoführung an einen IAS-Server konfiguriert.
Dieser wird anschließend als RADIUS-Proxy konfiguriert, um die Nachrichten an eine RADIUS-Servergruppe
weiterzuleiten.
Diese Funktion kann benutzt werden, um einen Lastenausgleich für Zugriffsanforderungen bereitzustellen
oder um einen ausgelagerten Netzwerkzugriffsanbieter zu ermöglichen, Zugriffsanforderungen an
entsprechende Organisationen weiterzuleiten.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 98 von 122
Zusammenfassung des Kapitels 10 0624
- RAS-Server, auf denen der Routing und RAS-Dienst ausgeführt wird, müssen IP-Adressen für RAS-Clients
bereitstellen.
Dies kann entweder indirekt über DHCP-Server oder direkt über einen statischen Adresspool erfolgen.
In der Regel erhalten die Clients Adressen, mit denen sie das logische Subnetz der Computer unmittelbar
hinter dem RAS-Server plaziert werden.
- RAS-Verbindungen müssen authentifiziert werden, bevor sie autorisiert werden können.
Die RAS-Authentifizierung erfolgt mittels eines Authentifizierungsprotokolls, dass in der Regel den
Benutzernamen und das Kennwort verschlüsselt, die über das Netzwerk übertragen werden.
Die Authentifizierungsprotokolle EAP-TLS, MS-CHAP Version 1 und MS-CHAP Version 2
verschlüsseln auch die Verbindungsdaten.
- Bei der Authentifizierungsmethode, die bei einer Verbindung verwendet wird, handelt es sich um das
sicherste Authentifizierungsprotokoll, das in den Eigenschaften der Clientverbindung, den Eigenschaften
des RAS-Servers und in der RAS-Richtlinie aktiviert ist, die auf die Verbindung angewendet wird.
- Die RAS-Autorisierung erfolgt zunächst durch Überprüfen der Einwähleigenschaften des Benutzerkontos
danach durch Anwenden der ersten übereinstimmenden RAS-Richtlinie (von oben nach unten gelesen)
auf die Verbindung.
- Wenn ein Benutzer eine Remoteanmeldung an eine Domäne vornimmt, erfolgt die Domänenanmeldung
separat und erst, nachdem die RAS-Verbindung authentifiziert und autorisiert worden ist.
- Um Zugriffe hinter den RAS-Server zu ermöglichen, muss der RAS-Server als Router konfiguriert und
die Option IP-Routing aktivieren im Eigenschaftendialogfeld des RAS-Servers aktiviert werden.
- Virtuelle private Netzwerke (VPNs) sind Netzwerke die in logischer Hinsicht ein lokales Netzwerk
nachbilden, sich aber physisch über das Internet erstrecken.
In RAS-VPNs muss das Benutzerkonto authentifiziert und autorisiert werden.
In einem routerübergreifenden (Extranet-) VPN müssen die Router authentifiziert und autorisiert
werden.
- Im Allgemeinen können VPN-Tunnel vom PPTP-Typ einfacher implementiert werden, sind aber
weniger sicher als die Tunnel des zertifikatbasierten L2TP-Typs.
- Beim Internetauthentifizierungsdienst (IAS) handelt es sich um die Microsoft-Implementierung eines
RADIUS-Servers.
Der Hauptzweck eines RADIUS-Servers besteht in der Zentralisierung der
RAS-Authentifizierung, RAS-Autorisierung und RAS-Protokollierung.
Schlüsselinformationen Kapitel 10 0625
- Beschreiben Sie die verschiedenen Funktionen und Grenzen der Authentifizierungsprotokolle,
etwa EAP-TLS und MS-CHAP.
- Beschreiben Sie die verschiedenen Schritte der RAS-Authentifizierung und RAS-Autorisierung.
Lernen Sie, welche Bedingungen erfüllt seinen müssen, damit eine RAS-Verbindung hergestellt werden
kann.
- Lernen Sie, sie RAS-Richtlinien konfiguriert werden.
- Beschreiben Sie den Unterschied zwischen VPNs vom PPTP-Typ und VPNs vom L2TP/IPSEc-Typ.
- Lernen Sie die funktionalen Unterschiede zwischen RADIUS-Clients, RADIUS-Servern und
RADIUS-Proxys.
Beschreiben Sie die Szenarien, in denen RADIUS-Server und RADIUS-Proxys eingesetzt werden.
- Lernen Sie, wie RADIUS-Server und -Clients konfiguriert werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 99 von 122
Schlüsselbegriffe Kapitel 10 0626
3DES Triple Data Encryption Standard.
Ein Algorithmus für die stärkste Verschlüsselung von L2TP/IPSec-Verbindungen (168-Bit).
DES Data Encryption Standard.
Ein Algorithmus für die starke 56-Bit-Verschlüsselung von L2TP/IPSec-Verbindungen.
MPPE Microsoft point-to-Point Encryption.
Eine Implementierung der RSA (Rivest Shamir Adleman) RC4_Familie von Verschlüsselungsalgorithmen.
MPPE wird in den Authentifizierungsprotokollen MS-CHAP (Version 1 und Version 2) und EAP-TLS für die
Verschlüsselung von Verbindungsdaten verwendet.
Zudem wird es für die Verschlüsselung von Verbindungsdaten in VPNs vom PPTP-Typ verwendet.
RADIUS Remote Authentication Dial-In User Service.
Ein Dienst, der eine zentralisierte RAS-Authentifizierung und RAS-Autorisierung ermöglicht.
Beim Internetauthentifizierungsdienst (IAS) handelt es sich um die Microsoft-Implementierung von RADIUS.
Prüfungsvorbereitung 70-291
11. Kapitel 11
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 100 von 122
Verwalten der Netzwerksicherheit
Bedeutung der Verwaltung der Netzwerksicherheit 0631
Ihre Arbeit bleibt ergebnislos, wenn Sie nicht über eine Strategie verfügen, in er die Sicherheit Ihres Netzwerkes
berücksichtigt wird.
Ihre sorgfältig konzipierten und implementierten Systeme können durch Denial-of-Service-Angriffe oder
schädigende Software heruntergefahren oder anderweitig überlastet werden.
Ihre Daten können gestohlen, geändert, gelöscht oder aufgrund von Viren, Unfällen und direkten Angriffen
beschädigt werden.
Ein Computer kann von einem böswilligen Angreifer im Remotezugriff gesteuert, Ihre Webseite geändert oder
der Ruf Ihres Unternehmen beschädigt werden.
Im unangenehmsten Fall können nichtgeschützte System und Netzwerke als Quelle von Angriffen auf Systeme
anderer Organisationen oder auf kritische Versorgungseinrichtungen wie Dämme, Hochspannungsnetze uns.
missbraucht werden.
Dieses Kapitel liefert eine Einführung in einige Tools und Techniken zur Erhöhung der Sicherheit Ihres
Netzwerks, zur Erfüllung der Sicherheitsrichtlinie Ihres Unternehmens und zur Überwachung und Problembehandlung von Protokollen für die Netzwerksicherheit.
Der Schutz einzelner Systeme, die Ausdehnung dieser Kontrolle auf das gesamte Unternehmen und die
Aufrechterhaltung der Kontrolle über die Daten bei der Übertragung zwischen Computern sind Themen dieses
Kapitel 11.
Darüber hinaus wird ein wichtiges Sicherheits-Paradigma eingeführt:
das Prinzip des geringstmöglichen Rechts.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 101 von 122
11.1 Lektion 1 Implementierung von Verfahren für sichere Netzwerkverwaltung
Tools zum Verwalten der Gruppenrichtlinien
- Gruppenrichtlinienobjekt-Editor (gpedit.msc)
gpedit.msc:
Bearbeitung des lokalen Gruppenrichtlinienobjekts
MMC-Snap-In: Bearbeitung eines beliebigen Gruppenrichtlinienobjekts auf der Ebene von
Standort, Domäne, Organisationseinheit oder lokaler Computer.
- Richtlinienergebnissatz-Snap-In
Es zeigt die effektiven Gruppenrichtlinieneinstellungen an, die sich aus mehreren Gruppenrichtlinienobjekten
ergeben und auf einen beliebigen Benutzer oder Computer angewendet werden.
