TCP/IP Grundlagen für Microsoft Windows - board.protecus.de TCP/IP-Grundlagen für Microsoft Windows Übersicht Veröffentlicht: 02. Nov 2004 Dieses Online-Buch ist eine strukturierte

TCP/IP-Grundlagen für Microsoft WindowsÜbersichtVeröffentlicht: 02. Nov 2004

Dieses Online-Buch ist eine strukturierte Einführung in die Grundkonzepte und -prinzipiender TCP/IP- Protokollfamilie (Transmission Control Protocol/Internet Protocol), in diewichtigsten Protokollfunktionen und deren Grundkonfiguration in den BetriebssystemenMicrosoft® Windows Server™ 2003 und Windows® XP. In diesem Buch werdenvorwiegend Konzepte und Prinzipien erläutert, um eine konzeptionelle Grundlage für dieTCP/IP-Protokollfamilie zu vermitteln. Im Gegensatz zu anderen TCP/IP-Einführungenwerden in diesem Buch sowohl Internet Protocol Version 4 (IPv4) als auch InternetProtocol Version 6 (IPv6) besprochen.

In diesem Buch werden die TCP/IP-Planung, -Konfiguration, -Bereitstellung, -Verwaltung und -Anwendungsentwicklung nicht erläutert. Erläuterungen zur TCP/IP-Planung,-Konfiguration, -Entwicklung und -Verwaltung finden Sie in der Online-Hilfe zu Windows Server 2003 und dem Windows Server 2003 Deployment Kit. Erläuterungen dazu, wieTCP/IP-Anwendungen mithilfe von Windows-Sockets entwickelt werden, finden Sie im Microsoft Developer Network.

Dieses Buch soll die Grundlagen von TCP/IP vermitteln, um Sie auf eine Tätigkeit in derIT-Branche vorzubereiten oder Ihre Kenntnisse im Umgang mit TCP/IP-basierten Netzwerken unter Microsoft Windows zu erweitern. Dieses Buch ist nicht als Einführung indie EDV oder in Netzwerktechnologien gedacht.

Auf dieser Seite

Zielgruppe dieses Buches

Voraussetzungen für die Lektüre dieses Buches

Inhaltsverzeichnis

Zielgruppe dieses BuchesDieses Buch richtet sich an die folgenden Zielgruppen:

• Informatikstudenten

Dieses Buch kann als Lehrbuch für einen umfassenden Einführungskurs in TCP/IPdienen, der in Ihrer Organisation oder einer Bildungseinrichtung abgehalten wird.

• Microsoft Certified Systems Engineers (MCSEs)

Dieses Buch kann während der Vorbereitung auf die Kurse und Prüfungen für eineMCSE-Zertifizierung als Quelle von Hintergrundinformationen dienen.

• Netzwerkadministratoren für Microsoft Windows und allgemeine technische Mitarbeiter

Hierzu gehört jeder, der gegenwärtig ein Windows-Netzwerk verwaltet und sichzusätzliches technisches Wissen über TCP/IP-Komponenten und -Dienste und derenGrundkonfiguration in Windows XP und Windows Server 2003 aneignen möchte.

Zum Seitenanfang

Voraussetzungen für die Lektüre dieses BuchesDieses Buch setzt grundlegende Kenntnisse in den Bereichen EDV und Netzwerkkonzepte voraus. Beispielsweise gehören zu den als bekannt vorausgesetzten EDV-GrundlagenBinär- und Hexadezimalzahlen, die Bestandteile eines Computers, die Rolle von Softwareund Hardware usw. Grundlegende Netzwerkkenntnisse umfassen das OSI-Modell (Open Systems Interconnection), das IEEE-802-Modell (Institute of Electrical and Electronic Engineers), den Ethernet-LAN-Standard und 802.11-Standard für WLANs, Bestandteileeines Netzwerks usw.

Dieses Buch setzt auch voraus, dass der Leser mit Windows vertraut ist, z. B. die Desktopnavigation beherrscht und Konfigurationsprogramme wie die Systemsteuerung,

In diesem Beitrag

• Übersicht

• Kapitel 1 – Einführung inTCP/IP

• Kapitel 2 – Die Architekturdes TCP/IP Protokollsatzes

• Kapitel 3 – IP-Adressierung

• Kapitel 4 - Subnetzbildung

• Kapitel 5 – IP-Routing

• Kapitel 6 – DHCP (DynamicHost Configuration Protocol)

• Kapitel 7 –Hostnamenauflösung

• Kapitel 8 – Domain NameSystem – Übersicht

• Kapitel 9 –Windows-Unterstützung fürDNS

• Kapitel 10 –End-to-End-Übermittlungüber TCP/IP

• Kapitel 11 - NetBIOS überTCP/IP

• Kapitel 12 – Übersicht überWINS (Windows InternetName Service)

• Kapitel 13 – InternetProtocol Security (IPsec)und Paketfilterung

• Kapitel 14 – Virtuelle PrivateNetzwerke

• Kapitel 15 –IPv6-Übergangstechnologien

• Kapitel 16 – Behandeln vonProblemen mit TCP/IP

• Anhang A: IP-Multicast

• Anhang B: Simple Network Management Protocol

• Anhang C: Computersuchdienst

MMC-Snap-Ins und die Eingabeaufforderung kennt.

Zum Seitenanfang

InhaltsverzeichnisDas Online-Buch TCP/IP-Grundlagen für Microsoft Windows umfasst die folgenden Kapitel. Gegenwärtig sind nicht alle Kapitel verfügbar. Die Kapitel werden bereitgestellt, sobald siefertig gestellt wurden.

Kapitel 1: Einführung in TCP/IP

Stellt TCP/IP als Standardprotokollfamilie vor und beschreibt, in welcher Form diese in Windows Server 2003 und Windows XP unterstützt wird.

Kapitel 2: Die Architektur der TCP/IP-Protokollfamilie

Enthält eine detaillierte Beschreibung der TCP/IP-Protokollfamilie. Hier werden die vierSchichten dieser Protokollfamilie und die Protokolle, die in jeder Schicht benutzt werden, analysiert und die beiden APIs (Application Programming Interfaces, Anwendungsschnittstellen), welche die Windows-Betriebssysteme verwenden, sowie die Benennungsschemata dieser APIs besprochen.

Kapitel 3: Adressierung

Beschreibt die Typen von IPv4- und IPv6-Adressen, wie diese dargestellt werden, und die verschiedenen Typen von Unicastadressen, die Schnittstellen von Netzwerkknoten zugewiesen werden.

Kapitel 4: Subnetzbildung

Beschreibt Konzepte und Verfahren der Subnetzbildung für IPv4- und IPv6-Adresspräfixe,um eine effiziente Zuweisung und Verwaltung des Unicastadressraums zu ermöglichen,der für private Intranets vorgesehen ist und verwendet wird.

Kapitel 5: Routing

Enthält eine detaillierte Beschreibung der IP-Routenwahl für die Weiterleitung eines IPv4-oder IPv6-Pakets von einer Quelle an ein Ziel und erläutert die Grundkonzepte vonRoutingtabellen, Routenwahlprozessen und Routinginfrastruktur.

Kapitel 6: DHCP (Dynamic Host Configuration Protocol)

Beschreibt die automatische Zuweisung von eindeutigen IPv4-Adresskonfigurationen an DHCP-Clientcomputer durch DHCP (Dynamic Host Configuration Protocol) und die Verwendung der automatischen Adresskonfiguration seitens IPv6-Hosts.

Kapitel 7: Hostnamenauflösung

Beschreibt die verschiedenen Methoden, mit denen Windows-basierte Computer Hostnamen, wie www.example.com, in die zugehörigen IP-Adressen auflösen.

Kapitel 8: Domain Name System – Übersicht

Beschreibt das DNS-System (Domain Name System) und seine Verwendung in privaten Intranets und dem Internet.

Kapitel 9: Windows-Unterstützung für DNS

Beschreibt detailliert den DNS-Clientdienst, der von Windows XP und Windows Server 2003 bereitgestellt wird, sowie den DNS-Serverdienst von Windows Server 2003.

Kapitel 10: End-to-End-Übermittlung über TCP/IP

Beschreibt die Prozesse für die End-to-End-Zustellung von IPv4- und IPv6-Daten undzeigt, wie diese Prozesse in einem Beispielnetzwerk für typischen IPv4- und IPv6-Verkehrbenutzt werden.

Kapitel 11: NetBIOS über TCP/IP

Beschreibt die Funktionsweise des NetBIOS (Network Basic Input/Output System) in Verbindung mit TCP/IP und seine Implementierung in Windows Server 2003 und Windows XP.

Kapitel 12: Übersicht über WINS (Windows Internet Name Service)

http://www.example.com

Beschreibt, wie der WINS-Dienst (Windows Internet Name Service) zur Auflösung vonNetBIOS-Namen in einem IPv4-Netzwerk verwendet wird.

Kapitel 13: IPsec (Internet Protocol Security) und Paketfilter

Beschreibt, wie IPsec und IP-Paketfilter in Windows Server 2003 und Windows XPunterstützt werden. IPSec bietet kryptografischen Schutz für IP-Paketdaten. DurchPaketfilter wird bestimmt, welche Pakettypen übertragen oder blockiert werden.

Kapitel 14: VPN (Virtual Private Networking)

Beschreibt die unter Windows XP und Windows Server 2003 unterstütztenVPN-Technologien (Virtual Private Network). Mithilfe von VPN-Verbindungen könnenBenutzer von entfernten Standorten mit einem Intranet oder entfernte Niederlassungen untereinander Verbindungen herstellen, indem sie die globalen Verbindungen des Internets nutzen.

Kapitel 15: IPv6-Übergangstechnologien

Beschreibt die Mechanismen, die einen reibungslosen Übergang von IPv4 zu IPv6ermöglichen, und erläutert detailliert die Arbeitsweise von 6to4, Teredo und ISATAP(Intrasite Automatic Tunneling and Addressing Protocol).

Kapitel 16: Behandeln von Problemen mit TCP/IP

Erläutert Richtlinien, Tools und Techniken zur Problembehandlung von auf IPv4 oder IPv6basierenden Verbindungen, einschließlich grundlegender Verbindungsprobleme, Problememit der DNS-Namensauflösung, der NetBIOS-Namensauflösung für IPv4-Adressen und mitIP-Sitzungen.

Anhang A: IP-Multicast

Beschreibt detailliert IP-Multicasts für IPv4 und IPv6 sowie deren Unterstützung inWindows Server 2003 und Windows XP. IP-Multicast ist ein 1:n-Zustellmechanismus, der eine effiziente Verteilung von Daten an Hosts ermöglicht, die sich an beliebigen Positioneninnerhalb eines privaten Netzwerks oder im Internet befinden können und denDatenverkehr nach entsprechenden Daten überprüfen.

Anhang B: SNMP (Simple Network Management Protocol)

Beschreibt das SNMP-Protokoll (Simple Network Management Protocol) und dessenUnterstützung in Windows Server 2003 und Windows XP. SNMP wird inUnternehmensnetzwerken zur Verwaltung unterschiedlicher Typen von Netzwerkgerätenbenutzt.

Anhang C: Computersuchdienst

Beschreibt die Arbeitsweise des Computersuchdienstes auf Computern mit Windows XP und Windows Server 2003. Der Computersuchdienst ermöglicht es, dass aufWindows-basierten Computern auf dem Windows-Desktop unter Netzwerkumgebungeine Liste der Arbeitsgruppen und Domänen sowie der darin enthaltenen Server angezeigtwird.

Zum Seitenanfang 1 von 20

Verwalten Sie Ihr Profil

©2006 Microsoft Corporation. Alle Rechte vorbehalten. Nutzungsbedingungen | Markenzeichen | Informationen zur Datensicherheit | Impressum

TCP/IP-Grundlagen für Microsoft Windows:Kapitel 1 – Einführung in TCP/IPVeröffentlicht: 02. Nov 2004

Zusammenfassung

In diesem Kapitel ist eine Einführung in TCP/IP (Transmission Control Protocol/InternetProtocol) enthalten, wobei sowohl der Industriestandard dieser Protokollfamilie als auchseine Unterstützung durch Windows Server™ 2003 und den Windows®XP-Betriebssystemen beschrieben wird. Netzwerkadministratoren müssen die Entwicklungder TCP/IP-Protokollfamilie kennen, sowie die aktuellen Standardisierungsprozesse und diezur Beschreibung von Netzwerkgeräten und Netzwerkbereichen verwendeten Begriffe.Bezüglich der TCP/IP-Komponenten von Windows Server 2003 und Windows XP müssenNetzwerkadministratoren die Installations- und Konfigurationsunterschiede zwischen denKomponenten von IPv 4 (Internet Protocol Version 4) und denen von IPv6 (InternetProtocol Version 6) sowie die wichtigsten Tools zur Problembehandlung kennen.

Auf dieser Seite

Ziele dieses Kapitels

Entwicklung von TCP/IP

Der Internetstandardisierungsprozess

TCP/IP-Terminologie

TCP/IP-Komponenten in Windows

Zusammenfassung des Kapitels

Kapitelglossar

Ziele dieses KapitelsNach der Lektüre dieses Kapitels werden Sie in der Lage sein, folgende Aufgabenauszuführen:

• Beschreiben des Zwecks und der Entwicklung der TCP/IP-Protokollfamilie.

• Beschreiben des Internetstandardisierungsprozesses und der Funktion von RFCs (Request for Comments).

• Definieren von in Zusammenhang mit TCP/IP häufig verwendeten Begriffen.

• Beschreiben der Vorteile der TCP/IP-Komponenten in Windows Server 2003 undWindows XP.

• Beschreiben, wie auf IPv4 basierende Komponenten in Windows konfiguriert werden.

• Beschreiben, wie auf IPv6 basierende Komponenten in Windows installiert und konfiguriert werden.

• Aufzählen und Definieren der Namenszuordnungsdateien und der Diagnosetools, dievon den TCP/IP-Komponenten in Windows verwendet werden.

• Testen der TCP/IP-Komponenten von Windows mit den Tools Ipconfig und Ping.

• Installieren und Verwenden des Netzwerkmonitors.

Zum Seitenanfang

Entwicklung von TCP/IPTCP/IP (Transmission Control Protocol/Internet Protocol) ist ein standardisierter Satz von Protokollen, ausgelegt für große Netzwerke, die aus einzelnen, über Router miteinanderverbundenen Netzwerksegmenten bestehen. TCP/IP ist das Protokoll, das im Internet verwendet wird, einer Ansammlung tausender Netzwerke in aller Welt, die Forschungseinrichtungen, Universitäten, Bibliotheken, Behörden, Privatunternehmen und

In diesem Beitrag

• Übersicht




















Einzelpersonen miteinander verbinden.

Die Wurzeln von TCP/IP lassen sich auf die Forschungen zurückführen, die in den spätensechziger und frühen siebziger Jahren des vorigen Jahrhunderts von der DARPA (DefenseAdvanced Research Projects Agency) im Auftrag des US-Verteidigungsministeriums (Department of Defense, DoD) durchgeführt worden waren. Die folgende Liste hebt einigewichtige Meilensteine der Entwicklung von TCP/IP hervor:

• 1970 begannen die ARPANET-Hosts NCP (Network Control Protocol) einzusetzen, ein Protokoll aus dem sich später TCP (Transmission Control Protocol) entwickelte.

• 1972 wurde das Telnet-Protokoll eingeführt. Telnet wird für die Terminalemulationeingesetzt, um unterschiedliche Systeme miteinander zu verbinden. In den frühensiebziger Jahren waren diese Systeme verschiedene Typen von Mainframe-Computern.

• 1973 wurde FTP (File Transfer Protocol) eingeführt. FTP wird verwendet, um Dateienzwischen unterschiedlichen Systemen auszutauschen.

• 1974 wurde TCP (Transmission Control Protocol) in allen Einzelheiten definiert. TCP ersetzte NCP und bot verbesserte und verlässlichere Kommunikationsdienste.

• 1981 wurden die Einzelheiten von IP (Internet Protocol, auch als IP Version 4 [IPv4] bezeichnet) definiert. IP bietet Adressierungs- und Routingfunktionen für dieÜbermittlung von Host zu Host.

• 1982 etablierten DCA (Defense Communications Agency) und ARPA TCP (Transmission Control Protocol) und IP (Internet Protocol) als TCP/IP-Protokollfamilie.

• 1983 wechselte ARPANET von NCP zu TCP/IP.

• 1984 wurde DNS (Domain Name System) eingeführt. DNS übersetzt Domänennamen(beispielsweise www.example.com) in IP-Adressen (etwa 192.168.5.18).

• 1995 begannen ISPs (Internet service providers) den Internetzugang für Unternehmenund Einzelpersonen anzubieten.

• 1996 wurde HTTP (Hypertext Transfer Protocol) eingeführt. Das WWW (World WideWeb) verwendet HTTP.

• 1996 wurde der erste Satz des IP-Standards Version 6 (IPv6) veröffentlicht.

Weitere Informationen zu diesen Protokollen und den einzelnen Schichten der TCP/IP-Protokollarchitektur finden Sie in Kapitel 2, "Die Architektur der TCP/IP-Protokollfamilie".

In den Kapiteln dieses Online-Buches werden folgende Definitionen verwendet, die sich aus der weiteren Ausarbeitung des Standards IPv6 und seiner zunehmenden Akzeptanz ergeben:

• TCP/IP ist die gesamte Familie von Protokollen, die für die Verwendung in privatenNetzwerken und im Internet definiert sind. TCP/IP umfasst sowohl den IPv4- als auch die IPv6-Protokollfamilie.

• IPv4 ist die Internet-Schicht der ursprünglich für den Einsatz im Internet definiertenTCP/IP-Protokollfamilie. IPv4 ist heute weit verbreitet.

• IPv6 ist die Internet-Schicht der TCP/IP-Protokollfamilie, die kürzlich entwickelt wurde.IPv6 gewinnt heute zunehmende Akzeptanz.

• IP ist der Begriff, der die Features oder Eigenschaften beschreibt, die sowohl IPv4 als auch IPv6 eigen sind. So ist beispielsweise eine IP-Adresse entweder eine IPv4-Adresse oder eine IPv6-Adresse.

Hinweis Da sich heute bei den meisten TCP/IP-Implementierungen der Begriff IP aufIPv4 bezieht, wird der Begriff IP manchmal synonym für IPv4 verwendet. Die genaueBedeutung wird im Kontext der Erläuterungen verdeutlicht. Wenn möglich wird in denKapiteln dieses Online-Buches der Begriff IP (IPv4) verwendet.

Zum Seitenanfang

Der InternetstandardisierungsprozessDa TCP/IP das Protokoll des Internet ist, hat es sich auf der Basis grundlegender

http://www.example.com)

Standards entwickelt, die in mehr als 30 Jahren definiert und akzeptiert wurden. Die Zukunft von TCP/IP ist eng verbunden mit den Fortschritten und der Verwaltung des Internet sowie den weiteren Standards, die noch immer entwickelt werden. Zwar besitzt keine Organisation das Internet und seine Technologien, doch überwachen und verwaltenverschiedene Organisationen diese neuen Standards, beispielsweise die Internet Society und das Internet Architecture Board.

Die Internet Society (ISOC) wurde 1992 gegründet und ist als globale Organisationverantwortlich für die Netzwerktechnologien und -anwendungen im Internet. ErsteAufgabe der ISOC ist zwar die Förderung des Ausbaus und der Verfügbarkeit des Internet,doch ist sie auch verantwortlich für die weitere Entwicklung der Standards und Protokolle,die das Funktionieren des Internet gewährleisten.

Die ISOC sponsert das IAB (Internet Architecture Board), eine Gruppe technischer Berater, die Internetstandards definiert, RFCs veröffentlicht und denInternetstandardisierungsprozess überwacht. Das IAB führt folgende Einrichtungen:

• Die IANA (Internet Assigned Number Authority) überwacht und koordiniert dieZuweisung der im Internet verwendeten Protokoll-IDs.

• Die IRTF (Internet Research Task Force) koordiniert alle TCP/IP betreffenden Forschungsprojekte.

• Die IETF (Internet Engineering Task Force) löst aus dem Internet erwachsendetechnische Probleme und Anforderungen und entwickelt Internetstandards und Protokolle. IETF-Arbeitsgruppen definieren die als RFCs bekannten Standards.

RFCs (Requests for Comments)Die Standards für TCP/IP werden in Form einer Reihe von RFCs (Requests for Comments,Anforderung von Kommentaren) genannten Dokumenten veröffentlicht. RFCs beschreibendie interne Arbeitsweise des Internet. TCP/IP-Standards werden immer als RFCsveröffentlicht, obgleich nicht alle RFCs Standards definieren. Manche RFCs liefern auch nurexperimentelle, historische oder zusätzliche Informationen.

Ein RFC wird zunächst als Entwurf formuliert, in der Regel von einem oder mehrerenAutoren einer IETF-Arbeitsgruppe. Eine IETF-Arbeitsgruppe setzt sich aus verschiedenen Einzelpersonen zusammen, die für einen bestimmten Technologiebereich derTCP/IP-Protokollfamilie verantwortlich sind. So richtet zum Beispiel die IPv6-Arbeitsgruppe ihre Bemühungen auf die Fortentwicklung des IPv6-Standards. Nach einer Periode derÜberprüfung und nachdem er übereinstimmend akzeptiert wurde, veröffentlicht die IETFdie endgültige Version des Internetentwurfs als RFC und weist ihr eine RFC-Nummer zu.

RFCs werden außerdem eine der fünf Anforderungsstufen zugeordnet, die in Tabelle 1-1aufgeführt sind:

Anforderungsstufe Beschreibung

Erforderlich Muss auf allen auf TCP/IP basierenden Hosts und Gateways implementiert werden.

Empfohlen Alle auf TCP/IP basierenden Hosts und Gateways sollten die RFC-Spezifikation implementieren. Empfohlene RFCs werden in der Regel implementiert.

Wahlfrei Die Implementierung ist optional. Ihrer Anwendung wurde zugestimmt; sie hat jedoch keine weite Verbreitung gefunden.

Eingeschränkte Verwendung Ist nicht für die allgemeine Verwendungvorgesehen.

Nicht empfohlen Wird nicht zur Implementierung empfohlen.

Tabelle 1-1 Anforderungsstufen von RFCs

Wird ein RFC als Standard angesehen, muss er verschiedene Stadien der Entwicklung,Überprüfung und Akzeptanz durchlaufen. Im Rahmen des

Internetstandardisierungsprozesses werden diese Stadien formal als Reifegrade bezeichnet.

Internetstandards besitzen einen der drei in Tabelle 1-2 genannten Reifegrade. Der Reifegrad wird von der für das RFC zuständigen IETF-Arbeitsgruppe festgelegt, und istnicht abhängig von der Anforderungsstufe.

Reifegrad Beschreibung

Vorgeschlagener Standard Eine als vorgeschlagener Standard klassifizierte Spezifikation ist in der Regel stabil, löst bekannte Entwurfsalternativen,wird als gut verstanden betrachtet, wurde von einem beträchtlichen Teil derGemeinschaft überprüft und genießtgenügend Interesse der Gemeinschaft, umals wertvoll anerkannt zu werden.

Entwurfsstandard Eine als Entwurfsstandard klassifizierte Spezifikation muss in ihrer Semantik und als Grundlage für die Entwicklung einerImplementierung als gut verstanden und ziemlich stabil angesehen werden.

Internetstandard Eine als Internetstandard klassifizierte Spezifikation (die auch einfach als Standrad bezeichnet werden kann) ist gekennzeichnet durch einen hohen Grad technischer Reife und der allgemeinenÜberzeugung, dass das betreffendeProtokoll oder der Dienst vonbeträchtlichem Nutzen für dieInternetgemeinschaft ist.

Tabelle 1-2 Reifegrade von Internetstandards

Muss ein als RFC formulierter Standard geändert werden, veröffentlicht die IETF einenneuen Internetentwurf und, nach einer Überprüfungsperiode, ein neues RFC mit einerneuen Nummer. Das ursprüngliche RFC wird niemals aktualisiert. Daher sollten Sie immerüberprüfen, ob Sie über das aktuellste RFC für ein bestimmtes Thema oder einenStandard verfügen. Wir beziehen uns zum Beispiel in den Kapiteln dieses Online-Buchesdurchgehend auf RFCs. Wenn Sie die technischen Einzelheiten eines Internetstandards in seinem RFC nachsehen möchten, dann vergewissern Sie sich, dass Sie das neueste RFCbesitzen, das diesen Standard beschreibt.

Sie erhalten RFCs unter http://www.ietf.org/rfc.html (nur auf Englisch verfügbar).

Zum Seitenanfang

TCP/IP-TerminologieDie Internetstandards verwenden eine bestimmte Menge von Begriffen zur Beschreibung der Netzwerkelemente und -konzepte von TCP/IP-Netzwerken. Diese Begriffe bilden das Fundament für die folgenden Kapitel. Abbildung 1-1 zeigt die Komponenten einesIP-Netzwerks.

http://www.ietf.org/rfc.html

Abbildung 1-1 Elemente eines IP-NetzwerksBild maximieren

Im Folgenden einige wichtige Begriffe und Konzepte von TCP/IP und ihre Definition:

• Knoten Jedes Gerät, darunter auch Router und Hosts, auf dem eineIP-Implementierung läuft.

• Router Ein Knoten, der nicht ausdrücklich an ihn adressierte IP-Pakete weiterleitenkann. In einem IPv6-Netzwerk gibt ein Router typischerweise seine Präsenz undHost-Konfigurationsinformationen bekannt.

• Host Ein Knoten, der nicht ausdrücklich an ihn adressierte IP-Pakete nicht weiterleitenkann (ein Nicht-Router). Ein Host kann in der Regel sowohl die Quelle als auch das Ziel des IP-Verkehrs sein. Ein Host verwirft stillschweigend den von ihm empfangenen Verkehr, der nicht ausdrücklich an ihn adressiert ist.

• Protokoll der oberen Schicht Ein Protokoll oberhalb von IP, das IP als Transportmedium verwendet. Beispiele sind Protokolle der Internet-Schicht, etwa ICMP (Internet Control Message Protocol), und Protokolle der Transportschicht, wie TCP (Transmission Control Protocol) und UDP (User Datagram Protocol). (Protokolle der Anwendungsschicht, die TCP und UDP für den Transport verwenden, werden jedochnicht als Protokolle der oberen Schicht betrachtet. FTP [File Transfer Protocol] und DNS [Domain Name System] fallen in diese Kategorie). Weitere Informationen zu den Schichten der TCP/IP-Protokollfamilie finden Sie in Kapitel 2, "Die Architektur der TCP/IP-Protokollfamilie".

• LAN-Segment Ein Abschnitt eines Subnetzes, bestehend aus einem Netzwerkmedium,das durch Brücken oder Layer-2-Switches begrenzt wird.

• Subnetz Eines oder mehrere LAN-Segmente, die durch Router begrenzt werden und das gleiche IP-Adresspräfix verwenden. Statt Subnetz werden auch die BegriffeNetzwerksegment und Link gebraucht.

• Netzwerk Zwei oder mehr durch Router miteinander verbundene Subnetze. Ein anderer Begriff für Netzwerk ist Internetwork.

• Nachbar Ein Knoten, der mit demselben Subnetz verbunden ist wie ein anderer Knoten.

• Schnittstelle Die physische oder logische Verbindung eines Knotens mit einem Subnetz. Beispiel für eine physische Schnittstelle ist ein Netzwerkadapter. Beispiel füreine logische Schnittstelle ist eine Tunnelschnittstelle, die verwendet wird, um IPv6-Pakete durch ein IPv4-Netzwerk zu senden.

• Adresse Ein Bezeichner, der für die Quelle oder das Ziel von IP-Paketen verwendetwerden kann und der in der Internet-Schicht einer Schnittstelle oder einem Satz von Schnittstellen zugewiesen wird.?

• Paket Die der Internet-Schicht zugeordnete PDU (Protocol Data Unit), die aus einem IP-Header und den Nutzdaten besteht.

Zum Seitenanfang

TCP/IP-Komponenten in WindowsTabelle 1-3 nennt die Vorteile der TCP/IP-Protokollfamilie und der Integration von TCP/IP-Komponenten in Windows.

Vorteile der TCP/IP-Protokollfamilie Vorteile der TCP/IP-Komponenten in Windows

Ein standardisiertes, routerfähigesProtokoll für Unternehmensnetzwerke; esist das vollständigste und am meistenakzeptierte Protokoll. Alle modernen Betriebssysteme unterstützen TCP/IP, unddie meisten größeren privaten Netzwerkestützen sich auf TCP/IP.

Die TCP/IP-Komponenten in Windowsermöglichen unternehmensweitenNetzwerkverkehr und verbinden Windows-Computer mit Computern, die andere Betriebssysteme verwenden.

Vorteile der TCP/IP-Protokollfamilie Vorteile der TCP/IP-Komponenten in Windows

Eine Technologie für die Verbindungunterschiedlicher Systeme. Viele TCP/IP-Protokollanwendungen sind dafürausgelegt, den Datenzugriff und -austausch zwischen unterschiedlichen Systemen zu ermöglichen. Diese Protokolleumfassen HTTP, FTP und Telnet.

Die TCP/IP-Komponenten in Windows erlauben die standardisierte Verbindung zu anderen Betriebssystemplattformen.

Ein robustes, skalierbares undplattformübergreifendesClient/Server-Framework.

Die TCP/IP-Komponenten in Windowsunterstützen die WindowsSockets-Programmierschnittstelle, die von Entwicklern zur Erstellung von Client/Server-Anwendungen genutzt wird.

Eine Methode, Zugang zum Internet zu erlangen.

Windows-basierte Computer sind bereit fürdas Internet.

Tabelle 1-3 Vorteile der TCP/IP-Protokollfamilie und der TCP/IP-Komponentenin Windows.

Windows bietet sowohl auf IPv4 als auch auf IPv6 basierende TCP/IP-Komponenten.

Konfigurieren der auf IPv4 basierenden TCP/IP-Komponenten in WindowsDie auf IPv4 basierende TCP/IP-Komponente wird in Windows Server 2003 undWindows XP standardmäßig installiert und im Ordner Netzwerkverbindungen als Komponente Internet-Protokoll (TCP/IP) angezeigt. Im Gegensatz zu früherenVersionen von Windows können Sie die Komponente Internet-Protokoll (TCP/IP) nicht deinstallieren. Sie können jedoch deren Standardkonfiguration mithilfe des Befehls netsh interface ip reset wiederherstellen. Weitere Informationen über Netsh-Befehle finden Siein Windows Server 2003 oder Windows XP unter Hilfe und Support.

Die TCP/IP-Komponente kann entweder automatisch oder mittels manuell eingegebener Einstellungen konfiguriert werden. Standardmäßig bezieht diese Komponente ihreAdresskonfiguration automatisch. Abbildung 1-2 zeigt die Registerkarte Allgemein des Dialogfelds Eigenschaften von Internet-Protokoll (TCP/IP).

Abbildung 1-2 Die Registerkarte 'Allgemein' desDialogfelds 'Eigenschaften von Internet-Protokoll (TCP/IP)'Bild maximieren

Automatische KonfigurationWenn Sie sich für die automatische Konfiguration entscheiden, dann versucht dieTCP/IP-Komponente, beim Start von Windows die Konfiguration von einem DHCP-Server (Dynamic Host Configuration Protocol) zu beziehen. Viele TCP/IP-Netzwerke verwenden DHCP-Server, um TCP/IP-Konfigurationsinformationen für die Clients im Netzwerkbereitzustellen.

Kann die TCP/IP-Komponente keinen DHCP-Server finden, dann überprüft sie dieEinstellungen auf der Registerkarte Alternative Konfiguration. Abbildung 1-3 zeigt diese Registerkarte.

Abbildung 1-3 Die Registerkarte "AlternativeKonfiguration" der TCP/IP-KomponenteBild maximieren

Diese Registerkarte enthält zwei Optionen:

• Automatisch zugewiesene, private IP-Adresse Wenn Sie diese Option wählen,wird APIPA (Automatic Private IP Addressing) verwendet. Dabei wählt dieTCP/IP-Komponente automatisch eine IPv4-Adresse aus dem Bereich 169.254.0.1 bis 169.254.255.254 mit einer Subnetzmaske 255.255.0.0 aus. Der DHCP-Client überprüft,ob die von der TCP/IP-Komponente gewählte IPv4-Adresse nicht bereits verwendetwird. Wird die IPv4-Adresse schon verwendet, wählt die TCP/IP-Komponente eineandere IPv4-Adresse und wiederholt diesen Vorgang für bis zu 10 Adressen. Hat dieTCP/IP-Komponente eine Adresse gewählt, die nach Überprüfung des DHCP-Clients alsnoch nicht verwendet erkannt wurde, konfiguriert die TCP/IP-Komponente die Schnittstelle mit dieser Adresse. Durch APIPA können Anwender einfacher SOHO (SmallOffice/Home Office)-Subnetzwerke TCP/IP benutzen, ohne eine manuelle Konfigurationdurchführen oder einen DHCP-Server einrichten zu müssen. APIPA konfiguriert keinenStandardgateway. Daher ist auch nur lokaler Subnetzverkehr möglich.

• Benutzerdefiniert Wenn Sie diese Option wählen, verwendet die TCP/IP-Komponentedie von Ihnen angegebene Konfiguration. Diese Option ist dann sinnvoll, wenn ein Computer in mehr als einem Netzwerk betrieben wird, wobei nicht alle Netzwerke übereinen DHCP-Server verfügen, und eine APIPA-Konfiguration nicht gewünscht wird. Siekönnten sich zum Beispiel für diese Option entscheiden, wenn Sie mit einemLaptop-Computer sowohl im Büro als auch Zuhause arbeiten. Im Büro verwendet derLaptop die TCP/IP-Konfiguration von einem DHCP-Server. Zuhause, wo kein DHCP-Server verfügbar ist, verwendet der Laptop dagegen die benutzerdefinierteautomatische Konfiguration. Diese Option erlaubt den einfachen Zugriff aufNetzwerkgeräte zuhause sowie auf das Internet und ermöglicht die nahtlose Arbeit inbeiden Netzwerken, ohne dass Sie die TCP/IP-Komponente manuell neu konfigurierenmüssten.

Wenn Sie die APIPA-Konfiguration oder die benutzerdefinierte automatische Konfiguration verwenden, überprüft die TCP/IP-Komponente im Hintergrund alle 5 Minuten, ob einDHCP-Server gefunden werden kann. Findet die TCP/IP-Komponente einen DHCP-Server, verwendet sie nicht mehr APIPA- oder die benutzerdefinierte automatische Konfiguration, sondern die von dem DHCP-Server bereitgestellte IPv4-Adresskonfiguration.

Manuelle KonfigurationUm die TCP/IP-Komponente manuell zu konfigurieren, was auch als statische Konfiguration bezeichnet wird, müssen Sie mindestens folgende Informationen angeben:

• IP-Adresse Eine IP (IPv4)-Adresse ist eine logische 32-Bit-Adresse, die verwendetwird, um die Schnittstelle eines auf IPv4 basierenden TCP/IP-Knotens zu identifizieren. Jede IPv4-Adresse besteht aus zwei Teilen: der Netzwerk-ID und der Host-ID. Die Netzwerk-ID kennzeichnet alle Hosts innerhalb des gleichen physischen Netzwerks. Die Host-ID kennzeichnet einen bestimmten Host im Netzwerk. Jede Schnittstelle in einem auf IPv4 basierenden TCP/IP-Netzwerk benötigt eine eindeutige IPv4-Adresse,beispielsweise 131.107.2.200.

• Subnetzmaske Anhand der Subnetzmaske unterscheidet die TCP/IP-Komponente dieNetzwerk-ID von der Host-ID. Beispiel für eine Subnetzmaske ist 255.255.255.0.

Weitere Informationen zu IPv4-Adressen und Subnetzmasken finden Sie in Kapitel 3, "IP-Adressierung".

Sie müssen diese Parameter für jeden Netzwerkadapter des Knotens konfigurieren, derdie TCP/IP-Komponente verwendet. Wenn Sie eine Verbindung zu Knoten außerhalb deslokalen Subnetzes herstellen möchten, müssen Sie auch die IPv4-Adresse einesStandardgateways angeben, einem Router im lokalen Subnetz, an den der Knoten angeschlossen ist. Die TCP/IP-Komponente sendet Pakete, die für Remotenetzwerkebestimmt sind, an den Standardgateway, sofern für den lokalen Host keine anderenRouten konfiguriert sind.

Sie können auch die IPv4-Adressen des bevorzugten und des alternativen DNS-Serverskonfigurieren. Die TCP/IP-Komponente verwendet DNS-Server, um Domänennamen,beispielsweise www.example.com, in IPv4- oder IPv6-Adressen zu übersetzen.

Abbildung 1-4 enthält ein Beispiel für eine manuelle Konfiguration derTCP/IP-Komponente.

Abbildung 1-4 Beispiel einer manuellen Konfiguration derTCP/IP-Komponente Bild maximieren

Sie können die TCP/IP-Komponente auch manuell mithilfe der über netsh interface ipverfügbaren Befehle an der Eingabeaufforderung konfigurieren.


Installieren und Konfigurieren der auf IPv6 basierenden TCP/IP-Komponente in WindowsWindows XP mit Service Pack 1 (SP1) und Windows Server 2003 sind die ersten Versionenvon Windows, die IPv6 für den Produktionseinsatz unterstützen. Sie installieren IPv6 alsKomponente in den Netzwerkverbindungen; die Komponente heißt Microsoft TCP/IPVersion 6 in Windows Server 2003 und Microsoft IPv6 Developer Edition in Windows XP mit SP1.

Hinweis Die in Windows XP ohne Servicepacks enthaltene Microsoft IPv6 Developer Edition-Komponente war nur für Anwendungsentwickler gedacht, nicht für den Einsatz inProduktionsumgebungen. Daher enthielten alle Hilfethemen für diese Version einenWarnhinweis, der die Einschränkungen und die unterstützten Einsatzzwecke beschrieb.SP1 enthält eine Version von IPv6, die für den Produktionseinsatz gedacht ist. Jedochwurden für SP1 die Hilfethemen nicht aktualisiert. Daher können Sie den Warnhinweisignorieren, wenn Sie SP1 installiert haben.

Im Unterschied zur TCP/IP-Komponente, wird die IPv6-Komponente nicht standardmäßiginstalliert, und Sie können sie auch deinstallieren. Sie können die IPv6-Komponente auffolgende Weisen installieren:

• Mithilfe des Ordners Netzwerkverbindungen.

• Mithilfe des Befehls netsh interface ipv6 install.

Um die IPv6-Komponente von Windows Server 2003 mit dem OrdnerNetzwerkverbindungen zu installieren, gehen Sie wie folgt vor:

1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und doppelklicken Sie auf Netzwerkverbindungen.

2. Klicken Sie mit der rechten Maustaste auf irgendeine LAN-Verbindung, und klicken Sie auf Eigenschaften.

3. Klicken Sie auf Installieren.

4. Klicken Sie im Dialogfeld Netzwerkkomponente auswählen auf Protokoll, und klicken Sie dann auf Hinzufügen.

5. Klicken Sie im Dialogfeld Netzwerkprotokoll wählen auf Microsoft TCP/IP Version 6, und klicken Sie dann auf OK.

6. Klicken Sie auf Schließen, um die Änderungen zu speichern.

Im Unterschied zur TCP/IP-Komponente stellt die IPv6-Komponente kein Eigenschaften-Dialogfeld zur Verfügung, in dem Sie die IPv6-Adressen und -Einstellungenkonfigurieren können. Die Konfiguration von IPv6-Hosts sollte automatisch und die vonIPv6-Routern manuell erfolgen.

Automatische KonfigurationDie Microsoft TCP/IP Version 6-Komponente unterstützt die automatischeAdresskonfiguration. Alle IPv6-Knoten erzeugen automatisch eindeutige IPv6-Adressen fürdie Verwendung mit den benachbarten Knoten eines Subnetzes. Um auch Remoteknoten erreichen zu können, sendet jeder IPv6-Host beim Start Routeranforderungen aus undversucht so, lokale Router im Subnetz aufzuspüren. Ein IPv6-Router im Subnetz antwortetmit einer Routerankündigung, die der IPv6-Host verwendet, um automatisch dieIPv6-Adressen, den Standardrouter und andere IPv6-Einstellungen zu konfigurieren.

Manuelle KonfigurationEinen typischen IPv6-Host müssen Sie nicht manuell konfigurieren. Sollte ein Hostmanuelle Konfiguration benötigen, verwenden Sie die von netsh interface ipv6 zurVerfügung gestellten Befehle, um Adressen oder Router hinzufügen oder andereEinstellungen vorzunehmen.

Wenn Sie einen Computer unter Windows XP mit SP1 oder Windows Server 2003 alsIPv6-Router konfigurieren müssen, verwenden Sie die von netsh interface ipv6 zurVerfügung gestellten Befehle, um die IPv6-Komponente manuell mit Adresspräfixen zukonfigurieren.

Namenszuordnungsdateien in WindowsDie TCP/IP- und die Microsoft TCP/IP Version 6-Komponenten unterstützen die

Verwendung von Namenszuordnungsdateien für die Zuordnung von Hosts, Netzwerken,Protokollen und Diensten. Tabelle 1-4 führt diese Namenszuordnungsdateien auf, die imOrdner Systemroot\System32\Drivers\Etc gespeichert sind.

Dateiname Beschreibung

Hosts Ordnet Hostnamen IPv4- oder IPv6-Adressen zu.

Lmhosts Ordnet NetBIOS-Namen (Network Basic Input/Output System) IPv4-Adressen zu. Ein Beispiel für eine Lhosts-Datei(Lmhosts.sam) wird standardmäßigmitgeliefert. Sie können eine andere Dateinamens Lmhosts erstellen oder die Datei Lmhosts.sam kopieren bzw. zu Lmhosts umbenennen.

Networks Ordnet Netzwerknamen IPv4-Netzwerk-IDs zu.

Protocol Ordnet Protokollnamen RFC-definierte Protokollnummern zu. Eine Protokollnummer ist ein Feld im IPv4-Header, das angibt, welchem Protokoll der oberen Schicht (etwa TCP oder UDP) die Nutzdaten eines IPv4-Pakets übergeben werden sollen.

Services Ordnet Dienstnamen Portnummern und Protokollnamen zu. Portnummern entsprechen den Feldern von TCP- oder UDP-Headern, die jene Anwendung angeben, die TCP oder UDP verwendet.

Tabelle 1-4 Namenszuordnungsdateien in Windows

TCP/IP-Tools in WindowsTabelle 1-5 nennt die TCP/IP-Diagnosetools, die mit Windows Server 2003 undWindows XP geliefert werden. Sie können diese Tools verwenden, umTCP/IP-Netzwerkprobleme aufzuspüren und zu beseitigen.

Tool Beschreibung

Arp Erlaubt, die Einträge des ARP-Cache(Address Resolution Protocol) anzuzeigen und zu ändern. Der ARP-Cache ordnetIPv4-Adressen MAC-Adressen (Media Access Control) zu. Windows verwendet diese Zuordnungen bei der Übertragungvon Daten im lokalen Netzwerk.

Hostname Zeigt den Hostnamen des Computers an.

Ipconfig Zeigt die aktuellen TCP/IP-Konfigurationseinstellungen fürIPv4 und IPv6 an. Wird auch dazu verwendet, die DHCP-Konfiguration sowie den DNS-Clientauflösungscache zuverwalten.

Lpq Zeigt den Status von Druckerwarteschlangen auf Druckservern an, auf denen LPD (Line Printer Daemon)ausgeführt wird.

Nbtstat Überprüft den Status aktuellerNBT-Verbindungen (NetBIOS überTCP/IP), aktualisiert den

Tool Beschreibung

Lmhosts-Zwischenspeicher und ermittelt die registrierten Namen sowie Bereichs-IDs.

Netsh Zeigt die IPv4- oder IPv6-Einstellungen fürden lokalen oder einen Remotecomputer an und ermöglicht, diese Einstellungen zuändern.

Netstat Zeigt statistische und andere Informationen über aktuelle IPv4- undIPv6-Verbindungen an.

Nslookup Fragt einen DNS-Server ab.

Ping Überprüft IPv4- oder IPv6-Verbindungenmit anderen IP-Knoten.

Route Zeigt die Einträge der lokalen IPv4- undIPv6-Routingtabelle an und ermöglichtIhnen, die lokale IPv4-Routingtabelle zuändern.

Tracert Verfolgt den Pfad, den ein IPv4- oder IPv6-Paket zu einem bestimmten Zielzurücklegt.

Pathping Verfolgt den Pfad, den ein IPv4- oder IPv6-Paket zu einem bestimmten Zielzurücklegt, und zeigt für jeden Router undjedes Subnetz im Pfad Informationen zu Paketverlusten an.

Tabelle 1-5 TCP/IP-Diagnosetools in Windows

Windows Server 2003 und Windows XP bieten außerdem Befehlszeilentools für dieDatenübertragung mit FTP, TFTP (Trivial File Transfer Protocol), Telnet und Verbindungenzu UNIX-basierenden Ressourcen.

Nachdem Sie TCP/IP konfiguriert haben, können Sie mit den Tools Ipconfig und Ping IhreKonfiguration sowie die Verbindung mit anderen TCP/IP-Hosts und -Netzwerkenüberprüfen.

Das Tool IpconfigMit dem Tool Ipconfig können Sie die TCP/IP-Konfiguration eines Hosts überprüfen,darunter folgende Parameter:

• Für IPv4 die IPv4-Adresse, die Subnetzmaske und der Standardgateway.

• Für IPv6 die IPv6-Adressen und der Standardrouter.

Mit Ipconfig können Sie auch ermitteln, ob die Konfiguration initialisiert wurde oderdoppelte IP-Adressen konfiguriert wurden. Geben Sie an der Eingabeaufforderung ipconfig ein, um diese Informationen anzuzeigen.

Hier ein Beispiel für die Informationen, die das Tool Ipconfig bei einem Computer anzeigt,der IPv4 und IPv6 verwendet.

C:\>ipconfig

Windows IP Configuration

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :

wcoast.example.com

IP Address. . . . . . . . . . . . :

157.60.139.77

Subnet Mask . . . . . . . . . . . :

255.255.252.0

IP Address. . . . . . . . . . . . :

3ffe:ffff:ffff:f282:204:76ff:fe36:7363

IP Address. . . . . . . . . . . . :

fec0::f282:204:76ff:fe36:7363%2

IP Address. . . . . . . . . . . . :

fe80::204:76ff:fe36:7363

Default Gateway . . . . . . . . . :

157.60.136.1

3ffe:ffff:1:21ad:210:ffff:fed6:58c0

Tunnel adapter Automatic Tunneling Pseudo-Interface:

Connection-specific DNS Suffix . :

wcoast.example.com

IP Address. . . . . . . . . . . . :

3ffe:ffff:ffff:f70f:0:5efe:157.60.139.77

IP Address. . . . . . . . . . . . :

fe80::5efe:157.60.139.77%2

Default Gateway . . . . . . . . . :

fe80::5efe:157.54.253.9%2

Geben Sie an der Eingabeaufforderung ipconfig /all ein, um die IPv4- und IPv6-Adressen von DNS-Servern, die IPv4-Adressen von WINS-Servern (Windows Internet Name Service; diese Server ordnen NetBIOS-Namen IP-Addressen zu), die IPv4-Adresse des DHCP-Servers sowie Zuweisungsinformationen für über DHCP konfigurierte IPv4-Adressenanzuzeigen.

Das Tool PingNachdem Sie mit dem Tool Ipconfig die Konfiguration überprüft haben, können Sie mitdem Tool Ping die Verbindungen testen. Ping ist ein Diagnosetool, das TCP/IP-Konfigurationen testet und Verbindungsfehler aufspürt. Für IPv4 verwendet PingICMP-Echoanforderungen und -antworten um zu ermitteln, ob ein bestimmter auf IPv4 basierender Host verfügbar ist und funktioniert. Für IPv6 verwendet PingICMPv6-Echoanforderungen und -antworten (ICMP für IPv6). Die grundsätzlicheBefehlssyntax ist ping Ziel, wobei Ziel entweder eine IPv4- oder IPv6-Adresse darstellt oder ein Name, dem eine IPv4- oder IPv6-Adresse zugeordnet werden kann.

Es folgt ein Beispiel für die Informationen, die das Tool Ping für ein IPv4-Ziel anzeigt:

C:\>ping 157.60.136.1

Pinging 157.60.136.1 with 32 bytes of data:

Reply from 157.60.136.1: bytes=32 time<1ms TTL=255




Ping statistics for 157.60.136.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Hier ein Beispiel für die Informationen, die das Tool Ping für ein IPv6-Ziel anzeigt:

C:\>ping 3ffe:ffff:1:21ad:210:ffff:fed6:58c0

Pinging 3ffe:ffff:1:21ad:210:ffff:fed6:58c0 from

3ffe:ffff:1:21ad:204:76ff:fe36:7363 with 32 bytes of data:

Reply from 3ffe:ffff:1:21ad:210:ffff:fed6:58c0: time<1ms




Ping statistics for 3ffe:ffff:1:21ad:210:ffff:fed6:58c0:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 1ms, Average = 0ms

Gehen Sie folgendermaßen vor, um die Konfiguration eines Computers und dieRouterverbindungen zu überprüfen:

1. geben Sie an der Eingabeaufforderung ipconfig ein, um zu überprüfen, ob dieTCP/IP-Konfiguration initialisiert wurde.

2. Verwenden Sie Ping mit der IPv4-Adresse des Standardgateways oder die IPv6-Adresse des Standardrouters, um zu überprüfen, ob sie funktionieren und Siemit einem Knoten des lokalen Netzwerks kommunizieren können.

3. Verwenden Sie Ping mit der IPv4- oder IPv6-Adresse eines Remoteknoten, um zuüberprüfen, ob Sie über einen Router kommunizieren können.

Wenn Sie bereits mit Schritt 3 begonnen haben und erfolgreich waren, können Sie davonausgehen, dass auch die Schritte 1 und 2 erfolgreich verlaufen würden.

Hinweis Sie können das Tool Ping nicht für die Fehlerbehandlung von Verbindungenverwenden, wenn Router mit Paketfiltern und Host-Firewalls den ICMP- und ICMPv6-Verkehr verwerfen.

NetzwerkmonitorSie können den Netzwerkmonitor zur Behebung komplexer Netzwerkproblemeverwenden, denn dieses Tool sammelt im Netzwerk übertragene Daten und zeigt sie zurAnalyse an. Der Netzwerkmonitor konfiguriert einen Netzwerkadapter so, dass alle ausgehenden und ankommenden Pakete gesammelt werden.

Sie können Sammlungsfilter definieren, damit nur spezielle Rahmen gesammelt werden.Als Filterbedingungen sind MAC-Adressen für Quelle und Ziel, Protokolladressen für Quelleund Ziel sowie Musterübereinstimmungen möglich. Nachdem ein Paket gesammelt wurde,können Sie Anzeigefilter verwenden, um ein Problem weiter einzugrenzen. Wurde einPaket gesammelt und gefiltert, interpretiert der Netzwerkmonitor das Paket und zeigt die Daten in lesbarer Form an.

Hinweis Die in Windows Server 2003 enthaltene Version von Netzwerkmonitor kann nurDaten des lokalen Computers sammeln. Die in Microsoft Systems Management Server enthaltene Version kann auch Daten von Remotecomputern erfassen.

Gehen Sie folgendermaßen vor, um den Netzwerkmonitor von Windows Server 2003 zuinstallieren:

1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, klicken Sie auf Software, und klicken Sie dann auf Windows-Komponenten hinzufügen/entfernen.

2. Klicken Sie im Dialogfeld Assistent für Windows-Komponenten auf Verwaltungs- und Überwachungsprogramme und dann auf Details.

3. Markieren Sie im Dialogfeld Verwaltungs- und Überwachungsprogramme dasKontrollkästchen Netzwerkmonitorprogramme, und klicken Sie auf OK.

4. Werden weitere Dateien angefordert, dann legen Sie die Produkt-CD in das Laufwerk oder geben Sie den Zugriffspfad der Dateien im Netzwerk ein.

Hinweis Um diesen Vorgang durchführen zu können, müssen Sie als Mitglied derAdministratorengruppe des lokalen Computers angemeldet sein oder überentsprechende Rechte verfügen. Ist der Computer in eine Domäne eingebunden,dann könnten auch Mitglieder der Gruppe Domänenadministratoren die Installationausführen.

Wollen Sie den Netzwerkverkehr mit dem Netzwerkmonitor analysieren, müssen Sie dieSammlung starten, den zu beobachtenden Netzwerkverkehr generieren, die Sammlung beenden und dann die Daten anzeigen lassen.

Starten einer SammlungDer Netzwerkmonitor verwendet verschiedene Fenster, um die Daten auf unterschiedliche Weise anzuzeigen. Das wichtigste Fenster ist das Fenster Sammlungszusammenfassung. Abbildung 1-5 zeigt ein Beispiel eines Sammlungsfensters.

Abbildung 1-5 Ein Sammlungsfenster imNetzwerkmonitorBild maximieren

Ist dieses Fenster aktiv, dann stehen in der Symbolleiste Schaltflächen zur Verfügung, mitdenen Sie die Sammlung starten, pausieren, beenden oder die gesammelten Daten anzeigen können. Klicken Sie im Menü Sammlung auf Sammlung starten, um mit der Sammlung zu beginnen. Während die Daten gesammelt werden, sind imSammlungsfenster statistische Informationen zu sehen.

Beenden einer SammlungNachdem Sie den zu analysierenden Netzwerkverkehr generiert haben, klicken Sie imMenü Sammlung auf Sammlung beenden, damit die Datensammlung abgebrochen wird. Sie können jetzt eine weitere Sammlung starten oder die gerade gesammeltenDaten anzeigen lassen. Klicken Sie im Menü Sammlung auf Beenden und Anzeigen, um die Sammlung zu beenden und die Daten sofort anzuzeigen.

Anzeigen der DatenWenn Sie eine Sammlung zur Anzeige auswählen, wird das FensterSammlungszusammenfassung geöffnet, das die Liste der gesammelten Rahmenanzeigt. Für jeden Rahmen wird die Rahmennummer, der Zeitpunkt seines Empfangs, dieQuell- und Zieladressen, das Protokoll der in dem Rahmen verwendeten höchsten Schichtsowie eine Beschreibung des Rahmens angegeben. Abbildung 1-6 zeigt ein Beispiel des Fensters Sammlungszusammenfassung.

Abbildung 1-6 Das Fenster"Sammlungszusammenfassung" im NetzwerkmonitorBild maximieren

Ausführlichere Informationen zu einem bestimmten Rahmen erhalten Sie, wenn Sie imMenü Fenster auf Fensterbereich vergrößern klicken. In dieser Ansicht zeigt das Fenster Sammlungszusammenfassung zwei weitere Bereiche an, den Detailbereich und den Hexadezimalbereich. Im Detailbereich sind die Einzelheiten der Protokollinformationen zu sehen. Im Hexadezimalbereich werden die einzelnen Bytes des Rahmens angezeigt. Abbildung 1-7 zeigt einen Rahmen einer Beispielsammlung in vergrößerter Ansicht.

Abbildung 1-7 Vergrößerte Ansicht eines Rahmens imNetzwerkmonitorBild maximieren

Zum Seitenanfang

Zusammenfassung des KapitelsIn diesem Kapitel wurden folgende Schlüsselinformationen behandelt:

• TCP/IP ist ein standardisierter Satz von Protokollen, die für sehr große Netzwerkeausgelegt sind. Das TCP/IP-Protokoll umfasst sowohl den IPv4- als auch die IPv6-Protokollfamilie.

• Die Standards für TCP/IP werden in Form einer Reihe von RFCs genannten Dokumentenveröffentlicht.

• In einem TCP/IP-Netzwerk kann ein Router Pakete weiterleiten, die nicht an den Router adressiert sind, wogegen ein Host dies nicht kann; ein Knoten ist entweder ein Host oder ein Router.

• In einem TCP/IP- Netzwerk besteht ein Subnetz aus einem oder mehreren LAN-Segmenten, die durch Router begrenzt werden und das gleiche IP-Adresspräfixverwenden; ein Netzwerk besteht aus zwei oder mehreren durch Router miteinander verbundenen Subnetzen.

• Die Komponente Internet-Protokoll (TCP/IP) im Ordner Netzwerkverbindungenist die auf IPv4 basierende TCP/IP-Komponente von Windows. Diese Komponente wirdstandardmäßig installiert, und Sie können sie nicht deinstallieren. Sie können sieentweder automatisch (mittels DHCP oder einer alternativen Konfiguration) oder manuell (im Ordner Netzwerkverbindungen oder mit dem Tool Netsh) konfigurieren.

• Die auf IPv6 basierende TCP/IP-Komponente von Windows ist Microsoft TCP/IP Version 6 oder Microsoft IPv6 Developer Edition im Ordner Netzwerkverbindungen. Diese Komponente wird nicht standardmäßig installiert, undSie können sie deinstallieren. Sie können sie automatisch (indem sie selbst Routerermittelt) oder manuell (mit dem Tool Netsh) konfigurieren.

• Ipconfig und Ping sind die wichtigsten Tools für die Fehlerbehebung bei derIP-Konfiguration und den Verbindungen.

• Sie können den Netzwerkmonitor zur Behebung komplexer Netzwerkproblemeverwenden, indem Sie mit diesem Tool im Netzwerk übertragene Daten sammeln undzur Analyse anzeigen.

Zum Seitenanfang

KapitelglossarAdresse – Ein Bezeichner, der für die Quelle oder das Ziel von IP-Paketen verwendetwerden kann und der in der Internet-Schicht einer Schnittstelle oder einem Satz vonSchnittstellen zugewiesen wird.?

APIPA – Siehe Automatic Private IP Addressing.

Automatic Private IP Addressing – Eine Funktion in Windows Server 2003 undWindows XP, die automatisch eine IPv4-Adresse aus dem Bereich 169.254.0.1 bis169.254.255.254 mit der Subnetzmaske 255.255.0.0 konfiguriert. APIPA wird verwendet,wenn die TCP/IP-Komponente für automatische Adressierung konfiguriert ist, kein

DHCP-Server verfügbar ist und die Option Automatisch zugewiesene, private IP-Adresse gewählt wurde.

Host – Ein Knoten, der in der Regel sowohl die Quelle als auch das Ziel des IP-Verkehrsist. Hoste verwerfen stillschweigend den von ihnen empfangenen Verkehr, der nichtausdrücklich an sie adressiert ist.

Schnittstelle – Die physische oder logische Verbindung eines Knotens mit einem Subnetz.Beispiel für eine physische Schnittstelle ist ein Netzwerkadapter. Beispiel für eine logischeSchnittstelle ist eine Tunnelschnittstelle, die verwendet wird, um IPv6-Pakete durch einIPv4-Netzwerk zu senden.

IP – Features oder Eigenschaften, die sowohl für IPv4 als auch IPv6 gelten. So istbeispielsweise eine IP-Adresse entweder eine IPv4-Adresse oder eine IPv6-Adresse.

IPv4 – Die Protokolle der Internet-Schicht innerhalb der TCP/IP-Protokollfamilie, die imRFC 791 definiert sind. IPv4 ist heute weit verbreitet.

IPv6 – Die Protokolle der Internet-Schicht innerhalb der TCP/IP-Protokollfamilie, die imRFC 2460 definiert sind. IPv6 gewinnt heute zunehmende Akzeptanz.

LAN-Segment – Ein Abschnitt eines Teilnetzes, bestehend aus einem Netzwerkmedium,das durch Brücken oder Layer-2-Switches begrenzt wird.

Nachbar – Ein Knoten, der mit demselben Subnetz verbunden ist wie ein anderer Knoten.

Netzwerk – Zwei oder mehr durch Router miteinander verbundene Subnetze. Ein andererBegriff für Netzwerk ist Internet.

Knoten – Jedes Gerät, darunter auch Router und Hosts, auf dem eine Implementierungvon IP läuft.

Paket – Die der Internet-Schicht zugeordnete PDU (Protocol Data Unit), die aus einemIP-Header und den Nutzdaten besteht.

Request for Comments (RFC) – Ein offizielles Dokument, das die Details der Protokollefestlegt, die Bestandteil der TCP/IP-Protokollfamilie sind. Die IETF (Internet EngineeringTask Force) formuliert und aktualisiert die RFCs für TCP/IP.

RFC – Siehe Request for Comments (RFC).

Router – Ein Knoten, der sowohl Quelle als auch Ziel des IP-Verkehrs sein und IP-Paketeweiterleiten kann, die nicht an den Router selbst adressiert sind. In einem IPv6-Netzwerkgibt ein Router typischerweise seine Präsenz und Host-Konfigurationsinformationenbekannt.

Subnetz – Eines oder mehrere LAN-Segmente, die durch Router begrenzt werden und dasgleiche IP-Adresspräfix verwenden. Statt Subnetz werden auch die BegriffeNetzwerksegment und Link gebraucht.

TCP/IP – Siehe Transmission Control Protocol/Internet Protocol (TCP/IP).

Transmission Control Protocol/Internet Protocol (TCP/IP) – Ein Satz vonNetzwerkprotokollen, darunter auch IPv4 und IPv6, der im gesamten Internet verwendetwird und der die Kommunikation zwischen miteinander verbundenen Computernetzwerkenunterschiedlicher Hardwarearchitektur und unterschiedlichen Betriebssystemenermöglicht.

Protokoll der oberen Schicht – Ein Protokoll oberhalb von IP, das IP als Transportmediumverwendet. Beispiele sind Protokolle der Internet-Schicht, etwa ICMP (Internet ControlMessage Protocol), und Protokolle der Transportschicht, wie TCP (Transmission ControlProtocol) und UDP (User Datagram Protocol).




TCP/IP-Grundlagen für Microsoft WindowsKapitel 2 – Die Architektur des TCP/IP ProtokollsatzesVeröffentlicht: 02. Nov 2004

Zusammenfassung

Dieses Kapitel geht genauer auf die Einzelheiten der TCP/IP-Protokollfamilie (Transmission Control Protocol/Internet Protocol) ein und untersucht seine vier Schichten sowie die Kernprotokolle, die in diesen Schichten verwendet werden. Netzwerkadministratorenmüssen die Kernprotokolle der verschiedenen Schichten und ihre Funktion verstehen, umnachvollziehen zu können, wie Netzwerkanwendungen arbeiten, wie Daten von einerAnwendung zu einer anderen gesendet werden und wie Sammlungen übertragener Datenzu interpretieren sind. In diesem Kapitel werden außerdem die beiden wichtigstenAnwendungsprogrammierschnittstellen (APIs) erläutert, auf die sichNetzwerkanwendungen für die Microsoft® Windows®-Betriebssysteme stützen, sowie dasBenennungsschema der APIs.

Auf dieser Seite


Die TCP/IP-Protokollfamilie

IPv4-Internet-Schicht

IPv6-Internet-Schicht

TCP (Transmission Control Protocol)

UDP (User Datagram Protocol)

Multiplexing und Demultiplexing von Paketen

Anwendungsprogrammierschnittstellen (APIs)

TCP/IP-Benennungsschemata in Windows


Kapitelglossar


• Beschreiben, inwieweit die TCP/IP-Protokollfamilie den DARPA- (Defense Advanced Research Projects Agency) und OSI-Modellen (Open System Interconnection) entspricht

• Aufzählen der wesentlichen Protokolle der Netzwerkzugangs-, Internet-, Transport undAnwendungsschicht des DARPA-Modells

• Beschreiben der Aufgaben der Kernprotokolle der IPv4-Internet-Schicht

• Beschreiben der Aufgaben der Kernprotokolle der IPv6-Internet-Schicht

• Beschreiben der Aufgaben und Merkmale des TCP- und des UDP-Protokolls (User Datagram Protocol)

• Erklären, wie IP die in IP-Paketen enthaltenen Informationen nutzt, um Daten amZielknoten an die richtige Anwendung zu liefern

• Beschreiben der Aufgaben und Merkmale der Windows Sockets- und der NetBIOS-APIs (Network Basic Input/Output System)

• Beschreiben der Aufgaben und Merkmale der Benennungsschemata für Host- undNetBIOS-Namen, die von den TCP/IP-Komponenten der Betriebssysteme MicrosoftWindows Server™ 2003 und Windows XP verwendet werden

Zum Seitenanfang

In diesem Beitrag

• Übersicht




















Die TCP/IP-ProtokollfamilieDie TCP/IP-Protokollfamilie entspricht dem als DARPA-Modell bekannten Vier-Schichten-Modell, dessen Name sich von der US-Regierungsbehörde herleitet, dieTCP/IP ursprünglich entwickelt hat. Die vier Schichten des DARPA-Modells sind:Anwendungsschicht, Transportschicht, Internet-Schicht und Netzzugangsschicht. Jede Schicht des DARPA-Modells entspricht einer oder mehreren Schichten des siebenschichtigen OSI-Modells.

Abbildung 2-1 zeigt die Architektur der TCP/IP-Protokollfamilie.

Abbildung 2-1 Die Architektur derTCP/IP-ProtokollfamilieBild maximieren

Die TCP/IP-Protokollfamilie verfügt in der Internet-Schicht über zwei Protokollsätze:

• IPv4, auch einfach IP genannt, ist die heute in privaten Netzen sowie im Internetgebräuchliche Internet-Schicht.

• IPv6 ist die neue Internet-Schicht, die einmal die vorhandene IPv4-Internet-Schicht ersetzen wird.

Die NetzzugangsschichtDie Netzzugangsschicht (auch Netzwerkschnittstellenschicht genannt) sendetTCP/IP-Pakete in das Netzwerkmedium und empfängt TCP/IP-Pakete aus demNetzwerkmedium. TCP/IP wurde so konzipiert, dass es unabhängig von derNetzwerkzugriffsmethode, dem Rahmenformat und dem Medium ist. Daher ermöglichtTCP/IP die Kommunikation zwischen Netzwerken unterschiedlichen Typs, wenn dieseLAN-Technologien – etwa Ethernet und 802.11 Wireless-LAN – und WAN-Technologien –beispielsweise Frame-Relay und ATM (Asynchronous Transfer Mode) – verwenden. Dankdieser Unabhängigkeit von speziellen Netzwerktechnologien kann TCP/IP an neueTechnologien angepasst werden.

Die Netzzugangsschicht des DARPA-Modells umfasst die Sicherungs- und dieBitübertragungsschicht des OSI-Modells. Die Internet-Schicht des DARPA-Modells machtkeinen Gebrauch von Sequenzierungs- und Bestätigungsdiensten, die möglicherweise inder Sicherungsschicht des OSI-Modells zur Verfügung stehen. Die Internet-Schicht gehtvielmehr von einer unzuverlässigen Netzzugangsschicht aus und unterstellt, dasszuverlässige Kommunikation durch Sitzungseinrichtung sowie die Sequenzierung undBestätigung von Paketen in der Verantwortung der Transport- oder derAnwendungsschicht liegen.

Internet-SchichtDie Internet-Schicht ist verantwortlich für die Adressierung, die Sequenzierung und dieRoutingfunktionen. Die Internet-Schicht entspricht der Vermittlungsschicht des OSI-Modells.

Die IPv4-Internet-Schicht verwendet folgende Kernprotokolle:

• ARP (Address Resolution Protocol) ordnet einer Adresse der Internet-Schicht eine Netzwerkschnittstellenadresse, etwa eine Hardware-Adresse zu.

• Das Internet-Protokoll (IP) ist ein routerfähiges Protokoll, das Pakete adressiert,verschickt, fragmentiert und wieder zusammenfügt.

• ICMP (Internet Control Message Protocol) meldet Fehler und liefert weitere Informationen, die Ihnen helfen, fehlgeschlagene Paketzustellungen zu diagnostizieren.

• IGMP (Internet Group Management Protocol) verwaltet IP-Multicastgruppen.

Weitere Informationen zu den Kernprotokollen der IPv4-Internet-Schicht finden Sie im Abschnitt "IPv4-Internet-Schicht" weiter hinten in diesem Kapitel.

Die IPv6-Internet-Schicht verwendet folgende Kernprotokolle:

• IPv6 ist ein routerfähiges Protokoll, das Pakete adressiert und verschickt.

• ICMPv6 (Internet Control Message Protocol for IPv6) meldet Fehler und liefert weitere Informationen, die Ihnen helfen, fehlgeschlagene Paketzustellungen zu diagnostizieren.

• Neighbor Discovery (ND) ist ein Protokoll, das die Interaktion zwischen benachbarten IPv6-Knoten verwaltet.

• Multicast Listener Discovery (MLD) ist ein Protokoll, das Multicastgruppen verwaltet.

Weitere Informationen zu den Kernprotokollen der IPv6-Internet-Schicht finden Sie im Abschnitt "IPv6-Internet-Schicht" weiter hinten in diesem Kapitel.

TransportschichtDie Transportschicht (auch Host-zu-Host-Transportschicht genannt) stellt Sitzungs- und Datagrammkommunikationsdienste für die Anwendungsschicht bereit. DieTransportschicht ist für dieselben Bereiche verantwortlich wie die OSI-Transportschicht.Die Kernprotokolle der Transportschicht sind TCP und UDP.

TCP bietet einen verbindungsorientierten und verlässlichen 1:1-Kommunikationsdienst.TCP richtet Verbindungen ein, sequenziert und bestätigt die gesendeten Pakete und stelltdie während der Übertragung verloren gegangenen Pakete wieder her.

Im Unterschied zu TCP bietet UDP einen verbindungslosen, nicht verlässlichen 1:1- oder1:n-Kommunikationsdienst. UDP wird dann verwendet, wenn nur geringe Mengen an Daten (die beispielsweise in ein Paket passen) zu übertragen sind, wenn ein Entwicklerden mit TCP-Verbindungen verbundenen Aufwand vermeiden möchte oder wenn dieAnwendungen bzw. die Protokolle der oberen Schichten eine verlässliche Zustellunggarantieren.

TCP und UDP sind sowohl mit IPv4- als auch IPv6-Internet-Schichten einsetzbar.

Hinweis Die TCP/IP-Komponente von Windows enthält andere Versionen der TCP- undUDP-Protokolle als die Microsoft TCP/IP-Komponente der Version 6. Die Versionen der Microsoft TCP/IP-Komponente der Version 6 entsprechen funktional den mit dem Betriebssystem Microsoft Windows NT® 4.0 gelieferten Versionen und enthalten alleaktuellen Sicherheitsaktualisierungen. Die Existenz von zwei getrennten Protokollkomponenten mit jeweils eigenen Versionen von TCP und UDP wird Dual-Stack-Architektur genannt. Die ideale Architektur wird Dual-IP-Schicht genannt; dabei arbeiten die gleichen Versionen von TCP und UDP sowohl über IPv4 als auch überIPv6 (wie in Abbildung 2-1 gezeigt). Microsoft erwägt, für eine künftige Version derWindows-Betriebssysteme die Dual-IP-Schichtarchitektur für dieTCP/IP-Protokollkomponenten zu verwenden.

AnwendungsschichtDie Anwendungsschicht erlaubt Anwendungen, auf die Dienste der anderen Schichten zuzugreifen, und definiert die Protokolle, die Anwendungen zum Austausch von Daten verwenden. Die Anwendungsschicht enthält viele Protokolle, und es werden ständigweitere Protokolle entwickelt.

Die bekanntesten Protokolle der Anwendungsschicht helfen Anwendern, Daten auszutauschen:

• HTTP (Hypertext Transfer Protocol) dient zur Übertragung von Dateien, die inWebseiten enthalten sind.

• FTP (File Transfer Protocol) dient zur Übertragung einzelner Dateien, typischerweise imRahmen einer interaktiven Sitzung.

• SMTP (Simple Mail Transfer Protocol) wird zur Übertragung von E-Mail-Nachrichten und-Anlagen verwendet.

Zusätzlich helfen Ihnen folgende Protokolle der Anwendungsschicht, TCP/IP-Netzwerke zuverwenden und zu verwalten:

• Das DNS-Protokoll (Domain Name System) ordnet einem Hostnamen, etwa www.microsoft.com, eine IP-Adresse zu und kopiert Namensinformationen zwischen DNS-Servern.

• RIP (Routing Information Protocol) ist ein Protokoll, das Router nutzen, um Routinginformationen in einem IP-Netzwerk auszutauschen.

• SNMP (Simple Network Management Protocol) dient zur Sammlung von Netzwerkverwaltungsdaten und zur Übertragung dieser Daten zwischen einerNetzverwaltungskonsole und Netzwerkgeräten, beispielsweise Routern, Brücken undServern.

Windows Sockets und NetBIOS sind Beispiele von Schnittstellen der Anwendungsschichtfür TCP/IP-Anwendungen. Weitere Informationen finden Sie weiter unten in diesemKapitel unter "Anwendungsprogrammierschnittstellen".

Zum Seitenanfang

IPv4-Internet-SchichtDie IPv4-Internet-Schicht umfasst folgende Protokolle:

• ARP

• IP (IPv4)

• ICMP

• IGMP

In den folgenden Abschnitten werden diese Protokolle detaillierter beschrieben.

ARPWenn IP ein Paket in einem auf Broadcasts basierenden Netzwerk sendet, ermittelt das Protokoll ARP (Address Resolution Protocol) die MAC-Adresse (Media Access Control) der IP-Adresse des Knotens, an den das Paket weitergeleitet wird (ein solcher Knoten wird auch Folgeknoten oder Next-Hop genannt). Wie in RFC 826 definiert, verwendet ARP Broadcasts der MAC-Ebene, um den IPv4-Adressen des Folgeknotens die entsprechenden MAC-Adressen zuzuordnen.

Basierend auf der IPv4-Zieladresse und der Routenfestlegung bestimmt IPv4 die IPv4-Adresse des Folgeknotens für die Weiterleitung des Pakets. IPv4 übergibt dann dasIPv4-Paket, die IPv4-Adresse des Folgeknotens und dessen Schnittstelle an ARP.

Entspricht die IPv4-Adresse des Folgeknotens für dieses Paket der IPv4-Adresse desPaketziels, liefert ARP das Paket direkt an das Ziel. Bei der direkten Lieferung muss ARP die IPv4-Zieladresse des Pakets in die entsprechende MAC-Adresse auflösen.

Entspricht die IPv4-Adresse des Folgeknotens für dieses Paket nicht der IPv4-Zieladressedes Pakets, leitet ARP das Paket an einen Router weiter. Bei dieser indirekten Lieferung muss ARP die IPv4-Adresse des Routers in die entsprechende MAC-Adresse auflösen.

Um die IPv4-Adresse des Folgeknotens eines Pakets in die entsprechende MAC-Adresseauflösen zu können, stützt sich ARP auf die Broadcast-Möglichkeiten von Netzwerken wieEthernet oder 802.11 und sendet eine Broadcast-ARP-Anforderung aus. Daraufhin erhältder Sender eine ARP-Antwort mit der MAC-Adresse, die der IPv4-Adresse für denFolgeknoten des Pakets entspricht.

ARP-CacheUm die Zahl der Broadcast-ARP-Anforderungen zu reduzieren, sehen viele Implementierungen des TCP/IP-Protokolls einen ARP-Cache vor, in dem in Form einer Tabelle die zuletzt aufgelösten IPv4-Adressen und die ihnen entsprechenden MAC-Adressegespeichert werden. ARP überprüft diesen Cache, bevor eine ARP-Anforderung gesendetwird. Jede Schnittstelle hat ihren eigenen ARP-Cache.

Abhängig von der Implementierung des Anbieters, kann der ARP-Cache folgende

http://www.microsoft.com

Eigenschaften aufweisen:

• Einträge können dynamisch (basierend auf den ARP-Antworten) oder statisch in denARP-Cache aufgenommen werden. Statische Einträge verbleiben permanent imARP-Cache; Sie können weitere Einträge manuell mit einem TCP/IP-Tool hinzufügen,beispielsweise mit dem Windows-Tool Arp. Statische Einträge im ARP-Cache bewirken,dass Knoten für allgemein verwendete lokale IPv4-Adressen, etwa denen von Routernund Servern, keine ARP-Anforderungen senden müssen. Problematisch ist beistatischen Einträgen allerdings, dass sie immer dann manuell aktualisiert werdenmüssen, wenn die Netzwerkadapter geändert werden.

• Dynamischen Einträgen im ARP-Cache ist ein Zeitlimit zugeordnet; nach Ablauf einerbestimmten Zeitspanne werden sie aus dem Cache entfernt. In Windows werden dynamische Einträge im ARP-Cache zum Beispiel nach 10 Minuten entfernt.

Auf einem Computer unter Windows können Sie sich den ARP-Cache ansehen, indem Siean der Eingabeaufforderung arp -a eingeben. Mit dem Tool arp können Sie außerdemstatische Einträge hinzufügen oder löschen.

ARP-ArbeitsweiseWenn IPv4 als sendender Host oder als weitergebender Router ein Paket weiterleiten muss, dann sendet IPv4 dieses IPv4-Paket zusammen mit der IPv4-Adresse des Folgeknotens und der Schnittstelle des Folgeknotens an ARP. Unabhängig davon, ob einedirekte oder eine indirekte Zustellung erfolgt, führt ARP folgende Schritte durch:

1. ARP sucht in dem der IPv4-Adresse und Schnittstelle des Folgeknotens zugeordneten ARP-Cache nach einem Eintrag, der mit der IPv4-Adresse des Folgeknotens übereinstimmt. Findet ARP einen Eintrag, fährt er mit Schritt 6 fort.

2. Findet ARP keinen Eintrag, erstellt ARP einen Rahmen für die ARP-Anforderung.Dieser Rahmen enthält die MAC- und IPv4-Adressen der Schnittstelle, von der ausdie ARP-Anforderung gesendet wird, sowie die IPv4-Adresse des Folgeknotens fürdas Paket. ARP sendet dann die ARP-Anforderung von dieser Schnittstelle in Form eines Broadcast.

3. Alle Knoten des Subnetzes erhalten diesen Rahmen und verarbeiten die ARP-Anforderung. Wenn die Adresse des Folgeknotens in der ARP-Anforderung der IPv4-Adresse entspricht, die einer Schnittstelle im Subnetz zugewiesen ist, dann aktualisiert der Empfängerknoten seinen ARP-Cache, indem er die MAC- undIPv4-Adressen des ARP-Anforderers aufnimmt. Alle anderen Knoten verwerfen stillschweigend die ARP-Anforderung.

4. Der Empfängerknoten, dem die IPv4-Adresse des Folgeknotens für das Paketzugewiesen ist, formuliert eine ARP-Antwort, die die geforderte MAC-Adresseenthält, und sendet die Antwort direkt an den ARP-Anforderer.

5. Erhält der ARP-Anforderer die ARP-Antwort, aktualisiert er seinen ARP-Cache mitder Adresszuordnung. Dieser Austausch von ARP-Anforderung und ARP-Antwortführt dazu, dass anfordernder und antwortender Knoten die Adresszuordnung desjeweils anderen Knotens in ihren ARP-Cache aufnehmen.

6. Der ARP-Anforderer sendet das IPv4-Paket an den Folgeknoten, indem er es mit der aufgelösten MAC-Adresse versieht.

Abbildung 2-2 zeigt diesen Vorgang.

Abbildung 2-2 Der Vorgang der ARP-AdresszuordnungBild maximieren

Internet-Protokoll Version 4 (IPv4)IPv4 ist ein Datagrammprotokoll und vor allem verantwortlich für die Adressierung undWeiterleitung von Paketen zwischen Hosts. IPv4 ist verbindungslos, was bedeutet, dass vor dem Datenaustausch keine Verbindung hergestellt wird, und es ist nicht verlässlich,was bedeutet, dass IPv4 die Zustellung der Pakete nicht garantiert. IPv4 versucht jedoch bei der Paketzustellung "sein Bestes". Ein IPv4-Paket kann verloren gehen, dupliziert werden, in der falschen Reihenfolge oder verzögert zugestellt werden. IPv4 versucht nicht,solche Fehler zu beheben. Ein Protokoll einer höheren Schicht, etwa TCP oder einAnwendungsprotokoll, muss die zugestellten Pakete bestätigen und verlorene Paketegegebenenfalls erneut anfordern. IPv4 ist im RFC 791 definiert.

Ein IPv4-Paket besteht aus einem IPv4-Header und den IPv4-Nutzdaten. Die IPv4-Nutzdaten sind als Dateneinheit für ein Protokoll einer höheren Schicht organisiert,beispielsweise als TCP-Segment oder UDP-Nachricht. Abbildung 2-3 zeigt die Grundstruktur eines Pv4-Pakets.

Abbildung 2-3 Die Grundstruktur eines IPv4-Pakets.Bild maximieren

Tabelle 2-1 nennt und beschreibt die Schlüsselfelder im IPv4-Header.

IP-Headerfeld Beschreibung

Quell-IP-Adresse Die IPv4-Adresse der Quelle des IP-Pakets.

Ziel-IP-Adresse Die IPv4-Adresse des Zwischen- oderEndempfängers des IP-Pakets.

ID Ein Bezeichner für alle Fragmente einesbestimmten IP-Pakets, wenn Fragmentierung erforderlich war.

Protokoll Ein Bezeichner, der das Protokoll derhöheren Schicht angibt, dem dieIPv4-Nutzdaten übergeben werdenmüssen.

Prüfsumme Eine einfache mathematische Berechnung, die dazu verwendet wird, den IPv4-Header auf Bitfehler zu prüfen.

TTL (Time-to-Live) Die Zahl der Netzwerksegmente, die das Datagramm durchlaufen darf, bevor es von einem Router verworfen wird. Der absendende Host setzt den TTL-Wert, und Router dekrementieren diesen Wert jeweils um eins, wenn sie das IPv4-Paket weiterleiten. Dieses Feld verhindert, dass Pakete endlos in einem IPv4-Netzwerk zirkulieren.

Tabelle 2-1 Schlüsselfelder im IPv4-Header

Fragmentierung und WiederzusammensetzungEmpfängt ein Router ein IPv4-Paket, das für das Netzwerksegment, an das esweitergeleitet werden soll, zu groß ist, dann zerteilt IPv4 auf dem Router das Paket inkleinere, für das Netzwerksegment, an das es weitergeleitet werden soll, passendePakete. Wenn diese Pakete ihr Ziel erreichen, setzt IPv4 auf dem Zielhost die einzelnen Fragmente wieder zu dem ursprünglichen Datenpaket zusammen. Dieser Vorgang wird alsFragmentierung und Wiederzusammensetzung bezeichnet. Die Fragmentierung kann in Umgebungen erforderlich werden, in denen unterschiedliche Netzwerktechnologien eingesetzt werden, etwa Ethernet oder Token Ring.

Fragmentierung und Wiederzusammensetzung funktioniert folgendermaßen:

1. Vor dem Senden eines IPv4-Pakets speichert der Absender einen eindeutigen Wert im ID-Feld.

2. Ein Router im Pfad zwischen Absender und Empfänger des IPv4-Pakets erkennt,dass dessen Größe die für das Netzwerk, an das es weitergeleitet werden soll,geltende Maximalgröße (MTU: Maximum Transmission Unit) überschreitet.

3. IPv4 teilt die ursprünglichen IPv4-Nutzdaten in Fragmente auf, die eine für dasnächste Netzwerk passende Größe haben. Jedes Fragment wird mit einem eigenenIPv4-Header versehen, der folgende Felder enthält:

• Das ursprüngliche ID-Feld, das alle zusammengehörigen Fragmentekennzeichnet.

• Das Flag Weitere Fragmente, das angibt, dass weitere Fragmente folgen. Dieses Flag ist im letzten Fragment nicht gesetzt, da diesem keine weiteren Fragmente folgen.

• Das Fragmentoffsetfeld, das die Position des Fragments im Bezug auf dieursprünglichen IPv4-Nutzdaten angibt.

Wenn der empfangende Host die Fragmente erhält, kann er anhand des ID-Feldeserkennen, welche Fragmente zusammengehören, und sie mithilfe des Fragmentoffsetfeldsin der richtigen Reihenfolge wieder zu dem ursprünglichen IPv4-Nutzdatenpaketzusammensetzen.

ICMP (Internet Control Message Protocol)Das im RFC 792 definierte ICMP meldet Fehler, wenn Pakete nicht zugestellt werdenkönnen, und hilft bei deren Beseitigung. Kann IPv4 zum Beispiel ein Paket nicht an denZielhost liefern, dann sendet ICMP auf dem Router oder dem Zielhost an den sendenden Host die Nachricht, dass der Empfänger nicht erreicht werden konnte. Tabelle 2-2 nenntund beschreibt die am häufigsten vorkommenden ICMP-Nachrichten.

ICMP-Nachricht Beschreibung

Echoanforderung Das Tool Ping sendet Echoanforderungen, um die Verbindung mit einem bestimmten Knoten zu überprüfen.

Echoantwort Knoten senden Echoantworten als Reaktion auf ICMP-Echoanforderungen.

Umleitung Router senden Umleitungsnachrichten, um den absendenden Host über bessereRouten zur Zieladresse zu informieren.

Quelldrosselung Router senden Quelldrosselungsnachrichten, um absendende Hosts darüber zu informieren,dass ihre IPv4-Pakete wegen einerÜberlastung des Routers verloren gehen.Der sendende Host schickt dann nicht sohäufig Pakete.

Ziel nicht erreichbar Router und Zielhosts senden diese Nichterreichbarkeitsnachrichten, um sendende Hosts darüber zu informieren,dass ihre Pakete nicht zugestellt werdenkönnen.

Tabelle 2-2 Häufig vorkommende ICMP-Nachrichten

ICMP definiert eine Reihe von Nichterreichbarkeitsnachrichten. Tabelle 2-3 nennt und beschreibt die am häufigsten vorkommenden Nichterreichbarkeitsnachrichten.

Nichterreichbarkeitsnachricht Beschreibung

Host nicht erreichbar Router senden diese Nachrichten, wenn sie


keine Routen zu den Ziel-IPv4-Adressen finden.

Protokoll nicht erreichbar Die empfangenden IPv4-Knoten senden diese Nachrichten, wenn sie feststellen, dass das Protokollfeld im IPv4-Header nicht mit dem aktuell verwendeten IPv4-Clientprotokoll übereinstimmt.

Port nicht erreichbar IPv4-Knoten senden diese Nachrichten, wenn sie feststellen, dass das Feld für denZielport im UDP-Header nicht mit der Anwendung übereinstimmt, die diesen Portverwendet.

Fragmentierung erforderlich und DF gesetzt

IPv4-Router senden diese Nachrichten,wenn Fragmentierung erforderlich ist, dersendende Knoten jedoch das DF-Flag(Don’t Fragment, Nicht fragmentieren) imIP4-Header gesetzt hat.

Tabelle 2-3 Häufig vorkommende ICMP Nichterreichbarkeitsnachrichten

ICMP macht aus IPv4 kein verlässliches Protokoll. ICMP versucht, Fehler zu melden undeine Reaktion auf bestimmte Bedingungen zu liefern. ICMP-Nachrichten werden alsnichtbestätigte IPv4-Pakete weitergeleitet und sind selbst nicht zuverlässig.

IGMP (Internet Group Management Protocol)Router und Hosts verwenden IGMP, um die Mitgliedschaften in IPv4-Multicastgruppen eines Subnetzes zu verwalten. Eine IPv4-Multicastgruppe, auch Hostgruppe genannt, besteht aus mehreren Hosts, die den an eine bestimmte IPv4-Multicastadresse gesendeten IPv4-Verkehr überwachen. Der IPv4-Multicastverkehr eines gegebenenSubnetzes wird an eine einzelne MAC-Adresse gesendet, jedoch von mehreren IPv4-Hosts empfangen und verarbeitet. Jedes Mitglied einer Hostgruppe erhält alle Pakete, die übereine bestimmte IPv4-Multicastadresse eintreffen.

Damit ein Host IPv4-Multicastpakete erhält, muss eine Anwendung IPv4 darüberinformieren, dass dieser Host solche Pakete von der angegebenen IPv4-Multicastadresse erhalten will. IPv4 informiert dann die Router der lokal angeschlossenen Subnetze, dass die an die angegebene IPv4-Multicastadresse gelieferten Multicastpakete empfangen werden sollen. IGMP ist das Protokoll, das Mitgliedsinformationen einer Hostgruppe registriert.

IGMP-Nachrichten haben folgendes Format:

• Mitglieder von Hostgruppen verwenden IGMP-Multicastlistenerberichte, um ihre Mitgliedschaft in einer bestimmten Hostgruppe bekannt zu geben.

• Router verwenden IGMP-Multicastlistenerabfragen, um Subnetze nach Informationenüber Mitglieder von Hostgruppen zu durchsuchen.

• Mitglieder von Hostgruppen verwenden IGMP-Multicastlistenerbeendigungen, wenn sie eine Gruppe verlassen, deren letztes Mitglied im Subnetz sie sein könnten.

Damit IPv4-Multicasting in einem IPv4-Netzwerk routerübergreifend funktionieren kann,verwenden Router Multicastroutingprotokolle, um Informationen über Hostgruppenweiterzugeben. Jeder Router, der Multicastweiterleitung unterstützt, kann daraufhinentscheiden, wie er IPv4-Multicastverkehr weiterleitet.

Windows Server 2003 und Windows XP unterstützen IGMP, IGMP Version 2 und IGMPVersion 3, die in RFC 1112, RFC 2236 und RFC 3376 definiert sind.

Zum Seitenanfang

IPv6-Internet-SchichtIPv6 wird einmal die Protokolle der IPv6-Internet-Schicht des DARPA-Modells ersetzen. IPv6 ersetzt:

• IPv4 durch IPv6 IPv6 ist ein routerfähiges Protokoll, das Pakete adressiert,verschickt, fragmentiert und wieder zusammenfügt.

• ICMP durch ICMPv6 ICMPv6 bietet Diagnosefunktionen und meldet Fehler, wennIPv6-Pakete nicht geliefert werden können.

• IGMP durch MLD MLD verwaltet die Mitgliedschaften in IPv6-Multicastgruppen.

• ARP durch ND ND verwaltet die Interaktion zwischen benachbarten Knoten,einschließlich der automatischen Konfiguration von Adressen und der Zuordnung vonIPv6-Folgeknotenadressen zu MAC-Adressen.

Softwareentwickler müssen die Protokolle der Transport- und der Anwendungsschichtnicht ändern, um deren Funktion mit einer IPv6-Internet-Schicht zu unterstützen, es seidenn, Adressen sind Teil der Nutzdaten oder Teil der Datenstrukturen, die von dem Protokoll verwaltet werden. So müssen Softwareentwickler beispielsweise sowohl TCP alsauch UDP aktualisieren, damit eine neue Prüfsumme berechnet wird, und sie müssen RIPaktualisieren, damit auf IPv6 basierende Routeninformationen gesendet und empfangen werden können.

Die IPv6-Internet-Schicht umfasst folgende Protokolle:

• IPv6

• ICMPv6

• ND

• MLD

In den folgenden Abschnitten werden diese Protokolle eingehender erläutert.

IPv6Wie IPv4 ist auch IPv6 ein verbindungsloses, nicht verlässliches Datagrammprotokoll, dasvor allem verantwortlich ist für die Adressierung und Weiterleitung von Paketen zwischenHosts.

RFC 2460 definiert die IPv6-Paketstruktur. Ein IPv6-Paket besteht aus einem IPv6-Header und den IPv6-Nutzdaten. Die IPv6-Nutzdaten bestehen aus keinem oder mehreren IPv6-Erweiterungsheadern und einer Dateneinheit für ein Protokoll einer höheren Schicht,beispielsweise eine ICMPv6-Nachricht, ein TCP-Segment oder eine UDP-Nachricht. Abbildung 2-4 zeigt die Grundstruktur eines IPv6-Pakets.

Abbildung 2-4 Die Grundstruktur eines IPv6-PaketsBild maximieren

Tabelle 2-4 nennt und beschreibt die Schlüsselfelder im IPv6-Header.

IPv6-Headerfeld Beschreibung

Quelladresse Eine 128 Bit lange IPv6-Adresse, die dieursprüngliche Quelle des IPv6-Paketsangibt.

Zieladresse Eine 128 Bit lange IPv6-Adresse, die das Zwischen- oder Endziel des IPv6-Pakets angibt.

Nächster Header Ein Bezeichner für den unmittelbar demIPv6-Header folgenden Erweiterungsheader oder ein Protokoll einer höheren Schicht, etwa ICMPv6, TCPoder UDP.

IPv6-Headerfeld Beschreibung

Abschnittsmaximum Die Zahl der Netzwerksegmente, die das Paket durchlaufen darf, bevor es von einem Router verworfen wird. Der absendende Host setzt das Abschnittsmaximum fest, und Router dekrementieren diesen Wert jeweils um eins, wenn sie das IPv6-Paket weiterleiten. Dieses Feld verhindert, dass Pakete endlos in einem IPv6-Netzwerk zirkulieren.

Tabelle 2-4 Schlüsselfelder im IPv6-Header

IPv6-ErweiterungsheaderIPv6-Nutzdaten können Null oder mehrere Erweiterungsheader unterschiedlicher Längeenthalten. Das Feld Nächster Header in einem IPv6-Header gibt den nächstenErweiterungsheader an. Jeder Erweiterungsheader enthält wiederum das Feld NächsterHeader, das den nächsten Erweiterungsheader angibt. Der letzte Erweiterungsheadergibt, wenn vorhanden, das Protokoll einer höheren Schicht an (etwa TCP, UDP oderICMPv6), das die Dateneinheit für ein Protokoll einer höheren Schicht enthält.

Der IPv6-Header und die Erweiterungsheader ersetzen den IPv4-Header und seineFähigkeit, Optionen anzugeben. Das neue Format für Erweiterungsheader erlaubt es, IPv6um die Unterstützung künftiger Anforderungen und Fähigkeiten zu ergänzen. ImUnterschied zu den Optionen im IPv4-Header kennen IPv6-Erweiterungsheader keineGrößenbeschränkungen und können alle Erweiterungsdaten aufnehmen, die für dieIPv6-Kommunikation benötigt werden.

RFC 2460 definiert die folgenden IPv6-Erweiterungsheader, die alle IPv6-Knotenunterstützen müssen:

• Abschnitt-zu-Abschnitt-Optionsheader

• Zieloptionsheader

• Routingheader

• Fragmentheader

• Authentifizierungsheader

• ESP-Header

Typische IPv6-Pakete enthalten keine Erweiterungsheader. Sendende Hosts fügen einenoder mehrere Erweiterungsheader nur dann ein, wenn zwischengeschaltete Router oder der Zielknoten das Paket auf spezielle Weise behandeln müssen.

Fragmentierung in IPv6Empfängt bei IPv4 ein Router ein Paket, das für das Netzwerksegment, an das esweitergeleitet werden soll, zu groß ist, dann zerteilt IPv4 auf dem Router das Paket inkleinere, für das Netzwerksegment, an das es weitergeleitet werden soll, passendePakete. In IPv6 fragmentiert nur der sendende Host ein Paket. Ist ein IPv6-Paket zu groß,sendet der IPv6-Router die ICMPv6-Nachricht Zu großes Paket an den sendenden Host und verwirft das Paket.

Ein sendender Host kann Pakete fragmentieren, die der Zielhost mithilfe des Fragmenterweiterungsheaders wieder zusammensetzen kann.

ICMPv6 (Internet Control Message Protocol for IPv6)Wie IPv4 meldet auch IPv6 keine Fehler. Statt dessen verwendet IPv6 eine aktualisierte Version von ICMP für IPv4. Diese neue Version heißt ICMPv6 und erfüllt die von ICMPbekannten Funktionen für IPv4; sie meldet Fehler bei der Zustellung oder Weiterleitungvon Daten und bietet einen einfachen Echodienst zur Problembehandlung. Das Protokoll ICMPv6 bietet außerdem eine Nachrichtenstruktur für ND- und MLD-Nachrichten.

Tabelle 2-5 nennt und beschreibt die im RFC 2463 definierten ICMPv6-Nachrichten.

ICMPv6-Nachricht Beschreibung

Echoanforderung Hosts senden Echoanforderungen, um die

ICMPv6-Nachricht Beschreibung

IPv6-Verbindung mit einem bestimmten Knoten zu überprüfen.

Echoantwort Knoten senden Echoantworten als Reaktion auf ICMPv6-Echoanforderungen.

Empfänger nicht erreichbar Router und Zielhosts senden diese Nachrichten, um sendende Hosts darüberzu informieren, dass ihre Pakete oder Nutzdaten nicht zugestellt werden können.

Zu großes Paket Router senden diese Nachrichten, um sendende Hosts darüber zu informieren,dass Pakete zu groß für die Weiterleitungsind.

Zeitüberschreitung Router senden diese Nachrichten, um sendende Hosts darüber zu informieren,dass das Abschnittsmaximum eines IPv6-Pakets erreicht ist.

Unzulässiger Parameter Router senden diese Nachrichten, um sendende Hosts darüber zu informieren,dass ein Fehler bei der Verarbeitung des IPv6-Headers oder eines IPv6-Erweiterungsheaders aufgetreten ist.

Tabelle 2-5 Häufig vorkommende ICMPv6-Nachrichten

ICMPv6 definiert eine Reihe von Nichterreichbarkeitsnachrichten. Tabelle 2-6 nennt und beschreibt die am häufigsten vorkommenden Nichterreichbarkeitsnachrichten.


Keine Route gefunden Router senden diese Nachricht, wenn sie in ihren lokalen IPv6-Routingtabellen keine Routen zu den IPv6T-Zieladressen findenkönnen.

Kommunikation durch Verwaltungsrichtlinie verboten

Router senden diese Nachricht, wenn eine auf dem Router konfigurierte Richtlinie die Kommunikation mit dem Ziel verbietet. Diese Art von Nachricht wird zum Beispiel gesendet, wenn ein Firewall ein Paket verwirft.

Zieladresse nicht erreichbar IPv6-Router senden diese Nachricht, wenn sie die MAC-Adresse des Ziels nichtauflösen können.

Zielport nicht erreichbar Zielhosts senden diese Nachricht, wenn ein IPv6-Paket, das eine UDP-Meldung füreinen UDP-Zielport enthält, nicht derverarbeitenden Anwendung entspricht.

Tabelle 2-6 Häufig vorkommende ICMPv6-Nichterreichbarkeitsnachrichten

ICMPv6 macht aus IPv6 kein zuverlässiges Protokoll. ICMPv6 versucht, Fehler zu meldenund eine Reaktion auf bestimmte Bedingungen zu liefern. ICMPv6-Nachrichten werden alsnichtbestätigte IPv6-Pakete weitergeleitet und sind selbst nicht verlässlich.

ND (Neighbor Discovery)ND ist eine Folge von ICMPv6-Nachrichten und Prozessen, die die Beziehungen zwischen benachbarten Knoten festlegen. ND ersetzt ARP, die ICMPv4-Routersuche sowie die in IPv4 verwendete ICMP-Umleitung und stellt zusätzliche Funktionen bereit.

Hosts verwenden ND für folgende Zwecke:

• Benachbarte Router erkennen

• Adressen und weitere Konfigurationsparameter finden und automatisch konfigurieren

Router verwenden ND zu folgenden Zwecken:

• Ihre Anwesenheit, Hostadressen und weitere Konfigurationsparameter bekannt geben

• Hosts über eine bessere Folgeknotenadresse bei der Weiterleitung von Paketen an einbestimmtes Ziel informieren

Knoten (sowohl Hosts als auch Router) verwenden ND für folgende Zwecke:

• Die Netzwerkschichtadresse (auch MAC-Adresse genannt) des benachbarten Knotensauflösen, an den ein IPv6-Paket weitergeleitet werden muss

• Dynamisch Änderungen der MAC-Adressen bekannt geben

• Festzustellen, ob ein Nachbar immer noch erreichbar ist.

Tabelle 2-7 nennt und beschreibt die im RFC 2461 beschriebenen ND-Prozesse.

Vorgang der Erkennung von Nachbarn Beschreibung

Routererkennung Der Vorgang, in dem ein Host die ihm benachbarten Router ermittelt. Weitere Informationen finden Sie weiter unten in diesem Kapitel unter "Routererkennung".

Präfixerkennung Der Vorgang, in dem Hosts dieNetzwerkpräfixe für Ziele im lokalenSubnetz ermitteln. Weitere Informationen zu IPv6-Netzwerkpräfixen finden Sie inKapitel 3, "IP-Adressierung".

Automatische Adresskonfiguration Der Vorgang der Konfiguration von IPv6-Adressen für Schnittstellen mit oderohne Adresskonfigurationsserver, z. B.einem Server, der DHCPv6 (Dynamic Host Configuration Protocol Version 6) ausführt.Weitere Informationen finden Sie weiter unten in diesem Kapitel unter "Automatische Adresskonfiguration".

Auflösung von Adressen Der Vorgang, bei dem Knoten der IPv6-Adresse eines Nachbarn deren MAC-Adresse zuordnen. DieAdressauflösung von IPv6 entspricht ARPin IPv4. Weitere Informationen finden Sie weiter unten in diesem Kapitel unter"Auflösung von Adressen".

Bestimmung des Folgeknotens Der Vorgang, bei dem ein Knoten basierend auf der Zieldresse die IPv6-Folgeknotenadresse für dieWeiterleitung eines Pakets ermittelt. Die Folgeknotenadresse ist entweder dieZieladresse oder die Adresse eines benachbarten Routers.

Erkennung der Nichterreichbarkeit eines Nachbarn.

Der Vorgang, bei dem ein Knoten erkennt, dass die IPv6-Schicht eines Nachbarn keine Pakete senden oder empfangen kann.

Erkennung doppelter Adressen Der Vorgang, bei dem ein Knotenüberprüft, ob eine zur Verwendungvorgesehene Adresse nicht bereits von einem benachbarten Knoten benutzt wird.

Umleitungsfunktion Der Vorgang, bei dem ein Host über einezur Erreichung eines Ziels bessere

Vorgang der Erkennung von Nachbarn Beschreibung

IPv6-Addresse für den ersten Abschnittinformiert wird.

Tabelle 2-7 Vorgänge zur Erkennung von Nachbarn

Auflösung von AdressenDer Vorgang der Auflösung von IPv6-Adressen vollzieht sich durch Austausch vonNachbaraufforderungs- und Nachbaranwesenheitsnachrichten, um der IPv6-Folgeknotenadresse seiner korrespondierenden MAC-Adresse zuzuordnen. Der sendende Host schickt eine Nachbaraufforderung in Form einer Multicastnachricht an die passende Schnittstelle. Die Nachbaraufforderungsnachricht enthält die MAC-Adresse dessendenden Knotens.

Wenn der Zielknoten die Nachbaraufforderungsnachricht erhält, aktualisiert er seinenNachbarcache (der dem ARP-Cache entspricht) durch einen Eintrag mit der Quell- und der Mac-Adresse, die in der Nachbaraufforderungsnachricht enthalten sind. Dann sendet der Zielknoten eine Nachbaranwesenheitsnachricht in Form einer Multicastnachricht mit seiner MAC-Adresse an den Sender der Nachbaraufforderungsnachricht.

Nach Empfang der Nachbaranwesenheitsnachricht vom Ziel aktualisiert der sendende Host seinen Nachbarcache durch einen Eintrag mit der in der Nachricht enthaltenen Mac-Adresse. Ab diesem Punkt können der sendende Host und das Ziel derNachbaraufforderungsnachricht IPv6-Unicastdaten senden.

Erkennung von RouternDie Erkennung von Routern ist der Vorgang, bei dem ein Host versucht, die Router eines lokalen Subnetzes zu ermitteln. Zusätzlich zur Konfiguration eines Standardrouters wirdbei diesem Vorgang auch Folgendes konfiguriert:

• Die Standardeinstellung für das Feld Abschnittsmaximum im IPv6-Header.

• Die Festlegung, ob der Knoten ein Adresskonfigurationsprotokoll, beispielsweise DHCPv6 (Dynamic Host Configuration Protocol for IPv6) für Adressen und andereKonfigurationsparameter verwenden soll.

• Die Liste der für das Netzwerksegment definierten Netzwerkpräfixe. JedesNetzwerkpräfix enthält sowohl das IPv6-Netzwerkpräfix als auch dessen gültigen undvorzuziehenden Lebenszyklus. Wenn angegeben verwendet der Host dasNetzwerkpräfix, um die IPv6-Adresskonfiguration zu erstellen, ohne einAdresskonfigurationsprotokoll zu benutzen. Ein Netzwerkpräfix definiert auch denAdressbereich für Knoten im lokalen Netzwerksegment.

Der Vorgang der IPv6-Routererkennung vollzieht sich folgendermaßen:

• IPv6-Router senden im Subnetz wiederholt Routeranwesenheitsnachrichten in Form von Multicastnachrichten und geben dadurch ihre Existenz und weitere Konfigurationsparameter, etwa Adresspräfixe und den Standardwert für dasAbschnittsmaximum, bekannt.

• IPv6-Hosts im lokalen Subnetz empfangen die Routeranwesenheitsnachrichten und verwenden ihren Inhalt, um Adressen, den Standardrouter und weitere Parameter zu konfigurieren.

• Ein Host sendet beim Start eine Routeraufforderung in Form eine Multicastnachricht. Nach Empfang der Routeraufforderungsnachricht senden alle Router im lokalen Subnetz eine Unicast-Routeranwesenheitsnachricht an den Host, der die Routeraufforderung gesendet hat. Der Host empfängt die Routeranwesenheitsnachrichten und verwendetihren Inhalt, um Adressen, den Standardrouter und weitere Parameter zu konfigurieren.

Automatische AdresskonfigurationEine äußerst vorteilhafte Eigenschaft von IPv6 ist seine Fähigkeit, sich mithilfe einesAdresskonfigurationsprotokolls wie DHCPv6 (Dynamic Host Configuration Protocol for IPv6) automatisch selbst zu konfigurieren. Standardmäßig kann ein IPv6-Host für jedeSchnittstelle eine Adresse für die Verwendung im Subnetz konfigurieren. Mithilfe derRoutererkennung kann ein Host außerdem die Adresse von Routern, zusätzliche Adressenund weitere Konfigurationsparameter ermitteln. Routeranwesenheitsnachrichten geben an, ob ein Adresskonfigurationsprotokoll verwendet werden sollte. RFC 2462 definiert die

automatische Konfiguration von IPv6-Adressen.

MLD (Multicast Listener Discovery)MLD ist das IPv6-Äquivalent von IGMP-Version 2 für IPv4. MLD ist ein Satz von zwischenRoutern und Knoten ausgetauschten ICMPv6-Nachrichten, mit denen Router für jedeangeschlossene Schnittstelle die IPv6-Multicastadressen ermitteln können, für die esverarbeitende Knoten gibt. Wie IGMPv2 ermittelt auch MLD nur die Multicastadressen, die wenigstens einen verarbeitenden Knoten haben, und nicht die Liste der Multicast verarbeitenden Knoten jeder Multicastadresse. RFC 2710 definiert MLD.

Im Unterschied zu IGMPv2 verwendet MLD ICMPv6-Nachrichten statt eigene Nachrichten zu definieren. Die drei Typen von MLD-Nachrichten sind:

• Multicastlistenerabfrage Router verwenden Multicastlistenerabfragen, um einSubnetz nach Multicastgruppenmitgliedern abzufragen.

• Multicastlistenerbericht Mit Multicastlistenerberichten lassen Knoten entweder ihrInteresse am Empfang von Multicastverkehr für eine bestimmte Multicastadresseerkennen oder antworten damit auf eine Multicastlistenerabfrage.

• Multicastlistenerbeendigung Mitglieder von Multicastgruppen verwendenMulticastlistenerbeendigungen um anzugeben, dass sie möglicherweise das letzteMitglied der Multicastgruppe im Subnetz sind.

Zum Seitenanfang

TCP (Transmission Control Protocol)TCP ist ein verlässlicher, verbindungsbasierter Kommunikationsdienst. Verbindungsbasiertbedeutet, dass eine Verbindung hergestellt werden muss, bevor Hosts Daten austauschenkönnen. Verlässlichkeit wird ereicht, indem jedem übertragenen Segment eineSequenznummer zugewiesen wird. Die beiden Knoten, die mittels TCP miteinander kommunizieren, bestätigen jeweils, dass sie Daten empfangen haben. Ein TCP-Segmentist die PDU (Protocol Data Unit), die aus einem TCP-Header und den TCP-Nutzdaten besteht, und auch einfach als Segment bezeichnet wird. Für jedes TCP-Segment, dasDaten enthält, muss der empfangende Host eine Bestätigung (ACK, Acknowledgment)senden. Wird innerhalb des vorgegebenen Zeitraums keine Bestätigung empfangen,überträgt der sendende Host das TCP-Segment erneut. RFC 793 definiert TCP.

Tabelle 2-8 nennt und beschreibt die Schlüsselfelder im TCP-Header.

Feld Beschreibung

Quellport TCP-Port der sendenden Anwendung.

Zielport TCP-Port der empfangenden Anwendung.

Sequenznummer Sequenznummer des ersten Datenbytes im TCP-Segment.

Bestätigungsnummer Sequenznummer des nächsten Bytes, dasder Sender vom empfangenden Host erwartet.

Fenster Aktuelle Größe des Speicherpuffers, dender dieses TCP-Segment sendende Host zur Speicherung eingehender Segmente vorgesehen hat.

Prüfsumme Eine einfache mathematische Berechnung, die dazu verwendet wird, das TCP-Segment auf Bitfehler zu prüfen.

Tabelle 2-8 Schlüsselfelder im TCP-Header

TCP-Ports:Um TCP verwenden zu können, muss eine Anwendung die IP-Adresse und dieTCP-Portnummer der Quell- und Zielanwendung bereit stellen. Ein Port stellt einen Ort fürdas Senden von Segmenten dar. Jeder Port wird durch eine eindeutige Nummer bezeichnet. TCP-Ports sind von UDP-Ports zu unterscheiden, auch wenn diese die gleiche

Nummer verwenden. Portnummern unter 1024 sind sog. bekannte Nummern, die von der IANA (Assigned Numbers Authority) zugewiesen wurden. Tabelle 2-9 nennt einige dieser bekannten TCP-Ports.

TCP-Portnummer Beschreibung

20 FTP (Datenkanal)

21 FTP (Steuerungskanal)

23 Telnet

80 HTTP (im Internet verwendet)

139 NetBIOS-Sitzungsdienst

Tabelle 2-9 Bekannte TCP-Ports

Eine vollständige Liste der zugewiesenen TCP-Ports finden Sie unterhttp://www.iana.org/assignments/port-numbers (nur auf Englisch verfügbar).

TCP-Drei-Wege-HandshakeEine TCP-Verbindung wird mittels Drei-Wege-Handshake initialisiert. Aufgabe des Drei-Wege-Handshake ist die Synchronisation der Sequenznummer und derBestätigungsnummern auf beiden Seiten sowie die wechselseitige Bekanntgabe derTCP-Fenstergröße. Die folgenden Schritte beschreiben den Vorgang für die bekannteSituation, in der ein Clientcomputer einen Servercomputer kontaktiert.

1. Der Client sendet ein TCP-Segment an den Server mit einer Startsequenznummerfür die Verbindung und einer Fenstergröße, die die Größe des Puffers angibt, in demder Client vom Server eingehende Segmente speichert.

2. Der Server sendet ein TCP-Segment zurück, das seine Startsequenznummer, eineBestätigung der Sequenznummer des Clients sowie eine Fenstergröße enthält, diedie Größe des Puffers angibt, in welchem der Server die vom Client eingehendenSegmente speichert.

3. Der Client sendet ein TCP-Segment an den Server, das eine Bestätigung derSequenznummer des Servers enthält.

TCP verwendet ein ähnliches Handshakeverfahren zur Beendigung der Verbindung. Diesgarantiert, dass beide Seiten die Übertragung beendet haben und alle Daten empfangenwurden.

Zum Seitenanfang

UDP (User Datagram Protocol)UDP ist ein verbindungsloser Datagrammdienst, bei dem weder für die Zustellung derDatagramme noch für die korrekte Reihenfolge der gelieferten Pakete garantiert wird.UDP überträgt verloren gegangene Daten nicht ein weiteres Mal. Ein UDP-Paket bestehtaus einem UDP-Header sowie den UDP-Nutzdaten und wird auch als Nachricht bezeichnet. RFC 768 definiert UDP.

Anwendungen verwenden UDP, wenn sie keine Empfangsbestätigung der Daten brauchenund in der Regel jeweils nur kleine Datenmengen übertragen müssen.NetBIOS-Namensdienst, NetBIOS-Datagrammdienst und SNMP sind Beispiele für Diensteund Anwendungen, die UDP verwenden.

Tabelle 2-10 nennt und beschreibt die Schlüsselfelder im UDP-Header.

Feld Beschreibung

Quellport UDP-Port der sendenden Anwendung.

Zielport UDP-Port der empfangenden Anwendung.

Prüfsumme Eine einfache mathematische Berechnung, die dazu verwendet wird, die UDP-Nachricht auf Bitfehler zu prüfen.

http://www.iana.org/assignments/port-numbers

Tabelle 2-10 Schlüsselfelder im UDP-Header

UDP-PortsUm UDP verwenden zu können, muss eine Anwendung die IP-Adresse und dieUDP-Portnummer der Quell- und Zielanwendung bereit stellen. Ein Port stellt einen Ort fürdas Senden von Nachrichten dar. Jeder Port wird durch eine eindeutige Nummer bezeichnet. UDP-Ports sind von TCP-Ports zu unterscheiden, auch wenn diese die gleiche Nummer verwenden. Wie bei TCP-Ports sind auch UDP-Portnummern unter 1024 bekannte Ports, die von der IANA zugewiesen wurden. Tabelle 2-11 nennt einige dieser bekannten UDP-Ports.

UDP-Portnummer Beschreibung

53 DNS-Namensabfragen (Domain Name System)

69 TFTP (Trivial File Transfer Protocol)

137 NetBIOS-Namensdienst

138 NetBIOS-Datagrammdienst

161 SNMP

Tabelle 2-11 Bekannte UDP-Ports

Eine vollständige Liste der zugewiesenen UDP-Ports finden Sie unterhttp://www.iana.org/assignments/port-numbers (nur auf Englisch verfügbar).

Zum Seitenanfang

Multiplexing und Demultiplexing von PaketenWenn ein Host ein IPv4- oder ein IPv6-Paket sendet, gibt er in diesem Paket auch Informationen weiter, mit deren Hilfe die im Paket enthaltenen Daten am Ziel der korrekten Anwendung übergeben werden können. Die Aufnahme von Bezeichnern, damitDaten an eine von mehreren Entitäten in den verschiedenen Schichten einermehrschichtigen Architektur gesendet werden können, wird Multiplexing genannt. DieMultiplexinginformationen für IP-Pakete bezeichnen den Knoten des Netzwerks, dasIP-Protokoll der höheren Schicht und für TCP und UDP den Port, der der Anwendungzugeordnet ist, für die die Daten bestimmt sind. Der Zielhost benutzt diese Bezeichner,um die Daten durch die einzelnen Schichten der richtigen Zielanwendung zu übergeben;dieser Vorgang wird Demultiplexing genannt. Das IP-Paket enthält außerdemInformationen, die für den Zielhost notwendig sind, um eine Antwort zu senden.

IP enthält Multiplexinginformationen, um Folgendes zu erreichen:

• Identifizieren des sendenden Knotens (das Feld mit der Quelladresse im IPv4-Header oder das Feld mit der Quelladresse im IPv6-Header).

• Identifizieren des empfangenden Knotens (das Feld mit der Zieladresse im IPv4-Header oder das Feld mit der Zieladresse im IPv6-Header).

• Identifizieren des Protokolls der höheren Schicht über der IPv4- oderIPv6-Internet-Schicht (das Protokollfeld im IPv4-Header oder das Feld NächsterHeader im IPv6-Header.

• Bei TCP-Segmenten und UDP-Nachrichten Identifizieren der Anwendung, von der aus die Nachricht gesendet wurde (der Quellport im TCP- oder UDP-Header).

• Bei TCP-Segmenten und UDP-Nachrichten Identifizieren der Anwendung, für die dieNachricht bestimmt ist (der Zielport im TCP- oder UDP-Header).

TCP- und UDP-Ports können eine beliebige Nummer aus dem Bereich von 0 bis 65.535verwenden. Portnummern für clientseitige Anwendungen werden in Regel auf eineentsprechende Anforderung hin dynamisch zugewiesen, während Portnummern fürbekannte serverseitige Anwendungen von der IANA zugewiesen wurden. Die vollständigeListe bereits zugewiesener Portnummern finden Sie unter http://www.iana.org/assignments/port-numbers (nur auf Englisch verfügbar).

All diese Daten stellen Multiplexinginformationen dar, mit denen erreicht wird, dass:



• Das Paket an das korrekte Ziel weitergeleitet werden kann.

• Das Ziel die Nutzdaten dazu verwenden kann, die Daten der korrekten Anwendung zuübergeben.

• Die empfangende Anwendung eine Antwort senden kann.

Wird ein Paket gesendet, werden diese Informationen auf folgende Weise verwendet:

• Die Router, die IPv4- oder IPv6-Pakete weiterleiten, verwenden die IP-Zieladresse im IPv4-Header oder Zieladresse im IPv6-Header, um das Paket an den korrekten Knoten im Netzwerk zu liefern.

• Der Zielknoten verwendet das Protokollfeld im IPv4-Header oder das Feld NächsterHeader im IPv6-Header, um die Nutzdaten des Pakets dem korrekten Protokoll derhöheren Schicht zu übergeben.

• Bei TCP-Segmenten und UDP-Nachrichten verwendet der Zielknoten die Angabe des Zielports im TCP- oder UDP-Header, um die Daten im TCP-Segment oder der UDP-Meldung der korrekten Anwendung zu übergeben (Demultiplexing).

Abbildung 2-5 zeigt als Beispiel eine DNS-Namensanforderung in einem IPv4-Paket mit der IP-Zieladresse 131.107.89.223, das dem DNS-Dienst übergeben wird(Demultiplexing).

Abbildung 2-5 Beispiel für Demultiplexing einesIPv4-PaketsBild maximieren

Zum Seitenanfang

Anwendungsprogrammierschnittstellen (APIs)Windows-Netzwerkanwendungen verwenden zwei Anwendungsprogrammierschnittstellen (APIs), um unter Windows auf TCP/IP-Dienste zuzugreifen: Windows Sockets und NetBIOS. Abbildung 2-6 zeigt diese APIs und den möglichen Datenfluss bei ihrerVerwendung.

Abbildung 2-6 Architektur der Windows Sockets- undNetBIOS-APIsBild maximieren

Nachfolgend werden einige konzeptionelle Unterschiede zwischen der Windows Sockets-API und der NetBIOS-API aufgeführt:

• NetBIOS über TCP/IP (NetBT) ist für die Arbeitsweise über IPv4 definiert. WindowsSockets unterstützt sowohl IPv4 als auch IPv6.

• Windows Sockets-Anwendungen können direkt über die IPv4- oderIPv6-Internet-Schicht arbeiten, ohne TCP oder UDP verwenden zu müssen. NetBIOS istnur über TCP und UDP einsetzbar.

Windows SocketsWindows Sockets ist eine allgemein verwendete, moderne API für Netzwerkanwendungenin Windows. Die zum Lieferumgang von Windows gehörigen TCP/IP-Dienste undDienstprogramme sind Beispiele für Windows Sockets-Anwendungen. Windows Socketsstellt Dienste bereit, die es Anwendungen ermöglichen, bestimmte IP-Adressen und -Portszu verwenden, Verbindungen zu einer bestimmten IP-Zieladresse und einem Zielport zuinitialisieren und zu akzeptieren, Daten zu senden und zu empfangen und eine Verbindungzu schließen.

Es gibt drei Typen von Sockets:

• Ein Streamsocket, der zweiseitigen, verlässlichen, sequentiellen und nichtduplizierenden Datenfluss mittels TCP bietet.

• Ein Datagrammsocket, der bidirektionalen Datenfluss mittels UDP bietet.

• Ein Low-Level-Socket, der Protokollen den direkten Zugriff auf IP bietet, ohne TCP oder UDP verwenden zu müssen.

Ein Socket fungiert als Endpunkt für die Netzwerkkommunikation. Eine Anwendungerzeugt einen Stream- oder Datagrammsocket, indem sie drei Elemente angibt: die IP-Adresse des Hosts, der Typ des Dienstes (TCP für verbindungsorientierten und UDP fürverbindungslosen Dienst) und den Port, den die Anwendung verwendet. Zwei Sockets, einen für jeden Endpunkt der Verbindung, bilden einen bidirektionalen Verbindungsweg.Für Low-Level-Sockets muss die Anwendung die gesamten IP-Nutzdaten angeben.

NetBIOSNetBIOS ist eine ältere API, die Namensverwaltung sowie Datagramm- undSitzungsdienste für NetBIOS-Anwendungen bietet. Eine Anwendung, die die NetBIOS-APIfür die Netzwerkkommunikation nutzt, kann mit jeder Protokollimplementierung laufen,die die NetBIOS-Schnittstelle unterstützt. Beispiele für Windows-Anwendungen und

-Dienste, die NetBIOS verwenden, sind die gemeinsame Nutzung von Dateien und Druckern und der Computerbrowser-Dienst.

NetBIOS definiert auch ein Protokoll, das in der OSI-Kommunikationsschicht funktioniert. Diese Schicht wird durch die darunter liegende Protokollimplementierung, etwa NetBIOSüber TCP/IP (NetBT) implementiert; NetBT ist in den RFCs 1001 und 1002 definiert. DerNetBIOS-Namensdienst verwendet UDP-Port 137. Der NetBIOS-Datagrammdienst benutzt UDP-Port 138. Der NetBIOS-Sitzungsdienst verwendet TCP-Port 139.

Zum Seitenanfang

TCP/IP-Benennungsschemata in WindowsZwar arbeitet IP mit 32 Bit (IPv4) und 128 Bit (IPv6) langen Adressen für sendende undempfangende Hosts, doch können Computeranwender mit Namen besser als mitIP-Adressen umgehen und sich Namen auch einfacher merken. Wird ein Name als Alias füreine IP-Adresse verwendet, muss ein Mechanismus vorhanden sein, der IP-Adressen Namen zuweist, deren Eindeutigkeit sicherstellt und diese Namen wieder in denzugehörigen IP-Adressen zuordnet.

Die TCP/IP-Komponenten von Windows verwenden jeweils eigene Mechanismen für dieZuweisung und Auflösung von Hostnamen (wie sie Windows Sockets-Anwendungennutzen) und NetBIOS-Namen (wie sie NetBIOS-Anwendungen nutzen).

HostnamenEin Hostname ist ein Alias, der einem IP-Knoten zugewiesen wurde, um ihn alsTCP/IP-Host zu kennzeichnen. Der Hostname kann bis zu 255 Zeichen lang sein undBuchstaben und Ziffern sowie die Zeichen “-” und “.” enthalten. Einem Host könnenmehrere Hostnamen zugewiesen werden.

Windows Sockets-Anwendungen, beispielsweise Internet Explorer und das Dienstprogramm Ping, können mit zwei Werten auf einen Zielhost verweisen: derIP-Adresse oder dem Hostnamen. Gibt der Anwender eine IP-Adresse an, wird keineNamensauflösung benötigt. Gibt der Anwender einen Hostnamen an, muss diesem Nameneine IP-Adresse zugeordnet werden, bevor die Kommunikation mit der Zielressourcemöglich ist.

Hostnamen können verschiedene Formen annehmen. Die zwei gebräuchlichsten Formensind der Spitzname und der voll qualifizierte Domänenname (Fully Qualified Domain Name,FQDN). Ein Spitzname ist ein Alias für eine IP-Adresse, den ein bestimmter Anwenderzuweisen und benutzen kann. Ein FQDN ist ein strukturierter Name, beispielsweise www.microsoft.com, der den von DNS verwendeten Internet-Konventionen folgt.

NetBIOS-NamenEin NetBIOS-Name ist ein 16 Byte langer Name, der eine NetBIOS-Anwendung im Netzwerk bezeichnet. Ein NetBIOS-Name ist entweder ein eindeutiger (exklusiver) Name oder ein (nicht exklusiver) Gruppename. Wenn eine NetBIOS-Anwendung mit einer bestimmten NetBIOS-Anwendung auf einem einzelnen Computer kommuniziert, werden eindeutige Namen verwendet. Wenn ein NetBIOS-Prozess mit mehreren NetBIOS-Anwendungen auf verschiedenen Computern kommuniziert, wird ein Gruppenname verwendet.

Der NetBIOS-Name kennzeichnet Anwendungen in der Kommunikationsschicht des OSI-Modells. Der NetBIOS-Sitzungsdienst arbeitet beispielsweise über TCP-Port 139. Daalle NetBT-Sitzungsanforderungen an den TCP-Zielport 139 adressiert werden, müssenNetBIOS-Anwendungen den NetBIOS-Namen des Ziels verwenden, wenn sie eine NetBIOS-Sitzung einrichten.

Ein Beispiel für die Verwendung eines NetBIOS-Namens ist die gemeinsame Nutzung vonDateien und Druckern auf einem Windows-Computer. Wenn Ihr Computer startet, registriert der Serverdienst einen eindeutigen NetBIOS-Namen, der von dem Namen Ihres Computers abgeleitet ist. Vom Serverdienst wird der 15 Zeichen lange Computername plus einem sechzehnten Zeichen mit dem Hexadezimalwert 0x20 verwendet. Ist der Computername kürzer als 15 Zeichen, wird er mit Leerzeichen auf die Länge von 15Zeichen aufgefüllt. Andere Netzwerkdienste verwenden ebenfalls den Computernamen alsGrundlage für ihre NetBIOS-Namen, wobei das sechzehnte Zeichen in der Regel dazudient, den jeweiligen Dienst zu kennzeichnen.

Wenn Sie unter Angabe des Computernamens eine Verbindung mit einem Computer mit


Windows Server 2003 oder Windows XP zur gemeinsamen Nutzung von Dateien herstellenmöchten, dann entspricht der Serverdienst des von Ihnen angegebenen Dateiserverseinem bestimmten NetBIOS-Namen. Wenn Sie beispielsweise eine Verbindung zum Computer CORPSERVER herstellen, lautet der dem Serverdienst entsprechende NetBIOS-Name CORPSERVER <20>. (Beachten Sie, dass der Name mit Leerzeichenaufgefüllt wurde.) Bevor eine Verbindung zur gemeinsamen Nutzung von Dateien undDrucker hergestellt werden kann, muss eine TCP-Verbindung erzeugt werden. Damit eine TCP-Verbindung hergestellt werden kann, muss dem NetBIOS-NamenCORPSERVER <20> eine IPv4-Adress zugeordnet werden. Unter derNetBIOS-Namensauflösung versteht man den Vorgang der Zuordnung einer IPv4-Adressezu einem NetBIOS-Namen.

Zum Seitenanfang


• Die TCP/IP-Protokollfamilie entspricht den vier Schichten des DARPA-Modells: Anwendungsschicht, Transportschicht, Internet-Schicht und Netzzugangsschicht.

• Die Protokolle der IPv4-Internet-Schicht sind ARP, IP (IPv4), ICMP und IGMP.

• Die Protokolle der IPv6-Internet-Schicht sind IPv6, ICMPv6, ND und MLD.

• Die Protokolle der Transportschicht sind TCP und UDP. TCP ist ein verlässlicher,verbindungsbasierter Kommunikationsdienst. UDP ist ein verbindungsloser Datagrammdienst, der weder für die Zustellung der Datagramme noch für die korrekteReihenfolge der gelieferten Pakete garantiert.

• IP-Pakete werden basierend auf den Feldern der IPv4-, IPv6-, TCP- und UDP-Header mittels Multiplexing und Demultiplexing zwischen Anwendungen ausgetauscht.

• Die TCP/IP-Komponenten in Windows unterstützen zwei APIs fürNetzwerkanwendungen: Windows Sockets und NetBIOS. Windows Sockets ist eine moderne API, die Anwendungen Streamsockets, Datagrammsockets und Low-Level-Sockets zu verwalten erlaubt. NetBIOS ist eine ältere API, mit deren HilfeAnwendungen NetBIOS-Namen, -Datagramme und -Sitzungen verwalten können.

• Die TCP/IP-Komponenten in Windows unterstützen zwei Namensschemata fürNetzwerkanwendungen: Hostnamen (von Windows Sockets-Anwendungen verwendet) und NetBIOS-Namen (von NetBIOS-Anwendungen verwendet).

Zum Seitenanfang

KapitelglossarAutomatische Adresskonfiguration – Der IPv6-ND-Vorgang der automatischenKonfiguration von IPv6-Adressen einer Schnittstelle.

Adressauflösung – Der Vorgang, bei dem der IP-Folgeknotenadresse unter IPv4 mithilfevon ARP und unter IPv6 mithilfe von ND eine MAC-Adresse zugeordnet wird.

Address Resolution Protocol (ARP) – Ein Protokoll, das mittels Broadcastnachrichten imlokalen Netzwerk einer IPv4-Adresse die zugehörige MAC-Adresse zuordnet.

ARP – Siehe Address Resolution Protocol.

ARP-Cache – Eine für jede Schnittstelle bestehende Tabelle mit dynamisch oder statischaufgenommenen Einträgen mit IPv4-Adressen und den zugehörigen MAC-Adressen.

ICMP – Siehe Internet Control Message Protocol.

ICMPv6 – Internet Control Message Protocol für IPv6.

IGMP – Siehe Internet Group Management Protocol.

Internet Control Message Protocol (ICMP) – Ein Protokoll der IPv4-Internet-Schicht, dasFehler meldet und Möglichkeiten zur Fehlerbehandlung bietet.

Internet Control Message Protocol für IPv6 (ICMPv6) – Ein Protokoll derIPv6-Internet-Schicht, das Fehler meldet, Möglichkeiten zur Fehlerbehandlung bietet undaußerdem für ND- und MLD-Nachrichten verantwortlich ist.

Internet Group Management Protocol (IGMP) – Ein Protokoll der IPv4-Internet-Schicht,das in einem Subnetz die Mitgliedschaft in Multicastgruppen verwaltet.

Internet Protocol (IP) – Bei IPv4 ein routerfähiges Protokoll der IPv4-Internet-Schicht, dasPakete adressiert, verschickt, fragmentiert und wieder zusammenfügt. Wird auch alsOberbegriff zur Bezeichnung der IPv4- und IPv6-Protokollfamilie verwendet.

IP – Siehe Internet Protocol.

IPv4 – Die Internet-Schicht, die im Internet und in privaten Netzwerken breiteVerwendung findet. Ein anderer Begriff für IP.

IPv6 – Die neue Internet-Schicht, die einmal die vorhandene IPv4-Internet-Schichtersetzen wird.

MLD – Siehe Multicast Listener Discovery.

Multicast Listener Discovery (MLD) – Ein Satz von drei ICMPv6-Nachrichten, die Hosts undRouter verwenden, um in einem Subnetz die Mitgliedschaft in Multicastgruppen zuverwalten.

Namensauflösung – Der Vorgang der Zuordnung eines Namens zu einer Adresse.

ND – Siehe Neighbor Discovery.

Nachbarcache – Ein für jeden IPv6-Knoten bestehender Cache, in dem die IPv6-Adresseeines Nachbarn und die ihr entsprechende MAC-Adresse gespeichert ist. DerNachbarcache entspricht dem ARP-Cache von IPv4.

Neighbor Discovery (ND, Nachbarerkennung) – ND ist eine Folge von ICMPv6-Nachrichtenund Prozessen, die die Beziehungen zwischen benachbarten Knoten festlegen. ND ersetztARP, ICMP-Routererkennung und die ICMP-Umleitungsnachrichten von IPv4.

Network Basic Input/Output System (NetBIOS) – Eine Standard-API für Anwendungen zurVerwaltung von NetBIOS-Namen und zum Zugriff auf NetBIOS-Datagramm- undSitzungsdienste.

NetBIOS – Siehe Network Basic Input/Output System.

Routererkennung – Der Vorgang der Nachbarerkennung, bei dem ein Host die lokalenRouter eines angeschlossenen Subnetzes ermittelt.

TCP – Siehe Transmission Control Protocol.

Transmission Control Protocol (TCP) – Ein verlässliches, verbindungsbasiertes Protokoll derTransportschicht, das über IP angesiedelt ist.

UDP – Siehe User Datagram Protocol.

User Datagram Protocol (UDP) – Ein verbindungsloses, nicht zuverlässiges Protokoll derTransportschicht, das oberhalb von IP angesiedelt ist.

Windows Sockets – Eine allgemein verwendete Programmierschnittstelle (API), auf diesich Windows-Anwendungen stützen, um Daten mittels TCP/IP zu übertragen.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 3 – IP-AdressierungVeröffentlicht: 02. Nov 2004

Zusammenfassung

In diesem Kapitel werden die Details der Adressierung für IPv4 und IPv6 beschrieben.Netzwerkadministratoren müssen mit beiden Arten der Adressierung eingehend vertraut sein,um TCP/IP-Netzwerke (Transmission Control Protocol/Internet Protocol) verwalten und Probleme bei der auf TCP/IP basierenden Kommunikation beheben zu können. In diesemKapitel werden die Typen der IPv4- (Internet Protocol Version 4) und IPv6-Adressen (Internet Protocol Version 6) ausführlich behandelt. Zudem werden die den Schnittstellenvon Netzwerkknoten zugeordneten Typen von Unicastadressen beschrieben.

Auf dieser Seite


IPv4-Adressierung

IPv6-Adressierung

Vergleichen der IPv4- und IPv6-Adressierung


Kapitelglossar


• Beschreiben der Syntax für IPv4-Adressen und Adresspräfixe sowie Konvertieren zwischenBinär- und Dezimalzahlen.

• Aufführen der drei Typen von IPv4-Adressen und Angeben von Beispielen für die einzelnenTypen.

• Beschreiben der Unterschiede zwischen öffentlichen, privaten und unzulässigenIPv4-Adressen.

• Beschreiben der Syntax für IPv6-Adressen und Adresspräfixe sowie Konvertieren zwischenBinär- und Hexadezimalzahlen.

• Aufführen der drei Typen von IPv6-Adressen und Angeben von Beispielen für die einzelnenTypen.

• Beschreiben der Unterschiede zwischen IPv6-Unicastadressen vom Typ "global", "standortlokal" (Site-local) und "verbindungslokal" (Link-local).

• Konvertieren einer IEEE 802-Adresse (Institute of Electrical and Electronics Engineers) in einen IPv6-Schnittstellenbezeichner.

• Vergleichen von Adressen und Adressierungskonzepten zwischen IPv4 und IPv6.

Zum Seitenanfang

IPv4-AdressierungEine IP-Adresse ist ein Bezeichner, der einer Schnittstelle oder einem Schnittstellensatz auf der Internet-Schicht zugeordnet wird. Jede IP-Adresse kann die Quelle oder das Ziel von IP-Paketen kennzeichnen. Für IPv4 besitzt jeder Knoten in einem Netzwerk eine odermehrere Schnittstellen, und Sie können für jede dieser Schnittstellen TCP/IP aktivieren.Wenn Sie für eine Schnittstelle TCP/IP aktivieren, weisen Sie ihr eine oder mehrere logischeIPv4-Adressen zu, entweder automatisch oder manuell. Die IPv4-Adresse ist eine logische Adresse, da sie auf der Internet-Schicht zugeordnet wird und keine Beziehung zu den Adressen besitzt, die auf der Netzzugangsschicht verwendet werden. IPv4-Adressen besitzen eine Länge von 32 Bit.

In diesem Beitrag

• Übersicht




















IPv4-AdresssyntaxWenn Netzwerkadministratoren IPv4-Adressen mithilfe der Binärnotation angeben würden,müsste jede Adresse als Zeichenfolge aus 32 Einsen und Nullen dargestellt werden. Daderartige Zeichenfolgen umständlich anzugeben und schwer zu merken sind, verwendenAdministratoren eine Notation, bei der jeweils vier Dezimalzahlen (zwischen 0 und 255) durch Punkte voneinander getrennt werden (Punkt-Dezimalnotation). Jede Dezimalzahl, auch als Oktett bekannt, stellt 8 Bit (1 Byte) der aus 32-Bit bestehenden Adresse dar.

Die IPv4-Adresse 11000000101010000000001100011000 wird z. B. in derPunkt-Dezimalnotation als 192.168.3.24 ausgedrückt. Wenn Sie eine IPv4-Adresse von derBinärnotation in die Punkt-Dezimalnotation konvertieren möchten, müssen Sie wie folgtvorgehen:

• Segmentieren der Adresse in 8-Bit-Blöcke: 11000000 10101000 00000011 00011000

• Konvertieren der einzelnen Blöcke in Dezimalzahlen: 192 168 3 24

• Trennen der Blöcke durch Punkte: 192.168.3.24

Wenn Sie auf eine IPv4-Adresse verweisen, verwenden Sie die Notation w.x.y.z. Abbildung 3-1 zeigt die IPv4-Adressstruktur.

Abbildung 3-1 Die IPv4-Adresse in derPunkt-DezimalnotationBild maximieren

Damit Sie mit dem Wechsel zwischen den binären und dezimalen Formaten vertraut werden,können Sie sich die binären (zur Basis2) und dezimalen (zur Basis10) Zahlensysteme sowiedie Konvertierung zwischen den Systemen nochmals verinnerlichen. Obwohl Sie auch denRechner der Betriebssysteme Microsoft® Windows Server™ 2003 oder Windows® XP für dasKonvertieren zwischen Dezimal- und Binärzahlen verwenden können, ist der Vorgang leichterzu verstehen, wenn er manuell durchgeführt wird.

Konvertieren von Binärzahlen in DezimalzahlenDas dezimale Zahlensystem verwendet die Ziffern 0 bis 9 und die Potenzen von 10, um eine

Zahl auszudrücken. Die Dezimalzahl 207 besteht z. B. aus der Summe von 2x102 + 0x101 +

7x100. Das binäre Zahlensystem verwendet die Ziffern 1 und 0 und die Potenzen von 2, um

eine Zahl auszudrücken. Die Binärzahl 11001 ist die Summe von 1x24 + 1x23 + 0x22 +

0x21 + 1x20. Die Punkt-Dezimalnotation umfasst niemals Zahlen, die größer als 255 sind, dajede Dezimalzahl 8 Bit einer aus 32-Bit bestehenden Adresse darstellt. Die größte, durch 8 Bitdarstellbare Zahl im Binärformat ist 11111111, wobei es sich im Dezimalformat um die 255handelt.

In Abbildung 3-2 werden eine aus 8 Bit bestehende Binärzahl, die Bitpositionen und ihreDezimalwerte gezeigt.

Abbildung 3-2 Eine aus 8 Bit bestehende BinärzahlBild maximieren

Um eine 8-Bit-Zahl aus dem Binärformat in das Dezimalformat zu konvertieren (beginnendam Anfang von Abbildung 3-2), gehen Sie wie folgt vor:

1. Wenn die achte Bitposition 1 entspricht, fügen Sie dem Gesamtwert 128 hinzu.

2. Wenn die siebente Bitposition 1 entspricht, fügen Sie dem Gesamtwert 64 hinzu.

3. Wenn die sechste Bitposition 1 entspricht, fügen Sie dem Gesamtwert 32 hinzu.

4. Wenn die fünfte Bitposition 1 entspricht, fügen Sie dem Gesamtwert 16 hinzu.

5. Wenn die vierte Bitposition 1 entspricht, fügen Sie dem Gesamtwert 8 hinzu.

6. Wenn die dritte Bitposition 1 entspricht, fügen Sie dem Gesamtwert 4 hinzu.

7. Wenn die zweite Bitposition 1 entspricht, fügen Sie dem Gesamtwert 2 hinzu.

8. Wenn die erste Bitposition 1 entspricht, fügen Sie dem Gesamtwert 1 hinzu.

Für die 8-Bit-Binärzahl 10111001 ergibt sich z. B. Folgendes:

1. Die achte Bitposition entspricht 1. Fügen Sie dem Gesamtwert 128 hinzu. DerGesamtwert beträgt jetzt 128.

2. Die siebente Bitposition entspricht 0.

3. Die sechste Bitposition entspricht 1. Fügen Sie dem Gesamtwert 32 hinzu. DerGesamtwert beträgt jetzt 160.

4. Die fünfte Bitposition entspricht 1. Fügen Sie dem Gesamtwert 16 hinzu. DerGesamtwert beträgt jetzt 176.

5. Die vierte Bitposition entspricht 1. Fügen Sie dem Gesamtwert 8 hinzu. DerGesamtwert beträgt jetzt 184.

6. Die dritte Bitposition entspricht 0.

7. Die zweite Bitposition entspricht 0.

8. Die erste Bitposition entspricht 1. Fügen Sie dem Gesamtwert 1 hinzu. DerGesamtwert beträgt jetzt 185.

Daher ergibt sich aus der Binärzahl 10111001 die Dezimalzahl 185.

Addieren Sie also die dezimalen Äquivalente für die Bitpositionen, die den Wert 1 besitzen,um eine Binärzahl in das dezimale Äquivalent zu konvertieren. Wenn alle 8 Bit den Wert 1besitzen, addieren Sie 128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 und erhalten 255.

Konvertieren von Dezimalzahlen in BinärzahlenUm eine Zahl bis zu 255 aus dem Dezimalformat manuell in das Binärformat zu konvertieren(beginnend in der dezimalen Spalte von Abbildung 3-2), gehen Sie wie folgt vor:

1. Wenn die Zahl größer ist als 127, setzen Sie eine 1 an die achte Bitposition undsubtrahieren 128 von der Zahl. Andernfalls setzen Sie an die achte Bitposition eine 0.

2. Wenn die verbleibende Zahl größer ist als 63, setzen Sie eine 1 an die siebenteBitposition und subtrahieren 64 von der Zahl. Andernfalls setzen Sie an die siebente Bitposition eine 0.

3. Wenn die verbleibende Zahl größer ist als 31, setzen Sie eine 1 an die sechsteBitposition und subtrahieren 32 von der Zahl. Andernfalls setzen Sie an die sechste Bitposition eine 0.

4. Wenn die verbleibende Zahl größer ist als 15, setzen Sie eine 1 an die fünfteBitposition und subtrahieren 16 von der Zahl. Andernfalls setzen Sie an die fünfteBitposition eine 0.

5. Wenn die verbleibende Zahl größer ist als 7, setzen Sie eine 1 an die vierte Bitpositionund subtrahieren 8 von der Zahl. Andernfalls setzen Sie an die vierte Bitposition eine 0.

6. Wenn die verbleibende Zahl größer ist als 3, setzen Sie eine 1 an die dritte Bitpositionund subtrahieren 4 von der Zahl. Andernfalls setzen Sie an die dritte Bitposition eine 0.

7. Wenn die verbleibende Zahl größer ist als 1, setzen Sie eine 1 an die zweite Bitpositionund subtrahieren 2 von der Zahl. Andernfalls setzen Sie an die zweite Bitposition eine 0.

8. Wenn die verbleibende Zahl die 1 ist, setzen Sie eine 1 an die erste Bitposition. Andernfalls setzen Sie an die erste Bitposition eine 0.

Hier folgt ein Beispiel für die Konvertierung der Zahl 197 aus dem Dezimalformat in dasBinärformat:

1. Da die Zahl 197 größer ist als 127, setzen Sie eine 1 an die achte Bitposition undsubtrahieren 128 von 197, wodurch sich der Restwert 69 ergibt. Die binäre Zahl lautetbis jetzt 1xxxxxxx.

2. Da die Zahl 69 größer ist als 63, setzen Sie eine 1 an die siebente Bitposition undsubtrahieren 64 von 69, wodurch sich der Restwert 5 ergibt. Die binäre Zahl lautet bisjetzt 11xxxxxx.

3. Da 5 nicht größer ist als 31, setzen Sie an die sechste Bitposition eine 0. Die binäreZahl lautet bis jetzt 110xxxxx.

4. Da 5 nicht größer ist als 15, setzen Sie an die fünfte Bitposition eine 0. Die binäre Zahllautet bis jetzt 1100xxxx.

5. Da 5 nicht größer ist als 7, setzen Sie an die vierte Bitposition eine 0. Die binäre Zahllautet bis jetzt 11000xxx.

6. Da die Zahl 5 größer ist als 3, setzen Sie eine 1 an die dritte Bitposition undsubtrahieren 4 von 5, wodurch sich der Restwert 1 ergibt. Die binäre Zahl lautet bisjetzt 110001xx.

7. Da 1 nicht größer ist als 1, setzen Sie an die zweite Bitposition eine 0. Die binäre Zahllautet bis jetzt 1100010x.

8. Da 1 gleich 1 ist, setzen Sie eine 1 an die erste Bitposition. Die sich ergebendeBinärzahl ist 11000101. Die dezimale Zahl 197 entspricht somit der binären Zahl11000101.

Überprüfen Sie beim Konvertieren aus dem Dezimalformat in das Binärformat also, ob dieDezimalzahl den durch die Bitpositionen repräsentierten Stellenwert enthält, vom achten Bitbis zum ersten Bit. Wenn jeder Stellenwert vorhanden ist, wobei mit dem achten (128) begonnen wird, setzen Sie das Bit für diese Bitposition auf den Wert 1. Die Dezimalzahl 211enthält 128, 64, 16, 2 und 1. Daher ergibt 211 in der Binärnotation die Zahl 11010011.

IPv4-AdresspräfixeJedes Bit einer eindeutigen IPv4-Adresse besitzt einen definierten Wert. IPv4-Adresspräfixedrücken jedoch Bereiche von IPv4-Adressen aus, in denen null oder mehr der höherwertigenBit auf bestimmte Werte festgelegt sind und der Rest der niederwertigen variablen Bit auf 0 gesetzt werden. Adresspräfixe werden standardmäßig dazu verwendet, um einen Bereichzulässiger Adressen, zu Subnetzen zugeordnete Netzwerkbezeichner und Routendarzustellen.

Sie müssen die Anzahl der höherwertigen, unveränderlichen Bit und ihre Werte ermitteln, umein IPv4-Adresspräfix darzustellen. Dann können Sie die Notation mit der Präfixlänge oder diePunkt-Dezimalnotation verwenden.

PräfixlängennotationWenn Sie die Präfixlängennotation verwenden, stellen Sie Adresspräfixe alsStartadresse/Präfixlänge dar, wobei:

• Startadresse die in Punkt-Dezimalnotation geschriebene erste mathematisch möglicheAdresse im Bereich darstellt. Geben Sie für die festen Bit ihre definierten Werte an, undlegen Sie für die restlichen Bit den Wert 0 fest, um die Startadresse zu bilden.

• Präfixlänge stellt die Anzahl der höherwertigen festen Bit in der Adresse dar.

Der IPv4-Adresspräfix 131.107.0.0/16 gibt z. B. einen Bereich von 65.536 Adressen an. DiePräfixlänge, 16, gibt an, dass alle Adressen im Bereich mit denselben 16 Bit beginnen wie dieStartadresse. Da die ersten 16 Bit der Startadresse auf 10000011 01101011 (131 107 in Dezimalnotation) festgelegt sind, besitzen alle Adressen im Bereich die 131 als erstes und 107 als zweites Oktett. Mit den 16 variablen Bit in den letzten beiden Oktetts ergeben sich

insgesamt 216 oder 65.536 mögliche Adressen.

Wenn Sie ein Adresspräfix mithilfe der Präfixlängennotation angeben müssen, erstellen Siedie Startadresse, indem Sie alle variablen Bit auf den Wert 0 setzen. Dann konvertieren Sie die Adresse in die Punkt-Dezimalnotation, um dann einen Schrägstrich und die Anzahl derfesten Bit (die Präfixlänge) hinter der Startadresse hinzuzufügen.

Das IPv4-Adresspräfix 131.107.0.0/16 besitzt 16 feste Bit (10000011 01101011). DieStartadresse besteht aus den ersten 16 Bit, die unveränderlich sind und den letzten 16 Bit,die den Wert 0 erhalten, wodurch sich 10000011 01101011 00000000 00000000 oder 131.107.0.0 ergibt. Als Nächstes würden Sie einen Schrägstrich hinzufügen und die Anzahlder festen Bit (/16) angeben, um das Adresspräfix als 131.107.0.0/16 darzustellen.

Die Präfixlängennotation ist auch als CIDR-Notation (Classless Inter-Domain Routing)bekannt.

Punkt-DezimalnotationSie können die Präfixlänge einer IPv4-Adresse auch als 32-Bit-Zahl in derPunkt-Dezimalnotation angeben. Dazu legen Sie alle festen Bit auf den Wert 1 sowie alle variablen Bit auf den Wert 0 fest. Anschließend konvertieren Sie das Ergebnis in diePunkt-Dezimalnotation. In Anbindung an unser vorheriges Beispiel legen Sie für die 16 festenBit den Wert 1 und für die 16 variablen Bit den Wert 0 fest. Daraus ergibt sich 1111111111111111 00000000 00000000 oder 255.255.0.0. Das Adresspräfix wird als 131.107.0.0,255.255.0.0 angegeben. Die Angabe der Präfixlänge als punkt-dezimale Zahl ist auch alsNetzwerkmasken- oder Subnetzmaskennotation bekannt.

In Tabelle 3-1 sind die Dezimalwerte eines Oktetts aufgeführt, wenn Sie für die aufeinanderfolgenden höherwertigen Bit einer aus 8 Bit bestehenden Zahl den Wert 1 festlegen.

Bitanzahl Binär Dezimal

0 00000000 0

1 10000000 128

2 11000000 192

3 11100000 224

4 11110000 240

5 11111000 248

6 11111100 252

7 11111110 254

8 11111111 255

Tabelle 3-1 Dezimale Werte für die Präfixlängen

Wenn Sie IPv4-Adresspräfixe unter Windows konfigurieren, verwenden Sie dieSubnetzmaskennotation häufiger als die Präfixlängennotation. Sie müssen jedoch mit beidenNotationsarten vertraut sein, da einige Dialogfelder der Windows-Konfiguration von Ihnen die Verwendung der Präfixlängennotation und nicht die Subnetzmaskennotation verlangen. Ein

weiterer Grund ist, dass IPv6 nur die Präfixlängennotation unterstützt.

Typen von IPv4-AdressenDie Internetstandards definieren die folgenden Typen von IPv4-Adressen:

• Unicast

Zuordnung zu einer einzelnen Netzwerkschnittstelle, die sich in einem bestimmten Subnetz befindet; wird für die 1:1-Kommunikation verwendet.

• Multicast

Zuordnung zu einer oder mehreren Netzwerkschnittstelle, die sich in verschiedenen Subnetzen befinden; wird für die 1:N-Kommunikation verwendet.

• Broadcast

Zuordnung zu allen Netzwerkschnittstellen, die sich in einem Subnetz befinden; wird fürdie 1:M-Kommunikation (M=Alle) im Subnetz verwendet.

In den folgenden Abschnitten werden diese Adresstypen eingehender erläutert.

IPv4-UnicastadressenDie IPv4-Unicastadresse kennzeichnet die Position einer Schnittstelle im Netzwerk auf dieselbe Weise, in der die Angabe von Straßenname und Hausnummer ein Haus in einem Ortkennzeichnet. So wie die Wohnanschrift einen eindeutigen Aufenthaltsort kennzeichnet, muss eine IPv4-Unicastadresse global eindeutig sein und ein eindeutiges Format besitzen.

Jede IPv4-Unicastadresse umfasst einen Netzwerk-ID- und einen Host-ID-Anteil.

• Der Netzwerk-ID-Anteil (auch als Netzwerkadresse bekannt) einer IPv4-Unicastadresse kennzeichnet die Schnittstellengruppe, die sich in demselben physischen oder logischen Netzwerksegment befinden, dessen Grenzen durch IPv4-Router definiert sind. Ein Netzwerksegment in TCP/IP-Netzwerken ist auch als Subnetz oder Verbindung bekannt. Alle Knoten desselben physischen oder logischen Subnetzes verwenden dieselbe Netzwerk-ID, wobei die Netzwerk-ID im gesamten TCP/IP-Netzwerk eindeutig sein muss.

• Der Host-ID-Anteil (auch als Hostadresse bekannt) einer IPv4-Unicastadresse kennzeichnet die Schnittstelle eines Netzwerkknotens in einem Subnetz. Die Host-ID muss innerhalb des Netzwerksegments eindeutig sein.

In Abbildung 3-3 wird die Struktur eines Beispiels einer IPv4-Unicastadresse veranschaulicht.

Abbildung 3-3 Struktur eines Beispiels einerIPv4-UnicastadresseBild maximieren

Wenn die Netzwerk-ID im TCP/IP-Netzwerk und die Host-ID im Netzwerksegment eindeutig sind, ist die gesamte IPv4-Unicastadresse im gesamten TCP/IP-Netzwerk ebenfalls eindeutig.

InternetadressklassenDie Internetgemeinschaft hat die Adressklassen ursprünglich definiert, um Adresspräfixesystematisch zu Netzwerken mit variierender Größe zuzuordnen. Die Klasse der Adressen hatangegeben, wie viele Bit für die Netzwerk-ID und wie viele Bit für die Host-ID verwendetwurden. Die Adressklassen haben außerdem die mögliche Anzahl von Netzwerken sowie dieAnzahl der Hosts pro Netzwerk festgelegt. Von den fünf Adressklassen waren die Klasse A, Bund C für IPv4-Unicastadressen reserviert. Adressen der Klasse D wurden fürIPv4-Multicastadressen und Adressen der Klasse E für experimentelle Zwecke reserviert.

Netzwerk-IDs der Klasse A wurden Netzwerken mit einer sehr großen Anzahl von Hostszugeordnet. Die Präfixlänge von Netzwerk-IDs der Klasse A beträgt nur 8 Bit, wodurch dieverbleibenden 24 Bit zum Kennzeichnen von bis zu 16.777.214 Host-IDs verwendet werdenkönnen. Die kurze Präfixlänge beschränkt jedoch die Anzahl von Netzwerken, dieNetzwerk-IDs der Klasse A erhalten können, auf 126. Erstens wird das höherwertige Bit inNetzwerk-IDs der Klasse A immer auf den Wert 0 festgelegt. Diese Konvention schränkt dieAnzahl von Netzwerk-ID der Klasse A von 256 auf 126 ein. Zweitens können Adressen, bei

denen die ersten acht Bit auf 00000000 eingestellt sind nicht zugeordnet werden, da diese eine reservierte Netzwerk-ID bilden. Drittens können Adressen, bei denen die ersten acht Bitauf 01111111 (127 in Dezimalnotation) eingestellt sind, nicht zugeordnet werden, da diesefür Loopbackadressen reserviert sind. Die letzten beiden Konventionen verringern die Anzahlder Netzwerk-IDs der Klasse A von 128 auf 126.

Für alle IPv4-Netzwerk-IDs sind die zwei Host-IDs, bei denen die Hostbit alle auf 0 oder alleauf 1 festgelegt sind, reserviert und können nicht zu Schnittstellen von Netzwerkknotenzugewiesen werden. Durch diese Konvention wird die Anzahl der Host-IDs in Netzwerken der

Klasse A von 16.777.216 (224) auf 16.777.214 verringert.

In Abbildung 3-4 wird die Struktur einer Adresse der Klasse A veranschaulicht.

Abbildung 3-4 Struktur von Adressen der Klasse ABild maximieren

Netzwerk-IDs der Klasse B wurden zu mittelgroßen bis großen Netzwerken zugeordnet. Inden Adressen dieser Netzwerke geben die ersten 16 Bit ein bestimmtes Netzwerk und die letzten 16 Bit einen bestimmten Host an. Die beiden höherwertigen Bit in einer Adresse derKlasse B erhalten immer den Wert 10, wodurch das Adresspräfix für alle Netzwerke undAdressen der Klasse B 128.0.0.0/2 (oder 128.0.0.0, 192.0.0.0) ergibt. Mit Netzwerk-IDs der Klasse B, die durch 14 Bit dargestellt werden, und durch 16 Bit dargestellte Host-IDs, könnenAdressen der Klasse B zu 16.384 Netzwerken mit bis zu 65.534 Hosts pro Netzwerk zugewiesen werden.

In Abbildung 3-5 wird die Struktur einer Adresse der Klasse B veranschaulicht.

Abbildung 3-5 Struktur von Adressen der Klasse BBild maximieren

Adressen der Klasse C wurden kleinen Netzwerken zugewiesen. In den Adressen dieser Netzwerke geben die ersten 24 Bit ein bestimmtes Netzwerk und die letzten 8 Bit einen bestimmten Host an. Die beiden höherwertigen Bit in einer Adresse der Klasse C erhaltenimmer den Wert 110, wodurch das Adresspräfix für alle Netzwerke und Adressen der KlasseC 192.0.0.0/3 (oder 192.0.0.0, 224.0.0.0) ergibt. Mit Netzwerk-IDs der Klasse C, die durch 21 Bit dargestellt werden, und durch 8 Bit dargestellte Host-IDs können Adressen der KlasseC ingesamt 2.097.152 Netzwerken mit bis zu 254 Hosts pro Netzwerk zugewiesen werden.

In Abbildung 3-6 wird die Struktur einer Adresse der Klasse C veranschaulicht.

Abbildung 3-6 Struktur von Adressen der Klasse CBild maximieren

Adressen der Klasse D sind für IPv4-Multicastadressen reserviert. Die vier höherwertigen Bitin einer Adresse der Klasse D erhalten immer den Wert 1110, wodurch das Adresspräfix füralle Adressen der Klasse D 224.0.0.0/4 (oder 224.0.0.0, 240.0.0.0) ergibt. Weitere Informationen finden Sie in diesem Kapitel unter "IPv4-Multicastadressen".

Adressen der Klasse E sind für experimentelle Zwecke reserviert. Die höherwertigen Bit ineiner Adresse der Klasse E erhalten den Wert 1111, wodurch das Adresspräfix für alleAdressen der Klasse E 240.0.0.0/4 (oder 240.0.0.0, 240.0.0.0) ergibt.

In Tabelle 3-2 sind die Internetadressklassen A, B und C zusammengefasst, die fürIPv4-Unicastadressen verwendet werden können.

Klasse Wertfür w

Netzwerk-ID-Anteil Host-ID-Anteil Netzwerk-IDs Host-IDs pro Netzwerk

A 1-126 w x.y.z 126 16,277,214

B 127-191 w.x y.z 16,384 65,534

C 192-223 w.x.y z 2,097,152 254

Tabelle 3-2 Übersicht über die Internetadressklassen

Moderne InternetadressenDie Internetadressklassen stellen eine veraltete Methode zur Reservierung von Unicastadressen dar, da sie sich als uneffizient erwiesen haben. Eine große Organisationenmit einer Netzwerk-ID der Klasse A kann bis zu 16.777.214 Hosts besitzen. Wenn die Organisationen jedoch nur 70.000 Host-IDs nutzt, werden 16.707.214 potenzielle IPv4-Unicastadressen für das Internet verschwendet.

Seit 1993 werden IPv4-Adresspräfixe auf Basis der tatsächlichen Anforderungen einerOrganisation nach über das Internet zugänglichen IPv4-Unicastadressen zugeordnet. DieseMethode ist als CIDR (Classless Inter-Domain Routing) bekannt. Angenommen eine Organisation ermittelt, dass sie 2.000 über das Internet zugängliche IPv4-Unicastadressenbenötigt. Die ICANN (Internet Corporation for Assigned Names and Numbers) oder ein ISP(Internet Service Provider) reserviert ein IPv4-Adresspräfix, bei dem 21 Bit unveränderlichsind, wodurch 11 Bit für die Host-IDs verbleiben. Aus den 11 Bit für die Host-IDs können2046 mögliche IPv4-Unicastadressen erstellt werden.

CIDR-basierte Adresszuweisungen beginnen normalerweise mit 24 Bit für die Netzwerk-IDund 8 Bit für die Host-ID. In Tabelle 3-3 ist die erforderliche Anzahl von Host-IDs sowie dieentsprechende Präfixlänge für CIDR-basierte Adresszuweisungen aufgeführt.

Anzahl der Host-IDs Präfixlänge Durch Punkte getrennte Dezimalwerte

2–254 /24 255.255.255.0

255–510 /23 255.255.254.0

511–1,022 /22 255.255.252.0

1,021–2,046 /21 255.255.248.0

2,047–4,094 /20 255.255.240.0

4,095–8,190 /19 255.255.224.0

8,191–16,382 /18 255.255.192.0

16,383–32,766 /17 255.255.128.0

32,767–65,534 /16 255.255.0.0

Tabelle 3-3 Host-ID-Anforderungen und CIDR-basierte Präfixlängen

Öffentliche AdressenWenn Sie direkte Verbindungen (über Router) zum Internet wünschen, müssen Sieöffentliche Adressen verwenden. Wenn Sie indirekte Verbindungen (über Proxys oderübersetzt) zum Internet wünschen, können Sie entweder öffentliche oder private Adressenverwenden. Wenn das Intranet in keiner Weise mit dem Internet verbunden ist, können Siebeliebige IPv4-Adressen verwenden. Sie sollten jedoch private Adressen verwenden, um eine erneute Nummerierung des Netzwerks zu vermeiden, sollte das Intranet irgendwann direkt mit dem Internet verbunden werden.

Die ICANN ordnet öffentliche Adressen zu, die entweder aus traditionell zugeordnetenklassenbezogenen Netzwerk-IDs bestehen oder sie weist (in jüngster Zeit) CIDR-basierteAdresspräfixe zu, die im Internet garantiert eindeutig sind. Für CIDR-basierte Adresspräfixereicht der Wert von w (das erste Oktett) von 1 bis 126 und von 128 bis 223, ausgenommen die privaten Adresspräfixe, die im Abschnitt "Private Adressen" in diesem Kapitel beschriebenwerden.

Wenn die ICANN einer Organisation ein öffentliches Adresspräfix zuweist, werden denRoutern im Internet Routen hinzugefügt, damit der an dieses Adresspräfix gerichtete

Datenverkehr die Organisation erreichen kann. Wenn einer Organisation z. B. einAdresspräfix zugewiesen wird, existiert dieses Adresspräfix ebenfalls als Route in denRoutern des Internets. IPv4-Pakete, die an Adressen innerhalb des zugewiesenenAdresspräfix gesendet wurden, werden an das richtige Ziel geleitet.

Ungültige AdressenPrivate Intranets von Organisation, die keine Internetverbindung erfordern, können beliebigeAdressschemata wählen und auch öffentliche Adresspräfixe verwenden, die die ICANNanderen Netzwerken zugeordnet hat. Wenn sich die private Organisation später dazuentschließt, eine direkte Verbindung mit dem Internet einzurichten, können diese Adressenmit vorhandenen öffentlichen Adressen in Konflikt geraten und zu ungültigen Adressenwerden. Organisationen mit ungültigen Adressen können keinen Datenverkehr über dieseAdressen empfangen, da die Router im Internet den an die von der ICANN zugewiesenenAdresspräfixe gerichteten Datenverkehr an die zugeordneten Organisationen senden undnicht an die Organisationen, die ungültige Adressen verwenden.

Angenommen eine private Organisation wählt das Adresspräfix 206.73.118.0/24 für ihrIntranet. Die ICANN hat dieses Präfix der Microsoft Corporation zugeordnet und in denInternetroutern sind Routen vorhanden, um alle Pakete für IPv4-Adressen an206.73.118.0/24 an Microsoft zu senden. So lange die private Organisation keine Verbindung zum Internet herstellt, treten keine Probleme auf, da sich die beiden Adresspräfixe inseparaten IPv4-Netzwerken befinden und die Adressen somit in den einzelnen Netzwerken eindeutig sind. Wenn die private Organisation später eine direkte Verbindung zum Internetherstellt und weiterhin das Adresspräfix 206.73.118.0/24 verwendet, trifft sämtlicherDatenverkehr, der über das Internet an diese Adressen gesendet wird, bei Microsoft undnicht bei der privaten Organisation ein.

Private AdressenJede IPv4-Schnittstelle erfordert eine IPv4-Adresse, die im IPv4-Netzwerk eindeutig ist. Im Falle des Internets erfordert jede IPv4-Schnittstelle in einem Subnetz, das mit dem Internet verbunden ist, eine IPv4-Adresse, die im Internet eindeutig ist. Mit zunehmender Größe desInternets wurde für Organisationen, die eine Verbindung zum Internet herstellten, eineöffentliche Adresse für jede Schnittstelle im Intranet erforderlich. Diese Anforderungbedeutete für den Pool verfügbarer öffentlicher Adressen eine immense Nachfrage.

Bei der Analyse der Adressierungsanforderungen von Organisationen bemerkten die Entwickler des Internets, dass bei vielen Organisationen die meisten Hosts keine direkte Verbindung zum Internet erforderten. Diese Hosts, die eine bestimmte Auswahl von Internetdiensten beanspruchten, z. B. Webzugriff und E-Mails, griffen auf die Internetdiensteüber Gateways der Anwendungsschicht zu, wie Proxyserver und E-Mail-Server. Somitverlangten die meisten Organisationen nur einige wenige öffentliche Adressen für die Knoten(z. B. Proxys, Server, Router, Firewalls und Übersetzer), die direkt mit dem Internetverbunden waren.

Die Host innerhalb der Organisation, die keinen direkten Zugriff auf das Internet beanspruchten, erforderten IPv4-Adressen, die keine bereits zugewiesenen, öffentlichenAdressen duplizierten. Die Entwickler des Internets reservierten einen Teil des IPv4-Adressraums für private Adressen, um dieses Problem zu beheben. IPv4-Adressen imprivaten Adressraum sind als private Adressen bekannt und werden niemals öffentlichenAdressen zugewiesen. Da sich die öffentlichen und privaten Adressräume nicht überlappen,duplizieren die privaten Adressen niemals die öffentlichen Adressen.

RFC 1918 definiert die folgenden Adresspräfixe für den privaten Adressraum:

• 10.0.0.0/8 (10.0.0.0, 255.0.0.0)

Ermöglicht den folgenden Bereich zulässiger IPv4-Unicastadressen: 10.0.0.1 bis10.255.255.254. Das Adresspräfix 10.0.0.0/8 besitzt 24 Hostbit, die Sie für ein beliebigesAdressierungsschema innerhalb einer privaten Organisation verwenden können.

• 172.16.0.0/12 (172.16.0.0, 255.240.0.0)

Ermöglicht den folgenden Bereich zulässiger IPv4-Unicastadressen: 172.16.0.1 bis172.31.255.254. Das Adresspräfix 172.16.0.0/12 besitzt 20 Hostbit, die Sie für einbeliebiges Adressierungsschema innerhalb einer privaten Organisation verwenden können.

• 192.168.0.0/16 (192.168.0.0, 255.255.0.0)

Ermöglicht den folgenden Bereich zulässiger IPv4-Unicastadressen: 192.168.0.1 bis192.168.255.254. Das Adresspräfix 192.168.0.0/16 besitzt 16 Hostbit, die Sie für einbeliebiges Adressierungsschema innerhalb einer privaten Organisation verwenden können.

Da die ICANN niemals die IPv4-Adressen im privaten Adressraum einer mit dem Internet

verbundenen Organisation zuordnet, werden die Internetrouter niemals Routen zu privaten Adressen enthalten. Es ist nicht möglich, über das Internet eine Verbindung zu einer privatenAdresse herzustellen. Daher muss ein Host mit einer privaten Adresse seinen Datenverkehranforderungen für das Internet an ein Gateway der Anwendungsschicht (z. B.ein Proxyserver) senden, der über eine zulässige öffentliche Adresse verfügt, oder über einNAT-Gerät (Network Address Translation), das die private Adresse in eine zulässigeöffentliche Adresse übersetzt.

Automatische private IP-AdressierungWie in Kapitel 1, "Einführung in TCP/IP", beschrieben, können Sie eine Schnittstelle einesComputers konfigurieren, der Windows Server 2003 oder Windows XP ausführt, damit dieSchnittstelle automatisch eine IPv4-Adresskonfiguration erhält. Wenn der Computer keineVerbindung zu einem DHCP-Server (Dynamic Host Configuration Protocol) herstellt, verwendet der Computer seine alternative Konfiguration, wie auf der Registerkarte Alternative Konfiguration des Dialogfeld mit den Eigenschaften für die KomponenteInternetprotokoll (TCP/IP) angegeben.

