Netzwerke Kompendium - *ISBN 3-8272-6902-4 ......BIOS-Name darf im Prinzip nur einmal im Netzwerk vorkommen (es gibt aber Ausnahmen). Er darf maximal 15 Zeichen lang

[Networking Kompendium] 93

2 Windows-Netzwerke

Mit Windows lassen sich inzwischen Netzwerke beliebiger Größe bauen:Ob im Small Office oder im weltumspannende Superkonzern – überallbefinden sich Windows-Clients und -Server im Einsatz.

Dieses Kapitel zeigt, wie man Netzwerke mit verschiedenen Windows-Ver-sionen aufbaut. Der Schwerpunkt liegt auf Windows XP Professional fürPeer-to-Peer-Netze mit kleinen Arbeitsgruppen. Ein eigener Abschnitt wid-met sich dem Active Directory, das für sehr große Netzwerke wichtig ist.Nach den Grundlagen, die wichtige Begriffe erklären, geht es um die ver-schiedenen Arten der TCP/IP-Konfiguration, um das Arbeiten im Netz undum die Fehlersuche.

2.1 Grundlagen

Dieser Abschnitt beschreibt wichtige Begriffe im Zusammenhang mit Netz-werken, die man kennen sollte, bevor man sich an die Arbeit macht.

Peer-to-Peer versus Server

Mit allen Windows-Versionen lassen sich so genannte Peer-to-Peer-Netz-werke aufbauen. In einem solchen Netz kann jeder PC seine Laufwerke oderDrucker anderen zur Verfügung stellen: Er fungiert damit als Server. Alleanderen PCs, die seine Laufwerke oder Drucker benutzen, sind die Clients.Ein Client kann aber seinerseits ebenfalls Laufwerke und Drucker zur Ver-fügung stellen und wird damit zum Server. Jeder PC kann also Client undServer zugleich sein. Das ist ein Kennzeichen eines Peer-Netzes: Alle PCssind gleichberechtigt.

Jeder PC in einem Peer-Netz verwaltet seine eigenen Benutzerkonten, wel-che durch einen Benutzernamen und ein Passwort gekennzeichnet sind.Meldet sich ein Anwender an einem PC an, gibt er seinen Benutzernamenund sein Passwort ein und erhält Netzwerkzugang, weil er über ein lokalesBenutzerkonto verfügt. Meldet sich der gleiche Anwender an einem anderenPC an, muss er auch dort über ein lokales Benutzerkonto verfügen. Aufjedem PC muss also extra ein Konto eingerichtet sein. Das ist typisch für einPeer-Netz.

http://www.mut.de/main/main.asp?page=bookdetails&isbn=3827269024http://www.pearsoned.de

Kapitel 2 Windows-Netzwerke

[Networking Kompendium]94

Freigabeverwaltung

Die Ressourcen eines Peers, wie Ordner, Laufwerke oder Drucker, müssenvom Anwender dieses Peers explizit freigegeben werden, damit sie vonanderen über das Netzwerk genutzt werden können. Diese Netzwerkfreiga-ben lassen sich mit einem Passwort schützen.

Zu den Netzwerkfreigaben kommen die lokalen Freigaben hinzu, diebestimmte Zugriffsberechtigungen für eine Ressource auf Basis eines Benut-zerkontos gewähren. Lokale Freigaben erfordern NTFS. Widersprechensich Netzwerkfreigaben und lokale Freigaben, gelten die restriktiveren Ein-schränkungen.

Befinden sich viele passwortgeschützte Freigaben in einem Peer-Netzwerk,muss sich jeder Anwender viele Passwörter merken – auf die Dauer wird daslästig bis unmöglich. Ab einer gewissen Netzwerkgröße ist daher einAnmelde-Server notwendig, der alle Benutzerkonten des Netzwerks zentralverwaltet – in Microsoft-Netzwerken Domänencontroller genannt. DerZugriff auf eine Freigabe hängt dann nicht mehr von einem Passwort ab,sondern vom Benutzerkonto: Das Merken der Freigabe-Passwörter entfällt– die Verwaltung des Netzwerks wird deutlich vereinfacht.

Benutzerkontendatenbank

Vorteil eines Anmelde-Servers ist also die zentrale Verwaltung der Benutzer-konten. Alle Benutzerkonten – sei es auf einem Peer oder einem Server –werden in der Benutzerkontendatenbank gespeichert – in Domänen imActive Directory. Die Benutzerkontendatenbank ist der sensibelste Bereicheines Rechners und entsprechend geschützt. In Active-Directory-Domänenwird diese Datenbank aus Redundanzgründen zwischen mehreren Domä-nencontrollern verteilt oder repliziert. Fällt ein Domänencontroller aus,übernimmt ein anderer seine Aufgaben. Kommt ein neuer Domänencontrol-ler hinzu, werden alle Konten oder ein Teil davon automatisch auf denneuen Server repliziert.

Anmeldescripts

Meldet sich ein Rechner an einer Domäne an, kann ein so genanntes Anmel-descript abgearbeitet werden. Es befindet sich auf einem Domänencontrol-ler und enthält Befehle, die bei der Anmeldung am Netzwerk ausgeführtwerden. Typische Anwendungen sind Laufwerk-Mappings auf Server-Ord-ner und -Partitionen oder das Ausführen bestimmter Programme wieVirenscanner – Anmeldescripts sind ziemlich flexibel. Durch die zentraleVerwaltung können auch sehr viele Anmeldescripts noch effizient verwaltetwerden.

Grundlagen Kapitel 2


Natürlich kann man ein Anmeldescript auch auf seinem lokalen PC spei-chern und es wird genau so funktionieren, der Vorteil serverbasierter Scriptsliegt wie bei den Benutzerkonten in der zentralen Verwaltung.

Protokolle, Clients und Dienste

Damit ein Windows-PC in einem Netzwerk arbeiten kann, sind verschie-dene Komponenten nötig. Dazu gehören Protokolle, Clients und Dienste.Bei einer Standard-Installation von Windows XP befinden sich die folgen-den Komponenten in den Eigenschaften einer Netzwerkverbindung:

Abbildung 2.1:Die Eigenschaften einer LAN-Verbin-dung

Wichtig ist das Protokoll, das alle Aktionen über das Netzwerk steuert.

Protokolle

Seit Windows 2000 wird TCP/IP als Standard-Protokoll installiert. Es istroutbar und standardisiert und kann damit auch in sehr großen Netzen ein-gesetzt (Internet!) werden, sodass sehr viele verschiedene Betriebssystememit diesem Protokoll kommunizieren können. Es hat Novells IPX/SPX, einebenfalls routbares Protokoll, großenteils verdrängt und in der Windows-Welt NetBEUI abgelöst – ein nicht routbares Protokoll für kleine Netze.NetBEUI wird bei Windows XP nicht mehr installiert, kann aber über dieCD nachinstalliert werden. NetBEUI reicht für kleine Netze aus. Sein großerVorteil besteht darin, dass es nicht konfiguriert werden muss im Gegensatzzu TCP/IP, dessen Konfiguration einige Kenntnisse erfordert. In einem Win-dows-Netzwerk laufen noch andere Protokolle, wie SMB, die aber nichtüber die Oberfläche konfigurierbar sind. SMB ist im Protokollteil beschrie-ben.



Clients

Die zweite wichtige Komponente in einem Windows-Netzwerk sind dieClients. Ab Windows XP gibt es nur noch den Client für Microsoft-Netz-werke, der Novell-Client ist verschwunden, kann aber separat nachinstal-liert werden. Der Microsoft-Client ermöglicht die Kommunikation imNetzwerk, die nicht auf TCP/IP beruht – besonders den Zugriff auf Res-sourcen mit SMB. Mithilfe von Clients werden Netzwerk-Ressourcenanhand ihres Namens gefunden.