- Gpresult
Gpresult.exe ist die Befehlszeilenversion des Richtlinienergebnissatz-Snap-Ins.
Es zeigt Informationen darüber an, welche Gruppenrichtlinienobjekteinstellungen momentan auf den lokalen
Computer und den lokal angemeldeten Benutzer angewendet werden.
- Gruppenrichtlinien-Verwaltungskonsole
Sie ist ein neues Tool, um Bereitstellung, Verwaltung und Problembehandlung von Gruppenrichtlinien zu
erleichtern.
Die Gruppenrichtlinien-Verwaltungskonsole ist nicht in Windows Server 2003 eingebaut, sondern vielmehr
ein Add-On-Tool (gpmc.msi), dass Sie von http.//www.microsoft.com/downloads
herunterladen und installieren müssen.
Nachdem die Gruppenrichtlinien-Verwaltungskonsole installiert wurde, steht im Startmenü ein
neues Verwaltungstool (Konsole) zur Verfügung, und in der Liste der verfügbaren MMC-Snap-Ins befindet
sich ein neuer Eintrag ().
Die Gruppenrichtlinien-Verwaltungskonsole stellte eine Oberfläche mit ausführlichen Informationen über alle
Gruppenrichtlinienobjekte zur Verfügung, die im Netzwerk zur Verfügung stehen.
Sie können darin sehen, welche Gruppenrichtlinienobjekte mit bestimmten Standorten, Domänen und
Organisationseinheiten verknüpft wurden.
Außerdem können Sie in der Die Gruppenrichtlinien-Verwaltungskonsole Sicherheitseinstellungen für
Gruppenrichtlinien verwalten, Abfragen und dem Richtlinienergebnissatz von Gruppenrichtlinienobjektdaten
ausführen.
- Active Directory-Benutzer und -Computer
eignet, falls Sie die Gruppenrichtlinien-Verwaltungskonsole nicht installiert haben, sich zum Editieren von
Gruppenrichtlinienobjekten auf der Ebene von Organisationseinheit und Domäne.
- Active Directory-Standorte und Dienste
eignet, falls Sie die Gruppenrichtlinien-Verwaltungskonsole nicht installiert haben, sich zum Editieren von
Gruppenrichtlinienobjekten auf der Ebene von Standorten.
- Gpupdate (Gpupdate.exe)
Es ist ein Befehlszeilentool zum sofortigen Erzwingen der Gruppenrichtlinieneinstellungen auf den lokalen
Server erzwingen können (Es ist nicht möglich, mit diesem Tool von einer zentralen Stelle aus Gruppenrichtlinieneinstellungen im Remotezugriff zu erzwingen).
Falls man den Befehl Gpupdate.exe nicht ausführen, aktualisieren sich die Gruppenrichtlinieneinstellungen
automatisch auf Domänencontrollern alle 5 Minuten und auf anderen Servern alle 90 Minuten.
Prüfungstipp 0635
Sie müssen in der Prüfung mit dem Snap-In Richtlinienergebnissatz, Gpresult, der GruppenrichtlinienVerwaltung und Gpupdate vertraut sein.
Hinweis 0635
Ein grundlegendes Verständnis von Gruppenrichtlinien ist für dieses Training und Prüfung 70-291 unerlässlich.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 102 von 122
Jedes Gruppenrichtlinienobjekt enthält einen Knoten namens Sicherheitseinstellungen.
- Kennwortrichtlinien
(Sie werden auf Domänenebene verarbeitet
minimale Kennwortlänge, max. Kennwortalter,
Erzwingen der Kennwortkomplexität,
ab Windows Server 2003 standardmäßig keine leeren Kennwörter erlaubt)
- Kontosperrungsrichtlinien
(legen fest, wie oft ein Benutzer ein falsches Kennwort eingeben darf,
bis sein Benutzerkonto gesperrt wird und wie lange es gesperrt bleibt)
- Kerberos-Richtlinie
(Parameter im Zusammenhang mit Kerberos Anmeldungen und -Ticket fest)
- Überwachungsrichtlinie
(Es wird festgelegt, welche Ereignisse in das Ereignisprotokoll geschrieben
werden.
Überwacht werden kann z.B.:
Herunterfahren des Systems,
Anmeldeereignisse überwachen für lokale Anmeldungen,
Anmeldeversuche überwachen für Domänen-anmeldungen,
Datei- oder Ordnerzugriff (Objektzugriffsversuche überwachen aktivieren und
auf Registerkarte Sicherheit des Objekts [Datei/Ordner] -> Erweitert dann ->
Überwachung festlegen bei welchen Mitgliedern der Zugriff überwacht
werden soll)
Zugriff auf Registrierungsschlüssel (analog wie bei Datei und Ordnerzugriff)
- Zuweisen von Benutzerrechten (zuweisen von bis zu 39 grundlegenden Benutzerrechen wie z.B.:
sich lokal anmelden, Netzwerkzugriff auf einen Computer, System
herunterfahren, Systemzeit ändern, sich über Terminaldienste anzumelden)
- Sicherheitsoptionen
(70 Richtlinien in 15 Kategorien [unsignierte Treiberinstallation])
- Ereignisprotokoll
(Richtlinien betreffs der Ereignisprotokollanforderungen)
- Eingeschränkte Gruppen
(Erzwingung, dass Mitgliedschaft in lokalen Gruppen auf Computern
in der Domäne auf den angegeben lokalen oder Domänenkonten beschränkt ist.
- Systemdienste
(Startparameter für Dienste)
- Registrierung, Dateisystem
(Steuerung der Zugriffssteuerungseinträge wie Access Control Entry, ACE und
Vererbungseigenschaften für bestimmte Registrierungsschlüssel oder
Datei/Ordnerobjekte auf Computern in der Domäne)
- Drahtlosnetzwerkrichtlinien (IEEE 802.1x)
- Richtlinien öffentlicher Schlüssel
- Richtlinien für Softwarebeschränkung (Schutz des Computers vor unsicherem Code mit 4 arten von Regeln:
* Hashregeln
* Zertifikatregeln
* Pfadregeln (UNC [Universal Naming Convention]-Pfad)
* Internetzonenregeln (gelten für Windows-Installer-Dateien)
- IP-Sicherheitsregeln
(Konfiguration der IPSec-Dienste für die Authentifizierung oder
Verschlüsselung des Netzwerkverkehrs)
Tipp 0636
Sie können eine Sicherheitsvorlage in ein Gruppenrichtlinienobjekt importieren, indem Sie mit der rechten
Maustaste auf den Knoten Sicherheitseinstellungen klicken und im Kontextmenü den Befehl
Richtlinie importieren wählen.
Prüfungstipp 0636
Als Brute-Force-Angriff wird ein Versuch bezeichnet, bei dem sich ein Angreifer nicht autorisierten Zugriff
auf ein System verschaffen will, indem er wiederholt einen Benutzernamen mit geratenen oder zufällig
generierten Kennwörtern eingibt.
Falls das Limit für die Zahl der Anmeldeversuche, wie es in den Kontosperrungsrichtlinien festgelegt ist, erreicht
wird, bevor der Brute-Force-Angriff zum Erfolg führt, ist das Ergebnis eines solchen Angriffs auf den Server,
dass ein Konto gesperrt wird.
Falls der im Brute-Force-Angriff verwendete Benutzername zu einem Dienstkonto gehört (also ein Konto, unter
dem sich ein Dienst anmeldet), wird das Dienstkonto gesperrt und die entsprechenden Dienste und
Anwendungen können nicht mehr starten, bis das Dienstkonto zurückgesetzt wird.
Tipp 0637
Falls sie das lokale Adminsitratorkonto benutzen und (dank einer aktivierten Anmeldeereignisse überwachenRichtlinie, die fehlgeschlagene Versuche aufzeichnet) massenhaft fehlgeschlagene Versuche entdecken, sich mit
dem lokalen Administratorkonto anzumelden, sollten Sie das lokale Administratorkonto ganz deaktivieren!
