MCSE Windows 2000
Network Infrastructure
Dave Bixler
MCSE
Windows 2000 Network Infrastructure
Übersetzung: blue tec GbR
Markt+Technik Verlag
Die Deutsche Bibliothek – CIP-Einheitsaufnahme Ein Titeldatensatz für diese Publikation ist bei Der Deutschen Bibliothek erhältlich.
Die Informationen in diesem Buch werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Autorisierte Übersetzung der amerikanischen Originalausgabe: MCSE Windows® 2000 Network Infrastructure ©2000 by New Riders Publishing Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigem PE-Material.
10 9 8 7 6 5 4 3 2 1
04 03 02 01
© 2001 by Markt+Technik Verlag, ein Imprint der Pearson Education Deutschland GmbH, Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Übersetzung: blue tec GbR Fachlektorat: Andreas Stammhammer Lektorat: Melanie Kasberger,
[email protected] Herstellung: Anja Zygalakis,
[email protected] Satz: reemers publishing services gmbh, Krefeld Druck und Verarbeitung: Bercker Graphischer Betrieb, Kevelaer Printed in Germany
Inhaltsverzeichnis
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Teil I 1
Prüfungsstoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . 27 1.1
1.2
2
25
Einführung in das Domain Name System (DNS) . . . . . . . . . . . . . . . 1.1.1 Geschichte des DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.2 DNS: Installation, Konfiguration und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.3 Installieren des DNS Server Service . . . . . . . . . . . . . . . . . 1.1.4 Konfiguration eines Root-Name-Servers . . . . . . . . . . . . . 1.1.5 Zonen konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.6 Konfiguration eines Caching-Only-Servers . . . . . . . . . . . 1.1.7 Konfiguration eines DNS-Client-Computers . . . . . . . . . . 1.1.8 Konfigurieren von Zonen für dynamische Aktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.9 Testen des DNS-Dienstes . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.10 Implementieren einer delegierten Zone für DNS . . . . . . . 1.1.11 Manuelles Erstellen eines DNS-Quellenverzeichnisses . . DNS verwalten und überwachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Serveralterung/Eigenschaften für Aufräumvorgang . . . . . 1.2.2 Ressourceneinträge für veralteten Aufräumvorgang manuell erstellen . . . . . . . . . . . . . . . . . . 1.2.3 Eigenschaften einstellen . . . . . . . . . . . . . . . . . . . . . . . . . .
29 29 42 44 48 49 63 66 71 74 80 82 84 85 86 86
DHCP: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . 115 2.1
2.2
Was ist das Dynamic Host Configuration Protocol? . . . . . . . . . . . . 2.1.1 Das DHCP-Protokoll. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Das BOOTP-Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . Installieren, Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . 2.2.1 Installieren des DHCP-Server-Dienstes . . . . . . . . . . . . . 2.2.2 Was sind DHCP-Bereiche? . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 Was sind DHCP-Bereichsgruppierungen? . . . . . . . . . . . 2.2.4 Was sind Multicasting und Multicast-Bereiche? . . . . . . 2.2.5 Erstellen eines Bereiches auf Ihrem DHCP-Server. . . . . 2.2.6 Autorisierung eines DHCP-Servers in Active Directory
116 118 119 120 120 127 127 128 130 141
6
Inhaltsverzeichnis
2.3
3
143 146 148 152
RAS: Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 3.1
3.2 3.3
4
2.2.7 Erstellen einer Bereichsgruppierung. . . . . . . . . . . . . . . . 2.2.8 Erstellen einer Multicast-Bereichsgruppierung . . . . . . . 2.2.9 Konfigurieren von DHCP für die Integration in DNS . . Verwalten und Überwachen von DHCP . . . . . . . . . . . . . . . . . . . . .
RAS: Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . 3.1.1 RAS-Protokolle verstehen . . . . . . . . . . . . . . . . . . . . . . . 3.1.2 Eingehende Verbindungen konfigurieren . . . . . . . . . . . . 3.1.3 RAS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.4 Konfigurieren eines RAS-Profils . . . . . . . . . . . . . . . . . . 3.1.5 Ein Virtuelles Privates Netzwerk konfigurieren (VPN) . 3.1.6 Konfigurieren von Multilink-Verbindungen . . . . . . . . . 3.1.7 Konfigurieren von Routing und RAS für DHCP-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Überwachen von RAS . . . . . . . . . . . . . . . . . . . . . . Konfigurieren von Sicherheit für RAS . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Authentifizierungsprokolle konfigurieren . . . . . . . . . . . 3.3.2 Verschlüsselungsprotokolle konfigurieren . . . . . . . . . . .
