143
70-642 Konfigurieren einer Netzwerkinfrastruktur Windows Server 2008 Autor Simon Gattner Autor Website http://gattner.name/simon Dokument Name 70-642.doc

70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

  • Upload
    others

  • View
    9

  • Download
    0

Embed Size (px)

Citation preview

Page 1: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

70-642 Konfigurieren einer Netzwerkinfrastruktur

Windows Server 2008

Autor Simon GattnerAutor Website http://gattner.name/simonDokument Name 70-642.docDokument Titel Konfigurieren einer Netzwerkinfrastruktur

Windows Server 2008Dokument URL http://gattner.name/simon/public/microsoft/Windows%20Server

%202008/70-642.dochttp://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.pdfhttp://gattner.name/simon/public/microsoft/Windows%20Server%202008/70-642.html

Dokument Datum 2010-11-29Dokument Namen, Eigennamen

$Befehle, ~Dateinamen

Page 2: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,
Page 3: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IP Konfiguration

TCP/IP (Transmittion Control Protocol/Internet Protocol)OSI-Model (Open Systems Interconnect) ist ein Schichtenmodel um z.B. den Transport von Informationen innerhalb von Kommunikation darzustellen.OSI-Model unterteilt Kommunikation in sieben Schichten.

TCP/IP angewendet auf das OSI-Model

(Quelle: http://www.computing.dcu.ie/~humphrys/Notes/Networks/intro.html)

TCP/IP vier Netzwerkschichten2. Netzwerkschnittstellenschicht (Network Interface Layer): Ethernet/802.11-

WLAN und Frame Relay/ATM3. Netzwerkschicht/Internetschicht (Network Layer): IPv4 IGMP/ICMP/ARP

und IPv6 ND/MLD/ICMPv64. Transportschicht (Transport Layer): TCP und UDP7. Anwendungsschicht (Application Layer): HTTP/FTP/SMTP und

DNS/RIP/SNMP

Page 4: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

TCP/IP-Stack Windows 2008 Server

(Quelle: http://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx)

Page 5: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,
Page 6: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv4IPv4-Adressen sind 32Bits lang und bestehen aus 4 Oktetten zu jeweils 8BitsIPv4-Adressen in Punkt-Dezimal-Notationen dargestellt

192.168.23.42IPv4-Adressen in 32Bit-Binärnotation dargestellt

11000000 10101000 00010111 00101010IPv4-Adressen müssen innerhalb eines Netzwerkes einmalig seinIPv4-Adressen werden in Netzwerk-ID und Host-ID unterteiltIPv4-Adressen Netzwerk-ID + Host-ID = 32Bits

IPv4-Adressen Netzwerk-ID192.168.23.0 (in diesem Fall hat die Netzwerk-ID 24Bits)

IPv4-Adressen Host-ID192.168.23.42 (in diesem Fall hat die Host-ID 8Bits)

IPv4-Adressen Subnetzmaske bestimmt welcher Teil einer 32Bit-IPv4-Adresse die Netzwerk-ID bildet

192.168.23.42/24IPv4-Adressen Subnetzmasken in Schrägstrichnotation wird auch als CIDR-Notation (Classless Inter Domain Routing) oder Netzwerkpräfixnotation bezeichnet

/24IPv4-Adressen Subnetmasken in 32Bit-Punkt-Dezimal-Notation

255.255.255.0IPv4-Adressen Subnetmasken in 32Bit-Binärnotation

11111111 11111111 11111111 00000000

CIDR-Notation

Binär-Notation Punkt-Dezimal-Notation

Adressen pro Block

/16 11111111 11111111 00000000 00000000 255.255.0.0 65436/17 11111111 11111111 10000000 00000000 255.255.128.0 32768/18 11111111 11111111 11000000 00000000 255.255.192.0 16384/19 11111111 11111111 11100000 00000000 255.255.224.0 8192/20 11111111 11111111 11110000 00000000 255.255.240.0 4096/21 11111111 11111111 11111000 00000000 255.255.248.0 2048/22 11111111 11111111 11111100 00000000 255.255.252.0 1024/23 11111111 11111111 11111110 00000000 255.255.254.0 512/24 11111111 11111111 11111111 00000000 255.255.255.0 256/25 11111111 11111111 11111111 10000000 255.255.255.128 128/26 11111111 11111111 11111111 11000000 255.255.255.192 64/27 11111111 11111111 11111111 11100000 255.255.255.224 32/28 11111111 11111111 11111111 11110000 255.255.255.240 16/29 11111111 11111111 11111111 11111000 255.255.255.248 8/30 11111111 11111111 11111111 11111100 255.255.255.252 4

IPv4-Adressblöcke sind ein Satz einzelner IP-Adressen die eine Gemeinsame Netzwerk-ID haben.

206.73.118206.73.118.0 bis 206.73.118.255

IPv4-Adressblöcke können in mehrere Subnetze unterteilt sein die jeweils einen eigenen Router haben.

Page 7: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv4-Adressblöcke die in mehrere Subnetze unterteilt sind, haben eine verlängerte Netzwerk-ID um die Subnet-ID die aus der Host-ID abgezweigt wird, so dass mit Hilfe der Subnetz-ID Subnetze interpretiert werden können.

IPv4-Adressräume (address spaces) sind die Bereiche der IP-Adressen, die in einem bestimmten Adressblock liegen.IPv4-Adressräume sind Adressblöcke minus Broadcast- und Netzwerkadressen.

IPv4-Broadcastdomänen sind Adressblöcke des Netzwerkes die nicht in Subnetze unterteilt sind.IPv4-Standardgateway ist eine IP-Adresse innerhalb einer Broadcastdomäne, der Router übernimmt diese Rolle.

IPv4-Unicastadressen öffentliche Unicastadressen werden von der IANA (Internet Assigned

Numbers Authority) deligiert und mit Hilfe einer Reihe von Registrierungsstellen weltweit vergeben. In Deutschland vergibt die DENIC (Deutsches Network Information Center) IPv4-Adressblöcke, meist an ISP (Internet Service Profider) der diese an seine Endkunden weiterreicht.

private Unicastadressen werden im globalen Internet niemals verwendet. Diese IPv4-Adressen werden für Hosts verwendet die eine IPv4-Verbindung benötigen aber nicht im WAN sichtbar sein müssen. Folgende IPv4-Adressblöcke können für private Unicastadressen verwendet werden:

10.0.0.0/24172.16.0.0 bis 172.31.255.254192.168.0.0/16

APIPA Unicastadressen werden automatisch im IPv4-Adressbereich vergeben.

169.254.0.0/16

IPv4-Subnetze begrenzen den Broadcastverkehr.IPv4-Subnetze können den Netzwerktraffic verringern.IPv4-Subnetze können die Latenz verringern, wenn die Netzwerktopologie den physikalischen Gegebenheiten angepasst wird.

(Quelle: http://www.h3c.com/)

IPv4-Subnetz-ID ist die verlängerte Netzwerk-ID einer 32-Bit-IPv4-Adresse.IPv4-Subnetz-ID wird auch als Subnetzkennung bezeichnet.

Page 8: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv4-Subnetz-Berechnung

s = 2^bs = n-Subnetzeb = n-Bits der Subnetz-ID

b = n(int) – n(ext)n(int) = Länge der Netzwerk-ID + Subnetz-ID in Bitsn(ext) = Länge der Netzwerk-ID

IPv4-Subnetting

Zugewiesenes Netzwerk: 192.168.122.0/24 (254 Hosts)Standort A: 100 Geräte 192.168.122.0/25 (126 Hosts)Standort B: 50 Geräte 192.168.122.128/26 (64 Hosts)Standort C: 20 Geräte 192.168.122.192/27 (32 Hosts)

IPv4-VLAN ist eine Alternative zur Subnetzunterteilung.IPv4-VLAN können mit Hilfe von VLAN-Switches bereitgestellt werden.IPv4-VLAN schränken den Broadcastverkehr ein.

IPv4-VLAN-Software kann unabhängig von der Hardwaretopologie Broadcastdomäns entfernen.

IPv4-VLSM (Virtual Local Subnet Mask) nutzt eine ganz bestimmte Aufteilung der Adressblöcke. Zum Beispiel wird ein /22 Netzwerk in VLSMs mit /23 /24 /25 … oder ein /16 Netzwerk in /17 /18 /19 … IPv4-VLSMs beginnen (binär) immer mit einer 1 und enden Normalerweiße mit einer 0. Sie sind also immer (dezimal) gerade.IPv4-VLSMs die (binär) mit 1 beginnen und enden, ersetzen die darauf folgenden Subnetze.

Page 9: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv6IPv6-Adressen sind 128Bit lang und stellen einen Adressraum von 2^128 Adressen zu VerfügungIPv6-Adressen werden in acht Blöcke mit jeweils vier Hexadezimalziffern angegeben. Blöcke werden mit Doppelpunkten getrennt. Führende Nullen können gekürzt werden

2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A2001:0DB8:3FA9:0:0:0:D3:9C5A2001:0DB8:3FA9::D3:9C5A

IPv6-Adressen verwenden auch Netzwerkpräfixe, die in Schrägstrichnotation angegeben wird. Das Präfix wird benutzt um Routen oder Adressbereiche anzugeben, keine Netzwerk-ID. Routingtabelleneintrag für IPv6

2001:DB8:3FA9::/48IPv6-Adressen werden von benachbarten Routern oder von DHCPv6-Servern automatisch zugewiesen. Außerdem weisen Computer sich selbst eine verbindungslokale Adresse zu die nur um lokalen Subnetz benutzt wird

(Quelle: http://www.networkworld.com/)

IPv6-Adress-Zustände gelten für IPv6-Adressen die von Router oder einer IPv6-Adressautokonfiguration vergeben werden

Vorläufig (tentative) gilt im Zeitraum nach der Autokonfiguration, bis geprüft wurde ob keine Dublette vorliegt

Bevorzugt (preferred) gilt im Zeitraum der Lebensdauer, wenn keine Dublette vorliegt

Verworfen (deprecated) gilt im Zeitraum nach überschritten der Lebensdauer, in der die Adresse zwar noch erreicht werden kann, aber nicht für neue Kommunikationssitzungen verwendet wird

Page 10: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Unicast-IPv6-Adressen bestehen aus einem 64Bit langen Netzwerkpräfix und einer 64Bit langen Schnittstellen-IDUnicast-IPv6-Adressen Netzwerkpräfix (Routingpräfix) wird von der IANA zugewiesenUnicast-IPv6-Adressen Schnittstellen-ID leitet sich üblicherweise aus der einmaligen 48Bit MAC-Adresse der NIC ab oder wird zufällig* generiert.

* (Quelle: http://xkcd.com/221/)Unicast-IPv6-Adressen unterstützen keine Subnetz-IDs variabler Länge, der Routingpräfix hat immer die Länge von 64Bits

IPv6-Loopback-Adressethere is no place like ::1

Eindeutige lokale IPv6-Adressen (Unique Local Address, ULA) sind das IPv6-Gegenstück zu privaten Adressen (LAN-Adressen) in IPv4Eindeutige lokale IPv6-Adressen sind routingfähig zwischen Subnetzen

fd65:9abf:efb0:0001::0002

Eindeutige lokale IPv6-Adressen benutzen das Adresspräfixfd00::/8fc00::/8 (in Zukunft unter umständen)

Eindeutige lokale IPv6-Adressen beginnen immer mit den ersten 8Bits fd gefolgt von 40Bits des Globalen Routingpräfix, der zufällig generiert wird. Darauf folgen 16Bits Subnetz-ID und 64Bits der Schnittstellen-ID

fd Eindeutiglokales Adresspräfix65:9abf:efb0: Globales Routingpräfix (Globale-ID)0001: Subnetz-ID::0002 Schnittstellen-ID

Standort lokale IPv6-Adressen wurden für obsolet erklärt und sollten nicht mehr verwendet werden

feco::/10 Standortlokales Adresspräfix

Page 11: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Globale IPv6-Adressen sind das Gegenstück öffentlicher IPv4-Adressen2001:db8:21da:0007:713e:a426:d167:37ab

Globale IPv6-Adressen benutzen das Adresspräfix2000::/33000::/3

Globale IPv6-Adressen setzen sich aus 48Bits globalen Routingpräfix (wird von der IANA zugewiesen), 16Bits Subnetz-ID und 64Bits Schnittstellen-ID (Host-ID) zusammen

2001:db8:21da: Globales Routingpräfix (Globale-ID)0007: Subnetz-ID713e:a426:d167:37ab Schnittstellen-ID

Verbindungslokale IPv6-Adressen (Link-Lokal Addresse, LLA) ähneln IPv4-APIPA-Adressen

fe80::54d:3cd7:b33b:1bc1%13

Verbdingunslokale IPv6-Adressen benutzen das Adresspräfixfe80:/8

Verbindungslokale IPv6-Adressen beginnen immer mit fe80::, die ersten 64Bits gefolgt von 64Bits der Schnittstellen-ID und der Zonen-ID

fe80:0:0:0: Verbindungslokales Adresspräfix54d:3cd7:b33b:1bc1 Schnittstellen-ID%13 Zonen-ID

Verbindungslokale IPv6-Adressen werden automatisch vom Gerät konfiguriertVerbindungslokale IPv6-Adressen sind nicht routingfähig und funktionieren nur im lokalen SubnetzVerbindungslokale IPv6-Adressen bleiben Schnittstellen immer als sekundäre Adresse zugewiesen

Zonen-ID ist nicht teil der Verbindungslokalen IPv6-Adresse. Die Zone gibt lediglich an mit welcher Netzwerkschnittstelle die Adresse verbunden istZonen-ID ist immer relativ zur lokalen SchnittstelleZonen-ID muss beim anpingen einer Verbindungslokalen IPv6-Adresse der Zonen-ID der lokalen Schnittstelle (auf dem Gerät von dem aus gepingt wird) entsprechenZonen-ID können unter Windows 7 mit folgendem Befehl angezeigt werden:

$netsh interface ipv6 show interface

Page 12: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv4-zu-IPv6-KompatibilitätIPv4-kompatible Adressen von Dual-Stack-Knoten die über IPv4-Infrastruktur mit IPv6 kommunizieren

0:0:0:0:0:0:0:0:a.b.c.d::a.b.c.d

IPv4-zugeordnete Adressen werden benutzt um reine IPv4-Knoten einem IPv6-Knoten bekannt zu machen

0:0:0:0:0:ffff:a.b.c.d::ffff:a.b.c.d

6to4-Adressen kann benutzt werden um IPv6-Pakete über ein IPv4-Netzwerk zu transportieren ohne das Tunnel konfiguriert werden müssen.Ermöglicht IPv4-Clients den Zugang in das IPv6-Internet und ist als Übergangslösung geplant

2002:ab:cd::/16

Toredo-Adressen (RFC 4380) enthalten ein 32Bit-Teredo-Präfix. Auf das Präfix folgt die 32Bit lange IPv4-Adresse des Teredo-Servers der die Adresse mitkonfiguriert.Die nächsten 16Bit sind für Teredoflags reserviert.Die nächsten 16Bit speichern die UDP-Port-Nummern, die den gesamten Teredo-Verkehr abwickelt.Die letzten 32Bit speichern die externe IPv4-Adresse die den gesamten Teredo-Verkehr abwickelt

2001::/32

ISATAP-Adressen (Intra-Site Automatic Tunneling Adressing Protocol) werden von IPv6 benutzt um die Kommunikationen zwischen zwei Knoten über ein IPv4-Intranet herzustellen.Die ersten 64Bits beginnen mit verbindungslokalen, standortlokalen, globalen oder 6to4-globalen Unicastpräfixen.Die nächsten 32Bits enthalten die ISATAP-Kennung 0:5efe.Die letzten 32Bits enthalten die IPv4-Adresse in Hex- oder Punkt-Dezimal-Notation.ISATAP-Adressen sind für öffentliche oder private IPv4-Adressen

5efe:

IPv6-zu-IPv4-Kompatibilität$netsh interface ipv6 6to4$netsh interface ipv6 isatap$netsh interface ipv6 add v6v4tunnel$netsh interface ipv6 add v6v4tunnel “Remote” 10.0.0.11 192.168.123.116

Page 13: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Routing und StandardgatewaysUm Pakete an eine Remoteadresse zu senden vergleicht man die Zielnetzwerk-ID eines IPv4-Pakets mit der eigenen Netzwerk-ID um zu entscheiden ob das Paket als Broadcast an das lokale Subnetz gesendet wird oder an das Standartgateway geht.Um die Netzwerk-ID zu ermitteln benutzt man die Subnetzmaske.Standartgateway entscheidet anhand seiner Routingtabelle wie das Paket weiter versendet wird.Standartgateway (Router) muss dieselbe Netzwerk-ID wie die zu Host haben, für die es zuständig ist, und in derselben Broadcastdomäne liegen.Standartgateway ist in einer Host unkonfiguriert, kann die Host auf keine Ziele außerhalb seines lokalen Subnetzes zugreifen.

(Quelle: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b03/b03302.html)

KollisionsdomäneUnter einer Kollisionsdomäne wird ein einzelnes Segment beim Netzzugangsverfahren CSMA/CD (Carrier Sense Multipe Access with Collision Detection) verstanden. Alle Geräte, die im selben Segment angeschlossen sind, sind Bestandteil dieser Kollisionsdomäne. Versuchen zwei Geräte, zum gleichen Zeitpunkt ein Paket ins Netz zu senden, so spricht man von einer Kollision. Beide Geräte warten dann einen bestimmten Zeitraum zufällig gewählter Länge und versuchen dann erneut, das Paket zu senden. Durch diese Wartezeit verringert sich die effektive Bandbreite, die den Geräten zur Verfügung steht.

BroadcastdomäneBroadcast-Informationen sind nicht an ein bestimmtes Endgerät gerichtet, sondern an alle "benachbarten" Endgeräte. Diejenigen Geräte in einem Netz, die die jeweiligen Broadcast-Informationen der anderen Geräte empfangen, bilden zusammen eine Broadcastdomäne. Geräte, die in einer Broadcastdomäne zusammen gefasst sind, müssen sich nicht in derselben Kollisionsdomäne befinden. Beim IP-Protokoll spricht man in diesem Fall auch von einem IP-Subnetz. Beispielsweise bilden die Stationen mit den IP-Adressen von 192.168.1.1 bis 192.168.1.254 in einem IP-Subnetz mit einer Subnetzmaske von 255.255.255.0 eine Broadcastdomäne.

Page 14: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

HubHubs arbeiten auf der OSI Schicht 1 (Physikalische Schicht / Bitübertragungsschicht). Alle angeschlossenen Geräte befinden sich in derselben Kollisionsdomäne und damit auch in derselben Broadcastdomäne.Hubs werden heutzutage durch Access-Switches abgelöst.

BridgeBridges verbinden Netze auf der OSI Schicht 2 (Datalink Schicht / Sicherungsschicht) und segmentieren Kollisionsdomänen. Jedes Segment bzw. Port an einer Bridge bildet eine eigene Kollisionsdomäne. Alle angeschlossenen Stationen sind im Normalfall Bestandteil einer Broadcastdomäne.Bridges können auch dazu dienen, Netze mit unterschiedlichen Topographien (Ethernet, Token Ring, FDDI, etc.) auf der OSI Schicht 2 miteinander zu verbinden (transparent bridging, translational bridging). Hauptsächlich wurden Bridges zur Lastverteilung in Netzen eingesetzt. Die Entlastung wird dadurch erzielt, dass eine Bridge als zentraler Übergang zwischen zwei Netzsegmenten nicht mehr jedes Datenpaket weiterleitet. Bridges halten eine interne MAC-Adresstabelle vor, aus der hervorgeht, in welchem angeschlossenen Segment entsprechende MAC-Adressen vorhanden sind. Wenn die Bridge beispielsweise aus dem Teilsegment A ein Datenpaket für eine Station im Teilsegment B erhält, wird das Datenpaket weitergeleitet. Falls die Bridge hingegen ein Datenpaket aus dem Teilsegment A für eine Station aus dem Teilsegment A empfängt, wird dieses Datenpaket nicht in das Teilsegment B übertragen. Dadurch wird eine Entlastung des Teilsegments B erreicht. Heutzutage werden Bridges durch Switches ersetzt.

Layer-2-SwitchHerkömmliche Layer-2-Switches verbinden Netze auf der OSI Schicht 2. Jeder Switch-Port bildet eine eigene Kollisionsdomäne. Normalerweise sind alle angeschlossenen Stationen Bestandteil einer Broadcastdomäne. Das bedeutet, dass ein Layer-2-Switch die Ziel-MAC-Adresse im MAC-Header als Entscheidungskriterium dafür verwendet, auf welchen Port eingehende Datenpakete weitergeleitet werden. Trotz der vergleichbaren Funktionsweise gibt es zwei wesentliche Unterschiede zu Bridges:Ein Switch verbindet in der Regel wesentlich mehr Teilsegmente miteinander als eine Bridge.Der Aufbau eines Switches basiert auf sogenannten Application Specific Interface Circuits (ASICs). Dadurch ist ein Switch in der Lage, Datenpakete wesentlich schneller als eine Bridge von einem Segment in ein anderes zu transportieren.

Page 15: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

RouterRouter arbeiten auf der OSI Schicht 3 (Netzschicht) und vermitteln Datenpakete anhand der Ziel-IP-Adresse im IP-Header. Jedes Interface an einem Router stellt eine eigene Broadcastdomäne und damit auch eine Kollisionsdomäne dar.Router sind in der Lage, Netze mit unterschiedlichen Topographien zu verbinden.Router werden verwendet, um lokale Netze zu segmentieren oder um lokale Netze über Weitverkehrsnetze zu verbinden. Router identifiziert eine geeignete Verbindung zwischen dem Quellsystem beziehungsweise Quellnetz und dem Zielsystem beziehungsweise Zielnetz. In den meisten Fällen geschieht dies durch die Weitergabe des Datenpaketes an den nächsten Router, den sogenannten Next Hop.Router müssen jedes IP-Paket vor der Weiterleitung analysieren. Dies führt zu Verzögerungen und damit im Vergleich zu "klassischen" Switches zu einem geringeren Datendurchsatz.

Layer-3-Switch und Layer-4-SwitchLayer-3- und Layer-4-Switches sind Switches, die zusätzlich eine Routing-Funktionalität bieten. Layer-2-Switches verwenden die Ziel-MAC-Adresse im MAC-Header eines Paketes zur Entscheidung, zu welchem Port Datenpakete weitergeleitet werden. Ein Layer-3-Switch behandelt Datenpakete beim ersten Mal wie ein Router (Ziel-IP-Adresse im IP-Header). Alle nachfolgenden Datenpakete des Senders an diesen Empfänger werden daraufhin jedoch auf der OSI Schicht 2 (Ziel-MAC-Adresse im MAC-Header) weitergeleitet. Dadurch kann ein solcher Switch eine wesentlich höhere Durchsatzrate erzielen als ein herkömmlicher Router. Ein weiteres Unterscheidungsmerkmal zwischen einem Router und einem Layer-3-Switch ist die Anzahl von Ports zum Anschluss von einzelnen Endgeräten. Ein Layer-3-Switch verfügt in der Regel über eine wesentlich größere Portdichte.Durch die Routing-Funktion können Layer-3 oder Layer-4-Switches in lokalen Netzen herkömmliche LAN-to-LAN-Router ersetzen.