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 103 von 122
Hinweis 0638
Ab Windows Server 2003 Service Pack 1 können Sie auch den Zugriff auf die Metabasis der
Internetinformationsdienste (Internet Information Services, IIS) 6.0 überwachen.
Die IIS-Metabasis ist die Datenbank mit Konfigurationseinstellungen für IIS, sie erfüllt eine ähnliche Funktion
wie die Windows-Registrierung.
Das kann zum Beispiel nützlich sein, falls die IIS-Metabasis beschädigt wird und Sie die Ursache herausfinden
wollen.
Wenn Sie die Überwachung der IIS-Metabasis aktivieren wollen, müssen Sie
zuerst die Richtlinie Objektzugriffsversuche überwachen so konfigurieren, dass erfolgreiche,
fehlgeschlagene oder (falls nötig) beide Versuche überwacht werden (wie oben beschrieben).
Geben Sie danach in einer Eingabeaufforderung den Befehl iiscnfg /Enableaudit Pfad ein,
wobei Pfad für den Pfad der IIS-Metabasis steht.
Um zum Beispiel die Metabasisüberwachung für das virtuelle Web-Verzeichnis „MeinVdir“ zu aktivieren,
lautet der Befehl: iiscnfg /EnableAudit W3SVC/1/ROOT/MeinVdir .
Prüfungstipp 0639
Das Recht, ein System herunterzufahren, erlaubt dem Besitzer auch, das Herunterfahren des Systems
hinauszuschieben, zum Beispiel nach der Installation von Windows-Updates.
Hinweis 0639
Sie können Benutzerrechte in Domänencontrollern hinzufügen oder entfernen, indem Sie die
Richtlinieneinstellungen im Knoten Zuweisen von Benutzerrechten im Gruppenrichtlinienobjekt
Default Domain Controllers Policy konfigurieren.
Sie können Benutzerrechte für Mitgliedsserver, Mitgliedsarbeitsstationen, eigenständige Server oder
eigenständige Arbeitsstationen hinzufügen oder entfernen, indem Sie die Richtlinieneinstellungen
im Knoten Zuweisen von Benutzrechten der Konsole Lokale Sicherheitsrichtlinie auf dem jeweiligen
Computer bearbeiten (also nicht in einem Gruppenrichtlinienobjekt in Active Directory).
Prüfungstipp 0639
In der Standardeinstellung verfügen nur die Gruppen Administratoren, Konten-Operatoren, SicherungsOperatoren und Server-Operatoren über das Recht, sich lokal an einen Domänencontroller anzumelden.
Sollte es nötig sein, dass sich ein anderes Konto lokal an einen Domänencontroller anmelden darf, müssen Sie
dem Benutzer das Recht von hand zuweisen,
indem Sie das Gruppenrichtlinienobjekt Default Domain Controller Policy bearbeiten.
Und wenn Sie einem Benutzer erlauben, sich an einen Domänencontroller anzumelden, ist es wahrscheinlich
auch sinnvoll, ihm gleich zu erlauben, Active Directory im remotezugriff von Mitgliedsservern aus zu verwalten.
In solchen Fällen sollten Sie das Paket der Windows Server 2003-Verwaltungsprogramme (Adminpack.msi)
auf dem lokalen Computer des Benutzers installieren.
Dann erhält der Benutzer Zugriff auf alle Verwaltungstools
(zum Beispiel Active Directory-Benutzer und -Computer), die er auch auf dem Domänencontroller findet.
Prüfungstipp 0640
Sie können Sicherheitseinstellungen für das Dateisystem NTFS auf mehrere Computer kopieren, indem Sie die
Einstellungen im Knoten Dateisystem eines Gruppenrichtlinienobjekts konfigurieren und dann eine
Sicherheitsvorlage exportieren.
Prüfungstipp 0640
Die schnelle Verbindungswiederherstellung mit PEAP erlaubt es mobilen Benutzern, eine dauerhafte Drahtlosnetzwerkverbindung beizubehalten, während sie sich von einem Drahtloszugriffspunkt zum andern bewegen.
Alle Zugriffspunkte müssen allerdings als Clients desselben IAS (Information Access Service)-Servers
(RADIUS) konfiguriert sein.
Falls Benutzer ständig die Verbindung verlieren, während sie von einem Zugriffspunkt zum anderen wechseln,
müssen Sie die schnelle Verbindungswiederherstellung aktivieren.
Prüfungstipp 0641
Sie können damit rechnen, dass in Prüfung 70-291 Fragen zu Regeln im Zusammenhang mit Richtlinien für
Softwarebeschränkung vorkommen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 104 von 122
Prüfungstipp 0642
Beim Verwalten von Gruppenrichtlinienberechtigungen müssen Berechtigungen sowohl für Gruppenrichtlinienobjekte als auch für Active Directory-Objekte, wie Standorte, Domänen und Organisationseinheiten konfiguriert
werden.
Zum Beispiel können Sie die Berechtigung Schreiben bei einem Gruppenrichtlinienobjekt auf Zulassen
setzen, damit die Einstellungen on diesem Gruppenrichtlinienobjekt verändert werden dürfen.
Wenn Sie allerdings Benutzern erlauben wollen, ein Gruppenrichtlinienobjekt auf einen Standort, eine Domäne,
oder eine Organisationseinheit anzuwenden, müssen Sie die Berechtigungen für den entsprechenden Active
Directory-Container anpassen.
Dazu müssen Sie in der Konsole Active Directory-Benutzer und -Computer (oder im fall von Standorten in
der Konsole Active Directory-Standorte und -Dienste) den Assistenten zum Zuweisen der
Objektverwaltung starten und für die gewünschten Konten die Berechtigung
Verwaltet Gruppenrichtlinien-Verknüpfungen auf Zulassen setzen.
Wenn Sie diesen Vorgang in der Gruppenrichtlinien-Verwaltungskonsole (gpmc.msi als Installationsdatei von
Microsoft herunterladen) durchführen wollen, müssen Sie den betreffenden Active Directory-Container
markieren, im rechten Fensterabschnitt die Registerkarte Delegierung auswählen, um Kombinationsfeld
Berechtigungen den Eintrag Gruppenrichtlinienobjekte verknüpfen auswählen und dann die
gewünschten Benutzer- und Gruppenkonten hinzufügen.
Prinzip des geringsten Rechts
Es besagt, dass Sie den Benutzern nur gerade so viele Rechte und Privilegien gewähren sollten, wie sie
benötigen, um ihre Aufgaben durchzuführen (also nur so viel wie nötig, statt wie möglich).
Einige der schlimmsten Verletzungen für das Prinzip des geringstmöglichen Rechts betreffen
Administratorkonten: das Konteo Administrator sowie die Gruppen Administratoren, Domänen-Admins
und Organisations-Admins.
Vermeidung von 2 häufigen Fehlern:
* Bleiben Sie nicht längere Zeit als Administrator angemeldet
* einem Benutzer vollständige Administratorrechte zu gewähren
Wichtig 0644
Wenn Sie eine Anwendung installieren wollen, müssen Sie die Anmeldeinformationen eines
lokalen Administrators oder eines Mitglieds der lokalen Gruppe Hauptbenutzer angeben.
Prüfungstipp 0644
Für die Simulationsfragen sollten Sie wissen, wie sie eine eigene benutzerdefinierte Administratorengruppe
erstellen können, indem Sie spezifische Benutzerrechte zu einem Gruppenkonto hinzufügen.
Sie sollten außerdem wissen, wie Sie einzelne Benutzer zu diesem Gruppenkonto hinzufügen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 105 von 122
Prüfungstipp 0644
Die beiden wichtigsten Gruppen der 15 vordefinierten Gruppen sind Hauptbenutzer und
Remotedesktopbenutzer.