187 189 190 197 202 209 213 213 215 220 221 224
Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . 245 4.1 4.2
4.3 4.4
4.5
4.6
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.2 Installieren von TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.3 Konfigurieren von TCP/IP . . . . . . . . . . . . . . . . . . . . . . . 4.2.4 Installieren des NWLink-Protokolls . . . . . . . . . . . . . . . . 4.2.5 Konfigurieren von NWLink . . . . . . . . . . . . . . . . . . . . . . 4.2.6 Konfigurieren von Netzwerkbindungen . . . . . . . . . . . . . Arbeiten mit TCP/IP-Paketfiltern . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkprotokollsicherheit: Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Netzwerkdatensicherheit. . . . . . . . . . . . . . . . . . . . . . . . . 4.4.2 Sicherheits-Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.3 Kerberos-V5-Authentifizierung . . . . . . . . . . . . . . . . . . . 4.4.4 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Überwachen des Netzwerkverkehrs . . . . . . . . . . . . 4.5.1 Was ist Netzwerkverkehr und Netzwerküberwachung? . 4.5.2 Installieren des Netzwerkmonitors . . . . . . . . . . . . . . . . . 4.5.3 Installieren des Treibers der Netzwerküberwachung . . . 4.5.4 Verwenden des Netzwerkmonitors zur Datenerfassung . 4.5.5 Interpretieren der erfassten Daten. . . . . . . . . . . . . . . . . . IPSec: Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . . . . . 4.6.1 Architektur und Komponenten von IPSec . . . . . . . . . . .
247 248 248 257 258 263 264 266 268 273 273 274 275 276 277 278 279 281 282 284 285 288
Inhaltsverzeichnis
4.7 4.8
5
WINS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . 329 5.1
5.2 5.3 5.4
6
WINS: Installieren, Konfigurieren und Fehlerbeseitigung . . . . . . . 5.1.1 Einführung in WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.2 WINS installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.3 WINS konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.4 Konfigurieren der WINS-Replikation . . . . . . . . . . . . . . . Fehler beseitigen bei WINS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Konfigurieren der NetBIOS-Namensauflösung . . . . . . . . . . . . . . . Verwalten und Überwachen von WINS . . . . . . . . . . . . . . . . . . . . .
331 331 334 339 345 351 353 357
IP-Routing: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . 381 6.1
6.2
6.3
7
4.6.2 Zulassen von IPSec durch eine Richtlinie. . . . . . . . . . . . 292 IPSec an die Client-Anforderung anpassen . . . . . . . . . . . . . . . . . . . 299 IPSec verwalten und überwachen . . . . . . . . . . . . . . . . . . . . . . . . . . 309
IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Einführung in das IP-Routing . . . . . . . . . . . . . . . . . . . . . 6.1.2 Host-Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.3 Router-Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.4 Der Routing-Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.5 Die Routing-Technologie . . . . . . . . . . . . . . . . . . . . . . . . 6.1.6 Routing-Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einstellen der verwendeten Routingprotokolle . . . . . . . . . . . . . . . . 6.2.1 Arbeiten mit RIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2 RIP Routing Metrik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.3 OSPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.4 Wählen bei Bedarf, (Demand-Dial)-Routing . . . . . . . . . 6.2.5 Demand-Dial-Verbindungsarten . . . . . . . . . . . . . . . . . . . 6.2.6 Demand-Dial-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . Verwalten und Überwachen von IP-Routing. . . . . . . . . . . . . . . . . . 6.3.1 Verwenden des ROUTE-Befehls für das Konfigurieren statischer Routen . . . . . . . . . . . . . . . . . . . 6.3.2 Verwenden des Netzwerkmonitors . . . . . . . . . . . . . . . . . 6.3.3 Verwalten und Überwachen von IP-Routingprotokollen
382 383 383 385 390 394 398 401 401 407 408 424 431 433 436 437 439 440
Netzwerkadressübersetzung (NAT): Installieren, Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . 463 7.1 7.2 7.3 7.4
Installieren der gemeinsamen Nutzung der Internetverbindung . . . NAT installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAT-Eigenschaften konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . Konfiguration der NAT-Schnittstellen . . . . . . . . . . . . . . . . . . . . . .
464 471 474 478
7
8
Inhaltsverzeichnis 8
Zertifikatsdienste: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . 495 8.1
Einführung/Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1.1 PKI – Public Key Infrastructure . . . . . . . . . . . . . . . . . . . 8.1.2 Vorbereitungen für das Installieren einer CA treffen . . . 8.1.3 Erneuern des Zertifikats . . . . . . . . . . . . . . . . . . . . . . . . . Installieren der CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.1 Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens . . . . . . . . . . . 8.2.2 Installieren und Konfigurieren einer eigenständigen Stammzertifizierungsstelle . . . . . . . . . . . . . . . . . . . . . . . 8.2.3 Aktualisieren des Zertifikatsservers 1.0 . . . . . . . . . . . . . 8.2.4 Erneuern der Zertifikate für CAs . . . . . . . . . . . . . . . . . . Ausstellen und Sperren von Zertifikaten. . . . . . . . . . . . . . . . . . . . . 8.3.1 Verwenden des Zertifikat-Snap-Ins . . . . . . . . . . . . . . . . 8.3.2 Verwenden der Windows-2000Zertifikatsdienste-Webseite . . . . . . . . . . . . . . . . . . . . . . 8.3.3 Bearbeiten der Anforderungen . . . . . . . . . . . . . . . . . . . . 8.3.4 Überprüfen von noch ausstehenden Anforderungen . . . 8.3.5 Anwenderkonten Zertifikate zuordnen . . . . . . . . . . . . . . 8.3.6 Ansicht eines ausgestellten Zertifikats . . . . . . . . . . . . . . 8.3.7 Sperren ausgestellter Zertifikate . . . . . . . . . . . . . . . . . . . Verwenden der EFS-Schlüsselwiederherstellung . . . . . . . . . . . . . . 8.4.1 Exportieren der EFS-Schlüssel . . . . . . . . . . . . . . . . . . . . 8.4.2 Wiederherstellen der EFS-Schlüssel. . . . . . . . . . . . . . . .