Page 16: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Netzwerkverbindung Konfiguration$ipconfig$netsh interface

$ncpa.cplSystemsteuerung -> Netzwerk und Internet -> Netzwerk- und Freigabecenter

$ping$tracert$pathping$arp$route$netstat

Gesamtübersicht anzeigen Netzwerkübersicht von Geräten die im lokalen LAN mit deren Netzwerktopologie (basiert auf LLTD (Link Layer Topology Discovery) was als Client auf Windows XP nachinstalliert werden muss)Netzwerkübersicht ist standardmäßig deaktiviert.

Verbindung herstellen oder trennen zeigt die aktiven Netzwerke an

Netzwerkeinstellungen ändern Neue Verbindung oder Netzwerkeinrichten Verbindung zu einem Netzwerk herstellen Problembehandlung aufrufen

Problembehandlung mit ICMP (Internet Control Message Protocol) Dienstprogrammen$ipconfig /renew (LAN-Verbindungen mit APIPA-Adressen können auf Probleme mit DHCP hindeuten)$ping <HOST>|<IP>$tracert <HOST>|<IP>$pathping –n <HOST>$arp -a

Adaptereinstellungen ändern$ncpa.cpl$netsh interface <Interfacetype> <Befehl> “Adaptername” <Parameter>

$netsh interface ipv4 show [“LAN-Verbindung”] configAdapter -> Status -> Details -> Netzwerkverbindungsdetails$ipconfig /all

$netsh interface ipv4 set address “LAN-Verbindung” static 10.0.0.1 255.255.255.0$netsh interface ip set dnsservers “LAN-Verbindung” static 10.0.0.2 primary

$netsh interface ipv6 set address “LAN-Verbindung” 2001:db8:290c:1291::1

Page 17: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$netsh interface ip set address “LAN-Verbindung” dhcp$netsh interface ip set dnsservers “LAN-Verbindung” dhcp$ipconfig /renew[6]Adaptereinstellungen ändern

Standardkomponenten für eine Verbindung (Adapter Eigenschaften) Netzwerkclients (z.B. Client für Microsoft-Netzwerke) Netzwerkdienst (z.B. Datei- und Druckerfreigabe für Microsoft-

Netzwerk oder QOS-Paketplaner) Netzwerkprotokoll (z.B. Internetprotokoll Version 4 (TCP/IPv4) oder

E/A-Treiber für Verbindungsschicht-Topologieerkennungszuordnung)

Netzwerk-Bridging (Adapter Verbindung überbrücken)Bridging kann dazu dienen alle Eingangspunkte eines Servers (Drahtlos, Token Ring und Ethernet) die gleiche Internetanbindung (WAN-Adapter) nutzen zu lassen

Erweiterte Einstellungen Adapter und Bindung (Priorität der einzelnen Verbindungen und

deren Dienste verändern) Anbieterreihenfolge (Priorität der einzelnen Netzwerkanbieter

verändern)

Erweiterte Freigabeeinstellung ändern nach Netzwerkstandort sortiert (Öffentlich, Privat und Domain)

Netzwerkerkennung aktivieren/deaktivieren Datei- und Druckerfreigaben aktivieren/deaktivieren Freigaben des Öffentlichen Ordners lesen/schreiben aktivieren/deaktvieren

Page 18: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Namensauflösung (name resolution)

Namensauflösungsmethoden in Windows DNS (Domain Name System) LLMNR (Link Local Multicast Name Resolution) NetBIOS

rlp 39/udp resource #Resource Location Protocolnameserver 42/tcp name #Host Name Servernameserver 42/udp name #Host Name Servernicname 43/tcp whoisdomain 53/tcp #Domain Name Serverdomain 53/udp #Domain Name Serverhostname 101/tcp hostnames #NIC Host Name Servernetbios-ns 137/tcp nbname #NETBIOS Name Servicenetbios-ns 137/udp nbname #NETBIOS Name Servicenetbios-dgm 138/udp nbdatagram #NETBIOS Datagram Servicenetbios-ssn 139/tcp nbsession #NETBIOS Session Servicewins 1512/tcp #Microsoft Windows Internet Name Servicewins 1512/udp #Microsoft Windows Internet Name Service

LLMNR und KonfigurationLLMNR (Link Local Multicast Name Resolution) nutzt Multicasting um IPv6-Adressen in die Namen von Computern aufzulösen die sich im lokalen Subnet befinden.LLMNR wird für die Namensauflösung in einzelnen Subnets verwendet, die keine DNS-Infrastruktur besitzen.LLMNR kann eingesetzt werden ab Windows Vista.LLMNR sendet Namensauflösungsanforderungen über IPv6 standardmäßig, kann aber auch über IPv4 gesendet werden.LLMNR ist IPv6 kompatibel, vorkonfiguriert (out-of-box) für IPv6-Netzwerke und schlanker als NetBIOS.LLMNR löst keine Namen von Windows Server 2003, Windows XP und älteren Windowsversionen auf.LLMNR kann nur Namen auflösen innerhalb des lokalen Subnet.LLMNR brauch die Netzwerkerkennung.

Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -> Erweiterte Freigabeeinstellungen ->Netzwerkerkennung

Systemsteuerung -> Netzwerk und Internet ->Netzwerk- und Freigabecenter -> Gesamtübersicht anzeigen

Page 19: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NetBIOS und KonfigurationNetBIOS oder NetBIOS-over-TCP/IP (NetBT oder NBT) wird verwendet um die Kompatibilität zu alten Windowsversionen sicherzustellen.NetBIOS funktioniert standardmäßig, in einem IPv4-Netzwerk ohne DNS.NetBIOS ist nicht kompatibel mit IPv6.NetBIOS setzt voraus das jeder Gerätename einmalig ist.NetBIOS kann über den DHCP-Server eingestellt werden. Falls kein DHCP aktiviert ist wird NetBIOS-over-TCP/IP verwendet.NetBIOS umfasst drei Namensauflösungsmethoden

Broadcasts über IPv4 mit dem ein Besitzer eines gesuchten Namens aufgefordert wird zu antworten

WINS ist ein Verzeichnis von Computernamen auf einem WINS-Server.WINS ermöglicht NetBIOS die Namensauflösung über das eigene Subnet hinausWINS registriert den Clienten automatisch im Server-Verzeichnis

LMHOSTS ist eine statische, lokale Datenbank.LMHOSTS muss manuell erstellt werden und enthält Paare von IP + Host

NetBIOS-Knotentypen legen fest auf welche Weise NetBIOS-Namen in IP-Adressen aufgelöst werden. Es gibt vier Knotentypen:

Broadcast oder B-Knoten verwenden Broadcast-NetBIOS-Namensabfragen für die Namensregistrierung und –Auflösung.Nachteile sind: das Broadcasts von allen Knoten im Netzwerk verarbeitet werden müssen und das Broadcasts nur im eigenen Subnet funktionieren

Punkt-zu-Punkt- oder P-Knoten verwenden Punkt-zu-Punkt-Kommunikation mit einem WINS-Server um Namen aufzulösen

Gemischte oder M-Knoten verwenden erst Broadcasts und als fallback WINS-Abfragen

Hypride oder H-Knoten verwenden WINS-Abfragen und als fallback LMHOST-Abfragen und Broadcasts

Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften -> Internet Protokoll IPv4 -> Erweitert -> WINS

$netsh interface ip set wins <Interfacename> (static|dhcp)$netsh interface ip add wins <Interfacename> (static|dhcp)$netsh interface ip add wins “LAN-Verbindung static 10.0.0.1

Page 20: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNSDNS (Domain Name System) stellt eine hierarchische Struktur und automatisierte Methode zum Zwischenspeichern und Auflösen von Hostnamen zu Verfügung.

$dig$nslookup$pathping

$nslookup > ls <FQDN>

DNS-Namensystem auf dem DNS basiert, ist eine hierarchische und logische Baumstruktur, die als DNS-Namespace bezeichnet wird.DNS-Namespace enthält einen eindeutigen Stamm (root), der beliebige untergeordnete Äste (Domänen) haben kann. Untergeordnete Domänen können weitere Domänen enthalten.DNS-Domänenstruktur enthält Knoten (Astgabelungen), die anhand eines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) identifiziert werdenroot_

|.org| |foo.org__| | |alpha.foo.org_| | | |one.alpha.foo.org| | |beta.foo.org| |bar.org__| | |first.bar.org

(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

Page 21: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Root wird von der ICANN (Internet Corporation for Assigned Names and Numbers) verwalte. Die ICANN koordiniert die Zuweisung von global eindeutigen Kennungen, wie Internetdomänennamen, IP-Adresswerte, Protokollparameter oder Portnummern.DNS-Top-Level-Domänen sind dem DNS-Stamm untergeordnet

Organisationsdomänen.org .com .net .edu .mil .aero .biz .info .name etc.

Geographische Domänen nach ISO 3166.de .fr .ly .se .uk .ru .fu .cn etc.

Reverse-Domänen für Reverse-Lookups von Namen zu IP-Adressein-addr.arpa

(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

DNS-Top-Level-Domänen deligiert die ICANN und andere Internetstellen wie die DEBNIC.

Page 22: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Komponenten sind DNS-Server, Zone, Auflösungen (Resolver) und Ressourceneinträge

DNS-Server sind Geräte, die ein DNS-Serverprogramm wie z.B. Windows DNS-Server-Dienst oder BIND ausführen.DNS-Server enthalten DNS-Datenbankinformationen über einen bestimmten Abschnitt der DNS-Domänenbaumstruktur und verarbeitet Anfragen zur Namensauflösung von DNS-Clients.DNS-Server setzen bei einer Anfrage Informationen bereit, liefern die Adresse eines anderen Servers der die Informationen liefern kann oder melden eine Antwortnachricht, dass Daten nicht verfügbar oder vorhanden sind.DNS-Server ist autorisierend (authoritive) für eine Domäne, wenn dieser auf lokal gespeicherte Datenbankdaten zugreift.

DNS-Zonen sind zusammenhängende Abschnitte eines Namespaces, für die ein Server autorisiert ist.DNS-Zonen können durch Delegierung erzeugt werden.Spezielle Zonen sind Forward-Lookupzonen und Revers-Lookupzonen.Forward-Lookupzone ist eine Zone, in der Name in IP-Adresse aufgelöst wird.Reverse-Lookupzone ist eine Zone, in der IP-Adresse in Name aufgelöst wird.

DNS-Auflösung (resolver) ist ein Dienst, der mit Hilfe des DNS-Protokolls Informationen von DNS-Servern abfragt.DNS-Auflösung kommuniziert entweder mit DNS-Remoteservern oder mit dem DNS-Serverprogramm.DNS-Auflösung wird unter Windows Server 2008 von DNS-Clients übernommen, die Einträge auch zwischenspeichern können

DNS-Ressourceneinträge (resource records) sind Einträge in der DNS-Datenbank.DNS-Ressourceneinträge werden verwendet um DNS-Clientanfragen zu beantwortenDNS-Ressourceneintragstypen

o A (IPv4-Hostadresse)o AAAA (IPv6-Hostadresse)o CNAME (Alias)o PTR (Zeiger)o MX (Mail-Exchanger)

DNS-Abfrage (query) läuft folgendermaßen ab: wenn ein DNS-Client einen Namen sucht, fragt er nachdem er die HOST-Datei und den DNS-Cache geprüft hat den konfigurierten DNS-Server ab, um den Namen aufzulösen. Jede DNS-Abfrage enthält folgende Bestandteile:

DNS-Domänennamen der als FQDN angegeben ist. Der DNS-Clientdienst fügt die Suffixe hinzu, falls nicht vorhanden, die für eine FQDN erforderlich ist

Abfragetyp der entweder einen Ressourceneintrag anhand eines Typs oder eine spezielle Form von Abfragevorgang angibt

Klasse des DNS-Domänennamen wird für den DNS-Clientdienst generell als Internet-Klasse (IN) angegeben

DNS-Auflösung (answer) erhält der DNS-Cient den Ressourceneintrag der aus einem HOST/IP-Paar besteht.

Page 23: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Abfrage (query) und DNS-Auflösung (answer)

(Quelle : http://technet.microsoft.com/en-us/library/cc775637(WS.10).aspx)

Stammhinweise (root hints) sind Startpunkte für die Suche nach Namen im DNS-Domänennamespace. Dabei handelt es sich um vorbereitete Ressourceneinträge, die auf Server zeigen, die für den Stamm des DNS-Domänennamespaces autorisierend ist.

DNS-Abfragen und DNS-Auflösung zwischen DNS-Client und DNS-Server sind recursiv.DNS-Abfragen und DNS-Auflösung zwischen DNS-Servern sind iterativ wenn es sich um einen Vorgang handelt, bei dem der DNS-Client wiederholt Anfragen an verschiedene DNS-Server sendet.DNS-Server können ebenfalls als DNS-Clients agieren, dieses verhalten heißt Rekursion.

(Quelle: http://technet.microsoft.com/en-us/library/dd197427(WS.10).aspx)

Page 24: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

;; Database file (null) for foo.local zone.; Zone version: 132;

@ IN SOA dc01.foo.local. hostmaster.foo.local. ( 132 ; serial number 900 ; refresh 600 ; retry 86400 ; expire 3600 ) ; default TTL

;; Zone NS records;

@ NS dc01.foo.local.@ NS dns01.foo.local.@ NS dc02.berlin.foo.local.DC02.berlin A 192.168.6.12DC02.berlin A 192.168.7.10DC02.berlin AAAA fd65:9abf:efb0:6::cDC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5DC02.berlin AAAA fd65:9abf:efb0:7::a

;; Zone records;

@ 600 A 192.168.6.10@ 600 AAAA fd65:9abf:efb0:6::a

;; Delegated sub-zone: _msdcs.foo.local.;_msdcs NS win-richruqv1eb.foo.local.; End delegation

_gc._tcp.Default-First-Site-Name._sites 600 SRV 0 100 3268 dc01.foo.local._kerberos._tcp.Default-First-Site-Name._sites 600SRV 0 100 88 dc01.foo.local._ldap._tcp.Default-First-Site-Name._sites 600 SRV 0 100 389 dc01.foo.local._gc._tcp 600 SRV 0 100 3268 dc01.foo.local._kerberos._tcp 600 SRV 0 100 88 dc01.foo.local._kpasswd._tcp 600 SRV 0 100 464 dc01.foo.local._ldap._tcp 600 SRV 0 100 389 dc01.foo.local._kerberos._udp 600 SRV 0 100 88 dc01.foo.local._kpasswd._udp 600 SRV 0 100 464 dc01.foo.local.

Page 25: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

;; Delegated sub-zone: berlin.foo.local.;berlin NS dc02.berlin.foo.local.DC02.berlin A 192.168.6.12DC02.berlin A 192.168.7.10DC02.berlin AAAA fd65:9abf:efb0:6::cDC02.berlin AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5DC02.berlin AAAA fd65:9abf:efb0:7::a; End delegation

dc01 A 192.168.6.10 AAAA fd65:9abf:efb0:6::aDNS01 1200 A 192.168.6.11 1200 AAAA fd65:9abf:efb0:6::bDomainDnsZones 600 A 192.168.6.10 600 AAAA fd65:9abf:efb0:6::a_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones 600 SRV 0 100 389

dc01.foo.local._ldap._tcp.DomainDnsZones 600 SRV 0 100 389 dc01.foo.local.ws01.bar.local.DomainDnsZones A 192.168.6.10ForestDnsZones 600 A 192.168.6.10 600 A 192.168.7.10 600 A 192.168.6.12 600 AAAA fd65:9abf:efb0:7:e84b:e4d5:3106:f9d5 600 AAAA fd65:9abf:efb0:6::a 600 AAAA fd65:9abf:efb0:7::a 600 AAAA fd65:9abf:efb0:6::c_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones 600 SRV 0 100 389

dc02.berlin.foo.local. 600 SRV 0 100 389 dc01.foo.local._ldap._tcp.ForestDnsZones 600 SRV 0 100 389 dc02.berlin.foo.local. 600 SRV 0 100 389 dc01.foo.local.win-richruqv1eb 1200 A 192.168.6.10 1200 AAAA fd65:9abf:efb0:1::awww CNAME .

Page 26: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Client KonfigurationDNS-Suffix und ComputernameDNS-Suffix hat die Aufgabe den eigenen Hosteintrag automatisch in der DNS-Zone zu registrieren.DNS-Suffix wird automatisch DNS-Abfragen angefügt die noch kein Suffix haben um einen FQDN zu erhalten.

Computername.DNS-SuffixWs42.example.org

$hostname$netdom <Computername> /NewName:<NeuerComputername>$netdom join <Computername> /Domain:<Domainenname> /UserD:<DomainUser> /PasswordD:<DomainUserPass>$sysdm.cpl -> Systemeigenschaften

$sysdm.cpl -> Systemeigenschaften -> Computername -> Ändern -> Computername- bzw. –domänenänderungen -> Weiter -> DNS-Suffix und NetBIOS-Computername

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS

GPO -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> DNS-Client

Primäre und verbindungsspezifisches DNS-Suffixe anhängen erlaubt FQDN in Anfragen zu senden.Primäres DNS-Suffix in einer AD-Domäne ist automatisch der Domänenname.

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Primäre und verbindungsspezifisches DNS-Suffixe

Dieses DNS-Suffix anhängen (in Reihenfolge) oder auch DNS-Suffixlisten erweitern die DNS-Suchfähigkeit.DNS-Suffixlisten stellt dem DNS-Client eine Liste von DNS-Suffixes zur Verfügung die dem nicht qualifizierten Namen hinzugefügt werden.

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Diese DNS-Suffixe anhängen

Übergeordnete Suffixe des primären DNS-Suffixes anhängen ermöglicht die erweiterte Suche: nachdem zuerst das primäre DNS-Suffix, dann das verbindungsspezifische Suffix angehängt wurde, folgt das übergeordnete Suffix (example.com) des primären DNS-Suffix (berlin.example.com) um einen FQDN zu bekommen.

Page 27: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Suffix für diese Verbindung: ist ein verbindungsspezifisch DNS-Suffix (connection-specific suffix) welches mit einer bestimmten Netzwerkverbindung verknüpft ist.Verbindungsspezifische DNS-Suffix sind zum Beispiel nützlich um getrennte Netzwerkadapter die in zwei Subnetzen münden voneinander zu unterscheiden.

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> DNS-Suffix für diese Verbindung:

DNS dynamische Registrierungen und Updates konfigurieren von A- (Host), AAAA- (IPv6-Host) und PTR-Ressourceneinträgen (Zeiger) die von einem DNS-Client oder DHCP-Server im Namen des Clients übergeben werden.DNS dynamische Updates können nur stattfinden, wenn der Client mit einem primären oder verbindungsspezifischen DNS-Suffix konfiguriert ist, das dem Namen der Zone entspricht, die vom bevorzugten DNS-Server gehostet wird. Der DNS-Server muss natürlich auch dynamische Updates zulassen.

$ipconfig /renewDNS Standardverhalten bei Clientupdates für Zeigereinträge (PTR) ist dasselbe wie für Hosteinträge (A oder AAAA): DNS-Clients mit statisch zugewiesener Adresse versuchen immer, ihre Zeigereinträge beim DNS-Server zu registrieren und zu aktualisieren, wenn Adressen dieser Verbindung in DNS registrieren aktiviert ist.

$ipconfig /registerdns

Adressen dieser Verbindung in DNS registrieren aktiviert ist, versucht der Client, A-, AAAA- und PTR-Einträge bei seinem bevorzugten DNS-Server zu registrieren.

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> Adressen dieser Verbindung in DNS registrieren

$ipconfig /registerdns

DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden aktiviert ist, versucht der lokale Computer, A-, AAAA- und PTR-Einträge für alle verbindungsspezifischen DNS-Suffixe zu registrieren.

Netzwerkadapter -> Eigenschaften -> Erweiterte TCP/IP-Einstellungen -> DNS -> DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden

$ipconfig /registerdns

Page 28: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Clientcache wird auch als DNS-Auflösungscache bezeichnet. Sobald der DNS-Clientdienst gestartet ist werden automatisch einträge der HOSTS-Datei dem DNS-Cache hinzugefügt.DNS-Clientcache enthält neben Einträgen aus der HOSTS-Datei Antworten auf Abfragen die an den konfigurierten DNS-Server gerichtet wurden.

HOSTS-Datei wird automatisch eingelesen wenn Einträge verändert werden.%WinDir%\System32\Drivers\etc\HOSTS

$ipconfig$ipconfig /flushdns$ipconfig /registerdns$ipconfig /displaydns

$netsh interface ip(v4|v6) set dns <Interfacename> (static|dhcp)$netsh interface ip(v4|v6) add dns <Interfacename> (static|dhcp)$netsh interface ipv4 add dns “LAN-Verbindung static 10.0.0.1$netsh interface ipv4 add dnsserver „LAN-Verbindung“ static 192.168.0.254 Index=1

$mmc services.msc -> DNS-Clientdienst -> restart

Systemsteuerung -> Netzwerk und Internet -> Netzwerkverbindungen -> Adapter -> Eigenschaften -> Internet Protokoll IP(v4|v6) -> Erweitert -> DNS

Page 29: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-Server KonfigurationDNS-Server die auf Domänencontroller installiert werden, haben den Vorteil, dass die Zone von Features wie dynamischen Updates und Active Directory-Replikationen profitiert.DNS-Server werden am besten gleich bei der Installation des Domänencontrollers mitinstalliert.Beim Hochstufen des Domänencontrollers gibt man den FQDN der Gesamtstruktur-Stammdomäne an. Die FQDN gibt sowohl der Active Directory-Domäne als auch der DNS-Zone ihren Namen.

$dnscmd$dnscmd /info$dnscmd /enumdirectorypartitions

$mmc dnsmgmt.msc

$dcdiag /test:replications$repadmin /showrepl$dig

Dcpromo kann automatisch einen lokal gehosteten DNS-Server mit einer Forward-Lookupzone für die Domäne konfigurieren.Dcpromo Antwortdateien können auf Windows Server 2008 erstellt werden, mit Hilfe der letzten Seite (Zusammenfassung) des Assistenten, bevor die Installation tatsächlich durchgeführt wird.

$dcpromo$dcpromo /unattend:<Antwortdatei>

DNS-Server auf Mitgliedservern oder ohne AD DS.DNS-Server ohne AD DS müssen manuell, mit mindestens einer Forward-Lookupzone konfiguriert werden.DNS-Server für Zwischenspeicherung (caching-only server) hosten selbst überhaupt keine Zone und sind daher für keine bestimmte Domäne autorisiert. Sie dienen als gemeinsamer DNS-Servercache für Clients.DNS-Server für Zwischenspeicherung können die Reaktionszeiten zwischen verschiedenen Standorten erhöhen.