Gruppen im Active Directory-Container Builtin:
- Konten-Operatoren
- Administratoren
- Sicherungs-Operatoren
- Netzwerkkonfigurations-Operatoren
- Systemmonitorbenutzer
- Leistungsprotokollbenutzer
- Druck-Operatoren
- Remotedesktopbenutzer
(ermöglicht das Anmelden an Domänencontrollern)
- Benutzer
Gruppen im Active Directory-Container Users:
- DnsAdmins
(installiert mit DNS)
- DNSUpdateProxy
(damit ein anderer DNS-Server die Einträge aktualisieren kann)
- Domänen-Admins
- Domänen-Benutzer
- Organisations-Admins
(nur in der Gesamtstruktur-Stammdomäne)
- RAS- und IAS-Server
- Richtlinien-Ersteller-Besitzer (können Gruppenrichtlinien in der Domäne ändern)
- Zertifikatherausgeber
Vordefinierte lokale Gruppen:
- Administratoren
- Sicherungs-Operatoren
- DHCP-Administratoren
- DHCP-Benutzer
-
(installiert mit DHCP-Serverdienst,
Administratorzugriff auf den DHCP-Server)
(installiert mit DHCP-Serverdienst,
Anzeige von Eigenschaften des DHCP-Servers)
Systemmonitorbenutzer
Netzwerkkonfigurations-Operatoren
Leistungsprotokollbenutzer
Hauptbenutzer
Druck-Operatoren
Remotedesktopbenutzer
Terminalserverbenutzer
Benutzer
Prüfungstipp 0645
Merken Sie sich die wichtigsten 17 Gruppen:
Administratoren,
DHCP-Administratoren,
DHCP-Benutzer,
DNSAdmins,
DNSUpdateProxy,
Druck-Operatoren,
Hauptbenutzer,
Konten-Operatoren,
Leistungsprotokollbenutzer,
Netzwerkkonfigurations-Operatoren,
RAS- und IAS-Server,
Remotedesktopbenutzer,
Richtlinien-Ersteller-Besitzer,
Server-Operatoren,
Sicherungs-Operatoren,
Systemmonitorbenutzer und
Zertifikatsherausgeber
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 106 von 122
Hinweis 654
Durch das Durchsuchen des Snap-Ins Sicherheitsvorlagen wird die Sicherheitsrichtlinie eines Computers
nicht geändert.
Sie wird nicht einmal dann geändert, wenn Sie Einstellungen ändern.
Um die Sicherheit tatsächlich zu ändern, muss die Vorlage angewendet werden.
Das Snap-In Sicherheitsvorlagen ist standardmäßig mit dem Ordner %Windir%\Security\Templates
verknüpft, in dem die verfügbaren Vorlagen gespeichert werden.
Sie können die Standardvorlagen aus dem Ordner %Windir\Inf zum Standardspeicherort für Vorlagen
hinzufügen, damit sie angezeigt werden können.
Zudem können Sie einen Ordner erstellen und Vorlagen aus anderen Quellen hinzufügen.
Weitere Informationen 0654
Das Whitepaper „Windows Server 2003 Security“ liefert hervorragende Informationen zu Sicherheitsvorlagen
und beschreibt deren Verwendung zur Implementierung einer Strategie wie der hier definierten.
Dieses Whitepaper finden Sie unter
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655512EA6C7B4DB&displaylang=en
(am 31.10.2008 war diese Seite nicht mehr auffindbar).
Die in Windows Server 2003 enthaltenen Vorlagen:
Vorlage
Speicherort
Beschreibung
Compatws
Security\Templates
Wendet Datei- und Registrierungsberechtigungen an, die
erforderlich sind sein können, damit alte Anwendungen
(Windows NT) ausgeführt werden können, ohne die Benutzer
zur Gruppe Hauptbenutzer hinzuzufügen.
Mit der Vorlage Compatws wird die Sicherheit herabgesetzt.
DCsecurity
Security\Templates
Wendet Standardsicherheitseinstellungen für einen
Domänencontroller an.
Hisecdc
Security\Templates
Schützt einen Domänencontroller mit weiteren Einstellungen,
enthält erhöhte Sicherheit für New Technology Local Area Network
Manager (NTLM)
Hisecws
Security\Templates
Schützt eine Arbeitsstation mit weiteren Einstellungen, enthält
erhöhte Sicherheit für NTLM und entfernt alle Mitglieder aus der
Gruppe Hauptbenutzer.
Beschränkt die Mitgliedschaft in der lokalen Gruppe
Administratoren auf die Gruppe Domänen-Admins
und den Administrator.
Hisecws ist eine stärkere und sichere Einstellung als Securews.
Iesacls
Security\Templates
Wendet Registrierungsberechtigungen auf Schlüssel an, die zum
Internet Explorer gehören.
Diese Vorlage legt die Registrierungsberechtigungen so fest, dass
die Gruppe Jeder über die Berechtigungen Vollzugriff und
Lesen verfügt.
Rootsec
Security\Templates
Wendet die Stammberechtigung auf das Systemlaufwerk an.
Securedc
Security\Templates
Schränkt die Kontorichtlinien ein.
Wendet LAN Manager-Einschränkungen an und stellt sicher, dass nur
Kerberos und NTLMv2 für die Anmeldung benutzt werden.
Prüfungsvorbereitung 70-291
Securews
Administrieren einer Windows 2003 Netzwerkinfrastruktur
Security\Templates
(Stand: 18.12.2008)
Seite 107 von 122
Verstärkt die lokalen Kontorichtlinien.
Wendet LAN Manager-Einschränkungen an und stellt sicher, dass nur
Kerberos und NTLMv2 für die Anmeldung benutzt werden.
Wendet LAN Managereinschränkungen an und stellt sicher, dass nur
Kerberos und NTLMv2 für die Anmeldung benutzt werden.
Setupsecurity
Security\Templates
Repräsentiert die Sicherheit, die auf den aktuellen Computer und
seine Installation angewendet wird.
Defltsv
%Windir%\Inf
Wendet die Standardservervorlage an, die während der Installation
eingesetzt wird.
Defltdc
%Windir%\Inf
Wendet die Standardvorlage für Domänencontroller an,
die während der Ausführung des Dienstprogramms Dcpromo
eingesetzt wird.
Tipp 0656
Die Mehrzahl der Vorlageneinstellungen sollten unter Verwendung des Snap-Ins Sicherheitsvorlagen hinzugefügt werden.
Die Vorlagendatei ist zwar eine Textdatei, die erforderliche Syntax kann aber verwirrend sein.
Durch den Einsatz des Snap-Ins wird sichergestellt, dass die Einstellungen mit der richtigen Syntax geändert
werden.
Diese Regel hat jedoch eine Ausnahme, nämlich das Hinzufügen von Registrierungseinstellungen, die nicht
bereits im Abschnitt Sicherheitsoptionen der Vorlage enthalten sind.
Wenn neue Sicherheitseinstellungen bekannt werden und sie unter Verwendung eines Registrierungsschlüssels
konfiguriert werden können, können Sie sie zum Abschnitt [Registry Values] einer Sicherheitsvorlage
hinzufügen.
Informationen zu diesem Verfahren finden Sie im Artikel „How to Add Custom Registry Settings to Security
Configuration Editor” unter http://support.microsoft/?kbid=214752 (am 31.10.2008 nicht mehr vorhanden).
Die Sicherheit wird nicht durch das Erstellen und Ändern von Vorlagen erhöht, sondern durch das Anwenden
der Vorlagen.
Eine Vorlage kann durch die Verwendung des Snap-Ins Sicherheitskonfiguration und -analyse auf den
lokalen Rechner angewendet werden.
Dieses Tool, welches erst ab Windows Server 2003 Sp1 als eine Windowskomponente zur Verfügung steht,
kann auch eingesetzt, um Einstellungen in einer Vorlage mit den Einstellungen auf dem Computer zu
vergleichen.
Bei der Durchführung der Analyse werden die Unterschiede zwischen der vorhandenen
Sicherheitsimplementierung und der ausgewählten Vorlage in der Oberfläche mit einem roten x gekennzeichnet.
Dieser Vergleichstyp zeigt an, welche Auswirkungen es hat, wenn eine Vorlage angewendet wird.
Wenn Sie weitere Vorlagen anwenden, müssen Sie sich entscheiden, ob die Datenbank gelehrt werden soll.
Bei leerer Datenbank werden nur die Einstellungen in der neuen Vorlage angewendet.
Wenn die alten Vorlageneinstellungen jedoch vorher auf den Computer angewendet wurden, werden diese
Einstellungen nicht durch das Entfernen der Vorlage aus der Datenbank entfernt.