Clients und Protokolle müssen an die Netzwerkkarte gebunden werden, einVorgang, der bei Windows XP nicht mehr die Bedeutung wie bei früherenWindows-Versionen hat. SMB läuft über das Internet. Wird also der Micro-soft-Client an die Internetschnittstelle (Netzwerkkarte, Modem) gebundenund entsprechend konfiguriert, können Daten über das Internet ausge-tauscht werden. Nicht etwa mit speziellen Programmen, sondern mit demExplorer! Eigentlich bilden alle Windows-PCs dieser Welt, die mit demInternet verbunden sind, somit ein großes Netzwerk auf Basis von SMB. Inder Praxis wird SMB im Internet aber kaum benutzt, weil es langsam ist und– wichtiger – weil es zu großen Sicherheitslücken führt. Vor allem die 9x-basierten Windows-Versionen waren per Voreinstellung (und sind es teil-weise immer noch) falsch konfiguriert, sodass ein Zugang über das Internetauf den eigenen PC möglich ist. Diese Sicherheitslücke ist in Windows XPentschärft, aber immer noch vorhanden. Die Moral von der Geschicht’:Binde den Microsoft-Client an die Internetschnittstelle nicht!

Dienste

Die dritte wichtige Komponente sind die Dienste. Dienste sind Prozesse, dieohne Anmeldung eines Anwenders beim Booten des PC gestartet werden.Sie stellen (spezifische) Funktionen bereit, die der PC für seine Arbeit benö-tigt. Typisch sind Server-Dienste wie der WWW-Dienst. Vorinstalliert wirdder QoS-Paketplaner, der bestimmte Daten priorisiert. Die Datei- und Dru-ckerfreigabe ist ebenfalls ein Dienst.

Namen, Arbeitsgruppen und Domänen

Computer haben Namen. In Windows-Netzen sind das sie so genanntenNetBIOS-Namen, die nach bestimmten Regeln aufgebaut sind: Jeder Net-BIOS-Name darf im Prinzip nur einmal im Netzwerk vorkommen (es gibtaber Ausnahmen). Er darf maximal 15 Zeichen lang sein. Groß- und Klein-schreibung wird nicht beachtet. Er besteht nur aus Buchstaben und Zahlensowie den folgenden Sonderzeichen:

! @ # $ % ^ & ( ) – _ ‘ { } .



Am einfachsten verwendet man nur Buchstaben und Zahlen sowie denUnterstrich. Computernamen dürfen immer nur einmal im Netzwerk vor-kommen.

Wenn ein NetBIOS-Name kürzer als 15 Zeichen ist, wird der Rest mit Nul-len aufgefüllt. Jeder NetBIOS-Name verfügt noch über ein 16. Zeichen, dasden Typ der Ressource angibt, die den Namen registriert hat. Mehr dazu imKapitel über NetBIOS.

ICON: Info

Alle Windows-Versionen konvertieren jeden NetBIOS-Namen intern immerin Großbuchstaben, deswegen ist es egal, ob man bei NetBIOS-NamenGroß- oder Kleinschreibung oder eine Mischung verwendet.

Wird DNS zur Namensauflösung eingesetzt (in kleineren Netzen eherunüblich), tritt an die Stelle des NetBIOS-Namens der DNS-Name(FQDN), der sich aus dem NetBIOS-Namen ableitet. Für die FQDNs gelteneigene Regeln, die im Protokollteil beschrieben sind.

Arbeitsgruppen

Arbeitsgruppen sind in Peer-Netzen das Mittel zum Gruppieren von Com-putern nach logischen Gesichtspunkten, wie zum Beispiel Buchhaltung,Auslieferung oder Werbung. Arbeitsgruppen tauchen in der Netzwerkumge-bung des Explorers als eigenständiges Symbol auf. Darunter werden die ein-zelnen Computer innerhalb der Arbeitsgruppe angezeigt. Unterhalb einesComputers befinden sich seine Freigaben. Ein Computer kann immer nurMitglied in einer Arbeitsgruppe sein.

Arbeitsgruppennamen sind ebenfalls NetBIOS-Namen. Diese müssen nichteindeutig sein. Im Gegenteil: Es sollten sich immer mehrere Computer ineiner Arbeitsgruppe befinden, sonst ist die Gruppenbildung überflüssig.

ICON: Info

Beim Zugriff auf einen Netzwerk-Computer spielt es keine Rolle, in welcherArbeitsgruppe sich dieser befindet. Jeder PC hat grundsätzlich immerZugriff auf jede Arbeitsgruppe. Zugriffsbeschränkungen werden immer nurüber Netzwerkfreigaben und lokale Freigaben gesteuert, niemals über dieArbeitsgruppe.

Jeder kann Arbeitsgruppen aufmachen. Ist die Gruppe nicht vorhanden,wird sie einfach neu erzeugt. Dieser Wildwuchs ist eine der Unzulänglichkei-ten eines Peer-Netzwerks.

Computer- und Arbeitsgruppenname werden seit Windows XP in den System-eigenschaften eingestellt und nicht mehr in den Netzwerkeigenschaften:



Abbildung 2.2:Ändern von Compu-

ter- und Arbeits-gruppenname

An die Stelle der Arbeitsgruppe tritt in Server-basierten Windows-Netzwer-ken die Domäne.

Domänen

Domänen können nur mit Administratorrechten definiert werden und ste-hen untereinander über Vertrauensstellungen in Verbindung. Auch Domä-nen gruppieren Computer nach bestimmten Gesichtspunkten:

nach logischen Gesichtspunkten wie bei Arbeitsgruppen

nach funktionalen Gesichtpunkten

nach geografischen Gesichtspunkten

Bei einer Einteilung nach Funktionen können zum Beispiel alle Domänen-controller eine eigene Domäne bilden (Anmelde-Domäne), alle Mail-Serverkönnen die Mailer-Domäne bilden, alle SQL-Server die Datenbank-Domäneusw.

Eine geografische Einteilung könnte Niederlassungen in verschiedenen Län-dern berücksichtigen.

Die Aufteilung in Domänen hängt von den jeweiligen Gegebenheiten undAnforderungen ab. Seit Windows 2000 und Active Directory sind Domänenin hierarchischen Strukturen organisiert – mehrere Strukturen bilden dieGesamtstruktur. Der Grund für diese Strukturierung ist die Kompatibilitätzum DNS (vergleiche Protokollteil).



ExkursZugriffssteuerung

Bei Windows-9x-Systemen spielt die so genannte Zugriffssteuerung einewichtige Rolle. Unterschieden wird zwischen Zugriffssteuerung auf Freiga-beebene für Peer-Netzwerke und Zugriffssteuerung auf Benutzerebene fürServer-basierte Netzwerke.

Mit Freigabeebene sind die freigegebenen Verzeichnisse gemeint, die in derNetzwerkumgebung angezeigt werden. Diese Freigaben können vor unbe-fugtem Zugriff geschützt sein, etwa durch Angabe eines Passworts für denlesenden sowie eines weiteren Passworts für den schreibenden Zugriff.Jeder, der das Passwort kennt, hat entsprechenden Zugriff auf diese eineFreigabe.

Bei der Benutzerebene ist ein Anmelde-Server wie ein Windows-2000-Domänencontroller nötig. Der Zugriff auf Freigaben erfolgt bei einem sol-chen Server-basierten System auf Benutzerbasis. Ein Benutzer hat Berechti-gungen, auf Freigaben in einer festgelegten Art und Weise zuzugreifen, undnicht jeder, der das Passwort für die Freigabe kennt. Passwörter für Freiga-ben gibt es bei Server-basierten Systemen nicht. Das ist ein weiterer wichti-ger Grund, warum man überhaupt einen Server einsetzt: die zentraleVerwaltung der Freigaben auf File-Servern.