$mmc servermanager.msc -> Assistenten “Rollen hinzufügen“ -> DNS-Server

$dcpromo (Domaincontroller fügen automatisch die DNS-Rolle hinzu)

$start /w ocsetup DNS-Server-Core-Role$start /w ocsetup DNS-Server-Core-Role /uninstall

DNS-Manager kann ebenfalls Verbindung mit anderen DNS-Servern (Server-Core-Installationen) aufbauen. $mmc dnsmgmt.msc

Page 30: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$dnscmd . /ZoneUpdateDS <Zonenname> (Zoneupdate AD-integrierte-Zone)$dnscmd . /ZoneRefresh <Zonenname> (Zoneupdate sekundäre-Zone)

Page 31: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-ZonenDNS-Zonen sind Datenbanken, deren Einträge Namen mit Adressen verknüpfen, innerhalb eines Abschnitts des DNS-Namespaces.DNS-Zonen die lokal gehostet sind, dienen dazu DNS-Anfragen autorisierend zu beantworten.DNS-Zonen die nicht lokal gehostet sind, kann ein DNS-Server nicht autorisierend aus seinem Zwischenspeicher beantworten oder unmittelbar von einem weiteren DNS-Server beziehen.DNS-Namespaces die für eindeutige Domänennamen (example.org) definiert sind, können nur aus einer einzigen autorisierenden Quelle für Zonendaten stammen.

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Neue Zone

Zonentypo primäre Zone ist der wichtigste DNS-Zonentyp. Primäre Zonen stellen

les- und schreibbare Quelldaten zu Verfügung. Dies ermöglicht dem lokalen DNS-Server, DNS-Abfragen über einen Abschnitt des DNS-Namespace autorisierend zu beantworten.Primäre Zonen Masterexemplare der Zonendaten werden in einer lokalen Datei (%SystemRoot%\System32\Dns\<Zonenname>.dns) oder in AS DS gespeichert.

o sekundäre Zone stellt eine autorisierende, schreibgeschützte Kopie einer primären Zone oder einer anderen sekundären Zone zur Verfügung.Sekundäre Zonen bieten die Möglichkeit, DNS-Abfrageverkehr zu delegieren. Falls der Zonenserver, der eine primäre Zone hostet ausfällt, kann eine sekundäre Zone die Namensauflösung für den Namespace übernehmen, bis der primäre Server wieder online ist.Quellzonen, von denen sekundäre Zonen ihre Informationen erhalten, werden als Master bezeichnet.Zonenübertragung (zone transfer) gewährleistet die regelmäßige Aktualisierung und Kopie der primären Daten.Master kann eine andere sekundäre Zone oder eine primäre Zone sein.Master die von einer sekundären Zone stammen, können nicht in der AD DS abgespeichert werden.

o Stubzone ähnelt einer sekundären Zone, enthält aber nur Ressourceneinträge, um die autorisierenden DNS-Server für die Masterzone zu identifizieren.Stubzonen werden oft eingesetzt, um eine übergeordnete Zone (example.com) zu ermöglichen, eine aktualisierte Liste der Namenserver zu verwalten, die in delegierten untergeordneten Zonen (berlin.example.com) zur Verfügung stehen.Stubzonen können auch verwendet werden um Namensauflösungen zu beschleunigen und die DNS-Administration zu vereinfachen.

o Zone in Active Directory speichern wird als Option angeboten, wenn eine neue primäre oder Stubzone auf einem Domänencontroller erstellt wird.

Page 32: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Active Directory-Zonenreplikationsbereich stellt detaillierte Optionen für die Replikation zu Verfügung. Meistens sorgt die Option dafür, dass Zonenübertragung an sekundäre Server nicht konfiguriert werden muss.Die Integration in eine AD hat mehrere Vorteile:

1. AD führt die Zonenreplikation durch, was dazu führt, dass kein separater Mechanismus zur DNS-Zonenübertragung zwischen primären und sekundären Servern konfiguriert werden muss. Fehlertoleranz und bessere Leistung aufgrund der Verfügbarkeit mehrerer primärer Server mit Lese- und Schreibzugriff, weil Multimasterreplikationen im Netzwerk zur Verfügung stehen.

2. AD ermöglicht, einzelne Eigenschaften von Ressourceneinträgen zu aktualisieren und zwischen DNS-Servern zu replizieren. Dies verhindert das ganze Ressourceneinträge aktualisiert werden müssen, was Netzwerkressourcen schont.

3. AD-integrierte Zonen haben den Vorteil, dass sie Sicherheit für dynamische Updates vorhalten, was mit der Option Dynamisches Update konfiguriert wird.

o Standardzone (standard zone) werden gewählt, wenn die Option Zone in Active Directory Speichern deaktiviert ist auf einem Domänencontroller.Standardzonen sind die einzige Option, für eine neue Zone, wenn der Server kein Domänencontroller ist.Standardzonen werden in Textdateien auf dem lokalen Server gespeichert.Standardzonen können nur ein Exemplar mit Lese- und Schreibzugriff konfigurieren. Alle anderen Kopien der Zone (sekundäre Zonen) sind schreibgeschützt.

Active Directory-Zonenreplikationsbereich legt fest welche Domänencontroller die Zone speichern. Die Auswahl Wie sollen Zonendaten repliziert werden? steht nur zur Verfügung wenn die Zone im Active Directory gespeichert wird:

o Auf allen DNS-Servern in dieser Gesamtstruktur: <Domänenname>o Auf allen DNS-Servern in dieser Domäne: <Domänenname>o Auf allen Domänencontrollern in dieser Domäne (Windows 2000-

Kompatibilität): <Domänenname>o Auf allen Domänencontrollern, die im Bereich dieser

Verzeichnispartition angegeben werden: <Verzeichnispartition> Forward- oder Reverse-Lookupzone legt fest ob die neue Zone als Forward-

oder Reverse-Lookupzone arbeiten soll.o Forward-Lookupzone weist vollqualifizierten Domänennamen (Fully

Qualified Domain Name, FQDN) die IP-Adresse zu.Forward-Lookupzonen bekommen den Namen der DNS-Domäne (example.com), für deren Name der Auflösungsdienst bereitgestellt wird.Forward-Lookupzonen-Einträge sind Host oder A (IPv4) bzw AAAA (quadrible A, IPv6) –Einträge (records oder entries):

example.comws42 A 192.168.1.182

Page 33: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

o Reverse-Lookupzone weist IP-Adressen FQDN zu und beantworten somit Anfragen mit denen IP-Adressen in FQDN aufgelöst werden.Reverse-Lookupzonen bekommen den Namen der ersten drei Oktette des Adressraums (1.168.192), für den der Reverse-Namensauflösungsdienst bereitgestellt wird plus das abschließende in-addr.arpa. Also 1.168.192.addr.arpa.Reverse-Lookupzonen-Einträge sind Zeiger (pointer) oder PTR-Einträge:

1.168.192.in-addr.arpa182 PTR ws42.example.com

Zonenname legt den Namen der Forward-Lookupzone fest (Der Name der Reverse-Lookupzone leitet sich automatisch aus dem IP-Adressbereich ab, für den der Server autorisiert ist).Falls die Zone, die Namensauflösung für eine Active Directory-Domäne zu Verfügung stellt, sollte derselbe Namen verwendet werden wie die Active Directory-Domäne.

Page 34: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Wenn die Organisation zwei AD-Domänen namens example.com und berlin.example.com hat, sollten zwei Zonen mit eben diesen Namen eingerichtet werden.

Dynamisches Update erlaubt DNS-Clientcomputern ihre Ressourceneinträge automatisch zu registrieren und dynamisch zu aktualisieren.Standardmäßig versuchen DNS-Clients, die mit statischen IP-Adressen konfiguriert sind, Host- (A oder AAAA) und Zeigereinträge (PTR) zu aktualisieren. DNS-Clients, die auch DHCP-Clients sind, versuchen nur Hosteinträge zu aktualisieren. Der DHCP-Server in Arbeitsgruppenumgebungen aktualisiert bei jeder IP-Konfiguration den Zeigereintrag erneut.Dynamische Updates funktionieren nur, wenn die Zonen so konfiguriert sind, dass sie dynamische Updates auch annehmen. Zwei Typen von dynamischen Updates können erlaubt werden:

o Sichere Updates bei denen nur Registrierungen von Computern zugelassen sind, die AD-Domänenmitglieder sind, und Updates nur von dem Computer, der die ursprüngliche Registrierung durchgeführt hat.

o Unsichere Updates erlaubt Updates von allen Computern.

Forward-Lookupzone GlobalNames-Zone ist eine spezielle Zone die Windows Server 2008 zu Verfügung stellt.GlobalNames-Zone ermöglicht allen DNS-Clients über Hostnamen, wie zum Beispiel dev01, Verbindung zu Netzwerkessourcen herzustellen, auch in anderen Subnetzen.GlobalNames-Zone ist nützlich, wenn die Standardsuchliste für DNS-Suffixe bei DNS-Clients nicht erlaubt, über den reinen Hostnamen (Kurznamen) eine Verbindung mit einer Netzwerkressource herzustellen.GlobalNames-Zone ist standardmäßig nicht aktiviert.GlobalNames kann dazu genutzt werden, oft verwendete Netzwerkressourcen mitstatischen IP-Adressen über den Hostnamen erreichbar zu machen ohne WINS.GlobalNames beinhaltet normal Alias-Ressourceneinträge.GlobalNames sind nur unter Windows Server 2008 kompatibel. Sie können nicht auf Server repliziert werden, die unter älteren Windows-Server-Versionen laufen.

GlobalNames-Zone Bereitstellen: Aktivieren der Unterstützung für die GlobalNames-Zone muss auf jedem

DNS-Server ausgeführt werden auf dem die Zone repliziert wird.

$dnscmd . /config /enableglobalnamessupport 1

Erstellen der Zone GlobalNames unter der Forward-Lookupzone auf dem Domänencontroller.

Füllen der GlobalNames-Zone mit CNAME-Einträgen wobei jeder CNAME auf einen Host-Eintrag in einer anderen Zone zeigen muss.

Page 35: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS Ressourceneinträge Autoritätsursprung (Start Of Authority, SOA) Nameserver (NS) Host (Address, A oder AAAA) Alias (Canonical Name, CNAME) Mail-Exchanger (MX) Zeiger (Pointer, PTS) Dienstidentifizierung (Service, SRV) Hostinfo (HINFO) Bekannter Dienst (Well Known Service, WKS) Verantwortlicher (Responsible Person, RP) Kommentare (TXT)

$mmc dnsmgmt.msc

$nslookup$nslookup> ls <FQDN>

SOA-EinträgeSOA-Ressourceneinträge (start of authority) sind DNS-Einträge, anhand ein DNS-Server grundlegende und autorisierende Eigenschaften für die Zone festlegt.SOA-Ressourceneinträge legen auch fest wie oft Zonenübertragungen zwischen primären und sekundären Servern durchgeführt werden.

@ IN SOA dns01.example.com hostmaster.example.com (5099 ; serial number3600 ; refresh (1 hour)600 ; retry (10 mins)860400 ; expire (1 day)60 ) ; minimum TTL (1 min)

$mmc dnsmgmt.msc SOA-Eintrag -> Eigenschaftsdialogfeld -> Autoritätssprung (SOA)

Seriennummer ist die Version der Zonendatei. Die Seriennummer wird jedes Mal hochgezählt, wenn sich ein Ressourceneintrag in der Zone ändert oder der Wert von Hand, via Inkrement, erhöht wird.Falls Zonen so konfiguriert sind, dass sie Zonenübertragungen an einen oder mehrere sekundäre Server durchführen, rufen die sekundären Server regelmäßig die Seriennummer der Zone beim Masterserver ab. Diese Abfrage wird als SOA-Abfrage (SOA query) bezeichnet. Wird bei einem SOA query festgestellt, dass die Seriennummer der Masterzone der Seriennummer entspricht, die auf dem sekundären Server gespeichert ist, wird keine Übertragung durchgeführt. Ist die Zone auf dem Masterserver dagegen höher als auf dem sekundären Server, der die Abfrage schickt, leitet der sekundäre Server eine Übertragung ein.Inkrement erzwingt eine Zonenübertragung.

Page 36: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Primärer Server enthält den vollständigen Computernamen des primären DNS-Servers der Zone. Dieser Name muss mit einem Punkt enden.

Verantwortliche Person gibt den Namen eines RP-Ressourceneintrages (Responsible Person) an, der den Domänenmailboxnamen eines Zonenadministrators enthält. Der Namen des Eintrages, der in dieses Feld eingegeben wird, muss immer mit einem Punkt enden. In den Standardeinstellungen wird in diesem Feld der Name des hostmaster eingetragen.

Aktualisierungsintervall legt fest wie lang ein sekundärer DNS-Server wartet, bevor er vom Masterserver für eine Zonenerneuerung abgefragt wird.Ist der Aktualisierungsintervall abgelaufen, fordert der sekundäre DNS-Server vom Masterserver eine Kopie des aktuellen SOA-Ressourceneintrags für die Zone ab. Der Masterserver beantwortet die SOA-Abfrage und der sekundäre DNS-Server vergleicht anschließend die Seriennummer des aktuellen SOA-Eintrages des Quellservers mit der Seriennummer seines lokalen SOA-Eintrages. Sind die Seriennummern verschieden, fordert der sekundäre DNS-Server vom primären DNS-Server eine Zonenübertragung an.Standardwert für dieses Intervall beträgt 15 Minuten.

Wiederholungsintervall legt fest, wie lang ein sekundärer DNS-Server wartet, bevor eine fehlgeschlagene Zonenübertragung erneut durchgeführt wird. Normalerweise ist diese Zeitspanne kürzer als das Aktualisierungsintervall.Standardwert beträgt 10 Minuten.

Läuft ab nach legt fest, wie lang ein sekundärer DNS-Server, der keine Verbindung zu seinem Masterserver hat, die Beantwortung von DNS-Clientabfragen fortsetzt. Nach Ablauf dieser Zeitspanne werden Daten als nicht zuverlässig betrachtet.Standardwert ist 1 Stunde.

Minimale Gültigkeitsdauer (Standard) bestimmt den Standard-TTL-Wert, der für alle Ressourceneinträge in der Zone wirksam ist.Standardwert beträgt 1 Stunde.TTL-Werte sind für Ressourceneinträge innerhalb der eigenen autorisierenden Zone nicht relevant.TTL-Wert legt fest, wie lange Ressourceneinträge auf nicht autorisierenden Servern zwischengespeichert wird.DNS-Server, die eine Abfrage zwischengespeichert haben, verwerfen den Eintrag, sobald der TTL-Wert des Eintrags verstrichen ist.

TTL für diesen Eintrag legt TTL-Wert des vorhandenen SOA-Ressourceneintrags fest.TTL für diesen Eintrag, setzt den Standardwert im Feld Minimale Gültigkeitsdauer (Standard) außer kraft.

Page 37: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Namensservereinträge (NS)Namenservereintrag (NS) gibt einen Server an, der für eine bestimmte Zone autorisierend ist.Namenservereinträge werden standardmäßig, unter Windows Server 2008, für alle Server die eine primären Kopien einer Active Directory-integrierten Zone hosten, eingetragen. Beim erstellen einer primären Standardzone, erscheint standardmäßig ein NS-Eintrag für den lokalen Server in der Zone.Namenservereinträge für sekundäre Zonen, die in einer primären Kopie der Zone gehostet werden, müssen manuell erstellt werden.

@ dns01.example.com.

@ steht für die Zone, die vom SOA-Eintrag in derselben Zonendatei definiert wird.Der gesamte Eintrag, weist der Domäne example.com den DNS-Server dns01.example.com zu.

$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver$mmc dnsmgmt.msc NS-Eintrag -> Eigenschaftsdialogfeld -> Namenserver -> Hinzufügen -> FQDN + IP

Host-Ressourceneinträge (A oder AAAA)Host-Ressourceneinträge werden benutzt um Computer- oder Gerätenamen einer IP-Adresse zuzuordnen.Host-Ressourceneinträge sind im Normalfall der größte Teil der Ressourceneinträge in einer Zonendatenbank.Host-Ressourceneinträge manuell hinzuzufügen, ist notwendig wenn Computer- oder Geräte sich nicht automatisch eintragen können. dev01 könnte zum Beispiel ein BSD sein und www ein Webserver hinter einer Firwall.Host-Ressourceneinträge werden in die Standardzonendatei (zum Beispiel example.com.dns) eingetragen.

;; Zoneneinträge;

dev01 A 192.168.0.42AAAA fd00:0:0:5::8

www A 70.32.6.212AAAA fd00:0:0:5::10

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse>

Page 38: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Alias-Ressourceneinträge (CNAME)Alias-Ressourceneinträge (CNAME) werden auch als kanonische Namen bezeichnet.Alias-Ressourceneinträge erlauben, mehrere Namen auf denselben Host zu verweisen.

www CNAME dev01.example.comftp CNAME ftp01.example.comftp CNAME ftp02.example.comftp01 CNAME ber.example.comftp02 CNAME ffm.example.com

CNAME-Ressourceneinträge werden bei folgenden Szenarien empfohlen: Hosts deren A-Ressourceneintrag umbenannte werden muss. Generische Namen wie ftp, die in eine Gruppe einzelner Computer aufgelöst

werden müssen.

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] CNAME <Hostname|Domänenname>

MX-RessourceneinträgeMail-Exchange-Ressourceneinträge (MX) werden von E-Mail-Anwendungen benutzt, um Mailserver innerhalb einer Zone zu finden.MX-Ressourceneinträge können Domänennamen wie example.com, die in einer E-Mail-Adresse wie zum Beispiel [email protected] angegeben werden, dem A-Eintrag eines Gerätes zuordnen, welches den Mail-Server hostet.MX-Ressourceneinträge werden oft mehrfach benannt um eine Fehlertoleranz zu gewährleisten.MX-Ressourceneinträge enthalten einen Präferenzwert an dritter Stelle, die die Priorität des zugehörigen Servers festlegt. Je kleiner der Wert, desto größer die Priorität.

@ MX 1 mail01.example.com@ MX 10 mail02.example.com@ MX 20 mail03.example.com

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername>

Page 39: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

SRV-RessourceneinträgeDienstidentifizierungs-Ressourceneinträge (SRV) werden benutzt, um die Position bestimmter Dienste in der Domäne anzugeben.SRV-Ressourceneinträge nutzen Clientanwendungen, die SRV-fähig sind, um über DNS gesuchte Anwendungserver abzurufen.

_ldap._tcp SRV 0 0 389 dc01.example.com.SRV 10 0 389 dc02.example.com.SRV 5 0 389 dc03.example.com.

SRV-Ressourceneinträge legen an der dritten Stelle die Priorität fest, 0 ist die höchste Priorität.SRV-Ressourceneinträge legen an der vierten Stelle die Gewichtung für den Lastenausgleich zwischen Servern mit gleicher Priorität fest.SRV-Ressourceneinträge legen an der fünften Stelle den Port des Dienstes fest.

Windows Server 2008-Active Directory ist ein Beispiel für eine SRV-fähige Anwendung. Der Anmeldedienst sucht mithilfe von SRV-Einträgen Domänencontroller in einer Domäne, indem er in der Domäne nach dem LDAP-Dienst (Lightweight Directory Access Protocol) sucht. Beispiel einer solchen DNS-Client-SRV-Abfrage wäre:

_ldap._tcp.example.com.DNS-Server-SRV-Antwort wäre (nach oberen Beispiel):

ldap://dc01.example.com:389.ldap://dc03.example.com:389.ldap://dc02.example.com:389.

PTR-RessourceneinträgeZeiger-Ressourceneinträge werden für Reverse-Lookupzonen benutzt, um Reverse-Lookups zu ermöglichen.PTR-Ressourceneinträge werden für Abfragen genutzt, die eine IP-Adresse in den zugehörigen Hostnamen oder FQDN auflöst. Reverse-Lookups werden in Zonen durchgeführt, die unterhalb der Domäne in-addr.arpa liegen.

0.168.192.in-addr.arpa42 PTR dev01.example.com.

6.32.70.in-addr.arpa212 PTR www.example.com.

PTR-Ressourceneinträge werden in die entsprechende Zonendatei eingetragen. Für das Klasse-B-Netz 192.168.0.0, heißt die Zonendatei 0.168.192.in-addr.arpa, für das Klasse-C-Netz 70.32.6.0, heißt die Zonendatei 6.32.70.in-addr.arpa.

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname>

Page 40: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

WINS-RessourceneinträgeWINS-Server können für Forward- und Reverse-Lookupzonen angegeben werden. Daraufhin wird ein spezieller WINS-Ressourceneintrag bzw. ein WINS-R-Ressourceneintrag zur Zone hinzugefügt der auf den WINS-Server zeigt.WINS-Server wird vom DNS-Server kontaktiert nachdem er eine DNS-Antwort in seinen Üblichen Quellen (Cache, lokale Zonendaten, andere-DNS-Server) nicht finden konnte.

$mmc dnsmgmt.msc Zone -> Reverse- oder Forward-Lookupzone -> Eigenschaften -> WINS

$dnscmd$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] CNAME <Hostname|Domänenname>

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [TTL] A <IP-Adresse>

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [Ttl] MX <Einstellung> <MX-Servername>

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] PTR <Hostname|Domänenname>

$dnscmd <Servername> /RecordAdd <Zonenname> <Knotenname> [/Aging] [/OpenAcl] [Ttl] <RRTyp> <RRDaten>

$dnscmd /RecordDelete 10.in-addr.arpa 127.2.3 PTR$dnscmd /RecordAdd 196.168.in-addr.arpa 3.10 PTR$dnscmd /RecordAdd foo.local berlin A 192.168.3.1$dnscmd dc02.foo.local /RecordAdd ffm.foo.local dns05 192.168.5.254

Page 41: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Alterung und AufräumvorgängeUm das Alter von dynamisch registrierten Ressourceneinträgen zu bestimmen, verwendet DNS Zeitstempel.Alterung (aging) und Aufräumvorgänge (scavenging) hängen unmittelbar zusammen.Veraltete dynamische Ressourceneinträge, Ressourceneinträge bei denen der Zeitstempel abgelaufen ist, werden mit einem Aufräumvorgang gelöscht.Standardmäßig sind Alterung und Aufräumvorgang deaktiviert.

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Alterung/Aufräumvorgänge für alle Zonen festlegen…$mmc dnsmgmt.msc -> Zone -> Alterung/Aufräumvorgänge für alle Zonen festlegen…

Wichtig ist das sowohl auf der DNS-Server-Ebene als auch auf der Zonen-Ebene die Option aktiviert sein muss. Da Alterung und Aufräumvorgänge, wenn man diese nur auf Server-Ebene aktiviert, nur für neue Zonen gilt, außer man aktiviert Diese Einstellung auf alle vorhandenen Active Directory-integrierten Zonen anwenden.

Zeistempelwerte der Ressourceneinträge nutzt der DNS-Server für Alterung und Aufräumvorgang.Zeitstempel sind bei Active Directory-integrierten dynamisch registrierten Einträgen automatisch aktiviert.Zeitstempel sind bei dynamisch registrierten Einträgen in primären Standardzonen erst aktiviert wenn Alterung/Aufräumvorgang für alle Zonen festlegen… aktiviert wurde.Zeitstempel bei manuell erstellten Ressourceneinträgen sind immer 0.Zeitstempel 0 bedeutet das der Ressourceneintrag nicht altert.

$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung…

Eigenschaften für Serveralterung/Aufräumvorgänge: Intervalls für Ändern des Nichtaktualisierung ist das Intervall in dem ein

Server oder eine Zone die Aktualisierung eines Zeitstempels verweigert.Standardwert ist 7 Tage.

Ändern des Aktualisierungsintervalls ist das Intervall in dem ein Server oder eine Zone nicht aufgeräumt wird und die Aktualisierung eines Zeitstempels erlaubt ist.Standardwert ist 7 Tage.