Wenn die Datenbank nicht geleert wird, bewirkt das Hinzufügen einer weiteren Vorlage Folgendes:
- Wenn eine Einstellung in der alten Vorlage festgelegt, aber nicht in der neuen Vorlage definiert ist,
wird die Einstellung der alten Vorlage beibehalten.
- Wenn eine Einstellung in der neuen Vorlage festgelegt, aber nicht in der alten Vorlage definiert ist,
wird die Einstellung der neuen Vorlage übernommen.
- Wenn eine alte Einstellung sowohl in der alten als auch der neuen Vorlage definiert ist,
wird die Einstellung in der neuen Vorlage angewendet.
Prüfungstipp 0659
Sie können damit rechnen, dass sich in der Prüfung 70-291 eine Frage mit dem SicherheitskonfigurationsAssistenten beschäftigt.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 108 von 122
In Windows Server 2003 Service Pack 1 ist die Windows-Firewall standardmäßig deaktiviert, mit Ausnahme der
Zeitpunkte während und unmittelbar nach einer Installation einer mit SP1 aktualisierten Slipstream-Version von
Windows Server 2003.
Falls Sie Windows Server 2ßß3 und Service Pack 1 auf diese Weise zusammen installiert haben, werden Sie
sofort aufgefordert, Windows-Updates herunterzuladen.
Dafür ist ein Feature verantwortlich, dass als Sicherheitskonfiguration (Post-Setup Security Updates, PSSU)
bezeichnet wird.
PSSU schützt somit einen Windows Server 2003-Computer, indem es die Windows-Firewall aktiviert hält, bis
die neuesten Windows-Updates auf den lokalen Computer angewendet wurden.
Möglichkeiten der Windows-Firewall (Windows Server 2003 SP1):
- Definieren von Programmausnahmen
- Zulassen lokaler Programmausnahmen
- Definieren von Portausnahmen
- Zulassen lokaler Portausnahmen
- Zulassen von ICMP-Ausnahmen (Internet Control Message Protocol)
- Verbieten von Benachrichtigungen
- Zulassen von Ausnahmen für datei- und Druckerfreigaben
- Zulassen der Protokollierung
Andere Sicherheitsfeatures in Service Pack 1:
- Einschränkungen der RPC-Schnittstelle
(anonyme Verbindungen zu RPC-Schnittstellen sind verbietbar)
- Sicherheitsverbesserungen für Internet Explorer (IE)
(erweiterte Gruppenrichtlinieneinstellungen)
- Remotezugriffsquarantäne
(Quarantänemodus für den Remotezugriff ermöglicht Netzwerkadministratoren die Möglichkeit,
die Konfiguration von Remoteclientcomputern zu überprüfen, bevor ihnen Zugriff auf das Unternehmensnetzwerk gewährt wird.
Es setzt vorraus, dass auf dem RAS-Server der Remote-Quarantänedienst (rqs.exe) läuft und ein
Verbindungs-Manager-Profil konfiguriert wurde, um den Remotezugriffsquarantäneclient (rqc.exe)
auf dem Remoteclientcomputer auszuführen.)
Prüfungstipp 0661
Arbeiten Sie diese Übung sorgfältig durch.
Sie können damit rechnen, dass Sie in der Prüfung 70-291 eine Simulationsfrage bekommen, indem Sie eine
Sicherheitsvorlage erstellen und anwenden müssen.
Stellen Sie sicher, dass Sie den Umgang mit den beiden Snap-Ins Sicherheitsvorlagen und
Sicherheitskonfiguration und -analyse sicher beherrschen.
Hinweis 0612
Als optimale Vorgehensweise wird empfohlen, Standardvorlagen zu keinem Zeitpunkt zu ändern.
Stattdessen werden neue Vorlagen oder Kopien der aktuellen Vorlagen an einem anderen Speicherort abgelegt
und anschließend eingesetzt, um benutzerdefinierte Vorlagen zu erstellen.
Auf diese Weise stehen die Standardvorlagen immer unverändert zur Verfügung.
Weil benutzerdefinierte Vorlagen getrennt gespeichert werden, können sie leichter kopiert und die Originale an
einem sicheren Ort abgelegt werden.
Hinweis 0665
Die verfügbaren Einstellungen und Methoden sind je nach Richtlinie unterschiedlich.
Bei vielen Einstellungen muss in der Vorlage zunächst das Kontrollkästchen Richtlinieneinstellung in der
Vorlage definieren aktiviert werden, bevor unter Verwendung von Hinzufügen-Schaltflächen, Textfeldern,
Dropdown-Listenfeldern und Optionen Änderungen an bestimmten Einstellungen vorgenommen werden
können.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 109 von 122
Lernzielkontrolle Lektion 11.1 0669
- Sie möchten eine neue Registrierungseinstellung auf sämtliche Server in Ihrem Netzwerk anwenden.
Wie kann diese Aufgabe möglichst effizient durchgeführt werden?
Mithilfe des Editors können zur .inf-Datei einer Sicherheitsvorlage beliebige Registrierungswerte hinzugefügt
werden.
Diese Werte müssen zum Abschnitt [Registry Values] hinzugefügt werden.
Bei der nächsten Anwendung der Vorlage werden die jeweiligen Einstellungen geändert.
Sie können Batchskripts erstellen, um die Vorlage auf mehrere Computer anzuwenden,
oder die Vorlage in die Gruppenrichtlinien importieren.
- Sie wollen verhindern, dass Benutzer in der Domäne auf ihren lokalen Computern Anwendungen ausführen,
die nicht von vertrauenswürdigen Herausgebern stammen.
Wie erreichen Sie das?
Definieren Sie in einem Gruppenrichtlinienobjekt in den Richtlinien für Softwareeinschränkungen eine
Zertifikatregel und wenden Sie das Gruppenrichtlinienobjekt auf der Domänenebene an.
- Sie wollen einem Benutzer das Recht gewähren, Freigaben auf einen bestimmten Server zu erstellen.
Der Benutzer sollte keine weiteren administrativen Privilegien erhalten.
Zu welcher vordefinierten Gruppe sollten Sie den Benutzer hinzufügen?
a. Server-Operatoren auf dem lokalen Computer
b. Server-Operatoren auf der Domänenebene
c. Hauptbenutzer auf dem lokalen Computer
d. Hauptbenutzer auf der Domänenebene
richtige Antwort:
c. Hauptbenutzer auf dem lokalen Computer
- Welche Schritte sind unter Umständen erforderlich, um eine Wiederherstellung nach der Anwendung
einer Sicherheitsvorlage auf einen Dateiserver vornehmen, mit der die Netzwerkzugriffe sämtlicher
Benutzer auf den Server unterbunden werden.
Wählen Sie die effizienteste Methode aus:
a. Melden Sie sich lokal als Administrator auf den Dateiserver an, und wenden Sie die
Vorlage rootsec an.
b. Melden Sie sich lokal als Administrator auf den Dateiserver an, und wenden Sie die
Rollbackvorlage an, die aus der falschen Sicherheitsvorlage generiert wurde.
c. Melden Sie sich remote als Mitglied der Gruppe Organisations-admins auf den Dateiserver an,
und verwenden Sie die Konsole Lokale Sicherheit, um die Richtlinien für Benutzerrechte zu ändern,
die möglicherweise nicht richtig sind.
d. Melden Sie sich remote als Administrator auf den Dateiserver an, und wenden Sie die
Rollbackvorlage an, die aus der Sicherheitsvorlage generiert wurde.
Richtige Antwort lautet b:
b. Melden Sie sich lokal als Administrator auf den Dateiserver an, und wenden Sie die
Rollbackvorlage an, die aus der falschen Sicherheitsvorlage generiert wurde.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 110 von 122
Zusammenfassung der Lektion 11.1 0670
- Gruppenrichtlinien enthalten eine Reihe wichtiger Elemente im Zusammenhang mit der Sicherheit.
Sie müssen mit diesen Elementen vertraut sein, damit Sie eine Sicherheitsrichtlinie
entwickeln, implementieren und verwalten können.