Wenn die Option Automatisch zugewiesene, private IP-Adresse auf der Registerkarte Alternative Konfiguration aktiviert ist und kein DHCP-Server gefunden werden kann, verwendet die TCP/IP-Komponente von Windows die automatische private IP-Adressierung (APIPA, Automatic Private IP Adressing). Die TCP/IP-Komponente wählt eine zufälligeIPv4-Adresse aus dem Adresspräfix 169.254.0.0/16 und weist die Subnetzmaske255.255.0.0 zu. Dieses Adresspräfix wurde von der ICANN reserviert und es ist somit nichtüber das Internet erreichbar. Durch APIPA können die aus einem Subnetz bestehendenSOHO-Netzwerke (Small Office/Home Office) TCP/IP benutzen, ohne von einem Administrator das Konfigurieren und Aktualisieren statischer Adressen oder das Verwalten eines DHCP-Servers verlangen zu müssen. APIPA konfiguriert keinen Standardgateway.Deshalb können Sie Daten nur mit anderen Knoten im Subnetz austauschen.

Spezielle IPv4-AdressenNachfolgend sind spezielle IPv4-Adressen aufgelistet:

• 0.0.0.0

Bekannt als nicht spezifizierte IPv4-Adresse, die eine nicht vorhandene Adresse kennzeichnet. Die nicht spezifizierte Adresse wird nur als Quelladresse verwendet, wenn der IPv4-Knoten nicht mit einer IPv4-Adresskonfiguration konfiguriert ist und versucht, eine Adresse über ein Konfigurationsprotokoll wie DHCP zu erhalten.

• 127.0.0.1

Bekannt als IPv4-Loopbackadresse, die einer internen Loopbackschnittstelle zugeordnet ist. Mithilfe dieser Schnittstelle kann ein Knoten Pakete an sich selbst senden.

Richtlinien für die IPv4-UnicastadressierungWenn Sie den Subnetzen einer Organisation Netzwerk-IDs zuweisen, verwenden Sie dabei die folgenden Richtlinien:

• Die Netzwerk-ID muss innerhalb des IPv4-Netzwerks eindeutig sein.

Wenn Hosts über das Subnetz direkt auf das Internet zugreifen können, müssen Sie einvon der ICANN oder von einem ISP (Internet Service Provider) zugewiesenes öffentlichesIPv4-Adresspräfix verwenden. Wenn Hosts über das Subnetz nicht direkt auf das Internetzugreifen können, verwenden Sie entweder ein zulässiges öffentliches Adresspräfix oderein privates Adresspräfix, das innerhalb des privaten Intranets eindeutig ist.

• Die Netzwerk-ID darf nicht mit den Zahlen 0 oder 127 beginnen.

Beide Werte für das erste Oktett sind reserviert, und Sie können diese nicht fürIPv4-Unicastadressen verwenden.

Wenn Sie den Schnittstellen von Knoten in einem IPv4-Subnetz Host-IDs zuweisen, verwenden Sie dabei die folgenden Richtlinien:

• Die Host-ID muss innerhalb des Subnetzes eindeutig sein.

• Sie können nicht die Host-IDs verwenden, die nur aus Nullen oder nur aus Einsenbestehen.

Wenn Sie den Bereich zulässiger IPv4-Unicastadressen für ein gegebenes Adresspräfixdefinieren, verwenden Sie dabei die folgende Standardvorgehensweise:

• Legen Sie für die erste IPv4-Unicastadresse im Bereich für alle Hostbit in der Adresse denWert 0 fest, ausgenommen für das niederwertige Bit, für das Sie den Wert 1 angeben.

• Legen Sie für die letzte IPv4-Unicastadresse im Bereich für alle Hostbit in der Adresse denWert 1 fest, ausgenommen für das niederwertige Bit, für das Sie den Wert 0 angeben.

Wenn Sie z. B. den Adressbereich für das Adresspräfix 192.168.16.0/20 darstellen möchten:

• Die erste IPv4-Unicastadresse im Bereich lautet 11000000 10101000 00010000 00000001 (Hostbit sind fett dargestellt) oder 192.168.16.1.

• Die letzte IPv4-Unicastadresse im Bereich lautet 11000000 10101000 00011111 11111110 (Hostbit sind fett dargestellt) oder 192.168.31.254.

Deshalb reicht der Bereich der Adressen für das Adresspräfix 192.168.16.0/20 von192.168.16.1 bis 192.168.21.254.

IPv4-MulticastadressenIPv4 verwendet Multicastadressen, um einzelne Pakete von einer Quelle an viele Ziele zu liefern. In einem multicastfähigen IPv4-Intranet leiten die Router ein an eineIPv4-Multicastadresse gerichtetes IPv4-Paket an die Subnetze weiter, in denen Hosts den Datenverkehr überwachen, der an die IPv4-Multicastadresse gesendet wird. IPv4-Multicastingüberträgt viele Arten der Kommunikation effizient von einer Quelle zu vielen Zielen.

IPv4-Multicastadressen sind durch Internetadressklassen der Klasse D definiert: 224.0.0.0/4. IPv4-Multicastadressen liegen im Bereich von 224.0.0.0 bis 239.255.255.255. IPv4-Multicastadressen für das Adresspräfix 224.0.0.0/24 (224.0.0.0 bis 224.0.0.255) sindfür den Multicastverkehr in einem lokalen Subnetz reserviert.

IPv4-BroadcastadressenIPv4 verwendet eine Reihe von Broadcastadressen, um Pakete von einer Quelle an alle Schnittstellen im Subnetz zu liefern. Alle Schnittstellen im Subnetz verarbeiten Pakete, die an IPv4-Broadcastadressen gesendet wurden. Nachfolgend sind Sie die Arten von IPv4-Broadcastadressen aufgeführt:

• Netzwerkbroadcast

Gebildet durch das Festlegen aller Hostbit auf den Wert 1 für ein klassenbezogenesAdresspräfix. Beispielsweise ist 131.107.255.255 eine Netzwerkbroadcastadresse für dieklassenbezogene Netzwerk-ID 131.107.0.0/16. Netzwerkbroadcasts senden Pakete an alle Schnittstellen eines klassenbezogenen Netzwerks. Netzwerkbroadcastpakete werden von IPv4-Routern nicht weitergeleitet.

• Subnetzbroadcast

Gebildet durch das Festlegen aller Hostbit auf den Wert 1 für ein klassenlosesAdresspräfix. Beispielsweise ist 131.107.26.255 eine Netzwerkbroadcastadresse für dieklassenlose Netzwerk-ID 131.107.26.0/24. Subnetzbroadcasts werden zum Senden von Paketen an alle Hosts eines klassenlosen Netzwerks verwendet. Subnetzbroadcastpakete werden von IPv4-Routern nicht weitergeleitet.

Für ein klassenbezogenes Adresspräfix existiert keine Subnetzbroadcastadresse, sondernnur eine Netzwerkbroadcastadresse. Für ein klassenloses Adresspräfix existiert keineNetzwerkbroadcastadresse, sondern nur eine Subnetzbroadcastadresse.

• Durch alle Subnetze geleiteter Broadcast (All-Subnets-Directed Broadcast)

Gebildet durch das Festlegen der Hostbit der klassenbezogenen Netzwerk-ID auf den Wert 1 für ein klassenloses Adresspräfix. Die Broadcastadresse für alle Subnetzhosts wurde inRFC 1812 abgelehnt. Ein Paket für diese Adresse sollte alle Hosts in allen Subnetzen einerklassenbezogenen Netzwerk-ID erreichen, die in Subnetze unterteilt wurde. Die Adresse 131.107.255.255 ist z. B. die Broadcastadresse für alle Hosts der unterteilten Netzwerk-ID131.107.26.0/24. Die Broadcastadresse für alle Subnetzhosts ist dieNetzwerkbroadcastadresse der ursprünglichen klassenbezogenen Netzwerk-ID.

• Begrenzter Broadcast

Gebildet durch das Festlegen aller 32 Bit der IPv4-Adresse auf den Wert 1 (255.255.255.255). Die begrenzte Broadcastadresse wird für 1:M-Zustellungen (M=Alle)im lokalen Subnetz verwendet, wenn die lokale Netzwerk-ID nicht bekannt ist. IPv4-Knoten verwenden die begrenzte Broadcastadresse normalerweise nur währendeines automatisierten Konfigurationsprozesses, z. B. BOOTP (Boot Protocol) oder DHCP. Ein DHCP-Client muss z. B. die begrenzte Broadcastadresse für sämtlichen Datenverkehrverwenden, der gesendet wurde, bevor der DHCP-Server die Verwendung der angebotenen IPv4-Adresskonfiguration bestätigt hat.

Zum Seitenanfang

IPv6-AdressierungDer offensichtlichste Unterschied zwischen IPv6 und IPv4 ist die Länge der Adresse. EineIPv6-Adresse besteht aus 128 Bit und ist somit vier Mal länger als eine IPv4-Adresse. Der

32-Bit-Adressraum bietet 232 oder 4.294.967.296 mögliche Adressen. Der

128-Bit-Adressraum bietet 2128 oder

340.282.366.920.938.463.463.374.607.431.768.211.456 (oder 3,4x1038) möglicheAdressen.

Der IPv4-Adressraum wurde Ende der 70er entworfen, in einem Zeitraum, als sich kaum jemand bzw. niemand vorstellen konnte, dass dieser Adressraum einst erschöpft sein kann.Aufgrund der ursprünglichen Reservierung von auf Internetadressklassen basierendenNetzwerk-IDs und der in den letzten Jahren immens gestiegenen Anzahl von Hosts im Internet wurde der IPv4-Adressraum so weit belegt, dass bereits 1992 offensichtlich war, dass ein Ersatz erforderlich ist.

Mit IPv6 ist es noch schwerer vorstellbar, dass der IPv6-Adressraum aufgebraucht wird. Damit dies leichter in Relation zu setzen ist: Ein 128-Bit-Adressraum bietet für jeden

Quadratmeter der Erdoberfläche 655.570.793.348.866.943.898.599 (6,5x1023) Adressen. Die Entscheidung, dass der IPv6-Adressraum eine Länge von 128-Bit erhält, ergab sich nicht

aus der Anforderung, dass jeder Quadratmeter der Erde 6,5x1023 Adressen aufweisen muss. Stattdessen wurde der relativ große IPv6-Adressraum für eine effiziente Adresszuweisungund ein effizientes Routing entwickelt, die die Topologie des modernen Internets widerspiegeln. Außerdem wurde ein derart großer Adressraum entworfen, um64-Bit-MAC-Adressen (Media Access Control) aufnehmen zu können, die von neuerenNetzwerktechnologien verwendet werden. Die Verwendung der 128 Bit ermöglicht mehrereHierarchieebenen sowie die Flexibilität beim Entwerfen einer hierarchischen Adressierung undeines hierarchischen Routings, die dem auf IPv4 basierenden Internet fehlen.

RFC 3513 beschreibt die IPv6-Adressierungsarchitektur.

IPv6-AdresssyntaxIPv4-Adressen werden in der Punkt-Dezimalnotation dargestellt. Bei IPv6 ist die 128-Bit-Adresse in 16-Bit-Grenzen unterteilt, wobei jeder 16-Bit-Block in eine aus vier Ziffern bestehende Hexadezimalzahl konvertiert wird (Zahlensystem zur Basis16) und die einzelnen16-Bit-Blöcke durch Doppelpunkte getrennt sind. Die sich ergebende Darstellung ist alsDoppelpunkt-Hexadezimalnotation bekannt.

Eine IPv6-Adresse im Binärformat sieht wie folgt aus:

0011111111111110001010010000000011010000000001010000000000000000

0000001010101010000000001111111111111110001010001001110001011010

Die 128-Bit-Adresse ist in 16-Bit-Gruppen aufgeteilt:

0011111111111110 0010100100000000 1101000000000101 0000000000000000 0000001010101010 0000000011111111 1111111000101000 1001110001011010

Jeder aus 16 Bit bestehende Block wird in die Hexadezimalnotation konvertiert, wobei benachbarte Blöcke durch Doppelpunkte getrennt werden. Dadurch ergibt sich Folgendes:

3FFE:2900:D005:0000:02AA:00FF:FE28:9C5A

Die IPv6-Darstellung kann noch weiter vereinfacht werden, indem die führenden Nullen inden einzelnen 16-Bit-Blöcken entfernt werden. Jeder Block muss jedoch mindestens eineZiffer enthalten. Wenn die führenden Nullen ausgelassen werden, ergibt sich die folgendeAdresse:

3FFE:2900:D005:0:2AA:FF:FE28:9C5A

Konvertieren zwischen Binär- und HexadezimalnotationDas hexadezimale Zahlensystem verwendet die Ziffern 0 bis 9, A, B, C, D, E und F sowie die Potenzen von 16, um eine Zahl darzustellen. In Tabelle 3-4 sind die dezimalen, hexadezimalen und binären Äquivalente der Zahlen 0-15 aufgeführt.

Dezimal Hexadezimal Binär

0 0 0000

Dezimal Hexadezimal Binär

1 1 0001

2 2 0010

3 3 0011

4 4 0100

5 5 0101

6 6 0110

7 7 0111

8 8 1000

9 9 1001

10 A 1010

11 B 1011

12 C 1100

13 D 1101

14 E 1110

15 F 1111

Tabelle 3-4 Dezimale, hexadezimale und binäre Konvertierungen

Wenn Sie eine hexadezimale Zahl in eine binäre Zahl konvertieren möchten, wandeln Siejede hexadezimale Ziffer in das aus 4 Bit bestehende Äquivalent um. Wenn Sie z. B. diehexadezimale Zahl 0x03D8 in das Binärformat konvertieren möchten, wandeln Sie jedehexadezimale Ziffer (0, 3, D und 8) in das Binärformat um. Daher ergibt 0x03D8 die binäreZahl 0000 0011 1101 1000 oder 0000001111011000.

Wenn Sie eine binäre Zahl in eine hexadezimale Zahl konvertieren möchten, segmentierenSie die binäre Zahl in 4-Bit-Blöcke, wobei Sie mit dem niederwertigen Bit beginnen.Konvertieren Sie anschließend jeden aus 4 Bit bestehenden Block in sein hexadezimalesÄquivalent. Zum Konvertieren der binären Zahl 0110000110101110 in das hexadezimaleFormat unterteilen Sie zuerst die gesamte Zahl in 4-Bit-Blöcke, wodurch sich 0110 00011010 1110 ergibt. Anschließend konvertieren Sie jeden Block in hexadezimale Ziffern undsomit zu 0x61AE.

Obwohl Sie auch den Rechner der Betriebssysteme Windows Server 2003 oder Windows XPfür das Konvertieren zwischen Hexadezimal- und Binärzahlen verwenden können, ist derVorgang leichter zu verstehen, wenn er manuell durchgeführt wird. Für die Konvertierungzwischen dezimalen und hexadezimalen Zahlen, die für IPv6-Adressen selten erforderlich ist,verwenden Sie den Windows-Rechner.

Komprimieren von NullenEinige Adresstypen enthalten lange Folgen von Nullen. Damit die Darstellung von IPv6-Adressen weiter vereinfacht wird, können Sie einzelne, fortlaufende Folgen von16-Bit-Blöcken, die den Wert 0 besitzen, in der Doppelpunkt-Hexadezimalnotation zu "::"zusammenfassen (Doppelter Doppelpunkt).

Sie können z. B. die IPv6-Unicastadresse FE80:0:0:0:2AA:FF:FE9A:4CA2 zuFE80::2AA:FF:FE9A:4CA2 sowie die IPv6-Multicastadresse FF02:0:0:0:0:0:0:2 zu FF02::2 komprimieren.

Sie können die Komprimierung von Nullen nur zum Komprimieren einer einzelnen,fortlaufenden Folge von 16-Bit-Blöcken verwenden, die in derDoppelpunkt-Hexadezimalnotation dargestellt sind. Sie können die Komprimierung von Nullennicht zum Einbeziehen eines Teils von 16-Bit-Blöcken verwenden. Die DarstellungFF02:30:0:0:0:0:0:5 kann z. B. nicht als FF02:3::5 angegeben werden.

Wenn Sie die Anzahl der Nullen ermitteln möchten, die durch "::" dargestellt werden, könnenSie die Anzahl der Blöcke im der komprimierten Adresse zählen, diese Zahl von 8subtrahieren und das Ergebnis dann mit 16 multiplizieren. Die Adresse FF02::2 besitzt z. B.zwei Blöcke (den Block "FF02" und den Block "2"), somit wurden die anderen sechs

16-Bit-Blöcke (96 Bit insgesamt) komprimiert.

Sie können die Komprimierung von Nullen in einer gegebenen Adresse nur ein Malverwenden. Andernfalls können Sie die Anzahl der 0 Bit nicht ermitteln, die durch dieeinzelnen Instanzen von "::" dargestellt werden. Wenn eine Adresse zwei Folgen von aus Nullen bestehenden Blöcken derselben Länge enthält und keine Folge von aus Nullenbestehenden Blöcken länger ist, dann wird der am weitesten links stehende Block gemäßKonvention als "::" dargestellt.

IPv6-AdresspräfixeSie stellen IPv6-Adressbereiche auf dieselbe Weise als Adresspräfixe dar, wie bei denIPv4-Adressbereichen unter Verwendung der Präfixlängennotation. FF00::/8 ist z. B. einAdressbereich, 3FFE:FFFF::/32 ist ein Routenpräfix und 3FFE:FFFF:0:2F3B::/64 ist einSubnetzpräfix. Adresspräfixe werden nicht mithilfe einesDoppelpunkt-Hexadizimal-Äquivalents einer IPv4-Subnetzmaske dargestellt.

Typen von IPv6-AdressenIPv6 verfügt über drei Adresstypen:

• Unicast

Eine Unicastadresse kennzeichnet eine einzelne Schnittstelle im Bereich des Unicastadresstyps. Mit der geeigneten Unicastroutingtopologie werden an Unicastadressen gerichtete Pakete an eine einzelne Schnittstelle geliefert. Eine Unicastadresse wird für dieKommunikation von einer Quelle mit einem einzelnen Ziel (1:1) verwendet.

• Multicast

Eine Multicastadresse kennzeichnet mehrere Schnittstellen. Mit der geeigneten Multicastroutingtopologie werden an Multicastadressen gerichtete Pakete an alle Schnittstellen geliefert, die von der Adresse bezeichnet werden. Eine Multicastadresse wird für die Kommunikation zwischen einer Quelle und vielen Zielen (1:N) mit Lieferung anmehrere Schnittstellen verwendet.

• Anycast

Eine Anycastadresse kennzeichnet mehrere Schnittstellen. Mit der geeigneten Anycastroutingtopologie werden an Anycastadressen gerichtete Pakete an eine einzelne Schnittstelle geliefert, wobei es sich um die nächstliegende Schnittstelle handelt, die vonder Adresse bezeichnet wird. Als "nächstliegende" Schnittstelle wird die Schnittstelle mitder geringsten Routingentfernung (dem kürzesten Pfad) bezeichnet. Eine Anycastadressewird für die Kommunikation zwischen einer Quelle und einem von mehreren Zielen mitLieferung an eine einzelne Schnittstelle verwendet.

IPv6-Adressen kennzeichnen immer Schnittstellen, keine Knoten. Ein Knoten wird durch eine Unicastadresse gekennzeichnet, die einer seiner Schnittstellen zugeordnet ist.

RFC 3513 definiert keine Typen von Broadcastadressen. Stattdessen werden IPv6-Multicastadressen verwendet. Die Subnetz- und begrenzten Broadcastadressen von IPv4 werden z. B. durch die reservierte IPv6-Multicastadresse FF02::1 ersetzt.

IPv6-UnicastadressenNachfolgend sind Sie die Arten von IPv6-Unicastadressen aufgeführt:

• Globale Unicastadressen

• Verbindungslokale Adressen

• Standortlokale Adressen

• Spezielle IPv6-Adressen

• Kompatibilitätsadressen

Globale UnicastadressenGlobale Unicastadressen sind mit öffentlichen IPv4-Adressen vergleichbar. Sie sind globalrouterfähig und im IPv6-Bereich des Internets erreichbar, der als IPv6 Internet bekannt ist.

Globale Unicastadressen können aggregiert oder zusammengefasst werden, um eineeffiziente Routinginfrastruktur zu erzeugen. Das momentan auf IPv4 basierende Internet ist eine Mischung aus flachem und hierarchischem Routing, aber das auf IPv6 basierende Internet wurde von Grund auf dazu entworfen, eine effiziente und hierarchische Adressierung

sowie ein effizientes und hierarchisches Routing zu unterstützen. Globale Unicastadressensind in ihrem Gültigkeitsbereich eindeutig, bei dem es sich um das gesamte IPv6-Internethandelt.

In Abbildung 3-7 wird die allgemeine Struktur einer globalen Unicastadresse veranschaulicht, wie sie in RFC 3587 definiert ist.

Abbildung 3-7 Struktur einer globalen Unicastadressegemäß Definition in RFC 3587Bild maximieren

In Abbildung 3-8 wird die Struktur von globalen Unicastadressen veranschaulicht, die von IANA zum Zeitpunkt der Erstellung dieses Dokuments zugewiesen wurde, wie in RFC 3587 definiert.

Abbildung 3-8 Globale Unicastadressen, die momentanvon IANA zugewiesen werdenBild maximieren

Folgende Felder werden in globalen Unicastadressen verwendet:

• Fester Anteil (festgelegt auf 001)

Die drei höherwertigen Bit werden auf den Wert 001 festgelegt. Das Adresspräfix fürmomentan zugewiesene globale Adressen lautet 2000::/3.

• Globales Routingpräfix

Das globale Routingpräfix kennzeichnet den Standort einer bestimmten Organisation. DieKombination aus den drei festen Bit und dem aus 45-Bit bestehenden globalenRoutingpräfix wird zum Erstellen eines 48-Bit-Standortadresspräfixes verwendet, das deneinzelnen Standorten einer Organisation zugewiesen wird. Nach der Zuordnung leiten die Router im IPv6-Internet den IPv6-Datenverkehr, der mit dem aus 48 Bit bestehendenAdresspräfix übereinstimmt, an die Router des Standorts der Organisation weiter.

• Subnetz-ID

Die Subnetz-ID kennzeichnet die Subnetze am Standort einer Organisation. Dieses Feld ist 16 Bit lang. Die Organisation kann mithilfe dieser 16 Bit 65.536 Subnetze an einem Standort oder mehrere Ebenen einer Adressierungshierarchie sowie eine effiziente Routinginfrastruktur erstellen.

• Schnittstellen-ID

Die Schnittstellen-ID kennzeichnet eine Schnittstelle im Subnetz eines Standorts. Dieses Feld ist 64 Bit lang.

Die Adresse 3FFE:FFFF:2A3C:F282:2B0:D0FF:FEE9:4143 ist z. B. eine globaleIPv6-Unicastadresse. Innerhalb dieser Adresse gilt Folgendes:

• 3FFE:FFFF:2A3C gibt den Standort einer Organisation an

• F282 kennzeichnet ein Subnetz an diesem Standort

• 2B0:D0FF:FEE9:4143 kennzeichnet eine Schnittstelle im Subnetz an diesem Standort

Die Felder in der globalen Unicastadresse (wie in RFC 3587 definiert) erstellen eine Struktur mit drei Ebenen, wie in Abbildung 3-9 gezeigt.

Abbildung 3-9 Die aus drei ebenen bestehende Struktureiner globalen Unicastadresse gemäß der Definition inRFC 3587Bild maximieren

Die öffentliche Topologie ist die Auflistung größerer und kleinerer ISPs, die den Zugang zumIPv6-Internet bereitstellen und der Organisationen, die eine Verbindung zum IPv6-Internet herstellen. Die Standorttopologie ist die Auflistung der Subnetze am Standort der Organisation. Der Schnittstellenbezeichner kennzeichnet eine bestimmte Schnittstelle im Subnetz am Standort einer Organisation.

Lokal verwendete Unicastadressen können in zwei Kategorien eingeteilt werden:

• Verbindungslokale Adressen (Link-local) werden zwischen On-Link-Nachbarn und für dieNachbarerkennungsprozesse (Neighbor Discovery) verwendet, die festlegen, wie Knoten in einem IPv6-Subnetz mit Hosts und Routern in Wechselbeziehung stehen.

• Standortlokale Adressen (Site-local) werden zwischen Knoten verwendet, die mit anderen Knoten desselben Standorts im Intranet einer Organisation kommunizieren.

Verbindungslokale Adressen (Link-local)Knoten verwenden verbindungslokale Adressen für die Kommunikation mit benachbartenKnoten auf derselben Verbindung, auch als Subnetz bekannt. In einem IPv6-Netzwerk mit einzelner Verbindung und ohne Router werden verbindungslokale Adressen für dieKommunikation zwischen Hosts der Verbindung verwendet. Verbindungslokale Adressen entsprechen APIPA IPv4-Adressen, die automatisch auf Computern konfiguriert wurden, die Windows ausführen. Der Gültigkeitsbereich einer verbindungslokalen Adresse (der Bereichdes Netzwerks, in dem die Adresse eindeutig ist) ist die lokale Verbindung.

Eine verbindungslokale Adresse ist für die Prozesse zur Nachbarerkennung (NeighborDiscovery) erforderlich und wird immer automatisch konfiguriert, auch wenn alle anderen Unicastadressen nicht vorhanden sind.

In Abbildung 3-10 wird die Struktur einer verbindungslokalen Adresse (Link-local) veranschaulicht.

Abbildung 3-10 Die Struktur einer verbindungslokalenAdresse (Link-local)Bild maximieren

Da die ersten 64 Bit der verbindungslokalen Adresse feststehend sind, wird als Adresspräfixfür alle verbindungslokalen Adressen FE80::/64 verwendet.

Ein IPv6-Router leitet verbindungslokalen Datenverkehr niemals über die Verbindung hinausweiter.

Standortlokale Adressen (Site-local)Standortlokale Adressen entsprechen dem privaten IPv4-Adressraum. Private Intranets, die keine direkte, geroutete Verbindung zum IPv6-Internet besitzen, können standortlokaleAdressen verwenden, ohne mit globalen Adressen in Konflikt zu geraten. Standortlokale Adressen sind von anderen Standorten aus nicht erreichbar und die Router dürfenstandortlokalen Datenverkehr nicht außerhalb des Standorts leiten. Standortlokale Adressenkönnen zusätzlich zu globalen Adressen verwendet werden. Der Gültigkeitsbereich einerstandortlokalen Adresse ist ein Standort (ein Teil eines Organisationsnetzwerks, der definierte geografische oder topologische Grenzen oder begrenzte Netzwerkbandbreiten aufweist).

Im Gegensatz zu den verbindungslokalen Adressen werden die standortlokalen Adressen nicht automatisch konfiguriert und müssen daher über eine statusfreie oder statusbezogeneAdresskonfiguration zugewiesen werden.

In Abbildung 3-11 wird die Struktur einer standortlokalen Adresse (Site-local)

veranschaulicht.

Abbildung 3-11 Die Struktur einer standortlokalenAdresse (Site-local)Bild maximieren

Die ersten 10 Bit der standortlokalen Adressen sind fest und besitzen den Wert 1111 1110 11. Daher ist das Adresspräfix für alle standortlokalen Adressen FEC0::/10. Außer den 10höherwertigen, festen Bit befindet sich in der Adresse ein Feld für eine aus 54 Bit bestehendeSubnetz-ID, das Sie zum Erstellen von Subnetzen in der Organisation verwenden können. Mit

den 54 Bit können Sie bis zu 254 Subnetze in einer ebenen Subnetzstruktur erstellen, oder die höherwertigen Bit des Felds für die Subnetz-ID weiter unterteilen, um eine hierarchischeund zusammenfassbare Routinginfrastruktur zu erstellen. Hinter dem Feld mit der Subnetz-ID befindet sich ein aus 64 Bit bestehendes Feld für die Schnittstellen-ID, das einebestimmte Schnittstelle in einem Subnetz kennzeichnet.

Hinweis Ein Internetentwurf mit dem Titel "Deprecating Site Local Addresses"(draft-ietf-ipv6-deprecate-site-local-0x.txt, nur auf Englisch verfügbar) lehnt die Verwendungvon standortlokalen Adressen für zukünftige IPv6-Implementierungen ausdrücklich ab.Vorhandene Implementierungen von IPv6 können weiterhin standortlokale Adressenverwenden, bis ein standardisierter Ersatz gefunden wurde. Es wurde jetzt eine aktualisierte Version des Standards der IPv6-Adressierungsarchitektur als Internetentwurf veröffentlicht(draft-ietf-ipv6-addr-arch-v4-0x.txt, nur auf Englisch verfügbar), die die Ablehnungstandortlokaler Adressen umfasst. Dieser Internetentwurf für den Standard derIPv6-Adressierung macht RFC 3513 überflüssig.

Zonen-IDs für lokal verwendete AdressenLokal verwendete Adressen sind im Intranet einer Organisation nicht eindeutig. Verbindungslokale Adressen können pro Verbindung (Subnetz) dupliziert werden.Standortlokale Adressen können pro Standort dupliziert werden. Beim Festlegen einerverbindungslokalen Adresse müssen Sie daher die Verbindung angeben, in der sich das Zielbefindet. Beim einer standortlokalen Adresse müssen Sie bei Verwendung mehrererStandorte den Standort festlegen, an dem sich das Ziel befindet. Sie verwenden eine Zonen-ID, um den Teil oder die Zone des Netzwerks anzugeben, in dem das Ziel erreichbar ist. Für die Befehle Ping, Tracert und Pathping lautet die Syntax zum Festlegen einer Zonen-ID IPv6-Adresse%Zonen-ID.

Für verbindungslokale Ziele entspricht Zonen-ID normalerweise dem Schnittstellenindex der Schnittstelle, die der Verbindung zugeordnet ist, in der sich das Ziel befindet. Der Schnittstellenindex ist die einer IPv6-Schnittstelle zugeordnete interne Nummer, die über dieAnzeige des Befehls netsh interface ipv6 show interface sichtbar ist. Für standortlokaleAdressen entspricht Zonen-ID der Standortnummer, die über die Anzeige des Befehls netsh interface ipv6 show address level=verbose sichtbar ist. Werden nicht mehrere Standorte verwendet, ist eine Zonen-ID für standortlokale Adressen nicht erforderlich. DerParameter Zonen-ID ist nicht erforderlich, wenn das Ziel eine globale Unicastadresse ist.

Spezielle IPv6-AdressenNachfolgend sind spezielle IPv6-Adressen aufgelistet:

• Nicht spezifizierte Adresse

Die nicht spezifizierte Adresse (0:0:0:0:0:0:0:0 oder ::) zeigt an, dass keine Adresse vorhanden ist und sie entspricht der nicht spezifizierten Adresse 0.0.0.0 von IPv4. Die nicht spezifizierte Adresse wird normalerweise als Quelladresse für Pakete verwendet, dieversuchen, die Eindeutigkeit einer vorläufigen Adresse zu bestätigen. Die nicht spezifizierteAdresse wird niemals einer Schnittstelle zugewiesen oder als Zieladresse verwendet.

• Loopbackadresse

Die Loopbackadresse (0:0:0:0:0:0:0:1 oder ::1) kennzeichnet eine Loopbackschnittstelle. Mithilfe dieser Adresse kann ein Knoten Pakete an sich selbst senden und sie entspricht der Loopbackadresse 127.0.0.1 von IPv4. An die Loopbackadresse gerichtete Pakete werden niemals über eine Verbindung gesendet oder von einem IPv6-Routerweitergeleitet.

Kompatibilitätsadressen

Die folgenden Adressen sind festgelegt, um beim Übergang von IPv4 zu IPv6 zu helfen:

• IPv4-kompatible Adresse

Die IPv4-kompatible Adresse, 0:0:0:0:0:0:w.x.y.z oder ::w.x.y.z (wobei w.x.y.z die Punkt-Dezimalnotation einer öffentlichen IPv4-Adresse darstellt) wird vonIPv6/IPv4-Knoten verwendet, bei denen die Kommunikation über IPv6 erfolgt.IPv6/IPv4-Knoten sind Knoten mit beiden Protokollen (IPv4 und IPv6). Wenn die IPv4-kompatible Adresse als IPV6-Ziel verwendet wird, erfolgt automatisch die Kapselung des IPv6-Datenverkehrs mit einem IPv4-Header und der Datenverkehr wird dann unter Verwendung der IPv4-Infrastruktur an das Ziel gesendet. IPv6 für Windows Server 2003und Windows XP unterstützt IPv4-kompatible Adressen, die jedoch standardmäßigdeaktiviert sind.

• IPv4-Adresse im IPv6-Format (IPv4 mapped)

Eine IPv4-Adresse im IPv6-Format, 0:0:0:0:0:FFFF:w.x.y.z oder ::FFFF:w.x.y.z,repräsentiert einen reinen IPv4-Knoten als IPv6-Knoten. Die IPv4-Adressen imIPv6-Format werden nur für die interne Darstellung verwendet. Die IPv4-Adresse imIPv6-Format wird niemals als Quell- oder Zieladresse eines IPv6-Pakets verwendet. IPv6für Windows Server 2003 und Windows XP unterstützt keine IPv4-Adressen imIPv6-Format.

• 6to4-Adresse

Die 6to4-Adresse wird für die Kommunikation zwischen zwei Knoten verwendet, diesowohl IPv4 als auch IPv6 über das Internet ausführen. Sie bilden die 6to4-Adresse durchKombinieren des globalen Präfixes 2..2::/16 mit den 32 Bit einer öffentlichen IPv4-Adressedes Knotens, wodurch ein aus 48 Bit bestehendes Präfix entsteht. 6to4 ist eineIPv6-Übergangstechnologie, die in RFC 3056 beschrieben wird.

• ISATAP-Adresse

Der Internetentwurf mit dem Titel "Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)" (nur auf Englisch verfügbar) definiert ISATAP-Adressen, die zwischen zweiKnoten eingesetzt werden, die sowohl IPv4 als auch IPv6 über ein privates Intraneteinsetzen. ISATAP-Adressen verwenden die lokal verwaltete Schnittstellen-ID ::0:5EFE:w.x.y.z, wobei w.x.y.z eine beliebige öffentliche oder private IPv4-Unicastadressedarstellt. Sie können die ISATAP-Schnittstellen-ID mit einem beliebigen 64-Bit-Präfixkombinieren, das für IPv6-Unicastadressen zulässig ist, einschließlich demverbindungslokalen Präfix (FE80::/64), den standortlokalen Präfixen und den globalenPräfixen.

• Teredo-Adresse

Die Teredo-Adresse wird für die Kommunikation zwischen zwei Knoten verwendet, diesowohl IPv4 als auch IPv6 über das Internet ausführen, wenn sich einer oder beideEndpunkte hinter einem IPv4 NAT-Gerät (Network Address Translation) befinden. Siebilden die Teredo-Adresse durch Kombinieren eines aus 32 Bit bestehendenTeredo-Präfixes mit der öffentlichen IPv4-Adresse eines Teredo-Servers und andererElemente. Teredo ist eine IPv6-Übergangstechnologie, die im Internetentwurf "Teredo:Tunneling IPv6 over UDP through NATs" (nur auf Englisch verfügbar) beschrieben wird.

IPv6-SchnittstellenbezeichnerDie letzten 64 Bit einer IPv6-Unicastadresse stellen den Schnittstellenbezeichner dar, der fürdas aus 64 Bit bestehende Präfix der IPv6-Adresse eindeutig ist.IPv6-Schnittstellenbezeichner werden wie folgt ermittelt:

• Ein 64-Bit-Schnittstellenbezeichner, der von der EUI-64-Adresse (Extended Unique Identifier) abgeleitet ist.

• Ein zufällig generierter Schnittstellenbezeichner, der sich im Laufe der Zeit ändert, umeinen gewissen Grad an Anonymität zu bieten.

• Ein Schnittstellenbezeichner, der während der statusbezogenen, automatischenKonfiguration der Adresse (z. B. über DHCPv6 [Dynamic Host Configuration Protocol for IPVersion 6]) zugewiesen wird.

EUI-64-Adressen-basierte SchnittstellenbezeichnerRFC 3513 gibt an, dass alle Unicastadressen, die die Präfixe 001 bis 111 verwenden,ebenfalls einen aus 64 Bit bestehenden Schnittstellenbezeichner verwenden müssen, der vonder EUI-64-Adresse abgeleitet wurde, einer von der IEEE definierten 64-Bit-Adresse.

EUI-64-Adressen werden entweder einem Netzwerkadapter zugewiesen oder von IEEE 802-Adressen abgeleitet.

Ein traditioneller Schnittstellenbezeichner für einen Netzwerkadapter verwendet eine48-Bit-Adresse, die auch als IEEE 802-Adresse bezeichnet wird. Er besteht aus einer 24-Bit-Firmen-ID (auch als Hersteller-ID bezeichnet) und einer 24-Bit-Erweiterungs-ID (auch als Karten-ID bekannt). Die Kombination aus Firmen-ID, die jedem Hersteller von Netzwerkadaptern eindeutig zugeordnet wird, und der Karten-ID, die jedem Netzwerkadapter bei der Herstellung eindeutig zugewiesen wird, erzeugt eine global eindeutige 48-Bit-Adresse. Diese 48-Bit-Adresse nennt man auch physische Adresse, Hardwareadresse oder MAC-Adresse (Media Access Control).

Abbildung 3-12 zeigt die Struktur der 48-Bit großen IEEE 802-Adresse.

Abbildung 3-12 Struktur der 48-Bit großenIEEE 802-AdresseBild maximieren

Folgende Bits sind in der IEEE 802-Adresse definiert:

• Universal/Local (U/L)

Das neben dem niederwertigsten Bit des ersten Bytes stehende Bit zeigt an, ob die Adresse allgemeingültig oder lokal verwaltet wird. Wenn das U/L-Bit auf 0 gesetzt ist,wurde die Adresse von IEEE über die Bestimmung einer eindeutigen Firmen-ID verwaltet.Wenn das U/L-Bit auf 1 gesetzt ist, wird die Adresse lokal verwaltet. DerNetzwerkadministrator hat die Herstelleradresse überschrieben und eine andere Adresseangegeben. Das U/L-Bit wird über das u in Abbildung 3-12 bestimmt.

• Individual/Group (I/G)

Über das niederwertigste Bit des ersten Bytes wird angezeigt, ob es sich bei der Adresseum eine individuelle Adresse (Unicast) oder eine Gruppenadresse (Multicast) handelt. Wenn das Bit auf 0 gesetzt ist, handelt es sich um eine Unicastadresse. Ist es auf 1gesetzt, handelt es sich um eine Multicastadresse. Das I/G-Bit wird über das g inAbbildung 3-12 bestimmt.

Bei einer standardmäßigen 802-Netzwerkadapteradresse sind die U/L- und die I/G-Bits auf 0gesetzt, was einer allgemeingültig verwalteten Unicast-MAC-Adresse entspricht.

Die IEEE EUI-64-Adresse stellt einen neuen Standard für dieNetzwerkschnittstellenadressierung dar. Die Größe der Firmen-ID beträgt weiterhin 24 Bit,die der Erweiterungs-ID jedoch 40 Bit. Somit wird ein wesentlich größerer Adressbereich füreinen Netzwerkadapterhersteller geschaffen. Bei der EUI-64-Adresse werden die U/L- und I/G-Bits auf die gleiche Weise verwendet wie bei der IEEE 802-Adresse.

Abbildung 3-13 zeigt die Struktur der EUI-64-Adresse.

Abbildung 3-13 Struktur der EUI-64-AdresseBild maximieren

In Abbildung 3-14 wird veranschaulicht, wie eine EUI-64-Adresse aus einer IEEE 802-Adresse erstellt wird. Sie fügen die 16 Bit 11111111 11111110 (0xFFFE) in der IEEE802-Adresse zwischen der Firmen-ID und der Erweiterungs-ID ein.

Abbildung 3-14 Konvertieren einer IEEE 802-Adresse ineine EUI-64-AdresseBild maximieren

Um den 64-Bit-Schnittstellenbezeichner für IPv6-Unicastadressen abzurufen, wird das U/L-Bitin der EUI-64-Adresse komplementiert. (Wenn es auf 1 gesetzt ist, wird es in 0 geändert;wenn es auf 0 gesetzt ist, wird es in 1 geändert). Abbildung 3-15 zeigt die Konvertierungeiner allgemeingültig verwalteten Unicast-EUI-64-Adresse.

Abbildung 3-15 Konvertieren einer allgemeingültigverwalteten Unicast-EUI-64-Adresse in einen IPv6-SchnittstellenbezeichnerBild maximieren

Um einen IPv6-Schnittstellenbezeichner aus einer IEEE 802-Adresse abzurufen, müssen Siezuerst die IEEE 802-Adresse einer EUI-64-Adresse zuordnen und dann das U/L-Bitkomplementieren. Abbildung 3-16 zeigt die Konvertierung einer allgemeingültig verwaltetenUnicast IEEE 802-Adresse.

Abbildung 3-16 Konvertieren einer allgemeingültigverwalteten Unicast IEEE 802-Adresse in einen IPv6-SchnittstellenbezeichnerBild maximieren

Beispiel für eine IEEE 802-AdresskonvertierungHost A hat die Ethernet-MAC-Adresse 00-AA-00-3F-2A-1C. Zuerst wird diese in dasEUI-64-Format umgewandelt, indem zwischen dem dritten und vierten Byte FF-FE eingefügtwird, so dass die Adresse nun 00-AA-00-FF-FE-3F-2A-1C lautet. Anschließend wird dasU/L-Bit, das siebte Bit im ersten Byte, komplementiert. Binär wird das erste Byte als00000000 dargestellt. Nach Komplementierung des siebten Bits ändert sich das Byte in00000010 (0x02). Das Endergebnis lautet 02-AA-00-FF-FE-3F-2A-1C, das nach Konvertierung in die Doppelpunkt-Hexadezimalnotation als Schnittstellenbezeichner

2AA:FF:FE3F:2A1C dargestellt wird. Daraus ergibt sich für die verbindungslokale Adresse, diedem Netzwerkadapter mit der MAC-Adresse 00-AA-00-3F-2A-1C entspricht, die Darstellung FE80::2AA:FF:FE3F:2A1C.

Fügen Sie bei der Komplementierung des U/L-Bits zum ersten Byte 0x2 hinzu, wenn dieAdresse allgemeingültig verwaltet wird, und ziehen Sie 0x2 vom ersten Byte ab, wenn dieAdresse lokal verwaltet wird.

Temporäre AdressschnittstellenbezeichnerIm heutigen IPv4-basierten Internet stellt der typische Internetbenutzer die Verbindung übereinen ISP (Internet Service Provider) her und erhält eine IPv4-Adresse unter Verwendungdes PPP (Point-to-Point Protocol) und des IPCP (Internet Protocol Control Protocol). Beijedem Verbindungsaufbau erhält der Benutzer möglicherweise eine andere IPv4-Adresse,wodurch es sich als schwierig erweist, den Datenverkehr eines DFÜ-Benutzers im Internetauf Basis der IPv4-Adresse nachzuverfolgen.

Bei IPv6-basierten DFÜ-Verbindungen wird dem Benutzer ein 64-Bit-Präfix zugewiesen,nachdem die Verbindung über die Routererkennung und die automatische Konfiguration derstatusfreien Adresse hergestellt wurde. Wenn der Schnittstellenbezeichner immer auf der EUI-64-Adresse basiert (wie von der statischen IEEE 802-Adresse abgeleitet), kann ein Angreifer den Datenverkehr eines bestimmten Knotens unabhängig vom Präfix erkennen,wodurch bestimmte Benutzer und deren Nutzungsverhalten im Internet einfach nachverfolgt werden können. Damit dieses Problem beseitigt und ein gewisser Grad an Anonymitätgeboten wird, beschreibt RFC 3041 einen alternativen IPv6-Schnittstellenbezeichner, derzufällig generiert wird und sich im Verlauf der Zeit ändert.

Der anfängliche Schnittstellenbezeichner wird mithilfe von Zufallszahlen generiert. FürIPv6-Systeme, die keine Verlaufsdaten zum Generieren zukünftigerSchnittstellenbezeichnerwerte speichern können, wird bei jeder Initialisierung desIPv6-Protokolls ein neuer zufälliger Schnittstellenbezeichner erzeugt. Bei IPv6-Systemen mitSpeichermöglichkeiten wird ein Verlaufswert gespeichert und beim Initialisieren desIPv6-Protokolls ein anderer Schnittstellenbezeichner über folgendes Verfahren erstellt:

1. Abrufen des Verlaufswerts aus dem Speicher und Anhängen des auf derEUI-64-Adresse des Adapters basierenden Schnittstellenbezeichners.

2. Berechnen des MD5-Hashalgorithmus (Message Digest-5) über die Menge in Schritt 1.Ein Hash erzeugt aus einer Eingabe ein mathematisches Ergebnis mit fester Größe.Hashes können einfach berechnet werden, wohingegen es sich rechnerisch alsschwierig erweist, aus dem Hashergebnis die Eingabe zu ermitteln.

3. Speichern der letzten 64 Bit des in Schritt 2 berechneten MD5-Hash als Verlaufswertfür die nächste Berechnung des Schnittstellenbezeichners.

4. Nehmen der ersten 64 Bit des in Schritt 2 berechneten MD-Hashs und Festlegen des siebenten Bit auf 0. Das siebente Bit entspricht dem U/L-Bit, das mit dem Wert 0 einen lokal verwalteten IPv6-Schnittstellenbezeichner kennzeichnet. Daraus ergibt sich der IPv6-Schnittstellenbezeichner.

Die sich ergebende IPv6-Adresse, die auf diesem zufälligen Schnittstellenbezeichner basiert,ist als temporäre Adresse bekannt. Temporäre Adressen werden für öffentliche Adresspräfixegeneriert, die eine statusfreie automatische Adresskonfiguration verwenden.

IPv6-MulticastadressenBei IPv6-Multicastadressen sind die ersten acht Bit auf 1111 1111 festgelegt. Daher ist dasAdresspräfix für alle IPv6-Multicastadressen FF00::/8. Neben den ersten acht Bit umfassenMulticastadressen eine zusätzliche Struktur, um Flags, ihren Gültigkeitsbereich und dieMulticastgruppe zu kennzeichnen. Abbildung 3-17 zeigt die Struktur derIPv6-Multicastadresse.

Abbildung 3-17 Die Struktur der IPv6-MulticastadresseBild maximieren

Die Felder in der Multicastadresse sind:

• Flags

Dieses Feld enthält die für die Multicastadresse festgelegten Flags. Die Größe dieses Feldesbeträgt 4 Bit. Seit RFC 2373 ist das T-Flag (Transient) das einzige definierte Flag, das dasniederwertige Bit des Feldes Flags verwendet. Wenn es den Wert 0 erhält, zeigt dasT-Flag an, dass die Multicastadresse eine dauerhaft von der IANA zugewiesene (bekannte) Multicastadresse ist. Wenn es den Wert 1 erhält, zeigt das T-Flag an, dass dieMulticastadresse eine vorübergehende (nicht permanent zugewiesene) Multicastadresseist.

• Bereich

Dieses Feld zeigt den Bereich des IPv6-Netzwerkes an, für den der Multicastdatenverkehrbestimmt ist. Die Größe dieses Feldes beträgt 4 Bit. Router verwenden den überMulticastroutingprotokolle bereitgestellten Multicastbereich und die Daten, um zu bestimmen, ob Multicastdatenverkehr weitergeleitet werden kann.

RFC 3513 bestimmt die Werte für das Bereichsfeld. Die häufigsten Werte für das Feld mitdem Bereich sind 1 (schnittstellenlokaler Bereich), 2 (verbindungslokaler Bereich) und 5 (standortlokaler Bereich).

• Gruppen-ID

Dieses Feld bestimmt die Multicastgruppe und ist im Bereich eindeutig. Die Größe diesesFeldes beträgt 112 Bit. Permanent zugewiesene Gruppen-IDs sind bereichsunabhängig.Vorübergehende Gruppen-IDs sind nur in einem spezifischen Bereich relevant.

Um alle Knoten für schnittstellenlokale und verbindungslokale Bereiche zu identifizieren,wurden folgende Adressen definiert:

• FF01::1 (Multicastadresse für alle Knoten des schnittstellenlokalen Bereichs)

• FF02::1 (Multicastadresse für alle Knoten des verbindungslokalen Bereichs)

Um alle Router für schnittstellenlokale, verbindungslokale und standortlokale Bereiche zuidentifizieren, wurden folgende Adressen definiert:

• FF01::2 (Multicastadresse für alle Router des schnittstellenlokalen Bereichs)

• FF02::2 (Multicastadresse für alle Router des verbindungslokalen Bereichs)

• FF05::2 (Multicastadresse für alle Router des standortlokalen Bereichs)

Eine Liste der permanent zugeordneten IPv6-Multicastadressen finden Sie unter http://www.iana.org/assignments/ipv6-multicast-addresses (nur auf Englisch verfügbar).

IPv6-Multicastadressen ersetzen sämtliche Formen der IPv4-Broadcastadressen. DerMulticastadresse für alle Knoten des verbindungslokalen Bereichs (FF02::1) in IPv6 ersetztdie IPv4-Netzwerkbroadcastadresse (bei der in einer klassenbezogenen Umgebung alle Hostbit auf den Wert 1 gesetzt sind) die Subnetzbroadcastadresse (bei der in einer klassenlosen Umgebung alle Hostbit auf den Wert 1 gesetzt sind) und die begrenzte Broadcastadresse (255.255.255.255).

Solicited-Node-MulticastadresseDie Solicited-Node-Multicastadresse nutzt die effizienten Abfragemöglichkeiten vonNetzwerkknoten, um eine Adresse der Sicherungsschicht für eine bekannte IPv6-Adresse zuermitteln. Dieser Vorgang ist auch als Adressauflösung auf der Sicherungsschicht bekannt. InIPv4 wird die ARP-Anforderung für drahtlose Ethernet- und 802.11-Netzwerksegmente an dieBroadcastadresse 0xFF-FF-FF-FF-FF-FF gesendet. Dieser Rahmen stört alle Knoten imNetzwerksegment, einschließlich der Knoten, die kein IPv4 ausführen. IPv6 verwendet dieNachbaraufforderungsnachricht, um die Adressauflösung auf der Sicherungsschichtdurchzuführen. Statt jedoch als Ziel für die Nachbaraufforderungsnachricht dieMulticastadresse für alle Knoten des verbindungslokalen Bereichs zu verwenden, wodurchalle IPv6-Knoten auf der lokalen Verbindung gestört würden, wird dieSolicited-Node-Multicastadresse verwendet. Die Solicited-Node-Multicastadresse besteht aus dem Präfix FF02::1:FF00:0/104 und den letzten 24 Bit einer IPv6-Unicastadresse. InAbbildung 3-18 wird die Zuordnung einer IPv6-Unicastadresse zu ihrer entsprechenden Solicited-Node-Multicastadresse veranschaulicht.

http://www.iana.org/assignments/ipv6-multicast-addresses

Abbildung 3-18 Erstellen derSolicited-Node-MulticastadresseBild maximieren

Knoten A ist z. B. die verbindungslokale IPv6-Adresse FE80::2AA:FF:FE28:9C5A zugeordnet, der aber ebenfalls die Solicited-Node-Multicastadresse FF02::1:FF28:9C5A überwacht. (Derfett gestellte Teil hebt die Entsprechung der letzten sechs hexadezimalen Ziffern hervor.) Der zur lokalen Verbindung gehörende Knoten B muss die verbindungslokale AdresseFE80::2AA:FF:FE28:9C5A von Knoten A in seine entsprechende Adresse der Sicherungsschicht auflösen. Knoten B sendet eine Nachbaraufforderungsnachricht an dieSolicited-Node-Multicastadresse FF02::1:FF28:9C5A. Da Knoten A diese Multicastadresseüberwacht, verarbeitet er die Nachbaraufforderungsnachricht und antwortet mit einerUnicast-Nachbaranwesenheitsnachricht, wodurch die Adressauflösung abgeschlossen ist.

Das Verwenden der Solicited-Node-Multicastadresse führt dazu, dass Adressauflösungen derSicherungsschicht, die bei einer Verbindung häufig vorkommen, keine Netzwerkknotenstören. Daher werden während der Adressauflösung nur sehr wenige Knoten gestört. In derPraxis bedeutet dies, dass aufgrund der Beziehung zwischen der Sicherungsschichtadresse, der Schnittstellen-ID von IPv6 und der Solicited-Node-Adresse, die Solicited-Node-Adresse als Pseudo-Unicastadresse für eine sehr effiziente Adressauflösung fungiert.

IPv6-AnycastadressenEine Anycastadresse wird mehreren Schnittstellen zugewiesen. Pakete, die an eine Anycastadresse adressiert sind, werden über die Routinginfrastruktur an die nächsteSchnittstelle weitergeleitet, der die Anycastadresse zugewiesen ist. Um die Übermittlung zuvereinfachen, muss die Routinginfrastruktur die Schnittstellen mit zugewiesenen Anycastadressen und deren Entfernung bezüglich der Routingeigenschaften beachten.Momentan werden Anycastadressen lediglich als Zieladressen verwendet. Anycastadressen werden aus dem Unicastadressbereich zugewiesen, und der Bereich einer Anycastadresse entspricht dem Bereich des Unicastadresstyps, von dem die Anycastadresse zugewiesen ist.

Die Subnetzrouter-Anycastadresse wird aus dem Subnetzpräfix für eine gegebeneSchnittstelle erstellt. Die Subnetzrouter-Anycastadresse wird durch Setzen der Bit im64-Bit-Subnetzpräfix auf die entsprechenden Werte erstellt. Die Bit imSchnittstellen-ID-Anteil der Adresse erhalten den Wert 0. Alle mit einem Subnetz verbundenen Routerschnittstellen werden der Subnetzrouter-Anycastadresse für diesesSubnetz zugeordnet. Die Subnetzrouter-Anycastadresse kann für die Kommunikation miteinem von mehreren Routern verwendet werden, die mit einem Remotesubnetz verbunden sind, z. B. zum Abrufen einer Statistik zur Netzwerkverwaltung für den Datenverkehr imSubnetz.

IPv6-Adressen für einen HostEin IPv4-Host mit einem einzigen Netzwerkadapter verfügt üblicherweise über eine einzigeIPv4-Adresse, die diesem Adapter zugewiesen ist. Ein IPv6-Host hat jedoch normalerweise mehrere IPv6-Adressen, sogar mit einer einzigen Schnittstelle. Einem IPv6-Host sind die folgenden Unicastadressen zugewiesen:

• Eine verbindungslokale Adresse für jede Schnittstelle.

• Unicastadressen für jede Schnittstelle (dabei kann es sich um eine standortlokale Adresseund eine oder mehrere globale Unicastadressen handeln).

• Die Loopbackadresse (::1) für die Loopbackschnittstelle.

IPv6-Hosts verfügen normalerweise mindestens über zwei Adressen, über die sie Paketeempfangen können – eine verbindungslokale Adresse für lokalen Verbindungsdatenverkehrund eine routbare standortlokale oder globale Adresse.

Zusätzlich überwacht jeder Host den Datenverkehr auf folgenden Multicastadressen:

• Multicastadresse für alle Knoten des schnittstellenlokalen Bereichs (FF01::1)

• Multicastadresse für alle Knoten des verbindungslokalen Bereichs (FF02::1)

• Solicited-Node-Adresse für alle Unicastadressen an allen Schnittstellen

• Multicastadressen zusammengeführter Gruppen an allen Schnittstellen

IPv6-Adressen für einen Router

Einem IPv6-Router sind die folgenden Unicast- und Anycastadressen zugewiesen:

• Eine verbindungslokale Adresse für jede Schnittstelle.

• Unicastadressen für jede Schnittstelle (dabei kann es sich um eine standortlokale Adresseund eine oder mehrere globale Unicastadressen handeln).

• Eine Subnetzrouter-Anycastadresse.

• Zusätzliche Anycastadressen (optional).

• Die Loopbackadresse (::1) für die Loopbackschnittstelle.

Zusätzlich überwacht jeder Router den Datenverkehr auf folgenden Multicastadressen:

• Multicastadresse für alle Knoten des schnittstellenlokalen Bereichs (FF01::1)

• Multicastadresse für alle Router des schnittstellenlokalen Bereichs (FF01::2)

• Multicastadresse für alle Knoten des verbindungslokalen Bereichs (FF02::1)

• Multicastadresse für alle Router des verbindungslokalen Bereichs (FF02::2)

• Multicastadresse für alle Router des standortlokalen Bereichs (FF05::2)

• Solicited-Node-Adresse für alle Unicastadressen an allen Schnittstellen

• Multicastadressen zusammengeführter Gruppen an allen Schnittstellen

Zum Seitenanfang

Vergleichen der IPv4- und IPv6-AdressierungIn Tabelle 3-5 sind die IPv4-Adressen und Adressierungskonzepte sowie ihre IPv6-Entsprechungen aufgeführt.

IPv4-Adresse IPv6-Adresse

Internetadressklassen In IPv6 nicht implementiert

IPv4-Multicastadressen (224.0.0.0/4) IPv6-Multicastadressen (FF00::/8)

Broadcastadressen: Netzwerkbroadcast, Subnetzbroadcast, durch alle Subnetze geleiteter Broadcast, begrenzter Broadcast

In IPv6 nicht implementiert

Nicht spezifizierte Adresse ist 0.0.0.0 Nicht spezifizierte Adresse ist ::

Loopbackadresse ist 127.0.0.1 Loopbackadresse ist ::1

Öffentliche IPv4-Adressen Globale Unicastadressen

Private IPv4-Adressen (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16)

Standortlokale Adressen (FEC0::/10)

APIPA-Adressen (169.254.0.0/16) Verbindungslokale Adressen (FE80::/64)

Adresssyntax: Punkt-Dezimalnotation Adresssyntax: Doppelpunkt-Hexadizimal-Notation mit Auslassung führender Nullen undKomprimierung von Nullen.

Adresspräfixsyntax: Präfixlängennotationoder Punkt-Dezimalnotation (Subnetzmaske)

Adresspräfixsyntax: nurPräfixlängennotation

Tabelle 3-5 Vergleichen der IPv4- und IPv6-Adressierung

Zum Seitenanfang


• IPv4-Adressen werden in der Punkt-Dezimalnotation dargestellt. IPv4-Adresspräfixewerden als Punkt-Dezimalnotation der Startadresse dargestellt, wobei die Präfixlängeentweder durch eine Ganzzahl oder durch eine punktierte Dezimalzahl (auch als

Subnetzmaske bekannt) angezeigt wird.

• IPv4 verwendet Unicastadressen, um Pakete von einer Quelle an ein Ziel zu liefern. Multicastadressen werden zum Liefern von Paketen von einer Quelle an mehrere Ziele verwendet. Broadcastadressen werden dazu verwendet, um ein Paket von einer Quelle an jedes Ziel in einem Subnetz zu liefern.

• Für IPv4 können Sie öffentliche Unicastadressen (wenn diese von der ICANN oder einemISP zugewiesen wurden) oder private Adressen (10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16) verwenden. Die TCP/IP-Komponenten von Windows verwenden APIPA-Adressen, um Hosts in einem einzelnen Subnetz automatisch mit Adressen desAdresspräfixes 169.254.0.0/16 zu konfigurieren.

• IPv6-Adressen werden in der Doppelpunkt-Hexadezimalnotation dargestellt, wobeiführende Nullen ausgelassen werden und eine einzelne Gruppe fortlaufender Nullen durcheinen doppelten Doppelpunkt komprimiert wird. IPv6-Adresspräfixe können in derDoppelpunkt-Hexadezimalnotation der Startadresse mit einer Präfixlänge dargestelltwerden.

• IPv6 verwendet Unicastadressen, Multicastadressen sowie Anycastadressen, um ein Paket von einer Quelle an eines von vielen Zielen zu liefern.

• Für IPv6-Unicastadressen können Sie globale Adressen (falls von der IANA oder einem ISPzugewiesen), standortlokale Adressen (FEC0::/10) oder verbindungslokale Adressen (FE80::/64) verwenden. Verbindungslokale Adressen erfordern von Ihnen die Angabe einer Zonen-ID, um die Verbindung für das Ziel zu kennzeichnen. Standortlokale Adressenerfordern von Ihnen die Angabe einer Zonen-ID, um die Verbindung für ein Ziel zukennzeichnen, wenn Sie mehrere Standorte verwenden.

• Normalerweise werden IPv6-Schnittstellenbezeichner von IEEE 802-Adressen oder IEEE EUI-64-Adressen abgeleitet.

• Die Solicited-Node-Multicastadresse ist eine spezielle Multicastadresse, die für eineeffiziente Adressauflösung auf der Sicherungsschicht in einem Subnetz verwendet wird.

Zum Seitenanfang

KapitelglossarAdresse – Ein Bezeichner, der einer Schnittstelle oder einem Satz von Schnittstellen auf derInternet-Schicht zugewiesen wird und die Quelle oder das Ziel von IP-Paketen angibt.

Adressklasse – Eine vordefinierte Gruppe von IPv4-Adressen, die im Internet verwendetwerden. Adressklassen haben Netzwerke bestimmter Größe definiert und den Zahlenbereichbestimmt, der für das erste Oktett in der IPv4-Adresse zugewiesen werden kann. DurchCIDR (Classless Inter-Domain Routing) wurde die klassenbezogene IPv4-Adressierungüberflüssig.

Adresspräfix – Ein Adressbereich, der durch Festlegen der höherwertigen festen Bit aufdefinierte Werte und der niederwertigen Bit auf den Wert 0 definiert ist. Adresspräfixewerden normalerweise dazu verwendet, um einen Bereich zulässiger Adressen, zu Subnetzenzugewiesenen Netzwerkbezeichnern und Routen darzustellen. In IPv4 werden Adresspräfixein Präfixlängennotation oder in Punkt-Dezimalnotation (Subnetzmaske) dargestellt. In IPv6werden Adresspräfixe in der Präfixlängennotation dargestellt.

Anycastadresse – Eine Adresse, die aus dem Unicastadressraum zugewiesen wird, dabeimehrere Schnittstellen kennzeichnet und Pakete von einer Quelle an eines von vielen Zielenliefert. Mit der geeigneten Routingtopologie werden an Anycastadressen gerichtete Pakete aneine einzelne Schnittstelle geliefert, wobei es sich um die von der Adresse bezeichneteSchnittstelle mit dem kürzesten Pfad handelt.

APIPA – Siehe Automatic Private IP Addressing (APIPA).

Automatic Private IP Addressing (APIPA) – Ein Feature der TCP/IP-Komponente in WindowsServer 2003 und Windows XP. APIPA ermöglicht es einem Computer, eine IPv4-Adresse undeine Subnetzmaske aus dem Bereich 169.254.0.0/16 automatisch zu konfigurieren, wenn dieTCP/IP-Komponente auf die automatische Konfiguration eingestellt und kein DHCP-Serververfügbar ist.

CIDR – Siehe Classless Inter-Domain Routing (CIDR).

IPv4-Adresse der Klasse A – Eine IPv4-Unicastadresse die von 1.0.0.1 bis 127.255.255.254reicht. Das erste Oktett kennzeichnet die Netzwerk-ID und die letzten drei Oktetts geben die

Host-ID an. Durch CIDR (Classless Inter-Domain Routing) wurde die klassenbezogeneIPv4-Adressierung überflüssig.

IPv4-Adresse der Klasse B – Eine IPv4-Unicastadresse die von 128.0.0.1 bis191.255.255.254 reicht. Die ersten beiden Oktetts kennzeichnen die Netzwerk-ID und dieletzten beiden Oktetts geben die Host-ID an. Durch CIDR (Classless Inter-Domain Routing)wurde die klassenbezogene IPv4-Adressierung überflüssig.

IPv4-Adresse der Klasse C – Eine IPv4-Unicastadresse die von 192.0.0.1 bis223.255.255.254 reicht. Die ersten drei Oktetts kennzeichnen die Netzwerk-ID und das letzteOktett gibt die Host-ID an. Durch CIDR (Classless Inter-Domain Routing) wurde dieklassenbezogene IPv4-Adressierung überflüssig.

Classless Inter-Domain Routing (CIDR) – Ein Verfahren im modernen Internet zumZusammenfassen von Routen und Zuweisen von IPv4-Adressen. CIDR stellt Adresspräfixe inForm eines Adresspräfixes und einer Präfixlänge dar, anstatt Adressklassen zu verwenden,die durch CIDR ersetzt werden.

Doppelpunkt-Hexadezimalnotation – Die zum Darstellen von IPv6-Adressen verwendeteNotation. Die aus 128-Bit bestehende IPv6-Adresse wird in acht Blöcke mit einer Länge von16 Bit unterteilt. Jeder Block wird in der Hexadezimalnotation dargestellt, wobei benachbarteBlöcke durch Doppelpunkte getrennt werden. Innerhalb der einzelnen Blöcke werdenführende Nullen unterdrückt. Ein Beispiel einer IPv6-Unicastadresse in derDoppelpunkt-Hexadezimalnotation ist 3FFE:FFFF:2A1D:48C:2AA:3CFF:FE21:81F9.

Punkt-Dezimalnotation – Die am häufigsten zum Darstellen von IPv4-Adressen verwendeteNotation. Die aus 32-Bit bestehende IPv4-Adresse ist in vier Blöcke mit einer Länge von 8 Bitunterteilt. Jeder Block wird in der Dezimalnotation dargestellt, wobei benachbarte Blöckedurch Punkte getrennt werden. Ein Beispiel für eine IPv4-Unicastadresse inPunkt-Dezimalnotation ist 131.107.199.45.

Doppelter Doppelpunkt – Die Vorgehensweise eine einzelne fortlaufende Reihe von Blöckenaus Nullen einer IPv6-Adresse zu "::" zu komprimieren. Die MulticastadresseFF02:0:0:0:0:0:0:2 wird z. B. als FF02::2 dargestellt.

EUI – Siehe Erweiterter eindeutiger Bezeichner (Extended Unique Identifier).

EUI-64-Adresse – Eine 64-Bit-Adresse der Sicherungsschicht, die als Basis für einenIPv6-Schnittstellenbezeichner verwendet wird.

Erweiterter eindeutiger Bezeichner (Extended Unique Identifier) – Eine Adresse derVerbindungsschicht, die vom IEEE (Institute of Electrical and Electronics Engineers) definiertwurde.

Globale Unicastadresse – Eine IPv6-Unicastadresse, die im IPv6-Bereich des Internets globalroutbar und erreichbar ist. Globale IPv6-Adressen sind mit öffentlichen IPv4-Adressenvergleichbar.

IEEE – Institute of Electrical and Electronics Engineers.

IEEE 802-Adresse – Eine 48-Bit-Adresse der Sicherungsschicht, die vom IEEE definiertwurde. Ethernet- und Token Ring-Netzwerkadapter verwenden IEEE 802-Adressen.

IEEE EUI-64-Adresse – Siehe EUI-64-Adresse.

Ungültige Adresse – Eine doppelte Adresse, die mit einer öffentlichen IPv4-Adresse, diebereits von der ICANN einer anderen Organisation zugeordnet wurde, in Konflikt gerät.

Verbindungslokale Adresse – Eine lokal verwendete Adresse mit dem Präfix FE80::/64, derenGültigkeitsbereich die lokale Verbindung darstellt. Knoten verwenden verbindungslokaleAdressen für die Kommunikation mit benachbarten Knoten auf derselben Verbindung.Verbindungslokale Adressen entsprechen APIPA-IPv4-Adressen (Automatic Private IPAdressing).

Loopbackadresse – Für IPv4 ist dies die Adresse 127.0.0.1. Für IPv6 ist dies die Adresse0:0:0:0:0:0:0:1 (oder ::1). Mithilfe der Loopbackadresse können Knoten Pakete an sichselbst senden.

Multicastadresse – Eine Adresse, die keine oder mehrere Schnittstellen kennzeichnet undzum Liefern von Paketen von einer Quelle an viele Ziele verwendet wird. Mit der geeignetenMulticastroutingtopologie werden an Multicastadressen gerichtete Pakete an alleSchnittstellen geliefert, die durch die Adresse gekennzeichnet sind.

Präfixlängennotation – Die Vorgehensweise Adresspräfixe als Startadresse/Präfixlänge

darzustellen, wobei Präfixlänge die Anzahl der höherwertigen festen Bit in der Adresse angibt.

Private Adressen – IPv4-Adressen, die von Organisationen für die privateIntranetadressierung innerhalb einer der folgenden Adresspräfixe verwendet werden:10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.

Öffentliche Adressen – IPv4-Adressen, die von der ICANN zugewiesen werden und imIPv4-Internet garantiert global eindeutig und erreichbar sind.

Standortlokale Adresse – Eine lokal verwendete IPv6-Adresse mit dem Präfix FEC0::/10,deren Gültigkeitsbereich der Standort darstellt. Standortlokale Adressen entsprechen demprivaten IPv4-Adressraum. Standortlokale Adressen sind von anderen Standorten aus nichterreichbar und die Router dürfen standortlokalen Datenverkehr nicht außerhalb desStandorts leiten.

Solicited-Node-Multicastadresse – Eine IPv6-Multicastadresse, die von Knoten zurAdressauflösung verwendet wird. Die Solicited-Node-Multicastadresse besteht aus dem PräfixFF02::1:FF00:0/104 und den letzten 24 Bit einer IPv6-Unicastadresse. DieSolicited-Node-Multicastadresse dient als Pseudo-Unicastadresse, um Adressen vonIPv6-Verbindungen effizient auflösen zu können.

Subnetzmaske – Die Darstellung der Länge eines Adresspräfixes für den IPv4-Adressbereichin Punkt-Dezimalnotation. Das Adresspräfix 131.107.0.0/16 entspricht z. B. in derSubnetzmaskennotation 131.107.0.0, 255.255.0.0.

Unicastadresse – Eine Adresse, die eine einzelne Schnittstelle kennzeichnet und zum Liefernvon Paketen von einer Quelle an ein einzelnes Ziel verwendet wird. Mit der geeignetenUnicastroutingtopologie werden an Unicastadressen gerichtete Pakete an eine einzelneSchnittstelle geliefert.

Nicht spezifizierte Adresse – Für IPv4 ist dies die Adresse 0.0.0.0. Für IPv6 ist dies dieAdresse 0:0:0:0:0:0:0:0 (oder ::). Die nicht spezifizierte Adresse weist darauf hin, dasskeine Adresse vorhanden ist.

Zonen-ID – Eine Ganzzahl, die die Zone des Ziels für den IPv6-Datenverkehr angibt. Für dieBefehle Ping, Tracert und Pathping lautet die Syntax zum Festlegen einer Zonen-ID IPv6-Adresse%Zonen-ID. Normalerweise entspricht der Wert Zonen-ID für verbindungslokaleAdressen dem Schnittstellenindex. Für standortlokale Adressen entspricht der Wert Zonen-IDder Standortnummer. Der Parameter Zonen-ID ist nicht erforderlich, wenn das Ziel eine globale Adresse ist und nur ein Standort verwendet wird.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 4 - SubnetzbildungVeröffentlicht: 14. Dez 2004

Zusammenfassung

In diesem Kapitel wird die Subnetzbildung für IPv4- und IPv6-Adresspräfixe beschrieben.Netzwerkadministratoren müssen die Verfahren bei der Subnetzbildung für beide Artender Adresspräfixe genau kennen, um die öffentlichen und in privaten Intranetsverwendeten Unicastadressbereiche effizient reservieren und verwalten zu können. DiesesKapitel umfasst ausführliche Erläuterungen der verschiedenen Verfahren zurSubnetzbildung für die IPv4- und IPv6-Adresspräfixe. Mithilfe dieser Verfahren können SieNetzwerk-IDs von Subnetzen sowie für IPv4 den Bereich verwendbarer IPv4-Adressen fürjede neue Netzwerk-ID eines Subnetzes ermitteln.

Auf dieser Seite


Subnetzbildung für IPv4

Subnetzbildung für IPv6


Kapitelglossar


• Ermitteln der Netzwerk-ID einer IPv4-Adresse, wenn diese in der Netzwerkpräfix- oderSubnetzmaskennotation angegeben ist.

• Ermitteln der Anzahl der IPv4-Host-ID-Bits, die zum Erstellen einer bestimmten Anzahl von Subnetzen erforderlich sind.

• Bilden eines Subnetzes für ein IPv4-Adresspräfix innerhalb eines Oktetts und überOktettgrenzen hinweg, Auflisten der Netzwerk-IDs für Subnetze und der Bereichegültiger IPv4-Adressen für jede Netzwerk-ID eines Subnetzes.

• Definieren der Bildung von Subnetzen mit variabler Länge und erläutern, wie diese zumErstellen von Netzwerk-IDs für Subnetze verwendet werden können, die mit der Anzahlder Hosts in einem bestimmten Subnetz übereinstimmen.

• Bilden von Subnetzen für ein globales IPv6-Präfix, Auflisten der Netzwerk-IDs fürSubnetze.

Zum Seitenanfang

Subnetzbildung für IPv4Die Subnetzbildung besteht aus einer Reihe von Verfahren, mit denen Sie einen Adressraum in Subnetze unterteilen können. Der feste Bestandteil einesUnicast-Adresspräfix umfasst die Bits der definierten Präfixlänge - die Präfixlänge ist einfest definierter Wert. Der variable Teil eines Unicast-Adresspräfix umfasst die Bits imAnschluss an den Präfix, die den Wert 0 haben. Die Subnetzbildung stellt die Verwendungdes variablen Teils eines Unicast-Adresspräfix zum Erstellen von Adresspräfixes dar, dieeffizienter (weniger Verschwendung von möglichen Adressen) für die Zuweisung zu denSubnetzen eines Unternehmensnetzwerks eingesetzt werden können.

Die Subnetzbildung für IPv4 wurde ursprünglich festgelegt, um die Hostbits für öffentlicheNetzwerk-IDs der IPv4-Klasse A und B besser zu nutzen. Betrachten Sie das Beispielnetzwerk in Abbildung 4-1.

In diesem Beitrag

• Übersicht




















Abbildung 4-1 Netzwerk 157.60.0.0/16 vor derSubnetzbildungBild maximieren

Das Subnetz mit der Netzwerk-ID 157.60.0.0/16 der Klasse B kann bis zu 65.534 Knotenunterstützen, also weit mehr, als Knoten in einem Subnetz sinnvoll sind. Sie möchten denAdressraum 157.60.0.0/16 durch die Subnetzbildung effektiver nutzen. Die Subnetzbildung für 157.60.0.0/16 soll jedoch keine Neukonfiguration der Router imInternet erfordern.

Bei einem einfachen Beispiel für die Subnetzbildung können Sie für 157.60.0.0/16Subnetze bilden, indem Sie die ersten 8 Hostbits (das dritte Oktett) für die neueNetzwerk-ID für die Subnetze verwenden. Wenn Sie 157.60.0.0/16 wie in Abbildung 4-2gezeigt in Subnetze unterteilen, würden Sie separate Subnetze mit eigenen Netzwerk-IDs(157.60.1.0/24, 157.60.2.0/24, 157.60.3.0/24) erstellen, wobei in jedem Subnetz bis zu 254 Host-IDs enthalten sind. Der Router würde die separaten Netzwerk-IDs für dieSubnetze zur Kenntnis nehmen und die IPv4-Pakete an das entsprechende Subnetz leiten.

Abbildung 4-2 Netzwerk 157.60.0.0/16 nach derSubnetzbildungBild maximieren

Die Router im Internet würden weiterhin alle Knoten der drei Subnetze als zurNetzwerk-ID 157.60.0.0/16 zugehörig betrachten. Die Internetrouter würden keineNeukonfiguration erfordern, da sie die Subnetzbildung für 157.60.0.0/16 nicht zurKenntnis genommen haben. Die Subnetzbildung für eine Netzwerk-ID ist für die Routeraußerhalb des lokalen Netzwerks nicht sichtbar.

Wie in Kapitel 3, "IP-Adressierung" beschrieben, besitzen IPv4-Unicastadressen auf Subnetzebene eine Hierarchie aus Netzwerk-ID/Host-ID. Die Länge des Adresspräfixesgibt an, welcher Teil der Adresse fest und allen Schnittstellen im Subnetz gemein ist (die Netzwerk-ID). Der Rest der Adresse (die Host-ID) ist variabel und wird zum Zuweisen eindeutiger IPv4-Adressen zu Schnittstellen verwendet, die dem Subnetz angehören.

Wenn Sie die IPv4-Netzwerk-ID in Subnetze unterteilen, legen Sie eine zusätzliche Ebenein der Hierarchie der IPv4-Adressen fest. In Subnetze unterteilte Netzwerk-IDs weisen eine Hierarchie aus Netzwerk-ID/Subnetz-ID/Host-ID auf. Nachdem Sie für eineNetzwerk-ID Subnetze gebildet haben, stellt jede Netzwerk-ID eines Subnetzes einen neuen Adresspräfix für ein Subnetz oder eine Netzwerk-ID mit einer Hierarchie ausNetzwerk-ID/Host-ID dar.

Wenn Sie IPv4-Adresspräfixe in Form von Netzwerk-IDs zu den Subnetzen IhrerOrganisation zuweisen, dann sollten Sie mit einem oder mehreren öffentlichenAdresspräfixen, die von der ICANN (Internet Corporation for Assigned Names andNumbers) oder einem ISP (Internet Service Provider) zugewiesen werden, dem privaten Adressraum (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16) oder mit beiden beginnen. Die Ausgangs-Aadresspräfixe stellt einen festen Adressraum dar.

Sie können den variablen Teil eines IPv4-Adresspräfixes unterteilen, um zusätzlicheSubnetze und die Host-IDs in den einzelnen Subnetzen darzustellen. DasIPv4-Adresspräfix 131.107.192.0/18 besitzt zum Beispiel 18 feste Bits (wie durch diePräfixlänge angezeigt) und 14 variable Bits (die Bits für die Host-ID). Möglicherweise sindfür Ihre Organisation bis zu 50 Subnetze erforderlich. Daher unterteilen Sie die 14variablen Bits in 6 Bits für die die Subnetze (Sie können bis zu 64 Subnetze mit 6 Bitsdarstellen) und 8 Bits, mit denen Sie bis zu 254 Host-IDs in den einzelnen Subnetzen verwenden können. Das sich ergebende Adresspräfix für die Netzwerk-IDs der Subnetzehat eine Präfixlänge von 24 Bits (die ursprünglichen 18 Bits sowie 6 Bits für dieSubnetzbildung).

Die Subnetzbildung für IPv4 erzeugt eine Reihe von Netzwerk-IDs für Subnetze und ihreentsprechenden Bereiche gültiger IPv4-Adressen. Durch das Zuweisen von Netzwerk-IDsfür Subnetze, die eine geeignete Anzahl von Host-IDs für die physischen und logischenSubnetze des IPv4-Netzwerks einer Organisation enthalten, könnenNetzwerkadministratoren den verfügbaren Adressraum auf die effizienteste Weise nutzen.

Bevor Sie mit der IPv4-Subnetzbildung beginnen, müssen Sie die aktuellen Anforderungender Organisation ermitteln und den zukünftigen Bedarf planen. Folgen Sie diesenRichtlinien:

• Ermitteln Sie, wie viele Subnetze für Ihr Netzwerk erforderlich sind. Die Subnetzeumfassen physische oder logische Subnetze, mit denen sich Hosts verbinden, undmöglicherweise private WAN-Verbindungen (Wide Area Network) zwischen Standorten.

• Ermitteln Sie, wie viele Host-IDs für jedes Subnetz erforderlich sind. JedeIPv4-Schnittstelle für Host und Router erfordert mindestens eine IPv4-Adresse.

Auf Basis dieser Anforderungen definieren Sie eine Reihe von Netzwerk-IDs für Subnetzemit einem Bereich gültiger IPv4-Adressen für jede in Subnetze aufgeteilte Netzwerk-ID.Ihre Subnetze müssen nicht alle dieselbe Anzahl von Hosts aufweisen. Die meistenIPv4-Netzwerke umfassen Subnetze verschiedener Größen.

Obwohl das Konzept der Subnetzbildung mithilfe von Host-ID-Bits unkompliziert ist, erweisen sich die eigentlichen Mechanismen bei der Subnetzbildung als ein wenig komplizierter. Die Subnetzbildung erfordert ein aus drei Schritten bestehendes Verfahren:

1. Ermitteln, wie viele Host-Bits für die Subnetzbildung zu verwenden sind.

2. Auflisten der neuen Netzwerk-IDs für die Subnetze.

3. Auflisten des Bereichs der IPv4-Adressen für die einzelnen neuen Netzwerk-IDs derSubnetze.

Ermitteln der Netzwerk-ID einer IPv4-AdresskonfigurationBevor Sie mit den Schritten der IPv4-Subnetzbildung beginnen, sollten Sie die Netzwerk-ID einer beliebigen IPv4-Adresskonfiguration ermitteln können, dienormalerweise aus einer IPv4-Adresse und einer Präfixlänge oder einer IPv4-Adresse undeiner Subnetzmaske besteht. In den folgenden Abschnitten wird veranschaulicht, wie Sie die Netzwerk-ID für IPv4-Adresskonfigurationen ermitteln, wenn die Präfixlänge inPräfixlängen- und Punkt-Dezimalnotation (Subnetzmaske) angegeben ist.

PräfixlängennotationWenn Sie die Netzwerk-ID einer beliebigen IPv4-Adresse mithilfe der Präfixlängennotation(w.x.y.z / n) ermitteln möchten, nehmen Sie die Werte der höherwertigen n-Bits der Adresse und addieren Sie 32- n Nullbits. Anschließend konvertieren Sie die sich ergebende32-Bit-Zahl in die Punkt-Dezimalnotation.

Für die IPv4-Adresskonfiguration 192.168.207.47/22 lauten die höherwertigen 22 Bitsbeispielsweise 11000000 10101000 110011. Damit Sie die Netzwerk-ID erhalten, kombinieren Sie dieses Ergebnis mit den niederwertigen 10 Bits von 00 00000000. Das Ergebnis ist 11000000 10101000 11001100 00000000 oder 192.168.204.0/22.

Wenn Sie die Netzwerk-ID einer IPv4-Adresskonfiguration in Präfixlängennotationermitteln möchten, ohne ausschließlich mit binären Zahlen zu arbeiten, dann verwendenSie die folgende Methode:

1. Ermitteln Sie die Zahl n (die Präfixlänge), indem Sie nacheinander 8 von nsubtrahieren. Beispielsweise ergibt sich 8+8+4+0 aus 20.

2. Erstellen Sie eine Tabelle mit vier Spalten und drei Zeilen. In der ersten Zeile platzieren Sie die dezimalen Oktetts der IPv4-Adresse. In der zweiten Zeile platzieren Sie die vier Ziffern der in Schritt 1 ermittelten Summe.

3. Für die Spalten, die in der zweiten Zeile eine 8 enthalten, kopieren Sie das Oktettder ersten Zeile in die dritte Zeile. Für die Spalten, die in der zweiten Zeile eine 0enthalten, tragen Sie in der dritten Zeile eine 0 ein.

4. Für Spalten, die eine Zahl zwischen 8 und 0 in der zweiten Zeile besitzen,konvertieren Sie die Dezimalzahl in der ersten Zeile in das Binärformat, nehmendann die höherwertigen Bits für die in der zweiten Zeile angezeigten Anzahl vonBits, füllen den Rest der Bits mit Nullen und führen dann die Konvertierung in eineDezimalzahl durch.

Für die IPv4-Adresskonfiguration von 192.168.207.47/22 ergeben sich für 22 die Werte8+8+6+0. Daraus erstellen Sie die folgende Tabelle:

192 168 207 47

8 8 6 0

Kopieren Sie für die ersten und zweiten Oktetts das Oktett der ersten Zeile. Für das letzteOktett stellen Sie eine 0 in die dritte Zeile. Dadurch ergibt sich folgende Tabelle:

192 168 207 47

8 8 6 0

192 168 0

Für das dritte Oktett konvertieren Sie die Zahl 207 in das Binärformat, wobei Sie für dieersten 6 binären Ziffern die Konvertierungsmethode von Dezimalzahlen in Binärzahlenverwenden, die in Kapitel 3, "IP-Adressierung", beschrieben ist. Die Dezimalzahl 207 ergibt 128+64+8+4+2+1, also 11001111. Wenn Sie die ersten 6 Ziffern nehmen, 110011, und das Oktett mit 00 füllen, ergibt sich 11001100 bzw. 204 im Dezimalformat.Dadurch ergibt sich folgende Tabelle:

192 168 207 47

8 8 6 0

192 168 204 0

Deshalb ergibt sich für die IPv4-Adresskonfiguration 192.168.207.47/22 die Netzwerk-ID192.168.204.0/22.

SubnetzmaskennotationIPv4 verwendet beim Extrahieren der Netzwerk-ID aus einer beliebigen IPv4-Adresskonfiguration mithilfe einer willkürlichen Subnetzmaske eine mathematischeOperation, die als logischer UND-Vergleich bezeichnet wird. Bei einem UND-Vergleich ist das Ergebnis von zwei verglichenen Elementen nur dann wahr (True), wenn beide Elemente wahr sind, andernfalls ist das Ergebnis falsch (False). In Tabelle 4-1 wird das Ergebnis der UND-Operation für die vier möglichen Bitkombinationen gezeigt.

Bitkombination Ergebnis

1 UND 1 1

1 UND 0 0

0 UND 0 0

0 UND 1 0

Tabelle 4-1 Ergebnis einer UND-Operation

Daher ist das Ergebnis einer UND-Operation nur dann 1, wenn beide über dieUND-Operation kombinierten Bits den Wert 1 besitzen. Andernfalls ist das Ergebnis 0.

IPv4 führt einen logischen UND-Vergleich mit der aus 32-Bits bestehenden IPv4-Adresseund der 32-Bit-Subnetzmaske durch. Dieser Vorgang ist als bitweise logische UND-Operation bekannt. Das Ergebnis der bitweise logischen UND-Operation für dieIPv4-Adresse und die Subnetzmaske ist die Netzwerk-ID.

Wenn Sie zum Beispiel die Netzwerk-ID der IPv4-Adresskonfiguration 131.107.189.41 mit der Subnetzmaske 255.255.240.0 ermitteln möchten, konvertieren Sie beide Zahlen indas Binärformat und schreiben diese auf. Anschließend führen Sie für jedes Bit dieUND-Operation durch und schreiben das Ergebnis auf.

IPv4-Adresse: 10000011 01101011 10111101 00101001

Subnetzmaske: 11111111 11111111 11110000 00000000

Netzwerk-ID: 10000011 01101011 10110000 00000000

Das Ergebnis der bitweise logischen UND-Operation für die 32 Bits der IPv4-Adresse undder Subnetzmaske ist die Netzwerk-ID 131.107.176.0, 255.255.240.0. Das Verhalten der bitweise logischen UND-Operation zwischen der IPv4-Adresse und der Subnetzmaske sieht wie folgt aus:

• Für die Bits im festen Teil der Adresse (bei dem die Bits in der Subnetzmaske auf 1festgelegt sind) werden die Bits der Netzwerk-ID von der IPv4-Adresse kopiert, wobei die Netzwerk-ID im Wesentlichen aus der IPv4-Adresse extrahiert wird.

• Für die Bits im variablen Teil der Adresse (bei dem die Bits in der Subnetzmaske auf 0festgelegt sind) werden die Bits der Netzwerk-ID auf 0 gesetzt, wobei der Host-ID-Abschnitt der IPv4-Adresse im Wesentlichen verworfen wird.

Bei der bitweisen logischen UND-Operation wird also der Netzwerk-ID-Abschnitt einer IPv4-Adresse extrahiert und der Host-ID-Abschnitt verworfen. Bei dem Ergebnis handelt es sich um die Netzwerk-ID.

Wenn Sie die Netzwerk-ID einer IPv4-Adresskonfiguration in Subnetzmaskennotation ermitteln möchten, ohne ausschließlich mit binären Zahlen arbeiten zu müssen, dannverwenden Sie die folgende Methode:

1. Erstellen Sie eine Tabelle mit vier Spalten und drei Zeilen. In der ersten Zeile platzieren Sie die dezimalen Oktetts der IPv4-Adresse. In der zweiten Zeile platzieren Sie die dezimalen Oktetts der Subnetzmaske.

2. Für die Spalten, die in der zweiten Zeile den Wert 255 enthalten, kopieren Sie dasOktett der ersten Zeile in die dritte Zeile. Für die Spalten, die in der zweiten Zeileeine 0 enthalten, tragen Sie in der dritten Zeile eine 0 ein.

3. Für die Spalten, die in der zweiten Zeile eine Zahl zwischen 255 und 0 enthalten,führen Sie eine UND-Operation mit den Dezimalzahlen in den ersten beiden Zeilendurch. Sie können dies durch Konvertieren der beiden Zahlen in der Binärformatund das anschließende Durchführen des UND-Vergleichs für alle 8 Bits im Oktettsowie das abschließende Konvertieren des Ergebnisses in das Dezimalformaterreichen. Alternativ können Sie zum Beispiel den Rechner von Windows imwissenschaftlichen Modus verwenden.

Erstellen Sie zum Beispiel für die IPv4-Adresskonfiguration von 131.107.189.41,255.255.240.0 die folgende Tabelle:

131 107 189 41

255 255 240 0

Kopieren Sie für die ersten und zweiten Oktetts das Oktett der ersten Zeile. Für das letzteOktett stellen Sie eine 0 in die dritte Zeile. Dadurch ergibt sich folgende Tabelle:

131 107 189 41

255 255 240 0

131 107 0

Für das dritte Oktett berechnen Sie 189 UND 240. Im Binärmodus ergibt diese Operation

Folgendes:

10111101

AND 11110000

10110000

Die Konvertierung von 10110000 in das Dezimalformat führt zu 176. Alternativ können Siemit dem Rechner von Windows 189 UND 240 berechnen und so die 176 erhalten.

Dadurch ergibt sich folgende Tabelle:

131 107 189 41

255 255 240 0

131 107 176 0

Deshalb ergibt sich für die IPv4-Adresskonfiguration 131.107.189.41, 255.255.240.0 dieNetzwerk-ID 131.107.176.0, 255.255.240.0.

Definieren einer PräfixlängeDie Anzahl variabler Bits in der Netzwerk-ID bestimmt die maximale Anzahl von Subnetzen sowie die Zahl der möglichen Hosts in den einzelnen Subnetzen.

Bevor Sie eine neue Präfixlänge auf Basis Ihres Schemas für die Subnetzbildungdefinieren, sollten Sie klare Vorstellungen über die Anzahl der Subnetze und Hostsbesitzen, die zukünftig vorhanden sein werden. Wenn Sie mehr variable Bits für die neuePräfixlänge als erforderlich verwenden, sparen Sie sich später die Zeit und denVerwaltungsaufwand für eine erneute Nummerierung des IPv4-Netzwerks.

Je mehr variable Bits verwendet werden, je mehr Subnetze sind möglich, allerdings beieiner geringeren Anzahl von Hosts für die einzelnen Subnetze. Wenn das Präfix zu langwird, ist eine zunehmende Anzahl von Subnetzen möglich, aber es wird die Anzahl derHosts in den einzelnen Subnetzen eingeschränkt. Wenn das Präfix zu kurz wird, ist einezunehmende Anzahl von Hosts in den Subnetzen möglich, aber die Anzahl der Subnetzewird eingeschränkt. Abbildung 4-3 zeigt ein Beispiel einer Subnetzbildung für das dritteOktett.

Abbildung 4-3 Kompromiss zwischen der Anzahl derSubnetze und der Anzahl der Hosts pro SubnetzBild maximieren

Befolgen Sie diese Richtlinien, um die Anzahl der für eine neue Präfixlänge zuverwendenden Bits bei der Subnetzbildung zu ermitteln:

1. Ermitteln Sie, wie viele Subnetze jetzt und wie viele Subnetze zukünftig erforderlichsind.

2. Verwenden Sie in den folgenden Fällen zusätzliche Bits für die Subnetzbildung:

• Es sind niemals so viele Hosts pro Subnetz erforderlich, wie durch die verbleibenden Bits möglich sind.

• Die Anzahl von Subnetzen nimmt zu, wodurch zusätzliche Bits von der Host-IDerforderlich sind.

Das Definieren einer neuen Präfixlänge hängt von der Anzahl der erforderlichen Subnetzeab. Tabelle 4-2 zeigt, wie viele Subnetze Sie unter Verwendung einer bestimmten Anzahl variabler Bits (bis zu 16) zum Festlegen der einzelnen Subnetze erstellen können.

Anzahl der Subnetze Anzahl der Hostbits

1-2 1

3-4 2

5-8 3

9-16 4

17-32 5

33-64 6

65-128 7

129-256 8

257-512 9

513-1,024 10

1,025-2,048 11

2,049-4,096 12

4,097-8,192 13

8,193-16,384 14

16,385-32,768 15

32,769-65,536 16

Tabelle 4-2 Anzahl erforderlicher Subnetze und Hostbit

Die maximale Präfixlänge für IPv4-Unicastadressen beträgt 30. Bei 30 Bits für dieNetzwerk-ID können die restlichen beiden Bits bis zu 4 mögliche Kombinationen festlegen.Die Host-IDs, die nur aus Nullen oder nur aus Einsen bestehen, sind jedoch reserviert. Daher können die beiden Host-ID-Bits nur zwei verwendbare Host-IDs darstellen (die 01-und 10-Kombinationen).

So ermitteln Sie die maximale Anzahl von Hosts pro Subnetz für ein beliebiges Schema zurSubnetzbildung:

1. Ermitteln Sie m, die Anzahl von Bits, die für die Host-ID verbleibt, indem Sie diePräfixlänge für die Subnetze von 32 subtrahieren.

2. Berechnen Sie die maximale Anzahl von Hosts pro Subnetz aus 2 m- 2.

Auf Basis des Adresspräfixes, für das Sie das Subnetz bilden und der Anzahl der Bits, diefür die Subnetzbildung erforderlich sind, können Sie ermitteln, ob die Subnetzbildunginnerhalb eines Oktetts oder über die Oktettgrenze hinaus erfolgt. Wenn Sie zum Beispielmit einem Adresspräfix aus 18 Bits beginnen und dann 4 Bits für die Subnetzbildungverwenden, dann erfolgt die Subnetzbildung innerhalb des dritten Oktetts. (DiePräfixlänge für das Subnetz ist 22 und befindet sich noch innerhalb des dritten Oktetts.)Wenn Sie jedoch mit einem Adresspräfix aus 20 Bits beginnen und dann 6 Bits für dieSubnetzbildung verwenden, dann erfolgt die Subnetzbildung über das dritte und vierteOktett hinweg. (Die ursprüngliche Präfixlänge ist 20 und befindet sich innerhalb desdritten Oktetts und die Präfixlänge für das Subnetz ist 26 und befindet sich innerhalb desvierten Oktetts.)

Wie in den folgenden Abschnitten beschrieben, sind die bestimmten Verfahren für dieSubnetzbildung innerhalb eines Oktetts sowie über eine Oktettgrenze hinaus sehrverschieden.

Subnetzbildung innerhalb eines OktettsWenn Sie ein Subnetz innerhalb eines Oktetts bilden, besteht das Verfahren für dieSubnetzbildung aus zwei hauptsächlichen Schritten:

• Definieren der Netzwerk-IDs für die Subnetze

• Definieren des Bereichs verwendbarer IPv4-Adressen für die Netzwerk-IDs dereinzelnen Subnetze

Diese Schritte werden in den folgenden Abschnitten beschrieben.

Definieren der Netzwerk-IDs für die SubnetzeSie können zwei Methoden zum Definieren der Gruppe der Netzwerk-IDs für die Subnetzeverwenden:

• Binär

• Dezimal

Führen Sie die folgenden Schritte durch, um eine Aufzählungsliste mit Netzwerk-IDs fürSubnetze im Binärformat zu erstellen:

1. Erstellen Sie auf Basis von n, der Anzahl der für die Subnetzbildung gewählten Bits,

eine dreispaltige Tabelle mit 2 n Zeilen. Die erste Spalte enthält dieSubnetznummern (mit 1 beginnend), die zweite Spalte enthält die binäreDarstellung der Netzwerk-IDs für die Subnetze und die dritte Spalte enthältPunkt-Dezimaldarstellungen dieser Netzwerk-IDs.

Für jede binäre Darstellung sind die Bits, die der in Subnetze zu unterteilendenNetzwerk-ID entsprechen, auf die ursprünglichen Werte festgelegt und alleHost-Bits erhalten immer den Wert 0. Nur die Subnetzbits variieren, da sie von Ihnen auf jeden möglichen binären Wert eingestellt werden.

2. In der ersten Zeile legen Sie für alle Subnetzbits den Wert 0 fest. Anschließendkonvertieren Sie die gesamte Netzwerk-ID für die Subnetze in diePunkt-Dezimalnotation. Das Ergebnis ist die ursprüngliche Netzwerk-ID mit ihrerneuen Präfixlänge.

3. In der nächsten Zeile erhöhen Sie den Wert innerhalb der Subnetzbits.

4. Konvertieren Sie das Ergebnis im Binärformat in die Punkt-Dezimalnotation.

5. Wiederholen Sie die Schritte 3 und 4, bis die Tabelle abgeschlossen ist.

Sie können zum Beispiel eine 3-Bit-Subnetzbildung für die private Netzwerk-ID192.168.0.0/16 durchführen. Die Subnetzmaske für die neue Netzwerk-ID ist255.255.224.0 oder /19. Konstruieren Sie auf der Basis von n = 3 eine Tabelle mit 8 (= 2 3) Zeilen, wie in Tabelle 4-3 gezeigt. In der Zeile für Subnetz 1 legen Sie für alleSubnetzbits (die in der Tabelle fettgestellt sind) den Wert 0 fest und inkrementieren diese in der nachfolgenden Zeile.

Subnetz Binäre Darstellung Netzwerk-ID fürSubnetze

1 11000000.10101000. 00000000.00000000

192.168.0.0/19

2 11000000.10101000. 00100000.00000000

192.168.32.0/19

3 11000000.10101000. 01000000.00000000

192.168.64.0/19

4 11000000.10101000. 01100000.00000000

192.168.96.0/19

5 11000000.10101000. 10000000.00000000

192.168.128.0/19

Subnetz Binäre Darstellung Netzwerk-ID fürSubnetze

6 11000000.10101000. 10100000.00000000

192.168.160.0/19

7 11000000.10101000. 11000000.00000000

192.168.192.0/19

8 11000000.10101000. 11100000.00000000

192.168.224.0/19

Tabelle 4-3 Binäres Subnetzbildungsverfahren für die 3-Bit-Subnetzbildung von192.168.0.0/16

Hinweis Die RFCs 950 und 1122 verbieten, dass die für die Subnetzbildung verwendetenBits alle den Wert 1 oder alle den Wert 0 erhalten (die nur aus Einsen und nur aus Nullen bestehenden Subnetze). RFC 1812 erlaubt diese Vorgehensweise jedoch.

Führen Sie die folgenden Schritte durch, um eine Liste mit Netzwerk-IDs für Subnetzeunter Verwendung von Dezimalzahlen zu erstellen:

1. Berechnen Sie auf Basis von f, der Anzahl der im Oktett bereits festgelegten Bits und n, der Anzahl der für die Subnetzbildung verwendeten Bits, den Inkrementwert

des Subnetzes, i, auf Basis der folgenden Formel: i = 2 (8-f-n). Das Ergebnis stellt den Inkrementierungswert für die einzelnen Subnetze des Oktetts dar, für das dieSubnetzbildung durchgeführt wird.

2. Erstellen Sie auf Basis von n, der Anzahl der für die Subnetzbildung verwendeten

Bits, eine dreispaltige Tabelle mit 2 n Zeilen. Die erste Spalte enthält dieSubnetznummern (mit 1 beginnend), die zweite Spalte enthält die dezimaleDarstellung des Oktetts, für das die Subnetzbildung durchgeführt wird und diedritte Spalte enthält Punkt-Dezimaldarstellungen der Netzwerk-IDs für dieSubnetze.

3. In der ersten Zeile legen Sie für die zweite Spalte den beginnenden Oktettwert indem Adresspräfix fest, für das die Subnetzbildung durchgeführt wird, und legen Siefür die dritte Spalte die ursprüngliche Netzwerk-ID mit seiner neuen Präfixlängefest.

4. In der nächsten Zeile legen Sie für die zweite Spalte das Ergebnis derInkrementierung der Zahl der vorherigen Zeile mit i fest und legen für die dritteSpalte die Netzwerk-ID für die Subnetze mit dem Oktett der Subnetze der zweitenZeile fest.

5. Wiederholen Sie den Schritt 4, bis die Tabelle abgeschlossen ist.

Berechnen Sie zum Beispiel zum Durchführen einer 3-Bit-Subnetzbildung der privaten

Netzwerk-ID 192.168.0.0/16 das Subnetzinkrement von i = 2 (8-f-n). In diesem Fall gilt f

=0 und n =3. Deshalb ist das Subnetzinkrement 2 (8-0-3) = 2 (5) = 32. Die Präfixlänge fürdie Netzwerk-IDs der Subnetze ist /19. Konstruieren Sie auf Basis von n = 3 eine Tabelle

mit 8 (= 2 3) Zeilen, wie in Tabelle 4-4 gezeigt. In der Zeile für Subnetz 1 platzieren Siedie ursprüngliche Netzwerk-ID mit der neuen Präfixlänge und vervollständigen dieverbleibenden Zeilen, indem Sie das in Subnetze unterteilte Oktett um 32 erhöhen.

Subnetz Dezimalwert des in Subnetze unterteilten Oktetts

Netzwerk-ID fürSubnetze

1 0 192.168.0.0/19

2 32 192.168.32.0/19

3 94 192.168.64.0/19

4 96 192.168.96.0/19

5 128 192.168.128.0/19

6 160 192.168.160.0/19

7 192 192.168.192.0/19

Subnetz Dezimalwert des in Subnetze unterteilten Oktetts

Netzwerk-ID fürSubnetze

8 224 192.168.224.0/19

Tabelle 4-4 Dezimales Subnetzbildungsverfahren für die 3-Bit-Subnetzbildungvon 192.168.0.0/16

Definieren des Bereichs der IPv4-Adressen für die einzelnen SubnetzeSie können zwei Methoden zum Definieren des Bereichs der IPv4-Adressen für dieeinzelnen Subnetze verwenden:

• Binär

• Dezimal

Die Bits in der Netzwerk-ID für die Subnetze bleiben festgelegt, während Sieverbleibenden Bits (im Hostabschnitt der IPv4-Adresse) auf alle möglichen Werteeinstellen, ausgenommen der nur aus Einsen oder der nur aus Nullen bestehenden Adresse, um die möglichen Host-IDs innerhalb der einzelnen Subnetze festzulegen.Erinnern Sie sich an den Inhalt von Kapitel 3, "IP-Adressierung", dass Sie die folgende Standardvorgehensweise beim Definieren des Bereichs gültiger IPv4-Unicastadressen fürein gegebenes Adresspräfix verwenden sollten:

• Legen Sie für die erste IPv4-Unicastadresse im Bereich für alle Hostbits in der Adresseden Wert 0 fest, ausgenommen für das niederwertigste Bit, für das Sie den Wert 1angeben.

• Legen Sie für die letzte IPv4-Unicastadresse im Bereich für alle Hostbits in der Adresseden Wert 1 fest, ausgenommen für das niederwertigste Bit, für das Sie den Wert 0angeben.

Das Ergebnis für die einzelnen Netzwerk-IDs der Subnetze ist ein Bereich von Werten, diedie möglichen IPv4-Unicastadressen für dieses Subnetz beschreiben.

Führen Sie die folgenden Schritte durch, um den Bereich gültiger IPv4-Adressen für einenSatz von Netzwerk-IDs für Subnetze mithilfe der binären Methode zu definieren:

1. Erstellen Sie auf Basis von n, der Anzahl der für die Subnetzbildung gewählten

Hostbits, eine dreispaltige Tabelle mit 2 n Zeilen. Die erste Spalte enthält dieSubnetznummern (mit 1 beginnend), die zweite Spalte enthält die binäreDarstellung der ersten und letzten IPv4-Adressen für Netzwerk-IDs der Subnetzeund die dritte Spalte enthält die Punkt-Dezimaldarstellung der ersten und letztenIPv4-Adressen für Netzwerk-IDs der Subnetze. Alternativ fügen Sie zwei Spaltenzur vorherigen Tabelle hinzu, die für die Auflistung der Netzwerk-IDs für dieSubnetze mithilfe des binären Verfahrens verwendet wurde.

2. In der zweiten Spalte der ersten Zeile handelt es sich bei der ersten IPv4-Adresse um die Adresse, in der alle Hostbits mit Ausnahme des letzten Hostbits auf 0 festgelegt sind. Die letzte IPv4-Adresse ist die Adresse, bei der alle Hostbits den Wert 1 erhalten, ausgenommen das letzte Hostbit.

3. In der dritten Spalte der ersten Zeile konvertieren Sie die binäre Darstellung in diePunkt-Dezimalnotation.

4. Wiederholen Sie die Schritte 2 und 3 für jede Zeile, bis die Tabelle fertig gestellt ist.

In Tabelle 4-5 wird zum Beispiel der Bereich von IPv4-Adressen für die3-Bit-Subnetzbildung von 192.168.0.0/16 mit fettgestellten Hostbits angezeigt.

Subnetz Binäre Darstellung Bereich von IPv4-Adressen

1 11000000.10101000.000 00000.00000001-11000000.10101000.000 11111.11111110

192.168.0.1 -192.168.31.254

2 11000000.10101000.001 00000.00000001-11000000.10101000.001 11111.11111110

192.168.32.1 -192.168.63.254

Subnetz Binäre Darstellung Bereich von IPv4-Adressen

3 11000000.10101000.010 00000.00000001-11000000.10101000.010 11111.11111110

192.168.64.1 -192.168.95.254

4 11000000.10101000.011 00000.00000001-11000000.10101000.011 11111.11111110

192.168.96.1 -192.168.127.254

5 11000000.10101000.100 00000.00000001-11000000.10101000.100 11111.11111110

192.168.128.1 -192.168.159.254

6 11000000.10101000.101 00000.00000001-11000000.10101000.101 11111.11111110

192.168.160.1 -192.168.191.254

7 11000000.10101000.110 00000.00000001-11000000.10101000.110 11111.11111110

192.168.192.1 -192.168.223.254

8 11000000.10101000.111 00000.00000001-11000000.10101000.111 11111.11111110

192.168.224.1 -192.168.255.254

Tabelle 4-5 Binäres Verfahren zum Definieren der Bereiche von IPv4-Adressenfür die 3-Bit-Subnetzbildung von 192.168.0.0/16

Führen Sie die folgenden Schritte durch, um den Bereich gültiger IPv4-Adressen für einenSatz von Netzwerk-IDs für Subnetze mithilfe der dezimalen Methode zu definieren:

1. Erstellen Sie auf Basis von n, der Anzahl der für die Subnetzbildung gewählten

Hostbits, eine dreispaltige Tabelle mit 2 n Zeilen. Die erste Spalte enthält dieSubnetznummern (mit 1 beginnend), die zweite Spalte enthält diePunkt-Dezimaldarstellung der Netzwerk-IDs der Subnetze und die dritte Spalteenthält die Punkt-Dezimaldarstellung der ersten und letzten IPv4-Adressen fürNetzwerk-IDs der Subnetze. Alternativ können Sie eine Spalte für die Auflistung derNetzwerk-IDs der Subnetze in Dezimalnotation zur vorherigen Tabelle hinzufügen.

2. Berechnen Sie für jede Zeile die erste IPv4-Adresse im Bereich, indem Sie den Wert1 zum letzten Oktett der Netzwerk-ID für die Subnetze hinzufügen.

3. Berechnen Sie für jede Zeile, mit Ausnahme der letzten Zeile, die letzteIPv4-Adresse im Bereich mithilfe der folgenden Formeln:

• Wenn Sie die Subnetzbildung innerhalb des ersten Oktetts durchführen, ist derletzte Wert für ein gegebenes Subnetz [ Nachfolgende Subnetz-ID- 1].255.255.254 (wobei Nachfolgende Subnetz-ID den Wert des Oktetts darstellt, das für die nächste in Subnetze unterteilte Netzwerk-ID in Subnetze unterteiltwird).

• Wenn Sie die Subnetzbildung innerhalb des zweiten Oktetts durchführen, ist derletzte Wert für ein gegebenes Subnetz w.[ Nachfolgende Subnetz-ID- 1].255.254.

• Wenn Sie die Subnetzbildung innerhalb des dritten Oktetts durchführen, ist derletzte Wert für ein gegebenes Subnetz w.x.[ Nachfolgende Subnetz-ID- 1].254.

• Wenn Sie die Subnetzbildung innerhalb des vierten Oktetts durchführen, ist derletzte Wert für ein gegebenes Subnetz w.x.y.[ NachfolgendeSubnetz-ID- 2].

4. Berechnen Sie für die letzte Zeile die letzte IPv4-Adresse im Bereich mithilfe derfolgenden Formeln:

• Wenn Sie die Subnetzbildung innerhalb des ersten Oktetts durchführen, ist derletzte Wert [ Subnetz-ID + i- 1].255.255.254 (wobei Subnetz-ID den Wert des Oktetts darstellt, das für die aktuelle in Subnetze unterteilte Netzwerk-ID inSubnetze unterteilt wird, und i ist der Inkrementwert, der beim Ermitteln der

Netzwerk-IDs für die Subnetze abgeleitet wird).

• Wenn Sie die Subnetzbildung innerhalb des zweiten Oktetts durchführen, ist derletzte Wert w.[ Subnetz-ID + i- 1].255.254.

• Wenn Sie die Subnetzbildung innerhalb des dritten Oktetts durchführen, ist derletzte Wert w.x. [ Subnetz-ID + i- 1].254.

• Wenn Sie die Subnetzbildung innerhalb des vierten Oktetts durchführen, ist derletzte Wert w.x.y.[ Subnetz-ID + i- 2].

In Tabelle 4-6 wird zum Beispiel der Bereich der IPv4-Adressen für die3-Bit-Subnetzbildung von 192.168.0.0/16 veranschaulicht.

Subnetz Netzwerk-ID für Subnetze Bereich von IPv4-Adressen

1 192.168.0.0/19 192.168.0.1 -192.168.31.254

2 192.168.32.0/19 192.168.32.1 -192.168.63.254

3 192.168.64.0/19 192.168.64.1 -192.168.95.254

4 192.168.96.0/19 192.168.96.1 -192.168.127.254

5 192.168.128.0/19 192.168.128.1 -192.168.159.254

6 192.168.160.0/19 192.168.160.1 -192.168.191.254

7 192.168.192.0/19 192.168.192.1 -192.168.223.254

8 192.168.224.0/19 192.168.224.1 -192.168.255.254

Tabelle 4-6 Dezimales Verfahren zum Definieren der Bereiche von IPv4-Adressenfür die 3-Bit-Subnetzbildung von 192.168.0.0/16

Subnetzbildung über eine Oktettgrenze hinwegWie die Subnetzbildung innerhalb eines Oktetts umfasst die Subnetzbildung über eineOktettgrenze hinweg ebenfalls zwei Schritte:

• Definieren der Netzwerk-IDs für die Subnetze

• Definieren des Bereichs verwendbarer IPv4-Adressen für die Netzwerk-IDs dereinzelnen Subnetze

Diese Schritte werden in den folgenden Abschnitten beschrieben.

Definieren der Netzwerk-IDs für die SubnetzeGehen Sie wie folgt vor, um Subnetze über Oktettgrenzen hinweg zu bilden:


Hostbits, eine dreispaltige Tabelle mit 2 n Zeilen. Die erste Spalte enthält dieSubnetznummern (mit 1 beginnend), die zweite Spalte enthält die Darstellung deraus 32 Bits bestehenden Netzwerk-IDs der Subnetze als einzelne Dezimalzahlen und die dritte Spalte enthält Punkt-Dezimaldarstellungen der Netzwerk-IDs für dieSubnetze.

2. Verwenden Sie die folgende Formel, um die Netzwerk-ID (w.x.y.z), für dieSubnetze erstellt werden, von der Punkt-Dezimalnotation in N zu konvertieren, eine dezimale Darstellung der aus 32 Bits bestehenden Netzwerk-ID:

N = w x 16777216 + x x 65536 + y x 256 + z

3. Berechnen Sie den Inkrementwert I mithilfe von I = 2 h, wobei h die Anzahl der verbleibenden Hostbits angibt.

4. Platzieren Sie in der ersten Zeile N, die dezimale Darstellung der Netzwerk-ID fürdie Subnetze, in die zweite Spalte und die für Subnetze zu unterteilendeNetzwerk-ID w.x.y.z mit ihrer neuen Präfixlänge in die dritte Spalte.

5. Fügen Sie in der nächsten Zeile I zur Dezimaldarstellung der vorherigen Zeile hinzu, und stellen Sie das Ergebnis in die zweite Spalte.

6. Konvertieren Sie die dezimale Darstellung der in Subnetze unterteilten Netzwerk-ID in die Punkt-Dezimalnotation (W.X.Y.Z), wobei Sie das folgende Schema verwenden (wobei s die dezimale Darstellung der in Subnetze unterteilten Netzwerk-ID angibt):

W = int(s /16777216)

X = int((s mod(16777216))/65536)

Y = int((s mod(65536))/256)

Z = s mod(256)

"int( )" bezeichnet eine ganzzahlige Division und "mod( )" bezeichnet den Modulus (den Rest einer Division).


Konstruieren Sie zum Beispiel zum Durchführen einer 4-Bit-Subnetzbildung für die

Netzwerk-ID 192.168.180.0/22 eine Tabelle mit 16 (2 4) Zeilen, wie in Tabelle 4-7 gezeigt. N, die dezimale Darstellung von 192.168.180.0 ist 3232281600, das Ergebnis aus 192 x 16777216 + 168 x 65536 + 180 x 256. Da 6 Hostbits verbleiben, ergibt das

Inkrement I den Wert 2 6 = 64. Zusätzliche Zeilen in der Tabelle sind auf 64 folgendeInkremente.

Subnetz Dezimale Darstellung Netzwerk-ID fürSubnetze

1 3232281600 192.168.180.0/26

2 3232281664 192.168.180.64/26

3 3232281728 192.168.180.128/26

4 3232281792 192.168.180.192/26

5 3232281856 192.168.181.0/26

6 3232281920 192.168.181.64/26

7 3232281984 192.168.181.128/26

8 3232282048 192.168.181.192/26

9 3232282112 192.168.182.0/26

10 3232282176 192.168.182.64/26

11 3232282240 192.168.182.128/26

12 3232282304 192.168.182.192/26

13 3232282368 192.168.183.0/26

14 3232282432 192.168.183.64/26

15 3232282496 192.168.183.128/26

16 3232282560 192.168.183.192/26

Tabelle 4-7 Dezimales Subnetzbildungsverfahren für die 4-Bit-Subnetzbildungvon 192.168.180.0/22

Bei dieser Methode handelt es sich um ein allgemeines Verfahren zur Subnetzbildung, das sowohl innerhalb eines Oktetts als auch über mehrere Oktetts hinweg angewendet werdenkann.

Definieren des Bereichs der IPv4-Adressen für die einzelnen SubnetzeFühren Sie die folgenden Schritte durch, um den Bereich verwendbarer Host-IDs für dieeinzelnen Netzwerk-IDs der Subnetze zu ermitteln:


Hostbit, eine dreispaltige Tabelle mit 2 n Zeilen. Die erste Spalte enthält dieSubnetznummern (mit 1 beginnend), die zweite Spalte enthält die dezimaleDarstellung der ersten und letzten IPv4-Adressen für Netzwerk-IDs der Subnetzeund die dritte Spalte enthält die Punkt-Dezimaldarstellung der ersten und letztenIPv4-Adressen für Netzwerk-IDs der Subnetze. Alternativ fügen Sie zwei Spaltenzur vorherigen Tabelle hinzu, die für die Auflistung der Netzwerk-IDs für dieSubnetze mithilfe des dezimalen Verfahrens zur Subnetzbildung verwendet wurde.

2. Berechnen Sie den Inkrementwert J auf Basis von h, der Anzahl der verbleibenden Hostbit:

J = 2 h- 2

3. Die erste IPv4-Adresse ist N + 1, wobei N die dezimale Darstellung der Netzwerk-ID für die Subnetze darstellt. Die letzte IPv4-Adresse ist N + J.

4. Konvertieren Sie die dezimale Darstellung der ersten und letzten IPv4-Adresse in die Punkt-Dezimalnotation (W.X.Y.Z), wobei Sie das folgende Schema verwenden (wobei s die dezimale Darstellung der ersten und letzten IPv4-Adresse angibt):

W = int(s /16777216)

X = int((s mod(16777216))/65536)

Y = int((s mod(65536))/256)

Z = s mod(256)

"int( )" bezeichnet eine ganzzahlige Division und "mod( )" bezeichnet den Modulus (den Rest einer Division).

5. Wiederholen Sie die Schritte 3 und 4 für jede Zeile der Tabelle.

In Tabelle 4-8 wird zum Beispiel der Bereich von IPv4-Adressen für die

4-Bit-Subnetzbildung von 192.168.180.0/22 angezeigt. Das Inkrement J ist 2 6- 2 = 62.

Subnetz Dezimale Darstellung Bereich von IPv4-Adressen

1 3232281601-3232281662 192.168.180.1-192.168.180.62

2 3232281665-3232281726 192.168.180.65-192.168.180.126

3 3232281729-3232281790 192.168.180.129-192.168.180.190

4 3232281793-3232281854 192.168.180.193-192.168.180.254

5 3232281857-3232281918 192.168.181.1-192.168.181.62

6 3232281921-3232281982 192.168.181.65-192.168.181.126

7 3232281985-3232282046 192.168.181.129-192.168.181.190

8 3232282049-3232282110 192.168.181.193-192.168.181.254

9 3232282113-3232282174 192.168.182.1-192.168.182.62

10 3232282177-3232282238 192.168.182.65-192.168.182.126

11 3232282241-3232282302 192.168.182.129-192.168.182.190

12 3232282305-3232282366 192.168.182.193-192.168.182.254

13 3232282369-3232282430 192.168.183.1-192.168.183.62

14 3232282433-3232282494 192.168.183.65-192.168.183.126

15 3232282497-3232282558 192.168.183.129-192.168.183.190

16 3232282561-3232282622 192.168.183.193-192.168.183.254

Tabelle 4-8 Dezimale Auflistung der Bereiche von IPv4-Adressen für die4-Bit-Subnetzbildung von 192.168.180.0/22

Subnetzbildung mit variabler LängeEiner der ursprünglichen Verwendungszwecke der Subnetzbildung war die Unterteilungeiner klassenbasierten Netzwerk-ID in eine Reihe gleichgroßer Subnetze. Die4-Bit-Subnetzbildung für die Netzwerk-ID der Klasse B erzeugt zum Beispiel 16gleichgroße Subnetze. Die Subnetzbildung ist jedoch eine allgemeine Methode, bei derHostbits zum Festlegen von Subnetzen verwendet werden und die keine gleichgroßenSubnetze erwartet.

Verschieden große Subnetze können sowohl in klassenbasierten als auch in klassenfreienNetzwerk-IDs vorhanden sein. Diese Anwendung ist für reale Umgebungen angemessen,in der Netzwerke einer Organisation eine unterschiedliche Anzahl von Hosts enthalten und in der Sie verschieden große Subnetze benötigen, um die Verschwendung vonIPv4-Adressen zu vermeiden. Das Verfahren zur Erstellung und Bereitstellung von verschieden großen Subnetzen mit Hilfe einer IPv4-Netzwerk-ID ist als Subnetzbildung mitvariabler Länge bekannt und dieses Verfahren verwendet variable Präfixlängen, die auchals Subnetzmasken mit variabler Länge (Variable Length Subnet Mask - VLSM) bezeichnetwerden.

Die Subnetzbildung mit variabler Länge ist ein Verfahren zum Zuweisen von Netzwerk-IDsfür Subnetze, die Präfixlängen unterschiedlicher Größe verwenden. Alle in Subnetzeunterteilten Netzwerk-IDs sind jedoch eindeutig und Sie können sie über ihreentsprechende Präfixlänge voneinander unterscheiden.

Bei der Subnetzbildung mit variabler Länge wird im Wesentlichen die Subnetzbildung füreine zuvor in Subnetze unterteilte Netzwerk-ID durchgeführt. Wenn Sie Subnetze bilden,behalten Sie die feste Netzwerk-ID und wählen eine bestimmte Anzahl von Hostbits zurDarstellung der Subnetze. Bei der Subnetzbildung mit variabler Länge ist die in Subnetzezu unterteilende Netzwerk-ID bereits in Subnetze unterteilt.

Beispiel für die Subnetzbildung mit variabler LängeBei der gegebenen Netzwerk-ID 157.54.0.0/16 muss bei der erforderlichen Konfiguration zum Beispiel die Hälfte der Adressen für zukünftige Verwendungen reserviert werden,während 15 Adresspräfixe für Standorte der Organisation mit bis zu 2.000 Hosts und achtSubnetze mit bis zu 250 Hosts erstellt werden.

Damit die Hälfte des Adressraums für die zukünftige Verwendung reserviert wird, muss für1 Bits der klassenbasierten Netzwerk-ID 157.54.0.0 eine Subnetzbildung erfolgen. Durch diese Subnetzbildung werden 2 Subnetze erzeugt, 157.54.0.0/17 und 157.54.128.0/17, wodurch der Adressraum in zwei Hälften geteilt wird. Sie können der Anforderungentsprechen, indem Sie 157.54.0.0/17 als Netzwerk-ID für den reservierten Teil desAdressraums verwenden.

In Tabelle 4-9 wird die Reservierung des halben Adressraums veranschaulicht.

Subnetznummer Netzwerk-ID (Punkt-Dezimal)

Netzwerk-ID(Netzwerkpräfix)

1 157.54.0.0, 255.255.128.0 157.54.0.0/17

Tabelle 4-9 Reservieren des halben Adressraums

Damit die Anforderung hinsichtlich der 15 Adresspräfixe mit ungefähr 2.000 Hosts proPräfix erfüllt wird, nutzen Sie 4 Bits der in Subnetze unterteilten Netzwerk-ID157.54.128.0/17 für die Subnetzbildung. Durch diese Subnetzbildung werden 16Adresspräfixe erzeugt (157.54.128.0/21, 157.54.136.0/21...157.54.240.0/21,157.54.248.0/21), wodurch bis zu 2.046 Hosts pro Adresspräfix möglich sind. Sie könnender Anforderung entsprechen, indem Sie die ersten 15 in Subnetze unterteilte Netzwerk-IDs als Adresspräfixe für andere Standorte wählen (157.54.128.0/21 bis157.54.240.0/21).

In Tabelle 4-10 werden 15 Adresspräfixe mit bis zu 2.046 Hosts pro Subnetz dargestellt.



1 157.54.128.0, 255.255.248.0

157.54.128.0/21



2 157.54.136.0, 255.255.248.0

157.54.136.0/21

3 157.54.144.0, 255.255.248.0

157.54.144.0/21

4 157.54.152.0, 255.255.248.0

157.54.152.0/21

5 157.54.160.0, 255.255.248.0

157.54.160.0/21

6 157.54.168.0, 255.255.248.0

157.54.168.0/21

7 157.54.176.0, 255.255.248.0

157.54.176.0/21

8 157.54.184.0, 255.255.248.0

157.54.184.0/21

9 157.54.192.0, 255.255.248.0

157.54.192.0/21

10 157.54.200.0, 255.255.248.0

157.54.200.0/21

11 157.54.208.0, 255.255.248.0

157.54.208.0/21

12 157.54.216.0, 255.255.248.0

157.54.216.0/21

13 157.54.224.0, 255.255.248.0

157.54.224.0/21

14 157.54.232.0, 255.255.248.0

157.54.232.0/21

15 157.54.240.0, 255.255.248.0

157.54.240.0/21

Tabelle 4-10 Fünfzehn Adresspräfixe mit bis zu 2046 Hosts

Damit der Anforderung von acht Subnetzen mit bis zu 250 Hosts entsprochen wird, nutzen Sie 3 Bits der in Subnetze unterteilten Netzwerk-ID 157.54.248.0/21 für dieSubnetzbildung. Dabei entstehen acht Subnetze (157.54.248.0/24, 157.54.249.0/24...157.54.254.0/24, 157.54.255.0/24) und es sind somit bis zu 254 Hosts pro Subnetz möglich. Sie können der Anforderung entsprechen, indem Sie alle acht inSubnetze unterteilte Netzwerk-IDs (157.54.248.0/24 bis 157.54.255.0/24) als zu einzelnen Subnetzen zuzuweisende Netzwerk-IDs wählen.

In Tabelle 4-11 werden acht Subnetze mit 254 Hosts pro Subnetz dargestellt.



1 157.54.248.0, 255.255.255.0

157.54.248.0/24

2 157.54.249.0, 255.255.255.0

157.54.249.0/24

3 157.54.250.0, 255.255.255.0

157.54.250.0/24

4 157.54.251.0, 255.255.255.0

157.54.251.0/24



5 157.54.252.0, 255.255.255.0

157.54.252.0/24

6 157.54.253.0, 255.255.255.0

157.54.253.0/24

7 157.54.254.0, 255.255.255.0

157.54.254.0/24

8 157.54.255.0, 255.255.255.0

157.54.255.0/24

Tabelle 4-11 Acht Subnetze mit bis zu 254 Hosts

Abbildung 4-4 zeigt die Subnetzbildung mit variabler Länge für 157.54.0.0/16.

Abbildung 4-4 Subnetzbildung mit variabler Länge für157.54.0.0/16Bild maximieren

Subnetzbildung mit variabler Länge und RoutingIn dynamischen Routingumgebungen können Sie die Subnetzbildung mit variabler Längenur dort bereitstellen, wo die Präfixlänge zusammen mit der Netzwerk-ID bekanntgegeben wird. RIP1 (Routing Information Protocol Version 1) unterstützt keineSubnetzbildung mit variabler Länge - RIP2, OSPF (Open Shortest Path First) und BGPv4(Border Gateway Protocol Version 4) jedoch schon.

Zum Seitenanfang

Subnetzbildung für IPv6Bei der Subnetzbildung im IPv6-Adressraum unterteilen Sie das 16 Bits umfassende Feld der Subnetz-ID für ein 48 Bits langes globales Adresspräfix in einer Weise, die dieRoutenzusammenfassung und die Delegierung des verbleibenden Adressraums in unterschiedliche Abschnitte eines IPv6-Intranets zulässt.

Die Subnetzbildung muss in keiner bestimmten Form durchgeführt werden. Die hierbeschriebenen Verfahren zur Subnetzbildung gehen davon aus, dass Sie die Subnetze durch Unterteilen der variablen Abschnitte des Adressraums für das Subnetz-ID-Feldunter Verwendung der höherwertigen Bits bilden. Obwohl diese Methode einehierarchische Adressierung und hierarchisches Routing fördert, sind diese nichterforderlich. Sie können zum Beispiel in einer kleinen Organisation mit wenigen Subnetzeneinfach einen ebenen Adressraum für globale Adressen erstellen, indem Sie die Subnetzenummerieren und dabei mit 0 beginnen.

Subnetzbildung für ein globales AdresspräfixBei globalen Adressen weist die IANA (Internet Assigned Numbers Authority) oder ein Internetdienstanbieter ein IPv6-Adresspräfix zu, bei dem die ersten 48 Bits festgelegtsind. Die Subnetzbildung für das Subnetz-ID-Feld eines globalen Adresspräfixes mit einerLänge von 48 Bits erfordert ein zweistufiges Verfahren:

1. Ermitteln der für die Subnetzbildung zu verwendenden Bitanzahl.

2. Auflisten der neuen Netzwerkpräfixe für die Subnetze.

Ermitteln der Bitanzahl für die SubnetzbildungDie Anzahl der für die Subnetzbildung verwendeten Bits bestimmt die mögliche Anzahl

neuer, in Subnetze unterteilter Netzwerkpräfixe, die Sie Bereichen Ihres Netzwerkszuweisen können, die auf geografischer oder abteilungsbezogener Basis unterteilt sind. Beieiner hierarchischen Routinginfrastruktur müssen Sie ermitteln, wie viele Netzwerkpräfixeund somit wie viele Bits aufs den einzelnen Hierarchieebenen erforderlich sind. Je mehr Bits Sie für die verschiedenen Ebenen der Hierarchie wählen, je weniger Bits stehen füreinzelne Subnetze für die letzte Ebene der Hierarchie zur Verfügung.

Sie können sich zum Beispiel für die Implementierung einer aus zwei Ebenen bestehendenHierarchie entscheiden, die die geografische/abteilungsbezogene Struktur widerspiegelt und dabei 4 Bits für die geografische Ebene und 6 Bits für die Abteilungsebeneverwenden. Dieses Schema ermöglicht 16 geografische Regionen und jede Abteilung inden einzelnen Regionen verfügt nur über 6 Bits für die Subnetzbildung (16 - 6 - 4) oder

nur 64 (=2 6) Subnetze pro Abteilung.

Bei jeder gegebenen Ebene in der Hierarchie ist bereits eine bestimmte Anzahl von Bits durch die vorherige Ebene in der Hierarchie festgelegt (f), eine Anzahl von Bits wird fürdie Subnetzbildung auf der aktuellen Ebene in der Hierarchie verwendet (s) und eine Anzahl von Bits verbleibt für die nächste Ebene in der Hierarchie (r). Zu jeder Zeit gilt f + s + r = 16. In Abbildung 4-5 wird diese Beziehung veranschaulicht.

Abbildung 4-5 Subnetzbildung für das Subnetz-ID-Feldeiner globalen IPv6-AdresseBild maximieren

Auflisten von Netzwerkpräfixes für SubnetzeAuf Basis der für die Subnetzbildung verwendeten Bits müssen Sie die neuenNetzwerkpräfixe für die Subnetze auflisten, wobei Sie einen der beiden Hauptansätzeverwenden können:

• Auflisten der neuen Netzwerkpräfixe für Subnetze durch Verwenden der hexadezimalenDarstellungen der Subnetz-ID und des Inkrements.

• Auflisten der neuen Netzwerkpräfixe für Subnetze durch Verwenden der dezimalenDarstellungen der Subnetz-ID und des Inkrements.

Beide Methoden erzeugen dasselbe Ergebnis: eine Liste mit Netzwerkpräfixen fürSubnetze.

Führen Sie die folgenden Schritte durch, um eine Liste der Netzwerkpräfixe für Subnetzemithilfe der hexadezimalen Methode zu erstellen:

1. Berechnen Sie Folgendes auf Basis von s, der Anzahl der für die Subnetzbildunggewählten Bits und m, der Präfixlänge für das in Subnetze zu unterteilendeNetzwerkpräfix:

f = m- 48

f stellt die Anzahl der bereits feststehenden Bits innerhalb der Subnetz-ID dar.

n = 2 s

n stellt die Anzahl der Netzwerkpräfixe dar, die Sie erhalten.

i = 2 16-(f+s)

i stellt den Inkrementwert zwischen den einzelnen aufeinanderfolgenden Subnetz-IDs in hexadezimaler Form dar.

P = m+s

P ist die Präfixlänge der neuen, in Subnetze unterteilten Netzwerkpräfixe.

2. Erstellen Sie eine zweispaltige Tabelle mit n Zeilen. Die erste Spalte enthält dieNetzwerkpräfixnummern (mit 1 beginnend) und die zweite Spalte enthält dieneuen, in Subnetze unterteilten Netzwerkpräfixe.

3. Platzieren Sie das ursprüngliche Netzwerkpräfix mit der neuen Präfixlänge in derersten Zeile in die zweite Spalte. Basierend auf F, dem hexadezimalen Wert der in Subnetze zu unterteilenden Subnetz-ID, ergibt sich zum Beispiel das in Subnetze unterteilte Netzwerkpräfix [48-Bit-Präfix]: F::/ P.

4. In der nächsten Zeile erhöhen Sie den Wert innerhalb des Subnetz-ID-Abschnittsder standortlokalen oder globalen Adresse um i und platzieren das Ergebnis in der zweiten Spalte. In der zweiten Zeile ist das in Subnetze unterteilte Präfix zumBeispiel [48-Bit-Präfix]: F + i::/ P.

5. Wiederholen Sie den Schritt 4, bis die Tabelle abgeschlossen ist.

Wenn Sie eine 3-Bit-Subnetzbildung für das globale Adresspräfix 3FFE:FFFF:0:C000::/51durchführen möchten, berechnen Sie zuerst die Werte für die Anzahl der Präfixe, für dasInkrement und für die neue Präfixlänge. Die Ausgangswerte sind F =0xC000, s =3, m =51

und somit ist f =51-48=3. Die Anzahl der Präfixe beträgt 8 (n =2 3). Das Inkrement

beträgt 0x400 (i =2 16-(3+3) =1024=0x400). Die neue Präfixlänge ist 54 (P =51+3).

Als nächstes erstellen Sie eine Tabelle mit acht Zeilen, wie in Tabelle 4-12 gezeigt. In derZeile für das Netzwerkpräfix 1 tragen Sie 3FFE:FFFF:0:C000::/54 in der zweiten Spalte einund vervollständigen die verbleibenden Zeilen durch Erhöhen des Subnetz-ID-Abschnittsdes Netzwerkpräfixes um 0x400.

Netzwerkpräfix Netzwerkpräfix für Subnetze

1 3FFE:FFFF:0:C000::/54

2 3FFE:FFFF:0:C400::/54

3 3FFE:FFFF:0:C800::/54

4 3FFE:FFFF:0:CC00::/54

5 3FFE:FFFF:0:D000::/54

6 3FFE:FFFF:0:D400::/54

7 3FFE:FFFF:0:D800::/54

8 3FFE:FFFF:0:DC00::/54

Tabelle 4-12 Hexadezimales Verfahren für die 3-Bit-Subnetzbildung von3FFE:FFFF:0:C000::/51

Führen Sie Folgendes durch, um eine Aufzählungsliste der Netzwerkpräfixe für Subnetzemithilfe der dezimalen Methode zu erstellen:

1. Berechnen Sie Folgendes auf Basis von s, der Anzahl der für die Subnetzbildungverwendeten Bits, m, der Präfixlänge für das in Subnetze zu unterteilendeNetzwerkpräfix und F, dem hexadezimalen Wert der in Subnetze zu unterteilenden Subnetz-ID:

f = m- 48

f stellt die Anzahl der bereits feststehenden Bits innerhalb der Subnetz-ID dar.

n = 2 s

n stellt die Anzahl der Netzwerkpräfixe dar, die Sie erhalten.

i = 2 16-(f+s)

i stellt den Inkrementwert zwischen den einzelnen aufeinanderfolgenden Subnetz-IDs dar.

P = m + s

P ist die Präfixlänge der neuen, in Subnetze unterteilten Netzwerkpräfixe.

D = dezimale Darstellung von F

2. Erstellen Sie eine dreispaltige Tabelle mit n Zeilen. Die erste Spalte enthält dieNetzwerkpräfixnummern (mit 1 beginnend), die zweite Spalte enthält die dezimaleDarstellung der Subnetz-ID-Abschnitte für die neuen, in Subnetze unterteiltenNetzwerkpräfixe und die dritte Spalte enthält die neuen, in Subnetze unterteiltenNetzwerkpräfixe.

3. Platzieren Sie in der ersten Zeile die dezimale Darstellung der Subnetz-ID (D) in die erste Spalte und dann das in Subnetze unterteilte Präfix [48-Bit-Präfix]: F::/ P in die zweite Spalte.

4. Erhöhen Sie in der nächsten Zeile die dezimale Darstellung der Subnetz-ID um i, und tragen Sie das Ergebnis in die zweite Spalte ein. In der zweiten Zeile ist die dezimale Darstellung der Subnetz-ID zum Beispiel D + i.

5. Konvertieren Sie in der dritten Zeile die dezimale Darstellung der Subnetz-ID in das hexadezimale Format, und erstellen Sie das Präfix aus [48-Bit-Präfix]:[ Subnetz-ID]::/ P. In der zweiten Zeile ist das in Subnetze unterteilte Netzwerkpräfix zumBeispiel [48-Bit-Präfix]:[ D + i (in hexadezimaler Form)]::/ P.


Wenn Sie zum Beispiel eine 3-Bit-Subnetzbildung für das standortlokale Netzwerkpräfix3FFE:FFFF:0:C000::/51 durchführen möchten, berechnen Sie zuerst die Werte für dieAnzahl der Präfixe, das Inkrement, die neue Präfixlänge und die dezimale Darstellung deranfänglichen Subnetz-ID. Unsere Ausgangswerte sind F =0xC000, s =3, m =51 und somit

f =51-48=3. Die Anzahl der Präfixe beträgt 8 (n =2 3). Das Inkrement ist 1024 (i =2 16-(3+3)). Die neue Präfixlänge ist 54 (P =51+3). Die dezimale Darstellung deranfänglichen Subnetz-ID ist 49152 (D=0xC000=49152).

Erstellen Sie als nächstes eine Tabelle mit 8 Zeilen wie in Tabelle 4-13 gezeigt. PlatzierenSie in der Zeile für das Netzwerkpräfix 1 den Wert 49192 in die erste Spalte und3FFE:FFFF:0:C000::/54 in die zweite Spalte. Erhöhen Sie in den verbleibenden Zeilen denSubnetz-ID-Abschnitt des Netzwerkpräfixes (der vierte hexadezimale Block) um 1024,und konvertieren Sie das Ergebnis in das hexadezimale Format.

Netzwerkpräfix Dezimale Darstellung der Subnetz-ID

Netzwerkpräfix für Subnetze

1 49192 3FFE:FFFF:0:C000::/54

2 50176 3FFE:FFFF:0:C400::/54

3 51200 3FFE:FFFF:0:C800::/54

4 52224 3FFE:FFFF:0:CC00::/54

5 53248 3FFE:FFFF:0:D000::/54

6 54272 3FFE:FFFF:0:D400::/54

7 55296 3FFE:FFFF:0:D800::/54

8 56320 3FFE:FFFF:0:DC00::/54

Tabelle 4-13 Dezimales Verfahren für die 3-Bit-Subnetzbildung von3FFE:FFFF:0:C000::/51

Subnetzbildung mit variabler LängeSie können Subnetze wie bei IPv4 auch für IPv6-Adresspräfixe rekursiv bis zu den 64 Bitserstellen, die das Adresspräfix für ein einzelnes Subnetz definieren, um dieRoutenzusammenfassung auf verschiedenen Ebenen des Intranets in der Organisation bereitzustellen. Anders als bei IPv4 können Sie die Subnetzbildung mit variabler Längenicht dazu verwenden, um Subnetze unterschiedlicher Größe zu erstellen, da alleIPv6-Subnetze eine aus 64 Bits bestehende Netzwerk-ID und eine ebenfalls 64 Bits umfassende Schnittstellen-ID verwenden.

Zum Seitenanfang


• Die Subnetzbildung besteht aus einer Reihe von Verfahren, mit denen Sie den Adressraum für ein oder mehrere Unicastadresspräfixe effizient den Subnetzen einesUnternehmensnetzwerks zuweisen können.

• Wenn Sie die Netzwerk-ID einer IPv4-Adresskonfiguration in der Präfixlängennotation(w.x.y.z / n) ermitteln möchten, bewahren Sie die n höherwertigen Bits und legen füralle verbleibenden Bits den Wert 0 fest, um das Ergebnis dann in die Punkt-Dezimalnotation zu konvertieren. Wenn Sie die Netzwerk-ID einer IPv4-Adresskonfiguration in Subnetzmaskennotation ermitteln möchten, führen Sie einebitweise logische UND-Operation zwischen der IPv4-Adresse und ihrer Subnetzmaske durch.

• Wenn Sie die Anzahl der Host-ID-Bits in einem IPv4-Adresspräfix für dieSubnetzbildung ermitteln möchten, entscheiden Sie sich für eine größere Anzahl vonSubnetzen anstelle einer größeren Anzahl von Hosts pro Subnetz, wenn Sie über mehrmögliche Host-IDs verfügen, als in einem gegebenen Subnetz geeignet sind.

• Verwenden Sie zum Erstellen von Subnetzen für ein IPv4-Adresspräfix entweder diebinäre oder die dezimale Methode wie in diesem Kapitel beschrieben, um die inSubnetze unterteilten Netzwerk-IDs und die Bereiche verwendbarer IPv4-Adressen fürdie einzelnen Subnetze aufzulisten.

• Die Subnetzbildung mit variabler Länge ist ein Verfahren zum Erstellen von in Subnetzeunterteilten IPv4-Netzwerk-IDs, die Präfixlängen unterschiedlicher Größe verwenden.

• Verwenden Sie zum Erstellen von Subnetzen für ein globales IPv6-Adresspräfixentweder die hexadezimale oder die dezimale Methode wie in diesem Kapitel beschrieben, um die in Subnetze unterteilten Netzwerk-IDs aufzulisten.

Zum Seitenanfang

KapitelglossarSubnetzbildung - Unterteilen des Adressraums eines IPv4- oder IPv6-Adresspräfixes.

In Subnetze unterteilte Netzwerk-ID - Eine neue IPv4-Netzwerk-ID, die das Ergebnis der Subnetzbildung für eine IPv4-Netzwerk-ID darstellt.

In Subnetze unterteiltes Netzwerkpräfix - Ein neues IPv6-Adresspräfix, das das Ergebnisder Subnetzbildung für ein IPv6-Adresspräfix darstellt.

VLSMs (Variable Length Subnet Masks) - Die Verwendung verschiedener Subnetzmasken zum Erzeugen von Subnetzen unterschiedlicher Größe.

Subnetzbildung mit variabler Länge (siehe VLSMs)- Die Verwendung von Subnetzmaskenvariabler Länge.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 5 – IP-RoutingVeröffentlicht: 08. Feb 2005

Zusammenfassung

In diesem Kapitel wird beschrieben, wie Pakete mithilfe von IPv4 und IPv6 von einer Quelle an ein Ziel geleitet werden.Außerdem werden die grundlegenden Konzepte derRoutinginfrastruktur erläutert. Ein Netzwerkadministrator mussbeim Entwerfen von IP-Netzwerken und bei der verbindungsbezogenen Problembehandlung die Routingtabellen, die Prozesse zur Routenermittlung sowie die Routinginfrastruktur verstehen.

Auf dieser Seite

ble cellspacing="0" cellpadding="0" border="0">Ziele dieses Kapitels

Übersicht über das IP-Routing

IPv4-Routing

• Die direkte Zustellung tritt auf, wenn der IP-Knoten (entweder der sendende Host oder ein IP-Router) ein Paket an ein endgültiges Ziel in einem direkt angeschlossenenSubnetz weiterleitet. Der IP-Knoten kapselt das IP-Diagramm in einem Rahmen für die Netzzugangsschicht.Für eine LAN-Technologien wie Ethernet oder IEEE 802.11(Institute of Electrical and Electronic Engineers) adressiert der IP-Knoten den Rahmen an die MAC-Adresse (Media Access Control) des Ziels.

• Die indirekte Zustellung tritt auf, wenn der IP-Knoten (entweder der sendende Host oder ein IP-Router) ein Paket an einen Zwischenknoten (einen IP-Router) sendet, da sich das endgültige Ziel nicht in einem direkt angeschlossenenSubnetz befindet. Für eine LAN-Technologien wie Ethernetoder IEEE 802.11 adressiert der IP-Knoten den Rahmen an die MAC-Adresse des IP-Routers.

Das IP-Routing von einem Startpunkt zu einem anderen Endpunkt über ein IP-Netzwerk kombiniert direkte und indirekteZustellungen.

In Abbildung 5-1 führt Host A, beim Senden von Paketen anHost B, eine direkte Zustellung durch. Beim Senden von Paketen an Host C führt Host A eine indirekte Zustellung an Router 1 undRouter 1 eine indirekte Zustellung an Router 2 durch, grundlegenden Konzepte des IP-Routings, einschließlich direkterund indirekter Zustellung, von Routingtabellen und deren Inhalten sowie des statischen und dynamischen Routings.

• Erläutern, wie IPv4-Routing mit derTCP/IP-Komponente von Windows®funktioniert, einschließlich dem Inhalt vonRoutingtabellen und dem Verfahren zur Routenermittlung.

• Definieren derIPv4-Routenzusammenführung undRoutenzusammenfassung.

• Konfigurieren von Windows-Hosts, statischen und dynamischen Routern fürdas Routing.

• Definieren der Netzwerkadressübersetzung(NAT) und ihrer Verwendung im Internet.

• Erläutern, wie IPv6-Routing mit derIPv6-Komponente von Windows funktioniert, einschließlich dem Inhalt vonRoutingtabellen und dem Verfahren zur

In diesem Beitrag

• Übersicht




















Routenermittlung.

• Konfigurieren von Hosts und statischen Routern für die IPv6-Komponente vonWindows.

• Definieren der Verwendung der Tools Route, Netsh, Ping, Tracert und Pathping beim IPv4- und IPv6-Routing.

Zum Seitenanfang

Übersicht über das IP-RoutingDas IP-Routing stellt den Prozess der Weiterleitung eines Pakets auf Basis der IP-Zieladresse dar. Das Routing erfolgt bei einem sendenden TCP/IP-Host und auf einem IP-Router. In beiden Fällen muss die IP-Ebene auf demsendenden Host oder auf dem Router entscheiden, wohin das Paket weitergeleitet wird. Für IPv4 werden Routerauch häufig als Gateways bezeichnet.

Damit sie diese Entscheidungen treffen kann, muss die IP-Ebene eine Routingtabelle zu Rate ziehen, die im Speicher abgelegt ist. Die Einträge von Routingtabellen werden standardmäßig bei der Initialisierung vonTCP/IP erstellt, wobei Einträge auch manuell oder automatisch hinzugefügt werden können.

Direkte und indirekte ZustellungWeitergeleitete IP-Pakete verwenden mindestens eine von zwei Zustellungsarten, wobei die Auswahl darauf basiert, ob das IP-Paket an sein Ziel oder an einen IP-Router weitergeleitet wird. Diese beiden Arten der Lieferung sind als direkte und indirekte Zustellung bekannt.

• Die direkte Zustellung tritt auf, wenn der IP-Knoten (entweder der sendende Host oder ein IP-Router) ein Paket an ein endgültiges Ziel in einem direkt angeschlossenen Subnetz weiterleitet. Der IP-Knoten kapseltdas IP-Diagramm in einem Rahmen für die Netzzugangsschicht. Für eine LAN-Technologien wie Ethernet oderIEEE 802.11 (Institute of Electrical and Electronic Engineers) adressiert der IP-Knoten den Rahmen an die MAC-Adresse (Media Access Control) des Ziels.

• Die indirekte Zustellung tritt auf, wenn der IP-Knoten (entweder der sendende Host oder ein IP-Router) ein Paket an einen Zwischenknoten (einen IP-Router) sendet, da sich das endgültige Ziel nicht in einem direktangeschlossenen Subnetz befindet. Für eine LAN-Technologien wie Ethernet oder IEEE 802.11 adressiert derIP-Knoten den Rahmen an die MAC-Adresse des IP-Routers.

Das IP-Routing von einem Startpunkt zu einem anderen Endpunkt über ein IP-Netzwerk kombiniert direkte undindirekte Zustellungen.

In Abbildung 5-1 führt Host A, beim Senden von Paketen an Host B, eine direkte Zustellung durch. BeimSenden von Paketen an Host C führt Host A eine indirekte Zustellung an Router 1 und Router 1 eine indirekteZustellung an Router 2 durch, während Router 2 anschließend eine direkte Zustellung an Host C durchführt.

Abbildung 5-1 Direkte und indirekte ZustellungBild maximieren

IP-RoutingtabelleRoutingtabellen befinden sich auf jedem IP-Knoten. Die Routingtabelle speichert Informationen zu IP-Zielen und möglichen Verbindungen zu den Zielen (entweder direkt oder indirekt). Da alle IP-Knoten eine Form desIP-Routings durchführen, stehen Routingtabellen nicht ausschließlich den IP-Routern zur Verfügung. JederKnoten, der das TCP/IP-Protokoll verwendet, verfügt über eine Routingtabelle. Jede Tabelle enthält gemäß derKonfiguration des Knotens eine Reihe von Standardeinträgen und zusätzliche Einträge können manuell oderautomatisch hinzugefügt werden, z. B. durch Administratoren, die TCP/IP-Tools verwenden oder automatisch,wenn Knoten Nachrichten mit Routinginformationen überwachen, die von Routern gesendet wurden.

Folgendes wird mithilfe der Routingtabelle ermittelt, wenn ein Paket per IP weitergeleitet wird:

• IP-Adresse des nächsten Knotens

Bei einer direkten Zustellung ist die IP-Adresse des nächsten Knotens die Zieladresse im IP-Paket. Bei einerindirekten Zustellung ist die IP-Adresse des nächsten Knotens die IP-Adresse eines Routers.

• Schnittstelle für den nächsten Knoten

Die Schnittstelle kennzeichnet die physische oder logische Schnittstelle, die das Paket weiterleitet.

RoutingtabelleneinträgeEin typischer IP-Routingtabelleneintrag umfasst die folgenden Felder:

• Ziel

Entweder eine IP-Adresse oder ein IP-Adresspräfix.

• Präfixlänge

Die Präfixlänge, die der Adresse oder dem Adressbereich am Ziel entspricht.

• Nächster Knoten

Die IP-Adresse, an die das Paket weitergeleitet wird.

• Schnittstelle

Die Netzwerkschnittstelle, die das IP-Paket weiterleitet.

• Metrik

Eine Zahl, die die Kosten der Route angibt, damit aus den vielen potenziell möglichen Routen zum Ziel dieoptimale Route ausgewählt werden kann. Die Metrik gibt manchmal die Anzahl der zu durchlaufenden Knoten(die Anzahl der zu überquerenden Verbindungspunkte) im Pfad zum Ziel an.

In Routingtabelleneinträgen können die folgenden Routentypen gespeichert werden:

• Direkt angeschlossene Subnetzwerkrouten

Routen für Subnetze, an die der Knoten direkt angeschlossen ist. Bei direkt angeschlossenenSubnetzwerkrouten kann das Feld für den nächsten Knoten leer sein oder die IP-Adresse der Schnittstelle indem betreffenden Subnetz enthalten.

• Remotesubnetzwerkrouten

Routen für Subnetze, die über Router erreichbar und nicht direkt an den Knoten angeschlossen sind. BeiRemotesubnetzwerkrouten enthält das Feld für den nächsten Knoten die IP-Adresse eines benachbartenRouters.

• Hostrouten

Eine Route zu einer bestimmten IP-Adresse. Hostrouten ermöglichen ein Routing basierend auf einzelnenIP-Adressen.

• Standardroute

Diese Route wird verwendet, wenn keine konkrete Subnetzwerk- oder Hostroute vorhanden ist. Die Adressefür den nächsten Knoten der Standardroute ist normalerweise das Standardgateway oder der Standardrouterdes Knotens.

Statisches und dynamisches RoutingDamit IP-Pakete effizient zwischen Routern im IP-Netzwerk weitergeleitet werden können, müssen Routerentweder über detaillierte Informationen zu Remotesubnetzrouten verfügen oder ordnungsgemäß mit einerStandardroute konfiguriert sein. In großen IP-Netzwerken ist eine der Herausforderungen, die sich Ihnen alsNetzwerkadministrator stellt, wie die Routingtabellen auf den IP-Routern gepflegt werden, so dass der IP-Verkehr den optimalen Pfad einschlägt und dabei fehlertolerant ist.

Es gibt zwei Möglichkeiten, um Routingtabelleneinträge auf IP-Routern zu verwalten:

• Manuell

Statische IP-Router besitzen Routingtabellen, die sich nicht ändern, außer sie werden von einemNetzwerkadministrator manuell geändert. Das statische Routing erfordert eine manuelle Wartung derRoutingtabellen durch einen Netzwerkadministrator. Statische Router ermitteln keine Remoterouten und sind nicht fehlertolerant. Wenn ein statischer Router ausfällt, erkennen die benachbarten Router den Fehler nichtund können somit keine anderen Router darüber benachrichtigen.

• Automatisch

Dynamische IP-Router besitzen Routingtabellen, die sich automatisch ändern, wenn die RouterRoutinginformationen austauschen. Beim dynamischen Routing werden Routingprotokolle verwendet, z. B. RIP (Routing Information Protocol) und OSPF (Open Shortest Path First), um Routingtabellen dynamisch zu aktualisieren. Dynamische Router ermitteln Remoterouten und sind fehlertolerant. Wenn ein dynamischer Router ausfällt, erkennen benachbarte Router den Fehler und verbreiten die geänderten Routinginformationenauf andere Router im Netzwerk.

Dynamisches RoutingDas dynamische Routing stellt das automatische Aktualisieren von Routingtabelleneinträgen dar, um

Änderungen in der Netzwerktopologie widerzuspiegeln. Ein Router mit dynamisch konfigurierten Routingtabellenwird als dynamischer Router bezeichnet. Dynamische Router erstellen und verwalten ihre Routingtabellen automatisch mithilfe eines Routingprotokolls, das aus einer Reihe von periodischen oder bedarfsgesteuerten Nachrichten besteht, die Routinginformationen enthalten. Mit Ausnahme der anfänglichen Konfigurationerfordern typische dynamische Router einen geringen fortlaufenden Wartungsaufwand und können daher auchzu größeren Netzwerken ausgedehnt werden. Durch die Möglichkeit zur Skalierung und zur Wiederherstellungnach Netzwerkfehlern erweist sich das dynamische Routing als die bessere Alternative für mittelgroße, großeund sehr große Netzwerke.

Einige häufig verwendete Routingprotokolle für IPv4 sind RIP, OSPF und BGP-4 (Border Gateway Protocol 4).Routingprotokolle werden zwischen Routern eingesetzt und bedeuten für das Netzwerk einen zusätzlichenMehraufwand hinsichtlich des Netzwerkverkehrs. Sie sollten diesen zusätzlichen Verkehr berücksichtigen, wennSie die Verwendung von WAN-Verbindungen einplanen müssen.

Bei der Auswahl eines Routingprotokolls sollten Sie besonders auch auf dessen Möglichkeit achten,Netzwerkfehler zu erkennen und den funktionsfähigen Zustand wiederherstellen zu können. Wie schnell einRoutingprotokoll wiederhergestellt werden kann, hängt von der Fehlerart, von der Art der Erkennung und davonab, wie Router die Informationen im Netzwerk verbreiten. Wenn alle Router im Netzwerk die richtigen Routinginformationen in ihren Routingtabellen besitzen, wurde das Netzwerk konvergiert. Wenn die Konvergenz erreicht wurde, befindet sich das Netzwerk in einem stabilen Zustand und alle Pakete werden über optimalePfade geleitet.

Wenn eine Verbindung oder ein Router ausfällt, muss sich das Netzwerk selbst neu konfigurieren, um die neueTopologie durch Aktualisieren der Routingtabellen, möglicherweise im gesamten Netzwerk, zu reflektieren. Bisdas Netzwerk erneut konvergiert ist, befindet es sich in einem instabilen Zustand. Die Dauer für die erneuteKonvergierung des Netzwerks ist als Konvergenzzeit bekannt. Die Konvergenzzeit variiert in Abhängigkeit vomRoutingprotokoll und der Fehlerart (z. B. eine ausgefallene Verbindung oder ein ausgefallener Router).

Der RRAS (Routing and Remote Access Service) im Betriebssystem Microsoft Windows Server™ 2003unterstützt die Routingprotokolle RIP und OSPF IPv4, jedoch keine IPv6-Routingprotokolle.

RoutingprotokolltechnologienTypische IP-Routingprotokolle basieren auf den folgenden Technologien:

• Distanzvektor

Distanzvektor-Routingprotokolle verbreiten die Routinginformationen in Form eines Adresspräfixes und seiner"Distanz" (Anzahl der Hops). Router verwenden diese Protokolle, um die Routen periodisch in ihren Routingtabellen bekanntzugeben. Typische, auf Distanzvektoren basierende Router synchronisieren oderbestätigen die auszutauschenden Routinginformationen nicht. Auf Distanzvektoren basierendeRoutingprotokolle sind leichter zu verstehen und zu konfigurieren, sie verbrauchen jedoch auch mehr Netzwerkbandbreite, benötigen länger für die Konvergierung und können nicht zu großen oder sehr großenNetzwerken ausgeweitet werden.

• Verbindungsstatus

Router, die auf dem Verbindungsstatus basierende Routingprotokolle verwenden, tauschenVerbindungsstatusankündigungen (Link State Advertisement – LSA) im gesamten Netzwerk aus, umRoutingtabellen zu aktualisieren. LSAs bestehen aus Adresspräfixes für die Netzwerke, an die der Routerangeschlossen ist, und den zugeordneten Kosten dieser Netzwerke. LSAs werden beim Start und bei derErmittlung von Änderungen an der Netzwerktopologie durch einen Router bekannt gegeben. Auf demVerbindungsstatus basierende Router erstellen eine Datenbank mit LSAs und verwenden die Datenbank dann,um die zur Routingtabelle hinzuzufügenden optimalen Routen zu berechnen. Auf dem Verbindungsstatusbasierende Router synchronisieren oder bestätigen die auszutauschenden Routinginformationen.

Auf dem Verbindungsstatus basierende Protokolle verbrauchen weniger Netzwerkbandbreite, könnenschneller konvergiert und zu großen oder sehr großen Netzwerken ausgeweitet werden. Die Konfigurationkann sich jedoch als sehr komplex und schwierig erweisen.

• Pfadvektor

Router verwenden auf Pfadvektoren basierende Protokolle, um Folgen von autonomen Systemnummern auszutauschen, die den Pfad für eine Route angeben. Ein autonomes System ist ein Teil eines Netzwerksunter derselben Verwaltungsautorität. Autonomen Systemen wird ein eindeutiger Bezeichner zugewiesen. AufPfadvektoren basierende Router synchronisieren oder bestätigen die auszutauschendenRoutinginformationen. Auf Pfadvektoren basierende Protokolle verbrauchen weniger Netzwerkbandbreite,können schneller konvergiert und zu Netzwerken mit der Größe des Internets ausgeweitet werden. DieKonfiguration kann sich jedoch auch als sehr komplex und schwierig erweisen.

Zum Seitenanfang

IPv4-RoutingBeim IPv4-Routing wird ein IPv4-Paket auf Basis seiner IPv4-Zieladresse weitergeleitet. Das IPv4-Routing tritt bei sendenden IPv4-Hosts und IPv4-Routern auf. Die Weiterleitungsentscheidung basiert auf den Einträgen inder lokalen IPv4-Routingtabelle.

IPv4-Routing mit WindowsComputer, auf denen eine aktuelle Windows-Version und das bereitgestellte TCP/IP-Protokoll aufgeführt wird,verwenden eine IPv4-Routingtabelle. In der IPv4-Routingtabelle sind Informationen zu Zielen und möglichenVerbindungen zu den Zielen für die Pakete gespeichert. Abhängig von der Konfiguration des Knotens enthält die

Tabelle eine Reihe von Standardeinträgen. Sie können Einträge mit TCP/IP-Tools (z. B. Route.exe) hinzufügenoder ein Routingprotokoll verwenden, um Routen dynamisch hinzuzufügen.

Wenn ein IPv4-Paket gesendet oder weitergeleitet wird, verwendet IPv4 die IPv4-Routingtabelle, um Folgendes zu ermitteln:

• IPv4-Adresse des nächsten Knotens

Bei einer direkten Übermittlung (bei der es sich beim Ziel um einen benachbarten Knoten handelt) ist dieIPv4-Adresse des nächsten Knotens die Zieladresse im Paket. Bei einer indirekten Übermittlung (bei der essich beim Ziel nicht um einen benachbarten Knoten handelt) ist die IPv4-Adresse des nächsten Knotens dieAdresse eines Routers.

• Schnittstelle für den nächsten Knoten

Die Schnittstelle für den nächsten Knoten ist entweder eine physikalische Schnittstelle (z. B. einenNetzwerkadapter) oder eine logische Schnittstelle (z. B. eine Tunnelschnittstelle), über die das Paket vonIPv4 weitergeleitet wird.

Nachdem Adresse und Schnittstelle für den nächsten Knoten ermittelt wurden, wird das Paket an dieARP-Komponente (Address Resolution Protocol) von TCP/IP übergeben. Bei LAN-Technologien wie Ethernet undIEEE 802.11 versucht ARP, die MAC-Adresse (Adresse der Sicherungsschicht) für die Adresse des nächstenKnotens zu ermitteln und das Paket über die Schnittstelle für den nächsten Knoten weiterzuleiten.

Inhalt der IPv4-RoutingtabelleNachfolgend sind die Felder eines IPv4-Routingtabelleneintrags für die TCP/IP-Komponente von Windowsaufgeführt:

• Ziel

Entweder eine IPv4-Adresse oder ein IPv4-Adresspräfix. Bei der IPv4-Routingtabelle der TCP/IP-Komponentevon Windows besitzt diese Spalte in der Anzeige des Befehls route print die Bezeichnung Netzwerkziel.

• Netzwerkmaske

Die Präfixlänge in der Subnetzmaskennotation (Punkt-Dezimalnotation). Die Subnetzmaske wird für denVergleich einer IPv4-Zieladresse eines ausgehenden Pakets mit dem Wert im Feld Ziel verwendet. Bei der IPv4-Routingtabelle der TCP/IP-Komponente von Windows besitzt diese Spalte in der Anzeige des Befehls route print die Bezeichnung Netzwerkmaske.

• Nächster Knoten

Die IPv4-Adresse, an die das Paket weitergeleitet wird. Bei der IPv4-Routingtabelle der TCP/IP-Komponente von Windows besitzt diese Spalte in der Anzeige des Befehls route print die Bezeichnung Gateway. Bei direkten Lieferungen führt die Spalte Gateway die einer Schnittstelle des Computers zugeordnete IPv4-Adresse auf.

• Schnittstelle

Die Netzwerkschnittstelle, über die das IPv4-Paket weitergeleitet wird. Bei der IPv4-Routingtabelle derTCP/IP-Komponente von Windows enthält diese Spalte die der Schnittstelle zugeordnete IPv4-Adresse.

• Metrik

Mit dieser Zahl werden die Kosten der Route angegeben, damit aus den vielen potenziell möglichen Routenzum Ziel die optimale Route ausgewählt werden kann. Die Metrik kann entweder die Anzahl derVerbindungen im Pfad zum Ziel oder die unabhängig von der Anzahl der Verbindungen bevorzugt zuverwendende Route angeben.

In IPv4-Routingtabelleneinträgen können die folgenden Routentypen gespeichert werden:


Bei direkt angeschlossenen Subnetzwerkrouten entspricht das Feld für den nächsten Knoten der IPv4-Adresseder Schnittstelle in dem betreffenden Subnetz.


Bei Remotesubnetzwerkrouten enthält das Feld für den nächsten Knoten die IPv4-Adresse einesbenachbarten Routers.

• Hostrouten

Bei IPv4-Hostrouten ist das Ziel eine bestimmte IPv4-Adresse und die Netzwerkmaske ist 255.255.255.255.

• Standardroute

Die Standardroute wird verwendet, wenn keine konkrete Subnetz- oder Hostroute gefunden wurde. Ziel der Standardroute ist die Adresse 0.0.0.0 mit der Netzwerkmaske 0.0.0.0. Die Adresse für den nächsten Knotender Standardroute ist normalerweise das Standardgateway des Knotens.

Ermittlung von RoutenIPv4 verwendet den folgenden Prozess, um den Routingtabelleneintrag für die Weiterleitung zu ermitteln:

1. Für jeden Eintrag in der Routingtabelle wird von IPv4 eine bitweise logische UND-Operation zwischen

IPv4-Zieladresse und dem Feld Netzwerkmaske durchgeführt. Das Ergebnis wird mit dem Zielfeld desEintrags auf Übereinstimmung verglichen.

Wie in Kapitel 4, "IP-Adressierung", beschrieben, ist das Ergebnis der bitweisen logischen UND-Operation:

• Für jedes Bit in der Subnetzmaske, das auf "1" gesetzt ist, wird das entsprechende Bit aus derIPv4-Zieladresse in das Ergebnis kopiert.

• Für jedes Bit in der Subnetzmaske, das auf "0" gesetzt ist, wird das entsprechende Bit im Ergebnis auf"0" gesetzt.

2. IPv4 kompiliert die Liste der übereinstimmenden Routen und wählt die Route mit der längstenÜbereinstimmung (die Route mit der größten Anzahl auf "1" gesetzter Bit in der Subnetzmaske) aus. Beider längsten übereinstimmenden Route handelt es sich um die konkreteste Route zur IPv4-Zieladresse.Wenn der Router mehrere Routen findet, die die längste Übereinstimmung aufweisen (z. B. mehrereRouten zur gleichen Netzwerk-ID), dann wählt der Router die Route mit der kleinsten Metrik als optimaleRoute aus. Wenn die Metrikwerte übereinstimmen, wählt IPv4 die Schnittstelle aus, die an erster Stelle inder Bindungsreihenfolge steht.

Sie können die Bindungsreihenfolge der Netzwerkverbindungen anzeigen und ändern, indem Sie zuerst aufErweitert und dann auf Erweiterte Einstellungen klicken. Die Bindungsreihenfolge wird unter Verbindungenauf der Registerkarte Netzwerkkarten und Bindungen angezeigt, wie in Abbildung 5-2 veranschaulicht.

Abbildung 5-2 Die Bindungsreihenfolge auf derRegisterkarte "Netzwerkkarten und Bindungen"Bild maximieren

Wenn der Routenermittlungsprozess abgeschlossen ist, wurde eine einzige Route in der Routingtabelle von IPv4ausgewählt. Wenn bei diesem Prozess keine Route ausgewählt werden konnte, zeigt IPv4 einen Routingfehleran. Ein sendender Host meldet einen IPv4-Routingfehler intern an ein übergeordnetes Schichtenprotokoll, wieTCP oder UDP. Ein Router sendet die Meldung "ICMP-Ziel nicht erreichbar – Host nicht erreichbar" an densendenden Host und löscht das Paket.

Ermitteln der Adresse und der Schnittstelle für den nächsten KnotenNachdem die einzelne Route in der Routingtabelle ermittelt wurde, über die das Paket weitergeleitet werdensoll, ermittelt IPv4 die Adresse und Schnittstelle für den nächsten Knoten wie folgt:

• Wenn es sich bei der Adresse im Feld für den nächsten Knoten um eine einer Schnittstelle desweiterleitenden Knotens zugeordneten Adresse handelt (direkte Zustellung), werden die folgenden Schritteausgeführt:

• IPv4 legt die Adresse des nächsten Knotens auf die IPv4-Zieladresse des IPv4-Pakets fest.

• IPv4 legt für die Schnittstelle des nächsten Knotens die Schnittstelle fest, die der Adresse im FeldSchnittstelle zugeordnet ist.

• Wenn es sich bei der Adresse im Feld für den nächsten Knoten nicht um eine einer Schnittstelle desweiterleitenden Knotens zugeordneten Adresse handelt (indirekte Zustellung), werden die folgenden Schritteausgeführt:

• IPv4 legt für die Adresse des nächsten Knotens die IPv4-Adresse aus dem Feld Nächster Knoten fest.

• IPv4 legt für die Schnittstelle des nächsten Knotens die Schnittstelle fest, die der Adresse im FeldSchnittstelle zugeordnet ist.

Beispiel einer Routingtabelle für einen Windows ausführenden IPv4-Host

Im Folgenden wird die Anzeige des Befehls route print oder netstat –r auf einem Computer dargestellt, der Windows Server 2003 oder Microsoft Windows XP ausführt und folgende Merkmale aufweist:

• Besitzt einen einzelnen Netzwerkadapter.

• Konfiguriert mit der IPv4-Adresse 157.60.136.41, der Subnetzmaske 255.255.252.0 (/22) und dem Standardgateway 157.60.136.1.

• IPv6 ist nicht installiert.