519 519 519 521 523 524 526 527 530
Teil II Wiederholungsteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
555
8.2
8.3
8.4
9
496 497 501 503 504 506 511 511 514 516 516
Gesamtzusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557 9.1 9.2 9.3 9.4
9.5 9.6 9.7 9.8
DNS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RAS: Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . .
557 564 569 573
WINS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .575 IP-Routing: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbehebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .578 Netzadressübersetzung (NAT): Installieren, Konfigurieren und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .584 Zertifikatsdienste: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung . . . . . . . . . . . . . . . . . . . . . . . . .586
Inhaltsverzeichnis 10
Tipps zur Prüfungsvorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . 593 10.1 10.2
10.3
10.4
11
Lernstile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Studienhinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.1 Lernstrategien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.2.2 Trockentraining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tipps zur Prüfungsvorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.1 Die MCP-Prüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.2 Prüfungsformat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.3 Fragetypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schlussbemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
593 594 594 595 596 596 597 601 609 612
Musterprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615 Antworten zu den Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . 637
Teil III Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
645
A
Überblick über die Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . 647
B
Die Prüfungssoftware auf der CD-ROM . . . . . . . . . . . . . . . . . 663 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679
9
Einleitung
E
Der MCSE Training Guide Windows 2000 Network Infrastructure ist für fortgeschrittene Endbenutzer, Netzwerkingenieure und Systemadministratoren konzipiert, die die Prüfung 70-216 ablegen möchten, um das Microsoft Windows Zertifikat zu bekommen. Das Bestehen der Prüfung » Implementing and Administering a Microsoft Windows 2000 Netzwork Infrastructure« berechtigt Sie zum Tragen der Bezeichnung Microsoft Certified Professional (MCP) und zählt als Hauptschritt zur Erlangung des Microsoft Certified Systems Engineer (MCSE) Zertifikats. Diese Prüfung testet Ihre Fähigkeiten bei der Installation, der Verwaltung, der Überwachung, der Konfiguration und der Fehlerbeseitigung von Domain Name Service (DNS), Dynamic Host Configuration Protocol (DHCP), Fernzugriff, Netzwerkprotokollen, IP Routing und Windows Internet Naming Service (WINS) in einer Windows-2000Netzwerkstruktur. Zusätzlich prüft der Test die erforderlichen Fähigkeiten zur Verwaltung, Überwachung und zur Fehlerbeseitigung von Netzwerkadressübersetzung (NAT) und Zertifikatsdiensten (CS).
Wer dieses Buch lesen sollte Dieses Buch soll Ihnen bei der Vorbereitung zur Prüfung »Implementing and Administering a Microsoft Windows 2000 Network Infrastructure (70-216)« helfen. In einem Windows-2000-Netzwerk ist die Möglichkeit, verschiedene Netzwerkkomponenten und Dienste zu installieren, zu unterstützen und auf Fehler zu untersuchen für eine gute, effektive Administratorenarbeit essentiell. Windows 2000 beinhaltet Dienste wie DHCP und DNS und erfordert ihre richtige Konfiguration, damit eine korrekte Funktionsfähigkeit gewährleistet werden kann. Diese Prüfung behandelt alle Hauptkomponenten eines Netzwerks, die zur erfolgreichen Implementierung von Windows 2000 nötig sind. Obwohl es viele Informationen zur Geschichte, Theorie und zu grundlegenden Anwendungen gibt, behandelt dieses Buch diesen Teil der Dienste nicht im Detail. Ziel dieses Buches ist es, Sie mit der Windows-2000Implementierung dieser Netzwerk-Dienste bekannt zu machen und Sie auf diese Prüfung vorzubereiten.