Abbildung 2.3:Zugriffssteuerung auf Freigabeebene ist der Standard in einem Peer-Netz mit Windows-9x-Rechnern. Freiga-ben können dabei mit Passwörtern geschützt sein.

Wird die Zugriffssteuerung auf Benutzerebene gewählt, so ist der Server-Name einzutragen, von dem die Benutzer- und Gruppenliste geladen wird.



Benutzerverwaltung

Die Benutzerverwaltung erfolgt in größeren Netzwerken immer zentral überdas Active Directory, in Peer-Netzen werden Benutzer und Gruppen lokalangelegt und verwaltet.

Windows XP-Peer

Wird Windows XP in einem Peer-Netz eingesetzt, kann über die Benutzer-verwaltung festgelegt werden, wer sich am System anmelden darf und – inbestimmten Grenzen – wer auf welche Ressourcen wie zugreifen darf. BeideVersionen – Home Edition und Professional Edition – unterscheiden sichdabei deutlich.

Beide Windows-XP-Versionen unterscheiden zwei Typen von Benutzern:den Computeradministrator und den eingeschränkten Benutzer. Die fol-gende Abbildung aus dem Hilfe-System zeigt die Unterschiede:

Abbildung 2.4:Die zwei Benutzer-typen von Windows

XP

Das Anlegen eines neuen Benutzers erfolgt einfach über das Applet Benut-zerkonten in der Systemsteuerung. Alle Benutzer, die dort angelegt werden,



dürfen sich am System anmelden. Insofern unterscheiden sich die beidenWindows-XP-Versionen nicht.

Beim Zugriff auf Ressourcen – besonders auf das Dateisystem – sind dieUnterschiede zwischen beiden Systemen jedoch erheblich.

Bei der Home Edition erhält jeder Anwender sein eigenes Verzeichnis unter-halb des Ordners DOKUMENTE UND EINSTELLUNGEN. Für den Anwenderbm existiert zum Beispiel dort das Verzeichnis BM. Innerhalb dieses Ordnersbefindet sich das Verzeichnis DATEIEN VON BM. Dieser Ordner kann so kon-figuriert werden, dass nur der Anwender bm dort Zugriff hat – allen ande-ren Anwendern (außer den Administratoren) wird der Zugriff verweigert.Auf diese Art ist ein Schutz der eigenen Dateien vor anderen eingeschränk-ten Anwendern realisiert. Damit eingeschränkte Anwender auf einengemeinsamen Datenpool zugreifen können, existiert der Ordner GEMEIN-SAME DOKUMENTE, auf den alle Anwender Zugriff haben, auch schreibend.

Eingeschränkte Anwender haben zudem auf die folgenden Ordner keinenZugriff:

%SYSTEMROOT%\PROGRAMME

%SYSTEMROOT%\DOKUMENTE UND EINSTELLUNGEN

%SYSTEMROOT%\WINDOWS

Alle anderen Ordner und Dateien können jedoch beliebig manipuliert wer-den. Immerhin ist damit ein Schutz der eigenen Ordner und Dateiengewährleistet.

Im Unterschied dazu verwendet die Professional-Version ein sehr viel ausge-feilteres Verfahren für Zugriffsbeschränkungen auf das Dateisystem durchvolle Unterstützung des Dateisystems NTFS, das bei der Home Edition zwarauch vorhanden ist, aber nur in eingeschränkter Version.

NTFS bietet die Vergabe von detaillierten Zugriffsberechtigungen aufAnwender- und Gruppenbasis für Ordner sowie einzelne Dateien und wirdspäter in diesem Kapitel im Abschnitt über Freigaben detaillierter bespro-chen. NTFS-Berechtigungen spielen auch bei den integrierten Server-Anwendungen (IIS) eine große Rolle bzw. machen sie überhaupt erst mög-lich. Das Web-Server-Kapitel enthält mehr Informationen darüber.



2.2 Active Directory

Mit Windows 2000 wurde der Verzeichnisdienst Active Directory einge-führt. Dieser Abschnitt gibt einen Überblick über die Vorteile und stellt dieKonzepte vor.

Was ist ein Verzeichnis?

Der Verzeichnisdienst von Windows 2000 heißt Active Directory (AD). Beieinem Verzeichnis (engl. Directory, data store) handelt es sich um eineZuordnungsliste, wie zum Beispiel bei einem Telefonbuch: Es ordnet Tele-fonnummern den jeweiligen Anschlüssen (Besitzern) zu. Das AD ordnetverschiedenen Netzwerkobjekten wie Usern, Computern u.a., Eigenschaftenzu.

Abbildung 2.5:Das Active Directoryspeichert viele inte-ressante Objekte ineinem Netzwerk. Esvereinfacht die Ver-

waltung und dieSuche nach Res-sourcen (Quelle:Microsoft.Corp).

Die Vorteile eines Verzeichnisdienstes sind: Single Sign On und vereinfachteSuche nach Ressourcen

Single Sign On bedeutet, dass sich ein User nur einmal am Netz anmeldenmuss und dann Zugriff auf alle im Netz befindlichen Ressourcen hat – egalwo sich diese befinden. Benutzername und Passwort werden kein zweitesMal abgefragt.

Wird in einem Netzwerk ohne Verzeichnisdienst nach einer Ressourcegesucht, zum Beispiel nach einem freigegebenen Ordner, so muss man wis-sen, auf welchem Server sich diese Freigabe befindet. Mit dem AD können

Active Directory Kapitel 2


dagegen alle Server automatisch durchsucht werden. Das Suchen nach Res-sourcen ist eine der Hauptfunktionen des AD.

Komponenten des AD

Das AD besteht aus einer Datenbank, die Informationen über das Netzwerkwie User, Gruppen und Computer enthält. Die Datensätze heißen im AD-Jargon »Objekte« und die Eigenschaften »Attribute«. Ein User ist zum Bei-spiel ein Objekt im AD, der Name »Meier« ein Attribut dieses Objekts.Welche Objekttypen im AD verfügbar sind, lässt sich beeinflussen, indemman neue Typen definiert. Das Muster, nach dem man dabei vorzugehenhat, ist das Schema: Es definiert die Objekte und ihre Attribute.

Domänen

Das Konzept der Domänen bleibt in Windows 2000/XP erhalten. EineDomäne ist eine logische Verwaltungseinheit, die der Strukturierung desNetzwerks dient. NT-4-Domänen enthalten einen so genannten primärenDomänencontroller (Primary Domain Controller, PDC), der die Benutzer-kontendatenbank (SAM) verwaltet und diese auf beliebig viele sekundäreDomänencontroller (Backup Domain Controller, BDC) repliziert. Bei die-sem Masterreplikation genannten Verfahren wird die Benutzerkontendaten-bank immer vom PDC auf die BDCs repliziert. Die BDCs können zwar eineReplikation veranlassen, jedoch immer nur in einer Richtung. Änderungenan der SAM müssen immer am PDC erfolgen.

Die Rolle des PDC und der BDCs wird seit Windows 2000 zugunsten einesPeer-Modells aufgegeben. Alle Domänencontroller eines Windows-2000-Forests sind gleichberechtigt. Die Replikation erfolgt nach dem Multimas-termodell, bei dem jeder Domänencontroller mit jedem anderen eine Repli-kation ausführen darf, wobei bestimmte Replikationsmechanismen dafürSorge tragen, dass die Replikation korrekt durchgeführt wird (was passiertzum Beispiel, wenn ein Attribut gleichzeitig auf zwei Domänencontrollerngeändert wird?).