=========================================================================== Interface List 0x1 ........................... MS TCP Loopback interface 0x1000003 ...00 b0 d0 e9 41 43 ...... 3Com EtherLink PCI =========================================================================== =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 157.60.136.1 157.60.136.41 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 157.60.136.0 255.255.252.0 157.60.136.41 157.60.136.41 20 157.60.136.41 255.255.255.255 127.0.0.1 127.0.0.1 20 157.60.255.255 255.255.255.255 157.60.136.41 157.60.136.41 20 224.0.0.0 240.0.0.0 157.60.136.41 157.60.136.41 1 255.255.255.255 255.255.255.255 157.60.136.41 157.60.136.41 1 Default Gateway: 157.60.136.1 =========================================================================== Persistent Routes: None

Die Anzeige führt zwei Schnittstellen auf. Eine Schnittstelle entspricht einem installierten Netzwerkadapter(3Com EtherLink PCI). Bei der anderen handelt es sich um eine interne Loopback-Schnittstelle (MS TCP Loopback Interface).

Diese Routingtabelle enthält die folgenden Einträge in Abhängigkeit von ihrer Konfiguration:

• Der erste Eintrag mit dem Netzwerkziel 0.0.0.0 und der Netzwerkmaske 0.0.0.0 (/0) ist die Standardroute. Jede IPv4-Zieladresse, für die eine bitweise logische UND-Operation mit 0.0.0.0 ausgeführt wird, führt zudem Ergebnis 0.0.0.0. Die Standardroute führt daher zu einer Übereinstimmung mit jeder IPv4-Zieladresse.Wenn die Standardroute die längste übereinstimmende Route ist, lautet die Adresse des nächsten Knotens157.60.136.1, und die Schnittstelle für den nächsten Knoten ist der Netzwerkadapter mit der IPv4-Adresse157.60.136.41 (der 3Com EtherLink PCI-Adapter).

• Der zweite Eintrag mit dem Netzwerkziel 127.0.0.0 und der Netzwerkmaske 255.0.0.0 (/8) ist die Loopback-Netzwerkroute. Für alle Pakete, die an Adressen in der Form 127. x.y.z gesendet werden, wird die Adresse des nächsten Knotens auf 127.0.0.1 (die Loopback-Adresse) gesetzt, und die Schnittstelle für dennächsten Knoten ist die Schnittstelle mit der Adresse 127.0.0.1 (die MS TCP Loopback-Schnittstelle).

• Der dritte Eintrag mit dem Netzwerkziel 157.60.136.0 und der Netzwerkmaske 255.255.252.0 (/22) ist eine direkt angeschlossene Subnetzroute. Wenn diese Route die längste übereinstimmende Route ist, wird dieAdresse des nächsten Knotens auf die Zieladresse im Paket und die Schnittstelle für den nächsten Knoten aufden 3Com EtherLink PCI-Adapter gesetzt.

• Der vierte Eintrag mit dem Netzwerkziel 157.60.136.41 und der Netzwerkmaske 255.255.252.255 (/32) ist eine Hostroute für die IPv4-Adresse des Hosts. Für alle an 157.60.136.41 gesendete IPv4-Pakete wird dieAdresse des nächsten Knotens auf 127.0.0.1 gesetzt, und die Schnittstelle für den nächsten Knoten ist dieMS TCP Loopback-Schnittstelle.

• Der fünfte Eintrag mit dem Netzwerkziel 157.60.255.255 und der Netzwerkmaske 255.255.255.255 (/32) isteine Hostroute, die der über alle Subnetze geleiteten Broadcastadresse für die Netzwerk-ID der Klasse B157.60.0.0/16 entspricht. Für alle an 157.60.255.255 gesendeten IPv4-Pakete wird die Adresse des nächstenKnotens auf 157.60.255.255 gesetzt, und die Schnittstelle für den nächsten Knoten ist der 3Com EtherLinkPCI-Adapter.

• Der sechste Eintrag mit dem Netzwerkziel 224.0.0.0 und der Netzwerkmaske 240.0.0.0 (/4) ist eine Route fürMulticastverkehr, der von diesem Host gesendet wird. Für alle Multicastpakete wird die Adresse des nächstenKnotens auf die Zieladresse gesetzt, und für die Schnittstelle des nächsten Knotens wird der 3Com EtherLinkPCI-Adapter festgelegt.

• Der siebte Eintrag mit dem Netzwerkziel 255.255.255.255 und der Netzwerkmaske 255.255.255.255 (/32) ist eine Hostroute, die der eingeschränkten Broadcastadresse entspricht. Für alle an 255.255.255.255gesendeten IPv4-Pakete wird die Adresse des nächsten Knotens auf 255.255.255.255 gesetzt, und dieSchnittstelle des nächsten Knotens ist der 3Com EtherLink PCI-Adapter.

Den der IPv4-Adresskonfiguration zugeordneten Routen wird automatisch der Wert 20 für die Metrikzugewiesen, abhängig von der Verbindungsgeschwindigkeit des 3Com EtherLink PCI-Adapters. WeitereInformationen finden Sie in diesem Kapitel unter "Standardroutenmetrik".

Die folgenden Beispiele veranschaulichen, wie die Routingtabelle dabei hilft, die IPv4-Adresse und die Schnittstelle des nächsten Knotens für verschiedene Ziele zu ermitteln:

• Unicastziel 157.60.136.48

Bei der längsten übereinstimmenden Route handelt es sich um die Route für das direkt angeschlosseneSubnetz (157.60.136.0/22). Die IP-Adresse des nächsten Knotens ist die IPv4-Zieladresse (157.60.136.48),und die Schnittstelle für den nächsten Knoten ist der Netzwerkadapter mit der IPv4-Adresse 157.60.136.41(der 3Com EtherLink PCI-Adapter).


Die längste übereinstimmende Route ist die Standardroute (0.0.0.0/0). Die IPv4-Adresse des nächstenKnotens ist die Adresse des Standardgateways (157.60.136.1), und die Schnittstelle für den nächsten Knotenist der 3Com EtherLink PCI-Adapter.

• Multicastziel 224.0.0.1

Die längste übereinstimmende Route ist die Route 224.0.0.0/4. Die IPv4-Adresse des nächsten Knotens istdie IPv4-Zieladresse (224.0.0.1), und die Schnittstelle für den nächsten Knoten ist der 3Com EtherLinkPCI-Adapter.

• Subnetzbroadcastziel 157.60.139.255

Bei der längsten übereinstimmenden Route handelt es sich um die Route für das direkt angeschlosseneSubnetz (157.60.136.0/22). Die IPv4-Adresse des nächsten Knotens ist die IPv4-Zieladresse(157.60.139.255), und die Schnittstelle für den nächsten Knoten ist der 3Com EtherLink PCI-Adapter.


Bei der längsten übereinstimmenden Route handelt es sich um die Hostroute für die lokal zugewieseneIPv4-Adresse (157.60.136.41/32). Die IPv4-Adresse des nächsten Knotens ist die Loopback-Adresse(127.0.0.1), und die Schnittstelle für den nächsten Knoten ist die MS TCP Loopback-Schnittstelle.

Statisches IPv4-RoutingEin statischer Router verwendet manuell konfigurierte Routen, um Remoteziele zu erreichen. Abbildung 5-3 zeigt eine einfache statische Routingkonfiguration.

Abbildung 5-3 Einfache statischeIPv4-RoutingkonfigurationBild maximieren

In Abbildung 5-3:

• Router A besitzt nur lokale Verbindungen zu den Subnetzen 1 und 2. Daher können die Hosts in Subnetz 1mit den Hosts in Subnetz 2, jedoch nicht mit den Hosts in Subnetz 3 kommunizieren.

• Router B besitzt nur lokale Verbindungen zu den Subnetzen 2 und 3. Daher können die Hosts in Subnetz 3mit den Hosts in Subnetz 2, jedoch nicht mit den Hosts in Subnetz 1 kommunizieren.

Damit IPv4-Pakete in andere Subnetze weitergeleitet werden können, müssen Sie die einzelnen statischenRouter mit einem der Folgenden konfigurieren:

• Einem Eintrag in der Routingtabelle für jede Netzwerk-ID im Netzwerk.

• Einer Standardgatewayadresse eines benachbarten Routers.

Konfigurieren statischer IPv4-RouterAbbildung 5-4 zeigt ein Beispiel zum Konfigurieren von Einträgen in statischen Routern für alle Netwerk-IDs imNetzwerk. Die Routen mit fett dargestellten Zahlen wurden manuell zu den Routingtabellen beider Routerhinzugefügt.

Abbildung 5-4 Beispiel statischer IPv4-RoutingeinträgeBild maximieren

In Abbildung 5-4:

• In der Routingtabelle für Router A wird ein statischer Eintrag mit der Netzwerk-ID (131.107.24.0/24) vonSubnetz 3 und der IP-Adresse (131.107.16.1) der Schnittstelle erstellt, die Router A zum Weiterleiten von Paketen von Subnetz 1 zu Subnetz 3 verwendet.

• In der Routingtabelle für Router B wird ein statischer Eintrag mit der Netzwerk-ID (131.107.8.0/24) vonSubnetz 1 und der IP-Adresse (131.107.16.2) der Schnittstelle erstellt, die Router B zum Weiterleiten von Paketen von Subnetz 3 zu Subnetz 1 verwendet.

Dynamisches IPv4-RoutingBeim dynamischen Routing tauschen die Router die Routen für bekannte Netzwerke automatisch untereinanderaus. Wenn sich eine Route ändert, aktualisieren die Routerprotokolle die Routingtabellen eines Routersautomatisch und benachrichtigen andere Router in demselben Netzwerk über die Änderung.Netzwerkadministratoren implementieren das dynamische Routing normalerweise in großen IP-Netzwerken, daes einen minimalen Wartungsaufwand erfordert.

In Abbildung 5-5 wird ein Beispiel gezeigt, in dem jeder Router automatisch eine Route für ein Remotesubnetz(fettgestellt) mithilfe des dynamischen Routings hinzugefügt hat.

Abbildung 5-5 Beispiel dynamischerIPv4-RoutingeinträgeBild maximieren

Das dynamische Routing für IPv4 erfordert ein IPv4-Routingprotokoll wie RIP, OSPF oder BGP-4.

RIPRIP für IPv4 ist ein Distanzvektor-Routingprotokoll, das seinen Ursprung in der XNS-Version (Xerox NetworkServices) von RIP hat. Dieses Routingprotokoll wurde aufgrund seiner Integration ins Berkeley UNIX (ab BSD 4.2) als RouteD-Serverdaemon beliebt. (Ein Daemon ist mit einem Windows-Dienst vergleichbar.) Zwei Versionen von RIP unterstützen IPv4. RFC 1058 definiert RIP Version 1 (v1) und RFC 1723 definiert RIP Version2 (v2).

OSPFOpen Shortest Path First (OSPF) ist ein Verbindungsstatus-Routingprotokoll, das als IGP (Interior Gateway Protocol) für ein einzelnes autonomes System ausgeführt wird. In einem Verbindungsstatus-Routingprotokollverwaltet jeder Router eine Datenbank mit Routerankündigungen (LSAs). LSAs für Router innerhalb desautonomen Systems bestehen aus Informationen zum Router, zu seinen angeschlossenen Subnetzen und deren konfigurierten Kosten. Die OSPF-Kosten sind eine einheitslose Metrik, die die Präferenz der Verwendung einerVerbindung anzeigen. Zusammengefasste Routen und Routern außerhalb des autonomen Systems besitzenebenfalls LSAs. RFC 2328 definiert OSPF.

Der Router verteilt die LSAs an seine benachbarten Router, die diese in eine Datenbank aufnehmen, die alsVerbindungsstatusdatenbank (Link State Database – LSDB) bezeichnet wird. Durch die Synchronisation derLSDBs zwischen allen benachbarten Routern besitzt jeder Router die LSAs der anderen Router in seinerDatenbank. Daher verfügt jeder Router über dieselbe LSDB. Über die LSDB berechnet OSPF die Einträge für die

Routingtabelle des Routers, indem der Pfad mit den geringsten Kosten zu den einzelnen Subnetzen im Netzwerkermittelt wird, bei dem es sich um den Pfad mit den geringsten kumulierten Kosten handelt.

BGP-4BGP-4 (Border Gateway Protocol 4) ist ein Pfadvektor-Routingprotokoll, das durch RFC 1771 definiert ist. Anders als bei RIP und OSPF, die innerhalb eines autonomen Systems ausgeführt werden, wurde BGP-4 dazuentwickelt, Informationen zwischen autonomen Systemen auszutauschen. Die BGP-4-Routinginformationen werden dazu verwendet, um eine logische Pfadstruktur zu erstellen, die alle Verbindungen zwischen autonomen Systemen beschreibt. Die Pfadstrukturinformationen werden dann dazu verwendet, um schleifenfreie Routen in den Routentabellen von BGP-4-Routern zu erstellen. BGP-4-Nachrichten verwenden TCP-Port 179. BGP-4 ist das primäre Protokoll, mit dem Routingtabellen im IPv4-Internet verwaltet werden.

Integrieren des statischen und dynamischen RoutingsEin statischer Router tauscht keine Routinginformationen mit dynamischen Routern aus. Für die Weiterleitungvon einem statischen Router über einen dynamischen Router (z. B. ein IPv4-Router, der für RIP oder OSPFaktiviert ist) müssen Sie eine statische Route zu den Routingtabellen auf den statischen und dynamischenRoutern hinzufügen. Abbildung 5-6 zeigt:

• Damit Pakete von Subnetz 1 an den Rest des Intranets weitergeleitet werden können, muss dieRoutingtabelle für Router A manuell konfigurierte Routen für Subnetz 3 (131.107.24/0/8) und für den Restdes Intranets (10.0.0.0/8) einbeziehen.

• Damit Pakete von Subnetz 2 und 3 an den Rest des Intranets weitergeleitet werden können, muss dieRoutingtabelle für Router B manuell konfigurierte Routen für Subnetz 1 (131.107.8.0/24) und für den Restdes Intranets (10.0.0.0/8) einbeziehen.

• Damit Pakete von Subnetz 3 und aus dem Rest des Intranets an die Subnetze 1 und 2 weitergeleitet werdenkönnen, muss die Routingtabelle für den RIP-Router manuell konfigurierte Routen für Subnetz 1(131.107.8.0/24) und Subnetz 2 (131.107.16.0/8) einbeziehen.

Abbildung 5-6 Integrieren des statischen unddynamischen RoutingsBild maximieren

Die Routingtabellen in Abbildung 5-6 zeigen die Routen für direkt angeschlossene Subnetze oder andere Routennicht an, die vom RIP-Router angekündigt wurden.

IPv4-Routenzusammenführung und -zusammenfassungRoutingprotokolle können die einzelnen Routen für jedes Subnetz in einem IPv4-Netzwerk auf jeden Routerverbreiten. Wenn ein Netzwerk sehr groß wird mit Hunderten oder Tausenden von Subnetzen, müssen Siemöglicherweise Ihre Router oder Routingprotokolle konfigurieren, damit diese zusammengeführte oderzusammengefasste Routen anstatt alle Routen innerhalb eines Bereichs Ihres Netzwerks ankündigen.

Ein bestimmter Standort mit einem großen privaten Netzwerk verwendet beispielsweise die Subnetze10.73.0.0/24 bis 10.73.255.0/24 (bis zu 256 Subnetze). Damit die Router am Standortrand nicht bis zu 256 Routen ankündigen müssen, können Sie diese konfigurieren, so dass diese nur eine einzelne Route bekanntgeben: 10.73.0.0/16. Diese einzelne Route fasst den gesamten von diesem Standort verwendeten Adressraum zusammen.

In Abbildung 5-7 wird ein Beispiel gezeigt, wie Routen an den verschiedenen Standorten eines Organisationsintranets zusammengefasst werden können.

Abbildung 5-7 Beispiel für das Zusammenfassen vonRoutenBild maximieren

Der Vorteil bei der Zusammenfassung des Adressraums eines Standorts ist, dass nur eine einzelne Routeaußerhalb des Standorts bekannt gegeben werden muss, wodurch sich die Anzahl der Routen in denRoutingtabellen der Router außerhalb des Standorts verringert. Ein weiterer Vorteil ist, dass der Rest desIPv4-Netzwerks vor der Routenaktualisierungswelle geschützt ist, d. h. die Verbreitung vonRoutenaktualisierungen, wenn Netzwerke verfügbar gemacht werden oder nicht mehr verfügbar sind. DerNachteil bei der Zusammenfassung von Routen ist, dass der an nicht erreichbare Adressen gerichtete Verkehr innerhalb des zusammengefassten Adressraums mehr Router durchlaufen muss, bevor dieser verworfen wird.

Wenn das Adresspräfix 10.73.252.0/24 z. B. keinem Subnetz zugeordnet wurde (da es möglicherweise für diezukünftige Verwendung gedacht ist) und die Router am Standortrand das Adresspräfix 10.73.0.0/16 bekanntgeben, dann wird der an die Adresse 10.73.252.19 gerichtete Datenverkehr bis hin zu den Routern am Standortrand weitergeleitet, bevor er verworfen wird. Wenn der Adressraum des Standorts nicht zusammengefasst ist und die einzelnen Routen für die Subnetze des Standorts auf alle Router desIPv4-Netzwerks verbreitet wurden, dann würde der Router im Subnetz des sendenden Hosts den Datenverkehrverwerfen.

RIP, OSPF und BGP-4 unterstützen die Routenzusammenfassung. Die Zusammenfassung kann auch beimKonfigurieren statischer Routen erfolgen.

Routenzusammenfassung für Internetadressklassen: SupernettingDas Wachstum des Internets in den letzten Jahren hat den Internetbehörden vor Augen geführt, dass dieNetzwerk-IDs der Klasse B in Kürze erschöpft sein würden. Eine Netzwerk-ID der Klasse C enthält für diemeisten Organisationen nicht ausreichend Host-IDs und eine Netzwerk-ID der Klasse B verfügt über genügendBit, um ein flexibles Schema für die Subnetzbildung innerhalb der Organisation zu bieten.

Um die Erschöpfung an Netzwerk-IDs der Klasse B zu verhindern, haben die Internetbehörden eine neueMethode der Zuweisung von Netzwerk-IDs ausgearbeitet. Anstatt eine Netzwerk-ID der Klasse B zuzuweisen, ordnet die ICANN (Internet Corporation for Assigned Names and Numbers) einen Bereich von Netzwerk-IDs der Klasse C zu, die ausreichend Netzwerk- und Host-IDs für die Ansprüche der Organisation enthalten. Dies wurdeals "Supernetting" bezeichnet, ein Verfahren zur Routenzusammenfassung für Netzwerk-IDs der Klasse C imInternet. Anstatt z. B. eine Netzwerk-ID der Klasse B für eine Organisation mit bis zu 2000 Hosts zureservieren, ordnet die ICANN einen Bereich von acht Netzwerk-IDs der Klasse C zu. Jede Netzwerk-ID der Klasse C umfasst 254 Hosts und führt somit zu insgesamt 2032 Host-IDs.

Obwohl dieses Verfahren Netzwerk-IDs der Klasse B einspart, führt es zu einem anderen Problem. Bei derVerwendung klassenbasierter Routingverfahren müssen die Router im Internet acht Netzwerk-ID-Einträge derKlasse C in ihren Routingtabellen enthalten, damit IP-Pakete an die Organisation weitergeleitet werden können.Damit Internetrouter nicht mit Routen überschüttet werden, kommt das sogenannte CIDR-Verfahren (ClasslessInter-Domain Routing) zum Einsatz, um mehrere Netzwerk-ID-Einträge in einen einzelnen Eintragzusammenzulegen, der allen Netzwerk-IDs der Klasse C entspricht, die der Organisation zugeordnet sind.

Die Situation, in der acht Netzwerk-IDs der Klasse C beginnend mit der Netzwerk-ID 220.78.168.0 reserviert werden, lässt sich wie folgt ausdrücken:

• Die beginnende Netzwerk-ID ist 220.78.168.0 oder 11011100 01001110 10101 000 00000000

• Die endende Netzwerk-ID ist 220.78.175.0 oder 11011100 01001110 10101 111 00000000

Beachten Sie, dass die ersten 21 Bit (fett dargestellt) aller o. a. Netzwerk-IDs der Klasse C übereinstimmen.Die letzten drei Bit des dritten Oktetts variieren von 000 bis 111. Der CIDR-Eintrag in den Routingtabellen der Internetrouter wird zu 220.78.168.0/21 oder 220.78.168.0, 255.255.248.0 in der Subnetzmaskennotation.

Ein aus Adressen bestehender Block, die CIDR verwenden, wird als CIDR-Block bezeichnet. Da Präfixlängen zurAngabe der Anzahl verwendet werden, müssen klassenbasierte Netzwerk-IDs in Gruppen reserviert werden, dieder Potenz von 2 entsprechen.

Damit CIDR unterstützt wird, müssen Router in der Lage sein, Routinginformationen in der Form von Paaren aus[ Netzwerk-ID, Präfixlänge oder Subnetzmaske ] auszutauschen. RIP für IP, Version 2, OSPF und BGP-4

unterstützen CIDR, RIP für IP, Version 1, jedoch nicht.

Im heutigen Internet ist der Begriff "Supernetting" veraltet. Da im Internet keine Internetadressklassen mehr verwendet werden, ist die Kennzeichnung eines Blocks aus Netzwerk-IDs der Klasse C als Supernetting-Netzwerk-ID nicht länger erforderlich. Stattdessen wird den Organisationen ein Adressraumzugeordnet, ohne auf die ursprüngliche Internetadressklasse zu achten, von der der Adressraum abstammt. DerAdressraum besteht aus der zusammengefassten Route für alle öffentlichen Adressen innerhalb derOrganisation, unabhängig davon, ob in der Organisation Subnetze gebildet werden.

Unterstützung des IPv4-Routings in WindowsWindows Server 2003 unterstützt sowohl statisches als auch dynamisches IPv4-Routing. Windows XPunterstützt nur das statische IPv4-Routing.

Statisches RoutingDas statische Routing kann wie folgt aktiviert werden:

• Durch den Registrierungseintrag IPEnableRouter

• Durch RRAS (Routing and Remote Access Service)

Für Computer, die entweder Windows Server 2003 oder Windows XP ausführen, können Sie das statischeIPv4-Routing durch Festlegen des Registrierungseintrags HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\IPEnableRouter auf den Wert 1 aktivieren (Datentyp ist REG_DWORD). Die Bearbeitung der Registrierung ist nur für Computererforderlich, die Windows XP ausführen.

Für Computer, die Windows Server 2003 ausführen, sollten Sie RRAS (Routing and Remote Access Service)verwenden, um das IPv4-Routing zu aktivieren, anstatt den Registrierungseintrag IPEnableRouter festzulegen. Gehen Sie wie folgt vor, um den Setup-Assistenten für den Routing- und RAS-Server auszuführen:

1. Klicken Sie auf Start, Systemsteuerung, und doppelklicken Sie anschließend erst auf Verwaltung und dann auf Routing und RAS.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den zu aktivierenden Server, und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren.

3. Befolgen Sie die Anweisungen im Setup-Assistenten für den Routing- und RAS-Server.

Wählen Sie auf der Seite Konfiguration des Setup-Assistenten für den Routing- und RAS-Server die OptionBenutzerdefinierte Konfiguration und auf der Seite Benutzerdefinierte Konfiguration die Option LAN-Routing.

Dynamisches Routing mit RIP und OSPFSie können das dynamische Routing für Computer, die Windows Server 2003 ausführen, über den Routing undRAS-Dienst aktivieren. Dazu konfigurieren und aktivieren Sie zuerst den Routing und RAS-Dienst, wie im vorherigen Abschnitt beschrieben. Dann konfigurieren Sie das RIP- oder OSPF-Routing durch Hinzufügen derRIP- und OSPF-Routingprotokollkomponenten sowie durch Hinzufügen und Konfigurieren der Schnittstellen, fürdie diese aktiviert werden.

Weitere Informationen zum Konfigurieren des RIP- und OSPF-Routings finden Sie unter den Themen "Einrichten eines Netzwerkverbunds mit RIP für IP-Routing" und "Einrichten eines Netzwerkverbunds mit OSPF-Routing" imHilfe- und Supportcenter für Windows Server 2003.

Konfigurieren von Hosts für das IPv4-RoutingIPv4-Hosts können die folgenden Methoden verwenden, um Remoteziele zu erreichen:

• Speichern einer hostspezifischen Route zu jedem Remoteziel. Diese Methode ist offensichtlich nicht geeignet oder möglich, da die Routingtabelle möglicherweise Tausende oder Millionen Routen (wie im Fall desInternets) enthält. Die Hostroutingtabelle muss beim Hinzufügen oder Entfernen von Adressen geändertwerden.

• Speichern einer Route zu jedem Remotesubnetz. Obwohl diese Methode eher möglich ist, ist sie ebenfallsnicht zweckmäßig, da die Routingtabelle immer noch möglicherweise Hunderte oder Hunderttausende Routen(wie im Fall des Internets) enthalten muss. Die Hostroutingtabelle muss beim Hinzufügen oder Entfernen vonSubnetzen geändert werden.

• Speichern einer einzelnen Standardroute, die alle Standorte effektiv zusammenfasst, die sich nicht im lokalen Subnetz befinden. Diese Methode ist möglich und zweckmäßig. Es ist nur eine einzelne Route erforderlich,die beim Hinzufügen oder Entfernen von Knoten oder Subnetzen nicht geändert werden muss.

Durch die Verwendung einer Standardroute werden die Informationen zur Topologie des Netzwerks und zur Gruppe der erreichbaren Ziele auf die Router abgewälzt, anstatt in den Verantwortungsbereich des sendendenHosts zu fallen. Der Vorteil dieser Methode liegt in der einfachen Konfiguration.

Die Einstellung für das Standardgateway, das die Standardroute in der IPv4-Routingtabelle erstellt, ist derkritische Teil bei der Konfiguration eines TCP/IP-Hosts. Die Aufgabe des Standardgateways ist es, den Host mit der IPv4-Adresse und Schnittstelle des nächsten Knotens für alle Ziele zu versorgen, die sich nicht in seinemSubnetz befinden. Ohne Standardgateway ist die Kommunikation mit Remotezielen nicht möglich, wenn diezusätzlichen Routen nicht zur IPv4-Routingtabelle hinzugefügt werden.

Einstellung für das Standardgateway

Es gibt folgende Möglichkeiten, um ein Standardgateway auf einem Windows XP oder Windows Server 2003ausführenden Computer zu konfigurieren:

• Wenn IPv4 eine Adresskonfiguration unter Verwendung von DHCP erhält, wird das Standardgateway zumWert der ersten IPv4-Adresse in der DHCP-Option des Routers. Diese Option wird von einem Netzwerkadministrator auf dem DHCP-Server konfiguriert, um eine sortierte Liste mit einem oder mehreren Standardgateway anzugeben.

• Wenn der Benutzer eine alternative IPv4-Adresskonfiguration angibt, ist das Standardgateway die in Standardgateway auf der Registerkarte Alternative Konfiguration eingegebene IPv4-Adresse für dieEigenschaften der TCP/IP-Komponente unter den Netzwerkverbindungen. Sie können nur ein einzigesStandardgateway angeben.

• Wenn die IPv4-Adresskonfiguration manuell festgelegt wurde, ist das Standardgateway die in Standardgateway auf der Registerkarte Allgemein eingegebene IPv4-Adresse für die Eigenschaften derTCP/IP-Komponente. Wenn Sie mehrere Standardgateways festlegen möchten, müssen Sie diese über dieRegisterkarte IP-Einstellungen im Dialogfeld der erweiterten Eigenschaften der TCP/IP-Komponentehinzufügen.

Wenn die IPv4-Adresskonfiguration mithilfe von APIPA (Automatic Private IP Addressing) bezogen wird, dann ist kein Standardgateway konfiguriert. APIPA unterstützt nur ein einzelnes Subnetz.

Die Konfiguration eines Standardgateways erstellt eine Standardroute in der IPv4-Routingtabelle. Die Standardroute besitzt das Ziel 0.0.0.0 mit einer Subnetzmaske von 0.0.0.0. In der Netzwerkpräfixnotation istdie Standardroute 0.0.0.0/0, die manchmal zu 0/0 abgekürzt wird. Die Adresse des nächsten Knotens, die inder Anzeige des Befehls route print auch als Gatewayadresse bezeichnet wird, ist auf die IPv4-Adresse des Standardgateways festgelegt. Die Schnittstelle des nächsten Knotens ist die Schnittstelle, der in der SpalteSchnittstelle die IPv4-Adresse in der Anzeige des Befehls route print zugeordnet ist.

Auf Basis des Routenermittlungsprozesses stimmt die Standardroute mit allen Zielen überein. Wenn keineandere Route dem Ziel noch genauer entspricht, verwendet IPv4 die Standardroute, um die Adresse und Schnittstelle des nächsten Knotens zu ermitteln. Der Datenverkehr auf der Standardroute ist an einRemotenetzwerk gerichtet, wird jedoch an das Standardgateway weitergeleitet (anstatt Datenverkehr für dieIPv4-Adresse des Standardgateways weiterzuleiten).

StandardroutenmetrikTCP/IP für Windows XP und Windows Server 2003 berechnet standardmäßig automatisch eine Metrik für dieStandardroute, die auf der Geschwindigkeit des Adapters basiert, für den das Standardgateway konfiguriert ist.Für einen Ethernet-Adapter mit 100 Mbit/s wird z. B. die Standardroutenmetrik auf 20 festgelegt. Für einenEthernet-Adapter mit 10 Mbit/s wird die Standardroutenmetrik dann auf 30 festgelegt. Weitere Informationenfinden Sie unter Erläuterung der Funktion "Automatische Metrik" für Internetprotokollrouten.

Verwenden Sie die Microsoft-spezifische DHCP Option Standard-Routerbasismetrik, wobei Sie Microsoft Windows 2000-Optionen als Herstellerklasse angeben, um dieses Verhalten für durch DHCP zugewieseneStandardgateways außer Kraft zu setzen. Damit dieses Verhalten für manuell konfigurierte Standardgatewaysaußer Kraft gesetzt wird, öffnen Sie das Dialogfeld für die erweiterten Eigenschaften für dieTCP/IP-Komponente, und klicken auf die Registerkarte IP-Einstellungen. Anschließend deaktivieren Sie dasKontrollkästchen Automatische Metrik im Dialogfeld TCP/IP-Gatewayadresse für die konfiguriertenStandardgateways. In Abbildung 5-8 wird das Dialogfeld TCP/IP-Gatewayadresse angezeigt.

Abbildung 5-8 Das Dialogfeld"TCP/IP-Gatewayadresse"

ICMP-RoutererkennungDie ICMP-Routererkennung bietet eine alternative Methode zur Konfiguration und Erkennung von Standardgateways. Anstatt die Konfiguration des Standardgateways manuell oder mithilfe von DHCP zu ermitteln, kann IPv4 die Router in einem Subnetz auch dynamisch erkennen. Wenn der primäre Router ausfällt,können Hosts automatisch zu einem Sicherungsrouter wechseln. Wenn ein Host initialisiert wird, der dieRoutererkennung unterstützt, schließt er sich der für alle Systeme gültigen IP-Multicastgruppe (224.0.0.1) anund wartet dann auf Ankündigungsnachrichten des Routers, die von Routern an diese Gruppe gesendet werden.Hosts können auch Routeraufforderungsnachrichten an die für alle Router gültige IP-Multicastadresse(224.0.0.2) senden, wenn eine Schnittstelle initialisiert wird, um unmittelbar konfiguriert zu werden.

TCP/IP für Windows Server 2003 und Windows XP unterstützt das Senden von ICMP-Routeraufforderungen undden Empfang von ICMP-Routerankündigungen, was auch als hostseitige Routererkennung bekannt ist. DieseMöglichkeit ist standardmäßig deaktiviert und kann wieder aktiviert werden, wenn Sie DHCP und die OptionRoutersuche durchführen verwenden.

Der Routing- und RAS-Dienst in Windows Server 2003 unterstützt das Senden von ICMP-Routerankündigungen,

was auch als routerseitige Routererkennung bekannt ist. Gehen Sie wie folgt vor, um die routerseitige ICMP-Routererkennung zu aktivieren:

1. Klicken Sie auf Start, Systemsteuerung, und doppelklicken Sie anschließend erst auf Verwaltung und dann auf Routing und RAS.

2. Öffnen Sie in der Konsolenstruktur die Option Routing- und RAS, dann IP-Routing und anschließendAllgemein.

3. Klicken Sie im Detailfenster mit der rechten Maustaste auf die zu aktivierende Schnittstelle, und klicken Sie dann auf Eigenschaften.

4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Routersucheankündigungenaktivieren, und konfigurieren Sie bei Bedarf weitere Einstellungen.

Weitere Informationen zur ICMP-Routererkennung finden Sie im Kapitel " Unicast IP Routing " des Microsoft Windows 2000 Server Resource Kit Internetworking Guide (nur auf Englisch verfügbar).

Statische RoutenDas Tool Route fügt Einträge zur IPv4-Routingtabelle hinzu. Sie können Einträge für Hosts oder Netzwerkehinzufügen, und Sie können IPv4-Adressen oder -Aliasnamen verwenden. Wenn Sie Aliasnamen verwenden, umHosts oder Gateways anzugeben, dann wird der Aliasname in der Datei Hosts gesucht. Wenn Sie einen Aliasnamen verwenden, um eine Netzwerk-ID anzugeben, dann wird der Aliasname in der Datei Networksgesucht. Beide Dateien befinden sich im Ordner %Systemroot%\System32\Drivers\Etc.

Nachfolgend sind Beispiele für die Verwendung des Tools Route zum Hinzufügen von Einträgen zurIPv4-Hostroutingtabelle aufgeführt.

• Beispiel zum Hinzufügen eines Eintrags, der einer IPv4-Hostadresse entspricht:

route add 131.107.24.192 mask 255.255.255.255 131.107.1.1

oder

route add131.107.24.192 mask 255.255.255.255 router1

Hier weist die Datei Hosts folgenden Eintrag auf:

131.107.1.1 router1

• Beispiel zum Hinzufügen eines Eintrags, der einer Netzwerk-ID entspricht:

route add 131.107.3.0 mask 255.255.255.0 131.107.1.2

oder

route add network3 mask 255.255.255.255 131.107.1.2

Hier weist die Datei Networks folgenden Eintrag auf:

network3 131.107.3.0

Persistente statische RoutenDa die IPv4-Routingtabelle im Arbeitsspeicher verwaltet wird, muss die Tabelle bei jedem Neustart des Knotens neu erstellt werden. Damit statische Routen verwaltet werden können, die nicht auf der Konfiguration desKnotens basieren, wenn Windows neu gestartet wird, unterstützt das Tool Route die Option -p. Die Option -pführt dazu, dass die Route beständig ist, indem sie in der Registrierung an folgender Position gespeichert wird:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP\Parameters\PersistentRoutes

RIP-ÜberwachungDie RIP-Überwachung ist eine optionale Netzwerkkomponente, die Sie über den OrdnerNetzwerkverbindungen oder über die Option Software der Systemsteuerung für Computer installierenkönnen, die Windows XP Professional ausführen. Wenn die RIP-Überwachung installiert ist, überwacht sie RIPv1- und RIP v2-Datenverkehr und verwendet die empfangenen RIP-Nachrichten, um ihre IPv4-Routingtabelle zu aktualisieren. Ein Computer, der die RIP-Überwachung verwendet, wird auch als stiller RIP-Host bezeichnet.

Routing für getrennte NetzwerkeWenn Sie über mehrere Schnittstellen verfügen, und Sie ein Standardgateway für jede Schnittstellekonfigurieren, dann führt die Standardroutenmetrik dazu, die auf der Schnittstellengeschwindigkeit basiert,dass die schnellste Schnittstelle für den Standardroutenverkehr verwendet wird. Dieses Verhalten mag beieinigen Konfigurationen erwünscht sein, bei denen der Computer über mehrere Adapter verfügt, die mitdemselben Netzwerk verbunden sind. Wenn Sie z. B. einen Ethernet-Adapter mit 100 Mbit/s und einen mit 10 Mbit/s besitzen, die mit dem Intranet derselben Organisation verbunden sind, dann wäre es wünschenswert,dass der Standardroutenverkehr über den Adapter mit 100 Mbit/s gesendet wird.

Dieses Standardverhalten kann jedoch auch ein Problem darstellen, wenn der Computer mit zwei oder mehr getrennten Netzwerken (Netzwerke, die keine symmetrische Erreichbarkeit auf der Netzwerkschicht bieten) verbunden ist. Die symmetrische Erreichbarkeit ist gegeben, wenn Pakete an ein beliebiges Ziel gesendet und von diesem empfangen werden können. Das Tool Ping testet beispielsweise, ob die symmetrische Erreichbarkeit

vorliegt.

Beispiele für zerlegte Netzwerke:

• Netzwerke, die nicht über eine Verbindung auf der Netzwerkschicht verfügen, z. B. ein Organisationsintranetund ein Testlabor, die keinen IPv4-Router besitzen, der zwischen ihnen Pakete weiterleitet. Ein Computer kann mit beiden Netzwerken verbunden sein, aber wenn keine Route beide Netzwerke erreicht und der sie verbindende Computer keine Pakete weiterleitet, dann sind die beiden Netzwerke getrennt.

• Ein Intranet mit privaten Adressen, das über eine Routingverbindung zum Internet verfügt. DieseKonfiguration bietet eine asymmetrische Erreichbarkeit oder eine Erreichbarkeit in eine Richtung. Intranethosts können Pakete an Internethosts von privaten IPv4-Adressen senden, aber der Rückgabeverkehrkann nicht zugestellt werden, da keine Routen für den privaten Adressraum in der Routinginfrastruktur desInternets vorhanden sind.

Die Konnektivität zu getrennten Netzwerken ist wichtig, wenn Organisationen Folgendes verwenden:

• Entweder einen Proxyserver wie Microsoft ISA Server (Internet Security and Acceleration) oder einen NAT (Network Address Translator), um die privaten Intranets mit dem Internet zu verbinden. In beiden Fällen istder Adressraum des Intranets nicht direkt für Internethosts verfügbar, unabhängig davon, ob dieOrganisation eine private oder öffentliche Adressierung verwendet. Intranethosts können über Proxys oderdurch Übersetzung indirekt auf Internetstandorte zugreifen, aber Internethosts können nicht direkt aufbeliebige Intranetstandorte zugreifen. Daher ist keine symmetrische Erreichbarkeit vorhanden. Diese Konfiguration ist bei Organisationen verbreitet, die ihren Mitarbeitern die Verbindung mit dem Internet bereitstellen.

• Ein VPN-Server (Virtual Private Network), damit Remotebenutzer oder Remotestandorte über das Interneteine Verbindung mit einem privaten Intranet herstellen können. Obwohl der VPN-Server sowohl mit demInternet als auch mit einem privaten Intranet verbunden ist und auch als Router dient, sorgt die Konfiguration von Paketfiltern für die Internetschnittstelle dafür, dass dieser ausschließlich VPN-basiertenDatenverkehr akzeptiert. Internethosts können ohne eine authentifizierte VPN-Verbindung direktIntranetstandorte erreichen.

Da das TCP/IP-Protokoll nur eine einzelne Standardroute zu einem beliebigen Zeitpunkt in der Routingtabelle fürden Standardroutenverkehr verwendet, können Sie unerwünschte Resultate erzielen, wenn Standardgatewaysfür mehrere Schnittstellen konfiguriert sind, die mit getrennten Netzwerken verbunden sind.

Bei den Beispielen mit dem ISA- oder VPN-Server wird der Standardroutenverkehr entweder an das Internetoder das Intranet, jedoch nicht an beide weitergeleitet. Vom ISA- oder VPN-Server aus sind alle Standorte imInternet oder Intranet erreichbar, jedoch nicht gleichzeitig. ISA- oder VPN-Server erfordern jedoch diegleichzeitige symmetrische Erreichbarkeit für alle Standorte im Internet und im Intranet, um ordnungsgemäßfunktionieren zu können.

Wenn Standardgateway an mehreren Schnittstellen konfiguriert sind, basiert die von IPv4 für die aktuelleVerwendung gewählte Standardroute auf Folgendem:

• Wenn die Routingtabelle mehrere Standardrouten mit unterschiedlichen Metriken enthält, wählt dieTCP/IP-Komponente von Windows XP und Windows Server 2003 die Standardroute mit der niedrigsten Metrik. Wenn die Adapter unterschiedliche Geschwindigkeiten aufweisen, besitzt der Adapter mit der höherenGeschwindigkeit standardmäßig die niedrigere Metrik und wird daher zum Weiterleiten desStandardroutenverkehrs verwendet.

• Wenn die Routingtabelle mehrere Standardrouten mit derselben niedrigen Metrik enthält, verwendet dieTCP/IP-Komponente von Windows XP und Windows Server 2003 die Standardroute, die dem Adapter entspricht, der die vorderste Position in der Bindungsreihenfolge einnimmt.

Sie müssen Folgendes für den ISA- oder VPN-Server durchführen, um das Problem von nicht erreichbarengetrennten Netzwerken zu verhindern:

• Konfigurieren eines Standardgateways für die Schnittstelle, die mit dem Netzwerk mit der größten Anzahlvon Routen verbunden ist. In den meisten Konfigurationen mit getrennten Netzwerken stellt das Internet das Netzwerk mit der größten Anzahl von Routen dar.

• Konfigurieren Sie kein Standardgateway an einer beliebigen anderen Schnittstelle. Verwenden Sie stattdessen statische Routen oder dynamische Routingprotokolle zum Hinzufügen von Routen, die dieAdressen der anderen getrennten Netzwerke zusammenfassen, zur lokalen IPv4-Routingtabelle.

Beispielsweise ein ISA-Server, der mit dem Internet und einem privaten Intranet verbunden ist. Das private Intranet verwendet den privaten IPv4-Adressraum. Gehen Sie wie folgt auf dem ISA-Server vor, um diesen Server so zu konfigurieren, dass alle Standorte in beiden getrennten Netzwerken vom ISA-Server aus erreichbar sind:

• Konfigurieren eines Standardgateways für den mit dem Internet verbundenen Netzwerkadapter. Bei diesemSchritt wird eine Standardroute erstellt, die auf das Internet verweist, wodurch alle Internetstandorte erreichbar werden.

• Fügen Sie die Routen 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 mithilfe des mit dem Intranetverbundenen Adapters als persistente statische Routen mit dem Tool Route hinzu. Bei diesem Schritt werden die Routen erstellt, die alle Adressen des privaten Intranets zusammenfassen, wodurch alle Intranetstandorte erreichbar werden.

In diesem Beispiel werden statische Routen hinzugefügt. Sie können den ISA-Server auch als dynamischen RIP-

oder OSPF-Router konfigurieren, anstatt den gesamten privaten IPv4-Adressraum zusammenzufassen, so dass subnetzspezifische Routen dynamisch auf Basis der aktuellen Intranetroutingtopologie zur IPv4-Routingtabellehinzugefügt oder aus dieser entfernt werden. Aktivieren und Konfigurieren Sie den Routing und RAS-Dienst, umRIP oder OSPF verwenden zu können.

NetzwerkadressübersetzungEin Übersetzer für Netzwerkadressen (Network Address Translator – NAT) ist ein in RFC 1631 definierterIPv4-Router, der die IPv4-Adressen und TCP/UDP-Portnummern von Paketen bei deren Weiterleitung übersetzenkann. Stellen Sie sich z. B. ein kleines Unternehmensnetzwerk mit mehreren Computern vor, die mit demInternet verbunden sind. Dieses Unternehmen müsste normalerweise von einem Internetdienstanbieter(Internet Service Provider – ISP) eine öffentliche IPv4-Adresse für jeden Computer im Netzwerk beziehen.Mithilfe eines NAT kann das kleine Unternehmen jedoch die private Adressierung verwenden, indem der NAT dieprivaten Adressen in eine einzelne oder in mehrere öffentliche IPv4-Adressen übersetzt.

NATs stellen eine häufige Lösung für die folgende Kombination von Anforderungen dar:

• Sie möchten die Verwendung einer einzelnen Verbindung zum Internet optimal nutzen, anstatt mehrereComputer anzuschließen.

• Sie möchten die private Adressierung verwenden.

• Sie möchten auf Internetressourcen zugreifen, ohne einen Proxyserver einsetzen zu müssen.

Funktionsweise der NetzwerkadressübersetzungWenn ein privater Benutzer im Intranet des Kleinunternehmens die Verbindung zu einer Internetressource herstellt, erstellt das TCP/IP-Protokoll auf dem Computer des Benutzers ein IPv4-Paket, wobei die folgenden Werte in den IPv4- und TCP- oder UDP-Headern festgelegt sind fett dargestellter Text kennzeichnet die Felder, die vom NAT betroffen sind):

• Ziel-IP-Adresse: IPv4-Adresse der Internetadresse

• Quell-IP-Adresse: Private IPv4-Adresse

• Zielport: TCP- oder UDP-Port der Internetressource

• Quellport: TCP- oder UDP-Port der Anwendung

Der sendende Host oder ein anderer Router leitet dieses IPv4-Paket an den NAT weiter, der die Adressen des ausgehenden Pakets wie folgt übersetzt:

• Ziel-IP-Adresse: IPv4-Adresse der Internetadresse

• Quell-IP-Adresse: vom ISP zugewiesene öffentliche IPv4-Adresse

• Zielport: TCP- oder UDP-Port der Internetressource

• Quellport: neu zugeordneter TCP- oder UDP-Port der Anwendung

Der NAT sendet das modifizierte IPv4-Paket über das Internet. Der antwortende Computer sendet eine Antwortzurück an den NAT. Wenn der NAT das Paket empfängt, enthält es die folgenden Adressinformationen:

• Ziel-IP-Adresse: vom ISP zugewiesene öffentliche IPv4-Adresse

• Quell-IP-Adresse: IPv4-Adresse der Internetadresse

• Zielport: neu zugeordneter TCP- oder UDP-Port der Anwendung

• Quellport: TCP- oder UDP-Port der Internetressource

Wenn der NAT die Adressen übersetzt und das Paket an den Intranetclient weiterleitet, dann enthält das Paketdie folgenden Adressinformationen:

• Ziel-IP-Adresse: Private IPv4-Adresse

• Quell-IP-Adresse: IPv4-Adresse der Internetadresse

• Zielport: TCP- oder UDP-Port der Anwendung

• Quellport: TCP- oder UDP-Port der Internetressource

Für ausgehende Pakete werden die Quell-IPv4-Adresse und die TCP/UDP-Portnummern einer öffentlichenQuell-IPv4-Adresse und einer möglicherweise geänderten TCP/UDP-Portnummer zugeordnet. Für eingehendePakete werden die Ziel-IPv4-Adresse und die TCP/UDP-Portnummern der privaten IPv4-Adresse und derursprünglichen TCP/UDP-Portnummer zugeordnet.

Ein Kleinunternehmen verwendet z. B. die private Netzwerk-ID 192.168.0.0/24 für sein Intranet und seinInternetdienstanbieter hat ihm die einzelne öffentliche IPv4-Adresse 131.107.0.1 zugeordnet. Wenn einBenutzer mit der privaten Adresse 192.168.0.99 im Intranet des Kleinunternehmens eine Verbindung zu einem Webserver mit der IPv4-Adresse 157.60.0.1 herstellt, dann erstellt das TCP/IP-Protokoll des Benutzers ein IPv4-Paket, bei dem die folgenden Wert in den TCP-Headern festgelegt sind:

• Ziel-IPv4-Adresse: 157.60.0.1

• Quell-IPv4-Adresse: 192.168.0.99

• TCP-Zielport: 80

• TCP-Quellport: 1025

Der Quellhost leitet dieses IPv4-Paket an den NAT weiter, der die Adressen des ausgehenden Pakets wie folgtübersetzt:





Der NAT sendet das modifizierte IPv4-Paket über das Internet. Der Webserver sendet eine Antwort zurück anden NAT. Wenn der NAT die Antwort empfängt, enthält das Paket die folgenden Adressinformationen:





Wenn der NAT die Adressen übersetzt und das Paket an den Intranetclient weiterleitet, dann enthält das Paketdie folgenden Adressinformationen:





Abbildung 5-9 zeigt, wie der NAT eingehenden Datenverkehr für die Konfiguration in diesem Beispiel übersetzt.

Abbildung 5-9 Ein Beispiel für die Übersetzung deseingehenden Verkehrs durch den NATBild maximieren

Die Zuordnungen von privatem zu öffentlichem Verkehr sind in einer NAT-Übersetzungstabelle gespeichert, diezwei Arten von Einträgen enthalten kann:

• Dynamische Zuordnungen

Diese werden erstellt, wenn private Netzwerkclients die Übertragungen einleiten. Dynamische Zuordnungenwerden nach einer bestimmten Zeit aus der Tabelle entfernt, ausgenommen sie werden durch Datenverkehr aktualisiert, der einem Eintrag entspricht.

• Statische Zuordnungen

Diese werden manuell konfiguriert, damit die von Internetclients eingeleiteten Übertragungen einerbestimmten privaten Netzwerkadresse und einem Port zugeordnet werden können. Statische Zuordnungensind erforderlich, wenn Server (z. B. Webserver) oder Anwendungen (z. B. Spiele) im privaten Netzwerk vorhanden sind, die Sie für Computer zur Verfügung stellen möchten, die mit dem Internet verbunden sind.Statische Zuordnungen werden nicht automatisch aus der NAT-Übersetzungstabelle entfernt.

Der NAT leitet den Datenverkehr aus dem Internet nur dann an das private Netzwerk weiter, wenn in derNAT-Übersetzungstabelle eine Zuordnung vorhanden ist. Auf diese Weise bietet der NAT einen gewissen Schutzfür Computer, die mit Segmenten privater Netzwerke verbunden sind. Sie sollten einen NAT jedoch nichtanstelle einer voll ausgestatteten Firewall verwenden, wenn die Internetsicherheit von Bedeutung ist.

Windows XP bezieht die Aufgaben der Netzwerkadressübersetzung mit der Funktion Gemeinsame Nutzung der Internetverbindung im Ordner Netzwerkverbindungen ein. Windows Server 2003 bezieht die Aufgaben der Netzwerkadressübersetzung auch mit der NAT-/Basisfirewallkomponente von Routing und RAS mit ein.

Zum Seitenanfang

IPv6-RoutingEin IPv6-Netzwerk besteht aus mehreren IPv6-Subnetzen, die über IPv6-Router miteinander verbunden sind.Damit die Erreichbarkeit allen beliebigen Standorten im IPv6-Netzwerk bereitgestellt wird, müssen Routen aufsendenden Hosts und Routern vorhanden sein, um die Weiterleitung an das beabsichtigte Ziel zu übernehmen.Bei diesen Routen kann es sich entweder um allgemeine Routen wie die Standardroute handeln, die alle Standorte zusammenfasst oder um bestimmte Routen wie Subnetzrouten, die alle Standorte in einem bestimmten Subnetz zusammenfassen.

Hosts verwenden normalerweise direkt angeschlossene Subnetzrouten, um benachbarte Knoten zu erreichen sowie eine Standardroute, um zu allen anderen Standorten zu gelangen. Router verwenden typischerweise bestimmte Routen, um alle Positionen innerhalb ihrer Standorte zu erreichen sowie Zusammenfassungsrouten zum Erreichen aller anderen Standorte oder des Internets. Obwohl Routerankündigungsnachrichten Hosts mitdirekt angeschlossenen oder mit Remotesubnetzrouten und einer Standardroute automatisch konfigurieren, erweist sich das Konfigurieren von Routern als komplexer. Sie können einen Router mit statischen Routen odermit Routingprotokollen für dynamische Routen konfigurieren.

Vergleichbar mit IPv4-Knoten verwenden typische IPv6-Knoten eine IPv6-Routingtabelle, um zu ermitteln, wie Pakete weitergeleitet werden. IPv6-Routingtabelleneinträge werden standardmäßig bei der IPv6-Initialisierungerstellt und Einträge entweder über die manuelle Konfiguration oder durch den Empfang vonRouterankündigungsnachrichten hinzugefügt, die verbindungsbezogene Präfixe und Routen enthalten.

IPv6-RoutingtabellenEine Routingtabelle ist auf allen Knoten vorhanden, die das IPv6-Protokoll von Windows ausführen. DieRoutingtabelle speichert Informationen zu IPv6-Netzwerkpräfixes und möglichen Verbindungen zu diesen(entweder direkt oder indirekt). Vor dem Prüfen der IPv6-Routingtabelle prüft IPv6 den Zielcache auf einenEintrag, der mit der Zieladresse im weitergeleiteten IPv6-Paket übereinstimmt. Wenn der Zielcache keinenEintrag für die Zieladresse enthält, verwendet IPv6 die Routingtabelle, um Folgendes zu ermitteln:

• Die für die Weiterleitung verwendete Schnittstelle (Schnittstelle des nächsten Knotens)

Die Schnittstelle kennzeichnet die physische oder logische Schnittstelle, die zum Weiterleiten des Pakets an sein Ziel oder an den nächsten Router verwendet wurde.

• IPv6-Adresse des nächsten Knotens

Bei einer direkten Übermittlung (bei der sich das Ziel auf einer lokalen Verbindung befindet) ist die Adressedes nächsten Knotens die IPv6-Zieladresse im Paket. Bei einer indirekten Übermittlung (bei der sich das Zielnicht auf einer lokalen Verbindung befindet) ist die IPv6-Adresse des nächsten Knotens die Adresse einesRouters.

Nachdem die Schnittstelle und die Adresse des nächsten Knotens ermittelt wurden, aktualisiert IPv6 denZielcache. IPv6 leitet an das Ziel adressierte nachfolgende Pakete mithilfe des Zielcacheeintrags weiter, anstatt die Routingtabelle zu prüfen.

Typen von IPv6-RoutingtabelleneinträgenIn IPv6-Routingtabelleneinträgen können die folgenden Routentypen gespeichert werden:


Diese Routen sind Netzwerkpräfixe für Subnetze, die nicht direkt angeschlossen sind und normalerweise übereine 64-Bit-Präfixlänge verfügen.


Remotesubnetzrouten können Subnetzwerkpräfixe (normalerweise mit einer 64-Bit Präfixlänge) oder Präfixesein, die einen Adressraum zusammenfassen (normalerweise mit einer Präfixlänge, die kleiner ist als 64).

• Hostrouten

Für IPv6-Hostrouten ist das Routenpräfix eine bestimmte IPv6-Adresse mit einer 128-Bit-Präfixlänge.Dagegen besitzen beide Arten von Subnetzrouten Präfixe, die eine Präfixlänge von 64 Bit oder wenigeraufweisen.

• Standardroute

Das IPv6-Standardroutenpräfix ist ::/0.

Ermitteln von RoutenIPv6 verwendet den folgenden Prozess, um den Routingtabelleneintrag für die Weiterleitung zu ermitteln:

1. Vergleichen Sie für jeden Eintrag in einer Routingtabelle die Bit im Netzwerkpräfix mit denselben Bit in

der Zieladresse bis hin zu der Anzahl von Bit, die in der Präfixlänge der Route angegeben ist. Wenn alleBit im Netzwerkpräfix mit allen Bit in der IPv6-Zieladresse übereinstimmen, stellt die Route eineÜbereinstimmung für das Ziel dar.

2. Kompilieren Sie die Liste der übereinstimmenden Routen, und wählen Sie die Route mit der längstenPräfixlänge (die Route, bei der die meisten höherwertigen Bit mit der Zieladresse übereinstimmen) aus.Bei der längsten übereinstimmenden Route handelt es sich um die konkreteste Route zur Zieladresse.Wenn mehrere Einträge mit der längsten Übereinstimmung vorhanden sind (z. B. mehrere Routen zumgleichen Netzwerkpräfix), wählt der Router die Route mit der kleinsten Metrik als optimale Route aus.Wenn mehrere Einträge mit der längsten Übereinstimmung und der niedrigsten Metrik vorhanden sind,dann kann IPv6 wählen, welcher Routingeintrag zu verwenden ist.

Dieses Verfahren findet für ein beliebiges angegebenes Ziel die passende Routen in der folgenden Reihenfolge:

1. Eine Hostroute, die mit der gesamten Zieladresse übereinstimmt

2. Ein Subnetz oder eine zusammengefasste Route mit der längsten Präfixlänge, die mit dem Zielübereinstimmt

3. Die Standardroute (das Netzwerkpräfix ::/0)

Wenn der Routenermittlungsprozess abgeschlossen ist, wurde eine einzige Route in der Routingtabelle von IPv6ausgewählt. Die ausgewählte Route führt zu der Schnittstelle und Adresse des nächsten Knotens. Wenn dersendende Host keine Route finden kann, nimmt IPv6 an, dass das Ziel lokal erreichbar ist. Wenn ein Routerkeine Route finden kann, sendet IPv6 die ICMPv6-Meldung (Internet Control Message Protocol for IPv6) "Zielunerreichbar – Keine Route zum Ziel" an den sendenden Host und verwirft das Paket.

IPv6-Beispielroutingtabelle für WindowsGeben Sie netsh interface ipv6 show routes an der Eingabeaufforderung ein, um die IPv6-Routingtabelle auf einem Computer anzuzeigen, der Windows Server 2003 oder Windows XP ausführt. Hier folgt die Anzeige desBefehls netsh interface ipv6 show routes für einen Computer mit drei Netzwerkadaptern, der alsStandardrouter für zwei Subnetze dient, die mit globalen Adresspräfixes konfiguriert sind und der eineStandardroute besitzt, die auf einen Standardrouter in einem dritten Subnetz verweist:

Publish Type Met Prefix Idx Gateway/Interface Name ------- -------- ---- ------------------------ --- ------------------------ yes Autoconf 8 3ffe:ffff:0:1::/64 4 Local Area Connection yes Autoconf 8 3ffe:ffff:0:2::/64 5 Local Area Connection 2 yes Autoconf 8 3ffe:ffff:0:3::/64 6 Local Area Connection 3 yes Manual 256 ::/0 6 fe80::210:ffff:fed6:58c0

Jeder Eintrag in der IPv6-Routingtabelle für ein Windows Server 2003- oder Windows XP-Betriebssystemverfügt über die folgenden Felder:

• Die Information, ob die Route veröffentlicht wurde (in einer Routingankündigungsnachricht bekanntgegeben).

• Den Routentyp. Die von Benutzeranwendungen konfigurierten Routen besitzen den Routentyp "Manuell". Die vom IPv6-Protokoll konfigurierten Routen besitzen den Routertyp "Autokonfiguration".

• Eine Metrik, die für die Auswahl zwischen mehreren Routen mit demselben Präfix verwendet wird. Dieniedrigste Metrik entspricht der empfehlenswertesten kürzesten geeigneten Route.

• Das Präfix.

• Der Schnittstellenindex, der die Schnittstelle angibt, über die Pakete mit übereinstimmendem Adresspräfixerreichbar sind.

Sie können die Schnittstellenindizes über den Befehl netsh interface ipv6 show interface anzeigen.

• Eine IPv6-Adresse oder ein Schnittstellenname des nächsten Knotens.

Für Remotesubnetzrouten ist eine IPv6-Adresse des nächsten Knotens aufgeführt. Für direkt angeschlosseneSubnetzrouten ist der Name der Schnittstelle aufgeführt, über die das Adresspräfix direkt erreichbar ist.

Die IPv6-Routingtabelle wird automatisch auf Basis der aktuellen IPv6-Konfiguration Ihres Computers erstellt. Eine Route für das verbindungslokale Präfix (FE80::/64) ist niemals in der IPv6-Routingtabelle vorhanden.

Die erste, zweite und dritte Route sind für die globalen 64-Bit-Adresspräfixe von lokal angeschlossenenSubnetzen gedacht. Ein Ethernet-Netzwerkadapter mit der Bezeichnung "LAN-Verbindung" (Schnittstellenindex 4) ist mit dem Subnetz 3FFE:FFFF:0:1::/64 verbunden. Ein zweiter Ethernet-Netzwerkadapter mit der Bezeichnung "LAN-Verbindung 2" (Schnittstellenindex 5) ist mit Subnetz 3FFE:FFFF:0:2::/64 verbunden. Ein dritter Ethernet-Netzwerkadapter mit der Bezeichnung "LAN-Verbindung 3" (Schnittstellenindex 6) ist mit Subnetz 3FFE:FFFF:0:3::/64 verbunden.

Die vierte Route ist die Standardroute (Präfix ::/0). Die Standardroute entspricht allen Zielen. Wenn dieStandardroute die längste übereinstimmende Route für das Ziel ist, wird das Paket an die IPv6-AdresseFE80::210:FFFF:FED6:58C0 unter Verwendung des Ethernet-Netzwerkadapters mit der Bezeichnung "LAN-Verbindung 3" (Schnittstellenindex 6) weitergeleitet.

Wenn die IPv6-Adresse des nächsten Knotens aus einer Route in der Routingtabelle ermittelt wird, geht IPv6wie folgt vor:

• Wenn die Spalte Gateway/Schnittstellenname des Routingtabelleneintrags einen Schnittstellennamen anzeigt, ist das Ziel ein benachbarter Knoten und IPv6 legt für die Adresse des nächsten Knotens dieZieladresse des IPv6-Pakets fest.

• Wenn die Spalte Gateway/Schnittstellenname des Routingtabelleneintrags eine Adresse (die Adresse eines benachbarten Routers) anzeigt, handelt es sich um ein Remoteziel und IPv6 legt für die Adresse desnächsten Knotens die Adresse der Spalte Gateway/Schnittstellenname fest.

Wenn der Datenverkehr z. B. an 3FFE:FFFF:0:2:2AA:FF:FE90:4D3C gesendet wird, ist die längsteübereinstimmende Route die Route für das direkt angeschlossene Subnetz 3FFE:FFFF:0:2::/64. Die IP-Adressefür die Weiterleitung wird auf die Zieladresse von 3FFE:FFFF:0:2:2AA:FF:FE90:4D3C festgelegt, und alsSchnittstelle wird die Schnittstelle verwendet, die Schnittstellenindex 5 entspricht (der Ethernet-Netzwerkadapter mit der Bezeichnung "LAN-Verbindung 2"). Wenn der Datenverkehr an die Adresse 3FFE:FFFF:0:9:2AA:FF:FE03:21A6 gesendet wird, ist die Standardroute (::/0) die längste übereinstimmendeRoute. Für die weiterleitende IP-Adresse wird die Routeradresse FE80::210:FFFF:FED6:58C0 festgelegt, und alsSchnittstelle wird die Schnittstelle verwendet, die Schnittstellenindex 6 entspricht (der Ethernet-Netzwerkadapter mit der Bezeichnung "LAN-Verbindung 3").

IPv6-RoutingprotokolleFolgende Routingprotokolle sind für IPv6 definiert:

• RIPng für IPv6

• OSPF für IPv6

• Integriertes IS-IS (Intermediate System-to-Intermediate System) für IPv6

• BGP-4

• IDRPv2 (Inter-Domain Routing Protocol Version 2)

RIPng für IPv6RIPng (RIP Next Generation) ist ein Distanzvektor-Routingprotokoll für IPv6, das in RFC 2080 definiert ist.RIPng für IPv6 ist eine Adaptation des RIP v2-Protokolls, das in RFC 1723 definiert ist, um IPv6-Netzwerkpräfixeanzukündigen. RIPng für IPv6 verwendet UDP-Port 521, um seine Routen periodisch anzukündigen, um aufRoutenanfragen zu antworten und um Routenänderungen bekanntzugeben.

RIPng für IPv6 weist eine maximale Distanz von 15 auf, wobei 15 die kumulierten Kosten angibt (Anzahl derHops). Standorte, die eine Distanz von 16 oder mehr besitzen, werden als unerreichbar betrachtet. RIPng fürIPv6 ist ein einfaches Routingprotokoll mit einem Mechanismus für periodische Routenankündigungen, das fürden Einsatz in kleinen und mittelgroßen IPv6-Netzwerken entworfen wurde. RIPng für IPv6 kann nichtbesonders gut auf große oder sehr große IPv6-Netzwerke ausgeweitet werden.

OSPF für IPv6OSPF für IPv6 ist ein Verbindungsstatus-Routingprotokoll, das in RFC 2740 definiert und für die Pflege vonRoutingtabellen innerhalb eines einzelnen autonomen Systems entworfen wurde. OSPF für IPv6 ist eineAdaptation des OSPF-Routingprotokolls, Version 2 für IPv4, das in RFC 2328 definiert ist. Die OSPF-Kosten fürjede Routerverbindung zeigen eine einheitenlose Zahl an, die der Netzwerkadministrator zuweist und dieVerzögerung, Bandbreite und finanzielle Kostenfaktoren einbeziehen kann. Die kumulierten Kosten zwischenNetzwerksegmenten in einem OSPF-Netzwerk müssen kleiner als 65.535 sein. OSPF-Nachrichten werdenmithilfe des nächsten Headerwertes 89 als PDUs (Protocol Data Units) der oberen Schicht gesendet.

Integriertes IS-IS für IPv6Das integrierte IS-IS, auch als doppeltes IS bekannt, ist ein Verbindungsstatus-Routingprotokoll, das OSPF sehr ähnlich ist und im ISO-Dokument (International Standards Organization) 10589 definiert ist. IS-IS unterstütztsowohl IPv4 als auch CLNP (Connectionless Network Protocol), die Netzwerkschicht der OSI-Protokollreihe (Open Systems Interconnection). IS-IS erlaubt zwei Ebenen der hierarchischen Skalierung, während OSPF nureine Ebene (Bereiche) zulässt.

Eine ausführliche Erläuterung des integrierten IS-IS für IPv6 würde den Rahmen dieses Kapitels überschreiten.Weitere Informationen finden Sie in ISO 10589 und im Internetentwurf "Routing IPv6 with IS-IS" (nur auf Englisch verfügbar).

BGP-4BGP-4 (Border Gateway Protocol Version 4) ist ein Pfadvektor-Routingprotokoll, das in RFC 1771 definiert ist. Anders als bei RIPng für IPv6 und OSPF für IPv6, die innerhalb eines autonomen Systems eingesetzt werden,wurde BGP-4 für den Austausch von Routinginformationen zwischen autonomen Systemen entworfen. DieBGP-4-Routinginformationen werden dazu verwendet, um eine logische Pfadstruktur zu erstellen, die alle Verbindungen zwischen autonomen Systemen beschreibt. Die Pfadstrukturinformationen werden dann dazu verwendet, um schleifenfreie Routen in den Routentabellen von BGP-4-Routern zu erstellen. BGP-4-Nachrichten verwenden TCP-Port 179. BGP-4 ist das primäre Protokoll, mit dem Routingtabellen im IPv4-Internet verwaltetwerden.

BGP-4 wurde definiert, um von der Adressfamilie unabhängig zu sein, für die Routinginformationen verbreitetwerden. Für IPv6 wurde BGP-4 erweitert, um IPv6-Adresspräfixe zu unterstützen, wie in den RFCs 2545 und2858 beschrieben.

Eine ausführliche Erläuterung des BGP-4 für IPv6 würde den Rahmen dieses Kapitels überschreiten. WeitereInformationen dazu finden Sie in den RFCs 1771, 2545 und 2858.

IDRPv2IDRP (Inter-Domain Routing Protocol) ist ein Pfadvektor-Routingprotokoll, das im ISO-Dokument 10747

definiert ist. IDRP wurde ursprünglich für CLNP erstellt. Wie BGP-4 wird IDRP zwischen autonomen Systemeneingesetzt, was auch als Routing von Domänen in IDRP bezeichnet wird.

Die für IPv6 geeignete Version von IDRP ist IDRP Version 2 (IDRPv2). IDRPv2 ist ein für IPv6 bessergeeigneteres Routingprotokoll als BGP-4, da in IDRP Routingdomänen über ein IPv6-Präfix gekennzeichnetwerden, anstatt zusätzliche Bezeichner für autonome Systeme (wie sie im IPv4-Internet und für BGP-4verwendet werden) zu verwenden. Zusätzlich können Sie IDRPv2 verwenden, um Routingdomänen inRoutingdomänenzusammenschlüsse zu gruppieren, die auch über den Präfix gekennzeichnet werden, um einebeliebige hierarchische Struktur zur Routingzusammenfassung zu erstellen.

Eine ausführliche Erläuterung von IDRPv2 würde den Rahmen dieses Kapitels überschreiten. WeitereInformationen finden Sie in ISO 10747.

IPv6-Routenzusammenführung und -zusammenfassungWie bei IPv4 können Sie IPv6-Routinginformationen im Rahmen von Adressbereichen zusammenführen oderzusammenfassen. Die besten Beispiele sind die 48-Bit-Adresspräfixe, die einzelnen Standorten einerOrganisation von der IANA oder einem Internetdienstanbieter zugewiesen werden. Das 48-Bit-Präfix fasst alleAdressen zusammen, die an diesem Standort verwendet werden. Die 64-Bit-Präfixe, die einzelnen Subnetzen aneinem Standort entsprechen, werden außerhalb des Standorts nicht bekannt gegeben.

Innerhalb des Standorts können die Organisationen beliebige Schemata für die Routenzusammenfassung imFeld für die 16-Bit-Subnetz-ID des globalen IPv6-Adressformats verwenden. Abbildung 5-10 zeigt ein Beispiel.

Abbildung 5-10 Beispiel einer Routenzusammenfassungfür ein IPv6-UnicastadresspräfixBild maximieren

Windows-Unterstützung für statisches IPv6-RoutingDie IPv6-Protokollkomponente von Windows unterstützt das statische Routing. Sie können einen WindowsServer 2003 oder Windows XP ausführenden Computer als statischen IPv6-Router konfigurieren, indem Sie dieWeiterleitung für die Schnittstellen des Computers aktivieren und ihn dann für die Bekanntgabe vonNetzwerkpräfixes für lokale Hosts konfigurieren.

Abbildung 5-11 zeigt ein Beispielnetzwerk, das eine einfache statische Routingkonfiguration verwendet. Die Konfiguration besteht aus drei Subnetzen, drei Hostcomputern, die Windows XP oder Windows Server 2003ausführen (Host A, Host B und Host C) und zwei Routercomputern, die Windows XP oder Windows Server 2003ausführen (Router 1 und Router 2).

Abbildung 5-11 Beispiel für statisches Routing mit derIPv6-Protokollkomponente von WindowsBild maximieren

Nachdem das IPv6-Protokoll auf allen Computern in diesem Beispielnetzwerk installiert ist, müssen Sie dieWeiterleitung und die Ankündigung über die beiden Netzwerkadapter von Router 1 und Router 2 aktivieren.Verwenden Sie dazu den folgenden Befehl:

netsh interface ipv6 set interfaceSchnittstellenname | Schnittstellenindexforwarding=enabled advertise=enabled

Dabei steht Schnittstellenname für den Namen der Netzwerkverbindung im Ordner Netzwerkverbindungen und Schnittstellenindex für die Schnittstellenindexnummer aus der Anzeige des Befehls netsh interface ipv6 show interface. Sie können sowohl den Schnittstellennamen als auch dessen Indexnummer verwenden.

Die Befehle würden z. B. für Router 1 wie folgt aussehen, wenn der Schnittstellenindex des mit Subnetz 1verbundenen Netzwerkadapters den Wert 4 und der Schnittstellenindex des mit Subnetz 2 verbundenen Netzwerkadapters den Wert 5 besitzt.

netsh int ipv6 set int 4 forw=enabled adv=enabled


Sie können alle Netsh-Parameter zu ihrer kürzesten, nicht mehrdeutigen Form abkürzen.

Nachdem Sie die Weiterleitung und Ankündigung aktiviert haben, müssen Sie die Router mit den Adresspräfixesfür ihre angeschlossenen Subnetze konfigurieren. Für die IPv6-Protokollkomponente von Windows Server 2003und Windows XP erreichen Sie dies, indem Sie Routen mit den Anweisungen zum Bekanntgeben der Route zur Routingtabelle des Routers hinzufügen. Verwenden Sie folgenden Befehl:

netsh interface ipv6 set routeAdresse/PräfixlängeSchnittstellenname | Schnittstellenindexpublish=yes

Dabei steht Adresse für den Adressabschnitt des Präfixes und Präfixlänge für den Präfixabschnitt derPräfixlänge. Damit Sie eine Route veröffentlichen können (um sie in eine Routerankündigung einzubeziehen),müssen Sie publish=yes angeben.

Für Router 1 lauten die Befehle z. B. unter Verwendung der Beispielschnittstellenindizes:

netsh int ipv6 set rou 3ffe:ffff:0:1::/64 4 pub=yes


Das Ergebnis dieser Konfiguration sieht wie folgt aus:

• Router 1 sendet Routerankündigungsnachrichten an Subnetz 1. Diese Nachrichten enthalten einePräfixinformationsoption, um Adressen für Subnetz 1 (3FFE:FFFF:0:1::/64) automatisch zu konfigurieren,eine MTU-Option (Maximum Transmission Unit) für die Verbindungs-MTU von Subnetz 1 sowie eineRouteninformationsoption für das Subnetzpräfix von Subnetz 2 (3FFE:FFFF:0:2::/64).


Wenn Host A die Routerankündigungsnachricht empfängt, konfiguriert der Host automatisch eine globaleAdresse für seine Netzwerkadapterschnittstelle mit dem Präfix 3FFE:FFFF:0:1::/64 und einen von EUI-64(Extended Unique Identifier) abgeleiteten Schnittstellenbezeichner. Der Host fügt auch eine Route für das lokalangeschlossene Subnetz 1 (3FFE:FFFF:0:1::/64) und eine Route für Subnetz 2 (3FFE:FFFF:0:2::/64) mit derAdresse des nächsten Knotens der verbindungslokalen Adresse der Schnittstelle von Router 1 aus Subnetz 1 zuseiner Routingtabelle hinzu.

Wenn Host B die Routerankündigungsnachricht empfängt, konfiguriert der Host automatisch eine globaleAdresse für seine Netzwerkadapterschnittstelle mit dem Präfix 3FFE:FFFF:0:2::/64 und einen von EUI-64abgeleiteten Schnittstellenbezeichner. Der Host fügt auch eine Route für das lokal angeschlossene Subnetz 2((3FFE:FFFF:0:2::/64) und eine Route für Subnetz 1 (3FFE:FFFF:0:1::/64) mit der Adresse des nächstenKnotens der verbindungslokalen Adresse der Schnittstelle von Router 1 aus Subnetz 2 zu seiner Routingtabelle hinzu.

In dieser Konfiguration kündigt sich Router 1 nicht selbst als Standardrouter an (für das Feld Router Lifetimein der Routerankündigungsnachricht ist der Wert 0 festgelegt) und die Routingtabellen von Host A und Host Benthalten keine Standardrouten. Ein Computer, der die IPv6-Protokollkomponente für Windows Server 2003oder Windows XP ausführt, kündigt sich selbst nicht als Standardrouter an, außer es wurde eine Standardroutezur Veröffentlichung konfiguriert.

Um diese Beispielkonfiguration fortzusetzen, hat der Schnittstellenindex des mit Subnetz 2 verbundenen Netzwerkadapters von Router 2 den Wert 4. Der Schnittstellenindex des mit Subnetz 3 verbundenen Netzwerkadapters von Router 2 hat den Wert 5. Damit die Konnektivität zwischen Subnetz 2 und Subnetz 3bereitgestellt wird, würden Sie die folgenden Befehle für Router 2 durchführen:





Das Ergebnis dieser Konfiguration sieht wie folgt aus:



Wenn Host B die Routerankündigungsnachricht von Router 2 empfängt, konfiguriert der Host nicht automatischeine globale Adresse mit dem Präfix 3FFE:FFFF:0:2::/64, da die globale Adresse mit diesem Präfix bereitsvorhanden ist. Host B fügt auch eine Route für Subnetz 3 (3FFE:FFFF:0:3::/64) mit der Adresse des nächstenKnotens der verbindungslokalen Adresse der Schnittstelle von Router 2 aus Subnetz 2 zu seiner Routingtabelle hinzu.

Wenn Host C die Routerankündigungsnachricht empfängt, konfiguriert der Host automatisch eine globaleAdresse für seine Netzwerkadapterschnittstelle mit dem Präfix 3FFE:FFFF:0:3::/64 und einen von EUI-64abgeleiteten Schnittstellenbezeichner. Der Host fügt auch eine Route für das lokal angeschlossene Subnetz(Subnetz 3, 3FFE:FFFF:0:3::/64) und eine Route für Subnetz 2 (3FFE:FFFF:0:2::/64) mit der Adresse desnächsten Knotens der verbindungslokalen Adresse der Schnittstelle von Router 2 aus Subnetz 3 zu seinerRoutingtabelle hinzu.

Ergebnis dieser Konfiguration ist, obwohl Host B sowohl mit Host A als auch Host B kommunizieren kann, dass Host A nicht mit Host C kommunizieren kann, da Host A keine Routen zu Subnetz 3 besitzt und Host C keine Routen zu Subnetz 1. Es gibt zwei Möglichkeiten, um dieses Problem zu lösen:

• Konfigurieren von Router 1, damit dieser eine Route zu Subnetz 3 mit der Adresse des nächsten Knotens derverbindungslokalen Adresse in Subnetz 2 von Router 2 veröffentlicht und konfigurieren von Router 2, damitdieser eine Route zu Subnetz 1 mit der Adresse des nächsten Knotens der verbindungslokalen Adresse inSubnetz 2 von Router 1 veröffentlicht.

• Konfigurieren von Router 1, damit dieser eine Standardroute mit der Adresse des nächsten Knotens derverbindungslokalen Adresse in Subnetz 2 von Router 2 veröffentlicht und konfigurieren von Router 2, damitdieser eine Standardroute mit der Adresse des nächsten Knotens der verbindungslokalen Adresse in Subnetz2 von Router 1 veröffentlicht.

Bei der ersten Lösung kündigt Router 1 zwei Routeninformationsoptionen für Subnetz 1 an – eine für Subnetz 2und eine für Subnetz 3. Daher fügt Host A zwei Routen zu seiner Routingtabelle hinzu – eine für3FFE:FFFF:0:2::/64 und eine für 3FFE:FFFF:0:3::/64. Router 1 kündigt nur noch eine Routeninformationsoption(für Subnetz 1) in Subnetz 2 an. Gleichermaßen kündigt Router 2 zwei Routeninformationsoptionen in Subnetz 3an – eine für Subnetz 1 und eine für Subnetz 2. Daher fügt Host C zwei Routen zu seiner Routingtabelle hinzu –eine für 3FFE:FFFF:0:1::/64 und eine für 3FFE:FFFF:0:2::/64. Router 2 kündigt nur noch eineRouteninformationsoption (für Subnetz 3) in Subnetz 2 an. Ergebnis dieser Konfiguration ist, dass alle Hostsund alle Router über bestimmte Routen zu allen Subnetzen verfügen.

Für die zweite Lösung kündigt sich Router 1 selbst als Standardrouter mit einer Routeninformationsoption (fürSubnetz 2) in Subnetz 1 an. Daher fügt Host A zwei Routen zu seiner Routingtabelle hinzu – eine für dieStandardroute ::/0 und eine für 3FFE:FFFF:0:2::/64. Gleichermaßen kündigt sich Router 2 selbst alsStandardrouter mit einer Routeninformationsoption (für Subnetz 2) in Subnetz 3 an. Daher fügt Host C zweiRouten zu seiner Routingtabelle hinzu – eine für die Standardroute ::/0 und eine für 3FFE:FFFF:0:2::/64.Ergebnis dieser Konfiguration ist, dass alle Hosts und alle Router über eine Kombination aus bestimmten undallgemeinen Routen zu allen Subnetzen verfügen, mit Ausnahme von Host B, der nur bestimmte Routen zu allenSubnetzen besitzt. Das Problem bei Lösung 2 ist, dass Router 1 und Router 2 Standardrouten besitzen, dieaufeinander verweisen. Jeder nicht verbindungslokale von Host A zu Host C gesendete Datenverkehr, der nichtmit dem Präfix 3FFE:FFFF:0:1::/64, 3FFE:FFFF:0:2::/64 oder 3FFE:FFFF:0:3::/64 übereinstimmt, wird in einerRoutingschleife zwischen Router 1 und Router 2 gesendet.

Sie könnten dieses Netzwerk aus drei Subnetzen und zwei Routern erweitern, um weitere Subnetze und Routereinzubeziehen. Die administrativen Gemeinkosten zum Verwalten der Konfiguration der statischen Routerkönnen nicht gestaffelt werden. Ab einem bestimmten Punkt verwenden Sie lieber ein IPv6-Routingprotokoll.

Konfigurieren von Hosts für das IPv6-RoutingIPv6-Hosts werden über den Routererkennnungsprozess für das Routing konfiguriert, der keine Konfigurationerfordert. Wenn ein initialisierender IPv6-Host eine Routerankündigungsnachricht empfängt, konfiguriert IPv6Folgendes automatisch:

• Verbindungsbezogene Subnetzpräfixe, die mit Adresspräfixes der automatischen Konfigurationübereinstimmen, die in der Routerankündigungsnachricht enthalten sind.

• Nicht verbindungsbezogene Subnetzpräfixe, die mit bestimmten Routen übereinstimmen, die in derRouterankündigungsnachricht enthalten sind.

• Eine Standardroute, wenn der die Routerankündigungsnachricht sendende Router sich selbst alsStandardrouter ankündigt.

Da der typische IPv6-Host alle Routen automatisch konfiguriert, die er normalerweise für die Weiterleitung vonPaketen an ein beliebiges Ziel benötigt, müssen Sie keine Routen für IPv6-Hosts konfigurieren.

Zum Seitenanfang

RoutingtoolsDie Betriebssysteme Windows Server 2003 und Windows XP umfassen die folgenden Befehlszeilentools, mit denen Sie die Erreichbarkeit und das Routing testen sowie die Routingtabellen verwalten können:

• Route

Zeigt die lokalen IPv4- und IPv6-Routingtabellen an. Sie können das Tool Route dazu verwenden, umtemporäre und persistente Routen hinzuzufügen, vorhandene Routen zu ändern und um Routen aus derIPv4-Routingtabelle zu entfernen.

• Netsh interface ipv6

Zeigt die IPv6-Routingtabelle an (netsh interface ipv6 show routes), fügt Routen hinzu (netsh interface ipv6 add route), entfernt Routen (netsh interface ipv6 delete route) und ändert vorhandene Routen(netsh interface ipv6 set route).

• Ping

Überprüft die Konnektivität auf IP-Ebene mit einem anderen TCP/IP-Computer, indem entweder ICMP Echo-oder ICMPv6 Echo Request-Nachrichten gesendet werden. Das Tool zeigt den Empfang entsprechender Echo Reply-Nachrichten zusammen mit den RTTs (Round-Trip Times) an. Ping ist das primäre TCP/IP-Tool für dieProblembehandlung bei Problemen mit der Konnektivität, Erreichbarkeit und Namensauflösung.

• Tracert

Ermittelt den zurückgelegten Pfad zum Ziel, indem ICMP Echo- oder ICMPv6 Echo Request-Nachrichten mitzunehmenden Werten für die Felder TTL (Time To Live) und Anzahl der Hops gesendet werden. Derangezeigte Pfad ist die Liste von näher gelegenen Routerschnittstellen der Router im Pfad zwischen einemQuellhost und einem Ziel. Die näher gelegene Schnittstelle ist die Schnittstelle des Routers, der denkürzesten Weg zum sendenden Host im Pfad aufweist.

• Pathping

Bietet Informationen zur Netzwerklatenz und zum Netzwerkverlust an Zwischenabschnitten zwischen einer Quelle und einem Ziel. Pathping sendet über einen gewissen Zeitraum mehrere ICMP Echo- oder ICMPv6Echo Request-Nachrichten an die einzelnen Router zwischen einer Quelle und einem Ziel und berechnet dann Ergebnisse auf Basis der Pakete, die von den einzelnen Routern zurückgegeben werden. Da Pathping denGrad des Paketverlusts für einen angegebenen Router oder eine Verbindung anzeigt, können Sie ermitteln,welche Router oder Verbindungen Netzwerkprobleme aufweisen müssen.

Zum Seitenanfang


• Das IP-Routing stellt den Prozess der Weiterleitung eines Pakets auf Basis der IP-Zieladresse dar. IPverwendet eine Routingtabelle, um die IP-Adresse und Schnittstelle des nächsten Knotens für ein gesendetesund weitergeleitetes Paket zu ermitteln.

• IP-Routing stellt eine Kombination aus direkten und indirekten Zustellungen dar. Die direkte Zustellung tritt auf, wenn der IP-Knoten ein Paket an ein endgültiges Ziel in einem direkt angeschlossenen Subnetzweiterleitet. Die indirekte Zustellung tritt auf, wenn der IP-Knoten ein Paket an einen Zwischenrouter weiterleitet.

• Das statische Routing beruht auf der manuellen Verwaltung der Routingtabelle. Das dynamische Routinghängt von Routingprotokollen wie RIP und OSPF ab, die die Routingtabelle über den Austausch vonRoutinginformationen zwischen Routern dynamisch aktualisieren.

• Die TCP/IP-Komponente von Windows verwendet eine lokale IPv4-Routingtabelle, um die zum Weiterleiten des Pakets verwendete Route zu ermitteln. Aus der gewählten Route werden die IPv4-Adresse und dieSchnittstelle des nächsten Knotens ermittelt. IPv4 übergibt das Paket an ARP, damit die Adresse desnächsten Knotens in eine MAC-Adresse aufgelöst und das Paket gesendet wird. Sie können den Befehl route print verwenden, um die IPv4-Routingtabelle für die TCP/IP-Komponente von Windows anzuzeigen.

• Anstatt Routen für die Adresspräfixe jedes Subnetzes in Ihrem Netzwerk zu verwenden, können Sie dieRoutenzusammenfassung verwenden, um ein zusammengefasstes Adresspräfix bekannt zu geben, das alleSubnetze in einem bestimmten Bereich Ihres Netzwerks umfasst.

• Ein IPv4-Host wird mit einem Standardgateway konfiguriert. Statische IPv4-Router werden entweder mit Subnetzrouten oder mit zusammengefassten Routen konfiguriert. Dynamische IPv4-Router werden mit den Einstellungen konfiguriert, die es ihnen ermöglichen, Routinginformationen mit benachbarten Routernauszutauschen.

• Ein Übersetzer für Netzwerkadressen (Network Address Translator – NAT) ist ein in IPv4-Router, der dieIP-Adressen und TCP/UDP-Portnummern von Paketen bei deren Weiterleitung übersetzen kann. Ein NATermöglicht es einem kleinen Netzwerk, eine einzelne öffentliche IPv4-Adresse freizugeben.

• Die IPv6-Komponente von Windows verwendet eine lokale IPv6-Routingtabelle, um die zum Weiterleiten des Pakets verwendete Route zu ermitteln. Aus der gewählten Route werden die IPv6-Adresse und dieSchnittstelle des nächsten Knotens ermittelt. IPv6 übergibt das Paket an den Nachbarerkennungsprozess,damit die Adresse des nächsten Knotens in eine MAC-Adresse aufgelöst und das Paket gesendet wird. Siekönnen den Befehl route print oder netsh interface ipv6 show routes verwenden, um die Routingtabellefür die IPv6-Komponente von Windows anzuzeigen.

• IPv6-Hosts konfigurieren sich selbst mit Routinginformationen, die auf dem Empfang vonRouterankündigungsnachrichten basieren. Sie müssen den Befehl netsh interface ipv6 verwenden, um Router manuell zu aktivieren und zu konfigurieren, die die IPv6-Komponente von Windows ausführen, umAdresspräfixe und Routen anzukündigen.

• Sie verwenden die Tools Route und Netsh, um IP-Routingtabellen zu verwalten. Sie verwenden das Tool Ping, um die grundlegende Erreichbarkeit zu testen. Sie verwenden das Tool Tracert, um den Pfad anzuzeigen, den ein Paket von einer Quelle zu einem Ziel zurücklegt. Sie verwenden das Tool Pathping, um dieZuverlässigkeit von Verbindungen und Routern in einem Pfad von einer Quelle zu einem Ziel zu testen.

Zum Seitenanfang

KapitelglossarStandardgateway – Ein Konfigurationsparameter für die TCP/IP-Komponente, die die IPv4-Adresse einesbenachbarten IPv4-Routers ist. Die Konfiguration eines Standardgateways erstellt eine Standardroute in derIPv4-Routingtabelle.

Standardroute – Eine Route, die alle möglichen Ziele zusammenfasst und für die Weiterleitung verwendet wird,wenn die Routingtabelle keine konkreteren Routen für das Ziel enthält. Wenn ein Router oder ein sendenderHost z. B. keine Subnetzroute, eine zusammengefasste Route oder eine Hostroute zum Ziel finden kann, dannwählt das Internetprotokoll die Standardroute aus. Die Standardroute wird verwendet, um die Konfiguration vonHosts und Routern zu vereinfachen. Für IPv4-Routingtabellen ist die Standardroute die Route mit demNetzwerkziel 0.0.0.0 und der Netzmaske 0.0.0.0. Für IPv6-Routingtabellen besitzt die Standardroute dasAdresspräfix ::/0.

Direkte Zustellung – Die Übermittlung eines IP-Pakets durch einen IP-Knoten an das endgültige Ziel in einemdirekt angeschlossenen Subnetz.

Distanzvektor – Eine Routingprotokolltechnologie, die Routinginformationen in Form eines Adresspräfixes undseiner "Distanz" (Anzahl der Hops) verbreitet.

Hostroute – Eine Route zu einer bestimmten IP-Adresse. Hostrouten ermöglichen es Paketen, auf Basiseinzelner IP-Adressen weitergeleitet zu werden. Für IPv4-Hostrouten ist das Routenpräfix eine bestimmteIPv4-Adresse mit einer 32-Bit-Präfixlänge. Für IPv6-Hostrouten ist das Routenpräfix eine bestimmteIPv6-Adresse mit einer 128-Bit-Präfixlänge.

Indirekte Zustellung – Die Übermittlung eines IP-Pakets durch einen IP-Knoten an einen Zwischenrouter.

Verbindungsstatus – Eine Routingprotokolltechnologie, die Routinginformationen austauscht, die aus denangeschlossenen Subnetzpräfixes des Routers und den ihnen zugeordneten Kosten bestehen. Informationenzum Verbindungsstatus werden beim Start angekündigt und wenn Änderungen an der Netzwerktopologieerkannt werden.

Längste übereinstimmende Route – Der zum Auswählen der Routen in der Routingtabelle verwendeteAlgorithmus, die am ehesten mit der Zieladresse des gesendeten oder weitergeleiteten Pakets übereinstimmen.

NAT – Siehe Netzwerkadressübersetzer (Network Address Translator – NAT).

Netzwerkadressübersetzer (Network Address Translator – NAT) – Ein IPv4-Router, der Adressen und Portsübersetzt, wenn Pakete zwischen einem Netzwerk mit privaten Adressen und dem Internet weitergeleitetwerden.

Ermittlung des nächsten Knotens – Der Prozess zur Ermittlung der Adresse und der Schnittstelle des nächstenKnotens zum Senden oder Weiterleiten eines Pakets, der auf dem Inhalt der Routingtabelle basiert.

Open Shortest Path First (OSPF) – Ein auf dem Verbindungsstatus basierendes Routingprotokoll, das innerhalbeines einzelnes autonomen Systems verwendet wird. Ein autonomes System ist ein Teil des Netzwerks unterderselben Verwaltungsautorität.

OSPF – Siehe Open Shortest Path First (OSPF).

Pfadvektor – Eine Routingprotokolltechnologie, die Folgen von Hopinformationen austauscht, die den Pfad füreine Route angeben. BGP-4 tauscht z. B. Folgen von autonomen Systemnummern aus.

RIP – Siehe Routing Information Protocol (RIP).

Routenermittlungsprozess – Der Prozess zur Ermittlung, welche einzelne Route in der Routingtabelle zumWeiterleiten eines Pakets verwendet wird.

Routenzusammenfassung – Die Verwendung von Adresspräfixes, um die Adressräume von Bereichen einesNetzwerks zusammenzufassen, anstatt die Routen für einzelne Subnetze zu verwenden.

Router – Ein IPv4- oder IPv6-Knoten, der empfangene Pakete weiterleiten kann, die nicht an ihn selbstadressiert sind (wird für IPv4 auch als Gateway bezeichnet).

Routerankündigung – Für IPv4 eine von einem Router gesendete Nachricht, die die ICMP-Routererkennungunterstützt. Für IPv6 eine IPv6-Nachbarerkennungsnachricht, die von einem Router gesendet wird, dernormalerweise mindestens eine Präfixinformationsoption enthält, mit deren Hilfe Hosts statusfreie, automatischkonfigurierte IPv6-Unicastadressen und -Routen erstellen.

Routererkennung – Bei IPv4 die Möglichkeit für Hosts, ein Standardgateway automatisch zu konfigurieren oderneu zu konfigurieren. Für IPv6 der Vorgang der Nachbarerkennung, bei dem ein Host die benachbarten Routerfür eine angeschlossene Verbindung ermittelt.

Routing Information Protocol (RIP) – Ein Distanzvektor-Routingprotokoll, das in kleinen und mittelgroßenNetzwerken verwendet wird.

Routingprotokolle – Eine Reihe periodischer oder bedarfsgesteuerter Nachrichten, die Routinginformationenenthalten, die zwischen dynamischen Routern ausgetauscht werden.

Routingtabelle – Eine Reihe von Routen, mit denen die Adresse und Schnittstelle des nächsten Knotens für denvon einem Host gesendeten oder von einem Router weitergeleiteten IP-Datenverkehr ermittelt wird.

Statisches Routing – Die Verwendung manuell konfigurierter Routen in Routingtabellen von Routern.

Supernetting – Die veraltete Verwendung der Routenzusammenfassung, um Blöcke aus Netzwerk-IDs derKlasse C im Internet zuzuweisen.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 6 – DHCP (Dynamic Host Configuration Protocol)Veröffentlicht: 09. Mrz 2005

Zusammenfassung

In diesem Kapitel werden die Einzelheiten von DCHP (Dynamic Host Configuration Protocol) und dessen Verwendung für die automatische Zuweisung von eindeutigenIPv4-Adresskonfigurationen an DHCP-Clientcomputer beschrieben. Netzwerkadministratoren müssen wissen, wie DHCP funktioniert, um die Komponenteneiner DHCP-Infrastruktur korrekt konfigurieren zu können, damit DHCP-Clients eines odermehrerer Subnetze automatisch IPv4-Adressen und andere Konfigurationsoptionen zugewiesen werden. In diesem Kapitel wird darüber hinaus beschrieben, wie IPv6-Hostsdie automatische Adresskonfiguration verwenden, und wie Sie die IP-Konfiguration mithilfe des Tools Ipconfig verwalten können.

Auf dieser Seite


DHCP-Überblick

Funktionsweise von DHCP

Der Windows-DHCP-Serverdienst

DHCP-Serverdienst-Konfiguration

Der DHCP-Relay-Agent

Automatische Adresskonfiguration für IPv6

Verwendung des Tools Ipconfig


Kapitelglossar


• Beschreiben der Funktionen von DHCP.

• Erklären, wie DHCP funktioniert.

• Installieren und Konfigurieren des DHCP-Serverdienstes.

• Konfigurieren eines DHCP-Bereichs, einer Bereichsgruppierung und der Bereichsoptionen.

• Beschreiben der Funktionen von DHCP-Benutzer- und Herstellerklassen.

• Installieren und Konfigurieren eines DHCP-Relay-Agents.

• Erklären, wie die automatische IPv6-Adresskonfiguration funktioniert.

• Verwenden des Tools Ipconfig zur Anzeige der IP-Konfigurationen und zur Verwaltung von mittels DHCP zugewiesenen IPv4-Adresskonfigurationen.

Zum Seitenanfang

DHCP-ÜberblickDHCP ist ein TCP/IP-Standard, der die Komplexität sowie den Aufwand vermindert, dermit der Verwaltung von IPv4-Adressen und anderen Konfigurationsparametern fürNetzwerkclients verbunden ist. Eine korrekt konfigurierte DHCP-Infrastruktur verhindert die Konfigurationsprobleme, die sich aus der manuellen Konfiguration von TCP/IP ergebenkönnen.

In diesem Beitrag

• Übersicht




















Eine DHCP-Infrastruktur umfasst die folgenden Elemente:

• DHCP-Server

Computer, die DHCP-Clients eine automatische Konfiguration von IPv4-Adressen und damit zusammenhängender Konfigurationsparameter anbieten.

• DHCP-Clients

Netzwerkknoten, die mit einem DHCP-Server kommunizieren können, um von ihm einedynamisch geleaste IPv4-Adresse sowie die damit zusammenhängendenKonfigurationsparameter zu erhalten.

• DHCP-Relay-Agents

Netzwerkknoten, in der Regel Router, die DHCP-Broadcast- und -Unicastnachrichten erfassen und sie zwischen DHCP-Servern und DHCP-Clients vermitteln. Ohne DHCP-Relay-Agents müssten Sie in jedem Subnetz, das DHCP-Clients enthält, einenDHCP-Server installieren.

Jedes Mal, wenn ein DHCP-Client startet, fordert er IPv4-Adressinformationen von einem DHCP-Server an, darunter:

• IPv4-Adresse

• Subnetzmaske

• Zusätzliche Konfigurationsparameter, etwa die Adresse des Standardgateways, dieAdresse des DNS-Servers (Domain Name System) und die Adresse des WINS-Servers (Windows Internet Name Service).

Erhält ein DHCP-Server eine Anforderung, wählt er aus dem in seiner Datenbankdefinierten Pool eine verfügbare IPv4-Adresse (zusammen mit weiterenKonfigurationsparametern) aus und bietet sie dem DHCP-Client an. Akzeptiert der Client dieses Angebot, werden die IPv4-Adressinformationen für einen bestimmten Zeitraum andiesen Client vergeben.

Erhält der DHCP-Client auf seine Anforderung nach einer IPv4-Adresskonfiguration keineAntwort, weil entweder der DHCP-Server nicht erreicht werden kann oder im Pool keineweiteren IPv4-Adressen verfügbar sind, wird der Client in der Regel weiterhin versuchen,die Verbindung mit einem DHCP-Server herzustellen. Bei auf den BetriebssystemenMicrosoft® Windows® XP oder Windows Server 2003™ basierenden DHCP-Clientsverwendet der DHCP-Clientdienst eine alternative Konfiguration, wenn die Verbindung miteinem DHCP-Server nicht möglich ist. Die alternative Konfiguration kann entweder eineAPIPA-Adresse (Automatic Private IP Addressing) oder eine manuell konfigurierte Adressesein.

Die RFCs (Requests for Comments) 2131 und 2132 definieren die Arbeitsweise von DHCP-Clients und -Servern. RFC 1542 definiert die Arbeitsweise von DHCP-Relay-Agents. Alle DHCP-Nachrichten werden mittels UDP (User Datagram Protocol) gesendet. DHCP-Clients verwenden UDP-Port 67. DHCP-Server verwenden UDP-Port 68. DHCP-Relay-Agents verwenden beide UDP-Ports.

Vorteile der Verwendung von DCHPDie Vorteile von DHCP bei der Konfiguration von TCP/IP auf Clientcomputers zeigen sich am deutlichsten beim Vergleich der manuellen Konfiguration mit der DHCP-Methode.

Manuelle TCP/IP-KonfigurationDie korrekte Arbeitsweise von TCP/IP auf einem Hostcomputer erfordert die sorgfältigeKonfiguration einer IPv4-Adresse, der Subnetzmaske sowie des Standardgateways, bevor der Client mit anderen Netzwerkknoten kommunizieren kann. Ist die Konfiguration nicht korrekt, können folgende Probleme auftreten:

• Konfiguriert ein Benutzer eine zufällig gewählte IPv4-Adresse statt eine gültigeIPv4-Adresse vom Netzwerkadministrator zu beziehen, kann dies zu Problemen im Netzwerk führen, deren Ursache nur schwer zu ermitteln ist.

• Ein Eingabefehler bei den Werten für die IPv4-Adresse, der Subnetzmaske oder desStandardgateways kann ebenfalls Probleme verursachen. Diese Probleme können vonStörungen bei der Verbindung über TCP/IP (wenn der Standardgateway oder dieSubnetzmaske falsch sind) bis zu Problemen reichen, die sich aus der mehrfachen Verwendung gleicher IPv4-Adressen ergeben.

• Wird der Netzwerkknoten in ein anderes Subnetz versetzt, sind IPv4-Adresse, Subnetzmaske und Standardgateway nicht mehr gültig und können für dieKommunikation über TCP/IP nicht mehr verwendet werden.

Die korrekte manuelle Konfiguration ist speziell bei drahtlosen LANs sehr wichtig. Zum Beispiel könnte auf einem Unternehmensgelände ein Benutzer mit seinem für dasdrahtlose Netzwerk eingerichteten Laptop von einem Gebäude in ein anderes wechseln.Dieser Wechsel des Gebäudes könnte auch mit einem Wechsel des Subnetzes verbundensein. Ohne automatische Konfiguration muss der Benutzer für das neue Subnetz manuelleine andere IPv4-Adresse, Subnetzmaske sowie ein anderes Standardgateway eingeben, um die TCP/IP-Verbindung wieder herzustellen.

TCP/IP-Konfiguration mithilfe von DHCPDie automatische Konfiguration von IPv4-Adressen bedeutet Folgendes:

• Die Benutzer müssen für die korrekte TCP/IP-Konfiguration dieIPv4-Adresskonfigurationen nicht mehr von einem Netzwerkadministrator beziehen.

Wird ein DHCP-Client gestartet, wird ihm von einem DHCP-Server automatisch eine im verbundenen Subnetz korrekt funktionierende IPv4-Adresskonfiguration zugewiesen. Wird der DHCP-Client in ein anderes Subnetz versetzt, erhält er automatisch eine neueIPv4-Adresskonfiguration für dieses Subnetz.

• Der DHCP-Server liefert allen DHCP-Clients die notwendigen Konfigurationsinformationen.

Sofern der DHCP-Server korrekt konfiguriert wurde, werden auch alle DHCP-Clients dieses Servers korrekt konfiguriert.

Zum Seitenanfang

Funktionsweise von DHCPDHCP geht folgendermaßen vor, um einen DHCP-Client automatisch zu konfigurieren:

1. Wird das TCP/IP-Protokoll initialisiert und für eine der Schnittstellen ist DHCPaktiviert, dann sendet der DHCP-Client die Nachricht DHCPDiscover, um die DHCP-Server im Netzwerk zu ermitteln und eine gültige IPv4-Adresskonfigurationzu erhalten.

2. Alle DHCP-Server, welche die DHCPDiscover-Nachricht erhalten und die über einegültige IPv4-Adresskonfiguration für den DHCP-Client verfügen, senden an diesenClient die Nachricht DHCPOffer zurück.

3. Der DHCP-Client wählt aus den erhaltenen DHCPOffer-Nachrichten eineIPv4-Adresskonfiguration aus und sendet eine DHCPRequest-Nachricht an alle DHCP-Server um anzuzeigen, dass der Client diese Konfiguration verwendenmöchte.

Die DHCPRequest-Nachricht identifiziert den Server, der das vom DHCP-Clientausgewählte Angebot gesendet hat. Die anderen DHCP-Server, welche dieDHCPRequest-Nachricht erhalten, übernehmen die von ihnen angebotenenIPv4-Adressen wieder in ihren Pool verfügbarer Adressen.

4. Der ausgewählte DHCP-Server weist die IPv4-Adresskonfiguration dem DHCP-Clientzu und sendet dem DHCP-Client als Bestätigung eine DHCPAck-Nachricht zu.

Der DHCP-Client schließt die Initialisierung des TCP/IP-Protokolls für die Schnittstelle ab.Danach kann der Client alle TCP/IP-Dienste und -Anwendungen für die normaleNetzwerk-Kommunikation und die Verbindungen mit anderen IPv4-Hosts verwenden.

Abbildung 6-1 zeigt diesen grundlegenden DHCP-Vorgang.

Abbildung 6-1 Der grundlegende DHCP-VorgangBild maximieren

Verfügt ein Computer über mehrere Netzwerkadapter, wird der DHCP-Vorgang für jedenNetzwerkadapter durchgeführt, der für die automatische TCP/IP-Adresszuweisungkonfiguriert ist, bis jedem Netzwerkadapter des Computers eine eindeutige IPv4-Adresskonfiguration zugewiesen ist.

DHCP-Nachrichten und ClientzuständeDer DHCP-Client durchläuft während des DHCP-Vorgangs sechs Zustände:

• Initialisierung

• Auswahl

• Anforderung

• Bindung

• Verlängerung

• Erneute Bindung

DHCP-Clients und -Server kommunizieren während des DHCP-Konfigurationsvorgangsmittels folgender Nachrichten miteinander:

• DHCPDiscover (vom Client an den Server gesendet)

• DHCPOffer (vom Server an den Client gesendet)

• DHCPRequest (vom Client an den Server gesendet)

• DHCPAck (vom Server an den Client gesendet)

• DHCPNak (vom Server an den Client gesendet)

• DHCPDecline (vom Server an den Client gesendet)

• DHCPRelease (vom Client an den Server gesendet)

Abbildung 6-2 zeigt die DHCP-Nachrichten und Clientzustände, die in den folgendenAbschnitten genauer erläutert werden.

Abbildung 6-2 DHCP-Zustände und -NachrichtenBild maximieren

Computer unter Windows XP oder Windows Server 2003 verwenden die zusätzlicheDHCP-Nachricht DHCPInform, um für die im Folgenden genannten Zwecke Informationenvon einem DHCP-Server anzufordern:

• Zur Ermittlung autorisierter DHCP-Server in einer Umgebung mit Active Directory-Verzeichnisdienst.

• Zur Ermittlung aktualisierter Adressen von DNS- und WINS-Servern sowie einesDNS-Domänennamens, wenn eine Verbindung für den Remotezugriff hergestelltwerden soll.

• Zur Ermittlung zusätzlicher Konfigurationsparameter.

Der InitialisierungszustandIm Initialisierungszustand versucht der DHCP-Client, TCP/IP zu initialisieren, verfügtjedoch noch nicht über eine IPv4-Adresskonfiguration. Dieser Zustand tritt ein, wenn derfür die automatische Konfiguration vorgesehene TCP/IP-Protokollstapel initialisiert wird,und der DHCP-Client die Lease einer IPv4-Adresskonfiguration nicht erneuern kann.

Während des Initialisierungszustands ist die IPv4-Adresse des DHCP-Clients 0.0.0.0; dieseAdresse wird auch als unspezifische Adresse bezeichnet. Die erste Aufgabe des DHCP-Clients besteht darin, eine IPv4-Adresskonfiguration zu erhalten, weshalb er die Broadcastnachricht DHCPDiscover von UDP-Port 67 an UDP-Port 68 sendet. Da der DHCP-Client noch keine IPv4-Adresse und auch keine IPv4-Adresse eines DHCP-Servers ermittelt hat, ist die IPv4-Quelladresse der Broadcastnachricht DHCPDiscover die unspezifische Adresse 0.0.0.0 und die Zieladresse die eingeschränkte Broadcastadresse255.255.255.255. Die Nachricht DHCPDiscover enthält die MAC-Adresse (Media AccessControl) sowie den Computernamen des DHCP-Clients.

Befindet sich im Subnetz des DHCP-Clients ein DHCP-Server, erhält der Server dieBroadcastnachricht DHCPDiscover. Befindet sich im Subnetz des DHCP-Clients kein DHCP-Server (die häufiger vorkommende Konfiguration), dann erhält einDHCP-Relay-Agent im Subnetz des DHCP-Clients die Broadcastnachricht DHCPDiscover und leitet sie als Unicastnachricht DHCPDiscover an einen oder mehrere DHCP-Server weiter. Vor der Weiterleitung nimmt der DHCP-Relay-Agent folgende Änderungen an derursprünglichen DHCPDiscover-Nachricht vor:

• Der Wert des Feldes Hops im DHCP-Header der DHCPDiscover-Nachricht wird inkrementiert. Das Feld Hops, zu unterscheiden von den Feld TTL (Time to Live) im IPv4-Header, gibt an, wie viele DHCP-Relay-Agents diese Nachricht bereits behandelt haben. In der Regel ist zwischen jedem DHCP-Client und jedem DHCP-Server nur ein DHCP-Relay-Agent platziert.

• Ist der Wert des Feldes Giaddr (Gateway-IP-Adresse) im DHCP-Header der DHCPDiscover-Nachricht 0.0.0.0 (der Wert, den der sendende DHCP-Client eingetragen hat), wird die IPv4-Adresse der Schnittstelle in das Feld eingetragen, welche die DHCPDiscover-Nachricht empfangen hat. Das Feld Giaddr speichert die IPv4-Adresse einer Schnittstelle im Subnetz des sendenden DHCP-Clients. Der DHCP-Server verwendet den Wert des Feldes Giaddr, um den Bereich von Adressen zu ermitteln, aus welchem dem DHCP-Client eine IPv4-Adresse zuzuweisen ist.

• Die IPv4-Quelladresse der DHCPDiscover-Nachricht wird in eine dem DHCP-Relay-Agent zugewiesene IPv4-Adresse geändert.

• Die IPv4-Zieladresse der DHCPDiscover-Nachricht wird in die IPv4-Unicastadresse eines DHCP-Servers geändert.

Der DHCP-Relay-Agent sendet die DHCPDiscover-Nachricht als IPv4-Unicastpaket und nicht als Broadcast der IPv4- und MAC-Ebene. Ist der DHCP-Relay-Agent für mehrereDHCP-Server konfiguriert, sendet er jedem dieser DHCP-Server eine Kopie der DHCPDiscover-Nachricht zu.

Abbildung 6-3 zeigt, wie ein für zwei DHCP-Server konfigurierter DHCP-Relay-Agent dieDHCPDiscover-Nachricht sendet.

Abbildung 6-3 Senden der DHCPDiscover-NachrichtBild maximieren

Der AuswahlzustandWährend des Auswahlzustands kann der DHCP-Client aus der Menge der ihm von denDHCP-Servern angebotenen IPv4-Adresskonfigurationen auswählen. Alle DHCP-Server,welche die DHCPDiscover-Nachricht empfangen und über eine gültigeIPv4-Adresskonfiguration für den DHCP-Client verfügen, antworten mit einerDHCPOffer-Nachricht, die sie von UDP-Port 67 an UDP-Port 68 senden. Ein DHCP-Server kann die DHCPDiscover-Nachricht entweder als Broadcast (wenn sich der DHCP-Server im gleichen Subnetz wie der DHCP-Client befindet) oder als Unicast von einem DHCP-Relay-Agent empfangen.

Der DHCP-Server ermittelt auf folgende Weise den Bereich, aus dem er eine IPv4-Adresse für den DHCP-Client auswählen und in die DHCPOffer-Nachricht aufnehmen kann.

1. Ist der Wert des Feldes Giaddr auf 0.0.0.0 gesetzt, wird die IPv4-Adresse der Schnittstelle, welche die DHCPDiscover-Nachricht empfangen hat, in dieses Feld eingetragen.

2. Für jeden Bereich des DHCP-Servers wird eine bitweise logische UND-Operation mitdem Wert des Feldes Giaddr und der Subnetzmaske des Bereichs durchgeführt.Entspricht das Ergebnis der Netzwerk-ID des Bereichs, weist der DHCP-Server eine IPv4-Adresse aus diesem Bereich zu. Um die Netzwerk-ID des Bereichs zu erhalten, führt der DHCP-Server eine bitweise logische UND-Operation mit der Subnetzmaskedes Bereichs und jeder Adresse in diesem Bereich durch.

Wurde die DHCPDiscover-Nachricht als Broadcast empfangen, sendet der DHCP-Server die DHCPOffer-Nachricht an den DHCP-Client, wobei er die angebotene IPv4-Adresse als IPv4-Zieladresse und die MAC-Adresse des Clients als MAC-Zieladresse verwendet. Wurde die DHCPDiscover-Nachricht als Unicast empfangen, sendet der DHCP-Server die DHCPOffer-Nachricht an den DHCP-Relay-Agent. Der DHCP-Relay-Agent nutzt den Giaddr-Wert, um die Schnittstelle zu ermitteln, die für das Weiterleiten derDHCPOffer-Nachricht verwendet wird. Der DHCP-Relay-Agent leitet dann die DHCPOffer-Nachricht an den Client weiter, wobei er die angebotene IPv4-Adresse als IPv4-Zieladresse und die MAC-Adresse des Clients als MAC-Zieladresse verwendet.

Abbildung 6-4 zeigt das Senden der DHCPOffer-Nachricht.

Abbildung 6-4 Senden der DHCPOffer-NachrichtBild maximieren

Hinweis Die Erläuterung, wie DHCP-Server oder DHCP-Relay-Agents während derZustände der Auswahl, Bindung und erneuter Bindung DHCP-Nachrichten sendenunterstellt, dass das Bitflag Broadcast im DHCP-Header der vom DHCP-Client gesendeten DHCP-Nachricht auf 0 gesetzt ist. Das Bitflag Broadcast gibt an, ob der DHCP-Client die Broadcastnachrichten DHCPDiscover, DHCPRequest und DHCPDecline als Broadcasts und nicht als Unicasts empfangen muss. Der DHCP-Clientdienst von Windows Server 2003 und Windows XP erlaubt Unicastantworten und setzt daher das Bitflag Broadcast immer auf 0.

Die DHCPOffer-Nachricht enthält die MAC-Adresse des DHCP-Clients, eine angeboteneIPv4-Adresse, die passende Subnetzmaske, eine Server-ID (die IPv4-Adresse des anbietenden DHCP-Server), die Dauer der Lease, und weitere Konfigurationsparameter. Wenn ein DHCP-Server einen DHCPOffer-Nachricht sendet, reserviert er die in dieser Nachricht angebotene IPv4-Adresse, damit sie nicht einem anderen DHCP-Client angeboten werden kann.

Der DHCP-Client wählt die IPv4-Adresskonfiguration der ersten DHCPOffer-Nachricht, dieer erhält. Erhält der DHCP-Client keine DHCPOffer-Nachrichten, sendet er während desZeitraums von bis zu einer Minute weitere DHCPDiscover-Nachrichten. Nach einer Minutewählt ein auf Windows Server 2003 oder Windows XP basierender DHCP-Client einealternative Konfiguration, also entweder eine APIPA-Adresse oder eine manuell konfigurierte Adresse.

Der AnforderungszustandIm Anforderungszustand fordert der DHCP-Client eine bestimmte IP-Adresskonfiguration an, indem er die Broadcastnachricht DHCPRequest sendet. Der Client muss ein Broadcast verwenden, weil er noch nicht über eine bestätigte IPv4-Adresskonfiguration verfügt. Wiebei der DHCPDiscover-Nachricht sendet der DHCP-Client die DHCPRequest-Nachricht von UDP-Port 67 an den UDP-Port 68 und verwendet dabei die IPv4-Quelladresse 0.0.0.0 und die IPv4-Zieladresse 255.255.255.255.

Befindet sich im Subnetz des DHCP-Clients kein DHCP-Server, dann erhält einDHCP-Relay-Agent im Subnetz des DHCP-Clients die Broadcastnachricht DHCPRequest und leitet sie als Unicastnachricht DHCPRequest an einen oder mehrere DHCP-Server weiter.

Die in der DHCPRequest-Nachricht enthaltenen Daten unterscheiden sich abhängig davon,wie die angeforderte IPv4-Adresse erhalten wurde, auf folgende Weise:

• Hat der DHCP-Client die IPv4-Adresskonfiguration über den einfachen Austausch derDHCPDiscover- und DHCPOffer-Nachrichten erhalten, nimmt der DHCP-Client dieIPv4-Adresse des Servers, von dem er das Angebot erhalten hat, in die DHCPRequest-Nachricht auf. Diese Server-ID veranlasst den dadurch bezeichneten DHCP-Server, auf die Anforderung zu antworten, während alle anderen DHCP-Serverihr Angebot an den Client zurückzunehmen. Durch diese Rücknahme werden die vonden anderen DHCP-Servern angebotenen IPv4-Adressen sofort für den nächstenDHCP-Client verfügbar.

• War die IPv4-Adresskonfiguration des Clients vorher bekannt (weil zum Beispiel der Computer neu gestartet wurde, und nun versucht, seine Lease der vorherigen Adresse zu erneuern), nimmt der DHCP-Client die IPv4-Adresse des Server, von dem er die IPv4-Adresskonfiguration erhalten hat, nicht auf. Diese Bedingung stellt sicher, dass bei einem Neustart der DHCP-Client seine IPv4-Adresskonfiguration bei jedem DHCP-Server erneuern kann.

Abbildung 6-5 zeigt das Senden der DHCPRequest-Nachricht.

Abbildung 6-5 Senden der DHCPRequest-NachrichtBild maximieren

Der BindungszustandIm Bindungszustand erhält der DHCP-Client eine Bestätigung dafür, dass der DHCP-Serverdie angebotene IPv4-Adresskonfiguration dem DHCP-Client zugewiesen und für ihnreserviert hat. Der DHCP-Server, der die angeforderte IPv4-Adresse vergeben hat, antwortet entweder mit einer positiven Bestätigung (DHCPAck) oder einer negativenBestätigung (DHCPNak). Der DHCP-Server sendet die DHCPAck-Nachricht von UDP-Port68 an UDP-Port 67; die Nachricht enthält neben weiteren Konfigurationsparametern dieLeasedauer für die angeforderte IPv4-Adresskonfiguration.

Wurde die DHCPRequest-Nachricht als Broadcast empfangen, sendet der DHCP-Server die DHCPAck-Nachricht an den DHCP-Client, wobei er die angebotene IPv4-Adresse als IPv4-Zieladresse und die MAC-Adresse des Clients als MAC-Zieladresse verwendet. Wurde

die DHCPRequest-Nachricht als Unicast empfangen, sendet der DHCP-Server die DHCPAck-Nachricht an den DHCP-Relay-Agent. Der DHCP-Relay-Agent nutzt den Giaddr-Wert, um die Schnittstelle zu ermitteln, die für das Weiterleiten derDHCPAck-Nachricht verwendet wird. Der DHCP-Relay-Agent leitet dann die DHCPAck-Nachricht an den Client weiter, wobei er die angebotene IPv4-Adresse als IPv4-Zieladresse und die MAC-Adresse des Clients als MAC-Zieladresse verwendet.

Abbildung 6-6 zeigt das Senden der DHCPAck-Nachricht.

Abbildung 6-6 Senden der DHCPAck-NachrichtBild maximieren

Wenn der DHCP-Client die DHCPAck-Nachricht erhält, tritt er in den Bindungszustand ein.Der DHCP-Client schließt die Initialisierung von TCP/IP ab, in deren Rahmen auchüberprüft wird, ob die IPv4-Adresse im Subnetz eindeutig ist. Ist die IPv4-Adresseeindeutig, kann der DHCP-Clientcomputer über TCP/IP kommunizieren. Ist dieIPv4-Adresse nicht eindeutig, sendet der DHCP-Client eine DHCPDecline-Broadcastnachricht und kehrt wieder in den Initialisierungszustand zurück.Der DHCP-Server erhält die DHCPDecline-Nachricht entweder als Broadcast oder alsUnicast über einen DHCP-Relay-Agent. Wenn der DHCP-Server die DHCPDecline-Nachrichterhält, markiert er die angebotene IPv4-Adresse als nicht verwendbar.

Ein DHCP-Server sendet eine DHCPNak-Nachricht (die negative Bestätigung), wenn:

• Der Client versucht, seine vorherige IPv4-Adresse zu leasen und diese IPv4-Adresse nicht mehr verfügbar ist.

• Die IPv4-Adresse ungültig ist, weil der Client physisch in ein anderes Subnetz versetztwurde.

Die DHCPNak-Nachricht wird mit derselben Methode an das Subnetz des DHCP-Clients weitergeleitet, die auch für die DHCPAck-Nachricht verwendet wird. Wenn der DHCP-Clienteine DHCPNak-Nachricht erhält, tritt er wieder in den Initialisierungszustand ein.

Der VerlängerungszustandIm Verlängerungszustand versucht ein DHCP-Client, die Lease seinerIPv4-Adresskonfiguration dadurch zu verlängern, dass er direkt mit seinem DHCP-Serverkommuniziert. Standardmäßig versuchen DHCP-Clients zuerst, ihre Lease zu erneuern,wenn 50 Prozent des Leasedauer verstrichen sind. Um seine Lease zu verlängern, sendetein DHCP-Client die DHCPRequest-Unicastnachricht an den DHCP-Server, von dem er die Lease erhalten hat.

Der DHCP-Server verlängert automatisch die Lease, indem er mit einerDHCPAck-Nachricht antwortet. Die DHCPAck-Nachricht enthält die neue Lease und weitereKonfigurationsparameter, damit der DHCP-Client seine Einstellungen aktualisieren kann. Der Netzwerkadministrator könnte zum Beispiel die Einstellungen des DHCP-Serversgeändert haben, seit die Lease zuletzt erworben oder verlängert wurde. Wenn derDHCP-Client seine Lease verlängert hat, tritt er wieder in den Bindungszustand ein.

Abbildung 6-7 zeigt den DHCP-Verlängerungsvorgang.

Abbildung 6-7 Der DHCP-VerlängerungsvorgangBild maximieren

Der Zustand der erneuten BindungIm Zustand der erneuten Bindung versucht ein DHCP-Client, die Lease seiner IPv4-Adresskonfiguration dadurch zu verlängern, dass er direkt mit seinem DHCP-Serverkommuniziert. Sind 87,5 Prozent der Leasedauer verstrichen, und dem DHCP-Client ist es nicht gelungen, seinen DHCP-Server zur Verlängerung seiner Lease zu kontaktieren,versucht der DHCP-Client Kontakt zu den verfügbaren DHCP-Servern aufzunehmen, indemer DHCPRequest-Broadcastnachrichten sendet. Jeder DHCP-Server kann mit einer DHCPAck-Nachricht antworten, mit der die Lease verlängert wird, oder einerDHCPNak-Nachricht, die anzeigt, dass die IPv4-Adresskonfiguration nicht mehr verwendet werden darf.

Ist die Leasedauer verstrichen, oder der DHCP-Client erhält eine DHCPNak-Nachricht,muss der Client die Verwendung der IPv4-Adresskonfiguration beenden und in den Initialisierungszustand zurückkehren. Verliert der Client seine IPv4-Adresse, wird dieKommunikation über TCP/IP so lange unterbrochen, bis dem Client eine andereIPv4-Adresse zugewiesen ist. Diese Situation löst bei jeder Anwendung Netzwerkfehleraus, die versucht, mittels der ungültigen Adresse zu kommunizieren.

Abbildung 6-8 zeigt den Zustand der erneuten Bindung.

Abbildung 6-8 Der DHCP-Zustand der erneuten BindungBild maximieren

Neustart eines Windows-basierten DHCP-ClientsDer DHCP-Clientdienst von Windows XP und Windows Server 2003 verwendet dieseZustände bei der Vergabe einer IPv4-Adresskonfiguration durch einen DHCP-Server. Wirdjedoch ein Windows-basierter DHCP-Client beendet, dann gibt er standardmäßig seineIPv4-Adresskonfiguration nicht frei und kehrt auch nicht in den Initialisierungszustandzurück. Der Client sendet keine DHCPRelease-Nachricht und befindet sich daher aus derPerspektive des DHCP-Servers immer noch im Bindungszustand. Wird der Windows-basierte DHCP-Clientdienst neu gestartet, geht er in den Anforderungszustandüber und versucht, mittels einer DHCPRequest-Broadcastnachricht eine Lease für dievorher zugewiesene IPv4-Adresskonfiguration zu erhalten. Die DHCPRequest-Nachricht wird an die eingeschränkte IPv4-Broadcastadresse 255.255.255.255 sowie an dieBroadcastadresse der MAC-Ebene gesendet und enthält die MAC-Adresse sowie die vorherzugewiesene IPv4-Adresse des DHCP-Clients.

Hinweis Sie können dieses Standardverhalten eines unter Windows XP oder WindowsServer 2003 laufenden DHCP-Clients so ändern, dass der Client eineDHCPRelease-Nachricht sendet, wenn er beendet wird. Für diese Änderung können Sie dieherstellerspezifische DHCP-Option namens Microsoft-Freigabeoption der DHCP-Lease beim Herunterfahren verwenden.

Abbildung 6-9 zeigt die DHCP-Zustände eines DHCP-Clients unter Windows

Abbildung 6-9 DHCP-Zustände eines DHCP-Clients unterWindowsBild maximieren

Wenn ein DHCP-Relay-Agent im Subnetz die DHCPRequest-Nachricht empfängt, nimmt ervor ihrer Weiterleitung folgende Änderungen an der Nachricht vor:

• Der Wert des Feldes Hops im DHCP-Header wird inkrementiert.

• Die IPv4-Adresse der Schnittstelle, über die die DHCPRequest-Nachricht empfangenwurde, wird im Feld Giaddr gespeichert.

• Die IPv4-Quelladresse der DHCPRequest-Nachricht wird in eine dem DHCP-Relay-Agent zugewiesene IPv4-Adresse geändert.

• Die IPv4-Zieladresse wird in die IPv4-Adresse eines DHCP-Servers geändert.

Wenn der DHCP-Server die DHCPRequest-Nachricht empfängt, vergleicht er dieNetzwerk-ID der dem Client vorher zugewiesenen IPv4-Adresse mit der Netzwerk-ID der im Feld Giaddr gespeicherten IPv4-Adresse und führt dann Folgendes aus:

• Sind die beiden Netzwerk-IDs gleich und die IPv4-Adresse kann erneut dem DHCP-Client zugewiesen werden, dann sendet der DHCP-Server eine DHCPAck-Nachricht an den DHCP-Relay-Agent. Sowie der DHCP-Relay-Agent diese DHCPAck-Nachricht empfängt, adressiert er die Nachricht mit der aktuellenIPv4-Adresse des Clients und dessen MAC-Adresse.

• Sind die beiden Netzwerk-IDs gleich, aber die IPv4-Adresse kann dem DHCP-Client nicht erneut zugewiesen werden, dann sendet der DHCP-Server eine DHCPNak-Nachricht an den DHCP-Relay-Agent. Sowie der DHCP-Relay-Agent diese DHCPNak-Nachricht empfängt, sendet er die Nachricht an die aktuelle IPv4-Adresse desClients und dessen MAC-Adresse. An diesem Punkt geht der DHCP-Client in den Initialisierungszustand über.

• Sind die beiden Netzwerk-IDs nicht gleich, dann befindet sich der DHCP-Client in einem anderen Subnetz, und der DHCP-Server sendet eine DHCPNak-Nachricht an den DHCP-Relay-Agent. Sowie der DHCP-Relay-Agent diese DHCPNak-Nachricht empfängt,sendet er die Nachricht an die aktuelle IPv4-Adresse des Clients und dessen MAC-Adresse. An diesem Punkt geht der DHCP-Client in den Initialisierungszustandüber.

Zum Seitenanfang

Der Windows-DHCP-ServerdienstBeantworten Sie sich folgende Fragen, bevor Sie einen Windows-basierten DHCP-Server installieren:

• Welche IPv4-Konfigurationsoptionen werden DHCP-Clients von einem DHCP-Server beziehen (etwa Standardgateway, DNS-Server, einen DNS-Domänenname oderWINS-Server)?

Die IPv4-Konfigurationsoptionen legen fest, wie Sie den DHCP-Server konfigurieren sollten, und ob diese Optionen für alle Clients im gesamten Netzwerk, für Clients einesbestimmten Subnetzes oder nur für bestimmte Clients verfügbar sein sollen.

• Sollen alle Computer als DHCP-Clients konfiguriert werden?

Ist das nicht der Fall, müssen Sie berücksichtigen, dass die nicht als DHCP-Clientskonfigurierten Computer statische IPv4-Adressen benutzen, die Sie aus den für dieDHCP-Server definierten Adressbereichen ausschließen müssen. Benötigt einbestimmter DHCP-Client eine bestimmte IPv4-Adresse, müssen Sie diese Adressereservieren.

• Wird ein DHCP-Server IPv4-Adressen für mehrere Subnetze liefern?

Ist das der Fall, muss jedes Subnetz einen DHCP-Relay-Agent aufweisen. Besitzt ein Subnetz keinen DHCP-Relay-Agent, müssen Sie in diesem Subnetz einen eigenenDHCP-Server installieren.

• Wie viele DHCP-Server benötigen Sie?

Um eine fehlertolerante DHCP-Konfiguration zu gewährleisten, sollten Sie wenigstenszwei DHCP-Server einsetzen. Für Zweigstellen in einer größeren Organisation könnenweitere DHCP-Server erforderlich werden.

Installieren des Windows-DHCP-ServerdienstesGehen Sie folgendermaßen vor, um den DHCP-Serverdienst unter Windows Server 2003zu installieren:

1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Software, und klicken Sie dann auf Windows-Komponentenhinzufügen/entfernen.

2. Klicken Sie unter Komponenten auf Netzwerkdienste.

3. Klicken Sie auf Details.

4. Klicken Sie in Unterkomponenten von Netzwerkdiensten auf DHCP (Dynamic Host Configuration Protocol), und klicken Sie dann auf OK.

5. Klicken Sie auf Weiter. Geben Sie, wenn Sie dazu aufgefordert werden, denvollständigen Zugriffspfad für die Installationsdateien von Windows Server 2003ein, und klicken Sie dann auf OK.

Der DHCP-Serverdienst startet automatisch. Der DHCP-Serverdienst muss ausgeführtwerden, um mit den DHCP-Clients kommunizieren zu können.

Der DHCP-Server kann kein DHCP-Client sein. Er muss für jede seiner LAN-Schnittstellenüber eine manuell konfigurierte IPv4-Adresse, eine Subnetzmaske und eineStandardgatewayadresse verfügen.

DHCP und die Integration in Active DirectoryIn Windows Server 2003 ist der DHCP-Serverdienst in Active Directory integriert, um die Autorisierung von DHCP-Servern sicherzustellen. Ein nicht autorisierter DHCP-Server kann wegen nicht korrekter Adressen oder Konfigurationsoptionen in einem Netzwerk dessen Arbeitsweise stören. Ein DHCP-Server, der ein Domänencontroller oder ein Mitglied einerActive Directory-Domäne ist, fordert von Active Directory eine Liste der autorisiertenServer (identifiziert durch die IPv4-Adresse) an. Ist seine eigene IPv4-Adresse nicht in der Liste der autorisierten DHCP-Server, dann schließt der DHCP-Serverdienst dessenStartsequenz nicht ab, sondern beendet ihn automatisch.

Bei einem DHCP-Server, der kein Mitglied einer Active Directory-Domäne ist, sendet derDHCP-Serverdienst eine DHCPInform-Broadcastnachricht, um Informationen über dieActive Directory-Stammdomäne zu erhalten, in der andere DHCP-Server installiert undkonfiguriert sind. Andere DHCP-Server im Netzwerk antworten mit einer DHCPAck-Nachricht, deren Informationen der anfragende DHCP-Server verwendet, um die Active Directory-Stammdomäne zu ermitteln. Der startende DHCP-Server fordert dann

von Active Directory eine Liste der autorisierten DHCP-Server an und startet den DHCP-Serverdienst nur dann, wenn seine eigene Adresse in der Liste enthalten ist.

BOOTP-UnterstützungDas Bootstrap-Protokoll (BOOTP) ist ein Hostkonfigurationsprotokoll, das vor DHCP entwickelt wurde, um einem Hostcomputer ohne Laufwerke zu ermöglichen, eineIPv4-Adresskonfiguration zu erhalten sowie den Namen einer Bootdatei und den Ort eines TFTP-Servers (Trivial File Transfer Protocol), von dem der Computer die Bootdatei laden kann.

Windows Server 2003 unterstützt BOOTP-Clients mithilfe des Ordners der BOOTP-Tabellein der Konsolenstruktur des DHCP-Snap-Ins. Standardmäßig ist die Anzeige diesesOrdners deaktiviert; Sie können sie jedoch auf der Registerkarte Allgemein im Eigenschaftsdialogfeld eines DHCP-Servers im DHCP-Snap-In aktivieren. Nachdem Sie die Anzeige aktiviert haben, können Sie in den Ordner der BOOTP-Tabelle weitereBOOTP-Imageeinträge eingeben, wobei Sie den Speicherort von Bootdateien und dieTFTP-Server für BOOTP-Clients angeben müssen.

Zum Seitenanfang

DHCP-Serverdienst-KonfigurationDie Konfiguration des DHCP-Serverdienstes umfasst einen Satz von Eigenschaften des DHCP-Servers, von Bereichen und von DHCP-Optionen. Dieser Dienst wird in der Regel im DHCP-Snap-In konfiguriert, der im Ordner Verwaltung zu finden ist. Sie könnenaußerdem die netsh dhcp-Befehle verwenden, um lokale oder Remote-DHCP-Server zu konfigurieren.

Eigenschaften des DHCP-ServersKlicken Sie, um die Eigenschaften eines DHCP-Servers zu ändern, in der Konsolenstrukturdes DHCP-Snap-Ins mit der rechten Maustaste auf den Namen des Servers, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften vonServername wirdgeöffnet; es enthält die folgenden Registerkarten:

• Allgemein

Auf der Registerkarte Allgemein können Sie die automatische Aktualisierung derstatistischen Angaben aktivieren, die im Serverstatistikfenster des DHCP-Snap-Ins angezeigt werden, und angeben, wie oft diese Statistikanzeige aktualisiert werden soll. Sie können außerdem die DHCP-Protokollierung aktivieren, damit dieDHCP-Serveraktivitäten in einer Datei gespeichert werden, sowie den Ordner derBOOTP-Tabelle in der DHCP-Konsolenstruktur anzeigen lassen.

• DNS

Auf der Registerkarte DNS legen Sie die Einstellungen für die dynamischeDNS-Konfiguration fest.

• Erweitert

Auf der Registerkarte Erweitert können Sie die Konflikterkennung des Serverskonfigurieren (der DHCP-Serverdienst überprüft vor dem Senden einerDHCPOffer-Nachricht mittels Ping jede Adresse, die er anbietet); Sie können hier dieZugriffspfade der Protokolldatei, der Datenbank sowie der Sicherungsdatenbank angeben, daneben auch die Verbindungen (LAN-Schnittstellen), über die derDHCP-Serverdienst DHCP-Nachrichten empfangen soll, und schließlich dieAnmeldeinformationen für dynamische DNS-Aktualisierungen.

Abbildung 6-10 zeigt das Eigenschaftsdialogfeld eines DHCP-Servers.

Abbildung 6-10 Das Eigenschaftsdialogfeld einesDHCP-ServersBild maximieren

DHCP-BereicheEin DHCP-Bereich ist ein Satz aufeinander folgender IPv4-Unicastadressen, die DHCP-Clients eines Subnetzes verwenden können. Bereiche definieren in der Regel einphysisches Subnetz Ihres Netzwerks, in dem die DHCP-Dienste angeboten werden. Bereiche sind für den DHCP-Server das primäre Mittel, die Verteilung und Zuweisung vonIPv4-Adressen und die damit zusammenhängenden Konfigurationsparameter für dieDHCP-Clients im Netzwerk zu regeln.

Der DHCP-Serverdienst von Windows Server 2003 unterstützt auch Multicastbereiche.

Konfigurieren eines DHCP-BereichsNach Installation und Start des DHCP-Serverdienstes folgt als nächster Schritt dieKonfiguration eines Bereichs. Jeder DHCP-Server benötigt mindestens einen Bereich miteinem Pool von für die Vergabe an DHCP-Clients verfügbaren IPv4-Adressen. In der Regelerstellen Sie mehrere Bereiche – einen für jedes Subnetz, dem DHCP Adressen anbietet.

Enthält ein Subnetz manuell konfigurierte TCP/IP-Knoten, müssen Sie derenIPv4-Adressen aus dem Bereich ausschließen. Andernfalls könnte der DHCP-Server eineAdresse vergeben, die im Subnetz bereits benutzt wird, woraus sich dann Probleme wegen doppelter Adressen ergeben.

Auf folgende Weise erstellen Sie einen DHCP-Bereich:

1. Klicken Sie auf Start, klicken Sie auf Einstellungen, klicken Sie auf Systemsteuerung, und doppelklicken Sie anschließend erst auf Verwaltung und dann auf DHCP.

2. Klicken Sie in der Konsolenstruktur auf den DHCP-Server, für den Sie einen Bereichkonfigurieren möchten.

3. Klicken Sie im Menü Aktion auf Neuer Bereich.

4. Folgen Sie den Anweisungen des Bereichserstellungs-Assistenten.

Der Bereichserstellungs-Assistent führt Sie durch die einzelnen Schritte: Benennung desBereichs, Angabe des Adressbereichs und der Ausschlüsse, Gültigkeitsdauer der Lease;Konfiguration der DHCP-Optionen (Standardgateway, DNS-Einstellungen, WINS-Einstellungen) sowie die Aktivierung des Bereichs. Wenn Sie den Bereich nicht im Bereichserstellungs-Assistenten aktivieren, können Sie dies manuell erledigen, indem Siein der Konsolenstruktur mit der rechten Maustaste auf den Bereichsnamen und dann auf Aktivieren klicken.

Bereitstellen mehrerer DHCP-ServerDamit DHCP-Clients auch dann noch IPv4-Adressen beziehen können, wenn einDHCP-Server ausfällt, sollten Sie für jedes Subnetz mehrere Bereiche erstellen und sieunter die DHCP-Server im Netzwerk verteilen. Generell sollten Sie für jedes Subnetzfolgende Maßnahmen treffen:

• Erstellen Sie auf dem DHCP-Server, der als primärer DHCP-Server im Subnetzeingesetzt wird, einen Bereich, der etwa 80 Prozent der für DHCP-Clients verfügbarenIPv4-Adressen umfasst.

• Erstellen Sie auf dem DHCP-Server, der als sekundärer DHCP-Server im Subnetzeingesetzt wird, einen Bereich, der etwa 20 Prozent der für DHCP-Clients verfügbarenIPv4-Adressen umfasst.

Fällt der primäre DHCP-Server eines Subnetzes aus, kann der sekundäre DHCP-Serverimmer noch die DHCP-Clients im Subnetz bedienen.

Abbildung 6-11 zeigt ein vereinfachtes Beispiel für eine DHCP-Konfiguration.

Abbildung 6-11 Ein Beispiel für Adressenverteilung übermehrere DHCP-Server in einem SubnetzBild maximieren

Server1 hat für das lokale Subnetz einen Bereich mit den IPv4-Adressen von131.107.4.20 bis 131.107.4.160 und Server2 hat einen Bereich mit den IPv4-Adressen von 131.107.3.20 bis 131.107.3.160. Jeder Server kann IPv4-Adressen an Clients seines eigenen Subnetzes zuweisen.

Zusätzlich hat jeder Server einen Bereich mit einer kleinen Menge von IPv4-Adressen fürdas jeweils andere Subnetz. Server1 hat zum Beispiel einen Bereich für Subnetz B mit den IPv4-Adressen von 131.107.3.161 bis 131.107.3.200. Server2 hat einen Bereich fürSubnetz A mit den IPv4-Adressen von 131.107.4.161 bis 131.107.4.200. Kann ein Client in Subnetz A keine Adresse von Server1 leasen, dann kann er eine Adresse von Server2leasen und umgekehrt.

Der primäre DHCP-Server für ein Subnetz muss nicht in diesem Subnetz angesiedelt sein.In der Praxis enthalten die meisten Subnetze keinen DHCP-Server, sondern einen DHCP-Relay-Agent. Bei einem großen Netzwerk, in dem sich die DHCP-Server inNetzwerksegmenten befinden, die auch andere Server enthalten, ist der primäreDHCP-Server eines Subnetzes derjenige DHCP-Server, der sich topologisch in unmittelbarer Nähe zu diesem Subnetz befindet; dieser Server enthält etwa 80 Prozentder Adressen für das Subnetz. Der sekundäre DHCP-Server eines Subnetzes ist derDHCP-Server, der topologisch weiter entfernt angesiedelt ist als der primäreDHCP-Server; dieser sekundäre Server enthält etwa 20 Prozent der Adressen für dasSubnetz.

Da DHCP-Server Bereichsinformationen nicht gemeinsam nutzen, ist es wichtig, dass jeder Bereich einen Satz eindeutiger IPv4-Adressen enthält. Enthalten die Bereicheverschiedener DHCP-Server gleiche IPv4-Adressen (solche Bereiche werden überlappendeBereiche genannt), dann könnten mehrere Server gleiche IPv4-Adressen verschiedenenDHCP-Clients eines Subnetzes zuweisen, was zu Problemen wegen doppelter IPv4-Adressen führt.

BereichsgruppierungenEine Bereichsgruppierung ist eine administrative Zusammenfassung von Bereichen, mit

deren Hilfe Sie mehrere logische Subnetze im gleichen physischen Subnetz unterstützenkönnen. Bereichsgruppierungen enthalten eine Liste von Mitgliedsbereichen, diezusammen aktiviert werden können. Sie können Bereichsgruppierungen nicht dafüreinsetzen, andere Einzelheiten über die Verwendung von Bereichen zu konfigurieren. Diemeisten der in einer Bereichsgruppierung verwendeten Eigenschaften müssen über dieEigenschaften der einzelnen Mitgliedsbereiche konfiguriert werden.

Mithilfe einer Bereichsgruppierung können Sie DHCP-Clients in lokalen oderRemote-Netzwerken verwenden, die mehreren logischen Subnetzen innerhalb eines physischen Netzwerksegments zugeordnet sind.

Auf folgende Weise erstellen Sie eine Bereichsgruppierung:


2. Klicken Sie in der Konsolenstruktur auf den entsprechenden DHCP-Server.

3. Klicken Sie im Menü Aktion auf Neue Bereichsgruppierung.

4. Folgen Sie den Anweisungen des Assistenten zum Erstellen von Bereichsgruppierungen.

Der Assistent zum Erstellen von Bereichsgruppierungen führt Sie durch die einzelnenSchritte: Benennung der Bereichsgruppierung sowie die Auswahl der vorher erstellten Bereiche und ihre Zuordnung zu der Bereichsgruppierung.

OptionenOptionen sind weitere TCP/IP-Konfigurationsparameter, die ein DHCP zuweisen kann, wenn er DHCP-Clients Leases anbietet. Allgemein verwendete Optionen sind zum Beispiel IPv4-Adressen von Standardgateways (Router), DNS-Server, DNS-Domänennamen undWINS-Server. Optionen können sich auf alle für den DHCP-Server konfigurierten Bereichebeziehen, oder auch nur auf einen bestimmten Bereich. Die meisten Optionen sind im RFC 2132 vordefiniert; Sie können jedoch bei Bedarf mithilfe des DHCP-Snap-Ins spezielleeigene Optionstypen definieren.

Sie können Optionen der folgenden Ebenen verwalten:

• Serveroptionen

Diese Optionen gelten für alle für den DHCP-Server konfigurierten Bereiche.Serveroptionen sind für alle DHCP-Clients des DHCP-Servers verfügbar. Diese Optionenwerden verwendet, wenn alle Clients aller Subnetze die gleichen Konfigurationsinformationen benötigen. Zum Beispiel sollen alle DHCP-Clients sokonfiguriert werden, dass sie den gleichen DNS-Domänenname verwenden.Serveroptionen werden immer verwendet, es sei denn, sie werden durch Bereichs-, Klassen- oder Reservierungsoptionen überschrieben.

• Bereichsoptionen

Diese Optionen gelten für alle DHCP-Clients, die eine Lease innerhalb eines bestimmtenBereichs erhalten. Jedes Subnetz hat zum Beispiel eine eigene IPv4-Adresse als Standardgatewayadresse. Daher muss die Option für die Zuweisung desStandardgateways eine Bereichsoption sein. Bereichsoptionen überschreiben globaleOptionen für den gleichen Konfigurationsparameter.

• Klassenoptionen

Diese Optionen gelten nur für Clients, die bei der Zuweisung einer Lease als Mitgliedder angegebenen Hersteller- oder Benutzerklasse erkannt werden. Weitere Informationen zu Hersteller- und Benutzerklassen finden Sie im Abschnitt "DHCP-Optionsklassen" dieses Kapitels.

• Reservierungsoptionen

Diese Optionen gelten nur für einen einzelnen reservierten Clientcomputer und setzenvoraus, dass in einem aktiven Bereich eine Reservierung verwendet wurde. Reservierungsoptionen überschreiben Server- und Bereichsoptionen für den gleichenKonfigurationsparameter. Weitere Informationen zu Reservierungen finden Sie im Abschnitt "Clientreservierungen" dieses Kapitels.

So konfigurieren Sie eine Bereichsoption:


2. Öffnen Sie in der Konsolenstruktur den gewünschten DHCP-Server, öffnen Sie denbetreffenden Bereich, und klicken Sie dann auf Bereichsoptionen.

3. Klicken Sie im Menü Extras auf Optionen konfigurieren.

4. Markieren Sie in Verfügbare Optionen das Kontrollkästchen für die erste Option,die Sie konfigurieren möchten.

5. Geben Sie unter Dateneingabe die für diese Option erforderlichen Informationenein.

6. Wiederholen Sie die Schritte 4-5 für jede weitere Option, die Sie konfigurierenmöchten, und klicken Sie dann auf OK.

Sie können auch auf die Registerkarte Erweitert klicken, um weitere Bereichsoptionen anzugeben, die dann nur für Mitglieder der ausgewählten Benutzer- oder Herstellerklassengelten.

Abbildung 6-12 zeigt als Beispiel die Konfiguration der DNS-Server-Bereichsoption.

Abbildung 6-12 Das Beispiel der Konfiguration derDNS-Server-BereichsoptionBild maximieren

Zwar bietet ein DHCP-Server unter Windows Server 2003 alle Optionen in der Optionsliste an, jedoch fordern DHCP-Clients unter Windows XP und Windows Server 2003 währenddes DHCP-Konfigurationsvorgangs nur die in der Tabelle 6-1 genannten Optionen an.

Option Beschreibung

001 Subnetzmaske Gibt die mit der geleasten IPv4-Adresseverknüpfte Subnetzmaske an. DieSubnetzmaske wird in einem Bereich konfiguriert und muss nicht separat als Option konfiguriert werden.

003 Router Gibt die IPv4-Adresse des Standardgateways eines Hosts an.

006 DNS-Server Gibt die IPv4-Adressen von DNS-Servern an.

Option Beschreibung

015 DNS-Domänenname Gibt den verbindungsspezifischenDNS-Domänensuffix an, der vomDHCP-Client verwendet werden soll.

031 Routersuche durchführen Gibt an, ob der DHCP-Client ICMP-Routersuche (Internet Control Message Protocol) als Host verwendet, wie in RFC 1256 definiert.

033 Statische Route Gibt einen Satz von IPv4-Netzwerkzielen mit Klassen an, zusammen mit den ihnen entsprechenden IPv4-Adressen, die DHCP-Clients in ihre IPv4-Routingtabellen aufnehmen.

043 Herstellerspezifische Informationen Gibt ab, ob herstellerspezifische Optionen angefordert werden.

044 WINS/NBNS-Server Gibt die IPv4-Adressen von WINS-Servern an.

046 WINS/NBT-Knotentyp Gibt den von dem Client verwendeten Typ der Namensauflösung bei NetBIOS (NetworkBasic Input/Output System) über TCP/IP an.

047 NetBIOS-Bereichskennung Gibt die NetBIOS-Bereichskennung an. NetBT-Hosts (NetBIOS über TCP/IP)kommunizieren nur mit den NetBT-Hosts, die die gleiche Bereichskennung verwenden.

249 Statische Routen ohne Klassen Gibt einen Satz von Routen ohne Klassen an, die der DHCP-Client in seine IPv4-Routingtabelle aufnimmt.

Tabelle 6-1 Von Windows-basierenden DHCP-Clients angeforderteDHCP-Optionen

Windows-Komponenten können über einen Aufruf der Funktion DhcpRequestParams()weitere DHCP-Optionen anfordern. Weitere Informationen finden Sie unter How to Request Additional DHCP Options from a DHCP Server. Nicht unter Windows laufende DHCP-Clients können jede DHCP-Option anfordern.

ClientreservierungenMit Clientreservierungen stellen Sie sicher, dass einer bestimmten Schnittstelle eines Netzwerkknotens immer die gleiche IPv4-Adresse zugewiesen wird. Manche DHCP-Clientskönnen ihre IPv4-Adresskonfiguration nicht ändern. Server eines Netzwerks sollten zumBeispiel an Clients, die nicht WINS-fähig sind, immer die gleiche IPv4-Adresse vergeben.Nicht WINS-fähige Clients müssen die Datei Lmhosts verwenden, um die NetBIOS-Computernamen von Hosts in Remotenetzwerken aufzulösen. Ändert sich dieIPv4-Adresse des Servers, weil sie nicht reserviert wurde, schlägt die Namensauflösungmithilfe der Datei Lmhosts fehl. Die Reservierung einer IPv4-Adresse für den Server stelltsicher, dass er immer die gleiche IPv4-Adresse verwendet.

So konfigurieren Sie eine Clientreservierung:


2. Öffnen Sie in der Konsolenstruktur den gewünschten DHCP-Server, öffnen Sie denbetreffenden Bereich oder die Bereichsgruppierung, und klicken Sie dann auf Reservierungen.

3. Klicken Sie im Menü Aktion auf Neue Reservierung.

4. Geben Sie im Dialogfeld Neue Reservierung die für die Clientreservierungerforderlichen Informationen ein.

5. Klicken Sie auf Hinzufügen, um die Clientreservierung dem Bereich hinzuzufügen.

6. Wiederholen Sie die Schritte 3-5 für die weiteren Clientreservierungen, die Siehinzufügen möchten, und klicken Sie dann auf Schließen.

Abbildung 6-13 zeigt ein Beispiel für die Konfiguration einer Reservierung.

Abbildung 6-13 Ein Beispiel für die Konfiguration einerReservierungBild maximieren

Das Feld MAC-Adresse ist der wichtigste Eintrag im Dialogfeld Neue Reservierung, denn die DHCP-Clients senden in den DHCPDiscover- und DHCPRequest-Nachrichten auch ihre MAC-Adresse. Wird deren Wert falsch eingegeben, entspricht er nicht dem vom DHCP-Client gesendeten Wert. Im Ergebnis weist der DHCP-Server dem Client irgendeine in seinem Bereich verfügbare IPv4-Adresse zu, statt der für diesen Client reserviertenIPv4-Adresse. Um die MAC-Adresse des DHCP-Clients zu ermitteln oder zu überprüfen,geben Sie an der Eingabeaufforderung für diesen DHCP-Client den Befehl ipconfig /allein.

Fehlertoleranz für ClientreservierungenUm eine Fehlertoleranz für die Clientreservierungen zu gewährleisten, müssen dieReservierungen an mindestens zwei DHCP-Servern vorliegen. Der Client kann dann seine Lease von jedem DHCP-Server beziehen, und er erhält garantiert die gleicheIPv4-Adresse. Jedoch bieten nur überlappende Bereiche die Möglichkeit, dass die gleichenClientreservierungen auf mehreren DHCP-Servern vorliegen. Werden aber Adressen aus diesen überlappenden Bereichen dynamisch zugewiesen, dann führt dies zuAdressenkonflikten. Daher sollten Sie überlappende Bereiche nur dann verwenden, wennes sich bei den einander überlappenden Adressen um Clientreservierungen handelt.

DHCP-OptionsklassenOptionsklassen bieten die Möglichkeit, die den DHCP-Clients gelieferten Optionen besserzu verwalten. Wenn Sie dem DHCP-Server eine Optionsklasse hinzufügen, kann er dieDHCP-Clients dieser Klasse mit klassenspezifischen Optionstypen für ihre Konfigurationversorgen. DHCP-Clientcomputer unter Windows Server 2003 oder Windows XP könnenaußerdem Klassenbezeichner angeben, wenn sie mit dem Server kommunizieren. Damitauch ältere DHCP-Clients unterstützt werden, die keine Klassenbezeichner kennen,können Sie den DHCP-Server mit Standardklassen konfigurieren. Es gibt zwei Typen vonOptionsklassen: Herstellerklassen und Benutzerklassen.

HerstellerklassenDHCP-Clients können herstellerdefinierte Optionsklassen verwenden, die demDHCP-Server Herstellertyp und -konfiguration bekannt geben, wenn der Client eine Lease anfordert. Der Client gibt seine Herstellerklasse während des Leasevorgangs bekannt,indem er die Option für den Herstellerklassenbezeichner (Optionscode 60) in dieDHCPDiscover- und DHCPRequest-Nachrichten aufnimmt.

Der Herstellerklassenbezeichner ist eine Zeichenkette, die von den DHCP-Servern interpretiert wird. Hersteller können spezielle Herstellerklassenbezeichner definieren, diebestimmte Konfigurations- und andere Identifikationsinformationen über einen Clientbekannt machen. Zum Beispiel könnte der Bezeichner die Hardware- oderSoftwarekonfiguration des Clients kodieren. Die meisten Herstellertypen sind von den im RFC 1700 aufgeführten reservierten abgekürzten Typcodes für Hardware undBetriebssysteme abgeleitet.

Wenn ein Client Herstelleroptionen angibt, führt der DHCP-Server die folgendenzusätzlichen Schritte aus, um dem Client eine Lease zu liefern:

1. Der Server prüft, ob die von dem Client angegebene Herstellerklasse auch auf demServer definiert ist.

2. Ist die Herstellerklasse definiert, prüft der Server, ob in dem übereinstimmendenBereich weitere DHCP-Optionen für diese Klasse konfiguriert sind.

Wird die Herstellerklasse nicht erkannt, ignoriert der Server die in der Clientanforderung angegebene Herstellerklasse und gibt die der Standardherstellerklasse zugewiesenen Optionen zurück; diese Optionen werden DHCP-Herstellerklassen-Standardoptionengenannt. Enthält der Bereich speziell für Clients dieser Herstellerklasse konfigurierteOptionen, gibt der Server diese Optionen zurück, indem er den herstellerspezifischenOptionstyp (Optionscode 43) in der DHCPAck-Nachricht verwendet.

DHCP-Clients unter Windows Server 2003 oder Windows XP verwenden dieHerstelleroptionsklasse von Microsoft Windows 2000, die der DHCP-Server standardmäßighinzufügt. In den meisten Fällen bietet die Standardherstellerklasse – dieDHCP-Standardoptionen – die Möglichkeit, Windows-basierte DHCP-Clients oder andereDHCP-Clients, die keinen Herstellerklassenbezeichner angeben, einzugruppieren.Manchmal müssen Sie möglicherweise zusätzliche Herstellerklassen für andereDHCP-Clients definieren, etwa für Drucker oder für manche Typen von UNIX-Clients.Wenn Sie Herstellerklassen für diese Zwecke definieren, sollten Sie drauf achten, dass derHerstellerklassenbezeichner, den Sie für die Konfiguration der Klasse auf dem Servernutzen, dem Bezeichner entspricht, den die DHCP-Clients verwenden.

BenutzerklassenBenutzerklassen erlauben DHCP-Clients sich als Client eines bestimmten Typs bekannt zumachen, etwa als Clientcomputer für den Remotezugriff oder als Desktopcomputer. FürDHCP-Clients unter Windows Server 2003 oder Windows XP können Sie spezielleBenutzerklassenbezeichner definieren, die Informationen über die Softwarekonfigurationdes Clients, seine physische Position in einem Gebäude oder seine Benutzereinstellungenliefern. Ein Bezeichner kann zum Beispiel angeben, dass DHCP-Clients Mitglieder derbenutzerdefinierten Klasse "Zweiter Stock, Westen" sind, die einen speziellen Satz vonRoutern sowie DNS- und WINS-Servereinstellungen erfordert. Ein Administrator dann dieDHCP-Server so konfigurieren, dass sie entsprechend dem Typ des Clients, der die Leaseerhält, unterschiedliche Optionstypen zuweisen.

Auf folgende Arten können Sie Benutzerklassen verwenden:

• DHCP-Clientcomputer können sich selbst als einer bestimmten Benutzerklasseangehörend identifizieren, indem sie die DHCP-Benutzerklassenoptionen in dieDHCP-Anforderung einfügen, die sie an den DHCP-Server senden.

• DHCP-Server unter Windows Server 2003 und der DHCP-Serverdienst können dieDHCP-Benutzerklassenoptionen erkennen und interpretieren sowie, basierend auf derBenutzerklassenidentität des Clients, zusätzliche Optionen (oder einen geänderten Satzvon DHCP-Optionen) bereitstellen.

Beispielsweise sollten Clients, die sich über Telefonleitung oder Internet mit dem Netzwerkverbinden, Leases mit kürzerer Gültigkeitsdauer zugewiesen werden. Oder bestimmteDesktopclients im gleichen Subnetz könnten spezielle Einstellungen benötigen, etwaWINS- und DNS-Servereinstellungen.

Gibt der Client keine benutzerdefinierten Optionsklassen an, weist der Server diesem Client Standardeinstellungen (etwa Serveroptionen oder Bereichsoptionen) zu.

Sie fügen eine Hersteller- oder Benutzerklasse ein, indem Sie im DHCP-Snap-In mit derrechten Maustaste auf den DHCP-Servernamen und dann auf Herstellerklassen definieren oder Benutzerklassen definieren klicken. Nachdem Sie die Klassenhinzugefügt haben, können Sie die Hersteller- und Benutzerklassenoptionen auf derRegisterkarte Erweitert im Eigenschaftsdialogfeld einer Bereichsoption konfigurieren.

Abbildung 6-14 zeigt ein Beispiel.

Abbildung 6-14 Konfigurieren von Hersteller- undBenutzerklassenBild maximieren

Im Abschnitt "Eingeben und Anzeigen des Klassenbezeichners" dieses Kapitels finden Sie Informationen darüber, wie Sie auf Computern unter Windows Server 2003 oder WindowsXP den Benutzerklassenbezeichner konfigurieren.

Zum Seitenanfang

Der DHCP-Relay-AgentDer Routing- und RAS-Dienst von Windows Server 2003 umfasst den DHCP-Relay-Agent, eine Routingprotokollkomponente, die als RFC 1542-konformer DHCP-Relay-Agent (auch BOOTP-Relay-Agent genannt) arbeiten kann.

Installieren des DHCP-Relay-AgentAbhängig von Ihren Entscheidungen im Setup-Assistenten für den Routing- undRAS-Server, haben Sie möglicherweise die als DHCP-Relay-Agent arbeitendeRoutingprotokollkomponente bereits installiert. Wenn Sie aber den DHCP-Relay-Agent noch installieren und aktivieren müssen, dann gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start, Systemsteuerung, und doppelklicken Sie anschließend erstauf Verwaltung und dann auf Routing und RAS.

2. Doppelklicken Sie in der Konsolenstruktur des Snap-Ins Routing und RAS auf den Servernamen, und klicken Sie dann auf IP-Routing.

3. Klicken Sie mit der rechten Maustaste auf Allgemein, und klicken Sie dann auf Neues Routingprotokoll.

4. Klicken Sie im Dialogfeld Neues Routingprotokoll auf DHCP-Relay-Agent, und klicken Sie dann auf OK.

5. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf DHCP-Relay-Agent und anschließend auf Eigenschaften.

6. Geben Sie im Eigenschaftsdialogfeld des DHCP-Relay-Agents die Liste der IPv4-Adressen ein, die den DHCP-Servern in Ihrem Netzwerk entsprechen, an welche dieser Computer DHCPDiscover-, DHCPRequest-, DHCPDecline- und DHCPInform-Nachrichten weiterleiten wird.

Abbildung 6-15 zeigt ein Beispiel für das Eigenschaftsdialogfeld eines DHCP-Relay-Agents.

Abbildung 6-15 Ein Beispiel für das Eigenschaftsdialogfeldeines DHCP-Relay-AgentsBild maximieren

Nachdem Sie den DHCP-Relay-Agent installiert und die Liste der DHCP-Server konfiguriert haben, müssen Sie den DHCP-Relay-Agent für die entsprechenden Schnittstellenaktivieren. Gehen Sie folgendermaßen vor, um den DHCP-Relay-Agent für eineSchnittstelle zu aktivieren:

1. Doppelklicken Sie in der Konsolenstruktur des Snap-Ins Routing und RAS erst auf den Servernamen und dann auf IP-Routing.

2. Klicken Sie mit der rechten Maustaste auf DHCP-Relay-Agent, und klicken Sie dann auf Neue Schnittstelle.

3. Klicken Sie auf die Schnittstelle, die Sie hinzufügen möchten, und klicken Sie dannauf OK.

4. Überprüfen Sie auf der Registerkarte Allgemein des Dialogfelds DHCP-Relayeigenschaften, ob das Kontrollkästchen DHCP-Pakete weiterleitenmarkiert ist.

5. Ändern Sie bei Bedarf die Werte für Schwellenwert des Abschnittzählers und Neustartschwellenwert (Sekunden), indem Sie auf die entsprechenden Pfeilsymbole klicken.

6. Klicken Sie auf OK.

Abbildung 6-16 zeigt ein Beispiel für das Dialogfeld DHCP-Relayeigenschaften einer Schnittstelle.

Abbildung 6-16 Ein Beispiel für das Dialogfeld'DHCP-Relayeigenschaften' einer SchnittstelleBild maximieren

Das Feld Schwellenwert des Abschnittzählers gibt die maximale Zahl der DHCP-Relay-Agents an, die eine DHCP-Nachricht weiterleiten können, bevor dieserDHCP-Relay-Agent die Nachricht erhält. Wenn ein DHCP-Relay-Agent eine DHCPDiscover-,DHCPRequest- oder DHCPDecline-Nachricht empfängt, überprüft er den Wert des FeldesHops im DHCP-Header der Nachricht. Überschreitet der Wert des Feldes Hops den unter Schwellenwert des Abschnittzählers angegebenen Wert, verwirft der DHCP-Relay-Agent stillschweigend die Nachricht. Andernfalls inkrementiert der DHCP-Relay-Agent den Wert des Feldes Hops, bevor er die Nachricht weiterleitet.

Das Feld Neustartschwellenwert (Sekunden) gibt den Zeitraum an, den der DHCP-Relay-Agent verstreichen lässt, bevor er DHCP-Broadcastanforderungsnachrichtenweiterleitet. Diese Option ist nützlich, wenn Sie erreichen wollen, dass der DHCP-Serverals erster antwortet, der sich im gleichen Subnetz wie der DHCP-Client befindet. Antwortet der lokale DHCP-Server nicht, soll der DHCP-Relay-Agent die Nachrichten an einen Remote-DHCP-Server weiterleiten.

Zum Seitenanfang

Automatische Adresskonfiguration für IPv6Eine äußerst nützliche Eigenschaft von IPv6 ist die Fähigkeit, eine automatischeAdresskonfiguration durchzuführen (definiert im RFC 2462). Mithilfe dieser automatischenAdresskonfiguration kann sich ein IPv6-Host automatisch selbst konfigurieren, ohne ein Adresskonfigurationsprotokoll, wie etwa DHCPv6 (Dynamic Host Configuration Protocol for IPv6) verwenden zu müssen. Standardmäßig kann ein IPv6-Host eine verbindungslokaleAdresse für jede Schnittstelle konfigurieren. Mithilfe der Routererkennung kann ein Hostaußerdem die Adresse von Routern, zusätzliche Adressen und weitereKonfigurationsparameter ermitteln. Die mithilfe der Routererkennung konfigurierten Adressen werden als statusfreie Adressen bezeichnet. Bei statusfreien Adressen zeichnet der Router nicht auf, welche IPv6-Hosts welche Adressen verwenden. DieRouterankündigungsnachrichten geben an, ob ein Konfigurationsprotokoll fürstatusbehaftete Adressen verwendet werden sollte.

Zustände automatisch konfigurierter AdressenAutomatisch konfigurierte Adressen nehmen einen oder mehrere der folgenden Zuständean:

• Mit Vorbehalt

Die Adresse wird gerade auf ihre Eindeutigkeit überprüft. Die Überprüfung erfolgt durchErkennung doppelter Adressen.

• Gültig

Eine Adresse, mit der Unicastdaten gesendet und empfangen werden können. Unterden gültigen Zustand fallen sowohl der bevorzugte als auch der ersetzte Zustand. DieRouterankündigungsnachricht gibt auch den Zeitraum an, innerhalb dessen die Adressegültig bleibt. Die Gültigkeitsdauer muss größer oder gleich der bevorzugtenGültigkeitsdauer sein.

• Bevorzugt

Eine Adresse, deren Eindeutigkeit überprüft wurde. Ein Knoten kann über einebevorzugte Adresse Unicastdaten senden und empfangen. DieRouterankündigungsnachricht gibt auch den Zeitraum an, innerhalb dessen dieAdresse im Zustand mit Vorbehalt und im bevorzugten Zustand verbleiben kann.

• Ersetzt

Die Adresse ist noch gültig, doch wird eine weitere Verwendung für neueDatenübertragungen nicht empfohlen. Laufende Kommunikationssitzungen könneneine ersetzte Adresse weiterhin verwenden. Ein Knoten kann über eine ersetzteAdresse Unicastdaten senden und empfangen.

• Ungültig

Eine Adresse, über die ein Knoten keine Unicastdaten mehr senden und empfangenkann. Eine Adresse geht in den Ungültigkeitszustand über, wenn ihre Gültigkeitsdauerverstrichen ist.

Abbildung 6-17 zeigt den Zusammenhang zwischen den Zuständen automatischkonfigurierter Adressen und ihrer bevorzugten und gültigen Lebensdauer.

Abbildung 6-17 Zustände einer automatischkonfigurierten IPv6-AdresseBild maximieren

Mit Ausnahme von verbindungslokalen Adressen ist die automatische Adresskonfiguration nur für Hosts spezifiziert. Für Router müssen Sie Adressen und andere Parameter manuellkonfigurieren.

Typen der automatischen KonfigurationEs gibt drei Typen der automatischen Konfiguration:

• Statusfrei

Die Konfiguration der Adressen beruht auf dem Empfang vonRouterankündigungsnachrichten. Diese Nachrichten enthalten statusfreie Adresspräfixeund setzen voraus, dass Hosts kein statusbehaftetes Adresskonfigurationsprotokoll verwenden.

• Statusbehaftet

Die Konfiguration basiert auf der Verwendung eines statusbehafteten Adresskonfigurationsprotokolls, beispielsweise DHCPv6, um Adressen und andere Konfigurationsoptionen abzurufen. Ein Host verwendet die statusbehaftete Adresskonfiguration, wenn er Routerankündigungsnachrichten ohne Adresspräfixeerhält, die voraussetzen, dass der Host ein statusbehaftetesAdresskonfigurationsprotokoll verwendet. Wenn die lokale Verknüpfung keine Routerenthält, verwendet ein Host ebenfalls das statusbehafteteAdresskonfigurationsprotokoll.

• Beide

Die Konfiguration beruht auf dem Empfang von Routerankündigungsnachrichten. DieseNachrichten enthalten statusfreie Adresspräfixe und setzen voraus, dass Hosts einstatusbehaftetes Adresskonfigurationsprotokoll verwenden.

Bei allen Typen der automatischen Konfiguration wird immer eine verknüpfungslokaleAdresse konfiguriert.

Vorgang der automatischen KonfigurationDer Vorgang der automatischen Adresskonfiguration für einen IPv6-Knoten sieht wie folgtaus:

1. Eine verknüpfungslokale Adresse mit Vorbehalt wird auf der Grundlage desverknüpfungslokalen Präfixes FE80::/64 und der 64-Bit-Schnittstellenkennungabgeleitet.

2. Die Erkennung doppelter Adressen wird ausgeführt, um die Eindeutigkeit derverknüpfungslokalen Adresse mit Vorbehalt zu überprüfen.

Wenn die Erkennung doppelter Adressen fehlschlägt, müssen Sie den Knotenmanuell konfigurieren.

Bei einem erfolgreichen Abschluss der Erkennung doppelter Adressen wird die Eindeutigkeit und Gültigkeit der verknüpfungslokalen Adresse angenommen. Dieverknüpfungslokale Adresse wird für die Schnittstelle initialisiert.

Bei einem IPv6-Host wird die automatische Adresskonfiguration wie folgt fortgesetzt:

1. Der Host sendet eine Routerankündigungsnachricht.

2. Erhält der Host keine Routerankündigungsnachrichten, verwendet er einstatusbehaftetes Adresskonfigurationsprotokoll, um Adressen und sonstige Konfigurationsparameter abzurufen. Das IPv6-Protokoll für Windows Server 2003,Windows XP mit Service Pack 1 (SP1) und Windows XP mit Service Pack 2 (SP2)unterstützt die Verwendung eines statusbehafteten Adresskonfigurationsprotokolls,beispielsweise DHCPv6, nicht.