12
Einleitung
Da es eine Menge Informationen zu diesem Thema gibt, die dieses Buch aber nicht alle behandeln kann, enthält jedes Kapitel einen Abschnitt mit dem Titel »Weiterführende Literaturhinweise und Quellen«, die Ihnen alle Informationen liefern, um Ihre Wissenslücken zu füllen. Auch wenn Sie kein Experte im virtuellen privaten Netzwerk (VPN) nach dem Durcharbeiten dieses Buches sein werden, werden Sie dennoch wissen, wie Sie den VPN Service von Windows 2000 konfigurieren. Sie wissen schließlich auch, wie Sie überprüfen können, ob IP Security (IPSec) funktioniert. Sie werden auch Buchempfehlungen zur Weiterbildung erhalten, wenn Sie genau verstehen wollen, wie ein Authentification Header (AH) aussieht (Kapitel 3 behandelt IPSec). Eine der am häufigsten gestellten Fragen zu jeder der Microsoft-Zertifizierungsprüfungen ist: »Muß ich einen Unterricht besuchen, um diesen Test zu bestehen?« Obwohl die Informationen, die Sie benötigen, um die Prüfung zu bestehen, in diesem Buch enthalten sind, und Microsoft es als Studienmaterial anerkannt hat, ist eine der Schwierigkeiten jedes Buches, die Erfahrung mit einem Produkt theoretisch zu vermitteln. Wenn es Ihnen aber gelingt, die Übungen in diesem Buch konzentriert durchzuarbeiten, dann sind Sie gut auf die Prüfung vorbereitet. Sie werden sie erfolgreich bestehen, wenn Sie die Möglichkeit haben, mit Windows 2000 in einem Produktionsbetrieb zu arbeiten. Sie müssen nicht zusätzlich zu diesem Buch noch Unterricht nehmen. Dennoch werden Sie vielleicht, je nach Studiengewohnheiten oder Lernart, von einem zusätzlichen Unterricht profitieren. Microsoft setzt voraus, dass der typische Prüfungsteilnehmer mindestens 1 Jahr Erfahrung hat, was die Implementierung und Verwaltung von Netzwerksystemen mit mittleren bis sehr großen Umgebungen betrifft.
Wie dieses Buch Ihnen hilft Dieses Buch führt Sie durch alle Bereiche, die in der Prüfung gefragt sind. Es erklärt Ihnen die spezifischen Punkte, die Sie beherrschen müssen, um die MCSE-Zertifizierung zu erhalten. Sie werden auch hilfreiche Hinweise, Tipps, realitätsnahe Beispiele und Übungen sowie Referenzen zu zusätzlichem Studienmaterial finden. Dieses Buch soll Ihnen ganz besonders in folgenden Bereichen helfen: 씰
Organisation: Der vorliegende Band ist durch individuelle Prüfungsziele organisiert. Jedes Ziel, das Sie für die Prüfung von Microsoft zur Implementierung und Verwaltung der Windows-2000-Infrastruktur kennen müssen, wird darin behandelt. Wir haben versucht, die Lernziele in der Reihenfolge zu präsentieren, die Microsoft vorschlägt. Dennoch haben wir nicht gezögert, diese Reihenfolge umzustellen, um das Material für Sie so leicht lernbar wie möglich zu präsentieren. Wir haben auch versucht, die Informationen auf folgende Weise zugänglich zu gestalten:
Wie dieses Buch Ihnen hilft
씰
씰
Die vollständige Liste der Prüfungsthemen ist in dieser Einleitung enthalten.
씰
Jedes Kapitel beginnt mit einer Liste der behandelten Lernziele.
씰
Die Lernziele werden an der Stelle wiederholt, an der sie ausführlich behandelt werden.
Lernhilfen: Dieses Buch wurde gezielt dahingehend konzipiert, Ihnen auf verschiedene Weise die Möglichkeit zu bieten, das Material zu lernen und zu wiederholen. Dies sind einige der Methoden: 씰
Erklärung der Lernziele: Wie bereits vorher erwähnt, beginnt jedes Kapitel mit einer Liste der Themen, die behandelt werden. Es folgt eine Erklärung in einem Kontext, der das Lernziel noch einmal verdeutlicht.
씰
Tipps für das Selbststudium: Der Anfang eines Kapitels enthält auch Strategien zum Studium und zum effektiven Lernen des Materials (besonders im Hinblick auf die Prüfung).
씰
Prüfungstipps: Prüfungstipps erscheinen im Kästen, um spezifische Hinweise zum Test zu geben. Solche Tipps können beinhalten, welches Material behandelt wird (oder welches nicht) und wie es in der Prüfung auftaucht, außerdem Gedächtnisstützen oder besondere Eigenarten der Prüfung.
씰
Zusammenfassungen: Wichtige Informationen werden mit Hilfe von Tabellen und Listen zusammengefasst. Auch endet jedes Kapitel mit einer Zusammenfassung.
씰
Schlüsselbegriffe: Am Ende jedes Kapitels werden die Schlüsselbegriffe noch einmal zusammengefasst.
씰
Hinweise: Sie erscheinen in Kästen und enthalten verschiedene wichtige Informationen wie Tipps zu technischen oder verwaltungstechnischen Praktiken, historische Hintergründe zu Begriffen und Techniken oder Anmerkungen zu Industriethemen.
씰
Warnungen: Wenn Sie eine hochentwickelte Informationstechnologie benutzen, können sich Fehler einschleichen, die aufgrund unsauberer Anwendungen der Technologie entstehen. Warnungen sollen Sie auf potenzielle Problem aufmwerksam machen.
씰
Praxistipps: Diese weiter ausholenden Besprechungen behandeln Material, das nicht unbedingt mit der Prüfung etwas zu tun hat, aber als Referenzmaterial oder auch für den täglichen Gebrauch hilfreich sein kann.
13
14
Einleitung
Praxistipps können auch hilfreiche Hintergrundinformationen oder Kontexte liefern, die zum Verständnis des besprochenen Hauptthemas vonnöten sind.