Die Standardeinstellungen bedeuten also, dass dynamische registrierte Ressourceneinträge nach 14 Tagen aufgeräumt werden.Das Aktualisierungsintervall muss stets gleichgroß oder größer sein als das Nichtaktualisierungsintervall.

$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Alterung… -> Eigenschaften für Serveralterung/Aufräumvoränge

Page 42: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren:$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften -> Erweitert -> Aufräumvorgänge bei veralteten Einträgen automatisch aktivieren

Veraltete Ressourceneinträge aufräumen:$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Veraltete Ressourceneinträge aufräumen

DNS-Zugriffssteuerungslisten (Discretionary Access Control List, DACL) der DNS-Zonen sind in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert.DNS-DACL können die Berechtigungen für die Active Directory-Benutzer und -Gruppen steuern, die DNS-Zonen steuern dürfen.

DNS-DACL-Verwaltung verlangt mindestens Mitglied der Gruppe DnsAdmins oder Domänen-Admins in AD DS oder einer entsprechenden Gruppe zu sein.

Page 43: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Zonenreplikation und Zonenübertragung KonfigurationZonenreplikation (zone replication) ist die Synchronisation von Zonendaten für Active Directory-integrierte Zonen.

Active Directory-integrierte Zonen können nur auf Domänencontrollern installiert werden, bei denen die Serverrolle DNS-Server installiert ist.Active Directory-integrierte Zonen verfügen über eine Multimaster-Datenreplikation, die einfach zu konfigurieren ist und mehr Sicherheit und Effizienz bietet, im Gegensatz zu Standardzonen.Active Directory-integrierte Zonen mit integrierter Speicherung können DNS-Clients Updates auf die komplette Domänenstruktur replizieren.

Anwendungsverzeichnispartitionen helfen beim Verwalten von DNS-Zonendaten.Anwendungsverzeichnispartitionen enthalten DNS-Zonendaten.Verzeichnispartitionen werden durch eine DNS-Subdomäne und einen FQDN identifiziert.Verzeichnispartitionen können auch manuell erstellt werden. Manuelle Verzeichnispartitionen können nur Mitglieder der Gruppe Organisations-Admins erstellen.

$dnscmd <Servername> /createdirectorypartition <FQDN>$dnscmd <Servername> /enlistdirectorypatition <FQDN>$dnscmd . /createdirectorypartition DnsPartition01.example.com

Verzeichnispartitionen DomainDnsZones und ForestDnsZones sind standardmäßig vorgegeben:

DomainDnsZones (DomainDnsZone.example.com) wird auf allen Domäncontrollern repliziert.Um Replikationen auf Windows 2000 Server zu ermöglichen, kann man Active Directory-integrierte Zonen in dieser Verzeichnispartition speichern.

ForestDnsZones (ForestDnsZone.example.com) wird auf allen DNS-Servern einer AD repliziert.

$mmc dnsmgmt.msc -> DNS-Server Symbol -> Standardanwendungs-Verzeichnispartitionen erstellen

Page 44: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$mmc dnsmgmt.msc -> DNS-Server Symbol -> Neue Zone… -> Active Directory-Zonenreplikationsbereich

$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Allgemein -> Replikation: Alle DNS-Server dieser Domäne -> Ändern…

Auf allen DNS-Servern in dieser Gesamtstruktur bedeutet, dass die Zone in der Verzeichnispartition ForsestDnsZones gespeichert wird und von jedem DNS-Server der Gesamtstruktur repliziert wird.

Auf allen DNS-Servern in dieser Domäne bedeutet, dass die Zone in der Verzeichnispartition DomainDnsZones gespeichert wird und von jedem DNS-Server der Domäne repliziert wird.

Auf allen Domänencontrollern in dieser Domäne (Windows 2000-Kompatibel) bedeutet, dass die Zone in DomainDnsZones gespeichert wird und jeder DC eine Kopie erhält.

Auf allen Domänencontrollern, die im Bereich dieser Verzeichnispartition angegeben werden bedeutet, dass die Verzeichnispartition benutzerdefiniert ausgewählt werden kann. Hier können benutzerdefinierte Verzeichnispartitionen eingebunden werde.

Zonenübertragung (zone transfer) ist die Synchronisation von Zonendaten zwischen einer beliebigen Masterzone und einer sekundären Zone.Zonenübertragung muss genutzt werden wenn dein DNS-Server kein Domäncontroller ist.Zonenübertragung findet zum Beispiel statt, wenn eine Organisation mehrere DNS-Server benötigt. Hier werden Quelldaten in eine schreibgeschützte sekundäre Zone kopiert auf einem weiteren DNS-Server.Zonenübertragung verwendet Standardzonen, Textdateien die ein jeder DNS-Server speichert.Zonenübertragung ist ein Pull-Vorgang, der von der sekundären Zone eingeleitet wird. Die sekundäre Zone kopiert hierbei Daten von der Masterzone.Sekundäre Zonen können so konfiguriert werden, dass sie eine Active Directory-integrierte Masterzone übertragen.

Page 45: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Zonenübertragung an sekundäre Zonen kann durch drei Ereignisse ausgelöst werden:

Wenn der Aktualisierungsintervall im SOA-Ressourceneintrag der primären Zone abgelaufen ist. Der sekundäre Server leitet die Abfrage ein und vergleicht seine Seriennummer mit der der Masterzone.

Wenn ein Server, der eine sekundäre Zone hostet, neu gestartet wurde. Der sekundäre Server leitet die Abfrage ein und vergleicht seine Seriennummer mit der der Masterzone.

Wenn eine Änderung an der Konfiguration der primären Zone auftritt und diese primäre Zone so konfiguriert ist, dass sie eine sekundäre Zone über Zonenupdates benachrichtigt.

$mmc dnsmgmt.msc -> Zone -> Eigenschaften -> Zonenübertragungen

Zonenübertragungen zulassen: An jeden Server ist die unsicherste Option, da jedem der Zugriff auf den

DNS-Server gestattet wird um Zonendaten zu kopieren. Nur an Server, die in der Registerkarte „Namenserver“ aufgeführt sind

schränkt die Zonenübertragung auf sekundäre DNS-Server ein, die einen NS-Eintrag in der Zone haben und daher bereits autorisierend für Zonendaten sind.

Nur an folgende Server schränkt die Zonenübertragung auf, in einer Liste festgelegte, IP/Hosts-Adressen ein, die nicht als NS-Eintrag vorhanden sein müssen.

Benachrichtigungen… können Benachrichtigungen an sekundäre Server konfiguriert werden, wenn in der primären Zone Änderungen stattfinden.

$mmc dnsmgmt.msc -> sekundäre Zone

Übertragung vom Master prüft ob die Seriennummer des SEO-Eintrags der sekundären Zone abgelaufen ist und leitet bei Bedarf im Pull-Verfahren eine Zonenübertragung vom Masterserver ein.

Erneut vom Master übertragen prüft nicht die Seriennummer sondern leitet direkt eine Zonenübertragung vom Masterserver der sekundären Zone ein.

Neu laden lädt die sekundäre Zone neu aus dem lokalen Speicher.

Page 46: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Stubzonen (stub zone) sind Kopien einer Zone, die nur die wichtigsten Einträge der Masterzone enthält.Stubzonen liefern einem DNS-Server die Namen der Server, die für bestimmte Zonen autorisierend sind. Sie verhindern somit Abfragen auf entfernte DNS-Server.Stubzonen sollen es dem lokalen DNS-Server ermöglichen, Abfragen an Namenserver weiterzuleiten, die für die Masterzone autorisierend sind.Stubzonen erfüllen, nach dem oberen Fall, die gleiche Aufgabe wie eine Delegierung.Stubzonen bieten aber den Vorteil, dass sie Zonenübertragungen von der (delegierten) Masterzone einleiten und empfangen können. So können übergeordnete Zonen über Updates in den NS-Einträgen von untergeordneten Zonen informiert werden.

Stubzonen Aufgaben: Zoneninformationen auf dem neusten Stand halten – Wenn der DNS-

Server der übergeordneten Zone und die Stubzone (für seine untergeordneten Zonen) hostet, hat er immer eine Liste der autorisierenden DNS-Server für die untergeordnete Zone.

Verbesserung der Namensauflösung – Stubzonen ermöglichen DNS-Server mit Rekursion durch die Namenserverliste der Stubzone zu gehen, ohne andere DNS-Server innerhalb des lokalen Namespace abfragen zu müssen. Stubzonen die auf diese Art bereit gestellt werden, können sekundäre Zonen ersetzen und werden über die gesammte AD-Domäne oder einen großen DNS-Namespace hinweg übertragen.

Delegierte Zonen sind untergeordnete Zonen (zum Beispiel ffm.example.com) einer übergeordneten Zone (zum Beispiel example.com), die normalerweise auf ihrem eigenen DNS-Server gehostet wird. Bei Delegierung enthält die übergeordnete Zone einen NS-Eintrag für den Server, der die untergeordnete Zone hostet. Anfragen in der übergeordneten Domäne werden also an den NS-Server der untergeordneten Domäne weitergeleitet.

Page 47: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DNS-ServercacheDNS-Servercache speichert rekursive Abfragen von DNS-Clients.DNS-Servercache wird geleert sobald der DNS-Serverdienst angehalten wird.DNS-Auflösungscache verwendet eine TTL (Time-to-Live) für Ressourceneinträge.DNS-Auflösungscache TTL beträgt standardmäßig 3600 Sekunden.

$dnscmd$dnscmd /clearcache

$mmc dnsmgmt.msc

Stammhinweise enthält eine Liste der Stammserver im Internet, die alle paar Jahre von leicht verändert wird.

ftp://rs.internic.net/domain/named.cache

Stammhinweise befinden sich unter Windows Server 2008 in der Datei %SystemRoot%\System32\Dns\Cache.dns.

Stammhinweise enthalten standardmäßig Informationen für die Abfrage nach Internetnamen, die nicht verändert werden müssen.Stammhinweise sollten ganz gelöscht werden wenn ein DNS-Stammserver für ein privates Netzwerk (Zonenname: „“) eingerichtet wird.Stammhinweise stehen nicht zur Verfügung wenn ein DNS-Server einen Stammserver hostet.Stammhinweise müssen entfernt werden wenn ein DNS-Server eine Stammzone hostet, um das Auflösen von externen Namen zu gewährleisten.

Weiterleitungen (forwards) bedient sich ein DNS-Server, wenn er keinen passenden Eintrag anhand seiner autorisierenden Daten (primäre oder sekundäre Zonendaten) oder zwischengespeicherten Daten beantworten kann.Weiterleitungen sind DNS-Server-zu-DNS-Server Anfragen.

$netsh ip(v4|v6) set dnsserver “<Interfacename>“ static <IP>

Weiterleitungen (forwardings) und deren Verwendung: Weiterleitungen werden oft benutzt, damit DNS-Clients und –Server innerhalb

einer Firewall externe Namen auf sichere Weise auflösen können. Dabei können Anfragen an bestimmte externe DNS-Server gerichtet werden für die IP- oder Host-Abhängig Ports geöffnet sind

Weiterleitungen können benutzt werden, um innerhalb einer AD DS eine DNS-Deligierung zu ermöglich. Dabei können z.B. die DNS-Server der untergeordneten Domänen so konfiguriert werden, dass sie Anfragen an einen bestimmten DNS-Server richten in der übergeordneten (Stamm-)Domäne.So können Namen von Ressourcen in allen Domänen der Gesamtstruktur aufgelöst werden.

Weiterleitende DNS-Server die intern, externe-DNS-Server-Anfragen auf eine Weiterleitung bündeln, können sinnvoll sein um den WAN-Traffic zu minimieren.

Page 48: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -> Forward-Lookupzone

Bedingte Weiterleitungen (conditional forwards) beschreibt eine DNS-Server-Konfiguration, bei der die Abfrage nach einer bestimmten Domäne an einen bestimmten DNS-Server weitergeleitet wird.Bedingte Weiterleitungen haben einen geringen Wartungsaufwand, verursachen kaum Zonentransfareverkehr und sind im Gegensatz zu sekundären und Stub-Zonen immer aktuell.

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Globale Protokolle -> Bedingte Weiterleitungen

DNS-Server-Eigenschaften konfigurieren die Eigenschaften die für den DNS-Server und all seine gehosteten Zonen gelten.

$mmc dnsmgmt.msc -> Symbol des DNS-Servers -> Eigenschaften

Schnittstellen legt fest auf welchen IP-Adressen DNS-Anforderungen verarbeitet werden. Standardmäßig nimmt der DNS-Server auf allen Schnittstellen DNS-Anfragen an.

Stammhinweise enthält eine Kopie der Informationen aus %SystemRoot%\System32\Dns\Cache.dns .Bei DNS-Servern die einen Stammserver hostet ist dieser Reiter nicht vorhanden

Weiterleitungen dienen dazu den lokalen DNS-Server so zu konfigurieren das er Anfragen an einen anderen DNS-Server, die hier mit IP-Adresse eingetragen sind, weiterleitet und an den Client zurückgibt

Page 49: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DHCPDHCP (Dynamic Host Configuration Protocol) ermöglicht das Zuweisen von IP-Adressen, Subnetzmasken, Standardgateways, DNS-Servern und anderen Konfigurationsinformationen an Clients im lokalen Netzwerk.Clients die für DHCP konfiguriert sind, rufen automatisch ihre IPv4-Adresse und Konfiguration vom DHCP-Server ab.Vier Schritte sind notwendig um einem Clienten eine IPv4-Adresse und Subnetzmaske zuzuweisen:

1. Broadcast mit DHCP-Discover – Der Client sendet eine DHCP-Discover-Nachricht als Broadcast in das lokale Netz, die sich an irgendeinen verfügbaren DHCP-Server richtet.

2. Antwort mit DHCP-Offer – Falls ein DHCP-Server im Broadcastbereich vorhanden ist und den DHCP-Client mit einer IP-Adresszuweisung versorgen kann, sendet er eine DHCP-Offer-Unicastnachricht an den DHCP-Client.DHCP-Offer-Nachrichten enthalten eine Liste der DHCP-Konfigurationsparameter und eine verfügbare IP-Adresse aus dem DHCP-Bereich, die der DHCP-Server dem DHCP-Client anbietet.Falls der DHCP-Server eine Reservierung anhand der MAC-Adresse des DHCP-Clients feststellt, bietet er dem Client die reservierte Adresse an.

3. Antwort mit DHCP-Request – Der DCHP-Client antwortet auf die DHCP-Offer-Nachricht und fordert die IP-Adresse an, die ihm angeboten wird. Es besteht aber auch die Möglichkeit, dass der DHCP-Client die IP-Adresse anfordert die ihm vorher zugewiesen war.

4. Bestätigung mit DHCP-Ack – Falls die IP-Adresse, die der DHCP-Client angefordert hat, noch verfügbar ist, antwortet der DHCP-Server mit einer DHCP-Ack-Bestätigungsnachricht. Der Client kann die IP-Adresse nun benutzen.

AdressleasesDHCP-Server verwalten eine Datenbank der Adressen, die der Server an Clients vergeben kann. Den Vorgang des Adressvergebens nennt man Lease.DHCP-Server zeichnen auf, welche Adresse an welchen Client vergeben ist, so dass Adressen niemals mehrfach vergeben werden.

Leases dauern in den Standardeinstellungen 6 Tage oder 8 Stunden.Leases die abgelaufen sind – am Ende einer Leasedauer fordert der DHCP-Server die Adresse zurück.

DHCP-Clients fordern nach der Hälfte der Leasedauer eine Erneuerung der Lease an den DHCP-Server.

DHCP-Server online: genehmigt er normalerweise die Anforderung und die Leasdauer wird wieder neu gestartet.

DHCP-Server nicht verfügbar: versucht der DHCP-Client, die DHCP-Lease zu verlängern wenn die Hälfte der Leasdauer verstrichen ist.

Wenn 87,5% der Leasedauer verstrichen sind, versucht der Client einen neuen DHCP-Server zu finden.

Page 50: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DHCP-Clients die heruntergefahren werden oder bei denen der Befehl runas /user:Administrator “ipconfig /release“ ausgeführt wird, senden eine DHCP-Release-Nachricht an den DHCP-Server, der die Adresse zugewiesen hat. Der DHCP-Server markiert daraufhin die Adresse als verfügbar und kann sie einem anderen DHCP-Client zuweisen.DHCP-Clients die plötzlich vom Netzwerk getrennt werden, senden keine DHCP-Release-Nachricht, was zu folge hat, dass die Adresse bis zum Ende der Leasedauer vergeben bleibt.Leasedauer sollte deshalb in Netzwerken mit häufigen Verbindungen und Trennungen (zum Beispiel WLANs) gering sein.

Page 51: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DHCP-Clients Konfiguration

Netzwerkadapter -> Eigenschaften -> Internetprotokoll IP(v4|v6) -> Allgemein IP-Adresse automatisch beziehen DNS-Server automatisch beziehen

$netsh interface ipv4 set address <Adaptername> dhcp$netsh interface ipv4 set dnsserver <Adaptername> dhcp

$netsh interface ipv6 set interface <Adaptername> managedaddress=(enable|disable)$netsh interface ipv6 set interface <Adaptername> otherstatful=(enable|disable)

$ipconfig /release (erzwingen einer neuen Lease)$ipconfig /renew

Statusbehafteter-Modus (statful mode) muss manuell aktiviert werden.Statusbehafteter-Modus fragt über DHCPv6 eine Adresse und IPv6-Konfigurationsoptionen von einem DHCP-Server ab.Statusfreie-Modus (statless mode) ist standardmäßig auf IPv6-Clients aktiviert.Statusfreie DHCPv6-Modus bedeutet, dass der Client seine IP-Adresse durch Austausch von Routeranfrage- und Routerankündigungsnachricht mit einem benachbarten IPv6-Router konfiguriert.Statusfreie DHCPv6-Modus kann denoch DHCP-Optionen, wie zum Beispiel den IPv6-DNS-Server, beim DHCP-Server abfragen.

Page 52: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DHCP-Server KonfigurationDHCP-Server unter Windows Server 2008 benötigen eine statische IP-Adresse, aus dem Subnetz das für den DHCP-Bereich konfiguriert werden soll.DHCP-Server die IP-Adressen an Clients leasen, müssen einen Bereich von IP-Adressen für das Leasen vordefiniert haben.DHCP-Server die für die Subnetze 10.0.42.0/24 und 192.168.23.0/24 DHCP-Bereiche definiert haben, sollten direkt mit diesen Subnetzen (sofern kein DHCP-Relay-Agent eingesetzt wird) verbunden sein.

$mmc dhcpmgmt.msc

$start /w ocsetup DHCPServerCore$net start dhcpserver$sc config dhcpserver start=auto

$mmc servermanager.msc -> Assistenten „Rollen hinzufügen“ -> Serverrolle auswählen -> DHCP-Server

Bindungen für Netzwerkverbindung auswählen – gibt die Netzwerkkarte oder den Adapter an, auf dem der DHCP-Server Clientanforderungen entgegennimmt.

Angeben von IPv4-DNS-Servereinstellungen – gibt die DNS-Optionen 015 (DNS-Domänenname) und 006 (DNS-Server) an.

Angeben von IPv4-WINS-Servereinstellungen – gibt die DNS-Option 044 (WINS/NBNS-Server) an.

DHCP-Bereiche hinzufügen oder bearbeiten – gibt den DHCP-Bereiche an, eine Gruppe von IP-Adressen aus einem Subnetz, die der DHCP-Dienst nutzt um dynamische IP-Adressen zu vergeben.DHCP-Bereiche hinzufügen:

Bereichname – Anzeigename der DHCP-Server-Konsole. Start- und End-IP-Adresse – DHCP-Bereich der aus IPs des

Subnetzes die nicht statisch vergeben werden, besteht. Statisch konfigurierte Bereiche müssen ausgenommen werden.Bsp.: 192.168.0.1-20 ist statisch vergeben;

DHCP-Bereich: 192.168.0.21-192.168.0.254 Subnetzmaske – die DHCP-Clients zugewiesen wird. Muss die

gleiche sein wie die des DHCP-Servers. Standardgateway (optional) – Option 003 (Router). Subnetztyp – standard Leasedauer. Entweder 6 Tage oder 8 Stunden. Diesen Bereich aktivieren – nur aktivierte Bereiche vergeben Leases.

Konfigurieren des statusfreien DHCPv6-Modus – statless mode ist der Standardadressierungsmodus für IPv6-Hosts, wobei Adressen ohne Hilfe eines DHCP-Servers konfiguriert werden. Optionen können aber denoch von einem DHCP-Server abgerufen werden.Statusfreien DHCPv6-Modus kann deaktiviert werden, um dem DHCP-Server zu ermöglichen statusbehaftete Adressierungen zu vergeben. Hierfür muss später ein weiterer DHCP-Bereich im Knoten IPv6 der DHCP-Konsole eingerichtet werden.

Page 53: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv6 DNS-Servereinstellungen angeben – (wird nur gezeigt wenn statusfreien DHCPv6-Modus deaktiviert ist)

DHCP-Server autorisieren – bevor ein DHCP-Server in einer Domänenumgebung Leases für Adressen aus einem vorhandenen Bereich an DHCP-Clients vergeben kann, muss der Server erst autorisiert und der Bereich aktiviert sein.

DHCP-Bereiche (scope) sind die wichtigsten Mechanismen, wie Server Verteilung und Zuweisung von IP-Adressen und Optionen an Clients verwalten.DHCP-Bereiche müssen in einem einzelnen Hardwaresubnetz liegen, für die dass DHCP-Dienste angeboten wird.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereich

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Adresspool -> Neuer augeschlossener Bereich… -> Ausschluss hinzufügen

Ausgeschlossene Bereiche sind Adessausschlüsse aus dem vordefinierten DHCP-Bereich.Adressausschlüsse dienen dazu einzelne IPs oder IP-Blöcke vom DHCP-Bereich auszuschließen, die statisch vergeben wurden.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Reservierungen -> Neue Reservierung… -> Neue Reservierung

Reservierungsname IP-Adresse Mac-Adresse Beschreibung Unterstützte Typen (Beide|Nur DHCP| Nur BOOTP)

$getmac /s <IP> | clip

Reservierungen haben den Vorteil, dass sie gegenüber von Handverwalteten, statischen IP-Adressen, zentral verwaltet werden können.Reservierungen haben den Nachteil, dass sie erst spät im Startprozess zugewiesen werden und ein DHCP-Server vorhanden sein muss.Reservierungen können zum Beispiel bei Druckservern oder Anwendungsserver praktikabel sein. DNS-Server sollten auf keinen Fall von DHCP-Servern abhängig sein.

Page 54: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Eigenschaften -> Allgemein -> Leasedauer für DHCP-Clients

Leasdauern für LANs ist die standardmäßig, sinnvoll mit der Dauer von 6 Tage festgelegt. Kann aber erhöht werden falls die Computer selten umgestellt oder neu angeschlossen werden.Leasdauern sollten relativ kurz sein, 8 Stunden, wo die Adressen knapp sind und die Verbindungsdauern kurz.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Adressleases -> Löschen

Adressleases zeigt an welche IP-Adressen momentan als Leases an welche Clienten vergeben sind.Adressleases Löschen kann gleich mehrere Clients auswählen und Leases vieler Clients aufeinmal beenden um ihre Leases zu erneuern und die neuen Adressen oder neuen Optionen abzurufen.