3. Empfängt der Host eine Routerankündigung, werden die in der Nachrichtenthaltenen Konfigurationsdaten auf dem Host festgelegt.

4. Für jedes statusfreie Adresspräfix, das integriert wird, wird Folgendes ausgeführt:

Das Adresspräfix und die entsprechende 64-Bit-Schnittstellenkennung werdenverwendet, um eine Adresse mit Vorbehalt abzuleiten.

• Die Erkennung doppelter Adressen wird zur Überprüfung der Eindeutigkeit derAdresse mit Vorbehalt verwendet.

• Wenn die Adresse mit Vorbehalt bereits verwendet wird, wird sie nicht für dieSchnittstelle initialisiert.

• Wenn die Adresse mit Vorbehalt nicht verwendet wird, wird sie initialisiert. Dazugehört das Festlegen der zulässigen und der empfohlenen Gültigkeitsdauer aufder Grundlage der in der Routerankündigungsnachricht enthaltenenInformationen.

5. Wenn dies in der Routerankündigungsnachricht so angegeben ist, verwendet derHost ein statusbehaftetes Konfigurationsprotokoll, um zusätzliche Adressen oderKonfigurationsparameter abzurufen.

Zum Seitenanfang

Verwendung des Tools IpconfigSie können mit dem Tool Ipconfig die TCP/IP-Konfiguration anzeigen lassen und die mittels DHCP zugewiesene IPv4-Adresskonfiguration verwalten.

Überprüfen der IP-KonfigurationGeben Sie an der Eingabeaufforderung den Befehl ipconfig ein, um die aktuellen Informationen über die TCP/IP-Konfiguration eines Computers unter Windows Server 2003

oder Windows XP anzeigen zu lassen. Die angezeigten TCP/IP-Konfigurationsinformationen umfassen für jede Schnittstelle folgende Daten:

• Verbindungsspezifisches DNS-Suffix

• IP-Adressen (IPv4 und IPv6)

• Subnetzmaske (für IPv4-Adressen)

• Standardgateway

Geben Sie an der Eingabeaufforderung den Befehl ipconfig /all ein, um detaillierter Informationen über die TCP/IP-Konfiguration eines Computers unter Windows Server 2003oder Windows XP anzeigen zu lassen.

Die detaillierten TCP/IP-Konfigurationsinformationen für den Computer umfassen für jedeSchnittstelle die folgenden zusätzlichen Daten:

• Der Hostname

• Das primäre DNS-Suffix

• Der NetBIOS-Knotentyp

• Ob IP-Routing aktiviert wurde

• Ob der WINS-Proxy aktiviert wurde

• Die Suchliste für DNS-Suffixe

Die detaillierten TCP/IP-Konfigurationsinformationen umfassen außerdem für jedeSchnittstelle die folgenden zusätzlichen Daten:

• Beschreibung des Netzwerkadapters

• MAC-Adresse des Netzwerkadapters

• Ob DHCP aktiviert wurde

• Ob die automatische Konfiguration (APIPA) aktiviert wurde

• Die IPv4-Adresse des DHCP-Servers, der dieser Schnittstelle die IPv4-Adresse zugewiesen hat

• Die IPv4-Adressen des primären und des sekundären WINS-Servers

• Bei einer IPv4-Adresse, die mittels DHCP zugewiesen wurde, der Zeitpunkt, wann die Lease vergeben wurde und wann diese Lease abläuft

Verlängerung einer LeaseGeben Sie an der Eingabeaufforderung den Befehl ipconfig /renew ein, um die Lease einer IPv4-Adresse zu verlängern, die mittels DHCP vergeben wurde. Der Parameter/renew veranlasst den DHCP-Clientdienst, eine DHCPRequest-Nachricht an den DHCP-Server zu senden, um aktualisierte Optionen und eine neue Leasedauer zu erhalten. Ist der DHCP-Server nicht verfügbar, verwendet der Client die aktuelle Konfigurationweiter.

Freigeben einer LeaseGeben Sie an der Eingabeaufforderung den Befehl ipconfig /release ein, um die aktuelle IPv4-Adresskonfiguration freizugeben. Der Parameter /release veranlasst denDHCP-Clientdienst, eine DHCPRelease-Nachricht an den DHCP-Server zu senden. Dies istdann nützlich, wenn der Client in ein anderes Netzwerk versetzt wird und die vorherigeLease nicht mehr benötigt. Nachdem dieser Befehle abgesetzt wurde, erhalten dieSchnittstellen, denen vorher IPv4-Adresskonfigurationen mittels DHCP zugewiesen waren,die unspezifische IPv4-Adresse 0.0.0.0, und die TCP/IP-Kommunikation über dieseSchnittstellen wird beendet.

Standardmäßig senden DHCP-Clients unter Windows keine DHCPRelease-Nachricht, wennsie beendet werden. Wird ein solcher Client während der Gültigkeitsdauer seiner Leasenicht neu gestartet (und die Lease nicht verlängert), kann der DHCP-Server nach Ablaufder Lease die IPv4-Adresse dieses Clients einem anderen Client zuweisen. Indem er keine DHCPRelease-Nachricht sendet, ist es für den Client wahrscheinlicher, während der

Initialisierung die gleiche IPv4-Adresse zu erhalten.

Eingeben und Anzeigen des KlassenbezeichnersGeben Sie an der Eingabeaufforderung den Befehl ipconfig /setclassidAdapter ClassIDein, um auf einem Computer unter Windows Server 2003 oder Windows XP den Benutzerklassenbezeichner zu konfigurieren; der Parameter Adapter ist der Name der Schnittstelle für die Netzwerkverbindungen, und ClassID ist der Klassenbezeichner. Lassen Sie den Parameter ClassID weg, um den Klassenbezeichner von einer Schnittstelle zu entfernen.

Geben Sie an der Eingabeaufforderung den Befehl ipconfig /showclassidAdapter ein, um den Benutzerklassenbezeichner anzeigen zu lassen.

Zum Seitenanfang


• DHCP ist ein in den RFCs 2131 und 2132 beschriebener TCP/IP-Standard, der TPC/IP-Hosts ermöglicht, automatisch eine IPv4-Adresse und andereKonfigurationsparameter (darunter Subnetzmaske und Standardgateway) von einem zentral verwalteten DHCP-Server zu beziehen. Die Verwendung von DHCP vermeidet die administrativen und technischen Probleme, die mit der Unterstützung vonBenutzern verbunden sind, die ihre IPv4-Adressen manuell konfigurieren.

• DHCP-Clients tauschen mit einem DHCP-Server eine Reihe von Nachrichten aus, um eine Liste von DHCP-Servern zu ermitteln, einen Satz angebotener IPv4-Adresskonfigurationen zu erhalten, eine bestimmte IPv4-Adresskonfigurationauszuwählen und eine Bestätigung zu empfangen. DHCP-Relay-Agents vereinfachenden Austausch von DHCP-Nachrichten zwischen DHCP-Clients und DHCP-Servern, die in verschiedenen Subnetzen angeordnet sind.

• Sie können den DHCP-Serverdienst unter Windows Server 2003 als optionaleNetzwerkkomponente installieren und die Servereigenschaften, Bereiche, Bereichsgruppierungen, Optionen sowie Clientreservierungen konfigurieren.

• Sie können den DHCP-Relay-Agent unter Windows Server 2003 alsRoutingprotokollkomponente des Routing- und RAS-Dienstes installieren und konfigurieren.

• Die automatische Adresskonfiguration für IPv6 vollzieht sich über den Vorgang derRoutererkennung, bei der die IPv6-Knoten eines Subnetzes Routeranforderungs- undRouterankündigungsnachricht verwenden, um automatisch IPv6-Adressen und andereOptionen zu konfigurieren.

• Sie können mit dem Tool Ipconfig die aktuelle IP-Konfiguration eines Computers anzeigen lassen und die mittels DHCP zugewiesene IPv4-Adresskonfiguration verwalten.

Zum Seitenanfang

KapitelglossarAdresse mit Vorbehalt – Eine IPv6-Unicastadresse, deren Eindeutigkeit noch nichtüberprüft wurde.

Ausschlussbereich – Ein kleiner Bereich von einer oder mehreren IPv4-Adressen innerhalbeines DHCP-Bereichs, der von der Zuweisung an DHCP-Clients ausgenommen ist.Ausschlussbereiche stellen sicher, dass DHCP-Server den DHCP-Clients bestimmteAdressen eines Bereichs nicht anbietet.

Automatische Adresskonfiguration – Der Vorgang der automatischen Konfiguration vonIPv6-Adressen einer Schnittstelle. Siehe auch Automatische statusfreie Konfiguration undAutomatische statusbehaftete Konfiguration.

Benutzerklasse – Eine die Verwaltung von DHCP-Clients erleichternde Eigenschaft, dieerlaubt, DHCP-Clients entsprechend ihnen gemeinsamen Anforderungen logischzusammenzufassen. Sie können zum Beispiel für alle Clientcomputer eines bestimmtenTyps oder eines bestimmten Standorts eine Benutzerklasse definieren, damit ihnen alleneine ähnliche DHCP-Konfiguration zugewiesen wird.

Bereich – Ein Satz von IPv4-Adressen, die der DHCP-Dienst den DHCP-Clients zuweisenkann.

Bereichsgruppierung – Eine administrative Zusammenfassung, welche die Fähigkeit einesDHCP-Servers unterstützt, mehr als nur einen Bereich für ein physisches Netzwerkverwenden zu können. Jede Bereichsgruppierung kann einen oder mehrereMitgliedsbereiche enthalten.

Bevorzugte Gültigkeitsdauer – Der Zeitraum, in dem sich eine mittels automatischerstatusfreier Konfiguration konfigurierte IPv6-Unicastadresse im bevorzugten Zustandbefindet.

Bevorzugter Zustand – Der Zustand einer automatisch konfigurierten IPv6-Adresse, indem die Adresse gültig ist, ihre Eindeutigkeit überprüft wurde, und die füruneingeschränkte Kommunikation verwendet werden kann.

BOOTP – Siehe Bootstrap-Protokoll (BOOTP).

Bootstrap-Protokoll (BOOTP) – Ein in den RFCs 951 und 1542 definiertes Protokoll, das vorallem in TCP/IP-Netzwerken verwendet wird, um Computer ohne Laufwerke zukonfigurieren.

DHCP – Siehe Dynamic Host Configuration Protocol (DHCP)

DHCP-Client – Jeder Netzwerkknoten, der mit einem DHCP-Server kommunizieren kann,um von ihm eine geleaste IPv4-Konfiguration sowie die damit zusammenhängendenKonfigurationsparameter zu erhalten.

DHCP-Relay-Agent – Ein Softwareagent oder eine Komponente, deren Verantwortung esist, DHCP- und BOOTP-Nachrichten zwischen einem DHCP-Server und einem DHCP-Clientzu vermitteln. Ein DHCP-Relay-Agent unterstützt die im RFC 1542 definierteDHCP/BOOTP-Nachrichtenweiterleitung. Ein DHCP-Relay-Agent kann auf einem Routeroder einem Hostcomputer ausgeführt werden.

DHCP-Server – Ein Computer, der DHCP-Clients die automatische Konfiguration vonIPv4-Adressen und damit zusammenhängender Konfigurationsparameter anbietet.

Dynamic Host Configuration Protocol (DHCP) – Ein TCP/IP-Standard der DHCP-Clientsdynamisch geleaste IPv4-Hostadressen und andere Konfigurationsparameter ermöglicht.DHCP bietet sichere, verlässliche und einfache TCP/IP-Netzwerkkonfiguration, verhindertAdressenkonflikte und ermöglicht die sparsame Verwendung von IPv4-Clientadressen inNetzwerk.

Ersetzter Zustand – Der Zustand einer automatisch konfigurierten IPv6-Adresse, in demdie Adresse noch gültig ist, jedoch eine weitere Verwendung für neueDatenübertragungen nicht empfohlen wird.

Gültiger Zustand – Der Zustand einer automatisch konfigurierten IPv6-Adresse, in dem dieAdresse dafür verwendet werden kann, Unicastdaten zu senden oder zu empfangen.Unter den gültigen Zustand fallen sowohl der bevorzugte als auch der ersetzte Zustand.

Herstellerklasse – Eine die Verwaltung von DHCP-Clients erleichternde Eigenschaft, dieerlaubt, DHCP-Clients zusammenzufassen, damit ihnen entsprechend ihrer Hersteller- undHardwarekonfiguration Adressen und Optionen zugewiesen werden können. Zum Beispielermöglicht die Zuweisung einer Herstellerklasse an eine Gruppe von Druckern, dass dieseGruppe als Einheit behandelt und ihr ein passender Satz von DHCP-Optionen zugewiesenwerden kann.

Lease – Die Zeitspanne, während der ein DHCP-Client eine dynamisch zugewieseneIP-Adresskonfigurationen verwenden kann. Vor Ablauf der Gültigkeitsdauer der Leasemuss der Client entweder die Lease verlängern oder mit dem DHCP-Dienst eine neueLease beziehen.

Option – Ein Adresskonfigurationsparameter, den ein DHCP-Server den Clients zuweist.Die meisten DHCP-Optionen sind auf der Grundlage der im RFC 2132 deklariertenoptionalen Parameter vordefiniert, jedoch können Hersteller und Benutzer erweiterteOptionen definieren.

Reservierung – Eine bestimmte IPv4-Adresse innerhalb eines Bereichs, die dauerhaft fürdie Verwendung durch einen bestimmten DHCP-Client reserviert wurde.Clientreservierungen basieren auf einem eindeutigen Clientgerätebezeichner (in der Regelseiner MAC-Adresse)

Routererkennung – Der Vorgang der IPv6-Nachbarerkennung, bei dem ein Host dielokalen Router eines angeschlossenen Subnetzes ermittelt.

Statusbehaftete Adresskonfiguration – Die Verwendung eines statusbehaftetenIPv6-Adresskonfigurationsprotokolls, beispielsweise DHCPv6, um IPv6-Adressen und diedamit zusammenhängenden Parameter zu konfigurieren.

Statusfreie Adresskonfiguration – Die Verwendung von Routeranforderungs- undRouterankündigungsnachrichten, um IPv6-Adressen und die damit zusammenhängendenParameter zu konfigurieren.

Ungültiger Zustand – Der Zustand einer automatisch konfigurierten IPv6-Adresse, in demdie Adresse nicht mehr dafür verwendet werden kann, Unicastdaten zu senden oder zuempfangen. Eine IPv6-Adresse geht in den diesen Zustand über, wenn ihreGültigkeitsdauer verstrichen ist.

Zustand mit Vorbehalt – Der Zustand einer automatisch konfigurierten IPv6-Adresse, indem ihre Eindeutigkeit noch nicht überprüft wurde.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 7 – HostnamenauflösungVeröffentlicht: 21. Apr 2005

Zusammenfassung

In diesem Kapitel werden die verschiedenen Methoden beschrieben, die Microsoft Windows-basierte Computer verwenden, um Hostnamen, beispielsweise www.example.com, in die zugehörigen IP-Adressen aufzulösen.Netzwerkadministratoren müssen wissen, wie die Hostnamenauflösung unter Windowsfunktioniert, um bei der Auflösung von Hostnamen auftretende Probleme beheben zukönnen, und um die komplexen Einzelheiten von DNS (Domain Name System) zuverstehen.

Auf dieser Seite


TCP/IP-Benennungsschemata

Der Vorgang der Hostnamenauflösung

Die Datei 'Hosts'

Der DNS-Clientauflösungscache


Kapitelglossar


• Definieren eines Hostnamens.

• Erklären, wie ein Hostname mithilfe der Datei Hosts und demDNS-Clientauflösungscache von Windows in eine IP-Adresse aufgelöst wird.

• Erklären, wie ein Hostname mithilfe eines DNS-Servers in eine IP-Adresse aufgelöstwird.

• Erklären, wie ein Hostname mithilfe zusätzlicher, Windows-spezifischer Methoden ineine IP-Adresse aufgelöst wird.

• Beschreiben, wie die Datei Hosts geändert werden muss, damit die Auflösung vonHostnamen sowohl in IPv4- (Internet Protocol Version 4) als auch in IPv6-Adressen (Internet Protocol Version 6) möglich ist.

• Beschreiben der Eigenschaften des DNS-Clientauflösungscache und wie mit dem ToolIpconfig dieser Cache angezeigt und geleert wird.

Zum Seitenanfang

TCP/IP-BenennungsschemataBevor die Kommunikation aufgenommen werden kann, muss jeder Schnittstelle eines jeden TCP/IP-Knotens eine IP-Unicastadresse zugewiesen werden. Einem TCP/IP-Host und seiner Schnittstelle können auch Namen zugewiesen werden. Jedoch bestimmt dasBenennungsschemata auch die Art und Weise, in der Anwendungen einen Host oder eine Schnittstelle ansprechen. Zum Beispiel:

• Bei einer Windows-Sockets-Anwendung gibt der Benutzer entweder eine IP-Adresse oder einen Hostnamen (auch als Domänenname bezeichnet) an. Gibt der Anwendereinen Hostnamen an, versucht TCP/IP für Windows XP und Windows Server 2003,diesen Namen in eine IP-Adresse (IPv4 oder IPv6) aufzulösen. Gibt der Benutzer eineIP-Adresse an, ist eine Namenauflösung nicht notwendig.

In diesem Beitrag

• Übersicht





















• Bei einer NetBIOS-Anwendung (Network Basic Input/Output System) gibt der Benutzer einen Computernamen an, den die Anwendung in einen 16 Zeichen langen NetBIOS-Namen konvertiert. TCP/IP für Windows XP und Windows Server 2003versucht, den NetBIOS-Namen in eine IPv4-Adresse aufzulösen.

Bei NetBIOS-Anwendungen müssen die Benutzer immer den NetBIOS-Namen und nichtdie IPv4-Adresse angeben. Windows-Sockets-Anwendungen erlauben den Benutzern, den Zielhost über seinen Hostnamen oder seine IP-Adresse anzusprechen.

Definition von HostnamenEin Hostname ist ein Alias, der einen TCP/IP-Host oder seine Schnittstellen bezeichnet. In allen TCP/IP-Umgebungen werden Hostnamen verwendet. Die folgenden Ausführungenbeschreiben einige Attribute eines Hostnamens:

• Ein Hostname muss nicht dem NetBIOS-Computernamen entsprechen und kann bis zu 255 Zeichen lang sein.

• Einem Host können mehrere Hostnamen zugewiesen werden.

• Hostnamen sind leichter zu behalten als IP-Adressen.

• Ein Benutzer kann bei einer Windows-Sockets-Anwendung, beispielsweise dem Tool Ping oder dem Internet Explorer, einen Hostnamen statt einer IP-Adresse angeben.

• Einem Hostnamen muss eine IP-Adresse zugeordnet werden können; entsprechendeZuordnungstabellen sind entweder in der lokalen Datei Hosts oder in der Datenbank eines DNS-Servers gespeichert. TCP/IP für Windows XP und Windows Server 2003verwendet außerdem NetBIOS-Namenauflösungsmethoden für Hostnamen.

• Das Tool Hostname zeigt den Computernamen Ihres Windows-basierten Computers so an, wie er auf der Registerkarte Computername des Dialogfensters Systemeigenschaften System konfiguriert wurde.

Zum Seitenanfang

Der Vorgang der HostnamenauflösungDie Hostnamenauflösung ist der Vorgang der Zuordnung eines Hostnamens zu einerIP-Adresse, bevor der Quellhost das erste IP-Paket sendet. Tabelle 7-1 beschreibt die Standardmethoden der Hostnamenauflösung von TCP/IP für Windows XP und WindowsServer 2003.

Auflösungsmethode Beschreibung

Lokaler Hostname Der für den Computer konfigurierteHostname, so wie ihn das Tool Hostnameanzeigt. Dieser Name wird mit dem Namen des Zielhosts verglichen.

Datei Hosts Ein lokale Textdatei, die in demselben Format vorliegt wie die Datei \etc\hostsvon 4.3 BSD (Berkeley Software Distribution) UNIX. Diese Datei ordnet Hostnamen IP-Adressen zu. Bei TCP/IP fürWindows XP und Windows Server 2003 wird der Inhalt der Datei Hosts in denDNS-Clientauflösungscache geladen. WeitereInformationen finden Sie im Abschnitt "DerDNS-Clientauflösungscache" dieses Kapitels.

DNS-Server Ein Server, der eine Datenbank mit Zuordnungen von IP-Adressen zu Hostnamen verwaltet, und der fürZuordnungen, die in seiner Datenbank nicht enthalten sind, andere DNS-Server abfragen kann.

Tabelle 7-1 Standardmethoden der Hostnamenauflösung

Tabelle 7-2 beschreibt die zusätzlichen Methoden, die von TCP/IP für Windows XP und

Windows Server 2003 für die Hostnamenauflösung verwendet werden.

Auflösungsmethode Beschreibung

DNS-Clientauflösungscache Eine im RAM-Speicher vorgehaltene Tabelle mit den in der lokalen Datei Hostsenthaltenen Einträgen sowie den Namen,deren Auflösung mithilfe eines DNS-Serversversucht wurde.

Cache der NetBIOS-Namen Eine im RAM-Speicher vorgehaltene Tabelle mit den zuletzt aufgelösten NetBIOS-Namenund den ihnen entsprechenden IPv4-Adressen.

NBNS (NetBIOS Name Server) Ein Server, der, wie in den RFCs (Requests for Comments) 1001 und 1002 spezifiziert, NetBIOS-Namen IPv4-Adressen zuordnet. Die Microsoft-Implementierung eines NBNS ist ein WINS-Server (Windows Internet Name Service).

Lokaler Broadcast Bis zu drei NetBIOS-Namensanforderungen werden als Broadcastnachrichten an das lokale Subnetz gesendet, um dem gegebenen NetBIOS-Namen eine IPv4-Adresse zuzuordnen.

Die Datei Lmhosts Eine lokale Textdatei, die NetBIOS-Namen von NetBIOS-Prozessen, die auf Computern in Remotesubnetzen laufen, IPv4-Adressen zuordnet.

Tabelle 7-2 Windows-spezifische Methoden der Hostnamenauflösung

Namenauflösung mit der Datei 'Hosts'Wenn TCP/IP für Windows XP und Windows Server 2003 Namen auflöst, wird die DateiHosts nicht direkt durchsucht. Vielmehr werden die Einträge dieser Datei automatisch inden DNS-Clientauflösungscache geladen. Daher vollzieht sich auf einemWindows-basierten Computer der Vorgang der Namenauflösung in folgender Weise:

1. Die Namenauflösung beginnt, wenn ein Benutzer eineWindows-Sockets-Anwendung startet und einen Hostnamen für den Zielhost angibt.Windows prüft, ob der Hostname dem lokalen Hostnamen entspricht.

Entspricht der Hostname dem lokalen Hostnamen, wird der Hostname in eine dem lokalen Host zugeordnete IP-Adresse aufgelöst, und der Vorgang derNamenauflösung wird beendet.

2. Ist der Hostname nicht der gleiche wie der lokale Hostname, sucht Windows imDNS-Clientauflösungscache nach einem Eintrag, der den Hostnamen enthält.

Findet Windows den Hostnamen im DNS-Clientauflösungscache nicht und es sindkeine weiteren Namenauflösungsmethoden konfiguriert oder aktiviert (etwa DNSoder NetBIOS-Namenauflösungsmethoden), wird der Vorgang der Namenauflösungbeendet und der Windows-Sockets-Anwendung wird signalisiert, dass ein Fehler vorliegt, worauf diese in der Regel eine Fehlermeldung anzeigt.

Findet Windows den Hostnamen im DNS-Clientauflösungscache, wird der Hostnamein die IP-Adresse aufgelöst, die dem Eintrag im Cache entspricht.

3. Nachdem der Hostname in die IP-Zieladresse aufgelöst wurde, leitet Windows dasPaket an die IP-Folgeknotenadresse für das Ziel weiter (also entweder an das Zielselbst oder an einen benachbarten Router).

Im Unterschied zu der Datei Lmhosts, die nur für NetBIOS-basierte Remotehosts und-IPv4-Adressen verwendet wird, ordnet die Datei Hosts Hostnamen sowohl von benachbarten als auch von Remotehosts ihren IPv4- oder IPv6-Adressen zu.

Namenauflösung mit einem DNS-Server

DNS ist ein verteiltes, hierarchisch geordnetes Benennungssystem, das im Internet und in den meisten Intranets verwendet wird, um voll qualifizierte Domänennamen (FQDN, FullyQualified Domain Names) in IP-Adressen aufzulösen. Ein Beispiel für einen FDQN istwww.microsoft.com. Ein DNS-Server verwaltet typischerweise Informationen übereinen Bereich des DNS-Namespace, etwa alle Namen, die mit wcoast.example.comenden, und behandelt DNS-Namensabfragen von DNS-Clientcomputern entweder selbst oder durch Abfragen anderer DNS-Server. Computer unter Windows XP oder Windows Server 2003 können als DNS-Clients arbeiten, und ein Computer unter Windows Server2003 kann als DNS-Server arbeiten, der für einen DNS-Client oder andere DNS-ServerNamen auflöst.

Ist TCP/IP für Windows XP und Windows Server 2003 mit der IP-Adresse einesDNS-Servers konfiguriert, vollzieht sich der Vorgang der Namenauflösungfolgendermaßen:

1. Startet ein Benutzer eine Windows-Sockets-Anwendung und gibt einen FQDN fürden Zielhost ein, und dieser FQDN entspricht weder dem lokalen Hostnamen noch irgendeinem Eintrag im DNS-Clientauflösungscache, dann erstellt dieDNS-Clientkomponente von TCP/IP für Windows XP und Windows Server 2003 eineDNS-Namensanforderung und sendet sie an den DNS-Server.

2. Der DNS-Server prüft, ob für diesen Namen eine Zuordnung zu einer IP-Adresseentweder lokal oder auf einem anderen DNS-Server gespeichert ist. Gleichgültig, obeine Zuordnung gefunden wurde oder nicht, sendet der DNS-Server eine Antwort auf die DNS-Namensanforderung an den DNS-Client zurück.

Beantwortet der DNS-Server die Anforderung nicht, sendet der DNS-Client weitere DNS-Namensanforderungen. Antwortet der DNS-Server auf keine dieser Anforderungen, und es sind weder andere DNS-Server konfiguriert, noch ist NetBIOS über TCP/IP aktiviert, wird der Windows-Sockets-Anwendung signalisiert,dass ein Fehler vorliegt, worauf diese in der Regel eine Fehlermeldung anzeigt.

3. Nachdem der FQDN in die IP-Zieladresse aufgelöst wurde, leitet Windows das Paketan die IP-Folgeknotenadresse für das Ziel weiter (also entweder an das Ziel selbstoder an einen benachbarten Router).

Windows-Methoden der Auflösung von HostnamenIst NetBIOS über TCP/IP aktiviert, versucht Windows standardmäßig Hostnamen mittelsNetBIOS-Methoden aufzulösen, sobald die Standardmethoden fehlgeschlagen sind. Zudiesen NetBIOS-Methoden der Namenauflösung zählen der Cache der NetBIOS-Namen,konfigurierte WINS-Server, NetBIOS-Broadcasts und die Datei Lmhosts.

Wenn eine Anwendung Windows Sockets verwendet, und die Anwendung selbst oder der Benutzer gibt einen Hostnamen an, versucht TCP/IP für Windows XP und Windows Server2003, wenn NetBIOS über TCP/IP aktiviert ist, den Namen in der folgenden Reihenfolgeaufzulösen:

1. Windows prüft, ob der Hostname dem lokalen Hostnamen entspricht.

2. Ist der Hostname nicht der gleiche wie der lokale Hostname, durchsucht Windows den DNS-Clientauflösungscache.

3. Kann der Hostname nicht mithilfe des DNS-Clientauflösungscache aufgelöst werden,sendet Windows DNS-Namensanforderungen an seine konfigurierten DNS-Server.

4. Können auch die konfigurierten DNS-Server den Namen nicht auflösen, konvertiertWindows den Hostnamen in einen NetBIOS-Namen und überprüft den lokalenCache der NetBIOS-Namen.

Windows konvertiert den Hostnamen, der kürzer als 16 Zeichen sein muss, in einen16 Zeichen langen NetBIOS-Namen, wobei die ersten 15 Zeichen inGroßbuchstaben umgewandelt werden und bei Bedarf Leerzeichen angehängtwerden. Dann hängt Windows als letztes Zeichen das Zeichen mit dem Wert 0x00an. Jeder Windows-basierte Computer, auf dem der Arbeitsstationsdienstausgeführt wird, registriert seinen Computernamen mit 0x00 als letztem Zeichen.Daher wird die NetBIOS-Form des Hostnamens in der Regel zu der IPv4-Adresse des Computers aufgelöst, dessen NetBIOS-Computername dem Hostnamenentspricht.

Enthält der Hostname 16 oder mehr Zeichen, konvertiert Windows ihn nicht in


einen NetBIOS-Namen und versucht auch nicht, den Hostnamen mittels NetBIOS-Methoden aufzulösen.

5. Kann Windows den NetBIOS-Namen im Cache der NetBIOS-Namen nicht finden, kontaktiert Windows seine konfigurierten WINS-Server.

6. Kann Windows auch mit den Anfragen an die WINS-Server den NetBIOS-Namen nicht auflösen, sendet Windows bis zu drei NetBIOS-Namensanforderungen alsBroadcastnachrichten an das direkt angeschlossene Subnetz.

7. Werden diese NetBIOS-Namensanforderungen nicht beantwortet, durchsucht Windows die lokale Datei Lmhosts.

Der Vorgang der Namenauflösung wird beendet, sobald Windows die erste IP-Adresse fürdiesen Namen findet. Kann Windows mit keiner dieser Methoden den Hostnamen auflösen,dann ist der Vorgang der Namenauflösung fehlgeschlagen und die Kommunikation mitdem Zielhost ist nur dann möglich, wenn entweder seine IP-Adresse oder ein anderer demHost zugeordneten Namen angegeben wird, den Windows zu einer IP-Adresse auflösenkann.

Abbildung 7-1 zeigt alle Methoden, die von TCP/IP für Windows XP und Windows Server2003 für die Hostnamenauflösung verwendet werden.

Abbildung 7-1 Die von TCP/IP für Windows XP undWindows Server 2003 für die Hostnamenauflösungverwendeten MethodenBild maximieren

Zum Seitenanfang

Die Datei 'Hosts'Die Datei Hosts ermöglicht mittels einer lokal gespeicherten Textdatei, die Zuordnungenvon IP-Adressen zu Hostnamen. Auf den meisten UNIX-basierten Computern finden Sie die Datei unter /etc/hosts. Auf Windows-basierten Computern ist die Datei Hosts im Ordner systemroot\System32\Drivers\Etc.

Die folgenden Ausführungen beschreiben einige der Attribute der Datei Hosts fürWindows:

• Ein Eintrag besteht aus einer IP-Adresse (IPv4 oder IPv6) und einem oder mehreren Hostnamen.

• Der Inhalt der Datei Hosts wird automatisch in den DNS-Clientauflösungscachegeladen, den Windows-Sockets-Anwendungen verwenden, um für lokale undRemotesubnetze Hostnamen in IP-Adressen aufzulösen.

• Wenn Sie Einträge in der Datei Hosts erstellen und die Datei speichern, wird der Inhalt der Datei automatisch in den DNS-Clientauflösungscache geladen.

• Die Datei Hosts enthält einen Standardeintrag für den Hostnamen localhost.

• Die Datei Hosts kann mit jedem Texteditor bearbeitet werden.

• Jeder Hostname kann maximal 255 Zeichen lang sein.

• Bei den Einträgen in der Datei Hosts von Windows-basierten Computern wird zwischenGroß- und Kleinschreibung nicht unterschieden.

Der Vorteil der Datei Hosts besteht darin, dass Benutzer sie für ihre Zwecke anpassenkönnen. Jeder Benutzer kann die Einträge erstellen, die er möchte, einschließlich einfachzu behaltender Spitznamen für Ressourcen, auf die häufig zugegriffen wird. Jedoch ist dieindividuelle Verwaltung der Datei Hosts nicht sonderlich gut dazu geeignet, eine großeZahl von FQDN-Zuordnungen zu speichern oder auf Änderungen von IP-Adressen vonServer und Netzwerkressourcen zu reagieren. Die Lösung für die Speicherung undVerwaltung einer großen Zahl von FQDN-Zuordnungen bietet DNS. Die dynamischeDNS-Konfiguration löst auch das Problem der Verwaltung von FQDN-Zuordnungen vonsich ändernden IP-Adressen.

Ein Eintrag in der Datei Hosts hat das folgende Format:

Addresse Name

Der Addresse-Teil des Eintrags ist eine IPv4- oder IPv6-Unicastadresse. Der Name-Teil nennt einen oder mehrere Namen, die durch mindestens ein Leerzeichen voneinander getrennt sind. Die Adresse muss von dem ersten Namen durch ein oder mehrere Leerzeichen oder Tabulatoren getrennt sein.

IPv4-EinträgeBei IPv4-Einträgen wird die Adresse in der Datei Hosts als dezimale IPv4-Unicastadresse angegeben, deren Elemente durch Punkte voneinander getrennt sind. Das folgende Beispiel der Datei Hosts enthält IPv4-Einträge:

# # Table of IP addresses and host names # 127.0.0.1 localhost 131.107.34.1 router 172.30.45.121 server1.central.example.com s1

In diesem Beispiel können Sie den Server mit der IPv4-Adresse 172.30.45.121 mit seinemFQDN (server1.central.example.com) oder mit seinem Spitznamen (s1) ansprechen. Dieses Beispiel geht davon aus, dass sich die IP-Adresse des Servers namens server1.central.example.com nicht irgendwann ändern wird. Dies gilt dann, wenn zumBeispiel dem Server server1.central.example.com manuell eine IP-Adresskonfiguration zugewiesen wurde, oder er eine DHCP-Clientreservierung (Dynamic Host Configuration Protocol) verwendet.

IPv6-EinträgeBei IPv6-Einträgen wird die Adresse in der Datei Hosts als globale oder standortlokale IPv6-Adresse angegeben, deren Elemente durch Doppelpunkte voneinander getrennt sind. Das folgende Beispiel der Datei Hosts enthält sowohl IPv4- als auch IPv6-Einträge:

Hinweis: Einige der folgenden Codezeilen werden zur besseren Lesbarkeit in mehreren Zeilen wiedergegeben. Sie sollten in eine einzige Zeile eingegeben werden.

# # Table of IP addresses and host names # 127.0.0.1 localhost 131.107.34.1 router 172.30.45.121 server1.central.example.com s1 fec0::fa3:2aa:ff:fe9f:2a40 webv6.central.example.com w1 3ffe:ffff::10:2aa:ff:fe21:5a88 tsrvv6.wcoast.example.com ts1

Sie sollten in die Datei Hosts keine Einträge für verbindungslokale Adressen aufnehmen,weil Sie für diese Adressen keine Zonen-ID angeben können. Dieses Konzept ist ähnlichder Verwendung des Tools Ping zur Überprüfung eines verbindungslokalen Ziels ohneAngabe der Zonen-ID. Daher sind in der Datei Hosts nur Einträge für globale oder

standortlokale IPv6-Adressen sinnvoll. Der Beispieleintrag für die standortlokale Adressefec0::fa3:2aa:ff:fe9f:2a40 setzt voraus, dass nur ein einzelner Standort verwendet wird. Weitere Informationen zu IPv6-Adressen und die Verwendung der Zonen-ID finden Sie in Kapitel 3, "IP-Adressierung".

Zum Seitenanfang

Der DNS-ClientauflösungscacheDer DNS-Clientauflösungscache ist eine im RAM-Speicher vorgehaltene Tabelle mitEinträgen aus der lokalen Datei Hosts sowie den Hostnamen, die Windows mithilfe von DNS aufzulösen versucht hat. Der DNS-Clientauflösungscache speichert sowohlerfolgreiche als auch erfolglose DNS-Namenauflösungen. Ein Name, der zwar abgefragt,jedoch nicht erfolgreich aufgelöst wurde, wird als negativer Cacheeintrag bezeichnet.

Die folgende Liste beschreibt die Attribute des DNS-Clientauflösungscache:

• Er wird dynamisch aus den Einträgen der Datei Hosts und den DNS-Abfragen erstellt.

• Aus DNS-Abfragen bezogene Einträge werden nur für einen bestimmten Zeitraumgespeichert, der als Time to Live (TTL) bezeichnet wird; die Länge dieses Zeitraumslegt der DNS-Server fest, der die Zuordnungen von Namen zu IP-Adressen in einer lokalen Datenbank speichert.

• Den aus der Datei Hosts bezogenen Einträgen ist keine TTL zugeordnet, und jederEintrag bleibt so lange gespeichert, bis er aus der Datei Hosts entfernt wird.

• Sie können sich mit dem Befehl ipconfig /displaydns den Inhalt desDNS-Clientauflösungscache anzeigen lassen.

• Mit dem Befehl ipconfig /flushdns leeren Sie den DNS-Clientauflösungscache undsetzen ihn auf die Einträge zurück, die in der Datei Hosts enthalten sind.

Das folgende Beispiel zeigt, welche Informationen mit dem Befehl ipconfig /displaydnsangezeigt werden:

C:\>ipconfig /displaydns Windows IP Configuration localhost. ------------------------------------------------------ Record Name . . . . . : localhost Record Type . . . . . : 1 Time To Live . . . . : 31165698 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 127.0.0.1 dc7.corp.example.com. ------------------------------------------------------ Record Name . . . . . : dc7.corp.example.com Record Type . . . . . : 1 Time To Live . . . . : 852 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 157.60.23.170 1.0.0.127.in-addr.arpa. ------------------------------------------------------ Record Name . . . . . : 1.0.0.127.in-addr.arpa Record Type . . . . . : 12 Time To Live . . . . : 31165698 Data Length . . . . . : 4 Section . . . . . . . : Answer PTR Record . . . . . : localhost mailsrv15.corp.example.com.

------------------------------------------------------ Record Name . . . . . : mailsrv15.corp.example.com Record Type . . . . . : 1 Time To Live . . . . : 2344 Data Length . . . . . : 4 Section . . . . . . . : Answer A (Host) Record . . . : 157.54.16.83

Zum Seitenanfang


• Windows-Sockets-Anwendungen verwenden Hostnamen oder IP-Adressen, um ein Ziel anzugeben. Hostnamen müssen in eine IP-Adresse aufgelöst werden, bevor dieKommunikation mit dem Ziel möglich ist.

• Zu den Standardmethoden der Hostnamenauflösung zählen die Überprüfung deslokalen Hostnamens sowie der lokalen Datei Hosts und die Anfrage von DNS-Servern. Windows-basierte Hosts überprüfen außerdem den Inhalt desDNS-Clientauflösungscache, der die Einträge der Datei Hosts enthält.

• Windows-basierte Hosts, bei denen NetBIOS über TCP/IP aktiviert ist, verwenden auchNetBIOS-Methoden, um einen Hostnamen in eine IPv4-Adresse aufzulösen.

• Die Datei Hosts ist auf einem Windows-basierten Computer im Ordner systemroot\System32\Drivers\Etc gespeichert und enthält Einträge, die HostnamenIPv4- oder IPv6-Adressen zuordnen.

• Der Inhalt der Datei Hosts wird dynamisch in den im RAM-Speicher vorgehaltenenDNS-Clientauflösungscache geladen, der auch die Ergebnisse vorherigerDNS-Namensabfragen enthält.

Zum Seitenanfang

KapitelglossarNetBIOS-Namen-Cache – Eine dynamisch verwaltete Tabelle auf einem für NetBIOSaktivierten Host; sie speichert die kürzlich aufgelösten NetBIOS-Namen und die ihnenzugeordneten IPv4-Adressen.

DNS – Siehe Domain Name System (DNS).

DNS-Clientauflösungscache – Eine im RAM-Speicher vorgehaltenen Tabelle, die den Inhaltder Datei Hosts und die Ergebnisse vorheriger DNS-Namensabfragen enthält.

DNS-Server – Ein Server, der eine Datenbank mit Zuordnungen von DNS-Domänennamenzu verschiedenen Daten, etwa IP-Adressen, verwaltet.

Domain Name System (DNS) – Eine hierarchisch aufgebaute, verteilte Datenbank, dieZuordnungen von DNS-Domänennamen zu verschiedenen Daten, etwa IP-Adressen,enthält. DNS erlaubt, Computers und Dienste über benutzerfreundliche Namenanzusprechen, und ermöglicht auch, andere in der Datenbank gespeicherte Informationenaufzufinden.

Hostname – Der Name eines Computers oder eines Geräts in einem Netzwerk. Benutzersprechen Computer eines Netzwerks über ihre Hostnamen an. Um einen Computer zufinden, muss dessen Hostname entweder in der Datei Hosts enthalten oder dem DNS-Server bekannt sein. Bei den meisten Windows-basierten Computern entspricht der Hostname dem Computernamen.

Datei Hosts – Ein lokale Textdatei, die in demselben Format vorliegt wie die Datei\etc\hosts von 4,3 BSD UNIX. Diese Datei ordnet Hostnamen IP-Adressen zu und ist im Ordner systemroot\System32\Drivers\Etc gespeichert.

Datei Lmhosts – Ein lokale Textdatei, die NetBIOS-Namen IP-Adressen für Hosts inRemotesubnetzen zuordnet. Auf Windows-basierten Computern ist diese Datei im Ordnersystemroot\System32\Drivers\Etc gespeichert.

Namenauflösung – Der Vorgang der Zuordnung eines Hostnamens zu einer IP-Zieladresse.

NBNS – Siehe NetBIOS Name Server (NBNS).

negative Cacheeinträge – In den DNS-Clientauflösungscache aufgenommene Hostnamen,die abgefragt wurden, jedoch nicht aufgelöst werden konnten.

NetBIOS-Name – Der 16 Zeichen lange Name eines Prozesses, der NetBIOS verwendet.

NetBIOS-Namenauflösung – Der Vorgang der Zuordnung eines NetBIOS-Namens zu einerIPv4-Adresse.

NetBIOS Name Server (NBNS) – Ein Server, der Zuordnungen von NetBIOS-Namen zuIPv4-Adressen speichert und für NetBIOS-aktivierte Hosts NetBIOS-Namen auflöst. WINSist die Microsoft-Implementierung eines NBNS.

Windows Internet Name Service (WINS) – Die Microsoft-Implementierung eines NBNS(NetBIOS Name Server).

WINS – Siehe Windows Internet Name Service (WINS).




TCP/IP-Grundlagen für Microsoft WindowsKapitel 8 – Domain Name System – ÜbersichtVeröffentlicht: 31. Mai 2005

Microsoft Corporation

Zusammenfassung

In diesem Kapitel wird ausführlich das Domain Name System (DNS) und dessenVerwendung in privaten Intranets und dem Internet erläutert. DNS ist zurNamensauflösung von Domänennamen, wie z. B. www.example.com, bei allen Arten vonNetzwerkanwendungen erforderlich, vom Internetbrowser bis zum ActiveDirectory®-Verzeichnisdienst. Der Netzwerkadministrator muss über die entsprechendenKenntnisse über DNS-Namen, Domänen, Zonen, Namenserverrollen und Replikationverfügen, um ein privates Intranet und das Internet ordnungsgemäß konfigurieren undverwalten zu können.

Auf dieser SeiteDer Ersatz für die Datei Hosts.txt musste verteilt werden können, einen hierarchischenNamespace zulassen und sollte möglichst einfach zu verwalten sein. Das ursprüngliche Zielbei der Entwicklung von DNS bestand darin, die unhandliche, zentral verwaltete Textdatei durch eine handlichere, verteilte Datenbank zu ersetzen, die einen hierarchischen Namespace, eine Delegation und Verteilung der Verwaltung, erweiterbare Datentypen und eine praktisch unbegrenzte Datenbankgröße bei einer akzeptablen Leistung ermöglicht.

DNS definiert einen Namespace und ein Protokoll für die Namensauflösung undDatenbankreplikation:

Zielsetzung

Das Domain Name System

Namensauflösung

Namenserverrollen

Ressourcendatensätze und Zonen

Zonenübertragungen

Dynamisches DNS-Update

• Der DNS-Namespace basiert auf einer hierarchischen und logischen Baumstruktur.

• Das DNS-Protokoll definiert einen Nachrichtensatz, der entweder über den UserDatagram Protocol-Port 53 (UDP) oder den Transmission Control Protocol-Port 53 (TCP)gesendet wird. Hosts, von denen DNS-Abfragen stammen, senden Abfragen zurNamensauflösung zuerst über UDP, da diesistItem">

Definieren der verschiedenen DNS-Serverrollen.

• Beschreiben verbreiteter Typen von DNS-Ressourcendatensätzen.

• Beschreiben der unterschiedlichen Arten der Zonenübertragung.

• Definieren des dynamischen DNS-Updates.

Zum Seitenanfang

Das Domain Name SystemDas ursprüngliche Verfahren zur Namensauflösung erfolgte mithilfe einer Datei namensHosts.txt, die im inzwischen veralteten Advanced Research Projects Agency-Netzwerk (ARPANET), dem Vorgänger des heutigen Internets, verwendet wurde. Als die Anzahl derHosts im ARPANET noch relativ klein war, war die Verwaltung der Datei Hosts.txt einfach, da sie aus unstrukturierten Namen und den entsprechenden IPv4-Adressen bestand. Die Computer, die mit dem ARPANET verbunden waren, haben die Hosts.txt in regelmäßigenAbständen von einem zentralen Speicherort heruntergeladen und zur lokalen

In diesem Beitrag

• Übersicht





















Namensauflösung verwendet. Als aus ARPANET das heutige Internet wurde, ist die Anzahlder Hosts enorm angestiegen, und das zentralisierte Verwalten und manuelle Verteilen einer Textdatei mit den Computernamen des Internets wurde zu aufwendig.

Der Ersatz für die Datei Hosts.txt musste verteilt werden können, einen hierarchischenNamespace zulassen und sollte möglichst einfach zu verwalten sein. Das ursprüngliche Zielbei der Entwicklung von DNS bestand darin, die unhandliche, zentral verwaltete Textdatei durch eine handlichere, verteilte Datenbank zu ersetzen, die einen hierarchischen Namespace, eine Delegation und Verteilung der Verwaltung, erweiterbare Datentypen und eine praktisch unbegrenzte Datenbankgröße bei einer akzeptablen Leistung ermöglicht.

DNS definiert einen Namespace und ein Protokoll für die Namensauflösung undDatenbankreplikation:

• Der DNS-Namespace basiert auf einer hierarchischen und logischen Baumstruktur.

• Das DNS-Protokoll definiert einen Nachrichtensatz, der entweder über den UserDatagram Protocol-Port 53 (UDP) oder den Transmission Control Protocol-Port 53 (TCP)gesendet wird. Hosts, von denen DNS-Abfragen stammen, senden Abfragen zurNamensauflösung zuerst über UDP, da diese Methode schneller ist. Diese alsDNS-Clients bezeichneten Hosts greifen nur dann auf TCP zurück, wenn diezurückgegebenen Daten gekürzt sind. Als DNS-Server bezeichnete Hosts, auf denenTeile der DNS-Datenbank gespeichert sind, verwenden TCP bei der Replikation der Datenbankinformationen.

Historisch gesehen ist die am meisten verbreitete Implementierung des DNS-Protokolls die Berkeley Internet Name Domain (BIND). BIND wurde ursprünglich an der University ofCalifornia in Berkeley für die Berkeley Software Distribution Version 4.3 desUNIX-Betriebssystems entwickelt.

DNS-KomponentenDie RFCs (Requests for Comments) 974, 1034 und 1035 definieren die primärenSpezifikationen für DNS. Durch RFC 1034 erhält DNS die drei folgenden Komponenten:

1. Den Domänennamespace und die Ressourcendatensätze

DNS definiert eine Spezifikation für einen strukturierten Namespace als invertierteStruktur, in der jeder Knoten und Endknoten der Struktur einen Informationssatz benennt.

Ressourcendatensätze sind Datensätze in der DNS-Datenbank, mit denen derDNS-Datenbankserver konfiguriert werden kann (wie z. B. derAutoritätsursprung-Datensatz [SOA – Start of Authority]) oder die unterschiedlicheInformationstypen für die Bearbeitung von Clientabfragen beinhalten (wie z. B.Adress [A]- oder Mail Exchanger [MX]-Datensätze). In typischenRessourcendatensätzen werden die Ressourcen nach Namen und ihren IP-Adressenaufgeführt. Namensabfragen an DNS-Datenbankserver stellen Versuche dar,Informationen eines bestimmten Typs vom Namespace zu extrahieren. Bei einerNamensabfrage werden der gesuchte Name und ein bestimmter Datensatztypangefordert. Beispiel: Bei einer Namensabfrage wird ein Hostname angegeben undnach der zugehörigen IPv4- oder IPv6-Adresse gefragt.

2. Namenserver

Namenserver speichern Ressourcendatensätze und Informationen über dieBaumstruktur der Domäne und versuchen, empfangene Clientabfragen aufzulösen.Im Folgenden als Namenserver oder DNS-Server bezeichnete DNS-Datenbankserver enthalten die angeforderten Informationen entweder in denRessourcendatensätzen, oder sie verfügen über Zeigerdatensätze zu anderenNamenservern, die die Auflösung der Clientabfrage unterstützen können. Wenn derNamenserver die Ressourcendatensätze für einen bestimmten Bereich desNamespace enthält, wird der Server für diesen Bereich als "autorisierend"bezeichnet. Autorisierende Informationen sind in Einheiten, so genannte Zonen, unterteilt.

3. Auflösungsprogramme

Auflösungsprogramme sind Programme, die auf DNS-Clients und DNS-Servernausgeführt werden und Abfragen zum Extrahieren von Informationen vonNamenservern erstellen. Ein DNS-Client verwendet ein Auflösungsprogramm, um

eine DNS-Namensabfrage zu erstellen. Ein DNS-Server verwendet einAuflösungsprogramm, um andere DNS-Server zu kontaktieren, die stellvertrend füreinen DNS-Client einen Namen auflösen sollen. Auflösungsprogramme sindnormalerweise in Hilfsprogramme integriert, oder sie sind überBibliotheksfunktionen, wie z. B. die Windows-Sockets gethostbyname() bzw. getaddrinfo() zugänglich.

DNS-NamenDNS-Namen haben eine ganz spezifische Struktur, mit der der Speicherort des Namens imDNS-Namespace identifiziert wird. Ein vollqualifizierter Domänenname (FQDN – FullyQualified Domain Name) ist ein DNS-Domänenname, der von seinem Speicherort relativzum Stammverzeichnis des Namespace (als Stammdomäne bezeichnet) erstellt wurde.FQDNs verfügen über folgende Attribute:

• FQDNs bestehen aus einer Reihe von Namen, die vom Namen des Hosts oder Computers bis zur Stammdomäne reicht.

• Die einzelnen Namen sind durch einen Punkt getrennt.

• Jeder FQDN endet mit dem Punkt, wodurch die Stammdomäne angegeben wird.

• Jeder Name innerhalb des FQDN darf aus maximal 63 Zeichen bestehen.

• Der gesamte FQDN darf maximal 255 Zeichen lang sein.

• Bei FQDNs wird nicht zwischen Groß- und Kleinschreibung unterschieden.

• Bei RFC 1034 dürfen die Namen einer FQDN nur aus den Zeichen a-z, A-Z, 0-9 sowiedem Bindestrich bzw. Minuszeichen (-) bestehen. RFC 2181 ermöglicht die Verwendungzusätzlicher Zeichen und wird durch den DNS-Serverdienst in Microsoft®Windows Server™ 2003 unterstützt.

Domänen und untergeordnete DomänenDer DNS-Namespace besteht aus einer logischen invertierten Baumstruktur. JedeVerzweigung (bzw. jeder Knoten) in der Struktur erhält einen Namen von maximal63 Zeichen Länge. Jeder Knoten der Struktur ist ein Teil des als Domäne bezeichnetenNamespace. Eine Domäne ist eine Verzweigung in der Baumstruktur und kann sich anjeder Stelle der Struktur befinden. Domänen können für einen Lastenausgleich oder fürVerwaltungsaufgaben an Knotenpunkten innerhalb der Domäne in untergeordneteDomänen unterteilt werden. Die Position der Domäne innerhalb der DNS-Hierarchie wirddurch den Domänennamen angegeben. Der FQDN identifiziert die Domäne relativ zumStamm. Domänennamen und FQDNs werden erstellt, indem die Knotennamen – vomfestgelegten Domänenknoten zurück bis zum Stamm – kombiniert werden. Dieverschiedenen Knoten werden dabei durch einen Punkt (.) getrennt. Dem Stamm derStruktur ist der spezielle Name "" (Null) vorbehalten, der durch Hinzufügen einesabschließenden Punkts am Ende des Domänennamens (z. B. www.sales.example.com.)angegeben wird. Domänen und untergeordnete Domänen werden in Zonenzusammengefasst, um eine verteilte Verwaltung des DNS-Namespace zu ermöglichen.

In Abbildung 8-1 ist der DNS-Namespace abgebildet, wie er im Internet vorkommt.

Abbildung 8-1 Der DNS-NamespaceAbbildung vergrößern

In Abbildung 8-1 sind verschiedene Domänen der obersten Ebene und Beispielhosts der

http://www.sales.example.com.)

Domäne "microsoft.com." abgebildet. Ein nachgestellter Punkt gibt einen Domänennameneines Hosts relativ zur Stammdomäne an. Um eine Verbindung zu diesem Hostherzustellen, würde ein Benutzer den Namen "www.microsoft.com." angeben. Wenn derBenutzer den letzten Punkt nicht angibt, wird er automatisch vomDNS-Auflösungsprogramm hinzugefügt. Einzelne Organisationen verwalten die Domänender zweiten Ebene (untergeordnete Domänen der Domänen der obersten Ebene) und diezugehörigen Namenserver. Microsoft z. B. verwaltet die Domäne "microsoft.com.".

DNS-Server und das InternetDomänen definieren unterschiedliche Autoritätsebenen innerhalb einer hierarchischenStruktur. Die oberste Hierarchieebene wird als Stammdomäne bezeichnet. DerDNS-Namespace im Internet weist, wie in Abbildung 8-1 dargestellt, folgende Strukturauf:

• Stammdomäne

• Top-Level-Domänen

• Second-Level-Domänen

Die Stammdomäne verwendet die Bezeichnung "Null" und wird durch einen einzelnenPunkt (.) angegeben. In den USA werden mehrere Stammdomänen-Namenserver durchdie Internet Assigned Names Authority (IANA) verwaltet.

Die nächsthöhere Ebene der Hierarchie ist in eine Reihe von Knoten unterteilt, den sogenannten Top-Level-Domänen. Top-Level-Domänen werden nach Art der Organisationund Land/Region zugewiesen. Im Folgenden finden Sie einige der verbreitetenTop-Level-Domänen:

• com – kommerzielle Organisationen in den USA (z. B. microsoft.com für die MicrosoftCorporation)

• edu – Bildungsinstitutionen in den USA

• gov – Regierungsinstitutionen in den USA

• int – internationale Organisationen

• mil – militärische Institutionen in den USA

• net – Netzwerkinstitutionen

• org – nicht kommerzielle Institutionen

• xx – Ländercode aus zwei Buchstaben, entsprechend dem internationalenStandard 3166. ".de" ist z. B. der Ländercode für Deutschland.

• arpa – zum Speichern von Informationen für DNS-Reverse-Abfragen.

Jede Top-Level-Domäne verfügt über Namenserver, die von IANA verwaltet werden.Top-Level-Domänen können Second-Level-Domänen und Hosts enthalten.

Second-Level-Domänen enthalten die Domänen und Namen für Organisationen undLänder/Regionen. Die Namen der Second-Level-Domänen werden entweder durch dieOrganisation oder das Land/die Region selbst verwaltet (durch einen eigenen DNS-Serverim Internet) oder mithilfe eines Internetdienstanbieters (ISP – Internet Service Provider),der die Namen im Auftrag der Organisation bzw. des Landes/der Region verwaltet.

ZonenEine Zone ist ein zusammenhängender Bereich einer Domäne des DNS-Namespace,dessen Datenbankdatensätze in einer bestimmten DNS-Datenbankdatei bestehen undverwaltet werden, die auf einem oder mehreren DNS-Servern gespeichert ist. Ein einzelner DNS-Server kann so konfiguriert werden, dass er eine oder mehrere Zonen verwaltet. Jede Zone ist an einem spezifischen Domänenknoten verankert, derStammdomäne der Zone. Zonendateien enthalten nicht notwendigerweise denvollständigen Zweig (d. h. alle untergeordneten Domänen) unterhalb der Stammdomäneder Zone. Eine Domäne kann z. B. in mehrere untergeordnete Domänen unterteiltwerden, für die getrennte DNS-Server zuständig sind. Sie können Domänen über mehrereZonendateien hinweg aufteilen, wenn die Domänenverwaltung auf verschiedene Gruppenverteilt werden oder die Datenreplikation effektiver gestaltet werden soll.


In Abbildung 8-2 wird der Unterschied zwischen Domänen und Zonen dargestellt.

Abbildung 8-2 Domänen und ZonenAbbildung vergrößern

In dem Beispiel ist "microsoft.com" eine Domäne (der gesamte Zweig desDNS-Namespace, der mit dem microsoft.com.-Knoten beginnt). Die gesamte Domänewird jedoch nicht von einer einzelnen Zonendatei verwaltet. Ein Teil der Domäne befindetsich in einer Zone für "microsoft.com." und ein anderer Teil in einer Zone für die"dev.microsoft.com."-Domäne. Diese Zonen entsprechen verschiedenenDNS-Datenbankdateien, die sich entweder auf demselben oder auf verschiedenen DNS-Servern befinden können.

Zum Seitenanfang

NamensauflösungDie folgenden zwei Arten von Abfragen können von einem DNS-Auflösungsprogramm (aufeinem DNS-Client oder einem weiteren DNS-Server) an einen DNS-Server gesendet werden:

• Rekursive Abfragen

Bei einer rekursiven Abfrage wird an den abgefragten Namenserver eine Anforderung gesendet, mit den entsprechenden Daten oder der Fehlermeldung zu antworten, dass die Daten des angeforderten Typs oder die angegebene Domäne nicht vorhanden ist.Der Namenserver kann das DNS-Auflösungsprogramm nicht einfach an einen anderenNamenserver verweisen. Diese Art der Abfrage wird üblicherweise von einemDNS-Client gesendet.

• Iterative Abfragen

Bei einer iterativen Abfrage kann der abgefragte Namenserver die beste momentan vorhandene Antwort an das DNS-Auflösungsprogramm zurückgeben. Die beste Antwortist möglicherweise der aufgelöste Name oder eine Weiterleitung an einen anderenNamenserver, der die ursprüngliche Anforderung des DNS-Clients eher erfüllen kann.Iterative Abfragen werden üblicherweise von DNS-Servern an andere DNS-Servergesendet.

Beispiel für die DNS-NamensauflösungAnhand des Beispiels eines Computers, auf dem ein MicrosoftWindows® XP-Betriebssystem oder Windows Server 2003 ausgeführt wird und der mitdem Internet verbunden ist, soll verdeutlicht werden, wie rekursive und iterative Abfragen für allgemeine DNS-Namensauflösungen verwendet werden. Ein Benutzer gibthttp://www.example.com in das Feld Adresse des Internetbrowsers ein. Wenn der Benutzer die EINGABETASTE drückt, wird vom Browser ein WindowsSockets-Funktionsaufruf ausgeführt - entweder gethostbyname() oder getaddrinfo() -, um den Namen http://www.example.com in eine IP-Adresse aufzulösen. Im DNS-Teil desVorgangs zur Windows-Hostnamensauflösung geschieht Folgendes:

1. Das DNS-Auflösungsprogramm auf dem DNS-Client sendet eine rekursive Abfragean den konfigurierten DNS-Server, bei der die IP-Adresse angefordert wird, die dem Namen "www.example.com" entspricht. Der DNS-Server für diesen Client ist




verantwortlich für die Auflösung des Namens und kann den DNS-Client nicht aneinen anderen DNS-Server verweisen.

2. Der DNS-Server, der die ursprüngliche rekursive Abfrage empfangen hat, findet beieiner Überprüfung seiner Zonen keine Zonen, die dem angefordertenDomänennamen entsprechen. Der DNS-Server ist somit für die Domäneexample.com nicht autorisierend. Da der DNS-Server über keine Informationen zuden IP-Adressen der DNS-Server verfügt, die für example.com. oder com.autorisierend sind, wird eine iterative Abfrage für www.example.com. an einenStammnamenserver gesendet.

3. Der Stammnamenserver ist für die Stammdomäne autorisierend und verfügt überInformationen über Namenserver, die für Domänennamen der obersten Ebeneautorisierend sind. Er ist nicht autorisierend für die example.com.-Domäne. Daherantwortet der Stammnamenserver mit der IP-Adresse des Namenservers für diecom.-Domäne der obersten Ebene.

4. Der DNS-Server des DNS-Clients sendet eine iterative Abfrage fürwww.example.com. an den Namenserver, der für die com.-Domäne der oberstenEbene autorisierend ist.

5. Der com.-Namenserver ist autorisierend für die com.-Domäne und verfügt überInformationen zu den IP-Adressen von Namenservern, die wiederum autorisierendfür die com.-Domänennamen der zweiten Ebene sind. Er ist nicht autorisierend fürdie example.com.-Domäne. Daher antwortet der com.-Namenserver mit derIP-Adresse des Namenservers, der für die example.com.-Domäne autorisierend ist.

6. Der DNS-Server des DNS-Clients sendet eine iterative Abfrage fürwww.example.com. an den Namenserver, der für die example.com.-Domäneautorisierend ist.

7. Der example.com.-Namenserver antwortet mit der IP-Adresse, die dem FQDN www.example.com. entspricht.

8. Der DNS-Server des DNS-Clients sendet die IP-Adresse von www.example.com an den DNS-Client.

In Abbildung 8-3 wird dieser Vorgang dargestellt.

Abbildung 8-3 Beispiel von rekursiven und iterativenAbfragen bei einer DNS-NamensauflösungAbbildung vergrößern

Alle DNS-Abfragen sind DNS-Name Query Request-Nachrichten (Name Query Request –Namensabfrageanforderung). Alle DNS-Antworten sind DNS-Name QueryResponse-Nachrichten (Name Query Response – Namensabfrageantwort).

In der Praxis werden die Ergebnisse von Abfragen von den DNS-Servern fortlaufend zwischengespeichert. Wenn ein DNS-Server eine Übereinstimmung zwischen der aktuellenAnforderung und einem Eintrag im Cache findet, wird keine iterative DNS-Abfrage gesendet. In diesem Beispiel wird angenommen, dass sich auf den DNS-Servern keineCacheeinträge befinden, die das Senden von iterativen Namensabfragen verhindern.

Forward-Lookups sind Abfragen, bei denen ein DNS-Client versucht, einen FQDN in seine zugeordnete IP-Adresse aufzulösen. Zonen, die Zuordnungen von FQDNs zu IP-Adressen






enthalten, werden als Forward-Lookupzonen bezeichnet.

Umgekehrte AbfragenBei einer umgekehrten Abfrage stellt der DNS-Client die IP-Adresse bereit und fordert den entsprechenden Hostnamen an, anstatt einen Namen bereitzustellen und nach einer IP-Adresse zu fragen. Umgekehrte Abfragen werden auch als Reverse-Lookups bezeichnet, und Zonen, die Zuordnungen von IP-Adressen zu FQDNs enthalten, werden als Reverse-Lookupzonen bezeichnet.

Da die IP-Adresse nicht von einem Domänennamen im DNS-Namespace abgeleitet werdenkann, ist eine korrekte Antwort nur durch ein vollständiges Durchsuchen aller Domänensichergestellt. Um ein aufwändiges Durchsuchen aller Domänen für eine umgekehrteAbfrage zu vermeiden, wurden Domänen mit umgekehrter Namenszuordnung undZeiger-(PTR-)Ressourcen-Datensätze erstellt.

Ein Beispiel für eine Anwendung, die umgekehrte Abfragen verwendet, ist dasTracert-Tool, das in er Standardeinstellung umgekehrte Abfragen verwendet, um die Namen von Routern in einem Routingpfad anzuzeigen. Wenn Sie umgekehrte Abfragen verwenden möchten, müssen Sie bei der Administration eines DNS-ServersReverse-Lookupzonen und PTR-Datensätze erstellen, damit die umgekehrten Abfragenbeantwortet werden können.

Umgekehrte Abfragen für IPv4-AdressenZur Unterstützung von Reverse-Lookups für IPv4-Adressen wurde eine spezielle Domänemit dem Namen in-addr.arpa. erstellt. Knoten in der in-addr.arpa-Domäne sind nach denZahlen in der mit Punkten versehenen dezimalen Darstellung der IPv4-Adressen benannt. Da IPv4-Adressen jedoch von links nach rechts spezifischer werden und Domänennamenvon rechts nach links, muss die Reihenfolge von IPv4-Adressoktetten umgekehrt werden, um den in-addr.arpa-Domänennamen zu bilden, der der IPv4-Adresse entspricht. Für dieverallgemeinerte IPv4-Adresse w.x.y.z ist der entsprechende umgekehrte Abfragename beispielsweise z.y.x.w.in-addr.arpa. IANA übergibt die Verantwortlichkeit zurAdministration des umgekehrten Abfrage-Namespace unterhalb der in-addr.arpa-Domänean Organisationen, sobald diesen IPv4-Adresspräfixe zugewiesen werden.

In Abbildung 8-4 wird ein Beispiel für den Reverse-Lookup-Teil des DNS-Namespacedargestellt.

Abbildung 8-4 Ein Beispiel für den Reverse-Lookup-Teildes DNS-Namespace

Innerhalb der in-addr.arpa-Domäne werden spezielle Zeiger-(PTR-)Ressourcendatensätzehinzugefügt, um die IPv4-Adressen mit ihren entsprechenden Hostnamen zu verknüpfen.Zur Suche nach einem Hostnamen für die IPv4-Adresse 157.54.200.2 sendet einDNS-Client eine DNS-Abfrage nach einem PTR-Datensatz für den Namen2.200.54.157.in-addr.arpa. Bei umgekehrten Abfragen wird derselbe Vorgang zurNamensauflösung verwendet, der vorher für Forward-Lookups beschrieben wurde (eineKombination von rekursiven und iterativen Abfragen). Der DNS-Server findet den PTR-Datensatz mit dem FQDN, der der IPv4-Adresse 157.54.200.2 entspricht, und sendet diesen FQDN zurück an den DNS-Client.

Umgekehrte Abfragen für IPv6-AdressenBei IPv6-Reverse-Lookups wird die ip6.arpa.-Domäne verwendet. Zur Erzeugung derDomänen für umgekehrte Abfragen wird jede Hexadezimalziffer in der vollständigdargestellten 32-stelligen IPv6-Adresse in umgekehrter Reihenfolge zu einereigenständigen Ebene in der umgekehrten Domänenhierarchie.

Der Reverse-Lookup-Domänenname für die Adresse 3ffe:ffff::1:2aa:ff:fe3f:2a1c(vollständig dargestellt als 3ffe:ffff:0000:0001:02aa:00ff:fe3f:2a1c) ist beispielsweisec.1.a.2.f.3.e.f.f.f.0.0.a.a.2.0.1.0.0.0.0.0.0.0.f.f.f.f.e.f.f.3.ip6.arpa.

Wie in IPv4-Adressen werden in der umgekehrten IPv6-Domäne IPv6-Adressen durchPTR-Datensätze FQDNs zugeordnet.

Zwischenspeichern und TTLFür jede aufgelöste Abfrage (entweder rekursiv oder iterativ) werden diezurückgegebenen Informationen vom für die DNS-Auflösung zuständigen Programm füreinen Zeitraum zwischengespeichert, der in jedem Ressourcendatensatz in der DNS-Antwort angegeben ist. Dies wird als "positives Zwischenspeichern" bezeichnet. Der

Zeitraum zum Zwischenspeichern der Datensätze in Sekunden wird als Time To Live (TTL- Lebensdauer) bezeichnet. Der Netzwerkadministrator der Zone, die den Datensatzenthält, entscheidet über den TTL-Standardwert für Daten in der Zone. Durch kleinereTTL-Werte kann sichergestellt werden, dass Daten über die Domäne im Netzwerkkonsistenter sind, wenn sich die Zonendaten oft ändern. Durch diese Vorgehensweise wirdjedoch auch die Auslastung auf Namenservern erhöht, da die positiven Cacheeinträgeschneller gelöscht werden.

Nach dem Zwischenspeichern von Daten durch ein DNS-Auflösungsprogramm muss diesesden empfangenen TTL-Wert herunterzählen, um zu ermitteln, wann die Daten aus demCache zu löschen sind. Bei Abfragen, die mit den zwischengespeicherten Daten erfülltwerden können, entspricht der zurückgegebene TTL-Wert der übrig gebliebenenZeitspanne, nach der die Daten aus dem DNS-Cache gelöscht werden. AuchDNS-Auflösungsprogramme des Clients verfügen über Datencaches und berücksichtigenden TTL-Wert, um den Zeitpunkt zur Löschung der Daten zu ermitteln.

Der DNS-Clientdienst in Windows XP und Windows Server 2003 sowie derDNS-Serverdienst in Windows Server 2003 unterstützen positives Zwischenspeichern.

Negatives ZwischenspeichernWie ursprünglich in RFC 1034 definiert, bezeichnet negatives Zwischenspeichern dasZwischenspeichern fehlgeschlagener Namensauflösungen. Eine Namensauflösung schlägtfehl, wenn ein DNS-Server eine DNS-Name Query Response-Nachricht mit der Kennzeichnung zurückgibt, dass der Name nicht gefunden wurde. NegativesZwischenspeichern kann die Antwortzeiten für Namen verringern, die durch DNS währendeines iterativen Abfragevorgangs weder für den DNS-Client noch für die DNS-Serveraufgelöst werden können. Wie beim positiven Zwischenspeichern läuft auch für negativeCacheeinträge die Gültigkeitsdauer auf der Grundlage des in der DNS-Name QueryResponse-Nachricht erhaltenen TTL-Werts ab, und sie werden aus dem Cache gelöscht.

Der DNS-Clientdienst in Windows XP und Windows Server 2003 sowie derDNS-Serverdienst in Windows Server 2003 unterstützen negatives Zwischenspeichern.

Round Robin-LastenausgleichDNS-Name Query Response-Nachrichten können mehrere Ressourcendatensätzeenthalten. Beispielsweise kann die DNS-Name Query Response-Nachricht bei einem einfachen Forward-Lookup mehrere Adressdatensätze (A-Datensätze) enthalten, diewiederum die mit dem gewünschten Host verknüpften IPv4-Adressen enthalten. Wennmehrere Ressourcendatensätze für denselben Ressourcendatensatztyp vorhanden sind,treten folgende Probleme auf:

• Wie sollen die Ressourcendatensätze vom DNS-Server in der DNS-Name QueryResponse-Nachricht sortiert werden?

• Wie soll vom DNS-Client ein bestimmter Ressourcendatensatz in der DNS-Name Query Response-Nachricht ausgewählt werden?

Zur Behebung dieser Probleme wird in RFC 1794 ein Mechanismus mit dem Namen RoundRobin bzw. Load Sharing (Lastenverteilung) beschrieben, mit dem Lasten auf Netzwerkressourcen verteilt werden können. Die zentrale Annahme in RFC 1794 bestehtdarin, dass dieselbe Art von Dienst für mehrere Benutzer von mehreren Servernangeboten wird, wenn mehrere Ressourcendatensätze für denselbenRessourcendatensatztyp und denselben Namen vorhanden sind. Zum Beispiel wird die www.microsoft.com-Website tatsächlich von mehreren Webservern mit verschiedenenIPv4-Adressen gehostet. Um zu versuchen, die Last der Anfragen aller Benutzer, die auf www.microsoft.com zugreifen, zu verteilen, ändern die für microsoft.com autorisierendenDNS-Server die Reihenfolge der Ressourcendatensätze für denwww.microsoft.com-Namen in aufeinander folgenden DNS-Name Query Response-Nachrichten. Der DNS-Client verwendet die Daten des ersten Ressourcendatensatzes in der Antwort.

Wenn beispielsweise drei A-Datensätze für www.microsoft.com mit den IPv4-Adressen131.107.0.99, 131.107.0.100 und 131.107.0.101 vorhanden sind, funktioniert das Round Robin-Schema folgendermaßen:

• Bei der ersten Anfrage ist die Reihenfolge der Ressourcendatensätze in der DNS-NameQuery Response-Nachricht 131.107.0.99-131.107.0.100-131.107.0.101.

http://www.microsoft.com-Website


http://www.microsoft.com-Namen


• Bei der zweiten Anfrage ist die Reihenfolge der Ressourcendatensätze in der DNS-NameQuery Response-Nachricht 131.107.0.100-131.107.0.101-131.107.0.99.

• Bei der dritten Anfrage ist die Reihenfolge der Ressourcendatensätze in der DNS-NameQuery Response-Nachricht 131.107.0.101-131.107.0.99-131.107.0.100.

Das Muster wiederholt sich bei nachfolgenden Abfragen. Der Rotationsvorgang wird füreine beliebige Anzahl von Ressourcendatensätzen auf die Liste der Datensätzeangewendet.

Ein DNS-Server, auf dem Windows Server 2003 ausgeführt wird und der auf einerekursive Abfrage antwortet, versucht in der Standardeinstellung, dieRessourcendatensätze nach den Adressen zu sortieren, die der IP-Adresse desanfragenden DNS-Clients am meisten entsprechen. Sie können diesen Server für dasRound Robin-Verfahren gemäß RFC 1794 konfigurieren. Um zu bestimmen, welcheAdressen der IPv4-Adresse des DNS-Clients am meisten entsprechen, sortiert der DNS-Serverdienst in Windows Server 2003 die Adressen mithilfe eines Vergleichs derhöherwertigen Bits der IPv4-Adresse des DNS-Clients und der IPv4-Adresse desabgefragten Hostnamens. Diese Vergleichsmethode ähnelt demRoutenermittlungsprozess, in dem IPv4 oder IPv6 die IPv4- bzw. IPv6-Routingtabelle untersucht, um die Route zu bestimmen, die der Zieladresse eines gesendeten oder weitergeleiteten Pakets am meisten entspricht.

Zum Seitenanfang

NamenserverrollenDNS-Server speichern Informationen über Bereiche des Domänennamespace. WennNamenserver für eine oder mehrere Zonen verantwortlich sind, werden sie für dieseZonen als "autorisierend" bezeichnet. In Abbildung 8-2 ist z. B. der Namenserver mit derZone dev.microsoft.com autorisierend für die Zone dev.microsoft.com.

Zum Konfigurieren eines DNS-Servers müssen Namenserver-(NS-)Ressourcendatensätzefür alle übrigen Namenserver, die sich in dieser Domäne befinden, hinzugefügt werden.Wenn sich die zwei Zonen aus dem Beispiel auf der vorherigen Seite auf verschiedenen Namenservern befinden, würde jeder dieser Server mit einem NS-Datensatz über denanderen Server konfiguriert werden. Diese NS-Datensätze stellen Zeiger auf die anderenautorisierenden Server der Domäne zur Verfügung.

DNS definiert zwei Typen von Namenservern, von denen beide unterschiedliche Funktionen haben:

• Primär

Ein primärer Namenserver erhält die Daten für seine Zone aus lokal gespeicherten undverwalteten Dateien. Um eine Zone zu ändern, z. B. durch Hinzufügen vonuntergeordneten Domänen oder Ressourcendatensätzen, ändern Sie die Zonendatei aufdem primären Namenserver.

• Sekundär

Ein sekundärer Namenserver erhält die Daten für seine Zonen über das Netzwerk voneinem anderen Namenserver (entweder ein primärer oder ein anderer sekundärerNamenserver). Der Prozess des Abrufens dieser Zoneninformationen (d. h., derDatenbankdatei) über das Netzwerk wird als Zonenübertragung bezeichnet.Zonenübertragungen werden über den TCP-Port 53 ausgeführt.

Folgende Gründe sprechen dafür, in einem Unternehmensnetzwerk sekundäreNamenserver einzurichten:

• Redundanz: Für die Fehlertoleranz sind ein primärer und mindestens ein sekundärerDNS-Server notwendig.

• Remotestandorte: Sekundäre Namenserver (oder andere primäre Server füruntergeordnete Domänen) sind an Remotestandorten mit vielen DNS-Clientserforderlich. Clients sollten für DNS-Abfragen nicht über langsamereWAN-Verbindungen kommunizieren müssen.

• Lastverteilung: Sekundäre Namenserver verringern die Last auf dem primärenNamenserver.

Da die Informationen für jede Zone in separaten Dateien gespeichert werden, wird die

Zuweisung des primären oder sekundären Namenservers auf Zonenebene definiert. EinNamenserver kann also für bestimmte Zonen als primärer Namenserver, für andere Zonenals sekundärer Namenserver fungieren.

Wenn Sie auf einem sekundären Namenserver eine Zone definieren, konfigurieren Sie dieZone mit dem Namenserver, von dem die Zoneninformationen abgerufen werden sollen. Die Quelle der Zoneninformationen eines sekundären Namenservers wird alsMaster-Namenserver bezeichnet. Für die angeforderte Zone kann einMaster-Namenserver entweder ein primärer oder sekundärer Namenserver sein. InAbbildung 8-5 ist die Beziehung zwischen primären, sekundären undMaster-Namenservern dargestellt.

Abbildung 8-5 Primäre, sekundäre undMaster-NamenserverAbbildung vergrößern

Ein sekundärer Namenserver nimmt beim Starten Kontakt zum Master-Namenserver aufund initiiert eine Zonenübertragung für jede Zone, für die er als sekundärer Namenserverfungiert. Zonenübertragungen können auch regelmäßig stattfinden (vorausgesetzt, Datenauf dem Master-Namenserver wurden geändert), wie im SOA-Eintrag der Zonendateiangegeben. Im Abschnitt "Ressourcendatensätze und Zonen" dieses Kapitels wird derSOA-Ressourcendatensatz beschrieben.

WeiterleitungenWenn ein DNS-Server eine Abfrage empfängt, versucht er, die angefordertenInformationen innerhalb der eigenen Zonendateien zu finden. Wenn dies fehlschlägt, weilder Server für die Domäne mit dem angeforderten Namen nicht autorisierend ist und derDatensatz nicht bei einer vorherigen Suche zwischengespeichert wurde, muss der Server mit anderen Namenservern kommunizieren, um die Anforderung zu beantworten. In globalen Netzwerken wie dem Internet wird für DNS-Abfragen für Namen, die nicht denDomänennamen der zweiten Ebene des Unternehmens verwenden, eventuell eineInteraktion mit DNS-Servern über WAN-Verbindungen außerhalb des Unternehmensnotwendig. Um zu verhindern, dass sämtliche DNS-Server des Unternehmens Abfragenüber das Internet senden, können Sie Weiterleitungen konfigurieren. Eine Weiterleitungsendet Abfragen über das Internet. Andere DNS-Server des Unternehmens werden sokonfiguriert, dass sie ihre Abfragen an die Weiterleitung weiterleiten.

Abbildung 8-6 zeigt ein Beispiel zu Intranetservern, die eine Weiterleitung zum Auflösenvon Internetnamen verwenden.

Abbildung 8-6 Verwenden einer Weiterleitung zumAuflösen von InternetnamenAbbildung vergrößern

Namenserver können Weiterleitungen im nicht exklusiven oder im exklusiven Modusverwenden.

Weiterleitungen im nicht exklusiven ModusWenn ein Namenserver im nicht exklusiven Modus eine DNS-Abfrage erhält, die er nichtanhand der eigenen Zonendateien auflösen kann, sendet er eine rekursive Abfrage anseine Weiterleitung. Die Weiterleitung versucht, die Abfrage aufzulösen, und gibt dieErgebnisse an den anfordernden Namenserver zurück. Wenn die Weiterleitung die Abfragenicht auflösen kann, versucht der Namenserver, der die ursprüngliche Abfrage erhaltenhat, die Abfrage mithilfe von iterativen Abfragen aufzulösen.

Ein Namenserver, der eine Weiterleitung im nicht exklusiven Modus verwendet, führtFolgendes beim Auflösen eines Namens durch:

1. Der lokale Zwischenspeicher wird überprüft.

2. Die Zonendateien werden überprüft.

3. Eine rekursive Abfrage wird an eine Weiterleitung gesendet.

4. Es wird versucht, den Namen durch iterative Abfragen an andere DNS-Serveraufzulösen.

Weiterleitungen im exklusiven ModusIm exklusiven Modus sind Namenserver auf die Weiterleitungen angewiesen, um Namenaufzulösen. Wenn ein Namenserver im exklusiven Modus eine DNS-Abfrage erhält, dienicht durch die eigenen Zonendateien aufgelöst werden kann, sendet er eine rekursiveAbfrage an seine zugeordnete Weiterleitung. Die Weiterleitung führt dann die gesamteerforderliche Kommunikation durch, die zum Auflösen der Abfrage notwendig ist, und gibtdie Ergebnisse an den ursprünglichen Namenserver zurück. Wenn die Weiterleitung dieAbfrage nicht auflösen kann, gibt der ursprüngliche Namenserver einen Abfragefehler anden ursprünglichen DNS-Client zurück. Namenserver im exklusiven Modus versuchennicht, die Abfrage selbst aufzulösen, wenn die Weiterleitung die Anforderung nicht erfüllenkann.

Ein Namenserver, der eine Weiterleitung im exklusiven Modus verwendet, führt Folgendesbeim Auflösen eines Namens durch:

1. Der lokale Zwischenspeicher wird überprüft.

2. Die Zonendateien werden überprüft.

3. Eine rekursive Abfrage wird an eine Weiterleitung gesendet.

Reine CachenamenserverObwohl alle DNS-Server aufgelöste Abfragen zwischenspeichern, gibt es DNS-Server, dienur Abfragen durchführen, die Antworten zwischenspeichern und die Ergebnissezurückgeben. Diese Server heißen "reine Cachenamenserver". Reine Cachenamenserversind für keine Domäne autorisierend und enthalten nur die Informationen, die sie beimAuflösen von Abfragen zwischengespeichert haben.

Wenn reine Cacheserver gestartet werden, werden keine Zonenübertragungendurchgeführt, da die Server über keine Zonen verfügen und keine Einträge in ihrenCaches vorliegen. Reine Cacheserver müssen zu Anfang Abfragen so lange weiterleiten,bis im Cache genügend Einträge vorhanden sind, um häufig verwendete Abfragen nurunter Verwendung der Cache-Einträge auflösen zu können.

Zum Seitenanfang

Ressourcendatensätze und ZonenWenn Ihr Unternehmen mit dem Internet verbunden ist, muss oftmals keine DNS-Infrastruktur verwaltet werden. In kleinen Netzwerken ist DNS-Namensauflösungeinfacher und effizienter, wenn der DNS-Client einen vom ISP verwalteten DNS-Server abfragt. Die meisten ISPs verwalten Domäneninformationen gegen eine Gebühr. Wenn IhrUnternehmen die Kontrolle über die eigene Dömane benötigt oder die Kosten für einenISP nicht tragen möchte, können Sie eigene DNS-Server für Ihr Unternehmen einrichten.

In beiden Fällen, also entweder beim Abfragen über den DNS-Server eines ISP oder beimEinrichten separater DNS-Server, muss die IANA über den Domänennamen derOrganisation und über die IP-Adressen von mindestens zwei DNS-Servern im Internet, diediese Domäne bedienen, informiert werden. In Unternehmen können auch nicht vomInternet abhängige DNS-Server eingerichtet werden.

Aus Gründen der Zuverlässigkeit und Redundanz werden mindestens zwei Computer alsDNS-Server empfohlen – ein primärer und ein sekundärer Namenserver. Der primäreNamenserver verwaltet die Informationsdatenbank, die dann vom primären Namenserverauf den sekundären Namenserver repliziert wird. Diese Replikation ermöglicht dasBearbeiten von Namensabfragen, wenn einer der Namenserver nicht verfügbar ist. DieReplikation wird basierend auf der Häufigkeit der Namensänderungen in der Domänegeplant. Sie sollte so häufig durchgeführt werden, dass Änderungen auf beiden Servernvorhanden sind. Übermäßige Replikation kann jedoch einen negativen Einfluß auf dieLeistung des Netzwerks und der Namenserver haben.

RessourcendatensatzformatRessourcendatensätze haben folgendes Format:

BesitzerTTLTyp Klasse RDATA

• Besitzer Der Domänenname des Ressourcendatensatzes.

• TTL (Time to Live, Lebensdauer) Die Zeitspanne in Sekunden, die eine DNS-Auflösungwarten soll, bevor der dem Ressourcendatensatz entsprechende Cache-Eintrag aus dem Cache entfernt wird.

• Typ Der Typ des Ressourcendatensatzes.

• Klasse Die verwendete Protokollfamilie, in der Regel IN für die Internetklasse.

• RDATA Die Ressourcendaten für den Ressourcendatensatztyp. Zum Beispiel ist füreinen Adressen-(A-)Ressourcendatensatz RDATA die 32-Bit IPv4-Adresse, die dem FQDN im Feld Besitzer entspricht.

Ressourcendatensätze werden in DNS-Anforderungs- und DNS-Antwortnachrichten inbinärer Form dargestellt. In textbasierten DNS-Datenbankdateien werden die meistenRessourcendatensätze als einzelne Textzeilen dargestellt. Zur besseren Lesbarkeit werdenhäufig Leerzeilen und Kommentare in die Datenbankdateien eingefügt, die vomDNS-Server ignoriert werden. Kommentare fangen immer mit einem Semikolon (;) an und enden mit einem Wagenrücklauf.

Folgendes Beispiel zeigt einen in einer DNS-Datenbankdatei gespeicherten A-Ressourcendatensatz:

srv1.dev.microsoft.com. 3600 A IN 157.60.221.205

Jeder Ressourcendatensatz beginnt in der ersten Spalte mit dem Besitzer (srv1.dev.microsoft.com.). Wenn die erste Spalte leer ist, wird angenommen, dass der Besitzer dieses Datensatzes der Besitzer des vorherigen Datensatzes ist. Nach dem Besitzer folgen TTL (3600 Sekunden = 1 Stunde), Typ (A = Adressdatensatz), Klasse (IN = Internet) und RDATA (Ressourcendaten = 157.60.221.205). Wenn kein TTL-Wert angegeben ist, legt der DNS-Server den Wert auf die im SOA-(Start of Authority-)Datensatz der Zone angegebene TTL fest.

RessourcendatensatztypenDie DNS-Standards definieren viele Ressourcendatensatztypen. Die am häufigstenverwendeten Ressourcendatensätze sind:

• SOA Identifiziert den Anfang einer Autoritätszone. Jede Zone enthält am Anfang derZonendatei einen SOA-Ressourcendatensatz, der Informationen zur Zone speichert, das Replikationsverhalten konfiguriert und die Standand-TTL für Namen in der Zonefestlegt.

• A Weist einem FQDN eine IPv4-Addresse zu.

• AAAA Weist einem FQDN eine IPv6-Adresse zu.

• NS Gibt die autorisierenden Server für eine Zone an. NS-Datensätze geben die imSOA-Ressourcendatensatz angegebenen primären und sekundären Server für die Zoneund die Server für eventuell vorhandene delegierte Zonen an. Jede Zone muss amZonenstamm mindestens einen NS-Datensatz enthalten.

• PTR Weist einer IP-Adresse einen FQDN für Reverse-Lookups zu.

• CNAME Gibt ein Alias (ein Synonym) an.

• MX Gibt einen E-Mail-Server für einen DNS-Domänennamen an. Ein E-Mail-Server istein Host, der E-Mail für den DNS-Domänennamen empfängt.

• SRV Gibt die IP-Adressen von Servern für bestimmte Dienste, Protokolle undDNS-Domänen an.

Die RFCs 1035, 1034, 1183 und andere definieren weniger häufig verwendeteRessourcendatensätze. Der DNS-Serverdienst in Windows Server 2003 erfüllt die RFCs1034, 1035 und 1183 vollständig.

Der DNS-Serverdienst in Windows Server 2003 unterstützt auch folgendeMicrosoft-spezifische Ressourcendatensatztypen:

• WINS Gibt die IPv4-Adresse eines WINS-(Windows Internet Name Service-)Serversfür WINS-Forward-Lookup an. Der DNS-Serverdienst in Windows Server 2003 kanneinen WINS-Server für die Suche nach dem Hostteil eines DNS-Namens verwenden.

• WINS-R Gibt die Verwendung von WINS-Reverse-Lookup an, bei dem ein DNS-Servereine NetBIOS-Adapterstatusnachricht verwendet, um den Hostanteil eines DNS-Namens über seine IPv4-Adresse zu suchen.

• ATMA Weist DNS-Domänennamen ATM-(Asynchronous Transfer Mode-)Adressen zu.

Ausführliche Informationen zu Struktur und Inhalten der verschiedenenDNS-Ressourcendatensatztypen finden Sie in "Hilfe und Support für WindowsServer 2003" unter dem Thema "Ressourcendatensatzreferenz".

Delegations- und VerbindungsdatensätzeDelegations- und Verbindungsdatensätze werden zu einer Zonendatei hinzugefügt, um dieDelegierung einer untergeordneten Domäne an eine separate Zone anzugeben. InAbbildung 8-2 muss der für die Zone microsoft.com autorisierende DNS-Serverbeispielsweise so konfiguriert werden, dass er beim Auflösen von Namen fürdev.microsoft.com Folgendes ermitteln kann:

• Dass eine separate Zone für die Domäne vorhanden ist.

Eine Delegation ist ein NS-Datensatz in der übergeordneten Zone, der den für diedelegierte Zone autorisierenden Namenserver auflistet.

• Wo sich die Zone für diese Domäne befindet.

Ein Verbindungsdatensatz ist ein A-Datensatz für den Namenserver, der für diedelegierte Zone autorisierend ist.

In Abbildung 8-2 wurde beispielsweise die Autorität für die Zone dev.microsoft.com vomNamenserver für die Domäne microsoft.com. an den Namenserverdevdns.dev.microsoft.com mit der IPv4-Adresse 157.60.41.59. delegiert. FolgendeDatensätze müssen zur Zonendatei für die Zone microsoft.com. hinzugefügt werden:

dev.microsoft.com. IN NS devdns.dev.microsoft.com. devdns.dev.microsoft.com. IN A 157.60.41.59

Ohne den Delegationsdatensatz für dev.microsoft.com schlagen Abfragen für alle Namenfehl, die mit dev.microsoft.com enden. Verbindungsdatensätze werden benötigt, wenn derName des für die delegierte Zone autorisierenden Namenservers in der Domäne desNamenservers ist, der die Namensauflösung versucht. Im oben aufgeführten Beispiel wirdein A-Datensatz für devdns.dev.microsoft.com. benötigt, da sich dieser FQDN im Bereichmicrosoft.com. des DNS-Namespace befindet. Ohne diesen A-Datensatz kann der microsoft.com.-DNS-Server den Namenserver für die Zone dev.microsoft.com. nichtfinden, und alle Namensauflösungen für Namen in der Domäne dev.microsoft.comschlagen fehl. Verbindungsdatensätze werden nicht benötigt, wenn sich der Name des fürdie delegierte Zone autorisierenden Namenservers in einer anderen Domäne als derDomäne der Zonendatei befindet. In diesem Fall verwendet der DNS-Server normaleiterative Abfragen, um den Namen in eine IP-Adresse aufzulösen.

Der DNS-Serverdienst in Windows Server 2003 fügt beim Delegieren eineruntergeordneten Domäne automatisch Delegations- und Verbindungsdatensätze hinzu.

Die Datei für StammhinweiseDie Datei für Stammhinweise, auch Cachedatei genannt, enthält die Namen und Adressenvon Stammservern. Zum Auflösen von Domänennamen im Internet verfügt die mit demDNS-Serverdienst in Windows Server 2003 bereitgestellte Standarddatei über dieDatensätze für die Stammserver des Internets. Für nicht mit dem Internet verbundeneInstallationen sollte die Datei mit einer ersetzt werden, die die Namenserver enthält, diefür den Stamm des privaten Netzwerks autorisierend sind. Diese Datei heißt Cache.dnsund ist im Ordner systemroot/System32/Dns gespeichert.

Die aktuelle Cachedatei für das Internet finden Sie auf der FTP-Site für InterNIC (in englischer Sprache).

Zum Seitenanfang

ZonenübertragungenSekundäre Namenserver erhalten Zonendateien von einem Master-Namenserver mithilfeeiner Zonenübertragung. Eine Zonenübertragung repliziert die Datensätze in derZonendatei vom Masterserver auf den sekundären Server. Zonenübertragungen werdenfür alle Zonen ausgeführt, für die ein DNS-Server beim Starten ein sekundärerNamenserver ist. Danach werden sie fortlaufend durchgeführt, um sicherzustellen, dassdie lokale Zonendatei die aktuellsten Informationen zur Zone enthält. Es gibt zwei Typenvon Zonenübertragungen, die vollständige und die inkrementelle Übertragung.

Vollständige ZonenübertragungIn den ursprünglichen DNS-RFCs wurden Zonenübertragungen als Übertragung dergesamten Zonendatei definiert, unabhängig von Änderungen an der Datei nach der letztenÜbertragung. Bei vollständigen Zonenübertragungen wird folgender Vorgangdurchgeführt:

1. Der sekundäre Server wartet den nächsten Aktualisierungszeitpunkt ab (wie imSOA-Ressourcendatensatz angegeben) und fragt dann den SOA-Ressourcendatensatz für die Zone vom Masterserver ab.

2. Der Masterserver antwortet mit dem SOA-Ressourcendatensatz.

3. Der sekundäre Server überprüft das Feld für die Seriennummer deszurückgegebenen SOA-Ressourcendatensatzes. Wenn die Seriennummer imSOA-Ressourcendatensatz höher als die Seriennummer des

SOA-Ressourcendatensatzes der lokal gespeicherten Zonendatei ist, wurde die Zonendatei auf dem Masterserver geändert und eine Zonenübertragung istnotwendig. Die Seriennummer im SOA-Ressourcendatensatz wird jedesmal aktualisiert, wenn der Ressourcendatensatz auf dem Master-Namenserver geändertwird.

Der sekundäre Server sendet eine AXFR-Anforderung (eine Anforderung für einevollständige Zonenübertragung) an den Masterserver.

4. Der sekundäre Server initiiert eine TCP-Verbindung mit dem Masterserver undfordert alle Datensätze in der Zonendatenbank an. Nach der Zonenübertragungentspricht das Feld Seriennummer im SOA-Datensatz der lokalen Zonendatei dem Feld Seriennummer im SOA-Datensatz auf dem Masterserver.

Abbildung 8-7 zeigt eine vollständige Zonenübertragung.

Abbildung 8-7 Eine vollständige ZonenübertragungAbbildung vergrößern

Wenn der sekundäre Server keine Antwort auf die SOA-Abfrage erhält, werden dieSOA-Abfragen gemäß einem im SOA-Ressourcendatensatz der lokalen Zonendateifestgelegten Wiederholungsintervall wiederholt. Der sekundäre Server fährt mit denWiederholungen fort, bis die vergangene Zeit für die Durchführung einerZonenübertragung einen Ablaufzeitpunkt erreicht, der im SOA-Ressourcendatensatz derlokalen Zonendatei festgelegt ist. Nach dem Ablaufzeitpunkt schließt der sekundäre Serverdie Zonendatei und verwendet sie nicht zur Beantwortung nachfolgender Abfragen. Dersekundäre Server versucht weiter, die Zonenübertragung durchzuführen. Wenn dieZonenübertragung erfolgreich ist, wird die lokale Zonendatei geöffnet und fürnachfolgende Abfragen verwendet.

Inkrementelle ZonenübertragungBei einer vollständigen Zonenübertragung wird die gesamte Zonendatei übertragen. Dieskann einen erheblichen Teil der Verarbeitungsressourcen und Netzwerkbandbreite belegen, wenn die Zonendateien groß sind und Zonendatensätze häufig geändert werden.Zur Minimierung der Informationsmenge, die bei Änderungen an Zonendatensätzen inZonenübertragungen gesendet wird, gibt RFC 1995 eine Standardmethode für dieDurchführung inkrementeller Zonenübertragungen an. Bei inkrementellenZonenübertragungen werden nur Ressourcendatensätze während der Zonenübertragunggesendet, die geändert wurden (hinzugefügt, gelöscht oder geändert).

Bei inkrementellen Zonenübertragungen führt der sekundäre Server die gleiche Abfragedes SOA-Datensatzes des Masterservers durch und vergleicht die jeweiligen Felder für dieSeriennummer. Wenn Änderungen vorhanden sind, sendet der sekundäre Server eineIXFR-Anforderung (eine Anforderung für eine inkrementelle Zonenübertragung) an denMasterserver. Der Masterserver sendet die geänderten Datensätze, und der sekundäreServer erstellt aus den nicht geänderten Datensätzen und den Datensätzen aus derinkrementellen Zonenübertragung eine neue Zonendatei.

Abbildung 8-8 zeigt eine inkrementelle Zonenübertragung.

Abbildung 8-8 Eine inkrementelle ZonenübertragungAbbildung vergrößern

Damit der Masterserver die Datensätze ermitteln kann, die sich geändert haben, mussdieser eine Verlaufsdatenbank für Änderungen an den Zonendateien verwalten. DieÄnderungen an den Zonendateien sind mit einer Seriennummer verknüpft, damit derMasterserver ermitteln kann, welche Änderungen nach der Seriennummer vorgenommenwurden, die in der IXFR-Anforderung des sekundären Servers angegeben ist.

Der DNS-Serverdienst in Windows Server 2003 unterstützt inkrementelleZonenübertragungen.

DNS-BenachrichtigungBei vollständigen und inkrementellen Zonenübertragungen initiiert stets der sekundäreServer die Zonenübertragung, basierend auf der regelmäßigen Abfrage desSOA-Datensatzes des Masterservers. Die ursprünglichen DNS-RFCs definieren keinenBenachrichtigungsmechanismus für den Fall, dass vom Masterserver eine große Anzahlvon Änderungen an die sekundären Server weitergegeben werden soll.

Um die Datenkonsistenz auf den sekundären Servern zu verbessern, spezifiziert RFC 1996die DNS-Erweiterung DNS Notify (DNS-Benachrichtigung). Diese Erweiterung ermöglichtes Masterservern, Benachrichtigungen über eventuell notwendige Zonenübertragungen ansekundäre Server zu senden. Nach dem Empfang einer DNS-Benachrichtigung fordernsekundäre Server den SOA-Datensatz ihres Masterservers an und initiieren gegebenenfallseine vollständige oder inkrementelle Zonenübertragung.

Abbildung 8-9 zeigt den Vorgang der DNS-Benachrichtigung.

Abbildung 8-9 Der DNS-BenachrichtigungsvorgangAbbildung vergrößern

Der Masterserver verwaltet für jede Zone eine Benachrichtigungsliste (eine Liste mitIP-Adressen), um die sekundären Server zu ermitteln, an die Benachrichtigungengesendet werden sollen. Wenn die Zone aktualisiert wird, sendet der Masterserver Benachrichtigungen nur an Server, die in der Benachrichtigungsliste enthalten sind.

Der DNS-Serverdienst in Windows Server 2003 unterstützt die Konfiguration einerBenachrichtigungsliste (einer Liste mit IPv4-Adressen) für jede Zone.

Zum Seitenanfang

Dynamisches DNS-UpdateDNS wurde ursprünglich als Schema zur Namensauflösung relativ statischer Namen undAdressen definiert. DNS-Datensätze enthielten Informationen zu Servern, deren Namens-und Adresskonfiguration nicht häufig geändert wurde. Aus diesem Grund war die manuelleVerwaltung von Ressourcendatensätzen in Zonendateien überschaubar. Dieseursprünglichen Annahmen funktionieren gut in Umgebungen, die auf statischkonfigurierten Servern und Clientcomputern basieren, in denen die Clientcomputer nur mitden Servercomputern kommunizieren und in denen die Adresskonfiguration nicht geändertwird. Mit der Einführung von Peer-to-Peer-Kommunikation und -Anwendungen sowieDHCP (Dynamic Host Configuration Protocol) sind die beiden Annahmen des statischenDNS in Frage gestellt. In einer Windows-basierten Umgebung kommunizierenClientcomputer häufig direkt miteinander und werden mithilfe von DHCP automatischkonfiguriert. Clientcomputer müssen den Namen des jeweils anderen Clientcomputersauflösen können, um miteinander zu kommunizieren. Aus diesem Grund müssen sie überentsprechende DNS-Ressourcendatensätze verfügen. Mit DHCP konnte sich dieAdresskonfiguration von Clientcomputern bei jedem Start ändern. Das manuelle Verwaltenvon DNS-Datensätzen für eine solche Umgebung ist offensichtlich unpraktisch.

Aus diesem Grund definiert RFC 2136 das dynamische DNS-Update. Durch das dynamische Aktualisieren von Zonendaten auf einem primären Server einer Zone stehthiermit eine automatisierte Methode zum Füllen des DNS-Namespace mit den aktuellen

Namen und Adressen von Client- und Servercomputern zur Verfügung. Mit dynamischenDNS-Updates werden DNS-Datensätze automatisch erstellt, geändert und entfernt,entweder von Hostcomputern oder von DHCP-Servern in deren Auftrag. Zum Beispiel sendet ein Clientcomputer, der dynamische DNS-Updates unterstützt,UPDATE-Nachrichten an seinen DNS-Server, um automatisch A-, AAAA- undPTR-Datensätze hinzuzufügen. Der DNS-Server, der ebenfalls dynamische DNS-Updatesunterstützen muss, überprüft, ob der Clientcomputer zum Durchführen der Aktualisierungberechtigt ist, und aktualisiert dann seine lokalen Zonendateien.

Der DNS Clientdienst in Windows XP und Windows Server 2003 und der DNS-Serverdienstin Windows Server 2003 unterstützen dynamische DNS-Updates.

Zum Seitenanfang

KapitelzusammenfassungDieses Kapitel enthält die folgenden wichtigen Informationen:

• DNS ist ein Namespace und ein Protokoll zum Replizieren von Datenbanken und zumAuflösen von im Internet und Intranet verwendeten FQDNs. DNS besteht aus demDomänennamespace, Namenservern zum Speichern von Ressourcendatensätzen undDNS-Auflösungsprogrammen.

• Eine Domäne ist ein Zweig des DNS-Namespace, der am Stammknoten beginnt. AlleRessourcendatensätze einer Domäne werden in Zonen auf DNS-Servern gespeichert.Eine Zone ist ein zusammenhängender Bereich einer DNS-Domäne, dessenInformationen in einer Datei auf einem DNS-Server gespeichert sind.

• Im Internet besteht DNS aus der Stammdomäne, Domänen der obersten Ebene(Top-Level Domains) und Domänen der zweiten Ebene (Second-Level Domains). IANAverwaltet die Namen und DNS-Server der Stammdomäne und der Domänen derobersten Ebene. Einzelne Unternehmen sind für das Verwalten der Namen ihrerDomänen der zweiten Ebene verantwortlich.

• DNS-Auflösungsprogramme verwenden entweder rekursive oder iterative Abfragen.Rekursive Abfragen werden zur Anforderung von definitiven Informationen zu einem Namen verwendet. DNS-Clients verwenden sie in der Regel zur FQDN-Auflösung.Iterative Abfragen werden zur Anforderung bestmöglicher Informationen zu einemNamen verwendet. DNS-Server verwenden sie in der Regel zum Abfragen anderer DNS-Server.

• Forward-Lookups stellen eine IP-Adresse basierend auf einem FQDN bereit. Reverse-Lookups stellen einen FQDN basierend auf einer IP-Adresse bereit.

• DNS-Server können für jede Zone, für die sie autorisierend sind, die Funktion einesprimären Servers (bei dem die Datensätze vom DNS-Administrator geändert werden)oder eines sekundären Servers (bei dem die Datensätze von einem anderen Serverübernommen werden) übernehmen. Ein Masterserver ist ein Server, von dem einsekundärer Server eine Zonenübertragung erhält.

• DNS definiert viele Ressourcendatensatztypen. Die am häufigsten verwendeten sindSOA, A, AAAA, NS, PTR, CNAME, MX und SRV.

• Zonenübertragungen übertragen entweder die gesamte Zonendatei (vollständigeZonenübertragung) oder nur die Datensätze, die geändert wurden (inkrementelleZonenübertragung). DNS-Benachrichtigung ist ein Standardmechanismus, mit dem einMaster-Namenserver sekundäre Namenserver benachrichtigt, wenn diese Änderungenin den Zonendateien überprüfen sollen.

• Dynamisches DNS-Update ist eine Standardmethode für Hosts oder DHCP-Server imAuftrag von Hosts zur automatischen Aktualisierung der Zonen von primärenDNS-Servern mit Ressourcendatensätzen, die aktuellen Namens- undAdresskonfigurationen entsprechen.

Zum Seitenanfang

KapitelglossarDNS – Siehe "Domain Name System (DNS)".

Dynamísches DNS-Update – Eine Aktualisierung des DNS-Standards, die es DNS-Clientsermöglicht, ihre Ressourcendatensätze automatisch in den Zonen des primären Servers zu

registrieren und zu aktualisieren.

DNS-Server – Ein Server, der eine Datenbank mit Zuweisungen von FQDNs zuverschiedenen Datentypen, wie z. B. IP-Adressen, verwaltet.

Domäne – Jeder Zweig des DNS-Namespace.

Domain Name System (DNS) – Eine hierarchische, verteilte Datenbank, die Zuweisungenvon DNS-Domänennamen zu verschiedenen Datentypen, wie z. B. IP-Adressen, verwaltet.DNS ermöglicht das Suchen von Computern und Diensten über benutzerfreundlicheNamen und die Suche nach anderen Informationen, die in der Datenbank gespeichertsind.

Forward-Lookup – Eine DNS-Abfrage, die einem FQDN eine IP-Adresse zuweist.

Weiterleitung – Ein DNS-Server, der von anderen internen DNS-Servern zum Weiterleitenvon Abfragen für das Auflösen von externen bzw. Offsite-DNS-Domänennamen verwendetwird, wie die im Internet verwendeten Domänennamen.

FQDN – Siehe "Fully Qualified Domain Name".

Fully Qualified Domain Name (FQDN – Voll qualifizierter Domänenname) - Ein DNS-Name,der die absolute Position in der Domänennamespace-Baumstruktur angibt. Ein FQDN hateinen nachstehenden Punkt (.), um seine Position relativ zum Stamm des Namespace zukennzeichnen. Ein Beispiel ist host.example.microsoft.com.

Hostname – Der DNS-Name eines Hosts oder einer Schnittstelle in einem Netzwerk. Damitein Computer einen anderen finden kann, muss der Name des zu findenden Computersentweder in der Hosts-Datei auf dem suchenden Computer oder auf einem DNS-Servervorhanden sein. Bei den meisten Windows-basierten Computern stimmen Hostname undComputername überein.

Hostnamensauflösung – Der Vorgang des Auflösens eines Hostnamens in eineZiel-IP-Adresse.

Hosts-Datei – Eine lokale Textdatei im gleichen Format wie die Datei /etc/hosts der BSD-UNIX-Version 4.3. Diese Datei weist Hostnamen IP-Adressen zu und ist im Ordner systemroot\System32\Drivers\Etc gespeichert.

Iterative Abfrage – Eine Abfrage an einen DNS-Server, die die bestmögliche Antwort desServers anfordert.

Masterserver – Ein DNS-Server, der für eine Zone autorisierend ist und auch als Quelle fürZoneninformationen für andere, sekundäre Server dient. Ein Masterserver kann entwederein primärer oder ein sekundärer Masterserver sein, abhängig davon, wie er seineZoneninformationen erhält.

Primärer Server – Ein DNS-Server, der für eine Zone autorisierend ist und alsAktualisierungspunkt für die Zone verwendet werden kann. Nur primäre Server könnendirekt zum Verarbeiten von Zonenaktualisierungen aktualisiert werden. Diese schließendas Hinzufügen, Entfernen und Ändern von Ressourcendatensätzen ein, die alsZonendaten gespeichert sind.

Rekursive Abfrage – Eine Abfrage an einen DNS-Server, in der der Server die gesamteArbeitslast und Verantwortung für das Bereitstellen einer vollständigen Antwort auf dieAbfrage übernimmt. Der DNS-Server sendet im Auftrag des Anfordernden separateiterative Abfragen an andere DNS-Server, um die Antwort auf die rekursive Abfrage zuvervollständigen.

Reverse-Lookup – Eine DNS-Abfrage, die einer IP-Adresse einen FQDN zuweist.

Stammdomäne – Der Anfang des DNS-Namespace.

Sekundärer Server – Ein DNS-Server, der für eine Zone autorisierend ist und seineZoneninformationen von einem Masterserver erhält.

Domäne der zweiten Ebene (Second-Level Domain) – Ein DNS-Domänenname, der seinenStamm hierarchisch auf der zweiten Ebene des Domänennamespace hat, direkt unterhalbder Domänen der obersten Ebene . Zu den Domänennamen der obersten Ebene gehören.com und .org. Wenn DNS im Internet verwendet wird, sind Domänen der zweiten EbeneNamen, die auf einzelne Organisationen und Unternehmen registriert und an diesedelegiert sind.

Untergeordnete Domäne – Eine DNS-Domäne, die in der Namespacestruktur direktunterhalb einer anderen Domäne (der übergeordneten Domäne) positioniert ist.Beispielsweise ist example.microsoft.com eine untergeordnete Domäne der Domänemicrosoft.com.

Domänen der obersten Ebene (Top-Level Domains) – Domänennamen, die ihre Stämmehierarchisch auf der ersten Ebene des Domänennamespace haben, direkt unterhalb desStamms (.) des DNS-Namespace. Im Internet werden Domänennamen der oberstenEbene wie .com und .org zum Klassifizieren und Zuweisen von Domänennamen derzweiten Ebene (wie microsoft.com) zu einzelnen Organisationen und Unternehmenverwendet, abhängig vom Typ der Organisation.

Zone – Ein verwaltbarer Bereich der DNS-Datenbank, der von einem DNS-Serververwaltet wird. Eine Zone speichert die Domänennamen und die Daten der Domäne mitentsprechendem Namen, ausgenommen Domänennamen, die in delegiertenuntergeordneten Domänen gespeichert sind.

Zonenübertragung – Die Synchronisierung von autorisierenden DNS-Daten zwischenDNS-Servern. Ein mit einer sekundären Zone konfigurierter DNS-Server fragt zurSynchronisierung seiner Zonendaten regelmäßig seinen Masterserver ab.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 9 – Windows-Unterstützung für DNS

Veröffentlicht: 27. Jun 2005

Zusammenfassung

In diesem Kapitel wird ausführlich beschrieben, wie das Domain Name System (DNS) in Windowsmithilfe der DNS-Client- und DNS-Serverdienste unterstützt wird. Der DNS-Clientdienst ist in denverschiedenen Versionen der Betriebssysteme Microsoft® Windows® XP und MicrosoftWindows Server™ 2003 enthalten. Microsoft Windows Server™ 2003 enthält zusätzlich denDNS-Serverdienst. Um eine DNS-Namensinfrastruktur effektiv zu verwalten und Probleme bei derNamensauflösung in einem Windows-Netzwerk zu beheben, muss ein Netzwerkadministrator mit denFunktionen und der Konfiguration der DNS-Client- und DNS-Serverdienste vertraut sein.

Auf dieser Seite

Zielsetzung

DNS-Clientdienst

DNS-Serverdienst

Konfiguration des DNS-Serverdiensts

Verwenden des Nslookup-Tools

Kapitelzusammenfassung

Kapitelglossar

ZielsetzungNach dem Lesen dieses Kapitels werden Sie zu Folgendem in der Lage sein:

• Beschreiben der Funktionen und Konfiguration des DNS-Clientdiensts

• Beschreiben des Namensauflösungsprozesses des DNS-Clientdiensts

• Benennen und Beschreiben der Funktionen des DNS-Serverdienstes

• Installieren des DNS-Serverdiensts und Konfigurieren der zugehörigen Eigenschaften

• Konfigurieren von DNS-Zonen und Zonenübertragungen

• Delegieren von Zonenverantwortlichkeiten

• Konfigurieren dynamischer DNS-Updates für den DNS-Clientdienst und den DNS-Serverdienst

• Konfigurieren von WINS (Windows Internet Name Service)-Lookup und WINS-Reverse-Lookup

• Beschreiben der Verwendung des Nslookup-Tools

Zum Seitenanfang

DNS-ClientdienstIn Windows Server 2003 und Windows XP ist der DNS-Clientdienst verantwortlich für dieNamensauflösung, das Zwischenspeichern aufgelöster Namen (einschließlich nicht aufgelösterVersuche), das Verfolgen verbindungsspezifischer Domänennamen und das Priorisieren mehrererRessourceneinträge desselben Typs auf Grundlage der IP-Adressen.

In den folgenden Abschnitten wird die Konfiguration des DNS-Clientdiensts und die Namensauflösungdurch den DNS-Clientdienst beschrieben.

DNS-ClientkonfigurationSie können den DNS-Clientdienst durch folgende Verfahren konfigurieren:

• Automatisch, mithilfe von DHCP (Dynamic Host Configuration Protocol) und den zugehörigenOptionen

• Manuell, mithilfe des Netsh-Tools oder über die Eigenschaften der Komponente Internetprotokoll (TCP/IP) im Ordner Netzwerkverbindungen

• Automatisch, für PPP (Point-to-Point-Protokoll)-Verbindungen

In diesem Beitrag

•Übersicht

•Kapitel 1 – Einführung inTCP/IP

•Kapitel 2 – Die Architekturdes TCP/IP Protokollsatzes

•Kapitel 3 – IP-Adressierung

•Kapitel 4 - Subnetzbildung

•Kapitel 5 – IP-Routing

•Kapitel 6 – DHCP (DynamicHost Configuration Protocol)

•Kapitel 7 –Hostnamenauflösung

•Kapitel 8 – Domain NameSystem – Übersicht

•Kapitel 9 –Windows-Unterstützung fürDNS

•Kapitel 10 –End-to-End-Übermittlungüber TCP/IP

•Kapitel 11 - NetBIOS überTCP/IP

•Kapitel 12 – Übersicht überWINS (Windows InternetName Service)

•Kapitel 13 – InternetProtocol Security (IPsec)und Paketfilterung

•Kapitel 14 – VirtuellePrivate Netzwerke

•Kapitel 15 –IPv6-Übergangstechnologien

•Kapitel 16 – Behandeln vonProblemen mit TCP/IP

•Anhang A: IP-Multicast

•Anhang B: Simple Network Management Protocol

•Anhang C: Computersuchdienst

• Automatisch, mithilfe einer Computerkonfigurations-Gruppenrichtlinie

Führen Sie einen der folgenden Schritte aus, um die IP-Adressen der DNS-Server und denDNS-Domänennamen zu ermitteln, die den Verbindungen des Windows Server 2003 oder Windows XPausführenden Computers zugewiesen wurden:

• Verwenden Sie den Befehl ipconfig /all.

• Verwenden Sie den Befehl netsh interface ip show dns.

• Öffnen Sie den Ordner Netzwerkverbindungen, klicken Sie mit der rechten Maustaste auf eine Verbindung, und klicken Sie auf Status. Klicken Sie auf die Registerkarte Support, und klicken Sie dann auf Details.

In den folgenden Abschnitten wird die Konfiguration des DNS-Clientdiensts beschrieben.

DHCP-Konfiguration des DNS-ClientdienstsWie bereits in Kapitel 6 ("Dynamic Host Configuration-Protokoll") beschrieben wurde, stellt DHCP denDHCP-Clients Informationen zur IP-Konfiguration zur Verfügung. Über die DHCP-Option DNS Server(Option 6) können Sie den DHCP-Clients die IPv4-Adressen von DNS-Servern und über dieDHCP-Option DNS-Domänenname (Option 15) können Sie ihnen einen DNS-Domänennamenzuweisen. Der DNS-Clientdienst ignoriert die DHCP-basierten DNS-Einstellungen, wenn in den Eigenschaften der Komponente Internetprotokoll (TCP/IP) die DNS-Server oder der verbindungsspezifische Domänenname manuell konfiguriert sind.

Manuelle Konfiguration des DNS-Clientdiensts über NetzwerkverbindungenWenn Sie den DNS-Clientdienst für eine bestimmte Verbindung über den OrdnerNetzwerkverbindungen manuell konfigurieren möchten, rufen Sie für diese Netzwerkverbindung dieEigenschaften der Komponente Internetprotokoll (TCP/IP) ab. In den Eigenschaften dieser Komponente können Sie die folgenden Einstellungen des DNS-Clientdiensts konfigurieren:

• die Adressen des primären und des alternativen DNS-Servers für die Verbindung

• die Adressen des primären und des alternativen DNS-Servers der alternativen Konfiguration für dieVerbindung

• erweiterte Eigenschaften des DNS-Servers

In Abbildung 9-1 wird die Konfiguration der Adressen des primären und des alternativen DNS-Serversauf der Registerkarte Allgemein dargestellt.

Abbildung 9-1 Primärer und alternativer DNS-Server aufder Registerkarte "Allgemein"Abbildung vergrößern

In diesem Beispiel sind die IPv4-Adressen des primären und des alternativen DNS-Servers für eineVerbindung statisch konfiguriert. Sie können diese Adressen auch manuell für eine Verbindungangeben, die zum automatischen Abrufen einer IPv4-Adresse (mit DHCP) konfiguriert wurde.

Wie in Abbildung 9-2 dargestellt wird, können Sie die IPv4-Adressen eines primären und einesalternativen DNS-Servers auch festlegen, indem Sie eine alternative Konfiguration angeben (bspw. um ein Laptop problemlos im Büro in einem Netzwerk mit DHCP und zu Hause in einem Netzwerk mit

einer statischen IPv4-Konfiguration zu betreiben).

Abbildung 9-2 Primärer und alternativer DNS-Server aufder Registerkarte "Alternative Konfiguration"Abbildung vergrößern

Das Beispiel in Abbildung 9-2 zeigt die typische Konfiguration eines primären DNS-Servers in einemHeimnetzwerk, in dem ein Internetgateway-Gerät (IGD – Internet Gateway Device) verwendet wird.Hierbei dient das IGD für die Computer des Heimnetzwerks als DNS-Server.

Wenn Sie für eine Verbindung die IPv4-Adressen weiterer DNS-Server manuell angeben oderzusätzliche Einstellungen des DNS-Clientdiensts konfigurieren möchten, öffnen Sie den OrdnerNetzwerkverbindungen, klicken Sie mit der rechten Maustaste auf die gewünschte Verbindung, undklicken Sie dann auf Eigenschaften. Klicken Sie anschließend auf Internetprotokoll (TCP/IP), ohne das zugehörige Kontrollkästchen zu deaktivieren, klicken Sie auf Eigenschaften und dann auf die Registerkarte DNS. In Abbildung 9-3 wird die Registerkarte DNS dargestellt.

Abbildung 9-3 Registerkarte "DNS" der erweitertenKonfiguration von "Internetprotokoll (TCP/IP)"Abbildung vergrößern

Auf der Registerkarte DNS können Sie die folgenden Einstellungen konfigurieren:

• DNS-Serveradressen in Verwendungsreihenfolge Listet einen oder mehrere DNS-Server inder vom Computer abgefragten Reihenfolge auf. Wenn Sie mehr als zwei DNS-Server manuell konfigurieren möchten, müssen Sie diese der Liste hinzufügen und die Reihenfolge festlegen.

• Primäre und verbindungsspezifische DNS-Suffixe anhängen Gibt an, ob Sie zum Auflösenunvollständiger Namen den primären und die verbindungsspezifischen DNS-Suffixe verwendenmöchten. Ein unvollständiger Name endet nicht mit einem Punkt, bspw. "dev.example". ImGegensatz hierzu endet ein vollqualifizierter Name mit einem Punkt (bspw. "dev.example.com."). Den primären DNS-Suffix können Sie dem Computer in der Systemsteuerung im Element Systemauf der Registerkarte Computername zuweisen. Verbindungsspezifische DNS-Suffixe werden den einzelnen Verbindungen manuell oder über die DHCP-Option DNS-Domänenname zugewiesen. Weitere Informationen zum Auflösen von Namen finden Sie in diesem Kapitel im Abschnitt"Vorgehensweise bei der Namensauflösung".

• Übergeordnete Suffixe des primären DNS-Suffixes anhängen Legt fest, dass derDNS-Clientdienst beim Auflösen von unvollständigen Hostnamen bis zur zweiten Ebene dieübergeordneten Suffixe des primären DNS-Suffixes verwendet.

• Diese DNS-Suffixe anhängen Legt eine Liste der DNS-Suffixe fest, die bei der Namensauflösunganstelle des primären und der verbindungsspezifischen DNS-Suffixe zu verwenden sind.

• DNS-Suffix für diese Verbindung Legt einen DNS-Suffix für diese Verbindung fest. DerDNS-Clientdienst verwendet den verbindungsspezifischen Suffix, um diese Verbindung auf dem Computer zu identifizieren, während der primäre Suffix verwendet wird, um den Computerunabhängig von der Verbindung zu identifizieren. Wenn Sie einen DNS-Suffix angeben, wird derüber die DHCP-Option DNS-Domänenname abgerufenen DNS-Suffix vom DNS-Clientdienst ignoriert.

• Adressen dieser Verbindung in DNS registrieren Legt fest, dass der DNS-Clientdienst dieIP-Adressen dieser Verbindung mithilfe von dynamischen DNS-Updates unter dem primären Namendes Computers registriert. Der primäre Name setzt sich aus dem Computernamen und demprimären Suffix zusammen.

• DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden Legt fest, dass derDNS-Clientdienst neben dem primären Namen des Computers die IP-Adressen dieser Verbindungmithilfe dynamischer DNS-Updates unter dem Namen der Verbindung registriert. Dieser Name setzt sich aus dem Computernamen und dem verbindungsspezifischen Suffix zusammen.

Manuelle Konfiguration mit NetshSie können die Einstellungen des DNS-Clientdiensts für DNS-Server auch über die Befehlszeilekonfigurieren. Konfigurieren Sie diese Einstellungen für den lokalen Computer oder einenRemotecomputer mit dem Netsh-Tool und dem folgenden Befehl:

netsh interface ip set dns [name=]Zeichenfolge [source=]dhcp|static[addr=]IP-Adresse|none [[register=]none|primary|both]

Für netsh interface ip set dns gelten die folgenden Parameter:

• name ist der im Ordner Netzwerkverbindungen angezeigte Name der Verbindung.

• source ist entweder dhcp (die DNS-Server für diese Schnittstelle werden über DHCP konfiguriert)oder static (die DNS-Server werden lokal statisch konfiguriert).

• addr ist die IPv4-Adresse eines DNS-Servers oder none (die Liste der DNS-Server wird geleert).

• Geben Sie für den Parameter register die Option none an, um die Registrierung über dynamischeDNS-Updates zu deaktivieren, primary, um die Registrierung nur mit dem primären DNS-Suffixdurchzuführen, oder both, um sie mit dem primären DNS-Suffix und dem verbindungsspezifischenSuffix durchzuführen.

Verwenden Sie zum Konfigurieren eines Remotecomputers als letzten Parameter der Befehlszeile den Parameter –r Remotecomputer.

In der Standardeinstellung verwendet der DNS-Clientdienst für alle DNS-Nachrichten IPv4. Wenn Siedie Komponente Microsoft TCP/IP Version 6 installiert haben und Ihre DNS-Server IPv6-fähig sind,können Sie den DNS-Clientdienst mit den IPv6-Adressen der DNS-Server konfigurieren, sodass füralle DNS-Nachrichten IPv6 verwendet wird. Verwenden Sie den folgenden Befehl:

netsh interface ipv6 add dns interface=Name oder Index address=IPv6-Adresseindex=Vorrangsstufe

Für netsh interface ipv6 add dns gelten die folgenden Parameter:

• interface ist der im Ordner Netzwerkverbindungen angezeigte Name der Verbindung oder der IPv6-Schnittstellenindex.

• address ist die IPv6-Adresse eines DNS-Servers.

• index ist eine Zahl, die die Vorrangstufe eines bestimmten DNS-Servers angibt. Mit der Indexnummer können Sie die Reihenfolge der DNS-Server festlegen. Der DNS-Server mit derhöchsten Vorrangstufe wird zuerst verwendet.

Konfiguration für RAS-ClientsDFÜ- oder VPN-basierte RAS-Clients, auf denen Windows XP oder Windows Server 2003 ausgeführtwird, erhalten die Ausgangskonfiguration für den primären und den alternativen DNS-Server bei derAushandlung der PPP-Verbindung (Point-to-Point-Protokoll). Die PPP-Aushandlung umfasst entsprechend RFC 1877 die IPCP (Internet Protocol Control-Protokoll)-Optionen PrimäreDNS-Serveradresse und Sekundäre DNS-Serveradresse.

Weiterhin verwenden RAS-Clients, auf denen Windows XP oder Windows Server 2003 ausgeführt wird,eine DHCPInform-Nachricht, um eine aktualisierte Liste der DNS-Server und denDNS-Domänennamen abzurufen. Wenn auf dem RAS-Server, auf dem Windows Server 2003ausgeführt wird, die Routingprotokollkomponente DHCP-Relay-Agent ordnungsgemäß konfiguriertist, wird die DHCPInform-Nachricht an einen DHCP-Server weitergeleitet und die Antwort (eine DHCPAck-Nachricht) an den RAS-Client zurückgeliefert.

Wenn der RAS-Client eine Antwort auf die DHCPInform-Nachricht empfängt, werden die bei derAushandlung der PPP-Verbindung konfigurierten DNS-Server durch die in der DHCPAck-Nachricht enthalten DNS-Server ersetzt.

Konfiguration von DNS-Einstellungen mit einer GruppenrichtlinieSie können DNS-Einstellungen auch mit einer Computerkonfigurations-Gruppenrichtlinie und demGruppenrichtlinienobjekt-Editor-Snap-In konfigurieren. Mit diesem Snap-In können SieGruppenrichtlinienobjekte für Systemcontainer (z. B. Sites, Domänen oder Organisationseinheiten)innerhalb des Active Directory®-Verzeichnissystems ändern. Öffnen Sie zum Konfigurieren vonDNS-Einstellungen das Gruppenrichtlinienobjekt-Editor-Snap-In, und klicken Sie wie in Abbildung 9-4dargestellt in der Struktur auf den Knoten Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client.

Abbildung 9-4 DNS-Einstellungen in einerComputerkonfigurations-GruppenrichtlinieAbbildung vergrößern

Gruppenrichtlinienbasierte DNS-Einstellungen überschreiben die entsprechenden Einstellungen, dieauf dem lokalen Computer oder mit DHCP konfiguriert wurden.

Vorgehensweise bei der NamensauflösungWenn eine Anwendung die Windows-Socketfunktionen getaddrinfo() oder gethostbyname() verwendet, führt die Auflösungskomponente des DNS-Clientdiensts die in Kapitel 7("Hostnamensauflösung") beschriebene Namensauflösung durch. Der DNS-Clientdienst überprüft denlokalen Hostnamen und den lokalen Auflösungscache des DNS-Clients und sendet anschließendDNS-Name Query Request-Nachrichten.

Wenn die DNS-Namensauflösung fehlschlägt und der Name aus mehr als 15 Byte besteht, schlägt dieNamensauflösung fehl und TCP/IP für Windows meldet der Anwendung die Fehlerbedingung. Wenn derName höchstens 15 Byte lang ist, wird vom Auflösungsprogramm überprüft, ob NetBIOS über TCP/IPaktiviert ist. Ist dies nicht der Fall, schlägt die Auflösung fehl. Wenn NetBIOS aktiviert ist, wird derName vom Auflösungsprogramm in einen NetBIOS-Namen umgewandelt und eineNetBIOS-Namensauflösung gestartet.

Bevor das Auflösungsprogramm DNS-Name Query Request-Nachrichten sendet, wird der Typ desaufzulösenden Namens ermittelt. Eine Anwendung kann einen der folgenden Namenstypen übergeben:

• Vollqualifizierte Domänennamen (FQDN)

Mit einem Punkt endende Namen, die den Namen relativ zur Stammdomäne des DNS angeben.Beispiel: host7.example.com.

• Unvollständige Domänennamen mit einer Bezeichnung

Nur aus einer Bezeichnung bestehende Namen, die keine Punkte enthalten. Beispiel: host7

• Unvollständige Domänennamen mit mehreren Bezeichnungen

Aus mehreren Bezeichnungen bestehende Namen, die mindestens einen Punkt enthalten, jedoch nicht mit einem Punkt enden. Beispiele: host7.example oder example.com

Namensauflösung für FQDNsWenn die Anwendung einen FQDN angibt, fragt das Auflösungsprogramm diesen Namen im DNS ab.Andere Kombinationen werden nicht verwendet.

Namensauflösung für unvollständige Domänennamen mit einer BezeichnungWenn die Anwendung einen unvollständigen Domänennamen mit einer Bezeichnung angibt, wandeltdas Auflösungsprogramm diesen Namen in FQDNs um, indem nacheinander verschiedene DNS-Suffixeund ein Punkt angefügt werden, und überträgt diese FQDNs zur Namensauflösung an das DNS. DieVorgehensweise, nach der das Auflösungsprogramm die DNS-Suffixe an den unvollständigenDomänennamen mit einer Bezeichnung anfügt, können Sie in der Komponente Internetprotokoll (TCP/IP) im Dialogfeld Erweiterte TCP/IP-Einstellungen auf der Registerkarte DNS mit denKontrollkästchen Primäre und verbindungsspezifische DNS-Suffixe anhängen und Diese DNS-Suffixe anhängen steuern.

Wenn das Kontrollkästchen Primäre und verbindungsspezifische DNS-Suffixe anhängenaktiviert ist, werden vom Auflösungsprogramm jeweils die folgenden Namen angefügt und einzelneAbfragen gesendet:

• Der primäre DNS-Suffix, der in der Systemsteuerung im Element System auf der Registerkarte Computername angegeben wurde.

• Die einzelnen verbindungsspezifischen DNS-Suffixe, die für die einzelnen Verbindungen imDialogfeld Erweiterte TCP/IP-Einstellungen auf der Registerkarte DNS im Feld DNS-Suffix fürdiese Verbindung angegeben oder diesen mit DHCP zugewiesen wurden.

Wenn der Name nach wie vor nicht erfolgreich aufgelöst werden kann und das KontrollkästchenÜbergeordnete Suffixe des primären DNS-Suffixes anhängen aktiviert ist, werden vomAuflösungsprogramm neue FQDNs erzeugt, indem dem unvollständigen Domänennamen mit einerBezeichnung ausgehend vom primären DNS-Suffixnamen nacheinander der jeweils übergeordneteSuffix angefügt wird. Dieser Vorgang wird beim Domänennamen zweiter Ebene abgebrochen. DieserVorgang wird als Name Devolution (Namensumwandlung) bezeichnet. Wenn die Anwendung beispielsweise den Namen emailsrv7 angibt und der primäre DNS-Suffixmktg.central.example.com. ist, versucht das Auflösungsprogramm die FQDNsemailsrv7.central.example.com. und emailsrv7.example.com. aufzulösen.

Wenn der Name nach wie vor nicht erfolgreich aufgelöst werden kann und das Kontrollkästchen Diese DNS-Suffixe anhängen aktiviert ist, werden vom Auflösungsprogramm nacheinander mithilfe derSuffixe in der Suchliste FQDNs erstellt und an den DNS-Server übertragen, bis dasAuflösungsprogramm eine Entsprechung findet oder das Ende der Liste erreicht ist. Wenn dieAnwendung beispielsweise den Namen filesrv11 angibt und die DNS-Suffixliste aus den Einträgenadmin.wcoast.example.com., admin.ecoast.example.com. und admin.central.example.com.besteht, versucht das Auflösungsprogramm die FQDNs filesrv11.admin.wcoast.example.com., filesrv11.admin.ecoast.example.com. und filesrv11.admin.central.example.com. aufzulösen.

Namensauflösung für unvollständige Domänennamen mit mehreren BezeichnungenWenn eine Anwendung einen unvollständigen Domänennamen mit mehreren Bezeichnungen angibt,geht das DNS-Auflösungsprogramm zum Auflösen des Namens auf dieselbe Weise vor, die bei einemunvollständigen Domänennamen mit einer Bezeichnung verwendet wird.

Vorrang für IPv6-Adressen Wenn ein DNS-Server mit einer DNS-Name Query Response-Nachricht antwortet, die IPv4- und IPv6-Adressen enthält, und auf dem DNS-Client das IPv6-Protokoll installiert ist, gibt dasAuflösungsprogramm zunächst die IPv6-Adressen an die Anwendung zurück.

Zum Seitenanfang

DNS-ServerdienstDer DNS-Serverdienst von Windows Server 2003 unterstützt die folgenden Funktionen:

• Einen zu Internetstandards kompatiblen DNS-Server

DNS ist ein offenes Protokoll und wird durch mehrere RFCs der Internet Engineering Task Force (IETF) standardisiert. Der DNS-Serverdienst von Windows Server 2003 unterstützt und befolgtdiese Standardspezifikationen.

• Interoperabilität mit anderen DNS-Serverimplementierungen

Da der DNS-Serverdienst RFC-kompatibel ist und für die DNS-Datendatei und RessourceneinträgeStandardformate verwendet, kann er erfolgreich mit den meisten anderen DNS-Serverimplementierungen zusammenarbeiten, bspw. mit solchen, die BIND-Software (Berkeley Internet Name Domain) verwenden.

• Unterstützung für Active Directory

Für die Unterstützung von Active Directory ist DNS erforderlich. Wenn Sie einen Server als ActiveDirectory-Domänencontroller einrichten, können Sie auf diesem Server automatisch denDNS-Serverdienst installieren und konfigurieren.

• Verbesserungen für DNS-Zonenspeicherung in Active Directory

DNS-Zonen können in den Domänen- oder Anwendungsverzeichnispartitionen von Active Directorygespeichert werden. Eine Partition ist eine in Active Directory gespeicherte Datenstruktur, die fürverschiedene Replikationszwecke verwendet wird. Sie können angeben, in welcher ActiveDirectory-Partition die Zone gespeichert wird und daraus folgend, zwischen welchenDomänecontrollern die Daten der Zone repliziert werden.

• Bedingte Weiterleitung

Der DNS-Serverdienst erweitert die Standardweiterleitung um zusätzliche Funktionen für diebedingte Weiterleitung. Ein DNS-Server, der eine DNS-Abfrage abhängig vom in der Abfrageverwendeten DNS-Domänennamen weiterleitet, wird als bedingte Weiterleitung bezeichnet.Beispielsweise können Sie einen DNS-Server konfigurieren, dass die an ihn gerichteten Abfragennach Namen, die mit wcoast.example.com enden, an einen oder mehrere DNS-Server weitergeleitet werden.

• Stubzonen

DNS unterstützt den neuen Zonentyp Stubzone. Eine Stubzone ist eine Kopie einer Zone, die nurdie Ressourceneinträge enthält, die zum Identifizieren der für diese Zone autorisierendenDNS-Server erforderlich sind. Ein DNS-Server, der eine übergeordnete Zone und eine Stubzone füreine delegierte untergeordnete Zone dieser übergeordneten Zone verwaltet, kann von denautorisierenden DNS-Servern Aktualisierungen für die untergeordnete Zone empfangen.

• Integration in andere Microsoft-Netzwerkdienste

Der DNS-Serverdienst kann in andere Dienste integriert werden. Außerdem bietet er über die inden DNS-RFCs angegebenen Funktionen hinausgehende Features. Dazu zählen die Integration inActive Directory, WINS und DHCP.

• Einfachere Verwaltung

Das DNS-Snap-In bietet eine grafische Benutzeroberfläche zum Verwalten des DNS-Serverdiensts.Weiterhin stehen Ihnen für die Durchführung allgemeiner Aufgaben der Serververwaltungverschiedene Konfigurations-Assistenten zur Verfügung.

Sie können die meisten Aufgaben, die Sie mit dem DNS-Snap-In durchführen können, auch mitdem Befehlszeilenprogramm Dnscmd durchführen. Außerdem können Sie mit Dnscmd auch Skriptsschreiben und Remote-DNS-Server verwalten. Dnscmd ist eines der Windows-Supporttools, die Sie von der Windows Server 2003-Produkt-CD aus dem Ordner \Support\Tools installieren können.

• RFC-kompatible Unterstützung des Protokolls für das dynamische DNS-Update

Der DNS-Serverdienst ermöglicht den Clients auf Grundlage des in RFC 2136 definierten Protokollsfür das dynamische DNS-Update, Adress- und Zeigerressourceneinträge dynamisch zuaktualisieren. Durch das dynamische DNS-Update ist das manuelle Verwalten von DNS-Adress- und Zeigereinträgen nicht mehr erforderlich. Computer, auf denen Windows Server 2003 oderWindows XP ausgeführt wird, können ihre DNS-Namen und IP-Adressen dynamisch registrieren.

• Unterstützung von sicheren dynamischen Updates für in Active Directory integrierte Zonen

Sie können in Active Directory integrierte Zonen so konfigurieren, dass sichere dynamische Updatesverwendet werden. Bei sicheren dynamischen Updates können nur autorisierte ComputerRessourceneinträge ändern.

• Unterstützung für inkrementelle Zonenübertragungen zwischen Servern

DNS-Server verwenden Zonenübertragungen, um Informationen über einen Teil desDNS-Namespaces zu replizieren. Der DNS-Serverdienst repliziert durch inkrementelleZonenübertragungen nur die geänderten Teile einer Zone und spart dadurch Netzwerkbandbreite.

• Unterstützung neuer Ressourceneintragstypen

Der DNS-Serverdienst unterstützt mehrere neue Ressourceneintragstypen, z. B. dieRessourceneinträge SRV (Service Location – Dienstidentifizierung) und ATMA (AsynchronousTransfer Mode Address – Asynchrone Übertragungsmodusadresse). Durch diese Typen wird dieVerwendung von DNS als Namensdatenbankdienst erweitert.

• Unterstützung des Alterns und Aufräumens von Einträgen

Der DNS-Dienst unterstützt das Altern und Aufräumen von Einträgen. Wenn diese Funktionaktiviert ist, werden veraltete Einträge aus dem DNS entfernt.

Die Active Directory- und DNS-Integration wird auf Computern, auf denen das Betriebssystem Microsoft Windows Server 2003, Web Edition, ausgeführt wird, nicht unterstützt.

Installieren des DNS-ServerdienstsSie können den DNS-Serverdienst unter Windows Server 2003 folgendermaßen installieren:

• Als Windows-Komponente über das Systemsteuerungselement Software

• Mit dem Assistenten zum Installieren von Active Directory (Dcpromo.exe)

• Mit dem Serververwaltungs-Assistenten

Gehen Sie folgendermaßen vor, um den DNS-Serverdienst über das Element Software zu installieren:

1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Software, und klicken Sie dann auf Windows-Komponenten hinzufügen/entfernen.

2. Aktivieren Sie unter Komponenten das Kontrollkästchen Netzwerkdienste, und klicken Sie dann auf Details.

3. Aktivieren Sie unter Unterkomponenten von Netzwerkdienste das KontrollkästchenDomain Name System (DNS), klicken Sie auf OK und anschließend auf Weiter.

4. Geben Sie nach einer eventuellen Aufforderung im Feld Dateien kopieren von denvollständigen Pfad zu den Dateien der Windows Server 2003-Distribution ein, und klicken Siedann auf OK.

Damit Sie diesen Vorgang durchführen können, müssen Ihnen die entsprechenden Rechte zugewiesensein oder Sie müssen sich als Mitglied der Gruppe Administratoren am lokalen Computer anmelden. Wenn der Computer einer Domäne beigetreten ist, kann dieser Vorgang möglicherweise auch von denMitgliedern der Gruppe Domänen-Admins durchgeführt werden.

Nach der Installation des DNS-Serverdiensts können Sie sich mit der Konfiguration des Diensts undseinen Zonen befassen. Informationen über Zonen und den Startvorgang des DNS-Serverdiensts sindin lokalen Textdateien enthalten, und Sie können diese Informationen mit einem Text-Editoraktualisieren. Diese Methode wird in diesem Kapitel jedoch nicht näher erläutert. Sie sollten nachMöglichkeit das DNS-Snap-In und das Befehlszeilenprogramm Dnscmd verwenden, da diese dieVerwaltung des DNS-Serverdiensts vereinfachen. Es wird nicht empfohlen, die Textdateien manuell zu bearbeiten, wenn Sie den DNS-Serverdienst bereits mit dem Snap-In oder über die Befehlszeileverwalten.

DNS und Active DirectoryDurch die Integration von DNS und Active Directory wird Active Directory-Operationen ein Standortdienst zur Verfügung gestellt und DNS-Zonen werden in Active Directory gespeichert.Dadurch werden die Sicherheits- und Replikationsvorteile von Active Directory genutzt.

Ein Verzeichnis ist eine hierarchische Struktur, in der Informationen über die im Netzwerkvorhandenen Objekte gespeichert werden. Ein Verzeichnisdienst wie Active Directory bietet Methoden, mit denen Verzeichnisdaten gespeichert und den Benutzern und Administratoren des Netzwerks zurVerfügung gestellt werden können. Active Directory speichert beispielsweise Informationen überBenutzerkonten (Namen, Standorte, Telefonnummern usw.) und ermöglicht autorisierten Benutzernim selben Netzwerk den Zugriff auf diese Daten.

Active Directory-StandortdienstActive Directory muss zum Speichern verschiedener Typen von DNS-Ressourceneinträge DNSverwenden, damit Active Directory-Clients und -Domänencontroller einander finden und verschiedeneArten von Domänenoperationen durchführen können.

Beispielsweise verwendet ein startender Active Directory-Client zum Durchzuführen von Anmelde- undAuthentifizierungsfunktionen DNS-Abfragen, um den nächsten Active Directory-Domänencontroller anseinem Standort zu finden. Um diesen Standortdienst für Active Directory-Clients einzurichten,müssen auf den DNS-Servern, die die Active Directory-Clients verwenden, die folgenden Einträgevorhanden sein:

• der SRV-Dienstressourceneintrag _ldap._tcp.dc._msdcs.DNS-Domänenname

• die A-Adressressourceneinträge für die DNS-Namen der Domänencontroller, die im Datenfeld derSRV-Ressourceneinträge _ldap._tcp.dc._msdcs.DNS-Domänenname angegeben sind

Wenn Sie einen DNS-Server mit dem Assistenten zum Installieren von Active Directory installieren, werden diese Einträge automatisch hinzugefügt.

Speicherung von in Active Directory integrierten ZonenWenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird, stehen Ihnen nach derInstallation von Active Directory die beiden folgenden Optionen zum Speichern und Replizieren von Zonen zur Verfügung:

• Standardzonenspeicherung in textbasierten Dateien

Die Zonen befinden sich in DNS-Dateien, die im Ordner Systemstamm\System32\Dnsgespeichert werden. Der Dateiname einer Zonendatei entspricht hierbei dem Stammnamen der Zone. Beispielsweise wird für die Zone wcoast.example.com. die Datei wcoast.example.com.dns verwendet.

• Verzeichnisintegrierte Zonenspeicherung in der Active Directory-Datenbank

Die Zonen befinden sich in der Active Directory-Struktur unter der Domänen- oderAnwendungsverzeichnispartition. Jede verzeichnisintegrierte Zone wird in einem dnsZone-Containerobjekt gespeichert, das dem Stammnamen der Zone entspricht.

Für Netzwerke, die DNS zur Unterstützung von Active Directory einsetzen, sind verzeichnisintegrierteprimäre Zonen sehr zu empfehlen, da sie die folgenden Vorteile bieten:

• Aufbauend auf den Fähigkeiten von Active Directory können Zonen Updates mit mehreren Masternund verbesserte Sicherheitsfunktionen verwenden.

In einem Standardzonenspeicherungsmodell erfolgen DNS-Updates auf Grundlage eines Aktualisierungsmodells mit einem Master. In diesem Modell wird für eine Zone ein autorisierenderDNS-Server als der primäre Server festgelegt. Dieser Server verwaltet die Masterkopie der Zone ineiner lokalen Datei. Bei diesem Modell stellt der primäre Server der Zone einen Single Point ofFailure (SPOF) dar. Wenn dieser Server nicht verfügbar ist, werden dieAktualisierungsanforderungen von DNS-Clients für diese Zone nicht verarbeitet.

Bei der verzeichnisintegrierten Speicherung erfolgen DNS-Updates auf Grundlage eines Aktualisierungsmodells mit mehreren Mastern. In diesem Modell werden alle autorisierenden DNS-Server (z. B. ein Domänencontroller, auf dem ein DNS-Server ausgeführt wird) als primäreQuelle für die Zone festgelegt. Da die Masterkopie der Zone in der Active Directory-Datenbankverwaltet wird, die vollständig auf allen Domänencontrollern repliziert wird, können die auf denDomänencontrollern für diese Domäne ausgeführten DNS-Server die Zone aktualisieren.

• Zonen werden beim Hinzufügen einer Zone zu einer Active Directory-Domäne automatisch auf neueDomänencontroller repliziert und mit diesen synchronisiert.

Zwar können Sie den DNS-Serverdienst gezielt von einem Domänencontroller entfernen,verzeichnisintegrierte Zonen werden jedoch auf allen Domänencontrollern gespeichert, sodass dieSpeicherung und Verwaltung von Zonen keine zusätzlichen Ressourcen verbraucht. Außerdembieten die zum Synchronisieren verzeichnisgespeicherter Informationen verwendeten Methoden eine bessere Leistung gegenüber den Standardzonenaktualisierungsmethoden, bei denen eserforderlich sein kann, die gesamte Zone zu übertragen.

• Die Planung der Datenbankreplikation für Ihr Netzwerk wird vereinfacht, indem Sie die Speicherungder DNS-Zonendatenbanken in Active Directory integrieren.

Wenn Ihr DNS-Namespace und Ihre Active Directory-Domänen einzeln gespeichert und repliziertwerden, müssen Sie jede Domäne einzeln planen und wahrscheinlich auch einzeln verwalten.Beispielsweise müssten Sie zwei verschiedene Datenbankreplikationstopologien entwerfen,implementieren, testen und verwalten, wenn Sie DNS-Standardzonenspeicherung und Active Directory zusammen verwenden. Sie würden eine Replikationstopologie für das Replizieren vonVerzeichnisdaten zwischen Domänencontrollern und eine zweite Topologie für das Replizieren vonZonendatenbanken zwischen DNS-Servern benötigen. Bei der in Active Directory integriertenDNS-Zonenspeicherung müssen Sie nur die Active Directory-Replikation entwerfen und verwalten.

• Die Verzeichnisreplikation ist schneller und effizienter als die DNS-Standardreplikation.

Da die Active Directory-Replikation auf Grundlage einzelner Eigenschaften durchgeführt wird,werden nur relevante Änderungen weitergegeben. Deshalb wird in der Replikationstopologie beimSynchronisieren von Änderungen für verzeichnisgespeicherte Zonen weniger Netzwerkverkehrübertragen.

Im Verzeichnis können nur primäre Zonen gespeichert werden. Ein DNS-Server kann keinesekundären Zonen in Active Directory speichern. Diese müssen in Standardtextdateien gespeichertwerden. Wenn alle Zonen in Active Directory gespeichert werden, sind sekundäre Zonen durch dasActive Directory-Replikationsmodell mit mehreren Mastern nicht mehr erforderlich. Wenn alle DNS-Server in Ihrem Unternehmen auch Domänencontroller sind, dienen alle DNS-Server für alleZonen als primäre Server.

Zum Seitenanfang

Konfiguration des DNS-ServerdienstsDie Konfiguration des DNS-Serverdiensts besteht aus verschiedenen Eigenschaften für denDNS-Server und Zonendateien für Forward- und Reverse-Lookup.

Eigenschaften des DNS-ServersÖffnen Sie zum Ändern der Eigenschaften eines DNS-Servers das DNS-Snap-In, klicken Sie mit der

rechten Maustaste in der Struktur auf den Namen des Servers, und klicken Sie dann auf Eigenschaften. Abbildung 9-5 zeigt ein Beispiel für das anschließend angezeigte DialogfeldEigenschaften von Servername.

Abbildung 9-5 Eigenschaftendialogfeld einesDNS-ServersAbbildung vergrößern

In diesem Dialogfeld können Sie auf den folgenden Registerkarten verschiedene Eigenschaftenkonfigurieren:

• Schnittstellen Sie können die IPv4-Adressen angeben, auf denen der DNS-Serverdienst aufeingehende DNS-Nachrichten wartet. Sie können alle dem DNS-Server zugewiesenenIPv4-Adressen oder einzelne Adressen (und somit Schnittstellen) angeben, auf denen Sie DNS-Verkehr als DNS-Server empfangen möchten.

• Weiterleitungen Sie können das Weiterleitungsverhalten des DNS-Servers festlegen,einschließlich der Fähigkeit, auf Grundlage eines spezifischen Domänennamens weiterzuleiten(bedingte Weiterleitung), der Liste der IP-Adressen, an die der Server DNS-Verkehr weiterleiten soll, dem Timeoutverhalten und der Einstellung, ob für alle Domänen rekursive Abfragen verwendetwerden sollen.

• Erweitert Sie können verschiedene Optionen (z. B. Round-Robin- und Subnetzpriorisierung), dasDatenformat zum Überprüfen von Namen, den Speicherort der Zonendaten (Active Directory oderlokale Dateien) und die Aufräumeinstellungen festlegen.

• Stammhinweise Sie können die Stammdomänenserver konfigurieren, die dieser DNS-Server beiiterativen Abfragen verwendet. Auf der Registerkarte Stammhinweise vorgenommeneÄnderungen werden in der Datei Cache.dns gespeichert, die sich im Ordner Systemstamm\System32\Dns befindet. Verwalten Sie die Liste der Stammdomänenserver überdie Registerkarte Stammhinweise. Es wird nicht empfohlen, die Datei Cache.dns mit einem Text-Editor zu bearbeiten.

• Debugprotokollierung Sie können verschiedene Optionen für die DNS-Debugprotokolldateiaktivieren und konfigurieren. Diese Datei können Sie bei der Problembehandlung vonDNS-Problemen verwenden. Die DNS-Debugprotokolldatei wird unter Systemstamm\System32\Dns\Dns.log gespeichert. In der Standardeinstellung ist die Debugprotokollierung deaktiviert.

• Ereignisprotokollierung Sie können die Protokollierungsstufe für die im DNS-Ereignisprotokollgespeicherten Informationen angeben, die Sie mit dem Ereignisanzeige-Snap-In anzeigen können.In der Standardeinstellung werden alle Ereignisse protokolliert.

• Überwachung Sie können einfache Diagnosefunktionen ausführen, um die ordnungsgemäßeKonfiguration und Ausführung des DNS-Servers sicherzustellen, z. B. bei Bedarf oder in einemfestgelegten Intervall rekursive und iterative Abfragen ausführen.

• Sicherheit Sie können für die Verwaltung von DNS-Servern Zugriffskontrolllisten (ACL – AccessControl Lists) angeben. Weitere Informationen zu Zugriffskontrolllisten finden Sie in "Hilfe undSupport in Windows Server 2003".

Verwalten von ZonenSie können mit dem DNS-Snap-In zwei Haupttypen von Zonen verwalten:

• Forward-Lookupzonen

• Reverse-Lookupzonen

Forward-LookupzonenUm mit dem DNS-Snap-In eine Forward-Lookupzone zu erstellen, öffnen Sie das Snap-In, klicken Siein der Struktur mit der rechten Maustaste auf den Knoten Forward-Lookupzonen, und klicken Sie dann auf Neue Zone. Der Assistent zum Erstellen neuer Zonen wird gestartet und führt Sie durch dieErstellung einer Forward-Lookupzone. In diesem Assistenten müssen Sie die folgenden Fragenbeantworten:

• Möchten Sie eine primäre, eine sekundäre oder eine Stubzone erstellen?

• Möchten Sie die Zone in Active Directory speichern?

• Bei Speicherung in Active Directory: Möchten Sie die Zone mit allen DNS-Servern derGesamtstruktur, mit allen DNS-Servern der Domäne oder mit allen Domänencontrollern derDomäne replizieren?

• Welchen FQDN möchten Sie für die Zone verwenden?

• Möchten Sie dynamische Updates, nur sichere dynamische Updates oder beide Arten von Updatesgestatten?

• Bei sekundären und Stubzonen: Von welchen (durch die IPv4-Adresse angegebenen)Master-Namenservern soll der DNS-Serverdienst die Zonendaten abrufen?

Um die Eigenschaften einer Forward-Lookupzone zu ändern, öffnen Sie das DNS-Snap-in, klicken Siein der Struktur mit der rechten Maustaste im Ordner Forward-Lookupzonen auf die Zone, und klicken Sie dann auf Eigenschaften. Abbildung 9-6 zeigt ein Beispiel des anschließend angezeigtenDialogfelds Eigenschaften von Name der Forward-Zone.

Abbildung 9-6 Eigenschaftendialogfeld einerForward-LookupzoneAbbildung vergrößern


• Allgemein Sie können den Zustand der Zone (ausgeführt oder angehalten), den Typ der Zone(primär, sekundär oder Stub), den Replikationsbereich und das Verhalten für dynamische Updatessowie Altern und Aufräumen angeben.

• Autoritätsursprung (SOA) Sie können die Parameter des SOA-Ressourceneintrags für die Zoneanzeigen oder angeben.

• Namenserver Sie können die Namenserver-Ressourceneinträge (NS) für die Zone anzeigen undändern.

• WINS Sie können das WINS-Lookupverhalten angeben. Weitere Informationen finden Sie indiesem Kapitel unter "DNS- und WINS-Integration".

• Zonenübertragungen Sie können das Zonenübertragungsverhalten für die Zone angeben (obZonenübertragungen gestattet werden, an welche Server sowie die Benachrichtigungsliste).

• Sicherheit Sie können Zugriffskontrolllisten für die Zonenverwaltung angeben.

Reverse-LookupzonenUm mit dem DNS-Snap-In eine Reverse-Lookupzone zu erstellen, öffnen Sie das Snap-In, klicken Siein der Struktur mit der rechten Maustaste auf den Knoten Reverse-Lookupzonen, und klicken Sie dann auf Neue Zone. Der Assistent zum Erstellen neuer Zonen wird gestartet und führt Sie durch dieErstellung einer Reverse-Lookupzone. In diesem Assistenten müssen Sie die folgenden Fragenbeantworten:

• Möchten Sie eine primäre, eine sekundäre oder eine Stubzone erstellen?

• Möchten Sie die Zone in Active Directory speichern?

• Bei Speicherung in Active Directory: Möchten Sie die Zone mit allen DNS-Servern derGesamtstruktur, mit allen DNS-Servern der Domäne oder mit allen Domänencontrollern derDomäne replizieren?

• Welche IPv4-Netzwerkkennung (bis zum dritten Oktett) oder welchen Reverse-Lookupzonennamenmöchten Sie verwenden?

• Möchten Sie dynamische Updates gestatten, und werden nur sichere dynamische Updatesgestattet?

• Bei sekundären und Stubzonen: Von welchen (durch die IPv4-Adresse angegebenen)Master-Namenservern soll der DNS-Serverdienst die Zonendaten abrufen?

Um die Eigenschaften einer Reverse-Lookupzone zu ändern, öffnen Sie das DNS-Snap-in, klicken Siein der Struktur mit der rechten Maustaste im Ordner Reverse-Lookupzonen auf die Zone, und klicken Sie dann auf Eigenschaften. Abbildung 9-6 zeigt ein Beispiel des anschließend angezeigtenDialogfelds Eigenschaften von Name der Reverse-Zone.

Abbildung 9-7 Eigenschaftendialogfeld einerReverse-LookupzoneAbbildung vergrößern


• Allgemein Sie können den Zustand der Zone (ausgeführt oder angehalten), den Typ der Zone(primär, sekundär oder Stub), den Replikationsbereich und das Verhalten für dynamische Updatessowie Altern und Aufräumen angeben.

• Autoritätsursprung (SOA) Sie können die Parameter des SOA-Ressourceneintrags für die Zoneanzeigen oder angeben.

• Namenserver Sie können die Namenserver-Ressourceneinträge (NS) für die Zone anzeigen undändern.

• WINS-R Sie können das WINS-Reverse-Lookupverhalten angeben. Weitere Informationen findenSie in diesem Kapitel unter "DNS- und WINS-Integration".

• Zonenübertragungen Sie können das Zonenübertragungsverhalten für die Zone angeben (obZonenübertragungen gestattet werden, an welche Server sowie die Benachrichtigungsliste).

• Sicherheit Sie können Zugriffskontrolllisten für die Zonenverwaltung angeben.

Die Erstellung von Reverse-Lookupzonen für IPv6-Adressen in der Domäne ip6.int wird vom DNS-Snap-In in Windows Server 2003 nicht unterstützt. Erstellen Sie diese mit dem Dnscmd-Tool.

DelegierungUm eine Delegierung durchzuführen, öffnen Sie das DNS-Snap-In, klicken Sie mit der rechtenMaustaste in der Struktur auf die übergeordnete Zone, und klicken Sie dann auf Neue Delegierung. Der Assistent zum Erstellen neuer Delegierungen wird gestartet und führt Sie durch die Erstellungeiner Delegierung sowie der Verbindungsdatensätze für eine einer vorhandenen Domäneuntergeordneten Domäne. In diesem Assistenten müssen Sie die folgenden Einstellungen festlegen:

• Den Namen der zu delegierenden Domäne.

• Den FQDN und die IPv4-Adressen der DNS-Server, an die die Domäne delegiert wird.

Um die Delegierung abzuschließen, erstellen Sie auf den im Assistenten zum Erstellen neuerDelegierungen angegebenen Servern die delegierten Domänenzonen.

ZonenübertragungenSie können Zonenübertragungen im Eigenschaftendialogfeld der Zone auf der RegisterkarteZonenübertragungen konfigurieren. Abbildung 9-8 zeigt ein Beispiel der RegisterkarteZonenübertragungen für eine Forward-Lookupzone.

Abbildung 9-8 Registerkarte 'Zonenübertragungen' einerForward-Lookupzone

Auf der Registerkarte Zonenübertragungen können Sie die folgenden Einstellungen konfigurieren:

• Ob Zonenübertragungen für die Zone gestattet werden.

• Die Server, auf die Zonenübertragungen gestattet werden. Sie können festlegen, dass alle Server,nur die auf der Registerkarte Namenserver aufgelisteten Server oder die mit IPv4-Adressenaufgeführten Server verwendet werden.

• Die Benachrichtigungsliste (zu öffnen über die Schaltfläche Benachrichtigen), in der Sie die Server auf der Registerkarte Namenserver oder spezifische mit der IPv4-Adresse aufgeführteServer angeben können.

RessourceneinträgeDer DNS-Serverdienst speichert Ressourceneinträge in den entsprechenden Containern einer Zone.Sie können die folgenden üblichen Ressourceneinträge manuell konfigurieren:

• IPv4-Adresseinträge

• IPv6-Adresseinträge

• Zeigereinträge

IPv4-AdresseinträgeUm einen IPv4-Adresseintrag (auch bekannt als A-Adresseintrag) manuell hinzuzufügen, öffnen Siedas DNS-Snap-In, klicken Sie in der Struktur mit der rechten Maustaste auf die entsprechende Forward-Lookupzone, und klicken Sie dann auf Neuer Host (A). Geben Sie im Dialogfeld Neuer Hostden Hostteil des Domänennamens und seine IPv4-Adresse ein. Sie können auch den zugehörigenPTR-Eintrag automatisch erstellen, eine nicht autorisierte Aktualisierung des Eintrags gestatten unddie Time-to-Live (TTL – Lebensdauer) für die A- und PTR-Einträge angeben.

Computer, auf denen Windows Server 2003 oder Windows XP ausgeführt wird, fügen über dynamischeUpdates die Ressourceneinträge ihrer IPv4-Hostadresse automatisch hinzu. Weitere Informationenfinden Sie in diesem Kapitel unter "Dynamische Updates und sichere dynamische Updates".

IPv6-AdresseinträgeUm einen IPv6-Adresseintrag (auch bekannt als AAAA-Eintrag) manuell hinzuzufügen, öffnen Sie dasDNS-Snap-In, klicken Sie in der Struktur mit der rechten Maustaste auf die entsprechende Forward-Lookupzone, und klicken Sie dann auf Weitere neue Einträge. Klicken Sie im Dialogfeld Ressourceneintragstyp auf IPv6-Host (AAAA), und klicken Sie dann auf Eintrag erstellen.

Geben Sie im Dialogfeld Neuer Host den Hostteil des Domänennamens und seine IPv6-Adresse ein.Sie können einen veralteten Eintrag auch automatisch löschen lassen und die TTL angeben.

Wenn Sie das IPv6-Protokoll auf einem Computer installieren, auf dem Windows Server 2003 oderWindows XP ausgeführt wird, werden durch das IPv6-Protokoll mit dynamischen Updates automatischAAAA-Ressourceneinträge für Site-Local- und globale IPv6-Adressen hinzugefügt. WeitereInformationen finden Sie in diesem Kapitel unter "Dynamische Updates und sichere dynamische Updates". Durch das IPv6-Protokoll werden über dynamische Updates keine Link-Local-Adressen oderglobalen Adressen mit temporären Schnittstellenkennungen registriert.

ZeigereinträgeUm einen Zeigereintrag (PTR) für eine IPv4-Adresse manuell hinzuzufügen, öffnen Sie dasDNS-Snap-In, klicken Sie in der Struktur mit der rechten Maustaste auf die entsprechende Reverse-Lookupzone, und klicken Sie dann auf Neuer Zeiger (PTR). Geben Sie im Dialogfeld Neuen Eintrag erstellen die IPv4-Adresse des Hosts (gegebenenfalls in umgekehrter Reihenfolge) und den FQDN des Hosts ein. Sie können einen veralteten Eintrag auch automatisch löschen lassen, eine nichtauthentifizierte Aktualisierung zulassen und die TTL angeben.

Computer, auf denen Windows Server 2003 oder Windows XP ausgeführt wird, fügen ihrePTR-Einträge automatisch über dynamische Updates hinzu. Weitere Informationen finden Sie indiesem Kapitel unter "Dynamische Updates und sichere dynamische Updates".

DNS-Verkehr über IPv6In der Standardeinstellung hört der DNS-Serverdienst in Windows Server 2003 keinen über IPv6gesendeten DNS-Verkehr ab. Sie können Windows Server 2003 ausführende DNS-Server undWindows XP oder Windows Server 2003 ausführende DNS-Clients so konfigurieren, dass sie durchlokal konfigurierte oder bekannte Unicastadressen von DNS-Servern DNS-Verkehr über IPv6verwenden.

Verwenden von lokal konfigurierten UnicastadressenBei dieser Methode senden die DNS-Clients und -Server den DNS-Verkehr über IPv6 an eine demDNS-Server lokal zugewiesene Unicastadresse, z. B. eine Site-Local- oder globale Adresse desDNS-Servers, die mithilfe der IPv6-Adressautokonfiguration konfiguriert wurde. Für diese Methodesind die folgenden Schritte erforderlich:

1. Aktivieren Sie auf jedem DNS-Server, auf dem Windows Server 2003 ausgeführt wird, mit demBefehl dnscmd /config /EnableIPv6 1 den DNS-Serverdienst für DNS-Verkehr, und startenSie den DNS-Serverdienst anschließend neu.

2. Rufen Sie mit dem Befehl ipconfig die Site-Local- oder globalen Adressen der einzelnen DNS-Server ab.

3. Konfigurieren Sie mit dem Befehl netsh interface ipv6 add dns interface=Name oder Index address=IPv6-Adresse index=Vorrangstufe die einzelnen DNS-Clientcomputer mit den IPv6-Unicastadressen der DNS-Server.

Verwenden von bekannten UnicastadressenBei dieser Methode senden die DNS-Clients und -Server den DNS-Verkehr über IPv6 an mehrerebekannte Unicastadressen, die auf dem DNS-Server manuell konfiguriert wurden. Von WindowsServer 2003, Windows XP mit Service Pack 1 (SP1) sowie Windows XP mit Service Pack 2 (SP2)ausführenden Computern mit IPv6-Protokoll werden automatisch DNS-Server auf den bekanntenUnicastadressen FEC0:0:0:FFFF::1, FEC0:0:0:FFFF::2 und FEC0:0:0:FFFF::3 verwendet. Für dieseMethode sind die folgenden Schritte erforderlich:

1. Aktivieren Sie auf jedem DNS-Server, auf dem Windows Server 2003 ausgeführt wird, in einemEingabeaufforderungsfenster mit dem Befehl dnscmd /config /EnableIPv6 1 den DNS-Serverdienst für DNS-Verkehr, und starten Sie den DNS-Serverdienst anschließend neu.

2. Legen Sie fest, welche bekannten Unicastadressen welchen DNS-Servern zugewiesen werdensollen.

3. Fügen Sie auf jedem Server mit dem Befehl netsh interface ipv6 add address interface=Name oder Index address=IPv6-Adresse mindestens eine der bekannten Unicastadressen hinzu.

4. Fügen Sie Ihrer Routinginfrastruktur für die bekannten Unicastadresse Hostrouten hinzu, sodassdie DNS-Server von allen IPv6-basierten DNS-Clientcomputern aus erreichbar sind. Zunächstmüssen Sie den Nachbarroutern der DNS-Server Hostrouten für die DNS-Serveradressenhinzufügen. Wenn Sie ein IPv6-Routingprotokoll verwenden, konfigurieren Sie es so, dassHostrouten an die nicht benachbarten IPv6-Router übermittelt werden. Wenn Sie statischeIPv6-Router verwenden, fügen Sie den nicht benachbarten Routern Hostrouten (mit denentsprechenden Informationen über nächste Hops und Metriken) hinzu.

Dynamische Updates und sichere dynamische UpdatesDHCP-Server weisen DHCP-Clientcomputern IPv4-Adressen und andere Konfigurationseinstellungen zu. Diese Adressen sind für eine bestimmte Leasedauer gültig. Wenn der DHCP-Clientcomputer dieaktuelle Lease nicht erneuern kann oder in ein anderes Subnetz wechselt, weist der DHCP-Server dem Clientcomputer eine neue IPv4-Adresskonfiguration zu. Aufgrund dieser wechselnden IPv4-Adresskonfigurationen der DHCP-Clientcomputer ist die DNS-Verwaltung sehr kompliziert, da A- und PTR-Ressourceneinträge aktualisiert werden müssen.

In RFC 2136 wird das Protokoll für das dynamische DNS-Update beschrieben, durch das DNS in einerDHCP-Umgebung auf dem aktuellen Stand gehalten wird. Durch dynamische DNS-Updates könnenDNS-Clientcomputer ihre Ressourceneinträge auf einem DNS-Server registrieren und dynamischaktualisieren, wenn sich IP-Adressen oder Namen des Clientcomputers ändern. Dadurch ist es imBesonderen für Computer, die DHCP verwenden, nicht so häufig erforderlich, dass Sie Zoneneinträgemanuell verwalten müssen.

Windows unterstützt dynamische DNS-Updates für DNS-Clients und -Server. Für DNS-Server könnenSie dynamische Updates für normale primäre Zonen oder in Active Directory integrierte Zonen mitdem DNS-Serverdienst auf Grundlage einzelner Zonen aktivieren.

In der Standardeinstellung werden von DNS-Clients, die Windows Server 2003 oder Windows XPausführen, für IPv4-Adressen A- und PTR-Ressourceneinträge sowie für IPv6-Adressen AAAA-Einträgeim DNS registriert. Außerdem registrieren Domänencontroller und andere Dienste anbietendeComputer Dienstressourceneinträge (SRV) im DNS. Da mithilfe von SRV-RessourceneinträgenDienstnamen in IP-Adressen aufgelöst werden können, ermöglicht ihre Registrierung im DNSClientcomputern, die Windows ausführen, Domänencontroller und andere Arten von Servern zu finden.