씰
씰
씰
Fallstudien: Jedes Kapitel schließt mit einer Fallstudie ab. Diese Fälle sollen Ihnen helfen, die praktischen Anwendungen der im Kapitel behandelten Information zu verstehen.
씰
Übungen: Sie stehen am Ende des Kapitels im Abschnitt »Lernzielkontrolle« und bieten Ihnen Möglichkeiten, Ihr Wissen zu überprüfen und anzuwenden.
Ausführliche Testmöglichkeiten: Das Buch bietet viele Möglichkeiten zur Überprüfung Ihres Wissens und zur Prüfungsvorbereitung. Die Testmöglichkeiten sind folgende: 씰
Wiederholungsfragen: Diese Fragen mit offenem Ende erscheinen im Abschnitt »Lernzielkontrolle« am Ende jedes Kapitels. Sie können damit Ihr Verständnis des bereits Gelesenen überprüfen. Antworten zu den Fragen werden später im Abschnitt gegeben.
씰
Prüfungsfragen: Diese Fragen sind auch im Abschnitt »Lernzielkontrolle« enthalten. Sie geben die Art von Multiple-Choice-Fragen wieder, die auch in den Microsoft Prüfungen vorkommen. Üben Sie damit für die Prüfung und stellen Sie fest, was Sie wissen, und was Sie wiederholen müssen oder noch einmal lernen müssen.
씰
ExamGear: Auf der Buch-CD finden Sie weitere Möglichkeiten zum üben in Form einer interaktiven Testsimulation.
Wiederholungsteil mit zusätzlichen Hilfen zur Vorbereitung auf die Prüfung: 씰
Gesamtzusammenfassung: Diese zusammengefasste Version des Buchinhaltes ist zur Wiederholung in letzter Minute sehr hilfreich.
씰
Tipps zur Prüfungsvorbereitung: Lesen Sie diesen Abschnitt rechtzeitig zur Entwicklung Ihrer Studienstrategien. Er liefert auch hilfreiche Tipps für den Prüfungstag und Informationen zu adaptiven Tests.
씰
Musterprüfung: Sie finden in diesem Buch auch einen Praxistest mit Fragen im Stil der echten Prüfung.
Am Ende jedes Kapitels finden Sie einen Abschnitt mit dem Titel »Hinweise zu weiterführender Literatur und Quellen«, der Sie zu weiteren Informationen führt, die Ihnen bei der Prüfungsvorbereitung oder bei Ihrer täglichen Arbeit helfen kön-
Was die Prüfung »Implementing and Administering a Microsoft Windows 2000
nen. Der Anhang enthält einen Überblick über das Microsoft-Zertifizierungsprogramm (Anhang A) sowie einen Überblick über die ExamGear-Software (Anhang B). Für weitere Informationen über den Zertifizierungsprozess oder die Prüfung, wenden Sie sich an Microsoft: Microsoft Education: 800-636-7544 Internet: ftp://ftp.microsoft.com/Services/MSEdCert World Wide Web: http://microsoft.com/train_cert CompuServe Forum: GO MSEDCERT
Was die Prüfung »Implementing and Administering a Microsoft Windows 2000 Network Infrastructure (70-216)« behandelt Die Prüfung »Implementing and Administering a Microsoft Windows 2000 Network Infrastructure (70-216)« deckt die netzwerkspezifischen Themen (für Windows 2000) ab, die durch die begriffliche Gruppierung oder Einheiten der Prüfungsziele repräsentiert werden, als da sind: 씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung von DNS in einer Windows-2000-Netzwerkumgebung.
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung eines DHCP in einer Windows-2000-Netzwerkumgebung.
씰
Konfigurieren, Verwalten und Fehlerbeseitigung eines RAS in einer Windows-2000-Netzwerkumgebung.
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung von Netzwerkprotokollen in einer Windows-2000-Netzwerkumgebung.
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung von WINS in einer Windows-2000-Netzwerkumgebung.
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung von IP-Routing in einer Windows-2000-Netzwerkumgebung.
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung der Netzwerkadressübersetzung (NAT, Network Address Translation).
15
16
Einleitung
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigung von Zertifikatsdiensten.