Für kleinere Netze reicht eine Domäne aus. Sie enthält die Anmelde- sowiedie Ressourcen-Server und alle Workstations. Bei größeren Netzen bietetsich die Abbildung der Ressourcen durch Domänen an: Anmeldedomäne,File-Service-Domäne, Print-Service-Domäne usw. Möglich, aber in denmeisten Fällen nicht empfehlenswert ist die Abbildung der Firmenstrukturmit Domänen. Zum Beispiel könnten einzelne Abteilungen eigene Domänenbilden. Eine größere Hierarchie lässt sich aber aufgrund des flachen Domä-nenmodells von NT4 nicht abbilden.

Die verschiedenen Domänenmodelle von NT4 verschwinden bei Windows2000/XP völlig. Das bedeutet: Es wird nicht mehr zwischen Anmelde- undRessourcendomänen unterschieden.



Abbildung 2.6:Domänen fassen

PCs zu Verwal-tungseinheiten

zusammen. Die bei-den unteren Domä-

nen (Ovale) sindRessourcendomä-

nen, die derKontendomäne

(Rechteck)vertrauen.

Mixed Mode-Domänen

Mixed Mode-Domänen enthalten sowohl NT4-Domänencontroller als auchWindows-2000/XP-Domänencontroller. Bei der Verwendung von MixedMode-Domänen muss man auf die Vorteile von Windows 2000/XP verzich-ten, zum Beispiel auf die Verwendung der neuen Gruppentypen, da dieAbwärtskompatibilität zu NT 4 gewahrt bleiben muss. Mixed Mode-Domänen entstehen häufig bei der Migration bestehender NT-4-Systemeauf Windows 2000/XP.

Eine Mixed Mode-Domäne kann auch nur aus Windows-2000-Domänen-controllern bestehen und trotzdem eine Mixed Mode-Domäne sein. DiePromotion einer Native Mode- zu einer Mixed Mode-Domäne muss explizitvon Hand durchgeführt werden. So lange das nicht der Fall ist, bleibt dieDomäne im Mixed Mode.

Die Promotion einer Domäne vom Mixed Mode in den Native Mode istirreversibel.

Native Mode-Domänen

Native Mode-Domänen enthalten ausschließlich Windows-2000/XP-Domä-nencontroller.

Computer

Computer

Computer

Computer

Computer

Computer

Computer

Computer



Logische Struktur

Die logische Organisation des Active Directory besteht aus Strukturen(Trees) und Gesamtstrukturen (Forests), die aus Strukturen gebildet wer-den. Strukturen bestehen aus Domänen. Strukturen und Gesamtstrukturenerlauben den Aufbau einer nahezu beliebig großen Hierarchie aus Domänenmit beliebigen Namespaces, die jedoch alle Verbindungen untereinanderhaben, sodass Ressourcenzugriffe und Suchaktionen im gesamten Domä-nenverbund möglich sind (im Gegensatz zu eigenständigen nicht unterein-ander verbundenen Domänen). Durch diese logische Struktur lassen sichNetzwerke beliebiger Größe aufbauen.

Strukturen

Domänen werden in einer Hierarchie aus übergeordneten und untergeord-neten Domänen angeordnet. So ist zum Beispiel die Domäne mut.de dieübergeordnete Domäne von sales.mut.de und diese wiederum die übergeord-nete Domäne von books.sales.mut.de. Andersherum ausgedrückt istbooks.sales.mut.de eine untergeordnete Domäne von sales.mut.de und diesewiederum eine untergeordnete Domäne von mut.de. Eine solche Domänen-struktur heißt Struktur (oder im Englischen Tree). Domänen einer Strukturverwenden einen einheitlichen Namespace, d.h. der Name einer Domänewird aus dem Namen der übergeordneten Domäne gebildet, dem der eigeneName vorangestellt wird.

Abbildung 2.7:Strukturen beste-hen aus hierar-chisch angeordneten Domänen, die auto-matisch durch Ver-trauensstellungen verbunden sind.

Domänen einer Struktur werden automatisch mit transitiven beidseitigen(Kerberos-) Vertrauensstellungen miteinander verbunden. Dadurch ist einestrukturweite (und sogar gesamtstrukturweite) Replikation möglich. Durch

Domäne

Domäne

Domäne

mut.de

sales.mut.de

books.sales.mut.de



diese Kerberos-Vertrauensstellungen ist gewährleistet, dass Benutzer injeder Domäne Zugriff auf Ressourcen jeder anderen Domäne der Strukturhaben.

An der Spitze der Hierarchie steht die Struktur-Stammdomäne. Der ersteDomänencontroller in der Struktur wird automatisch der Strukturstamm.Bei der Installation des AD entscheidet man, ob eine Domäne einem beste-henden Stamm zugeordnet werden soll oder eine neue Struktur erstellt wird.

Gesamtstrukturen

Strukturen mit unterschiedlichen Namespaces können zu einer so genanntenGesamtstruktur verbunden werden. Unterschiedliche Namespaces könnenzum Beispiel entstehen, wenn durch Zukauf oder Übernahme eine Firma ineine andere integriert wird oder wenn aus bestimmten Gründen (Sicherheit)ein zweiter DNS-Name verwendet werden soll. Gesamtstrukturen verbin-den Strukturen mit unterschiedlichen Namespaces.

An der Spitze jeder Struktur steht der Strukturstamm. Auch die Gesamt-struktur besitzt einen Stamm, den Gesamtstrukturstamm. Dieser wird auto-matisch dem ersten Domänencontroller in der Struktur zugewiesen.

Abbildung 2.8:Gesamtstrukturenverbinden Struk-turen mit unter-

schiedlichenNamensräumen.

Alle Strukturstämme unterhalten eine beidseitige transitive Vertrauensstel-lung zum Gesamtstrukturstamm. Dadurch wird wiederum einerseits diegesamtstrukturweite Replikation wie auch der gesamtstrukturweite Res-sourcenzugriff möglich.

Innerhalb einer Gesamtstruktur werden ein einziges Schema und ein einzi-ger globaler Katalog verwendet. Die entsprechenden Verzeichnispartitionendes Active Directory werden dementsprechend gesamtstrukturweit repli-ziert.

Domäne

Domäne

Domäne

mut.de

books.sales.mut.de

Domäne

Domäne

Domäne

germany.de

sales.germany.de

books.sales.germany.de

Domäne

Vertrauensstellung



Vertrauensstellungen

Domänen werden miteinander mithilfe von so genannten Vertrauensstellun-gen verbunden. Das ist nötig, da Domänen eine Sicherheitsbarriere darstel-len. Damit Konten aus einer Domäne Ressourcenzugriff in einer anderenDomäne gewährt werden kann, ist eine Verbindung beider Domänen not-wendig. Dies geschieht mithilfe von Vertrauensstellungen.

Vertrauensstellungen gibt es seit Windows NT. Dort werden sie mit demServer-Manager manuell für jeden Partner eingetragen. NT-Vertrauensstel-lungen sind einseitig nichttransitiv.

Einseitig bedeutet, dass das Vertrauen gerichtet ist. Ist Domäne A die Kon-tendomäne und Domäne B die Ressourcendomäne und vertraut B A, dannschreibt man dafür B->A (B vertraut A). Das bedeutet, dass Benutzer mitKonten in Domäne A jetzt auf Ressourcen in Domäne B zugreifen dürfen,vorausgesetzt natürlich, sie verfügen über die nötigen Berechtigungen.