In den folgenden Situationen senden Windows ausführende DNS-Clients dynamische Updates:

• Bei statisch zugewiesenen IP-Adressen: beim Starten des Computers oder beim Hinzufügen,Entfernen oder Ändern der IP-Adresse einer Netzwerkverbindung des Computers.

• Bei dynamisch zugewiesenen IP-Adressen: Beim Ändern oder Erneuern der IP-Adresslease einerNetzwerkverbindung des Computers auf dem DHCP-Server (z. B. beim Starten des Computers oderVerwenden des Befehls ipconfig /renew ).

• Beim Starten des Anmeldediensts auf Domänencontrollern.

• Beim Heraufstufen eines Mitgliedservers zu einem Domänencontroller.

• Beim Ausführen des Befehls ipconfig /registerdns durch einen Benutzer zum manuellen Aktualisieren der Namensregistrierung im DNS.

• In regelmäßigen Abständen nach dem ersten dynamischen Update (in der Standardeinstellung allesieben Tage).

Wenn eines der eben genannten Ereignisse ein dynamisches Update auslöst, sendet derDHCP-Clientdienst auf dem Windows Server 2003 oder Windows XP ausführenden Computer dieAktualisierung. Bei IPv4-basierten Adressen sendet nicht der DNS-Clientdienst, sondern der DHCP-Clientdienst die Aktualisierungen, da der DHCP-Clientdienst der Komponente Internetprotokoll (TCP/IP) die (statische oder dynamische) IP-Adresskonfiguration zur Verfügung

stellt und Änderungen der IP-Adresskonfiguration überwacht.

Bei IPv6-basierten Adressen sendet die IPv6-Protokollkomponente die Aktualisierungen beim Starten des Computers oder beim Hinzufügen, Entfernen oder Ändern der IPv6-Adresse einerNetzwerkverbindung des Computers.

Aktualisierung der DNS-Namen von Windows ausführenden ComputernDie genaue Methode und die Eintragstypen, die von einem Windows Server 2003 oder Windows XPausführenden Computer registriert werden, sind davon abhängig, ob die IPv4-Konfiguration statisch(manuell konfiguriert) oder automatisch (mit DHCP konfiguriert) ist:

• In der Standardeinstellung registrieren Windows Server 2003 oder Windows XP ausführendeComputer, die manuell mit statischen IPv4-Adressen konfiguriert wurden, für alle konfiguriertenDNS-Namen dynamisch A- und PTR-Ressourceneinträge.

• In der Standardeinstellung registrieren Windows Server 2003 oder Windows XP ausführendeComputer, die automatisch mit von einem DHCP-Server zugewiesenen IPv4-Adressen konfiguriert wurden, dynamisch A-Ressourceneinträge. Der DHCP-Server registriert diePTR-Ressourceneinträge dynamisch für den DHCP-Client. Dieses Verhalten wird folgendermaßengesteuert:

• Durch die Aufnahme der DHCP-Option Client FQDN (Option 81) in die vom DHCP-Client gesendete DHCPRequest-Nachricht.

• Im DHCP-Snap-In, durch die Einstellungen auf der Registerkarte DNS (siehe Abbildung 9-9) fürdie Eigenschaften eines DHCP-Servers bzw. eines DHCP-Bereichs.

Für DHCP-Clients, die die Option Client FQDN nicht senden, werden die A- oderPTR-Ressourceneinträge für den DHCP-Client vom DHCP-Server nicht automatisch registriert. Umdiese Verhalten zu ändern, können Sie auf der Registerkarte DNS das Kontrollkästchen DNS-A- und-PTR-Einträge für DHCP-Clients, die keine Updates anfordern, dynamisch aktualisierenaktivieren.

Abbildung 9-9 zeigt die Registerkarte DNS des Eigenschaftendialogfelds eines DHCP-Servers.

Abbildung 9-9 Registerkarte 'DNS' der Eigenschafteneines DHCP-ServersAbbildung vergrößern

Ablauf eines dynamischen DNS-UpdatesDie Durchführung eines dynamischen DNS-Updates auf einem Windows Server 2003 oder Windows XPausführenden DNS-Clientcomputer umfasst die folgenden Schritte:

1. Der Client fragt seinen konfigurierten DNS-Server nach dem SOA-Ressourceneintrag für dieDNS-Zone des zu aktualisierenden DNS-Namens.

2. Der konfigurierte DNS-Server des DNS-Clients führt die Standardnamensauflösung durch undsendet den SOA-Eintrag, der die IP-Adresse des primären Namenservers für die abgefragteDNS-Zone enthält.

3. Der Client sendet eine dynamische Aktualisierungsanforderung an den primären Namenserverfür die Zone des zu aktualisierenden DNS-Namens.

Diese Anforderung kann eine Liste von Voraussetzungen enthalten, die erfüllt sein müssen,bevor die Aktualisierung abgeschlossen werden kann. Hier einige Beispielvoraussetzungen:

• Der Ressourceneintragssatz ist vorhanden.

• Der Ressourceneintragssatz ist nicht vorhanden.

• Der Name wird verwendet.

• Der Name wird nicht verwendet.

4. Der primäre Namenserver bestimmt, ob die Voraussetzungen erfüllt sind. Wenn sie erfüllt sind,führt der primäre DNS-Server die angeforderte Aktualisierung durch. Wenn nicht, schlägt dieAktualisierung fehl. In jedem Fall antwortet der primäre DNS-Server dem Client, ob dieAktualisierung erfolgreich war.

Wenn das dynamische DNS-Update nicht erfolgreich abgeschlossen wurde, zeichnet der DNS-Client dieses Ereignis im Systemereignisprotokoll auf.

Konfigurieren von dynamischen DNS-UpdatesSie können das dynamische DNS-Aktualisierungsverhalten auf Windows ausführendenDNS-Clientcomputern, Windows Server 2003 ausführenden DNS-Servern und Windows Server 2003ausführenden DHCP-Servern konfigurieren.

Gehen Sie folgendermaßen vor, um dynamische DNS-Updates auf einem Windows Server 2003 oderWindows XP ausführenden DNS-Clientcomputer zu konfigurieren:

1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie anschließend aufNetzwerkverbindungen.

2. Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung, die Sie konfigurierenmöchten, und klicken Sie dann auf Eigenschaften.

3. Klicken Sie für eine LAN-Verbindung auf der Registerkarte Allgemein bzw. für eine andereVerbindung auf der Registerkarte Netzwerk auf Internetprotokoll (TCP/IP), und klicken Sie dann auf Eigenschaften.

4. Klicken Sie auf Erweitert, und klicken Sie dann auf die Registerkarte DNS.

5. Führen Sie einen oder mehrere der folgenden Schritte durch:

• Aktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren, um die IP-Adressen für diese Verbindung und den vollständigen Computernamen mitdynamischen DNS-Updates zu registrieren. Dieses Kontrollkästchen ist in derStandardeinstellung aktiviert.

• Geben Sie im Feld DNS-Suffix für diese Verbindung den DNS-Suffix ein, um ein DNS-Suffix für die spezifische Verbindung zu konfigurieren.

• Aktivieren Sie das Kontrollkästchen DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden, um die IP-Adressen und den für diese Verbindungspezifischen Domänennamen mit dynamischen DNS-Updates zu registrieren. DiesesKontrollkästchen ist in der Standardeinstellung aktiviert.

Gehen Sie folgendermaßen vor, um auf einem Windows Server 2003 ausführenden DNS-Serverdynamische DNS-Updates zu aktivieren:

1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf DNS.

2. Klicken Sie in der Struktur unter dem Knoten Forward-Lookupzonen oder Reverse-Lookupzonen auf die entsprechende Zone.

3. Klicken Sie im Menü Aktion auf Eigenschaften.

4. Stellen Sie sicher, dass auf der Registerkarte Allgemein als Zonentyp Primär oder Active Directory-integriert eingestellt ist.

5. Wenn der Zonentyp auf Primär eingestellt ist, klicken Sie in der Liste Dynamische Updatesauf Nicht sichere und sichere oder Nur sichere.

Gehen Sie folgendermaßen vor, um auf einem Windows Server 2003 ausführenden DHCP-Serverdynamische DNS-Updates zu konfigurieren:

1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf DHCP.

2. Klicken Sie in der Struktur auf den entsprechenden DHCP-Server oder auf einen Bereich auf dem entsprechenden DHCP-Server.

3. Klicken Sie im Menü Aktion auf Eigenschaften.

4. Klicken Sie auf die Registerkarte DNS.

5. Führen Sie einen der folgenden Schritte durch:

• Aktivieren Sie das Kontrollkästchen Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren und eines der Kontrollkästchen DNS-A- und-PTR-Einträge nur nach Aufforderung von DNS-Client dynamisch aktualisieren oder DNS-A- und -PTR-Einträge immer dynamisch aktualisieren, um dynamische DNS-Updates für DHCP-Clients, die diese Funktion unterstützen, zu aktivieren. In derStandardeinstellung ist das Kontrollkästchen DNS-A- und -PTR-Einträge nur nachAufforderung von DNS-Client dynamisch aktualisieren aktiviert.

• Um dynamische DNS-Updates für DHCP-Clients zu aktivieren, die diese Funktion nichtunterstützen, aktivieren Sie das Kontrollkästchen DNS-A- und -PTR-Einträge fürDHCP-Clients, die keine Updates anfordern, dynamisch aktualisieren. DiesesKontrollkästchen ist in der Standardeinstellung deaktiviert.

Sichere dynamische UpdatesSichere dynamische DNS-Updates sind nur für Zonen verfügbar, die in Active Directory integriert sind.Nach dem Integrieren einer Zone können Sie der Zugriffssteuerungsliste einer bestimmten Zone odereines bestimmten Ressourceneintrags Benutzer oder Gruppen mit dem DNS-Snap-In hinzufügen oderdiese entfernen.

Nach der Integration einer Zone in Active Directory gestatten Windows Server 2003 ausführendeDNS-Server in der Standardeinstellung nur sichere dynamische Updates. Wenn die Standardzonenspeicherung verwendet wird, sperrt der DNS-Serverdienst in der Standardeinstellung dynamische Updates für seine Zonen. In Active Directory integrierte oder die dateibasierteStandardspeicherung verwendende Zonen können Sie so ändern, dass sichere und nicht sicheredynamische Updates gestattet sind.

DNS-Clients führen zuerst ein nicht sicheres dynamisches Update durch. Wenn das verweigert wird,führen DNS-Clients ein sicheres dynamisches Update durch.

DNS- und WINS-IntegrationWenn DNS und WINS (Windows Internet Name Service) integriert sind, kann der DNS-Serverdienst DNS-Namen, die er nicht über DNS-Server auflösen kann, über WINS nachschlagen. Um einenWINS-Lookup durchzuführen, verwendet der DNS-Serverdienst zwei spezifischeRessourceneintragstypen, die für jede beliebige Zone aktiviert werden können:

• Den WINS-Ressourceneintrag, den Sie aktivieren, um WINS-Lookup in Forward-Lookupzonen zu integrieren

Der WINS-Ressourceneintrag ist spezifisch für DNS-Server, die Windows ausführen und die Sie nurder Stammdomäne einer Forward-Lookupzone anfügen können, indem Sie den Eintrag in derStammzonendatei eintragen. Das Vorhandensein eines WINS-Eintrags weist den DNS-Serverdienst an, Anforderungen für Hosts im Zonenstamm, für die es keinen A-Ressourceneintrag gibt, mitWINS aufzulösen. Diese Funktionalität ist besonders für DNS-Clients hilfreich, die kein Windowsausführen bzw. die die Namen von NetBIOS- und DHCP-fähigen Hosts auflösen müssen, die keinedynamischen DNS-Updates durchführen, z. B. Computer, auf denen ältere Windows-Versionenausgeführt werden.

• Den WINS-R-Ressourceneintrag, den Sie aktivieren, um für Reverse-Lookupzonen IPv4-Adressen inNetBIOS-Namen aufzulösen

Der WINS-R-Ressourceneintrag ist ebenfalls spezifisch für DNS-Server, die Windows ausführen unddie Sie nur der Stammdomäne einer Reverse-Lookupzone anfügen können, indem Sie den Eintrag inder Stammzonendatei eintragen. Das Vorhandensein eines WINS-R-Eintrags weist den DNS-Serverdienst an, Anforderungen für Hosts, die sich im Zonenstamm befinden, für die esjedoch keinen A-Ressourceneintrag gibt, mit WINS aufzulösen.

Funktionsweise von WINS-LookupWenn ein DNS-Client eine rekursive oder iterative Abfrage an einen DNS-Server sendet, der für diesenDomänenteil eines FQDN autorisierend ist, sucht der DNS-Server zuerst in seinen Zonendateien nacheinem übereinstimmenden A-Eintrag. Wenn der DNS-Server keinen entsprechenden A-Eintrag findet,jedoch für WINS-Lookup konfiguriert wurde, wird folgendermaßen vorgegangen:

1. Der DNS-Server trennt den Hostteil des in der DNS-Abfrage enthaltenen FQDN ab und wandelt ihn in einen 16-Byte-NetBIOS-Namen um. Der NetBIOS-Name besteht aus dem mit Leerzeichen auf 15-Byte aufgefüllten Hostnamen und dem letzten Byte 0x00.

2. Der DNS-Server sendet eine NetBIOS-Name Query Request-Nachricht an den WINS-Server.

3. Wenn der WINS-Server den zusammengesetzten NetBIOS-Namen auflösen kann, wird dieIPv4-Adresse mit einer NetBIOS-Name Query Response-Nachricht an den DNS-Serverzurückgegeben.

4. Der DNS-Server erstellt mithilfe der über den WINS-Server aufgelösten IPv4-Adresse einenA-Ressourceeintrag und sendet eine DNS-Name Query Response-Nachricht mit diesem A-Eintrag an das anfragende DNS-Auflösungsprogramm.

Der DNS-Serverdienst führt alle Schritte für WINS-Lookup durch. Dem DNS-Auflösungsprogramm istnicht bekannt, dass WINS-Lookup verwendet wird. Es sendet eine DNS-Name Query Request-Nachricht und empfängt eine DNS-Name Query Response-Nachricht. Dem WINS-Server istnicht bekannt, dass ein DNS-Server WINS-Lookup verwendet. Er empfängt eine NetBIOS-Name QueryRequest-Nachricht und antwortet mit einer NetBIOS-Name Query Response-Nachricht.

Wenn Sie für eine DNS-Zone WINS-Lookup aktivieren, wird es nur für die Namen in derZonenstammdomäne durchgeführt. Wenn eine Zonendatei beispielsweise Namen für die Domäneexample.com sowie die untergeordnete Domäne dev.example.com enthält und für diese ZoneWINS-Lookup konfiguriert wurde, kann WINS-Lookup für den Namen newssrv1.example.com, jedoch nicht für den Namen newssrv1.dev.example.com durchgeführt werden.

Sie können WINS-Lookup in den Eigenschaften einer Forward-Lookupzone auf der Registerkarte WINSkonfigurieren. Aktivieren Sie das Kontrollkästchen WINS-Forward-Lookup verwenden, um WINS-Lookup zu aktivieren, und geben Sie die IPv4-Adressen der WINS-Server ein.

Die TTL für einen mit WINS-Lookup aufgelösten DNS-Namen entspricht nicht der Standard-TTL ausdem SOA-Eintrag für die Zone. Sie konfigurieren die TTL für einen mit WINS-Lookup aufgelöstenNamen in den Eigenschaften einer Forward-Lookupzone auf der Registerkarte WINS.

WINS-Reverse-LookupObwohl WINS Reverse-Lookups nicht direkt unterstützt, kann diese Funktionalität mithilfe einerspeziellen NetBIOS-Nachricht erreicht werden. Das Vorhandensein eines WINS-R-Eintrags im Zonenstamm weist den DNS-Serverdienst an, für jegliche Reverse-Lookup-Anforderungen nachIPv4-Adressen in der Zonenstammdomäne, für die keine PTR-Einträge gefunden wurden, eineNetBIOS-Adapterstatus-Nachricht zu senden. Die Antwort auf die NetBIOS-Adapterstatus-Nachrichtenthält den NetBIOS-Computernamen des abgefragten Hosts.

Sie können WINS-Lookup in den Eigenschaften einer Reverse-Lookupzone auf der RegisterkarteWINS-R konfigurieren. Aktivieren Sie das Kontrollkästchen WINS-R-Lookup verwenden, und geben Sie den Domänennamen ein, der an den Computernamen angefügt werden soll, wenn derDNS-Serverdienst die Antwort an das DNS-Auflösungsprogramm zurückgibt.

Wenn für eine Zone, in der WINS-Reverse-Lookup aktiviert ist, eine Reverseabfrage nach einemHostnamen auf Grundlage einer IPv4-Adresse an einen Windows Server 2003 ausführendenDNS-Server gesendet wird, führt der Server zuerst mithilfe der lokalen Dateien derReverse-Lookupzone eine Reverseauflösung durch. Wenn der DNS-Server keinen PTR-Eintrag findet,wird eine NetBIOS-Adapterstatus-Nachricht an die IPv4-Adresse in der Reverseabfrage gesendet. Die Antwort auf die NetBIOS-Adapterstatus-Nachricht enthält die NetBIOS-Namentabelle des Responders,aus der der DNS-Server den Computernamen ermittelt. Der DNS-Serverdienst hängt den auf derRegisterkarte WINS-R konfigurierten Domänennamen an den Computernamen an und gibt dasErgebnis an den anfordernden Client zurück.

Zum Seitenanfang

Verwenden des Nslookup-ToolsMithilfe des Diagnosetools Nslookup können Sie mit einem DNS-Server interagieren. Verwenden Siedabei einzelne Befehlszeilenabfragen oder nehmen Sie interaktiv die Rolle eines Namenresolvers oder eines anderen DNS-Servers ein. Für DNS ist Nslookup das wichtigste Tool zur Problembehandlung. MitNslookup können Sie beliebige Ressourceneinträge von beliebigen DNS-Servern anzeigen, auch vonDNS-Servern, auf denen nicht Windows ausgeführt wird.

Nslookup-Modi Nslookup verfügt über einen interaktiven und einen nicht interaktiven Modus. Wenn Sie eineneinzelnen Ressourceneintrag abrufen möchten, verwenden Sie den nicht interaktivenBefehlszeilenmodus. Wenn Sie mehrere Ressourceneinträge benötigen, können Sie den interaktivenModus verwenden, in dem Sie an der Nslookup-Eingabeaufforderung fortlaufend Befehle eingebenkönnen. Für den interaktiven Modus gelten die folgenden Punkte:

• Unterbrechen Sie interaktive Befehle jederzeit, indem Sie CTRL+C drücken.

• Beenden Sie das Tool mit dem Befehl exit.

• Die Befehlszeile darf höchstens 255 Zeichen lang sein.

• Stellen Sie einem integrierten Befehl das Zeichen "\" voran, um ihn als Computername zu verwenden.

• Ein nicht erkannter Befehl wird als Computername interpretiert.

Nslookup-SyntaxNslookup verwendet die folgende Syntax:

nslookup [-Optionen] [Gesuchter Computer | - [Server]]

Die Nslookup-Befehlszeile kann die folgenden Parameter enthalten:

• -Optionen Gibt einen oder mehrere Nslookup-Befehle als Befehlszeilenoption an. Eine Liste derBefehle erhalten Sie im interaktiven Modus von Nslookup über die Option help. Jede Option besteht aus einem Bindestrich (-), auf den direkt (ohne Leerzeichen) der Befehlsname folgt. In einigenFällen folgt ein Gleichheitszeichen (=) und der zugehörige Wert.

• Gesuchter Computer Schlägt mithilfe des aktuellen Standardservers oder des angegebenenServers Informationen über den Computer Gesuchter Computer nach. Wenn Gesuchter Computereine IP-Adresse und der Abfragetyp A oder PTR ist, wird der Name des Computers zurückgegeben.Wenn Gesuchter Computer ein Name ist und nicht mit einem Punkt endet, wird derDNS-Standarddomänenname an den Namen angefügt.

Wenn Sie statt Gesuchter Computer einen Bindestrich (-) eingeben, wird in den interaktiven Modus von Nslookup gewechselt und als Eingabeaufforderung das Zeichen ">" angezeigt.

• Server Verwendet diesen Server als DNS-Namenserver. Wenn Sie keinen Server angeben,verwendet Nslookup den konfigurierten aktuellen DNS-Standardserver.

Beispiele für die Nslookup-VerwendungEs folgen einige Verwendungsbeispiele für das Nslookup-Tool.

Beispiel 1: Nslookup im interaktiven ModusIm folgenden Beispiel wird Nslookup mit dem DNS-Standardserver im interaktiven Modus verwendet:

C:\USERS\DEFAULT>nslookup Default Server: dnssrv1 Address: 157.54.9.193 >

Nslookup führt eine Reverseabfrage für die IPv4-Adresse des DNS-Standardservers durch und zeigtseinen Namen (dnssrv1) an. Wenn die Abfrage fehlschlägt, gibt Nslookup die Fehlermeldung "***Default servers are not available" (*** Die Standardserver sind nicht verfügbar) aus und zeigt denStandardserver als "Unknown" (Unbekannt) an. An der Eingabeaufforderung ">" können Sieabzufragende Namen, reverseaufzulösende IP-Adressen oder Befehle eingeben, die das Verhalten vonNslookup ändern. Beenden Sie die Nslookup-Befehlszeile mit dem Befehl exit.

Beispiel 2: Nslookup und ForwardabfragenIm folgenden Beispiel wird Nslookup verwendet, um die IP-Adresse zu einem Hostnamen über denDNS-Standardserver abzurufen:

C:\USERS\DEFAULT>nslookup filesrv17 server = dnssrv1 Address: 157.54.9.193 Name: filesrv17.example.com Address: 131.107.21.19

Beispiel 3: Nslookup-Forwardabfrage mit einem anderen DNS-ServerIm folgenden Beispiel wird Nslookup verwendet, um die IP-Adresse zu einem Hostnamen über einenangegebenen DNS-Server abzurufen:

C:\USERS\DEFAULT>nslookup msgsrv3 –dnssrv9 server = dnssrv9 Address: 157.60.10.41 Name: msgsrv3.central.example.com Address: 157.60.10.201

Beispiel 4: Nslookup-DebuginformationenIm folgenden Beispiel wird Nslookup verwendet, um die IP-Adresse zu einem Hostnamen über denDNS-Standardserver abzurufen. Außerdem zeigt das Beispiel die Anzeigeoption, mit der Sieausführliche Informationen über den Inhalt der zwischen dem DNS-Client und dem DNS-Serverausgetauschten DNS-Nachrichten anzeigen können:

C:\USERS\DEFAULT>nslookup -debug=on emailsrv1 ------------ Got answer: HEADER: opcode = QUERY, id = 1, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: 193.9.60.157.in-addr.arpa, type = PTR, class = IN ANSWERS: -> 193.9.60.157.in-addr.arpa name = dnssrv1 ttl = 3600 (1 hour) ------------ server = dnssrv1 Address: 157.60.9.193 ------------ Got answer: HEADER: opcode = QUERY, id = 2, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: emailsrv1.example.com, type = A, class = IN ANSWERS: -> emailsrv1.example.com internet address = 157.54.9.193 ttl = 3600 (1 hour) ------------ Name: emailsrv1.example.com Address: 157.54.9.193

Beispiel 5: Nslookup-ReverseabfrageIm folgenden Beispiel führt Nslookup eine Reverseabfrage durch:

C:\USERS\DEFAULT>nslookup 157.60.13.46 server = dnssrv1 Address: 157.60.9.193 Name: emailsrv18.wcoast.example.com Address: 157.54.13.46

Zum Seitenanfang

KapitelzusammenfassungDieses Kapitel enthält die folgenden wichtigen Informationen:

• Sie können den DNS-Clientdienst manuell über Netzwerkverbindungen oder automatisch überDHCP, PPP oder eine Computerkonfigurations-Gruppenrichtlinie konfigurieren.

• Um Sie beim Auflösen eines unvollständigen Namens zu unterstützen, verwendet derDNS-Clientdienst den primären DNS-Suffix (mit Name Devolution), die verbindungsspezifischenDNS-Suffixe oder eine konfigurierte Liste von DNS-Suffixen.

• Sie können den DNS-Serverdienst in Windows Server 2003 über das SystemsteuerungselementSoftware als Windows-Komponente, über den Assistenten zum Installieren von Active Directory(Dcpromo.exe) oder über den Serververwaltungs-Assistenten installieren.

• Active Directory verwendet für Domänenoperationen DNS zum Finden von Domänenressourcen.

• Die Speicherung von DNS-Zonen in Active Directory kann die Vorteile der Verwaltung mit mehreren Mastern, der Active Directory-Sicherheit und der vorhandenen Active Directory-Replikationstopologie nutzen.

• Um einen DNS-Server, auf dem Windows Server 2003 ausgeführt wird, zu verwalten, müssen SieServereigenschaften, Forward-Lookupzonen, Reverse-Lookupzonen, Delegierung undZonenübertragungen konfigurieren.

• Die einem Windows ausführenden DNS-Server üblicherweise manuell hinzugefügtenRessourceneinträge sind A, AAAA und PTR.

• Um DNS-Verkehr über IPv6 zu aktivieren, müssen Sie den DNS-Server so konfigurieren, dass erDNS-Verkehr über IPv6 abruft. Anschließend müssen Sie die DNS-Clients mit denIPv6-Unicastadressen der DNS-Server konfigurieren oder den DNS-Server und die Routinginfrastruktur für die bekannten, den IPv6-DNS-Servern zugewiesenen Unicastadressenkonfigurieren.

• Bei dynamischen DNS-Updates aktualisieren Windows ausführende DNS-Clientcomputer auf demprimären Namenserver für die Zone dynamisch ihre A-, AAAA- und PTR-Einträge (für IPv4). Bei inActive Directory integrierten Zonen können DNS-Clients sichere dynamische Updates verwenden.

• WINS-Lookup ermöglicht einem Windows ausführenden DNS-Server die Verwendung von WINS zurNamensauflösung, wenn kein A-Eintrag für den Host gefunden wurde. WINS-Reverse-Lookupverwendet NetBIOS-Adapterstatus-Nachrichten, um Reverse-Lookups durchzuführen, wenn keinPTR-Eintrag gefunden wurde.

Zum Seitenanfang

KapitelglossarDNS – Siehe "Domain Name System"

Dynamische DNS-Updates – Ein DNS-Standard, durch den DNS-Clients ihre Ressourceneinträge inden Zonen des primären Namenservers dynamisch registrieren und aktualisieren können.

DNS-Server – Ein Server, der eine Datenbank mit Zuweisungen von DNS-Domänennamen zuverschiedenen Datentypen, wie z. B. IP-Adressen, verwaltet.

Domäne – Jede Struktur bzw. untergeordnete Struktur im DNS-Namespace.

Domain Name System (DNS) – Eine hierarchische, verteilte Datenbank, die Zuordnungen vonDNS-Domänennamen zu verschiedenen Arten von Daten (z. B. IP-Adressen) enthält. Durch DNSkönnen Computer und Dienste anhand benutzerfreundlicher Namen aufgefunden werden. Außerdemermöglicht es den Zugriff auf weitere in der Datenbank gespeicherte Informationen.

Forward-Lookup – Eine DNS-Abfrage, die für einen FQDN eine IP-Adresse liefert.

FQDN – Siehe "Vollqualifizierter Domänenname (FQDN)"

Vollqualifizierter Domänenname (FQDN) – Ein DNS-Name, der seine absolute Position in derDomänen-Namespacestruktur angibt. Ein FQDN endet mit einem Punkt (.), um zu verdeutlichen, dassseine Position bis zum Stamm des Namespaces angegeben wird (bspw.host.example.microsoft.com.).

Hostname – Der DNS-Name eines Geräts in einem Netzwerk. Über Hostnamen können Computer imNetzwerk gefunden werden. Damit ein Computer gefunden werden kann, muss sein Hostname in derHosts-Datei eingetragen oder einem DNS-Server bekannt sein. Für die meisten Computer, auf denenWindows ausgeführt wird, entspricht der Hostname dem Computernamen.

Hostnamensauflösung – Der Vorgang des Auflösens eines Hostnamens in eine Ziel-IP-Adresse.

Iterative Abfrage – Eine an einen DNS-Server gerichtete Abfrage, die dieser mit den ihm zurVerfügung stehenden Informationen beantwortet, ohne auf weitere DNS-Server zuzugreifen.

Masterserver – Ein für eine Zone autorisierender DNS-Server. Masterserver sind in primäre undsekundäre Masterserver unterteilt, abhängig von der Art, auf die der Server die Zonendaten abruft.

Primärer Server – Ein für eine Zone autorisierender DNS-Server, der als Aktualisierungspunkt für dieZone verwendet werden kann. Beim Aktualisieren von Zonendaten (Hinzufügen, Entfernen oderÄndern von als Zonendaten gespeicherten Ressourceneinträgen) können nur primäre Server direktaktualisiert werden.

Rekursive Abfrage – Eine an einen DNS-Server gerichtete Abfrage, in der der Anfordernde (Requester)vom Server eine vollständige Antwort auf die Abfrage wünscht. Hierbei übernimmt der Server diegesamte Arbeitslast und Verantwortung für die Antwort. Der DNS-Server unterstützt den Requesterbeim Finden einer vollständigen Antwort auf die rekursive Abfrage, indem er für diesen einzelneiterative Abfragen an andere DNS-Server sendet.

Reverse-Lookup – Eine DNS-Abfrage, die für eine IP-Adresse einen FQDN liefert.

Stammdomäne – Die oberste Ebene des DNS-Namespaces.

Sekundärer Server – Ein für eine Zone autorisierender DNS-Server, der seine Zoneninformationen voneinem Masterserver erhält.

Domäne der zweiten Ebene – Ein DNS-Domänenname, der hierarchisch in der zweiten Ebene desDomänennamespaces angeordnet ist, direkt unter den Domänennamen der obersten Ebene. Zu denDomänennamen der obersten Ebene gehören .com und .org. Bei der Verwendung von DNS im Internetentsprechen Domänen der zweiten Ebene Namen, die für einzelne Organisationen und Unternehmenregistriert sind und an diese übertragen wurden.

Stubzone – Eine Kopie einer Zone, die nur die Ressourceneinträge enthält, die zum Identifizieren derfür diese Zone autorisierenden DNS-Server erforderlich sind. Ein DNS-Server, der eine übergeordneteZone und eine Stubzone für eine delegierte untergeordnete Zone dieser übergeordneten Zoneverwaltet, kann von den autorisierenden DNS-Servern Aktualisierungen für die untergeordnete Zoneempfangen.

Domänen der obersten Ebene – Domänennamen, die hierarchisch auf der ersten Ebene desDomänennamespaces angeordnet sind, direkt unter dem Stamm (.) des DNS-Namespaces. ImInternet werden diese Domänennamen der obersten Ebene (z. B. .com und .org) zum Einteilen derDomänennamen der zweiten Ebene (z. B. microsoft.com) verwendet. Dadurch können die einzelnenOrganisationen und Unternehmen in verschiedene Kategorien eingeteilt werden.

Zone – Eine verwaltbare Einheit der DNS-Datenbank, die auf einem DNS-Server gespeichert ist. EineZone enthält neben dem Namen die Domänennamen und weiteren Daten der Domäne, nicht jedochdie Domänennamen, die in delegierten untergeordneten Domänen gespeichert werden.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 10 – End-to-End-Übermittlung über TCP/IPVeröffentlicht: 10. Aug 2005

Zusammenfassung

In diesem Kapitel werden die End-to-End-Übermittlungsprozesse für IPv4- undIPv6-Verkehr beschrieben. Ein Netzwerkadministrator muss mit diesen Prozessen vertraut sein, um Einzelheiten zum Datenverkehr in einem Netzwerk zu ermitteln undKonnektivitätsprobleme zu beheben. Darüber hinaus werden in diesem KapitelEnd-to-End-Übermittlungsprozesse schrittweise und ausführlich durch Analyse typischerBeispiele für IPv4- und IPv6-Verkehr in einem Netzwerk beschrieben.

Auf dieser Seite

Zielsetzung

IPv4-End-to-End-Übermittlungsprozess

Schrittweises Beispiel für IPv4-Verkehr

IPv6-End-to-End-Übermittlungsprozess

Schrittweises Beispiel für IPv6-Verkehr


Kapitelglossar


• Beschreiben der Einzelheiten des IPv4-End-to-End-Übermittlungsprozesses für denQuellhost, die Zwischenrouter und den Zielhost

• Auflisten der für das Senden von IPv4-Verkehr in einem Beispielnetzwerk erforderlichenSchritte

• Beschreiben der Einzelheiten des IPv6-End-to-End-Übermittlungsprozesses für denQuellhost, die Zwischenrouter und den Zielhost

• Auflisten der für das Senden von IPv6-Verkehr in einem Beispielnetzwerk erforderlichenSchritte

Zum Seitenanfang

IPv4-End-to-End-ÜbermittlungsprozessDer End-to-End-Übermittlungsprozess für IPv4-Verkehr beinhaltet folgende Schritte:

• Der Quellhost sendet das Paket entweder an einen Router oder an das endgültige Ziel(wenn es sich bei diesem Ziel um einen Nachbarn handelt).

• Der Router leitet das Paket entweder an einen anderen Router oder an das endgültigeZiel (wenn es sich bei diesem Ziel um einen Nachbarn handelt) weiter.

• Der Zielhost empfängt das Paket und übergibt die Daten an die entsprechendeAnwendung.

Hinweis: Für die folgenden Prozesse wird angenommen, dass der IPv4-Header keineOptionen enthält.

IPv4 auf dem QuellhostWenn der IPv4-Quellhost ein IPv4-Paket sendet, wird vom Host eine Kombination von lokalen Hosttabellen und ARP (Address Resolution Protocol) verwendet. Zum Senden eines Pakets an ein beliebiges Ziel wird vom IPv4-Quellhost der folgende Algorithmus

In diesem Beitrag

• Übersicht




















verwendet:

1. Ein Standardwert oder ein durch die Anwendung vorgegebener Wert für dieGültigkeitsdauer (Time-to-Live, TTL) wird angegeben.

2. Im Routecache wird nach einem Eintrag gesucht, der mit der Zieladresseübereinstimmt. Der Routecache ist eine Tabelle, in der die IPv4-Adresse und-Schnittstelle des nächsten Hops für Ziele gespeichert werden, an die vor kurzemDatenverkehr gesendet wurde. Durch diesen Schritt wird verhindert, dass IPv4 fürjedes gesendete IPv4-Paket den Routenermittlungsprozess durchführt.

3. Wenn der Routecache einen Eintrag enthält, der mit der Zieladresseübereinstimmt, wird dem Eintrag die Adresse und Schnittstelle für den nächstenHop entnommen und mit Schritt 7 fortgefahren.

4. Wenn der Routecache keinen Eintrag enthält, der mit der Zieladresseübereinstimmt, wird in der lokalen IPv4-Routingtabelle nach der längstenpassenden Route mit der niedrigsten Metrik zur Zieladresse gesucht. Wenn mehrere längste passende Routen über die niedrigste Metrik verfügen, wird diepassende Route für die Schnittstelle ausgewählt, die in der Bindungsreihenfolge anerster Stelle steht.

5. Auf Grundlage der längsten passenden Route mit der niedrigsten Metrik werdenfür die Weiterleitung des Pakets Adresse und Schnittstelle für den nächsten Hopermittelt. Wenn keine Route gefunden wird, sendet der IPv4-Quellhost einen Routingfehler an die Anwendung, die das Paket sendet.

6. Der Routecache wird mit einem Eintrag aktualisiert, der die IPv4-Zieladresse des Pakets und die entsprechende Adresse und Schnittstelle für den nächsten Hopenthält.

7. Im ARP-Cache der Schnittstelle für den nächsten Hop wird nach einem Eintraggesucht, der mit der IPv4-Adresse für den nächsten Hop übereinstimmt. Siekönnen den ARP-Cache mit dem Befehl arp –a anzeigen.

8. Wenn der ARP-Cache einen Eintrag enthält, der mit der Adresse für den nächstenHop übereinstimmt, wird die entsprechende MAC-Adresse (Media Access Control)ermittelt und mit Schritt 10 fortgefahren.

9. Wenn der ARP-Cache keinen Eintrag enthält, der mit der Adresse für den nächstenHop übereinstimmt, wird die MAC-Adresse für die IPv4-Adresse des nächsten Hopsüber ARP ermittelt.Wenn ARP hierbei erfolgreich ist, wird der ARP-Cache mit einem Eintrag aktualisiert, der die IP-Adresse des nächsten Hops und die entsprechendeMAC-Adresse enthält.Wenn ARP nicht erfolgreich ist, wird für IP ein Fehler angezeigt.

10. Das Paket wird mithilfe der MAC-Adresse im ARP-Cacheeintrag gesendet.

In Abbildung 10-1 wird der IPv4-Sendeprozess für einen Quellhost angezeigt.

Abbildung 10-1 IPv4-Sendeprozess für einen QuellhostAbbildung vergrößern

IPv4 auf dem RouterGenau wie bei einem IPv4-Quellhost verwendet der Prozess zur Weiterleitung eines IPv4-Pakets über einen IPv4-Router eine Kombination von lokalen Routertabellen undARP. Zum Empfangen und Weiterleiten eines Pakets an ein beliebiges Unicastziel wird von einem IPv4-Router der folgende Algorithmus verwendet:

1. Die IPv4-Headerprüfsumme wird berechnet. Der berechnete Wert wird mit demWert im IPv4-Header des Pakets verglichen.Wenn die Prüfsummen verschiedene Werte haben, wird das Paket gelöscht.

2. Es wird überprüft, ob die Zieladresse im IPv4-Paket mit einer Adresseübereinstimmt, die einer Schnittstelle des Routers zugewiesen ist.In diesem Fall wird das IPv4-Paket als Zielhost verarbeitet. (Siehe Schritt 3 unter"IPv4 auf dem Zielhost" in diesem Kapitel.)

3. Der Wert des TTL-Felds wird um 1 verringert.Wenn der Wert des TTL-Felds 1 unterschreitet, wird die ICMP-Nachricht "TimeExceeded-TTL Exceeded in Transit" gesendet und das Paket gelöscht (ICMP –Internet Control Message Protocol).Wenn der Wert des TTL-Felds 0 überschreitet, wird das Prüfsummenfeld neuberechnet, und die Felder für TTL und Prüfsumme im IPv4-Header des Paketswerden aktualisiert.

4. Im Routecache wird nach einem Eintrag gesucht, der mit der Zieladresseübereinstimmt.

5. Wenn der Routecache einen Eintrag enthält, der mit der Zieladresseübereinstimmt, wird dem Eintrag die IPv4-Adresse für den nächsten Hopentnommen und mit Schritt 10 fortgefahren.

6. Wenn der Routecache keinen Eintrag enthält, der mit der Zieladresseübereinstimmt, wird in der lokalen IPv4-Routingtabelle nach der längstenpassenden Route zur IPv4-Zieladresse gesucht.

7. Auf Grundlage der längsten passenden Route wird für die Weiterleitung des Paketsdie IPv4-Adresse und -Schnittstelle für den nächsten Hop ermittelt.Wenn keine Route gefunden wird, sendet der IPv4-Router an den Quellhost die ICMP-Nachricht "Destination Unreachable-Host Unreachable" und löscht das Paket.

8. Der Routecache wird mit einem Eintrag aktualisiert, der die IPv4-Zieladresse des Pakets und die entsprechende Adresse und Schnittstelle für den nächsten Hopenthält.

9. Die IP-MTU (Maximum Transmission Unit) der Schnittstelle für den nächsten Hopwird mit der Größe des weitergeleiteten IPv4-Pakets verglichen. Wenn die IP-MTUder Schnittstelle für den nächsten Hop die Paketgröße unterschreitet, wird dasDF-Flag (Don't Fragment – Nicht fragmentieren) im IPv4-Header überprüft. Wenn das DF-Flag auf 1 gesetzt ist, wird an den Quellhost die ICMP-Nachricht "Destination Unreachable-Fragmentation Needed and DF Set" gesendet und das Paket gelöscht.Wenn das DF-Flag auf 0 gesetzt ist, wird die IPv4-Paketnutzlast fragmentiert.

10. Im ARP-Cache der Schnittstelle für den nächsten Hop wird nach einem Eintraggesucht, der mit der IPv4-Adresse für den nächsten Hop übereinstimmt.

11. Wenn der ARP-Cache einen Eintrag enthält, der mit der IPv4-Adresse für dennächsten Hop übereinstimmt, wird die entsprechende MAC-Adresse ermittelt undmit Schritt 13 fortgefahren.

12. Wenn der ARP-Cache keinen Eintrag enthält, der mit der IPv4-Adresse für dennächsten Hop übereinstimmt, wird die MAC-Adresse für die IPv4-Adresse desnächsten Hops über ARP ermittelt.Wenn ARP erfolgreich ist, wird der ARP-Cache mit einem Eintrag aktualisiert, der die IP-Adresse für den nächsten Hop und die entsprechende MAC-Adresse enthält.Wenn ARP nicht erfolgreich ist, wird an den Quellhost die ICMP-Nachricht "Destination Unreachable-Host Unreachable" gesendet und das Paket gelöscht.

13. Das Paket wird mithilfe der MAC-Adresse im ARP-Cacheeintrag gesendet.

In den Abbildungen 10-2 und 10-3 wird der Routerweiterleitungsprozess dargestellt.

Abbildung 10-2 IPv4-Routerweiterleitungsprozess (Teil 1)Abbildung vergrößern

Abbildung 10-3 IPv4-Routerweiterleitungsprozess (Teil 2)Abbildung vergrößern

Dieser Prozess wird von jedem IPv4-Router auf dem Pfad zwischen Quellhost und Zielhost wiederholt.

IPv4 auf dem ZielhostDer folgende Algorithmus wird vom IPv4-Zielhost zum Empfangen eines IPv4-Pakets verwendet:

1. Die IPv4-Headerprüfsumme wird berechnet. Der berechnete Wert wird mit demWert im IPv4-Header des Pakets verglichen. Wenn die Prüfsummen verschiedene Werte haben, wird das Paket gelöscht.

2. Es wird überprüft, ob die Zieladresse im IPv4-Paket mit einer IPv4-Adresseübereinstimmt, die einer lokalen Hostschnittstelle zugewiesen ist.Wenn die Zieladresse keiner lokalen Hostschnittstelle zugewiesen ist, wird das Paket gelöscht.

3. Es wird überprüft, ob der Wert des Protokollfelds mit einem übergeordnetenProtokoll übereinstimmt, das auf dem Host verwendet wird.Wenn das Protokoll nicht vorhanden ist, wird an den Absender die ICMP-Nachricht "Destination Unreachable-Protocol Unreachable" zurückgesendet und das Paketgelöscht.

4. Wenn es sich bei der übergeordneten PDU (Protocol Data Unit) nicht um einTCP-Segment (Transmission Control Protocol) oder eine UDP-Nachricht (User Datagram Protocol) handelt, wird die übergeordnete PDU dem entsprechendenProtokoll übergeben.

5. Wenn es sich bei der übergeordneten PDU um ein TCP-Segment oder eineUDP-Nachricht handelt, wird der Zielport überprüft.Wenn keine Anwendung den UDP-Port abhört, wird an den Absender dieICMP-Nachricht "Destination Unreachable-Port Unreachable" zurückgesendet unddas Paket gelöscht. Wenn keine Anwendung den TCP-Port abhört, wird an denAbsender das TCP-Segment "Connection Reset" zurückgesendet und das Paketgelöscht.

6. Der Inhalt des TCP-Segments oder der UDP-Nachricht wird für die Anwendungverarbeitet, die den UDP- oder TCP-Zielport abhört.

In Abbildung 10-4 wird der IPv4-Empfangsprozess auf dem Zielhost dargestellt.

Abbildung 10-4 IPv4-Empfangsprozess auf dem ZielhostAbbildung vergrößern

Zum Seitenanfang

Schrittweises Beispiel für IPv4-VerkehrIn diesem Abschnitt wird der End-to-End-Übermittlungsprozess dargestellt, indem Sieschrittweise durch ein Beispiel für IPv4-Verkehr geführt werden, bei dem der Benutzerden URL einer Webseite in die Adressleiste eines Webbrowsers eingibt und eine Webseite auf einem Webserver anzeigt. In diesem Beispiel werden folgende Aspekte des IPv4-Verkehrs veranschaulicht:

• Namensauflösung mithilfe von DNS (Domain Name System)

• End-to-End-Übermittlung mit einem Quellhost, Zwischenroutern und einem Zielhost

• Erstellen einer TCP-Verbindung, einschließlich des TCP-Dreiwegehandshakes

• Verwenden von HTTP (Hypertext Transfer Protocol) zum Herunterladen von HTML-Text (Hypertext Markup Language) von einer Webseite

NetzwerkkonfigurationIn Abbildung 10-5 wird ein einfaches privates IPv4-Intranet mit vier Subnetzen dargestellt, die über drei Router miteinander verbunden sind. Das Beispielintranet enthälteinen Webclient, einen DNS-Server und einen Webserver.

Abbildung 10-5 IPv4-Beispielintranet

In den folgenden Abschnitten wird die IPv4-Konfiguration für die einzelnen Komponentenbeschrieben.

WebclientDer Webclient ist mit dem Subnetz 10.0.13.0/24 verbunden und verwendet die IPv4-Adresse 10.0.13.110/24, den Standardgateway 10.0.13.1 und den DNS-Server 10.0.47.91. Der Webclient verfügt über die folgenden Routen:

• 10.0.13.0/24 (direkte Netzwerkroute)

• 0.0.0.0/0 mit der Adresse 10.0.13.1 für den nächsten Hop (Standardroute)

Hinweis: Um die Erläuterungen für jede Komponente des IPv4-Beispielintranets möglichsteinfach zu halten, werden in diesem Beispiel nur die wichtigsten Routen aufgeführt.

Router 1Router 1 ist mit dem Subnetz 10.0.13.0/24 über die IPv4-Adresse 10.0.13.1 und mit demSubnetz 10.0.21.0/24 über die IPv4-Adresse 10.0.21.1 verbunden. Router 1 verfügt überdie folgenden Routen:



• 10.0.47.0/24 mit der Adresse 10.0.21.2 für den nächsten Hop












DNS-ServerDer DNS-Server ist mit dem Subnetz 10.0.47.0/24 verbunden und verwendet die IPv4-Adresse 10.0.47.91/24 und den Standardgateway 10.0.47.1. Der DNS-Serververfügt über die folgenden Routen:



Der DNS-Server verfügt über einen A-Ressourcendatensatz (A – Adresse), durch den derIPv4-Adresse 10.0.48.12 der Name "web1.example.com" zugeordnet wird.

WebserverDer Webserver ist mit dem Subnetz 10.0.48.0/24 verbunden und verwendet die IPv4-Adresse 10.0.48.12/24, den Standardgateway 10.0.48.1 und den DNS-Server 10.0.47.91. Der Webserver verfügt über die folgenden Routen:



Beispiel für WebverkehrFür dieses Beispiel werden die folgenden Annahmen gemacht:

• Die ARP- und Routecaches sind für alle Netzwerkkomponenten leer.

• Der Cache des DNS-Clientauflösungsprogramms auf dem Webclient ist leer.

• Der Webbrowser auf dem Webclient hat den Inhalt der Webseite auf dem Webserver nicht zwischengespeichert.

In diesem Beispiel führt ein Benutzer auf dem Webclient einen Webbrowser aus, gibt indessen Adressleiste die Adresse http://web1.example.com/example.htm ein unddrückt die EINGABETASTE. Die Computer in diesem Beispielintranet senden die folgendenNachrichten:

1. Der Webclient sendet eine DNS-Name Query Request-Nachricht an den DNS-Server.

2. Der DNS-Server sendet eine DNS-Name Query Response-Nachricht an den Webclient.

3. Der Webclient sendet ein TCP-SYN-Segment (Synchronisierungssegment) an den Webserver.

4. Der Webserver sendet ein TCP-SYN-ACK-Segment zur Bestätigung an denWebclient.

5. Der Webclient sendet ein TCP-ACK-Segment an den Webserver.

6. Der Webclient sendet eine HTTP GET-Nachricht an den Webserver.

7. Der Webserver sendet eine HTTP GET-Response-Nachricht an den Webclient.

In den folgenden Abschnitten wird die End-to-End-Übermittlung jeder dieser Nachrichtenbeschrieben.

DNS-Name Query Request-Nachricht an den DNS-ServerDer folgende Prozess wird durchgeführt, wenn der Webclient eine DNS-Name QueryRequest-Nachricht an den DNS-Server sendet:

1. Der Webbrowser analysiert die Adresse in der Adressleiste und verwendet die gethostbyname()-Funktion oder die getaddrinfo()-Funktion von Windows Socketsfür den Versuch, den Namen "web1.example.com" in seine IPv4-Adresseaufzulösen. In diesem Beispiel speichert der DNS-Server lediglich einen einzelnenA-Datensatz für den Namen "web1.example.com".

2. Der Webclient erstellt eine DNS-Name Query Request-Nachricht mit der IPv4-Quelladresse 10.0.13.110 und der IPv4-Zieladresse 10.0.47.91.

3. Der Webclient sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.47.91 und findet keine Übereinstimmungen.

http://web1.example.com/example.htm

4. Der Webclient führt den Routenermittlungsprozess durch, um für die IPv4-Adresse10.0.47.91 nach der nächsten passenden Route zu suchen. Die nächste passendeRoute ist die Standardroute 0.0.0.0/0. Der Webclient legt die IPv4-Adresse für dennächsten Hop auf 10.0.13.1 fest. Die Schnittstelle für den nächsten Hop wird aufdie Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.

5. Der Webclient aktualisiert seinen Routecache mit einem Eintrag für 10.0.47.91 mitder IPv4-Adresse 10.0.13.1 für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.13.0/24verbunden ist.

6. Der Webclient sucht in seinem ARP-Cache nach einem Eintrag mit der IPv4-Adresse 10.0.13.1 und findet keine Übereinstimmungen.

7. Der Webclient überträgt eine ARP-Request-Nachricht und fragt alle Knoten imSubnetz 10.0.13.0/24 nach der MAC-Adresse der Schnittstelle ab, der die IPv4-Adresse 10.0.13.1 zugewiesen ist.

8. Router 1 empfängt die ARP-Request-Nachricht. Da Router 1 die IPv4-Adresse10.0.13.1 zugewiesen ist, wird von diesem Router dem ARP-Cache ein Eintrag fürdie IPv4-Adresse 10.0.13.110 und die MAC-Adresse der Schnittstelle des Webclients in Subnetz 10.0.13.0/24 hinzugefügt.

9. Router 1 sendet eine ARP-Reply-Unicastnachricht an den Webclient.

10. Der Webclient aktualisiert seinen ARP-Cache mit einem Eintrag für dieIPv4-Adresse 10.0.13.1 und die MAC-Adresse der Schnittstelle von Router 1 imSubnetz 10.0.13.0/24.

11. Der Webclient sendet die für 10.0.47.91 bestimmte DNS-Name QueryRequest-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 1 imSubnetz 10.0.13.0/24.

12. Router 1 empfängt die DNS-Name Query Request-Nachricht.

13. Router 1 sucht in seinem Routecache nach einem Eintrag für 10.0.47.91 und findetkeine Übereinstimmungen.

14. Router 1 führt den Routenermittlungsprozess für die Zieladresse 10.0.47.91 durch.Die nächste passende Route ist die Route für 10.0.47.0/24. Router 1 legt dieAdresse für den nächsten Hop auf 10.0.21.2 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.21.0/24 verbunden ist.

15. Router 1 aktualisiert seinen Routecache mit einem Eintrag für 10.0.47.91 mit derIPv4-Adresse 10.0.21.2 für den nächsten Hop und mit der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.21.0/24verbunden ist.

16. Router 1 sucht in seinem ARP-Cache nach einem Eintrag mit der IPv4-Adresse10.0.21.2 und findet keine Übereinstimmung.

17. Router 1 überträgt eine ARP-Request-Nachricht und fragt alle Knoten im Subnetz10.0.21.0/24 nach der MAC-Adresse der Schnittstelle ab, der die IPv4-Adresse 10.0.21.2 zugewiesen ist.

18. Router 2 empfängt die ARP-Request-Nachricht. Da Router 2 die IPv4-Adresse10.0.21.2 zugewiesen ist, wird von diesem Router dem ARP-Cache für dieIPv4-Adresse 10.0.21.1 und die MAC-Adresse der Schnittstelle von Router 1 inSubnetz 10.0.21.0/24 ein Eintrag hinzugefügt.

19. Router 2 sendet eine ARP-Reply-Unicastnachricht an Router 1.

20. Router 1 aktualisiert seinen ARP-Cache mit einem Eintrag für die IPv4-Adresse10.0.21.2 und die MAC-Adresse der Schnittstelle von Router 2 im Subnetz10.0.21.0/24.

21. Router 1 leitet die für 10.0.47.91 bestimmte DNS-Name QueryRequest-Unicastnachricht an die MAC-Adresse von Router 2 im Subnetz10.0.21.0/24 weiter.


23. Router 2 sucht in seinem Routecache nach einem Eintrag für 10.0.47.91 und findetkeine Übereinstimmungen.

24. Router 2 führt den Routenermittlungsprozess für die Zieladresse 10.0.47.91 durch.Die nächste passende Route ist die Route für 10.0.47.0/24 (eine direkteNetzwerkroute). Router 2 legt die Adresse für den nächsten Hop auf dieZieladresse 10.0.47.91 des Pakets fest. Die Schnittstelle für den nächsten Hopwird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.47.0/24 verbunden ist.

25. Router 2 aktualisiert seinen Routecache mit einem Eintrag für 10.0.47.91 mit derIPv4-Adresse 10.0.47.91 für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.47.0/24verbunden ist.


27. Router 2 überträgt eine ARP-Request-Nachricht und fragt alle Knoten im Subnetz10.0.47.0/24 nach der MAC-Adresse der Schnittstelle, der die IPv4-Adresse 10.0.47.91 zugewiesen ist.

28. Der DNS-Server empfängt die ARP-Request-Nachricht. Da dem DNS-Server dieIPv4-Adresse 10.0.47.91 zugewiesen ist, wird von diesem Server dem ARP-Cachefür die IPv4-Adresse 10.0.47.1 und die MAC-Adresse der Schnittstelle vonRouter 2 in Subnetz 10.0.47.0/24 ein Eintrag hinzugefügt.

29. Der DNS-Server sendet eine ARP-Reply-Unicastnachricht an Router 2.

30. Router 2 aktualisiert seinen ARP-Cache mit einem Eintrag für die IPv4-Adresse10.0.47.91 und die MAC-Adresse der Schnittstelle des DNS-Servers im Subnetz 10.0.47.0/24.

31. Router 2 leitet die für 10.0.47.91 bestimmte DNS-Name QueryRequest-Unicastnachricht an die MAC-Adresse der Schnittstelle des DNS-Servers im Subnetz 10.0.47.0/24 weiter.

32. Der DNS-Server empfängt das Paket und übergibt die DNS-Name QueryRequest-Nachricht an den DNS-Serverdienst.

33. Der DNS-Serverdienst findet den A-Datensatz für den Namen"web1.example.com" und löst diesen in die IPv4-Adresse 10.0.48.12 auf.

Bei der End-to-End-Übermittlung der DNS-Name Query Request-Nachricht geschiehtFolgendes:

• Der Webclient sendet die DNS-Name Query Request-Nachricht, und Router 1 undRouter 2 leiten diese über die Subnetze 10.0.13.0/24, 10.0.21.0/24 und 10.0.47.0/24an den DNS-Server weiter.

• Der Routecache des Webclients enthält einen Eintrag für 10.0.47.91. Der ARP-Cachedes Webclients enthält einen Eintrag für 10.0.13.1.

• Der Routecache von Router 1 enthält einen Eintrag für 10.0.47.91. Der ARP-Cache vonRouter 1 enthält Einträge für 10.0.13.110 und 10.0.21.2.


• Der ARP-Cache des DNS-Servers enthält einen Eintrag für 10.0.47.1.

DNS-Name Query Response-Nachricht an den WebclientWenn der DNS-Server an den Webclient eine DNS-Name Query Response-Nachricht sendet, wird der folgende Prozess durchgeführt:

1. Der Webclient erstellt eine DNS-Name Query Response-Nachricht mit der IPv4-Quelladresse 10.0.47.91 und der IPv4-Zieladresse 10.0.13.110.

2. Der DNS-Server sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.13.110 und findet keine Übereinstimmung.

3. Der DNS-Server führt den Routenermittlungsprozess durch, um für dieIPv4-Adresse 10.0.13.110 nach der nächsten passenden Route zu suchen. Dienächste passende Route ist die Standardroute 0.0.0.0/0. Der DNS-Server legt dieIPv4-Adresse für den nächsten Hop auf 10.0.47.1 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.47.0/24 verbunden ist.

4. Der DNS-Server aktualisiert seinen Routecache mit einem Eintrag für 10.0.13.110mit der IPv4-Adresse 10.0.47.1 für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.47.0/24verbunden ist.

5. Der DNS-Server sucht in seinem ARP-Cache nach einem Eintrag für dieIPv4-Adresse 10.0.47.1 und findet eine Übereinstimmung.

6. Mithilfe des ARP-Cacheeintrags für 10.0.47.1 sendet der DNS-Server die für10.0.13.110 bestimmte DNS-Name Query Response-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 2 im Subnetz 10.0.47.0/24 weiter.

7. Router 2 empfängt die DNS-Name Query Response-Nachricht.

8. Router 2 sucht in seinem Routecache nach einem Eintrag für 10.0.13.110 undfindet keine Übereinstimmung.

9. Router 2 führt den Routenermittlungsprozess für die Zieladresse 10.0.13.110durch. Die nächste passende Route ist die Route für 10.0.13.0/24. Router 2 legtdie Adresse für den nächsten Hop auf 10.0.21.1 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.21.0/24 verbunden ist.


11. Router 2 sucht in seinem ARP-Cache nach einem Eintrag mit der IPv4-Adresse10.0.21.1 und findet eine Übereinstimmung.

12. Mithilfe des ARP-Cacheeintrags für 10.0.21.1 leitet Router 2 die für 10.0.13.110bestimmte DNS-Name Query Response-Unicastnachricht an die MAC-Adresse vonRouter 1 im Subnetz 10.0.21.0/24 weiter.

13. Router 1 empfängt die DNS-Name Query Response-Nachricht.


15. Router 1 führt den Routenermittlungsprozess für die Zieladresse 10.0.13.110durch. Die nächste passende Route ist die Route für 10.0.13.0/24 (eine direkteNetzwerkroute). Router 1 legt die Adresse für den nächsten Hop auf dieZieladresse 10.0.13.110 des Pakets fest. Die Schnittstelle für den nächsten Hopwird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.



18. Mithilfe des ARP-Cacheeintrags für 10.0.13.110 leitet Router 1 die für 10.0.13.110bestimmte DNS-Name Query Response-Unicastnachricht an die MAC-Adresse der Schnittstelle des Webclients im Subnetz 10.0.13.0/24 weiter.

19. Der Webclient empfängt das Paket und übergibt die DNS-Name QueryResponse-Nachricht an den DNS-Clientdienst.

20. Der DNS-Clientdienst auf dem Webclient übergibt die aufgelöste IPv4-Adresse10.0.48.12 an Windows Sockets.

21. Windows Sockets übergibt die aufgelöste IPv4-Adresse 10.0.48.12 an denWebbrowser.

Bei der End-to-End-Übermittlung der DNS-Name Query Response-Nachricht geschiehtFolgendes:

• Der DNS-Server sendet die DNS-Name Query Response-Nachricht, und Router 2 sowieRouter 1 leiten diese über die Subnetze 10.0.47.0/24, 10.0.21.0/24 und 10.0.13.0/24an den Webclient weiter.

• Der Routecache des DNS-Servers enthält einen neuen Eintrag für 10.0.13.110.

• Der Routecache von Router 2 enthält einen neuen Eintrag für 10.0.13.110.


TCP-SYN-Segment an den WebserverNachdem der Name des Webservers in eine IPv4-Adresse aufgelöst wurde, muss derWebclient eine TCP-Verbindung mit dem Webserver herstellen. TCP-Verbindungen werden über einen Dreiwegehandshake initiiert, der sich aus folgenden Elementenzusammensetzt:

• Ein vom Webclient gesendetes TCP-SYN-Segment

• Ein vom Webserver gesendetes TCP-SYN-ACK-Segment

• Ein vom Webclient gesendetes TCP-ACK-Segment

Wenn der Webclient das TCP-SYN-Segment an den Webserver sendet, wird der folgende Prozess durchgeführt:

1. Sobald der Webbrowser von Windows Sockets die aufgelöste Adresse 10.0.48.12erhält, wird von Windows Sockets mithilfe der connect()-Funktion eine TCP-Verbindung zwischen Webclient und Webserver hergestellt.

2. Der Webclient erstellt ein TCP-SYN-Segment mit der IPv4-Quelladresse 10.0.13.110 und der IPv4-Zieladresse 10.0.48.12.

3. Der Webclient sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.48.12 und findet keine Übereinstimmung.

4. Der Webclient führt den Routenermittlungsprozess durch, um für die IPv4-Adresse10.0.48.12 nach der nächsten passenden Route zu suchen. Die nächste passendeRoute ist die Standardroute 0.0.0.0/0. Der Webclient legt die IPv4-Adresse für dennächsten Hop auf 10.0.13.1 fest. Die Schnittstelle für den nächsten Hop wird aufdie Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.

5. Der Webclient aktualisiert seinen Routecache mit einem Eintrag für 10.0.48.12 mitder IPv4-Adresse 10.0.13.1 für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.13.0/24verbunden ist.

6. Der Webclient sucht in seinem ARP-Cache nach einem Eintrag für die IPv4-Adresse10.0.13.1 und findet eine Übereinstimmung.

7. Mithilfe des ARP-Cacheeintrags für 10.0.13.1 sendet der Webclient das für10.0.48.12 bestimmte TCP-SYN-Unicastsegment an die MAC-Adresse der Schnittstelle von Router 1 im Subnetz 10.0.13.0/24.

8. Router 1 empfängt das TCP-SYN-Segment.

9. Router 1 sucht in seinem Routecache nach einem Eintrag für 10.0.48.12 und findetkeine Übereinstimmung.

10. Router 1 führt den Routenermittlungsprozess für die Zieladresse 10.0.48.12 durch.Die nächste passende Route ist die Route für 10.0.48.0/24. Router 1 legt dieAdresse für den nächsten Hop auf 10.0.21.3 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.21.0/24 verbunden ist.

11. Router 1 aktualisiert seinen Routecache mit einem Eintrag für 10.0.48.12 mit derIPv4-Adresse 10.0.21.3 für den nächsten Hop und mit der Schnittstelle für den

nächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.21.0/24verbunden ist.


13. Router 1 überträgt eine ARP-Request-Nachricht und fragt alle Knoten im Subnetz10.0.21.0/24 nach der MAC-Adresse der Schnittstelle, der die IPv4-Adresse 10.0.21.3 zugewiesen ist.

14. Router 3 empfängt die ARP-Request-Nachricht. Da Router 3 die IPv4-Adresse10.0.21.3 zugewiesen ist, wird von diesem Router dem ARP-Cache ein Eintrag fürdie IPv4-Adresse 10.0.21.1 und die MAC-Adresse der Schnittstelle von Router 1 inSubnetz 10.0.21.0/24 hinzugefügt.

15. Router 3 sendet eine ARP-Reply-Unicastnachricht an Router 1.

16. Router 1 aktualisiert seinen ARP-Cache mit einem Eintrag für die IPv4-Adresse10.0.21.3 und die MAC-Adresse der Schnittstelle von Router 3 im Subnetz10.0.21.0/24.

17. Router 1 leitet das für 10.0.48.12 bestimmte TCP-SYN-Unicastsegment an dieMAC-Adresse von Router 3 im Subnetz 10.0.21.0/24 weiter.

18. Router 3 empfängt das TCP-SYN-Segment.

19. Router 3 sucht in seinem Routecache nach einem Eintrag für 10.0.48.12 und findetkeine Übereinstimmung.

20. Router 3 führt den Routenermittlungsprozess für die Zieladresse 10.0.48.12 durch.Die nächste passende Route ist die Route für 10.0.48.0/24 (eine direkteNetzwerkroute). Router 3 legt die Adresse für den nächsten Hop auf dieZieladresse 10.0.48.12 des Pakets fest. Die Schnittstelle für den nächsten Hopwird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.48.0/24 verbunden ist.



23. Router 3 überträgt eine ARP-Request-Nachricht und fragt alle Knoten im Subnetz10.0.48.0/24 nach der MAC-Adresse der Schnittstelle ab, der die IPv4-Adresse 10.0.48.12 zugewiesen ist.

24. Der Webserver empfängt die ARP-Request-Nachricht. Da dem Webserver dieIPv4-Adresse 10.0.48.12 zugewiesen ist, wird von diesem Server dem ARP-Cache ein Eintrag für die IPv4-Adresse 10.0.48.1 und die MAC-Adresse der Schnittstellevon Router 3 in Subnetz 10.0.48.0/24 hinzugefügt.

25. Der Webserver sendet eine ARP-Request-Unicastnachricht an Router 3.

26. Router 3 aktualisiert seinen ARP-Cache mit einem Eintrag für die IPv4-Adresse10.0.48.12 und die MAC-Adresse der Schnittstelle des Webservers im Subnetz 10.0.48.0/24.

27. Router 3 leitet das für 10.0.48.12 bestimmte TCP-SYN-Unicastsegment an dieMAC-Adresse der Schnittstelle des Webservers im Subnetz 10.0.48.0/24 weiter.

28. Der Webserver empfängt das TCP-SYN-Segment.

Bei der End-to-End-Übermittlung des TCP-SYN-Segments geschieht Folgendes:

• Der Webclient sendet das TCP-SYN-Segment, und Router 1 sowie Router 3 leiten diesesüber die Subnetze 10.0.13.0/24, 10.0.21.0/24 und 10.0.48.0/24 an den Webserverweiter.

• Der Routecache des Webclients enthält einen neuen Eintrag für 10.0.48.12.

• Der Routecache von Router 1 enthält einen neuen Eintrag für 10.0.48.12. DerARP-Cache von Router 1 enthält einen neuen Eintrag für 10.0.21.3.


• Der ARP-Cache des Webservers enthält einen Eintrag für 10.0.48.1.

TCP-SYN-ACK-Segment an den WebclientWenn der Webserver an den Webclient ein TCP-SYN-ACK-Segment sendet, wird der folgende Prozess durchgeführt:

1. Der Webserver erstellt ein TCP-SYN-ACK-Segment mit der IPv4-Quelladresse 10.0.48.12 und der IPv4-Zieladresse 10.0.13.110.

2. Der Webserver sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.13.110 und findet keine Übereinstimmung.

3. Der Webserver führt den Routenermittlungsprozess durch, um für dieIPv4-Adresse 10.0.13.110 nach der nächsten passenden Route zu suchen. Dienächste passende Route ist die Standardroute 0.0.0.0/0. Der Webserver legt dieIPv4-Adresse für den nächsten Hop auf 10.0.48.1 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.48.0/24 verbunden ist.

4. Der Webserver aktualisiert seinen Routecache mit einem Eintrag für 10.0.13.110mit der IPv4-Adresse 10.0.48.1 für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz 10.0.48.0/24verbunden ist.

5. Der Webserver sucht in seinem ARP-Cache nach einem Eintrag für dieIPv4-Adresse 10.0.48.1 und findet eine Übereinstimmung.

6. Mithilfe des ARP-Cacheeintrags für 10.0.48.1 sendet der Webserver das für10.0.13.110 bestimmte TCP-SYN-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle von Router 3 im Subnetz 10.0.48.0/24.

7. Router 3 empfängt das TCP-SYN-ACK-Segment.


9. Router 3 führt den Routenermittlungsprozess für die Zieladresse 10.0.13.110durch. Die nächste passende Route ist die Route für 10.0.13.0/24. Router 3 legtdie Adresse für den nächsten Hop auf 10.0.21.1 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.21.0/24 verbunden ist.



12. Mithilfe des ARP-Cacheeintrags für 10.0.21.1 leitet Router 3 das für 10.0.13.110bestimmte TCP-SYN-ACK-Unicastsegment an die MAC-Adresse von Router 1 imSubnetz 10.0.21.0/24 weiter.

13. Router 1 empfängt das TCP-SYN-ACK-Segment.

14. Router 1 sucht in seinem Routecache nach einem Eintrag für 10.0.13.110 undfindet eine Übereinstimmung.

15. Mithilfe des Routecacheeintrags für 10.0.13.110 legt Router 1 die Adresse für dennächsten Hop auf 10.0.13.110 fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.


17. Mithilfe des ARP-Cacheeintrags für 10.0.13.110 leitet Router 1 das für 10.0.13.110bestimmte TCP-SYN-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle des Webclients im Subnetz 10.0.13.0/24 weiter.

18. Der Webclient empfängt das TCP-SYN-ACK-Segment.

Bei der End-to-End-Übermittlung des TCP-SYN-ACK-Segments geschieht Folgendes:

• Der Webserver sendet das TCP-SYN-ACK-Segment, und Router 3 sowie Router 1 leitendieses über die Subnetze 10.0.48.0/24, 10.0.21.0/24 und 10.0.13.0/24 an denWebclient weiter.

• Der Routecache des Webservers enthält einen neuen Eintrag für 10.0.13.110.


TCP-ACK-Segment an den WebserverWenn der Webclient an den Webserver ein TCP-ACK-Segment sendet, wird der folgende Prozess durchgeführt:

1. Der Webclient erstellt ein TCP-ACK-Segment mit der IPv4-Quelladresse 10.0.13.110 und der IPv4-Zieladresse 10.0.48.12.

2. Der Webclient sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.48.12 und findet eine Übereinstimmung.

3. Mithilfe des Routecacheeintrags für 10.0.48.12 legt der Webclient die Adresse fürden nächsten Hop auf 10.0.13.1 fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.


5. Mithilfe des ARP-Cacheeintrags für 10.0.13.1 sendet der Webclient das für10.0.48.12 bestimmte TCP-ACK-Unicastsegment an die MAC-Adresse derSchnittstelle von Router 1 im Subnetz 10.0.13.0/24.

6. Router 1 empfängt das TCP-ACK-Segment, sucht in seinem Routecache nacheinem Eintrag für 10.0.48.12 und findet eine Übereinstimmung.

7. Mithilfe des Routecacheeintrags für 10.0.48.12 legt Router 1 die Adresse für dennächsten Hop auf 10.0.21.3 fest. Die Schnittstelle für den nächsten Hop wird aufdie Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.21.0/24 verbunden ist.


9. Mithilfe des ARP-Cacheeintrags für 10.0.21.3 leitet Router 1 das für 10.0.48.12bestimmte TCP-ACK-Unicastsegment an die MAC-Adresse von Router 3 imSubnetz 10.0.21.0/24 weiter.

10. Router 3 empfängt das TCP-ACK-Segment, sucht in seinem Routecache nacheinem Eintrag für 10.0.48.12 und findet eine Übereinstimmung.

11. Mithilfe des Routecacheeintrags für 10.0.48.12 legt Router 3 die Adresse für dennächsten Hop auf die Zieladresse 10.0.48.12 des Pakets fest. Die Schnittstelle fürden nächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.48.0/24 verbunden ist.


13. Mithilfe des ARP-Cacheeintrags für 10.0.48.12 leitet Router 3 das für 10.0.48.12bestimmte TCP-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle des Webservers im Subnetz 10.0.47.0/24 weiter.

14. Der Webserver empfängt das TCP-ACK-Segment.

15. Windows Sockets meldet dem Webbrowser den erfolgreichen Abschluss der angeforderten TCP-Verbindung.

Der Webclient sendet das TCP-ACK-Segment, das Router 1 und Router 3 über dieSubnetze 10.0.13.0/24, 10.0.21.0/24 und 10.0.48.0/24 an den Webserver weitergeleitet haben.

HTTP GET-Nachricht an den WebserverUm den Inhalt einer Webseite herunterzuladen, sendet ein Webbrowser eine HTTP GET-Nachricht, die den Namen der Seite enthält. Wenn der Webclient eine HTTPGET-Nachricht an den Webserver sendet, wird der folgende Prozess durchgeführt:

1. Wenn der Webbrowser über den Abschluss der TCP-Verbindung benachrichtigtwird, erstellt dieser eine HTTP GET-Nachricht, durch die der Inhalt der Webseite beim Webserver angefordert wird. Die IPv4-Quelladresse in der Nachricht ist 10.0.13.110, und die IPv4-Zieladresse ist 10.0.48.12.

2. Der Webclient sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.48.12 und findet eine Übereinstimmung.

3. Mithilfe des Routecacheeintrags für 10.0.48.12 legt der Webclient die Adresse fürden nächsten Hop auf 10.0.13.1 fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.


5. Mithilfe des ARP-Cacheeintrags für 10.0.13.1 sendet der Webclient die für10.0.48.12 bestimmte HTTP GET-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 1 im Subnetz 10.0.13.0/24.

6. Router 1 empfängt die HTTP GET-Nachricht, sucht in seinem Routecache nacheinem Eintrag für 10.0.48.12 und findet eine Übereinstimmung.



9. Mithilfe des ARP-Cacheeintrags für 10.0.21.3 leitet Router 1 die für 10.0.48.12bestimmte HTTP GET-Unicastnachricht an die MAC-Adresse von Router 3 imSubnetz 10.0.21.0/24 weiter.

10. Router 3 empfängt die HTTP GET-Nachricht, sucht in seinem Routecache nacheinem Eintrag für 10.0.48.12 und findet eine Übereinstimmung.

11. Mithilfe des Routecacheeintrags für 10.0.48.12 legt Router 3 die Adresse für dennächsten Hop auf die Zieladresse 10.0.48.12 des Pakets fest. Die Schnittstelle fürden nächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.48.0/24 verbunden ist.


13. Mithilfe des ARP-Cacheeintrags für 10.0.48.12 leitet Router 3 die für 10.0.48.12bestimmte HTTP GET-Unicastnachricht an die MAC-Adresse der Schnittstelle des Webservers im Subnetz 10.0.47.0/24 weiter.

14. Der Webserver empfängt die HTTP GET-Nachricht.

Der Webclient sendet die HTTP GET-Nachricht, die Router 1 und Router 3 über dieSubnetze 10.0.13.0/24, 10.0.21.0/24 und 10.0.48.0/24 an den Webserver weitergeleitet haben.

HTTP GET-Response-Nachricht an den WebclientDie Antwort auf eine HTTP GET-Nachricht ist eine HTTP GET-Response-Nachricht, die den HTML-Text der Webseite enthält. Um dieses Beispiel zu vereinfachen, wird davonausgegangen, dass die gesamte Webseite in ein einzelnes TCP-Segment passt. Wenn der Webserver die HTTP GET-Response-Nachricht an den Webclient sendet, geschieht

Folgendes:

1. Der Webserver erstellt eine HTTP GET-Response-Nachricht mit der IPv4-Quelladresse 10.0.48.12 und der IPv4-Zieladresse 10.0.13.110.

2. Der Webserver sucht in seinem Routecache nach einem Eintrag für dieIPv4-Adresse 10.0.13.110 und findet eine Übereinstimmung.

3. Mithilfe des Routecacheeintrags für 10.0.13.110 legt der Webserver dieIPv4-Adresse für den nächsten Hop auf 10.0.48.1 fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz10.0.48.0/24 verbunden ist.

4. Der Webserver sucht in seinem ARP-Cache nach einem Eintrag für dieIPv4-Adresse 10.0.48.1 und findet eine Übereinstimmung.

5. Mithilfe des ARP-Cacheeintrags für 10.0.48.1 sendet der Webserver die für10.0.13.110 bestimmte HTTP GET-Response-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 3 im Subnetz 10.0.48.0/24.

6. Router 3 empfängt die HTTP GET-Response-Nachricht.




10. Mithilfe des ARP-Cacheeintrags für 10.0.21.1 leitet Router 3 die für 10.0.13.110bestimmte HTTP GET-Response-Unicastnachricht an die MAC-Adresse vonRouter 1 im Subnetz 10.0.21.0/24 weiter.



13. Mithilfe des Routecacheeintrags für 10.0.13.110 legt Router 1 die Adresse für dennächsten Hop auf 10.0.13.110 fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 10.0.13.0/24 verbunden ist.


15. Mithilfe des ARP-Cacheeintrags für 10.0.13.110 leitet Router 1 die für 10.0.13.110bestimmte HTTP GET-Response-Unicastnachricht an die MAC-Adresse der Schnittstelle des Webclients im Subnetz 10.0.13.0/24 weiter.

16. Der Webclient empfängt die HTTP GET-Response-Nachricht.

17. Der Webbrowser erstellt eine Ansicht für die Webseite"http://web1.example.com/example.htm".

Der Webserver sendet die HTTP GET-Response-Nachricht, die Router 3 und Router 1 überdie Subnetze 10.0.48.0/24, 10.0.21.0/24 und 10.0.13.0/24 an den Webclient weitergeleitet haben.

Zum Seitenanfang

IPv6-End-to-End-ÜbermittlungsprozessDer End-to-End-Übermittlungsprozess für IPv6-Verkehr erfolgt ähnlich wie bei IPv4:

• Der Quellhost sendet das Paket entweder an einen Router oder an das endgültige Ziel(wenn es sich bei diesem Ziel um einen Nachbarn handelt).


• Der Router leitet das Paket entweder an einen anderen Router oder an das endgültigeZiel (wenn es sich bei diesem Ziel um einen Nachbarn handelt) weiter.

• Der Zielhost empfängt das Paket und übergibt die Daten an die entsprechendeAnwendung.

Hinweis: Für die folgenden Prozesse wird davon ausgegangen, dass der IPv6-Headerkeine Erweiterungsheader enthält.

IPv6 auf dem QuellhostDer Prozess, durch den ein IPv6-Host ein IPv6-Paket sendet, ist von einer Kombination von lokalen Hostdatenstrukturen und dem Protokoll zur Nachbarsuche abhängig. ZumSenden eines Pakets an ein beliebiges Ziel wird vom IPv6-Host der folgende Algorithmus verwendet:

1. Ein Standardwert oder ein durch die Anwendung vorgegebener Wert wird für dasFeld "Hop Limit" angegeben.

2. Im Zielcache wird nach einem Eintrag gesucht, der mit der Zieladresseübereinstimmt. Der Zielcache ist eine Tabelle, in der die IPv6-Adressen und-Schnittstellen des nächsten Hops für Ziele gespeichert werden, an die vor kurzemDatenverkehr gesendet wurde. Der Zielcache kann mit dem Befehl netsh interface ipv6 show destinationcache angezeigt werden.

3. Wenn der Zielcache einen Eintrag enthält, der mit der Zieladresse übereinstimmt,wird dem Zielcacheeintrag der Adressen- und Schnittstelleníndex für den nächstenHop entnommen und mit Schritt 8 fortgefahren.

4. In der lokalen IPv6-Routingtabelle wird nach der längsten passenden Route mitder niedrigsten Metrik zur Zieladresse gesucht. Wenn mehrere längste passendeRouten über die niedrigste Metrik verfügen, wird eine zu verwendende Routeausgewählt.

5. Auf Grundlage der ausgewählten Route wird die Schnittstelle und Adresse für dennächsten Hop ermittelt, die für die Weiterleitung des Pakets verwendet werden.

6. Wenn keine Route gefunden wurde, wird davon ausgegangen, dass das Ziel direkt erreicht werden kann. Die IPv6-Adresse für den nächsten Hop wird auf dieZieladresse festgelegt, und eine Schnittstelle wird ausgewählt.

7. Der Zielcache wird aktualisiert.

8. Im Nachbarcache wird ein Entrag gesucht, der mit der Adresse für den nächstenHop übereinstimmt. Im Nachbarcache werden IPv6-Adressen und dieentsprechende MAC-Adresse gespeichert. Der Nachbarcache kann mit dem Befehl netsh interface ipv6 show neighbors angezeigt werden.

9. Wenn der Nachbarcache einen Eintrag enthält, der mit der Adresse für dennächsten Hop übereinstimmt, wird die Adresse der Verbindungsschicht ermitteltund mit Schritt 12 fortgefahren.

10. Wenn der Nachbarcache keinen Eintrag enthält, der mit der Adresse für dennächsten Hop übereinstimmt, wird die Adressauflösung verwendet, um dieAdresse der Verbindungsschicht für den nächsten Hop zu ermitteln. DieAdressauflösung ist ein Austausch von Nachrichten für Multicastnachbaranfragenund Unicastnachbarankündigungen.

11. Wenn die Adressauflösung fehlschlägt, wird ein Fehler gesendet.

12. Das Paket wird mithilfe der Adresse der Verbindungsschicht für denNachbarcacheeintrag gesendet.

In Abbildung 10-6 wird der IPv6-Sendeprozess für einen Quellhost angezeigt.

Abbildung 10-6 IPv6-Sendeprozess für einen QuellhostAbbildung vergrößern

IPv6 auf dem RouterEin IPv6-Router verwendet den folgenden Algorithmus zum Empfangen und Weiterleiten eines Pakets an ein beliebiges Unicast- oder Anycastziel:

1. Es werden optionale Überprüfungen auf Headerfehler durchgeführt. So wird z. B.sichergestellt, dass das Feld "Version" den Wert 6 hat und die Quelladresse nicht die Loopbackadresse (::1) oder eine Multicastadresse ist.

2. Es wird überprüft, ob die Zieladresse im IPv6-Paket mit einer Adresseübereinstimmt, die einer Routerschnittstelle zugewiesen ist.In diesem Fall wird das IPv6-Paket als Zielhost verarbeitet. (Siehe Schritt 3 unter"IPv6 auf dem Zielhost" in diesem Kapitel.)

3. Der Wert des Felds "Hop Limit" wird um 1 verringert.Wenn der Wert des Felds "Hop Limit" 1 unterschreitet, wird an den Absender die ICMPv6-Nachricht (Internet Control Message Protocol für IPv6) "TimeExceeded-Hop Limit Exceeded in Transit" gesendet und das Paket gelöscht.

4. Wenn der Wert des Felds "Hop Limit" größer als 0 ist, wird im IPv6-Header desPakets das Feld "Hop Limit" aktualisiert.

5. Im Zielcache wird nach einem Eintrag gesucht, der mit der Zieladresseübereinstimmt.

6. Wenn der Zielcache einen Eintrag enthält, der mit der Zieladresse übereinstimmt,wird dem Zielcacheeintrag die IPv6-Adresse und -Schnittstelle für den nächstenHop entnommen und mit Schritt 10 fortgefahren.

7. In der lokalen IPv6-Routingtabelle wird nach der längsten passenden Route zurIPv6-Zieladresse gesucht.

8. Auf Grundlage der längsten passenden Route werden für die Weiterleitung desPakets IPv6-Adresse und -Schnittstelle für den nächsten Hop ermittelt. Wennkeine Route gefunden wird, sendet der Router die ICMPv6-Nachricht "Destination Unreachable-No Route to Destination" an den Quellhost und löscht das Paket.

9. Der Zielcache wird aktualisiert.

10. Die IP-MTU der Schnittstelle für den nächsten Hop wird mit der Größe desweitergeleiteten IPv6-Pakets verglichen. Wenn die IP-MTU der Schnittstelle für den nächsten Hop die Paketgrößeunterschreitet, wird die ICMPv6-Nachricht "Packet Too Big" an den Quellhost gesendet und das Paket gelöscht.

11. Im Nachbarcache wird ein Entrag gesucht, der mit der IPv6-Adresse für dennächsten Hop übereinstimmt.

12. Wenn der Nachbarcache einen Eintrag enthält, der mit der IPv6-Adresse für dennächsten Hop übereinstimmt, wird die Adresse der Verbindungsschicht ermittelt.

13. Wenn der Nachbarcache keinen Eintrag enthält, der mit der Adresse für dennächsten Hop übereinstimmt, wird die Adresse der Verbindungsschicht für dieAdresse des nächsten Hops mithilfe der Adressauflösung ermittelt.Wenn die Adressauflösung fehlschlägt, wird die ICMPv6-Nachricht "DestinationUnreachable-Address Unreachable" an den Quellhost gesendet und das Paketgelöscht.

14. Das Paket wird mithilfe der Adresse der Verbindungsschicht für denNachbarcacheeintrag gesendet.

In den Abbildungen 10-7 und 10-8 wird der IPv6-Routerweiterleitungsprozess dargestellt.

Abbildung 10-7 IPv6-Routerweiterleitungsprozess(Teil 1)Abbildung vergrößern

Abbildung 10-8 IPv6-Routerweiterleitungsprozess(Teil 2)Abbildung vergrößern

Dieser Prozess wird von jedem IPv6-Router auf dem Pfad zwischen Quellhost und Zielhost wiederholt.

IPv6 auf dem ZielhostDer folgende Algorithmus wird von einem IPv6-Host zum Empfangen eines IPv6-Pakets verwendet:

1. Es werden optionale Überprüfungen auf Headerfehler durchgeführt. So wird z. B.sichergestellt, dass das Feld "Version" den Wert 6 hat und die Quelladresse nicht die Loopbackadresse (::1) oder eine Multicastadresse ist.

2. Es wird überprüft, ob die Zieladresse im IPv6-Paket mit einer IPv6-Adresseübereinstimmt, die einer lokalen Hostschnittstelle zugewiesen ist.Wenn die Zieladresse keiner lokalen Hostschnittstelle zugewiesen ist, wird das IPv6-Paket gelöscht.

3. Es wird überprüft, ob der Wert des Felds "Next Header" mit einem übergeordnetenProtokoll übereinstimmt, das auf dem Host verwendet wird.Wenn das Protokoll nicht vorhanden ist, wird an den Absender dieICMPv6-Nachricht "Parameter Problem-Unrecognized Next Header TypeEncountered" zurückgesendet und das Paket gelöscht.

4. Wenn die übergeordnete PDU weder ein TCP-Segment noch eine UDP-Nachricht ist,wird die übergeordnete PDU an das entsprechende Protokoll übergeben.

5. Wenn es sich bei der übergeordneten PDU um ein TCP-Segment oder eineUDP-Nachricht handelt, wird der Zielport überprüft.Wenn keine Anwendung für die UDP-Portnummer vorhanden ist, wird an denAbsender die ICMPv6-Nachricht "Destination Unreachable-Port Unreachable"zurückgesendet und das Paket gelöscht. Wenn für die TCP-Portnummer keineAnwendung vorhanden ist, wird das TCP-Segment "Connection Reset" an den Absender zurückgesendet und das Paket gelöscht.

6. Wenn für den UDP- oder TCP-Zielport eine Anwendung vorhanden ist, wird derInhalt des TCP-Segments oder der UDP-Nachricht verarbeitet.

In Abbildung 10-9 wird der IPv6-Empfangsprozess auf dem Zielhost dargestellt.

Abbildung 10-9 IPv6-Empfangsprozess auf dem ZielhostAbbildung vergrößern

Zum Seitenanfang

Schrittweises Beispiel für IPv6-VerkehrIn diesem Abschnitt wird der End-to-End-Übermittlungsprozess dargestellt, indem Sieschrittweise durch ein Beispiel für IPv6-Verkehr geführt werden, bei dem der Benutzereinen URL für eine Webseite in die Adressleiste eines Webbrowsers eingibt und eine Webseite auf einem Webserver anzeigt. In diesem Beispiel werden folgende Aspekte des IPv6-Verkehrs veranschaulicht:

• Namensauflösung mithilfe von DNS

• End-to-End-Übermittlung mit einem Quellhost, Zwischenroutern und einem Zielhost

• Erstellen einer TCP-Verbindung

• Verwenden von HTTP zum Herunterladen von HTML-Text von einer Webseite

NetzwerkkonfigurationIn Abbildung 10-10 wird ein einfaches privates IPv6-Intranet mit vier Subnetzendargestellt, die über drei Router miteinander verbunden sind. Das Beispielintranet enthälteinen Webclient, einen DNS-Server und einen Webserver.

Abbildung 10-10 IPv6-Beispielintranet

In den folgenden Abschnitten wird die IPv6-Konfiguration für jede dieser Komponentenbeschrieben.

Webclient Der Webclient ist mit dem Subnetz 3FFE:FFFF:0:13::/64 verbunden und verwendet die IPv6-Adresse 3FFE:FFFF:0:13::1, den Standardrouter FE80::A (Router 1) und denDNS-Server 3FFE:FFFF:0:47::2. Der Webclient verfügt über die folgenden Routen:

• 3FFE:FFFF:0:13::/64 (direkte Netzwerkroute)

• ::/0 mit der Adresse FE80::A für den nächsten Hop (Standardroute)

Hinweis: Um die Erläuterungen für jede Komponente des IPv6-Beispielintranets möglichsteinfach zu halten, werden in diesem Beispiel nur die wichtigsten Routen aufgeführt.

Router 1Router 1 ist mit dem Subnetz 3FFE:FFFF:0:13::/64 über die IPv6-Adresse FE80::A undmit dem Subnetz 3FFE:FFFF:0:21::/64 über die IPv6-Adresse FE80::B verbunden.Router 1 verfügt über die folgenden Routen:



• 3FFE:FFFF:0:47::/64 mit der Adresse FE80::C für den nächsten Hop

• 3FFE:FFFF:0:48::/64 mit der Adresse FE80::E für den nächsten Hop

Router 2Router 2 ist mit dem Subnetz 3FFE:FFFF:0:21::/64 über die IPv6-Adresse FE80::C undmit dem Subnetz 3FFE:FFFF:0:47::/64 über die IPv6-Adresse FE80::D verbunden.Router 2 verfügt über die folgenden Routen:



• 3FFE:FFFF:0:13::/64 mit der Adresse FE80::B für den nächsten Hop

• 3FFE:FFFF:0:48::/64 mit der Adresse FE80::E für den nächsten Hop

Router 3Router 3 ist mit dem Subnetz 3FFE:FFFF:0:21::/64 über die IPv6-Adresse FE80::E undmit dem Subnetz 3FFE:FFFF:0:48::/64 über die IPv6-Adresse FE80::F verbunden.Router 3 verfügt über die folgenden Routen:



• 3FFE:FFFF:0:13::/64 mit der Adresse FE80::B für den nächsten Hop

• 3FFE:FFFF:0:47::/64 mit der Adresse FE80::C für den nächsten Hop

DNS-ServerDer DNS-Server ist mit dem Subnetz 3FFE:FFFF:0:47::/64 verbunden und verwendet die IPv6-Adresse 3FFE:FFFF:0:47::2/24 und den Standardrouter bei FE80::D (Router 2). DerDNS-Server verfügt über die folgenden Routen:


• ::/0 mit der Adresse FE80::D für den nächsten Hop

Der DNS-Server verfügt über einen IPv6-Adressressourcendatensatz (AAAA), durch dender IPv6-Adresse 3FFE:FFFF:0:48::3 der Name "web1.example.com" zugeordnet wird.

Webserver Der Webserver ist mit dem Subnetz 3FFE:FFFF:0:48::/64 verbunden und verwendet die IPv6-Adresse 3FFE:FFFF:0:48::3/24, den Standardrouter FE80::F (Router 3) und denDNS-Server 3FFE:FFFF:0:47::2. Der Webserver verfügt über die folgenden Routen:

• 3FFE:FFFF:0:48::/64 (direkt angefügte Netzwerkroute)

• ::/0 mit der Adresse FE80::F für den nächsten Hop

Beispiel für WebverkehrFür dieses Beispiel wird von Folgendem ausgegangen:

• Die Nachbar- und Zielcaches aller Netzwerkkomponenten sind leer.

• Der Cache des DNS-Clientauflösungsprogramms auf dem Webclient ist leer.

• Der Webbrowser auf dem Webclient hat den Inhalt der Webseite auf dem Webserver nicht zwischengespeichert.

In diesem Beispiel öffnet ein Benutzer auf dem Webclient einen Webbrowser, gibt indessen Adressleiste die Adresse http://web1.example.com/example.htm ein unddrückt die EINGABETASTE. Die Computer in diesem Beispielintranet senden die folgendenNachrichten:

1. Der Webclient sendet eine DNS-Name Query Request-Nachricht an den DNS-Server.

2. Der DNS-Server sendet eine DNS-Name Query Response-Nachricht an den Webclient.

3. Der Webclient sendet ein TCP-SYN-Segment (Synchronisierungssegment) an den Webserver.

4. Der Webserver sendet ein TCP-SYN-ACK-Segment zur Bestätigung an denWebclient.

5. Der Webclient sendet ein TCP-ACK-Segment an den Webserver.

6. Der Webclient sendet eine HTTP GET-Nachricht an den Webserver.

7. Der Webserver sendet eine HTTP GET-Response-Nachricht an den Webclient.

In den folgenden Abschnitten wird die End-to-End-Übermittlung jeder dieser Nachrichtenbeschrieben.

DNS-Name Query Request-Nachricht an den DNS-ServerWenn der Webclient an den DNS-Server eine DNS-Name Query Request-Nachricht sendet, wird der folgende Prozess durchgeführt:

1. Der Webbrowser analysiert die Adresse in der Adressleiste und verwendet die getaddrinfo()-Funktion von Windows Sockets für den Versuch, den Namen"web1.example.com" in seine IPv6-Adresse aufzulösen. In diesem Beispielspeichert der DNS-Server lediglich einen einzelnen AAAA-Datensatz für denNamen "web1.example.com".

2. Der Webclient erstellt eine DNS-Name Query Request-Nachricht mit der IPv6-Quelladresse 3FFE:FFFF:0:13::1 und der IPv6-Zieladresse 3FFE:FFFF:0:47::2.


3. Der Webclient sucht in seinem Zielcache nach einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:47::2 und findet keine Übereinstimmung.

4. Der Webclient führt den Routenermittlungsprozess durch, um für die IPv6-Adresse3FFE:FFFF:0:47::2 nach der nächsten passenden Route zu suchen. DieStandardroute (::/0) ist die nächste passende Route. Der Webclient legt dieIPv6-Adresse für den nächsten Hop auf FE80::A fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz3FFE:FFFF:0:13::/64 verbunden ist.

5. Der Webclient aktualisiert seinen Zielcache mit einem Eintrag für3FFE:FFFF:0:47::2 mit der IPv6-Adresse FE80::A für den nächsten Hop und derSchnittstelle für den nächsten Hop, also mit der Netzwerkkarte, die mit demSubnetz 3FFE:FFFF:0:13::/64 verbunden ist.

6. Der Webclient sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse FE80::A und findet keine Übereinstimmung.

7. Der Webclient sendet eine Nachbaranfragenachricht an die IPv6-Multicastadresse FF02::1:FF00:A des angeforderten Knotens, um das Subnetz 3FFE:FFFF:0:13::/64 nach der MAC-Adresse der Schnittstelle abzufragen, der die IPv6-Adresse FE80::A zugewiesen ist.

8. Da Router 1 die Multicastadresse FF02::1:FF00:A des angeforderten Knotensabhört, empfängt der Router eine Nachbaranfragenachricht. Der Router fügtseinem Nachbarcache einen Eintrag für die IPv6-Adresse 3FFE:FFFF:0:13::1 unddie MAC-Adresse der Schnittstelle des Webclients im Subnetz 3FFE:FFFF:0:13::/64 hinzu.

9. Router 1 sendet eine Unicastnachricht für die Nachbarankündigung an denWebclient.

10. Der Webclient fügt seinem Nachbarcache einen Eintrag für die IPv6-AdresseFE80::A und die MAC-Adresse der Schnittstelle von Router 1 im Subnetz3FFE:FFFF:0:13::/64 hinzu.

11. Der Webclient sendet die für 3FFE:FFFF:0:47::2 bestimmte DNS-Name QueryRequest-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 1 imSubnetz 3FFE:FFFF:0:13::/64.


13. Router 1 sucht in seinem Zielcache nach einem Eintrag für 3FFE:FFFF:0:47::2 undfindet keine Übereinstimmung.

14. Router 1 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:0:47::2 durch. Die nächste passende Route ist die Route für3FFE:FFFF:0:47::/64. Router 1 legt die Adresse für den nächsten Hop auf FE80::Cfest. Die Schnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt,die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden ist.

15. Router 1 aktualisiert seinen Zielcache mit einem Eintrag für 3FFE:FFFF:0:47::2 mitder IPv6-Adresse FE80::C für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz3FFE:FFFF:0:21::/64 verbunden ist.

16. Router 1 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-AdresseFE80::C und findet keine Übereinstimmung.

17. Router 1 sendet eine Nachbaranfragenachricht an die IPv6-MulticastadresseFF02::1:FF00:C des angeforderten Knotens, um das Subnetz 3FFE:FFFF:0:21::/64 nach der MAC-Adresse der Schnittstelle abzufragen, der die IPv6-Adresse FE80::C zugewiesen ist.

18. Da Router 2 die Multicastadresse FF02::1:FF00:C des angeforderten Knotensabhört, empfängt der Router eine Nachbaranfragenachricht und fügt seinemNachbarcache einen Eintrag für die IPv6-Adresse FE80::B und die MAC-Adresseder Schnittstelle von Router 1 im Subnetz 3FFE:FFFF:0:21::/64 hinzu.

19. Router 2 sendet eine Unicastnachricht für die Nachbarankündigung an Router 1.

20. Router 1 fügt seinem Nachbarcache einen Eintrag für die IPv6-Adresse FE80::Cund die MAC-Adresse der Schnittstelle von Router 2 im Subnetz3FFE:FFFF:0:21::/64 hinzu.

21. Router 1 leitet die für 3FFE:FFFF:0:47::2 bestimmte DNS-Name QueryRequest-Nachricht an die MAC-Adresse von Router 2 im Subnetz3FFE:FFFF:0:21::/64 weiter.

22. Router 2 empfängt die DNS-Name Query Request-Nachricht, sucht in seinemZielcache nach einem Eintrag für 3FFE:FFFF:0:47::2 und findet keineÜbereinstimmung.

23. Router 2 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:0:47::2 durch. Die nächste passende Route ist die Route für3FFE:FFFF:0:47::/64 (eine direkte Netzwerkroute). Router 2 legt die Adresse fürden nächsten Hop auf die Zieladresse 3FFE:FFFF:0:47::2 des Pakets fest. DieSchnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt, die mitdem Subnetz 3FFE:FFFF:0:47::/64 verbunden ist.

24. Router 2 aktualisiert seinen Zielcache mit einem Eintrag für 3FFE:FFFF:0:47::2 mitder IPv6-Adresse 3FFE:FFFF:0:47::2 für den nächsten Hop und der Schnittstellefür den nächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz3FFE:FFFF:0:47::/64 verbunden ist.

25. Router 2 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse3FFE:FFFF:0:47::2 und findet keine Übereinstimmung.

26. Router 2 sendet eine Nachbaranfragenachricht an die IPv6-MulticastadresseFF02::1:FF00:2 des angeforderten Knotens, um das Subnetz 3FFE:FFFF:0:47::/64 nach der MAC-Adresse der Schnittstelle abzufragen, der die IPv6-Adresse 3FFE:FFFF:0:47::2 zugewiesen ist.

27. Da der DNS-Server die Multicastadresse FF02::1:FF00:2 des angeforderten Knotens abhört, empfängt der Server eine Nachbaranfragenachricht und fügtseinem Nachbarcache einen Eintrag für die IPv6-Adresse FE80::D sowie dieMAC-Adresse der Schnittstelle von Router 2 im Subnetz 3FFE:FFFF:0:47::/64hinzu.

28. Der DNS-Server sendet eine Unicastnachricht für die Nachbarankündigung anRouter 2.

29. Router 2 aktualisiert seinen Nachbarcache mit einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:47::2 und die MAC-Adresse der Schnittstelle des DNS-Servers im Subnetz 3FFE:FFFF:0:47::/64.

30. Router 2 leitet die für 3FFE:FFFF:0:47::2 bestimmte DNS-Name QueryRequest-Unicastnachricht an die MAC-Adresse des DNS-Servers im Subnetz3FFE:FFFF:0:47::/64 weiter.

31. Der DNS-Server empfängt das Paket und übergibt die DNS-Name QueryRequest-Nachricht an den DNS-Serverdienst.

32. Der DNS-Serverdienst findet den AAAA-Datensatz für den Namen"web1.example.com" und löst diesen in die IPv6-Adresse 3FFE:FFFF:0:48::3 auf.

Bei der End-to-End-Übermittlung der DNS-Name Query Request-Nachricht geschiehtFolgendes:

• Der Webclient sendet die DNS-Name Query Request-Nachricht, und Router 1 sowieRouter 2 leiten diese über die Subnetze 3FFE:FFFF:0:13::/64, 3FFE:FFFF:0:21::/64 und3FFE:FFFF:0:47::/64 an den DNS-Server weiter.

• Der Zielcache des Webclients enthält einen Eintrag für 3FFE:FFFF:0:47::2. DerNachbarcache des Webclients enthält einen Eintrag für FE80::A.

• Der Zielcache von Router 1 enthält einen Eintrag für 3FFE:FFFF:0:47::2. DerNachbarcache von Router 1 enthält Einträge für 3FFE:FFFF:0:13::1 und FE80::C.

• Der Zielcache von Router 2 enthält einen Eintrag für 3FFE:FFFF:0:47::2. DerNachbarcache von Router 2 enthält Einträge für FE80::B und 3FFE:FFFF:0:47::2.

• Der Zielcache des DNS-Servers enthält einen Eintrag für FE80::D.

DNS-Name Query Response-Nachricht an den WebclientWenn der DNS-Server an den Webclient eine DNS-Name Query Response-Nachricht sendet, wird der folgende Prozess durchgeführt:

1. Der DNS-Server erstellt eine DNS-Name Query Response-Nachricht mit der IPv6-Quelladresse 3FFE:FFFF:0:47::2 und der IPv6-Zieladresse 3FFE:FFFF:0:13::1.

2. Der DNS-Server sucht in seinem Zielcache nach einem Eintrag für dieIPv6-Adresse 3FFE:FFFF:0:13::1 und findet keine Übereinstimmung.

3. Der DNS-Server führt den Routenermittlungsprozess durch, um für dieIPv6-Adresse 3FFE:FFFF:0:13::1 nach der nächsten passenden Route zu suchen.Die Standardroute (::/0) ist die nächste passende Route. Der DNS-Server legt dieIPv6-Adresse für den nächsten Hop auf FE80::D fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz3FFE:FFFF:0:47::/64 verbunden ist.

4. Der DNS-Server aktualisiert seinen Zielcache mit einem Eintrag für3FFE:FFFF:0:13::1 mit der IPv6-Adresse FE80::D für den nächsten Hop und derSchnittstelle für den nächsten Hop, also mit der Netzwerkkarte, die mit demSubnetz 3FFE:FFFF:0:47::/64 verbunden ist.

5. Der DNS-Server sucht in seinem Nachbarcache nach einem Eintrag für dieIPv6-Adresse FE80::D und findet eine Übereinstimmung.

6. Mithilfe des Nachbarcacheeintrags für FE80::D sendet der DNS-Server die für3FFE:FFFF:0:13::1 bestimmte DNS-Name Query Response-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 2 im Subnetz 3FFE:FFFF:0:47::/64.

7. Router 2 empfängt die DNS-Name Query Response-Nachricht, sucht in seinemZielcache nach einem Eintrag für 3FFE:FFFF:0:13::1 und findet keineÜbereinstimmung.

8. Router 2 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:0:13::1 durch. Die nächste passende Route ist die Route für3FFE:FFFF:0:13::/64. Router 2 legt die Adresse für den nächsten Hop auf FE80::Bfest. Die Schnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt,die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden ist.

9. Router 2 aktualisiert seinen Zielcache mit einem Eintrag für 3FFE:FFFF:0:13::1 mitder IPv6-Adresse FE80::B für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz3FFE:FFFF:0:21::/64 verbunden ist.

10. Router 2 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-AdresseFE80::B und findet eine Übereinstimmung.

11. Mithilfe des Nachbarcacheeintrags für FE80::B leitet Router 2 die für3FFE:FFFF:0:13::1 bestimmte DNS-Name Query Response-Unicastnachricht an die MAC-Adresse von Router 1 im Subnetz 3FFE:FFFF:0:21::/64 weiter.

12. Router 1 empfängt die DNS-Name Query Response-Nachricht, sucht in seinemZielcache nach einem Eintrag für 3FFE:FFFF:0:13::1 und findet keineÜbereinstimmung.

13. Router 1 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:12:13:00::1 durch. Die nächste passende Route ist die Route für3FFE:FFFF:12:13:00::/64 (eine direkte Netzwerkroute). Router 1 legt die Adressefür den nächsten Hop auf die Zieladresse 3FFE:FFFF:12:13:00::1 des Pakets fest.Die Schnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt, diemit dem Subnetz 3FFE:FFFF:12:13:00::/64 verbunden ist.

14. Router 1 aktualisiert seinen Zielcache mit einem Eintrag für3FFE:FFFF:12:13:00::1 mit der IPv6-Adresse 3FFE:FFFF:12:13:00::1 für dennächsten Hop und der Schnittstelle für den nächsten Hop, also mit derNetzwerkkarte, die mit dem Subnetz 3FFE:FFFF:12:13:00::/64 verbunden ist.

15. Router 1 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse3FFE:FFFF:0:13::1 und findet eine Übereinstimmung.

16. Mithilfe des Nachbarcacheeintrags für 3FFE:FFFF:0:13::1 leitet Router 1 die für3FFE:FFFF:0:13::1 bestimmte DNS-Name Query Response-Unicastnachricht andie MAC-Adresse der Schnittstelle des Webclients im Subnetz 3FFE:FFFF:0:13::/64weiter.

17. Der Webclient empfängt das Paket und übergibt die DNS-Name QueryResponse-Nachricht an den DNS-Clientdienst.

18. Der DNS-Clientdienst auf dem Webclient übergibt die aufgelöste IPv6-Adresse3FFE:FFFF:0:48::3 an Windows Sockets.

19. Windows Sockets übergibt die aufgelöste IPv6-Adresse 3FFE:FFFF:0:48::3 an denWebbrowser.

Bei der End-to-End-Übermittlung der DNS-Name Query Response-Nachricht geschiehtFolgendes:

• Der DNS-Server sendet die DNS-Name Query Response-Nachricht, und Router 2 sowieRouter 1 leiten diese über die Subnetze 3FFE:FFFF:0:47::/64, 3FFE:FFFF:0:21::/64 und3FFE:FFFF:0:13::/64 an den Webclient weiter.

• Der Zielcache des DNS-Servers enthält einen neuen Eintrag für 3FFE:FFFF:0:13::1.

• Der Zielcache von Router 2 enthält einen neuen Eintrag für 3FFE:FFFF:0:13::1.


Wenn der Webclient ein TCP-SYN-Segment an den Webserver sendet, wird der folgende Prozess durchgeführt:

1. Sobald der Webbrowser von Windows Sockets die aufgelöste Adresse3FFE:FFFF:0:48::3 erhält, wird von Windows Sockets mithilfe derconnect()-Function eine TCP-Verbindung zwischen Webclient und Webserver hergestellt.

2. Der Webclient erstellt eine TCP-SYN-Segmentnachricht mit der IPv6-Quelladresse 3FFE:FFFF:0:13::1 und der IPv6-Zieladresse 3FFE:FFFF:0:48::3.

3. Der Webclient sucht in seinem Zielcache nach einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:48::3 und findet keine Übereinstimmung.

4. Der Webclient führt den Routenermittlungsprozess durch, um für die IPv6-Adresse3FFE:FFFF:0:48::3 nach der nächsten passenden Route zu suchen. DieStandardroute (::/0) ist die nächste passende Route. Der Webclient legt dieIPv6-Adresse für den nächsten Hop auf FE80::A fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz3FFE:FFFF:0:13::/64 verbunden ist.

5. Der Webclient aktualisiert seinen Zielcache mit einem Eintrag für3FFE:FFFF:0:48::3 mit der IPv6-Adresse FE80::A für den nächsten Hop und derSchnittstelle für den nächsten Hop, also mit der Netzwerkkarte, die mit demSubnetz 3FFE:FFFF:0:13::/64 verbunden ist.

6. Der Webclient sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse FE80::A und findet eine Übereinstimmung.

7. Mithilfe des Nachbarcacheeintrags für FE80::A sendet der Webclient das für3FFE:FFFF:0:48::3 bestimmte TCP-SYN-Unicastsegment an die MAC-Adresse der Schnittstelle von Router 1 im Subnetz 3FFE:FFFF:0:13::/64.

8. Router 1 empfängt das TCP-SYN-Segment, sucht in seinem Zielcache nach einemEintrag für 3FFE:FFFF:0:48::3 und findet keine Übereinstimmung.

9. Router 1 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:0:48::3 durch. Die nächste passende Route ist die Route für3FFE:FFFF:0:48::/64. Router 1 legt die Adresse für den nächsten Hop auf FE80::Efest. Die Schnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt,die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden sind.

10. Router 1 aktualisiert seinen Zielcache mit einem Eintrag für 3FFE:FFFF:0:48::3 mitder IPv6-Adresse FE80::E für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz3FFE:FFFF:0:21::/64 verbunden ist.

11. Router 1 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-AdresseFE80::E und findet keine Übereinstimmung.

12. Router 1 sendet eine Nachbaranfragenachricht an die IPv6-MulticastadresseFF02::1:FF00:E des angeforderten Knotens, um das Subnetz 3FFE:FFFF:0:21::/64 nach der MAC-Adresse der Schnittstelle abzufragen, der die IPv6-Adresse FE80::E zugewiesen ist.

13. Da Router 3 die Multicastadresse FF02::1:FF00:E des angeforderten Knotensabhört, empfängt der Router eine Nachbaranfragenachricht. Der Router fügtseinem Nachbarcache einen Eintrag für die IPv6-Adresse FE80::B und dieMAC-Adresse der Schnittstelle von Router 1 im Subnetz 3FFE:FFFF:0:21::/64hinzu.

14. Router 3 sendet eine Unicastnachricht für die Nachbarankündigung an Router 1.

15. Router 1 fügt seinem Nachbarcache einen Eintrag für die IPv6-Adresse FE80::Eund die MAC-Adresse der Schnittstelle von Router 3 im Subnetz3FFE:FFFF:0:21::/64 hinzu.

16. Router 1 leitet das für 3FFE:FFFF:0:48::3 bestimmte TCP-SYN-Unicastsegment andie MAC-Adresse von Router 3 im Subnetz 3FFE:FFFF:0:21::/64 weiter.

17. Router 3 empfängt das TCP-SYN-Segment, sucht in seinem Zielcache nach einemEintrag für 3FFE:FFFF:0:48::3 und findet keine Übereinstimmung.

18. Router 3 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:0:48::3 durch. Die nächste passende Route ist die Route für3FFE:FFFF:0:48::/64 (eine direkte Netzwerkroute). Router 3 legt die Adresse fürden nächsten Hop auf die Zieladresse 3FFE:FFFF:0:48::3 des Pakets fest. DieSchnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt, die mitdem Subnetz 3FFE:FFFF:0:48::/64 verbunden ist.

19. Router 3 aktualisiert seinen Zielcache mit einem Eintrag für 3FFE:FFFF:0:48::3 mitder IPv6-Adresse 3FFE:FFFF:0:48::3 für den nächsten Hop und der Schnittstellefür den nächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz3FFE:FFFF:0:48::/64 verbunden ist.

20. Router 3 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse3FFE:FFFF:00:48:00::3 und findet keine Übereinstimmung.

21. Router 3 sendet eine Nachbaranfragenachricht an die IPv6-MulticastadresseFF02::1:FF00:3 des angeforderten Knotens, um das Subnetz 3FFE:FFFF:00:48:00::/64 nach der MAC-Adresse der Schnittstelle abzufragen, der die IPv6-Adresse 3FFE:FFFF:00:48:00::3 zugewiesen ist.

22. Da der Webserver die Multicastadresse FF02::1:FF00:3 des angeforderten Knotens abhört, empfängt der Server eine Nachbaranfragenachricht. Der Serverfügt seinem Nachbarcache einen Eintrag für die IPv6-Adresse FE80::F und dieMAC-Adresse der Schnittstelle von Router 3 im Subnetz 3FFE:FFFF:0:48::/64hinzu.

23. Der Webserver sendet eine Unicastnachricht für die Nachbarankündigung anRouter 3.

24. Router 3 aktualisiert seinen Nachbarcache mit einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:48::3 und die MAC-Adresse der Schnittstelle des Webservers im Subnetz 3FFE:FFFF:0:48::/64.

25. Router 3 leitet das für 3FFE:FFFF:0:48::3 bestimmte TCP-SYN-Unicastsegment andie MAC-Adresse des Webservers im Subnetz 3FFE:FFFF:0:48::/64 weiter.

26. Der Webserver empfängt das TCP-SYN-Segment.

Bei der End-to-End-Übermittlung des TCP-SYN-Segments geschieht Folgendes:

• Der Webclient sendet das TCP-SYN-Segment, und Router 1 sowie Router 3 leiten diesesüber die Subnetze 3FFE:FFFF:0:13::/64, 3FFE:FFFF:0:21::/64 und3FFE:FFFF:0:48::/64 an den Webserver weiter.

• Der Zielcache des Webservers enthält einen neuen Eintrag für 3FFE:FFFF:0:48::3.

• Der Zielcache von Router 1 enthält einen Eintrag für 3FFE:FFFF:0:48::3. DerNachbarcache von Router 1 enthält einen neuen Eintrag für FE80::E.

• Der Zielcache von Router 3 enthält einen Eintrag für 3FFE:FFFF:00:48:00::3. DerNachbarcache von Router 3 enthält Einträge für FE80::B und 3FFE:FFFF:00:48:00::3.

• Der Zielcache des Webservers enthält einen Eintrag für FE80::F.

TCP-SYN-ACK-Segment an den WebclientWenn der Webserver an den Webclient ein TCP-SYN-ACK-Segment sendet, wird der folgende Prozess durchgeführt:

1. Der Webserver erstellt ein TCP-SYN-ACK-Segment mit der IPv6-Quelladresse 3FFE:FFFF:0:48::3 und der IPv6-Zieladresse 3FFE:FFFF:0:13::1.

2. Der Webserver sucht in seinem Zielcache nach einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:13::1 und findet keine Übereinstimmung.

3. Der Weberver führt den Routenermittlungsprozess durch, um für die IPv6-Adresse3FFE:FFFF:0:13::1 nach der nächsten passenden Route zu suchen. DieStandardroute (::/0) ist die nächste passende Route. Der Webserver legt dieIPv6-Adresse für den nächsten Hop auf FE80::F fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz3FFE:FFFF:0:48::/64 verbunden ist.

4. Der Webserver aktualisiert seinen Zielcache mit einem Eintrag für3FFE:FFFF:0:13::1 mit der IPv6-Adresse FE80::F für den nächsten Hop und derSchnittstelle für den nächsten Hop, also mit der Netzwerkkarte, die mit demSubnetz 3FFE:FFFF:0:48::/64 verbunden ist.

5. Der Webserver sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse FE80::F und findet eine Übereinstimmung.

6. Mithilfe des Nachbarcacheeintrags für FE80::F sendet der Webserver das für3FFE:FFFF:0:13::1 bestimmte TCP-SYN-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle von Router 3 im Subnetz 3FFE:FFFF:0:48::/64.

7. Router 3 empfängt das TCP-SYN-ACK-Segment, sucht in seinem Zielcache nacheinem Eintrag für 3FFE:FFFF:0:13::1 und findet keine Übereinstimmung.

8. Router 3 führt den Routenermittlungsprozess für die Zieladresse3FFE:FFFF:0:13::1 durch. Die nächste passende Route ist die Route für3FFE:FFFF:0:13::/64. Router 3 legt die Adresse für den nächsten Hop auf FE80::Bfest. Die Schnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt,die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden ist.

9. Router 3 aktualisiert seinen Zielcache mit einem Eintrag für 3FFE:FFFF:0:13::1 mitder IPv6-Adresse FE80::B für den nächsten Hop und der Schnittstelle für dennächsten Hop, also mit der Netzwerkkarte, die mit dem Subnetz3FFE:FFFF:0:21::/64 verbunden ist.


11. Mithilfe des Nachbarcacheeintrags für FE80::B leitet Router 3 das für3FFE:FFFF:0:13::1 bestimmte TCP-SYN-ACK-Unicastsegment an die MAC-Adresse von Router 1 im Subnetz 3FFE:FFFF:0:21::/64 weiter.

12. Router 1 empfängt das TCP-SYN-ACK-Segment, sucht in seinem Zielcache nacheinem Eintrag für 3FFE:FFFF:0:13::1 und findet einen solchen.

13. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:13::1 legt Router 1 die Adresse fürden nächsten Hop auf 3FFE:FFFF:0:13::1 fest. Die Schnittstelle für den nächstenHop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:13::/64 verbunden ist.


15. Mithilfe des Nachbarcacheeintrags für 3FFE:FFFF:0:13::1 leitet Router 1 das für3FFE:FFFF:0:13::1 bestimmte TCP-SYN-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle des Webclients im Subnetz 3FFE:FFFF:0:13::/64 weiter.

16. Der Webclient empfängt das TCP-SYN-ACK-Segment.

Bei der End-to-End-Übermittlung des TCP-SYN-ACK-Segments geschieht Folgendes:

• Der Webserver sendet das TCP-SYN-ACK-Segment, und Router 3 sowie Router 1 leitendieses über die Subnetze 3FFE:FFFF:0:48::/64, 3FFE:FFFF:0:21::/64 und3FFE:FFFF:0:13::/64 an den Webclient weiter.

• Der Zielcache des Webservers enthält einen neuen Eintrag für 3FFE:FFFF:0:13::1.


TCP-ACK-Segment an den WebserverWenn der Webclient an den Webserver ein TCP-ACK-Segment sendet, wird der folgende Prozess durchgeführt:

1. Der Webclient erstellt eine TCP-ACK-Segmentnachricht mit der IPv6-Quelladresse 3FFE:FFFF:0:13::1 und der IPv6-Zieladresse 3FFE:FFFF:0:48::3.

2. Der Webclient sucht in seinem Zielcache nach einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:48::3 und findet eine Übereinstimmung.

3. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:48::3 legt der Webclient dieAdresse für den nächsten Hop auf FE80::A fest. Die Schnittstelle für den nächstenHop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:13::/64 verbunden ist.


5. Mithilfe des Nachbarcacheeintrags für FE80::A sendet der Webclient das für3FFE:FFFF:0:48::3 bestimmte TCP-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle von Router 1 im Subnetz 3FFE:FFFF:0:13::/64.

6. Router 1 empfängt das TCP-ACK-Segment, sucht in seinem Zielcache nach einemEintrag für 3FFE:FFFF:0:48::3 und findet eine Übereinstimmung.

7. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:48::3 legt Router 1 die Adresse fürden nächsten Hop auf FE80::E fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden ist.

8. Router 1 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-AdresseFE80::E und findet eine Übereinstimmung.

9. Mithilfe des Nachbarcacheeintrags für FE80::E leitet Router 1 das für3FFE:FFFF:0:48::3 bestimmte TCP-ACK-Unicastsegment an die MAC-Adresse vonRouter 3 im Subnetz 3FFE:FFFF:0:21::/64 weiter.

10. Router 3 empfängt das TCP-ACK-Segment, sucht in seinem Zielcache nach einemEintrag für 3FFE:FFFF:0:48::3 und findet eine Übereinstimmung.

11. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:48::3 legt Router 3 die Adresse fürden nächsten Hop auf die Zieladresse 3FFE:FFFF:0:48::3 des Pakets fest. DieSchnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt, die mitdem Subnetz 3FFE:FFFF:0:48::/64 verbunden ist.

12. Router 3 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse3FFE:FFFF:00:48:00::3 und findet eine Übereinstimmung.

13. Mithilfe des Nachbarcacheeintrags für 3FFE:FFFF:0:48::3 leitet Router 3 das für3FFE:FFFF:0:48::3 bestimmte TCP-ACK-Unicastsegment an die MAC-Adresse der Schnittstelle des Webservers im Subnetz 3FFE:FFFF:0:47::/64 weiter.

14. Der Webserver empfängt das TCP-ACK-Segment.

15. Windows Sockets meldet dem Webbrowser den erfolgreichen Abschluss der angeforderten TCP-Verbindung.

Der Webclient sendet das TCP-ACK-Segment, und Router 1 sowie Router 3 leiten diesesüber die Subnetze 3FFE:FFFF:0:13::/64, 3FFE:FFFF:0:21::/64 und 3FFE:FFFF:0:48::/64an den Webserver weiter.

HTTP GET-Segment an den WebserverWenn der Webclient ein HTTP GET-Segment an den Webserver sendet, wird der folgende Prozess durchgeführt:

1. Wenn der Webbrowser über den erfolgreichen Abschluss der TCP-Verbindungbenachrichtigt wird, erstellt dieser eine HTTP GET-Nachricht mit der IPv6-Quelladresse 3FFE:FFFF:0:13::1 und der IPv6-Zieladresse 3FFE:FFFF:0:48::3, durch die der Inhalt der Webseite beim Webserver angefordert wird.

2. Der Webclient sucht in seinem Zielcache nach einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:48::3 und findet eine Übereinstimmung.

3. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:48::3 legt der Webclient dieAdresse für den nächsten Hop auf FE80::A fest. Die Schnittstelle für den nächstenHop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:13::/64 verbunden ist.


5. Mithilfe des Nachbarcacheeintrags für FE80::A sendet der Webclient die für3FFE:FFFF:0:48::3 bestimmte HTTP GET-Unicastnachricht an die MAC-Adresse der Schnittstelle von Router 1 im Subnetz 3FFE:FFFF:0:13::/64.

6. Router 1 empfängt die HTTP GET-Nachricht, sucht in seinem Zielcache nach einemEintrag für 3FFE:FFFF:0:48::3 und findet eine Übereinstimmung.

7. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:48::3 legt Router 1 die Adresse fürden nächsten Hop auf FE80::E fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden ist.

8. Router 1 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-AdresseFE80::E und findet eine Übereinstimmung.

9. Mithilfe des Nachbarcacheeintrags für FE80::E leitet Router 1 die für3FFE:FFFF:0:48::3 bestimmte HTTP GET-Nachricht an die MAC-Adresse vonRouter 3 im Subnetz 3FFE:FFFF:0:21::/64 weiter.

10. Router 3 empfängt die HTTP GET-Nachricht, sucht in seinem Zielcache nach einemEintrag für 3FFE:FFFF:0:48::3 und findet eine Übereinstimmung.

11. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:48::3 legt Router 3 die Adresse fürden nächsten Hop auf die Zieladresse 3FFE:FFFF:0:48::3 des Pakets fest. DieSchnittstelle für den nächsten Hop wird auf die Netzwerkkarte festgelegt, die mitdem Subnetz 3FFE:FFFF:0:48::/64 verbunden ist.

12. Router 3 sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse3FFE:FFFF:00:48:00::3 und findet eine Übereinstimmung.

13. Mithilfe des Nachbarcacheeintrags für 3FFE:FFFF:0:48::3 leitet Router 3 die für3FFE:FFFF:0:48::3 bestimmte HTTP GET-Nachricht an die MAC-Adresse der Schnittstelle des Webservers im Subnetz 3FFE:FFFF:0:47::/64 weiter.

14. Der Webserver empfängt die HTTP GET-Nachricht.

Der Webclient sendet das HTTP GET-Segment, und Router 1 sowie Router 3 leiten diesesüber die Subnetze 3FFE:FFFF:0:13::/64, 3FFE:FFFF:0:21::/64 und 3FFE:FFFF:0:48::/64an den Webserver weiter.

HTTP GET-Response-Segment an den WebclientWenn der Webserver ein HTTP GET-Response-Segment an den Webclient sendet, wird der folgende Prozess durchgeführt:

1. Der Webserver erstellt eine HTTP GET-Response-Nachricht mit der IPv6-Quelladresse 3FFE:FFFF:0:48::3 und der IPv6-Zieladresse 3FFE:FFFF:0:13::1.

2. Der Webserver sucht in seinem Zielcache nach einem Eintrag für die IPv6-Adresse3FFE:FFFF:0:13::1 und findet eine Übereinstimmung.

3. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:13::1 legt der Webserver dieIPv6-Adresse für den nächsten Hop auf FE80::F fest. Die Schnittstelle für dennächsten Hop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz3FFE:FFFF:0:48::/64 verbunden ist.

4. Der Webserver sucht in seinem Nachbarcache nach einem Eintrag mit der IPv6-Adresse FE80::F und findet eine Übereinstimmung.

5. Mithilfe des Nachbarcacheeintrags für FE80::F sendet der Webserver die für3FFE:FFFF:0:13::1 bestimmte HTTP GET-Response-Nachricht an die MAC-Adresse der Schnittstelle von Router 3 im Subnetz 3FFE:FFFF:0:48::/64.

6. Router 3 empfängt die HTTP GET-Response-Nachricht, sucht in seinem Zielcachenach einem Eintrag für 3FFE:FFFF:0:13::1 und findet eine Übereinstimmung.

7. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:13::1 legt Router 3 die Adresse fürden nächsten Hop auf FE80::B fest. Die Schnittstelle für den nächsten Hop wirdauf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:21::/64 verbunden ist.


9. Mithilfe des Nachbarcacheeintrags für FE80::B leitet Router 3 die für3FFE:FFFF:0:13::1 bestimmte HTTP GET-Response-Unicastnachricht an die MAC-Adresse von Router 1 im Subnetz 3FFE:FFFF:0:21::/64 weiter.


11. Router 1 sucht in seinem Zielcache nach einem Eintrag für 3FFE:FFFF:0:13::1 undfindet eine Übereinstimmung.

12. Mithilfe des Zielcacheeintrags für 3FFE:FFFF:0:13::1 legt Router 1 die Adresse fürden nächsten Hop auf 3FFE:FFFF:0:13::1 fest. Die Schnittstelle für den nächstenHop wird auf die Netzwerkkarte festgelegt, die mit dem Subnetz 3FFE:FFFF:0:13::/64 verbunden ist.


14. Mithilfe des Nachbarcacheeintrags für 3FFE:FFFF:0:13::1 leitet Router 1 die für3FFE:FFFF:0:13::1 bestimmte HTTP GET-Response-Unicastnachricht an die MAC-Adresse der Schnittstelle des Webclients im Subnetz 3FFE:FFFF:0:13::/64 weiter.

15. Der Webclient empfängt die HTTP GET-Response-Nachricht.

16. Der Webbrowser erstellt eine Ansicht für die Webseite"http://web1.example.com/example.htm".

Der Webserver sendet die HTTP GET-Response-Nachricht, und Router 3 sowie Router 1leiten diese über die Subnetze 3FFE:FFFF:0:48::/64, 3FFE:FFFF:0:21::/64 und3FFE:FFFF:0:13::/64 an den Webclient weiter.

Zum Seitenanfang

KapitelzusammenfassungDie wesentlichen Punkte in diesem Kapitel können folgendermaßen zusammengefasstwerden:

• Der End-to-End-Übermittlungsprozess besteht aus einem Quellhostprozess, einemRouterweiterleitungsprozess und einem Zielhostprozess.


• Zum Senden eines IPv4-Pakets überprüft ein IPv4-Quellhost seinen Routecache undführt bei Bedarf eine Routenermittlung durch. Anschließend überprüft der Quellhostseinen ARP-Cache und führt bei Bedarf eine Adressauflösung durch. Wenn der Quellhostdie MAC-Adresse ermittelt hat, die der Adresse für den nächsten Hop des IPv4-Paketsentspricht, sendet der Host das Paket an das Ziel oder an einen Zwischenrouter.

• Zum Weiterleiten eines IPv4-Pakets verringert ein IPv4-Router die Gültigkeitsdauer,aktualisiert die Prüfsumme, überprüft seinen Routecache und führt bei Bedarf eineRoutenermittlung durch. Anschließend überprüft der Router seinen ARP-Cache undführt bei Bedarf eine Adressauflösung durch. Wenn der Router die MAC-Adresseermittelt hat, die der Adresse für den nächsten Hop des IPv4-Pakets entspricht, leitetder Router das Paket an das Ziel oder an einen anderen Router weiter.

• Zum Empfangen eines IPv4-Pakets überprüft der IPv4-Zielhost, ob das Paket an eineIPv4-Adresse gesendet wird, die dem Host zugewiesen wurde. Anschließend übergibtder Zielhost die IPv4-Nutzlast an das entsprechende übergeordnete Protokoll. Für TCP-und UDP-Verkehr übergibt der Host die Daten an die abhörende Anwendung.

• Zum Senden eines IPv6-Pakets überprüft ein IPv6-Quellhost seinen Zielcache und führtbei Bedarf eine Routenermittlung durch. Anschließend überprüft der Quellhost seinenNachbarcache und führt bei Bedarf eine Adressauflösung durch. Wenn der Quellhost dieMAC-Adresse ermittelt hat, die der Adresse für den nächsten Hop des IPv6-Paketsentspricht, sendet der Host das Paket an das Ziel oder an einen Zwischenrouter.

• Zum Weiterleiten eines IPv6-Pakets verringert ein IPv6-Router die maximale Anzahl an Weiterleitungen, überprüft seinen Zielcache und führt bei Bedarf eine Routenermittlungdurch. Anschließend überprüft der Router seinen Nachbarcache und führt bei Bedarfeine Adressauflösung durch. Wenn der Router die MAC-Adresse ermittelt hat, die derAdresse für den nächsten Hop des IPv6-Pakets entspricht, leitet der Router das Paketan das Ziel oder an einen anderen Router weiter.

• Zum Empfangen eines IPv6-Pakets überprüft der IPv6-Zielhost, ob das Paket an einedem Host zugewiesene IPv6-Adresse gesendet wird. Anschließend übergibt der Zielhostdie IPv6-Nutzlast an das entsprechende übergeordnete Protokoll. Für TCP- undUDP-Verkehr übergibt der Host die Daten an die abhörende Anwendung.

Zum Seitenanfang

Kapitelglossar

• ARP-Cache – Eine Tabelle von statischen oder dynamisch aufgelösten IPv4-Adressenund den entsprechenden MAC-Adressen der einzelnen Schnittstellen.

• Standardgateway – Die IPv4-Adresse eines benachbarten IPv4-Routers. BeimKonfigurieren eines Standardgateways wird in der IPv4-Routingtabelle eineStandardroute erstellt. Der Standardgateway ist ein wichtiger Parameter für dieInternetprotokollkomponente (TCP/IP).

• Standardroute – Eine Route, die für den Fall verwendet wird, dass die Routingtabellekeine anderen Routen zum Ziel enthält. Wenn z. B. ein Router oder Endsystem keineNetzwerk- oder Hostroute zum Ziel findet, wird die Standardroute verwendet. DieStandardroute dient dem einfachen Konfigurieren von Endsystemen oder Routern. FürIPv4-Routingtabellen ist die Standardroute die Route mit dem Netzwerkziel 0.0.0.0 undder Netzmaske 0.0.0.0. Für IPv6-Routingtabellen hat die Standardroute den Präfix ::/0.

• Zielcache – Eine Tabelle, in der IPv6 für vor kurzem ermittelte IPv6-Zieladressen dieAdresse und Schnittstelle des nächsten Hops speichert.

• Längste passende Route – Der Algorithmus, mit dem der Routenermittlungsprozess inder Routingtabelle die Routen auswählt, die der Zieladresse des gesendeten oderweitergeleiteten Pakets am nächsten sind.

• Nachbarcache – Ein Cache, der von jedem IPv6-Knoten zum Speichern derIPv6-Adressen im Subnetz und entsprechender MAC-Adressen verwaltet wird. DerNachbarcache entspricht dem ARP-Cache bei IPv4.

• Ermittlung des nächsten Hops – Prozess der Ermittlung der Adresse und Schnittstellefür den nächsten Hop zum Senden oder Weiterleiten eines Pakets auf Grundlage desInhalts der Routingtabelle.

• Routenermittlungprozess – Prozess der Ermittlung einer eindeutigen Route aus derRoutingtabelle zum Weiterleiten eines Pakets.

• Routecache – Eine Tabelle, in der IPv4 für vor kurzem ermittelte IPv4-Adressen dieIPv4-Adressen und -Schnittstellen des nächsten Hops speichert.

• Router – Ein TCP/IP-Knoten (Transmission Control Protocol/Internet Protocol), derempfangene Pakete weiterleiten kann, die nicht direkt an ihn gesendet wurden. BeiIPv4 wird ein solcher Knoten auch als Gateway bezeichnet.

• Routingtabelle – Enthält die Routen, die zum Ermitteln der Adresse und Schnittstelledes nächsten Hops für IP-Verkehr verwendet wird, den ein Host sendet oder ein Routerweiterleitet.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 11 - NetBIOS über TCP/IPVeröffentlicht: 27. Jun 2005 | Aktualisiert: 28. Sep 2005

Zusammenfassung

In diesem Kapitel wird das "Network Basic Input/Output System" (NetBIOS) über TCP/IP und seineImplementierung in den Betriebssystemen Microsoft® Windows Server™ 2003 und Windows® XPbeschrieben. In einer Netzwerkumgebung aus Servern und Clients, die auf demActive Directory®-Verzeichnisdienst basieren, wird NetBIOS über TCP/IP nicht benötigt. Von älterenWindows-Versionen und von NetBIOS-Anwendungen, die in aktuellen Windows-Versionen enthalten sind,wird NetBIOS über TCP/IP jedoch nach wie vor verwendet. Ein Netzwerkadministrator sollte überausreichende Kenntnisse in Bezug auf NetBIOS-Namen und die Namensauflösung bei NetBIOS verfügen,um Probleme mit der NetBIOS-Namensauflösung beheben zu können.

Auf dieser Seite

Zielsetzung

NetBIOS über TCP/IP – Übersicht

Aktivieren von NetBIOS über TCP/IP

Auflösen von NetBIOS-Namen

NetBIOS-Knotentypen

Verwenden der Lmhosts-Datei

Das Nbtstat-Tool


Kapitelglossar


• Definieren von NetBIOS

• Definieren von NetBIOS-Namen

• Erklären, wie NetBIOS-Namen auf Computern unter Windows aufgelöst werden

• Aufzählen und Beschreiben unterschiedlicher Knotentypen bei NetBIOS über TCP/IP

• Erlären der Verwendung der Lmhosts-Datei durch Knoten bei der Auflösung von NetBIOS-Hostnamenin Remotesubnetzen

• Konfigurieren einer lokalen oder zentralen Lmhosts-Datei, um NetBIOS-Namen von Hosts in Remotesubnetzen aufzulösen

• Verwenden des Nbtstat-Tools, um Informationen zu NetBIOS-Namen zu sammeln

Zum Seitenanfang

NetBIOS über TCP/IP – ÜbersichtNetBIOS wurde in den frühen 80er Jahren entwickelt, um Anwendungen den Datenaustausch über einNetzwerk zu ermöglichen. NetBIOS definiert:

• Eine Programmierschnittstelle für die Sitzungsebene – Bei NetBIOS handelt es sich um eineStandard-API (Application Programming Interface) auf Sitzungsebene des OSI-Referenzmodells (OpenSystems Interconnect). Benutzeranwendungen können so auf die Dienste der bereits installiertenNetzwerkprotokollstacks zugreifen. Eine Anwendung, die die API der NetBIOS-Schnittstelle zurNetzwerkkommunikation verwendet, kann auf jedem Protokollstack ausgeführt werden, der eineNetBIOS-Schnittstelle unterstützt.

• Ein Protokoll für Sitzungsverwaltung und Datentransport – Bei NetBIOS handelt es sichaußerdem um ein Protokoll auf Sitzungs- und Transportebene, das Befehle und Unterstützung für diefolgenden Dienste beinhaltet:

• Registrieren und Überprüfen von Netzwerknamen

• Herstellen und Beenden von Sitzungen

• Verlässliche, verbindungsorientierte Übertragung von Sitzungsdaten

In diesem Beitrag

• Übersicht




















• Unzuverlässige, verbindungslose Übertragung von Datagrammen

• Überwachen und Verwalten von Protokollen und Adaptern

NetBIOS über TCP/IP (NetBT) sendet das NetBIOS-Protokoll über das Transmission Control Protocol(TCP) oder das User Datagram Protocol (UDP).

Der NetBT-Datenverkehr beinhaltet folgende Elemente:

• NetBIOS-Sitzungsdatenverkehr über TCP-Port 139

• NetBIOS-Datenverkehr zur Namensverwaltung über UDP-Port 137

• NetBIOS-Datagrammdatenverkehr über UDP-Port 138

In Abbildung 11-1 ist die Architektur von NetBT-Komponenten in der TCP/IP-Protokollsuite dargestellt.

Abbildung 11-1 – NetBT in der TCP/IP-ProtokollsuiteAbbildung vergrößern

NetBIOS-Vorgänge über IPv4 werden durch die RFCs (Requests for Comments) 1001 und 1002 definiert.NetBT ist für IPv6 nicht definiert. NetBIOS über TCP/IP wird manchmal auch als NBT bezeichnet.

Zum Seitenanfang

Aktivieren von NetBIOS über TCP/IPNetBT kann auf Computern, auf denen Windows Server 2003 oder Windows XP ausgeführt wird,folgendermaßen aktiviert werden: Öffnen Sie Netzwerkverbindungen. Klicken Sie mit der rechten Maustaste auf eine Verbindung und dann auf die Komponente Internetprotokoll (TCP/IP). Klicken Sie auf Eigenschaften, auf Erweitert, auf die Registerkarte WINS und dann unter NetBIOS-Einstellungauf die entsprechende Option. In Abbildung 11-2 ist die Registerkarte WINS dargestellt.

Abbildung 11-2 – Die Registerkarte "WINS"

Unter NetBIOS-Einstellung können Sie eine der folgenden Optionen wählen:

• Standard – NetBT wird aktiviert, wenn die Netzwerkverbindung über eine statischeIPv4-Adresskonfiguration verfügt. Wenn die Netzwerkverbindung DHCP (Dynamic Host ConfigurationProtocol) verwendet, werden die DHCP-Optionen in der empfangenen DHCPOffer-Nachricht verwendet,um entweder NetBT zu deaktivieren oder NetBT zu aktivieren und zu konfigurieren. Um NetBT mit DHCPzu deaktivieren, konfigurieren Sie die anbieterspezifische Option "NetBIOS über TCP/IP (NetBT)deaktivieren" von Microsoft mit dem Wert 2. Dies ist die Standardeinstellung für LAN-Verbindungen.

• NetBIOS über TCP/IP aktivieren – NetBT wird unabhängig von den empfangenen DHCP-Optionenaktiviert. Dies ist die Standardeinstellung für Remoteverbindungen (DFÜ oder virtuelles privatesNetzwerk).

• NetBIOS über TCP/IP deaktivieren – NetBT wird unabhängig von den empfangenen DHCP-Optionendeaktiviert.

NetBT ist nicht erforderlich für Computer, auf denen Windows 2000, Windows XP oder WindowsServer 2003 ausgeführt wird, es sei denn, Sie verwenden in Ihrem Netzwerk NetBIOS-Anwendungen, wiez. B. den Dienst Computerbrowser. Der Dienst Computerbrowser verwaltet die Liste der Computer imFenster Microsoft Windows-Netzwerk unter Netzwerkumgebung. Anders als bei Windows-Versionen vor Windows 2000 ist für die Datei- und Druckerfreigabe unter Windows 2000, Windows XP oder WindowsServer 2003 kein NetBT erforderlich.

NetBIOS-NamenEin NetBIOS-Name ist 16 Byte lang und identifiziert eine NetBIOS-Ressource im Netzwerk. Ein NetBIOS-Name ist entweder ein eindeutiger Name (exklusiv) oder ein Gruppenname (nicht exklusiv). Bei der Kommunikation mit einem bestimmten Vorgang auf einem Computer werden von NetBIOS-Anwendungen normalerweise eindeutige Namen verwendet. Bei der Kommunikation mit mehreren Computern zur selben Zeit werden von NetBIOS-Anwendungen Gruppennamen verwendet.

Bei der Datei- und Druckerfreigabe über die Komponente für Microsoft-Netzwerke (der Server-Dienst imSnap-In Dienste) handelt es sich z. B. um einen Dienst, der einen NetBIOS-Namen verwendet. Beim Startdes Server-Dienstes wird ein eindeutiger NetBIOS-Name registriert, welcher auf dem Namen des Computers basiert. Der genaue vom Server-Dienst verwendete NetBIOS-Name ist der 15 Byte lange Computername plus einem sechzehnten Byte 0x20. Der Computername kann in der Systemsteuerung überdie Option System auf der Registerkarte Computername konfiguriert werden. Wenn der Computernamekürzer ist als 15 Byte, wird er von Windows durch Leerzeichen auf 15 Byte erweitert. Computernamen mitmehr als 15 Byte werden gekürzt.

Auch von anderen Netzwerkdiensten wird der Computername verwendet, um die jeweiligen NetBIOS-Namen zu erstellen. Daher kennzeichnet das sechzehnte Byte üblicherweise einen bestimmtenDienst. Andere Dienste, die NetBIOS verwenden, sind z. B. die Komponente Client fürMicrosoft-Netzwerke (Arbeitsstationsdienst im Snap-In Dienste) oder der Nachrichtendienst (nicht zu

verwechseln mit Windows Messenger). Der Arbeitsstationsdienst (auch als Redirectordienst bezeichnet) verwendet den 15 Byte langen Computernamen plus ein sechzehntes Byte 0x00. Der Nachrichtendienstverwendet den 15 Byte langen Computernamen plus ein sechzehntes Byte 0x03.

In Abbildung 11-3 ist die Verwendung der NetBIOS-Namen durch den Server-, Arbeitsstations- undNachrichtendienst in der NetBT-Architektur dargestellt.

Abbildung 11-3 – Beispiele für NetBIOS-Namen in der NetBT-ArchitekturAbbildung vergrößern

Wenn Sie in Windows mit dem Befehl net use oder in Windows Explorer eine Verbindung mit einem freigegebenen Ordner herstellen möchten, wird von NetBT versucht, den NetBIOS-Namen für denServer-Dienst des angegebenen Computers aufzulösen. Nachdem der NetBIOS-Name zur entsprechendenIPv4-Adresse aufgelöst wurde, kann vom Arbeitsstationsdienst auf dem Clientcomputer dieKommunikation mit dem Server-Dienst auf dem Dateiserver initiiert werden.

Der Server-, Arbeitsstations- und Nachrichtendienst sowie alle Dienste, die von diesen Diensten abhängigsind (z. B. die Dienste Computerbrowser, Verteiltes Dateisystem und Netzwerkanmeldung), registrierenNetBIOS-Namen. Windows-Netzwerkanwendungen, die auf diese Dienste zugreifen, müssen dieentsprechenden NetBIOS-Namen verwenden.

Allgemeine NetBIOS-NamenIn Tabelle 11-1 werden allgemeine NetBIOS-Namen aufgelistet und beschrieben, die von denNetzwerkdiensten unter Windows Server 2003 und Windows XP verwendet werden.

Tabelle 11-1 – Allgemeine NetBIOS-Namen

Registrierter Name

Beschreibung

Computername0x00 Registrierter Name für den Arbeitsstationsdienst

Computername0x03 Registrierter Name für den Nachrichtendienst

Computername0x20 Registrierter Name für den Server-Dienst

Benutzername0x03 Name des aktuell auf dem Computer angemeldeten Benutzers. Der Benutzername wird vom Nachrichtendienst registriert, um net send-Befehle zu empfangen, die an diesen Benutzernamen gesendet werden. Wenn mehrere Benutzer mit demselben Benutzernamen (wie z. B. Administrator) angemeldet sind, wird derName nur auf dem Computer registriert, auf dem dieser Benutzer zuerst angemeldet wurde.

Domänenname0x1B Registrierter Domänenname für einen Domänencontroller unter WindowsServer 2003

Registrieren, Auflösen und Freigeben von NetBIOS-NamenAlle NetBT-Knoten verwenden für die Verwaltung von NetBIOS-Namen in einem IPv4-Netzwerkverschiedene Prozesse zum Registrieren, Auflösen und Freigeben von Namen.

Registrieren von NamenWährend der Initialisierung registriert ein NetBT-Host die eigenen NetBIOS-Namen unter Verwendungeiner Registrierungsanforderungsnachricht (Registration Request) für NetBIOS-Namen. Bei dieserNamensregistrierung sendet ein NetBT-Host eine Broadcastnachricht an das lokale Subnetz oder eine Unicastnachricht an einen NetBIOS-Namenserver (NBNS).

Wenn es sich bei dem registrierten Namen um einen eindeutigen NetBIOS-Namen handelt und dieser

Name bereits von einem anderen Host registriert wurde, antwortet entweder der Host, der den Namen zuvor registriert hat, oder der NBNS mit einer negativen Namensregistrierungsantwort. Nach dem Empfang einer negativen Antwort wird dem Benutzer vom Host normalerweise eine Fehlermeldung angezeigt.

Auflösen von NamenBei einem NetBIOS-Namen handelt es sich um einen Anwendungsbezeichner auf Sitzungsebene. Bei TCP/IP werden IPv4-Adressen als Bezeichner auf Netzwerkebene für eine Schnittstelle verwendet. Wenndaher eine NetBIOS-Anwendung eine NetBIOS-Verbindungsanforderung an NetBT ausgibt, muss von NetBT der NetBIOS-Name der Zielanwendung mit der IPv4-Adresse des Computers verknüpft werden, aufdem die Anwendung ausgeführt wird. Der Zuordnungsprozess eines NetBIOS-Namens zu einerIPv4-Adresse wird als NetBIOS-Namensauflösung bezeichnet.

Wenn von einer NetBIOS-Anwendung auf einem Computer unter Windows Server 2003 oder Windows XPein Datenaustausch mit einem anderen TCP/IP-Host aufgenommen werden soll, wird zum Auflösen vonder Anwendung eine NetBIOS-Name Query Request-Broadcastnachricht an das lokale Netzwerk oder eine NetBIOS-Name Query Request-Unicastnachricht an einen NBNS gesendet. In beiden Fällen enthält dieNetBIOS-Name Query Request-Nachricht den NetBIOS-Namen des Zielhosts.

Als Antwort wird entweder vom benachbarten Host, der den NetBIOS-Namen registriert hat, oder von einem NBNS eine positive NetBIOS-Name Query Response-Nachricht gesendet. Wenn der NBNS keine Zuordnung für den NetBIOS-Namen gespeichert hat, wird eine negative Name Query Response-Nachrichtgesendet.

Freigeben von NamenEin Name wird immer dann freigegeben, wenn eine NetBIOS-Anwendung beendet wird. Wenn zum Beispiel der Arbeitsstationsdienst auf einem Host unter Windows beendet wird, sendet der Host eine entsprechende Anforderung an den NBNS, damit weitere Namensabfragen für den Arbeitsstationsdienst nicht mehrbeantwortet werden. Außerdem sendet der Host keine negativen Namensregistrierungsantworten mehr,wenn ein anderer Host im lokalen Subnetz versucht, den eindeutigen NetBIOS-Namen zu registrieren. Der NetBIOS-Name wird freigegeben und kann von einem anderen Host verwendet werden.

Segmentieren von NetBIOS-Namen mithilfe der NetBIOS-Bereichskennung (NetBIOS Scope ID)Bei der NetBIOS-Bereichskennung handelt es sich um eine Zeichenfolge, die an den NetBIOS-Namenangefügt wird, um einen Bereich mit mehreren NetBT-Knoten zu isolieren. Ohne Bereichskennungenmüssten für alle NetBIOS-Ressourcen im Netzwerk eindeutige NetBIOS-Namen vergeben werden. Durchdie NetBIOS-Bereichskennung müssen lediglich die NetBIOS-Namen innerhalb einer festgelegtenNetBIOS-Bereichskennung eindeutig sein. NetBIOS-Ressourcen innerhalb eines Bereichs werden von allen NetBIOS-Ressourcen außerhalb dieses Bereichs isoliert. Die NetBIOS-Bereichskennung auf zwei Hostsmuss übereinstimmen, andernfalls ist keine Verbindung zwischen den beiden Hosts über NetBT möglich.

In Abbildung 11-4 ist eine Beispielorganisation dargestellt, in der zwei verschiedene NetBIOS-Bereicheverwendet werden: APPS und MIS.

Abbildung 11-4 – Beispiel für die Verwendung von NetBIOS-BereichenAbbildung vergrößern

In diesem Beispiel ist ein Datenaustausch von HOST1.APPS und HOST2.APPS mit SERVER.APPS möglich,jedoch nicht mit HOST3.MIS, HOST4.MIS oder SERVER.MIS.

Durch NetBIOS-Bereiche können dieselben 16-Byte-Zeichenfolgen auf mehreren Computern als eindeutigeNetBIOS-Namen verwendet werden, sofern den Computern unterschiedliche Bereichskennungen zugeordnet sind. Der NetBIOS-Bereich wird Teil des vollständigen NetBIOS-Namens. Dadurch wird dervollständige NetBIOS-Name eindeutig. Im Beispielnetzwerk in Abbildung 11-4 haben zwei Serverdenselben Computernamen (SERVER), ihnen sind jedoch unterschiedliche Bereichskennungen zugeordnet. Daher unterscheiden sich ihre vollständigen NetBIOS-Namen.

NetBIOS-Bereichskennungen können wie folgt festgelegt werden:

• Durch Konfigurieren der DHCP-Option NetBIOS-Bereichskennung (NetBIOS Scope ID, Option 47) fürDHCP-Clients

• Durch Konfigurieren des RegistrierungsschlüsselsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\ScopeID auf dem lokalen Computer

Sofern Sie NetBIOS-Bereiche nicht speziell zur Trennung des NetBT-Datenverkehrs bei mehreren NetBT-Computergruppen verwenden bzw. benötigen, wird die Verwendung von NetBIOS-Bereichen nichtempfohlen.

Zum Seitenanfang

Auflösen von NetBIOS-NamenBei der NetBIOS-Namensauflösung handelt es sich um die erfolgreiche Zuordnung eines NetBIOS-Namenszu einer IPv4-Adresse. Von TCP/IP für Windows Server 2003 und Windows XP kann jede der in denTabellen 11-2 und 11-3 aufgelisteten Methoden verwendet werden, um NetBIOS-Namen aufzulösen.

Tabelle 11-2 – Standardmethoden zum Auflösen von NetBIOS-Namen

Methode Beschreibung

NetBIOS-Namencache Eine im RAM (Random Access Memory) gespeicherte lokale Tabelle, die die vom lokalen Computer vor kurzem aufgelösten NetBIOS-Namen mit den zugehörigenIPv4-Adressen enthält.

NBNS Ein Server, der RFC 1001 und 1002 erfüllt und Namensauflösungen fürNetBIOS-Namen bereitstellt. Bei WINS (Windows Internet Name Service) handelt es sich um die Microsoft-Implementierung eines NBNS.

Lokaler Broadcast NetBIOS-Name Query Request-Broadcastnachrichten, die an das lokale Subnetz gesendet werden.

Tabelle 11-3 – Zusätzliche Microsoft-spezifische Methoden zum Auflösen vonNetBIOS-Namen

Methode Beschreibung

Lmhosts-Datei Lokale Textdatei, in der NetBIOS-Namen ihren IPv4-Adressen zugeordnet werden. Die Lmhosts-Datei wird für NetBIOS-Anwendungenverwendet, die auf Computern in Remotesubnetzen ausgeführt werden.

Lokaler Hostname Konfigurierter Hostname des Computers

DNS-Auflösungscache (DNS –Domain Name System)

Lokale RAM-basierte Tabelle, die Domänennamen- undIP-Adressenzuordnungen aus in der lokalen HOSTS-Datei aufgelistetenEinträgen enthält sowie Namen, die über DNS aufgelöst werden sollen.

DNS-Server Server, die Datenbanken mit Zuordnungen von IP-Adressen zu Hostnamen verwalten.

Auflösen von lokalen NetBIOS-Namen unter Verwendung eines BroadcastNetBIOS-Namen für NetBIOS-Anwendungen, die auf Hosts in einem lokalen Subnetz ausgeführt werden,können unter Verwendung einer NetBIOS-Name Query Request-Broadcastnachricht aufgelöst werden.Broadcastnachrichten werden folgendermaßen verarbeitet:

1. Wenn eine NetBIOS-Anwendung einen NetBIOS-Namen zu einer IPv4-Adresse auslösen muss,überprüft NetBT im NetBIOS-Namencache, ob die gesuchte IPv4-Adresse für den NetBIOS-Namender Zielanwendung verfügbar ist. Wenn der Name vor kurzem aufgelöst wurde, befindet sich imNetBIOS-Namencache des sendenden Hosts eine Zuordnung zum Zielhost, und es ist kein Broadcast erforderlich. Durch den NetBIOS-Namencache werden so überflüssige Broadcasts im lokalenSubnetz vermieden.

2. Wenn der NetBIOS-Name nicht im NetBIOS-Namencache verfügbar ist, werden vom sendendenHost bis zu drei NetBIOS-Name Query Request-Broadcastnachrichten an das lokale Subnetz gesendet.

3. Jeder benachbarte Host im lokalen Subnetz empfängt diese Broadcastnachrichten und überprüftdaraufhin seine lokale NetBIOS-Tabelle. Dies ist eine Liste der NetBIOS-Namen, die von NetBIOS-Anwendungen auf diesem Computer registriert wurden.

4. Der Computer, auf dem der angefragte NetBIOS-Name registriert ist, sendet eine positive NetBIOS-Name Query Response-Nachricht an den Knoten, der die NetBIOS-Name Query Request-Nachricht gesendet hat.

Sobald der sendende Host eine positive NetBIOS-Name Query Response-Nachricht empfägt, kann die

Verbindung mit der NetBIOS-Zielanwendung hergestellt werden. Hierfür kann entweder einNetBIOS-Datagramm oder eine NetBIOS-Sitzung verwendet werden.

Einschränkungen bei BroadcastsBroadcasts werden von Routern nicht weitergeleitet. Broadcastframes bleiben auf das lokale Subnetzbeschränkt. Wenn für die NetBIOS-Namensauflösung Broadcasts verwendet werden, können daher nurNamen von NetBIOS-Prozessen aufgelöst werden, die auf Knoten im lokalen Subnetz ausgeführt werden.

Einige Router bieten die Möglichkeit, die NetBT-Broadcastweiterleitung (UDP-Ports 137 und 138) zuaktivieren. Es wird jedoch dringend davon abgeraten, die NetBT-Broadcastweiterleitung zu aktivieren, um die NetBIOS-Namensauflösung zu vereinfachen.

Auflösen von Namen mit einem NetBIOS-Namenserver (NBNS)Um NetBIOS-Namen von NetBIOS-Anwendungen aufzulösen, die auf lokalen Computern oder aufRemotecomputern ausgeführt werden, wird bei NetBT normalerweise ein NBNS verwendet. Wenn ein NBNSverwendet wird, erfolgt die Namensauflösung wie folgt:

1. NetBT überprüft den NetBIOS-Namencache auf Zuordnungen von NetBIOS-Namen zuIPv4-Adressen.

2. Wenn der Name mit dem NetBIOS-Namencache nicht aufgelöst werden kann, sendet NetBT eineNetBIOS-Name Query Request-Unicastnachricht an den NBNS, die den NetBIOS-Namen der Zielanwendung enthält.

3. Wenn der NBNS den NetBIOS-Namen zu einer IPv4-Adresse auflösen kann, gibt der NBNS dieIPv4-Adresse an den sendenden Host mit einer positiven NetBIOS-Name Query Response-Nachrichtzurück. Wenn der NBNS den NetBIOS-Namen nicht zu einer IPv4-Adresse auflösen kann, sendet derNBNS eine negative NetBIOS-Name Query Response-Nachricht.

In der Standardeinstellung wird auf einem Computer unter Windows Server 2003 oder Windows XPdreimal versucht, den primären NBNS-Server (ein WINS-Server) zu finden. Wenn keine Antwortempfangen wird oder eine negative NetBIOS-Name Query Response-Nachricht das Fehlschlagen derNamensauflösung anzeigt, versucht ein Computer unter Windows, zusätzliche WINS-Server zukontaktieren.

Wenn der sendende Host eine positive NetBIOS-Name Query Response-Nachricht empfängt, kann derDatenaustausch zwischen dem Host und der NetBIOS-Zielanwendung aufgenommen werden. Hierfür kannentweder ein NetBIOS-Datagramm oder eine NetBIOS-Sitzung verwendet werden.

Methoden zum Auflösen von NetBIOS-Namen unter WindowsAuf Computern, auf denen Windows Server 2003 oder Windows XP ausgeführt wird, könnenNetBIOS-Namen auch unter Verwendung der Lmhosts-Datei, des lokalen Hostnamens, desDNS-Clientauflösungscaches oder des DNS-Servers aufgelöst werden. NetBT unter Windows Server 2003und Windows XP verwendet das folgende Verfahren:

1. Wenn eine NetBIOS-Anwendung einen NetBIOS-Namen zu einer IPv4-Adresse auflösen muss, suchtNetBT im NetBIOS-Namencache nach der Zuordnung des NetBIOS-Namens zur IPv4-Adresse des Zielhosts. Wenn NetBT eine Zuordnung findet, wird der NetBIOS-Name aufgelöst, ohneNetzwerkaktivität zu verursachen.

2. Wenn der Name nicht mit den Einträgen im NetBIOS-Namencache aufgelöst werden kann, versuchtNetBT, den Namen durch drei NetBIOS-Namensabfragen an jeden konfigurierten NBNS aufzulösen.

3. Wenn die konfigurierten NBNSs keine positive Antwort zurücksenden, gibt NetBT bis zu dreiBroadcastabfragen an das lokale Netzwerk aus.

4. Wenn keine positive Antwort erfolgt und das Kontrollkästchen LMHOSTS-Abfrage aktivieren auf der Registerkarte WINS aktiviert ist, überprüft NetBT die Lmhosts-Datei. Weitere Informationen finden Sie in diesem Kapitel unter "Verwenden der Lmhosts-Datei".

5. Wenn der NetBIOS-Name nicht mithilfe der Lmhosts-Datei aufgelöst werden kann, versuchtWindows, den Namen durch Mechanismen zur Hostnamensauflösung zu ermitteln. NetBT wandeltden NetBIOS-Namen in einen unvollständigen Domänennamen mit einer Bezeichnung um, indemdie ersten 15 Byte des NetBIOS-Namens übernommen und Leerzeichen am Namensende entferntwerden. Für den NetBIOS-Namen FILESRV1 [20] wäre der unvollständige Domänennamen miteiner Bezeichnung beispielsweise filesrv1. Der erste Schritt bei der Hostnamensauflösung ist einVergleich mit dem lokalen Hostnamen.

6. Wenn der umgewandelte NetBIOS-Name nicht mit dem lokalen Hostnamen übereinstimmt,überprüft der DNS-Client-Dienst den DNS-Clientauflösungscache.

7. Wenn der Name nicht im DNS-Clientauflösungscache verfügbar ist, versucht der DNS-Client-Dienstden Namen durch das Senden von Suchabfragen an einen DNS-Server aufzulösen. DerDNS-Client-Dienst erzeugt vollqualifizierte Namen aus dem umgewandelten NetBIOS-Namen(unvollständiger Domänenname mit einer Bezeichnung) und verwendet hierbei die in Kapitel 9,"Windows-Unterstützung für DNS", beschriebenen Verfahren.

In Abbildung 11-5 finden Sie eine Darstellung der Methoden zum Auflösen von NetBIOS-Namen unter

Windows.

Abbildung 11-5 – Methoden zum Auflösen von NetBIOS-Namen unter WindowsAbbildung vergrößern

Wenn der NetBIOS-Name durch keine dieser Methoden aufgelöst werden kann, meldet NetBT einen Fehleran die anfordernde NetBIOS-Anwendung zurück. Normalerweise wird dem Benutzer daraufhin ebenfallseine Fehlermeldung angezeigt.

Zum Seitenanfang

NetBIOS-KnotentypenUnter Windows Server 2003 und Windows XP werden alle NetBIOS-Knotentypen unterstützt, die in denRFCs 1001 und 1002 definiert sind. NetBIOS-Namen werden von jedem Knotentyp unterschiedlichaufgelöst. In Tabelle 11-4 werden die NetBIOS-Knotentypen aufgelistet und beschrieben.

Tabelle 11-4 – NetBIOS-Knotentypen

Knotentyp Beschreibung

B-Knoten (Broadcast)

Verwendet Broadcasts zur Namensregistrierung und -auflösung. Da RouterNetBT-Broadcasts normalerweise nicht weiterleiten, können NetBIOS-Ressourcen, diesich in Remotesubnetzen befinden, nicht aufgelöst werden.

P-Knoten (Peer-to-Peer)

Verwendet einen NBNS, wie z. B. WINS, um NetBIOS-Namen aufzulösen. P-Knotenverwenden keine Broadcasts, sondern es erfolgt direkt eine Abfrage des NBNS. Da keine Broadcasts verwendet werden, können auch NetBIOS-Ressourcen aufgelöstwerden, die sich in Remotesubnetzen befinden. Wenn der NBNS jedoch nichtverfügbar ist, schlagen NetBIOS-Namensauflösungen für alle NetBIOS-Namen fehl,selbst bei NetBIOS-Anwendungen, die sich im lokalen Subnetz befinden.

M-Knoten (gemischt)

Eine Kombination von B- und P-Knoten. In der Standardeinstellung arbeitet ein M-Knoten genau wie ein B-Knoten. Wenn die Broadcast-Namensabfrage nicht erfolgreich ist, verwendet NetBT einen NBNS.

H-Knoten (hybrid)

Eine Kombination von P- und B-Knoten. In der Standardeinstellung arbeitet ein H-Knoten genau wie ein P-Knoten. Wenn die Unicast-Namensabfrage an den NBNS nicht erfolgreich ist, verwendet NetBT einen Broadcast.

Von Microsoft verbesserter B-Knoten

Ein B-Knoten in Kombination mit einer lokalen Lmhosts-Datei. Wenn die Broadcast-Namensabfrage nicht erfolgreich ist, überprüft NetBT die lokaleLmhosts-Datei.

In der Standardeinstellung wird für NetBT auf Computern unter Windows Server 2003 und Windows XPder von Microsoft verbesserte B-Knotentyp verwendet, wenn keine WINS-Server konfiguriert sind. Wenn einer oder mehrere WINS-Server konfiguriert sind, verwendet NetBT den H-Knotentyp.

Sie können dieses Standardverhalten ändern und den NetBIOS-Knotentyp wie folgt konfigurieren:

• Durch Festlegen der DHCP-Option WINS/NBT-Knotentyp (Option 47) auf den Wert 1 (von Microsoftverbesserter B-Knoten), 2 (P-Knoten), 4 (M-Knoten) oder 8 (H-Knoten)

• Durch Setzen des Registrierungswertes HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters\NodeTypeauf 1 (von Microsoft verbesserter B-Knoten), 2 (P-Knoten), 4 (M-Knoten) oder 8 (H-Knoten)

Zum Seitenanfang

Verwenden der Lmhosts-DateiBei der Lmhosts-Datei handelt es sich um eine statische Textdatei mit NetBIOS-Namen und IPv4-Adressen. NetBT verwendet die Lmhosts-Datei, um NetBIOS-Namen für NetBIOS-Anwendungenaufzulösen, die auf Remotecomputern in einem Netzwerk ohne NBNS ausgeführt werden. DieLmhosts-Datei weist folgende Merkmale auf:

• Einträge bestehen aus einer IPv4-Adresse und einem NetBIOS-Computernamen. Zum Beispiel:

131.107.7.29 emailsrv1

• Bei den Einträgen wird nicht zwischen Groß- und Kleinschreibung unterschieden.

• Auf jedem Computer befindet sich jeweils eine eigene Datei im Ordner systemverzeichnis\System32\Drivers\Etc.

Dieser Ordner enthält auch eine Lmhosts-Beispieldatei (Lmhosts.sam). Sie können eine andere Dateimit dem Namen Lmhosts erstellen oder Lmhosts.sam in diesem Ordner nach Lmhosts kopieren.

In der Standardeinstellung wird unter Windows Server 2003 und Windows XP die Lmhosts-Datei (falls vorhanden) für die NetBIOS-Namensauflösung verwendet. Sie können die Prüfung der Lmhosts-Datei deaktivieren, indem Sie im Dialogfeld Erweiterte TCP/IP-Einstellungen auf der Registerkarte WINSdas Kontrollkästchen LMHOSTS-Abfrage aktivieren deaktivieren, wie in Abbildung 11-2 dargestellt.

Vordefinierte SchlüsselwörterDie Lmhosts-Datei kann vordefinierte Schlüsselwörter mit dem Präfix "#" enthalten. In Tabelle 11-5 sinddie möglichen Lmhosts-Schlüsselwörter aufgelistet.

Tabelle 11-5 – Lmhosts-Schlüsselwörter

Schlüsselwort Beschreibung

#PRE Legt fest, welche Einträge bereits zu Anfang als permanente Einträge in denNetBIOS-Namencache geladen werden sollen. Durch vorher geladeneEinträge werden Netzwerkbroadcasts reduziert, da Namen ggf. über denCache anstatt durch Broadcastabfragen aufgelöst werden können. Einträgemit einem #PRE-Tag werden entweder automatisch geladen, wenn TCP/IP gestartet wird, oder manuell über den Befehl nbtstat –R.

#DOM:Domänenname Identifiziert Computer für Windows-Domänenaktivitäten, wie z. B.Anmeldungsüberprüfung, Kontensynchronisierung und das Suchen vonComputern.

#NOFNR Umgeht die Verwendung von Unicast-NetBIOS-Namensabfragen für ältereComputer, auf denen LAN-Manager für UNIX ausgeführt wird.

#INCLUDEPfad\Dateiname

Lädt und sucht Einträge in der Datei Pfad\Dateiname, einer zentralen, freigegebenen Lmhosts-Datei. Es wird empfohlen, Dateipfade unter Verwendung eines UNC-Pfades (Universal Naming Convention), wie z. B.\\fileserv1\public anzugeben. Um auf Freigaben zugreifen zu können,müssen die Computernamen der Remoteserver für diese Freigaben in derlokalen Lmhosts-Datei vorhanden sein.

#BEGIN_ALTERNATE und #END_ALTERNATE

Festlegen einer Liste von alternativen Speicherorten für Lmhosts-Dateien

#MH Hinzufügen von mehreren Einträgen für einen mehrfach vernetzten Computer

Da die Lmhosts-Datei sequenziell gelesen wird, sollten die Computer, auf die am häufigsten zugegriffenwird, als erste Dateieinträge und die Einträge mit dem #PRE-Tag zuletzt hinzugefügt werden. Die#PRE-Einträge werden in den NetBIOS-Namencache geladen und dann nicht mehr benötigt, wenn NetBTdie Lmhosts-Datei nach dem Start überprüft. Wenn #PRE-Einträge in der Datei zuletzt aufgeführt werden,kann die Lmhosts-Datei von NetBT schneller nach anderen NetBIOS-Namen durchsucht werden.

Verwenden einer zentralisierten Lmhosts-DateiNetBT kann auch Lmhosts-Dateien durchsuchen, die sich auf anderen Computern befinden. Dadurch kann eine zentralisierte Lmhosts-Datei verwaltet werden, auf die über eine lokale Lmhosts-Datei eines Benutzers zugegriffen werden kann. Um eine zentralisierte Lmhosts-Datei zu verwenden, muss weiterhin auf jedem Computer eine lokale Lmhosts-Datei vorhanden sein.

Um auf eine zentralisierte Lmhosts-Datei zuzugreifen, muss in der lokalen Lmhosts-Datei eines Computers ein Eintrag mit dem #INCLUDE-Tag und dem Speicherort der zentralisierten Datei hinzugefügtwerden. Beispiel:

#INCLUDE \\Bootsrv3\Public\Lmhosts

In diesem Beispiel fügt NetBT beim Auflösen eines Remote-NetBIOS-Namens zu einer IPv4-Adresse dieLmhosts-Datei aus dem freigegebenen Ordner "Public" auf dem Server "Bootsrv3" ein.

NetBT durchsucht die zentralisierte Lmhosts-Datei, bevor sich ein Benutzer auf dem Computer anmeldet. Da dem Computer zu diesem Zeitpunkt noch kein Benutzername zugeordnet ist, wird beim Zugriff auf den freigegebenen Ordner mit der zentralen Lmhosts-Datei ein leerer Benutzername in den Anmeldeinformationen verwendet.