Bevor Sie die Prüfung ablegen, sollten Sie in den folgenden Einheiten, Zielen und Unterzielen Kenntnisse besitzen:
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von DNS in einer Windows-2000-NetzwerkInfrastruktur Der DNS-Abschnitt soll sicherstellen, dass Sie die grundlegenden Konzepte der Installation, Konfiguration und Benutzung von DNS verstehen, sowie die Implementierung von Windows 2000 DNS. Das hier benötigte Wissen erfordert auch das Verständnis von generellen Netzwerkkonzepten, wie Namensauflösung. Dies sind die Ziele: 씰
Installation, Konfiguration und Fehlerbeseitigen von DNS
씰
Installieren des DNS Dienstes
씰
Konfigurieren eines Root-Namenservers
씰
Konfigurieren von Zonen
씰
Konfigurieren eines Cache-Only-Servers
씰
Konfigurieren eines DNS-Clients
씰
Konfigurieren von Zonen für dynamische Aktualisierungen – Updates
씰
Testen des DNS-Dienstes
씰
Implementierung einer delegierten Zone für DNS
씰
Manuelle Erstellung von DNS-Einträgen
씰
Verwalten und Überwachen von DNS
씰
Installieren, Konfigurieren, Verwalten und Fehlerbeseitigen eines DHCP in einer Windows-2000-Netzwerkumgebung
Was die Prüfung »Implementing and Administering a Microsoft Windows 2000
Der DHCP-Abschnitt soll sicherstellen, dass Sie die grundlegenden Konzepte der Installation, Konfiguration und Benutzung von DHCP sowie die Implementierung von Windows 2000 DHCP verstehen. Das hier benötigte Wissen erfordert auch das Verständnis von generellen Netzwerkkonzepten wie dynamische Adresszuordnung und TCP/IP-Adressierung. Dies sind die Ziele: 씰
Installieren, Konfigurieren und Fehlerbeseitigen von DHCP
씰
Installieren des DHCP Server Service
씰
Erstellen und Verwalten der DHCP-Bereiche, Bereichsgruppierungen und gruppierter Netzwerke
씰
Konfiguration von DHCP zur DNS-Integration
씰
Autorisierung eines DHCP-Servers in einem Active Directory
씰
Verwalten und Überwachen von DHCP
Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von RAS in einer Windows-2000-Netzwerk-Infrastruktur Der Abschnitt über RAS soll sicherstellen, dass Sie verstehen, wie die verschiedenen Fernzugriff-Methoden, die in Windows 2000 enthalten sind, installiert, konfiguriert und unterstützt werden. Es sind nicht nur die traditionellen Einwähl-Fernzugriffe aus früheren Versionen des Betriebssystems enthalten, sondern auch einige der fortgeschritteneren Technologien, die in Windows 2000 enthalten sind. Dies sind die Ziele: 씰
Konfigurieren und Fehlerbeseitigung eines Remotezugriffs
씰
Konfigurieren von eingehenden Verbindungen
씰
Erstellen einer RAS-Richtlinie
씰
Konfigurieren eines RAS-Profils
씰
Konfigurieren eines virtuellen privaten Netzwerks (VPN)
씰
Konfigurieren einer Multilinkverbindung
씰
Konfigurieren von Routing und RAS für eine DHCP-Integration
씰
Verwalten und Überwachen von RAS
17
18
Einleitung
씰
Konfigurieren einer RAS-Sicherheit
씰
Konfigurieren von Authentifizierungs-Protokollen
씰
Konfigurieren von Verschlüsselungsprotokollen
씰
Erstellen einer RAS-Sicherheitsrichtlinie
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von Netzwerkprotokollen in einer Windows2000-Netzwerk-Infrastruktur Der Abschnitt über Netzwerkprotokolle soll sicherstellen, dass Sie die Netzwerkprotokolle verstehen, die in Netzwerken der Industrie vorkommen und Ihnen ausreichendes Wissen über Installation, Konfiguration und deren Fehlerbeseitigung vermitteln. Dies sind die Ziele: 씰
Installieren, Konfigurieren und Fehlerbeseitigung von Netzwerkprotokollen.
씰
Installieren und Konfigurieren von TCP/IP
씰
Installieren des NWLink-Protokolls
씰
Konfiguration neuer Netzwerkverbindungen
씰
Konfigurieren von TCP/IP-Paketfiltern
씰
Konfigurieren und Fehlerbeseitigung von Netzwerkprotokoll-Sicherheit
씰
Verwalten und Überwachen von Netzwerkverkehr
씰
Konfigurieren und Fehlerbeseitigung von IPSec
씰
Aktivieren von IPSec
씰
Konfiguration von IPSec-Transportmodus
씰
Konfiguration von IPSec-Tunnelmodus
씰
Anpassen von IPSec-Richtlinien und Regeln
씰
Verwalten und Überwachen von IPSec
Was die Prüfung »Implementing and Administering a Microsoft Windows 2000
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von WINS in einer Windows-2000-NetzwerkInfrastruktur Der Abschnitt über WINS soll sicherstellen, dass Sie das WINS verstehen. Obwohl es für ein reines Windows-2000-Netzwerk nicht notwendig ist, ist WINS entscheidend für die Unterstützung von älteren Clients und Anwendungen. Dies sind die Ziele: 씰
Installieren, Konfigurieren und Fehlerbeseitigen von WINS
씰
Konfiguration der WINS-Replikation
씰
Konfiguration der NetBIOS-Namensauflösung
씰
Verwalten und Überwachen von WINS