- Das Prinzip des geringstmöglichen Rechts besagt, dass den Benutzern nur gerade so viele Rechte und
Privilegien gewährt werden sollen, wie sie unbedingt brauchen, um ihre Aufgaben zu erledigen.
Um dieses Prinzip zu verwirklichen, sollten Sie den Befehl Ausführen als nutzen und nicht über längere
Zeit als Administrator angemeldet bleiben.
Sie sollten auch außerdem lernen, welche Gruppenkonten in Windows Server 2003 vordefiniert sind,
damit Sie Benutzer zu Gruppen mit geeigneten Privilegien hinzufügen können.
- Windows Server 2003 Service Pack 1 enthält den Sicherheitskonfigurations-Assistenten
(Security Configuration Wizard, SCW).
Mit diesem Tool wird es deutlich einfacher, die Sicherheitseinstellungen für einen Windows-Server
zu verschärfen und eine Vorlage auf Basis einer Serverfunktion zu erstellen.
- Sicherheitsvorlagen definieren eine große Anzahl von sicherheitsrelevanten Einstellungen
in einem Gruppenrichtlinienobjekt.
Sie können mithilfe von Sicherheitsvorlagen wesentliche Elemente der Basissicherheitsrichtlinie
für Computer definieren, wie sie vom Management festgelegt wurde.
- Im Snap-In Sicherheitskonfiguration und -analyse können Sie Sicherheitsvorlagen anwenden und
überprüfen, ob die Sicherheit des Computers den Vorgaben entspricht.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 111 von 122
11.2 Lektion 2 Überwachen der Sicherheit von Netzwerkprotokollen
Hinweis 0671
Bei IPSec handelt es sich um ein komplexes Protokoll zum Verschlüsseln und Authentifizieren von
IP-Datenverkehr.
In diesem Fall bedeutet „authentifizieren“, dass die Integrität verifiziert wird.
Anders ausgedrückt: Sie können mit IPSec sicherstellen, dass Daten während der Übertragung nicht geändert
wurden.
Überwachungstools für IPSec-Aktivitäten:
- Das Snap-In IP-Sicherheitsmonitor
- Das Snap-In IP-Sicherheitsrichtlinienverwaltung
- Das Snap-In IP-Sicherheitsrichtlinien in einem Gruppenrichtlinienobjekt oder
der Konsole Lokale Sicherheitsrichtlinie
- Netsh
- Netdiag
- Ereignisprotokolle
Weitere Informationen 0672
wenn Sie umfassende Studien zu IPSec anstellen möchten, finden Sie weitere Informationen in den RFCs 3457,
3456, 3281, 3193, 2857, 3193, 2857, 2709 und weiteren 22 RFCs.
Diese RFCs finden Sie unter http://www.ieft.org (Seite war am 31.10.2008 vorhanden).
Das Internet Key Exchange (IKE)-Protokoll wird benutzt, um Sicherheitszuordnungen zwischen den IPSecPartnern dynamisch zu erstellen.
Schritte, mit denen eine IPSec-Verbindung aufgebaut wird:
1. Erstellen einer Hauptmodus-Sicherheitszuordnung
2. Aushandeln der Kommunikationsbedingungen und des Verschlüsselungsalgorithmus
3. erstellen einer Schnellmodus-Sicherheitszuordnung
4. Senden der Daten
Standard-IP-Sicherheitsrichtlinien
- Client (nur Antwort)
Wenn einem Computer diese Richtlinie zugewiesen ist, versucht der Computer niemals selbst,
einen IPSec-Kommunikationskanal zu einen anderen computer anzufordern.
Jeder Computer, dem eine Richtlinie Client (nur Antwort) zugewiesen ist, handelt aber die IPSecKommunikation aus und stellt eine entsprechende Verbindung her, wenn dies vom anderen Computer
angefordert wird.
Diese Richtlinie wird normalerweise Computern im Intranet zugewiesen, die mit geschützten Servern
kommunizieren, aber nicht den gesamten Datenverkehr schützen müssen.
- Server (Sicherheit anfordern)
Diese Richtlinie sollte Computern zugewiesen werden, bei denen Verschlüsselung empfehlenswert,
aber nicht obligatorisch ist.
Mit dieser Richtlinie akzeptiert der Computer ungeschützten Datenverkehr, indem er beim ursprünglichen
Absender Sicherheit anfordert.
Diese Richtlinie lässt zu, dass die gesamte Kommunikation ungeschützt abläuft, sofern der andere Computer
nicht IPSec-fähig ist.
Zum Beispiel kann die Kommunikation zu bestimmten Servern geschützt werden, es den Server aber trotzdem
erlaubt bleiben, ungeschützt zu kommunizieren.
So können die Server unterschiedliche Arten von Clients bedienen (von denen möglicherweise einige IPSec
unterstützen, andere aber nicht).
- Sicherer Server (Sicherheit erforderlich)
Diese Richtlinie sollte Servern im Intranet zugewiesen werden, die eine geschützte Kommunikation erfordern,
zum Beispiel einem Server, der geheime Daten überträgt.
Es gibt keine ungeschützte Kommunikation.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 112 von 122
Prüfungstipp 0674
In der Prüfung 70-291 müssen Sie wahrscheinlich Fragen zu den Standard-IP-Sicherheitsrichtlinien beantworten.
Folgende Informationen können vom Snap-In IP-Sicherheitsmonitor abgerufen werden:
- Name der aktiven IP-Sicherheitsrichtlinie
- Einzelheiten über die aktive IP-Sicherheitsrichtlinie
- Schnellmodusstatistiken
- Hauptmodusstatistiken
- Informationen über aktive Sicherheitszuordnungen
Prüfungstipp 0675
Verwenden Sie die Konsole IP-Sicherheitsmonitor, wenn Sie eine Fehlerbehebung für einen IPSec in
Angriff nehmen.
Falls sich eine IP-Sicherheitsrichtlinie nicht wie erwartet verhält, sollten Sie zuerst prüfen, ob tatsächlich die IPSicherheitsrichtlinie aktiv ist, die Sie brauchen.
Falls Sie feststellen, dass nicht die erwartete IP-Sicherheitsrichtlinie aktiv ist, können Sie in der
Gruppenrichtlinien-Verwaltungskonsole mithilfe der Tools
Richtlinienergebnissatz oder Gruppenrichtlinienergebnisse feststellen, warum die derzeit aktive Richtlinie zum
Zug gekommen ist.
Der IP-Sicherheitsmonitor zeigt für Computer standardmäßig nur ihre Adressen an, nicht die Namen.
Während der Fehlerbehebung sollten Sie die DNS-Namensauflösung aktivieren, indem Sie das
Eigenschaftendialogfeld für das Computersymbol öffnen,.
So weisen Sie den IP-Sicherheitsmonitor an, die DNS-Namen der Computer anzuzeigen, und nicht mehr nur
deren IP-Adressen.
Netcap.exe ist ein Befehlszeilentool (aus den Supporttools), mit dem Datenverkehr im Netzwerk in einer
Sammlungsdatei aufgezeichnet werden kann.
Anschließend kann diese Datei im Netzwerkmonitor geladen werden, um den gesammelten Datenverkehr
anzuzeigen.
Netcap kann auch auf Computern mit Windows XP ausgeführt werden.
Prüfungstipp 0676
Wenn Sie Pakete auf einem Windows XP-Computer aufzeichnen wollen, sollten Sie Netcap benutzen.
Beispielbefehle für Netcap:
- Sammeln der auf NIC 2 empfangenen Pakete unter Verwendung eines 20-MByte-Puffers (Standard 1MByte)
netcup /n:2 /b:20
- Durchführen einer einstündigen Sammlung
netcup /L:01:00:00
Schützen des Intranetdatenverkehrs mithilfe der Internetinformationsdienste (IIS)
Wenn sie darauf verzichten wollen oder müssen, IPSec in Ihrer Organisation bereitzustellen, können Sie auch
eine SSL-fähige Webseite nutzen, um Netzwerkverkehr zu und von Webordnern zu verschlüsseln, die zentral auf
einen Server gespeichert sind, der die Internetinformationsdienste ausführt.
Hinweis 0677
Wenn eine Verbindung zu einer SSL-fähigen Webseite hergestellt wird, zeigt der Webbrowser die Adresse mit
dem Präfix https:// an.