Um diesen Zugriff ohne Benutzernamen auf einen freigegebenen Ordner mit einer Lmhosts-Datei zu erlauben, geben Sie den Namen des Ordners als Zeichenfolgenwert im Registrierungswert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\Lanmanserver \Parameters\NullSessionShares auf dem Server ein, auf dem Windows Server 2003 oder Windows XPausgeführt und der freigegebene Ordner bereitgestellt wird. Starten Sie anschließend den Server-Dienstneu. Wenn dieser Registrierungswert nicht gesetzt wird, kann auf die remote Lmhosts-Datei erst zugegriffen werden, sobald sich ein autorisierter Benutzer auf dem Computer angemeldet hat.

Mit den Tags #BEGIN_ALTERNATE und #END_ALTERNATE kann bei der Suche nach Zuordnungen von NetBIOS-Namen zu IPv4-Adressen ein Block von Lmhosts-Remotespeicherorten eingefügt werden. DieseTechnik wird als Blockeinfügung (Block Inclusion) bezeichnet. Beispiel:

#BEGIN_ALTERNATE#INCLUDE \\Bootsrv3\Public\Lmhosts#INCLUDE \\Bootsrv4\Public\Lmhosts#INCLUDE \\Bootsrv9\Public\Lmhosts#END_ALTERNATE

Wenn NetBT eine Blockeinfügung verwendet, wird lediglich die erste verfügbare Lmhosts-Datei des Blocks durchsucht. NetBT greift nicht auf weitere Lmhosts-Dateien zu, selbst wenn die erste verfügbareLmhosts-Datei den gesuchten Namen nicht enthält. Durch die Blockeinfügung wird eine Fehlertoleranz fürzentrale Lmhosts-Dateien bereitgestellt.

Erstellen von Lmhosts-Einträgen für spezifische NetBIOS-NamenEin typischer Eintrag in der Lmhosts-Datei für einen NetBIOS-Computernamen ermöglicht das Auflösender drei NetBIOS-Namen:

• Computername[00]



Diese Namen beziehen sich auf den Arbeitsstations-, den Server- und den Nachrichtendienst.

Häufig müssen jedoch auch spezifische 16 Byte-NetBIOS-Namen für NetBIOS-Anwendungen aufRemotecomputern aufgelöst werden. Hierzu können Sie in der Lmhosts-Datei einen beliebigen16 Byte-NetBIOS-Namen mit folgender Syntax konfigurieren:

IPv4-Adresse "NameLeerzeichen\0xN"

Wobei:

• IPv4-Adresse die IPv4-Adresse bezeichnet, zu der dieser NetBIOS-Name aufgelöst wird.

• Name den ersten Teil des NetBIOS-Namens (bis zu 15 Byte) bezeichnet.

• Die Leerzeichen werden benötigt, um sicherzustellen, dass der vollständige NetBIOS-Name genau16 Byte lang ist. Wenn der Name kürzer ist als 15 Byte, muss er mit Leerzeichen auf 15 Byte erweitertwerden.

• N gibt in zweistelliger Hexadezimaldarstellung das sechzehnte Byte des NetBIOS-Namens an. Mit der Syntax \0xN kann jedes beliebige Byte im NetBIOS-Namen dargestellt werden, meistens wird sie jedoch speziell für das sechzehnte Zeichen verwendet.

Es soll zum Beispiel ein Eintrag erstellt werden, mit dem ein Client für die Suche nach Computern denNetBIOS-Namen Domäne0x1B auflösen kann. Bei Domäne0x1B handelt es sich um einen NetBIOS-Namen, der von den Hauptsuchdienstservern der Domäne (Domain Master Browse Servers)registriert wurde, und bestimmte Situationen bei der Computersuche erfordern das erfolgreiche Auflösendes NetBIOS-Namens Domäne0x1B. Der Lmhosts-Dateieintrag für den NetBIOS-DomänennamenEXAMPLE und die IPv4-Adresse 131.107.4.31 würde beispielsweise folgendermaßen aussehen:

131.107.4.31 "EXAMPLE \0x1B"

Probleme beim Auflösen von Namen mit "Lmhosts"Dies sind die häufigsten Probleme beim Auflösen von NetBIOS-Namen unter Verwendung derLmhosts-Datei:

• In der Lmhosts-Datei befindet sich kein Eintrag für einen Remote-NetBIOS-Namen.

Überprüfen Sie, ob die Zuordnungen von IPv4-Adressen zu NetBIOS-Namen aller Remotehosts, die vomComputer zum Zugriff benötigt werden, der Lmhosts-Datei hinzugefügt wurden.

• Der NetBIOS-Name wurde in der Lmhosts-Datei falsch geschrieben.

Überprüfen Sie die Schreibweise jedes Namens nach dem Hinzufügen.

• Die IPv4-Adresse für den NetBIOS-Namen ist ungültig.

Überprüfen Sie, ob die IPv4-Adresse für den entsprechenden NetBIOS-Namen gültig ist.

• Die Lmhosts-Datei enthält mehrere Einträge für denselben NetBIOS-Namen.

Stellen Sie sicher, dass jeder Eintrag in der Lmhosts-Datei eindeutig ist. Wenn die Datei doppelte Namen enthält, verwendet NetBT den ersten Namen, der in der Datei aufgelistet ist. NetBT wird dieLmhosts-Datei nicht nach zusätzlichen Einträgen durchsuchen.

Verwenden Sie eine NetBIOS-Anwendung (z. B. den Befehl nbtstat -a), um einen Eintrag in der Lmhosts-Datei zu prüfen. So können Sie sicherstellen, dass der Eintrag richtig hinzugefügt wurde.

Zum Seitenanfang

Das Nbtstat-ToolBei dem Nbtstat-Tool handelt es sich um das wichtigste Tool zum Sammeln von NetBT-Informationen beim Beheben von Problemen mit NetBIOS-Namen. In Tabelle 11-6 sind die am häufigsten verwendetenNbtstat-Optionen aufgelistet.

Tabelle 11-6 – Allgemeine Nbtstat-Optionen

Option Beschreibung

-n Zeigt die NetBIOS-Namentabelle des lokalen Computers an. Verwenden Sie diese Option, um die NetBIOS-Anwendungen zu ermitteln, die auf dem lokalen Computer ausgeführt werden, sowie ihre entsprechenden eindeutigenNamen und Gruppennamen für NetBIOS.

-a RemoteComputernameoder-A IPv4Adresse

Zeigt die NetBIOS-Namentabelle eines Remotecomputers nach dessen Name oder IPv4-Adresse an. Verwenden Sie diese Option, um die NetBIOS-Anwendungen zu ermitteln, die auf dem Remotecomputer ausgeführtwerden, sowie ihre entsprechenden eindeutigen Namen und Gruppennamenfür NetBIOS.

-c Zeigt den NetBIOS-Namencache des lokalen Computers an.

-R Manuelles Löschen und erneutes Laden des NetBIOS-Namencaches mit allenEinträgen in der Lmhosts-Datei, bei denen der Parameter #PRE angegeben ist.

-RR Freigeben und erneutes Registrieren aller lokalen NetBIOS-Namen beim NBNS (WINS-Server). Diese Option wird beim Beheben von Problemen mit der WINS-Registrierung verwendet.

Zum Seitenanfang

KapitelzusammenfassungDieses Kapitel enthält die folgenden Schlüsselinformationen:

• Bei NetBIOS handelt es sich um eine Standard-API auf Sitzungsebene, mit der Benutzeranwendungen Dienste bereits installierter Netzwerkprotokollstacks nutzen können. NetBIOS definiert darüber hinausProtokolle für die Sitzungsverwaltung und den Datentransport.

• Ein NetBIOS-Name hat eine Länge von 16 Byte und identifiziert entweder eine eindeutigeNetBIOS-Anwendung oder eine NetBIOS-Gruppenanwendung in einem Netzwerk.

• Die NetBIOS-Namensverwaltung umfasst Mechanismen zur Registrierung, Auflösung und Freigabe vonNetBIOS-Namen.

• NetBT stellt NetBIOS-Dienste für Sitzungen, Namensverwaltung und Datagrammübertragungen fürNetBIOS-Anwendungen bereit, die in einem IPv4-Netzwerk ausgeführt werden. NetBT ist für Computerunter Windows XP oder Windows Server 2003 nur erforderlich, wenn NetBIOS-Anwendungen ausgeführtwerden.

• NetBT unter Windows XP und Windows Server 2003 kann den NetBIOS-Namencache, einen NBNS,Broadcasts, die Lmhosts-Datei, den lokalen Hostnamen, den DNS-Clientauflösungscache sowieDNS-Server verwenden, um NetBIOS-Namen aufzulösen.

• NetBT unter Windows XP und Windows Server 2003 verwendet einen von Microsoft verbessertenB-Knotentyp (wenn keine WINS-Server konfiguriert sind) oder den H-Knotentyp (wenn einer oder mehrere WINS-Server konfiguriert sind).

• Die Lmhosts-Datei ist eine statische Textdatei mit NetBIOS-Namen und IPv4-Adressen, die von NetBT verwendet wird, um NetBIOS-Namen für NetBIOS-Anwendungen auf Remotecomputern aufzulösen.

• Bei dem Nbtstat-Tool handelt es sich um das primäre Tool zum Sammeln von NetBT-Informationenbeim Beheben von Problemen mit NetBIOS-Namen.

Zum Seitenanfang


DNS-Clientauflösungscache (Client Resolver Cache) – Eine RAM-basierte Tabelle, die sowohl die Einträgein der Hostdatei als auch Ergebnisse der vor kurzem durchgeführten DNS-Namensabfragen beinhaltet.

DNS-Server – Ein Server, der eine Datenbank mit Zuordnungen von DNS-Domänennamen zuverschiedenen Datentypen, wie z. B. IP-Adressen, verwaltet.

Domain Name System (DNS) – Eine hierarchische, verteilte Datenbank, die Zuordnungen vonDNS-Domänennamen zu verschiedenen Datentypen, wie z. B. IP-Adressen, enthält. Mithilfe von DNSkönnen Benutzer beschreibende und leicht zu merkende Namen für Computer und Dienste angeben. DurchDNS wird außerdem das Auffinden verschiedener anderer Informationen in der DNS-Datenbankermöglicht.

Hostname – Der Name eines Computers oder Geräts in einem Netzwerk. Benutzer können Computer ineinem Netzwerk über ihre Hostnamen angeben. Damit ein Computer gefunden werden kann, muss seinHostname in der Hosts-Datei eingetragen oder einem DNS-Server bekannt sein. Für die meistenComputer, auf denen Windows ausgeführt wird, entspricht der Hostname dem Computernamen.

Hostnamensauflösung – Der Vorgang des Auflösens eines Hostnamens zu einer Ziel-IP-Adresse.

Hosts-Datei – Eine lokale Textdatei im gleichen Format wie die Datei /etc/hosts aus der Distribution "4.3 Berkeley Software Distribution (BSD) UNIX". Diese Datei weist Hostnamen IP-Adressen zu und ist im Ordner systemverzeichnis\System32\Drivers\Etc gespeichert.

Lmhosts-Datei – Eine lokale Textdatei, die NetBIOS-Namen zu IP-Adressen für Hosts zuordnet, die sich inRemotesubnetzen befinden. Bei Computern, auf denen Windows ausgeführt wird, befindet sich diese Dateiim Ordner systemverzeichnis\System32\Drivers\Etc.

NBNS – Siehe "NetBIOS-Namenserver (NBNS)".

NetBIOS – Siehe "Network Basic Input/Output System (NetBIOS)".

NetBIOS-Name - Ein 16 Byte langer Name für eine Anwendung, die das "Network Basic Input/OutputSystem" (NetBIOS) verwendet.

NetBIOS-Namencache – Eine dynamisch verwaltete Tabelle, in der vor kurzem aufgelöste NetBIOS-Namenund ihre zugeordneten IPv4-Adressen gespeichert werden.

NetBIOS-Namensauflösung – Die Zuordnung eines NetBIOS-Namens zu einer IPv4-Adresse.

NetBIOS-Namenserver (NBNS) – Ein Server, auf dem Zuordnungen von NetBIOS-Namen zu IPv4-Adressengespeichert werden. Dieser Server führt NetBIOS-Namensauflösungen für NetBIOS-fähige Hosts aus. Beidem WINS-Serverdienst handelt es sich um die Microsoft-Implementierung eines NBNS.

NetBIOS-Knotentyp – Bezeichnung für die bestimmte Methode, mit der ein NetBIOS-KnotenNetBIOS-Namen auflöst.

NetBIOS über TCP/IP (NetBT) – Die Implementierung des NetBIOS-Sitzungsprotokolls über TCP/IP (nurIPv4). Diese Implementierung stellt eine Registrierung und Überprüfung von Netzwerknamen, dasHerstellen und Beenden von Sitzungen sowie Datenübertragungsdienste für verlässliche,verbindungsorientierte Sitzungen und unzuverlässige, verbindungslose Datagramme bereit.

NetBT – Siehe "NetBIOS über TCP/IP (NetBT)".

Network Basic Input/Output System (NetBIOS) – Eine Standard-API für Benutzeranwendungen, umE/A-Operationen im Netzwerk zu realisieren und Kontrollanweisungen an die zugrunde liegendeNetzwerkprotokollsoftware zu senden. Darüber hinaus wird ein Protokoll für die Sitzungsebenebereitgestellt.

Windows Internet Name Service (WINS) – Die Microsoft-Implementierung eines NBNS.

WINS – Siehe "Windows Internet Name Service (WINS)".




TCP/IP-Grundlagen für Microsoft WindowsKapitel 12 – Übersicht über WINS (Windows Internet Name Service)Veröffentlicht: 27. Jun 2005 | Aktualisiert: 07. Okt 2005

Zusammenfassung

In diesem Kapitel wird die Verwendung von WINS (Windows Internet Name Service) unterden Betriebssystemen Microsoft® Windows Server™ 2003 und Windows® XP beschrieben,um die NetBIOS-(Network Basic Input/Output System-)Namensauflösung in einemTCP/IP-Netzwerk zu ermöglichen. Netzwerkadministratoren müssen die Funktion undKonfiguration von WINS-Clients, WINS-Servern und WINS-Proxys kennen, um erfolgreicheine Infrastruktur für die NetBIOS-Namensauflösung bereitzustellen und Probleme bei derNetBIOS-Namensauflösung zu beheben.

Auf dieser Seite

Zielsetzung

Einführung in WINS

Funktionsweise von WINS

Der WINS-Client

Der WINS-Serverdienst

Der WINS-Proxy


Kapitelglossar


• Beschreiben der Funktion von WINS (Windows Internet Name Service).

• Erläutern, wie WINS-Clients die Namensregistrierung, -erneuerung, -aktualisierung und-auflösung durchführen.

• Konfigurieren eines WINS-Clients für die Verwendung primärer und sekundärerWINS-Server.

• Installieren eines WINS-Servers und Konfigurieren dieses Servers für statischeZuordnungen und die Replikation seiner Datenbank auf andere WINS-Server.

• Beschreiben der Funktion und Konfiguration eines WINS-Proxys.

Zum Seitenanfang

Einführung in WINSWINS (Windows Internet Name Service) ist die Windows-Implementierung eines NetBIOS-Namenservers (NBNS), der eine verteilte Datenbank für das Registrieren undAbfragen dynamischer Zuordnungen von NetBIOS-Namen zu den im Netzwerk verwendeten IPv4-Adressen bereitstellt. WINS bietet eine NetBIOS-Namensauflösung in geroutetenTCP/IP-Netzwerken mit mehreren Subnetzen.

Bevor zwei Hosts, die NetBIOS über TCP/IP (NetBT) verwenden, miteinander kommunizierenkönnen, muss der Ziel-NetBIOS-Name in eine IPv4-Adresse aufgelöst werden. TCP/IP kannkeine Kommunikation mithilfe eines NetBIOS-Computernamens herstellen. Das grundlegende Verfahren für die WINS-basierte NetBIOS-Namensauflösung wird im Folgenden beschrieben:

1. Wenn ein WINS-Client gestartet wird, registriert dieser seine Zuordnungen von NetBIOS-Namen zu IPv4-Adressen bei einem konfigurierten WINS-Server.

2. Wenn eine auf einem WINS-Client ausgeführte NetBIOS-Anwendung dieKommunikation mit einem anderen Host initiiert, sendet NetBT eine Anforderung füreine NetBIOS-Namensabfrage mit dem NetBIOS-Zielnamen direkt an den WINS-Server

In diesem Beitrag

• Übersicht




















und nicht als Broadcast an das lokale Netzwerk.

3. Wenn der WINS-Server in seiner Datenbank eine Zuordnung des abgefragten NetBIOS-Namens zu einer IPv4-Adresse findet, gibt er diese an den WINS-Clientzurück.

Die Verwendung von WINS bietet die folgenden Vorteile:

• Clientanforderungen für die Namensauflösung werden direkt an einen WINS-Servergesendet. Wenn der WINS-Server den Namen auflösen kann, sendet er die IPv4-Adressedirekt an den Client. Dadurch ist kein Broadcast erforderlich, und der durch Broadcasts verursachte Netzwerkverkehr wird reduziert. Wenn der WINS-Server jedoch nichtverfügbar ist oder über keine Zuordnung verfügt, kann der WINS-Client trotzdemversuchen, den Namen über einen Broadcast aufzulösen.

• Die WINS-Datenbank wird dynamisch aktualisiert, sodass diese immer auf dem neuesten Stand ist. Dieser Vorgang ermöglicht die NetBIOS-Namensauflösung in Netzwerken mitDHCP und beseitigt so den Bedarf an lokalen oder zentralen Lmhosts-Dateien.

• WINS bietet die Möglichkeit der Suche nach Computern in Subnetzen und Domänen. BeimSuchen von Computern wird die Computerliste unter Netzwerkumgebung bereitgestellt.

Zum Seitenanfang

Funktionsweise von WINSDer WINS-Serverdienst in Windows Server 2003 ist eine Implementierung eines NBNS, wie inden RFCs (Requests for Comments) 1001 und 1002 beschrieben. WINS-Clients verwendeneine Kombination der folgenden Prozesse:

• Namensregistrierung

Jeder WINS-Client wird mit der IPv4-Adresse eines WINS-Servers konfiguriert. Wenn ein WINS-Client gestartet wird, registriert er seine NetBIOS-Namen und deren zugehörigeIPv4-Adressen bei seinem WINS-Server. Der WINS-Server speichert die Zuordnungen des NetBIOS-Namens zur IPv4-Adresse des Clients in seiner Datenbank.

• Namenserneuerung

Alle NetBIOS-Namen werden temporär registriert. Wenn also der ursprüngliche Besitzerden Namen nicht mehr verwendet, kann ein anderer Host diesen später erneutverwenden. Der WINS-Client erneuert in vordefinierten Intervallen die Registrierung seiner NetBIOS-Namen auf dem WINS-Server.

• Namensauflösung

Ein WINS-Client kann die IPv4-Adressen zu NetBIOS-Namen abrufen, indem er den WINS-Server abfragt.

• Namensfreigabe

Wenn eine NetBIOS-Anwendung einen NetBIOS-Namen nicht mehr benötigt, wenn z. B.ein NetBIOS-Dienst beendet wird, sendet der WINS-Client eine Nachricht an den WINS-Server zur Freigabe des Namens.

Diese Prozesse werden in den folgenden Abschnitten genauer beschrieben.

Bei der gesamten WINS-Kommunikation zwischen WINS-Clients und WINS-Servern werden Unicastnachrichten zur NetBIOS-Namensverwaltung über den UDP-(User DatagramProtocol-)Port 137 verwendet, der für den NetBIOS-Namensdienst reserviert ist.

NamensregistrierungWenn ein WINS-Client initialisiert wird, registriert er seine NetBIOS-Namen durch das Senden einer Anforderungsnachricht für die NetBIOS-Namensregistrierung direkt an seinenkonfigurierten WINS-Server. NetBIOS-Namen werden registriert, wenn NetBIOS-Dienste oder -Anwendungen gestartet werden, z. B. der Arbeitsstations-, Server- und Nachrichtendienst.

Wenn der NetBIOS-Name eindeutig ist und noch von keinem anderen WINS-Client registriertwurde, sendet der WINS-Server eine positive Antwort auf eine Namensregistrierung an denWINS-Client. Diese Nachricht enthält die Dauer, für die der NetBIOS-Name für denWINS-Client registriert ist und die als TTL (Time to Live – Lebensdauer) bezeichnet wird.

Wenn ein doppelter Name festgestellt wurdeWenn ein doppelter eindeutiger Name in der WINS-Datenbank registriert wird, sendet der

WINS-Server eine Anforderung an den derzeit registrierten Besitzer des Namens in Form einer Unicastnachricht für eine NetBIOS-Namensabfrage. Der WINS-Server sendet dieseAnforderung dreimal in einem Intervall von 500 Millisekunden.

Wenn der derzeit registrierte Besitzer erfolgreich auf die Anforderung antwortet, sendet der WINS-Server eine negative Antwort auf eine Namensregistrierung an den WINS-Client, der den doppelten Namen registrieren möchte. Wenn der derzeit registrierte Besitzer demWINS-Server nicht antwortet, sendet der Server eine positive Antwort auf eine Namensregistrierung an den WINS-Client, der den Namen registrieren möchte, undaktualisiert seine Datenbank mit dem neuen Besitzer.

Wenn keine WINS-Server verfügbar sindNormalerweise wird ein WINS-Client mit einem primären und einem sekundärenWINS-Server konfiguriert, Sie können aber auch mehr als zwei WINS-Server konfigurieren.Ein WINS-Client versucht dreimal, seine Namen beim primären WINS-Server zu registrieren.Wenn auch auf den dritten Versuch keine Antwort erfolgt, sendet der WINS-Client seine Anforderungen für die Namensregistrierung an den sekundären WINS-Server (sofernkonfiguriert) und alle weiteren konfigurierten Server. Wenn keiner der WINS-Serververfügbar ist, verwendet der WINS-Client lokale Broadcasts, um seine NetBIOS-Namen zuregistrieren.

NamenserneuerungUm denselben NetBIOS-Namen auch weiterhin zu verwenden, muss ein Client seine Registrierung erneuern, bevor die in der letzten positiven Antwort auf eine Namensregistrierung erhaltene TTL abläuft. Wenn der Client die Registrierung nicht erneuert,entfernt der WINS-Server den NetBIOS-Namen aus seiner Datenbank. Danach könnenandere Computer den NetBIOS-Namen nicht mehr in die Adresse des vorherigen Besitzersauflösen, und ein anderer Client kann den Namen selbst registrieren.

Anforderung für eine NamensaktualisierungJeder WINS-Client versucht, seine NetBIOS-Namen auf dem primären WINS-Server zuerneuern, indem er eine Nachricht für eine NetBIOS-Namensaktualisierung sendet, wenn dieHälfte der TTL abgelaufen ist oder wenn der Computer oder der Dienst neu gestartet wird.Wenn der WINS-Client keine Antwort auf eine NetBIOS-Namensregistrierung erhält, sendeter für eine Stunde alle 10 Minuten eine weitere Aktualisierungsnachricht an seinen primärenWINS-Server. Wenn kein Versuch erfolgreich ist, sendet der Client die Nachricht für eineStunde alle 10 Minuten an den sekundären WINS-Server. Der Client sendet dieAktualisierungsnachrichten eine Stunde lang an den primären und eine Stunde lang an densekundären Server, bis der Name abläuft oder ein WINS-Server antwortet und den Namenaktualisiert.

Wenn der WINS-Client seinen Namen aktualisieren kann, setzt der WINS-Server, der auf die Nachricht für eine NetBIOS-Namensaktualisierung antwortet, das Erneuerungsintervallzurück. Wenn der WINS-Client den Namen während des Erneuerungsintervalls weder aufdem primären noch auf dem sekundären WINS-Server aktualisieren kann, wird der Namefreigegeben.

Antwort auf die NamensaktualisierungWenn ein WINS-Server die Nachricht für eine NetBIOS-Namensaktualisierung empfängt,sendet er dem Client eine positive Antwort auf die Namensregistrierung mit einer neuen TTL.

NamensfreigabeWenn eine auf einem WINS-Client ausgeführte NetBIOS-Anwendung beendet wird, weistNetBT den WINS-Server an, den von der Anwendung verwendeten eindeutigen NetBIOS-Namen freizugeben. Der WINS-Server entfernt daraufhin die Zuordnung für denNetBIOS-Namen aus seiner Datenbank.

Beim Vorgang der Namensfreigabe werden die folgenden Nachrichtentypen verwendet:

• Anforderung zur Namensfreigabe

Die Anforderungsnachricht zur Namensfreigabe enthält die IPv4-Adresse des Clients undden aus der WINS-Datenbank zu entfernenden NetBIOS-Namen.

• Antwort auf eine Namensfreigabe

Wenn der WINS-Server die Anforderung zur Namensfreigabe empfängt, überprüft er seineDatenbank auf den angegebenen Namen. Wenn der WINS-Server einen Datenbankfehler findet oder dem registrierten Namen eine andere IPv4-Adresse zugeordnet ist, sendet der Server eine negative Antwort auf die Namensfreigabe an NetBT auf dem WINS-Client.

Andernfalls sendet der WINS-Server eine positive Antwort auf die Namensfreigabe und kennzeichnet den entsprechenden Namen dann in der Datenbank als inaktiv. Die positive Antwort auf die Namensfreigabe enthält den freigegebenen NetBIOS-Namen und denTTL-Wert 0.

NamensauflösungComputer unter Windows Server 2003 oder Windows XP, die standardmäßig mit denIPv4-Adressen von WINS-Servern konfiguriert sind, verwenden den H-NetBIOS-Knotentyp. NetBT überprüft den WINS-Server immer auf eine Zuordnung des NetBIOS-Namens zu einerIPv4-Adresse, bevor ein Broadcast gesendet wird. Die NetBIOS-Namensauflösung erfolgtfolgendermaßen:

1. NetBT überprüft den NetBIOS-Namencache auf Zuordnungen von NetBIOS-Namen desZiels zu IPv4-Adressen.

2. Wenn der Name nicht im NetBIOS-Namencache aufgelöst werden kann, sendet NetBTeine Unicastnachricht für eine NetBIOS-Namensabfrage an den konfiguriertenprimären WINS-Server.

Wenn der primäre WINS-Server den Namen auflösen kann, antwortet er mit einerpositiven Antwort auf eine NetBIOS-Namensabfrage mit der IPv4-Adresse für denangeforderten NetBIOS-Namen.

Wenn der primäre WINS-Server nach drei einzelnen Versuchen nicht antwortet odermit einer negativen Antwort auf die Namensabfrage reagiert, sendet der Client eine Nachricht für eine NetBIOS-Namensabfrage an seinen konfigurierten sekundärenWINS-Server.

Wenn weitere WINS-Server konfiguriert wurden und der sekundäre WINS-Server nachdrei einzelnen Versuchen nicht antwortet oder mit einer negativen Antwort auf die Namensabfrage reagiert, sendet der Client eine Nachricht für eineNetBIOS-Namensabfrage an die zusätzlich konfigurierten WINS-Server in derkonfigurierten Reihenfolge.

3. Wenn keiner der Server mit einer positiven Antwort auf die Namensabfrage reagiert, sendet der WINS-Client maximal drei Anforderungen für eine NetBIOS-Namensabfrageper Broadcast an das lokale Subnetz.

Kann der Name mit keinem dieser Verfahren aufgelöst werden, kann der WINS-Client denNamen noch auflösen, indem er die Lmhosts-Datei analysiert, den NetBIOS-Namen in einenunvollständigen Domänennamen mit einfacher Bezeichnung konvertiert und diesen dann mitdem lokalen Hostnamen, dem DNS-(Domain Name System-)Clientauflösungscache und demDNS vergleicht. Weitere Informationen finden Sie in Kapitel 11, "NetBIOS über TCP/IP".

Zum Seitenanfang

Der WINS-ClientSie können den WINS-Client, der im Snap-In Dienste als TCP/IP-NetBIOS-Hilfsprogrammbezeichnet wird, folgendermaßen konfigurieren:

• Automatisch, mithilfe von DHCP (Dynamic Host Configuration Protocol) und denzugehörigen Optionen

• Manuell, mithilfe des Netsh-Tools oder über die Eigenschaften der KomponenteInternetprotokoll (TCP/IP) unter Netzwerkverbindungen

• Automatisch, für PPP (Point-to-Point-Protokoll)-Verbindungen

Führen Sie einen der folgenden Schritte aus, um die IPv4-Adressen der WINS-Server zuermitteln, die den Verbindungen des Computers unter Windows Server 2003 oderWindows XP zugewiesen wurden:

• Verwenden Sie den Befehl ipconfig /all.

• Verwenden Sie den Befehl netsh interface ip show wins.

• Öffnen Sie den Ordner Netzwerkverbindungen, klicken Sie mit der rechten Maustaste auf eine Verbindung, und klicken Sie auf Status. Klicken Sie auf die Registerkarte Support und dann auf Details.

DHCP-Konfiguration eines WINS-Clients

Sie können WINS-Server DHCP-Clients zuordnen, indem Sie die DHCP-OptionWINS/NBNS-Server (Option 44) auf dem DHCP-Server konfigurieren. Wenn WINS-Servermanuell in den Eigenschaften der Komponente Internetprotokoll (TCP/IP) konfiguriert werden, ignoriert der WINS-Client die DHCP-Einstellungen für den WINS-Server.

WINS-Clients unter Windows verwenden automatisch den H-NetBIOS-Knotentyp, wenn ihnen IPv4-Adressen von WINS-Servern zugeordnet werden. Deshalb müssen Sie auf demDHCP-Server die DHCP-Option WINS/NBT-Knotentyp (Option 46) nicht zusätzlich mit demWert 0x8 (H-Knoten) konfigurieren.

Manuelle Konfiguration des WINS-Clients mithilfe von "Netzwerkverbindungen"Zum manuellen Konfigurieren des WINS-Clients mithilfe von Netzwerkverbindungenmüssen Sie die Eigenschaften der Komponente Internetprotokoll (TCP/IP) für dieLAN-Verbindung abrufen. Sie können dann manuell die IPv4-Adressen der WINS-Server aufzwei Arten konfigurieren:

• Adressen des primären und des alternativen WINS-Servers der alternativen Konfigurationfür die Verbindung

• Erweiterte TCP/IP-Eigenschaften

Wenn Sie eine alternative Konfiguration angegeben haben, können Sie auch dieIPv4-Adressen eines primären und eines alternativen WINS-Servers angeben. InAbbildung 12-1 finden Sie ein Beispiel für das Konfigurieren eines primären WINS-Serversauf der Registerkarte Alternative Konfiguration.

Abbildung 12-1: Primärer WINS-Server und alternativeWINS-Server auf der Registerkarte "Alternative Konfiguration"

Zum manuellen Konfigurieren der IPv4-Adressen von WINS-Servern oder zum Konfigurierenzusätzlicher Einstellungen auf einem WINS-Client öffnen Sie das Dialogfeld für dieKomponente Internetprotokoll (TCP/IP), klicken auf der Registerkarte Allgemein auf Erweitert und klicken dann auf die Registerkarte WINS. In Abbildung 12-2 finden Siehierfür ein Beispiel.

Abbildung 12-2: Registerkarte "WINS" der erweitertenKonfiguration der Komponente "Internetprotokoll (TCP/IP)"

Auf der Registerkarte WINS können Sie eine sortierte Liste von WINS-Servern konfigurieren,die der Computer abfragt. Die unter WINS-Adressen in Verwendungsreihenfolgekonfigurierten WINS-Server haben Vorrang vor den über DHCP empfangenen Adressen vonWINS-Servern.

Manuelle Konfiguration des WINS-Clients mithilfe von NetshSie können die IPv4-Adressen von WINS-Servern auch über die Befehlszeile konfigurieren,indem Sie das Tool Netsh und den folgenden Befehl verwenden:

netsh interface ip set wins [name=]Verbindungsname [source=]dhcp|static[addr=]IPv4-Adresse|none

Die Parameter des Befehls netsh interface ip set wins lauten folgendermaßen:

• Verbindungsname ist der Name der Verbindung, wie diese im Ordner Netzwerkverbindungen angezeigt wird.

• source ist entweder dhcp, wodurch DHCP als Quelle für das Konfigurieren vonWINS-Servern für die angegebene Verbindung verwendet wird, oder static, wodurch als Quelle für das Konfigurieren von WINS-Servern die Registerkarte WINS in den erweiterten Eigenschaften der Komponente Internetprotokoll (TCP/IP) festgelegt wird.

• IPv4-Adresse ist entweder eine IPv4-Adresse für einen WINS-Server oder none, wodurch die Liste der WINS-Server geleert wird.

Verwenden Sie zum Konfigurieren eines Remotecomputers als letzten Parameter der Befehlszeile –r Remotecomputer. Sie können für Remotecomputer einen Computernamen oder eine IPv4-Adresse angeben.

Konfiguration des WINS-Clients für RAS-ClientsRAS-Clients (die DFÜ- oder VPN-Verbindungen verwenden) erhalten die Anfangskonfigurationeines primären und eines alternativen WINS-Servers während der Verhandlung derPPP-(Point-to-Point-Protokoll-)Verbindung. In RFC 1877 sind die Optionen für die primäreund die sekundäre NBNS-Serveradresse für IPCP (Internet Protocol Control Protocol)

definiert. Computer unter Windows XP oder Windows Server 2003 verwenden außerdem eineDHCPInform-Nachricht zum Abrufen einer aktualisierten Liste von WINS-Servern. Wenn auf dem RAS-Server unter Windows Server 2003 die RoutingprotokollkomponenteDHCP-Relay-Agent ordnungsgemäß konfiguriert ist, leitet dieser die DHCPInform-Nachrichtan einen DHCP-Server weiter und die Antwort (eine DHCPAck-Nachricht) zurück an denRAS-Client.

Wenn der RAS-Client eine Antwort auf die DHCPInform-Nachricht empfängt, werden die mitIPCP konfigurierten WINS-Server durch die in der DHCPAck-Nachricht enthaltenen WINS-Server ersetzt.

Zum Seitenanfang

Der WINS-ServerdienstDer WINS-Serverdienst unter Windows Server 2003 unterstützt die folgenden Features:

• Einen RFC-kompatiblen NBNS

• Verwaltung statischer Zuordnungen

Sie können manuell Einträge zur WINS-Serverdatenbank für die NetBIOS-Namen vonClients ohne WINS hinzufügen.

• WINS-Serverreplikation

Um sicherzustellen, dass NetBT-Knoten alle NetBIOS-Namen im Netzwerk durch Abfrage eines beliebigen WINS-Servers auflösen können, unterstützt der WINS-Serverdienst dieDatenbankreplikation zwischen WINS-Servern.

Installieren des WINS-ServerdienstsSie können den WINS-Serverdienst für Windows Server 2003 folgendermaßen installieren:

• Als Windows-Komponente über die Option Software unter Systemsteuerung.

• Mit dem Serververwaltungs-Assistenten.

Zum Installieren des WINS-Serverdiensts mithilfe der Option Software unter Systemsteuerung führen Sie folgende Schritte aus:


2. Aktivieren Sie unter Komponenten das Kontrollkästchen Netzwerkdienste, und klicken Sie dann auf Details.

3. Aktivieren Sie unter Unterkomponenten von Netzwerkdienste dasKontrollkästchen WINS (Windows Internet Name Service), klicken Sie auf OK und anschließend auf Weiter.

4. Geben Sie nach einer eventuellen Aufforderung in Dateien kopieren von denvollständigen Pfad zu den Installationsdateien für Windows Server 2003 ein, undklicken Sie dann auf OK.

Damit Sie diesen Vorgang durchführen können, müssen Sie am lokalen Computer Mitgliedder Gruppe Administratoren sein, oder Ihnen müssen die entsprechenden Rechte zugewiesenworden sein. Wenn der Computer zu einer Domäne gehört, kann dieser Vorgangmöglicherweise auch von den Mitgliedern der Gruppe Domänen-Admins durchgeführtwerden.

Zum Konfigurieren des WINS-Serverdiensts konfigurieren Sie die Eigenschaften für denWINS-Server, die statischen Zuordnungen und die Replikation.

Eigenschaften des WINS-ServersÖffnen Sie zum Ändern der Eigenschaften eines WINS-Servers das WINS-Snap-In, klickenSie mit der rechten Maustaste in der Struktur auf den Namen des Servers, und klicken Sie dann auf Eigenschaften. In Abbildung 12-3 wird ein Beispiel des anschließend angezeigtenEigenschaftendialogfelds gezeigt.

Abbildung 12-3: Eigenschaftendialogfeld eines WINS-Servers

In diesem Dialogfeld können Sie die Eigenschaften auf den folgenden Registerkartenkonfigurieren:

• Allgemein Sie können angeben, wie oft die im WINS-Snap-In im Knoten Aktive Registrierungen angezeigte WINS-Statistik aktualisiert wird, wie der Pfad zur WINS-Sicherungsdatenbank lautet und ob die WINS-Datenbank gesichert werden soll, wenn der WINS-Serverdienst beendet wird.

• Intervalle Sie können verschiedene WINS-Servertimer angeben, die in Tabelle 12-1aufgeführt sind.

• Datenbanküberprüfung Sie können die regelmäßige Überprüfung derDatenbankkonsistenz aktivieren, um die Datenbankintegrität zwischen den WINS-Servernin einem großen Netzwerk zu gewährleisten.

• Erweitert Sie können die Protokollierung detaillierter Ereignisse imSystemereignisprotokoll aktivieren, und Sie können die Burstverarbeitung aktivieren undkonfigurieren, mit der Sie in Spitzenzeiten die Registrierung und Erneuerung von WINS-Clients verteilen können. Außerdem können Sie den Pfad zur WINS-Datenbank unddie anfängliche Versionskennung (zum Verfolgen von Änderungen in der lokalenWINS-Datenbank) angeben sowie, ob NetBIOS-Namen zulässig sind, die mit dem MicrosoftLAN Manager kompatibel sind.

Tabelle 12-1: WINS-Servertimer

Konfigurationsoption Beschreibung

Erneuerungsintervall Gibt an, wie oft ein Client seinen Namen registrieren muss. Der Standardwert beträgt 6 Tage.

Alterungsintervall Gibt das Intervall zwischen dem Kennzeichnen eines Datenbankeintrags als freigegeben und dem Kennzeichnen dieses Eintrags als veraltet an. Der Standardwert ist vom Erneuerungsintervall und, sofern der WINS-Server überReplikationspartner verfügt, vom maximalenReplikationsintervall abhängig. Sie können kein Intervall vonmehr als 6 Tagen angeben.

Tabelle 12-1: WINS-Servertimer

Konfigurationsoption Beschreibung

Alterungszeitüberschreitung Gibt das Intervall zwischen dem Kennzeichnen eines Eintrags als veraltet und dem Entfernen des Eintrags aus der Datenbank an. Der Standardwert ist vom Erneuerungsintervall und, sofern der WINS-Server überReplikationspartner verfügt, vom maximalenReplikationsintervall abhängig. Der Standardwert beträgt6 Tage.

Überprüfungsintervall Gibt das Intervall an, nach dem der WINS-Server überprüfenmuss, ob veraltete Namen, die er nicht besitzt, noch aktiv sind. Der Standardwert ist vom Alterungsintervall abhängig.Sie können kein Intervall von mehr als 24 Tagen angeben.

Statische Einträge für Clients ohne WINSWenn ein WINS-Client eine Verbindung zu einem Client ohne WINS in einem Remotesubnetz herstellen möchte, kann der Name des Clients ohne WINS nicht aufgelöst werden, da er nichtauf dem WINS-Server registriert ist. In einem Netzwerk mit NetBT-Knoten, die WINS nichtunterstützen (Clients ohne WINS) können Sie statische Zuordnungen von NetBIOS-Namen,die von den einzelnen Clients ohne WINS verwendet werden, zu den IPv4-Adressen konfigurieren. Durch das Konfigurieren dieser Zuordnungen in einer WINS-Serverdatenbankkönnen Sie sicherstellen, dass WINS-Clients die NetBIOS-Namen von Clients ohne WINSauflösen können, ohne eine lokale oder zentrale Lmhosts-Datei verwalten zu müssen.

Führen Sie folgende Schritte aus, um eine statische Zuordnung zu konfigurieren:

1. Öffnen Sie das WINS-Snap-In, öffnen Sie in der Struktur einen Servernamen, klickenSie mit der rechten Maustaste auf Aktive Registrierungen, und klicken Sie dann auf Neue statische Zuordnung.

2. Geben Sie im Dialogfeld Neue statische Zuordnung den Computernamen des Clients ohne WINS in Computername ein.

3. Geben Sie in NetBIOS-Bereich ggf. die NetBIOS-Bereichskennung für denComputernamen ein. Die Verwendung einer NetBIOS-Bereichskennung wird nicht empfohlen. Weitere Informationen über NetBIOS-Bereichskennungen finden Sie inKapitel 11, "NetBIOS über TCP/IP".

4. Klicken Sie in Typ auf den Eintragstyp, um anzugeben, ob der Name ein eindeutiger Name oder eine Gruppe mit einem speziellen Namen ist. Diese Typen werden inTabelle 12-2 beschrieben.

5. Geben Sie in IP-Adresse die IPv4-Adresse des Clients ohne WINS ein.


Die Zuordnung wird sofort als Eintrag in die WINS-Datenbank eingefügt.

Tabelle 12-2: Typoptionen für statische WINS-Zuordnungen

Typoption Beschreibung

Eindeutig Ein eindeutiger Name ist einer einzelnen IPv4-Adresse zugeordnet.

Gruppe Wird auch als "normale Gruppe" bezeichnet. Wenn Sie mithilfe des WINS-Snap-Ins einen Eintrag zu einer Gruppe hinzufügen, müssen Sieden Computernamen und die IPv4-Adresse angeben. In der WINS-Datenbank werden allerdings keine IPv4-Adressen einzelner Gruppenmitglieder gespeichert. Da die Mitgliedsadressen nicht gespeichert werden, können Sie beliebig viele Mitglieder zu einer Gruppehinzufügen. Clients senden Broadcast-Namenspakete zur Kommunikationmit Gruppenmitgliedern.

Domänenname Die Zuordnung eines NetBIOS-Namens zu einer IPv4-Adresse, bei dem das 16. Byte den Wert 0x1C hat. Ein Domänenname ist eineNetBIOS-Internetgruppe, in der bis zu 25 Adressen für Gruppenmitgliedergespeichert werden. Bei der Registrierung von mehr als 25 Adressenüberschreibt WINS zunächst replizierte Adressen oder, wenn keinevorhanden sind, die älteste Registrierung.

Tabelle 12-2: Typoptionen für statische WINS-Zuordnungen

Typoption Beschreibung

Internetgruppe Internetgruppen sind benutzerdefinierte Gruppen, mit denen Sie Ressourcen wie Drucker gruppieren können, um leichter daraufverweisen zu können. Eine Internetgruppe kann maximal25 Mitgliederadressen speichern. Ein Gruppenmitglied, das von einemWINS-Client hinzugefügt wurde, ersetzt allerdings kein Gruppenmitglied,das mit dem WINS-Snap-In oder durch Importieren einer Lmhosts-Dateihinzugefügt wurde.

Mehrfach vernetzt

Ein eindeutiger Name, der mehrere Adressen besitzen kann. Dieser Eintragstyp wird für Computer mit mehreren Netzwerkadaptern oderzugewiesenen IP-Adressen (mehrfach vernetzten Computern) verwendet. Sie können maximal 25 Adressen als mehrfach vernetzt registrieren. Beider Registrierung von mehr als 25 Adressen überschreibt WINS zunächstreplizierte Adressen oder, wenn keine vorhanden sind, die ältesteRegistrierung.

Abbildung 12-4 enthält ein Beispiel für eine statische WINS-Zuordnung.

Abbildung 12-4: Ein Beispiel für eine statische WINS-Zuordnung

Datenbankreplikation zwischen WINS-ServernSie können alle WINS-Server in einem Netzwerk für die vollständige Replikation ihrerDatenbankeinträge mit anderen WINS-Servern konfigurieren. Mit dieser Funktion stellen Siesicher, dass ein auf einem WINS-Server registrierter Name auf alle anderen WINS-Server repliziert wird, sodass jeder WINS-Client unabhängig von seinem konfigurierten WINS-Serverjeden gültigen NetBIOS-Namen im Netzwerk auflösen kann. Die Datenbankreplikation kannbei allen Änderungen an der WINS-Datenbank erfolgen, einschließlich der Freigabe vonNetBIOS-Namen.

Das Replizieren von Datenbanken ermöglicht einem WINS-Server das Auflösen vonNetBIOS-Namen, die auf anderen WINS-Servern registriert wurden. Wenn Host Abeispielsweise auf WINS-Server 1 registriert ist und Host B auf WINS-Server 2, könnenNetBIOS-Anwendungen auf Host A und Host B nur dann miteinander kommunizieren, wennWINS-Server 1 und WINS-Server 2 ihre Datenbanken untereinander replizieren.

Zum Replizieren von Datenbankeinträgen zwischen zwei WINS-Servern müssen Sie beideWINS-Server als Pull-Partner, Push-Partner oder beides auf dem jeweils anderen WINS-Server konfigurieren.

• Ein Push-Partner ist ein WINS-Server, der eine Nachricht an seine Pull-Partner sendet, um diese über seine neuen WINS-Datenbankeinträge zu informieren. Wenn ein Pull-Partnerdes WINS-Servers auf die Nachricht mit einer Replikationsanforderung reagiert, sendet der WINS-Server (per Push) Kopien seiner neuen WINS-Datenbankeinträge (die auch alsReplikate bezeichnet werden) an den anfordernden Pull-Partner.

• Ein Pull-Partner ist ein WINS-Server, der WINS-Datenbankeinträge von seinenPush-Partnern abruft, indem er alle neuen WINS-Datenbankeinträge anfordert, über diedie Push-Partner verfügen. Der Pull-Partner fordert die neuen WINS-Datenbankeinträgean, deren Versionsnummer größer als die des letzten Eintrags ist, den der Pull-Partner beider letzten Replikation erhalten hat.

In Abbildung 12-5 werden eine Beispielkonfiguration für die Replikation zwischenWINS-Servern in Sydney und Seattle sowie der daraus resultierende Informationsfluss dargestellt.

Abbildung 12-5: Beispielkonfiguration für Push- und Pull-Partner und der darausresultierende Informationsfluss

Abbildung vergrößern

Obwohl Sie Push- und Pull-Partner getrennt konfigurieren, tauschen bei einer typischen Konfiguration zwei WINS-Server Informationen in beide Richtungen aus. In diesem Fall sind beide WINS-Server jeweils Push- und Pull-Partner des anderen WINS-Servers.

WINS-Server replizieren lediglich neue Einträge in ihren Datenbanken. Die Server replizierennicht ihre gesamten WINS-Datenbanken bei jeder Replikation.

Push- und Pull-VorgängeDer Informationsaustausch zwischen zwei WINS-Servern kann durch einen Push- oder einen Pull-Vorgang ausgelöst werden. Bei einem Push-Vorgang benachrichtigt ein WINS-Serverseine Pull-Partner darüber, dass er neue Einträge senden möchte. Der WINS-Server sendeteine Benachrichtigung mit dem Inhalt "Neue Einträge vorhanden" an alle Pull-Partner. DiePull-Partner antworten mit einer Benachrichtigung mit dem Inhalt "Neue Einträge könnengesendet werden". Der auslösende WINS-Server sendet dann die neuen Einträge.

Für das Initiieren eines Push-Vorgangs benötigt der WINS-Serverdienst einen Push-Auslöser,der bei der Konfiguration der WINS-Replikation angegeben wird. Ein Push-Auslöser basiertauf einem Schwellenwert für eine bestimmte Anzahl von geänderten Einträgen, wobei die Zeitzum Erreichen des Schwellenwerts keine Bedeutung hat.

In Abbildung 12-6 wird der Push-Vorgang dargestellt.

Abbildung 12-6: Der Push-Vorgang


Im Beispiel in Abbildung 12-6 wurde der WINS-Server "Sydney" mit einem Push-Auslöservon 1000 Einträgen konfiguriert. Wenn in der WINS-Datenbank von "Sydney" 1000 Einträgegeändert wurden, initiiert dieser einen Push-Vorgang mit dem WINS-Server "Seattle".

Bei einem Pull-Vorgang senden die Pull-Partner eine Benachrichtigung mit dem Inhalt "NeueEinträge können gesendet werden" an ihre Push-Partner. Die Push-Partner antworten daraufmit allen neuen Einträgen. Für das Initiieren eines Pull-Vorgangs benötigt derWINS-Serverdienst einen Pull-Auslöser, der bei der Konfiguration der WINS-Replikationangegeben wird. Ein Pull-Auslöser basiert auf geplanten Zeitpunkten, wobei die Anzahl dergesendeten Einträge keine Bedeutung hat.

In Abbildung 12-7 wird der Pull-Vorgang dargestellt.

Abbildung 12-7: Der Pull-Vorgang


Im Beispiel in Abbildung 12-7 wurde der WINS-Server "Seattle" mit dem Pull-Auslöser"Täglich um 12.00 Uhr" konfiguriert. Jeden Tag um 12.00 Uhr initiiert der WINS-Server"Seattle" einen Pull-Vorgang mit dem WINS-Server "Sydney".

Sowohl bei Push- als auch bei Pull-Vorgängen erfolgt der Datenaustausch vom Push-Partnerzum Pull-Partner. Der Push-Partner sendet immer die tatsächlich replizierten Einträge an denPull-Partner. Push- und Pull-Vorgänge unterscheiden sich hauptsächlich in der Art desAuslösers (Anzahl der geänderten Einträge oder festgelegter Zeitpunkt) und darin, welcherder Replikationspartner die erste Benachrichtigung sendet.

Konfigurieren eines WINS-Servers als Push- oder Pull-PartnerDie Festlegung, ob ein WINS-Server als ein Pull-Partner oder als ein Push-Partner konfiguriert wird, hängt von der Netzwerkumgebung ab. Berücksichtigen Sie die folgendenRegeln, wenn Sie die Replikation von WINS-Servern konfigurieren:

• Konfigurieren Sie die Pull-Replikation zwischen Standorten, insbesondere über langsameVerbindungen, da Sie dann die Pull-Replikation für bestimmte Zeitpunkte festlegenkönnen.

• Konfigurieren Sie die Push-Replikation, wenn die Server über schnelle Verbindungenmiteinander kommunizieren, da die Push-Replikation nach einer konfigurierten Anzahl von Aktualisierungen von WINS-Datenbankeinträgen erfolgt.

In Abbildung 12-8 wird ein Beispiel für die Replikation zwischen WINS-Servern dargestellt.

Abbildung 12-8: Beispiel für die Konfiguration der WINS-ServerreplikationAbbildung vergrößern

In diesem Beispiel gilt Folgendes:

• Alle WINS-Server an allen Standorten verwenden die Push-Replikation zum Senden ihrer neuen Datenbankeinträge an einen einzelnen Server an ihrem Standort.

• Die Server, die die Push-Replikation empfangen, verwenden untereinander die Pull-Replikation, da die Netzwerkverbindung zwischen "Sydney" und "Seattle" relativ langsam ist. Die Replikation soll dann erfolgen, wenn die Verbindung am wenigsten verwendet wird, z. B. in der Nacht.

Konfigurieren der DatenbankreplikationZum Hinzufügen eines Replikationspartners für einen WINS-Server und zum Konfigurierender Replikationsoptionen führen Sie die folgenden Schritte aus:

1. Öffnen Sie das WINS-Snap-In, und öffnen Sie dann in der Struktur denentsprechenden Server.

2. Klicken Sie mit der rechten Maustaste auf Replikationspartner, und klicken Sie dann auf Neuer Replikationspartner.

3. Geben Sie in Neuer Replikationspartner den Namen oder die IPv4-Adresse des WINS-Servers ein, den Sie als Replikationspartner hinzufügen möchten.

4. Doppelklicken Sie im Detailbereich auf den neu hinzugefügten Server.

5. Klicken Sie im Dialogfeld Eigenschaften vonServername auf die Registerkarte Erweitert.

6. Konfigurieren Sie den Replikationspartnertyp und die entsprechenden Einstellungen fürPull- und Push-Replikation. Klicken Sie anschließend auf OK.

In Abbildung 12-9 wird die Registerkarte Erweitert für die Eigenschaften einesWINS-Replikationspartners dargestellt.

Abbildung 12-9: Die Registerkarte "Erweitert" für dieEigenschaften eines WINS-Replikationspartners

Die Replikation erfolgt unter folgenden Bedingungen:

• Während des Starts des WINS-Serverdiensts.

Beim Konfigurieren eines Replikationspartners führt der WINS-Serverdienst standardmäßigautomatisch eine Pull-Replikation aus, wenn er gestartet wird. Sie können den Dienst auchfür das Durchführen einer Push-Replikation bei jedem Start konfigurieren.

• Zu einer bestimmten Zeit oder nach einem bestimmten Intervall, z. B. alle 5 Stunden(Pull-Auslöser).

• Wenn ein WINS-Server einen konfigurierten Schwellenwert für die Anzahl vonRegistrierungen und Änderungen in der WINS-Datenbank erreicht (Push-Auslöser).

Wenn der Server den Schwellenwert erreicht, benachrichtigt er alle seine Pull-Partner, die dann die neuen Einträge anfordern.

• Wenn Sie die Replikation manuell mithilfe des WINS-Snap-Ins initiieren.

Zum Initiieren der Replikation mit allen Replikationspartnern klicken Sie mit der rechten Maustaste auf den Knoten Replikationspartner des entsprechenden Servers im WINS-Snap-In, und klicken Sie dann auf Jetzt replizieren. Zum Initiieren der Replikation mit einem bestimmten Replikationspartner klicken Sie im Detailbereich mit der rechten Maustaste auf den Partner, und klicken Sie dann auf Push-Replikation starten oder Pull-Replikation starten.

• Wenn Sie die Replikation manuell mithilfe des Befehls netsh wins server init replicatestarten.

WINS-Partner für die automatische ReplikationWenn das IPv4-Netzwerk Multicast-Weiterleitungen und Routing unterstützt, können Sie denWINS-Serverdienst für das automatische Suchen anderer WINS-Server im Netzwerkkonfigurieren, indem dieser WINS-Autokonfigurationsnachrichten an dieMulticast-IPv4-Adresse 224.0.1.24 sendet. Bei der Aktivierung erfolgt das Multicasting in derStandardeinstellung alle 40 Minuten. Jeder im Netzwerk gefundene WINS-Server wirdautomatisch als Push- und Pull-Replikationspartner konfiguriert, wobei die Pull-Replikation auf ein Intervall von 2 Stunden festgelegt wird. Wenn das IPv4-Netzwerk keineMulticast-Weiterleitungen und Routing unterstützt, findet der WINS-Server nur die anderen

WINS-Server in seinem Subnetz.

Die automatische Replikation ist in der Standardeinstellung deaktiviert. Zum Aktivieren dieses Features aktivieren Sie im WINS-Snap-In auf der Registerkarte Erweitert der Eigenschaften des Knotens Replikationspartner das Kontrollkästchen Automatische Konfiguration des Partners aktivieren. Sie können auf der Registerkarte Erweitert auch das Intervall konfigurieren, nach dem eine Überprüfung auf neue Partner erfolgt, sowie die TTL fürgesendete Multicast-Pakete, die angibt, wie weit Multicast-Pakete weitergeleitet werden, bevor Sie von Routern verworfen werden.

Zum Seitenanfang

Der WINS-ProxyEin WINS-Proxy ist ein WINS-Clientcomputer, der so konfiguriert wurde, dass er für andereNetBT-Computer agiert, die keine WINS-Clients sind. WINS-Proxys sind bei der Auflösungvon NetBIOS-Namensabfragen von Clients ohne WINS hilfreich. Standardmäßig senden diemeisten Clients ohne WINS Broadcasts zum Registrieren ihrer NetBIOS-Namen im Netzwerk und zum Auflösen von NetBIOS-Namensabfragen. Ein WINS-Proxy überwacht im Subnetzgesendete Broadcasts für NetBIOS-Namensabfragen, fragt einen WINS-Server ab undantwortet auf die NetBIOS-Namensabfrage.

WINS-Proxys sind nur in Subnetzen hilfreich oder erforderlich, die lediglich NetBIOS-Broadcast-Clients (oder B-Knotenclients) enthalten. In den meisten Windows-Netzwerken werden WINS-fähige Clients verwendet, sodass i. d. R. keineWINS-Proxys erforderlich sind.

Sie können WINS-Proxys folgendermaßen verwenden:

• Wenn ein Client ohne WINS einen eindeutigen Namen registriert, überprüft derWINS-Proxy den Namen auf seinem konfigurierten WINS-Server. Wenn der eindeutige Name bereits in der WINS-Serverdatenbank vorhanden ist, sendet der WINS-Proxy eine negative Antwort auf die Namensregistrierung an den Client ohne WINS, der versucht, den Namen zu registrieren.

• Wenn ein Client ohne WINS einen NetBIOS-Namen freigibt, löscht der WINS-Proxy denNamen aus seinem NetBIOS-Namencache.

• Wenn ein Client ohne WINS eine Broadcast-Namensabfrage sendet, versucht der WINS-Proxy, den Namen entweder mithilfe der Informationen in seinem NetBIOS-Namencache oder durch Senden einer eigenen NetBIOS-Namensabfrage an seinen WINS-Server aufzulösen.

Funktionsweise der Namensauflösung durch WINS-ProxysIn Abbildung 12-10 wird dargestellt, wie ein WINS-Proxy einen von einem Client ohne WINSangeforderten NetBIOS-Namen auflöst.

Abbildung 12-10: Auflösen eines NetBIOS-Namens durch einen WINS-Proxy füreinen Client ohne WINSAbbildung vergrößern

Der WINS-Proxy (Host A) führt folgende Schritte durch, um einen NetBIOS-Namen für einenComputer ohne WINS (Host B) aufzulösen:

1. Host B sendet per Broadcast eine NetBIOS-Namensabfrage an das lokale Subnetz.

2. Host A empfängt die Broadcastnachricht und überprüft seinen NetBIOS-Namencacheauf einen Eintrag, der dem in der NetBIOS-Namensabfrage angegeben NetBIOS-Namen entspricht.

3. Wenn Host A in seinem NetBIOS-Namencache über eine passende Zuordnung einesNetBIOS-Namens zu einer IPv4-Adresse verfügt, sendet er die IPv4-Adresse mithilfeeiner positiven Antwort auf die NetBIOS-Namensabfrage an Host B. Andernfalls sendetHost A eine Unicastnachricht für eine NetBIOS-Namensabfrage an seinen WINS-Servermit dem von Host B angeforderten Namen.

4. Wenn der WINS-Server den NetBIOS-Namen auflösen kann, sendet er eine positiveAntwort auf die NetBIOS-Namensabfrage an Host A.

5. Host A empfängt die positive Antwort auf die NetBIOS-Namensabfrage und fügt dieseZuordnung in seinen NetBIOS-Namencache ein. Anschließend sendet er eine positiveAntwort für die NetBIOS-Namensabfrage als Unicastnachricht an Host B.

Wenn der WINS-Server eine negative Antwort auf die Namensabfrage an Host A sendet,sendet Host A keine Nachrichten an Host B.

WINS-Proxys und NamensregistrierungSendet ein Client ohne WINS eine Broadcastnachricht mit einer Anforderung für dieNetBIOS-Namensregistrierung für einen eindeutigen Namen, sendet der WINS-Proxy eineNachricht für eine NetBIOS-Namensabfrage an seinen konfigurierten WINS-Server, um zuprüfen, ob der Name noch nicht in WINS registriert wurde. Wenn der WINS-Server einepositive Antwort auf die NetBIOS-Namensabfrage an den WINS-Proxy sendet, sendet der Proxy eine negative Antwort auf die NetBIOS-Namensregistrierung an den Client ohne WINS. Wenn der WINS-Server eine negative Antwort auf die NetBIOS-Namensabfrage an den WINS-Proxy sendet, antwortet der Proxy dem Client ohne WINS nicht.

Konfiguration eines WINS-ProxysZum Aktivieren eines Computers unter Windows Server 2003 oder Windows XP alsWINS-Proxy legen Sie den Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\EnableProxy auf 1 (REG_DWORD) fest, und starten Sie dann den TCP/IP-NetBIOS-Hilfsdienst neu.

Hinweis:Hinweis Eine fehlerhafte Bearbeitung der Registrierung kann zu erheblichen Schäden amSystem führen. Sie sollten unbedingt eine Sicherung aller wichtigen Daten auf dem Computerdurchführen, bevor Sie Änderungen an der Registrierung vornehmen.

Zum Erreichen einer Fehlertoleranz, wenn ein WINS-Proxy nicht verfügbar ist, sollten Siezwei WINS-Proxys pro Subnetz mit Clients ohne WINS verwenden.

Zum Seitenanfang


• WINS ist die Windows-Implementierung eines NetBIOS-Namenservers, der eine Datenbank für das Registrieren und Abfragen dynamischer Zuordnungen vonNetBIOS-Namen zu den im Netzwerk verwendeten IPv4-Adressen bereitstellt.

• Beim Start eines WINS-Clients registriert dieser seine NetBIOS-Namen auf seinem konfigurierten WINS-Server. WINS-Clients erneuern die Registrierung ihrer NetBIOS-Namen regelmäßig.

• WINS-Clients senden ihre NetBIOS-Namensabfragen an ihre konfigurierten WINS-Serverfür die NetBIOS-Namensauflösung.

• Wenn eine NetBIOS-Anwendung auf einem WINS-Client beendet wird, gibt der WINS-Client die auf seinem konfigurierten WINS-Server registrierten Namen frei.

• Sie können den WINS-Client für Windows Server 2003 und Windows XP mit DHCP, überNetzwerkverbindungen, mit dem Tool Netsh und während der Herstellung einerPPP-Verbindung konfigurieren.

• Der WINS-Serverdienst für Windows Server 2003 unterstützt statische Zuordnungen fürClients ohne WINS sowie die WINS-Datenbankreplikation mit anderen WINS-Servern.

• Ein Pull-Partner ist ein WINS-Server, der die Replikation aktualisierterWINS-Datenbankeinträge von anderen WINS-Servern (die als seine Push-Partnerkonfiguriert sind) zu einem konfigurierten Zeitpunkt anfordert. Pull-Partner fordernEinträge mit einer höheren Versionskennung als der des letzten vom konfiguriertenPartner empfangenen Eintrags an.

• Ein Push-Partner ist ein WINS-Server, der andere WINS-Server (die als seine Pull-Partner konfiguriert sind) nach einer bestimmten Anzahl geänderter Einträge über eineerforderliche Replikation der Datenbankeinträge benachrichtigt.

• Ein WINS-Proxy ist ein WINS-Clientcomputer, der Aktionen für Clients ohne WINSausführt. WINS-Proxys ermöglichen das Erkennen doppelter Namen und das Auflösen vonNetBIOS-Namensabfragen für NetBT-Computer.

Zum Seitenanfang


DNS-Clientauflösungscache (Client Resolver Cache) – Eine RAM-basierte Tabelle, die sowohldie Einträge in der Hostdatei als auch Ergebnisse der vor kurzem durchgeführtenDNS-Namensabfragen beinhaltet.

DNS-Server – Ein Server, der eine Datenbank mit Zuordnungen von DNS-Domänennamen zuverschiedenen Datentypen, wie z. B. IP-Adressen, verwaltet.

Domain Name System (DNS) – Eine hierarchische, verteilte Datenbank, die Zuordnungen vonDNS-Domänennamen zu verschiedenen Datentypen, wie z. B. IP-Adressen, enthält. Mithilfevon DNS können Benutzer beschreibende und leicht zu merkende Namen für Computer undDienste angeben. Durch DNS wird außerdem das Auffinden verschiedener andererInformationen in der DNS-Datenbank ermöglicht.

Hostname – Der Name eines Computers oder Geräts in einem Netzwerk. Benutzer könnenComputer in einem Netzwerk über ihre Hostnamen angeben. Damit ein Computer gefundenwerden kann, muss sein Hostname in der Hosts-Datei eingetragen oder einem DNS-Serverbekannt sein. Für die meisten Computer, auf denen Windows ausgeführt wird, entspricht derHostname dem Computernamen.

Lmhosts-Datei – Eine lokale Textdatei, die NetBIOS-Namen zu IP-Adressen für Hostszuordnet, die sich in Remotesubnetzen befinden. Bei Computern, auf denen Windowsausgeführt wird, befindet sich diese Datei im OrdnerSystemverzeichnis\System32\Drivers\Etc.


NetBIOS – Siehe "Network Basic Input/Output System (NetBIOS)".

NetBIOS-Name – Ein 16 Byte langer Name für eine Anwendung, die das "Network BasicInput/Output System" (NetBIOS) verwendet.

NetBIOS-Namencache – Eine dynamisch verwaltete Tabelle, in der vor kurzem aufgelösteNetBIOS-Namen und ihre zugeordneten IPv4-Adressen gespeichert werden.

NetBIOS-Namensauflösung – Die Zuordnung eines NetBIOS-Namens zu einer IPv4-Adresse.

NetBIOS-Namenserver (NBNS) – Ein Server, auf dem Zuordnungen von NetBIOS-Namen zuIPv4-Adressen gespeichert werden. Dieser Server führt NetBIOS-Namensauflösungen fürNetBIOS-fähige Hosts aus. Bei dem WINS-Serverdienst handelt es sich um dieMicrosoft-Implementierung eines NBNS.

NetBIOS-Knotentyp – Bezeichnung für die bestimmte Methode, mit der ein NetBIOS-KnotenNetBIOS-Namen auflöst.

NetBIOS über TCP/IP (NetBT) – Die Implementierung des NetBIOS-Sitzungsprotokolls überTCP/IP (nur IPv4). Diese Implementierung stellt eine Registrierung und Überprüfung vonNetzwerknamen, das Herstellen und Beenden von Sitzungen sowie Datenübertragungsdienstefür verlässliche, verbindungsorientierte Sitzungen und unzuverlässige, verbindungsloseDatagramme bereit.

NetBT – Siehe "NetBIOS über TCP/IP (NetBT)".

Network Basic Input/Output System (NetBIOS) – Eine Standard-API fürBenutzeranwendungen, um E/A-Operationen im Netzwerk zu realisieren undKontrollanweisungen an die zugrunde liegende Netzwerkprotokollsoftware zu senden, sowieein Protokoll auf der Sitzungsebene.

Pull-Partner – Eine WINS-Komponente, die die Replikation aktualisierterWINS-Datenbankeinträge von ihren Push-Partnern anfordert.

Push-Partner – Eine WINS-Komponente, die ihre Pull-Partner benachrichtigt, wennaktualisierte WINS-Datenbankeinträge für die Replikation verfügbar sind.

Statische Zuordnung – Ein manuell erstellter Eintrag in der Datenbank eines WINS-Servers,damit WINS-Clients die NetBIOS-Namen von Clients ohne WINS auflösen können.

Windows Internet Name Service (WINS) – Die Microsoft-Implementierung eines NBNS.


WINS-Client – Eine Komponente des TCP/IP-Protokolls für Windows Server 2003 undWindows XP, die NetBIOS-Namensvorgänge mithilfe eines WINS-Servers unterstützt.

WINS-Proxy – Ein WINS-Clientcomputer, der Aktionen für Clients ohne WINS ausführt.WINS-Proxys ermöglichen das Erkennen doppelter NetBIOS-Namen und das Auflösen vonNetBIOS-Namensabfragen für NetBT-Computer.

WINS-Server – Ein Computer, auf dem der WINS-Serverdienst ausgeführt wird.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 13 – Internet Protocol Security (IPsec) und PaketfilterungVeröffentlicht: 27. Dez 2005 | Aktualisiert: 03. Jan 2006

Zusammenfassung

In diesem Kapitel wird die Unterstützung von IPsec (Internet Protocol Security) und IP-Paketfilterung unterden Betriebssystemen Microsoft® Windows Server™ 2003 und Windows® XP beschrieben. IPsec ermöglichtkryptografischen Schutz für Nutzlasten von IP-Paketen. Mit der Paketfilterung kann festgelegt werden, welcheTypen von Paketen empfangen oder verworfen werden. Ein Netzwerkadministrator muss mit IPsec, derPaketfilterung und deren Auswirkungen auf den IP-Netzwerkverkehr vertraut sein, um die Netzwerksicherheitzu konfigurieren und Verbindungsprobleme zu beheben.

Auf dieser Seite

Zielsetzung

Übersicht über IPsec und Paketfilterung

IPSec

Paketfilterung


Kapitelglossar


• Beschreiben der Rollen, die IPsec und die IP-Paketfilterung beim Schutz von Netzwerkknoten übernehmen.

• Definieren von IPsec und deren Verwendung zum Sperren, Zulassen und Schützen von IP-Datenverkehr.

• Definieren der Paketfilterung und deren Verwendung zum Sperren oder Zulassen von IP-Datenverkehr.

• Aufzählen und Beschreiben der Sicherheitseigenschaften von durch IPsec geschütztem Datenverkehr.

• Beschreiben der Funktionen der IPsec-Protokolle Authentication Header, Encapsulating Security Payload und Internet Key Exchange.

• Unterscheiden zwischen Transportmodus und Tunnelmodus.

• Beschreiben des Verwendungszwecks von Hauptmodus und Schnellmodus bei IPsec-Aushandlungen.

• Definieren einer IPsec-Richtlinie mithilfe allgemeiner Einstellungen und Regeln.

• Aufzählen und Beschreiben der Konfigurationselemente einer IPsec-Regel.

• Beschreiben der Windows-Firewall und deren Verwendung zum Schutz vor böswilligen Benutzern undProgrammen.

• Beschreiben der Internetverbindungsfirewall.

• Beschreiben der TCP/IP-Filterung und ihrer Konfiguration.

• Beschreiben der Funktionsweise der Basisfirewall und der Filterung von IPv4-Paketen mithilfe von Routing und RAS.

• Beschreiben der Filterung von IPv6-Paketen mithilfe der IPv6-Basisfirewall, der IPv6-Internetverbindungsfirewall und der Windows-Firewall.

Zum Seitenanfang

Übersicht über IPsec und PaketfilterungDas Internet wurde ursprünglich für die nicht geschützte Kommunikation miteinander verbundener Computerentworfen. Heute jedoch stellt das Internet eine feindliche Netzwerkumgebung dar. Mit dem Internet verbundene Computer müssen vor böswilligen Benutzern und Programmen geschützt werden, die versuchen,die Ressourcen auf dem Computer unbrauchbar zu machen, zu steuern oder unberechtigt auf diese zuzugreifen. Auch private Intranets können von böswilligen Benutzern oder Programmen betroffen sein.Sowohl im Internet als auch in einem privaten Intranet sollten vertrauliche Daten vor dem Versenden kryptografisch geschützt werden. In manchen Fällen sind Sie von Rechts wegen dazu verpflichtet, imNetzwerk gesendete Daten kryptografisch zu schützen.

Um Datenverkehr zu schützen oder unerwünschten Datenverkehr zu verhindern, stellen Windows Server 2003und Windows XP die folgenden Technologien bereit:

• IPsec Ein Framework offener Standards für private, geschützte Kommunikation überInternetprotokoll-(IP-)Netzwerke mittels kryptografischer Sicherheitsdienste. Die Implementierungen von

In diesem Beitrag

•Übersicht

•Kapitel 1 – Einführung inTCP/IP

•Kapitel 2 – Die Architekturdes TCP/IP Protokollsatzes

•Kapitel 3 – IP-Adressierung

•Kapitel 4 - Subnetzbildung

•Kapitel 5 – IP-Routing

•Kapitel 6 – DHCP (DynamicHost Configuration Protocol)

•Kapitel 7 –Hostnamenauflösung

•Kapitel 8 – Domain NameSystem – Übersicht

•Kapitel 9 –Windows-Unterstützung fürDNS

•Kapitel 10 –End-to-End-Übermittlungüber TCP/IP

•Kapitel 11 - NetBIOS überTCP/IP

•Kapitel 12 – Übersicht überWINS (Windows InternetName Service)

•Kapitel 13 – InternetProtocol Security (IPsec)und Paketfilterung

•Kapitel 14 – Virtuelle PrivateNetzwerke

•Kapitel 15 –IPv6-Übergangstechnologien

•Kapitel 16 – Behandeln vonProblemen mit TCP/IP

•Anhang A: IP-Multicast

•Anhang B: Simple Network Management Protocol

•Anhang C: Computersuchdienst

IPsec unter Windows XP und Windows Server 2003 basieren auf den Standards, die von derIPsec-Arbeitsgruppe der Internet Engineering Task Force (IETF) entwickelt wurden.

• Paketfilterung Eine Funktion zur Konfiguration von Schnittstellen zum Akzeptieren oder Verwerfeneingehenden Datenverkehrs auf Grundlage einer Reihe von Kriterien. Zu diesen Kriterien gehörenTransmission Control Protocol-(TCP-)Ports und User Datagram Protocol-(UDP-)Ports, Quell- und Ziel-IP-Adressen, und ob der eingehende Datenverkehr vom empfangenden Computer angefordert wurde.

In diesem Kapitel werden diese beiden Technologien und deren Unterstützung unter Windows Server 2003und Windows XP beschrieben.

Zum Seitenanfang

IPSecDie ursprünglichen Standards der TCP/IP-Protokollsuite wurden nicht zum Schutz von IP-Paketen entwickelt.In der Standardeinstellung können IP-Pakete einfach interpretiert, geändert, wiedergegeben und gefälschtwerden. Ohne Schutz von IP-Paketnutzlasten sind sowohl öffentliche als auch private Netzwerke anfällig fürnicht autorisierte Überwachung und nicht autorisierten Zugriff. Während interne Angriffe das Ergebnis einerminimalen oder nicht vorhandenen Intranetsicherheit sein können, sind die Gefahren für ein privatesNetzwerk von außen sowohl auf Verbindungen mit dem Internet als auch mit Extranets zurückzuführen. Fürden Zugriff auf Netzwerkressourcen erforderliche Kennwörter, beispielsweise Berechtigungen für einenfreigegebenen Ordner, bieten keinen Schutz für im Netzwerk übertragene Daten.

IPsec ist die langfristige Lösung für geschützte, IP-basierte Netzwerke auf Grundlage von Standards. DasFramework stellt in privaten Netzwerken und im Internet die wichtigste Verteidigungslinie gegen Angriffe dar und verbindet einfache Bereitstellung mit einem leistungsfähigen Sicherheitssystem. IPsec verfolgt zweiZiele:

1. Schutz von IP-Paketen

2. Verteidigung gegen Netzwerkangriffe

Beide Ziele werden mithilfe von kryptografiebasierten Datenschutzdiensten, Sicherheitsprotokollen und dynamischer Schlüsselverwaltung erreicht. Diese Grundlagen bieten die erforderliche Leistungsfähigkeit undFlexibilität zum Schutz der Kommunikation zwischen privaten Netzwerkcomputern, Domänen, Sites,Remotesites, Extranets und DFÜ-Clients. Darüber hinaus können Sie IPsec verwenden, um den Empfang oderdie Übertragung bestimmer Typen von Datenverkehr zu sperren.

IPsec basiert auf einem End-to-End-Sicherheitsmodell. Lediglich Computer, die Daten senden oder empfangen, müssen IPsec unterstützen. Auf diesen Computern werden Sicherheitsmaßnahmen ergriffen unterder Annahme, dass das Kommunikationsmedium nicht geschützt ist. Computer, die lediglich Daten von derQuelle zum Ziel weiterleiten, müssen IPsec nicht unterstützen. Sie müssen jedoch in der Lage sein,IPsec-Datenverkehr weiterzuleiten.

Sicherheitseigenschaften der durch IPsec geschützten KommunikationIPsec stellt die folgenden Sicherheitseigenschaften zum Schutz der Kommunikation bereit:

• Datenintegrität Dient dem Schutz von Daten vor nicht autorisierter Änderung während der Übertragung.Durch Datenintegrität wird sichergestellt, dass die empfangenen Daten sich nicht von den gesendetenDaten unterscheiden. Jedes Paket wird durch Hashfunktionen mit einer kryptografischen Prüfsumme unterVerwendung eines gemeinsamen geheimen Schlüssels authentifiziert. Nur Sender und Empfänger verfügenüber den Schlüssel, mit dem die Prüfsumme berechnet wird. Wenn der Paketinhalt geändert wird, schlägtdie Überprüfung der kryptografischen Prüfsumme fehl, und das Paket wird vom Empfänger verworfen.

• Datenursprungsauthentifizierung Dient dazu, sicherzustellen, dass die Daten von dem Computergesendet wurden, der über den gemeinsamen geheimen Schlüssel verfügt. Der Sender überträgt einenNachrichtenauthentifizierungscode mit einer Berechnung, die den gemeinsamen geheimen Schlüsselenthält. Der Empfänger führt die gleiche Berechnung durch und verwirft die Nachricht, wenn das Ergebnisdieser Berechnung nicht mit dem gesendeten Nachrichtenauthentifizierungscode übereinstimmt. DerNachrichtenauthentifizierungscode stimmt mit der kryptografischen Prüfsumme für Datenintegrität überein.

• Vertraulichkeit (Verschlüsselung) Dient dazu, sicherzustellen, dass die Daten nur für die vorgesehenenEmpfänger offengelegt werden. Vertraulichkeit wird durch Verschlüsseln der Daten vor der Übertragunggewährleistet. Durch Verschlüsselung wird sichergestellt, dass Daten während der Netzwerkübertragungnicht interpretiert werden können, selbst wenn ein böswilliger Benutzer das Paket abfängt und erfasst. Nurdie kommunizierenden Computer, die über den gemeinsamen geheimen Schlüssel verfügen, können denPaketinhalt problemlos entschlüsseln und die ursprünglichen Daten ermitteln.

• Anti-Replay Dient dem Sicherstellen der Eindeutigkeit der einzelnen IP-Pakete, indem jedem Paket eineSequenznummer zugewiesen wird. Anti-Replay wird auch Replay Prevention (Wiederholungsverhinderung) genannt. Durch Anti-Replay wird sichergestellt, dass böswillige Benutzer keine Daten erfassen und, unterUmständen Monate später, wieder verwenden bzw. erneut senden, um eine Sitzung zu starten oder Zugriffauf Informationen oder andere Ressourcen zu erlangen.

IPsec-ProtokolleIPsec stellt Sicherheitsdienste bereit, indem die Nutzlast eines IP-Pakets mit einem zusätzlichen Header oderNachspann versehen wird. Dieser Header oder Nachspann enthält die Informationen fürDatenursprungsauthentifizierung, Datenintegrität, Vertraulichkeit der Daten und zum Schutz vorReplay-Angriffen. Die folgenden IPsec-Header stehen zur Verfügung:

• Authentifizierungsheader (AH – Authentication Header)

Bietet Datenauthentifizierung, Datenintegrität und Schutz vor Replay-Angriffen für ein IP-Paket.

• ESP-Header und -Nachspann (Encapsulating Security Payload)

Bietet Datenauthentifizierung, Datenintegrität, Schutz vor Replay-Angriffen und Vertraulichkeit der Datenfür eine IP-Paketnutzlast.

Durch den AH- bzw. ESP-Header und den jeweiligen Nachspann wird das IP-Paket in ein geschütztes Paketumgewandelt.

Die Sicherheitsparameter zum Schutz des Datenverkehrs umfassen beispielsweise die Verwendung von AH oder ESP sowie Verschlüsselungstypen und Authentifizierungsalgorithmen. Um den verwendeten Satz vonSicherheitsparametern auszuhandeln, nutzen IPsec-Peers das IKE-(Internet Key Exchange-)Protokoll.

IPsec-ModiIPsec unterstützt zwei Modi, durch die die Umwandlung des ursprünglichen IP-Pakets in ein geschütztes Paketbeschrieben wird: den Transportmodus und den Tunnelmodus.

TransportmodusIm Transportmodus wird eine IP-Nutzlast mithilfe eines AH- oder ESP-Headers geschützt. TypischeIP-Nutzlasten sind TCP-Segmente (die einen TCP-Header und TCP-Segmentdaten enthalten), UDP-Nachrichten (die einen UDP-Header und UDP-Nachrichtendaten enthalten) und ICMP-Nachrichten (die einen ICMP-Header und ICMP-Nachrichtendaten enthalten).

AH bietet im Transportmodus Datenursprungsauthentifizierung, Datenintegrität und Anti-Replay für dasgesamte Paket (sowohl für den IP-Header als auch die mit dem Paket übertragene Datennutzlast, mitAusnahme von Feldern im IP-Header, die bei der Übertragung geändert werden müssen). Diese Art desDatenschutzes bietet keine Vertraulichkeit, d. h., die Daten werden nicht verschlüsselt. Die Daten könnengelesen, jedoch nicht ohne weiteres geändert oder imitiert werden. AH verwendet für die PaketintegritätSchlüsselhashalgorithmen.

Wenn beispielsweise Computer A Daten an Computer B sendet, werden der IP-Header, der AH-Header und die IP-Nutzlast durch Datenintegrität und Datenursprungsauthentifizierung geschützt. Computer B kannsicherstellen, dass Computer A das Paket tatsächlich gesendet hat und das Paket während der Übertragungnicht geändert wurde.

AH wird im IP-Header mit der IP-Protokoll-ID 51 gekennzeichnet. Sie können AH eigenständig oder inKombination mit ESP verwenden.

Der AH-Header enthält ein Feld für den Sicherheitsparameterindex (SPI), das IPsec zusammen mit derZieladresse und dem Sicherheitsprotokoll (AH oder ESP) verwendet, um die korrekte Sicherheitszuordnung(SA – Security Association) für die Kommunikation zu kennzeichnen. Beim Empfänger verwendet IPsec denSPI-Wert, um zu ermitteln, mit welcher SA das Paket gekennzeichnet ist. Um Replay-Angriffe zu verhindern,enthält der AH-Header ein Feld für die Sequenznummer. Ein Feld für Authentifikationsdaten im AH-Headerenthält den Integritätsprüfwert (ICV – Integrity Check Value), auch bekannt alsNachrichtenauthentifizierungscode, der sowohl zum Überprüfen der Datenintegrität als auch derDatenursprungsauthentifizierung verwendet wird. Der Empfänger berechnet den ICV und vergleicht diesenWert mit dem ICV im AH-Header (der vom Sender berechnet wird), um die Integrität zu überprüfen. Der ICVwird über den IP-Header, den AH-Header und die IP-Nutzlast berechnet.

AH authentifiziert das gesamte Paket zwecks Datenintegrität und Datenursprungsauthentifizierung, mitAusnahme einiger Felder im IP-Header, die möglicherweise während der Übertragung geändert werden(beispielsweise die Felder für die Gültigkeitsdauer und die Prüfsumme). In Abbildung 13-1 wird dasursprüngliche IP-Paket dargestellt, und wie dieses durch AH im Transportmodus geschützt wird.

Abbildung 13-1: Ein durch AH im Transportmodus geschütztes Paket Abbildung vergrößern

ESP im Transportmodus bietet (neben Datenursprungsauthentifizierung, Datenintegrität und Anti-Replay)Vertraulichkeit für eine IP-Paketnutzlast. ESP im Transportmodus authentifiziert nicht das gesamte Paket. Nurdie IP-Nutzlast (und nicht der IP-Header) wird geschützt. Sie können ESP eigenständig oder in Kombinationmit AH verwenden. Beispiel: Computer A sendet Daten an Computer B. Die IP-Nutzlast wird verschlüsselt undauthentifiziert. Beim Empfang der Daten überprüft IPsec die Datenintegrität undDatenursprungsauthentifizierung und entschlüsselt die Nutzlast.

ESP wird im IP-Header mit der IP-Protokoll-ID 50 gekennzeichnet. ESP besteht aus einem ESP-Header, der vor der IP-Nutzlast eingefügt wird, und einem ESP- und Authentifizierungsdatennachspann, der hinter derIP-Nutzlast eingefügt wird.

Ebenso wie der AH-Header enthält der ESP-Header Felder für SPI und Sequenznummer. Das Feld für dieAuthentifikationsdaten im ESP-Nachspann dient der Nachrichtenauthentifizierung sowie der Integrität desESP-Headers, der Nutzlastdaten und des ESP-Nachspanns.

In Abbildung 13-2 wird das ursprüngliche IP-Paket dargestellt, und wie dieses durch ESP geschützt wird. Imauthentifizierten Bereich des Pakets wird angegeben, welcher Teil des Pakets zwecks Datenintegrität undDatenursprungsauthentifizierung geschützt wird. Im verschlüsselten Teil des Pakets wird angegeben, welcheInformationen vertraulich sind.

Abbildung 13-2: Ein durch ESP im Transportmodus geschütztes Paket Abbildungvergrößern

Der IP-Header ist weder authentifiziert noch vor Änderungen geschützt. Um Datenintegrität undDatenursprungsauthentifizierung für den IP-Header zu gewährleisten, müssen Sie ESP und AH verwenden.

TunnelmodusIm Tunnelmodus wird das gesamte IP-Paket geschützt, indem es als AH- oder ESP-Nutzlast behandelt wird.Ein IP-Paket wird im Tunnelmodus mit einem AH- oder ESP-Header und einem zusätzlichen IP-Headergekapselt. Die IP-Adressen des äußeren IP-Headers sind die Tunnelendpunkte, und die IP-Adressen desgekapselten IP-Headers sind die ursprüngliche Quelladresse und endgültige Zieladresse.

Wie in Abbildung 13-3 dargestellt, kapselt der AH-Tunnelmodus ein IP-Paket mit einem AH-Header und einem IP-Header und authentifiziert das gesamte Paket zwecks Datenintegrität undDatenursprungsauthentifizierung.

Abbildung 13-3: Ein durch AH im Tunnelmodus geschütztes Paket Abbildungvergrößern

Wie in Abbildung 13-4 dargestellt, kapselt der ESP-Tunnelmodus ein IP-Paket mit einem ESP-Header, einem IP-Header und einem ESP-Authentifizierungsnachspann.

Abbildung 13-4: Ein durch ESP im Tunnelmodus geschütztes Paket Abbildungvergrößern

Da dem Paket zum Tunneln ein neuer Header hinzugefügt wird, werden alle Daten hinter dem nun imgetunnelten Paket gekapselten ESP-Header authentifiziert (mit Ausnahme des ESP-Felds für dieAuthentifikationsdaten). Der ursprüngliche Header wird hinter den ESP-Header platziert. Vor derVerschlüsselung wird an das gesamte Paket ein ESP-Nachspann angefügt. Alle Daten hinter dem ESP-Headerwerden verschlüsselt. Diese Daten umfassen den ursprünglichen Header, der nun Teil des Datenbereichs desPakets ist, jedoch nicht das ESP-Feld für die Authentifikationsdaten.

Die gesamte ESP-Nutzlast wird anschließend in einen neuen, nicht verschlüsselten IP-Header gekapselt. DieInformationen im neuen IP-Header werden nur verwendet, um das Paket an den Tunnelendpunkt weiterzuleiten.

Beim Senden des Pakets über ein öffentliches Netzwerk wird das Paket zur IP-Adresse des Tunnelservers fürdas Empfangsintranet weitergeleitet. In den meisten Fällen wird das Paket an einen Intranetcomputergesendet. Der Tunnelserver entschlüsselt das Paket, löscht den ESP-Header und verwendet denursprünglichen IP-Header, um das Paket an den Zielintranetcomputer weiterzuleiten.

Im Tunnelmodus können Sie ESP mit AH kombinieren und sowohl Vertraulichkeit für das getunnelte IP-Paketals auch Datenintegrität und Datenursprungsauthentifizierung für das gesamte Paket gewährleisten.

AushandlungsphasenBevor zwei Computer geschützte Daten austauschen können, müssen diese einen Vertrag aushandeln. Indiesem Vertrag, Sicherheitszuordnung (SA) genannt, wird festgehalten, auf welche Weise Informationengeschützt werden. Eine SA ist eine Kombination aus ausgehandeltem Verschlüsselungsschlüssel,Sicherheitsprotokoll und SPI. Die Sicherheitszuordnung definiert das Sicherheitssystem, mit dem die Kommunikation zwischen Sender und Empfänger geschützt wird. Der SPI ist ein eindeutigerIdentifizierungswert in der SA, der der Unterscheidung zwischen mehreren SAs auf dem Empfangscomputer dient.

Beispielsweise können mehrere SAs vorhanden sein, wenn ein Computer den IPsec-Schutz verwendet undgleichzeitig mit mehreren Computern kommuniziert. Diese Situation tritt häufig auf, wenn es sich bei demComputer um einen Dateiserver oder RAS-Server für mehrere Clients handelt. In diesen Situationen ermitteltder Empfangscomputer mit dem SPI, welche SA für die Verarbeitung eingehender Pakete verwendet wird.

Um diesen Vertrag zwischen zwei Computern auszuhandeln, hat die IETF IKE als Standardmethode zum Ermitteln von SAs und Schlüsseln definiert. IKE führt die folgenden Aufgaben durch:

• Zentralisieren der SA-Verwaltung, um die Verbindungsdauer zu verringern.

• Erstellen und Verwalten gemeinsamer geheimer Schlüssel zum Schutz von Informationen.

Dieser Prozess dient nicht nur dem Schutz der Kommunikation zwischen Computern, sondern schützt auchRemotecomputer, die geschützten Zugriff auf ein Unternehmensnetzwerk anfordern. Darüber hinausfunktioniert dieser Prozess immer, wenn ein Sicherheitsgateway eine Aushandlung für den endgültigenZielcomputer durchführt.

Phase I oder HauptmodusaushandlungUm eine erfolgreiche und geschützte Kommunikation sicherzustellen, führt IKE seine Aufgabe in zwei Phasendurch. IKE stellt während jeder Phase die Vertraulichkeit und Authentifizierung durch Verschlüsselungs- undAuthentifizierungsalgorithmen sicher, die die beiden Computer während der Sicherheitsaushandlungenfestlegen. Da der Vorgang in zwei Phasen verläuft, können Schlüssel rasch erstellt werden.

Während der ersten Phase richten die beiden Computer einen geschützten, authentifizierten Kanal ein. DiesePhase heißt Phase I-SA oder Hauptmodus-SA. Die Identitäten der zwei Computer werden während diesesAustauschs durch IKE automatisch geschützt.

Für die Hauptmodusaushandlung werden die folgenden Schritten durchgeführt:

1. Richtlinienaushandlung

Die folgenden vier obligatorischen Parameter werden als Teil der Hauptmodus-SA ausgehandelt:

• der Verschlüsselungsalgorithmus (für die Windows-Implementierung von IPsec: Data Encryption

Standard [DES] oder Triple-DES [3DES]).

• der Hashalgorithmus (für die Windows-Implementierung von IPsec: Message Digest 5 HashedMessage Authentication Code [MD5-HMAC] oder Secure Hash Algorithm 1-HMAC [SHA1-HMAC]).

• die Authentifizierungsmethode (für die Windows-Implementierung von IPsec: Kerberos V5, Zertifikatoder Authentifizierung durch vorinstallierten Schlüssel)

• die Diffie-Hellman-(DH-)Gruppe für das Basisschlüsselmaterial.

2. DH-Austausch

Zu keinem Zeitpunkt tauschen die beiden Computer tatsächlich Schlüssel aus. Die Computer tauschennur die Basisinformationen aus, die der DH-Algorithmus für die Schlüsselermittlung zum Erstellen einesgemeinsamen geheimen Schlüssels benötigt. Nach diesem Austausch erstellt der IKE-Dienst auf jedemComputer den Hauptschlüssel, den die Computer für die weitere Kommunikation verwenden.

3. Authentifizierung

Die Computer versuchen, den DH-Schlüsselaustausch zu authentifizieren. Ein DH-Schlüsselaustauschohne Authentifizierung ist anfällig für Man-in-the-Middle-Angriffe. Bei einem Man-in-the-Middle-Angriffgibt sich ein Computer als Endpunkt zwischen zwei kommunizierenden Peers aus. Ohne erfolgreiche Authentifizierung kann die Kommunikation nicht fortgesetzt werden. Die kommunizierenden Peers verwenden den Hauptschlüssel, um in Verbindung mit Aushandlungsalgorithmen und -methodenIdentitäten zu authentifizieren. Die kommunizierenden Peers hashen und verschlüsseln die gesamteIdentitätsnutzlast (einschließlich Identitätstyp, Port und Protokoll) mithilfe der im zweiten Schritt überden DH-Austausch erstellten Schlüssel. Die Identitätsnutzlast wird unabhängig von der verwendetenAuthentifizierungsmethode vor Änderungen und Interpretation geschützt.

Der Initiator bietet dem Empfänger eine potenzielle SA an. Das Angebot kann vom Responder nicht geändertwerden. Für den Fall, dass das Angebot geändert wird, lehnt der Initiator die Nachricht des Responders ab.Der Responder sendet entweder eine Antwort zum Akzeptieren des Angebots oder stellt Alternativen bereit.

Phase II oder SchnellmodusaushandlungIn dieser Phase werden von den IPsec-Peers die SAs ausgehandelt, um die eigentlichen gesendeten Daten zuschützen. Für die Schnellmodusaushandlung werden die folgenden Schritte durchgeführt:

1. Richtlinienaushandlung

Die IPsec-Peers tauschen die folgenden Anforderungen aus, um die Datenübertragung zu schützen:

• das IPsec-Protokoll (AH oder ESP).

• den Hashalgorithmus (MD5-HMAC oder SHA1-HMAC).

• den Verschlüsselungsalgorithmus, wenn dieser angefordert wird (DES oder 3DES).

Die Computer erzielen eine Einigung und legen zwei SAs fest. Die eine SA dient der eingehenden Kommunikation, die andere der ausgehenden Kommunikation.

2. Sitzungsschlüsselmaterial wird aktualisiert oder ausgetauscht.

IKE aktualisiert das Schlüsselmaterial, und neue gemeinsame Schlüssel werden für die Datenintegrität,Datenursprungsauthentifizierung und Verschlüsselung (wenn ausgehandelt) erstellt. Wenn eine erneuteSchlüsselerstellung erforderlich ist, wird entweder ein zweiter DH-Austausch durchgeführt (wie imAbschnitt über die Hauptmodusaushandlung beschrieben), oder der ursprüngliche DH-Schlüssel wirdaktualisiert.

Die Hauptmodus-SA dient dem Schutz der Schnellmodusaushandlung von Sicherheitseinstellungen undSchlüsselmaterial (zum Zweck des Datenschutzes). Die in der ersten Phase durchgeführten Aufgaben dienendem Schutz der Identitäten der Computer. In der zweite Phase wird vor dem Senden der Daten dasSchlüsselmaterial durch Aktualisierung geschützt. IKE kann eine Schlüsselaustauschnutzlast für einenweiteren DH-Austausch unterstützen, wenn eine erneute Schlüsselerstellung erforderlich ist. Andernfalls wirddas Schlüsselmaterial des im Hauptmodus abgeschlossenen DH-Austauschs von IKE aktualisiert.

IPsec-RichtlinieneinstellungenEine IPsec-Richtlinie besteht aus den folgenden Elementen:

• Allgemeine IPsec-Richtlinieneinstellungen

Einstellungen, die unabhängig von den konfigurierten Regeln angewendet werden. Durch dieseEinstellungen werden der Name der Richtlinie, ihre Beschreibung für administrative Zwecke sowieEinstellungen und Methoden für den Schlüsselaustausch im Hauptmodus festgelegt.

• Regeln

Eine oder mehrere IPsec-Regeln, durch die der Typ des von IPsec überwachten Datenverkehrs, dieBehandlung des Datenverkehrs (Zulassen, Sperren oder Schützen), die Art und Weise der Authentifizierungeines IPsec-Peers und eine Reihe weiterer Einstellungen festlgelegt werden.

IPsec-Richtlinien können auf lokale Computer, Domänen, Sites oder Organisationseinheiten jedesGruppenrichtlinienobjekts im Active Directory®-Verzeichnisdienst angewendet werden. Grundlage derIPsec-Richtlinien sollten die Datenschutzrichtlinien im Unternehmen sein. Eine Richtlinie kann mehrere Regeln

enthalten, sodass diese mehrere Typen von Datenverkehr steuern kann.

IPsec-Richtlinien können an zwei Speicherorten gespeichert werden:

• Active Directory

IPsec-Richtlinien, die in Active Directory gespeichert werden, gehören zu den Einstellungen für dieGruppenrichtlinien zur Konfiguration des Computers und werden auf ein Active Directory-Domänenmitgliedbeim Beitritt zur Domäne und fortlaufend heruntergeladen. Die Richtlinieneinstellungen auf Grundlage vonActive Directory werden lokal zwischengespeichert. Wenn der Computer die Richtlinieneinstellungen heruntergeladen hat, jedoch zu keinem Netzwerk mit einem vertrauenswürdigen Domänencontroller unterMicrosoft Windows 2000 oder Windows Server 2003 verbunden ist, verwendet IPsec die lokalzwischengespeicherten IPsec-Richtlinieneinstellungen in Active Directory.

• Lokal

Lokale IPsec-Richtlinien werden für eigenständige Computer und für Computer, die nicht ständig Mitgliedeiner vertrauenswürdigen Windows 2000- oder Windows Server 2003-Domäne sind, in denGruppenrichtlinien zur Konfiguration des lokalen Computers gespeichert.

Mit Windows Server 2003 und Windows XP werden Standardrichtlinien bereitgestellt, die Sie alsBeispielvorlagen für eigene benutzerdefinierte Richtlinien verwenden können.

Allgemeine IPsec-RichtlinieneinstellungenDie allgemeinen Einstellungen für eine IPsec-Richtlinie werden (unterComputerkonfiguration-Windows-Einstellungen-Sicherheitseinstellungen-IP-Sicherheitsrichtlinien) im Snap-In Gruppenrichtlinie vorgenommen. Klicken Sie mit der rechten Maustaste auf die IPsec-Richtlinie,wählen Sie Eigenschaften aus, und klicken Sie auf die Registerkarte Allgemein. Nehmen Sie anschließenddie folgenden Einstellungen vor:

• Name Der Name der Richtlinie.

• Beschreibung Optionaler Text, der den Verwendungszweck der IPsec-Richtlinie beschreibt. Es wirdempfohlen, eine Beschreibung einzugeben, um die Einstellungen und Regeln für die Richtliniezusammenzufassen.

• "Policy Change"-Pollintervall Anzahl der Minuten zwischen aufeinander folgenden Abfragen vonÄnderungen an IPsec-Richtlinien, die auf Active Directory basieren. Mit diesen Abfragen können wederÄnderungen an der Mitgliedschaft in einer Domäne oder Organisationseinheit ermittelt werden, noch wirddie Zuweisung oder Aufhebung einer Zuweisung einer neuen Richtlinie erkannt. Diese Ereignisse werden erkannt, wenn der Dienst für die Windows-Anmeldung Änderungen an Gruppenrichtlinien abfragt. In derStandardeinstellung wird diese Abfrage alle 90 Minuten ausgeführt.

In Abbildung 13-5 wird die Registerkarte Allgemein für die standardmäßige IPsec-Richtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-5: Registerkarte "Allgemein" in den Eigenschafteneiner IPsec-Richtlinie

Wenn Sie auf Einstellungen klicken, können Sie die folgenden Einstellungen vornehmen:

• Einstellungen für den Schlüsselaustausch

Die Art und Weise, wie neue Schlüssel abgeleitet werden, und die Häufigkeit, mit der diese erneuertwerden.

• Methoden für den Schlüsselaustausch

Die Art und Weise, wie Identitäten während des Schlüsselaustauschs geschützt werden.

Die Standardeinstellungen für den Schlüsselaustausch sind so konfiguriert, dass die meistenIPsec-Bereitstellungen unterstützt werden. Solange Sie keine speziellen Sicherheitsanforderungen haben,sollten Sie diese Standardeinstellungen nicht ändern.

In Abbildung 13-6 wird die Registerkarte Einstellungen für den Schlüsselaustausch für dieIPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-6: Dialogfeld "Einstellungen für denSchlüsselaustausch"

RegelnEine IPsec-Richtlinie besteht aus einer oder mehreren Regeln, durch die das Verhalten von IPsec festgelegt wird. IPsec-Regeln werden in den Eigenschaften einer IPsec-Richtlinie auf der Registerkarte Regelnkonfiguriert. Für jede IPsec-Regel können Sie die folgenden Einstellungen vornehmen:

• Filterliste

Sie geben eine einzelne Filterliste an, die einen oder mehrere vordefinierte Paketfilter enthält, welche dieTypen von Datenverkehr beschreiben, auf die die konfigurierte Filteraktion für diese Regel angewendetwird.

• Filteraktion

Sie geben eine einzelne Filteraktion an, die den Typ der erforderlichen Aktion (Zulassen, Sperren oder Sichern) für Pakete in der Filterliste enthält. Für die Filteraktion zum Sichern des Pakets enthalten dieAushandlungsdaten eine oder mehrere Sicherheitsmethoden, die (in der Reihenfolge ihrer Priorität)während der IKE-Aushandlungen und für andere IPsec-Einstellungen verwendet werden. Durch jedeSicherheitsmethode werden ein Sicherheitsprotokoll (z. B. AH oder ESP), die spezifischenKryptografiealgorithmen und die Einstellungen zum erneuten Erstellen von Sitzungsschlüsseln festgelegt.

• Authentifizierungsmethoden

Sie konfigurieren eine oder mehrere Authentifizierungsmethoden (in der Reihenfolge ihrer Priorität) zumAuthentifizieren von IPsec-Peers während der Hauptmodusaushandlungen. Sie können das KerberosV5-Protokoll, ein Zertifikat von einer bestimmten Zertifizierungsstelle oder einen vorinstallierten Schlüsselangeben.

• Tunnelendpunkt

Sie können festlegen, ob die Daten im Tunnelmodus übertragen werden. In diesem Fall geben Sieaußerdem die IP-Adresse des Tunnelendpunkts an. Für ausgehenden Datenverkehr ist der Tunnelendpunktdie IP-Adresse des IPsec-Tunnelpeers. Für eingehenden Datenverkehr ist der Tunnelendpunkt eine lokaleIP-Adresse.

• Verbindungstyp

Sie können angeben, ob die Regel auf LAN-Verbindungen, DFÜ-Verbindungen oder beide Verbindungstypenangewendet werden soll.

In Abbildung 13-7 werden die Eigenschaften einer Regel für die IPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-7: Eigenschaften einer IPsec-Regel

Die Regeln für eine Richtlinie werden auf Grundlage des Namens der für die einzelnen Regeln ausgewähltenFilterliste in umgekehrter alphabetischer Reihenfolge angezeigt. Sie können keine Reihenfolge festlegen, inder die Regeln in einer Richtlinie angewendet werden. Die Windows-Implementierung von IPsec leitet automatisch einen Satz von IPsec-Filtern ab, die den IP-Datenverkehr und die für diesen IP-Verkehrauszuführende, in IPsec konfigurierte Aktion festlegen. IPsec-Filter werden absteigend sortiert. Dabei stehtder Filter, der den IP-Datenverkehr am genauesten beschreibt, an erster Stelle. Beispielsweise steht ein IPsec-Filter, in dem einzelne IP-Addressen und TCP-Ports angegeben werden, in der Reihenfolge vor einem IPsec-Filter, in dem alle Adressen eines Subnetzes angegeben sind.

StandardantwortregelDie Standardantwortregel, die für alle Richtlinien verwendet werden kann, verfügt über die Filterliste<Dynamisch> und die Filteraktion Standardantwort, wenn die Liste von Regeln in den IP-Sicherheitsrichtlinien angezeigt wird. Die Standardantwortregel kann nicht gelöscht werden, Sie können siejedoch deaktivieren. Sie ist für alle Standardrichtlinien aktiviert, und Sie können sie beim Erstellen vonIPsec-Richtlinien aktivieren.

Durch die Standardantwortregel wird sichergestellt, dass der Computer auf Anfragen nach geschützterKommunikation antwortet. Wenn eine aktive Richtlinie für einen Computer, der geschützte Kommunikationanfordert, über keine Regel verfügt, wird die Standardantwortregel angewendet, und die Einstellungen fürden Datenschutz werden ausgehandelt. Beispielsweise wird die Standardantwortregel verwendet, wenn Computer A mit Computer B geschützt kommuniziert und Computer B über keinen Filter für von Computer Aeingehenden Datenverkehr verfügt.

Sie können die Authentifizierungsmethoden und den Verbindungstyp für die Standardantwortregelkonfigurieren. Wenn für die Filterliste <Dynamisch> angezeigt wird, weist dies darauf hin, dass die Filterliste nicht konfiguriert ist, die Filter jedoch beim Empfang der IKE-Aushandlungspakete automatisch erstellt werden. Die Filteraktion Standardantwort weist darauf hin, dass Sie die Aktion des Filters (Zulassen, Sperren oder Sicherheit aushandeln) nicht konfigurieren können. Sie können jedoch die folgendenEinstellungen vornehmen:

• Die Sicherheitsmethoden und deren Priorität. Um diese Einstellungen zu konfigurieren, klicken Sie in denEigenschaften der IPsec-Richtlinie auf die Registerkarte Regeln und dann auf die Standardantwortregel. Klicken Sie auf Bearbeiten und anschließend auf die Registerkarte Sicherheitsmethoden.

• Die Authentifizierungsmethoden und deren Priorität. Um diese Einstellungen zu konfigurieren, klicken Sieauf die Standardantwortregel, auf Bearbeiten und anschließend auf die RegisterkarteAuthentifizierungsmethoden.

FilterlisteEine IP-Filterliste löst eine Filteraktion auf Grundlage einer Übereinstimmung mit der Quelle, dem Ziel unddem Typ des IP-Datenverkehrs aus. Mit diesem Typ der IP-Paketfilterung kann ein Netzwerkadministratorpräzise definieren, welcher Teil des IP-Datenverkehrs zugelassen, gesperrt oder geschützt werden soll. JedeIP-Filterliste enthält einen oder mehrere Filter, die IP-Adressen und Datenverkehrstypen definieren. Siekönnen eine IP-Filterliste für mehrere Typen von IP-Datenverkehr verwenden.

Für geschützte Pakete müssen Sie sowohl einen eingehenden als auch einen ausgehenden Filter zwischen denin der Filterliste angegebenen Computern konfigurieren. Eingehende Filter werden auf eingehenden

Datenverkehr angewendet und ermöglichen dem empfangenden Computer, auf Anfragen nach geschützterKommunikation zu antworten oder Datenverkehr mit der IP-Filterliste zu vergleichen. Ausgehende Filter werden auf Datenverkehr angewendet, der vom Computer an ein anderes Ziel gesendet wird, und lösen vordem Senden des Datenverkehrs eine Sicherheitsaushandlung aus. Beispiel: Computer A fordert den Austausch geschützter Daten mit Computer B an. In diesem Fall müssen die folgenden Bedingungen erfülltsein:

• Die aktive IPsec-Richtlinie auf Computer A muss über einen Filter für alle an Computer B ausgehendenPakete verfügen.

• Die aktive IPsec-Richtlinie auf Computer A muss über einen Filter für alle von Computer B eingehendenPakete verfügen.

Jeder Peer muss über das jeweilige Gegenstück zu einem Filter verfügen. Beispiel:

• Die aktive IPsec-Richtlinie auf Computer B muss über einen Filter für alle von Computer A eingehendenPakete verfügen.

• Die aktive IPsec-Richtlinie auf Computer B muss über einen Filter für alle an Computer A ausgehendenPakete verfügen.

FiltereinstellungenJeder Filter definiert eine bestimmte Untermenge von eingehendem oder ausgehendem Netzwerkverkehr. Fürjeden Datenverkehr, auf den die entsprechende Regel angewendet wird, muss ein Filter vorhanden sein. Ein Filter kann die folgenden Einstellungen enthalten:

• Quell- und Zieladresse des IP-Pakets. Sie können jede dem IP-Peer zugewiesene IP-Adresse, eine einzelneIP-Adresse, IP-Adressen nach DNS-Namen oder Adressbereiche von IP-Subnetzen konfigurieren.

• Das Protokoll für die Übertragung des Pakets. Diese Einstellung verwendet standardmäßig alle Protokolleder TCP/IP-Protokollsuite. Sie können den Filter jedoch für ein bestimmtes Protokoll konfigurieren, umspezielle Anforderungen zu erfüllen. Hierfür können auch benutzerdefinierte Protokolle verwendet werden.

• Für TCP und UDP den Quell- und Zielport des Protokolls. In der Standardeinstellung werden alle TCP- undUDP-Ports verwendet. Sie können den Filter jedoch so konfigurieren, dass dieser nur auf einen bestimmtenTCP- oder UDP-Port angewendet wird.

In Abbildung 13-8 wird die Filterliste ICMP-Datenverkehr insgesamt für die IPsec-StandardrichtlinieServer (Sicherheit anfordern) dargestellt.

Abbildung 13-8: Beispiel für eine IP-Filterliste

FilteraktionMit einer Filteraktion wird definiert, wie Datenverkehr durch die Windows-Implementierung von IPsec behandelt werden muss. In Abbildung 13-9 wird die Filteraktion Sicherheit erforderlich für dieIPsec-Standardrichtlinie Server (Sicherheit anfordern) dargestellt.

Abbildung 13-9: Eine IPsec-Filteraktion

Sie können eine Filteraktion für die folgenden Aufgaben konfigurieren:

• Zulassen des Datenverkehrs (Einstellung Zulassen)

Die Windows-Implementierung von IPsec leitet den Datenverkehr ohne Änderung oder Schutz weiter. DieseEinstellung ist für Datenverkehr von Computern geeignet, die IPsec nicht unterstützen.

• Sperren des Datenverkehrs (Einstellung Sperren)

Der Datenverkehr wird von IPsec ohne Warnung verworfen.

• Aushandeln von IPsec (Einstellung Sicherheit aushandeln)

Für IPsec müssen Sender und Empfänger SAs aushandeln und durch IPsec geschützten Datenverkehrsenden und empfangen. Nachdem Sie das Aushandeln von IPsec ausgewählt haben, können Sie außerdemdie folgenden Aufgaben durchführen:

• Angeben der Sicherheitsmethoden und deren Reihenfolge

• Zulassen des ersten eingehenden, nicht geschützten Datenverkehrs (Einstellung Unsichere Kommunikat. annehmen, aber immer mit IPSec antworten)

Wenn Sie diese Einstellung konfigurieren, lässt IPsec eingehende Pakete zu, die in der konfiguriertenFilterliste als durch IPsec nicht geschützt aufgeführt werden. Die ausgehende Antwort auf daseingehende Paket muss jedoch geschützt werden. Dieses Verhalten wird auch eingehendes Passthroughgenannt.

Diese Einstellung ist sinnvoll, wenn Sie die Standardantwortregel für Clients verwenden. Betrachten Siebeispielsweise eine Gruppe von Servern, für die eine Regel konfiguriert ist, die die gesamteKommunikation mit allen IP-Adressen schützt. Diese Gruppe akzeptiert nicht geschützte Kommunikationund antwortet nur mittels geschützter Kommunikation. Um sicherzustellen, dass die Clients auf dieServeranforderung zum Aushandeln der Sicherheit antworten, müssen Sie die Standardantwortregel fürClientcomputer aktivieren.

• Aktivieren der Kommunikation mit Computern, auf denen IPsec nicht aktiviert ist (Einstellung Unsichere Komm. mit Computern zulassen, die IPSec nicht unterstützen)

Wenn Sie diese Einstellung konfigurieren, greift IPsec bei Bedarf auf nicht geschützte Kommunikationzurück. Dieses Verhalten ist auch als "Fallback to Clear" bekannt.

Mit dieser Einstellung wird die Kommunikation mit Computern ermöglicht, die IPsec nicht initiierenkönnen. Dazu zählen z. B. Computer, auf denen Microsoft-Betriebssysteme ausgeführt werden, die älterals Windows 2000 sind.

• Erstellen von Sitzungsschlüsseln aus neuem Schlüsselmaterial (Einstellung Sitzungsschlüssel mitPerfect Forward Secrecy (PFS) verwenden)

Durch diese Einstellung wird festgelegt, ob ein neuer Sitzungsschlüssel aus vorhandenem Material zumErstellen eines in einer Hauptmodusaushandlung festgelegten Hauptschlüssels abgeleitet werden kann.Indem Sie Sitzungsschlüssel mit PFS verwenden, wird sichergestellt, dass Material zum Erstellen von

Hauptschlüsseln nicht zum Ableiten mehrerer Sitzungsschlüssel verwendet werden kann. Bei aktivierterPFS für Sitzungsschlüssel wird ein neuer Diffie-Hellman-Schlüsselaustausch durchgeführt, um neuesMaterial zum Erstellen von Hauptschlüsseln zu erzeugen, bevor der neue Sitzungsschlüssel erstellt wird.Sitzungsschlüssel-PFS erfordert keine erneute Hauptmodusauthentifizierung und verbraucht wenigerRessourcen als Hauptschlüssel-PFS.

IPsec-SicherheitsmethodenDurch die einzelnen Sicherheitsmethoden werden die Sicherheitsanforderungen jeder Kommunikation definiert, auf die die entsprechende Regel angewendet wird. Indem Sie mehrere Sicherheitsmethoden erstellen, erhöhen Sie die Wahrscheinlichkeit, dass für zwei Computer eine gemeinsame Sicherheitsmethodegefunden wird. Die IKE-Komponente liest die Liste der Sicherheitsmethoden in absteigender Reihenfolge und sendet eine Liste zulässiger Sicherheitsmethoden an den anderen Peer. Die erste gemeinsame Methode wirdausgewählt. Typischerweise befinden sich die Methoden mit der größten kryptografischen Sicherheit amAnfang der Liste, und die Methoden mit der geringsten kryptografischen Sicherheit am Ende der Liste.

Die folgenden Sicherheitsmethoden sind vordefiniert:

• Verschlüsselung und Integrität Verwendet ESP für Vertraulichkeit der Daten (Verschlüsselung) mit3DES, Datenintegrität und Datenursprungsauthentifizierung mit SHA1 und standardmäßigeSchlüsselgültigkeitsdauern (100 MB, 1 Stunde). Wenn sowohl Datenschutz als auch Addressierungsschutz(IP-Headerschutz) erforderlich sind, können Sie eine benutzerdefinierte Sicherheitsmethode erstellen.Wenn keine Verschlüsselung benötigt wird, können Sie die Option Nur Integrität auswählen.

• Nur Integrität Verwendet ESP für Datenintegrität und Authentifizierung mit SHA1 und standardmäßigeSchlüsselgültigkeitsdauern (100 MB, 1 Stunde). In dieser Konfiguration bietet ESP keine Vertraulichkeit derDaten (Verschlüsselung). Diese Methode ist geeignet, wenn für den SicherheitsplanStandardsicherheitsstufen erforderlich sind.

In Abbildung 13-10 wird die Registerkarte Neue Sicherheitsmethode dargestellt. Diese Registerkarte wird angezeigt, wenn Sie zu einer Filteraktion eine Sicherheitsmethode hinzufügen.

Abbildung 13-10: Registerkarte "Neue Sicherheitsmethode"

Benutzerdefinierte SicherheitsmethodenWenn die Einstellung Verschlüsselung und Integrität oder Nur Integrität nicht Ihren Sicherheitsanforderungen entspricht, können Sie benutzerdefinierte Sicherheitsmethoden angeben.Beispielsweise können Sie mit benutzerdefinierten Sicherheitsmethoden Verschlüsselung undAdressintegrität, leistungsfähigere Algorithmen oder Schlüsselgültigkeitsdauern angeben.

Bei der Konfiguration benutzerdefinierter Sicherheitsmethoden können Sie folgende Angaben machen:

• Sicherheitsprotokolle

Sie können in einer benutzerdefinierten Sicherheitsmethode sowohl AH als auch ESP aktivieren, wennIP-Headerintegrität und Datenverschlüsselung erforderlich sind. Wenn Sie beide Protokolle aktivieren,müssen Sie für ESP keinen Integritätsalgorithmus angeben. Datenintegrität wird durch den für AHausgewählten Algorithmus bereitgestellt.

• Integritätsalgorithmus

• MD5

• SHA1, der einen leistungsfähigeren Hash als MD5 darstellt und dem Standard fürInformationsverarbeitung in US-Behörden (FIPS – Federal Information Processing Standard) entspricht.Microsoft empfiehlt, SHA1 anstelle von MD5 zu verwenden.

• Verschlüsselungsalgorithmus

• DES

• 3DES, der wesentlich sicherer als DES ist. Microsoft empfiehlt, 3DES anstelle von DES zu verwenden.

• Sitzungsschlüsseleinstellungen

Durch die Sitzungsschlüsseleinstellungen wird festgelegt, zu welchem Zeitpunkt ein neuer Schlüsselerstellt wird, und weniger die Art und Weise der Schlüsselerstellung. Sie können eine Gültigkeitsdauer inKB, Sekunden oder in beiden Einheiten angeben. Wenn die Kommunikationsdauer beispielsweise 10.000 Sekunden beträgt, und Sie eine Schlüsselgültigkeitsdauer von 1.000 Sekunden angeben, werden für dieÜbertragung 10 Schlüssel erstellt. Auf diese Weise wird sichergestellt, dass ein Angreifer nicht in der Lageist, die gesamte Kommunikation zu entschlüsseln. Dies ist auch dann nicht möglich, wenn der Angreifereinen Sitzungsschlüssel ermittelt und einen Teil der Kommunikation entschlüsselt. In derStandardeinstellung werden neue Sitzungsschlüssel jede Stunde oder nach jeder Übertragung von 100 MBDaten erstellt.

In Abbildung 13-11 wird das Dialogfeld Einstellungen für Sicherheitsmethoden anpassen dargestellt. Dieses Dialogfeld wird angezeigt, wenn Sie zu einer Filteraktion eine benutzerdefinierte Sicherheitsmethodehinzufügen.

Abbildung 13-11: Dialogfeld "Einstellungen fürSicherheitsmethoden anpassen"

AuthentifizierungDurch jede IPsec-Regel wird eine Liste mit Authentifizierungmethoden definiert. Durch die einzelnen Authentifizierungsmethoden werden die Anforderungen für die Überprüfung von Identitäten bei geschützterKommunikation definiert, auf die die entsprechende Regel angewendet wird. Die beiden Peers müssen übermindestens eine gemeinsame Authentifizierungsmethode verfügen, andernfalls schlägt die Kommunikationfehl. Indem Sie mehrere Authentifizierungsmethoden erstellen, erhöhen Sie die Wahrscheinlichkeit, dass fürzwei Computer eine gemeinsame Methode gefunden wird.

Für zwei kommunizierende Computer kann nur eine Authentifizierungsmethode verwendet werden,unabhängig davon, wie viele Authentifizierungsmethoden Sie konfigurieren. Wenn mehrere Regeln vorhandensind, die auf dasselbe Paar von Computern angewendet werden, müssen Sie die Listen mitAuthentifizierungsmethoden in diesen Regeln so konfigurieren, dass die Computer dieselbe Methode verwenden können. Beispiel: Eine Regel für zwei kommunizierende Computer gibt nur Kerberos zurAuthentifizierung an und filtert lediglich TCP-Daten, während eine andere Regel zur Authentifizierung nurZertifikate angibt und nur UDP-Daten filtert. In diesem Fall schlägt die Authentifizierung fehl.

Die folgenden Authentifizierungsmethoden werden von IPsec unterstützt:

• Kerberos V5 Das Kerberos V5-Sicherheitsprotokoll stellt die Standardauthentifizierungsmethode fürClients dar, auf denen das Kerberos V5-Protokoll ausgeführt wird und die Mitglieder derselben ActiveDirectory-Domäne oder von vertrauenswürdigen Active Directory-Domänen sind.

Die Kerberos V5-Authentifizierung wird von Computern, auf denen Windows XP Home Edition ausgeführtwird, nicht unterstützt. Dies gilt auch für Computer, auf denen ein Windows 2000-, Windows XP- oderWindows Server 2003-Betriebssystem ausgeführt wird und die nicht Mitglied einer ActiveDirectory-Domäne sind.

• Öffentlicher Schlüssel eines Zertifikats Sie sollten den öffentlichen Schlüssel eines Zertifikats inSituationen verwenden, in denen auf das Internet oder remote auf Unternehmensressourcen zugegriffenwerden muss, eine Kommunikation mit externen Geschäftspartnern erforderlich ist oder Computerverwendet werden, auf denen das Kerberos V5-Sicherheitsprotokoll nicht ausgeführt wird. Für dieseMethode sind Zertifikate von mindestens einer vertrauenswürdigen Zertifizierungsstelle (CA – CertificationAuthority) erforderlich. Computer, auf denen Windows Server 2003, Windows XP oder Windows 2000ausgeführt wird, unterstützen X.509 Version 3-Zertifikate. Dazu zählen auch Zertifikate von kommerziellenCAs.

• Vorinstallierter Schlüssel Bei dieser Methode wird ein mit einem Kennwort vergleichbarer, gemeinsamergeheimer Schüssel verwendet. Diese Methode ist benutzerfreundlich und erfordert kein KerberosV5-Protokoll oder öffentliches Schlüsselzertifikat auf dem Client. Beide Beteiligten müssen IPsec manuellkonfigurieren, um den vorinstallierten Schlüssel zu nutzen. Vorinstallierte Schlüssel sind eine einfacheMethode zum Authentifizieren von Computern, auf denen nicht Windows Server 2003, Windows XP oderWindows 2000 ausgeführt wird. Diese Methode eignet sich auch für eigenständige Computer oderComputer, auf denen das Kerberos V5-Protokoll nicht ausgeführt wird. Dieser Schlüssel dient allein derAuthentifizierung von Peers und nicht dem Schutz von Daten, die zwischen IPsec-Peers gesendet werden.

TunnelendpunktIPsec-Tunnel dienen dem Schutz vollständiger IP-Pakete. Sie können den Tunnel so konfigurieren, dass derDatenverkehr entweder zwischen zwei IP-Adressen oder zwei IP-Subnetzen geschützt wird. Wenn Sie denTunnel zwischen zwei Computern anstatt zwischen zwei Routern (Gateways) konfigurieren, stimmt die IP-Adresse außerhalb der AH- oder ESP-Nutzlast mit der IP-Adresse innerhalb der AH- oder ESP-Nutzlastüberein.

IPsec kann für Szenarios, in denen das Layer-Two-Tunneling-Protokoll (L2TP) nicht verwendet werden kann,ein Tunneling auf Schicht 3 durchführen. Wenn Sie für Remotekommunikation L2TP verwenden, müssen Siekeinen Tunnel konfigurieren, da die Windows XP-Komponenten für das virtuelle private Netzwerk (VPN) vonClient und Server automatisch die entsprechenden Regeln zum Schutz von L2TP-Datenverkehr erstellen.

Um mithilfe von IPsec einen Layer 3-Tunnel zu erstellen, verwenden Sie IP-Sicherheitsrichtlinien oder Gruppenrichtlinien, um für die entsprechende Richtlinie die folgenden zwei Regeln zu konfigurieren und zuaktivieren:

1. Eine Regel für durch den Tunnel ausgehenden Datenverkehr.

Sie konfigurieren die Regel für ausgehenden Datenverkehr mithilfe einer Filterliste, durch die der durchden Tunnel gesendete Datenverkehr beschrieben wird, sowie mithilfe eines Tunnelendpunkts, der eine dem IPsec-Tunnelpeer zugewiesene IP-Adresse darstellt. (Der IPsec-Tunnelpeer ist der Computer oder Router auf der anderen Seite des Tunnels.)

2. Eine Regel für durch den Tunnel eingehenden Datenverkehr.

Sie konfigurieren die Regel für eingehenden Datenverkehr mithilfe einer Filterliste, durch die der durchden Tunnel empfangene Datenverkehr beschrieben wird, sowie mithilfe eines Tunnelendpunkts, der eine lokale IP-Adresse darstellt. (Diese lokale IP-Adresse ist der Computer oder Router auf der Seite des Tunnels, an dem die Regel definiert wird.)

Für jede Regel müssen Sie außerdem Filteraktionen, Authentifizierungsmethoden und andere Einstellungenangeben.

VerbindungstypFür jede IPsec-Regel müssen Sie definieren, auf welche Verbindungstypen auf dem Computer die Regelangewendet wird. Zu den Verbindungstypen gehören alle Netzwerkverbindungen auf dem Computer, für dendie IPsec-Richtlinie konfiguriert wird.

Jede Regel verfügt über eine Verbindungstypeinstellung:

• Alle Netzwerkverbindungen Die Regel gilt für jede Kommunikation, die über eine beliebige auf demComputer konfigurierte Netzwerkverbindung erfolgt.

• LAN Die Regel gilt nur für Kommunikation, die über auf dem Computer konfigurierte LAN-Verbindungenerfolgt.

• RAS Die Regel gilt nur für Kommunikation, die über auf dem Computer konfigurierte RAS- oderDFÜ-Verbindungen erfolgt.

IPsec für IPv6-DatenverkehrDas IPv6-Protokoll für Windows Server 2003 und Windows XP ...

• unterstützt AH im Transport- oder Tunnelmodus mit MD5 oder SHA1 sowie ESP im Transport- oderTunnelmodus unter Verwendung des ESP-Headers NULL und MD5 oder SHA1. ESP-Datenverschlüsselungwird von IPv6 nicht unterstützt.

• ist unabhängig von IPsec für das IPv4-Protokoll und mit diesem nicht kompatibel. IPsec-Richtlinien, die mitIP-Sicherheitsrichtlinien oder Gruppenrichtlinien konfiguriert werden, haben keine Auswirkungen auf den IPv6-Datenverkehr.

• unterstützt nicht die Verwendung von IKE zum Aushandeln von SAs. Sie müssen das Tool Ipsec6.exeverwenden, um IPsec-Richtlinien, SAs und Verschlüsselungsschlüssel manuell zu konfigurieren. WeitereInformationen finden Sie unter Hilfe und Support in Windows XP bzw. Windows Server 2003.

Zum Seitenanfang

PaketfilterungFür die Paketfilterung unterstützen Computer, auf denen Windows Server 2003 oder Windows XP ausgeführtwird, neben den IPsec-Filteraktionen auch die folgenden Features:

• Windows-Firewall

• Internetverbindungsfirewall

• TCP/IP-Filterung

Auf Computern, auf denen Windows Server 2003 mit Routing und RAS ausgeführt wird, können Sie auch diefolgenden Features verwenden:

• IP-Paketfilterung

• Basisfirewall

Windows-FirewallEine Firewall ist eine schützende Grenze zwischen einem Computer oder Netzwerk und der Außenwelt. DieWindows-Firewall ist eine statusbehaftete Hostfirewall für IPv4- und IPv6-Datenverkehr unter Windows XPmit Service Pack 2 (SP2) und Windows Server 2003 mit Service Pack 1 (SP1). Dieses Feature lässteingehenden Datenverkehr nur zu, wenn dieser entweder als Antwort auf eine Anfrage des Computersgesendet wurde oder erwartet wird (d. h., nicht angeforderter Datenverkehr, der als zulässig angegebenwurde). Die Windows-Firewall bietet Schutz vor böswilligen Benutzern und Programmen, die den Computermithilfe von nicht angefordertem Datenverkehr angreifen. Mit Ausnahme einiger ICMP-Nachrichten (InternetControl Message Protocol) wird sämtlicher ausgehender Datenverkehr von der Windows-Firewall zugelassen.

Die Windows-Firewall wurde für beliebige Netzwerkverbindungen entwickelt. Dazu zählen auchInternetverbindungen sowie Verbindungen mit kleinen Büro- oder Heimnetzwerken oder Netzwerken privaterUnternehmen. Eine Netzwerkfirewall, ein Netzwerkproxy und andere Sicherheitssysteme in einem Unternehmen bieten Netzwerkcomputern im Intranet einen gewissen Schutz vor Internetangriffen. Wenn fürIntranetverbindungen keine Hostfirewalls, wie z. B. die Windows-Firewall, eingesetzt werden, sind dieComputer jedoch weiterhin anfällig für bösartige Programme, die über tragbare Computer in das Intranetgelangen.

Nehmen Sie z. B. an, dass ein Mitarbeiter einen Firmenlaptop mit einem Heimnetzwerk verbindet, das überkeine geeigneten Schutzmaßnahmen verfügt. Da der Firmenlaptop über keine für die Netzwerkverbindungkonfigurierte Hostfirewall verfügt, wird der Laptop mit einem bösartigen Programm infiziert (beispielsweiseeinem Virus oder Wurm), das sich über nicht angeforderten Datenverkehr auf anderen Computern verbreitet.Der Mitarbeiter bringt den Laptop zurück ins Büro, verbindet ihn mit dem Unternehmensintranet und umgehtauf diese Weise die Sicherheitssysteme an der Intranetgrenze. Während der Laptop mit dem Intranetverbunden ist, beginnt das bösartige Programm, andere Computer zu infizieren. Wenn die Windows-Firewallandererseits standardmäßig aktiviert ist, wird der Laptop während der Verbindung mit dem Heimnetzwerkunter Umständen nicht mit dem bösartigen Programm infiziert. Selbst wenn der Laptop infiziert wird, kanneine Infizierung der Computer im lokalen Intranet während der Verbindung zwischen Laptop und Intranet miteiner aktivierten Windows-Firewall verhindert werden.

Wenn auf den Computern unter Windows XP mit SP2 oder Windows Server 2003 mit SP1 clientbasierteProgramme ausgeführt werden, wird die Kommunikation durch eine aktivierte Windows-Firewall nichtbeeinträchtigt. Webzugriff, E-Mail, Gruppenrichtlinien und Verwaltungsagenten, die Aktualisierungen voneinem Verwaltungsserver anfordern, sind Beispiele für clientbasierte Programme. Für clientbasierteProgramme wird die Kommunikation stets vom Clientcomputer initiiert, und die Firewall lässt den gesamtenAntwortverkehr von einem Server zu, da dieser angeforderter, eingehender Datenverkehr ist.

Unter Windows XP mit SP2 ist die Windows-Firewall in der Standardeinstellung für alle Netzwerkverbindungenaktiviert. Ausnahmen können Sie in der Systemsteuerung über die Option Windows-Firewall konfigurieren. Sie können diese Option auch im Windows-Sicherheitscenter auswählen, das mit SP2 eingeführt wurde. UnterWindows Server 2003 mit SP1 ist die Windows-Firewall in der Standardeinstellung deaktiviert. In Abbildung13-12 wird das Dialogfeld Windows-Firewall dargestellt, das unter Windows XP mit SP2 eingeführt wurde.

Abbildung 13-12: Dialogfeld "Windows-Firewall" unterWindows XP mit SP2

Das Dialogfeld Windows-Firewall verfügt über die folgenden Registerkarten:

• Auf der Registerkarte Allgemein können Sie die Windows-Firewall aktivieren, deaktivieren oder aktivieren,ohne Ausnahmen zuzulassen.

• Auf der Registerkarte Ausnahmen können Sie Ausnahmen für zulässigen eingehenden Datenverkehrangeben. Sie können diese Ausnahmen nach TCP-Port, UDP-Port oder Programmnamen angeben.

• Auf der Registerkarte Erweitert können Sie die Windows-Firewall für bestimmte Schnittstellen aktivierenoder deaktivieren, erweiterte Einstellungen für bestimmte Schnittstellen vornehmen sowieProtokollierungs- und ICMP-Optionen konfigurieren.

Funktionsweise der Windows-FirewallDie Windows-Firewall ist eine statusbehaftete Hostfirewall für eingehenden Datenverkehr. DieWindows-Firewall dient einem anderen Zweck als eine Routerfirewall, die an der Grenze zwischen dem privaten Netzwerk und dem Internet bereitgestellt wird. Eine Routerfirewall schützt den Datenverkehr, der anden Router als Zwischenstopp zwischen Quelle und Ziel des Datenverkehrs gesendet wird. Die Windows-Firewall ist jedoch eine Firewall für Datenverkehr, der für den Computer bestimmt ist, auf dem dieWindows-Firewall ausgeführt wird.

Die Windows-Firewall funktioniert nach folgendem Schema:

• Die Windows-Firewall untersucht jedes eingehende Paket und vergleicht es mit einer Liste mit zulässigemDatenverkehr. Wenn das Paket mit einem Eintrag in der Liste übereinstimmt, wird das Paket an dasTCP/IP-Protokoll zur weiteren Verarbeitung übergeben. Wenn das Paket mit keinem Eintrag in der Listeübereinstimmt, wird das Paket von der Windows-Firewall ohne Warnung verworfen. Darüber hinaus wirdbei aktivierter Protokollierung in der Protokolldatei für die Windows-Firewall ein Eintrag erstellt.

In der Ausnahmenliste wird der Datenverkehr mithilfe von IP-Adressen, TCP-Ports und UDP-Ports angegeben. Datenverkehr kann nicht auf Grundlage des Felds IP-Protokoll im IP-Header angegeben werden.

Die Liste mit zulässigem Datenverkehr wird auf zwei Arten aufgefüllt:

• Wenn die Verbindung, für die die Windows-Firewall aktiviert ist, ein Paket sendet, erstellt dieWindows-Firewall einen Eintrag in der Liste, sodass jede Antwort auf den Datenverkehr zugelassen wird. Der Antwortverkehr wird als eingehender angeforderter Datenverkehr behandelt.

Wenn z. B. ein Host eine DNS-Name Query Request-Nachricht an einen DNS-Server sendet, fügt dieWindows-Firewall einen Eintrag hinzu, sodass die vom DNS-Server gesendete DNS-Name Query Response-Nachricht zur weiteren Verarbeitung an das TCP/IP-Protokoll übergeben werden kann. Aufgrunddieses Verhaltens ist die Windows-Firewall eine statusbehaftete Firewall, da die Statusinformationen zum Datenverkehr, der vom lokalen Computer initiiert wird, beibehalten werden. Auf diese Weise wird der entsprechende, eingehende Antwortverkehr zugelassen.

• Wenn Sie die Windows-Firewall so konfigurieren, dass Ausnahmen zugelassen sind, wird der erwarteteDatenverkehr zur Liste hinzugefügt. Diese Funktion ermöglicht es einem Computer mit derWindows-Firewall, nicht angeforderten, eingehenden Datenverkehr zu akzeptieren, wenn der Computer dieRolle eines Servers, Listeners oder Peers übernimmt.

Wenn der Computer z. B. die Rolle eines Webservers übernimmt, müssen Sie die Windows-Firewall sokonfigurieren, dass Webverkehr zugelassen wird. Auf diese Weise kann der Computer auf Anforderungen von Webclients antworten. Sie können Ausnahmen auf Grundlage von Programmen, TCP-Ports oderUDP-Ports konfigurieren. Für ausgenommene Programme fügt die Windows-Firewall automatisch Ports zurAusnahmenliste hinzu, wenn diese vom Programm angefordert werden und das Programm ausgeführt wird.Die Ports werden auf Anforderung des Programms entfernt, oder wenn das Programm beendet wird. Ausgenommene Ports werden unabhängig davon geöffnet, ob die Anwendung oder der Dienst, der die Portsverwendet, ausgeführt wird oder nicht.

Internetverbindungsfirewall (ICF – Internet Connection Firewall)ICF ist eine statusbehaftete Hostfirewall für IPv4-Datenverkehr, die unter Windows XP ohne Service Packs,Windows XP mit SP1 und Windows Server 2003 ohne Service Packs bereitgestellt wird. Sie sollten ICF für dieInternetverbindung auf jedem Computer aktivieren, auf dem eines dieser Betriebssysteme ausgeführt wirdund der direkt mit dem Internet verbunden ist.

Wenn ICF für eine Netzwerkverbindung aktiviert ist, wird das Netzwerkverbindungssymbol in denNetzwerkverbindungen mit einem Schloss gekennzeichnet und dem Status Aktiviert, mit Firewall angezeigt. In Abbildung 13-13 wird ein Beispiel dargestellt, in dem ICF für eine Netzwerkverbindung namens Internetaktiviert ist.

Abbildung 13-13: Beispiel für eine Netzwerkverbindung, für die ICF aktiviert wurde

Sie können ICF im Ordner Netzwerkverbindungen manuell aktivieren, indem Sie folgendermaßen vorgehen:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Klicken Sie auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen.

2. Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung mit dem Internet, und klicken Sie dann auf Eigenschaften.

3. Aktivieren Sie auf der Registerkarte Erweitert das Kontrollkästchen Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränktoder verhindert wird.

4. Klicken Sie auf OK, um die Änderungen an der Verbindung zu speichern.

Sie können erweiterte ICF-Einstellungen konfigurieren, indem Sie im Eigenschaftendialogfeld einerNetzwerkverbindung auf der Registerkarte Erweitert auf Einstellungen klicken. In Abbildung 13-14 wird das ICF-Dialogfeld Erweiterte Einstellungen dargestellt.

Abbildung 13-14: Dialogfeld "Erweiterte Einstellungen"zum Konfigurieren von ICF

Das Dialogfeld Erweiterte Einstellungen verfügt über die folgenden Registerkarten:

• Auf der Registerkarte Dienste können Sie Dienstdefinitionen zum Zulassen von erwartetem Datenverkehrangeben.

• Auf der Registerkarte Sicherheitsprotokollierung können Sie Optionen für die Firewallprotokolldateikonfigurieren. In der Standardeinstellung verfügt die Firewallprotokolldatei über den Namen Pfirewall.logund wird im Windows-Ordner gespeichert.

• Auf der Registerkarte ICMP können Sie die Typen eingehender ICMP-Meldungen angeben, die von ICFzugelassen werden. ICMP-Meldungen werden zur Diagnose, Konfiguration und für Fehlermeldungenverwendet. In der Standardeinstellung sind ICMP-Meldungen nicht zulässig.

TCP/IP-FilterungTCP/IP für Windows Server 2003 und Windows XP unterstützt TCP/IP-Filterung. Mit der TCP/IP-Filterungkönnen Sie für jede IP-Schnittstelle angeben, welche Typen von IP-Datenverkehr, der auf einem Computereingeht, verarbeitet werden. Auf einem Computer eingehender IP-Datenverkehr wird auch lokaler Hostdatenverkehr oder einem lokalen Ziel zugeordneter Datenverkehr genannt. Dieser Datenverkehr umfasst alle Pakete, die an eine der Schnittstelle zugewiesene Unicastadresse, an einen beliebigen Typ von IP-Broadcastadresse oder an eine vom Host abgehörte IP-Multicastadresse gesendet werden. Durch diesesFeature wird der Datenverkehr isoliert, den Internet- und Intranetserver ohne weitere TCP/IP-Filterung verarbeiten, die von Routing und RAS oder anderen TCP/IP-Anwendungen bzw. -Diensten bereitgestellt wird. In der Standardeinstellung ist die TCP/IP-Filterung deaktiviert.

Sie können die TCP/IP-Filterung für alle Adapter mithilfe eines einzelnen Kontrollkästchens aktivieren oderdeaktivieren. Auf diese Weise können Sie Verbindungsprobleme beheben, die möglicherweise mit derFilterung in Zusammenhang stehen. Zu restriktive Filter können dazu führen, dass erwarteteVerbindungstypen nicht zugelassen werden. Wenn Sie beispielsweise eine Liste mit UDP-Ports angeben, die UDP-Port 520 nicht enthält, ist der Computer nicht in der Lage, RIP-(Routing InformationProtocol-)Ankündigungen zu empfangen. Diese Einschränkung kann die Funktion eines Computers alsRIP-Router oder automatischen RIP-Host beeinträchtigen, wenn der RIP-Listenerdienst verwendet wird.

Die Verarbeitung eines Pakets wird zugelassen, wenn eines der folgenden Kriterien erfüllt ist:

• Für den TCP-Zielport wird in der Liste der TCP-Ports eine Übereinstimmung gefunden. In derStandardeinstellung wird der Datenverkehr für alle TCP-Ports zugelassen.

• Für den UDP-Zielport wird in der Liste der UDP-Ports eine Übereinstimmung gefunden. In derStandardeinstellung wird der Datenverkehr für alle UDP-Ports zugelassen.

• Für das IP-Protokoll wird in der Liste der IP-Protokolle eine Übereinstimmung gefunden. In derStandardeinstellung werden alle IP-Protokolle zugelassen.

• Das Paket ist ein ICMP-Paket.

ICMP-Datenverkehr kann mit der TCP/IP-Filterung nicht gefiltert werden. Wenn eine ICMP-Filterung erforderlich ist, müssen Sie über Routing und RAS IP-Paketfilter konfigurieren.

Um die TCP/IP-Filterung für eine Netzwerkverbindung zu konfigurieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start und dann auf Systemsteuerung. Doppelklicken Sie anschließend aufNetzwerkverbindungen.

2. Klicken Sie mit der rechten Maustaste auf die Netzwerkverbindung, die Sie konfigurieren möchten, undklicken Sie anschließend auf Eigenschaften.

3. Klicken Sie (für eine LAN-Verbindung) auf der Registerkarte Allgemein oder (für alle anderenVerbindungen) auf der Registerkarte Netzwerk auf Internetprotokoll (TCP/IP) und anschließendauf Eigenschaften.

4. Klicken Sie auf Erweitert.

5. Klicken Sie auf Optionen, auf TCP/IP-Filterung und dann auf Eigenschaften.

6. Führen Sie einen der folgenden Schritte durch:

• Um die TCP/IP-Filterung für alle Adapter zu aktivieren, aktivieren Sie das KontrollkästchenTCP/IP-Filter aktivieren (alle Adapter).

• Um die TCP/IP-Filterung für alle Adapter zu deaktivieren, deaktivieren Sie das KontrollkästchenTCP/IP-Filter aktivieren (alle Adapter).

7. Konfigurieren Sie auf Grundlage Ihrer Anforderungen an die TCP/IP-Filterung die TCP-Ports, UDP-Ports und IP-Protokolle für zulässigen Datenverkehr.

In Abbildung 13-15 wird das Dialogfeld TCP/IP-Filterung dargestellt.

Abbildung 13-15: Dialogfeld "TCP/IP-Filterung"

Paketfilterung mit Routing und RASWenn Sie Routing und RAS verwenden, gibt es zwei Möglichkeiten, IPv4-Datenverkehr zu filtern:

• Basisfirewall

Die Basisfirewall, die Sie über die Routingprotokollkomponente NAT/Basisfirewall aktivieren, ist eine statusbehaftete Firewall, die wie ICF nicht angeforderte eingehende IPv4-Pakete automatisch verwirft.

• IP-Paketfilter

Mithilfe von IP-Paketfiltern können Sie den genauen Satz von IPv4-Paketen angeben, der zugelassen bzw.verworfen wird. Paketfilter haben Auswirkungen auf eingehende und ausgehende Pakete einzelner Schnittstellen.

BasisfirewallSie können mit der Basisfirewall das Netzwerk vor nicht angefordertem, öffentlichem Netzwerkverkehr, z. B.vor Internetdatenverkehr, schützen. Die Basisfirewall kann für beliebige öffentliche Schnittstellen aktiviertwerden, einschließlich der Schnittstellen für die Netzwerkadressübersetzung.

Um die Basisfirewall für eine öffentliche Schnittstelle zu aktivieren, gehen Sie folgendermaßen vor:

1. Klicken Sie auf Start und anschließend auf Systemsteuerung. Doppelklicken Sie auf Verwaltung und dann doppelt auf Routing und RAS.

2. Öffnen Sie in der Struktur den Namen des Servers. Klicken Sie auf IP-Routing und dann auf NAT/Basisfirewall.

3. Klicken Sie im Detailfenster mit der rechten Maustaste auf die Schnittstelle, die Sie konfigurierenmöchten, und dann auf Eigenschaften.

4. Gehen Sie auf der Registerkarte NAT/Basic Firewall folgendermaßen vor:

• Klicken Sie auf An das Internet angeschlossene, öffentliche Schnittstelle, und aktivieren Sie das Kontrollkästchen Basisfirewall auf dieser Schnittstelle aktivieren.

• Klicken Sie auf Nur den Basisfirewall aktivieren.

In Abbildung 13-16 wird das Dialogfeld Eigenschaften der Netzwerkadressübersetzung dargestellt.

Abbildung 13-16: Dialogfeld "Eigenschaften derNetzwerkadressübersetzung"

IP-PaketfilterungIndem Sie für Routing und RAS IP-Paketfilterung verwenden, können Sie den empfangenen und gesendetenIPv4-Verkehr präzise definieren. Zum Verwenden der IP-Paketfilterung müssen Sie eine Reihe vonDefinitionen, sogenannte Filter, erstellen. Durch diese Filter werden für den Router die Typen vonDatenverkehr definiert, die an den einzelnen Schnittstellen zugelassen oder verworfen werden. Filter könnenfür eingehenden und ausgehenden Datenverkehr definiert werden.

• Durch Eingabefilter wird der an einer Schnittstelle eingehende Datenverkehr definiert, für den dieWeiterleitung oder Verarbeitung durch den Router zulässig ist.

• Durch die Ausgabefilter wird der Datenverkehr definiert, der vom Router weitergeleitet oder über dieSchnittstelle gesendet werden kann.

Da Sie für jede Schnittstelle sowohl Eingabe- als auch Ausgabefilter konfigurieren, kann es vorkommen, dasswidersprüchliche Filter erstellt werden. Beispielsweise kann der Filter für eine Schnittstelle eingehendenDatenverkehr zulassen, der von einer anderen Schnittstelle nicht gesendet werden kann, da dies vom entsprechenden Ausgabefilter nicht zugelassen wird. Dies hat letzlich zur Folge, dass der Datenverkehr vom Router, auf dem Windows Server 2003 ausgeführt wird, nicht weitergeleitet wird.

Sie können die Paketfilterung auch implementieren, um eingehenden und ausgehenden Datenverkehr für eineTeilmenge des Datenverkehrs auf einem Computer zu filtern, auf dem Windows Server 2003 ausgeführt wird,der jedoch nicht als Router konfiguriert ist.

Sie sollten Paketfilter mit Bedacht implementieren und zu restriktive Filter vermeiden. Andernfalls kann dieFunktion anderer Protokolle auf dem Computer beeinträchtigt werden. Beispiel: Auf einem WindowsServer 2003-Computer wird IIS als Webserver ausgeführt und die Paketfilter sind so definiert, dass nurWebverkehr zulässig ist. In diesem Fall können Sie den ping-Befehl (der die ICMP-Meldungen "Echo" und "Echo-Antwort" verwendet) nicht für grundlegende IP-Problembehandlung verwenden. Wenn der Webserverein automatischer RIP-Host ist, verhindern die Filter, dass der automatische RIP-Prozess RIP-Ankündigungenempfängt.

Gehen Sie folgendermaßen vor, um IP-Paketfilter für eine Schnittstelle zu konfigurieren:


2. Öffnen Sie in der Struktur den Namen des Servers. Klicken Sie auf IP-Routing und dann auf Allgemein.

3. Klicken Sie im Detailfenster mit der rechten Maustaste auf die Schnittstelle, für die Sie einen Filterhinzufügen möchten, und klicken Sie dann auf Eigenschaften.

4. Klicken Sie auf der Registerkarte Allgemein auf Eingehende Filter, um Filter für an der Schnittstelleeingehenden Datenverkehr zu konfigurieren. Klicken Sie auf Ausgehende Filter, um Filter für von derSchnittstelle ausgehenden Datenverkehr zu konfigurieren.

In Abbildung 13-17 wird ein Beispiel für das Hinzufügen eines IP-Paketfilters dargestellt.

Abbildung 13-17: Dialogfeld "IP-Filter hinzufügen"

Sie können für einen IP-Paketfilter die folgenden Einstellungen vornehmen:

• Sie können das IP-Protokoll angeben, das die Kennung eines Protokolls einer übergeordneten Schicht hat.TCP verwendet beispielsweise die Protokoll-ID 6, UDP die Protokoll-ID 17 und ICMP die Protokoll-ID 1.

• Sie können die Quell-IP-Adresse angeben, d. h. die IP-Adresse des Quellhosts. Sie können diese Adressemit einer Subnetzmaske konfigurieren, um einen kompletten Bereich von IP-Adressen (der einem IP-Subnetz oder Adresspräfix entspricht) mit einem einzigen Filtereintrag anzugeben.

• Sie können die Ziel-IP-Adresse angeben, d. h. die IP-Adresse des Zielhosts. Sie können diese Adresse miteiner Subnetzmaske konfigurieren, um einen kompletten Bereich von IP-Adressen (der einem IP-Subnetz oder Adresspräfix entspricht) mit einem einzigen Filtereintrag anzugeben.

• Für TCP-Datenverkehr können Sie Werte für zwei Felder angeben: das TCP-Feld Quellport, das den Quellprozess identifiziert, der das TCP-Segment sendet, sowie das TCP-Feld Zielport, das den Zielprozessfür das TCP-Segment identifiziert.

• Für UDP-Datenverkehr können Sie Werte für zwei Felder angeben: das UDP-Feld Quellport, das den Quellprozess identifiziert, der die UDP-Nachricht sendet, sowie das UDP-Feld Zielport, das den Zielprozess für die UDP-Nachricht identifiziert.

• Für ICMP-Datenverkehr können Sie Werte für zwei Felder angeben: das ICMP-Feld Typ, das den Typ des ICMP-Pakets angibt (wie "Echo" oder "Echo-Antwort"), sowie das ICMP-Feld Code, das eine der ggf. mehreren Funktionen in einem angegebenen Typ angibt. Wenn in einem Typ nur eine Funktion vorhanden ist, erhält das Feld Code den Wert 0.

IPv6-PaketfilterungSie können die Paketfilterung für IPv6-Datenverkehr mithilfe einer der folgenden Firewalls durchführen:

• IPv6-Basisfirewall

• IPv6-ICF


IPv6-BasisfirewallIPv6 für Windows Server 2003 ohne installierte Service Packs unterstützt eine Basisfirewall fürIPv6-Schnittstellen. Wenn diese aktiviert wird, verwirft IPv6 eingehende TCP-SYN-Segmente und alle eingehenden nicht angeforderten UDP-Nachrichten. Diese Firewall ist in der Standardeinstellung für alleSchnittstellen deaktiviert und kann mithilfe des Befehls netsh interface ipv6 set interface interface=NameOderIndex firewall=enabled aktiviert werden. Die IPv6-Basisfirewall steht in keinem Zusammenhang mit der Basisfirewall von Routing und RAS.

IPv6-ICFDas erweiterte Netzwerkpaket für Windows XP wird von Microsoft als kostenloser Download für Windows XPmit SP1 zur Verfügung gestellt. Zu diesem Download gehört auch die statusbehaftete IPv6-Firewall IPv6-ICF.Sie können mit IPv6-ICF zulässigen Internetdatenverkehr dynamisch einschränken. Im Unterschied zuIPv6-ICF filtert ICF unter Windows XP IPv4-Datenverkehr. IPv6-ICF führt die folgenden Aufgaben durch:

• IPv6-ICF startet automatisch und filtert den Datenverkehr für alle Netzwerkverbindungen, für die IPv6aktiviert ist.

• IPv6-ICF überwacht den gesamten ausgehenden Datenverkehr und filtert dynamisch eingehendenAntwortverkehr. Dieses Verhalten wird statusbehaftete Filterung genannt. IPv6-ICF verwirft ohne Warnung jeden nicht angeforderten, eingehenden Datenverkehr.

• IPv6-ICF protokolliert IPv6-Datenverkehrereignisse in einer (von IPv4-ICF) separaten Protokolldatei. (In der Standardeinstellung wird diese Protokolldatei unter Systemroot\Pfirewall-v6.log gespeichert.)

IPv6-ICF kann mithilfe von Befehlen im Kontext von netsh firewall konfiguriert werden. Sie können IPv6-ICFmithilfe von Netsh-Befehlen konfigurieren, sodass spezifische Typen von ICMPv6-Datenverkehr oder Datenverkehr für bestimmte TCP- oder UDP-Ports zugelassen werden.

Windows-FirewallDie Windows-Firewall unter Windows XP mit SP2 und Windows Server 2003 mit SP1 unterstütztIPv6-Datenverkehr und ersetzt sowohl die IPv6-Basisfirewall als auch IPv6-ICF. IPv4- und IPv6-Datenverkehrverfügen über dieselben Einstellungen für erwarteten Datenverkehr. Wenn Sie beispielsweise Datenverkehrüber die Datei- und Druckerfreigabe zulassen, wird sowohl IPv4-basierter als auch IPv6-basierter, nichtangeforderter, eingehender Datenverkehr über die Datei- und Druckerfreigabe zugelassen.

Zum Seitenanfang


• IPsec (Internet Protocol Security) ist ein Framework offener Standards für private, geschützteKommunikation über IP-Netzwerke. Sie können IPsec unter Windows Server 2003 und Windows XPverwenden, um IP-Datenverkehr zu sperren, zuzulassen oder kryptografisch zu schützen.

• IPsec bietet Sicherheitseigenschaften für Datenintegrität, Vertraulichkeit (Verschlüsselung),Datenursprungsauthentifizierung und Anti-Replay für die IP-Kommunikation.

• IPsec dient dem Schutz von Datenverkehr mithilfe von AH (für Datenursprungsauthentifizierung,Datenintegrität und Schutz vor Replay-Angriffen für ein IP-Paket), ESP (fürDatenursprungsauthentifizierung, Datenintegrität, Schutz vor Replay-Angriffen und Vertraulichkeit derDaten im ESP-gekapselten Bereich des Pakets) oder AH in Kombination mit ESP.

• IPsec kann im Transportmodus mit dem urprünglichen IP-Header oder im Tunnelmodus, in dem dasgesamte IP-Paket mit einem neuen IP-Header gekapselt wird, verwendet werden.

• In der Hauptmodusaushandlung ermittelt IPsec Verschlüsselungsschlüsselmaterial und authentifiziertIPsec-Peers. In der Schnellmodusaushandlung ermittelt IPsec die Art des Schutzes für den Datenverkehr,der zwischen den Peers gesendet wird.

• Eine IPsec-Richtlinie besteht aus allgemeinen IPsec-Richtlinieneinstellungen und Regeln.

• Für jede Regel einer IPsec-Richtlinie müssen Sie eine einzelne Filterliste, eine einzelne Filteraktion, eineoder mehrere Authentifizierungsmethoden, ggf. einen Tunnelendpunkt (im IPsec-Tunnelmodus) und den Verbindungstyp konfigurieren.

• Die IPsec-Unterstützung für IPv6-Datenverkehr unter Windows XP und Windows Server 2003 unterstütztkeine ESP-Datenverschlüsselung und muss mithilfe des Tools Ipsec6.exe manuell konfiguriert werden.

• Die Windows-Firewall ist eine statusbehaftete IPv4- und IPv6-Firewall unter Windows XP mit SP2 und Windows Server 2003 mit SP1. Die Windows-Firewall verwirft nicht angeforderten, eingehendenDatenverkehr, der nicht explizit zugelassen wird.

• ICF ist eine statusbehaftete IPv4-Firewall, die unter Windows XP ohne Service Packs, Windows XP mit SP1und Windows Server 2003 ohne Service Packs bereitgestellt wird.

• Die Basisfirewall von Routing und RAS ist eine statusbehaftete IPv4-Firewall für öffentliche Schnittstellen.

• Mithilfe der IP-Paketfilterung in Routing und RAS können Sie für jede Schnittstelle den genauen Satzeingehender und ausgehender IPv4-Pakete angeben, der zugelassen bzw. verworfen wird.

• Mithilfe der TCP/IP-Filterung können Sie für jede Schnittstelle eines Computers genau festlegen, welcheTypen von eingehendem IPv4-Datenverkehr verarbeitet wird.

• IPv6-Paketfilterung kann mit der IPv6-Basisfirewall, IPv6-ICF und der Windows-Firewall durchgeführtwerden.

Zum Seitenanfang

KapitelglossarAH – Siehe Authentifizierungsheader.

Authentifizierungsheader – Header, der zwischen IP-Header und Nutzlast platziert wird und Sicherheitsdienstefür Datenintegrität, Datenursprungsauthentifizierung und Anti-Replay bereitstellt.

Basisfirewall – Statusbehaftete IPv4-Firewall von Routing und RAS für öffentliche Schnittstellen.

Encapsulating Security Payload – Header und Nachspann, die um eine IP-Paketnutzlast platziert werden und

Sicherheitsdienste für Vertraulichkeit (Verschlüsselung), Datenintegrität, Datenursprungsauthentifizierungund Anti-Replay bereitstellen.

ESP – Siehe Encapsulating Security Payload.

ICF – Siehe Internetverbindungsfirewall.

IKE – Siehe Internet Key Exchange.

Internetverbindungsfirewall – Statusbehaftete IPv4-Firewall, die in Windows XP ohne Service Packs,Windows XP mit SP1 und Windows Server 2003 ohne Service Packs integriert ist.

Internet Key Exchange – Protokoll zur Authentifizierung und für den Schlüsselaustausch zwischenIPsec-Peers.

IP-Filter – Beschreibung des Netzwerkverkehrs, einschließlich Quelladresse, Quellmaske, Zieladresse,Zielmaske, Protokoll, Quellport und Zielport.

IP-Paketfilterung – Funktion von Routing und RAS, mit der Sie für jede Schnittstelle den genauen Satzeingehender und ausgehender IPv4-Pakete angeben können, der zugelassen bzw. verworfen wird.

IPsec-Richtlinien – Sammlung von Regeln und Einstellungen, die zum Konfigurieren von IPsec-Dienstenerstellt wird.

Regel – Liste von IP-Filtern und Sammlung von Sicherheitsaktionen, die ausgeführt werden, wenn ein Paketeinem Filter entspricht.

SA – Siehe Sicherheitszuordnung.

Sicherheitsparameterindex (SPI) – Ein eindeutiger, kennzeichnender Wert in einer SA, der derUnterscheidung zwischen mehreren Sicherheitszuordnungen auf dem empfangenden Computer dient.Beispielsweise werden für die IPsec-Kommunikation zwischen zwei Computern für jeden Computer zwei SAsverwendet. Eine SA wird für eingehenden Datenverkehr, die andere für ausgehenden Datenverkehrverwendet. Da die Quell- und Zieladressen für beide SAs übereinstimmen, unterscheidet der SPI zwischeneingehender und ausgehender SA

Sicherheitszuordnung (SA – Security Association) – Kombination aus einer gegenseitig zu vereinbarendenRichtlinie und Schlüsseln, die die Sicherheitsdienste, Mechanismen und Schlüssel zum Schutz derKommunikation zwischen Peers definiert. Eine Hauptmodus-SA dient dem Schutz einer oder mehrererSchnellmodusaushandlungen. Eine Schnellmodus-SA dient dem Schutz des Datenverkehrs, den diese in eineRichtung zwischen IPsec-Peers überträgt.

SPI – Siehe Sicherheitsparameterindex.

TCP/IP-Filterung – Funktion der Komponente Internetprotokoll (TCP/IP) von Windows Server 2003 undWindows XP, mit der Sie für jede Schnittstelle genau festlegen können, welche Typen von eingehendem undeinem lokalen Ziel zugeordnetem IPv4-Datenverkehr verarbeitet werden.

Windows-Firewall – In Windows XP mit SP2 und Windows Server 2003 mit SP1 integrierte statusbehafteteIPv4- und IPv6-Firewall.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 14 – Virtuelle Private NetzwerkeVeröffentlicht: 27. Dez 2005 | Aktualisiert: 03. Jan 2006

Zusammenfassung

In diesem Kapitel werden die in den Betriebssystemen Microsoft® Windows® XP undWindows Server™ 2003 enthaltenen VPN-Technologien (VPN – Virtuelles PrivatesNetzwerk) beschrieben, mit denen Remotebenutzer eine Verbindung zu einem Intranetherstellen können oder Remotebüros untereinander verbunden werden. AlsNetzwerkadministrator müssen Sie VPN-Verbindungen konfigurieren und verwendenkönnen, sodass Sie die globalen Verbindungsmöglichkeiten des Internets nutzen können,um diese allgegenwärtige, doch relativ sichere Konnektivität zur Verfügung zu stellen.

Auf dieser Seite

Zielsetzung

Übersicht über Virtuelle Private Netzwerke

VPN-Protokolle

RAS-VPN-Verbindungen

Standort-zu-Standort-VPN-Verbindungen

Verwenden von RADIUS zum Authentifizieren des Netzwerkzugriffs


Kapitelglossar


• Definieren eines virtuellen privaten Netzwerks (VPN) hinsichtlich der Vorteile, Komponenten und Eigenschaften.

• Beschreiben der beiden Arten von VPN-Verbindungen und der Funktionsweise des Routing.

• Erläutern der Rollen der verschiedenen VPN-Protokolle, einschließlichPoint-to-Point-Protokoll (PPP), Point-to-Point-Tunneling-Protokoll (PPTP) sowie Layer-2-Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec).

• Beschreiben des Vorgangs zum Herstellen von PPP-, PPTP- und L2TP/IPsec-Verbindungen.

• Konfigurieren von RAS- und Standort-zu-Standort-VPN-Verbindungen.

• Verwenden von RADIUS (Remote Authentication Dial-in User Service) fürVPN-Verbindungen und des Internetauthentifizierungsdiensts (IAS) als RADIUS-Server und -Proxy.

Zum Seitenanfang

Übersicht über Virtuelle Private NetzwerkeEin VPN erweitert ein privates Netzwerk, indem es Verbindungen über freigegebene bzw.öffentliche Netzwerke wie das Internet "umhüllt". Mithilfe eines VPN können Sie Datenzwischen zwei Computern über ein freigegebenes bzw. öffentliches Netzwerk senden,indem eine private Punkt-zu-Punkt-Verbindung emuliert wird. Das Konfigurieren, Erstellen und Verwenden eines VPN wird als "Virtual Private Networking" bezeichnet.

Zur Emulation einer Punkt-zu-Punkt-Verbindung werden die Daten mit einem Header mit Routinginformationen gekapselt, durch den Datenpakete über ein freigegebenes bzw.öffentliches Netzwerk übertragen werden können. Zur Emulation einer privatenVerbindung werden die gesendeten Daten zur Bewahrung der Vertraulichkeit

In diesem Beitrag

• Übersicht




















verschlüsselt. Jemand, der Pakete im freigegebenen bzw. öffentlichen Netzwerk abfängt,kann diese ohne die Verschlüsselungsschlüssel nicht entschlüsseln. Die logischeVerbindung, über die die Daten verschlüsselt werden, wird als VPN-Verbindungbezeichnet.

Benutzer, die zu Hause oder unterwegs arbeiten, können unter Verwendung derInfrastruktur eines öffentlichen Netzwerks, z. B. des Internets, von einem Remotestandortaus eine Verbindung zu einem Unternehmensserver herstellen. Aus Sicht des Benutzers stellt das VPN eine logische Punkt-zu-Punkt-Verbindung zwischen einem Computer (dem VPN-Client) und einem Unternehmensserver (dem VPN-Server) dar.

Unternehmen, die VPN-Verbindungen verwenden, können gerouteteStandort-zu-Standort-Verbindungen zu geographisch getrennten Büros und anderenUnternehmen über ein öffentliches Netzwerk herstellen. Dabei bleibt die Kommunikationrelativ sicher. Eine geroutete VPN-Verbindung über das Internet funktioniert logischgesehen wie eine dedizierte WAN-Verbindung.

Organisationen, die VPN-Verbindungen konfigurieren, erstellen und verwenden, könnensowohl für RAS-Verbindungen als auch für geroutete Verbindungen DFÜ- bzw.Standleitungen für Ferngespräche durch DFÜ- bzw. Standleitungen für Ortsgespräche zueinem ISP (Internet Service Provider) ersetzen.

Komponenten eines VPNEin VPN unter Windows besteht aus folgenden Komponenten:

• VPN-Server

Ein Computer, der RAS- bzw. Standort-zu-Standort-Verbindungen von VPN-Clients akzeptiert.

• VPN-Client

Ein Computer, der eine Verbindung zu einem VPN-Server initiiert. Ein VPN-Client kann ein einzelner Computer sein, der eine VPN-Verbindung von einem entfernten Standort aus (RAS-VPN-Verbindung genannt) initiiert, oder ein Router, der eine Standort-zu-Standort-VPN-Verbindung initiiert. Computer, auf denen Windows XP oderWindows Server 2003 ausgeführt wird, können eine RAS-VPN-Verbindung zu einemServer herstellen, auf dem Windows Server 2003 oder Windows XP ausgeführt wird. EinComputer, auf dem Windows Server 2003 ausgeführt wird, kannStandort-zu-Standort-Verbindungen zu einem Server herstellen, auf dem WindowsServer 2003 ausgeführt wird. Clients, die von anderen Herstellern als Microsoftstammen, können ebenfalls RAS- oder Standort-zu-Standort-Verbindungen zuVPN-Servern herstellen, auf denen Windows Server 2003 ausgeführt wird, solange siePPTP oder L2TP/IPsec unterstützen.

• Tunnel

Der Teil einer Verbindung, in dem Daten gekapselt werden.

• VPN-Verbindung

Der Teil einer Verbindung, in dem Daten verschlüsselt werden. Sie können Daten auchunverschlüsselt durch einen Tunnel senden. Dabei handelt es sich jedoch nicht um eineVPN-Verbindung, da Sie so private Daten unverschlüsselt und leicht lesbar über einfreigegebenes bzw. öffentliches Netzwerk senden würden.

In den meisten Fällen werden der Tunnel und die VPN-Verbindung zwischen denselbenbeiden Endpunkten definiert: dem VPN-Client und dem VPN-Server. Es gibt jedoch Konfigurationen, die als "Compulsory Tunnel" (erzwungener Tunnel) bezeichnet werden. Dabei werden der Tunnel zwischen einem Tunnel-Server eines DFÜ-Providersund dem VPN-Server und die VPN-Verbindung zwischen dem Client und dem Server definiert.

• Tunneling-Protokolle

Kommunikationsstandards für die Verwaltung von Tunneln und die Kapselung privaterDaten. Windows Server 2003 und Windows XP enthalten die Tunneling-Protokolle PPTPund L2TP. Ausführliche Informationen zu diesen Protokollen finden Sie weiter unten indiesem Kapitel unter "Point-to-Point-Tunneling-Protokoll (PPTP)" und "Layer-2-Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec)".

• Getunnelte Daten

Daten, die durch einen VPN-Tunnel gesendet werden.

• Transitnetzwerk

Ein freigegebenes oder öffentliches Netzwerk, über das gekapselte Daten übertragenwerden. Für Windows Server 2003 und Windows XP ist das Transitnetzwerk immer einIPv4-Netzwerk, entweder das Internet oder ein privates Intranet.

In Abbildung 14-1 werden die Komponenten einer VPN-Verbindung auf der Basis vonWindows XP bzw. Windows Server 2003 dargestellt.

Abbildung 14-1: Komponenten eines VPNs unter Windows Abbildung vergrößern

Eigenschaften einer VPN-VerbindungVPNs unter Windows verfügen über folgende Eigenschaften:

• Benutzerauthentifizierung

• Kapselung

• Verschlüsselung

BenutzerauthentifizierungBevor die VPN-Verbindung hergestellt wird, authentifiziert der VPN-Server die Sicherheitsanmeldeinformationen des Benutzers, der den VPN-Clientcomputer verwendet. Wenn gegenseitige Authentifizierung verwendet wird, authentifiziert der VPN-Client ebenfalls die Sicherheitsanmeldeinformationen des VPN-Servers oder überprüft, ob derVPN-Server Zugriff auf die Benutzeranmeldeinformationen des VPN-Clients hat. Gegenseitige Authentifizierung bietet Schutz gegen maskierende VPN-Server.

KapselungBei der VPN-Technologie werden private Daten mit zusätzlichen Headern gekapselt, damitdiese über ein Transitnetzwerk übertragen werden können.

VerschlüsselungDer Sender verschlüsselt die Daten, um die Vertraulichkeit der Daten bei der Übertragungüber das freigegebene oder öffentliche Netzwerk sicherzustellen. Der Empfängerentschlüsselt die Daten anschließend. Ver- und Entschlüsselung sind abhängig davon, dasssowohl Sender als auch Empfänger einen gemeinsamen Schlüssel festlegen.