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von IP-Routing in einer Windows-2000Netzwerk-Infrastruktur Der Abschnitt über IP-Routing soll sicherstellen, dass Sie ein umfassendes Verständnis zu hochentwickelten TCP/IP-Routing-Funktionen, die in Windows 2000 enthalten sind, erlangen. Viele Umgebungen wandeln ihren Server so um, dass er auch die Funktion eines Routers erfüllt. Windows 2000 enthält außerdem Unterstützungsprogramme für einige gebräuchliche Routing-Protokolle. Dies sind die Ziele: 씰
Installieren, Konfigurieren und Fehlerbeseitigung von IP-Routing-Protokollen
씰
Eine auf Windows 2000 basierende Routing-Tabelle mithilfe von statischen Routen aktualisieren
씰
Implementierung von Demand-Dial(Wählen bei Bedarf)-Routing
씰
Verwalten und Überwachen von IP-Routing
씰
Verwalten und Überwachen von Border-Routing
씰
Verwalten und Überwachen von Internal-Routing
씰
Verwalten und Überwachen von IP-Routing-Protokollen
19
20
Einleitung
Installieren, Konfigurieren und Fehlerbeseitigung der Netzwerkadressübersetzung (NAT) Der Abschnitt über Network Address Translation (NAT) soll sicherstellen, dass Sie einen der gebräuchlichsten IP-Adresspeicherungsmechanismen verstehen. NAT wird häufig in Verbindung mit Internet-Verbindungen benutzt und bietet ein Sicherheitsmaß durch die Verschlüsselung der Quelladressen. Die Ziele sind folgende: 씰
Installation der gemeinsamen Nutzung von Internet-Verbindungen
씰
Installation von NAT
씰
Konfiguration der NAT-Eigenschaften
씰
Konfiguration der NAT-Schnittstellen
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung der Zertifikatsdienste Der Abschnitt über Zertifikatsdienste soll sicherstellen, dass Sie die Fähigkeiten und Grenzen der Windows-2000-Zertifikatsstelle verstehen. Die Ziele sind folgende: 씰
Installation und Konfiguration von Zertifikatsstellen (CA)
씰
Erstellung von Zertifikaten
씰
Ausgeben von Zertifikaten
씰
Annulieren von Zertifikaten
씰
Encrypting File System (EFS)
Benötigte Hardware und Software Der MCSE Training Guide: Windows 2000 Network Infrastructure soll Ihnen helfen, Konzepte zu verstehen. Ihre eigenen Erfahrungen tragen viel zum Beherrschen dieser Konzepte bei. Um das meiste aus Ihren Studien herauszuholen, sollten Sie so viel Hintergrundwissen und Erfahrung mit Windows 2000 haben wie möglich. Der beste Weg ist, das Studium mit der praktischen Arbeit an Netzwerken zu verbinden, und sich dabei bestimmter Produkte als Hilfsmittel zu bedienen, die auch in der Prüfung vorkommen können. Dieser Abschnitt gibt Ihnen eine Beschreibung der Mindestanforderungen der Computer, die Sie benötigen, um eine solide Praxiserfahrung sammeln zu können.
Benötigte Hardware und Software
Die Mindestanforderungen, die Ihr Computer erfüllen sollte, sollen sicherstellen, dass Sie den Prüfungsstoff nachvollziehen können. Sie sollten über eine oder mehrere Workstations, auf denen Windows 98, Windows NT Workstation oder Windows 2000 Professional läuft, und zwei oder mehrere Server, auf denen Windows 2000 Server läuft – die alle durch ein Netzwerk verbunden sind – verfügen. 씰
씰
Workstations: Windows 98, Windows NT oder Windows 2000 씰
Computer aus der Microsoft-Hardware-Kompatibilitätsliste (HCL)
씰
Pentium 120 MHz oder besser (Pentium 133 MHz für Windows 2000)
씰
32 MB RAM (64 MB für Windows 2000)
씰
750 MB Festplatte (2 GB Festplatte mit einem Minimum von 650 MB freiem Speicher für Windows 2000)
씰
3.5-inch 1.44 MB Diskettenlaufwerk
씰
VGA-Bildsteuersystem
씰
VGA-Monitor
씰
Maus oder ähnliches Zeigegerät
씰
CD-ROM-Laufwerk
씰
Netzwerkkarte (NIC)
씰
Existierender Hub oder Benutzung eines Hubs zur Erstellung eines TestNetzwerks
씰
Microsoft Windows 98, NT Workstation 4.0 oder Windows 2000
Server: Windows 2000 Server 씰
Zwei Computer aus der Microsoft-Hardware-Kompatibilitätsliste (HCL)
씰
Pentium 133 MHz oder besser
씰
128 MB RAM (unterste Grenze, die eine Unterstützung von Microsoft gewährleistet. 64 MB RAM würden in einer Testumgebung begrenzt funktionieren)
씰
1 GB freie Festplatte
씰
3.5-inch 1.44 MB Diskettenlaufwerk
21
22
Einleitung
씰
VGA-Bildsteuersystem
씰
VGA-Monitor
씰
Maus oder ähnliche Zeigegeräte
씰
CD-ROM-Laufwerk
씰
Netzwerkkarte (NIC)
씰
Existierender Hub oder Benutzung eines Hubs zur Erstellung eines Testnetzwerks
씰
Microsoft Windows 2000 Server
Es ist einfacher, Zugang zur nötigen Computer Hardware und Software in einer Geschäftsumgebung zu bekommen. Es kann dennoch schwierig sein, genug Zeit innerhalb des stressigen Arbeitstages zu finden, um ein Eigenstudium zu beenden. Die meiste Zeit Ihres Studiums wird nach den normalen Arbeitszeiten stattfinden, ohne die täglichen Unterbrechungen und Zwänge Ihres regulären Jobs.