Beachten Sie aber, dass Sie eine Verbindung zu Webordnern auch über Windows-Explorer herstellen können.
In diesem Fall werden die Adressen der SSL-fähigen Webordner einfach als UNC-Pfadnamen
(Univseral Naming Convention) angezeigt, zum Beispiel \\Servername\Freigabename.
Wenn Sie SSL für eine Webseite vorschreiben, brauchen Sie nur ein serverseitiges Zertifikat von einer
vertrauenswürdigen Zertifizierungsstelle anzugeben (kein Active Directory ist erforderlich).
Dass dieser Schutz mit SSL so einfach bereitzustellen ist, gibt möglicherweise den Ausschlag, wenn Sie sich
entscheiden, ob Sie IIS mit SSL oder IPSec implementieren sollen.
Prüfungstipp 0678
Sie sollten auf Servern, für die Sicherheit von Bedeutung ist, NETBIOS immer deaktivieren.
Dazu gehören zum Beispiel Server, auf denen geschützte Webordner, vertrauliche Dokumente oder beides
gespeichert sind.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 113 von 122
Weitere Informationen 0679
Bei Kerberos handelt es sich um ein komplexes Authentifizierungsprotokoll, das in RFC 1510
(The Kerberos Network Authentication V5) beschrieben wird
( http://www.ietf.org/rfc/rfc1510.txt?number=1510 ).
Weitere englische Informationen über die Implementierung von Kerberos in Windows finden Sie außerdem im
Kerberis-Whitepaper unter
http://microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/kerberos.mspx.
Praktische Kerberos-Nachverfolgung
Um Anmeldungen nachverfolgen zu können, müssen zunächst die Tools vorbereitet und gestartet werden, die
eingesetzt werden sollen.
- Stellen Sie sicher, dass die Überwachung von Anmelde-Ereignissen und Kontoanmelde-Ereignisse für
Domänencontroller und Domänencomputer aktiviert ist.
Dies sollte in der Standarddomänen-Richtlinie erfolgen.
Vergewissern Sie sich, dass die Richtlinie aktualisiert wurde.
- Laden Sie die Ressource Kit-Dienstprogramme Kerbtray.exe und Klist.exe
(Liste der Tickes im Kerberos-Cache abrufen) herunter, und installieren Sie sie.
Stellen Sie sicher, dass auf dem Anmeldeclient eine Kopie verfügbar ist.
- Starten Sie den Netzwerkmonitor, und beginnen Sie vor der Anmeldung eine Sammlung.
- Erstellen Sie auf dem Domänencontroller einen Ordner, um Netzwerksammlungen und eine Kopie des
Sicherheitsprotokolls zu speichern (optional).
Dieser Ordner kann vorübergehend freigegeben werden, um die Dateien für Untersuchungszwecke
auf den Server herunterzuladen.
Auf diese Weise können Sie die Dateien untersuchen, während sie im lokalen Sicherheitsprotokoll die
Einzelheiten überprüfen und im Kerberos-Cache die Tickets betrachten.
Die ist wesentlich einfacher, als ständig zwischen zwei Computern zu wechseln oder eine
Terminalsitzung einzurichten.
Zusammenfassung der Lektion 11.2 0711
- IPSec wird benutzt, um IP-Verkehr zu verschlüsseln und zu authentifizieren.
In Windows Server 2003-Netzwerken wird IPSec entsprechen den IP-Sicherheitsrichtlinien erzwungen.
IP-Sicherheitsrichtlinien bestehen aus Regeln, die festlegen, welche Art von Datenverkehr zugelassen,
blockiert, authentifiziert oder verschlüsselt wird.
- Windows Server 2003 stellt folgende drei Standard-IP-Sicherheitsrichtlinien zur Verfügung, mit denen Sie den
Verkehr in Ihrem Netzwerk verschlüsseln können:
Client (nur Antwort), Server (Sicherheit anfordern) und Sicherer Server (Sicherheit erforderlich).
- Statt in Ihrer Organisation IPSec bereitzustellen, können Sie auch eine SSL-fähige Webseite nutzen,
um den Netzwerkverkehr zu und von Webordnern zu verschlüsseln, die zentral auf einem Server mit IIS
gespeichert sind.
- Mit dem Programm Netdiag können Sie überprüfen, ob Kerberos und viele andere Netzwerkfunktionen
korrekt funktionieren.
Mit Kerbtray.exe können Informationen über die Kerberos-Tickets angemeldeter Benutzer angezeigt
werden.
Mit Klist.exe können Tickets über die Befehlszeile angezeigt und gelöscht werden.
- Mit Netcap.exe kann eine Netzwerksammlung auf einem System durchgeführt werden, auf dem der
Netzwerkmonitor nicht installiert ist.
Die Sammlung kann anschließend auf einem Computer mit dem Netzwerkmonitor angezeigt werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 114 von 122
11.3 Lektion 3 Problembehandlung der Sicherheit von Netzwerkprotokollen
Vorsicht 0712
Passen Sie die Leitlinien in diesem Abschnitt an, wenn Sie eine tatsächliche Problembehandlung durchführen.
Sie müssen sicherstellen, dass während der Problembehandlung keine Daten versehentlich beschädigt oder
kritische Transaktionen unterbrochen werden.
Die Empfehlungen umfassen häufig Schritte, die geändert werden müssen, zum Beispiel die folgenden:
1. Durch das Leeren von Protokollen müssen weniger Daten untersucht werden.
In der Praxis kann dies jedoch erreicht werden, indem das Protokoll zunächst gespeichert wird.
Die Ereignisprotokolle müssen intakt sein.
Darüber hinaus sollten sie gespeichert werden, so dass sie anschließend
auf einen anderen Computer ausgewertet werden können.
2. Sie sollten nur dann einen Neustart vornehmen, wenn Sie gewährleisten können, dass das Produktivsystem
oder die Personen, die es nutzen, nicht beeinträchtigt werden.
Wichtig 0712
Berücksichtigen Sie bei der Problembehandlung, dass der einzige Zweck eines Netzwerkes darin besteht, die
jeweiligen Geschäftsanforderungen zu unterstützen.
Nichtsdestoweniger müssen Sie jedes einzelne Problem für sich angehen und eine Entscheidung über die
erforderlichen Schritte und den Zeitpunkt der Reaktion treffen.
Wenn zum Beispiel ein kritisches System offline ist, müssen Sie unter Umständen eine andere
Herangehensweise wählen, als wenn Sie nur Versuchen ein kleines Problem zu beheben.
Hinweis 0713
Die IKE-Protokollierung ist standardmäßig aktiviert.
Wenn die Überwachung von Anmeldeereignissen aktiviert ist, zeichnet IKE die Aushandlungsergebnisse im
Sicherheitsprotokoll auf.
Sobald Richtlinien zugewiesen wurden, und aktiv sind, können Sie diese Funktion deaktivieren, indem Sie den
Registrierungsschlüssel DisableIKEAudits hinzufügen und mit dem Wert 1 versehen.
Anschließend muss der IPSec-Dienst beendet und wieder neu gestartet werden.
Dieser Schlüssel muss unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit erstellt werden.
Darüber hinaus können Sie den Umfang der Informationen heraufsetzen, die im Sicherheitsprotokoll aufgezeichnet werden, indem Sie die Protokollierung von Verwerfen-Ereignissen pro Paket anfordern.
Dies kann durch Erhöhen der Überwachungsstufe auf Stufe 7 erreicht werden.
Sie können entweder Netsh einsetzen oder den Registrierungsschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec\EnableDiagnostics
auf den Wert 7 festzulegen.
Ungeachtet der verwendeten Methode muss der Computer neu gestartet werden, damit die Änderungen wirksam
werden.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 115 von 122
Behebung von Problemen im Zusammenhang mit einer IP-Sicherheitsrichtlinie
- Ist die Richtlinie zugewiesen?
Verwenden Sie das Snap-In IP-Sicherheitsmonitor oder
den Befehl netsh ipsec static show gpoassignedpolicy,
um die aktuell aktive Richtlinie zu bestimmen.