Jeder, der über die VPN-Verbindung gesendete Pakete im Transitnetzwerk abfängt,benötigt den Schlüssel zur Entschlüsselung. Die Länge des Schlüssels ist ein wesentlicherParameter für die Sicherheit. Zum Ermitteln des Schlüssels können spezielle Algorithmenverwendet werden. Je länger der Schlüssel wird, desto mehr Rechenleistung undRechenzeit benötigen derartige Algorithmen. Daher sollten Sie die größtmöglicheSchlüssellänge verwenden.

Außerdem ist es umso leichter, die verschlüsselten Daten zu entschlüsseln, je mehrInformationen Sie mit demselben Schlüssel verschlüsseln. Bei einigenVerschlüsselungstechnologien können Sie konfigurieren, wie oft während einer Verbindung

die Schlüssel geändert werden.

Windows unterstützt bei VPN-Verbindungen auf der Basis von PPTP die Verschlüsselungnach MPPE (Microsoft Point-to-Point Encryption) mit 40-Bit-, 56-Bit- oder128-Bit-Schlüsseln. Bei VPN-Verbindungen auf der Basis von L2TP/IPsec unterstütztWindows die Verschlüsselung nach DES (Data Encryption Standard) mit einem56-Bit-Schlüssel oder nach Triple-DES mit drei 56-Bit-Schlüsseln.

Arten von VPN-VerbindungenVPNs unter Windows unterstützen sowohl RAS- als auchStandort-zu-Standort-VPN-Verbindungen.

RASEine RAS-VPN-Verbindung wird von einem RAS-VPN-Client (einem einzelnen Computer) hergestellt, wenn dieser eine Verbindung zu einem privaten Netzwerk herstellt. Der VPN-Server bietet nicht nur Zugriff auf seine Ressourcen sondern auch auf das gesamte Netzwerk, mit dem er verbunden ist. Die über die VPN-Verbindung gesendeten Paketekommen ursprünglich vom RAS-Client.

Der RAS-VPN-Client authentifiziert sich beim RAS-VPN-Server, und der Server authentifiziert sich bei der gegenseitigen Authentifizierung beim Client oder weist nach, dass er Zugriff auf Anmeldeinformationen des Clients hat.

Wenn ein RAS-VPN-Client eine Verbindung zum Internet herstellt, wird der Client mit einer Standardroute konfiguriert, die auf das Internet verweist. Über diese Standardroute sindalle Ziele im Internet erreichbar. Bei ständigen Verbindungen zum Internet (diebeispielsweise DSL oder ein Kabelmodem verwenden) wird die Standardroute automatisch der IPv4-Routingtabelle hinzugefügt, wenn die Internetverbindung mit einer IPv4-Adressefür das Standardgateway (entweder statisch oder dynamisch) konfiguriert wird. BeiDFÜ-Verbindungen zum Internet wird die Standardroute automatisch derIPv4-Routingtabelle hinzugefügt, wenn die Verbindung hergestellt wird.

Wird die RAS-VPN-Verbindung hergestellt, wird eine neue Standardroute zur Routingtabelle hinzugefügt und die Routingmetrik der vorhandenen Standardroute erhöht.Dann wird sämtlicher Datenverkehr für die Standardroute über die VPN-Verbindung zumprivaten Intranet statt zum Internet gesendet. Wird die VPN-Verbindung beendet, wird die neu hinzugefügte Standardroute entfernt und die Routingmetrik der ursprünglichenStandardroute auf ihren vorherigen Wert zurückgesetzt.

Daraus ergibt sich Folgendes:

• Bevor die VPN-Verbindung hergestellt ist, sind alle Adressen im Internet erreichbar, Adressen im Intranet jedoch nicht.

• Nachdem die VPN-Verbindung hergestellt ist, sind alle Adressen im Intranet erreichbar, Adressen im Internet jedoch nicht (mit Ausnahme des VPN-Servers im Internet).

Sie können das automatische Erstellen der Standardroute steuern, indem Sie dieEigenschaften der Internetprotokollkomponente (TCP/IP) einer DFÜ- oder VPN-Verbindungöffnen, auf Erweitert klicken und auf der Registerkarte Allgemein das KontrollkästchenStandardgateway für das Remotenetzwerk verwenden aktivieren bzw. deaktivieren, wie in Abbildung 14-2 dargestellt.

Abbildung 14-2: Das Dialogfeld "Erweiterte TCP/IP-Einstellungen"für eine VPN-Verbindung

Benutzer von VPN-Clients kommunizieren typischerweise mit dem Intranet oder dem Internet, nicht mit beiden gleichzeitig. Diese Benutzer haben kein Problem mit dem sich gegenseitig ausschließenden Zugriff auf Internetadressen oder Intranetadressen. Ineinigen Fällen benötigen Benutzer jedoch den gleichzeitigen Zugriff auf Intranet- undInternetressourcen.

Wenn dies bei Ihren VPN-Benutzern der Fall ist, können Sie eine der folgendenMaßnahmen ergreifen:

• Aktivieren Sie das Kontrollkästchen Standardgateway für das Remotenetzwerkverwenden (die Standardeinstellung), und lassen Sie den Internetzugriff über dasUnternehmensintranet zu. Der Internetverkehr zwischen VPN-Client und Internethosts wird über Firewalls oder Proxyserver geleitet, als ob der VPN-Client physisch mit demUnternehmensintranet verbunden wäre. Auch wenn die Leistung geringer sein kann,bietet diese Methode die Möglichkeit, Internetzugriffe den Netzwerkrichtlinien desUnternehmens entsprechend zu filtern und zu überwachen während der VPN-Client mitdem Unternehmensnetzwerk verbunden ist.

• Stellen Sie sicher, dass die Subnetzmaske der gleichen Adressklasse wie die IPv4-Adresse entspricht, wenn der VPN-Server dem VPN-Client eine IPv4-Adresse zuweist. Wenn die Adressierung in Ihrem Intranet auf dem Adresspräfix einer einzigenKlasse beruht, deaktivieren Sie das Kontrollkästchen Standardgateway für dasRemotenetzwerk verwenden. Das beste Beispiel dafür ist die Verwendung desIPv4-Adresspräfixes 10.0.0.0/8 in Ihrem Intranet.

• Wenn die Adressierung in Ihrem Intranet nicht auf dem Adresspräfix einer einzigenKlasse beruht, können Sie eine der folgenden Lösungen verwenden:

• Die von VPN-Clients unter Windows XP oder Windows Server 2003 gesendeteDHCPInform-Nachricht enthält eine Anforderung für die Option Statische Routen ohne Klassen. Konfigurieren Sie auf dem DHCP-Server unter Windows Server 2003die Option Statische Routen ohne Klassen für den entsprechenden Bereich, damitdiese einen Satz Routen enthält, die dem Adressbereich Ihres Intranets entsprechen.Diese Routen werden der Routingtabelle des anfordernden VPN-Clients hinzugefügt.

• Sie können mithilfe des Verbindungs-Manager-Verwaltungskits (CMAK – ConnectionManager Administration Kit) für Windows Server 2003 spezifische Routen als Teil desVerbindungs-Manager-Profils konfigurieren, das Sie an VPN-Benutzer verteilen. Siekönnen auch einen URL angeben, der die aktuellen Intranetrouten desUnternehmens oder zusätzliche, über die im Profil definierten Routen hinausgehendeRouten enthält.

Standort-zu-StandortEine Standort-zu-Standort-VPN-Verbindung (auch als Router-zu-Router-VPN-Verbindung bekannt) wird von einem Router hergestellt und verbindet zwei Teile eines privaten Netzwerks. Der VPN-Server stellt eine geroutete Verbindung zu dem Netzwerk zurVerfügung, mit dem er verbunden ist. Bei einer Standort-zu-Standort-VPN-Verbindungstammen die von einem Router normalerweise über die VPN-Verbindung gesendetenPakete nicht typischerweise auch von den Routern.

Der anfordernde Router (der VPN-Client) authentifiziert sich beim antwortenden Router (dem VPN-Server), und der antwortende Router authentifiziert sich bei der gegenseitigen Authentifizierung beim anfordernden Router oder weist nach, dass er Zugriff auf die Anmeldeinformationen des anfordernden Routers hat.

Standort-zu-Standort-VPN-Verbindungen können nur von einem Router (einseitig initiierteVPN-Verbindung) oder von beiden Routern (zweiseitig initiierte VPN-Verbindung) initiiert werden. Einseitig initiierte VPN-Verbindungen sind gut für Hub-and-Spoke-Topologiengeeignet, in denen nur der Zweigstellenrouter die Verbindung initiieren kann. Standort-zu-Standort-VPN-Verbindungen können permanent (immer verbunden) seinoder bei Bedarf hergestellt werden (ein Router stellt eine Verbindung her, wenn Daten gesendet werden müssen, und trennt die Verbindung nach einem konfiguriertenLeerlaufzeitlimit).

Mit dem Routing und RAS-Dienst in Windows Server 2003 können Sie Schnittstellen fürWählen bei Bedarf definieren, um Standort-zu-Standort-Verbindungen zu unterstützen.Eine Schnittstelle für Wählen bei Bedarf ist eine logische Schnittstelle, die die Punkt-zu-Punkt-Verbindung zwischen zwei Routern darstellt. Sie können eine solcheSchnittstelle genauso verwenden wie eine physische Schnittstelle. Sie können dieserSchnittstelle beispielsweise Routen zuordnen und Paketfilter dafür konfigurieren.

Das Routing für Standort-zu-Standort-Verbindungen besteht in einem Satz von Routen inden Routingtabellen sowohl des aufrufenden als auch des antwortenden Routers. Diese Routen fassen die über die Standort-zu-Standort-Verbindung verfügbaren Adressenzusammen. Jede Route besteht aus folgenden Angaben:

• einem Adresspräfix (die Kombination aus Ziel und Subnetzmaske)

• der Routingmetrik

• einer Schnittstelle für Wählen bei Bedarf

Wenn jeder Router bei einer Standort-zu-Standort-Verbindung über die Routen verfügt,die die über die Standort-zu-Standort-Verbindung verfügbaren Adressen darstellen, sindalle Standorte im Intranet, die aus mehreren Sites bestehen, von jeder Site aus erreichbar.

Zum Seitenanfang

VPN-ProtokolleComputer mit Windows XP oder Windows Server 2003 verwenden folgende Protokolle, umVPN-Verbindungen herzustellen:

• Point-to-Point-Protokoll (PPP)

• PPTP

• L2TP/IPsec

Point-to-Point-Protokoll (PPP)PPTP und L2TP beruhen vollständig auf den für PPP spezifizierten Funktionen, dasentwickelt wurde, um Daten über DFÜ- oder dedizierte Punkt-zu-Punkt-Verbindungen zusenden. Bei IPv4 kapselt PPP die IPv4-Pakete in PPP-Frames und überträgt dieseanschließend über eine Punkt-zu-Punkt-Verbindung. PPP wurde ursprünglich als Protokollfür die Verbindung zwischen DFÜ-Clients und RAS-Servern definiert.

Eine PPP-Verbindung enthält folgende vier Phasen der Aushandlung:

• Phase 1: Herstellen der PPP-Verbindung

• Phase 2: Benutzerauthentifizierung

• Phase 3: PPP-Rückrufüberprüfung

• Phase 4: Aufruf der Protokolle der Netzwerkschicht

Jede dieser vier Phasen muss erfolgreich abgeschlossen werden, bevor Benutzerdatenüber die PPP-Verbindung übertragen werden können.

Hinweis:Hinweis Weder Windows Server 2003 noch Windows XP unterstützt PPP für IPv6 (PPPv6).Sie können daher von Computern aus, die diese Betriebssysteme verwenden, keinenreinen IPv6-Verkehr über eine DFÜ- oder VPN-Verbindung senden. Sie können jedochgetunnelten IPv6-Verkehr senden, der mit einem IPv4-Header gekapselt ist. Weitere Informationen zum IPv6-Tunneling finden Sie in Kapitel 15, "IPv6 Transition Technologies" (IPv6-Übergangstechnologien).

Phase 1: Herstellen der PPP-VerbindungPPP verwendet das Link Control-Protokoll (LCP), um die logische Punkt-zu-Punkt-Verbindung herzustellen, zu warten und zu beenden. In Phase 1 werden grundlegende Kommunikationsoptionen ausgewählt. So werden zum BeispielAuthentifizierungsprotokolle ausgewählt, die jedoch erst in derVerbindungsauthentifizierungsphase (Phase 2) verwendet werden. Ebenso handeln die beiden Peers in Phase 1 die Verwendung von Komprimierung und Verschlüsselung aus.Die tatsächliche Entscheidung für Komprimierungs- und Verschlüsselungsalgorithmensowie andere Details wird in Phase 4 getroffen.

Phase 2: BenutzerauthentifizierungIn Phase 2 sendet der Clientcomputer die Benutzeranmeldeinformationen an den RAS-Server. Ein Authentifizierungsschema sollte gegen Replay-Angriffe undIdentitätswechsel des Remoteclients schützen. Ein Replay-Angriff liegt vor, wenn einAngreifer eine erfolgreiche Verbindungsaufnahme überwacht und die abgefangenenPakete verwendet, um die Antwort des Remoteclients erneut zu senden und so eine authentifizierte Verbindung zu erhalten. Ein Identitätswechsel des Remoteclients liegt vor,wenn ein Angreifer eine authentifizierte Verbindung übernimmt.

Windows Server 2003 und Windows XP unterstützen folgendePPP-Authentifizierungsprotokolle:

• PAP (Password Authentication Protocol)

PAP ist ein Authentifizierungsmechanismus mit Nur-Text-Kennwörtern ohne Schutzgegen einen Angreifer, der die Daten zur PAP-Authentifizierung abfängt.

• CHAP (Challenge-Handshake Authentication Protocol)

CHAP ist ein Authentifizierungsmechanismus mit verschlüsselten Kennwörtern, bei demdas Kennwort nicht in lesbarer Form übertragen wird.

• MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol)

MS-CHAP ist ein Authentifizierungsmechanismus mit verschlüsselten Kennwörtern, dasCHAP sehr ähnlich ist. MS-CHAP ist jedoch sicherer.

• MS-CHAP v2 (MS-CHAP Version 2)

MS-CHAP v2 ist eine weiterentwickelte Version von MS-CHAP, die stärkeren Schutz fürden Austausch von Benutzernamen und Kennwörtern, das Festlegen vonVerschlüsselungsschlüsseln sowie die gegenseitige Authentifizierung bietet.

• EAP (Extensible Authentication Protocol)

EAP ist eine PPP-Authentifizierungsinfrastruktur, die die Installation von Authentifizierungsmechanismen auf PPP-Clients und -Servern ermöglicht. EAPauthentifiziert Benutzer in der Authentifizierungsphase nicht. In Phase 2 von EAP wird nur die Verwendung eines allgemeinen EAP-Authentifizierungsmechanismus, bekannt als EAP-Typ, ausgehandelt. Die tatsächliche Authentifizierung für den ausgehandeltenEAP-Typ findet in Phase 4 statt.

In Phase 2 der PPP-Verbindungskonfiguration sammelt der VPN-Server unter WindowsServer 2003 die Anmeldeinformationen zum Authentifizieren und überprüft diese in einerder folgenden Ressourcen:

• in der Benutzerkontendatenbank des VPN-Servers (wenn der VPN-Server nicht Mitglied einer Domäne ist)

• auf einem Domänencontroller für den Active Directory®-Verzeichnisdienst (wenn derVPN-Server Mitglied einer Domäne ist)

• bei einem RADIUS-Server

Ein VPN-Server unter Windows XP überprüft die Anmeldeinformationen zumAuthentifizieren in der lokalen Benutzerkontendatenbank.

Bei VPN-Verbindungen auf Basis von PPTP muss MS-CHAP, MS-CHAP v2 oder das Authentifizierungsprotokolls EAP-TLS (Transport Layer Security) verwendet werden. Diese Authentifizierungsverfahren generieren Verschlüsselungsschlüssel, die zum Verschlüsselnder über die PPTP-basierte VPN-Verbindung gesendeten Daten verwendet werden. BeiL2TP/IPsec-Verbindungen kann jedes Authentifizierungsprotokoll verwendet werden, da der Authentifizierungsprotokollaustausch bei IPsec verschlüsselt wird. Es wird jedoch dieVerwendung von MS-CHAP v2 oder EAP-TLS empfohlen, da diese die sichersten Benutzerauthentifizierungsprotokolle sind und gegenseitige Authentifizierung ermöglichen.

Phase 3: PPP-RückrufüberprüfungDie Windows-Implementierung von PPP enthält eine optionale Rückrufüberprüfungsphase.In dieser Phase wird CBCP (Callback Control Protocol) unmittelbar nach der Authentifizierungsphase verwendet. Wenn der Rückruf konfiguriert wurde, trennenRemoteclient und RAS-Server die Verbindung nach der Authentifizierung. Der RAS-Server ruft den Remoteclient anschließend unter einer festgelegten Telefonnummer zurück.Dadurch werden DFÜ-Verbindungen sicherer, da der RAS-Server nur Verbindungen vonRemoteclients zulässt, die eine spezielle Telefonnummer verwenden. Der Rückruf wird nurbei DFÜ-Verbindungen, nicht jedoch bei VPN-Verbindungen verwendet.

Phase 4: Aufruf der Protokolle der NetzwerkschichtNach Abschluss der ersten drei Phasen ruft PPP die verschiedenenNetzwerksteuerungsprotokolle (NCP – Network Control Protocol) auf, die in der Phase derVerbindungsherstellung (Phase 1) ausgewählt wurden, um die vom Remoteclientverwendeten Protokolle zu konfigurieren. In dieser Phase weist das Internet ProtocolControl-Protokoll (IPCP) beispielsweise dem PPP-Client eine IPv4-Adresse zu. In derWindows-Implementierung von PPP wird das Compression Control-Protokoll (CCP)verwendet, um die Datenkomprimierung, bekannt als Microsoft Point-to-PointCompression (MPPC), und die Datenverschlüsselung mit MPPE auszuhandeln.

DatenübertragungsphaseNach Abschluss der vier PPP-Aushandlungsphasen beginnt PPP mit dem Weiterleiten von Datenpaketen zwischen dem PPP-Client und dem Server. Jedes übertragene Datenpaketwird in einen PPP-Header eingeschlossen, der vom Empfänger wieder entfernt wird. Wennin Phase 1 die Datenkomprimierung ausgewählt und in Phase 4 ausgehandelt wurde,komprimiert der Sender die Daten vor der Übertragung. Wenn Datenverschlüsselungausgehandelt wurde, verschlüsselt der Sender die Daten vor der Übertragung. Wennsowohl Verschlüsselung als auch Komprimierung ausgehandelt wurden, komprimiert derSender die Daten, bevor er sie verschlüsselt und sendet.

Point-to-Point-Tunneling-Protokoll (PPTP)RFC (Request for Comments) 2637 definiert PPTP, das PPP-Frames in IPv4-Paketen zurÜbertragung über ein IPv4-Netzwerk wie das Internet kapselt. PPTP kann für RAS- undStandort-zu-Standort-VPN-Verbindungen verwendet werden

PPTP verwendet eine TCP-Verbindung zur Tunnelverwaltung und eine angepasste Version von GRE (Generic Routing Encapsulation), um PPP-Frames für getunnelte Daten zukapseln. Die Nutzlast der PPP-Frames kann verschlüsselt, komprimiert oder beides sein. InAbbildung 14-3 wird die Struktur eines PPTP-Pakets dargestellt, das ein IPv4-Paketenthält.

Abbildung 14-3: Struktur eines PPTP-Pakets, das ein IPv4-Paket enthält Abbildungvergrößern

Layer-2-Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec)RFC 2661 definiert L2TP, das PPP-Frames kapselt, um diese über IPv4-, X.25-, FrameRelay- oder ATM-(Asynchronous Transfer Mode-)Netzwerke zu senden. Wenn Sie L2TP fürIPv4-Netzwerke konfigurieren, können Sie es als Tunneling-Protokoll im Internetverwenden.

L2TP über IPv4-Netzwerke verwendet einen UDP-(User Datagram Protocol-)Header undeine Reihe von L2TP-Nachrichten für die Tunnelverwaltung. L2TP verwendet UDP auch,um L2TP-gekapselte PPP-Frames als getunnelte Daten zu senden. Die Nutzlast gekapselter PPP-Frames kann verschlüsselt, komprimiert oder beides sein, obwohl dieWindows-Implementierung von L2TP nicht MPPE zum Verschlüsseln der PPP-Nutzlastverwendet. In Abbildung 14-4 wird die Struktur eines L2TP-Pakets dargestellt, das ein IPv4-Paket enthält.

Abbildung 14-4: Struktur eines L2TP-Pakets, das ein IPv4-Paket enthält Abbildungvergrößern

In der Windows-Implementierung von L2TP wird IPsec mit ESP (Encapsulating Security Payload) zur Verschlüsselung des L2TP-Verkehrs verwendet. Die Kombination von L2TP(dem Tunneling-Protokoll) und IPsec (der Verschlüsselungsmethode) wird als L2TP/IPsecbezeichnet und in RFC 3193 beschrieben. Weitere Informationen zu ESP finden Sie in Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

In Abbildung 14-5 wird das Ergebnis der Anwendung von ESP auf ein IPv4-Paket dargestellt, das einen L2TP-Frame enthält.

Abbildung 14-5: Verschlüsselung von L2TP-Verkehr unter Verwendung von IPsec mitESP Abbildung vergrößern

Zum Seitenanfang

RAS-VPN-VerbindungenWindows Server 2003 und Windows XP enthalten beide einen RAS-VPN-Client und einen

RAS-VPN-Server.

Unterstützung für VPN-ClientsWindows XP und Windows Server 2003 enthalten einen integrierten VPN-Client, der PPTPund L2TP/IPsec unterstützt. Sie können eine RAS-VPN-Verbindung entweder mithilfe desOrdners Netzwerkverbindungen oder mit dem Verbindungs-Manager konfigurieren.

Der Ordner "Netzwerkverbindungen"Wenn Sie nur über wenige VPN-Clients verfügen, können Sie für jeden Client manuell eineVPN-Verbindung konfigurieren. Verwenden Sie für Clients unter Windows XP oderWindows Server 2003 den Assistent für neue Verbindungen im Ordner Netzwerkverbindungen, um eine VPN-Verbindung zu erstellen. Klicken Sie im Assistent für neue Verbindungen auf der Seite Netzwerkverbindungstyp auf Verbindung mit dem Netzwerk am Arbeitsplatz herstellen und auf der Seite Netzwerkverbindung auf VPN-Verbindung.

Verbindungs-ManagerWenn Sie versuchen, RAS-VPN-Verbindungen für tausende von Clients in einemUnternehmen manuell zu konfigurieren, werden Sie wahrscheinlich auf eins oder mehrere der folgenden Probleme stoßen:

• Das genaue Konfigurationsverfahren für eine VPN-Verbindung variiert abhängig von derWindows-Version, die auf dem Client ausgeführt wird. Daher benötigen Sieverschiedene Sets von Schulungsunterlagen, um die Endbenutzer in der Konfiguration dieser Verbindungen zu schulen.

• Die manuelle Konfiguration von VPN-Verbindungen sollte vom IT-Personal statt von Endbenutzern durchgeführt werden, um Konfigurationsfehler zu verhindern. Diesbedeutet jedoch eine hohe administrative Last für das IT-Personal.

• Eine VPN-Verbindung benötigt möglicherweise eine Konfiguration mit doppelterEinwahlmöglichkeit, bei der der Benutzer erst eine Verbindung zum Internet herstellenmuss, bevor die Verbindung zum Unternehmensintranet hergestellt werden kann. Dadurch wird die Schulung von Endbenutzern noch schwieriger.

Sie können zur Konfiguration von VPN-Verbindungen für ein Unternehmen folgendeKomponenten verwenden:

• Verbindungs-Manager

• Verbindungs-Manager-Verwaltungskit

• Connection Point Services

Verbindungs-Manager ist eine Clientwählhilfe mit erweiterten Funktionen, die eineObermenge der grundlegenden DFÜ- und VPN-Netzwerkfunktionen bieten. WindowsServer 2003 enthält eine Reihe von Tools, mit denen Sie vorkonfigurierte Verbindungenfür Netzwerkbenutzer bereitstellen können. Diese Tools sind dasVerbindungs-Manager-Verwaltungskit (CMAK – Connection Manager Administration Kit)und Connection Point Services (CPS).

Sie können CMAK verwenden, um die Anzeige und das Verhalten von Verbindungenanzupassen, die Sie mit dem Verbindungs-Manager erstellt haben. Mit CMAK können SieClientwählhilfe- und Verbindungssoftware erstellen, mit der Benutzer eine Verbindung zumNetzwerk ausschließlich mit den von Ihnen definierten Funktionen herstellen dürfen. DerVerbindungs-Manager unterstützt eine Vielzahl von Funktionen, die das Bereitstellen vonVerbindungen für Sie und die Benutzer sowohl vereinfacht als auch erweitert. Darüberhinaus können Sie die meisten dieser Funktionen mithilfe des Assistenten für das MicrosoftVerbindungs-Manager-Verwaltungskit integrieren. Sie können mithilfe des CMAKbenutzerdefinierte Profile erstellen, die der Infrastruktur Ihres Unternehmens hinsichtlichIdentitätsprüfung, Onlinehilfe und Support entsprechen.

Mithilfe von Connection Point Services (CPS) können Sie automatisch benutzerdefinierteTelefonbücher erstellen, verteilen und aktualisieren. Diese Telefonbücher enthalten einenoder mehrere POP-Einträge (POP – Point of Presence). In jedem dieser Einträge ist eineTelefonnummer für die DFÜ-Verbindung zu einem lokalen ISP gespeichert. Telefonbücherenthalten vollständige POP-Informationen, sodass Benutzer unterwegs Verbindungen überverschiedene Internetzugänge herstellen können und nicht auf einen einzigen POPbeschränkt sind.

Ohne die Möglichkeit zum Aktualisieren von Telefonbüchern (dies wird von der Task CPS

automatisch erledigt) müssten sich Benutzer bei Änderungen an POP-Informationen undzur erneuten Konfiguration der Einwählsoftware Ihres Clients an den technischen Supportihres Unternehmens wenden.

CPS besteht aus zwei Komponenten:

1. Telefonbuchverwaltung

Ein Tool zum Erstellen und Warten der Telefonbuchdatenbank sowie zurVeröffentlichung neuer Telefonbuchinformationen für den Telefonbuchdienst.

2. Telefonbuchdienst

Eine IIS-Erweiterung, die automatisch die aktuellen Telefonbücher von Teilnehmernund Mitarbeitern überprüft und nötigenfalls eine Telefonbuchaktualisierungherunterlädt.

Unterstützung für VPN-ServerSie können mithilfe des Routing und RAS-Diensts in Windows Server 2003 einenVPN-Server konfigurieren, der PPTP und L2TP/IPsec unterstützt. Gehen Siefolgendermaßen vor, um einen Computer unter Windows Server 2003 als VPN-Server zukonfigurieren:

1. Weisen Sie jeder Intranetschnittstelle des Servers eine statische IPv4-Adresse zu.

2. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Routing und RAS.

3. Klicken Sie mit der rechten Maustaste auf den Servernamen und dann auf Routing und RAS konfigurieren und aktivieren. Klicken Sie auf Weiter.

4. Klicken Sie auf der Seite Konfiguration auf RAS (DFÜ oder VPN) und dann auf Weiter.

5. Klicken Sie auf der Seite RAS auf VPN und dann auf Weiter.

6. Klicken Sie auf der Seite VPN-Verbindung auf die Verbindung, die der mit dem Internet oder dem Umkreisnetzwerk verbundenen Schnittstelle entspricht, und dann auf Weiter.

7. Klicken Sie auf der Seite IP-Adresszuweisung auf Automatisch, wenn der VPN-Server DHCP verwenden soll, um IPv4-Adressen für RAS-VPN-Clients zuerhalten. Oder klicken Sie auf Aus einem angegebenen Adressbereich, um einen oder mehrere Bereiche von statischen Adressen zu verwenden. Klicken Sie auf Weiter, wenn die IP-Adresszuweisung abgeschlossen ist.

8. Wenn Sie RADIUS zur Authentifizierung und Autorisierung verwenden, klicken Sie auf der Seite Mehrere RAS-Server verwalten auf Ja, diesen Server für dieVerwendung eines RADIUS-Servers einrichten und dann auf Weiter.

• Konfigurieren Sie auf der Seite RADIUS-Serverauswahl den primären(obligatorisch) und den alternativen (optional) RADIUS-Server und den gemeinsamen geheimen Schlüssel, und klicken Sie dann auf Weiter.

9. Klicken Sie auf Fertig stellen.

10. Wenn Sie aufgefordert werden, den DHCP-Relay-Agenten zu konfigurieren, klicken Sie auf OK.

11. Öffnen Sie in der Struktur für den Routing und RAS-Dienst IP-Routing.

12. Klicken Sie mit der rechten Maustaste auf DHCP-Relay-Agent und dann auf Eigenschaften.

13. Fügen Sie auf der Registerkarte Allgemein des Dialogfelds Eigenschaften von DHCP-Relay-Agent die den DHCP-Servern in Ihrem Intranet entsprechenden IPv4-Adressen hinzu, und klicken Sie auf OK.

In der Standardeinstellung werden durch den Routing und RAS-Dienst 128 logische PPTP- und 128 logische L2TP/IPsec-Ports erstellt. Wenn Sie mehr Ports benötigen, konfigurierenSie in der Struktur für den Dienst in den Eigenschaften des Objekts Ports das Gerät WAN

Miniport (PPTP) oder WAN Miniport (L2TP).

In der Standardeinstellung aktiviert der Setup-Assistent für den Routing- und RAS-Serverdie Authentifizierungsprotokolle MS-CHAP, MS-CHAP v2 und EAP.

Unterstützung für VPN-Server unter Windows XPSie können einen Computer unter Windows XP als RAS-VPN-Server konfigurieren, indemSie im Ordner Netzwerkverbindungen den Assistenten für Neue Verbindungenausführen. Klicken Sie auf der Seite Netzwerkverbindungstyp des Assistenten auf Eine erweiterte Verbindung einrichten. Klicken Sie auf der Seite Erweiterte Verbindungsoptionen auf Eingehende Verbindungen zulassen. Aufgrund dieser Optionen wird ein Computer unter Windows XP zum VPN-Server. Der Server unterstütztjedoch lediglich eine einzige RAS-Verbindung (DFÜ, PPTP oder L2TP/IPsec).

IP-Adresszuweisung sowie Routing und RASDer VPN-Server erhält die IPv4-Adressen, die er VPN-Clients zuweist, entweder von einemDHCP-Server oder aus einem Pool statischer IPv4-Adressen. Durch den Routing und RAS-Dienst können VPN-Clients entweder direkte Subnetz- oder entfernteSubnetzadressen zugewiesen werden. Die Art der von Ihnen verwendeten Adressen kann die Erreichbarkeit beeinträchtigen, es sei denn, Sie nehmen zusätzliche Änderungen ander Routinginfrastruktur vor.

Die VPN-Clients zugewiesenen Adressen können aus folgenden Bereichen stammen:

• Bereich direkter Subnetzadressen

Ein Adressbereich eines Intranetsubnetzes, mit dem der VPN-Server verbunden ist. Der VPN-Server verwendet einen Bereich direkter Subnetzadressen, wenn er die IPv4-Adressen für VPN-Clients von einem DHCP-Server bezieht oder der manuellkonfigurierte statische Pool IPv4-Adressen enthält, die im Adressbereich einesangeschlossenen Subnetzes liegen.

Der Vorteil bei der Verwendung von direkten Subnetzadressen besteht darin, dass keine Änderungen an der Routinginfrastruktur erfolgen müssen.

• Bereich indirekter Subnetzadressen

Ein Adressbereich, der ein anderes Subnetz repräsentiert, das nur logisch mit demVPN-Server verbunden ist. Der VPN-Server verwendet einen Bereich indirekter Subnetzadressen, wenn der statische Pool IPv4-Adressen enthält, die in einemseparaten Subnetz liegen.

Der Vorteil der Verwendung von indirekten Subnetzadressen besteht darin, dass IPv4-Adressen von RAS-Clients leichter erkannt werden können, wenn dieseVerbindungen zu Ressourcen im Intranet herstellen und mit den Ressourcen kommunizieren. Sie müssen jedoch die Routinginfrastruktur ändern, sodass die Clientsvom Intranet aus erreichbar sind.

Beziehen von IPv4-Adressen über DHCPWenn der Routing und RAS-Dienst konfiguriert wurde, um IPv4-Adressen von einem DHCP-Server zu beziehen, erhält er 10 IPv4-Adressen gleichzeitig. Der Dienst versuchterst dann, den ersten Satz von Adressen zu beziehen, wenn der erste RAS-Client eine Verbindung herstellt, nicht, wenn der Dienst selbst gestartet wird. Er verwendet die erste IPv4-Adresse und weist die nachfolgenden Adressen den Clients zu, sobald diese eine Verbindung herstellen. Wenn Clients die Verbindung trennen, kann der Routing und RAS-Dienst deren IPv4-Adressen anderen Clients zuweisen. Wenn alle 10 Adressen des ersten Satzes gleichzeitig verwendet werden und ein weiterer RAS-Client eine Verbindung herstellt, bezieht der Routing und RAS-Dienst weitere 10 Adressen.

Wenn der DHCP-Clientdienst keinen DHCP-Server erreichen kann, gibt er Adressen ausdem Bereich 169.254.0.0/16 (von 169.254.0.1 bis 169.254.255.254) der automatischzugewiesenen, privaten IP-Adressen (APIPA – Automatic Private IP Addressing) zurück.APIPA-Adressen sind indirekte Subnetzadressen, für die es in der Standardeinstellungkeine entsprechende Route in der Routinginfrastruktur des Intranets gibt. RAS-Clients,denen eine APIPA-Adresse zugewiesen wurde, können nicht über den RAS-Server hinauskommunizieren.

Der Routing und RAS-Dienst versucht, DHCP-Adressen unter Verwendung der Schnittstelle zu beziehen, die Sie durch Öffnen der Eigenschaften des Servers, auf dem der Dienstausgeführt wird, angeben. Klicken Sie dort auf die Registerkarte IP und unter Adapterauf den Namen der Schnittstelle, wie in Abbildung 14-6 dargestellt.

Abbildung 14-6: Die Registerkarte "IP" in den Eigenschaften desServers, auf dem der Routing und RAS-Dienst ausgeführt wird

Sie können diesen Adapter auch im Setup-Assistenten für den Routing- und RAS-Serverauf der Seite Netzwerkauswahl angeben (wenn Sie über mehr als eineIntranetschnittstelle verfügen). Wenn Sie den falschen Adapter angeben, könnenVerbindungsversuche zum DHCP-Server fehlschlagen und APIPA-Adressen zurückgegebenwerden. Wenn Sie unter Adapter die Option RAS die Kartenauswahl gestattenaktivieren, verwendet der Routing und RAS-Dienst für den Start eine zufällig ausgewählteLAN-Schnittstelle. Dies kann dazu führen, dass der falsche Adapter ausgewählt wird.

Wenn der Routing und RAS-Dienst angehalten wird, sendet er DHCPRelease-Nachrichten, um alle über DHCP erhaltenen IPv4-Adressen freizugeben.

Beziehen von IPv4-Adressen aus einem statischen AdresspoolEin statischer Adresspool besteht aus einem oder mehreren manuell konfigurierten IPv4-Adressbereichen. Wenn Sie einen statischen IPv4-Adresspool konfigurieren, verwendet der VPN-Server die erste Adresse im ersten Bereich. Der Server weist nachfolgende Adressen den TCP/IP verwendenden RAS-Clients beim Herstellen der Verbindung zu. Wenn Clients die Verbindung trennen, kann der Server deren Adressen anderen Clients zuweisen.

Ein Adressbereich im statischen IPv4-Adresspool kann ein Bereich aus direkten Subnetzadressen, aus indirekten Subnetzadressen oder eine Mischung daraus sein.

Wenn irgendeine Adresse in einem der Adressbereiche eine indirekte Subnetzadresse ist,müssen Sie die Route bzw. die Routen, die diese Adressen zusammenfassen derRoutinginfrastruktur des Intranets hinzufügen. Dadurch wird sichergestellt, dassDatenverkehr, der für RAS-Clients bestimmt ist, an den VPN-Server weitergeleitet wird.Dieser leitet den Verkehr dann an den entsprechenden Client weiter. Sie sollten Adressbereiche auswählen, die Sie durch ein einzelnes Adresspräfix beschreiben können,um die beste Zusammenfassung von Adressbereichen für Routen zur Verfügung zustellen. Der Adressbereich von 192.168.2.1 bis 192.168.2.254 kann beispielsweise durch 192.168.2.0 mit der Subnetzmaske 255.255.255.0 (192.168.2.0/24) beschrieben werden.

Einrichten einer RAS-VPN-VerbindungDas Erstellen einer RAS-VPN-Verbindung wird in folgenden drei Schritten durchgeführt:

1. Einrichten der logischen Verbindung

Erstellt die Punkt-zu-Punkt-Verbindung zwischen Client und Server zum Senden von PPP-Frames. Die für VPN-Verbindungen benutzte logische Verbindung besteht ausdem VPN-Tunnel, der eine logische Punkt-zu-Punkt-Verbindung darstellt. Wenn der Client unter Windows XP oder Windows Server 2003 ausgeführt wird, wird alsNachricht beim Einrichten der logischen Verbindung "Verbindung wird hergestellt" angezeigt.

2. Einrichten der PPP-Verbindung

Verwendet PPP-Protokolle zum Aushandeln der Parameter für die PPP-Verbindung,zum Authentifizieren der Anmeldeinformationen des RAS-Benutzers und zum Aushandeln der Verwendung und der Parameter für die Protokolle, die über diePPP-Verbindung eingesetzt werden. Wenn der Client unter Windows XP oderWindows Server 2003 ausgeführt wird, wird als Nachricht beim Einrichten derPPP-Verbindung "Benutzername und Kennwort werden überprüft" angezeigt.

3. Registrieren des RAS-VPN-Clients

Der Client erhält zusätzliche Konfigurationsparameter und registriert sich im DNS(Domain Name System) und WINS (Windows Internet Name Service) zurNamensauflösung. Wenn der Client unter Windows XP oder Windows Server 2003ausgeführt wird, wird als Nachricht beim Registrieren des RAS-Clients "DerComputer wird im Netzwerk registriert" angezeigt.

Schritt 1: Einrichten der logischen VerbindungDer Einrichtungsvorgang der logischen Verbindung ist abhängig von der Verwendung vonPPTP oder L2TP/IPsec für die VPN-Verbindung.

Auf PPTP basierende Verbindungen werden über die beiden folgenden Phasen hergestellt:

• Phase 1

Der Client initiiert eine TCP-Verbindung über einen dynamisch zugewiesenen TCP-Portzum TCP-Port 1723 des RAS-VPN-Servers.

• Phase 2

Der RAS-VPN-Client und der Server tauschen eine Reihe von PPTP-Nachrichten aus, um die Verwendung eines PPTP-Tunnels und einer speziellen ID (die im PPTP-GRE-Header verwendet wird) für die Verbindung auszuhandeln.

Auf L2TP/IPSec basierende Verbindungen werden über die beiden folgenden Phasenhergestellt:

• Phase 1

Die IPsec-SAs (Security Associations), die zum Schützen der auf IPsec basierendenKommunikation und Daten notwendig sind, werden ausgehandelt und erstellt. IPsecverwendet das IKE-Protokoll (Internet Key Exchange) zum Aushandeln derHauptmodus- und Schnellmodus-SAs für IKE. Der Hauptmodus-SA schützt dieIPsec-Aushandlungen. Die Schnellmodus-SAs – jeweils einer für einund ausgehendePakete – schützen L2TP-Daten, die den UDP-Port 1701 verwenden. DerHauptmodus-SA wird entweder über Zertifikate oder einen vorinstallierten Schlüsselauthentifiziert.

Zur Authentifizierung mit einem Zertifikat sendet der VPN-Server dem VPN-Client eine Liste der vertrauenswürdigen Stammzertifizierungsstellen (Root CAs), von der derServer ein Zertifikat akzeptiert. Der VPN-Client antwortet mit einer Zertifikatkette(abschließend mit einem Zertifikat einer Stammzertifizierungsstelle, die in der vomServer gesendeten Liste enthalten ist) und einer eigenen Liste von vertrauenswürdigenStammzertifizierungsstellen. Der Server überprüft die Zertifikatkette des Clients undsendet anschließend seine eigene Zertifikatkette (die mit einem Zertifikat einerStammzertifizierungsstelle aus der Liste des Clients abschließt) zum Client. Der Clientüberprüft die vom Server gesendete Zertifikatkette.

Zur Authentifizierung mit vorinstalliertem Schlüssel senden Client und Server jeweilseinen Hashwert, der den Wert des vorinstallierten Schlüssels enthält. Der Serverüberprüft den vom Client gesendeten Hashwert, der Client überprüft den vom Servergesendeten Hashwert.

Weitere Informationen zum Aushandeln von Haupt- und Schnellmodus finden Sie im Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

• Phase 2

Client und Server tauschen eine Reihe von L2TP-Nachrichten aus, um die Verwendung eines L2TP-Tunnels und einer speziellen ID zum Identifizieren der Verbindung innerhalb des L2TP-Tunnels auszuhandeln.

Um die Einrichtung der L2TP/IPsec-Verbindung zu beginnen, muss der Client bereits mit dem Internet verbunden sein. Wenn der Client noch nicht verbunden ist, kann der Benutzer eine DFÜ-Verbindung zu einem ISP herstellen, bevor die L2TP/IPsec-Verbindunginitiiert wird.

Schritt 2: Einrichten der PPP-VerbindungDer PPP-Verbindungsvorgang folgt den vier Phasen, die im Abschnitt "Point-to-Point-Protokoll" dieses Kapitels beschrieben werden.

Schritt 3: Registrieren des RAS-VPN-ClientsJeder RAS-VPN-Client sendet eine DHCPInform-Nachricht, um zusätzlicheTCP/IP-Konfigurationsparameter zu erhalten und führt die Namensregistrierung durch.

Zum Erhalten zusätzlicher TCP/IP-Konfigurationsparameter führt der Client den folgendenProzess durch:

1. Der Client sendet eine DHCPInform-Nachricht über die PPP-Verbindung an denVPN-Server.

2. Der VPN-Server, der mit der Routingprotokollkomponente DHCP-Relay-Agent und mindestens einer IPv4-Adresse eines DHCP-Servers konfiguriert wurde, leitet die DHCPInform-Nachricht an den DHCP-Server weiter.

3. Der DHCP-Server sendet eine DHCPAck-Nachricht mit den angeforderten Optionenzurück.

4. Der VPN-Server leitet die DHCPAck-Nachricht an den Client weiter.

Der grundsätzliche Zweck zum Verwenden der DHCPInform-Nachricht liegt im Abrufen vonTCP/IP-Konfigurationsparametern, die über IPCP nicht erhältlich sind, bspw. den mit derVPN-Verbindung verknüpften DNS-Domänennamen. Ausschließlich RAS-VPN-Clients unterMicrosoft Windows 2000, Windows XP oder Windows Server 2003 senden dieDHCPInform-Nachricht.

Bevor Knoten im Intranet die Namen von verbundenen RAS-VPN-Clients auflösen können,müssen die Namen und IPv4-Adressen der Clients im DNS- und NetBIOS-Namespace desprivaten Netzwerks registriert sein. Da RAS-VPN-Clients üblicherweise bei jederVerbindung eine neue IPv4-Adresse zugewiesen wird, sollten die Namen im Namespacedynamisch sein, nicht statisch. Zum Registrieren der dynamischen Namen von RAS-Clientsgehören die folgenden Vorgänge:

• Der RAS-VPN-Client sendet dynamische DNS-Aktualisierungsnachrichten an den konfigurierten DNS-Server, um seine DNS-Namen zu registrieren.

• Darüber hinaus sendet der Client NetBIOS-Namensregistrierungsnachrichten an denkonfigurierten WINS-Server, um seine NetBIOS-Namen zu registrieren.

Zum Seitenanfang

Standort-zu-Standort-VPN-VerbindungenRouting und RAS in Windows Server 2003 unterstützen Routing bei Bedarf (auch bekanntals Routing für Wählen bei Bedarf) über DFÜ-Verbindungen (bspw. analogeTelefonleitungen oder ISDN) als auch VPN-Verbindungen. Routing für Wählen bei Bedarfleitet Pakete über eine PPP-Verbindung weiter, die im Zusammenhang mit Routing undRAS durch eine Schnittstelle für Wählen bei Bedarf repräsentiert wird. Sie könnenSchnittstellen für Wählen bei Bedarf verwenden, um entsprechende Verbindungen überDFÜ, permanente oder nicht permanente Medien herzustellen.

Routing für Wählen bei Bedarf ist nicht mit RAS gleichzusetzen. RAS verbindet eineneinzelnen Computer mit einem Netzwerk, Routing für Wählen bei Bedarf verbindetvollständige Netzwerke. Beide verwenden jedoch PPP als Protokoll zum Aushandeln undAuthentifizieren der Verbindung und zum Kapseln der darüber gesendeten Daten. DurchRouting und RAS in Windows Server 2003 können Sie RAS und Verbindungen bei Bedarfunabhängig voneinander aktivieren. Sie verwenden jedoch beide die folgenden Attribute:

• Einstellungen der DFÜ-Eigenschaften der Benutzerkonten

• Sicherheit (Authentifizierungsprotokolle und Verschlüsselung)

• Windows- oder RADIUS-Authentifizierung, -Autorisierung und -Kontoführung

• Zuweisen und Konfigurieren von IPv4-Adressen

• PPP-Features, bspw. MPPC und MPPE

Obwohl das Konzept von Routing für Wählen bei Bedarf recht einfach ist, ist dietatsächliche Konfiguration aus folgenden Gründen relativ komplex:

• Adressierung der Verbindungsendpunkte

Die Verbindung muss über öffentliche Datennetze hergestellt werden, bspw. überanaloge Telefonleitungen oder das Internet. Sie definieren den Verbindungsendpunkt mit einer Telefonnummer bei DFÜ-Verbindungen und entweder einem Hostnamen odereiner IPv4-Adresse bei VPN-Verbindungen.

• Authentifizierung und Autorisierung des Anrufers

Jede Routeranforderung muss authentifiziert und autorisiert werden. Die Authentifizierung basiert auf den Anmeldeinformationen des Anrufers, die beim Aufbau der Verbindung an den Router übergeben werden. Die übergebenenAnmeldeinformationen müssen einem Windows-Benutzerkonto entsprechen. Der Routerautorisiert die Verbindung auf Grundlage der Einstellungen der DFÜ-Eigenschaften desWindows-Benutzerkontos und der RAS-Richtlinien des Organisationsnetzwerks.

• Unterscheidung zwischen RAS-VPN-Clients und anrufenden Routern

Routing- und RAS-Funktionen sind parallel auf einem Computer unter WindowsServer 2003 verfügbar. Sowohl RAS-Clients als auch Router für Wählen bei Bedarfkönnen eine Verbindung initiieren. Bei Verbindungen bei Bedarf ist der die Verbindunginitiierende Computer der anfordernde Router. Der auf den Verbindungsversuch durch den anfordernden Router antwortende Computer ist der antwortende Router. Der Computer unter Windows Server 2003 muss in der Lage sein, Verbindungsversuche vonRAS-Clients und anfordernden Routern unterscheiden zu können.

Der Computer geht bei einem Verbindungsversuch von einer RAS-Verbindung aus, wenn die Anmeldeinformationen zum Authentifizieren keinen Benutzernamen enthalten, der einer Schnittstelle für Wählen bei Bedarf oder dem antwortenden Router entspricht.

• Konfiguration beider Endpunkte der Verbindung

Sie müssen beide Endpunkte der Verbindung konfigurieren, um eine bidirektionaleKommunikation zu ermöglichen, auch wenn immer nur ein Endpunkt der Verbindungeine DFÜ-Verbindung initiiert. Wenn Sie lediglich einen Endpunkt der Verbindungkonfigurieren, werden Pakete nur in einer Richtung weitergeleitet.

• Konfiguration von statischen Routen

Über bei Bedarf aufzubauende Verbindungen sollten Sie keine dynamischenRoutingprotokolle verwenden. Aus diesem Grund müssen Sie Routen fürNetzwerkpräfixe hinzufügen, die über die Schnittstelle für Wählen bei Bedarf alsstatische Routen in den Routingtabellen des Routers für Routing bei Bedarf zurVerfügung stehen.

Konfigurieren einer Standort-zu-Standort-VPN-VerbindungZum Konfigurieren einer Standort-zu-Standort-VPN-Verbindung müssen Sie die folgendenSchritte ausführen:

• Aktivieren und Konfigurieren von Routing und RAS auf dem antwortenden Router.

Folgen Sie der in diesem Kapitel im Abschnitt "Unterstützung für VPN-Server"beschriebenen Vorgehensweise.

• Konfigurieren einer Schnittstelle für Wählen bei Bedarf auf dem antwortenden Router.

• Aktivieren und Konfigurieren von Routing und RAS auf dem anfordernden Router.

Folgen Sie der in diesem Kapitel im Abschnitt "Unterstützung für VPN-Server"beschriebenen Vorgehensweise.

• Konfigurieren einer Schnittstelle für Wählen bei Bedarf auf dem anfordernden Router.

Konfigurieren einer Schnittstelle für Wählen bei BedarfFühren Sie für Routing und RAS die folgenden Schritte aus (für anfordernde undantwortende Router):

1. Klicken Sie in der Struktur mit der rechten Maustaste auf Netzwerkschnittstellen und dann auf Neue Schnittstelle für Wählen beiBedarf.

2. Klicken Sie auf der Seite Willkommen auf Weiter.

3. Geben Sie auf der Seite Schnittstellenname einen Namen für die Schnittstelleein, und klicken Sie anschließend auf Weiter.

4. Klicken Sie auf der Seite Verbindungstyp auf Verbindung über ein virtuellesprivates Netzwerk (VPN) herstellen, und klicken Sie anschließend auf Weiter.

5. Klicken Sie auf der Seite VPN-Typ nach Bedarf auf Automatische Auswahl, Point-to-Point-Tunneling-Protokoll (PPTP) oder Layer-2-Tunneling-Protokoll (L2TP), und klicken Sie dann auf Weiter.

6. Geben Sie auf der Seite Zieladresse die IPv4-Adresse der Internetschnittstelle des anderen Routers ein, und klicken Sie anschließend auf Weiter.

7. Aktivieren Sie auf der Seite Protokolle und Sicherheit die KontrollkästchenIP-Pakete über diese Schnittstelle weiterleiten und Benutzerkontohinzufügen, über das sich ein Remoterouter einwählen kann, und klicken Sie anschließend auf Weiter.

8. Klicken Sie auf der Seite Statische Routen für Remotenetzwerke auf Hinzufügen, um bei Bedarf der Schnittstelle für Wählen bei Bedarf zugewieseneund die Netzwerkpräfixe der Site in der Standort-zu-Standort-VPN-Verbindungrepräsentierende statische Routen hinzuzufügen. Klicken Sie auf Weiter.

9. Geben Sie auf der Seite Anmeldeinformationen für Einwählen das Kennwort des Benutzerkontos, das vom anfordernden Router verwendet wird, in die Felder Kennwort und Kennwort bestätigen ein, und klicken Sie dann auf Weiter.

Nach diesem Schritt wird automatisch ein Benutzerkonto mit dem Namen der zu erstellenden Schnittstelle für Wählen bei Bedarf erstellt. Sie werden den Routerebenfalls zur Verwendung dieses Kontonamens in seinen Anmeldeinformationenfür das Einwählen konfigurieren. Beim Initiieren einer Verbindung mit einemantwortenden Router verwendet der anfordernde Router einen Benutzerkontonamen, der dem Namen einer Schnittstelle für Wählen bei Bedarfentspricht. Aus diesem Grund kann der antwortende Router feststellen, dass es sich bei der eingehenden Verbindung durch den anfordernden Router um eine bei Bedarf herzustellende Wählverbindung handelt, nicht um eine RAS-Verbindung.

10. Geben Sie den Benutzernamen auf der Seite Anmeldeinformationen fürHinauswählen in das Feld Benutzername, den Benutzerkontodomänennamen inDomäne und das Kennwort für das Benutzerkonto in die Felder Kennwort und Kennwort bestätigen ein.

Wenn dieser Router ggf. den anderen Router für eine zweiseitig initiierteVPN-Verbindung (Router-zu-Router) anwählt, konfigurieren Sie den Namen, dieDomäne und das Kennwort, wenn dieser Router als der anfordernde Router agiert.Wenn dieser Router niemals den anderen Router anwählt, können Sie einenbeliebigen Namen in das Feld Benutzername eingeben und die anderen Felder auslassen.

11. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

Beispiel für eine Standort-zu-Standort-VPN-VerbindungDie gesamte notwendige Konfiguration für eine Standort-zu-Standort-VPN-Verbindungwird am besten durch ein Beispiel veranschaulicht. In der Abbildung 14-7 wird eine Beispielkonfiguration für zwei Büros dargestellt, die sich mit dem jeweils anderenNetzwerk über das Internet verbinden müssen und dazu eineStandort-zu-Standort-VPN-Verbindung verwenden.

Abbildung 14-7: Beispielkonfiguration einer Verbindung von zwei Büros über dasInternet Abbildung vergrößern

Das Büro in Seattle verfügt über einen Computer unter Windows Server 2003, der alsRAS-VPN-Server und gleichzeitig als Router für Routing bei Bedarf agiert. Alle Computerdes Seattle-Büros sind mit dem Netzwerk 172.16.1.0/24 (Subnetzmaske 255.255.255.0)verbunden. Der Router in Seattle (Router 1) verfügt über eine Internetschnittstelle, derdie öffentliche IPv4-Adresse 131.107.21.178 zugewiesen ist.

Das Büro in New York verfügt über einen Computer unter Windows Server 2003, der alsRAS-VPN-Server und gleichzeitig als Router für Routing bei Bedarf agiert. Alle Computerdes New Yorker Büros sind mit dem Netzwerk 172.16.2.0/24 (Subnetzmaske255.255.255.0) verbunden. Der Router in New York (Router 2) verfügt über eineInternetschnittstelle, der die öffentliche IPv4-Adresse 157.60.234.17 zugewiesen ist. AlleComputer in beiden Büros befinden sich in der Domäne example.com.

Zum Konfigurieren des Routings bei Bedarf für die Standort-zu-Standort-VPN-Verbindungin diesem Beispiel müssen Sie die folgenden Schritte ausführen:

• Konfigurieren und Aktivieren von Routing und RAS für Router 1.

• Konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf für Router 1 mit denfolgenden Einstellungen:

• Name: DD_NewYork

• Zieladresse: 157.60.234.17

• Routen: 172.16.2.0 mit Subnetzmaske 255.255.255.0

• Anmeldeinformationen für Einwählen: Benutzerkontoname DD_NewYork mit demKennwort h8#dW@93z~[Fc6$Q (Beispielkennwort)

• Anmeldeinformationen für Hinauswählen: Benutzerkontoname DD_Seattle,Domänenname example.com und Kennwort 7%uQv45l?p!kWy9* (Beispielkennwort)

• Konfigurieren und Aktivieren von Routing und RAS für Router 2.

• Konfigurieren Sie eine Schnittstelle für Wählen bei Bedarf für Router 2.

• Name: DD_Seattle

• Zieladresse: 131.107.21.178

• Routen: 172.16.1.0/24

• Anmeldeinformationen für Einwählen: Benutzerkontoname DD_Seattle mit demKennwort 7%uQv45l?p!kWy9*

• Anmeldeinformationen für Hinauswählen: Benutzerkontoname DD_NewYork,Domänenname example.com und Kennwort h8#dW@93z~[Fc6$Q

Da Sie eine zweiseitig initiierte Standort-zu-Standort-VPN-Verbindung konfiguriert haben,können Sie die Verbindung durch Ausführen der folgenden Schritte wahlweise mit Router1 oder Router 2 initiieren:

1. Klicken Sie in der Struktur für Routing und RAS auf Routingschnittstellen.

2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Schnittstelle fürWählen bei Bedarf, und klicken Sie anschließend auf Verbinden.

In Abbildung 14-8 wird die verwendete Konfiguration für Routing bei Bedarf hinsichtlichSchnittstellen für Wählen bei Bedarf, statischen Routen und Benutzerkonten für die Bürosin Seattle und New York dargestellt.

Abbildung 14-8: Beispielkonfiguration für eineStandort-zu-Standort-VPN-Verbindung Abbildung vergrößern

Das Beispiel stellt eine ordnungsgemäße Konfiguration für das Routing für Wählen beiBedarf dar. Der Benutzername aus den Anmeldeinformationen der Schnittstelle fürWählen bei Bedarf des anfordernden Routers muss dem Namen der Schnittstelle fürWählen bei Bedarf des antwortenden Routers entsprechen, damit der eingehendeVerbindungsversuch als eine bei Bedarf herzustellende Wählverbindung angesehen wird.Diese Beziehung wird in Tabelle 14-1 zusammenfassend dargestellt.

Tabelle 14-1: Verbindungsbeispiel für ein Standort-zu-Standort-VPN

Router Name der Schnittstellefür Wählen bei Bedarf

Benutzerkontoname in den Anmeldeinformationen für Hinauswählen

Router 1

DD_NewYork DD_Seattle

Router 2

DD_Seattle DD_NewYork

Der Verbindungsprozess für Standort-zu-Standort-VPNsEine Standort-zu-Standort-VPN-Verbindung verwendet denselben Verbindungsprozess wie eine RAS-Verbindung (der in diesem Kapitel im Abschnitt "Einrichten einer RAS-VPN-Verbindung" beschrieben wird), mit den folgenden Ausnahmen:

• Beide Router fordern eine IPv4-Adresse beim anderen Router an.

• Der anfordernde Router registriert sich nicht als RAS-Client.

Zum Seitenanfang

Verwenden von RADIUS zum Authentifizieren des NetzwerkzugriffsSie können einen VPN-Server unter Windows Server 2003 zum Authentifizieren,Autorisieren und Kontoführen (AAA – Authentication, Authorization, Accounting) beiVPN-Verbindungen oder zum Verwenden von RADIUS konfigurieren. In den RFCs 2865und 2866 wird RADIUS definiert, ein weit verbreitetes Protokoll für ein zentrales AAA bei

Netzwerkzugriffen.

Ursprünglich für DFÜ-Verbindungen entwickelt, wird RADIUS heute von VPN-Servern,drahtlosen Zugriffspunkten (Access Points), authentifizierenden Ethernet-Switchen, DSL-Zugriffsservern und anderen Typen von Netzwerkzugriffsservern unterstützt.

RADIUS-KomponentenEine RADIUS-AAA-Infrastruktur besteht aus den folgenden Komponenten:

• Zugriffsclients

• Zugriffsserver (RADIUS-Clients)

• RADIUS-Server

• Benutzerkontendatenbanken

• RADIUS-Proxys

In Abbildung 14-9 werden diese Komponenten dargestellt.

Abbildung 14-9: Die Komponenten einer RADIUS-Infrastruktur Abbildung vergrößern

In den folgenden Abschnitten werden diese Komponenten ausführlich beschrieben.

ZugriffsclientsEin Zugriffsclient verlangt den Zugriff auf ein Netzwerk oder einen anderen Teil des Netzwerks. Beispiele für Zugriffsclients sind DFÜ- oder RAS-VPN-Clients, drahtlose Clientsoder LAN-Clients, die an einen authentifizierenden Switch angeschlossen sind.

ZugriffsserverEin Zugriffsserver stellt den Zugriff auf ein Netzwerk bereit. Ein Zugriffsserver, der eine RADIUS-Infrastruktur verwendet, ist gleichzeitig ein RADIUS-Client, der Verbindungsanfragen und Kontoführungsnachrichten an einen RADIUS-Server sendet.Beispiele für Zugriffsserver sind:

• Netzwerkzugriffsserver (RAS-Server), die einen RAS-Zugang zu einem Unternehmensnetzwerk oder dem Internet bereitstellen. Beispielsweise ein Computer unter Windows Server 2003 und konfiguriertem Routing und RAS, der entweder DFÜ-oder VPN-basierten Zugriff auf das Intranet einer Organisation bereitstellt.

• Drahtlose Zugriffspunkte, die physischen Zugriff auf das Unternehmensnetzwerk überdrahtlose Übertragungs- und Empfangstechnologien bereitstellen.

• Switches, die physischen Zugriff auf das Unternehmensnetzwerk überLAN-Technologien (bspw. Ethernet) bereitstellen.

RADIUS-ServerEin RADIUS-Server empfängt und verarbeitet Verbindungsanfragen oderKontoführungsnachrichten, die von RADIUS-Clients oder RADIUS-Proxys gesendetwerden. Während einer Verbindungsanforderung verarbeitet der RADIUS-Server die Listeder RADIUS-Attribute in der Verbindungsanforderung. Auf Grundlage einer Gruppe von Autorisierungsregeln und den Informationen in der Benutzerkontendatenbank authentifiziert und autorisiert der RADIUS-Server die Verbindung und sendet eine RADIUS-Access-Accept-Nachricht oder, wenn die Authentifizierung oder die Autorisierungfehlschlägt, eine RADIUS-Access-Reject-Nachricht zurück. DieRADIUS-Access-Accept-Nachricht kann Verbindungseinschränkungen enthalten, die derZugriffsserver für die Dauer der Verbindung durchsetzt.

Bei der IAS-Komponente von Windows Server 2003 handelt es sich um einenRADIUS-Server nach Industriestandard.

BenutzerkontendatenbankenEine Benutzerkontendatenbank ist eine Liste von Benutzerkonten und deren Eigenschaften, die ein RADIUS-Server zum Überprüfen von Anmeldeinformationen zumAuthentifizieren und zum Abrufen von Benutzerkontoeigenschaften, die Informationenüber Autorisierungs- und Verbindungsparameter enthalten, verwenden kann.

IAS kann als Benutzerkontendatenbank den lokalen SAM (Security Accounts Manager), eine auf Microsoft Windows NT® 4.0 basierende Domäne oder Active Directoryverwenden. Über Active Directory kann IAS Authentifizierung und Autorisierung fürBenutzer- oder Computerkonten in der Domäne, in der der IAS-Server Mitglied ist,Domänen mit bidirektionaler Vertrauensstellung und vertrauenswürdige Gesamtstrukturenmit Domänencontrollern unter Windows Server 2003 bereitstellen.

Wenn sich das Benutzerkonto zur Authentifizierung in einer anderen Art von Datenbank befindet, können Sie einen RADIUS-Proxy zum Weiterleiten derAuthentifizierungsanforderung an einen RADIUS-Server verwenden, der Zugriff auf die Benutzerkontendatenbank hat.

RADIUS-ProxysEin RADIUS-Proxy leitet die RADIUS-Verbindungsanforderungen undKontoführungsnachrichten zwischen RADIUS-Clients (oder anderen RADIUS-Proxys) undRADIUS-Servern (oder anderen RADIUS-Proxys) weiter. Ein RADIUS-Proxy verwendet die in der RADIUS-Nachricht enthaltenen Informationen zum Weiterleiten an den geeigneten RADIUS-Client oder -Server. Sie können einen RADIUS-Proxy als Weiterleitungspunkt fürRADIUS-Nachrichten verwenden, wenn AAA auf mehreren RADIUS-Servern in verschiedenen Organisationen durchgeführt werden muss.

Durch den RADIUS-Proxy werden die Definitionen von RADIUS-Client und RADIUS-Server etwas verschwommen. Ein RADIUS-Client eines RADIUS-Proxys kann ein Zugriffsserver (der Verbindungsanforderungen oder Kontoführungsnachrichten generiert) oder einweiterer RADIUS-Proxy sein. Zwischen dem ursprünglichen RADIUS-Client und demabschließenden RADIUS-Server können sich (über verkettete RADIUS-Proxys) mehrereRADIUS-Proxys befinden. Ähnlich kann ein RADIUS-Server für einen RADIUS-Proxy derabschließende RADIUS-Server (der die Überprüfungen für die Authentifizierung undAutorisierung durchführt) oder ein weiterer RADIUS-Proxy sein. Daher ist aus Sicht einesRADIUS-Proxys ein RADIUS-Client die RADIUS-Entität, von der der ProxyRADIUS-Anforderungsnachrichten erhält, und ein RADIUS-Server ist die RADIUS-Entität,zu der der Proxy RADIUS-Anforderungsnachrichten weiterleitet.

Bei der IAS-Komponente von Windows Server 2003 handelt es sich um einenRADIUS-Proxy nach Industriestandard.

IAS als RADIUS-ServerSie können IAS als RADIUS-Server zum Durchführen von AAA für RADIUS-Clientsverwenden. Ein RADIUS-Client kann entweder ein Zugriffsserver oder ein RADIUS-Proxy sein. In Abbildung 14-10 wird IAS als RADIUS-Server dargestellt.

Abbildung 14-10: IAS als RADIUS-Server Abbildung vergrößern

Der Zugriffsserver und der RADIUS-Proxy tauschen RADIUS-Nachrichten mit dem IAS-Server aus. IAS verwendet einen sicheren Kommunikationskanal zum Kommunizieren mit einem Active Directory-Domänencontroller.

Wenn IAS als RADIUS-Server verwendet wird, stehen die folgenden Funktionalitäten zurVerfügung:

• Ein zentraler Dienst zum Authentifizieren und Autorisieren aller von RADIUS-Clients und RADIUS-Proxys gesendeten Zugriffsanforderungen.

IAS verwendet bei einem Verbindungsversuch entweder eine Windows NTServer 4.0-Domäne, eine Active Directory-basierte Domäne oder den lokalen SAM zumAuthentifizieren von Benutzeranmeldeinformationen. IAS verwendet dieDFÜ-Eigenschaften des Kontos und RAS-Richtlinien zum Autorisieren einer Verbindungund zum Erzwingen von Verbindungseinschränkungen.

• Ein zentraler Aufzeichnungsdienst für Kontoführungsinformationen für alle vonRADIUS-Clients übermittelten Kontoführungsanforderungen.

Unter Windows Server 2003 werden Kontoführungsanforderungen in einer lokalenProtokolldatei gespeichert oder zu Analysezwecken an eine SQL-Serverdatenbank gesendet.

In den folgenden Szenarios können Sie IAS als RADIUS-Server verwenden:

• Sie verwenden eine Windows NT Server 4.0-Domäne, eine auf Active Directorybasierende Domäne oder den lokalen SAM als Benutzerkontendatenbank fürZugriffsclients.

• Sie verwenden Routing und RAS unter Windows Server 2003 mit mehrerenDFÜ-Servern, VPN-Servern oder Standort-zu-Standort-Routern, und Sie möchten dieKonfiguration von RAS-Richtlinien und die Kontoführung von Verbindungsinformationenzentralisieren.

• Sie lagern den DFÜ-, VPN- oder drahtlosen Zugriff an einen Service Provider aus(Outsourcing). Die Zugriffsserver verwenden RADIUS zum Authentifizieren und Autorisieren von Verbindungen der Mitglieder Ihrer Organisation.

• Sie möchten AAA für eine heterogene Gruppe von Zugriffsservern zentralisieren.

Zum Senden von RADIUS-Nachrichten an einen auf IAS basierenden RADIUS-Servermüssen Sie die Zugriffsserver oder RADIUS-Proxys zum Verwenden des IAS-Servers als

RADIUS-Server konfigurieren. Zum Empfangen von RADIUS-Nachrichten von Zugriffsservern oder RADIUS-Proxys müssen Sie den IAS-Server mit RADIUS-Clientskonfigurieren. Wenn Ihr VPN-Server bspw. IAS-Server zum Authentifizieren oder zurKontoführung über RADIUS verwendet, müssen Sie die folgenden Schritte ausführen:

• Konfigurieren Sie den VPN-Server mit RADIUS-Servern, die den IAS-Servern entsprechen.

• Konfigurieren Sie die IAS-Server mit einem RADIUS-Client, der dem VPN-Server entspricht.

Gehen Sie folgendermaßen vor, um IAS auf einem Computer unter Windows Server 2003zu installieren:

1. Klicken Sie auf Start, dann auf Systemsteuerung, und doppelklicken Sieanschließend auf Software.

2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.

3. Klicken Sie im Dialogfeld Assistenten für Windows-Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details.

4. Aktivieren Sie im Dialogfeld Netzwerkdienste das KontrollkästchenInternetauthentifizierungsdienst, klicken Sie auf OK und anschließend aufWeiter.

5. Legen Sie nach Aufforderung den Windows Server 2003-Datenträger ein.

6. Klicken Sie nach der Installation von IAS auf Fertig stellen und anschließend aufSchließen.

Gehen Sie folgendermaßen vor, um einen RADIUS-Client auf einem IAS-Server zuerstellen:

1. Klicken Sie auf Start und Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Internetauthentifizierungsdienst.

2. Klicken Sie in der Struktur mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie anschließend auf Neuer RADIUS-Client.

Ein Assistent führt Sie durch den Vorgang zum Erstellen und Konfigurieren eines neuenRADIUS-Clients.

Weitere Informationen zum Verwenden von IAS als RADIUS-Server finden Sie in "Hilfe und Support für Windows Server 2003".

RAS-RichtlinienDamit ein Verbindungsversuch akzeptiert wird, muss er authentifiziert und autorisiert werden. Die Authentifizierung überprüft die Anmeldeinformationen des Zugriffsclients. DieAutorisierung überprüft auf Grundlage der DFÜ-Eigenschaften des Kontos und derRAS-Richtlinien, ob der Verbindungsversuch zugelassen und berechtigt ist. RAS-Richtlinien bestehen aus einem sortierten Satz von Regeln, die das Autorisieren oder Zurückweisenvon Verbindungen definieren. Jede Regel enthält eine oder mehrere Bedingungen, einenSatz an Profileinstellungen und eine Einstellung für die RAS-Berechtigung.

Wenn eine Verbindung autorisiert wird, definiert das RAS-Richtlinienprofil eine Gruppe von Verbindungseinschränkungen. Die DFÜ-Einstellungen des Kontos können ebenfallsEinschränkungen enthalten. Gegebenenfalls haben Verbindungseinschränkungen derKontoeigenschaften höhere Priorität als die des RAS-Richtlinienprofils.

RAS-Richtlinienbedingungen und -einschränkungenVor dem Autorisieren der Verbindung können RAS-Richtlinien eine Reihe vonVerbindungseinstellungen überprüfen. Dazu gehören:

• Gruppenmitgliedschaft

• Verbindungstyp

• Tageszeit

• Authentifizierungsmethode

• Identität des Zugriffsservers

Nach dem Autorisieren der Verbindung können RAS-RichtlinienVerbindungseinschränkungen festlegen. Dazu gehören:

• Leerlaufzeitlimit

• Maximale Sitzungsdauer

• Verschlüsselungsstärke

• Authentifizierungsmethode

• IPv4-Paketfilter

Sie können bspw. Richtlinien einsetzen, die jeweils eine unterschiedliche maximaleSitzungsdauer für unterschiedliche Verbindungstypen oder Gruppen festlegen. Darüberhinaus können Sie Richtlinien verwenden, die einen eingeschränkten Zugriff fürGeschäftspartner oder Lieferanten definieren.

Wenn Routing und RAS zum Verwenden von Windows zur Authentifizierung konfiguriert ist, konfigurieren Sie die RAS-Richtlinien auf dem Computer, auf dem der Routing und RAS-Dienst ausgeführt wird, indem Sie Routing und RAS öffnen und in der Struktur denOrdner RAS-Richtlinien öffnen. Wenn Routing und RAS zum Verwenden von RADIUS zurAuthentifizierung und ein IAS-Server als dessen RADIUS-Server konfiguriert ist, könnenSie die RAS-Richtlinien auf dem Computer, auf dem IAS ausgeführt wird, konfigurieren,indem Sie den Internetauthentifizierungsdienst und anschließend in der Struktur denOrdner RAS-Richtlinien öffnen.

Gehen Sie folgendermaßen vor, um eine RAS-Richtlinie unter Verwendung desInternetauthentifizierungsdiensts zu erstellen:


2. Klicken Sie in der Struktur mit der rechten Maustaste auf RAS-Richtlinien, und klicken Sie anschließend auf Neue RAS-Richtlinie.

Der Assistent für neue RAS-Richtlinien führt Sie durch den Vorgang zum Erstellen einerRAS-Richtlinie.

IAS als RADIUS-ProxySie können IAS als RADIUS-Proxy verwenden, um RADIUS-Nachrichten zwischenRADIUS-Clients (Zugriffsserver) und RADIUS-Servern weiterzuleiten, die AAA für denVerbindungsversuch durchführen. Beim Verwenden von IAS als RADIUS-Proxy agiert IASals zentraler Switch- bzw. Routingpunkt, über den RADIUS-Zugriffs- undKontoführungsnachrichten geleitet werden. IAS speichert Informationen über dieweitergeleiteten Nachrichten in einem Kontoführungsprotokoll. In Abbildung 14-11 wirdIAS als RADIUS-Proxy dargestellt.

Abbildung 14-11: IAS als RADIUS-Proxy Abbildung vergrößern

VerbindungsanforderungsverarbeitungEin IAS-Server unter Windows Server 2003 verwendet dieVerbindungsanforderungsverarbeitung zum Ermitteln, ob die Nachricht eines RADIUS-Clients lokal verarbeitet werden oder an einen anderen RADIUS-Server weitergeleitet werden soll. Die Verbindungsanforderungsverarbeitung besteht aus den folgenden Bestandteilen:

• Verbindungsanforderungsrichtlinien

Für jede eingehende RADIUS-Anforderungsnachricht ermittelnVerbindungsanforderungsrichtlinien, ob der IAS-Server die Nachricht lokal verarbeitet oder an einen anderen RADIUS-Server weiterleitet. Verbindungsanforderungsrichtlinien bestehen aus Regeln, die Bedingungen und Profileinstellungen festlegen. Dieseermöglichen eine flexible Konfiguration der Verarbeitungsweise von eingehendenAuthentifizierungs- und Kontoführungsanforderungsnachrichten durch den IAS-Server.Mithilfe von Verbindungsanforderungsrichtlinien können Sie eine Reihe von Richtlinienerstellen, damit ein IAS-Server einige RADIUS-Anforderungsnachrichten lokal verarbeitet (als RADIUS-Server agiert) und andere Typen von Nachrichten an einen anderen RADIUS-Server weiterleitet (als RADIUS-Proxy agiert).

• Remote-RADIUS-Servergruppen

Beim Weiterleiten von RADIUS-Nachrichten durch einen IAS-Server wird durchRemote-RADIUS-Servergruppen festgelegt, an welche Gruppe von RADIUS-Servern dieNachrichten weitergeleitet werden. Eine Remote-RADIUS-Servergruppe ist einebenannte Gruppe, die aus einem oder mehreren RADIUS-Servern besteht. Wenn Sieeine Verbindungsanforderungsrichtlinie zum Weiterleiten von RADIUS-Nachrichtenkonfigurieren, müssen Sie eine Remote-RADIUS-Servergruppe angeben. Diese Gruppeerleichtert die gemeinsame Konfiguration eines primären und eines sekundärenRADIUS-Servers. Durch verschiedene Einstellungen können Sie festlegen, in welcherReihenfolge die Server verwendet werden oder ob die RADIUS-Nachrichten an alleServer in der Gruppe verteilt werden.

Im Ordner Verbindungsanforderungsverarbeitung des Internetauthentifizierungsdiensts können Sie Verbindungsanforderungsrichtlinien undRemote-RADIUS-Servergruppen konfigurieren.

Gehen Sie folgendermaßen vor, um eine Verbindungsanforderungsrichtlinie zu erstellen:


2. Klicken Sie in der Struktur mit der rechten Maustaste auf Verbindungsanforderungsrichtlinien, und klicken Sie anschließend auf Neue Verbindungsanforderungsrichtlinie.

Der Assistent für neue Verbindungsanforderungsrichtlinien führt Sie durch den Vorgangzum Erstellen einer Verbindungsanforderungsrichtlinie und Remote-RADIUS-Servergruppe.

Zum Seitenanfang


• Ein VPN erweitert ein privates Netzwerk, indem es Verbindungen über freigegebenebzw. öffentliche Netzwerke wie das Internet "umhüllt". Kombiniert mitAuthentifizierung, Kapselung und Verschlüsselung können Sie ein VPN einsetzen, umDaten zwischen zwei Computern über ein freigegebenes bzw. öffentliches Netzwerk ineiner Weise zu senden, die eine private Punkt-zu-Punkt-Verbindung emuliert.

• Eine RAS-VPN-Verbindung verbindet einen einzelnen Computer mit einem privaten Netzwerk über ein freigegebenes bzw. öffentliches Netzwerk. Eine Standardroute oderein Satz von Routen, die die Adressen des privaten Intranets zusammenfassen, vereinfachen das Routing von RAS-VPN-Verbindungen.

• Eine Standort-zu-Standort-VPN-Verbindung verbindet zwei Teile eines privaten Netzwerks über ein öffentliches bzw. freigegebenes Netzwerk. Ein zur Schnittstelle fürWählen bei Bedarf (die eine Punkt-zu-Punkt-VPN-Verbindung repräsentiert) gehörigerSatz von Routen erleichtert das Routing für Standort-zu-Standort-VPN-Verbindungen.

• Windows XP und Windows Server 2003 unterstützen sowohl einen VPN-Client als aucheinen VPN-Server für RAS-VPN-Verbindungen. Ein Computer unter WindowsServer 2003 kann als anfordernder oder antwortender Router in einerStandort-zu-Standort-VPN-Verbindung agieren.

• RADIUS ist ein Standardprotokoll, das für Autorisierung, Authentifizierung undKontoführung von Netzwerkzugriffen, einschließlich VPN-Verbindungen, verwendetwerden kann. Der in Windows Server 2003 enthaltene IAS stellt die Implementierungeines RADIUS-Servers und -Proxys von Microsoft dar.

• IAS verwendet RAS-Richtlinien zum Ermitteln der Autorisierung für Netzwerkzugriffeund Verbindungsanforderungsrichtlinien, um zu ermitteln, ob ein IAS-Server eingehende RADIUS-Anforderungsnachrichten lokal verarbeiten oder an einen anderen RADIUS-Server weiterleiten soll.

Zum Seitenanfang

KapitelglossarAnfordernder Router – Der Router, der die Wählverbindung bei Bedarf initiiert (derVPN-Client).

Antwortender Router – Der Router, der den Versuch einer Wählverbindung bei Bedarfbeantwortet (der VPN-Server).

Benutzerkontendatenbank – Eine Liste von Benutzerkonten und deren Eigenschaften, dieein RADIUS-Server verwenden kann, um Anmeldeinformationen zum Authentifizieren zuüberprüfen und Benutzerkontoeigenschaften abzurufen, die Informationen überAutorisierungs- und Verbindungsparameter enthalten.

Layer-2-Tunneling-Protokoll (L2TP) – Ein VPN-Tunneling-Protokoll, das UDP und einenL2TP-Header zum Kapseln von PPP-Frames verwendet, die über ein IPv4-Netzwerkgesendet werden.

Point-to-Point-Protokoll (PPP) – Eine Protokollsuite nach Industriestandard fürPunkt-zu-Punkt-Verbindungen, über die Pakete verschiedener Protokolle übertragenwerden.

Point-to-Point-Tunneling-Protokoll (PPTP) – Ein VPN-Tunneling-Protokoll, das eine

TCP-Verbindung zum Etablieren des Tunnels und einen GRE-Header (Generic RoutingEncapsulation) zum Kapseln von PPP-Frames verwendet.

RADIUS – Siehe Remote Authentication Dial-In User Service (RADIUS).

RADIUS-Proxy – Ein RADIUS-fähiges Gerät, das RADIUS-Verbindungsanforderungs- undKontoführungsnachrichten zwischen RADIUS-Clients (und RADIUS-Proxys) undRADIUS-Servern (und RADIUS-Proxys) weiterleitet.

RADIUS-Server – Ein Server, der Verbindungsanfragen oder Kontoführungsnachrichten,die von RADIUS-Clients oder RADIUS-Proxys gesendet wurden, empfängt und verarbeitet.

RAS-VPN-Verbindung – Eine VPN-Verbindung, die einen einzelnen Computer mit einemprivaten Netzwerk über ein freigegebenes bzw. öffentliches Netzwerk verbindet.

Remote Authentication Dial-In User Service (RADIUS) – Ein Industriestandardprotokoll,das Sie zum Senden von Nachrichten zwischen Zugriffsservern, RADIUS-Servern und-Proxys verwenden können, um Authentifizierung, Autorisierung und Kontoführung vonNetzwerkzugriffen bereitzustellen.

Standort-zu-Standort-VPN-Verbindung – Eine VPN-Verbindung, die zwei Teile einesprivaten Netzwerks über ein öffentliches bzw. freigegebenes Netzwerk verbindet.

Virtuelles Privates Netzwerk (VPN) – Die Erweiterung eines privaten Netzwerks, die einegekapselte, verschlüsselte und authentifizierte Verbindung über freigegebene oderöffentliche Netzwerke umfasst. VPN-Verbindungen können RAS-Verbindungen undgeroutete Verbindungen über freigegebene oder öffentliche Netzwerke (bspw. dasInternet) für private Netzwerke zur Verfügung stellen.

VPN – Siehe Virtuelles Privates Netzwerk (VPN).

VPN-Client – Ein Computer, der eine Verbindung zu einem VPN-Server initiiert.

VPN-Server – Ein Computer, der VPN-Verbindungen von VPN-Clients akzeptiert. EinVPN-Server kann eine RAS- oder eine Standort-zu-Standort-VPN-Verbindungbereitstellen.

Zugriffsclient – Ein Netzwerkgerät, das Zugriff auf ein Netzwerk oder einen anderen Teildes Netzwerks anfordert.

Zugriffsserver – Ein Netzwerkgerät, das Zugriff auf ein Netzwerk bereitstellt. EinZugriffsserver, der einen RADIUS-Server zur Authentifizierung, Autorisierung undKontoführung verwendet, ist gleichzeitig ein RADIUS-Client.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 15 – IPv6-ÜbergangstechnologienVeröffentlicht: 18. Apr 2006

Zusammenfassung

In diesem Kapitel werden die Mechanismen, die den Übergang von Internet Protocol, Version4, (IPv4) zu Internet Protocol, Version 6 (IPv6) unterstützen, sowie dieIPv6-Übergangstechnologien beschrieben, die in Microsoft® Windows Server™ 2003 undWindows® XP enthalten sind. Da nicht zu erwarten ist, dass reine IPv4-Umgebungen innächster Zukunft durch reine IPv6-Umgebungen ersetzt werden, müssenNetzwerkadministratoren die Übergangstechnologien verstehen, die die gleichzeitigeVerwendung von IPv6 und IPv4 in einer gemischten Umgebung ermöglichen.

Auf dieser Seite

Zielsetzung

Einführung

IPv6-Übergangsmechanismen

ISATAP

IPv6-zu-IPv4

Teredo

Migration zu IPv6


Kapitelglossar


• Auflisten und Erläutern der unterschiedlichen Arten von IPv4- und IPv6-Knoten

• Erläutern der Mechanismen für den Übergang von IPv4 zu IPv6

• Auflisten und Erläutern der verschiedenen Tunnelingkonfigurationen

• Definieren der Unterschiede zwischen konfiguriertem und automatischem Tunneling

• Erläutern des Zwecks, der Anforderungen und Adressen von ISATAP

• Erläutern des Zwecks, der Anforderungen und Adressen von IPv6-zu-IPv4

• Erläutern des Zwecks, der Anforderungen und Adressen von Teredo

• Auflisten und Erläutern der Schritte bei der Migration von IPv4 zu IPv6

Zum Seitenanfang

EinführungProtokollübergänge erfolgen in der Regel durch Installation und Konfiguration des neuenProtokolls auf allen Knoten im Netzwerk, und indem überprüft wird, ob alle Knoten- undRoutervorgänge einwandfrei ausgeführt werden. Während diese Umstellung in kleinen odermittleren Organisationen eventuell möglich ist, stellt ein rascher Protokollübergang in großenOrganisationen eine große Herausforderung dar. Angesichts des Umfangs des Internets istein schneller Protokollübergang zudem ein Ding der Unmöglichkeit.

Die Entwickler von IPv6 erkannten, dass der Übergang von IPv4 zu IPv6 Jahre dauern würdeund dass es Organisationen oder Hosts innerhalb von Organisationen gibt, die IPv4 auf unbestimmte Zeit weiterverwenden werden. Die Migration ist daher zwar ein langfristiges Ziel, jedoch ist der vorläufigen Koexistenz von IPv4- und IPv6-Knoten gleiche Beachtung zuschenken.

RFC 2893 definiert die folgenden Knotentypen:

In diesem Beitrag

• Übersicht




















• Reiner IPv4-Knoten

Ein Knoten, der nur IPv4 verwendet und dem nur IPv4-Adressen zugeordnet sind. Dieser Knotentyp unterstützt IPv6 nicht. Die meisten heute installierten Hosts und Router sindreine IPv4-Knoten.

• Reiner IPv6-Knoten

Ein Knoten, der nur IPv6 verwendet und dem nur IPv6-Adressen zugeordnet sind. Dieser Knotentyp kann nur mit IPv6-Knoten und -Anwendungen kommunizieren. Dieser Knotentyp ist heute nicht sehr häufig, seine Verbreitung nimmt jedoch zu, da kleineGeräte wie Mobiltelefone und Handcomputer nur IPv6 verwenden.

• IPv6/IPv4-Knoten

Ein Knoten, der sowohl IPv4 als auch IPv6 verwendet.

• IPv4-Knoten

Ein Knoten, der IPv4 verwendet. Ein IPv4-Knoten kann ein reiner IPv4-Knoten oder ein IPv6/IPv4-Knoten sein.

• IPv6-Knoten

Ein Knoten, der IPv6 verwendet. Ein IPv6-Knoten kann ein reiner IPv6-Knoten oder ein IPv6/IPv4-Knoten sein.

Damit die Koexistenz möglich ist, können alle Knoten (IPv4- oder IPv6-Knoten) über eineIPv4-Infrastruktur, eine IPv6-Infrastruktur oder über eine kombinierte IPv4- undIPv6-Infrastruktur kommunizieren. Die echte Migration ist erreicht, wenn alle IPv4-Knoten in reine IPv6-Knoten konvertiert wurden. In absehbarer Zeit ist jedoch die Migration praktisch vollzogen, wenn so viele reine IPv4-Knoten wie möglich in reine IPv6-Knoten konvertiertsind. Reine IPv4-Knoten können mit reinen IPv6-Knoten über einen IPv4-zu-IPv6-Proxy oderein Übersetzungsgateway kommunizieren.

Zum Seitenanfang

IPv6-ÜbergangsmechanismenFür die Koexistenz mit einer IPv4-Infrastruktur und für einen späteren Übergang zu einerreinen IPv6-Infrastruktur werden die folgenden Mechanismen verwendet:

• Architekturen mit doppeltem Stack oder doppelter IP-Schicht

• DNS-Infrastruktur

• IPv6-über-IPv4-Tunneling

Architekturen mit doppeltem Stack oder doppelter IP-SchichtIPv6/IPv4-Hosts können auf einer Architektur mit doppeltem Stack oder doppelter IP-Schichtberuhen. In beiden Architekturen sind die folgenden Arten von Verkehr möglich:

• IPv4

• IPv6

• IPv6-Verkehr, der mit einem IPv4-Header gesendet wird (IPv6-über-IPv4-Tunneling)

Die Architektur mit doppeltem Stack ist in Abbildung 15-1 dargestellt.

Abbildung 15-1: Die Architektur mit doppeltem Stack

Das IPv6-Protokoll für Windows Server 2003 und Windows XP verwendet die Architektur mitdoppeltem Stack. Der IPv6-Treiber von Windows Server 2003 und Windows XP, Tcpip6.sys,enthält eine separate Implementierung von TCP und UDP.

Eine doppelte IP-Schicht enthält eine einzelne Implementierung von Protokollen derTransportschicht wie TCP und UDP. Abbildung 2 zeigt eine Architektur mit doppelter IP-Schicht.

Abbildung 15-2: Die Architektur mit doppelter IP-Schicht

Die Architektur mit doppeltem Stapel und die Architektur mit doppelter IP-Schicht bieten beide die gleichen Funktionen für den Übergang zu IPv6.

DNS-InfrastrukturFür eine erfolgreiche Koexistenz wird eine DNS-Infrastruktur benötigt, da für den Verweisauf Netzwerkressourcen vorwiegend Namen anstelle von Adressen verwendet werden. Zur Aktualisierung der DNS-Infrastruktur werden die DNS-Server mit Datensätzen gefüllt, damitdie IPv6-Auflösung von Namen in Adressen und die Auflösung von Adressen in Namenunterstützt wird.

Bei der Auflösung von Namen in Adressen muss die DNS-Infrastruktur AAAA-Einträge fürIPv6-Knoten speichern können, die entweder manuell oder dynamisch gefüllt werden.

Bei der Auflösung von Adressen in Namen (umgekehrte Abfragen) muss dieDNS-Infrastruktur AAAA-Einträge für IPv6-Knoten speichern können, die entweder manuelloder dynamisch gefüllt werden.

Regeln für die AdressenauswahlNachdem der abfragende Knoten die dem Namen entsprechenden Adressen erhalten hat, muss er bei der Auflösung von Namen in Adressen die Adressen festlegen, die als Quelle undZiel für ausgehende Pakete verwendet werden sollen.

In den heutigen überwiegend reinen IPv4-Umgebungen stellt dies kein Problem dar. In einerUmgebung, in der IPv4 und IPv6 nebeneinander existieren, werden bei einer DNS-Abfrage jedoch möglicherweise sowohl IPv4- als auch IPv6-Adressen zurückgegeben. Der typischeabfragende IPv6/IPv4-Host ist mit mindestens einer IPv4-Adresse und mehreren IPv6-Adressen konfiguriert. Die Festlegung des Adresstyps (IPv4 oder IPv6) und bei IPv6-Adressen die Festlegung einer Quelle und einer in Bezug auf Bereich und Zweck entsprechenden Zieladresse ist keine einfache Aufgabe.

Weitere Informationen finden Sie unter Auswahl von Quell- und Zieladressen bei IPv6. Standardregeln für die Auswahl von Adressen sind in RFC 3484 definiert.

Die Standardregeln für die Auswahl von Adressen für IPv6 unter Windows Server 2003 undWindows XP sind in der Tabelle mit den Präfixrichtlinien gespeichert, die Sie mit dem Befehlnetsh interface ipv6 show prefixpolicy anzeigen können. Die Einträge in der Tabelle mitden Präfixrichtlinien können mit den Befehlen netsh interface ipv6 add|set|delete prefixpolicy geändert werden. IPv6-Adressen in Antworten auf DNS-Abfragen werdengegenüber IPv4-Adressen standardmäßig bevorzugt.

IPv6-über-IPv4-TunnelingIPv6-über-IPv4-Tunneling ist die Kapselung von IPv6-Paketen mit einem IPv4-Header, sodass IPv6-Pakete über eine IPv4-Infrastruktur gesendet werden können. Innerhalb desIPv4-Headers:

• Das IPv4-Protokollfeld wird auf 41 festgelegt, um ein gekapseltes IPv6-Paket anzugeben.

• Das Quell- und das Zielfeld werden auf IPv4-Adressen der Tunnelendpunkte eingestellt. Die Tunnelendpunkte werden entweder manuell konfiguriert oder automatisch aus der sendenden Tunnelschnittstelle sowie der Adresse für den nächsten Hop in derentsprechenden Route zur IPv6-Zieladresse im Tunnelpaket abgeleitet.

Abbildung 15-3 zeigt das IPv6-über-IPv4-Tunneling

Abbildung 15-3: IPv6-über-IPv4-Tunneling Abbildung vergrößern

Hinweis: IPv6-über-IPv4-Tunneling beschreibt nur eine Kapselung von IPv6-Paketen miteinem IPv4-Header, so dass IPv6-Knoten über eine IPv4-Infrastruktur erreicht werdenkönnen. Im Unterschied zum Tunneling für das Point-to-Point-Tunneling-Protokoll (PPTP)und das Layer-2-Tunneling-Protokoll (L2TP) werden zum Einrichten, zur Aufrechterhaltung oder Beendigung des Tunnels keine Nachrichten ausgetauscht. IPv6-über-IPv4-Tunnelingbietet darüber hinaus keine Sicherheit für getunnelte IPv6-Pakete. Weitere Informationenüber PPTP und L2TP finden Sie in Kapitel 14, "Virtuelle Private Netzwerke."

TunnelingkonfigurationenIn RFC 2893 sind die folgenden Tunnelingkonfigurationen definiert, mit denen der IPv6-Verkehr zwischen IPv6/IPv4-Knoten über eine IPv4-Infrastruktur getunnelt wird:

• Router-zu-Router

Bei der Router-zu-Router-Tunnelingkonfiguration verbinden zwei IPv6/IPv4-Router zweiIPv6-fähige Infrastrukturen über eine IPv4-Infrastruktur. Die Tunnelendpunkte umfasseneine logische Verbindung im Pfad zwischen der Quelle und dem Ziel. DerIPv6-über-IPv4-Tunnel zwischen den beiden Routern stellt nur einen Hop dar. Routeninnerhalb jeder IPv6-fähigen Infrastruktur zeigen auf den äußeren IPv6/IPv4-Router.

• Host-zu-Router oder Router-zu-Host

Bei der Host-zu-Router-Tunnelingkonfiguration erstellt ein IPv6/IPv4-Knoten, der sich innerhalb einer IPv4-Infrastruktur befindet, einen IPv6-über-IPv4-Tunnel, um einenIPv6/IPv4-Router zu erreichen. Die Tunnelendpunkte umfassen das erste Segment des Pfades zwischen dem Quell- und dem Zielknoten. Der IPv6-über-IPv4-Tunnel zwischendem IPv6/IPv4-Knoten und dem IPv6/IPv4-Router stellt nur einen Hop dar.

Bei der Router-zu-Host-Tunnelingkonfiguration erstellt ein IPv6/IPv4-Router über eineIPv4-Infrastruktur einen IPv6-über-IPv4-Tunnel, um einen IPv6/IPv4-Knoten zuerreichen. Die Tunnelendpunkte umfassen das letzte Segment des Pfades zwischen dem Quell- und dem Zielknoten. Der IPv6-über-IPv4-Tunnel zwischen dem IPv6/IPv4-Routerund dem IPv6/IPv4-Knoten stellt nur einen Hop dar.

• Host-zu-Host

Bei der Host-zu-Host-Tunnelingkonfiguration erstellt ein IPv6/IPv4-Knoten, der sich innerhalb einer IPv4-Infrastruktur befindet, einen IPv6-über-IPv4-Tunnel, um einenanderen IPv6/IPv4-Knoten innerhalb derselben IPv4-Infrastruktur zu erreichen. Die Tunnelendpunkte umfassen den gesamten Pfad zwischen dem Quell- und dem Zielknoten. Der IPv6-über-IPv4-Tunnel zwischen den IPv6/IPv4-Knoten stellt nur einen Hop dar.

Auf jedem IPv6/IPv4-Knoten wird eine Schnittstelle erstellt, die den IPv6-über-IPv4-Tunneldarstellt. IPv6-Routen, die die Tunnelschnittstelle verwenden, werden hinzugefügt. Je nachder sendenden Tunnelschnittstelle, der Route und der Zieladresse tunnelt der sendende Knoten den IPv6-Verkehr zum nächsten Hop oder zum Ziel. Die IPv4-Adresse desTunnelendpunkts kann manuell konfiguriert oder anhand der Adresse des nächsten Hops fürdas Ziel und die Tunnelschnittstelle automatisch festgelegt werden.

TunneltypenIn RFC 2893 werden die folgenden Tunneltypen definiert:

• Konfiguriert

Bei einem konfigurierten Tunnel müssen die Tunnelendpunkte manuell konfiguriertwerden. Bei einem konfigurierten Tunnel werden die IPv4-Adressen der Tunnelendpunkte nicht aus der Adresse des nächsten Hops abgeleitet, die der Zieladresse entspricht.

Router-zu-Router-Tunnelingkonfigurationen werden in der Regel manuell konfiguriert. Die Tunnelschnittstellenkonfiguration, die die IPv4-Adressen der Tunnelendpunkte umfasst, muss zusammen mit den Routen, die die Tunnelschnittstelle verwenden, manuell festgelegt werden.

Verwenden Sie den Befehl netsh interface ipv6 add v6v4tunnel, um konfigurierte Tunnels für das IPv6-Protokoll für Windows Server 2003 und Windows XP manuell zuerstellen.

• Automatisch

Ein automatischer Tunnel erfordert keine manuelle Konfiguration. Die Tunnelendpunkte werden mithilfe logischer Tunnelschnittstellen, Routen und IPv6-Zieladressen festgelegt.

Das IPv6-Protokoll für Windows Server 2003 und Windows XP unterstützt die folgendenautomatischen Tunnelingverfahren:

• Intra-site Automatic Tunnel Addressing Protocol (ISATAP)

• IPv6-zu-IPv4

• Teredo

Das IPv6-Protokoll für Windows Server 2003 und Windows XP unterstützt außerdem dasautomatische Tunneling über IPv6-kompatible Adressen und IPv6-über-IPv4. WeitereInformationen finden Sie unter IPv6-Übergangstechnologien (in englischer Sprache).

Zum Seitenanfang

ISATAPISATAP ist ein Adresszuordnungs- und ein automatisches Host-zu-Host-, Host-zu-Router- und Router-zu-Host-Tunnelingverfahren, mit dem IPv6-Unicastverbindungen zwischen IPv6-Hosts über ein IPv4-Intranet bereitgestellt werden. ISATAP wird in RFC 4214beschrieben. ISATAP-Hosts müssen nicht manuell konfiguriert werden und erstellenISATAP-Adressen mithilfe standardmäßiger Mechanismen für die automatischeAdresskonfiguration.

ISATAP kann für die Kommunikation zwischen IPv6/IPv4-Knoten in einem IPv4-Intranetverwendet werden. ISATAP-Adressen verwenden die lokal verwaltete Schnittstellenkennung ::0:5EFE:w.x.y.z. Bei w.x.y.z handelt sich um eine öffentliche oder privateIPv4-Unicastadresse. Ein Beispiel für eine Link-Local-ISATAP-Adresse istFE80::5EFE:131.107.4.92. Die ISATAP-Schnittstellenkennung kann mit jedem64-Bit-Subnetzpräfix kombiniert werden, das für IPv6-Unicastadressen gültig ist,einschließlich globaler, Site-Local- und lokaler Präfixe.

Für jede IPv4-Adresse, die dem Knoten zugeordnet ist, konfiguriert IPv6 für WindowsServer 2003 und Windows XP in der Standardeinstellung die Link-Local-ISATAP-AdresseFE80::5EFE:w.x.y.z automatisch auf der Pseudoschnittstelle für automatisches Tunneling(der ISATAP-Schnittstelle mit dem Schnittstellenindex 2). Diese Link-Local-ISATAP-Adresseermöglicht zwei Hosts die Kommunikation über ein IPv4-Netzwerk, indem jeder Host dieLink-Local-ISATAP-Adresse des anderen Hosts verwendet.

Angenommen, Host A ist mit der IPv4-Adresse 10.40.1.29 konfiguriert und Host B mit der IPv4-Adresse 192.168.41.30. Wenn IPv6 für Windows XP und Windows Server 2003gestartet wird, konfiguriert Host A automatisch die ISATAP-Adresse FE80::5EFE:10.40.1.29 und Host B automatisch die ISATAP-Adresse FE80::5EFE:192.168.41.30. Diese Beispielkonfiguration ist in Abbildung 15-4 dargestellt.

Abbildung 15-4: Ein Beispiel für eine ISATAP-Konfiguration Abbildung vergrößern

Wenn Host A über die Link-Local-ISATAP-Adresse von Host B IPv6-Verkehr an Host Bsendet, entsprechen die Quell- und die Zieladresse für den IPv6- und IPv4-Header denAngaben in Tabelle 15-1.

Tabelle 15-1 Beispiel für IPv4- und IPv6-Adressen für ISATAP

Feld Wert

Tabelle 15-1 Beispiel für IPv4- und IPv6-Adressen für ISATAP

Feld Wert

IPv6-Quelladresse FE80::5EFE:10.40.1.29

IPv6-Zieladresse FE80::5EFE:192.168.41.30

IPv4-Quelladresse 10.40.1.29

IPv4-Zieladresse 192.168.41.30

Zum Testen der Verbindung kann ein Benutzer auf Host A den folgenden Ping-Befehl an die Link-Local-ISATAP-Adresse von Host B senden:

ping FE80::5EFE:192.168.41.30%2

Da es sich bei dem Ziel des Ping-Befehls um eine Link-Local-Adresse handelt, muss im Abschnitt "%Zonenkennung" des Befehls der Schnittstellenindex der Schnittstelle angegeben werden, von der der Verkehr gesendet wird. In diesem Fall wird mit "%2" die Schnittstelle 2 angegeben; hierbei handelt es sich um den Schnittstellenindex, der der Pseudoschnittstellefür automatisches Tunneling auf Host A zugeordnet ist. Die ISATAP-Schnittstelle verwendetdie letzten 32 Bits der IPv6-Zieladresse als IPv4-Zieladresse und die lokal zugeordnete IPv4-Adresse als IPv4-Quelladresse.

Verwenden eines ISATAP-RoutersDie Verwendung von Link-Local-ISATAP-Adressen ermöglicht IPv6/IPv4-Hosts im gleichenlogischen ISATAP-Subnetz, miteinander zu kommunizieren. Link-Local-Adressen werden jedoch nicht in DNS registriert und können nicht für die Kommunikation mit anderenIPv6-Hosts in anderen Subnetzen verwendet werden. Sollen ISATAP-Hosts zusätzlicheSubnetzpräfixe erhalten, müssen sie die Routersuche und die automatischeAdresskonfiguration über einen ISATAP-Router durchführen. Für die Kommunikation überdas logische Subnetz hinaus, bei der keine Link-Local-ISATAP-Adressen verwendet werden,müssen ISATAP-Hosts ihre Pakete zu einem ISATAP-Router tunneln. Abbildung 15-5 zeigteinen ISATAP-Router.

Abbildung 15-5: Ein ISATAP-Router Abbildung vergrößern

Bei einem ISATAP-Router handelt es sich um einen IPv6/IPv4-Router, der Folgendes leistet:

• Er gibt Subnetzpräfixe bekannt, die dem logischen ISATAP-Subnetz zugeordnet sind, indem sich ISATAP-Hosts befinden. ISATAP-Hosts verwenden die bekannt gegebenenSubnetzpräfixe für die Konfiguration globaler ISATAP-Adressen.

• Er leitet Pakete zwischen ISATAP-Hosts und Hosts in anderen IPv6-Subnetzen weiter (optional).

Bei den anderen Subnetzen kann es sich um Subnetze in einem IPv6-fähigen Abschnittdes Netzwerks der Organisation oder des IPv6-Internets handeln.

Wenn ein ISATAP-Host von einem ISATAP-Router eine Routerankündigung empfängt, führter die automatische Adresskonfiguration aus und konfiguriert zusätzliche IPv6-Adressen aufder ISATAP-Schnittstelle mit der Schnittstellenkennung ::5EFE:w.x.y.z.

Wenn der ISATAP-Router sich selbst als Standardrouter bekannt gibt, fügt der ISATAP-Hostmithilfe der ISATAP-Schnittstelle eine Standardroute (::/0) hinzu, wobei die Adresse für dennächsten Hop auf die Link-Local-ISATAP-Adresse des ISATAP-Routers festgelegt wird. Wennein ISATAP-Host Pakete an Ziele außerhalb des logischen ISATAP-Subnetzes sendet, werdensie zur IPv4-Adresse des ISATAP-Routers getunnelt. Das IPv6-Paket wird anschließend vomISATAP-Router weitergeleitet.

IPv6 für Windows Server 2003 und Windows XP bezieht die IPv4-Adresse des

ISATAP-Routers über einen der folgenden Schritte:

• Erfolgreiche Auflösung des Namens "ISATAP" in eine IPv4-Adresse

• Ausführung des Befehls netsh interface ipv6 isatap set router

Auflösen des ISATAP-NamensBeim Start von IPv6 für Windows Server 2003 und Windows XP wird versucht, den Namen"ISATAP" in eine IPv4-Adresse aufzulösen. Dabei werden die folgenden TCP/IP-Verfahren zurAuflösung von Namen verwendet:

• Überprüfen des lokalen Hostnamens

• Überprüfen des DNS-Clientauflösungscache, der die Einträge der im OrdnerSystemRoot\system32\drivers\etc abgelegten Hosts-Datei enthält

• Bilden eines vollqualifizierten Domänennamens und Senden einer DNS-Namensabfrage.Wenn der Computer, auf dem Windows Server 2003 oder Windows XP ausgeführt wird,beispielsweise Mitglied der Domäne example.com ist (und nur example.com in der Suchliste enthalten ist), sendet der Computer eine DNS-Abfrage, um den Namen isatap.example.com aufzulösen.

• Konvertieren des ISATAP-Namens in den NetBIOS-Namen "ISATAP <00>" und Überprüfen

des NetBIOS-Namencaches

• Senden einer NetBIOS-Namensabfrage an die konfigurierten WINS (Windows Internet Name Service)-Server

• Senden von NetBIOS-Broadcasts

• Überprüfen der Lmhosts-Datei im Ordner SystemRoot\system32\drivers\etc

Bei Erfolg sendet der Host an den ISATAP-Router eine IPv4-gekapselte Routeranfragenachricht. Der ISATAP-Router antwortet mit einer IPv4-gekapseltenRouterankündigungsnachricht, die Subnetzpräfixe enthält, die für die automatischeKonfiguration von ISATAP-Adressen verwendet werden, und in der er sich selbst als Standardrouter bekannt gibt.

Wenn Sie sicherstellen möchten, dass mindestens einer dieser Versuche erfolgreich ist,können Sie je nach Bedarf einen oder mehrere der folgenden Schritte ausführen:

• Wenn es sich bei dem ISATAP-Router um einen Computer unter Windows Server 2003oder Windows XP handelt, geben Sie dem Computer den Namen ISATAP. Dann werden in DNS und WINS automatisch die entsprechenden Einträge registriert.

• Erstellen Sie in den entsprechenden Domänen in DNS manuell einen A-Adresseintrag fürden Namen "ISATAP". Erstellen Sie z. B. für die Domäne example.com einen A-Eintragfür isatap.example.com mit der IPv4-Adresse des ISATAP-Routers.

• Erstellen Sie manuell einen statischen WINS-Eintrag in WINS für den NetBIOS-Namen"ISATAP <00>".

• Fügen Sie in die Hosts-Datei der Computer, die den Namen ISATAP auflösen müssen, denfolgenden Eintrag ein:

IPv4-Adresse ISATAP

• Fügen Sie in die Lmhosts-Datei der Computer, die den Namen ISATAP auflösen müssen,den folgenden Eintrag ein:

IPv4-Adresse ISATAP

Verwenden des Befehls "netsh interface ipv6 isatap set router"Zwar ist die automatische Auflösung des ISATAP-Namens die empfohlene Methode zurKonfiguration der IPv4-Adresse des ISATAP-Routers, doch können Sie den Namen oder dieIPv4-Adresse des ISATAP-Routers mit dem Befehl netsh interface ipv6 isatap set routerauch manuell konfigurieren. Dieser Befehl hat folgende Syntax:

netsh interface ipv6 isatap set router Adresse_oder_Name

Bei Adresse_oder_Name handelt es sich um den Namen oder die IPv4-Adresse der Intranetschnittstelle des ISATAP-Routers. Wenn die IPv4-Adresse des ISATAP-Routers z. B.192.168.39.1 lautet, so lautet der Befehl:

netsh interface ipv6 isatap set router 192.168.39.1

Einrichten eines ISATAP-RoutersEin Computer unter Windows Server 2003 oder Windows XP kann als ISATAP-Routerkonfiguriert werden. Angenommen, der Router ist bereits für die Weiterleitung vonIPv6-Verkehr über seine LAN-Schnittstellen konfiguriert und verfügt über eineStandardroute, die veröffentlicht wird, müssen auf dem Router die folgenden zusätzlichenBefehle eingegeben werden:

netsh interface ipv6 set interface "Pseudoschnittstelle für automatischesTunneling" forwarding=enabled advertise=enabled

netsh interface ipv6 add routeSubnetzpräfix/Präfixlänge "Pseudoschnittstelle fürautomatisches Tunneling" publish=yes

Mit dem ersten Befehl wird die Weiterleitung und Ankündigung über die Pseudoschnittstellefür automatisches Tunneling (die ISATAP-Schnittstelle) aktiviert.

Mit dem zweiten Befehl wird die Ankündigung eines bestimmten Subnetzpräfix(Subnetzpräfix/Präfixlänge) über die Pseudoschnittstelle für automatisches Tunnelingaktiviert. Verwenden Sie diesen Befehl ein Mal oder mehrere Male, um die erforderliche Anzahl an Subnetzpräfixen bekannt zu geben. Alle mit diesem Befehl konfiguriertenSubnetzpräfixe sind in der Routerankündigungsnachricht enthalten, die an den ISATAP-Hostzurückgesendet wird.

Wenn der Router nicht den Namen ISATAP hat oder der Name ISATAP nicht in die IPv4-Adresse der Intranetschnittstelle des Routers aufgelöst wird, müssen Sie auf demRouter zusätzlich den folgenden Befehl eingeben:

netsh interface ipv6 isatap set router Adresse_oder_Name

Zum Seitenanfang

IPv6-zu-IPv4IPv6-zu-IPv4 ist ein Adresszuordnungs- und ein automatisches Router-zu-Router-Tunnelingverfahren, mit dem IPv6-Unicastverbindungen zwischen IPv6-Standorten und -Hosts über das IPv4-Internet bereitgestellt werden. IPv6-zu-IPv4verwendet das globale Adresspräfix 2002:WWXX:YYZZ::/48. WWXX:YYZZ ist diehexadezimale Darstellung mit Doppelpunkt einer öffentlichen IPv4-Adresse (w.x.y.z), dieeinem Standort oder Host zugeordnet ist. Die vollständige IPv6-zu-IPv4-Adresse lautet:

2002:WWXX:YYZZ:Subnetzkennung:Schnittstellenkennung

IPv6-zu-IPv4 ist in RFC 3056 beschrieben, wo die folgenden Begriffe definiert werden:

• IPv6-zu-IPv4-Host

Jeder IPv6-Host, der mit mindestens einer IPv6-zu-IPv4-Adresse (einer globalen Adresse mit dem Präfix 2002::/16) konfiguriert ist. IPv6-zu-IPv4-Hosts müssen nicht manuellkonfiguriert werden und erstellen IPv6-zu-IPv4-Adressen mithilfe standardmäßigerMechanismen für die automatische Adresskonfiguration.

• IPv6-zu-IPv4-Router

Ein IPv6/IPv4-Router, der die Verwendung einer IPv6-zu-IPv4-Tunnelschnittstelleunterstützt und in der Regel zur Weiterleitung von Verkehr mit IPv6-zu-IPv4-Adressenzwischen den IPv6-zu-IPv4-Hosts eines Standorts und anderen IPv6-zu-IPv4-Routern oder dem IPv6-Internet über einen IPv6-zu-IPv4-Relay-Router verwendet wird.

• IPv6-zu-IPv4-Relay-Router

Ein IPv6/IPv4-Router, der Verkehr mit IPv6-zu-IPv4-Adressen zwischen IPv6-zu-IPv4-Routern im IPv4-Internet und Hosts im IPv6-Internet weiterleitet.

In Abbildung 15-6 werden IPv6-zu-IPv4-Komponenten dargestellt.

Abbildung 15-6: IPv6-zu-IPv4-Komponenten Abbildung vergrößern

Innerhalb eines Standorts geben lokale IPv6-Router2002:WWXX:YYZZ:Subnetzkennung::/64-Subnetzpräfixe bekannt, damit die HostsIPv6-zu-IPv4-Adressen automatisch konfigurieren können. IPv6-Router innerhalb desStandorts übertragen den Verkehr zwischen den IPv6-zu-IPv4-Hosts. Hosts in einzelnenSubnetzen werden automatisch mit einer 64-Bit-Subnetzroute für die direkte Übermittlungan Nachbarn und einer Standardroute mit der Adresse für den nächsten Hop des bekanntgebenden Routers konfiguriert. IPv6-Verkehr, dessen Subnetzpräfixe nicht den innerhalb desStandorts verwendeten Präfixen entsprechen, wird an einen IPv6-zu-IPv4-Router am Randdes Standorts weitergeleitet. Der IPv6-zu-IPv4-Router am Standortrand verfügt über eine2002::/16-Route, über die Verkehr an andere IPv6-zu-IPv4-Standorte weitergeleitet wird,sowie über eine Standardroute (::/0), über die Verkehr an einen IPv6-zu-IPv4-Relay-Routerweitergeleitet wird.

Im Beispielnetzwerk der Abbildung 15-6 können Host A und Host B miteinanderkommunizieren, da es eine Standardroute gibt, die die Adresse für den nächsten Hop desIPv6-zu-IPv4-Routers an Standort 1 verwendet. Wenn Host A mit dem an einem anderen Standort befindlichen Host C kommuniziert, sendet Host A den Verkehr an den IPv6-zu-IPv4-Router an Standort 1 in Form von IPv6-Paketen. Der IPv6-zu-IPv4-Router an Standort 1, der die Route 2002::/16 in seiner Routingtabelle und die IPv6-zu-IPv4-Tunnelschnittstelle verwendet, kapselt den Verkehr mit einem IPv4-Header und sendet ihn über einen Tunnel zum IPv6-zu-IPv4-Router an Standort 2. DerIPv6-zu-IPv4-Router an Standort 2 empfängt den getunnelten Verkehr, entfernt denIPv4-Header und leitet das IPv6-Paket unter Verwendung der Subnetzpräfixroute in seinerRoutingtabelle an Host C weiter.

Beispiel: Host A befindet sich im Subnetz 1 von Standort 1 mit der öffentlichen IPv4-Adresse157.60.91.123. Host C befindet sich im Subnetz 2 von Standort 2 mit der öffentlichenIPv4-Adresse 131.107.210.49. In Tabelle 2 sind die Adressen im IPv4- und im IPv6-Headeraufgeführt, die verwendet werden, wenn der IPv6-zu-IPv4-Router an Standort 1 dasIPv4-gekapselte IPv6-Paket an den IPv6-zu-IPv4-Router an Standort 2 sendet.

Tabelle 15-2 Beispiel für IPv6-zu-IPv4-Adressen

Feld Wert

IPv6-Quelladresse 2002:9D3C:5B7B:1::1

IPv6-Zieladresse 2002:836B:D231:2::3

IPv4-Quelladresse 157.60.91.123

IPv4-Zieladresse 131.107.210.49

Wenn Sie IPv6-zu-IPv4-Hosts, eine IPv6-Routinginfrastruktur innerhalb eines Standorts,

einen IPv6-zu-IPv4-Router an der Standortgrenze und einen IPv6-zu-IPv4-Relay-Router verwenden, sind die folgenden Kommunikationsarten möglich:

• Ein IPv6-zu-IPv4-Host kann mit anderen IPv6-zu-IPv4-Hosts innerhalb desselben Standorts kommunizieren.

Diese Art der Kommunikation ist möglich, wenn innerhalb des Standorts dieIPv6-Routinginfrastruktur verwendet wird, die die Erreichbarkeit aller Hosts innerhalb des Standorts gewährleistet. Dies ist die in Abbildung 15-6 dargestellte Kommunikationzwischen Host A und Host B.

• Ein IPv6-zu-IPv4-Host kann über das IPv4-Internet mit IPv6-zu-IPv4-Hosts an anderenStandorten kommunizieren.

Diese Art der Kommunikation findet statt, wenn ein IPv6-zu-IPv4-Host IPv6-Verkehr, derfür einen IPv6-zu-IPv4-Host an einem anderen Standort bestimmt ist, an denIPv6-zu-IPv4-Router des lokalen Standorts weiterleitet. Der IPv6-zu-IPv4-Router des lokalen Standorts tunnelt den IPv6-Verkehr zum IPv6-zu-IPv4-Router am Zielstandort im IPv4-Internet. Der IPv6-zu-IPv4-Router am Zielstandort entfernt den IPv4-Header und leitet das IPv6-Paket mithilfe der IPv6-Routinginfrastruktur des Zielstandorts an den entsprechenden IPv6-zu-IPv4-Host weiter. Dies ist die in Abbildung 15-6 dargestellte Kommunikation zwischen Host A und Host C.

• Ein IPv6-zu-IPv4-Host kann mit Hosts im IPv6-Internet kommunizieren.

Diese Art der Kommunikation findet statt, wenn ein IPv6-zu-IPv4-Host IPv6-Verkehr, derfür einen IPv6-Internethost bestimmt ist, an den IPv6-zu-IPv4-Router des lokalenStandorts weiterleitet. Der IPv6-zu-IPv4-Router des lokalen Standorts tunnelt den IPv6-Verkehr zu einem IPv6-zu-IPv4-Relay-Router, der sowohl mit dem IPv4- als auch mit dem IPv6-Internet verbunden ist. Der IPv6-zu-IPv4-Relay-Router entfernt den IPv4-Header und leitet das IPv6-Paket mithilfe der IPv6-Routinginfrastruktur des IPv6-Internets an den entsprechenden IPv6-Internethost weiter. Dies ist die in Abbildung 15-6 dargestellte Kommunikation zwischen Host A und Host D.

Alle diese Kommunikationsarten beruhen auf IPv6-Verkehr, wobei es nicht es notwendig ist, eine direkte Verbindung mit dem IPv6-Internet herzustellen oder ein globales Adresspräfixvon einem Internetdienstanbieter (Internet Service Provider, ISP) zu beziehen.

IPv6-zu-IPv4-Unterstützung in Windows Server 2003 und Windows XPDie IPv6-zu-IPv4-Komponente von IPv6 für Windows Server 2003 und Windows XPunterstützt das IPv6-zu-IPv4-Tunneling. Wenn einer Schnittstelle auf dem Host eineöffentliche IPv4-Adresse zugeordnet ist und in einer Routerankündigung kein globales Präfixempfangen wird, werden von der IPv6-zu-IPv4-Komponente folgende Schritte ausgeführt:

• Auf der Pseudoschnittstelle für IPv6-zu-IPv4-Tunneling werden IPv6-zu-IPv4-Adressen füralle öffentlichen IPv4Adressen konfiguriert, die Schnittstellen auf dem Computerzugeordnet sind.

• Es wird automatisch eine 2002::/16-Route erstellt, über die der gesamteIPv6-zu-IPv4-Verkehr mit der Pseudoschnittstelle für IPv6-zu-IPv4-Tunnelingweitergeleitet wird. Der gesamte von diesem Host an IPv6-zu-IPv4-Ziele weitergeleitete Verkehr wird mit einem IPv4-Header gekapselt.

• Es wird automatisch eine DNS-Abfrage ausgeführt, um die IPv4-Adresse einesIPv6-zu-IPv4-Relay-Routers im IPv4-Internet zu erhalten. Standardmäßig fragt dieIPv6-zu-IPv4-Komponente den Namen 6to4.ipv6.microsoft.com ab. Mit dem Befehl netsh interface ipv6 6to4 set relay kann der abzufragende DNS-Name angegeben werden. Wenn die Abfrage erfolgreich ist, wird mithilfe der Pseudoschnittstelle fürIPv6-zu-IPv4-Tunneling eine Standardroute hinzugefügt, und die Adresse für dennächsten Hop wird auf die IPv6-zu-IPv4-Adresse des IPv6-zu-IPv4-Relay-Routerseingestellt.

Die Ergebnisse der automatischen Konfiguration der IPv6-zu-IPv4-Komponente variieren je nach der Konfiguration des Hosts. Abbildung 15-7 zeigt, wie IPv6-zu-IPv4 für verschiedeneHosts unter Windows Server 2003 oder Windows XP (bis auf IPv6-Host D) konfiguriert wird.

Abbildung 15-7: IPv6-zu-IPv4 für Windows-Hosts Abbildung vergrößern

Bei einem Host, dem eine private IPv4-Adresse zugeordnet wird oder der eineRouterankündigung für ein globales Präfix empfängt, werden der Pseudoschnittstelle fürIPv6-zu-IPv4-Tunneling keine IPv6-zu-IPv4-Adressen zugeordnet. Die Adressen und Routen werden automatisch entsprechend der empfangenen Routerankündigung konfiguriert. DieseKonfiguration entspricht Host A, Host B und Host C in Abbildung 15-7.

Ein Host, dem eine öffentliche IPv4-Adresse zugeordnet wird und der keineRouterankündigung für ein globales Präfix empfängt, konfiguriert automatisch eineIPv6-zu-IPv4-Adresse der Form 2002:WWXX:YYZZ::WWXX:YYZZ auf der Pseudoschnittstelle für IPv6-zu-IPv4-Tunneling. Der Host fügt mithilfe der Pseudoschnittstelle fürIPv6-zu-IPv4-Tunneling eine 2002::/16-Route hinzu, und wenn die DNS-Abfrage für denIPv6-zu-IPv4-Relay-Router erfolgreich ist, fügt er mithilfe der IPv6-zu-IPv4-Adresse desIPv6-zu-IPv4-Relay-Routers als nächstem Hop eine Standardroute hinzu. Bei diesem Hosttyphandelt es sich um einen IPv6-zu-IPv4-Host, der ebenso wie ein IPv6-zu-IPv4-Router das Tunneling selbst ausführt. Diese Konfiguration entspricht dem IPv6-zu-IPv4-Host/-Router Ein Abbildung 15-7, einem Host, der direkt mit dem IPv4-Internet verbunden ist.

Ein Computer unter Windows Server 2003 oder Windows XP kann sich selbst mittels derKonfiguration der Funktion zur gemeinsamen Nutzung der Interverbindung automatisch als IPv6-zu-IPv4-Router konfigurieren. Diese Konfiguration entspricht dem IPv6-zu-IPv4-Router 1 in Abbildung 15-7.

Wenn die gemeinsame Nutzung der Internetverbindung auf einer Schnittstelle aktiviert ist, der eine öffentliche IPv4-Adresse zugeordnet ist, führt die IPv6-zu-IPv4-Komponenteautomatisch folgende Schritte aus:

• Die IPv6-Weiterleitung auf der Pseudoschnittstelle für IPv6-zu-IPv4-Tunneling und auf derprivaten Schnittstelle wird aktiviert.

Die private Schnittstelle wird mit einem nur ein Subnetz umfassenden Intranet verbunden und verwendet private IPv4-Adressen mit dem Präfix 192.168.0.0/24.

• Über die private Schnittstelle werden Routerankündigungen gesendet.

Die Routerankündigungen geben den Computer, dessen Internetverbindung gemeinsamgenutzt wird, als Standardrouter an und enthalten ein IPv6-zu-IPv4-Subnetzpräfix, dasauf der öffentlichen IPv4-Adresse beruht, die der öffentlichen Schnittstelle zugeordnet ist.Die Subnetzkennung im IPv6-zu-IPv4-Subnetzpräfix wird auf den Schnittstellenindex derSchnittstelle eingestellt, über die die Ankündigungen gesendet werden.

Für einen Computer mit gemeinsam genutzter Internetverbindung, der die öffentlicheIPv4-Adresse 131.107.23.89 und 5 als Schnittstellenindex der privaten Schnittstelle verwendet, würde das bekannt gegebene Präfix beispielsweise 2002:836B:1759:5::/64lauten. Private Hosts, die diese Routerankündigung empfangen, würden globale Adressen

mittels normaler automatischer Adresskonfiguration erstellen und die Route 2002:836B:1759:5::/64 für das lokale Subnetz sowie eine Standardroute mit einer Adressefür den nächsten Hop erstellen, die der Link-Local-Adresse der privaten Schnittstelle desComputers mit gemeinsam genutzter Internetverbindung entspricht. Private Hosts könnenüber die Route 2002:836B:1759:5::/64 im gleichen Subnetz miteinander kommunizieren.Für alle übrigen Ziele zu anderen IPv6-zu-IPv4-Standorten oder zum IPv6-Internet leiten dieIPv6-zu-IPv4-Hosts die IPv6-Pakete über die Standardroute zum Computer mit gemeinsamgenutzter Internetverbindung.

Für den Verkehr zu anderen IPv6-zu-IPv4-Standorten verwendet der Computer mitgemeinsam genutzter Internetverbindung die Route 2002::/16, kapselt den IPv6-Verkehr mit einem IPv4-Header und sendet ihn über das IPv4-Internet zu einem anderenIPv6-zu-IPv4-Router. Für den gesamten übrigen IPv6-Verkehr verwendet der Computer mitgemeinsam genutzter Internetverbindung die Standardroute, kapselt den IPv6-Verkehr mit einem IPv4-Header und sendet ihn über das IPv4-Internet zu einemIPv6-zu-IPv4-Relay-Router.

Gehen Sie folgendermaßen vor, um einen Computer unter Windows Server 2003 oderWindows XP manuell als IPv6-zu-IPv4-Router zu konfigurieren:

• Stellen Sie sicher, dass der Internetschnittstelle des IPv6-zu-IPv4-Routercomputers eineöffentliche Adresse zugeordnet ist und dass der Computer keine Routerankündigung voneinem IPv6-Router in einem verbundenen Subnetz oder von einem ISATAP-Router empfangen hat. Ist dies der Fall, fügt die IPv6-zu-IPv4-Komponente der Routingtabelleautomatisch eine 2002::/16-Route hinzu, welche die Pseudoschnittstelle fürIPv6-zu-IPv4-Tunneling verwendet, und fügt eine Standardroute hinzu, die auf einenIPv6-zu-IPv4-Relay-Router im IPv4-Internet zeigt.

• Aktivieren Sie auf den mit Ihrem Intranet verbundenen Schnittstellen die Weiterleitung und Bekanntgabe. Verwenden Sie dazu folgenden Befehl:

netsh interface ipv6 set interface Schnittstellenname_oder_Index forwarding=enabled advertise=enabled

• Aktivieren Sie die Weiterleitung auf der IPv6-zu-IPv4-Pseudoschnittstelle. Verwenden Sie dazu folgenden Befehl:

netsh interface ipv6 set interface "Pseudoschnittstelle fürIPv6-zu-IPv4-Tunneling" forwarding=enabled

• Fügen Sie Routen für IPv6-zu-IPv4-Präfixe zu den Schnittstellen hinzu, die mit IhremIntranet verbunden sind, und konfigurieren Sie sie als zu veröffentlichende Routen.Verwenden Sie dazu folgenden Befehl:

netsh interface ipv6 add route 2002:WWXX:YYZZ:Subnetzkennung::/64 Schnittstellenname_ode_Index publish=yes

WWXX:YYZZ ist die Hexadezimalnotation mit Doppelpunkt für w.x.y.z, die öffentlicheIPv4-Adresse, die der mit dem Internet verbundenen Schnittstelle zugeordnet wird. Mit Subnetzkennung wird ein einzelnes Subnetz innerhalb des IPv6-zu-IPv4-Standorts identifiziert.

Beispiel: Ein Computer verfügt über drei LAN-Schnittstellen mit der folgenden Konfiguration:

• LAN-Verbindung ist mit dem IPv4-Internet verbunden, und ihr ist die öffentlicheIPv4-Adresse 131.107.0.1 zugeordnet.

• LAN-Verbindung 2 ist eine Intranetschnittstelle mit dem Schnittstellenindex 5.

• LAN-Verbindung 3 ist eine Intranetschnittstelle mit dem Schnittstellenindex 6.

Führen Sie die folgenden Befehle aus, um diesen Computer als IPv6-zu-IPv4-Router zukonfigurieren:

netsh interface ipv6 set interface "Local Area Connection 2"

forwarding=enabled advertise=enabled netsh interface ipv6 set interface "Local

Area Connection 3" forwarding=enabled advertise=enabled netsh interface ipv6

set interface "6to4 Tunneling Pseudo-Interface" forwarding=enabled netsh

interface ipv6 add route 2002:836b:1:5::/64 "Local Area Connection 2"

publish=yes netsh interface ipv6 add route 2002:836b:1:6::/64 "Local Area

Connection 3" publish=yes

In diesem Beispiel wird das Subnetzpräfix 2002:836b:1:5::/64 über LAN-Verbindung 2 unddas Subnetzpräfix 2002_836b:1:6::/64 über LAN-Verbindung 3 bekannt gegeben (836b:1 istdie Hexadezimalnotation mit Doppelpunkt für die öffentliche IPv4-Adresse 131.107.0.1).Entsprechend der Konvention wird die Subnetzkennung auf den Schnittstellenindex der Schnittstelle eingestellt, über die das Präfix bekannt gegeben wird. Sie können eine beliebigeSubnetzkennung (von 0 bis 0xffff) angeben.

Zum Seitenanfang

TeredoTeredo, auch bekannt unter der Bezeichnung IPv4-NAT-T (Network Address Translator Traversal) für IPv6, bietet Adresszuordnung und automatisches Host-zu-Host-Tunneling fürIPv6-Unicastkonnektivität über das IPv4-Internet, wenn sich hinter einem oder mehrerenIPv4-NATs IPv6/IPv4-Hosts befinden. Teredo ist in RFC 4380 definiert. Für das Durchquerenvon IPv4-NATs werden IPv6-Pakete als IPv4-basierte UDP (User Datagram Protocol)-Nachrichten gesendet.

IPv6-zu-IPv4 stellt eine ähnliche Funktion wie Teredo zur Verfügung. Allerdings muss dasEdge-Gerät, das mit dem Internet verbunden ist, IPv6-zu-IPv4-Router unterstützen. DieFunktionen von IPv6-zu-IPv4-Routern werden von IPv4-NATs häufig nicht unterstützt. Selbstwenn der Edge-NAT IPv6-zu-IPv4 unterstützte, würde IPv6-zu-IPv4 bei Konfigurationen mitmehreren NATs zwischen einem Standort und dem Internet dennoch nicht funktionieren.

Mit Teredo werden die Probleme fehlender IPv6-zu-IPv4-Funktionen in modernen NATs oder mehrschichtigen NAT-Konfigurationen dadurch gelöst, dass IPv6-Pakete zwischen den Hostsinnerhalb der Standorte getunnelt werden. Im Gegensatz dazu erfolgt bei IPv6-zu-IPv4 das Tunneling ab dem Edge-Gerät. Das Tunneling ab den Hosts stellt für NATs ein weiteresProblem dar: Beim Senden IPv4-gekapselter IPv6-Pakete ist das Protokollfeld im IPv4-Header auf 41 festgelegt. Die meisten NATs übersetzen nur TCP- oder UDP-Verkehrund müssen entweder manuell konfiguriert werden, damit andere Protokolle übersetztwerden, oder müssen über einen installierten NAT-Editor verfügen, der die Übersetzungübernimmt. Da die Übersetzung von Protokoll 41 bei NATs nicht sehr verbreitet ist, wirdIPv4-gekapselter IPv6-Verkehr nicht über typische NATs geleitet. Das IPv6-Paket wird daherals eine IPv4-UDP-Nachricht gekapselt, die sowohl IPv4- als auch UDP-Header enthält.UDP-Nachrichten werden von den meisten NATs übersetzt und können mehrere Schichtenvon NATs durchqueren.

Teredo ist eine als letztes Mittel vorgesehene Übergangstechnologie für IPv6-Konnektivität.Wenn zwischen den kommunizierenden Knoten systemeigene IPv6, IPv6-zu-IPv4- oder ISATAP-Verbindungen bestehen, wird Teredo nicht verwendet. Je mehr IPv4-NATsaufgerüstet werden und IPv6-zu-IPv4 unterstützen und je weiter verbreitetIPv6-Verbindungen werden, desto weniger wird Teredo verwendet, bis es schließlich ganzeingestellt wird.

Teredo in Windows Server 2003 Service Pack 1, Windows XP SP2 und Windows XP SP1 mitdem erweiterten Netzwerkpaket für Windows XP funktioniert nur bei Cone-NATs undeingeschränkten NATs.

• Ein Cone-NAT speichert eine Zuordnung zwischen einer internen (privaten) Adresse sowie Portnummer und einer externen (öffentlichen) Adresse sowie Portnummer. Nachdem derNAT-Übersetzungstabelleneintrag erstellt wurde, wird eingehender Verkehr vom Internetzur externen Adresse und Portnummer von jeder Quelladresse und -portnummer zugelassen.

• Ein eingeschränkter NAT speichert eine Zuordnung zwischen einer internen Adresse undPortnummer und einer externen Adresse und Portnummer entweder für bestimmteexterne Adressen oder für bestimmte externe Adressen und Portnummern. EingehendePakete aus dem Internet, die einem NAT-Übersetzungstabelleneintrag weder hinsichtlichder externen Zieladresse und Portnummer noch hinsichtlich einer bestimmten externen Quelladresse und -portnummer entsprechen, werden ohne Warnung verworfen.

Es gibt einen weiteren NAT-Typ, den so genannten symmetrischen NAT. Dieser ordnet je nach der externen Zieladresse (für ausgehenden Verkehr) eine interne Adresse undPortnummer verschiedenen externen Adressen und Ports zu. Symmetrische NATs werden von Teredo in Windows Server 2003 und Windows XP nicht unterstützt.

Teredo-KomponentenAbbildung 15-8 zeigt die Komponenten für die Teredo-Konnektivität

Abbildung 15-8: Teredo-Komponenten Abbildung vergrößern

Teredo enthält die folgenden Komponenten:

• Teredo-Client

Ein IPv6/IPv4-Knoten, der eine Teredo-Tunnelingschnittstelle unterstützt, durch diePakete über ein Teredo-Relay entweder zu anderen Teredo-Clients oder zu Knoten imIPv6-Internet getunnelt werden.

• Teredo-Server

Ein IPv6/IPv4-Knoten, der sowohl mit dem IPv4-Internet als auch mit dem IPv6-Internet verbunden ist. Der Teredo-Server unterstützt die Erstkonfiguration von Teredo-Clients unddie anfängliche Kommunikation entweder zwischen Teredo-Clients an verschiedenenStandorten oder zwischen Teredo-Clients und reinen IPv6-Hosts im IPv6-Internet.

• Teredo-Relay

Ein IPv6/IPv4-Router, der Pakete zwischen Teredo-Clients im IPv4-Internet und reinen IPv6-Hosts im IPv6-Internet weiterleiten kann.

• Hostspezifisches Teredo-Relay

Ein IPv6/IPv4-Knoten mit einer Schnittstelle und Verbindung sowohl zum IPv4-Internet als auch zum IPv6-Internet, der über das IPv4-Internet ohne zwischengeschaltetesTeredo-Relay direkt mit Teredo-Clients kommunizieren kann. Die Verbindung mit dem IPv4-Internet kann über eine öffentliche IPv4-Adresse oder über eine privateIPv4-Adresse und einen benachbarten NAT hergestellt werden. Die Verbindung mit dem IPv6-Internet ist entweder direkt oder wird mittels einer IPv6-Übergangstechnologie wieIPv6-zu-IPv4 hergestellt.

Die Funktionalität für Teredo-Clients und hostspezifische Teredo-Relays ist in WindowsServer 2003 mit Service Pack 1, Windows XP mit SP2 und Windows XP mit SP1 und imerweiterten Netzwerkpaket für Windows XP enthalten. Die Funktionen für hostspezifischeTeredo-Relays werden automatisch aktiviert, wenn eine globale IPv6-Adresse zugeordnet wurde. Eine globale Adresse kann durch eine Routerankündigungsnachricht zugeordnetwerden, die über einen systemeigenen IPv6-Router, einen ISATAP-Router oder einenIPv6-zu-IPv4-Router empfangen wird. Wird keine globale Adresse konfiguriert, wird der Teredo-Client aktiviert.

Teredo-AdressenTeredo-Adressen haben das in Abbildung 15-9 dargestellte Format.

Abbildung 15-9: Teredo-Adressen Abbildung vergrößern

Eine Teredo-Adresse besteht aus folgenden Elementen:

• Teredo-Präfix

Die ersten 32 Bits sind für das Teredo-Präfix bestimmt, das bei allen Teredo-Adressengleich ist. In den Microsoft-Implementierungen von Teredo wird das Präfix3FFE:831F::/32 verwendet.

• IPv4-Adresse des Teredo-Servers

Die nächsten 32 Bits enthalten die öffentliche IPv4-Adresse des Teredo-Servers, der dieKonfiguration dieser Teredo-Adresse unterstützt hat.

• Flags

Die nächsten 16 Bits sind für Teredo-Flags reserviert. Das einzige definierte Flag ist dashöherwertige Bit, das so genannte Cone-Flag. Das Cone-Flag wird gesetzt, wenn derTeredo-Client feststellt, dass er sich hinter einem Cone-NAT befindet.

• Verschlüsselter externer Port

Mit den nächsten 16 Bits wird eine verschlüsselte Version des externen UDP-Portsgespeichert, der den gesamten Teredo-Verkehr für diesen Teredo-Client übernimmt. Wennder Teredo-Client sein erstes Paket an einen Teredo-Server sendet, wird der UDP-Quellport des Pakets vom NAT einem anderen externen UDP-Port zugeordnet. Fürden gesamten Teredo-Verkehr mit dem Host wird der gleiche externe zugeordnete UDP-Port verwendet.

Der externe Port wird durch exklusives OR (XOR) mit 0xFFFF verschlüsselt. Dieverschlüsselte Version des externen Ports 5000 lautet im Hexadezimalformat z. B. EC77(5000 entspricht 0x1388, und 0x1388 XOR 0xFFFF = 0xEC77). Durch die Verschlüsselungdes externen Ports wird ein NAT daran gehindert, den externen Port zu übersetzen, der inder Nutzlast der weitergeleiteten Pakete enthalten ist.

• Verschlüsselter externe Adresse

Mit den letzten 32 Bits wird eine verschlüsselte Version der externen IPv4-Adressegespeichert, die den gesamten Teredo-Verkehr für diesen Teredo-Client übernimmt.Entsprechend der Vorgehensweise beim externen Port wird die IP-Quelladresse des Pakets vom NAT einer anderen externen Adresse zugeordnet, wenn der Teredo-Client sein erstes Paket an einen Teredo-Server sendet.

Die externe Adresse wird durch exklusives OR (XOR) mit 0xFFFFFFFF verschlüsselt. Dieverschlüsselte Version der öffentlichen IPv4-Adresse 131.107.0.1 lautet imHexadezimalformat mit Doppelpunkt beispielsweise 7C94:FFFE (131.107.0.1 gleich0x836B0001; 0x836B0001 XOR 0xFFFFFFFF = 0x7C94FFFE). Durch die Verschlüsselungder externen Adresse werden NATs daran gehindert, die externe Adresse zu übersetzen,die in der Nutzlast der weitergeleiteten Pakete enthalten ist.

Funktionsweise von TeredoBei zwei Windows-basierten Teredo-Clients sind vor allem diejenigen Teredo-Prozesse entscheidend, die für die anfängliche Konfiguration und Kommunikation mit einem Peer aneinem anderen Standort verwendet werden.

Anfängliche KonfigurationFür die anfängliche Konfiguration senden Teredo-Clients an mehrere Teredo-Server eineReihe von Routeranfragenachrichten. Windows-basierte Teredo-Clients beziehen die IPv4-Adressen von Teredo-Servern im IPv4-Internet, indem sie eine DNS-Abfrage für denNamen teredo.ipv6.microsoft.com ausführen. Mit dem Befehl netsh interface ipv6 setteredo servername= Adresse_oder_Name können Sie den abzufragenden DNS-Namenangeben. Der Teredo-Client leitet mithilfe der Routerankündigungen eine Teredo-Adresse abund stellt fest, ob sich der Client hinter einem Cone-, einem eingeschränkten oder einemsymmetrischen NAT befindet. Der vom Teredo-Client entdeckte NAT-Typ wird angezeigt, wenn Sie den Befehl netsh interface ipv6 show teredo eingeben.

Entsprechend den empfangenen Routerankündigungsnachrichten wird die Teredo-Adressedes Teredo-Clients folgendermaßen erzeugt:

• Die ersten 64 Bits werden auf den Wert festgelegt, der in der Option für die

Präfixinformationen der empfangenen Routerankündigung enthalten ist. Das vomTeredo-Server bekannt gegebene 64-Bit-Präfix besteht aus dem Teredo-Präfix(3FF3:831F::/32) und der öffentlichen IPv4-Adresse des Teredo-Servers (32 Bits).

• Die nächsten 16 Bits sind entweder 0x8000 (Cone-NAT) oder 0x0 (eingeschränkter NAT).

• Die nächsten 16 Bits werden auf die verschlüsselte externe UDP-Portnummer fürTeredo-Verkehr festgelegt.

• Die letzten 32 Bits werden auf die verschlüsselte externe IPv4-Adresse für Teredo-Verkehrfestgelegt.

Die externe IPv4-Adresse und die UDP-Portnummer für Teredo-Verkehr sind in den von denTeredo-Servern gesendeten Routerankündigungen in einem zusätzlichen Teredo-Headerenthalten.

Anfängliche Kommunikation zwischen zwei Teredo-Clients an verschiedenenStandortenWelche Pakete während der ersten Kommunikation zwischen Teredo-Clients anverschiedenen Standorten gesendet werden, hängt davon ab, ob sich die Teredo-Clientshinter Cone-NATs oder eingeschränkten NATs befinden.

Wenn sich ein Teredo-Client hinter einem Cone-NAT befindet, lassen dieNAT-Übersetzungstabelleneinträge für Teredo-Verkehr des Teredo-Clients Verkehr von jederIP-Quelladresse bzw. jedem UDP-Quellport zu. Ein Teredo-Client kann daher Pakete direkt an einen anderen Teredo-Client hinter einem Cone-NAT senden, ohne weitere Pakete senden zumüssen.

Wenn sich ein Teredo-Client hinter einem eingeschränkten NAT befindet, lassen dieNAT-Übersetzungstabelleneinträge für Teredo-Verkehr des Teredo-Clients Verkehr nur vonbestimmten IPv4-Adressen bzw. bestimmten UDP-Portnummern zu. Wenn sich ein Teredo-Client also hinter einem eingeschränkten NAT befindet, muss der initiierendeTeredo-Client vor dem Senden des ersten Kommunikationspakets Pakete senden, um eine quellspezifische NAT-Zuordnung zu erstellen, die es ermöglicht, dass der Verkehr desinitiierenden Teredo-Clients den eingeschränkten NAT durchqueren kann.

Abbildung 15-10 zeigt den ersten Kommunikationsprozess zwischen Teredo-Clients an verschiedenen Standorten, wenn an beiden Standorten eingeschränkte NATs verwendetwerden.

Abbildung 15-10: Prozess beim Senden eines ersten Pakets, wenn sich zwei Teredo-Clients hinter einem eingeschränkten NAT befinden Abbildung vergrößern

Das Senden eines ersten Kommunikationspakets von Teredo-Client A zu Teredo-Client B läuftfolgendermaßen ab:

1. Teredo-Client A sendet ein Blasenpaket direkt an Teredo-Client B. Ein Blasenpaketenthält keine Daten und wird zur Erstellung oder Pflege von NAT-Zuordnungenverwendet. Da sich Teredo-Client B hinter einem eingeschränkten NAT befindet, istTeredo-Verkehr von einer beliebigen IPv4-Quelladresse und UDP-Portnummer nurzulässig, wenn die NAT-Übersetzungstabelle einen quellspezifischen Eintrag enthält.Falls die Tabelle keinen solchen Eintrag enthält, wird das Blasenpaket vomeingeschränkten NAT ohne Warnung verworfen. Wenn das Blasenpaket jedoch vomeingeschränkten NAT für Teredo-Client A weitergeleitet wurde, hat dieser in derNAT-Übersetzungstabelle einen quellspezifischen Eintrag erstellt, der die Weiterleitungaller danach von Teredo-Client B gesendeten Pakete zu Teredo-Client A ermöglicht.

2. Teredo-Client A sendet über den Teredo-Server 2 (den Teredo-Server vonTeredo-Client B) ein Blasenpaket an Teredo-Client B. Die IPv4-Zieladresse im Blasenpaket wird auf die IPv4-Adresse von Teredo-Server 2 eingestellt. Diese Adresse wird von Teredo-Client A anhand des dritten und vierten Blocks der Teredo-Adresse von Teredo-Client B ermittelt.

3. Teredo-Server 2 leitet das Blasenpaket an Teredo-Client B weiter. Der eingeschränkteNAT für Teredo-Client B leitet das Paket weiter, weil es für Teredo-Verkehr vonTeredo-Server 2 eine quellspezifische Zuordnung gibt (festgelegt bei der anfänglichenKonfiguration von Teredo-Client B).

4. Teredo-Client B antwortet auf das von Teredo-Client A empfangene Blasenpaket mit seinem eigenen Blasenpaket, das direkt an Teredo-Client A gesendet wird. Da dereingeschränkte NAT von Teredo-Client A über eine quellspezifische Zuordnung fürTeredo-Verkehr von Teredo-Client B verfügt (aufgrund der Festlegung durch das erstein Schritt 1 von Teredo-Client A gesendete Blasenpaket), leitet er das Blasenpaket an Teredo-Client A weiter.

5. Bei Empfang des Blasenpakets von Teredo-Client B stellt Teredo-Client A fest, ob fürbeide NATs quellspezifische NAT-Zuordnungen existieren. Teredo-Client A sendet ein erstes Kommunikationspaket direkt an Teredo Client B. Nachfolgende Pakete werden zwischen Teredo-Client A und Teredo-Client B direkt ausgetauscht.

Dieser Prozess ist für die Benutzer auf Teredo-Client A und Teredo-Client B nichtwahrnehmbar.

Weitere erste Kommunikationsprozesse finden statt, wenn sich das Ziel für das erste Paketauf derselben Verbindung, im IPv6-Internet oder bei einem hostspezifischen Teredo-Relay befindet. Weitere Informationen finden Sie unter Überblick zu Teredo.

Zum Seitenanfang

Migration zu IPv6Die Migration von IPv4 zu IPv6 ist ein langer Prozess. Bei der Migration von IPv4 zu IPv6müssen Sie grundsätzlich die folgenden Schritte ausführen:

1. Rüsten Sie Ihre Anwendungen auf, so dass sie von IPv4 oder IPv6 unabhängig sind.

Anwendungen müssen geändert werden, damit neue Windows Sockets-APIs oderandere APIs verwendet werden und Namensauflösung, Socketerstellung sowie andereFunktionen von IPv4 oder IPv6 unabhängig sind.

2. Aktualisieren Sie die DNS-Infrastruktur, damit IPv6-Adress- und PTR-Einträgeunterstützt werden.

Die DNS-Infrastruktur muss eventuell aktualisiert werden, um die neuen AAAA- undPTR-Einträge in der umgekehrten IP6.ARPA-Domäne zu unterstützen.

3. Rüsten Sie Hosts auf IPv6/IPv4-Knoten auf.

Hosts müssen aufgerüstet werden, damit sie in einer Architektur mit doppelterIP-Schicht oder doppeltem Stapel sowohl IPv4 als auch IPv6 verwenden. DieUnterstützung des DNS-Auflösungsprogramms muss ebenfalls aktualisiert werden,damit DNS-Abfrageergebnisse verarbeitet werden können, die sowohl IPv4- als auchIPv6-Adressen enthalten.

4. Aktualisieren Sie die Routinginfrastruktur für das systemeigene IPv6-Routing.

Router müssen so aktualisiert und konfiguriert werden, dass sie die systemeigeneIPv6-Präfixankündigung und das IPv6-Routing unterstützen.

5. Konvertieren Sie IPv6/IPv4-Knoten in reine IPv6-Knoten.

IPv6/IPv4-Knoten können auf reine IPv6-Knoten aufgerüstet werden. Dies sollte einlangfristiges Ziel sein, da es Jahre dauern wird, bis die aktuellen reinenIPv4-Netzwerkgeräte auf reine IPv6-Geräte aufgerüstet sind. Verwenden Sie fürdiejenigen reinen IPv4-Knoten, die nicht auf IPv6/IPv4 oder auf reines IPv6aufgerüstet werden können, Übersetzungsgateways bzw. Proxys, damit reineIPv4-Knoten mit reinen IPv6-Knoten kommunizieren können.

Zum Seitenanfang


• Für die Koexistenz mit einer IPv4-Infrastruktur und für die letztendliche Migration zu einerreinen IPv6-Infrastruktur werden IPv6/IPv4-Knoten mit einer Architektur mit doppeltem Stapel oder doppeltem IP, mit DNS-Infrastruktur und IPv6-über-IPv4-Tunnelingverwendet.

• Bei einem konfigurierten Tunnel müssen die Tunnelendpunkte manuell konfiguriertwerden. Ein automatischer Tunnel erfordert keine manuelle Konfiguration. Tunnelendpunkte werden anhand von Routen und Tunnelingschnittstellen bestimmt.

• ISATAP ist ein Adresszuordnungs- und ein automatisches Host-zu-Host-, Host-zu-Router- und Router-zu-Host-Tunnelingverfahren, mit dem IPv6-Unicastverbindungen zwischen IPv6-Hosts über ein IPv4-Intranet bereitgestellt werden.

• ISATAP-Adressen bestehen aus einem gültigen 64-Bit-Unicastadresspräfix und derSchnittstellenkennung ::0:5EFE:w.x.y.z (w.x.y.z ist eine IPv4-Unicastadresse, die einer Schnittstelle zugeordnet ist).

• IPv6-zu-IPv4 ist ein Adresszuordnungs- und ein automatisches Router-zu-Router-Tunnelingverfahren, mit dem IPv6-Unicastverbindungen zwischen IPv6-Standorten und -Hosts über das IPv4-Internet bereitgestellt werden.

• IPv6-zu-IPv4-Adressen beruhen auf dem Präfix 2002:WWXX:YYZZ::/48 (dabei ist WWXX:YYZZ die Hexadezimaldarstellung mit Doppelpunkt für w.x.y.z, eine öffentlicheIPv4-Adresse).

• Teredo ist ein Adresszuordnungs- und ein automatisches Host-zu-Host- oder Host-zu-Router-Tunnelingverfahren, mit dem IPv6-Unicastverbindungen über dasIPv4-Intranet bereitgestellt werden, wenn sich IPv6/IPv4-Hosts hinter einem oder mehreren IPv4-NATs befinden.

• Für die Migration von IPv4 zu IPv6 müssen Sie die Anwendungen aktualisieren, so dasssie von IPv4 oder IPv6 unabhängig sind, Sie müssen die DNS-Infrastruktur aktualisieren,damit sie IPv6-Adresseinträge unterstützt, Sie müssen Hosts auf IPv6/IPv4-Knotenaufrüsten, Sie müssen die Routinginfrastruktur für das systemeigene IPv6-Routingaktualisieren und schließlich IPv6/IPv4-Knoten in reine IPv6-Knoten konvertieren.

Zum Seitenanfang

Kapitelglossar_ISATAP-Name – Siehe ISATAP-Name.

IPv6-zu-IPv4 – Eine IPv6-Übergangstechnologie, die IPv6-Unicastverbindungen zwischenIPv6-Standorten über das IPv4-Internet ermöglicht. IPv6-zu-IPv4 verwendet für dieKonstruktion eines globalen IPv6-Adresspräfix eine öffentliche IPv4-Adresse.

IPv6-zu-IPv4-Adresse – Eine Adresse des Typs2002:WWXX:YYZZ:Subnetzkennung:Schnittstellenkennung. Dabei ist WWXX:YYZZ die Hexadezimaldarstellung mit Doppelpunkt für w.x.y.z (eine öffentliche IPv4-Adresse). Miteiner IPv6-zu-IPv4-Adresse wird ein Knoten für die IPv6-zu-IPv4-Übergangstechnologiedargestellt.

IPv6-zu-IPv4-Host – Ein IPv6-Host, der mit mindestens einer IPv6-zu-IPv4-Adresse (einer

globalen Adresse mit dem Präfix 2002::/16) konfiguriert ist. IPv6-zu-IPv4-Hosts müssennicht manuell konfiguriert werden und erstellen 6to4-Adressen mithilfe standardmäßigerMechanismen für die automatische Adresskonfiguration.

IPv6-zu-IPv4-Relay-Router – Ein IPv6/IPv4-Router, der Verkehr mit IPv6-zu-IPv4-Adressenzwischen IPv6-zu-IPv4-Routern im IPv4-Internet und Hosts im IPv6-Internet weiterleitet.

IPv6-zu-IPv4-Router – Ein IPv6/IPv4-Router, der die Verwendung einerIPv6-zu-IPv4-Tunnelschnittstelle unterstützt und in der Regel zur Weiterleitung von Verkehrmit IPv6-zu-IPv4-Adressen zwischen den IPv6-zu-IPv4-Hosts eines Standorts und anderenIPv6-zu-IPv4-Routern im IPv4-Internet verwendet wird.

Automatischer Tunnel – Ein IPv6-über-IPv4-Tunnel, dessen Endpunkte durch dieVerwendung logischer Tunnelschnittstellen und Routen bestimmt werden.

Konfigurierter Tunnel – Ein IPv6-über-IPv4-Tunnel, dessen Endpunkte manuell konfiguriertwerden.

Architektur mit doppelter IP-Schicht – Die Architektur eines IPv6/IPv4-Knotens, bei der eineeinzige Implementierung von Protokollen der Transportschicht wie z. B. TCP und UDP überseparaten Implementierungen von IPv4 und IPv6 arbeitet.

Architektur mit doppeltem Stapel – Die Architektur eines IPv6/IPv4-Knotens, die zweiseparate Protokollstapel umfasst, einen für IPv4 und einen für IPv6, wobei jeder Stapel überseine eigene Implementierung der Transportschichtprotokolle (TCP und UDP) verfügt.

Host-zu-Host-Tunneling – IPv6-über-IPv4-Tunneling mit zwei Hosts als Tunnelendpunkten.Beispiel: Ein IPv6/IPv4-Knoten, der sich innerhalb einer IPv4-Infrastruktur befindet, erstellteinen IPv6-über-IPv4-Tunnel, um einen anderen Host innerhalb derselben IPv4-Infrastrukturzu erreichen.

Host-zu-Router-Tunneling – IPv6-über-IPv4-Tunneling, bei dem der Tunnel am sendendenHost beginnt und an einem IPv6/IPv4-Router endet. Beispiel: Ein IPv6/IPv4-Knoten, der sichinnerhalb einer IPv4-Infrastruktur befindet, erstellt einen IPv6-über-IPv4-Tunnel, um einenIPv6/IPv4-Router zu erreichen.

Intra-site Automatic Tunnel Addressing Protocol (ISATAP) – Eine IPv6-Übergangstechnologie,die IPv6-Unicastkonnektivität zwischen IPv6-Hosts in einem IPv4-Intranet bereitstellt.ISATAP leitet die Schnittstellenkennung aus einer (öffentlichen oder privaten) IPv4-Adresseab, die einem Host zugeordnet ist.

IPv6 in IPv4 – Siehe IPv6-über-IPv4-Tunneling.

IPv6-über-IPv4-Tunneling – Die Kapselung von IPv6-Paketen mit einem IPv4-Header, sodass IPv6-Verkehr über eine IPv4-Infrastruktur gesendet werden kann. Im IPv4-Header istdas Protokollfeld auf 41 festgelegt.

IPv6/IPv4-Knoten – Ein Knoten, der sowohl IPv4 als auch IPv6 verwendet.

Reiner IPv6-Knoten – Ein Knoten, der nur IPv6 verwendet und dem nur IPv6-Adressenzugeordnet werden.

ISATAP – Siehe Intra-site Automatic Tunnel Addressing Protocol (ISATAP).

ISATAP-Adresse – Eine Adresse des Typs Unicastadresspräfix:0:5EFE:w.x.y.z. Dabei steht w.x.y.z für eine öffentliche oder private IPv4-Adresse, die einem ISATAP-Host zugeordnet ist.

ISATAP-Host – Ein Host, dem eine ISATAP-Adresse zugeordnet ist.

ISATAP-Name – Der Name, der standardmäßig von Computern unter Windows XP mitService Pack 1, Windows XP mit Service Pack 2 oder Windows Server 2003 aufgelöst wird,um die IPv4-Adresse des ISATAP-Routers automatisch zu entdecken. Computer, auf denenWindows XP ohne Service Packs ausgeführt wird, versuchen standardmäßig, den Namen"_ISATAP" aufzulösen.

ISATAP-Router – Ein IPv6/IPv4-Router, der auf getunnelte Routeranfragen vonISATAP-Hosts antwortet und Verkehr zwischen ISATAP-Hosts und Knoten in anderenIPv6-Subnetzen weiterleitet.

Router-zu-Host-Tunneling – IPv6-über-IPv4-Tunneling, bei dem der Tunnel an einemweiterleitenden Router beginnt und an einem IPv6/IPv4-Host endet. Beispiel: EinIPv6/IPv4-Router erstellt einen IPv6-über-IPv4-Tunnel, um einen IPv6/IPv4-Host zuerreichen, der sich innerhalb einer IPv4-Infrastruktur befindet.

Router-zu-Router-Tunneling – IPv6-über-IPv4-Tunneling, bei dem der Tunnel an einemweiterleitenden Router beginnt und an einem IPv6/IPv4-Router endet. Beispiel: EinIPv6/IPv4-Router, der sich am Rand eines IPv6-Netzwerks befindet, erstellt einenIPv6-über-IPv4-Tunnel, um einen anderen IPv6/IPv4-Router zu erreichen.




TCP/IP-Grundlagen für Microsoft WindowsKapitel 16 – Behandeln von Problemen mit TCP/IPVeröffentlicht: 28. Feb 2006

Zusammenfassung

In diesem Kapitel wird beschrieben, wie Sie Probleme mit Konnektivität, Namensauflösungund Herstellung von Transmission Control Protocol-(TCP-)Sitzungen mit verfügbaren Toolsund Funktionen in Microsoft® Windows Server™ 2003 und Windows® XP behandeln. EinNetzwerkadministrator sollte in der Lage sein, ein mit TCP/IP in Zusammenhangstehendes Netzwerkproblem systematisch und auf Grundlage der verschiedenen Schichtendes TCP/IP-Modells zu analysieren. Darüber hinaus sollte ein Netzwerkadministrator mitden entsprechenden Tools vertraut sein, um Probleme mit der Kommunikation in einemTCP/IP-Netzwerk effektiv zu isolieren und zu beheben.

Auf dieser Seite

Zielsetzung

Identifizieren der Ursache eines Problems

Windows-Tools zur Problembehandlung

IPv4-Problembehandlung

IPv6-Problembehandlung


Kapitelglossar


• Auflisten häufiger Fragestellungen bei der Problembehandlung

• Auflisten der TCP/IP-Problembehandlungstools, die mit Windows Server 2003 undWindows XP bereitgestellt werden, und Beschreiben der Verwendung dieser Tools zumErfassen von Problembehandlungsinformationen

• Auflisten und Beschreiben der Richtlinien, Tools und Methoden zur Problembehandlung von Internet Protocol Version 4-(IPv4-)Kommunikation einschließlich derIPv4-Konnektivität, Domain Name System-(DNS-)Namensauflösung für IPv4-Adressen,Network Basic Input/Output System-(NetBIOS-)Namensauflösung und IPv4-basierterTCP-Sitzungen

• Auflisten und Beschreiben der Richtlinien, Tools und Methoden zur Problembehandlung von Internet Protocol Version 6-(IPv6-)Kommunikation einschließlich derIPv6-Konnektivität, DNS-Namensauflösung für IPv6-Adressen und IPv6-basierterTCP-Sitzungen

Zum Seitenanfang

Identifizieren der Ursache eines ProblemsEs wird empfohlen, bei einer Problembehandlung systematisch vorzugehen. Hierzu sollten die folgenden Fragen beantwortet werden:

• Welche Komponenten sind funktionsfähig?

• Welche Komponenten sind nicht funktionsfähig?

• Welcher Zusammenhang besteht zwischen den funktionsfähigen und den nichtfunktionsfähigen Komponenten?

• Haben die nicht funktionsfähigen Komponenten in der Vergangenheit funktioniert?

• Welche Änderungen sind in diesem Fall seitdem aufgetreten?

In diesem Beitrag

• Übersicht




















Die Antworten auf diese Fragen können einen Hinweis darauf geben, an welcher Stelle mitder Problembehandlung begonnen werden sollte. Auf diese Weise können Sie unterUmständen die Komponente, die Schicht oder die Konfiguration isolieren, durch die dasProblem verursacht wird.

Zum Seitenanfang

Windows-Tools zur ProblembehandlungUnter Windows Server 2003 und Windows XP wird ein vollständiger Satz vonKonfigurations-, Verwaltungs- und Diagnosetools bereitgestellt, die zum Behandeln von TCP/IP-Problemen verwendet werden können. Diese Tools werden in Tabelle 16-1aufgelistet.

Tabelle 16-1: Tools und Dienste zur Behandlung von Problemen mit TCP/IP

Tool Beschreibung

Arp Anzeigen und Bearbeiten des Address Resolution Protocol-(ARP-)Caches.

Hostname Anzeigen des Hostnamens des Computers.

Ipconfig Anzeigen der aktuellen TCP/IP-Konfiguration für IPv4 und IPv6.Kann auch zum Verwalten von über Dynamic Host ConfigurationProtocol (DHCP) zugeordneten IPv4-Adresskonfigurationen, zum Anzeigen oder Leeren des DNS-Clientauflösungscaches und zumRegistrieren von DNS-Namen verwendet werden.

Nbtstat Anzeigen der Konfiguration von NetBIOS über TCP/IP (NetBT)und Ermöglichen der Verwaltung des NetBIOS-Namencaches.

Netsh Konfigurieren einer Reihe von Netzwerkdiensten. Für jedenNetzwerkdienst ist ein Kontext vorhanden, der die für diesenDienst spezifischen Befehle enthält. Dient zum Anzeigen undVerwalten von TCP/IP-Protokolleinstellungen auf dem lokalen Computer oder einem Remotecomputer für die Kontexte netsh interface ip und netsh interface ipv6.

Netstat Anzeigen von Protokollstatistik und Informationen zu aktuellen TCP-Verbindungen.

Nslookup Durchführen von DNS-Abfragen und Anzeigen der Ergebnisse.

Ping Senden von Internet Control Message Protocol-(ICMP-) oder Internet Control Message Protocol fürIPv6-(ICMPv6-)Echoanforderungsnachrichten zum Testen der Erreichbarkeit.

Route Anzeigen von IPv4- und IPv6-Routingtabellen und Bearbeiten der IPv4-Routingtabelle.

Tracert Senden von ICMP- oder ICMPv6-Echoanforderungsnachrichten zum Verfolgen der Netzwerkroute von IPv4- oder IPv6-Paketen zu einem bestimmten Ziel.

Pathping Senden von ICMP- oder ICMPv6-Echoanforderungsnachrichten zum Verfolgen der Route eines IPv4- oder IPv6-Pakets zu einem bestimmten Ziel und Anzeigen von Informationen zu Paketverlusten für die einzelnen Router und Verbindungen imPfad.

SNMP-Dienst Bereitstellen von Statusinformationen und statistischen Informationen zu Simple Network Management System-(SNMP-)Verwaltungssystemen.

Ereignisanzeige Protokollieren von Fehlern und Ereignissen.

Leistungsprotokolle und Warnungen

Protokollieren der TCP/IP-Kernprotokollleistung und Senden von Warnungen (hierzu muss der SNMP-Dienst installiert sein).

Tabelle 16-1: Tools und Dienste zur Behandlung von Problemen mit TCP/IP

Tool Beschreibung

Netzwerkmonitor Erfassen und Anzeigen des Inhalts von TCP/IP-Paketen, die an Computer bzw. von Computern gesendet wurden, auf denen Windows Server 2003 ausgeführt wird.

Netdiag Ausführen einer Reihe von Diagnosetests fürNetzwerkkomponenten. Netdiag wird als Teil der Supporttools von Windows XP und Windows Server 2003 installiert, die auf derWindows XP- bzw. Windows Server 2003-Produkt-CD im OrdnerSupport\Tools vorliegen.

Telnet Testen der TCP-Verbindungsherstellung zwischen zwei Knoten.

Ttcp Überwachen und Senden von TCP-Segmentdaten oderUDP-Nachrichten zwischen zwei Knoten. Ttcp.exe wird fürWindows Server 2003 im Ordner Valueadd\Msft\Net\Toolsder Windows Server 2003-Produkt-CD bereitgestellt.

Zum Seitenanfang

IPv4-ProblembehandlungIn den folgenden Abschnitten werden Tools und Methoden beschrieben, mit denen ein Problem in aufeinander folgenden Schichten des TCP/IP-Protokollstacks mit IPv4-Internetschicht identifiziert werden kann. Je nach Art des Problems sollten Sie eines der folgenden Verfahren durchführen:

• Sie beginnen am unteren Ende des Stacks und bewegen sich nach oben.

• Sie beginnen am oberen Ende des Stacks und bewegen sich nach unten.

In den folgenden Abschnitten, die mit dem oberen Ende des Stacks beginnen, werden die folgenden Aufgaben beschrieben:

• Überprüfen der IPv4-Konnektivität

• Überprüfen der DNS-Namensauflösung für IPv4-Adressen

• Überprüfen der NetBIOS-Namensauflösung

• Überprüfen von IPv4-basierten TCP-Sitzungen

Sie können auch den Netzwerkmonitor zum Erfassen von IPv4-Datenverkehr verwenden,um Probleme mit IPv4-basierter TCP/IP-Kommunikation zu behandeln. Diese Vorgehensweise wird in den folgenden Abschnitten jedoch nicht beschrieben. Der Netzwerkmonitor wird mit Microsoft Systems Management Server sowie als optionale Netzwerkkomponente mit Windows Server 2003 bereitgestellt. Um jedoch die Anzeige vonIPv4-Paketen im Netzwerkmonitor korrekt interpretieren zu können, sind erweiterteKenntnisse der in den einzelnen Paketen enthaltenen Protokolle erforderlich.

Überprüfen der IPv4-KonnektivitätMithilfe der folgenden Aufgaben können Sie Probleme mit der IPv4-Konnektivitätbehandeln:

• Reparieren der Verbindung

• Überprüfen der Konfiguration

• Verwalten der Konfiguration

• Überprüfen der Erreichbarkeit

• Anzeigen und Verwalten der IPv4-Routingtabelle

• Überprüfen der Routerzuverlässigkeit

Reparieren der VerbindungMit der Funktion zum Reparieren von Netzwerkverbindungen können Sie

IPv4-Netzwerkverbindungseinstellungen rasch erneuern, um häufigeKonfigurationsprobleme zu beheben. Diese Funktion führt eine Reihe von Aufgaben durch,um die Verbindung zu erneuern und in den Zustand unmittelbar nach der Initialisierung zu versetzen. Führen Sie die folgenden Schritte aus, um auf die Funktion zum Reparieren vonNetzwerkverbindungen zuzugreifen:

1. Klicken Sie auf Start und dann auf Systemsteuerung. Doppelklicken Sieanschließend auf Netzwerkverbindungen.

2. Klicken Sie mit der rechten Maustaste auf die zu reparierende Verbindung, und klicken Sie dann auf Reparieren.

Sie können auch auf der Statusseite der Netzwerkverbindung auf der RegisterkarteNetzwerkunterstützung auf Reparieren klicken.

Im Folgenden werden die von der Reparaturfunktion durchgeführten Aufgaben aufgeführt:

• Überprüfen, ob DHCP aktiviert ist. In diesem Fall wird eineDHCPRequest-Broadcastnachricht gesendet, um die IPv4-Adresskonfiguration zu aktualisieren.

• Leeren des ARP-Caches. Dies ist äquivalent zum Befehl arp -d *.

• Leeren und erneutes Laden des DNS-Clientauflösungscaches mit den Einträgen aus derDatei Hosts. Dies ist äquivalent zum Befehl ipconfig /flushdns.

• Erneutes Registrieren von DNS-Namen mithilfe dynamischer DNS-Updates. Dies istäquivalent zum Befehl ipconfig /registerdns.

• Leeren und erneutes Laden des NetBIOS-Namenscaches mit den #PRE-Einträgen ausder Datei Lmhosts. Dies ist äquivalent zum Befehl nbtstat -R.