DHCP-Optionen stellen Clients zusammen mit der Adresslease zusätzliche Konfigurationsparameter zur Verfügung, etwa DNS- oder WINS-Serveradressen.

DHCP-Optionen werden normalerweise für einen gesamten Bereich zugewiesen (Serveroptionen).

DHCP-Optionen können aber auch auf Serverebene eingestellt werden und gelten dann für alle Leases auf allen Bereichen, die für DHCP-Serverinstallationen definiert sind (Bereichsoptionen).

DHCP-Optionen können auf Reservierungsebene einzelnen Computern zugewiesen werden (Optionsklassen).

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Bereichname -> Bereichoptionen -> Optionen Konfigurieren… -> Optionen - Bereich -> Allgemein$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Serveroptionen -> Optionen Konfigurieren… -> Optionen - Server -> Allgemein

DNS-Bereich- und Serveroptionen unterscheiden sich dadurch, wie der Name schon sagt, dass die Optionen einmal auf Bereichsebene und einmal auf Serverebene angewendet werden.

60 DHCP-Standardoptionen stehen unter Windows Server 2008 zu Verfügung. Folgende sind für die IPv4-Konfiguration die wichtigsten:

003 Router – Liste mit den IPv4-Adressen der bevorzugten Router im selben Subnetz wie DHCP-Clients

006 DNS-Server – Liste mit den IPv4-Adressen von DNS-Namenservern 015 DNS-Domänenname – Gibt den Domänenname an, die der Client als

primäres DNS-Suffix verwenden soll und für dynamische DNS-Updates 044 WINS/NBNS-Server – Gibt die IPv4-Adresse der primären und

sekundären WINS-Server an 046 WINS/NBT-Knotentyp – Gibt die bevorzugte NetBIOS-

Namensauflösungsmethode (Broadcast, H-Knoten) an 051 Lease – Gibt eine spezielle Leasedauer für Remotezugriffsclients an,

welche durch eine bestimmte Benutzerklasseninformationen identifiziert werden

Page 55: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Standardbenutzerklasse (default user class) ist eine Klasse, zu der alle DHCP-Clients gehören und die auf alle DHCP-Clients angewendet wird. In dieser Klasse werden in der Standardeinstellung alle Optionen erstellt.

DHCP-Konflikterkennungsversuche, falls mit dem Wert 2 konfiguriert, erkennen via ping über ICMP ob IPs schon geleast sind.

DHCP-Datenbank kompremieren:$cd %systemroot%\system32\dhcp$net stop dhcpserver$jetpack dhcp.mdb tmp.mdb$net start dhcpserver

DHCP-Optionsklassen (options class) ist eine Clientkategorie, die es dem DHCP-Server erlaubt, Optionen nur an bestimmte Clients innerhalb eines Bereiches zuzuweisen.Optionsklassen die einem Server hinzugefügt werden, können Clients dieser Klasse mit klassenspezifischen Optionen versorgt werden. Optionsklassen werden nach der Standardbenutzerklasse angewandt und überschreiben deren Option. Es gibt zwei Typen von Optionsklassen:

Herstellerklassen (vendor class) werden benutzt, um DHCP-Clients, die als Produkte eines bestimmten Herstellers identifiziert werden, herstellerspezifische Optionen zuzuweisen.Clients mit Windows 2000 können so zum Beispiel ermittelt werden, und abhängig davon NetBIOS aktiviert oder deaktiviert werden.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Herstellerklassen definieren -> DHCP-Herstellerklassen

Benutzerklassen (user class) werden benutzt, um Optionen an beliebige Gruppen von Clients zuzuweisen. Diese Klassen sind im Gegensatz zu Herstellerklassen konfigurierbar.Nachdem eine Benutzerklasse auf dem Server erstellt wurde, muss die Klasse auf den Clientcomputern konfiguriert werden.

$mmc $dhcpmgmt.msc -> DHCP-Server Symbol -> IPv4 -> Benutzerklassen definieren -> DHCP-Benutzerklassen -> Hinzufügen… $ipconfig /setclassid <Adaptername> <Benutzklassen-ID>

Page 56: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IP-RoutingRouting erlautb es Routern, Verkehr untereinander weiterzuleiten, so dass Clients und Server in unterschiedlichen Subnetzen miteinander kommunizieren können.Routing kann mit ICMP (Internet Control Message Protocol) überwacht, verfolgt und visualisiert werden.Routing kann dynamisch, mit Hilfe von Routingprotokollen, oder statisch mit Hilfe von Routentabellen gesteuert und konfiguriert werden.

$pathping dc01Routenverfolgung zu DC01.foo.local [fd65:9abf:efb0:6::a]über maximal 30 Abschnitte: 0 DNS01.foo.local [fd65:9abf:efb0:6::b] 1 DC01 [fd65:9abf:efb0:6::a] Berechnung der Statistiken dauert ca. 25 Sekunden... Quelle zum Abs. Knoten/VerbindungAbs. Zeit Verl./Ges.= % Verl./Ges.= % Adresse 0 DNS01.foo.local [fd65:9abf:efb0:6::b] 0/ 100 = 0% | 1 0ms 0/ 100 = 0% 0/ 100 = 0% DC01 [fd65:9abf:efb0:6::a] $tracert freebsd.orgRoutenverfolgung zu freebsd.org [69.147.83.40] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms 192.168.32.64 2 1 ms 1 ms 1 ms fritz.box [192.168.64.128] 3 17 ms 18 ms 25 ms lo1.br14.ber.de.hansenet.net [213.191.64.25] 4 11 ms 10 ms 10 ms ae1-102.cr01.ber.de.hansenet.net [62.109.108.125] 5 28 ms 28 ms 32 ms so-0-0-0-0.cr01.fra.de.hansenet.net [213.191.66.21] 6 41 ms 37 ms 28 ms ae0-0.pr01.fra.de.hansenet.net [213.191.66.201] 7 33 ms 34 ms 32 ms ge-1-3-0.pat2.dee.yahoo.com [80.81.193.115] 8 121 ms * 131 ms as-1.pat2.dcp.yahoo.com [66.196.65.129] 9 195 ms 213 ms 209 ms as-0.pat2.da3.yahoo.com [216.115.101.155] 10 189 ms 191 ms 204 ms as-1.pat2.sjc.yahoo.com [216.115.101.151] 11 190 ms 194 ms 206 ms ae-0-d161.msr1.sp1.yahoo.com [216.115.107.59] 12 195 ms 194 ms 191 ms gi-1-48.bas-b1.sp1.yahoo.com [209.131.32.47] 13 191 ms 189 ms 192 ms freefall.freebsd.org [69.147.83.40]

Ablaufverfolgung beendet.

RoutingprotokolleRoutingprotokolle vereinfachen die Konfigurationen und erlauben es Routern, automatische Anpassungen vorzunehmen, wenn sich die Netzwerkbedingungen ändern (wenn zum Beispiel ein Router oder eine Netzwerkverbindung ausfällt).Routingprotokolle sind zum Beispiel RIP (Routing Information Protokoll) oder OSPF (Open Shortest Path First).

Router mit aktiviertem Routingprotokoll, die an ein Netzwerk angeschlossen sind, kündigt das Routingprotokoll eine Liste der Netzwerke an, mit dem der Router verbunden ist. Der Router nimmt die Ankündigungen von benachbarten Routern entgegen, so dass er erfährt, wie er bestimmte Remotenetzwerke erreichen kann.

Page 57: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Routing- und RAS-DiensteRouting- und RAS-Dienste (Remote Access System) Serverrolle aktiviert unter Windows Server 2008 dynamisches routing mit Hilfe von RIP (Routing Information Protokoll)..

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4

Neues Routingprotokollo RIP, Version 2, für das Internetprotokollo Neue Schnittstelle für RIP, Version 2, für das Internetprotokoll

Schnittstelle -> Eigenschafteno Allgemein – RIPv1 oder RIPv2 sowie Authentifizierungo Sicherheit – legt fest von welche angekündigten Routen akzeptiert

werdeno Nachbarn – Liste der Nachbarno Erweitert – Ankündigungsintervall und Zeitüberschreitung

Standardmäßig verwendet Windows Server 2008 RIPv2.

(http://administrator.de/)

Page 58: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Statisches RoutingStatische Routen können zum Beispiel notwendig sein, wenn Geräte eine Verbindung mit einem entfernten Subnetz herstellen müssen und das Standardgateway nicht direkt mit einer Schnittstelle an besagtes Subnetz angebunden ist.Statische Routen können unter Windows 2008 Server entweder mit $route oder dem Routing- und RAS-Dienst konfiguriert werden.

$route print===========================================================================Schnittstellenliste 3...00 0c 29 43 b0 31 ......Intel(R) PRO/1000 MT-Netzwerkverbindung 1...........................Software Loopback Interface 1===========================================================================

IPv4-Routentabelle===========================================================================Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 192.168.6.1 192.168.6.11 11 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 192.168.6.0 255.255.255.0 Auf Verbindung 192.168.6.11 266 192.168.6.11 255.255.255.255 Auf Verbindung 192.168.6.11 266 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.6.11 266 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.6.11 266===========================================================================Ständige Routen: Netzwerkadresse Netzmaske Gatewayadresse Metrik 0.0.0.0 0.0.0.0 192.168.6.1 1===========================================================================

IPv6-Routentabelle===========================================================================Aktive Routen: If Metrik Netzwerkziel Gateway 1 306 ::1/128 Auf Verbindung 3 266 fd65:9abf:efb0:6::/64 Auf Verbindung 3 266 fd65:9abf:efb0:6::b/128 Auf Verbindung 3 266 fe80::/64 Auf Verbindung 3 266 fe80::cd3c:3113:f394:a01b/128 Auf Verbindung 1 306 ff00::/8 Auf Verbindung 3 266 ff00::/8 Auf Verbindung===========================================================================

Page 59: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Folgender Befehl trägt in die Routertabelle ein, dass das Subnetz 192.168.2.0/24 über den Router 192.168.1.2 zu erreichen ist, anstatt über das Standardgateway:

$route -p add 192.168.2.0 MASK 255.255.255.0 192.168.1.2

Statische Routen mit Routing- und RAS-Dienst lassen sich ebenfalls eintragen:

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 -> Statische Routen -> Neue Statische Routen -> Statische IPv4-Route

Schnittstelle Ziel Netzwerkmaske Gateway Metrik

Page 60: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPSecIPSec (Internet Protocoll Security) schützt Netzwerke, indem Daten authentifiziert und verschlüsselt werden.IPSec schütz vor Spoofing, manipulierten Daten, Relay-Angriffen und Spionage.IPSec wird eingesetzt, um die Kommunikation zwischen zwei Hosts oder um Verkehr, der über das Internet fließt, bei der Benutzung von VPN, zu schützen.IPSec basiert auf Standards, die von der IPSec-Arbeitsgruppe der IETF (Internet Engineering Task Force) entwickelt wurden.IPSec schützt Daten mit folgenden Diensten:

Datenauthentifizierungo Der Ursprung der Daten wird authentifiziert – IPSec stellt sicher, dass

der Absender nicht gefälscht ist und ein Paket wirklich von einem vertrauenswürdigen Absender stammt.

o Datenintegrität – IPSec stellt sicher, dass Daten nicht auf ihrem Weg manipuliert wurden.

o Anti-Relay-Schutz – IPSec stellt sicher, dass jedes Paket einmalig und keine Kopie ist.

Verschlüsselungo Datenverschlüsselung – IPSec kann Daten verschlüsseln, so dass sie

unlesbar sind, falls sie abgefangen werden.

IPSec-Sicherheitszuordnungen (Security Association, SA) schützen die Daten, die zwischen zwei Computern ausgetauscht werden.IPSec-Sicherheitszuordnungen werden aufgebaut wenn zwei Computer IPSec-Verbindungen aushandeln.Sicherheitszuordnungen werden durch zwei IPSec-Protokolle gewährleistet:

Authentication Header (AH) – stellt Authentifizierung der Datenherkunft, Datenintegrität und Anti-Replay-Schutz für das gesamte IP-Packet sicher.

Encapsulating Security Payload (ESP) – bietet Datenverschlüsselung, Authentifizierung der Datenherkunft und Anti-Relay-Schutz für die ESP-Nuterdaten.

IPSec-Verbindungen werden über IKE-Protokolle (Internet key Exchange) initialisiert um Sicherheitszuordnungen dynamisch zwischen zwei IPSec-Partnern aufzubauen.IPSec-Verbindungen werden mit IKE in zwei Phasen ausgehandelt:

1. Hauptmodusaushandlung (main mode negotation) dient dazu, dass aushandeln des Kommunikationsverfahrens und des Verschlüsselungsalgorithmus mit einer SA zu schützen.

2. Schnellmodusaushandlung (quick mode negotiation) stellt aus dem ausgehandelten Verschlüsselungsalgorithmus und dem Kommunikationsverfahren eine weitere SA her, über die die Daten schließlich gesendet werden.

IPSec-Verbindungen arbeiten standardmäßig im Transportmodus (transport mode), bei dem end-to-end-Sicherheit zwischen Geräten gewährleistet wird.IPSec-Transportmodus wird bei den meisten VPNs eingesetzt, in Kombination mit L2TP (Layer Two Tunneling Protocol), um die IPSec-Verbindung durch das WAN zu Tunneln.

Page 61: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPSec-Tunnelmodus kommt zum Einsatz, wenn VPN-Gateways nicht L2TP/IPSec-VPN kompatibel sind.IPSec-Tunnelmodus schützt gesamte IP-Pakete, die dann in einen zusätzlichen, ungeschützten IP-Header verpackt werden. Der äußere IP-Header gibt die IP-Adressen der Tunnelendpunkte an, der innere IP-Header die eigentliche Quell- und Zieladresse.IPSec-Tunnelmodus wird von Remotezugriff-VPNs nicht unterstützt, hier muss L2TP/IPSec oder PPTP zum einsatz kommen.

IPSec-Authentifizierungsmethoden Kerberos (Active Directory) – ist die Standardauthentifizierungsprotokoll in

einer AD-Umgebung, deshalb am einfachsten zu konfigurieren, wenn IPSec innerhalb einer einzigen AD-Gesamtstruktur implementiert wird, kann die Authentifizierung über die AD-Einbindung erfolgen.

Zertifikate – sollten eingesetzt werden wenn keine Kerberos-Authentifizierung zu Verfügung steht. Nötig ist dafür eine Zertifikatinfrastruktur, die die Zertifikate der Peer-Partner ausstellt. Jeder Host muss der Zertifizierungsstelle vertrauen, die das Zertifikat des Kommunikationspartners ausgestellt hat.

Vorinstallierte Schlüssel – sind Kennwörter die beide Peers kennen. Mit dem Kennwort wird ein- und ausgehender Verkehr verschlüsselt. Da der Schlüssel im Klartext gespeichert wird, eignet sich diese Authentifizierungsmethode nicht für den produktiven Einsatz.

Page 62: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPSec KonfigurationIPSec wird unter Windows Server 2008 mit Sicherheitsrichtlinien oder Gruppenrichtlinien verwaltet.IPSec wird unter Windows Server 2008, Windows Vista und Windows 7 entweder über IPSec-Richtlinien (IPSec policy) oder Verbindungssicherheitsregeln (connection security rule) erzwungen.IPSec-Richtlinien bietet im Gegensatz zu Verbindungssicherheitsregeln, in den Standardeinstellungen, nicht nur schutz vor Spoofing (gefälschten Daten), manipulierten Daten und Relay-Angriffen, sondern auch Verschlüsselung.IPSec-Richtlinien wie auch Verbindungssicherheitsregeln, können so konfiguriert werden, dass sie eine beliebige Kombination aus Datenauthentifizierung und Verschlüsselung bereitstellt.IPSec-Richtlinien und Verbindungssicherheitsrichtlinien können über ein Gruppenrichtlinienobjekt oder lokal erzwungen werden.

IPSec-RichtlinienIPSec-Richtlinienregeln (IPSec policy rule) sind mit IP-Filterlisten (IP filter list) und Filteraktionen (filter action) verknüpft. Jede Richtlinie hat einen Filterliste und Filteraktion.

IP-Filterlisten enthalten einen Satz aus einem oder mehrern IP-Filtern, die IP-Verkehr für eine IPSec-Richtlinie abfangen.IP-Filter definieren Quell- oder Zieladresse, Adressbereich, Computername, TCP/UDP-Port oder Servicetyp (DNS, WINS, DHCP, Standardgateway).

$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory

IPSec-Richtlinienregel Bsp.:

IPSec-Richtlinie IP-Filterliste FilteraktionRichtlinienregel 1 Filter 1: Telnet-Verkehr von 192.168.23.42

Filter 2: POP3-Verkehr von 192.168.23.196Sicherheit aushandeln (Verschlüsselung zwingend erforderlich)

Richtlinienregel 2 Filter 1: gesamte Telnet-VerkehrFilter 2: gesamte POP3-Verkehr

Blocken

Richtlinienregel 3 Filter 1: gesamte Verkehr Sicherheit aushandeln (Authentifizierung anfordern)

Page 63: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Vordefinierte IPSec-RichtlinienVordefinierte IPSec-Richtlinien – kann jeweils nur eine der folgenden drei, einem Gerät oder Computer zugewiesen werden:

Client (nur Antwort) / Client (Respond Only) – normalerweise wird diese Richtlinie Intranetcomputern zugewiesen, die mit geschützten Servern kommunizieren müssen, aber nicht den gesamten Verkehr zu schützen brauchen.

Server (Sicherheit anfordern) / Server (Request Security) – sollte Computern zugewiesen werden, bei denen Verschlüsselung bevorzugt wird, aber nicht unbedingt erforderlich ist.Der Computer nimmt ungeschützten Verkehr an, versucht aber immer, weitere Kommunikation zu schützen, indem er Sicherheit vom ursprünglichen Absender fordert.

Sicherer Server (Sicherheit erforderlich) / Secure Server (Require Security) – sollte Intranetservern zugewiesen werden, die sichere Kommunikation benötigen.

$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory

Benutzerdefinierte IPSec-RichtlinienBenutzerdefinierte IPSec-Richtlinien gruppieren benutzerdefinierte IPSec-Regeln.

$mmc gpmc.msc -> Computerkonfiguration ->Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> IP-Sicherheitsrichtlinien auf Active Directory -> IP-Sicherheitsrichtline erstellen… -> IPSec-Sicherheitsrichtlinien Assistent

Nameo leere Richtlinieo benutzerdefinierter Nameo Standardantwortregel (default response rule)

Eigenschafteno Regel

Hinzufügen (Sicherheitsregel Assistent) Tunnelpunkt (IPSec-Tunnelmodus) Netzwerktyp (IPSec-LAN oder

Remotezugriffsverbindungen) IP-Filterliste (All ICMP Traffic, All IP Traffic,

benutzerdefinierte IP-Filterliste (DHCP, DNS, WINS etc.))o IP-Filter-Assistent

Filteraktion (Permit, Request Security, Require Security) Authentifizierungsmethode (Kerberos, Zertifikat,

Schlüsselaustausch)o Allgemein

Page 64: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

VerbindungssicherheitsregelnVerbindungssicherheitsregeln sind ähnlich wie IPSec-Richtlinienregeln, allerdings sind Verbindungssicherheitsregeln nicht so leistungsfähig wie IPSec-Richtlinienregeln.Verbindungssicherheitsregeln gelten nicht für ausgewählte Protokolle (DNS, Telnet), sondern sie gelten für den gesamten Verkehr, der von oder zu bestimmten IP-Adressen, Subnetzen oder Servern läuft.

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Windows-Firewall mit erweiterter Sicherheit -> Windows-Firewall mit erweiterter Sicherheit -> Verbindungssicherheitsregeln

Benutzerdefinierte Verbindungssicherheitsregeln$mmc wf.msc -> Verbindungssicherheitsregeln -> Neue Regel… -> Assistent für neue Verbindungssicherheitsregeln

Regeltypo Isoliert – Verkehr für das ausgewählte Netzwerkprofil

(Netzwerkstandorttyp) – Domäne, Privat oder Öffentlicho Authentifizierungsausnahme – für Computer, Gruppe oder Bereich

von IP-Adessen (Computern) die sich nicht authentifizieren müssen zum Beispiel für Infrastrukturcomputer wie DHCP-Server auf die ein Client zugreifen muss bevor er eine Authentifizierung durchführen kann

o Server-zu-Server – authentifiziert die Kommunikation zwischen IP-Adressen oder IP-Adressblöcken

o Tunnel – IPSec-Tunnelmodus für VPN-Gatewayso Benutzerdefiniert – kombination aus mehreren anderen Regeln oder

selbst definierte Regeln. Endpunkte festlegen - Remotecomputer Anforderungen – Permit, Request Security, Require Security Authentifizierungsmethode – Kerberos, Zertifikat, Schlüsselaustausch Profil – aktiv für folgenden Standorttyp: Domäne, Privat oder Öffentlich Name – der Verbindungssicherheitsregel

$mmc wf.msc -> Verbindungssicherheitsregeln -> Eigenschaften -> IPSec-Einstellungen -> IPSec-Standardeinstellungen

IPSec-Einstellungen anpasseno Schlüsselaustauscheno Datenschutzto Authentifizierungsmethode

IPSec-Ausnahmeno IPSec-Ausschließen (ICMP)

Page 65: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NATNAT (Network Adress Translation) – ein Dienst der Private-IP-Adressen, die im LAN verwendet werden, in öffentliche (WAN) IP-Adressen, die im Internet kommunizieren übersetzt.NAT wurde entwickelt, weil öffentliche IP-Adressen im Internet knapp wurden.NAT ermöglicht Organisationen, Private-IP-Adress-Blöcke zu vergebe, die Hunderte oder Tausende Hosts Adressieren können. Eine genatete öffentliche IP-Adresse reicht aus, um die Kommunikation dieser Hosts mit dem Internet zu gewährleisten. Verschiedene Organisationen können identische Private-IP-Adress-Blöcke vergeben:

192.168.0.0 – 192.168.255.255172.16.0.0 – 172.31.255.25510.0.0.0 – 10.255.255.255

PAT (Port Adress Translation) funktioniert wie NAT, übersetzt allerdings auch Ports.

Page 66: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NAT KonfigurierenWindows Server 2008 kann als NAT-Server eingesetzt werden und stellt zwei NAT-Dienste bereit:

Gemeinsame Nutzung der Internetverbindung (Internet Connection Sharing, ICS) – ist für Heimnetzwerke und kleine Büros gedacht

Routing- und RAS-Dienste – ist für Organisationen gedacht mit geroutetem Intranet

ICS benötigt zwei Schnittstellen. Auf der öffentlichen Schnittstelle eine öffentliche IP-Adresse und auf der internen Schnittstelle eine private.ICS-Dienst weist automatisch dem ICS-Computer die private IP-Adresse 192.168.0.1 zu und via DHCP, Computern im LAN, IP-Adressen aus dem Bereich 192.168.0.0/24.ICS-Dienst aktiviert automatisch DHCP-Dienst (ICS-DHCP ist nicht kompatibel zur Serverrolle DHCP-Server oder dem DHCP-Relay-Agenten und anderen Routing- und RAS-Komponenten).ICS-Dienst kann auch VPN- oder DFÜ-Verbindungen verwalten.