- Wenn die Richtlinie nicht der Richtlinie entspricht, die Sie erwarten:
Welches Gruppenrichtlinienobjekt ist zuständig?
Verwenden Sie den Befehl netsh ipsec static show gpoassignedpolicy oder
das Snap-In IP-Sicherheitsmonitor oder das Snap-In Richtlinienergebnissatz,
um diese Frage zu beantworten.
- Wie lauten die Einzelheiten der Richtlinie?
Verwenden Sie den Befehl netsh ipsec static show all.
Sie suchen nach einer Bestätigung für die Zuweisung der Richtlinie und für die Richtigkeit ihrer Parameter.
Diese Informationen können auch unter Verwendung des Snap-In’s IP-Sicherheitsrichtlinienverwaltung
zur Anzeige der Richtlinien für den lokalen Computer ermittelt werden.
- Erreichen Datenpakete den richtigen Computer?
Der Netzwerkmonitor kann zur Sammlung von IPSec-Paketen eingesetzt werden.
Sie werden zwar nicht in der Lage sein, verschlüsselten Text anzuzeigen, aber Informationen darüber erhalten,
ob die Pakete den Computer ereichen, da sie die die Quelladresse anzeigen können.
Außerdem erfahren Sie, ob IPSec angewendet wird.
Darüber hinaus können Sie die Richtlinie für einen Einsatz ohne Verschlüsselung konfigurieren und
anschließend die Pakete sammeln, um Informationen zu sammeln.
- Werden Datenpakete verworfen?
Ein IPSec-Leistungsindikator steht nicht zur Verfügung.
Verworfene IPSec-Pakete werden den Indikatoren Empfangene Datagramme verworfen und
Ausgehende Datagramme verworfen im Leistungsobjekt IPv4 zugeschlagen.
Die Frage, ob Pakete verworfen werden, kann am besten beantwortet werden,
indem im Snap-In IP-Sicherheitsmonitor die Anzahl der verworfenen Pakete angezeigt wird.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 116 von 122
Zusammenfassung des Kapitel 11 0728
- Sie müssen mit den vielen sicherheitsrelevanten Elementen in Gruppenrichtlinien vertraut sein, um eine
Sicherheitsrichtlinie entwickeln, implementieren und verwalten zu können.
Die meisten dieser Einstellungen können Sie mit einer Datei importiert oder exportiert werden.
Diese Datei ist eine so genannte Sicherheitsvorlage.
- Windows Server 2003 stellt folgende drei Standard-IP-Sicherheitsrichtlinien zur Verfügung, mit denen Sie
den Verkehr in Ihrem Netzwerk verschlüsseln können:
Client (nur Antwort), Server (Sicherheit anfordern) und Sicherer Server (Sicherheit erforderlich).
- Mit den IPSec-Überwachungstools kann sichergestellt werden,
dass IP-Sicherheitsrichtlinien wie erwartet funktionieren.
Zu diesem Zweck können das Dienstprogramm Netsh, das Snap-In IP-Sicherheitsmonitor, Sammlungen
im Netzwerkmonitor und das Sicherheitsprotokoll eingesetzt werden.
- Mit einer Überwachung der Kerberos-Aktivitäten kann gewährleistet werden, dass dieses stärkere
Authentifizierungsprotokoll tatsächlich verwendet wird.
Nutzen Sie zu diesem Zweck den Netzwerkmonitor und das Sicherheitsprotokoll.
Probleme mit Kerberos können auf Probleme mit Active Directory und insbesondere mit der
Replikation hindeuten.
- Sie können Sicherheitsvorlagen zur Konfiguration von Sicherheitseinstellungen einsetzen und diese daraufhin
auf eigenständigen Computern durch Verwenden des Snap-Ins Sicherheitskonfiguration und -analyse
und in einer Domäne durch Importieren der Vorlage in die Gruppenrichtlinien anwenden.
Schlüsselinformationen Kapitel 11 0729
- Machen sie sich mit den verschiedenen Tools für die Verwaltung von Gruppenrichtlinien und
die Fehlerbehebung vertraut.
- Prägen Sie sich die Aufgaben aller Unterknoten des Knotens Sicherheitseinstellungen in einem
Gruppenrichtlinienobjekt ein.
- Lernen Sie, welche Unterschiede zwischen den vier Typen von Richtlinien für Softwareeinschränkungen
bestehen und wann Sie welchen Typ implementieren sollten.
- Lernen Sie die Privilegien und Benutzerrechte so vieler vordefinierter Gruppen wie möglich.
- Prägen Sie sich die Unterschiede zwischen den drei Standard-IP-Sicherheitsrichtlinien ein, und üben Sie,
wann Sie welche implementieren sollten.
Schlüsselbegriffe Kapitel 11 0729
Hauptmodus Die erste Phase einer IPSec-Verbindung.
Im Hauptmodus werden die einzelnen Computer gegenseitig authentifiziert.
Anschließend wird IKE (Internet Key Exchange = Protokoll) verwendet, um den Hauptschlüssel zu berechnen.
Alle weiteren Schlüssel werden vom Hauptschlüssel abgeleitet.
Eine IKE-Sicherheitszuordnung (Security Association, SA) wird erstellt, über die der Schnellmodus ausgehandelt werden kann.
Schnellmodus Die zweite Phase von IPSec.
Im Schnellmodus wird eine Übereinstimmung für die Verschlüsselung, die Integritätsalgorithmen und weitere
Richtlinieneinstellungen erzielt.
Zwei Sicherheitszuordnungen, nämlich eine eingehende und eine ausgehende, werden erstellt.
TGT (Ticket Granting Ticket)
Ein Ticket, dass für die Anforderungen von Tickets für den Zugriff auf Ressourcen verwendet werden kann.
Der Client muss gegenüber dem KDC (Key Distribution Center) authentifiziert werden, um das TGT zu erhalten.
Der erste Schritt bei der Kerberos-Authentifizierung besteht im Abrufen von TGTs.
Sitzungsticket Das Ticket, das verwendet wird, um Zugriff auf Ressourcen zu erhalten.
Ein TGT muss eingesetzt werden, um ein Sitzungsticket bzw. Benutzerticket anzufordern.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
12 Kapitel 12 Pflegen einer Netzwerkinfrastruktur
12.1 Lektion 1 Überwachen der Netzwerkleistung
(Stand: 18.12.2008)
Seite 117 von 122
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
12.2 Lektion 2 Problembehandlung von Internetverbindungen
(Stand: 18.12.2008)
Seite 118 von 122
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
12.3 Lektion 3 Problembehandlung von Serverdiensten
(Stand: 18.12.2008)
Seite 119 von 122
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 120 von 122
12.4 Lektion 4 Konfigurieren einer Updateinfrastruktur
Hinweis 0792
In der Standardeinstellung werden Gruppenrichtlinien im Hintergrund alle 90 Minuten aktualisiert, mit einem
zufälligen Offset zwischen 0 und 30 Minuten.
Falls Sie die Gruppenrichtlinien früher aktualisieren wollen, können sie auf dem Clientcomputer eine
Eingabeaufforderung öffnen und den Befehl gpupdate /force eingeben.
Prüfungstipp 0729
Statt zu warten, bis ein WSUS-Client seinen Status automatisch an einen WSUS-Server meldet, können Sie auf
dem WSUS-Client auch den Befehl wuauclt.exe /detectnow ausführen, um die automatischen Updates zu
zwingen, sofort Kontakt mit dem WSUS-Server aufzunehmen.
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
13 Kapitel 13 Implementieren, Verwalten und Pflegen der IP-Adressierung (1.0)
14 Kapitel 14 Implementieren, Verwalten und Pflegen der Namensauflösung (2.0)
15 Kapitel 15 Implementieren, Verwalten und Pflegen der Netzwerksicherheit (3.0)
16 Kapitel 16 Implementieren, Verwalten und Pflegen von Routing und RAS (4.0)
17 Kapitel 17 Pflegen einer Netzwerkinfrastruktur (5.0)
Seite 121 von 122
Prüfungsvorbereitung 70-291
Administrieren einer Windows 2003 Netzwerkinfrastruktur
(Stand: 18.12.2008)
Seite 122 von 122