• Freigeben und anschließendes erneutes Registrieren von NetBIOS-Namen mithilfe vonWindows Internet Name Service (WINS). Dies ist äquivalent zum Befehl nbtstat -RR.

Überprüfen der KonfigurationUm die aktuellen IPv4-Einstellungen für die korrekte Adresskonfiguration (bei manuellerKonfiguration) oder eine geeignete Adresskonfiguration (bei automatischer Konfiguration) zu überprüfen, stehen Ihnen die folgenden Optionen zur Verfügung:

• ipconfig /all

Durch den Befehl ipconfig /all werden IPv4-Adressen, Standardgateways und DNS-Einstellungen für sämtliche Schnittstellen angezeigt. Dieser Befehl funktioniert nurauf dem lokalen Computer.

• netsh interface ip show config

Durch den Befehl netsh interface ip show config werden DNS- und WINS-Server der einzelnen Schnittstellen angezeigt. Mit Netsh kann auch die Konfiguration eines Remotecomputers angezeigt werden. Verwenden Sie hierzu die Befehlszeilenoption –rRemotecomputername. Um beispielsweise die Konfiguration eines Remotecomputers namens FILESRV1 anzuzeigen, verwenden Sie den Befehl netsh –r filesrv1 interfaceip show config.

• Registerkarte Netzwerkunterstützung im Dialogfeld Status einer Netzwerkverbindung

Um die Statusseite einer Netzwerkverbindung aufzurufen, doppelklicken Sie auf die Verbindung im Ordner Netzwerkverbindungen, und klicken Sie anschließend auf dieRegisterkarte Netzwerkunterstützung. Auf der Registerkarte Netzwerkunterstützung werden Adresstyp (von DHCP oder manuell konfiguriert), IPv4-Adresse, Subnetzmaske und Standardgateway aufgelistet. Klicken Sie auf der Registerkarte Netzwerkunterstützung auf Details, um Media Access Control-(MAC-)Adresse, DHCP-Leaseinformationen, DNS-Server und WINS-Server anzuzeigen.

Verwalten der KonfigurationZum Ändern einer IPv4-Adresskonfiguration stehen Ihnen die folgenden Optionen zurVerfügung:

• Der Ordner Netzwerkverbindungen

Im Ordner Netzwerkverbindungen können Sie die Eigenschaften der KomponenteInternetprotokoll (TCP/IP) für die entsprechende Netzwerkverbindung bearbeiten.

• netsh interface ip set-Befehle

Mit dem Befehl netsh interface ip set address können Sie Adresstyp (über DHCPoder manuell konfiguriert), IPv4-Adresse, Subnetzmaske und Standardgateway konfigurieren. Mit dem Befehl netsh interface ip set dns können Sie die Quelle vonDNS-Serveradressen (über DHCP oder manuell konfiguriert), eine DNS-Serveradresseund das DNS-Registrierungsverhalten konfigurieren. Mit dem Befehl netsh interface ip set wins können Sie die Quelle von WINS-Serveradressen (über DHCP oder manuellkonfiguriert) und eine WINS-Serveradresse konfigurieren.

Darüber hinaus können Sie die Befehlszeilenoption –rRemotecomputername von Netsh verwenden, um die IPv4-Konfiguration eines Remotecomputers zu verwalten.

• Ipconfig-Befehle zum Verwalten von DHCP-Adressen

Sie können die folgenden Befehle verwenden, um DHCP-Adressen zu verwalten:

• ipconfig /release

• ipconfig /renew

• ipconfig /showclassid

• ipconfig /setclassid

Weitere Informationen zum Verwenden von Ipconfig-Befehlen zum Verwalten von DHCP-Adresskonfigurationen finden Sie in Kapitel 6, "Dynamic Host ConfigurationProtocol".

Überprüfen der ErreichbarkeitGehen Sie folgendermaßen vor, um die Erreichbarkeit eines lokalen oder einesRemoteziels zu überprüfen:

• Überprüfen und leeren Sie den ARP-Cache.

Verwenden Sie den Befehl arp –a zum Anzeigen des aktuellen Inhalts des ARP-Caches. Sie können den ARP-Cache mit dem Befehl arp –d * leeren. Durch diesen Befehl werden auch statische ARP-Cacheeinträge entfernt.

• Senden Sie eine Pinganforderung an das Standardgateway.

Verwenden Sie das Ping-Tool zum Senden einer Pinganforderung an die IPv4-Adresse des Standardgateways. Sie können die IPv4-Adresse des Standardgateways über einender Befehle ipconfig, netsh interface ip show config oder route print anzeigen. Durch Senden einer Pinganforderung an das Standardgateway wird die Erreichbarkeit lokaler Knoten und des Standardgateways getestet. Über das Standardgateway werdenIPv4-Pakete an Remoteknoten weitergeleitet. Dieser Schritt schlägt unter Umständenfehl, wenn das Standardgateway sämtliche ICMP-Nachrichten filtert.

• Senden Sie eine Pinganforderung an die IPv4-Adresse eines Remoteziels.

Wenn die Pinganforderung an das Standardgateway erfolgreich ist, senden Sie eine Pinganforderung an die IPv4-Adresse eines Remoteziels. Dieser Schritt schlägt unterUmständen fehl, wenn das Ziel sämtliche ICMP-Nachrichten filtert. Im Internet werdenICMP-Nachrichten häufig gefiltert.

• Verfolgen Sie die Route zum Remoteziel.

Wenn die Pinganforderung an die IPv4-Adresse des Remoteziels fehlschlägt, liegt unterUmständen ein Routingproblem zwischen Ihrem Knoten und dem Zielknoten vor.Verwenden Sie den Befehl tracert –dIPv4_Adresse, um den Routingpfad zum Remoteziel zu verfolgen. Durch die Befehlszeilenoption –d wird verhindert, dass Tracert für jede Routerschnittstelle in der entsprechenden Übertragungsrichtung imRoutingpfad eine DNS-Reverseabfrage durchführt. Auf diese Weise wird die Anzeige desRoutingpfads beschleunigt. Dieser Schritt schlägt unter Umständen fehl, wenn dieZwischenrouter oder das Ziel sämtliche ICMP-Nachrichten filtern. Im Internet werdenICMP-Nachrichten häufig gefiltert.

Überprüfen der PaketfilterungProbleme mit der Erreichbarkeit eines Zielknotens sind unter Umständen auf die

Konfiguration von Internet Protocol Security (IPsec) oder der Paketfilterung für denQuellknoten, die Zwischenrouter oder den Zielknoten zurückzuführen, durch die dasSenden, Weiterleiten oder Empfangen von Paketen verhindert wird.

Führen Sie für den Quellknoten die folgenden Überprüfungen durch:

• Aktive IPsec-Richtlinien mithilfe des Snap-Ins IP-Sicherheitsmonitor

• Für Computer unter Windows Server 2003: IPv4-Paketfilter für Routing und RAS fürRoutingschnittstellen mithilfe des Snap-Ins Routing und RAS

Führen Sie für IPv4-Zwischenrouter unter Windows XP die folgenden Überprüfungendurch:


Führen Sie für IPv4-Zwischenrouter, auf denen Windows Server 2003 mit Routing undRAS ausgeführt wird, die folgenden Überprüfungen durch:


• IPv4-Paketfilter für Routing und RAS für Routingschnittstellen mithilfe des Snap-InsRouting und RAS

• Routingprotokollkomponente NAT/Basisfirewall für Routing und RAS

Überprüfen Sie für IPv4-Zwischenrouter oder IPv4-Firewalls von Hardwaredrittanbieterndie Konfiguration der Paketfilter (auch Zugriffslisten genannt) sowie IPsec-Richtlinien und -Filter.

Führen Sie für Zielknoten, auf denen Windows XP oder Windows Server 2003 ausgeführtwird, die folgenden Überprüfungen durch:


• Möglicherweise aktivierte Internetverbindungsfirewall oder Windows-Firewall


Führen Sie für Zielknoten, auf denen Windows Server 2003 mit Routing und RASausgeführt wird, die folgenden Überprüfungen durch:


• IPv4-Paketfilter für Routing und RAS für Routingschnittstellen mithilfe des Snap-InsRouting und RAS

• Routingprotokollkomponente NAT/Basisfirewall für Routing und RAS

• Möglicherweise aktivierte Internetverbindungsfirewall oder Windows-Firewall


Weitere Informationen zu IPsec- und Paketfilterungskomponenten finden Sie in Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

Anzeigen und Verwalten der lokalen IPv4-RoutingtabelleWenn ein lokales Ziel oder ein Remoteziel nicht erreicht werden kann, ist diesmöglicherweise auf falsche oder fehlende Routen in der IPv4-Routingtabellezurückzuführen. Verwenden Sie den Befehl route print oder netstat –r zum Anzeigen der IPv4-Routingtabelle. Überprüfen Sie das Vorhandensein einer Route, die zum lokalenSubnetz gehört. Wenn ein Standardgateway konfiguriert ist, überprüfen Sie außerdem, obeine Standardroute vorhanden ist. Wenn mehrere Standardrouten mit derselben niedrigsten Metrik vorhanden sind, ändern Sie die IPv4-Konfiguration, sodass nur nocheine vorhanden ist, die die Schnittstelle zum Netzwerk mit den meisten Subnetzen (beispielsweise das Internet) verwendet.

Zum Hinzufügen einer Route zur IPv4-Routingtabelle verwenden Sie den Befehl route add. Um eine vorhandene Route zu ändern, verwenden Sie den Befehl route change. Zum Entfernen einer vorhandenen Route verwenden Sie den Befehl route delete.

Überprüfen der RouterzuverlässigkeitWenn Sie ein Problem mit der Routerleistung vermuten, verwenden Sie den Befehl pathping –d IPv4_Adresse, um die Route eines Pakets bis zu seinem Ziel zu verfolgen

und Informationen zu Paketverlusten für die einzelnen Router und Verbindungen im Pfadanzuzeigen. Durch die Befehlszeilenoption –d wird verhindert, dass Pathping für jedeRouterschnittstelle in der entsprechenden Übertragungsrichtung im Routingpfad eineDNS-Reverseabfrage durchführt. Auf diese Weise wird die Anzeige des Routingpfadsbeschleunigt.

Überprüfen der DNS-Namensauflösung für IPv4-AdressenWenn hinsichtlich der Erreichbarkeit bei IPv4-Adressen keine Probleme auftreten, jedoch bei der Verwendung von Hostnamen, liegt unter Umständen ein Problem mit derHostnamensauflösung vor. Dieses ist üblicherweise auf Probleme mit derDNS-Clientkonfiguration oder der DNS-Registrierung zurückzuführen.

Mit den folgenden Aufgaben können Sie Probleme mit der DNS-Namensauflösungbehandeln:

• Überprüfen der DNS-Konfiguration

• Anzeigen und Leeren des DNS-Clientauflösungscaches

• Testen der DNS-Namensauflösung mithilfe des Ping-Tools

• Anzeigen von DNS-Serverantworten mithilfe des Tools Nslookup

Überprüfen der DNS-KonfigurationFühren Sie für Knoten mit Problemen bei der DNS-Namensauflösung die folgendenÜberprüfungen durch:

• Hostname

• Primäres DNS-Suffix

• DNS-Suffixsuchliste

• Verbindungsspezifische DNS-Suffixe

• DNS-Server

Sie können diese Informationen mithilfe des Befehls ipconfig /all anzeigen. Informationen zu DNS-Namen, die im DNS registriert werden sollten, zeigen Sie mithilfe des Befehls netsh interface ip show dns an.

Um die entsprechenden DNS-Namen als IPv4-Adressressourceneinträge (auchA-Ressourceneinträge genannt) über ein dynamisches DNS-Update zu registrieren,verwenden Sie den Befehl ipconfig /registerdns.

Anzeigen und Leeren des DNS-ClientauflösungscachesTCP/IP überprüft vor dem Senden von DNS-Namensabfragen denDNS-Clientauflösungscache. Wenn ein positiver Cacheeintrag für den Namen vorhandenist, wird die zugehörige IPv4-Adresse verwendet. Wenn ein negativer Cacheeintrag fürden Namen vorhanden ist, werden keine DNS-Namensabfragen gesendet.

Verwenden Sie den Befehl ipconfig /displaydns zum Anzeigen desDNS-Clientauflösungscacheinhalts. Um den DNS-Clientauflösungscache zu leeren und mitden Einträgen in der Datei Hosts erneut zu laden, verwenden Sie den Befehl ipconfig /flushdns.

Testen der DNS-Namensauflösung mit dem Ping-ToolSenden Sie zum Testen der DNS-Namensauflösung eine Pinganforderung an denHostnamen oder den vollqualifizierten Domänennamen (FQDN – Fully Qualified DomainName) eines Ziels. Das Ping-Tool zeigt den FQDN und die entsprechende aufgelösteIPv4-Adresse an. Wenn der Host, auf dem das Ping-Tool ausgeführt wird, sowohl IPv4 alsauch IPv6 verwendet und die DNS-Abfrage sowohl IPv4- als auch IPv6-Adressenzurückgibt, verwendet das Tool IPv6-Adressen vor IPv4-Adressen. Sie können mit derPing-Befehlszeilenoption –4 die Verwendung einer IPv4-Adresse erzwingen.

Anzeigen von DNS-Serverantworten mithilfe des Tools NslookupWenn Ping eine falsche IPv4-Adresse verwendet, leeren Sie denDNS-Clientauflösungscache mit dem Befehl ipconfig /flushdns, und ermitteln Sie mithilfe des Tools Nslookup den Satz von Adressen, der in der DNS-Name Query Response-Nachricht zurückgegeben wird. Verwenden Sie an der Eingabeaufforderung vonNslookup> den Befehl set d2, um alle verfügbaren Informationen zu denDNS-Antwortnachrichten anzuzeigen. Suchen Sie anschließend mit Nslookup nach dem

gewünschten FQDN, und zeigen Sie die Details der DNS-Antwortnachricht an. Suchen Siein der Detailanzeige der DNS-Antwortnachrichten nach A-Einträgen.

Überprüfen der NetBIOS-NamensauflösungWenn hinsichtlich der Erreichbarkeit bei IPv4-Adressen keine Probleme auftreten, jedoch bei der Verwendung von NetBIOS-Namen, liegt unter Umständen ein Problem mit derNetBIOS-Namensauflösung vor. Dieses ist üblicherweise auf Probleme mit derKonfiguration von NetBIOS über TCP/IP oder der WINS-Registrierung zurückzuführen.

Durch die folgenden Aufgaben können Sie Probleme mit der NetBIOS-Namensauflösungbehandeln:

• Überprüfen der NetBT-Konfiguration

• Anzeigen und erneutes Laden des NetBIOS-Namencaches

• Testen der NetBIOS-Namensauflösung mit Nbtstat

Überprüfen der Konfiguration von NetBIOS über TCP/IPFühren Sie für Knoten mit Problemen bei der NetBIOS-Namensauflösung die folgendenÜberprüfungen durch:

• NetBIOS-Computername

• NetBIOS-Knotentyp

• Primärer WINS-Server

• Sekundärer WINS-Server

• Möglicherweise deaktiviertes NetBIOS über TCP/IP

Sie können diese Informationen mithilfe des Befehls ipconfig /all anzeigen. Um Informationen zur NetBIOS-Bereichskennung der einzelnen Schnittstellen abzurufen, verwenden Sie den Befehl nbtstat -c . Um festzustellen, ob die Lmhosts-Abfrage aktiviert ist, überprüfen Sie die Registerkarte WINS für die erweiterten Eigenschaften derKomponente Internetprotokoll (TCP/IP).

Verwenden Sie den Befehl nbtstat –n zum Anzeigen der lokalen NetBIOS-Namentabelle. Um die NetBIOS-Namentabelle eines Remotecomputers anzuzeigen, verwenden Sie den Befehl nbtstat –a Computername oder nbtstat –A IPv4_Adresse.

Um die NetBIOS-Namen des Knotens in WINS freizugeben und erneut zu registrieren, verwenden Sie den Befehl nbtstat -RR.

Anzeigen und erneutes Laden des NetBIOS-NamencachesVor dem Senden von WINS- oder Broadcastnamensabfragen wird der NetBIOS-Namencache überprüft. Wenn ein Eintrag für einen aufgelösten Namenvorhanden ist, verwendet TCP/IP die zugehörige IPv4-Adresse. Verwenden Sie den Befehlnbtstat -c zum Anzeigen des NetBIOS-Namencacheinhalts. Um den NetBIOS-Namencache zu leeren und mit den #PRE-Einträgen in der Datei Lmhostserneut zu laden, verwenden Sie den Befehl nbtstat -R.

Testen der NetBIOS-Namensauflösung mit NbtstatZum Testen der NetBIOS-Namensauflösung verwenden Sie den Befehl nbtstat –aComputername. Dieser Befehl zeigt die NetBIOS-Namentabelle des Computers an, derüber seinen NetBIOS-Computernamen angegeben wird.

Überprüfen von IPv4-basierten TCP-SitzungenWenn hinsichtlich der Erreichbarkeit und der Namensauflösung keine Probleme auftreten,jedoch keine TCP-Sitzung mit einem Zielhost hergestellt werden kann, führen Sie diefolgenden Aufgaben durch:

• Überprüfen der Paketfilterung

• Überprüfen des Herstellens von TCP-Sitzungen

• Überprüfen der NetBIOS-Sitzungen

Überprüfen der PaketfilterungWie bereits in diesem Kapitel im Abschnitt "Überprüfen der IPv4-Konnektivität" erläutertwurde, kann die Paketfilterung in Quellknoten, Zwischenroutern und Zielknoten

verhindern, dass TCP-Sitzungen abgeschlossen werden. Verwenden Sie die Informationen im Abschnitt "Überprüfen der IPv4-Konnektivität", um die Paketfilterung oderIPsec-Richtlinien für Quellknoten, Zwischenrouter und Firewalls sowie Zielknoten zuüberprüfen.

In vielen Fällen ist die Paketfilterung so konfiguriert, dass bestimmte Typen vonDatenverkehr zulässig sind und alle anderen verworfen werden, oder dass bestimmteTypen von Datenverkehr verworfen und alle anderen akzeptiert werden. Ein Beispiel fürden ersten Fall stellt die Situation dar, in der eine Firewall oder ein Webserver so konfiguriert ist, dass nur Hypertext Transfer Protocol-(HTTP-)Datenverkehr zulässig istund der sonstige für den Webserver bestimmte Datenverkehr verworfen wird.Infolgedessen können Sie Webseiten des Webservers anzeigen, jedoch keine erfolgreichenPinganforderungen an den Webserver senden oder auf freigegebene Ordner und Dateien des Webservers zugreifen.

Überprüfen des Herstellens von TCP-SitzungenZum Überprüfen, ob eine TCP-Verbindung mit einer bekannten TCP-Zielportnummerhergestellt werden kann, verwenden Sie den Befehl telnet IPv4_Adresse TCP_Port. Wenn Sie beispielsweise überprüfen möchten, ob der Webserverdienst auf dem Computer mitder IPv4-Adresse 131.107.78.12 TCP-Verbindungen akzeptiert, verwenden Sie den Befehl telnet 131.107.78.12 80.

Wenn Telnet erfolgreich eine TCP-Verbindung herstellt, wird das Fenster für dieEingabeaufforderung gelöscht und eine vom Protokoll abhängige Textmeldung angezeigt.In diesem Fenster können Sie Befehle für den Dienst eingeben, mit dem Sie eineVerbindung hergestellt haben. Drücken Sie STRG-C zum Beenden von Telnet. WennTelnet keine TCP-Verbindung herstellen kann, wird folgende Meldung angezeigt: "Verbindungsaufbau zu IPv4_Adresse...Es konnte keine Verbindung hergestellt werden mit Host auf Port TCP_Port: Verbinden fehlgeschlagen."

Zum Testen von TCP-Verbindungen können Sie auch Port Query verwenden, einkostenloses Tool von Microsoft zum Behandeln von Problemen mit derTCP/IP-Konnektivität für bestimmte Typen von TCP- und UDP-Datenverkehr. Port Querywird als Befehlszeilenversion (Portqry.exe) (verfügbar unter PortQry Command Line Port Scanner Version 2.0) und als Version mit grafischer Benutzeroberfläche(Portqueryui.exe) (verfügbar unter PortQryUI - User Interface for the PortQry Command Line Port Scanner) bereitgestellt. Beide Versionen können unter Windows 2000,Windows XP und Windows Server 2003 ausgeführt werden.

Ein weiteres Tool zum Testen des Herstellens von TCP-Verbindungen ist Test TCP (Ttcp). Mit Ttcp können Sie TCP-Verbindungen sowohl initiieren als auch überwachen. Sie könnendas Tool Ttcp auch für UDP-Datenverkehr verwenden. Mit Ttcp können Sie einenComputer so konfigurieren, dass dieser einen bestimmten TCP- oder UDP-Port überwacht,ohne dass Sie die Anwendung oder den Dienst auf dem Computer installieren müssen. Aufdiese Weise können Sie die Netzwerkkonnektivität für bestimmten Datenverkehr testen,bevor die Dienste etabliert sind.

Weitere Informationen zu Port Query und Ttcp finden Sie im Artikel Testing Network Paths for Common Types of Traffic (in englischer Sprache).

Überprüfen der NetBIOS-SitzungenZum Überprüfen der Herstellung von NetBIOS-Sitzungen können Sie den Befehl nbtstat–s verwenden, durch den die NetBIOS-Sitzungstabelle angezeigt wird.

Zum Seitenanfang

IPv6-ProblembehandlungIn den folgenden Abschnitten werden Tools und Methoden beschrieben, mit denen ein Problem in aufeinander folgenden Schichten des TCP/IP-Protokollstacks mit IPv6-Internetschicht identifiziert werden kann. Je nach Art des Problems sollten Sie eines der folgenden Verfahren durchführen:

• Sie beginnen am unteren Ende des Stacks und bewegen sich nach oben.

• Sie beginnen am oberen Ende des Stacks und bewegen sich nach unten.

In den folgenden Abschnitten, die mit dem oberen Ende des Stacks beginnen, werden die folgenden Aufgaben beschrieben:

• Überprüfen der IPv6-Konnektivität

• Überprüfen der DNS-Namensauflösung für IPv6-Adressen

• Überprüfen von IPv6-basierten TCP-Sitzungen

Sie können auch den Netzwerkmonitor zum Erfassen von IPv6-Datenverkehr verwenden,um Probleme mit IPv6-basierter Kommunikation zu behandeln. Diese Vorgehensweise wird in den folgenden Abschnitten jedoch nicht beschrieben. Der Netzwerkmonitor wird mit Microsoft Systems Management Server sowie als optionale Netzwerkkomponente mit Windows Server 2003 bereitgestellt. Um jedoch die Anzeige von IPv6-Paketen imNetzwerkmonitor korrekt interpretieren zu können, sind umfassende Kenntnisse der inden einzelnen Paketen enthaltenen Protokolle erforderlich.

Überprüfen der IPv6-KonnektivitätMithilfe der folgenden Aufgaben können Sie Probleme mit der IPv6-Konnektivitätbehandeln:

• Überprüfen der Konfiguration

• Verwalten der Konfiguration

• Überprüfen der Erreichbarkeit

• Anzeigen und Verwalten der IPv6-Routingtabelle

• Überprüfen der Routerzuverlässigkeit

Überprüfen der KonfigurationUm die aktuellen IPv6-Einstellungen für die korrekte Adresskonfiguration (bei manuellerKonfiguration) oder eine geeignete Adresskonfiguration (bei automatischer Konfiguration) zu überprüfen, stehen Ihnen die folgenden Optionen zur Verfügung:

• ipconfig /all

Durch den Befehl ipconfig /all werden IPv6-Adressen, Standardrouter und DNS-Einstellungen für sämtliche Schnittstellen angezeigt. Dieser Befehl funktioniert nurauf dem lokalen Computer.

• netsh interface ipv6 show address

Durch diesen Befehl werden ausschließlich die IPv6-Adressen der einzelnenSchnittstellen angezeigt. Mit Netsh kann auch die Konfiguration eines Remotecomputers angezeigt werden. Verwenden Sie hierzu die Befehlszeilenoption –rRemotecomputername. Um beispielsweise die Konfiguration eines Remotecomputers namens FILESRV1 anzuzeigen, verwenden Sie den Befehl netsh –r filesrv1 interfaceipv6 show address.

Verwalten der KonfigurationZum manuellen Konfigurieren von IPv6-Adressen verwenden Sie den Befehl netsh interface ipv6 set address. In den meisten Fällen ist es nicht erforderlich,IPv6-Adressen manuell zu konfigurieren, da diese den Hosts über dieIPv6-Adressautokonfiguration automatisch zugewiesen werden.

Um Änderungen an der Konfiguration der IPv6-Schnittstellen vorzunehmen, verwendenSie den Befehl netsh interface ipv6 set interface. Um IPv6-Adressen von DNS-Servern hinzuzufügen, verwenden Sie den Befehl netsh interface ipv6 add dns.

Sie können die Befehlszeilenoption –rRemotecomputername von Netsh verwenden, um die IPv6-Konfiguration eines Remotecomputers zu verwalten.

Überprüfen der ErreichbarkeitGehen Sie folgendermaßen vor, um die Erreichbarkeit eines lokalen oder einesRemoteziels zu überprüfen:

• Überprüfen und leeren Sie den Nachbarcache.

Ähnlich wie der Address Resolution Protocol-(ARP-)Cache speichert der Nachbarcachedie zuletzt aufgelösten Adressen der Verbindungsschicht. Verwenden Sie den Befehlnetsh interface ipv6 show neighbors zum Anzeigen des aktuellen Inhalts des Nachbarcaches. Der Nachbarcache kann mit dem Befehl netsh interface ipv6 delete neighbors geleert werden.

• Überprüfen und leeren Sie den Zielcache.

Im Zielcache werden IPv6-Zieladressen für den nächsten Hop gespeichert. VerwendenSie den Befehl netsh interface ipv6 show destinationcache zum Anzeigen des aktuellen Inhalt des Zielcaches. Der Zielcache kann mit dem Befehl netsh interface ipv6 delete destinationcache geleert werden.

• Senden Sie eine Pinganforderung an den Standardrouter.

Verwenden Sie das Ping-Tool zum Senden einer Pinganforderung an die IPv6-Adresse des Standardrouters. Sie können die IPv6-Link-Local-Adresse des Standardrouters übereinen der Befehle ipconfig, netsh interface ipv6 show routes, route print oder nbtstat -r anzeigen. Durch Senden einer Pinganforderung an den Standardrouter wird die Erreichbarkeit lokaler Knoten und des Standardrouters getestet. Über denStandardrouter werden IPv6-Pakete an Remoteknoten weitergeleitet.

Wenn Sie an den Standardrouter eine Pinganforderung senden, müssen Sie denZonenbezeichner (Zonen-ID) der Schnittstelle angeben, an die Sie die ICMPv6-Echoanforderungsnachricht senden möchten. Die Zonen-ID ist derSchnittstellenindex der Standardroute (::/0) mit der niedrigsten Metrik und wird durch die Befehle netsh interface ipv6 show routes oder route print angezeigt.

Dieser Schritt schlägt unter Umständen fehl, wenn der Standardrouter sämtlicheICMPv6-Nachrichten filtert.

• Senden Sie eine Pinganforderung an die IPv6-Adresse eines Remoteziels.

Wenn die Pinganforderung an den Standardrouter erfolgreich ist, senden Sie eine Pinganforderung an die IPv6-Adresse eines Remoteziels. Dieser Schritt schlägt unterUmständen fehl, wenn das Ziel sämtliche ICMPv6-Nachrichten filtert.

• Verfolgen Sie die Route zum Remoteziel.

Wenn die Pinganforderung an die IPv6-Adresse des Remoteziels fehlschlägt, liegt unterUmständen ein Routingproblem zwischen Ihrem Knoten und dem Zielknoten vor.Verwenden Sie den Befehl tracert –dIPv6_Adresse zum Verfolgen des Routingpfads zum Remoteziel. Durch die Befehlszeilenoption –d wird verhindert, dass Tracert fürjede Routerschnittstelle in der entsprechenden Übertragungsrichtung im Routingpfadeine DNS-Reverseabfrage durchführt. Auf diese Weise wird die Anzeige desRoutingpfads beschleunigt. Dieser Schritt schlägt unter Umständen fehl, wenn dieZwischenrouter oder das Ziel sämtliche ICMPv6-Nachrichten filtern.

Überprüfen der PaketfilterungProbleme mit der Erreichbarkeit eines Zielknotens sind unter Umständen auf dieKonfiguration von Internet Protocol Security (IPsec) oder der Paketfilterung für denQuellknoten, die Zwischenrouter oder den Zielknoten zurückzuführen, durch die dasSenden, Weiterleiten oder Empfangen von Paketen verhindert wird.

Überprüfen Sie IPsec für IPv6-Richtlinien für den Quellknoten, die mit dem Tool Ipsec6konfiguriert wurden.

Überprüfen Sie für IPv6-Zwischenrouter, auf denen Windows XP oder WindowsServer 2003 ausgeführt wird, IPsec für IPv6-Richtlinien, die mit dem Tool Ipsec6konfiguriert wurden.

Überprüfen Sie für IPv6-Zwischenrouter oder IPv6-Firewalls die Konfiguration vonIPv6-basierten Paketfiltern und IPsec-Richtlinien.

Führen Sie für den Zielknoten die folgenden Überprüfungen durch:

• IPsec für IPv6-Richtlinien, die mit dem Tool Ipsec6 konfiguriert wurden

• Die einfache IPv6-Firewall

IPv6 für Windows Server 2003 schließt die Unterstützung einer einfachen Firewall fürSchnittstellen ein. Wenn diese aktiviert ist, verwirft IPv6 eingehende TCP-SYN-Segmente und alle nicht angeforderten eingehenden UDP-Nachrichten. Siekönnen die einfache Firewall mit dem Befehl netsh interface ipv6 set interface interface=Name_oder_Index firewall=enabled|disabled konfigurieren.

• Internetverbindungsfirewall für IPv6

Die Internetverbindungsfirewall für IPv6 ist im Advanced Networking Pack für

Windows XP enthalten, einem kostenlosen Download für Windows XP mit SP1.


Die Windows-Firewall ist im Windows XP Service Pack 2 und dem Windows Server 2003Service Pack 1 enthalten.

Weitere Informationen zu diesen Paketfilterungskomponenten finden Sie in Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

Anzeigen und Verwalten der lokalen IPv6-RoutingtabelleWenn ein lokales Ziel oder ein Remoteziel nicht erreicht werden kann, ist diesmöglicherweise auf falsche oder fehlende Routen in der IPv6-Routingtabellezurückzuführen. Zum Anzeigen der IPv6-Routingtabelle verwenden Sie einen der Befehleroute print, netstat –r oder netsh interface ipv6 show routes. Überprüfen Sie dasVorhandensein einer Route, die zum lokalen Subnetz gehört. Wenn für diese einStandardrouter automatisch konfiguriert ist, überprüfen Sie außerdem, ob eineStandardroute vorhanden ist. Wenn mehrere Standardrouten mit derselben niedrigsten Metrik vorhanden sind, müssen Sie möglicherweise die Konfiguration der IPv6-Routerändern, sodass die Standardroute mit der niedrigsten Metrik die Schnittstelle verwendet,die mit dem Netzwerk mit den meisten Subnetzen verbunden ist.

Zum Hinzufügen einer Route zur IPv6-Routingtabelle verwenden Sie den Befehl netsh interface ipv6 add route. Um eine vorhandene Route zu ändern, verwenden Sie denBefehl netsh interface ipv6 set route. Um eine vorhandene Route zu entfernen, verwenden Sie den Befehl netsh interface ipv6 delete route.

Überprüfen der RouterzuverlässigkeitWenn Sie ein Problem mit der Routerleistung vermuten, verwenden Sie den Befehl pathping –dIPv6_Adresse, um den Pfad eines Pakets bis zu seinem Ziel zu verfolgen und Informationen zu Paketverlusten für die einzelnen Router und Verbindungen im Pfadanzuzeigen. Durch die Befehlszeilenoption –d wird verhindert, dass Pathping für jedeRouterschnittstelle in der entsprechenden Übertragungsrichtung im Routingpfad eineDNS-Reverseabfrage durchführt. Auf diese Weise wird die Anzeige des Routingpfadsbeschleunigt.

Überprüfen der DNS-Namensauflösung für IPv6-AdressenWenn hinsichtlich der Erreichbarkeit bei IPv6-Adressen keine Probleme auftreten, jedoch bei der Verwendung von Hostnamen, liegt unter Umständen ein Problem mit derHostnamensauflösung vor. Dieses ist üblicherweise auf Probleme mit derDNS-Clientkonfiguration oder der DNS-Registrierung zurückzuführen.

Mit den folgenden Aufgaben können Sie Probleme mit der DNS-Namensauflösungbehandeln:

• Überprüfen der DNS-Konfiguration

• Anzeigen und Leeren des DNS-Clientauflösungscaches

• Testen der DNS-Namensauflösung mithilfe des Ping-Tools

• Anzeigen von DNS-Serverantworten mithilfe des Tools Nslookup

Überprüfen der DNS-KonfigurationFühren Sie für Knoten mit Problemen bei der DNS-Namensauflösung die folgendenÜberprüfungen durch:

• Hostname

• Der primäre DNS-Suffix

• DNS-Suffixsuchliste

• Verbindungsspezifische DNS-Suffixe

• DNS-Server

Sie können diese Informationen mithilfe des Befehls ipconfig /all anzeigen. Informationen zu DNS-Namen, die im DNS registriert werden sollten, zeigen Sie mithilfe des Befehls netsh interface ip show dns an.

In der Standardeinstellung konfiguriert IPv6 die bekannten Site-Local-Adressen von DNS-Servern unter FEC0:0:0:FFFF::1, FEC0:0:0:FFFF::2 und FEC0:0:0:FFFF::3 für jede

Schnittstelle, die eine Routerankündigung empfängt. Um IPv6-Adressen von weiterenDNS-Servern hinzuzufügen, verwenden Sie den Befehl netsh interface ipv6 add dns.

Um die entsprechenden DNS-Namen als IPv6-Adressressourceneinträge (auchAAAA-Ressourceneinträge genannt) über ein dynamisches DNS-Update zu registrieren,verwenden Sie den Befehl ipconfig /registerdns.

Anzeigen und Leeren des DNS-ClientauflösungscachesTCP/IP überprüft vor dem Senden von DNS-Namensabfragen denDNS-Clientauflösungscache. Wenn ein positiver Cacheeintrag für einen aufgelösten Namenvorhanden ist, wird die zugehörige IPv6-Adresse verwendet. Wenn ein negativerCacheeintrag für den Namen vorhanden ist, werden keine DNS-Namensabfragengesendet.

Verwenden Sie den Befehl ipconfig /displaydns zum Anzeigen desDNS-Clientauflösungscacheinhalts. Um den DNS-Clientauflösungscache zu leeren und mitden Einträgen in der Datei Hosts erneut zu laden, verwenden Sie den Befehl ipconfig /flushdns.

Testen der DNS-Namensauflösung mit dem Ping-ToolSenden Sie zum Testen der DNS-Namensauflösung eine Pinganforderung an denHostnamen oder FQDN eines Ziels. Das Ping-Tool zeigt den FQDN und die entsprechende IPv6-Adresse an.

Anzeigen von DNS-Serverantworten mithilfe des Tools NslookupWenn Ping eine falsche IPv6-Adresse verwendet, leeren Sie denDNS-Clientauflösungscache, und ermitteln Sie mithilfe des Tools Nslookup den Satz vonAdressen, der in der DNS-Name Query Response-Nachricht zurückgegeben wird.Verwenden Sie an der Eingabeaufforderung von Nslookup> den Befehl set d2, um alleverfügbaren Informationen zu den DNS-Antwortnachrichten anzuzeigen. Verwenden Sieanschließend Nslookup, um nach dem gewünschten FQDN zu suchen. Suchen Sie in derDetailanzeige der DNS-Antwortnachrichten nach AAAA-Einträgen.

Überprüfen von IPv6-basierten TCP-SitzungenWenn hinsichtlich der Erreichbarkeit und der Namensauflösung keine Probleme auftreten,jedoch keine TCP-Verbindung mit einem Zielhost hergestellt werden kann, führen Sie diefolgenden Aufgaben durch:

• Überprüfen der Paketfilterung

• Überprüfen des Herstellens von TCP-Verbindungen

Überprüfen der PaketfilterungWie bereits in diesem Kapitel im Abschnitt "Überprüfen der IPv6-Konnektivität" erläutertwurde, kann die Paketfilterung in Quellknoten, Zwischenrouter und Zielknoten verhindern, dass TCP-Verbindungen hergestellt werden. Verwenden Sie die Informationen im Abschnitt "Überprüfen der IPv6-Konnektivität", um die Paketfilterung oderIPsec-Richtlinien für den Quellknoten, die Zwischenrouter und Firewalls sowie denZielknoten zu überprüfen.

In vielen Fällen ist die Paketfilterung so konfiguriert, dass bestimmte Typen vonDatenverkehr zulässig sind und alle anderen verworfen werden, oder dass bestimmteTypen von Datenverkehr verworfen und alle anderen akzeptiert werden. Ein Beispiel fürden ersten Fall stellt die Situation dar, in der eine Firewall oder ein Webserver so konfiguriert ist, dass nur HTTP-Datenverkehr zulässig ist und der sonstige für denWebserver bestimmte Datenverkehr verworfen wird. Infolgedessen können Sie Webseitendes Webservers anzeigen, jedoch keine erfolgreichen Pinganforderungen an den Webserver senden oder auf freigegebene Ordner und Dateien des Webservers zugreifen.

Überprüfen des Herstellens von TCP-SitzungenZum Überprüfen, ob eine TCP-Verbindung mit einer bekannten TCP-Zielportnummerhergestellt werden kann, verwenden Sie den Befehl telnet IPv6_Adresse TCP_Port. Wenn Sie beispielsweise überprüfen möchten, ob der Webserverdienst auf dem Computer mitder IPv6-Adresse 3FFE:FFFF::21AD:2AA:FF:FE31:AC89 TCP-Verbindungen überTCP-Port 80 akzeptiert, verwenden Sie den Befehl telnet 3ffe:ffff::21ad:2aa:ff:fe31:ac89 80.

Wenn Telnet erfolgreich eine TCP-Verbindung herstellt, wird das Fenster für dieEingabeaufforderung gelöscht und eine vom Protokoll abhängige Textmeldung angezeigt.In diesem Fenster können Sie Befehle für den Dienst eingeben, mit dem Sie eineVerbindung hergestellt haben. Drücken Sie STRG-C zum Beenden von Telnet. Wenn

Telnet keine TCP-Verbindung herstellen kann, wird folgende Meldung angezeigt: "Verbindungsaufbau zu IPv6_Adresse...Es konnte keine Verbindung hergestellt werden mit Host auf Port TCP_Port: Verbinden fehlgeschlagen."

Ein weiteres Tool zum Testen des Herstellens von TCP-Verbindungen ist Test TCP (Ttcp). Mit Ttcp können Sie TCP-Verbindungen sowohl initiieren als auch überwachen. Sie könnendas Tool Ttcp auch für UDP-Datenverkehr verwenden. Mit Ttcp können Sie einenComputer so konfigurieren, dass dieser einen bestimmten TCP- oder UDP-Port überwacht,ohne dass Sie die Anwendung oder den Dienst auf dem Computer installieren müssen. Aufdiese Weise können Sie die Netzwerkkonnektivität für bestimmten Datenverkehr testen,bevor die Dienste etabliert sind.

Weitere Informationen zu Ttcp finden Sie im Artikel Testing Network Paths for Common Types of Traffic (in englischer Sprache).

Zum Seitenanfang


• Um bei der Problembehandlung fehlerhafte Komponenten zu isolieren, sollten Sie ermitteln, welche Komponenten funktionsfähig bzw. nicht funktionsfähig sind. StellenSie außerdem fest, ob die Komponente in der Vergangenheit funktionsfähig war undwelche Änderungen seitdem vorgenommen wurden.

• Windows stellt die folgenden Tools zum Behandeln von TCP/IP-Problemen bereit: Arp, Hostname, Ipconfig, Nbtstat, Netsh, Netstat, Nslookup, Ping, Route, Tracert, Pathping, SNMP-Dienst, Ereignisanzeige, Leistungsprotokolle und Warnungen, Netzwerkmonitor und Netdiag.

• Behandeln Sie Probleme bei der IPv4-Kommunikation durch Überprüfen vonIPv4-Konnektivität, DNS-Namensauflösung für IPv4-Adressen,NetBIOS-Namensauflösung und IPv4-basierten TCP-Sitzungen.

• Behandeln Sie Probleme bei der IPv6-Kommunikation durch Überprüfen vonIPv6-Konnektivität, DNS-Namensauflösung für IPv6-Adressen und IPv6-basiertenTCP-Sitzungen.

Zum Seitenanfang

KapitelglossarAdressauflösung – Der IPv4- (verwendet ARP) oder IPv6-Prozess (verwendet dieNachbarsuche) zum Auflösen der MAC-Adresse für die IP-Adresse des nächsten Hops einerVerbindung.

Address Resolution Protocol – Ein Protokoll, das mithilfe von Broadcastverkehr im lokalenSubnetz eine IP-Adresse in die entsprechende MAC-Adresse auflöst.

ARP – Siehe "Address Resolution Protocol".

ARP-Cache – Eine Tabelle, die für jede Schnittstelle die statischen oder dynamischaufgelösten IPv4-Adressen und die entsprechenden MAC-Adressen enthält.

Standardgateway – Ein Konfigurationsparameter für IPv4, der die IPv4-Adresse einesbenachbarten IPv4-Routers darstellt. Beim Konfigurieren eines Standardgateways wird inder IPv4-Routingtabelle eine Standardroute erstellt.

Standardroute – Route, die alle erreichbaren Ziele zusammenfasst und für dieWeiterleitung verwendet wird, wenn in der Routingtabelle keine weiteren Routen für dasZiel angegeben sind. Wenn beispielsweise ein Router oder sendender Host für das Zielkeine Subnetzroute, zusammenfassende Route oder Hostroute findet, wird von IP dieStandardroute verwendet. Die Standardroute dient dem einfachen Konfigurieren vonHosts und Routern. Für IPv4-Routingtabellen ist die Standardroute die Route mit demNetzwerkziel 0.0.0.0 und der Netzmaske 0.0.0.0. Für IPv6-Routingtabellen hat dieStandardroute den Präfix ::/0.

Standardrouter – Ein Konfigurationsparameter für IPv6, der die Link-Local-Adresse einesbenachbarten IPv6-Routers darstellt. Standardrouter werden automatisch durch dieIPv6-Routersuche konfiguriert.

Zielcache – Tabelle für die IPv6-Zieladressen und die entsprechenden, zuvor ermitteltenAdressen für den nächsten Hop.

DNS – Siehe "Domain Name System (DNS)".

DNS-Clientauflösungscache – Eine RAM-basierte Tabelle, die sowohl die Einträge in derDatei Hosts als auch die Ergebnisse der zuletzt durchgeführten DNS-Namensabfragenenthält.

DNS-Server – Ein Server, der eine Datenbank mit Zuordnungen von DNS-Domänennamenzu verschiedenen Datentypen, wie z. B. IP-Adressen, verwaltet.

Domain Name System (DNS) – Eine hierarchische, verteilte Datenbank, die Zuordnungenvon DNS-Domänennamen zu verschiedenen Datentypen, wie z. B. IP-Adressen, enthält.DNS ermöglicht die Spezifizierung von Computern und Diensten über benutzerfreundlicheNamen und die Suche nach anderen in der Datenbank gespeicherten Informationen.

Hostname – Der Name eines Computers oder Geräts in einem Netzwerk. Benutzer könnenComputer in einem Netzwerk über ihre Hostnamen angeben. Damit ein Computergefunden werden kann, muss der entsprechende Hostname in der Datei Hostseingetragen oder einem DNS-Server bekannt sein. Bei den meisten Windows-basierten Computern stimmen Hostname und Computername überein.

Hostnamensauflösung – Der Vorgang des Auflösens eines Hostnamens zu einerZiel-IP-Adresse.

Datei "Hosts" – Eine lokale Textdatei in demselben Format wie die Datei /etc/hostsunter 4.3BSD-Unix. Diese Datei weist IP-Adressen Hostnamen zu und ist im Ordner Systemstamm\System32\Drivers\Etc gespeichert.

Datei "Lmhosts" – Eine lokale Textdatei, die IP-Adressen für Hosts in RemotesubnetzenNetBIOS-Namen zuweist. Auf Windows-Computern ist diese Datei im OrdnerSystemstamm\System32\Drivers\Etc gespeichert.

Negative Cacheeinträge – Zum DNS-Clientauflösungscache hinzugefügte Hostnamen, fürdie eine Abfrage durchgeführt wurde, jedoch nicht aufgelöst werden konnten.

Nachbarcache – Der von einem IPv6-Knoten verwaltete Cache, in dem dieIPv6-Subnetzadressen eines Nachbarn und die entsprechende MAC-Adresse gespeichertwerden. Der Nachbarcache ist äquivalent zum ARP-Cache bei IPv4.


NetBIOS-Name - Ein 16-Byte-Name für einen Prozess, der NetBIOS verwendet.

NetBIOS-Namencache – Eine dynamisch verwaltete Tabelle auf einem NetBIOS-fähigenHost, in der die zuletzt aufgelösten NetBIOS-Namen und ihre zugeordneten IPv4-Adressengespeichert werden.

NetBIOS-Namensauflösung – Die Zuordnung eines NetBIOS-Namens zu einerIPv4-Adresse.

NetBIOS-Namenserver (NBNS) – Ein Server, auf dem Zuordnungen von NetBIOS-Namenzu IPv4-Adressen gespeichert werden und der NetBIOS-Namensauflösungen fürNetBIOS-fähige Hosts ausführt. WINS ist die Microsoft-Implementierung einesNetBIOS-Namenservers.

Routingtabelle – Der Satz von Routen, mit dem die Adresse und Schnittstelle für dennächsten Hop für von einem Host gesendeten oder von einem Router weitergeleitetenIP-Datenverkehr ermittelt wird.

Windows Internet Name Service (WINS) – Die Microsoft-Implementierung einesNetBIOS-Namenservers.





TCP/IP-Grundlagen für Microsoft WindowsAnhang A: IP-MulticastVeröffentlicht: 29. Mrz 2006

Zusammenfassung

In diesem Anhang wird Internet Protocol (IP)-Multicast sowohl für Internet Protocol Version4 (IPv4) als auch Internet Protocol Version 6 (IPv6) und dessen Unterstützung unter denBetriebssystemen Microsoft® Windows Server™ 2003 und Windows® XP beschrieben.IP-Multicast ist ein zentraler Verteilungsmechanismus, der sich für die effiziente Verteilungvon Daten an interessierte empfangsbereite Hosts an beliebigen Standorten in einemprivaten Netzwerk oder im Internet eignet. Netzwerkadministratoren müssen im Umgang mitMulticastkonzepten, Multicastadressierung und -weiterleitung, Multicastadresszuweisung undzuverlässigem Multicast sicher sein, um den IP-Multicastverkehr effektiv verwenden undProbleme damit behandeln zu können.

Auf dieser Seite

IP-Multicast im Überblick

Multicastadressen

Unterstützung der IPv4-Multicastweiterleitung unter Windows Server 2003

Zuordnung von IPv4-Multicastadressen mit MADCAP

Reliable Multicast mit Pragmatic General Multicast (PGM)

IP-Multicast im ÜberblickNeben der Unterstützung von Unicast und Broadcast stellt IP auch einen Mechanismus zumSenden und Empfangen von IP-Multicastverkehr bereit. IP-Multicastverkehr wird an eine einzige IP-Zieladresse gesendet, jedoch von mehreren IP-Hosts empfangen und verarbeitet. Der Standort der Hosts im IP-Netzwerk spielt dabei keine Rolle. Ein Host überwacht einebestimmte IP-Multicastadresse und empfängt alle an diese IP-Adresse gesendeten Pakete.

IP-Multicast arbeitet bei der zentralen Verteilung von Daten effizienter als IP-Unicast oder -Broadcast. Im Gegensatz zu Unicast wird nur eine Kopie der Daten gesendet, und im Gegensatz zu Broadcast wird der Verkehr nur von Computern empfangen und verarbeitet, die diesen Verkehr überwachen.

Die Hosts, die eine bestimmte IP-Multicastadresse überwachen, werden als Hostgruppebezeichnet. Ein Host kann Verkehr an eine IP-Multicastadresse senden, ohne Mitglied der entsprechenden Hostgruppe zu sein. Die Mitgliedschaft in der Hostgruppe ist dynamisch. Hosts können der Gruppe jederzeit beitreten bzw. die Gruppe jederzeit verlassen, und esgelten keine Beschränkungen für die Größe einer Hostgruppe.

Eine Hostgruppe kann IP-Router in mehreren Netzwerksegmenten umfassen. Damit diese Konfiguration möglich ist, müssen die IP-Router IP-Multicast unterstützen, und die Hostsmüssen in der Lage sein, ihre Empfangsbereitschaft für Multicastverkehr von denbenachbarten Routern zu registrieren. Die Hosts verwenden für IPv4 das Internet GroupManagement Protocol (IGMP) und für IPv6 die Multicast-Listener-Erkennung (MulticastListener Discovery, MLD) zur Registrierung der Mitgliedschaft in der Hostgruppe.

IP-Multicast-fähiges IntranetIn einem IP-Multicast-fähigen Intranet kann jeder Host IP-Multicastverkehr an eine beliebigeGruppenadresse senden, und jeder Host kann IP-Multicastverkehr von jeder beliebigen Gruppenadresse empfangen. Der Standort der Hosts spielt dabei keine Rolle. Abbildung A-1 zeigt ein Beispiel für ein IP-Multicast-fähiges Intranet.

In diesem Beitrag

• Übersicht




















Abbildung A-1: Ein IP-Multicast-fähiges Intranet Abbildung vergrößern

Damit dies möglich ist, müssen die Hosts und Router im Netzwerk IP-Multicast unterstützen.

Hostunterstützung für IP-MulticastDamit ein Host IP-Multicastpakete senden kann, muss er die folgenden Schritte ausführen:

• Feststellen der zu verwendenden IP-Multicastadresse

Die IP-Multicastadresse kann von der Anwendung fest codiert oder über einenMechanismus bezogen werden, durch den eine eindeutige Multicastadresse zugewiesen wird.

• Platzieren des IP-Multicastpakets auf dem Medium

Der sendende Host muss ein IP-Paket erstellen, das die IP-Multicastadresse des Zielsenthält, muss das Paket auf das Medium setzen. Bei Technologien für den gemeinsamenZugriff wie Ethernet und Token Ring wird die MAC-Adresse (Media Access Control) des Ziels aus der IP-Multicastadresse abgeleitet.

Damit ein Host IP-Multicastpakete empfangen kann, muss er die folgenden Schritteausführen:

• Vorbereiten von IP zum Empfang von Multicastverkehr.

Zur Ermittlung der zu verwendenden IP-Multicastadresse muss die Anwendung zuerst feststellen, ob eine neue Hostgruppe erstellt werden oder ob der Host einer bereits vorhandenen Hostgruppe beitreten soll. Soll der Host einer bereits vorhandenen Gruppe beitreten, kann die Anwendung eine fest codierte Multicastadresse oder eine Adresse verwenden, die aus einem URL (Uniform Resource Locator) abgeleitet wurde.

Nachdem die Gruppenadresse festgelegt wurde, muss IP von einer Anwendung darüberinformiert werden, den an die Gruppenadresse gesendeten Multicastverkehr zu empfangen. Die Anwendung kann z. B. Windows Sockets-Funktionen verwenden, um IPüber die Multicastgruppen zu informieren, denen sie beigetreten ist. Wenn mehrereAnwendungen die gleiche IP-Multicastadresse verwenden, muss IP an jede Anwendung eine Kopie des Multicastpakets übergeben. IP muss verfolgen, von welchen Anwendungenwelche Multicastadressen verwendet werden, wenn Anwendungen einer Hostgruppe beitreten bzw. eine Hostgruppe verlassen. Bei einem mehrfach vernetzten Host muss IP die Mitgliedschaft von Anwendungen bei Hostgruppen für jedes Subnetz verfolgen.

• Registrieren der Multicast-MAC-Adresse beim Netzwerkadapter.

Wenn die Netzwerktechnologie das hardwarebasierte Multicasting unterstützt, wird derNetzwerkadapter angewiesen, Pakete für eine bestimmte Multicastadresse weiterzuleiten.Der Host weist den Netzwerkadapter mithilfe der Windows-Funktion NdisRequest() an, auf eine Multicast-MAC-Adresse zu antworten, die einer IP-Multicastadresse entspricht.

• Informieren lokaler Router.

Der Host muss Router im lokalen Subnetz informieren, die er mithilfe von IGMP oder MLD an einer bestimmten Gruppenadresse auf Multicastverkehr überwacht.

Routerunterstützung für IP-MulticastDamit IP-Multicastpakete nur an die Subnetze weitergeleitet werden, für dieGruppenmitglieder vorhanden sind, muss ein IP-Multicastrouter Folgendes leisten:

• Empfangen des gesamten IP-Multicastverkehrs.

Bei Technologien für den gemeinsamen Zugriff ist Unicast der normale Empfangsmodusfür Netzwerkadapter. Der Empfangsmodus ist die Art und Weise, wie der Netzwerkadapterdie MAC-Zieladresse eingehender Frames analysiert, um festzustellen, ob sie weiter verarbeitet werden sollen. Im Unicast-Empfangsmodus sind die einzigen Frames, die zur weiteren Verarbeitung berücksichtigt werden, in einer Tabelle zu verwendenderMAC-Zieladressen enthalten, die auf dem Netzwerkadapter gespeichert sind. In der Regel sind nur die Broadcastadresse (0xFF-FF-FF-FF-FF-FF) und die Unicast-MAC-Adresse des Adapters die einzigen interessanten Adressen.

Damit ein IP-Multicastrouter den gesamten IP-Multicastverkehr empfangen kann, muss er den Netzwerkadapter jedoch in einen speziellen Empfangsmodus versetzen, den so genannten gemischten Multicastmodus. Im gemischten Multicastmodus wird das durch IEEE (Institute of Electrical and Electronic Engineers) definierte I/G-Bit (Individual/Group) analysiert, um festzustellen, ob der Frame weiter verarbeitet werden muss. Das I/G-Bit fürEthernet-Adressen ist das niedrigwertige Bit des ersten Bytes der MAC-Zieladresse.

Das I/G-Bit hat die folgenden Werte:

• Wenn es auf 0 festgelegt ist, handelt es sich bei der Adresse um eine Unicast- oder individuelle Adresse.

• Wenn es auf 1 festgelegt ist, handelt es sich um eine Multicast- oder Gruppenadresse.Für die Broadcastadresse wird das Multicastbit ebenfalls auf 1 festgelegt.

Wenn der Netzwerkadapter in den gemischten Multicastempfangsmodus versetzt wird, werden alle Frames, deren I/G-Bit auf 1 festgelegt ist, zur weiteren Verarbeitung weitergeleitet.

Der gemischte Multicastmodus unterscheidet sich vom gemischten Modus. Im gemischtenModus werden alle Frames – unabhängig von der MAC-Zieladresse – zur Verarbeitungweitergeleitet. Protokollanalyseprogramme, beispielsweise die Vollversion von MicrosoftNetzwerkmonitor, die zu Microsoft Systems Management Server gehört, verwenden dengemischten Modus. Netzwerkadapter von Hosts werden in der Regel nicht in dengemischten Multicastmodus versetzt.

• Weiterleiten des IP-Multicastverkehrs.

Die Weiterleitung der IP-Multicastpakete ist eine Funktion des IP. Wenn die IP-Multicastweiterleitung aktiviert ist, werden IP-Multicastdatenpakete von IP analysiert, um die Schnittstellen zu ermitteln, über die die Pakete weitergeleitet werden sollen. Beidieser Analyse werden die Adressen der IP-Quell- und der -Zielgruppe mit Einträgen in derIP-Multicast-Weiterleitungstabelle verglichen. Bei Empfang eines nicht lokalen IP-Multicastpakets wird die Gültigkeitsdauer (Time to Live, TTL) im IPv4-Header oder dasFeld "Hop Limit" im IPv6-Header um 1 dekrementiert. Wenn die TTL oder das Hop Limit nach dem Dekrementieren größer ist als 0, wird die Multicast-Weiterleitungstabelleüberprüft. Wenn in der Multicast-Weiterleitungstabelle ein Eintrag gefunden wird, der derIP-Multicast-Zieladresse entspricht, wird das IP-Multicastpaket mit der neuen TTL bzw. dem neuen Hop Limit über die entsprechenden Schnittstellen weitergeleitet.

Bei der Multicastweiterleitung erfolgt keine Unterscheidung zwischen Hosts in lokal verbundenen Subnetzen, die Multicastverkehr empfangen, und Hosts in einem Netzwerksegment, die dem lokal verbundenen Subnetz über einen anderen Router imSubnetz nachgelagert sind. Ein Multicastrouter leitet also unter Umständen einMulticastpaket in einem Subnetz weiter, für das es keine empfangsbereiten Hosts gibt. DerMulticastrouter leitet das Paket weiter, weil ein anderer Router in diesem Subnetz angegeben hat, dass ein ihm nachgelagerter Host den Multicastverkehr empfängt.

In der Multicast-Weiterleitungstabelle wird nicht jedes Mitglied der Hostgruppe oder die Anzahl der Hostgruppenmitglieder erfasst, sondern nur, dass der Multicastverkehr überbestimmte Schnittstellen weitergeleitet werden muss.

• Empfangen und Verarbeiten von Nachrichten zur Mitgliedschaft in Multicastgruppen, die von Hosts gesendet wurden.

Multicastrouter empfangen IGMP- oder MLD-Nachrichten von Hosts aus allen lokal verbundenen Subnetzen. Anhand dieser Informationen wird die

Hostgruppenmitgliedschaft erfasst, und Einträge werden in dieMulticast-Weiterleitungstabelle eingefügt bzw. aus dieser Tabelle entfernt. Da alleMulticastrouter im gemischten Multicastmodus empfangsbereit sind, empfangen sie alle IGMP- und MLD-Nachrichten, die an eine Gruppenadresse gesendet werden.

Um die Wartezeit beim Verlassen zu verbessern – dies ist die Zeit zwischen demZeitpunkt, zu dem der letzte Host in einem Subnetz die Gruppe verlassen hat, und demZeitpunkt, ab dem kein Multicastverkehr für die betreffende Gruppe mehr an dasbetreffende Subnetz weitergeleitet wird – sendet ein Host, der eventuell das letzte Mitgliedeiner Gruppe in einem Subnetz ist, eine IGMP Leave Group- oder eine MLD MulticastListener Done-Nachricht. Wenn der Router multicastadressenspezifische IGMP- oderMLD-Abfragen an die verlassene Gruppe gesendet und keine Antwort empfangen hat,stellt der Router fest, dass sich in dem betreffenden Subnetz keine Gruppenmitgliedermehr befinden.

• Abfragen verbundener Subnetze nach dem Status der Hostmitgliedschaft.

Multicastrouter senden von Zeit zu Zeit allgemeine IGMP- und MLD-Abfragen an das lokale Subnetz, um Informationen über die Hostmitgliedschaft abzufragen. Die Abfrage wird voneinem Host beantwortet, der noch Mitglied einer Multicastgruppe ist.

• Informieren anderer IP-Multicastrouter über die Gruppenmitgliedschaft.

Um multicastfähige IP-Netzwerke zu erstellen, die mehrere Router enthalten, müssenMulticastrouter einander Informationen über die Gruppenmitgliedschaft mitteilen, damitdie Gruppenmitglieder unabhängig von ihrem Standort im IP-Netzwerk IP-Multicastverkehrempfangen können.

Multicastrouter tauschen Informationen über die Hostmitgliedschaft mittels einesMulticastroutingprotokolls wie Distance Vector Multicast Routing Protocol (DVMRP), Multicast Open Shortest Path First (MOSPF) oder Protocol Independent Multicast (PIM) aus. Die Gruppenmitgliedschaft wird entweder explizit durch Angeben von Gruppenadresse und Subnetz mitgeteilt oder implizit. In diesem Fall werden vorgelagerte Router darüberinformiert, ob der Quelle des Multicastverkehrs Gruppenmitglieder nachgelagert sind.

Ein Multicastroutingprotokoll dient folgenden Zielen:

• Weiterleiten von Verkehr weg von der Quelle, um Schleifen zu verhindern.

• Minimieren oder Beseitigen von Multicastverkehr zu Subnetzen, für die der Verkehrnicht bestimmt ist.

• Minimieren der Prozessor- und Speicherbelastung auf dem Router zur Verbesserung der Skalierbarkeit.

• Minimieren des Verwaltungsaufwands für das Routingprotokoll.

• Minimieren der Verknüpfungswartezeit; dies ist die Zeit, die vergeht, bis das ersteHostmitglied in einem Subnetz Gruppenverkehr empfängt.

Das Multicastrouting ist komplizierter als das Unicastrouting. Beim Unicastrouting wird der Unicastverkehr an ein global eindeutiges Ziel weitergeleitet. Unicastrouten fassen Bereiche global eindeutiger Ziele zusammen. Unicastrouten im Netzwerk sind vergleichsweise konsistent und müssen nur dann aktualisiert werden, wenn sich die Topologie desIP-Netzwerks ändert.

Beim Multicastrouting wird der Multicastverkehr an ein mehrdeutiges Gruppenziel weitergeleitet. Gruppenadressen stellen einzelne Gruppen dar und können im Allgemeinennicht in der Multicast-Weiterleitungstabelle zusammengefasst werden. Der Standort der Gruppenmitglieder ist nicht konsistent, und die Multicast-Weiterleitungstabellen von Multicastroutern müssen eventuell jedes Mal aktualisiert werden, wenn ein Mitglied derHostgruppe einer Hostgruppe beitritt oder eine Gruppe verlässt.

Ebenso wie die Unicast-IP-Routingtabelle von Unicastroutingprotokollen aktualisiert wird, so wird die IP-Multicast-Weiterleitungstabelle von Multicastroutingprotokollen aktualisiert.

Der Routing und RAS-Dienst in Windows Server 2003 enthält keine IPv4- oderIPv6-Multicastroutingprotokolle, allerdings stellt er eine Plattform bereit, auf der IPv4-Multicastroutingprotokolle von Drittanbietern ausgeführt werden können. Die einzigeKomponente von Windows Server 2003, mit der Einträge in derIPv4-Multicast-Weiterleitungstabelle aktualisiert werden können, ist dieIGMP-Routingprotokollkomponente von Routing und RAS.

Zum Seitenanfang

MulticastadressenMulticastadressen werden sowohl für IPv4- als auch für IPv6-Adressen definiert.

IPv4-MulticastadressenIPv4-Multicastadressen, die auch als Gruppenadressen bezeichnet werden, befinden sich im Klasse-D-Bereich 224.0.0.0/4 (von 224.0.0.0 bis 239.255.255.255) und werden definiert, indem die ersten vier höherwertigen Bits auf 1110 festgelegt werden. Multicastadressen imBereich 224.0.0.0/24 (von 224.0.0.0 bis 224.0.0.255) sind für das lokale Subnetz reserviertund werden unabhängig vom TTL-Wert im IPv4-Header nicht von IPv4-Routernweitergeleitet. Es folgen einige Beispiele für reservierte IPv4-Multicastadressen:

• 224.0.0.1 – alle Hosts in diesem Subnetz

• 224.0.0.2 – alle Router in diesem Subnetz

• 224.0.0.5 – alle Open Shortest Path First (OSPF)-Router in einem Subnetz

• 224.0.0.6 – alle OSPF zugeordneten Router in einem Subnetz

• 224.0.0.9 – Routing Information Protocol (RIP) Version 2

Die aktuelle Liste reservierter IPv4-Multicastadressen finden Sie unter http://www.iana.org/assignments/multicast-addresses.

Zuordnen von IPv4-Multicastadressen zu Multicastadressen der MAC-EbeneZur Unterstützung des IPv4-Multicasting haben die Internet-Behörden denMulticastadressbereich von 01-00-5E-00-00-00 bis 01-00-5E-7F-FF-FF fürEthernet-MAC-Adressen reserviert. Wenn eine IPv4-Multicastadresse einer Multicastadresse der MAC-Ebene zugeordnet werden soll, werden die 23 niedrigwertigen Bits der IPv4-Multicastadresse den 23 niedrigwertigen Bits in der Multicastadresse der MAC-Ebene direkt zugeordnet. Abbildung A-2 zeigt die Zuordnung einer IPv4-Multicastadresse zu einer Ethernet-Multicastadresse.

Abbildung A-2: Zuordnen von IPv4-Multicastadressen zu Ethernet-Multicastadressen Abbildung vergrößern

Beispiel:

• Die IPv4-Multicastadresse 224.0.0.1 wird 01-00-5E-00-00-01 zugeordnet.

Beim Zuordnen der 23 niedrigwertigen Bits wird das erste Oktett nicht verwendet, und nur die letzten sieben Bits des zweiten Oktetts werden verwendet. Das dritte und vierte Oktett wird direkt in Hexadezimalzahlen umgewandelt. Beim zweiten und dritten Oktett entspricht 0 dem Hexadezimalwert 0x00. Beim letzten Oktett entspricht 1 dem Hexadezimalwert 0x01. Die MAC-Zieladresse, die 224.0.0.1 entspricht, lautet daher 01-00-5E-00-00-01.

• Die IPv4-Multicastadresse 224.192.16.1 wird 01-00-5E-40-01-01 zugeordnet.

Beim zweiten Oktett wird 192 binär mit 11000000 ausgedrückt. Wenn Sie dashöherwertige Bit weglassen, wird die Zahl zu 1000000 oder 64 (dezimal) bzw. 0x40(hexadezimal). Beim dritten Oktett entspricht 16 dem Hexadezimalwert 0x10. Beim letzten

http://www.iana.org/assignments/multicast-addresses

Oktett entspricht 1 dem Hexadezimalwert 0x01. Die MAC-Zieladresse, die 224.192.16.1 entspricht, lautet daher 01-00-5E-40-10-01.

Da die ersten vier Bits einer IPv4-Multicastadresse nach den Konventionen der Klasse D festgesetzt sind, enthält die IPv4-Multicastadresse 5 Bits, die der Multicastadresse derMAC-Ebene nicht zugeordnet werden. Daher empfängt ein Host unter UmständenMulticastpakete der MAC-Ebene für Gruppen, zu denen er nicht gehört. IPv4 verwirft diesePakete jedoch, sobald die IPv4-Zieladresse ermittelt ist.

Token Ring verwendet die gleiche Methode für die Multicastadressierung auf MAC-Ebene. Vonvielen Token Ring-Netzwerkadaptern wird diese Methode jedoch nicht unterstützt. Daherwird standardmäßig für den gesamten IP-Multicastverkehr, der über Token Ring-Netzwerkegesendet wird, die funktionale Adresse 0xC0-00-00-04-00-00 verwendet. Weitere Informationen über die Token Ring-Unterstützung für IPv4-Multicasting finden Sie in RFC1469.

IPv6-MulticastadressenBei IPv6-Multicastadressen sind die ersten acht Bits auf 1111 1111 (FF00::/8) festgelegt. Eine IPv6-Multicastadresse beginnt daher stets mit FF. Multicastadressen können in einemRoutingheader nicht als Quelladressen oder als Zwischenziele verwendet werden. Zusätzlichzu den ersten acht Bits enthalten IPv6-Multicastadressen eine Struktur, um Flags, denGültigkeitsbereich und die Multicastgruppe zu identifizieren. Abbildung A-3 zeigt die Strukturder IPv6-Multicastadresse.

Abbildung A-3: Struktur der IPv6-Multicastadresse Abbildung vergrößern

Die Multicastadresse enthält folgende Felder:

• Flags Zeigt Flags an, die in der Multicastadresse gesetzt sind. Dieses Feld hat eine Größevon vier Bits. Nach RFC 3513 ist nur das Flag "Transient (T)" definiert; dieses verwendet das niedrigwertige Bit des Feldes "Flags". Wenn das T-Flag auf 0 festgelegt ist, so handelt es sich bei der Multicastadresse um eine permanent zugeordnete (wohlbekannte) Multicastadresse, die von IANA reserviert wurde. Wenn das T-Flag auf 1 festgelegt ist, so handelt es sich bei der Multicastadresse um eine nicht permanent zugeordnete(vorübergehende) Multicastadresse, die von IANA reserviert wurde.

• Scope Gibt den Bereich des IPv6-Netzwerks an, für den der Multicastverkehr übermitteltwerden muss. Dieses Feld hat eine Größe von vier Bits. Neben Informationen, die vonMulticastroutingprotokollen bereitgestellt werden, stellen Router mithilfe des Multicastbereichs fest, ob Multicastverkehr weitergeleitet werden kann. Üblicherweiseverwendete Werte für das Feld "Scope" sind 1 für den Node-Local-Bereich, 2 für denLink-Local-Bereich und 5 für den Site-Local-Bereich. Weitere Werte für das Feld "Scope"sind in RFC 3513 definiert.

• Group ID Identifiziert die Multicastgruppe und ist innerhalb des Bereichs eindeutig.Dieses Feld hat eine Größe von 112 Bit. Permanent zugewiesene Gruppen-IDs sindunabhängig vom Bereich. Vorübergehende Gruppen-IDs gelten nur für einen bestimmtenBereich. Multicastadressen von FF01:: bis FF0F:: sind reservierte wohlbekannte Adressen.

Zur Identifizierung aller Knoten für den Node-Local- und den Link-Local-Bereich werden diefolgenden Adressen definiert:

• FF01::1 (Multicastadresse für alle Knoten im Node-Local-Bereich)

• FF02::1 (Multicastadresse für alle Knoten im Link-Local-Bereich)

Zur Identifizierung aller Router für den Node-Local-, den Link-Local- und denSite-Local-Bereich werden die folgenden Adressen definiert:

• FF01::2 (Multicastadresse für alle Router im Node-Local-Bereich)

• FF02::2 (Multicastadresse für alle Router im Local-Local-Bereich)

• FF05::2 (Multicastadresse für alle Router im Site-Local-Bereich)

Die aktuelle Liste permanent zugewiesener IPv6-Multicastadressen finden Sie unter http://www.iana.org/assignments/ipv6-multicast-addresses.

IPv6-Multicastadressen ersetzen alle Arten von IPv4-Broadcastadressen. Die Adressen fürden IPv4-Netzwerkbroadcast (alle Hostbits werden in einer Klassenumgebung auf 1 festgelegt), für den Subnetzbroadcast (alle Hostbits werden in einer klassenlosen Umgebungauf 1 festgelegt) und für den beschränkten Broadcast (255.255.255.255) werden in IPv6durch die Multicastadresse für alle Knoten im Link-Local-Bereich (FF02::1) ersetzt.

Adresse des angeforderten KnotensDie Adresse für den angeforderten Knoten vereinfacht die effiziente Abfrage vonNetzwerkknoten während der Auflösung der Adresse auf Verknüpfungsebene, der Auflösungeiner Verknüpfungsebenenadresse einer bekannten IPv6-Adresse. In IPv4 wird der ARPRequest-Frame an den MAC-Ebenen-Broadcast gesendet, wobei alle Knoten im Netzwerksegment gestört werden, einschließlich derer, auf denen IPv4 nicht ausgeführt wird.IPv6 verwendet für die Auflösung von Adressen auf Verknüpfungsebene dieNachbaranfragenachricht. Anstatt jedoch die Multicastadresse für alle Knoten imLink-Local-Bereich als Ziel der Nachbaranfragenachricht zu verwenden, wodurch alle IPv6-Knoten in der lokalen Verknüpfung gestört würden, wird die Multicastadresse desangeforderten Knotens verwendet. Diese Adresse wird mithilfe des PräfixFF02::1:FF00:0/104 und der letzten 24 Bits der aufgelösten IPv6-Unicastadressekonstruiert. Abbildung A-4 zeigt die Zuordnung einer IPv6-Unicastadresse zu der entsprechenden Multicastadresse des angeforderten Knotens.

Abbildung A-4: Zuordnen einer IPv6-Unicastadresse zu der entsprechenden Multicastadresse des angeforderten Knotens Abbildung vergrößern

Beispiel: Knoten A wird die Link-Local-Adresse FE80::2AA:FF:FE28:9C5A zugewiesen und ist außerdem auf der entsprechenden Multicastadresse des angeforderten KnotensFF02::1:FF28:9C5A empfangsbereit (mit der Fettformatierung wird hervorgehoben, dass sich die letzten sechs Hexadezimalziffern entsprechen). Knoten B in der lokalen Verknüpfungmuss die Link-Local-Adresse FE80::2AA:FF:FE28:9C5A von Knoten A in die entsprechende Adresse auf Verknüpfungsebene auflösen. Knoten B sendet eine Nachbaranfragenachricht andie Multicastadresse FF02::1:FF28:9C5A des angefragten Knotens. Da Knoten A auf dieser Multicastadresse empfangsbereit ist, wird die Nachbaranfragenachricht verarbeitet und als Antwort eine Unicastnachricht für die Nachbarankündigung zurückgesendet.

Aufgrund der Verwendung der Multicastadresse des angeforderten Knotens wird beiAuflösungen von Adressen auf Verknüpfungsebene, ein bei Verknüpfungen häufigauftretendes Ereignis, kein Mechanismus verwendet, durch den alle Netzwerkknoten gestörtwerden. Bei Verwendung der Adresse des angeforderten Knotens werden während derAdressauflösung sehr wenige Knoten gestört. Wegen der Beziehung zwischen derMAC-Adresse auf Verknüpfungsebene, der IPv6-Schnittstellen-ID und der Adresse desangeforderten Knotens, fungiert die Adresse des angeforderten Knotens als Pseudo-Unicastadresse und gewährleistet eine sehr effiziente Adressauflösung.

Zuordnen von IPv6-Multicastadressen zu Multicastadressen der MAC-EbeneZur Unterstützung des IPv6-Multicasting haben die Internet-Behörden denMulticastadressbereich von 33-33-00-00-00-00 bis 33-33-FF-FF-FF-FF fürEthernet-MAC-Adressen reserviert. Wenn eine IPv6-Multicastadresse einer Multicastadresse der MAC-Ebene zugeordnet werden soll, werden die 32 niedrigwertigen Bits der IPv6-Multicastadresse den 32 niedrigwertigen Bits in der Multicastadresse der MAC-Ebene direkt zugeordnet. Abbildung A-5 zeigt die Zuordnung einer IPv6-Multicastadresse zu einer Ethernet-Multicastadresse.

http://www.iana.org/assignments/ipv6-multicast-addresses

Abbildung A-5: Zuordnen von IPv6-Multicastadressen zu Ethernet-Multicastadressen Abbildung vergrößern

Beispiel:

• Die Multicastadresse FF02::1 für alle Knoten im Link-Local-Bereich wird derEthernet-Multicastadresse 33-33-00-00-00-01 zugeordnet.

• Die Beispieladresse FF02::1:FF3F:2A1C des angeforderten Knotens wird der Ethernet-Multicastadresse 33-33-FF-3F-2A-1C zugeordnet.

Empfohlene IPv6-MulticastadressenAufgrund der Art und Weise der Zuordnung von IPv6-Multicastadressen zu Ethernet-Multicast-MAC-Adressen empfiehlt RFC 3513, die Gruppen-ID der 32 niedrigwertigen Bits der IPv6-Multicastadresse zuzuordnen und die übrigen ursprünglichenBits des Feldes "Group ID" auf 0 festzulegen. Wenn nur die 32 niedrigwertigen Bits verwendet werden, wird jede Gruppen-ID einer eindeutigen Ethernet-Multicast-MAC-Adresse zugeordnet.

Verwaltung der Mitgliedschaft im MulticastsubnetzFür die Gruppenmitgliedschaft im Multicastsubnetz verwenden IPv4-Knoten IGMP undIPv6-Knoten MLD.

IGMP für IPv4Zur Verwaltung der Subnetz-Hostmitgliedschaft in IPv4-Multicastgruppen verwenden Router und Hosts das Protokoll IGMP. IGMP-Nachrichten haben folgende Formen:

• Wenn ein Host einer Hostgruppe beitritt, sendet er eine IGMP-Hostmitgliedschaftsbericht-Nachricht an die IPv4-Multicastadresse (224.0.0.1) füralle Hosts oder an die festgelegte IPv4-Multicastadresse und deklariert seine Mitgliedschaft in einer bestimmten Hostgruppe durch Verweis auf die IPv4-Multicastadresse.

• Wenn ein Router ein Netzwerk abfragt, um sicherzustellen, dass sich dort Mitglieder einer bestimmten Hostgruppe befinden, sendet er eine IGMP-Hostmitgliedschaftsabfrage-Nachricht an die IPv4-Multicastadresse für alle Hosts.Wenn nach mehreren Abfragen keine Antworten auf die Abfrage empfangen werden, geht der Router davon aus, dass die Gruppe für das betreffende Netzwerk keine Mitgliederenthält, und stoppt die Bekanntgabe dieser Gruppen-Netzwerkinformationen an andereRouter.

• Wenn ein Host eine IPv4-Multicastgruppe verlässt und festgestellt hat, dass er das letzteMitglied dieser Gruppe in dem Subnetz ist, sendet er eine IGMP-Nachricht, dass er die Gruppe verlassen hat.

Die Internet Protocol (TCP/IP)-Komponente in Windows Server 2003 und Windows XPunterstützt IGMP, IGMP Version 2 (IGMP v2) und IGMP Version 3 (IGMP v3). Es ist nichterforderlich, IGMP zu konfigurieren, damit ein Windows-Computer alle drei Versionen von IGMP verwendet.

IGMP ist in RFC 1112 definiert. IGMP v2 ist in RFC 2236 definiert, IGMP v3 in RFC 3376.

MLD für IPv6MLD ist die IPv6-Entsprechung für IGMP v2 für IPv4. MLD besteht aus einer Reihe vonICMPv6-Nachrichten, die von Routern und Knoten ausgetauscht werden und mit deren Hilfe

Router die Multicastadressen entdecken können, für die es an den einzelnen verbundenenSchnittstellen empfangsbereite Knoten gibt. Ebenso wie IGMPv2 entdeckt MLD nur die Liste der Multicastadressen, für die es mindestens einen Listener gibt, jedoch nicht die Listeeinzelner Multicastlistener für jede Multicastadresse. MLD ist in RFC 2710 beschrieben.

Es gibt drei Arten von MLD-Nachrichten:

• Wenn ein Host einer Hostgruppe beitritt, sendet er eine MLD-Multicast-Listener-Bericht-Nachricht an die entsprechende IPv6-Multicastadresse und deklariert seine Mitgliedschaft in einer bestimmten Hostgruppe.

• Wenn ein Router ein Netzwerk abfragt, um sicherzustellen, dass sich dort Mitglieder einer bestimmten Hostgruppe befinden, sendet er eine MLD-Multicast-Listener-Bericht-Nachricht an die IPv6-Multicastadresse (FF02::1) für alle Hosts im Link-Local-Bereich.

• Wenn ein Host eine IPv6-Multicastgruppe verlässt und festgestellt hat, dass er das letzteMitglied dieser Gruppe in dem Subnetz ist, sendet er eine MLD-Multicast-Listener-Done-Nachricht.

In Tabelle A-1 sind die IGMPv2-Nachrichten und die MLD-Entsprechungen aufgeführt.

Tabelle A-1 IGMPv2-Nachrichten und ihre MLD-Entsprechungen

IGMPv2-Nachricht MLD-Entsprechung

Hostmitgliedschaftsbericht Multicast-Listener-Bericht

Hostmitgliedschaftsabfrage Multicast-Listener-Abfrage

Leave Group Multicast Listener Done

Zum Seitenanfang

Unterstützung der IPv4-Multicastweiterleitung unterWindows Server 2003Die Multicastweiterleitung unter Windows Server 2003 umfasst folgende Komponenten:

• IPv4-Multicastweiterleitung durch die Internet Protocol (TCP/IP)-Komponente

• Die IGMP-Routingprotokollkomponente für Routing und RAS

IPv4-MulticastweiterleitungUnter Windows wird die IPv4-Multicastweiterleitung durch die Internet Protocol (TCP/IP)-Komponente unterstützt. Von der Version 6 der Microsoft-TCP/IP-Komponente wirddie IPv6-basierte Multicastweiterleitung nicht unterstützt. Die IPv4-Multicastweiterleitungwird aktiviert, wenn Sie Routing und RAS konfigurieren und aktivieren. Die Internet Protocol (TCP/IP)-Komponente verwaltet eine IPv4-Multicast-Weiterleitungstabelle, die im Snap-In Routing und RAS oder mithilfe des Befehls netsh routing ip show mfe angezeigt werden kann.

IGMP-RoutingprotokollkomponenteDa von Windows Server 2003 keine Multicastroutingprotokolle bereitgestellt werden, ist dieVerwaltung von Einträgen in der IPv4-Multicast-Weiterleitungstabelle eine Funktion vonIGMP, einer Komponente, die als IPv4-Routingprotokoll hinzugefügt wird.

Gehen Sie folgendermaßen vor, um die IGMP-Routingprotokollkomponente hinzuzufügen:


2. Öffnen Sie Routing und RAS in der Konsolenstruktur, klicken Sie auf den Namen des Servers und dann auf IP-Routing.

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Allgemein, und klicken Sie anschließend auf Neues Routingprotokoll.

4. Klicken Sie im Dialogfeld Routingprotokoll auswählen auf IGMP-Router und -Proxy und anschließend auf OK.

Je nach den Einstellungen, die Sie im Setup-Assistenten für den Routing- und RAS-Servergewählt haben, wurde die IGMP-Routingprotokollkomponente eventuell bereits hinzugefügt.

Zwar bietet die IGMP-Routingprotokollkomponente einige begrenzte Möglichkeiten,multicastfähige IPv4-Netzwerke zu erstellen oder zu erweitern, allerdings ist sie keinevollwertige Entsprechung für ein Multicastroutingprotokoll wie DVMPRP oder PIM. Es wirdnicht empfohlen, sie zur Erstellung eines multicastfähigen IPv4-Netzwerks beliebiger Größeoder Topologie zu verwenden.

Nachdem das IGMP-Routingprotokoll hinzugefügt wurde, müssen Sie auf folgende WeiseRouterschnittstellen hinzufügen:


2. Öffnen Sie Routing und RAS in der Konsolenstruktur, klicken Sie auf den Namen des Servers und dann auf IP-Routing.

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf IGMP, und klicken Sie anschließend auf Neue Schnittstelle.

4. Klicken Sie unter Schnittstellen auf die zu aktivierende Schnittstelle, und klicken Sie dann auf OK.

5. Überprüfen Sie im Dialogfeld IGMP-Eigenschaften für die Schnittstelle auf derRegisterkarte Allgemein, ob das Kontrollkästchen IGMP aktivieren aktiviert ist.

6. Klicken Sie unter Modus auf IGMP-Router oder auf IGMP-Proxy. Wählen Sie unterIGMP-Protokollversion die in Ihrem Netzwerk verwendete IGMP-Version aus.


Abbildung A-9 zeigt die Registerkarte Allgemein für die Eigenschaften einerIGMP-Schnittstelle.

Abbildung A-9: Registerkarte "Allgemein" für die Eigenschafteneiner IGMP-Schnittstelle

Wenn Sie im Snap-In Routing und RAS eine Schnittstelle zur IGMP-Routingprotokollkomponente hinzufügen, müssen Sie für die Schnittstelle einen derfolgenden Modi konfigurieren:

• IGMP-Routermodus

• IGMP-Proxymodus

IGMP-RoutermodusWenn eine IGMP-Routingprotokollschnittstelle im IGMP-Routermodus konfiguriert ist, führtsie die folgenden Funktionen aus:

• Sie ist im gemischten Multicastmodus empfangsbereit.

• Sie ist empfangsbereit für IGMP-Hostmitgliedschaftsbericht-Nachrichten und Nachrichtenbezüglich des Verlassens der Gruppe.

• Sie sendet IGMP-Hostmitgliedschaftsabfragen.

• Sie verwaltet Einträge in der IPv4-Multicast-Weiterleitungstabelle.

Der IGMP-Routermodus kann auf mehreren Schnittstellen aktiviert werden. Für jedeSchnittstelle kann eine bestimmte Version von IGMP konfiguriert werden. Die Standardversion ist IGMP v3.

IGMP-ProxymodusWährend der IGMP-Routermodus den Zweck hat, dass die IGMP-Schnittstelle alsMulticastrouter fungiert, hat der IGMP-Proxymodus den Zweck, dass die IGMP-Schnittstelle an Schnittstellen, für die der IGMP-Routermodus aktiviert ist, als Multicastproxy für Hostsfungiert. Wenn eine IGMP-Routingprotokollschnittstelle im IGMP-Proxymodus konfiguriert ist, führt sie die folgenden Funktionen aus:

• Sie leitet IGMP-Hostmitgliedschaftsabfragen weiter.

Alle IGMP-Hostmitgliedschaftsberichte, die über Schnittstellen im IGMP-Routermodusempfangen wurden, werden über die Schnittstelle im IGMP-Proxymodus erneutübertragen.

• Sie registriert MAC-Multicastadressen

Bei Technologien für den gemeinsamen Zugriff wie Ethernet bleibt der Netzwerkadapter imEmpfangsmodus Unicast. Für jede eindeutige Gruppe, die vonIGMP-Hostmitgliedschaftsberichten registriert wurde, die über die Schnittstelle imIGMP-Proxymodus weitergeleitet werden, wird der Netzwerkadapter so programmiert, dass er Frames mit der entsprechenden MAC-Multicastadresse weiterleitet. Jedezusätzliche MAC-Multicastadresse ist ein Eintrag in der Tabelle zu verwendenderMAC-Zieladressen auf dem Netzwerkadapter. Auf jedem Netzwerkadapter kann ein bestimmtes Maximum an Einträgen gespeichert werden. Wenn dieses Maximum erreichtist, aktiviert das IGMP-Routingprotokoll auf dem Netzwerkadapter den gemischten Multicastempfangsmodus.

• Sie fügt Einträge zur IPv4-Multicast-Weiterleitungstabelle hinzu.

Wenn auf einer Schnittstelle im IGMP-Routermodus nichtlokaler Multicastverkehr empfangen wird, fügt das IGMP-Routingprotokoll einen Eintrag zurMulticast-Weiterleitungstabelle hinzu bzw. aktualisiert einen solchen Eintrag, um den Multicastverkehr über die Schnittstelle im IGMP-Proxymodus weiterzuleiten. DieserProzess führt schließlich dazu, dass jeglicher nichtlokaler Multicastverkehr, der überSchnittstellen im IGMP-Routermodus empfangen wird, zur Schnittstelle im IGMP-Proxymodus gelenkt oder kopiert wird.

• Sie empfängt Multicastverkehr, der über Schnittstellen im IGMP-Proxymodus empfangenwird.

Multicastverkehr, der über die Schnittstelle im IGMP-Proxymodus empfangen wird, die denGruppen entspricht, die von Hosts über Schnittstellen im IGMP-Routermodus registriertwerden, wird mithilfe von IP und der Multicast-Weiterleitungstabelle an die entsprechenden Schnittstellen weitergeleitet.

Der IGMP-Proxymodus hat die Funktion, einen Windows Server 2003-Router mit einemmulticastfähigen IPv4-Netzwerk zu verbinden, beispielsweise den Multicastbackbone desIPv4-Internets (MBone) oder eines privaten Intranets, das Multicastroutingprotokolle wie DVMRP und PIM verwendet. Abbildung A-7 zeigt ein Beispiel für die Verwendung desIGMP-Routermodus und des IGMP-Proxymodus zur Verbindung eines kleinen Büronetzwerksmit dem MBone.

Abbildung A-7: Verwenden des IGMP-Proxymodus zur Verbindung eines kleinenBüronetzwerks mit dem MBone Abbildung vergrößern

Die Schnittstelle im IGMP-Proxymodus fungiert als Host und verbindet Hostgruppen für Hostsan ihren Schnittstellen im IGMP-Routermodus. Multicastverkehr, der an Hostmitglieder an Schnittstellen im IGMP-Routermodus gesendet wird, wird an der Schnittstelle im IGMP-Proxymodus empfangen und von der Internet Protocol (TCP/IP)-Komponente weitergeleitet. Multicastverkehr, der von Hosts an Schnittstellen im IGMP-Routermodus gesendet wird, wird zur Schnittstelle im IGMP-Proxymodus gelenkt. Dort könnennachgelagerte IPv4-multicastfähige Router den Verkehr entweder weiterleiten oderignorieren.

Der IGMP-Proxymodus kann nur auf einer einzelnen Schnittstelle mit IGMP-Routingprotokoll aktiviert werden. Die richtige Schnittstelle für den IGMP-Proxymodus ist diejenige, die miteinem Subnetz verbunden ist, das einen Multicastrouter enthält, auf demMulticastroutingprotokolle ausgeführt werden. Das bedeutet, dass die Schnittstelle imIGMP-Proxymodus auf das multicastfähige Intranet "zeigt".

Zum Seitenanfang

Zuordnung von IPv4-Multicastadressen mit MADCAPDas Multicast Address Dynamic Client Allocation Protocol (MADCAP) ist ein in RFC 2730 definierter Internetstandard für die Zuordnung von Multicastadressen. Der Hauptvorteil vonMADCAP liegt darin, dass IPv4-Multicastadressen mithilfe der vorhandenen DHCP-Infrastruktur von Windows auf die gleiche Weise zugewiesen werden können wieIPv4-Unicastadressen.

Bei der Zuordnung von Multicastadressen werden die folgenden Komponenten verwendet:

• MADCAP-Server

IPv4-Multicastadressen werden von MADCAP-Servern zugeordnet. Für Windows handelt essich bei einem MADCAP-Server um einen Computer, auf dem Windows Server 2003 undder DHCP-Dienst ausgeführt werden. Wenn Sie das DHCP-Snap-In verwenden, müssenSie mindestens einen Multicastbereich konfigurieren und aktivieren.

• MADCAP-Clients

MADCAP-Clients verwenden MADCAP zur Anforderung von IPv4-Multicastadressen von einem MADCAP-Server. Sowohl Windows Server 2003 als auch Windows XP unterstützeneine MADCAP-Anwendungsprogrammierschnittstelle (Application Programming Interface, API). Daher können Anwendungen mithilfe von MADCAP eine eindeutige

IPv4-Multicastadresse von einem MADCAP-Server anfordern, erneuern oder freigeben lassen.

Ein Beispiel für eine MADCAP-Clientanwendung ist ein Videokonferenzserver, der überMADCAP eine eindeutige Multicastadresse empfängt und diese Adresse anschließend anVideoclients weitergibt, die eine Verbindung mit dem Server herstellen. Nach der Aushandlung der Verbindung ist der Videoclientcomputer an der IPv4-Multicastadresse fürden Videodatenstrom empfangsbereit.

Verwenden von MulticastbereichenBei einem Multicastbereich handelt es sich um einen auf dem MADCAP-Server konfigurierten Bereich von IPv4-Multicastadressen, die von diesem Server anfordernden MADCAP-Clients zugewiesen werden. Die beiden folgenden Multicastadressbereiche werden zur Verwendung als Multicastbereiche auf dem MADCAP-Server empfohlen:

• Multicastadressen für den administrativen Bereich liegen im Bereich 239.192.0.0/14 (von239.192.0.1 bis 239. 255.255.255) und sind für Organisationen vorgesehen, dieMulticastbereiche privat für interne Zwecke verwenden. Multicastadressen dieser Artwerden in RFC 2365 detailliert beschrieben.

• Multicastadressen für den globalen Bereich liegen im Bereich 233.0.0.0/8 (von 233.0.0.1bis 233. 255.255.255) und sind für Organisationen vorgesehen, die Multicastbereiche imInternet verwenden. Innerhalb des Bereichs 233.0.0.0/8 sind das zweite und dritte Oktettfür die AS-Nummer (Autonomous System) vorgesehen, die der Organisation durch eineInternet Assigned Numbers Authority (IANA)-Registrierung zugewiesen wird. Mit dem letzten Oktett wird die Multicastgruppe identifiziert. Weitere Informationen zur AS-Nummerierung finden Sie in RFC 1930.

Der Windows Server 2003-Dienst DHCP-Server unterstützt sowohl DHCP als auch MADCAP.Diese Protokolle funktionieren unabhängig von einander. Wenn Sie einen Serverkonfigurieren möchten, der nur DHCP verwendet, konfigurieren Sie DHCP-Bereiche, jedochkeine Multicastbereiche. Wenn Sie einen Server konfigurieren möchten, der nur MADCAPverwendet, konfigurieren Sie Multicastbereiche und keine DHCP-Bereiche.

Gehen Sie folgendermaßen vor, um auf einem Computer, auf dem Windows Server 2003 undder Dienst DHCP-Server ausgeführt werden, einen Multicastbereich zu erstellen:

1. Klicken Sie auf Start, Einstellungen, Systemsteuerung, doppelklicken Sie auf Verwaltung und dann auf DHCP.

2. Klicken Sie in der Konsolenstruktur auf den entsprechenden DHCP-Server.

3. Klicken Sie im Menü Aktion auf Neuer Multicastbereich.

4. Folgen Sie den Anweisungen des Assistenten zum Erstellen von Multicastbereichen.

Der Assistent zum Erstellen von Multicastbereichen führt Sie durch die Konfiguration desMulticastadressbereichs, von Ausschlüssen, der Leasedauer und der Bereichsaktivierung.

Zum Seitenanfang

Reliable Multicast mit Pragmatic General Multicast (PGM)Multicastdatenströme werden in der Regel unter Verwendung des User Datagram Protocol(UDP) gesendet. Transmission Control Protocol (TCP) wird nicht verwendet, da dieses Protokoll für 1:1-Unicastdatenströme vorgesehen ist. Über UDP gesendeteMulticastdatenströme sind generell unzuverlässig, da UDP keine Übermittlung oder erneuteÜbertragung verloren gegangener Pakete garantiert. Verloren gegangene Pakete inUDP-Multicastdatenströmen können nur dann erkannt oder wiederhergestellt werden, wenndas Protokoll der oberen Ebene für eine zuverlässige Übertragung sorgt.

Die Arbeitsgruppe "Reliable Multicast Transport" der Internet Engineering Task Force (IETF) hat verschiedene Standards für die zuverlässige Übertragung von Multicastdatenströmen voneinem oder mehreren Absendern an mehrere Empfänger festgelegt. Es gibt vieleProtokollstandards, die für eine zuverlässige Multicastübertragung auf der Transport- oderAnwendungsebene sorgen. Die vorhandenen Multicastprotokolle gehören den vier folgendenKategorien an:

1. Nur negative Bestätigung (Negative Acknowledgement, NACK)

Empfänger senden NACK-Pakete, um vom Absender die erneute Übertragung vonPaketen anzufordern, die im Multicastdatenstrom fehlen. Nur-NACK-Protokolle

erfordern keine zusätzliche Unterstützung durch Router im Netzwerk.

2. Strukturbasierte Bestätigung (ACK)

Empfänger geben in positiven Bestätigungen Multicastpakete an, die erfolgreichempfangen werden.

3. Asynchrone Schichtcodierung (Asynchronous Layered Coding, ALC)

Die Absender übernehmen die Korrektur von Weiterleitungsfehlern (Forward ErrorCorrection, FEC), ohne dass die Empfänger oder Router im Netzwerk Nachrichtensenden.

4. Routerunterstützung

Die Empfänger senden NACK-Pakete. Router im Netzwerk unterstützen durch dieerneute Übertragung verloren gegangener Pakete.

PGM im ÜberblickPGM ist ein zuverlässiges Multicastprotokoll vom Typ "Router Assist", das in RFC 3208beschrieben ist. PGM-fähige Empfänger verwenden NACK-Pakete, um die erneuteÜbertragung fehlender Pakete anzufordern. PGM-fähige Router in einem Netzwerk definiereneine logische PGM-Topologie und ermöglichen die Wiederherstellung verloren gegangenerPakete, indem sie sie für den Absender senden. Die PGM-Topologie wird über die physischeIPv4-Netzwerktopologie gelegt. PGM-Router definieren eine Reihe von PGM-Hops zwischen einem Absender und dessen Empfängern. Obwohl PGM-Router in RFC 3208 definiert sind,werden sie nicht benötigt. Die PGM-Topologie eines Netzwerks kann aus einem einzigenlogischen Hop zwischen dem Absender und den Empfängern bestehen.

PGM bietet bei Multicastdatenströmen nicht alle Fähigkeiten wie TCP. PGM verfügt z. B. nichtüber eine Flusssteuerung auf Absender- oder Empfängerseite, über eineDatenstromfenstersteuerung oder Überlastungssteuerung. PGM bietet grundlegendeZuverlässigkeit für PGM-fähige Anwendungen.

PGM ist ein Multicastprotokoll der Transportschicht, das mithilfe der Protokollnummer 113 direkt über IPv4 ausgeführt wird. Für eigene Nachrichten oder für dieMulticastdatenübertragung wird weder TCP noch UDP verwendet. PGM ist das einzigezuverlässige Multicastprotokoll, das von Windows Server 2003 unterstützt wird.

Hinzufügen und Verwenden des Reliable Multicast-ProtokollsWenn Sie PGM auf Computern unter Windows Server 2003 verwenden möchten, müssen Siedie Komponente Reliable Multicast-Protokoll hinzufügen und PGM-fähige Anwendungenerstellen.

Hinzufügen Reliable Multicast-ProtokollsFühren Sie die folgenden Schritte aus, um das Reliable Multicast-Protokoll zu einerVerbindung hinzuzufügen:

1. Klicken Sie auf Start und dann auf Systemsteuerung. Doppelklicken Sieanschließend auf Netzwerkverbindungen.

2. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf die Verbindung, und klicken Sie dann auf Eigenschaften.

3. Klicken Sie im Dialogfeld für die Verbindungseigenschaften auf Installieren.

4. Doppelklicken Sie unter Netzwerkkomponententyp auswählen auf Protokoll.

5. Klicken Sie in der Liste Netzwerkprotokoll auf Reliable Multicast-Protokoll undanschließend auf OK.

6. Wenn Sie die Änderungen an den Verbindungseigenschaften speichern möchten,klicken Sie auf Schließen.

Die Komponente Reliable Multicast-Protokoll wird in der Liste der von der Verbindung verwendeten Elemente angezeigt, hat jedoch keine konfigurierbaren Eigenschaften.

Schreiben von PGM-fähigen AnwendungenDamit PGM verwendet werden kann, muss eine Anwendung Windows Sockets und die PGM-Socketoptionen verwenden. Absenderanwendungen verwenden Windows Sockets zur Erstellung eines PGM-Sockets, zum Binden des Sockets an eine beliebige Adresse und zum

Herstellen einer Verbindung mit der Adresse der Multicastgruppe. Empfängeranwendungenverwenden Windows Sockets, um ein PGM-Socket zu erstellen, das Socket an die Adresse der Multicastgruppe zu binden, das neue Socket abhören zu lassen und anschließend mithilfeder Funktion accept() einen Sockethandle für die PGM-Sitzung zu beziehen.

Microsoft-Produkte, in denen PGM verwendet wird, sind z. B. Message Queuing (auch MSMQgenannt) und Automatisierte Bereitstellungsdienste (Automated Deployment Services, ADS).

Funktionsweise von PGM und Reliable Multicast-ProtokollEin Empfänger verwendet folgendes Verfahren:

1. Die Multicastanwendung öffnet ein Abhörsocket mit den entsprechendenSocketoptionen für Reliable Multicast.

2. Der Empfänger sendet eine IGMP-Hostmitgliedschaftsbericht-Nachricht, um die lokalenRouter über die Mitgliedschaft des Empfängers in der Multicastgruppe zu informieren.

Ein Absender verwendet folgendes Verfahren:

• Die Multicastanwendung öffnet ein Sendesocket mit den entsprechenden Socketoptionenfür Reliable Multicast.

• Die Multicastanwendung beginnt mit dem Senden der Daten. PGM-Pakete, die Daten enthalten, werden beginnend mit der Sequenznummer 0 gesendet, die bei nachfolgenden Paketen jeweils um 1 inkrementiert wird.

• Die multicastfähigen Router leiten die Multicastdatenpakete durch das gesamteIPv4-Netzwerk an die Subnetze weiter, in denen sich Gruppenmitglieder befinden.

Wenn ein Empfänger feststellt, dass ein Paket fehlt, sendet er eine PGM-Nachricht an dennächsten PGM-Router und verlangt, dass das fehlende Paket mit einer bestimmtenSequenznummer erneut gesendet wird. Diese Anforderung wird entweder an dieursprüngliche Quelle oder an einen PGM-Router weitergeleitet, auf dem Kopien von Paketengespeichert sind, die vor kurzem von der Quelle gesendet wurden. In beiden Fällen wird dasfehlende Paket direkt an den anfordernden Empfänger gesendet.




TCP/IP-Grundlagen für Microsoft WindowsAnhang B: Simple Network Management ProtocolVeröffentlicht: 29. Mrz 2006

Zusammenfassung

In diesem Anhang wird das Simple Network Management Protocol (SNMP) beschriebenund wie es in den Betriebssystemen Microsoft® Windows Server™ 2003 und Windows®XP unterstützt wird. Mit SNMP werden in Unternehmensnetzwerken zahlreicheunterschiedliche Netzwerkgeräte verwaltet. Netzwerkadministratoren müssen mit derFunktionsweise von SNMP vertraut sein, um mit dieser Technologie Computer, auf denenWindows Server 2003 oder Windows XP ausgeführt wird, in eine SNMP-verwalteteUmgebung zu integrieren.

Auf dieser Seite

SNMP im Überblick

Der SNMP-Dienst von Windows

SNMP im ÜberblickSNMP ist ein Netzwerkverwaltungsprotokoll sowie eine Netzwerkverwaltungsinfrastruktur, die in IP-Netzwerken vielfach eingesetzt wird. Entwickelt wurde sie zuerst von Internetanwendern zur Überwachung von Routern und Bridges und zur Behebungtechnischer Probleme dieser Geräte. Mit SNMP können NetzwerkadministratorenNetzwerkgeräte (Arbeitsstationen bzw. Servercomputer, Router, Switches,Drahtloszugriffspunkte) verwalten.

SNMP eignet sich für folgende Zwecke:

• Fernkonfigurierung von Netzwerkgeräten: Konfigurieren Sie mit SNMP und einem zentralen Verwaltungscomputer über das Netzwerk Geräte.

• Überwachung der Netzwerkleistung: Fragen Sie mit SNMP systematisch undregelmäßig die Leistungszahlen von Geräten ab und überwachen Sie so denNetzwerkdurchsatz.

• Erfassen von Netzwerkfehlern oder Zugriffsverletzungen: Geräte können perSNMP bei Eintreten bestimmter Ereignisse Nachrichten versenden. Zu häufigauftretenden Störungen, die an Verwaltungssysteme gesendet werden, zählen dasHerunterfahren und Neustarten von Geräten, nicht erstellte Routerverbindungen,Zugriffsverletzungen und Speicherplatzengpässe auf Dateiservern.

Die Architektur von SNMP umfasst die folgenden verteilten Komponenten:

• SNMP-Verwaltungssysteme

Das SNMP-Verwaltungssystem (Managementstation, Managementkonsole) ist ein Computer, auf dem SNMP-Verwaltungssoftware ausgeführt wird. Von dort aus werdenDaten und Aktualisierungsanforderungen an die Geräte gesendet, auf denen einSNMP-Agent ausgeführt wird.

Das SNMP-Verwaltungssystem fordert vom Gerät Informationen an, wie z. B. denverfügbaren Festplattenspeicher oder die Anzahl der aktiven Sitzungen. Wenn dasVerwaltungssystem Lesezugriff auf ein Gerät hat, kann es auch dessen Konfigurationändern.

• SNMP-Agenten

SNMP-Agenten sind Geräte, auf denen Software ausgeführt wird, die Informationensammelt und auf Informationsanforderungen reagiert. Die Software des SNMP-Agenten kann so konfiguriert werden, dass sie ermittelt, welche Statistik verfolgt wird und welche Verwaltungssysteme Informationen anfordern dürfen. Normalerweise erstellenAgenten keine Nachrichten, sondern antworten nur auf Nachrichten. Dies gilt nur dann nicht, wenn der Agent dafür konfiguriert ist, ein bestimmtes Ereignis zu melden, z. B.

In diesem Beitrag

• Übersicht




















einen Systemneustart oder eine Zugriffsverletzung.

Abbildung B-1 zeigt eine Beispielinstallation von SNMP in einem Netzwerk.

Abbildung B-1: Beispielinstallation von SNMP in einem NetzwerkAbbildung vergrößern

SNMP ist im Standard RFC 1157 definiert.

Management Information BaseWelche Informationen ein Agent sammeln und ein Verwaltungssystem von einem Agenten anfordern kann, ist in der Management Information Base (MIB) festgelegt. Eine MIB ist ein Satz verwaltbarer Objekte, die verschiedene Arten von Informationen über einNetzwerkgerät darstellen (z. B. Anzahl der aktiven Sitzungen, Version derNetzwerkbetriebssystem-Software, die auf dem Host ausgeführt wird).SNMP-Verwaltungssysteme und SNMP-Agenten interpretieren MIB-Objekte gleich. Der Agent speichert Informationen über die Objekte einer bestimmten MIB, und dasVerwaltungssystem ruft die Informationen aus der MIB über den Agenten ab.

Hierarchische NamensstrukturNamespaces von MIB-Objekten sind hierarchisch aufgebaut. Sie sind so strukturiert, dass jedem verwaltbaren Objekt ein global eindeutiger Name zugewiesen werden kann. Wenn nun ein Verwaltungssystem von einem Objekt eine Dateneinheit anfordert, fügt sie in dieAnforderung einen global eindeutigen Namen ein. Teile des Namespace sind einzelnen Unternehmen vorbehalten. Dadurch wird sichergestellt, dass Unternehmen neuen Objekten Namen zuweisen können, ohne sich vor jeder Zuweisung bei einerInternetinstitution erkundigen zu müssen. So lautet beispielsweise der Namespace für"LAN Manager MIB II" 1.3.6.1.4.1.77 (LAN Manager ist ein veraltetes Betriebssystem von Microsoft). Microsoft wurde auch der Namespace 1.3.6.1.4.1.311 zugewiesen. Dies ist zugleich die Verzweigung, unter der alle neuen MIBs für Microsoft-spezifische Technologienerstellt werden. Microsoft ist berechtigt, allen Objekten, die sich unterhalb dieses Namespace-Abschnitts befinden, Namen zuzuweisen.

Abbildung B-2 zeigt einen Abschnitt der hierarchischen SNMP-Namensstruktur.

Abbildung B-2: Die hierarchische SNMP-NamensstrukturAbbildung vergrößern

Der Objektbezeichner der Hierarchie wird als Abfolge von Zahlenbezeichnungen geschrieben; diese beginnt am Stamm und endet am Objekt. Die Bezeichnungen werden durch Punkte voneinander getrennt. So lautet der Objektbezeichner für "MIB II"1.3.6.1.2.1, was dem Objektnamen "iso.org.dod.internet.management.mibii" entspricht. Der Objektbezeichner für "LAN Manager MIB II" lautet 1.3.6.1.4.1.77, was demObjektnamen "iso.org.dod.internet.private.enterprise.lanmanager" entspricht.

Der Namespace, mit dem Objektbezeichner zugeordnet werden, ist ein anderer als der hierarchische Namespace, der zu Domänennamen des Domain Name System (DNS)gehört.

SNMP-NachrichtenIn SNMP werden die folgenden Nachrichten versendet:

• Get-request: Wird von SNMP-Verwaltungssystem versendet, um Informationen überein einzelnes MIB-Objekt auf einem SNMP-Agenten anzufordern (z. B. die Anzahlweitergeleiteter Pakete).

• Get-next-request: Eine erweiterte Anforderungsnachricht. Sie wird vom SNMP-Verwaltungssystem versendet, um eine Struktur verwalteter Objekte vollständigzu durchsuchen. Beim Verarbeiten von Get-next-request-Anforderungen für einbestimmtes Objekt gibt der Agent die Identität und den Wert des MIB-Objekts zurück,das entsprechend der vorherigen Anforderung das nächste ist. DieGet-next-request-Anforderung eignet sich vor allem für dynamische Tabellen, z. B.Routingtabellen in IPv4 oder IPv6.

• Getbulk-request: Wird vom SNMP-Verwaltungssystem als Anforderung dafürversendet, dass die vom Agenten übertragenen Daten möglichst groß sein müssen,ohne dabei die Größenbeschränkungen für Nachrichten zu sprengen. Durch dieseNachricht minimiert sich die Anzahl der Nachrichtenaustauschvorgänge, die nötig sind,um große Mengen von Verwaltungsinformationen abzurufen.

• Set-request: Wird von SNMP-Verwaltungssystemen versendet, um dem Agenten einen aktualisierten Wert für ein MIB-Objekt zuzuweisen (wenn auf dem SNMP-AgentenLesezugriff aktiviert ist). In Verwaltungssystemen werden Set-request-Nachrichten zur Fernkonfigurierung von SNMP-Agenten verwendet.

• Get-response: Wir vom SNMP-Agenten als Antwort auf die Nachrichten Get-request, Get-next-request, Getbulk-request oder Set-request versendet.

• Trap: Eine nicht angeforderte Nachricht von einem SNMP-Agenten an ein SNMP-Verwaltungssystem, wenn der Agent feststellt, dass ein bestimmter Ereignistyp eingetreten ist. Das SNMP-Verwaltungssystem, das eine Trap-Nachricht erhält, wird als"Trap-Ziel" bezeichnet. Eine Trap-Nachricht kann beispielsweise beim Neustart eines

Gerätes versendet werden.

Die Nachrichten Get-request, Get-next-request, Getbulk-request und Set-request werden von einem Verwaltungssystem per bestimmter UDP-Nachricht an die IPv4-Adresse des Agenten und an den Ziel-UDP-Port 161 gesendet. Trap-Nachrichten an das Verwaltungssystem werden vom Agenten als bestimmte UDP-Nachricht an die IPv4-Adresse des Verwaltungssystems und den Ziel-UDP-Port 162 versendet.

Abbildung B-3 zeigt, wie der Nachrichtenaustausch zwischen einem SNMP-Verwaltungssystem und einem SNMP-Agenten funktioniert.

Abbildung B-3: Nachrichtenaustausch zwischen einem SNMP-Verwaltungssystem und einem SNMP-AgentenAbbildung vergrößern

Alle SNMP-Nachrichten werden ohne Datenschutz versendet. Wenn Sie Nachrichten, die zwischen SNMP-Verwaltungssystemen und -Agenten ausgetauscht werden, schützenmöchten, müssen Sie sie per Internet Protocol Security (IPsec) versenden. Hierfür müssenjedoch sowohl das Verwaltungssystem als auch der Agent IPsec unterstützen. WeitereInformationen zu IPsec finden Sie in Kapitel 13, "Internet Protocol Security (IPsec) und Paketfilterung".

SNMP-CommunitysVerwaltungssysteme und Agenten gehören einer SNMP-Community an, also mehrerenHosts, die aus verwaltungstechnischen Gründen zusammengefasst wurden. Agenten, dieAnforderungen erhalten und Trap-Nachrichten versenden sowie Verwaltungssysteme, die Anforderungen versenden und Trap-Nachrichten erhalten, können über denCommunitynamen eine Kontextprüfung durchführen. So nehmen Agenten keineAnforderungen eines Verwaltungssystems an, das sich außerhalb der konfiguriertenCommunity befindet. Genauso nehmen Verwaltungssysteme keine Trap-Nachrichten eines Agenten an, der sich außerhalb der konfigurierten Community befindet.

Communitynamen dienen in erster Linie als Organisationshilfe und nicht alsDatenschutzmaßnahme. SNMP-Nachrichten werden normalerweise ohne IPsec-Schutzversendet. Böswillige Benutzer könnten deshalb ungeschützte SNMP-Nachrichtenauffangen, den SNMP-Communitynamen ermitteln und eigene SNMP-Nachrichten mit dem korrekten Communitynamen versenden.

Communitynamen stehen in keinerlei Beziehung zu Domain- oder Arbeitsgruppennamen. Communitynamen stellen für Gruppen der Komponenten von SNMP-Infrastrukturen einenbenannten Kontext dar.

Agenten und Verwaltungssysteme können mehreren Communitys angehören.Administrative Elemente von SNMP-Infrastrukturen können dadurch flexibler konfiguriertwerden.

Abbildung B-4 zeigt zwei definierte Communitys (IT und Admin).

Abbildung B-4: Beispiel für SNMP-CommunitysAbbildung vergrößern

Nur die Agenten und Verwaltungssysteme, die Mitglied derselben Community sind, könnenmiteinander kommunizieren. Beispiel:

• Agent1 kann von Manager2 Nachrichten empfangen und an Manager2 senden, weil beide zur Admin-Community gehören.

• Agent2, Agent3 und Agent4 können von Manager1 empfangen und Nachrichten anManager1 senden, weil sie alle zur IT-Community gehören.

Der Standardname für viele SNMP-Agenten lautet "Public". Für den SNMP-Dienst fürWindows Server 2003 existiert kein konfigurierter SNMP-Communityname. Der SNMP-Dienst für Windows XP trägt den Standardnamen "Public".

So funktioniert SNMPAnhand der folgenden Schritte wird beschrieben, wie SNMP eine typische Get-Operationausführt:

1. Ein SNMP-Verwaltungssystem sendet einem SNMP-Agenten eine Anforderung.

Die Anforderung ist eine Nachricht des Typs Get-request, Get-next-request oder Getbulk-request. Sie enthält eine oder mehrere Datenobjekte und einenCommunitynamen und wird an die IPv4-Adresse des SNMP-Agenten und an den Ziel-UDP-Port 161 gesendet. Beispielsweise könnte das SNMP-Verwaltungssystemeine Get-request-Nachricht mit dem Communitynamen "IT" versenden, in dem die Anzahl der aktiven Sitzungen angefordert wird.

2. Der SNMP-Agent erhält die SNMP-Nachricht.

Der Communityname wird überprüft. Wenn der Communityname ungültig oder dasPaket beschädigt ist, wird die Anforderung verworfen. Wenn der Communitynamegültig ist, wird die Anforderung an die entsprechende MIB-Komponenteweitergeleitet. Die MIB gibt die angeforderte Informationen an den Agenten zurück.In diesem Beispiel ruft der SNMP-Agent also die Anzahl der aktiven Sitzungen von der MIB ab.

3. Der SNMP-Agent sendet eine Get-response-Nachricht mit den angeforderten Informationen an das SNMP-Verwaltungssystem.

In diesem Beispiel sendet der SNMP-Agent eine Get-response-Nachricht mit dem Communitynamen "IT", die die Anzahl der aktiven Sitzungen enthält.

In Abbildung B-5 ist der beschriebene Prozess dargestellt.

Abbildung B-5: Beispiel für die Funktionsweise von SNMPAbbildung vergrößern

Zum Seitenanfang

Der SNMP-Dienst von WindowsDer SNMP-Dienst in Windows Server 2003 und Windows XP ist SNMP-Agentensoftware, die Informationen an Verwaltungssysteme sendet, die SNMP-Verwaltungssoftwareausführen. Der SNMP-Dienst:

• antwortet auf Statusinformationsanforderungen verschiedener Hosts

• meldet wichtige Ereignisse sofort an verschiedene Hosts (Trap-Nachrichten)

• verwendet Hostnamen und IPv4-Adressen, um die Hosts zu erkennen, an die er Informationen sendet und von denen er Anforderungen erhält

Der SNMP-Dienst von Windows ist eine Windows Sockets-Anwendung. Er stellt eine interne Infrastruktur bereit, die Entwicklern von Drittanbietersoftware und -hardwareermöglicht, eigene MIBs für den SNMP-Dienst von Windows zu entwickeln bzw. dieEntwicklung von Anwendungen für SNMP-Verwaltungssysteme ermöglicht.

Der SNMP-Dienst von Windows Server 2003 unterstützt die folgenden MIBs:

• Internet MIB II

Internet MIB II ist eine Obermenge von MIB I, der vorherigen Standard-MIB. Internet MIB II definiert Objekte, die für die Fehler- bzw. Konfigurationsanalyse von wesentlicherBedeutung sind. Internet MIB II ist im Standard RFC 1212 definiert.

• LAN Manager MIB II

LAN Manager MIB II definiert Objekte, die Informationen über Freigaben, Sitzungen,Benutzer und Anmeldedaten enthalten. Die meisten Objekte von LAN Manager MIB II sind schreibgeschützt, weil SNMP-Nachrichten normalerweise nicht geschützt sind.

• DHCP-MIB

Die DHCP-MIB (Dynamic Host Configuration Protocol) definiert Objekte, die dieDHCP-Serveraktivität überwachen. Die MIB wird automatisch zusammen mit demDHCP-Server installiert. Sie enthält Objekte für die Überwachung des DHCP. Sie stelltbeispielsweise fest, wie viele DHCPDiscover-Nachrichten empfangen wurden oder wie viele Adressen von DHCP-Clients geleast wurden.

• WINS-MIB

Die WINS-MIB (Windows Internet Name Service) definiert Objekte, die die Aktivität desWINS-Servers überwachen. Diese MIB wird automatisch zusammen mit demWINS-Server installiert. Sie enthält Objekte für die Überwachung des WINS. Sie stelltbeispielsweise fest, wie viele Namensauflösungsanforderungen erfolgreich bearbeitetwurden bzw. wie viele fehlschlugen und ermittelt Datum und Uhrzeit der letzten Datenbankreplikation.

• IIS-MIBs

Die IIS-MIBs (Internet Information Services) definieren Objekte, die die Aktivitäten imZusammenhang mit File Transfer Protocol (FTP) und Hypertext Transfer Protocol (HTTP) überwachen. Diese MIBs werden automatisch zusammen mit den IIS installiert. Sieenthalten Objekte für die Überwachung der FTP- und Internetdienste von IIS undIndikatoren für die Gesamtmenge versendeter Bytes und Dateien.

• MIBs für RADIUS-Server

Die MIBs für Remote Authentication Dial-In User Service-Server (RADIUS) definierenObjekte, die die Authentifizierung von RADIUS-Servern und Kontoführungsaktivitätenüberwachen. Diese MIBs werden automatisch zusammen mit dem InternetAuthentication Service (IAS) installiert. Sie enthalten Objekte für die Überwachung desRADIUS-Servers. Sie stellen beispielsweise fest, wie viele Authentifizierungsanforderungen erfolgreich bearbeitet wurden und wie vieleKontoführungsanforderungen gesendet wurden.

Die RADIUS-Authentifizierungsserver-MIB ist im Standard RFC 2619 definiert. DieRADIUS-Kontoführungsserver-MIB ist im Standard RFC 2621 definiert.

Installieren und Konfigurieren des SNMP-DienstesFühren Sie folgende Schritte aus, um den SNMP-Dienst unter Windows Server 2003 undWindows XP zu installieren:


2. Klicken Sie unter Komponenten auf Verwaltungs- undÜberwachungsprogramme (aktivieren/deaktivieren Sie dabei nicht dasdazugehörige Kontrollkästchen), und klicken Sie auf Details.

3. Aktivieren Sie das Kontrollkästchen SNMP (Simple Network Management Protocol), und klicken Sie auf OK.

4. Klicken Sie auf Weiter.

Der SNMP-Dienst wird nach der Installation automatisch gestartet.

Im Gegensatz zu vielen anderen Diensten von Windows gibt es für den SNMP-Dienst keindazugehöriges Snap-In. Die Konfiguration des SNMP-Dienstes wird über zusätzlicheRegisterkarten im Eigenschaftenfenster des SNMP-Dienstes im Dienste-Snap-Indurchgeführt.

Führen Sie folgende Schritte aus, um den SNMP-Dienst zu konfigurieren:

1. Klicken Sie auf Start und Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Computerverwaltung.

2. Öffnen Sie in der Konsolenstruktur Dienste und Anwendungen, und klicken Sie dann auf Dienste.

3. Klicken Sie im Detailbereich mit der rechten Maustaste auf SNMP-Dienst, und klicken Sie dann auf Eigenschaften.

Sie konfigurieren den SNMP-Dienst über die folgenden Registerkarten:

• Agent

• Traps

• Security (Sicherheit)

Registerkarte "Agent"Auf der Registerkarte Agent können Sie eine Kontaktperson und den physischen Standortdes Computers festlegen sowie über die Kontrollkästchen angeben, welcheInformationstypen der SNMP-Dienst sammeln soll. Standardmäßig sind die KategorienApplications (Anwendungen) Internet und End-to-end aktiviert.

Auf Abbildung B-6 ist die Registerkarte Agent abgebildet.

Abbildung B-6: SNMP-Diensteinstellungen auf der Registerkarte "Agent"

Registerkarte "Traps"Auf der Registerkarte Traps legen Sie fest, welche Communitynamen in Trap-Nachrichten erscheinen sollen und wie die Trap-Ziele lauten (Liste mit IPv4-Adressen, an die Trap-Nachrichten gesendet werden).

Auf Abbildung B-7 ist die Registerkarte Traps abgebildet.

Abbildung B-7: SNMP-Diensteinstellungen auf der Registerkarte "Traps"

Registerkarte "Security" (Sicherheit)Auf der Registerkarte Security (Sicherheit) können Sie folgende Einstellungenvornehmen:

• Soll der SNMP-Dienst eine Trap-Nachricht an alle Ziele senden, wenn er eine Anforderung ohne hinterlegten Communitynamen erhält?

• Liste mit akzeptierten Communitynamen

• Sollen SNMP-Nachrichten von jedem Host angenommen werden oder nur von Hosts, die auf einer Liste per IPv4-Adresse oder Hostnamen identifiziert sind?

Auf Abbildung B-8 ist die Registerkarte Security (Sicherheit) abgebildet.

Abbildung B-8: SNMP-Diensteinstellungen auf der Registerkarte "Security" (Sicherheit)

Evntcmd-ToolSie können bei der Eingabeaufforderung mit dem Tool "Evntcmd.exe"SNMP-Trap-Nachrichten konfigurieren, die gesendet werden, wenn in Systemprotokollen bestimmte Ereignisse auftreten. Evntcmd.exe eignet sich auch, um festzulegen, wohin Trap-Nachrichten innerhalb einer SNMP-Community versendet werden.




TCP/IP-Grundlagen für Microsoft WindowsAnhang C: ComputersuchdienstVeröffentlicht: 29. Mrz 2006

Zusammenfassung

In diesem Anhang wird beschrieben, wie der Computersuchdienst auf Computern, auf denen dieBetriebssysteme Microsoft® Windows® XP oder Windows Server™ 2003 ausgeführt werden, dieListe der Arbeitsgruppen und Domänen und der darin enthaltenen Server anzeigt. Mit diesenListen wird für die Fenster Microsoft Windows-Netzwerk und verwandte Fenster von Netzwerkumgebung Inhalt erstellt. Netzwerkadministratoren müssen wissen, wie derComputersuchdienst in einem IPv4-Netzwerk funktioniert, wenn sie feststellen möchten, warummanche Domänen, Arbeitsgruppen oder die darin enthaltenen Servercomputer nicht angezeigtwerden.

Auf dieser Seite

Der Computersuchdienst im Überblick

Der Computersuchdienst in einem IPv4-Netzwerk

Der Computersuchdienst im ÜberblickDer Computersuchdienst in Windows XP und Windows Server 2003 führt eine ständig aktualisierteListe der Domänen, Arbeitsgruppen und Servercomputer, die sich im Netzwerk befinden, undsendet diese Liste bei Anforderung an Clientcomputer.

Eine Domäne ist eine Gruppierung aus Computern. Eine Domäne zeichnet sich zudem durch einezentralisierte Kontendatenbank und Datensicherheit aus. Im Zusammenhang mit Computersuche ist der Begriff "Domäne" anders definiert als im Zusammenhang mit dem Verzeichnisdienst ActiveDirectory®. Im Zusammenhang mit Active Directory ist eine Domäne eine Auflistung vonComputer-, Benutzer- und Gruppenobjekten, die vom Administrator definiert sind. Diese Objekte nutzen die gleiche Verzeichnisdatenbank sowie die gleichen Sicherheitsrichtlinien undSicherheitsverhältnisse wie andere Domänen.

Eine Arbeitsgruppe ist eine logische Gruppierung von Computern, mit deren Hilfe Benutzer gemeinsam genutzte Ressourcen wie beispielsweise Ordner und Drucker finden können.Arbeitsgruppen zeichnen sich nicht durch zentralisierte Benutzerkonten und Datensicherheit aus, wie dies bei Domänen der Fall ist. Eine LAN-Gruppe ist entweder eine Domäne oder eineArbeitsgruppe.

Der Computersuchdienst führt verteilte Listen, in denen verfügbare Netzwerkressourcenaufgeführt sind. So zeigen Sie die Listen auf unterschiedlichen Oberflächen an:

• Wenn Sie mit dem neuen Windows XP-Startmenü arbeiten: Klicken Sie auf Start und dann auf Netzwerkumgebung. Klicken Sie im Fenster Netzwerkumgebung auf Gesamtes Netzwerk. Doppelklicken Sie im Fenster Gesamtes Netzwerk auf Microsoft Windows-Netzwerk.

• Wenn Sie mit dem klassischen Startmenü von Windows arbeiten: Doppelklicken Sie auf demDesktop auf Netzwerkumgebung. Doppelklicken Sie im Fenster Netzwerkumgebung auf Gesamtes Netzwerk. Doppelklicken Sie im Fenster Gesamtes Netzwerk auf Microsoft Windows-Netzwerk.

Bei beiden Vorgehensweisen zeigt das Fenster Microsoft Windows-Netzwerk eine Liste der LAN-Gruppen an.

Die Liste der LAN-Gruppen und der darin enthaltenen Server wird an automatisch gewählteSuchservercomputer verteilt. Wenn Computer als Suchserver gewählt sind, brauchen nicht mehralle Computer eine Liste führen, auf der alle LAN-Gruppen und ihre Netzwerkserver verzeichnetsind. Zudem kommt beim Erstellen und Führen der Netzwerkcomputerlisten wenigerNetzwerkverkehr zustande.

Die Suchliste (also die Liste der LAN-Gruppen und der darin enthaltenen Server, die vom Computersuchdienst gesammelt und verteilt werden) stimmt nicht mit der Computerliste von Active Directory überein. Wenn Sie z. B. im Fenster Netzwerkumgebung im Bereich Netzwerkaufgaben auf Active Directory durchsuchen klicken, wird das Dialogfeld Benutzer, Kontakte und Gruppen angezeigt. Abfragen, die über dieses Dialogfeld gestartet werden,richten sich an Active Directory, nicht an die Suchlisten, die von Computern geführt werden, dieden Computersuchdienst ausführen.

In diesem Beitrag

• Übersicht














• Kapitel 14 – VirtuellePrivate Netzwerke






Der Computersuchdienst tauscht bei der Suche einen Satz von Broadcast- und Unicastnachrichten im Format NetBIOS über TCP/IP (NetBT) aus. Computer können nicht über IPv6 gesucht werden.Wenn NetBT deaktiviert ist, kann der Computersuchdienst nicht genutzt werden. Wenn in Ihrem Netzwerk also NetBT deaktiviert ist und das Domain Name System (DNS) und Active Directory verwendet werden, können Sie im Fenster Gesamtes Netzwerk keine LAN-Gruppen oder LAN-Server anzeigen. Sie müssen in Active Directory die Funktion "Computer suchen" verwenden.

Die Computersuche über RAS-Verbindungen wird in Windows Server 2003 durch den neuenNetBT-Proxy unterstützt. Dieser ist standardmäßig für das Routing und den Fernzugriff auf alleSchnittstellen aktiviert, die nicht mit dem Internet verbunden sind.

Weitere Informationen über NetBT finden Sie in Kapitel 11, "NetBIOS über TCP/IP" und Kapitel 12"Übersicht über WINS (Windows Internet Name Service)".

Der Computersuchdienst in Windows XP und Windows Server 2003 führt folgende drei Prozesseaus:

• Er sammelt Suchinformationen.

• Er verteilt Suchinformationen.

• Er bearbeitet Suchclientanforderungen.

Sammeln und Verteilen von SuchinformationenBeim Sammeln und Verteilen von Suchinformationen sind die dafür vorgesehenSuchservercomputer beteiligt. Folgende Suchservertypen sind definiert:

• Hauptsuchserver

Ein Computer, der die Suchliste der Server sammelt und pflegt, die innerhalb seiner LAN-Gruppe verfügbar sind. Außerdem sammelt und pflegt er eine Liste, auf der andereLAN-Gruppen und ihre Hauptsuchserver verzeichnet sind und verteilt die Suchlisten an die Sicherungssuchserver.

• Sicherungssuchserver

Ein Sicherungssuchserver ist ein Computer, der eine Kopie der Suchliste vom Hauptsuchservererhält und die Informationen aus der Suchliste bei Anforderung an Suchclients weiterverteilt.

• Domänen-Hauptsuchserver

Der erste Domänencontroller, der mit dem NetBIOS-Namen Domain[1B] registriert ist, wird zum Domänen-Hauptsuchserver. Der Domänen-Hauptsuchserver ist zum einen einHauptsuchserver für seine Domäne, zum anderen synchronisiert er die Suchliste für dieHauptsuchserver der Domänen, die sich auf Remotesubnetzen befinden.

Computer werden infolge eines automatischen Wahlprozesses als Hauptsuchserver und Sicherungssuchserver bestimmt. Für jede LAN-Gruppe gibt es nur einen Hauptsuchserver und 0oder mehr Sicherungssuchserver. Wie viele Sicherungssuchserver existieren, hängt von derAnzahl der Server in der LAN-Gruppe ab. Weitere Informationen finden Sie unter Windows 2000 Browser Service (in englischer Sprache).

Computer, auf denen Windows XP und Windows Server 2003 ausgeführt werden, können alsHauptsuchserver und Sicherungssuchserver fungieren. Nur Windows Server 2003-Computer, die als Domänencontroller fungieren, können auch als Domänen-Hauptsuchserver fungieren.

Der SammelprozessDer Hauptsuchserver führt den Sammelprozess aus, indem er die folgenden Informationen inseiner Suchliste zusammenträgt:

• Liste mit Servern, die in der LAN-Gruppe des Hauptsuchservers installiert sind

Jeder Computer, der innerhalb der LAN-Gruppe den Serverdienst ausführt, sendet regelmäßigper Broadcast ein Hostankündigungspaket an den NetBIOS-Namen LANGroup[1D]. Der Serverdienst entspricht der Komponente "Datei- und Druckerfreigabe für Microsoft-Netzwerke"in "Netzwerkverbindungen" und ermöglicht über das Common Internet File System (CIFS) diegemeinsame Nutzung von Dateien und Druckern (auch als SMB-Protokoll, Server Message Block, bekannt). Der Hauptsuchserver verarbeitet das Hostankündigungspaket und fügt denComputernamen des Absenders der Liste der LAN-Gruppen-Server hinzu bzw. aktualisiert diesen.

• Liste mit anderen LAN-Gruppen

Jeder Hauptsuchserver einer LAN-Gruppe sendet in regelmäßigen Abständen einen Broadcastmit einem Domänenankündigungs- oder einem Arbeitsgruppenankündigungspaket an denNetBIOS-Namen [01][02]__MSBROWSE__[01][02]. DasDomänenankündigungspaket/Arbeitsgruppenankündigungspaket enthält den Namen der

LAN-Gruppe und den Computernamen des Hauptsuchservers. Jeder Hauptsuchserver speichert den angekündigten Namen der LAN-Gruppe und der dazugehörigen Hauptsuchserver in derSuchliste.

Der VerteilungsprozessDer Hauptsuchserver verteilt die Suchliste an die Sicherungssuchservercomputer, die die Suchclientanforderungen bearbeiten. Dies geschieht folgendermaßen:

• Ankündigungspaket für lokalen Hauptsuchserver

Der Hauptsuchserver sendet in regelmäßigen Abständen einen Broadcast mit demAnkündigungspaket für den lokalen Hauptsuchserver an den NetBIOS-Namen LANGroup[1E]. Dieses Paket informiert die Sicherungssuchserver darüber, dass für die LAN-Gruppe noch einHauptsuchserver vorhanden ist. Wenn der Hauptsuchserver nicht in regelmäßigen Abständenein Ankündigungspaket für den lokalen Hauptsuchserver sendet, startet einSicherungssuchserver einen Wahlvorgang. Dazu sendet dieser einen Broadcast mit einem Wahlpaket an den NetBIOS-Namen LANGroup[1E]. Im Wahlvorgang wird ein neuer Hauptsuchserver bestimmt. Weitere Informationen über den Wahlvorgang und Wahlkriterienfinden Sie unter Windows 2000 Browser Service (in englischer Sprache).

• Pullvorgang für Suchliste: vom Hauptsuchserver zum Sicherungssuchserver

In regelmäßigen Abständen nimmt jeder Sicherungssuchserver mit dem Hauptsuchserverseiner LAN-Gruppe Kontakt auf, um die Suchliste herunterzuladen. Die heruntergeladene Suchliste umfasst die Liste der Server aus der LAN-Gruppe und die Liste anderer LAN-Gruppen und der dazugehörigen Hauptsuchserver.

In Abbildung C-1 ist der Sammel- und Verteilungsprozess dargestellt.

Abbildung C-1: Der Sammel- und Verteilungsprozess des ComputersuchdienstesAbbildung vergrößern

Bearbeiten von SuchclientanforderungenNachdem die Suchliste vom Hauptsuchserver erstellt und an die Sicherungssuchserver verteilt wurde, steht sie zum Bearbeiten von Suchclientanforderungen zur Verfügung.

Suchclients fordern folgende Informationen an:

• Liste mit Servern, die in der LAN-Gruppe des Suchclients installiert sind

• Liste mit Servern, die in einer anderen LAN-Gruppe enthalten sind

• Liste der Freigaben auf einem Server

Aufrufen der Listen mit den Servern der eigenen LAN-GruppeWenn auf einem Computer Windows XP oder Windows Server 2003 ausgeführt wird und dieserComputer zu einer Arbeitsgruppe gehört, können Sie eine Liste anzeigen, auf der die Server derArbeitsgruppe aufgeführt sind. Klicken Sie dazu im Fenster Netzwerkumgebung im Bereich Netzwerkaufgaben auf Arbeitsgruppencomputer anzeigen. Wenn auf einem Computer Windows XP oder Windows Server 2003 ausgeführt wird und dieser Computer zu einer Domänegehört, können Sie eine Liste anzeigen, auf der die Server der Domäne aufgeführt sind.Doppelklicken Sie dazu im Fenster Microsoft Windows-Netzwerk auf Ihren Domänennamen.

Der Suchclient führt folgende Schritte aus, wenn er die Liste mit Servern seiner LAN-Gruppe

aufruft:

1. Nach dem Start sendet der Suchclient ein Broadcastpaket an den NetBIOS-Namen LANGroup[1D], in dem die Liste der Sicherungssuchserver angefordert wird.

2. Der Hauptsuchserver antwortet auf die Clientanforderung mit einer Liste, auf der die Computernamen der Sicherungssuchserver der LAN-Gruppe aufgeführt sind.

3. Der Suchclient wählt einen beliebigen Sicherungssuchserver aus. Wenn der Benutzer eineListe mit den Servern seiner LAN-Gruppe anzeigen möchte, sendet der Computer demausgewählten Sicherungssuchserver eine Nachricht, in der er die Server seiner LAN-Gruppeanfordert.

4. Der Sicherungssuchserver antwortet mit der Liste der Server der LAN-Gruppe.

In Abbildung C-2 ist der beschriebene Prozess dargestellt.

Abbildung C-2: Bearbeiten von SuchclientanforderungenAbbildung vergrößern

Bei weiteren Anforderungen von Listen LAN-Gruppen-interner Server verwendet der Client weiterhin die Liste der Sicherungssuchservernamen, die er beim Start erhalten hat. Er sendet keinen neuen Broadcast, in dem eine neue Liste der Sicherungssuchserver angefordert wird. Ob die Suchclientanforderung erfolgreich ist, hängt zum einen davon ab, ob der Client vomHauptsuchserver eine Antwort erhält. Zum anderen ist entscheidend, ob der Client denComputernamen des nach dem Zufallsprinzip ausgewählten Sicherungssuchservers in seineIPv4-Adresse auflösen kann.

Aufrufen einer Liste mit den Servern einer anderen LAN-GruppeWenn auf einem Computer Windows XP oder Windows Server 2003 ausgeführt wird und dieserComputer zu einer Arbeitsgruppe gehört, können Sie eine Liste anzeigen, auf der die Server eineranderen LAN-Gruppe aufgeführt sind. Klicken Sie dazu im Dialogfeld Ordner suchen auf den Namen der LAN-Gruppe. Wenn auf einem Computer Windows XP oder Windows Server 2003ausgeführt wird und dieser Computer zu einer Domäne gehört, können Sie eine Liste anzeigen,auf der die Server einer anderen LAN-Gruppe aufgeführt sind. Doppelklicken Sie dazu im FensterMicrosoft Windows-Netzwerk auf den Namen der LAN-Gruppe.

Um die Liste mit den Servern einer anderen LAN-Gruppe zu erhalten, sendet der Client ein Broadcastpaket an den NetBIOS-Namen LANGroup[1D], in dem er die Liste der Sicherungssuchserver anfordert. Der Hauptsuchserver, der für die LAN-Gruppe zuständig ist,antwortet auf die Clientanforderung mit einer Liste, auf der die Computernamen der Sicherungssuchserver der LAN-Gruppe aufgeführt sind. Der Client wählt dann einen beliebigenSicherungssuchserver aus und fordert ihn auf, die Liste der Server in der LAN-Gruppe herunterzuladen. Die Antwort des ausgewählten Sicherungssuchservers enthält die Liste mit denServern der LAN-Gruppe.

Ob dieser Vorgang erfolgreich durchgeführt werden kann, hängt zum einen davon ab, ob derClient vom Hauptsuchserver, der für die LAN-Gruppe zuständig ist, eine Antwort erhält. Zumanderen ist entscheidend, ob der Client den Computernamen des nach dem Zufallsprinzip

ausgewählten Sicherungssuchservers der LAN-Gruppe in eine IPv4-Adresse auflösen kann.

Abrufen der Liste der Freigaben auf einem ServerWenn auf einem Computer Windows XP oder Windows Server 2003 ausgeführt wird, können Sieeine Liste anzeigen, auf der die Freigaben eines ausgewählten Servers aufgeführt sind.Doppelklicken Sie dazu im LAN-Gruppen-Fenster auf den entsprechenden Computer. Über dieAnzeige des Befehls net view \\servername können Sie aber auch eine Liste mit den Freigabeneines bestimmten Computers anzeigen.

Wenn der Computer die Liste mit den Freigaben eines Servers abruft, versucht er den NetBIOS-Namen für den Serverdienst des gewünschten Computers aufzulösen (entsprichtComputerName[20]). Nach der Namensauflösung werden zwischen dem Suchclient und demDateifreigabeserver Sitzungen der Typen TCP, NetBIOS und SMB erstellt. Sobald die SMB-Sitzung erstellt ist, fordert der Client eine Freigabenliste an.

Obwohl bei der Anforderung der Serverliste der Computersuchdienst bzw. der Suchserver nicht zum Einsatz kommen, gehört die Anforderung zu den Suchvorgängen, die über dieNetzwerkumgebung durchgeführt werden.

Ob die Clientanforderung erfolgreich ist, hängt zum einen davon ab, ob der Client denComputernamen des ausgewählten Computers in seine IPv4-Adresse auflösen kann. Zum anderenist entscheidend, dass eine authentifizierte SMB-Sitzung mit dem Server hergestellt werden kann.

Zum Seitenanfang

Der Computersuchdienst in einem IPv4-NetzwerkDer Computersuchdienst funktioniert nur, wenn Broadcasts versendet werden, dieNetBIOS-über-TCP/IP-Pakete enthalten. In diesem Zusammenhang kann der Standort vonIPv4-Routern Probleme verursachen. IPv4-Router leiten Broadcastpakete nicht weiter, der Client muss aber in allen Netzwerkressourcen eines IPv4-Netzwerks suchen können. Deshalb sindMechanismen erforderlich, die die Sammlung, Verteilung und Bearbeitung von Suchinformationen regeln, wenn ein Client Suchlisten anfordert und Server, Suchserver und Suchclients aber auf unterschiedlichen Subnetzen installiert sind.

Damit das Sammeln und Verteilen von Suchinformationen und das Bearbeiten von Clientanforderungen über IPv4-Router möglich ist, ist eine Kombination aus Unicast- undBroadcast-IPv4-Verkehr erforderlich (statt reinem Broadcast-IPv4-Verkehr). Damit in IPv4-Netzwerken nach Computern gesucht werden kann, nutzt der Computersuchdienst Folgendes:

• Windows Internet Name Service (WINS): WINS ist bei der Sammlung von Suchlisten und beim Bearbeiten von Clientanforderungen hilfreich.

• Einträge in der Lmhosts-Datei: Spezielle Einträge in der Lmhosts-Datei tragen dazu bei, dieVerteilung von Suchinformationen und das Bearbeiten von Clientanforderungen zuermöglichen.

Hinweis: Der Computersuchdienst benötigt MAC-Broadcastpakete (Media Access Control), diemit NetBT an den UDP-Port 138 (der Datagrammport von NetBIOS) gesendet wurden bzw. von dort gesendet wurden. Wenn dagegen der B-Knotentyp konfiguriert ist, werden NetBIOS-Namensregistrierungsanforderungen und NetBIOS-Namensabfrageanforderungen als MAC-Broadcasts über den UDP-Port 137 (der Namensdienstport von NetBIOS) gesendet. EinigeRouter können so konfiguriert werden, dass sie NetBIOS-Broadcasts zwischen IPv4-Subnetzenweiterleiten können. Wenn der IPv4-Router für die Weiterleitung von NetBIOS-Broadcastskonfiguriert ist, geht der Computersuchdienst davon aus, dass sich alle LAN-Gruppen auf demselben Subnetz befinden. Alle Hauptsuchserver sind über alle Server in ihrer LAN-Gruppeund anderen LAN-Gruppen informiert, und alle Suchclientanforderungen können erfolgreichbeantwortet werden.

Wenn die NetBIOS Broadcastweiterleitung auf allen IPv4-Routern des Netzwerks aktiviert ist, sind die nachfolgenden Abschnitte nicht zutreffend. Wir raten jedoch von dieser Lösung starkab, weil dadurch der Broadcastverkehr auf den Subnetzen zunimmt, was wiederum die Leistung auf sämtlichen Netzwerkknoten mindert. Zudem kann die Broadcastweiterleitung bei der Wahldes Suchservers zu Konflikten führen.

In den folgenden Abschnitten wird untersucht, wie der Computersuchdienst bei den folgenden Suchkonstellationen IPv4-Netzwerke absucht:

• Domäne ist auf zwei Seiten eines IPv4-Routers verteilt

• Mehrere Domänen durch IPv4-Router getrennt

• Arbeitsgruppe ist auf zwei Seiten eines IPv4-Routers verteilt

• Mehrere Arbeitsgruppen durch IPv4-Router getrennt

Domäne ist auf zwei Seiten eines IPv4-Routers verteiltIn Abbildung C-3 sehen Sie eine Domäne, die auf zwei Seiten eines IPv4-Routers verteilt ist. DieDomänenmitglieder befinden sich auf mindestens zwei Subnetzen eines IPv4-Routers.

Abbildung C-3: Domäne auf zwei Seiten eines IPv4-RoutersAbbildung vergrößern

Lesen Sie im Zusammenhang mit dieser Konfiguration die folgenden Abschnitte:

• Der Sammel- und Verteilungsprozess

• Bearbeiten von Suchclientanforderungen

Der Sammel- und VerteilungsprozessWenn Domänen über mehrere Router verteilt sind, werden in jedem Subnetz Suchserver gewählt.Jedes Subnetz ist in diesem Fall ein eigenständiges Suchgebiet mit eigenem Hauptsuchserver undeigenen Sicherungssuchservern.

Jeder Hauptsuchserver sammelt auf seinem eigenen Subnetz die folgenden Informationen:

• Die Liste der Server, die in seiner Domäne installiert sind. Zur Listenerstellung überwacht erdie Hostankündigungspakete, die von den Computern seiner Domäne gesendet werden.

• Die Liste der anderen LAN-Gruppen und der dazugehörigen Hauptsuchserver. ZurListenerstellung überwacht er dieDomänenankündigungspakete/Arbeitsgruppenankündigungspakete, die von denHauptsuchservern anderer LAN-Gruppen gesendet werden.

Wären alle Server der Domäne auf einem Subnetz untergebracht, wäre derDomänen-Hauptsuchserver zugleich der Hauptsuchserver der Domäne. In der Konfiguration inAbbildung C-3 ist der Domänen-Hauptsuchserver mit nur einem Subnetz verbunden. Damit aberdie Informationen zu den Suchlisten besser über den IPv4-Router geleitet werden, müssen dieHauptsuchserver auf anderen Subnetzen mit dem Domänen-Hauptsuchserver kommunizieren. DieKommunikation zwischen dem Domänen-Hauptsuchserver und dem Hauptsuchserver findet aufzweierlei Art und Weise statt:

• Der Hauptsuchserver aktualisiert den Domänen-Hauptsuchserver mit der gesammelten Listeder Server aus der Domäne und den anderen LAN-Gruppen seines Subnetzes.

• Die Hauptsuchserver laden die Suchliste des Domänen-Hauptsuchservers herunter. Dieseenthält die Namen aller Server der Domäne und die Namen aller anderen LAN-Gruppen, dievom Domänen-Hauptsuchserver und den anderen Hauptsuchservern anderer Subnetzegesammelt wurden.

Beide Methoden führen zu dem Ergebnis, dass jeder Hauptsuchserver die Suchliste desDomänen-Hauptsuchservers erhält. Die Sicherungssuchserver der einzelnen Subnetze laden dieSuchliste von ihrem lokalen Hauptsuchserver herunter.

Der Hauptsuchserver und der Domänen-Hauptsuchserver kommunizieren regelmäßig perIPv4-Unicastverbindung. Die Hauptsuchserver der Subnetze nehmen zwecks

Informationsaustausch Kontakt zum Domänen-Hauptsuchserver auf. Der Hauptsuchserver löst dieIPv4-Adresse des Domänen-Hauptsuchservers auf. Die geschieht mit Hilfe von:

• WINS: Wenn der Hauptsuchserver ein WINS-Client ist, fragt er seine WINS-Server nach dem NetBIOS-Namen Domain[1B]. Dieser NetBIOS-Name wird nur vom Domänen-Hauptsuchserverregistriert.

• Lmhosts-Datei: Der Hauptsuchserver kann mithilfe spezieller Einträge in der Lmhosts-Dateiden Domänen-Hauptsuchserver suchen. Ausführliche Informationen zu diesen Einträgen findenSie im Abschnitt "Konfigurieren der Lmhosts-Datei, wenn eine Domäne auf zwei Seiten vonIPv4-Routern verteilt ist" weiter unten in diesem Kapitel.

Bearbeiten von SuchclientanforderungenBeim Bearbeiten von Suchclientanforderungen kann der Suchclient folgende Informationen anfordern:

• Liste der Server, die in seiner Domäne/LAN-Gruppe auf seinem Subnetz installiert sind

Um die Liste mit den Servern einer Domäne/LAN-Gruppe seines Subnetzes zu erhalten, sendetder Suchclient zuerst ein Broadcastpaket an den NetBIOS-Namen LANGroup[1D], in dem er die Liste der Sicherungssuchserver anfordert. Der Hauptsuchserver der LAN-Gruppe auf dem Subnetz des Suchclients antwortet auf die Suchclientanforderung mit einer Liste, auf der die Computernamen von Sicherungssuchservern aufgeführt sind. Der Suchclient wählt dann einenbeliebigen Sicherungssuchserver aus, nimmt direkten Kontakt mit ihm auf und fordert die Liste der Server in der LAN-Gruppe an.

• Liste der Server, die in einer anderen LAN-Gruppe auf einem anderen Subnetz installiert sind

Dieser Prozess ist im Abschnitt "Mehrere Domänen durch IPv4-Router getrennt" weiter unten indiesem Kapitel beschrieben.

• Liste der Freigaben auf einem Server

Wenn der Suchclient die Liste mit den Freigaben eines Servers abruft, versucht er den NetBIOS-Namen für den Serverdienst des gewünschten Computers aufzulösen (entsprichtComputerName[20]). Nach der Namensauflösung werden zwischen dem Suchclient und demgewünschten Server Sitzungen der Typen TCP, NetBIOS und SMB erstellt. Die Liste derFreigaben eines Servercomputers werden in einer SMB-Sitzung gesendet.

Konfigurieren der Lmhosts-Datei, wenn eine Domäne auf zwei Seiten vonIPv4-Routern verteilt istFür Hauptsuchserver auf Remotesubnetzen und Domänen-Hauptsuchserver von Computern, dienicht WINS-fähig sind, kann eine direkte Kommunikation eingerichtet werden. Konfigurieren Siedazu die Lmhosts-Datei mit den NetBIOS-Namen und den IPv4-Adressen der Suchservercomputer.

Die Lmhosts-Datei befindet sich auf den Hauptsuchservern aller Subnetze. Sie sollte Einträge füralle Domänencontroller der Domäne enthalten. Jeder Eintrag muss die folgenden Angabenaufweisen:

• Die IPv4-Adresse und den Computernamen des Domänencontrollers

• Den Domänennamen mit den unmittelbar davor stehenden Tags #PRE und #DOM:

Nachstehend sehen Sie einen Beispieleintrag:

131.107.7.80 DC100 #PRE #DOM:EXAMPLE

Bei diesem Lmhosts-Eintrag hat ein Domänencontroller für die Domäne EXAMPLE DC100 dieIPv4-Adresse 131.107.7.80 und heißt DC100. Wenn Sie Einträge für alle Domänencontrollerhinzufügen, brauchen Sie auf den Hauptsuchservercomputern an den Lmhosts-Dateien keineÄnderungen vorzunehmen. Dabei spielt es keine Rolle, welcher Domänencontroller zumDomänen-Hauptsuchserver wird.

Wenn für den gleichen Domänennamen mehrere Lmhosts-Einträge vorhanden sind, ermittelt einComputer (Windows XP oder Windows Server 2003), der als Hauptsuchserver fungiert, welcher der Einträge den Domänen-Hauptsuchserver identifiziert, indem er eine Abfrage an die jeweiligenIPv4-Adressen sendet. Nur der Domänen-Hauptsuchserver antwortet auf die Abfrage. DerComputer nimmt anschließend Kontakt mit dem Domänen-Hauptsuchserver auf und tauscht mitdiesem Suchlisteninformationen aus.

Auf jedem Domänencontroller muss die Lmhosts-Datei mit Einträgen für alle Hauptsuchserverkonfiguriert werden, die sich auf Remotesubnetzen befinden. Der Hauptsuchservercomputer wirdstandardmäßig anhand verschiedener Wahlkriterien gewählt. Wenn Sie sicherstellen möchten,dass ein bestimmter Computer als Hauptsuchserver gewählt wird, legen Sie den

Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters\IsDomainMaster auf TRUE (REG_SZ) fest. Wenn bei einem Computer "IsDomainMaster" auf TRUE festgelegt ist, wird er nur dann nicht als Domänen-Hauptsuchserver gewählt, wenn auch auf anderenComputern "IsDomainMaster" auf TRUE festgelegt ist.

Wenn Sie auf jedem Subnetz den Registrierungswert "IsDomainMaster" des ausgewähltenServercomputers konfiguriert haben, fügen Sie auf jedem Domänencontroller der Lmhosts-Dateifür jeden der ausgewählten Hauptsuchserver einen Eintrag hinzu. Anhand dieser Einträgeermittelt der Domänen-Hauptsuchserver, zu welchen Computern er Kontakt aufnehmen muss,wenn er die Suchlisten des Domänen-Hauptsuchservers verteilt.

Mehrere Domänen durch IPv4-Router getrenntIn Abbildung C-4 sehen Sie mehrere Domänen, die durch einen IPv4-Router getrennt sind.

Abbildung C-4: Mehrere Domänen durch einen IPv4-Router getrenntAbbildung vergrößern

Lesen Sie im Zusammenhang mit dieser Konfiguration die folgenden Abschnitte:

• Der Sammel- und Verteilungsprozess

• Bearbeiten von Suchclientanforderungen

Der Sammel- und VerteilungsprozessHauptsuchserver sammeln zum einen die Server, die in ihrer Domäne installiert sind, zumanderen sammeln sie die Namen anderer LAN-Gruppen, die sich auf ihrem Subnetz befinden. All diese Informationen werden an den Domänen-Hauptsuchserver gesendet und dort an die anderenHauptsuchserver dieser Domäne verteilt. Für Suchclients in dieser Domäne ist die Liste allerLAN-Gruppen, die gesammelt wurden, sichtbar.

Eine der Funktionen, mit der WINS den Sammelmechanismus für LAN-Gruppen-Namenverbessert, ist die regelmäßige Abfrage des WINS-Servers durch einen WINS-fähigenDomänen-Hauptsuchserver. Diese Abfrage ergibt eine Liste aller Domänen aus derWINS-Datenbank. Der Domänen-Hauptsuchserver fragt WINS nach allen NetBIOS-Namen ab, diemit "0x1B" enden. Alle NetBIOS-Namen dieses Typs sind nämlich NetBIOS-Domänennamen, dievom Domänen-Hauptsuchserver registriert wurden.

Die Liste der Domänen, die per WINS-Abfrage abgerufen wurden, enthält nur die Domänennamenund die dazugehörigen IP-Adressen. Nicht auf der Liste enthalten sind die Namen derDomänen-Hauptsuchserver, die diese Namen registriert haben. Der Computer, auf dem sich derDomänen-Hauptsuchserver befindet, kann den Namen des Domänen-Hauptsuchservers derDomäne abrufen. Dazu sendet er für jede Domäne, die er über die WINS-Abfrage gesammelt hat,eine NetBIOS-Adapterstatus-Nachricht an die IPv4-Adressen, die für denNetBIOS-Computernamen Domain[1B] hinterlegt sind. Die Antwort auf die NetBIOS-Adapterstatus-Nachricht enthält den Computernamen des Computers, der denDomänennamen registriert hat. Auf diese Weise vervollständigt der Domänen-Hauptsuchserverdie Liste der Domänennamen und ihrer dazugehörigen Domänen-Hauptsuchserver.

Dieser Prozess hat den Vorteil, dass dem Domänen-Hauptsuchserver jeder Domäne nun eine Listealler Domänen zur Verfügung steht (sofern diese Domänen-Hauptsuchserver WINS-Clients sind

oder statische WINS-Einträge haben). Dies umfasst auch Domänen auf den Remotesubnetzen, dienicht Teil seiner Domäne sind.

Bearbeiten von WINS-fähigen Clientanforderungen für RemotedomänenWenn ein Client eine Liste mit den Servern einer fremden Domäne anfordert, hängt vom Clienttypab, wie der Hauptsuchserver der Domäne aufgelöst wird. Bei WINS-Clients sendet der Client einBroadcastpaket an den NetBIOS-Namen LANGroup[1D] und fordert so vom lokalen Hauptsuchserver die Liste der Sicherungssuchserver an. Weil der Suchclient eine Liste mit den Sicherungssuchservern einer Remotedomäne anfordert, erhält er keine Antwort auf dasBroadcastpaket mit der Anforderung zum Zusenden der Sicherungssuchserverliste.

Der Client fordert anschließend die IPv4-Adresse des Domänen-Hauptsuchservers der Domänevon WINS an, indem er den NetBIOS-Namen Domain[1B] abfragt. Die WINS-Namensabfrage ist nur bei Domänen erfolgreich, deren Domänen-Hauptsuchserver ein WINS-Client ist oder einenstatischen WINS-Eintrag aufweist.

Wenn der Suchclient auf die Namensabfrage vom WINS-Server eine positive Antwort erhält,geschieht Folgendes:

1. Der Client sendet ein Unicastpaket an die IPv4-Adresse des Domänen-Hauptsuchservers(entspricht dem NetBIOS-Namen Domain[1B]). Dieses enthält eine Anforderung zumZusenden der Sicherungssuchserverliste.

2. Der Domänen-Hauptsuchserver antwortet mit einer Auflistung der Sicherungssuchserver.Der Client wählt einen beliebigen Sicherungssuchserver aus und ruft mit einerWINS-Abfrage (nach dem NetBIOS-Namen BackupBrowseServerName[20]) die IPv4-Adresse des gewählten Sicherungssuchservers der Domäne ab.

3. Der Suchclient stellt dann eine Verbindung zum Sicherungssuchserver her und fordert eine Liste der Server in seiner Domäne an.

4. Der Sicherungssuchserver gibt dem Suchclient die Serverliste zurück.


Abbildung C-5: Bearbeiten von WINS-fähigen Clientanforderungen bei einer positivenAntwort des WINS-ServersAbbildung vergrößern

Der Suchclient kann für die NetBIOS-Namensabfrage LANGroup[1B] auch eine negative Antwort erhalten. Dies ist beispielsweise der Fall, wenn es sich bei der LAN-Gruppe um eine Arbeitsgruppe handelt, wenn der Domänencontroller der Domäne kein WINS-Client ist bzw. keinen statischenWINS-Eintrag aufweist, oder wenn der Domänencontroller der Domäne ein WINS-Client ist undder Domänencontroller und der Suchclient nicht die gleiche WINS-Datenbank nutzen. Wenn derSuchclient auf die Namensabfrage vom WINS-Server eine negative Antwort erhält, geschiehtFolgendes:

1. Der Suchclient stellt eine Verbindung zum lokalen Hauptsuchserver her und fordert den Namen des Hauptsuchservers der gewünschten LAN-Gruppe an.

2. Der lokale Hauptsuchserver gibt den Namen des Hauptsuchservers zurück, der dieLAN-Gruppe ankündigte.

3. Der Suchclient löst den NetBIOS-Namen des Hauptsuchservers auf, der die LAN-Gruppeankündigte (MasterBrowseServerName[20]). Dann stellt er eine Verbindung zum Hauptsuchserver her und fordert eine Liste der Server in der LAN-Gruppe an.

4. Der Hauptsuchserver gibt dem Suchclient eine Liste zurück, in der die Server derLAN-Gruppe aufgeführt sind.


Abbildung C-6: Bearbeiten von WINS-fähigen Clientanforderungen bei einer negativenAntwort des WINS-ServersAbbildung vergrößern

Bearbeiten von Remotedomänenanforderungen nicht WINS-fähiger SuchclientsBei Suchclients, die nicht WINS-fähig sind, wird eine Liste mit den Servern einer Remotedomänefolgendermaßen abgerufen:

1. Der Suchclient sendet ein Broadcastpaket an den NetBIOS-Namen Domain[1D] und fordert so vom lokalen Hauptsuchserver die Liste der Sicherungssuchserver an. Der Suchclient sendet außerdem ein Broadcast mit einer NetBIOS-Namensabfrage nach demNetBIOS-Namen Domain[1B]. Da der Suchclient versucht, eine Liste mit Servern abzurufen, die sich in einer Remotedomäne befinden, wird diese Broadcastabfrage nichtbeantwortet.

2. Der Suchclient stellt eine Verbindung zum lokalen Hauptsuchserver her und fordert den Namen des Hauptsuchservers der gewünschten Domäne an.

3. Der lokale Hauptsuchserver gibt den Namen des Hauptsuchservers zurück, der die Domäneankündigte.

4. Der Suchclient löst den NetBIOS-Namen des Hauptsuchservers auf, der die LAN-Gruppeankündigte (MasterBrowseServerName[20]). Dann stellt er eine Verbindung zum Hauptsuchserver her und fordert eine Liste der Server in der LAN-Gruppe an.

5. Der Hauptsuchserver gibt dem Suchclient eine Liste zurück, in der die Server derLAN-Gruppe aufgeführt sind.


Abbildung C-7: Bearbeiten einer Anforderung einer Remotedomäne durch einenSuchclient, der nicht WINS-fähig istAbbildung vergrößern

Dieser Prozess ist auf Domänen und Arbeitsgruppen anwendbar.

Ob er erfolgreich ist, hängt von den folgenden Faktoren ab:

• Der lokale Hauptsuchserver hat den Namen des Hauptsuchservers verfügbar, der dieLAN-Gruppe in seiner Suchliste ankündigte. Diese Informationen sind nur verfügbar, wennLAN-Gruppen per Domänenankündigungspaket oder Arbeitsgruppenankündigungspaketgesammelt wurden bzw. wenn Domänennamen per WINS-Abfrage nach allen Namen mit derEndung 0x1B gesammelt wurden.

• Der Suchclient kann den NetBIOS-Namen des Hauptsuchservers (MasterBrowseServerName[20]) der Remote-LAN-Gruppe auflösen. Wenn ein Suchclient nichtWINS-fähig ist, müssen der Lmhosts-Datei Einträge hinzugefügt werden, die auf dieHauptsuchserver von Remote-LAN-Gruppen verweisen.

Wenn die Domänen-Hauptsuchserver unterschiedlicher Domänen nicht WINS-fähig sind und dieDomänen nicht auf ein gemeinsames Subnetz verteilt sind, isolieren sich die Domänen, tauchenalso nie in den Suchlisten der anderen Domänen auf. Isolierte Domänen können namensspezifischmit dem Befehl net view /d:domain gesucht werden. Dieser Befehl ist jedoch nur dann erfolgreich, wenn der Suchclient den NetBIOS-Namen Domain[1B] auflösen kann. Bei Suchclients,die nicht WINS-fähig sind, können Sie der Lmhosts-Datei einen Eintrag hinzufügen. Dieserverweist mit der IPv4-Adresse des Domänen-Hauptsuchservers für diese Domäne auf denNetBIOS-Namen Domain[1B].

Arbeitsgruppe ist auf zwei Seiten eines IPv4-Routers verteiltWenn eine Arbeitsgruppe auf zwei Seiten eines IPv4-Routers verteilt ist, sind die beiden Zweige separate Arbeitsgruppen. Bei Arbeitsgruppen gibt es keinen Mechanismus, der die Liste der Server, die vom Hauptsuchserver auf dem einen Subnetz gesammelt wurden, an den Hauptsuchserver auf dem anderen Subnetz überträgt. Hauptsuchserver für Arbeitsgruppenregistrieren in WINS keinen speziellen NetBIOS-Namen, der von Hauptsuchservern/Suchclients von Arbeitsgruppen genutzt werden könnte. Es gibt keine speziellen Lmhosts-Einträge, die dafürsorgen, dass Suchlisteninformationen von Unicastarbeitsgruppen zwischen Hauptsuchservern weitergeleitet werden.

In Abbildung C-8 ist beispielhaft eine Arbeitsgruppe dargestellt, die auf zwei Seiten eines IPv4-Routers verteilt ist.

Abbildung C-8: Arbeitsgruppe ist auf zwei Seiten eines IPv4-Routers verteiltAbbildungvergrößern

Es gibt zwei Möglichkeiten, alle Server der beiden Arbeitsgruppenhälften links und rechts vomRouter für Suchclients sichtbar zu machen. Zum einen kann die Weiterleitung vonNetBIOS-über-TCP/IP-Broadcasts aktiviert werden und zum anderen kann die Arbeitsgruppe zueiner Domäne aufgewertet werden. Von ersterer Lösung wird jedoch stark abgeraten.

Mehrere Arbeitsgruppen durch IPv4-Router getrenntHauptsuchserver von Arbeitsgruppen können sich selbst nicht über die Grenzen ihres Subnetzesankündigen. Domänen dagegen können sich mit dem speziellen Domain[1B] NetBIOS-Namen (vom Domänen-Hauptsuchserver mit WINS registriert) über die Grenzen ihres Subnetzes selbstankündigen. Für Arbeitsgruppen existiert kein entsprechender Mechanismus. Die Kombination vonVerteilung und Ankündigungsverhalten von Domänen einerseits und das Fehlen entsprechenderMechanismen in Arbeitsgruppen andererseits kann zu Verwirrung führen.

Abbildung C-9 zeigt eine Beispielkonfiguration.

Abbildung C-9: Mehrere Arbeitsgruppen durch einen IPv4-Router getrenntAbbildungvergrößern

CORP ist eine Domäne, die auf die Subnetze 1 und 2 verteilt ist. R&D_WG befindet sich aufSubnetz 1 und MKTG_WG auf Subnetz 2. Wegen der Sammlungs- und Verteilungsvorgängezwischen MB1 (Hauptsuchserver für CORP auf Subnetz 1) und DC1 (Domänen-Hauptsuchserverfür CORP auf Subnetz 2) setzt sich die Suchliste, anhand derer Suchclients die CORP-Domäne

absuchen, folgendermaßen zusammen:

• Die CORP-Domäne und alle Server in der CORP-Domäne (der Einfachheit halber sind nur MB1und DC1 abgebildet)

• Die Arbeitsgruppe R&D_WG und ihr Hauptsuchserver (RD1)

• Die Arbeitsgruppe MKTG_WG und ihr Hauptsuchserver (MK1)

Für Suchclients in der Arbeitsgruppe R&D_WG sind in der Suchliste nur folgende Elementesichtbar:

• Die Arbeitsgruppe R&D_WG und alle Server in der Arbeitsgruppe R&D_WG (der Einfachheit halber ist nur der Hauptsuchserver RD1 abgebildet)

• Die CORP-Domäne

Die Arbeitsgruppe MKTG_WG erscheint weder zum aktuellen Zeitpunkt noch später in derSuchliste für R&D_WG. Das hat folgende Gründe:

• Arbeitsgruppenankündigungspakete für die Arbeitsgruppe MKTG_WG werden nicht über denIPv4-Router hinweg weitergeleitet.

• Für die Arbeitsgruppe MKTG_WG existieren keine speziellen NetBIOS-Namen, die über WINSvom Hauptsuchserver der Arbeitsgruppe R&D_WG abgefragt werden könnten.

• Für den Hauptsuchserver der CORP-Domäne (MB1) auf Subnetz 1 existieren keineMechanismen, die ermöglichen würden, dass seine Informationen über die ArbeitsgruppeMKTG_WG an den Hauptsuchserver der Arbeitsgruppe R&D_WG weitergeleitet werden.

• Wenn ein Suchclient aus einer der Arbeitsgruppen R&D_WG oder MKTG_WG im Fenster Microsoft Windows-Netzwerk die CORP-Domäne öffnet, erhält er nur von MB1 eine Liste derServer in der CORP-Domäne. MB1 sendet dem Suchclient keine Liste anderer LAN-Gruppen,die MB1 bekannt sind.

Diese Konstellation führt zu dem Problem der isolierten Arbeitsgruppen. Das bedeutet, dass dieExistenz einer Arbeitsgruppe nur innerhalb ihres Subnetzes und in Domänen bekannt ist, die ihrSubnetz beinhalten.(Die Arbeitsgruppe ist also nur in den Suchlisten von Arbeitsgruppen sichtbar, die sich auf demselben Subnetz befinden und in Suchlisten von Domänen, die das Subnetz dergesuchten Arbeitsgruppe beinhalten). Für LAN-Gruppen auf anderen Subnetzen ist die isolierteArbeitsgruppe nicht in den Suchlisten sichtbar. Das Problem der isolierten Arbeitsgruppen lässtsich nur dadurch lösen, dass NetBIOS-über-TCP/IP-Broadcasts weitergeleitet werden (nichtempfehlenswert) oder dass die Arbeitsgruppen zu Domänen aufgewertet werden.

Für große Unternehmen, die mithilfe von Domänen sowohl die logische Gruppierung vonComputern als auch die Sicherheits- und Konteninfrastruktur für Authentifizierung undZugangssteuerung sicherstellen, sind isolierte Arbeitsgruppen in Subnetzen, die durch Router verbunden sind, in der Regel kein Problem.




Documents

TCP/IP Grundlagen für Microsoft Windows - board.protecus.de TCP/IP-Grundlagen für Microsoft Windows Übersicht Veröffentlicht: 02. Nov 2004 Dieses Online-Buch ist eine strukturierte