Abbildung 2.9:Sicherheit mit Ver-trauensstellungen: Die Ressourcen-domäne (links) vertraut der Konten-domäne – dadurch können User aus der Kontendomäne auf Ressourcen in der Ressourcen-domäne zugreifen (aber nicht anders-herum!).

NT-Vertrauensstellungen sind nicht transitiv. Vertraut B A und vertraut CB, heißt das noch nicht, dass C auch A vertraut. Das Vertrauen wird alsonicht durchgereicht, sondern jede Vertrauensstellung muss explizit (undmanuell) eingerichtet werden. Bei vielen beidseitigen Vertrauensstellungenentsteht so ein hoher Verwaltungsaufwand.

Das AD verringert diesen Aufwand, da alle Vertrauensstellungen per Vor-einstellung beidseitig und transitiv sind. Sie werden automatisch zwischenden Domänen einer Struktur und allen Struktur-Root-Domänen einerGesamtstruktur eingerichtet und können nicht unterbunden werden. Damitist sichergestellt, dass User in allen Domänen auf alle Ressourcen in allenanderen Domänen zugreifen können, immer vorausgesetzt, sie verfügenüber die nötigen Berechtigungen.

Ressourcen-Domäne

Drucker

Server

Computer

Konten-Domäne

Computer

Computer

Computer

vertrauende Domäne vertraute Domäne

Vertrauensrichtung

Zugriffsrichtung



Im AD gibt es zwei weitere Typen von Vertrauensstellungen:

Shortcut Trust (einseitig, transitiv)

External Trust (einseitig, nicht transitiv)

Shortcut Trusts werden manuell zwischen nicht benachbarten Domäneneingerichtet. Sie stellen eine Abkürzung für den Fall dar, dass der Vertrau-enspfad zwischen den beiden Domänen zu lang sein sollte. Ressourcenzu-griffe erfolgen damit schneller.

Abbildung 2.10:Shortcut Trusts

zwischen B und Csowie zwischen Dund 3 (Pfeile) sind

hier beidseitigeingerichtet.

External Trusts sind die aus NT4 bekannten Vertrauensstellungen. Sie wer-den benutzt, um zwischen Strukturen und NT4-Domänen Vertrauensstel-lungen einzurichten.

Organisationseinheiten

Ein neues Element zur logischen Gliederung im AD stellen die Organisa-tionseinheiten (Organizational Units, OUs) dar. OUs fassen Ressourceninnerhalb einer Domäne zusammen, damit Sie zum Beispiel von einemAdministrator verwaltet werden können, der nur für diese eine OU zustän-dig sein soll. Eine OU könnte zum Beispiel User einer bestimmten Abteilungmit ihren Computern und den Freigaben, die sie verwenden, enthalten. MitOUs lässt sich die Verwaltung also feiner aufteilen.

Geeignet sind OUs auch zur Verwaltung von Ressourcendomänen. UnterNT4 wurden dafür in der Regel eigene Domänen gebildet, die der Konten-domäne vertrauten. Dazu war das Einrichten von Vertrauensstellungennötig. Ressourcen-OUs lassen sich dagegen viel leichter verwalten. OUs stel-len die kleinste Einheit dar, die von einem Administrator verwaltet werdenkann.

A

C

D

B

1

2

3



Abbildung 2.11:Mit OUs in einer W2K-Domäne las-sen sich einzelne Verwaltungseinhei-ten einrichten.

Standorte

Im AD ist die logische Struktur streng von der physikalischen Strukturgetrennt. Die logische Struktur besteht aus Strukturen, Gesamtstrukturen,OUs und Domänen. Die physikalische Struktur besteht aus Standorten(Sites) und Domänencontrollern.

Ein Standort besteht aus einem oder mehreren Subnetzen, die über»schnelle« Leitungen miteinander verbunden sind. Microsoft gibt dazu an,dass ISDN-Geschwindigkeit (128 Kbit/s) ausreicht. Normalerweise stelltein LAN die Grenzen eines Standorts dar.

Ein Standort wird immer dann benötigt, wenn Anmeldevorgang oder Repli-kation beeinflusst werden sollen oder müssen (diese Vorgänge erfolgen nor-malerweise automatisch).

Meldet sich ein Client an einem Domänencontroller an, sucht er zunächst inder eigenen Site. Findet er dort keinen, sucht er in weiteren Sites.

Bei der Replikation versucht AD automatisch die Verzögerung innerhalbeines Standorts zu minimieren, sodass der Datenabgleich möglichst schnellzwischen allen Domänencontrollern erfolgt. Bei Replikation zwischen ver-schiedenen Standorten minimiert das AD den Bandbreitenverbrauch, außer-dem lässt sich ein Zeitplan dafür aufstellen.

Domäne

Server

OU

OU

OU

Server

Server

Computer

Server

Computer ComputerComputer

Computer

Computer



Schema

Das AD bedient sich einer Datenbank, der ESE (Extensible Storage Engine),die eine Weiterentwicklung der Jet-Engine darstellt, die zum Beispiel vonAccess und Exchange verwendet wird.

Die Objekttypen in dieser Datenbank werden durch das so genannteSchema definiert. Diese Definitionen bestehen aus Attributen und Klassen,beide zusammen heißen auch Schemaobjekte oder Metadaten.

Attribute und Klassen

Ein Attribut legt eine Eigenschaft eines Objekts fest. Zum Beispiel könnteein User-Objekt für das Attribut VORNAMEN den Wert PETER enthalten. AlsWerte können auch Arrays vorkommen, wie zum Beispiel bei der Mitglied-schaft von Usern in einer Gruppe: Die Gruppe stellt ein einziges Attributdar, dieses hat aber viele Werte, nämlich alle User.

Ein Attribut muss nur einmal im Schema definiert werden und kann dann inbeliebig vielen Klassendefinitionen verwendet werden. Bei der Replikationwerden nur Attribute repliziert, die auch einen Wert haben, im Gegensatzzu NT4, bei der das ganze Objekt mit allen (auch) leeren Attributen verteiltwird.

Eine Klasse ist eine Zusammenstellung von Attributen. Aus Klassen werdendie Objekte hergestellt (abgeleitet).

Windows 2000 enthält bereits viele vordefinierte Klassen und Attribute, dieman mit dem Tool ADSI EDIT anzeigen und ändern kann (von der Server-CD in \SUPPORT\TOOLS installieren).

Abbildung 2.12:Das Tool ADSI Edit

zeigt alle Klassenund Attribute im

Schema an. Damitkann man dasSchema auch

editieren!



Aber Vorsicht: Änderungen am Schema sollten nur von erfahrenen Admi-nistratoren durchgeführt werden. Das Schema wird nämlich gesamtstruk-turweit repliziert.

Globaler Katalog

In einer Gesamtstruktur übernimmt immer wenigstens ein DC die Rolle desso genannten globalen Katalog-Servers (Global Catalog Server, GC). Dieserist ein normaler DC und verwaltet damit das Verzeichnis (auch Partitiongenannt) seiner eigenen Domäne. Zusätzlich verwaltet er aber noch ausge-wählte Attribute von Objekten aller anderen Domänen der Gesamtstruktur.Diese Attribute sind in der Regel häufig verwendete Attribute wie etwa Vor-und Nachnamen in Suchanfragen. Welche Attribute genau gespeichert sind,legt der Administrator fest.

Die Aufgabe des GC besteht darin, gesamtstrukturweite Suchvorgängedurchzuführen und die Anmeldung am Netzwerk zu ermöglichen.