Öffentliche Schnittstelle -> Eigenschaften -> Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als Internetverbindung zu verwenden

Routing und RAS ermöglicht sämtliche NAT-Fähigkeiten zu nutzen.Routing und RAS hat folgende Vorteile gegenüber ICS:

Manuelle Konfiguration des internen Netzwerks Routen in mehrere interne Netzwerke Serverrolle DHCP-Server kompatibel Routing- und RAS-Komponenten kompatibel

Routing und RAS NAT-Server aktivieren: Schnittstellen

o interne Schnittstelleo externe Schnittstelle

NATo Serverrolle Netzwerkrichtlinien- und Zugriffsdienste, Rollendienst

Routing- und RAS konfiguriert Netzwerkadressübersetzung (NAT) und NAT-Internetverbindung

DHCPo Serverrolle DHCP-Server (oder)o Netzwerkrichtlinien- und Zugriffsdienst -> Routing und RAS -> IPv4 ->

NAT -> Eigenschaften -> IP-Adressen automatisch mit der DHCP-Zuweisung zuordnen

DNSo Serverrolle DNS-Server (oder)o Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 ->

NAT -> Eigenschaften -> Namensauflösung -> Clients, die DNS (Domain Name System) verwenden

Ereignisanzeige -> Windows-Protokolle -> System (Quelle: SharedAccess_NAT)

Page 67: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DrahtlosnetzwerkeDrahtlosnetzwerkstandards und Drahtlosnetzwerktechnologien:

802.11bo Netzwerkdurchsatz: 11MBit/s real 3-4MBit/so Clients kompatible zu 802.11g und 802.11n

802.11go Netzwerkdurchsatz: 54MBits/s real 10-15MBit/so Zugriffspunkt-Modi:

gemischt (unterstützt 802.11b Clients, verringert die Bandbreite auf 802.11b)

reines 802.11g 802.11n

o Nachfolger von 802.11b und 802.11g mit höherer Reichweiteo Netzwerkdurchsatz: 250MBit/s real ca. 50MBit/so Clients kompatible zu 802.11a, 802.11b und 802.11g

Drahtlosnetzwerksicherheitsstandards: Keine Sicherheit

o Keine Verschlüsselung oder Authentifizierung WEP (Wired Equivalent Protection)

o Verschlüsselung mit 64-Bit oder 128-Bit und Authentifizierung über eine Passphrase oder einen Schlüssel

WPA (Wi-Fi Protection Access)o WPA-PSK (WPA-Personal) für vorinstallierte Schlüssel, PreShared

Keys. Verwendet statische Schlüssel zur Authentifizierung.o WPA-EAP (Extensible Authentication Protocol) auch WPA-Enterprise,

übergibt Authentifizierungsanfroderungen an einen Backendserver (RADIUS).

WPA2 (IEEE 802.11i) entspricht WPA mit erhöhter Sicherheito WPA2-PSKo WPA2-EAP

Drahtlosnetzwerke-Client KonfigurierenVerbindung herstelle -> Verbindung mit einem Netzwerk herstellen -> Zusätzliche Anmeldeinformationeneingeben oder auswählen -> Anmeldeinformationen -> Netzwerkstandort festlegen

Bootstrap Wireless Profile erlaubt es vor dem Anmelden, Verbindung zu einem Drahtlosnetzwerk herzustellen.

Page 68: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Drahtlosenetzwerke KonfigurierenWindows 2008 Server können als RADIUS-Server arbeiten und erreichen so eine dynamische Drahtlosnetzwerkauthentifizierung, Active Directory integriert.

Netzwerkrichtlinienserver (Network Policy Server, NPS) stellt RADIUS-Authentifizierung für WPA/WPA2-Enterprise bereit.

PKI (public key infrastructure) Konfiguriereno Serverrolle Active Directory-Zertifikatdiensto GPO -> Computerkonfiguration -> Richtlinien -> Windos-Einstellungen -

> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Zertifikatdiensteclient automatische Registrierung -> Eigenschaften -> Eigenschaften von Zertifikatdiensteclient – automatische Registrierung -> Konfigurationsmodell -> Aktiviert

RADIUS-Server Konfiguriereno Serverrolle Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste

auswählen -> Netzwerkrichtlinienserver -> Routing- und RAS-Diensteo Netzwerkrichtlinien- und Zugriffsdienste -> NPS ->

Standardkonfiguration -> RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen

802.1X konfigurieren -> 802.1X-Verbindungstyp auswählen -> Sichere Drahtlosverbindung

802.1X-Swichtes angeben -> Hinzufügen -> Neuer RADIUS-Client -> Gemeinsamer geheimer Schlüssel -> Manuell/Generieren

Authentifizierungsmethode konfigurieren -> Typ Microsoft: Geschützt EAP (PEAP) – Authentifizierung

durch Computerzertifikate die über PKI und Active Directory-Zertifikat-Dienst bereitgestellt und als vertrauenswürdig eingestuft werden.PEAP ist kompatibel zu NAP.

Microsoft: Smartcard- oder anderes Zertifikat – Authentifizierungsmethode ist dieselbe wie bei PEAP, nur dass der Benutzer eine Authentifizierung via Smartcard bereitstellt.

Microsoft: Gesichertes Kennwort (EAP-MSCHAPv2) – Authentifizierung mit Domänenanmeldeinformationen. Gesichertes Kennwort erfordert auf RADIUS-Servern Computerzertifikate zu installieren. Clients müssen der Zertifizierungsstelle der Zertifikate vertrauen.

Benutzergruppe -> Hinzufügen (die berechtigt ist Drahtlosverbindungen herzustellen)

VLAN -> konfigurieren (um Netzwerkressourcen einzuschränken)

Abschließen neuer sicherer verkabelter und drahtloser IEEE 802.1X-Verbindung und RADIUS-Clients

o Netzwerkrichtlinien- und Zugriffsdienste -> NPS -> Server in Active Directory registrieren

Page 69: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Remotenetzwerke

DFÜ-VerbindungenDFÜ-Verbindungen (dail-up connection) ist die herkömmliche (und inzwischen weitgehend veraltete) Remotezugriffstechnik.DFÜ-Verbdingungen verwenden Clientcomputer ein Modem, um über eine Telefonleitung, die Verbindung zu einem RAS-Server herzustellen.DFÜ-Verbindungen Vorteile

Keine Internetverbindung nötig – DFÜ-Verbindungen verwenden eine analoge Telefonleitung, um eine Netzwerkverbindung direkt in das interne Netzwerk aufzubauen. Das interne Netzwerk muss nicht für Authentifizierungsanforderungen aus dem Internet konfiguriert sein, wie bei VPN-Verbindungen. Das interne Netzwerk brauch nicht einmal eine Verbindung zum Internet – eine übliche Anforderung für Hochsicherheitsnetzwerke.

Minimale Datenschutzrisiken – DFÜ-Verbindungen bieten zwar keine Verschlüsselung, aber der Verkehr wird durch ein öffentliches Telefonnetz (Public Switched Telephone Network, PSTN) geleitet. Sicherheitsexperten behaupten, dass der Schutz der Daten hier besser ist als im öffentlichen Internet.

Konstante Leistung – DFÜ-Verbindungen bieten gleichbleibende, vorherplanbare Leistung, weil die Verbindung nur von einem einzigen Client benutzt wird.

DFÜ-Verbindungen Nachteile Hohe Kosten für Skalierbarkeit – Viele Mitarbeiter die Remote auf das

interne Netzwerk zugreifen wollen, bedeuten viele Telefonleitungen und viele Modems.

Geringe Bandbreite – Modems für herkömmliche analoge Telefonleitungen sind technisch für eine Bandbreite von 56KBit/s spezifiziert, die reale Bandbreite beträgt zwischen 20 und 25KBit/s. Zum vergleich, DSL 2000 hat eine Bandbreite von 1024KBit/s, DSL 16000 eine Bandbreite von 6016KBit/s – einfache Aufgaben wie Webbrowsen sind mit 25KBit/s also sehr langsam.Digitale Telefonleitungen, wie zum Beispiel ISDN (Integrated Services Digital Network) bietet zwar immerhin echte 128KBit/s, aber zu deutlich erhöhten kosten.

Page 70: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DFÜ-Verbindungen Konfigurieren Modemhardware an den Server anschließen und Modem mit der

Telefonleitung verbinden. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und

Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und aktivieren -> Konfigurieren

o RAS (DFÜ oder VPN)o RAS -> DFÜo Netzwerkauswahlo IP-Adressezuweisung -> Automatisch/Aus einem angegebenen

Adressbereich Adressbereichszuweisung

o Mehrere RAS-Server verwalten -> Ja, diesen Server für die Verwendung eines RADIUS-Servers einrichten/Nein, Routing und RAS zum Authentifizieren von Verbindungsanforderungen verwenden

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Eigenschaften -> Allgemein -> Eigenschaften von Routing und RAS

o IPv4-Router -> LAN und bei Bedarf wählendes Routing -> IPv4-RAS-Server

o IPv6-Router -> LAN und bei Bedarf wählendes Routing -> IPv6-RAS-Server

o IPv4 IPv4-Weiterleitung aktivieren Dynamic Host Coniguration-Protokoll (DHCP)/Statische

Adresspoolo IPv6

IPv6-Weiterleitung aktivieren Standardroutenankündigung aktivieren/IPv6-Präfixzuweisung

o PPPo Protokollierung

Alle Ereignisse protokollieren -> Zusätzliche Routing- und RAS-Informationen protokollieren

Keine Ereignisse Protokollieren $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und

Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschafteno Eigenschaften von Ports -> Modem -> Konfiguriereno Geräte konfigurieren

RAS-Verbindungen Rufnummer dieses Geräts

Page 71: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DFÜ-Verbindungen mit RADIUS-Server konfigurierenDFÜ-RADIUS-Server funktionieren ähnlich wie Drahtlosnetzwerk-RADIUS-Server.DFÜ-RADIUS-Server authentifizieren Anmeldungen über Modem und Einwahlserver.Da viele Firmen mehr als ein oder zwei Modems benötigen, wird auf dedizierte Hardware, eine Modembank, die auch beim Provider stehen kann, gesetzt.Modembanken nehmen Authentifizierungen an und leiten diese weiter an den RADIUS-Server.

Erstellen einer Benutzergruppe, der der DFÜ-Zugriff gestattet ist. $mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und

Zugriffsdienste -> NPSo RADIUS-Server für DFÜ- oder VPN-Verbindungen -> VPN oder DFÜ

konfiguration -> VPN oder DFÜ konfigurieren DFÜ- oder VPN-Verbindungstyp -> DFÜ-Verbindungen Angeben des DFÜ- oder VPN-Server -> Hinzufügen

Neuer RADIUS-Cliento Anzeigenameo Adresseo Gemeinsamer geheimer Schlüssel ->

Generieren/Manuell Authentifizierungsmethoden konfigurieren Benutzergruppen IP-Filter

Eingabefilter Ausgabefilter

Angeben der Verschlüsselungseinstellungen Bereichsname

DFÜ-Clients KonfigurierenVerbindung herstellen -> Eine Verbindung oder ein Netzwerk einrichten -> Wählen Sie eine Verbindungsoption aus -> Wählverbindung einrichten -> Wählverbindung einrichten

Page 72: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

VPN-VerbindungenVPN (Virtualle private Netzwerke) befördern Daten durch das öffentliche Internet, im Gegensatz zu DFÜ-Verbindungen die Daten durch das öffentliche Telefonnetz leiten.VPN-Verbindungen brauchen womöglich keine zusätzliche Bandbreite, da die Organisation schon eine Internetanbindung hat, deren Bandbreite ausreicht.

VPN-Verbindungen Höhere mögliche Bandbreite – theoretisch kann die VPN-Bandbreite so

hoch sein wie die Internetverbindung von Client bzw. VPN-Server es zulässt. Die Bandbreite einer Internetverbindung beträgt selbst bei schlechten Bedingungen min. das Zehnfache einer Modemverbindung.

Geringe Kosten – sowohl VPN-Server als auch Clients, müssen mit dem Internet verbunden sein. Die meisten Organisationen haben aber schon eine Internetanbindung und viele Benutzer haben Internetzugriff, während sie zuhause oder auf reisen sind. Daher fallen keine Verbindungskosten an, wenn VPNs benutzt werden, unabhängig davon, wie viele eingehende Verbindungen bedient werden. Falls eingehende Verbindungen mehr Bandbreite benötigen, muss unter umständen mehr Bandbreite oder eine weitere Leitung bei einem Internetprovider gekauft werden. Die kosten werden wahrscheinlich viel geringer als die Anschaffungskosten für eine entsprechende Zahl von Telefonleitungen und Modems für DFÜ-Verbindungen sein.

VPNs haben Nachteile Internetverbindung nötig – VPN-Server und somit das interne Netzwerk,

muss mit dem Internet verbunden sein und eingehenden VPN-Verkehr durch alle Firewalls erlauben. Benutzer müssen zudem eine Internetverbindung haben, um ein VPN verwenden zu können. Einer der folgenden Ansätze werden normalerweise verwendet:

o Vertrag mit einem Internetprovider, um den Internetzugriff für alle Benutzer zu ermöglichen, entweder über DFÜ-Verbindungen oder eine Breitbandverbindung, zum Beispiel ein Kabelmodem oder DSL.

o Benutzer (VPN-Clients) müssen selbst einen Internetprovider finden. Da die meisten Benutzer heutzutage einen Internetanschluss zuhause haben und Benutzer die auf Reisen sind, Internetverbindungen oft über öffentliche Hotspots oder im Hotel, bzw. über Drahtlosbeitbrandverbindungen herstellen können, stellt dies kein Problem dar.

Schlechte Latenz – sogar bei sehr hoher Bandbreite, wirken VPN-Verbindungen oft langsam. Die Ursache ist eine hohe Latenz. Latenz ist die Verzögerung, die auftritt, wenn ein Paket von einem Client zu einem Server befördert wird. Die Latenz bei einer VPN-Verbindung kann oft um ein Vielfaches größer sein als die einer DFÜ-Verbindung.

Schlechte Effizienz bei DFÜ-Verbindungen – es ist zwar möglich, eine Einwahlverbindung ins Internet aufzubauen und dann eine Verbindung mit einem VPN aufzubauen, aber der zusätzliche Aufwand für VPN und Latenz, die durch das Internet hinzukommt, verschlechtert die Leistung gegenüber einer direkten DFÜ-Verbindung zu einem RAS-Server. Falls Benutzer über eine DFÜ-Verbindung auf das Internet zugreifen, erhalten sie viel bessere Leistung, wenn sie sich stattdessen gleich direkt in das Intranet einwählen.

Page 73: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

VPN-Verbindungen KonfigurierenWindows Server 2008, Windows Vista und Windows 7 unterstützen drei VPN-Technologien: PPTP (Point-to-Point Tunneling Protocol)

o PPP-Authentifizierungsmethoden (Point-to-Point Protocol) für die Benutzerauthentifizierungn

o MPPE (Microsoft Point-to-Point Encryption) für die Datenverschlüsselungo keine Clientzertifikate, wenn die Authentifizierung PEAP-MS-CHAP,

EAP-MS-CHAPv2 oder MS-CHAPv2 verwendet wirdo Microsoft Technologie

L2TP (Layer Two Tunneling Protocol)o PPP-Authentifizierungsmethoden für Benutzerauthentifizierungo IPSec für Peerauthentifizierung auf Computerebene,

Datenauthentifizierung, Datenintegrität und Datenverschlüsselungo Computerzertifikate für VPN-Clients und VPN-Server (Active Directory-

Zertifikatsdienste)o IPv6 kompatibelo VPN-Technologie nach offenen Standards

SSTP (Secure Socket Tunneling Protocol)o PPP-Authentifizierungsmethode für Benutzerauthentifizierungo SSL (Secure Socket Layer) Datenauthentifizierung, Datenintegrität und

Datenverschlüsselungo HTTP-Kapselung ermöglicht SSTP auf Port 443 durch die meisten

Firewalls zu gelangeno Computerzertifikat auf dem VPN-Server, Clients müssen der

Zertifizierungsstelle vertraueno Unterstützt auf Betriebssystemen ab Windows Vista SP1

Windows 2008 Server unterstützt in den Standardeinstellungen alle drei VPN-Technologien gleichzeitig. Einzelne Protokolle können auch deaktiviert werden.

Page 74: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

VPN-Server konfigurieren Zwei Netzwerkkarten

o externe Netzwerkkarteo interne Netzwerkkarte

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Routing und RAS konfigurieren und aktivieren

o Konfigurieren -> RAS (DFÜ oder VPN)o RAS -> VPNo VPN-Verbindungo Netzwerkauswahlo IP-Adresszuweisung -> Authomatisch/Aus einem angegebenen

Adressbereicho Mehrere RAS-Server verwalten

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> Ports -> Eigenschaften -> Eigenschaften von Ports -> Konfigurieren

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IPv4 -> DHCP-Relay-Agent

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Routing und RAS -> IP(v4|v6) -> Allgemein -> Eigenschaften -> Allgemein -> Eingehende Filter oder Ausgehende Filter

VPN-Client KonfigurierenVerbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> Verbindung trennen oder Verbindung zu einem anderen Netzwerk herstellen -> Wählen sie eine Verbindungsoptionen -> Verbindung mit dem Arbeitsplatz herstellen -> Möchten Sie eine bestehende Verbindung verwenden -> Nein, Neue Verbindung erstellen -> Wie möchten sie eine Verbindung herstellen -> Die Internetverbindung (VPN) verwenden -> Geben Sie die Internetadresse zum Herstellen einer Verbindung ein -> Geben Sie den Benutzernamen und das Kennwort ein -> Dieses Kennwort speichern -> Verbinden

Verbindung herstellen -> Verbindung mit einem Netzwerk herstellen -> VPN-Verbindung

VPN-Verbindungen über PPTP nutzt GRE was auf Port 1723 abhört.

Page 75: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Verbindungseinschränkungen KonfigurierenServer-Manager -> Richtlinien -> Netzwerkrichtlinien -> Zu ändernde Richtline -> Eigenschaften -> Bedingungen -> Hinzufügen

Bedingungen auswähleno Windows-Gruppen, Computergruppen und Benutzergruppeno Tag- und Uhrzeiteinschränkungeno IPv4-Adresse für Zugriffsclient und IPv6-Adresse für Zugriffscliento Client-IPv4-Adresse und Client-IPv6-Adresseo NAS IPv4-Adresse und NAS IPv6-Adresseo Authentifizierungstyp, Zulässige EAP-Typen, Eingerahmtes

Protokoll, Diensttyp und Tunneltypo Anrufer-IDo NAS-Porttyp

Einschränkungen (Leerlaufzeit) Einstellungen (NAP-Einstellungen)

Page 76: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Windows-Firewall KonfigurierenWindows-Firewall filtert eingehenden und ausgehenden Verkehr. Windows-Firewall ist also ein Packetfilter.

$mmc wf.msc

$netstat -a -b

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse StatusTCP 0.0.0.0:53 Dcsrv1:0 Abhören[dns.exe]

Firewallprofile bilden Container in denen Firewallregeln gespeichert werden können.Firewallprofile erlauben es mobilen Computern, auf verschiedene Netzwerk- und Standorttypen zu reagieren.Firewallprofile sind standardmäßig drei unter Windows Vista, Windows 7 und Windows Server 2008 vorhanden:

Domäne – wird angewendet wenn der Computer sich in einer Active Directory-Umgebung befindet

o Eingehender Verkehr Datei- und Druckerfreigaben etc.

o Ausgehender Verkehr Alles zugelassen

Privat – wird standardmäßig nicht angewendet. Manuell angewendet, kann das Profil in einem vertrauenswürdigen, privaten Netzwerk sinnvoll sein.

o Eingehender Verkehr Datei- und Druckerfreigaben etc.

o Ausgehender Verkehr Alles zugelassen

Öffentlich – das Standardprofil, das auf alle Netzwerke angewendet wird, wenn kein Domänencontroller zur Verfügung steht. In den

o Eingehender Verkehr Nicht zugelassen

o Ausgehender Verkehr Alles zugelassen

Server sind normal in eine Domänenumgebung eingebunden. Falls dies nicht der Fall ist sollten alle drei Profile mit denselben Firewallregeln konfiguriert sein.

Page 77: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Firewallregeln sind in eingehende und ausgehende Regeln unterteilt.Firewallregeln – etliche sind vordefiniert, zum Beispiel Regeln für NFS oder ICMP.Firewallregeln die nicht automatisch von installierten Programmen erstellt werden, müssen unter umständen nachkonfiguriert werden:

$mmc wf.msc -> Eingehende/Ausgehende Regeln

Regeltyp Programm – Ausführbare Dateien - Hier ist es egal welchen Port das

Programm öffnet Port – Kommunikation über einen bestimmte TCP- oder UDP-Portnummer Vordefiniert – Windows-Komponente steuert. Bsp.: Active Directory-

Domänendienst, Datei- und Druckerfreigabe oder Remotedesktop Normalerweise aktiviert Windows diese Regel automatisch

Benutzerdefiniert – Programm und Port Kombination.

Aktionen Verbindung zulassen Verbindung zulassen, wenn sie sicher ist – IPSec AH

o Verschlüsselung ist für Verbindung erforderlich – IPSec AH und ESP

o Regel zum Blocken außer Kraft setzen – Setzt andere blockierende Regeln mit derselben Regeltypkonfiguration außer kraft, für bestimmte Computer oder Benutzer

Verbindung blocken

Profil (Server sollten Regeln auf alle drei Profiltypen anwenden) Domäne Privat Öffentlich

Firewallregeln für ausgehende Verbindungen sind standardmäßig unter Windows Server 2008 nicht aktiviert, sie sollten für den Notfall aber dennoch konfiguriert sein um den ausgehenden Filter schnell aktivieren zu können. Dabei sollte die grundlegende Netzwerkfunktionalität erhalten bleiben. Standardeinstellungen für ausgehende Regeln sind:

DHCP-Anforderung DNS-Anforderung Gruppenrichtlinienkommunikation IGMP (Internet Group Management Protocol) IPv6

Page 78: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Firewallregelbereiche (scopes) bieten die Möglichkeit Verbindungen aus Internen und Externen Netzwerken zu erlauben oder zu verbieten. Zum Beispiel:

Alle Verbindungen aus dem Internet auf Port 80 erlauben (Webserver), während Benutzer aus dem internen Netzwerk auch zugriff auf Port 80 haben, dem Intranetwebserver.

Interne Server dürfen nur Verbindungen zu internen Subnetz aufbauen. Datensicherungsprogramme dürfen nur Verbindung zum

Datensicherungsserver aufbauen.

$mmc wf.msc -> Eingehende/Ausgehende Regeln -> Regelname -> Eigenschaften -> Remote-IP-Adressen -> Hinzufügen -> IP-Adresse

Diese IP-Adresse oder Subnetz – 10.0.42.23 oder 192.168.3.0/24 Dieser IP-Adressbereich – 192.168.2.1-192.168.2.254 Vordefinierte Computersätze – Standardgateway, WINS-Server, DNS-

Server, DHCP-Server oder Lokales Subnetz

Page 79: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Manuelle Zugriffssteuerung wird mit autorisieren von Verbindungen (IPSec-Verbindungssicherheit) in einer Active Directory-Umgebung realisiert. Autorisierte Verbindungen greifen hierfür auf Remotecomputer oder –benutzerautorisierung über IPSec zurück. Autorisierte Verbindungen können zum Beispiel sicher stellen, dass sich Benutzer authentifizieren als zugehörige der Gruppe Buchhaltung, bevor sie zugriff auf Port 3096 des Servers erhalten, auf dem die Buchhaltungssoftware läuft.