Daraus ergeben sich zwei Konsequenzen: Jeder Standort sollte seinen eige-nen GC besitzen – an diesem melden sich die Clients an. Und es muss Red-undanz vorhanden sein: Mindestens ein zweiter GC sollte installiert werdenfür den Fall, dass der erste ausfällt.

Bei einem Ausfall des GC kann sich bis auf die Domänenadministratorenniemand mehr anmelden (außer natürlich lokal). Dies gilt allerdings nur beiNative Mode-Domänen.

Bei der Installation des ersten DC in der Forest Root Domain ist dieserautomatisch der GC. Über das SnapIn AD STANDORTE UND -DIENSTE kön-nen weitere GC hinzugefügt werden (siehe Abbildung 2.13).

Je mehr globale GC in einer Gesamtstruktur vorhanden sind, desto schnellererfolgen die Abfragen, jedoch erhöht sich auch die Netzwerklast durch denReplikationsverkehr zwischen den GC.

Der GC ist der einzige DC, der Informationen über die universellen Grup-pen in Windows 2000 speichert – auch deshalb ist er unverzichtbar.

Spezielle Serverrollen: FISMOs

In einer Windows-2000-Domäne sind alle Domänencontroller gleichberech-tigt, sie fungieren als Peers. Im Unterschied zu NT4 kann bei Windows2000 eine Verzeichnisänderung auf jedem DC durchgeführt werden. DieMultimasterreplikation sorgt dann dafür, dass diese Änderungen auf alleDCs der Domäne kopiert werden.



Abbildung 2.13:Das Hinzufügen

weiterer globalerKatalog-Server mit-

hilfe des SnapInsAD Standorte und

-Dienste ist ausRedundanzgründen

mehr als ratsam.

Es gibt jedoch einige DCs, die allein für bestimmte Änderungen zuständigsind. Diese speziellen Server-Rollen werden unter dem Begriff Betriebsmas-ter (Operation Masters) zusammengefasst, manchmal liest man auchFSMO (Flexible Single Operation Master, gesprochen »Fismo«). Es gibtzwei gesamtstrukturweite FSMOs, d.h. die Replikation dieser FSMOsuntereinander erfolgt gesamtstrukturweit:

Der Schema-Master verwaltet alle Änderungen am Schema. DasSchema definiert alle Objekttypen der AD-Datenbank.

Der Domänennamen-Master kontrolliert das Hinzufügen und Entfer-nen von Domänen in der Gesamtstruktur.

Zusätzlich gibt es drei domänenweite FSMOs:

Der RID-Master stellt den DCs seiner Domäne so genannte Relative IDs(RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei derErzeugung von Security Principals, das sind User-, Gruppen- oder Com-puter-Objekte. Zusammen mit der SID, die innerhalb einer Domäneimmer gleich ist, ergibt sich daraus die endgültige SID.

Der PDC-Emulator übernimmt die Rolle des PDC in einem W2k-Netz,das auch andere Nicht-W2k-Clients oder BDCs enthält und überwachtAnmeldungen und Passwortänderungen.

Der Infrastruktur-Master löst Inter-Domain-Referenzen auf. Werdenzum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus derGruppe verschwunden und zwar solange, bis der Infrastrukturmasterdie neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Grup-penmitgliedern werden.



Abbildung 2.14:Mit dem SnapIn AD Benutzer und -Computer können die FSMO-Rollen geändert werden.

Das SnapIn AD BENUTZER UND -COMPUTER ändert domänenweite FSMO-Rollen, während der Domänenmaster mit dem SnapIn AD DOMÄNEN UNDVERTRAUENSSTELLUNGEN und der Schemamaster mit dem SCHEMA-SnapIngeändert werden.

Active Directory und DNS

Die Benennung der Domänen im AD folgt dem DNS (im Gegensatz zu NT).Damit können Windows-2000/XP-Domänennamen genau auf Internet-Domänennamen abgebildet werden, d.h. sie heißen einfach genau so.

DNS ist ein hierarchisch aufgebauter Namensraum, also ein Gültigkeitsbe-reich für Namen. Innerhalb eines solchen Bereichs (Zone genannt) werdenFQDNs (Fully Qualified Domain Names, z.B. www.mut.de) in IP-Adressenaufgelöst. DNS ist im Protokollteil beschrieben.

Der Unterschied zwischen AD und DNS besteht darin, dass sie zwar diegleichen Domänennamen verwenden, aber unterschiedliche Namensräume.DNS speichert Zonen und Ressource Records, AD speichert Domänen und-objekte.

Zur Ausführung des AD muss DNS installiert sein. WINS kann jedoch wei-terhin zur Namensauflösung eingesetzt werden (auch aus Gründen derAbwärtskompatibilität).

DNS kann im AD verwaltet werden, wodurch die Zonendateien repliziertwerden und somit eine höhere Ausfallsicherheit erreicht wird.



Zwei Besonderheiten gibt es beim neuen DNS-Server: Clients registrierensich dynamisch (dynamic DNS). Falls sie von einem DHCP-Server eine neueIP-Adresse erhalten, zeigt auch diese auf den korrekten FQDN. Weiterhinist zum Betrieb von DNS im AD die Unterstützung der Service LocationResource Records (SRV) zwingend notwendig. Diese mappen den Nameneines Dienstes auf den des Servers, der den Dienst anbietet.

Benennungskonventionen

Objekte im AD müssen einen Namen haben. Es gibt nicht weniger als fünfMöglichkeiten, Namen zu bilden, bei Verwendung von LDAP-Namen sogarnoch mehr. Der Name ist einfach ein Pfad im Verzeichnis, mit dessen Hilfedas Objekt sicher gefunden werden kann. Es gibt folgende Benennungskon-ventionen:

Security Principal-Objekte

SID

LDAP-Namen

GUIDS

Logon-Namen (UPNs und SAMs)

Security Principal-Objekte (auf Deutsch etwa »wichtige Sicherheits-einheiten«) sind alle diejenigen Objekte, denen das OS eine SID zuordnet,also User, Gruppen und Computer. Innerhalb der Domäne müssen SIDs ein-deutig sein. Die SID erlaubt das Anmelden an der Domäne sowie denZugriff auf Ressourcen. NetBIOS-Namen sind zum Beispiel Security Princi-pals.

Die SID identifiziert User, Gruppen und Computer.

LDAP ist das Standard-Protokoll für den Verzeichniszugriff. Eine Möglich-keit, ein Objekt im AD zu adressieren, ist die Verwendung einer LDAP-URL:

LDAP://ldapsvr/CN=Topkapi,DC=DEV,DC=MSFT,DC=COM

Die Bezeichner/Wert-Paare haben folgende Bedeutung:

Tabelle 2.1:Bezeichner inLDAP-Namen

Attribut Bedeutung

OU Organisatorische Einheit. Unterteilt einen Namespace logisch basie-rend auf der OU-Struktur.

CN Canonical Name. Der kanonische Name bezeichnet das Objekt innerhalb des Verzeichnisdienstes.



GUIDs sind 128 Bit breite, weltweit eindeutige Werte, die ein Objekt iden-tifizieren. Sie werden statt der SID verwendet, die ja nur domänenweit gül-tig ist.

Ein User Principal Name (UPN) hat einfach die Form einer E-Mail-Adresse, wie zum Beispiel [email protected]. Ein SAM-Name ist ein Anmeldenamebei einer NT4-Domäne, also ein Benutzername.

Replikation

Domänencontroller verwalten die Benutzerkontendatenbank. Damit unterWindows 2000/XP Server ein DC laufen kann, muss das AD installiert sein.Aus Redundanzgründen werden meist mehrere DCs eingesetzt, wodurchdas Problem der Verteilung der Benutzerkontendatenbank auf die verschie-denen DCs entsteht. Dies wird durch die Replikation gelöst – ein Vorgang,der die Datenbank auf alle DCs in der eigenen Domäne kopiert.