$mmc wf.msc -> Eingehende/Ausgehende Regel -> Eigenschaften -> Allgemein -> Nur sichere Verbindungen zulassen

Benutzer und Computer (Eingehende Regel)/Computer (Ausgehende Regel) Autorisierte Computer -> Nur Verbindungen von diesen Computern zulassen Autorisierte Benutzer -> Nur Verbindungen von diesen Benutzern zulassen

Firewalleinstellungen mit Gruppenrichtlinien können lokal oder mit der Konsole Windows-Firewall mit erweiterter Sicherheit vorgenommen werden.Firewalleinstellungen die auf Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 angewendet werden:$mmc wf.msc$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Windows-Firewall mit erweiterter Sicherheit

Firewalleinstellungen die auf Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 angewendet werden:$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Netzwerkverbindungen -> Windows-Firewall

Firewalleinstellungen erziehlen optimale Ergebnisse, wenn getrennte Gruppenrichtlinienobjekte für Windows Vista/7/Server 2008 und Windows XP/Server 2003 erstellt werden. Mit Hilfe von WMI-Abfragen, können die Gruppenrichtlinienobjekte auf die Computer angewendet werden, auf dem die entsprechende Windows-Version läuft.

$mmc wf.msc -> Firewall-Symbol -> Eigenschaften -> Domänenprofil/Privates Profil/Öffentliches Profil -> Protokollierung -> Anpassen -> Protokollierungseinstellungen anpassen

Verworfene Pakete protokollieren Erfolgreiche Verbindung protokollieren

%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log

Page 80: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Netzwerkzugriffschutz KonfigurierenNAP (Network Access Protection) dient dazu, Hosts abhängig von ihrem aktuellen Integritätsstatus mit unterschiedlichen Netzwerksressourcen zu verbinden. Die Unterteilung der Netzwerkressourcen kann mit Hilfe von virtuellen LANs (VLANs), IP-Filtern, IP-Subnetzzuweisung, statischen Routen oder IPSec-Erzwingung implementiert werden.

Wartungsnetzwerke sollten aus Sicherheitsgründen einen schreibgeschützten Domänencontroller, sowie eigene DHCP- und DNS-Server (die von der übrigen Infrastruktur getrennt sind) enthalten. So verringert sich das Risiko, dass sich Malware von inkompatiblen (in das Wartungsnetzwerk geleiteten) Computern im produktiven, privaten Netzwerk verbreitet.

Page 81: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NAP-Erzwingungstypen sind Netzwerkkomponenten, die NAP erzwingen, indem sie den Netzwerkzugriff entweder erlauben oder verbieten:

IPSec-VerbindungssicherheitIPSec-Erzwingung zwingt Clients eine NAP-Integritätsprüfung zu bestehen, bevor sie ein Integritätszertifikat erhalten.IPSec-Erzwingung benötigt Integritätszertifikate, die für die IPSec-Verbindungssicherheit notwendig sind, ohne die ein Client keine IPSec-geschützte-Verbindung zu einem Host herstellen kann.IPSec-Erzwingung erlaubt es, individuell für einzelne IP-Adressen oder TCP/UDP-Portnummern, dass die Systemintegritätsanforderungen eingehalten werden.IPSec-Erzwingung benötigt eine Zertifizierungsstelle (Certification Authority, CA), auf der Windows Server 2008-Zertifikatdienste laufen. NAP muss Integritätszertifikate unterstützen.Produktivumgebungen sollten aus Redundanzgründen mindestens zwei Zertifizierungsstellen bereitstellen. PKIs (Public Key Infrastrukture) kann nicht verwendet werden.IPSec-Erzwingung bietet sehr hohe Sicherheit, schützt aber nur Computer die IPSec unterstützen.

802.1X-Zugriffspunkte802.1X-Authentifizierung verwendet Ethernetswitches oder Drahtloszugriffspunkte.802.1X-Authentifizierung gewährt kompatiblen Computern vollständigen Netzwerkzugriff, inkompatible Computer werden in ein Wartungsnetz verbunden oder abgelehnt.802.1X-Netzwerkzugriffsgeräte können auch nach anfänglich gewährtem Zugriff reagieren, wenn Systemintegritätsanforderungen nicht mehr erfüllt sind.802.1X-Erzwingung kann zwei Methoden einsetzen, um zu steuern, welche Zugriffsebene kompatibel, inkompatibel und nicht authentifizierte Computer enthalten:

o Zugriffssteuerungsliste (Access Control List, ACL) sind IPv4- und IPv6-Paketfilter, die auf 802.1X-Zugriffsgeräten konfiguriert werden.ACL werden normal auf inkompatible Computer angewendet, kompatible Computer erhalten vollen Netzwerkzugriff ohne ACL.ACL erlaubt sogar den Netzwerkverkehr von inkompatiblen Computern untereinander einzuschränken.802.1X-Zugriffsgeräte wenden ACL auf Verbindungen an und verwerfen alle Pakete, die von der ACL nicht erlaubt sind.

o VLAN (Virtual Local Area Networks) sind Gruppen von Ports die auf Switches zusammengefasst werden und ein separates Netzwerk bilden.VLANs können nur kommuniziere, wenn sie über einen Router verbunden werden.VLANs werden anhand einer VLAN-ID identifiziert, die auf den Switches selbst konfiguriert werden.NAP kann festlegen in welches VLAN kompatible, inkompatible oder nicht authentifizierte Computer verschoben werden.VLAN Nachteile sind zum Beispiel:

Netzwerkkonfiguration muss geändert werden, wenn ein NAP-Client auf einen kompatiblen NAP-Client hochgestuft wird.

Page 82: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NAP-Clients erhalten womöglich keine Gruppenrichtlinienaktualisierung weil die Netzwerkkonfiguration während des Benutzeranmeldevorgangs durchgeführt wird.

NAP-Clients die inkompatibel sind können innerhalb eines VLANs kommunizieren

VPN-ServerVPN-Erzwingung implementiert NAP für Remotezugriffsverbindungen die über einen VPN-Server mit Windows Server 2008 und Routing und RAS laufen.VPN-Erzwingung erlaubt nur kompatiblen Computern vollen Netzwerkzugriff.VPN-Erzwingung kann mit Hilfe des VPN-Servers, einen Satz von Paketfiltern auf Verbindungen von inkompatiblen Computern anwenden, um ihren Zugriff auf eine Wartungsservergruppe einzuschränken.VPN-Erzwingung kann IPv4- und IPv6-Paketfilter erzwingen.

DHCP-ServerDHCP-Erzwingung verwendet einen Windows 2008 Server, auf dem der DHCP-Serverdienst läuft und Intranetclients IP-Adressen zuweist.DHCP-Erzwingung vergibt nur kompatiblen Computern IP-Adressen, die vollständigen Netzwerkzugriff gewährt. Inkompatible Computer bekommen eine IP-Adresse mit der Subnetzmaske 255.255.255.255 und ohne Standardgateway zugewiesen.DHCP-Erzwingung vergibt inkompatiblen Hosts zusätzlich eine Liste von Hostrouten zu Netzwerkressourcen in einer Wartungsservergruppe.DHCP-Erzwingung wird durch den NAP-Client erneut eingeleitet wenn sich der Integritätsstatus verändert, indem eine DHCP-Erneuerung eingeleitet wird.DHCP-Erzwingung ermöglicht, dass Clients nach der Authentifizierung inkompatibel werden.DHCP-Erzwingung kann umgangen werden, indem eine IP-Adresse von Hand konfiguriert wird.

NAP-Integritätsprüfung findet zwischen zwei Komponenten statt: Systemintegritätsagent (System Health Agent, SHA)

o Clients erstellen SoH (Statement of Health), das die Systemintegrität des Clientcomputers beschreibt.

o Kompatibel mit Windows XP SP3, Windows Vista, Windows 7 und Windows Server 2008

Systemintegritätsprüfung (System Health Validation, SHV)o Server anaylisieren SoH und erstellen als Antwort ein SoHR (Statement

of Health Response)o NAT-Integritätsrichtlinien legen anhand der SoHRs fest, welche

Zugriffsebene der Client erhält.o Windows Server 2008 enthält einen SHV für SHA, kompatibel zu

Windows XP, Windows Vista und Windows 7.

Page 83: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Netzwerkrichtlinienserver KonfigurierenNAP läuft mit Windows-Server 2008-NAP-Integritätsrichtlinienserver (health policy server), der als RADIUS-Server agiert.NAP kann ebenfalls mit einem vorhandenen RADIUS-Server, Windows 2003 oder Windows Server 2008 und Internetauthentifizierungsdienst (Internet Authentication Service, IAS) zusammenarbeiten.NAP-Intigritätsrichtlinienserver sollten redundant sein, es sollten also mindestens zwei Intigritätsrichtlinienserver vorhanden sein, da bei einem Ausfall, ein Client sich nicht mehr mit dem Netzwerk verbinden kann.

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> Rollendienste -> Netzwerkrichtlinienserver

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren

NAP-Erzwingung muss aktiviert werden. Welche Schritte dafür notwendig sind, hängt davon ab, ob IPSec-, 802.1X-, DHCP- oder VPN-Erzwingung eingesetzt werden soll.NAP-Erzwingung mit IPSec benötigt den Rollendienst Integritätsregistrierungsinstanz (HRA, Health Registration Authority) und Active Directory-Zertifikatsdienst, sofern noch nicht vorhanden, für die PKI. HRA benötigt die PKI und einen IIS.NAP-Erzwingung mit Hilfe von IPSec:

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Auswahl der Netzverbindungsmethode zur Verwendung mit NAP -> IPSec mit Integritätsregistrierungstelle (HRA)

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Richtlinien

Verbindungsanforderungsrichtlinieno NAP IPSec mit HRA

Integritätsrichtlinieno NAP IPSec mit HRA Kompatibelo NAP IPSec mit HRA Nicht kompatibel

Netzwerkrichtlinieno NAP IPsec mit HRA Kompatibelo NAP IPSec mit HRA Nicht kompatibel

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Integritätsregistrierungsstelle -> Zertifizierungsstelle

NAP-Erzwingung mit 802.1X benötigt in den meisten Fällen auch eine PKI wegen des RADIUS-Servers. Nachdem die 802.1X-Authentifizierungsswitches konfiguriert wurden.NAP-Erzwingung mit 802.1X kann ebenfalls über den Assistenten NAP-Konfigurieren, hier müssen Regeln für VLANs und ACLs erstellt werden.

Page 84: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinien- und Zugriffsschutz -> NPS -> Netzwerkzugriffsschutz (NAP) -> NAP konfigurieren -> Konfigurieren von VLANs (virtuelle LANs)

NAP-Erzwingung mit DHCP benötigt die Angabe von Wartungsservern und falls DHCP nicht auf dem NPS-Server installiert ist einen RADIUS-Proxy.NAP-Erzwingung mit DHCP muss anschließend aktiviert werden.

$mmc servermanager.msc -> Rollen -> DHCP-Server -> <Computername> -> IPv4 -> Eigenschaften -> Netzwerkzugriffsschutz-Einstellen

NAP-Erzwingung benötigt den NAP-Clienten des Client-Computers der mit Gruppenrichtlinienobjekten konfiguriert werden kann.

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration -> Intigritätsregistrierungseinstellungen -> Vertrauenswürdige Servergruppe

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Network Access Protection -> NAP-Clientkonfiguration -> Erzwingungsclients

NAP-Clienten benötigen den Dienst NAP-Agent (Network Access Protection).

$netsh nap client show state

NAP-Integritätsanforderungsrichtlinien legen fest welche Clients Integritätsanforderungen erfüllen müssen.NAP-Integritätsanforderungsrichtlinien sind eine Kombination aus folgenden Elementen:

Verbdingunsanforderungsrichtlinie Systemintegritätsprüfungen Wartungsgruppe Integritätsrichtlinie Netzwerkrichtlinien

NAP-SHVs unter Windows Server 2008 enthält standardmäßig nur die Windows-Sichherheitsintegritätsprüfung.NAP-SHVs können auch von Fremdherstellern implementiert werden.

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung

Page 85: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NAP-Wartungsserver sollten es einem inkompatiblen Computer ermöglichen, seine Systemintegrität zu korrigieren. Folgende Wartungsserver sollten vorhanden sein:

DHCP-Server DNS-Server und WINS-Server Active Directory-Domänencontroller (schreibgeschützt) Internetproxyserver HRAs (das NAP-Clients Integritätszertifikate für IPsec-Erzwingung abrufen

können) IIS-Server (Problembehandlungs-URL-Server, der eine Website vorhält um

Benutzer über das Problem zu informieren) Antivirenupdateserver Antispywareupdateserver Softwareupdateserver

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Systemintegritätsprüfung -> Einstellungen -> NAP-Erzwingung -> Konfigurieren -> Wartungserver und Problembehandlungs-URL

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Netzwerkzugriffsschutz -> Wartungsservergruppe

NAP-Netzwerkrichtlinien stellen fest, ob eine Verbindungsanforderung bestimmte Bedingungen erfüllt, zum Beispiel eine Integritätsrichtlinie oder ob ein Computer NAP-fähig ist.

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien

NAP-Überwachungsmodus ist besonders in der Anfangsphase der NAP-Bereitstellung sinnvoll, um inkompatiblen Computern zu erlauben, Verbindungen zu allen Netzwerkressourcen herzustellen.

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Richtlinien -> Netzwerkrichtlinien -> NAP-IPSec mit HRA Nicht kompatibel -> Einstellungen -> NAP-Erzwingen -> Vollständigen Netzwerkzugriff gewähren

NAP-Protokollierung dient dazu, inkompatible Computer zu identifizieren.

$mmc servermanager.msc -> Rollen -> Netzwerkrichtlinen- und Zugriffsdienste -> NPS -> Eigenschaften -> Allgemein -> Abgelehnte Authentifizierungsanforderungen

$mmc servermanager.msc -> Diagnose -> Ereignisanzeige -> Windows-Protokolle -> Sicherheit

$mmc eventvwr.msc -> Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Netzwork Access Protection -> Operational

Page 86: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

WSUSWSUS (Windows Server Update Service) verwaltet, genehmigt und verteilt Windows-Updates und Microsoft-Updates in Organisationsnetzwerken.WSUS-Clients, unter Windows XP und Windows 2000, Automatische Updates-Client, ist die Komponente die Windows-Updates von WSUS-Server abruft.

$mmc wsus.msc

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update

Interner Pfad für den Microsoft Updatedienst angeben Automatische Updates Konfigurieren Suchhäufigkeit für automatische Updates Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten Automatische Updates sofort installieren Empfohlene Updates über automatische Updates aktivieren Keinen automatischen Neustart für geplante Installationen durchführen Erneut zu einem Neustart für geplante Installationen auffordern Neustart für geplante Installationen verzögern Zeitplan für geplante Installationen neu erstellen Clientseitige Zielzuordnung aktivieren Windows Update-Energieverwaltung aktivieren, um System zur Installation

von geplanten Updates automatisch zu reaktiveren Signierte Updates aus einem Intranetspeicherort für Microsoft-Updatedienst

WSUS-Server sollten für jedes LAN vorgehalten werden. Das bedeutet, wenn eine Organisation mehrere Niederlassungen hat, sollte jede Niederlassung einen WSUS-Server bereitstellen. WSUS-Clients sollten ihre Updates immer aus dem LAN herunterladen können.WSUS-Server können als Downstreamserver konfiguriert werden.WSUS-Downstreamserver holen Updates von einem Upstreamserver.

WSUS-Kopie stellt Updates nicht lokal bereit sondern weißt WSUS-Clients an, die Updates direkt von Microsoft herunterzuladen.

WSUS-Bereitstellung berücksichtigt folgende Voraussetzungen: WSUS-Server benötigt Internet, HTTP-Verbindung WSUS-Downstreamserver benötigen eine Verbindung via HTTP zum WSUS-

Upstreamserver über Port 80 oder via HTTPS auf Port 443 WSUS-Clients benötigen eine Intranet-Verbindung zum WSUS-Server über

HTTP oder HTTPS WSUS-Clients sind kompatibel zu:

o Windows 2000 SP3 oder SP4o Windows XP Professionalo Windows Vistao Windows Server 2003o Windows Server 2008

Page 87: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

WSUS-Installations-Planung1. Updatequelle

Direkt von Microsoft WSUS-Upstreamserver

2. Replikation von Genehmigungen und Konfiguration kopie - Synchronisierung von Genehmigungen, Einstellungen,

Computern und Gruppen vom WSUS-Upstreamserver autonom

3. Updatespeicherung WSUS-Server kopiert Updates und speichert sie lokal Clients kopieren Updates direkt von Microsoft

4. Datenbank C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf Auch MS SQL möglich

5. Websiteauswahl WSUS benötigt IIS Verbindungen über HTTP/HTTPS

6. Sprache7. Produkte

Microsoft Updates Windows Updates

WSUS-Überwachung um fehlgeschlagene Updates zu lokalisieren Windows Update-Konsole $mmc wsus.msc Microsoft System Center Configuration Manager 2007 Microsoft Basline Security Analyzer (MBSA) Netzwerkzugriffsschutz (Netzwork Access Protection, NAP)

WSUS-Konfiguration1. WSUS-Optionen optimieren2. Computergruppen, mit denen die Updates zu unterschiedlichen Zeiten auf

unterschiedliche Gruppen von Computern verteilt werden können3. Clientcomputer konfigurieren für das abfrufen von Updates vom WSUS-

Server4. Testen und Genehmigen von Updates5. Auswerten von Berichten auf Erfolg oder Misserfolg

WSUS-Optionen Updatequelle und Proxyserver Produkte und Klassifizierungen Dateien und Sprachen aktualisieren (d.h. Updatedateien und -sprachen) Synchronisierungszeitplan Automatische Genehmigungen Computer Assistent für Serverbereinigung Berichterstattungsrollup E-Mail-Benachrichtigung Programm zur Verbesserung von Microsoft Update Personalisierung Assistent für die WSUS-Serverkonfiguration

Page 88: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

WSUS-Computergruppen dienen dazu Computermodelle (x86/x64) oder Organisationseinheiten für Updates zu definieren. Es gibt zwei Möglichkeiten Computergruppen zu konfigurieren:

Serverseitige Zuordnungo Eignet sich für kleine Organisationeno Konfiguration über die Update Service Konsoleo mmc wsus.msc

Clientseitige Zuordnungo Eignet sich auch für große Organisationeno Konfiguration über Gruppenrichtlinieneinstellungeno mmc wsus.msc -> Optionen -> Computer Gruppenrichtlinien oder

Registrierungseinstellungen auf Computern verwendeno mmc gpmc.msc -> Computerconfiguration -> Richtlinien ->

Adminsitrative Vorlagen -> Windows-Komponenten -> Windows Updates

WSUS-Problembehandlung Anwendungsereignisprotokoll

o Synchronisierungsereignisse und –Fehler, Datenbankfehlero Detailierte Berichte

%SystemDir%\%Programmfiles%\Updates Services\LogFiles\Change.txt

o Updateinstallations-, Synchronisierungs und WSUS-Konfigurationsänderungs Einträge

o Allgemeine Berichte %SystemRoot%\%Programmfiles%\Update Services\LogFiles\

SoftwareDistribution.txto Debuglogo Detailierte Ablaufberichte

WSUS-Client-Problembehandlung %SystemRoot%\WindwosUpdate.log

o Welcher Updateserver wird kontaktiert?o Fehlermeldungen

$iexplorer.exe http://<WSUSServerName>/iuident.cab $rsop.msc -> Computerkonfiguration -> Administrative Vorlagen ->

Windows-Komponenten -> Windows Update $net stop wuauserv

$net start wuauserv$wuauclt /a

Anwendungs- und Dienstprotokoll -> Microsoft -> WindowsUpdateClient -> Operational

Page 89: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Monitoring

EreignisweiterleitungEreignisweiterleitung (event forwarding) senden Ereignisse die bestimmte Kriterien erfüllen an einen zentralen Rechner.Ereignisweiterleitung sendet Ereignisse über HTTP und HTTPS.Ereignisweiterleitungen nutzen Weiterleitungs- und Sammelcomputer. Beide müssen konfiguriert werden.Ereignisweiterleitung benötigt folgende Dienste auf dem Weiterleitungs- sowie Sammelcomputer:

Windows-Remoteverwaltung Windows-Ereignissammlung

Ereignisweiterleitung auf dem Weiterleitungscomputer benötigt weiterhin eine Windows-Firewallausnahme für eingehende Verbindungen auf Port 80 bzw. 443.

Ereignisweiterleitung Sammelcomputer benötigen das Betriebsystem Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2003 R2.

Ereignisweiterleitung Weiterleitungscomputer benötigen das Betriebssystem Windows XP SP2, Windows Server 2003 SP1, Windows Server 2003 R2, Windows Vista, Windows 7 oder Window Server 2008. Windows XP und Windows Server 2003 benötigen zudem das Paket WS-Management 1.1.

Ereignisweiterleitung Weiterleitungscomputer:$winrm quickconfig$net localgroup “Ereignisprotokollleser” <Sammelcomputer>@<Domänenname> /add

Ereignisweiterleitung Sammelcomputer:$wecutil qc$mmc servermanager.msc -> Diagnose -> Abonnements -> Abonnement erstellen

$wecutil ss <Abonnementname> /cm:custom$wecutil ss <Abonnementname> /hi:<Verzögerungswert in Millisekunden>

$wecutil gs <Abonnementname> (Zeigt den Verzögerungswert an)

$winrm get winrm/config (Bandbreite minimieren / Wartezeit minimieren)

Ereignisweiterleitung SSL, HTTPS, Port 443$winrm quickconfig -transport:https

Page 90: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

SystemmonitorSystemmonitor zeigt Echtzeitleistungsdaten grafisch an.Systemmonitor zeigt zum Beispiel Daten zur Prozessorauslastung, Netzwerkbandbreitenausnutzung oder Arbeitsspeicherbelegung an.Systemmonitor Leistungsindikatoren zeichnen die einzelnen Echtzeitgraphen.

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Überwachungstools -> Systemonitor

ZuverlässigkeitsüberwachungZuverlässigkeitsüberwachung überwacht die Stabilität eines Computers.Zuverlässigkeitsüberwachung zeigt einen Zuverlässigkeitsindex von 0-10 an. 0 ist der niedrigste wert.Zuverlässigkeitsüberwachung zeigt Anwendungsinstallationen, Hardware-, Windows- und sonstige Fehler an.Zuverlässigkeitsüberwachung zeigt die Daten an die von RAC (Reliability Analysis Component) aufgezeichnet wurden.Zuverlässigkeitsüberwachung benötigt den Dienst Aufgabenplanung.

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Überwachungstools -> Zuverlässigkeitsüberwachung

SammlungssätzeSammlungssätze sammeln Systeminformationen, Konfigurationseinstellungen und Leistungsdaten und erzeugen einen Log-File.

Vordefinierte Sammlungssätze in Windows 2008 Server: Active Directory Diagnostics (Active Directory-Diagnose) LAN Diagnostic (LAN-Diagnose) System Performance (Systemleistung) System Diagnostic (Systemdiagnose) Wireless Diagnostic (Drahtlosdiagnose)

Vordefinierte Sammlungssätze zeichnen Daten zwischen einer und fünf Minuten auf.Vordefinierte Sammlungsatz LAN-Diagnose und Drahtlosdiagnose laufen unendlich.

$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Sammlungssatz System$mmc servermanager.msc -> Diagnose -> Zuverlässigkeit und Leistung -> Bericht

Sammlungssätze können auch manuell erstellt oder angepasst werden.

Page 91: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

NetzwerkmonitorNetzwerkmonitor ist ein Protokoll-Analyzer der auf Windows nachinstalliert werden kann.Netzwerkmonitor zeichnet den Netzwerkverkehr auf und analysiert ihn.Netzwerkmonitor zeichnet Frames auf, Schicht-2-Daten, zum Beispiel Ethernetheader.

$nmcap /network * /capture /file <store>.cap

$nmcap /network * /capture “DNS” /file <store>.cap$nmap /network * /disablelocalonly /capture /file <store>.cap$nmap /network * /capture “DHCP” /stopwhen /timeafter 2 min /file <store>.cap$nmcap /inputcapture data.cap /capture DNS /file DNSdata.cap

Netzwerkmonitor erlaubt es, aufgezeichnete Frames zu filtern mit Capture oder Display Filtern. Die Wichtigsten Filter sind:

BaseNetworkTShoot (ICMP, ARP und TCP-Resets / Lowl-Level-Netzwerkproblem)

Broadcasts und No-Broadcasts DNS NameResolution (DNS, NetBIOS und ARP) HttpWebpageSearch MyIPv4Address und MyIPv6Address IPv4Address, IPv6DestinationAddress, IPv6SourceAddress IPv4SubNet

Netzwerkmonitor Filter Beispiele:DNS && IPv4.SourceAdress == 192.168.13.45Contains(http.Request.URI, “page.html“ || contains(http.Request.URI,“other.html“Ethernet.Address == 0x001731D55EFF && DHCP

Page 92: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Datenverwaltung

NTFS-DateiberechtigungenNTFS-Standarddateiberechtigungen für Benutzer- und Systemordner:

Benutzerdateien %USERPROFIEL%o Benutzer: Lesezugriff und Schreibzugriff verweigerto Administratoren und Eigentümer: Vollzugriff

Systemdateien %SYSTEMROOT%o Benutzer: Lesezugriff auf Ordner und Unterordnero Administratoren: Hinzufügen und Ändern

Progamme %PROGRAMFILES%o Benutzer: ausführeno Administratoren: Vollzugriff

Neue Ordner im Stammverzeichnis eines Datenträgereso Benutzer: Lesezugriffo Administratoren: Vollzugriff

NTFS-Standardberechtigungen: Ordnerinhalt auflisten – Ordner kann durchsucht werden Lesen – Ordnerinhalt lesbar; Dateien lesen Lesen, Ausführen – Dateien lesen und ausführen Schreiben – Dateien erstellen Ändern – Ordner und Dateien, lesen, bearbeiten und löschen Vollzugriff – Ordner und Dateien, lesen, bearbeiten und löschen;

Berechtigungen ändern

EFS verschlüsselte Dateisysteme$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsselte Dateisystem

Dateiverschlüsselung mit EFS (Encrypting File System) Inhalte des Ordners „Dokumente“ des Benutzers verschlüsseln Smartcard für EFS verlangen Zwischenspeicherfähige Benutzerschlüssel von Smartcard erstellen Auslagerungsdateiverschlüsselung aktivieren Schlüsselsicherungsbenachrichtigung anzeigen, wenn der Benutzerschlüssel

erstellt oder geändert wird Bei nicht verfügbarer Zertifizierungsstelle EFS gestatten, selbstsignierte

Zertifikate zu erzeugen

$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Netzwerk -> Offlinedateicache verschlüsseln

$mmc gpmc.msc -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Suche -> Indizierung verschlüsselter Dateien zulassen

Page 93: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DRA (Data Recovery Agent)$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für öffentliche Schlüssel -> Verschlüsseltes Dateisystem -> Datenwiederherstellungs-Agent

Datenwiederherstellungs-Agenten oder andere Konten mit sehr hohen Privilegien sollten immer im Kollusion-Mode laufen.Kollusion (geheimes Einverständnis) bezeichnet ein Sicherheitskonzept, bei dem zwei Partner miteinander zusammenarbeiten müssen.Im Fall eines Datenwiederherstellungs-Agenten, teilt man das Benutzerkennwort in zwei Teile und gibt jeweils einen Teil einer anderen Personen.

DFS (Distributed File System)DFS stellt einen einzigen Namespace für freigegebene Ordner in einer Organisation bereit, sowie Redundanz, weil es Replikation implementiert.DFS kann freigegebene Ordner auf mehreren Servern hosten, wobei der Clientcomputer automatisch eine Verbindung zum nächstmöglichen verfügbaren Server herstellt.

$mmc servermanager.msc -> Rollen -> Dateidienste Dateiserver (Freigabe- und Speicherverwaltung) Verteiltes Dateisystem (DFS) Ressourcen-Manager für Dateiserver (Speicherberichte, Kontingenten,

Dateiprüfungsrichtlinien) Dienste für NFS (Network File System) Windows-Suchdienst Dateidienste für Windows Server 2003

$mmc servermanager.msc -> Rollen -> Dateidienste -> DFS-Verwaltung -> Namespace

$dfsutil$dfsutil domain <Domänenname>$dfsutil server <Servername>$dfsutil target <\\Domänenname\Namespacestamm>$dfsutil link <\\Domänenname\Namespacestamm\Ordner>$dfsutil client siteinfo <Clientname>

DFS-Kontingente dienen dazu Benutzer zu überwachen, die mehr als eine festgelegte Menge Festplattenplatz verbrauchen.DFS-Kontingente können erzwungen werden, um zu verhindern, dass Benutzer mehr Festplattenplatz belegen, als ihnen zugewiesen ist.

$mmc fsrm.msc -> Kontingentverwaltung

$dirquota$dirquota quota list$dirquota quota add /Path:<Volumen:\Pfad> /SourceTemplate:”<Kontingentvorlagenname>”

Page 94: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$dirquota quota add /Path:<Volumen:\Pfad> /Limit:<Größe N in>(MB|GB) /Type:(hard|soft)

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> Datenträgerkontingente

Datenträgerkontingente ermöglichen Datenträgerkontingente erzwingen Standarddatenträgerkontingente und Warnrufe Ereignis protokollieren, wenn die Datenträgerkontingentgrenze überschritten

wird Ereignis protokollieren, wenn die Kontingentwarnstufe überschritten wird Richtlinie auf austauschbare Datenträger verwenden

OrdnerfreigabenWindows-Explorer -> Freigabe -> Dateifreigabe

Leser – Schreibgeschützter Zugriff (lesen) Mitwirkender – Lese- und Schreibzugriff (ändern) Mitbesitzer – Lese- und Schreibzugriff sowie Dateiberechtigungen ändern

(Vollzugriff) Besitzer – (Vollzugriff)

$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe bereitstellen -> Assistent zum Bereitstellen eines freigegebenen Ordners (SMB und NFS für Unix-Clients)

$net share$net share <Freigabenamen>=<Volumen:\Pfad>

$net use <Volumen:> <\\Servername\Freigabenname>$net use X: \\Server01\Documents

$dir <\\Servername\Freigabenname>

Offlinedateien$mmc servermanager.msc -> Rollen -> Dateidienste -> Freigabe- und Speicherverwaltung -> Freigabe -> Verwaltung -> Zwischenspeicherung

Nur von Benutzern angegebene Dateien und Programme sind offline verfügbar

Alle Dateien und Programme, die Benutzer auf der Freigabe öffnen, sind automatisch offline verfügbar

Keine Dateien oder Programme der Freigabe sind offline verfügbar

Page 95: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

DateiwiederherstellungSchattenkopien ermöglichen es Datensicherungssoftware, auf Dateien zuzugreifen, die gerade benutzt werden.Schattenkopien von Dateien und Ordnern werden automatisch von Windows erstellt.Schattenkopien speichern jeweils nur die Änderung zur Vorgängerversion.Schattenkopien sind Datensicherungen.

$vssadmin$vssadmin create shadow /For=<Volumen:>

$vssadmin list shadowstorage$vssadmin list shadow

$vssadmin revert shadow /Shadow=<Schattenkopie-ID>$vssadmin revert shadow /Shadow={57384783-49ef-cddc-98a5-448df848}

Windows Server-Sicherung kopiert ein gesamtes Datenträgervolumen in eine .vhd-Datei auf einer zweiten lokalen Festplatte.Windows Server-Sicherungen sind Systemsicherungen (.vhd) und Datensicherungen (Backup<Jahr>-<Monat>-<Tag>-<Uhrzeit>).Windows Server-Sicherung erstellt den Ordner WindowsImageBackup im Stamm des Sicherungsmediums.Windows Server-Sicherung kann mit Hilfe der Aufgabenplanung automatisierte Backups erstellen.

<Volumen:>\WindowsImageBackup\<Computername>

$mmc servermanager.msc -> Features -> Features hinzufügen -> Windows Server-Sicherungsfeatures -> Windows Server-Sicherung

$mmc wbadmin.msc

$wbadmin$wbadmin start backup -backupTarget:<Volumen:> -include:<Volumen:> -quit$wbadmin start systemstaterecovery

Page 96: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Druckerverwaltung Es sollten zwei oder mehr identische Drucker an jedem Standort bereitgestellt

und zu Druckerpools konfiguriert sein. Mit Hilfe von Druckerpools können Benutzer ohne Unterbrechung drucken, auch wenn ein Drucker ausfällt – denn Hardwareprobleme sind bei Druckern recht häufig.

Die gesamte Organisation sollte versucht sein, Druckermodelle auf ein oder zwei verschiedene zu beschränken. Das vereinfacht die Beschaffung von Tinte und Ersatzteile sowie den Schulungsaufwand für die Angestellten.

Drucker sollten direkt mit dem Kabelnetzwerk verbunden sei, statt sie an Server anzuschließen. So können der Standort der Drucker flexibler gewählt werden und die Server physisch optimal geschützt werden.

Benutzer sollten geschult werden, in der Durchführung einfacher Druckerverwaltungsaufgaben, zum Beispiel Nachlegen von Papier, Ersetzen von Tintenpatronen und Beseitigen von Papierstaus. Das verringert die Anzahl von Supportanrufen aufgrund von Druckerproblem.

$mmc servermanager.msc -> Rollen -> Druckerdienste (Dokumente- und Druckerdienste)

Druckserver – Druckerverwaltung für Windows und nicht Windows Clients LDP-Dienst – LDP-Protokoll (Line Printer Daemon Protocol) gewöhnlich für

Unix-Clients Internetdruck – IPP (Internet Printing Protocol) erstellt eine Website auf der

Nutzer Ihre Druckaufträge im Browser verwalten können. Erfordert IIS (Internet Information Service).

Druckerverwalten$mmc printmanagement.msc$mmc printmanagement.msc -> Druckerverwaltung -> Druckerserver -> <Servername> -> Drucker -> Drucker hinzufügen

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Freigeben

Druckauftragsaufbereitung auf Clientcomputern durchführen (Clients führen den prozessorintensieven Renderingvorgang selbst durch)

Im verzeichnis Anzeigen (Falls der Drucker im Active Directory angezeigt werden soll)

Zusätzliche Treiber (Stellt zum Beispiel x64 Versionen des Druckertreibers bereit)

$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Sicherheit

Drucken Drucker verwalten Dokumente verwalten

Page 97: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

$mmc servermanagerment.msc -> Rollen -> Druckerdienste -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> Mit Gruppenrichtlinie bereitstellen

Die Computer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro Computer)

Die Benutzer, auf die dieses Gruppenrichtlinienobjekt angewendet wird (pro Benutzer)

$mmc gpmc.msc -> Richtlinien -> Windows-Einstellungen -> Bereitgestellte Drucker

%SystemRoot%\System32\Printing_Admin_Scripts\de-DE\ PrnMngr.vbs – Drucker hinzufügen und entfernen PrnCnfg.vbs – Drucker konfigurieren (Druckername, Druckerstandort,

Druckerberechtigungen) PrnDrvr.vbs – Druckertreiber hinzufügen und entfernen PrnJobs.vbs – Druckeraufträge verwalten PrnPort.vbs – Druckeranschlüsse verwalten PrnQctl.vbs – Druckertestseite drucken PubPrn.vbs – Druckerveröffentlichung im Active Directory

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prnmngr.vbs -a –p <Druckername> -m “<Druckertreibername>“ -r lpt1:

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prncnfg.vbs -t -s <Servername> -p <Druckername> +keepprintedjobs

$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prndrvr.vbs -l -s <\\Servername>$cscript %SystemRoot%\System32\Printing_Admin_Scripts\de-DE\prndrvr.vbs -a -m “<Druckertreibername>” -v 4 -e “<Architektur>” -i <Volumen:\Pfad\Treiberdatei.inf> -h <Volumen:\Pfad>

Migration: Druckerimportieren und Druckerexportieren$printbrm –b –f printers.printerexport$printbrm –r –f printers.printersexport

Page 98: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Druckertreiber$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Treiber

$mmc gpmc.msc -> Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Geräte: Anwender das Installieren von Druckertreibern nicht erlauben

Druckerpools$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Druckerpool

Druckerpools dienen dazu den Druckprozess zu verschnellern und Ausfallsicherheit herzustellen.Drucker eines Druckerpools müssen alle denselben Druckertreiber verwenden, es müssen also nicht identische Geräte sein (meist funktioniert ein Druckertreiber für mehrere Geräte einer Firma).Es sollte nur ein Drucker eines Druckerpools freigegeben sein, sonst kann der Pool umgangen werden.

Druckerprioritäten$mmc printmanagemnet.msc -> Druckerverwaltung -> Druckserver -> <Servername> -> Drucker -> <Druckername> -> Eigenschaften -> Erweitert -> Priorität

Druckerprioritäten können mit Hilfe von mehreren logischen Installationen eines Druckers gelöst werden. Jeder logischen Installation wird eine andere Priorität zugewiesen.

InternetdruckerInternetdrucker können mit Internet Explorer verwaltet werden.Internetdrucker benötigen im Internet Explorer die Option, dass Add-Ons ausgeführt werden dürfen.Internetdrucker können zum Beispiel eine bequeme Alternative für Gäste sein.

http://<Servername>/Drucker/http://<Servername>/Drucker/<Druckername>/.drucker

Druckerbenachrichtigungen$mmc servermanager.msc -> Druckerdienste -> Druckerverwaltung -> Benutzerdefinierte Filter -> Neuer Druckerfilter

Feld – definiert, welche Kriterien verglichen werden. Zum Beispiel Warteschlangenstatus

Bedingung

Page 99: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Wert

Page 100: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

MMC Microsoft Management Console + Microsoft Saved Console

Standard Konsolen in \Windows\System32\

certmgr.msc Manages certificatesciadv.msc Manages the Indexing Service compmgmt.msc The Computer Management Consoledevmgmt.msc The Device Managerdfrg.msc Disk Defragmenterdiskmgmt.msc Disk Managementeventvwr.msc Event Viewer for managing system logsfsmgmt.msc Shared Folder Management gpmc.msc Group Policy Editorlusrmgr.msc Local Users and Groups Managerntmsmgr.msc Removable Storage Manager ntmsoprq.msc Removable Storage Operator Requestsperfmon.msc System Performance Monitor rsop.msc Resultant Set of Policysecpol.msc Security Policyservices.msc Manages serviceswmimgmt.msc Windows Management Instrumentation Service

Page 101: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Services# Copyright (c) 1993-1999 Microsoft Corp.## Diese Datei enthält die Portnummern für bekannte Dienste gemäß IANA.## Format:## <Dienstname> <Portnummer>/<Protokoll> [Alias...] [#<Kommentar>]#

echo 7/tcpecho 7/udpdiscard 9/tcp sink nulldiscard 9/udp sink nullsystat 11/tcp users #Active userssystat 11/tcp users #Active usersdaytime 13/tcpdaytime 13/udpqotd 17/tcp quote #Quote of the dayqotd 17/udp quote #Quote of the daychargen 19/tcp ttytst source #Character generatorchargen 19/udp ttytst source #Character generatorftp-data 20/tcp #FTP, dataftp 21/tcp #FTP. controltelnet 23/tcpsmtp 25/tcp mail #Simple Mail Transfer Protocoltime 37/tcp timservertime 37/udp timserverrlp 39/udp resource #Resource Location Protocolnameserver 42/tcp name #Host Name Servernameserver 42/udp name #Host Name Servernicname 43/tcp whoisdomain 53/tcp #Domain Name Serverdomain 53/udp #Domain Name Serverbootps 67/udp dhcps #Bootstrap Protocol Serverbootpc 68/udp dhcpc #Bootstrap Protocol Clienttftp 69/udp #Trivial File Transfergopher 70/tcpfinger 79/tcphttp 80/tcp www www-http #World Wide Webkerberos 88/tcp krb5 kerberos-sec #Kerberoskerberos 88/udp krb5 kerberos-sec #Kerberoshostname 101/tcp hostnames #NIC Host Name Serveriso-tsap 102/tcp #ISO-TSAP Class 0rtelnet 107/tcp #Remote Telnet Servicepop2 109/tcp postoffice #Post Office Protocol - Version 2pop3 110/tcp #Post Office Protocol - Version 3sunrpc 111/tcp rpcbind portmap #SUN Remote Procedure Callsunrpc 111/udp rpcbind portmap #SUN Remote Procedure Callauth 113/tcp ident tap #Identification Protocoluucp-path 117/tcpnntp 119/tcp usenet #Network News Transfer Protocolntp 123/udp #Network Time Protocolepmap 135/tcp loc-srv #DCE endpoint resolutionepmap 135/udp loc-srv #DCE endpoint resolutionnetbios-ns 137/tcp nbname #NETBIOS Name Servicenetbios-ns 137/udp nbname #NETBIOS Name Servicenetbios-dgm 138/udp nbdatagram #NETBIOS Datagram Servicenetbios-ssn 139/tcp nbsession #NETBIOS Session Service

Page 102: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

imap 143/tcp imap4 #Internet Message Access Protocolpcmail-srv 158/tcp #PCMail Serversnmp 161/udp #SNMPsnmptrap 162/udp snmp-trap #SNMP trapprint-srv 170/tcp #Network PostScriptbgp 179/tcp #Border Gateway Protocolirc 194/tcp #Internet Relay Chat Protocol ipx 213/udp #IPX over IPldap 389/tcp #Lightweight Directory Access Protocolhttps 443/tcp MComhttps 443/udp MCommicrosoft-ds 445/tcpmicrosoft-ds 445/udpkpasswd 464/tcp # Kerberos (v5)kpasswd 464/udp # Kerberos (v5)isakmp 500/udp ike #Internet Key Exchangeexec 512/tcp #Remote Process Executionbiff 512/udp comsatlogin 513/tcp #Remote Loginwho 513/udp whodcmd 514/tcp shellsyslog 514/udpprinter 515/tcp spoolertalk 517/udpntalk 518/udpefs 520/tcp #Extended File Name Serverrouter 520/udp route routedtimed 525/udp timeservertempo 526/tcp newdatecourier 530/tcp rpcconference 531/tcp chatnetnews 532/tcp readnewsnetwall 533/udp #For emergency broadcastsuucp 540/tcp uucpdklogin 543/tcp #Kerberos loginkshell 544/tcp krcmd #Kerberos remote shellnew-rwho 550/udp new-whoremotefs 556/tcp rfs rfs_serverrmonitor 560/udp rmonitordmonitor 561/udpldaps 636/tcp sldap #LDAP over TLS/SSLdoom 666/tcp #Doom Id Softwaredoom 666/udp #Doom Id Softwarekerberos-adm 749/tcp #Kerberos administrationkerberos-adm 749/udp #Kerberos administrationkerberos-iv 750/udp #Kerberos version IVkpop 1109/tcp #Kerberos POPphone 1167/udp #Conference callingms-sql-s 1433/tcp #Microsoft-SQL-Server ms-sql-s 1433/udp #Microsoft-SQL-Server ms-sql-m 1434/tcp #Microsoft-SQL-Monitorms-sql-m 1434/udp #Microsoft-SQL-Monitor wins 1512/tcp #Microsoft Windows Internet Name Servicewins 1512/udp #Microsoft Windows Internet Name Serviceingreslock 1524/tcp ingresl2tp 1701/udp #Layer Two Tunneling Protocolpptp 1723/tcp #Point-to-point tunnelling protocolradius 1812/udp #RADIUS authentication protocolradacct 1813/udp #RADIUS accounting protocolnfsd 2049/udp nfs #NFS serverknetd 2053/tcp #Kerberos de-multiplexo

Page 103: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

man 9535/tcp #Remote Man Server

Page 104: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

Links und Downloads

TechNethttp://technet.microsoft.com/

TechNet Virtual Labs: Windows Serverhttp://technet.microsoft.com/en-us/windowsserver/default.aspx

TechNet Virtual Labs: Windows Server 2008http://technet.microsoft.com/de-de/windowsserver/bb512925.aspx

TechNet Library: Windows Server 2008 und Windows Server 2008 R2http://technet.microsoft.com/de-de/library/cc728909.aspx

TechNet Library: Windows 2008 Server und Windows Vista TCP/IP-Stackhttp://technet.microsoft.com/de-de/library/cc754287(WS.10).aspxhttp://www.microsoft.com/germany/technet/datenbank/articles/600902.mspx

TechNet Library: Windows Serverhttp://technet.microsoft.com/en-us/library/bb625087.aspx

TechNet Library: DNShttp://technet.microsoft.com/en-us/library/cc779380(WS.10).aspx

TechNet Library: DNS Serverhttp://technet.microsoft.com/en-us/library/cc732997(WS.10).aspx

TechNet Library: DHCPhttp://technet.microsoft.com/en-us/library/cc778368(WS.10).aspx

TechNet Library: DHCP Serverhttp://technet.microsoft.com/en-us/library/cc896553(WS.10).aspx

TechNet Networking and Access Technologies: Routing und RAShttp://technet.microsoft.com/en-us/network/bb545655.aspx

TechNet Networking and Access Technologies: IPSechttp://technet.microsoft.com/en-us/network/bb531150.aspx

Windows Server 2008 Websitehttp://www.microsoft.com/germany/windowsserver2008/default.mspx

Windows Cmd Referencehttp://gattner.name/simon/public/microsoft/Windows%20Cmd%20Reference/

Microsoft Netzwerkmonitorhttp://www.microsoft.com/downloads/en/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en

Page 105: 70-642 Konfiguration einer Netzwerkinfrastruktur · Web viewTitle 70-642 Konfiguration einer Netzwerkinfrastruktur Subject Windows Server 2008 Author Simon Gattner Keywords Windows,

IPv4http://www.ietf.org/rfc/rfc791.txthttp://www.ietf.org/rfc/rfc3927.txt

IPv6http://www.ietf.org/rfc/rfc2373.txthttp://www.ietf.org/rfc/rfc2460.txthttp://www.ietf.org/rfc/rfc2462.txt

DNShttp://www.ietf.org/rfc/rfc1034.txthttp://www.ietf.org/rfc/rfc1035.txthttp://www.ietf.org/rfc/rfc1591.txt

DHCP/BOOTPhttp://www.ietf.org/rfc/rfc2131.txthttp://www.ietf.org/rfc/rfc2132.txthttp://www.ietf.org/rfc/rfc3736.txt