Multimaster-Replikation

In NT-4-Domänen übernimmt der PDC die Rolle des Master-Servers. AlleÄnderungen am Verzeichnis (SAM) können nur auf dem PDC vorgenom-men werden. Das Verzeichnis auf dem PDC ist also beschreibbar. Andersdagegen die Kopien, die der PDC auf den BDCs repliziert: Diese sind nurlesbar.

Windows 2000/XP macht keinen Unterschied mehr zwischen PDC undBDCs. Alle Domänencontroller sind gleichberechtigt (Multimaster). Findeteine Änderung des Verzeichnisses an einem Domänencontroller statt, sowird diese auf alle Domänencontroller der Domäne repliziert. Es gibt jedochUnterschiede dabei, was repliziert wird.

Bei der Replikation des Active Directory werden drei verschiedene Daten-typen (auch Verzeichnispartitionen genannt) unterschieden:

Domänendaten: Hier sind Informationen über alle Objekte in derDomäne enthalten, wie zum Beispiel Attribute von User- und Compu-ter-Konten, E-Mail-Adressen, Share und andere Informationen.

DC Domain Component. Domänenkomponenten entsprechen den ein-zelnen Teilen eines Domänennamens. Der Name mut.de besteht zum Beispiel aus den LDAP-Namen DC=mut und DC=de.

O Organisation. Legt den Firmennamen fest.

C Country, das Land.

Attribut BedeutungTabelle 2.1:Bezeichner in LDAP-Namen(Forts.)



Konfigurationsdaten: Diese Daten beschreiben die Topologie des Ver-zeichnisses: Wie viele Gesamtstrukturen, Strukturen, Domänen undglobale Kataloge gibt es und wo befinden sich diese?

Schemadaten: Objekttypen und Attribute.

Ausnahme: Wenn der Domänencontroller den globalen Katalog hostet,wird noch ein vierter Datentyp repliziert: ein Teil der Domänendaten ande-rer Domänen der Gesamtstruktur.

2.3 Namensauflösung

Um einen Computer in einem Netzwerk zu finden, gibt man seinen Namenan und kann sich dann zum Beispiel mit ihm verbinden. Dahinter steckenverschiedene Mechanismen zur Adressierung von Computern in Netzwer-ken wie NetBIOS oder das DNS.

Adressen und Namen

In jedem Netzwerk werden Adressen eingesetzt, um Computer zu identifi-zieren. In TCP/IP-Netzwerken werden dazu IP-Adressen verwendet. ImInternet sind IP-Adressen weltweit eindeutig, in einem LAN können spezielleprivate Adressen benutzt werden (mehr zu IP-Adressen im Protokollteil).

Die IP-Adresse 62.245.190.75 gehört zum Beispiel zum Namen www.mut.de.Beide müssen also irgendwie in Zusammenhang stehen. IP-Adressen müsseneingesetzt werden, da Computer nur mit Zahlen (genauer gesagt nur mitBinärzahlen) umgehen können. Namen wie www.mut.de gibt es nur deswegen,weil sie für Menschen leichter zu merken sind – Computer benötigen sienicht. Wenn man zum Beispiel die Homepage des Markt+Technik-Verlagsaufrufen möchte, gibt man

www.mut.de

in den Browser ein, und die Seite wird angezeigt. Intern wird jedoch derName in die IP-Adresse umgerechnet und anhand der IP-Adresse der Rech-ner gefunden, der für diese Homepage zuständig ist. Dieser Prozess desZuordnens einer IP-Adresse zu einem Namen heißt Namensauflösung.

IP-Adressen sind logische Adressen auf Ebene 3 des OSI-Modells. Daten, diefür einen IP-Host bestimmt sind, werden durch verschiedene Netzwerke biszum Zielnetz geroutet. Dort wird die logische IP-Adresse in eine physischeAdresse – die MAC-Adresse – umgerechnet. Anhand der MAC-Adressewird schließlich das Zielgerät gefunden. Je nach Größe des Netzwerks kom-men verschiedene Verfahren der Namensauflösung zur Anwendung:

Namensauflösung Kapitel 2


NetBIOS-Broadcasts

NetBIOS-Namens-Cache

hosts

lmhosts

DNS

WINS

DNS und WINS kommen in großen und sehr großen Netzwerken zum Ein-satz. WINS ist ein Microsoft-spezifischer Ersatz für DNS und seit Windows2000 nicht mehr notwendig, ältere Netzwerke setzen WINS jedoch nochein. Die Dateien hosts und lmhosts können auch in großen Netzwerkenverwendet werden, sind jedoch zu unflexibel und werden daher nur nochselten eingesetzt. NetBIOS-Broadcasts sind schließlich auf ein Segment be-schränkt.

Das flexibelste System ist das DNS, das inzwischen in Netzwerken allerGrößen eingesetzt wird.

Die Wahl der Methode zur Namensauflösung hängt von den (historischen)Gegebenheiten eines Netzwerks und vor allem von seiner Größe ab. Nur inkleinen SOHO-Netzwerken mit einem Segment braucht man sich darumkeine Gedanken zu machen: hier reicht NetBIOS.

NetBIOS-Broadcasts

Eine einfache Methode, Namen in einem nicht segmentierten Netzwerkbekannt zu machen, stellen die Broadcasts (Rundrufe) dar. Meldet sich einComputer zum Beispiel am Netzwerk an, sendet er ein spezielles Datenpa-ket an alle anderen Stationen, um sich bekannt zu machen. Ebenso bei derAbmeldung oder der Auflösung von NetBIOS-Namen in IP-Adressen.

NetBIOS-Broadcasting ist eine Methode der Namensauflösung in Win-dows-Netzen. Sie hat den Nachteil, relativ viel Bandbreite zu verbrauchenund nicht über Router geleitet zu werden. Diese betrachten Broadcasts alsVerunreinigungen.

NetBIOS-Cache

Ist ein Name einmal erfolgreich aufgelöst worden, wird er eine bestimmteZeit lang im NetBIOS-Namens-Cache zwischengespeichert. Bei einerNamensauflösung wird zuerst dieser Cache durchsucht, bevor eine andereMethode verwendet wird. Die Einträge im Cache altern – nach Ablauf einerbestimmten Zeitspanne werden sie gelöscht.



hosts

Eine einfache Art der Zuordnung einer IP-Adresse zu einem Namen bestehtdarin, beide in einer Datei zu speichern und bei einer Abfrage des Namensdie zugehörige IP-Adresse aus dieser Datei zu suchen. Diese Datei heißthosts, mehr dazu im Protokollteil.

lmhosts

Der hosts-Datei in beliebigen Netzwerken entspricht die lmhosts-Datei inWindows-Netzwerken. Sie funktioniert wie die hosts, ist Microsoft-spezi-fisch und enthält einige Erweiterungen, zum Beispiel um ausgewählteNamen/IP-Adressen beim Rechnerstart zu cachen.

DNS

DNS ist seit Windows 2000 das bevorzugte System zur Namensauflösung ingroßen Netzwerken. DNS muss konfiguriert werden, wenn

Active Directory-Domänen vorhanden sind

Clients auf das Internet zugreifen oder

das Netzwerk DNS verwendet.

Zusätzlich können weitere Verfahren eingesetzt werden. DNS ist im Proto-kollteil ausführlich beschrieben.

WINS

In reinen Windows-Netzwerken kann die Namensauflösung über WINS(Windows Internet Name Service) erfolgen. Dabei wird eine IP-Adresse zueinem NetBIOS-Namen gesucht. WINS ist dem DNS recht ähnlich, aberMicrosoft-spezifisch. Zudem wird es seit Windows 2000 vollständig durchDNS ersetzt und ist nur noch aus Gründen der Abwärtskompatibilität vor-handen. In reinen Windows-2000-Netzwerken kann WINS vollständigdurch DNS ersetzt werden.

WINS besteht aus den WINS-Servern (die NetBIOS-Namens-Server sind), fürdie Windows-Server nötig sind, und der WINS-Client-Software NBT(NetBIOS over TCP/IP). Die WINS-Datenbank enthält NetBIOS-Namensowie die dazugehörigen IP-Adressen. Die WINS-Clients registrieren ihreNamen automatisch in dieser Datenbank und verwenden sie für die Namens-auflösung. Wird DHCP eingesetzt und ändert sich dadurch die IP-Adresseeines Hosts, wird die neue IP-Adresse automatisch im WINS-System regis-triert. Adressen von WINS-Servern werden entweder per DHCP verteilt odermanuell in den Clients eingetragen.

Namensauflösung Kapitel 2


WINS kann in segmentierten Netzen verwendet werden, sofern sich injedem Segment ein WINS-Server befindet.

Häufig werden WINS und DNS parallel betrieben, weil noch ältere Clientsals Windows 2000 im Einsatz sind und der Übergang zum DNS schrittweiseerfolgt. In einer Microsoft-Umgebung können WINS und DNS zusammen-arbeiten: Ist der DNS-Server für WINS-Lookup konfiguriert, kann er Anfra-gen an die WINS-Server weiterleiten und somit unbekannte A-Records(Host-Namen) für WINS-Clients auflösen.

Reihenfolge der Namensauflösung

Die genannten Verfahren zur Namensauflösung werden kombiniert und ineiner bestimmten Reihenfolge eingesetzt. Welches Verfahren zuerst verwen-det wird, hängt von den so genannten NetBIOS-Knotentypen ab, die in RFC1001 und 1002 definiert sind:

B-Knoten (Broadcast-Knoten) verwenden Broadcasts

P-Knoten (Peer- oder Punkt-zu-Punkt-Knoten) verwenden NetBIOS-Name-Server (WINS-Server)

M-Knoten (Mixed Knoten) verwenden zuerst Broadcasts und dannWINS-Server

H-Knoten (Hybrid-Knoten) verwenden zuerst WINS-Server, dannBroadcasts

Windows-Implementierungen verwenden einen weiteren fünften Knotentyp:den erweiterten Microsoft-Knoten. Diese Knoten werten sowohl die lmhostsals auch die hosts aus und fragen DNS-Server ab.

Sind WINS-Server anwesend, ist der P-Knoten die Voreinstellung, sonst derB-Knoten.

ICON: Tipp

Welcher NetBIOS-Knotentyp auf einem Client eingestellt ist, lässt sich mitIPCONFIG /ALL in Erfahrung bringen.

Alle Knotentypen verwenden zuerst DNS, falls DNS konfiguriert ist. BevorDNS-Server gefragt werden, sieht der Client im DNS-Cache nach. Im Cachewerden positive und negative Antworten des DNS-Servers zwischengespei-chert. Die TTL für positive Antworten beträgt einen Tag (86 400 Sekunden),für negative Antworten 300 Sekunden.

Ist kein DNS konfiguriert, werden entweder WINS-Server oder Broadcastsverwendet. In jedem Fall ist NBT installiert. Zuerst wird der NetBIOS-Cache durchsucht, dann werden in Abhängigkeit vom Knotentyp WINS-



Server oder Broadcasts verwendet. Die folgende Tabelle fasst die Reihen-folge für die vier Knotentypen zusammen:

Tabelle 2.2:Reihenfolge der

Namensauflösungder verschiedenen

Knotentypen

2.4 Der Browser-Dienst

In allen Windows-Netzen gibt es ein merkwürdiges Phänomen: Startet maneinen Windows-PC und öffnet die Netzwerkumgebung, scheint diesezunächst leer zu sein. Erst nach und nach erscheinen die Arbeitsgruppenund Domänen, sofern man ständig einen Refresh durchführt oder langegenug wartet. Meldet man einen PC ab, so ist dieser noch lange Zeit späterin der Netzwerkumgebung vorhanden. Natürlich erscheint eine Fehlermel-dung bei einem Zugriff. Dieses Verhalten hängt mit der so genanntenBrowse-Liste zusammen.

Öffnet man die Netzwerkumgebung im Explorer, werden dort die Arbeits-gruppen und Domänen angezeigt. Auf der gleichen Ebene befinden sich dieComputer, die in der gleichen Arbeitsgruppe (oder Domäne) vorhandensind. Arbeitsgruppen und Domänen enthalten die PCs.

Öffnet man einen Computer, werden seine Freigaben angezeigt. Dieserganze Baum, angefangen vom Symbol NETZWERKUMGEBUNG bis zur letztenFreigabe, ist die so genannte Browse-Liste. Sie wird vom Browser-Dienst(auch Suchdienst genannt) verwaltet, der im Hintergrund auf jedem Win-dows-Rechner läuft.

In einem Peer-Netz gibt es einen Master-Browser und immer mindestenseinen Backup-Browser. Der Master stellt die Liste zusammen und sendet siean die Backup-Browser. Von dort holen sie die Clients ab. Der ganze Vor-gang ist ziemlich kompliziert und wird beim Hinzukommen von 2000/XP-Workstations und -Servern noch komplizierter – und: Es kostet Zeit. Das istder Punkt. Fährt zum Beispiel ein PC unerwartet runter, und wird dieBrowse-Liste angefordert, dann erscheint er noch in der Liste. Der Master-Browser kann ja nicht wissen, dass ein PC nicht mehr anwesend ist (er hat

H-Knoten P-Knoten M-Knoten B-Knoten

DNS DNS DNS DNS

NetBIOS-Cache NetBIOS-Cache NetBIOS-Cache NetBIOS-Cache

WINS WINS Broadcast Broadcast

Broadcast lmhosts WINS lmhosts

lmhosts hosts lmhosts hosts

hosts - hosts -

Der Browser-Dienst Kapitel 2


sich ja nicht ordnungsgemäß abgemeldet). Der Master fragt den PC inbestimmten Abständen, ob er noch vorhanden ist, bis er ihn endgültig ausder Liste entfernt. Das erklärt die Zeitverschiebungen. Beim Hochstarteneines PCs beginnt ein komplizierter Auswahl-Prozess, um Master undBackup-Browser zu bestimmen. Es könnte ja sein, dass der neue PC zumMaster wird. Das erklärt, warum die Browse-Liste am Anfang leer ist undsich erst nach und nach mit PCs füllt.

Netzwerke Kompendium(Probe-)Kapitel 2 Windows-Netzwerke2.1 GrundlagenPeer-to-Peer versus ServerProto�kolle, �Clients und DiensteNamen, Arbeitsgruppen und DomänenBenutzerverwaltung

2.2 Active DirectoryWas ist ein Verzeichnis?Komponenten des AD

2.3 NamensauflösungAdressen und NamenNetBIOS-BroadcastsNetBIOS-CachehostslmhostsDNSWINSReihenfolge der Namensauflösung

2.4 Der Browser-Dienst

Ins Internet: Weitere Infos zum Buch, Downloads, etc.

Documents

Netzwerke Kompendium - *ISBN 3-8272-6902-4 ......BIOS-Name darf im Prinzip nur einmal im Netzwerk vorkommen (es gibt aber Ausnahmen). Er darf maximal 15 Zeichen lang