Ratschläge für das Examen Ausführlichere Hinweise werden im Abschnitt »Wiederholungsteil« unter der Überschrift »Tipps zur Prüfungsvorbereitung« gegeben. Behalten Sie diese Ratschläge bei Ihrem Studium im Hinterkopf. 씰
Lesen Sie so viel wie möglich. Microsoft ist bekannt für das Erwähnen von gewissen Punkten, die aber nicht explizit als Lernziele genannt wurden. Dieses Buch enthält zusätzliche Informationen, die Ihnen die bestmögliche Vorbereitung für Ihre Prüfung geben sollen – und für zukünftige Netzwerkerfahrungen in der Praxis.
씰
Machen Sie die Schritt-für-Schritt Übungen und die Übungen in jedem Kapitel. Sie werden Ihnen helfen, Erfahrungen mit der spezifischen Methodologie zu machen und bringen Sie in Ihrem Studium ein Stück weiter. Alle Microsoft-Prüfungen basieren auf Aufgaben und Erfahrungen und erfordern Erfahrung in den Aufgaben, in denen Sie geprüft werden.
씰
Verwenden Sie die Fragen, um Ihr Wissen zu bewerten. Lesen Sie nicht einfach den Inhalt des Kapitels; verwenden Sie die Fragen und finden Sie heraus, was Sie wissen und was nicht. Wenn Sie sich mit vielen Dingen auseinander setzen, lernen Sie mehr, Sie wiederholen es und bewerten dann Ihr Wissen erneut.
Ratschläge für das Examen
씰
Wiederholen Sie die Prüfungsziele. Entwickeln Sie Ihre eigenen Fragen und Beispiele für jedes in der Liste aufgeführte Thema. Wenn Sie verschiedene Fragen zu jedem Thema entwickeln und beantworten können, dann sollte die Prüfung für Sie nicht mehr schwer sein.
Beachten Sie, dass das Hauptziel dieses Buches nicht die Prüfung ist; es soll sicherstellen, dass Sie den Stoff verstehen. Nach dem Verstehen des Materials sollte das Bestehen der Prüfung nicht mehr schwer sein. Wissen ist eine Pyramide. Um Sie zu bauen, benötigen Sie eine solide Grundbasis. Dieses Buch und die Microsoft-Certified-Professional-Programme sind konzipiert, um Ihnen diese solide Grundbasis zu vermitteln.
HINWEIS Prüfungshinweis Obwohl dieses Buch konzipiert wurde, um Sie auf die Prüfung »Implementing and Administering a Microsoft Windows 2000 Network Infrastructure (70-216)« vorzubereiten, gibt es keine Garantien zum Bestehen der Prüfung. Lesen Sie dieses Buch, arbeiten Sie die Fragen und Übungen durch, und wenn Sie sich sicher fühlen, machen Sie die Musterprüfung und zusätzliche Prüfungen mit der Software ExamGear. Die Ergebnisse sollte Ihnen zeigen, ob Sie für die echte Prüfung bereit sind. Bei der Zertifizierungsprüfung sollten Sie darauf achten, alle Fragen beantwortet zu haben, bevor die Zeit um ist. Verbringen Sie nicht zu viel Zeit mit einer Frage. Wenn Sie sich nicht sicher sind, antworten Sie so, wie Sie es für am wahrscheinlichsten halten. Streichen Sie diese zur Wiederholung an und überlegen Sie noch einmal, wenn Sie die restlichen Fragen beantwortet haben. Dieser Ratschlag gilt jedoch nicht für adaptive Prüfungen. In diesem Fall nehmen Sie sich für jede Frage die Zeit, die sie beansprucht. Man kann nicht mehr zu einer Frage zurückkehren. Lesen Sie jede Frage genau durch und auch alle Antworten, bevor Sie sich entscheiden. Die Fragen haben vielleicht eine nahe liegende Antwort, aber eine der anderen Antworten hat de facto vielleicht die bessere Lösung. Wenn Sie eine Antwort auswählen ohne die anderen gelesen zu haben, übersehen Sie die vielleicht bessere Antwort.
Viel Glück!
23
Prüfungsstoff Teil
1
1. DNS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung 2. DHCP: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung 3. RAS: Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung 4. Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung 5. WINS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung 6. IP-Routing: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung 7. Netzwerkadressübersetzung (NAT): Installieren, Konfigurieren und Fehlerbeseitigung 8. Zertifikatsdienste: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
DNS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
1
Lernziele Dieses Kapitel beschreibt Netzwerk-Infrastrukturen mit dem Domain Name System (DNS), dem Vorläufer vieler Namensauflösungen und Verzeichnis-Diensten, die Ihnen heute zur Verfügung stehen. Immer wenn Sie »im Netz surfen«, nutzen Sie die Vorteile von DNS. Dieses Kapitel behandelt die Themen »Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbeseitigung von DNS in einer Windows-2000-Netzwerk-Infrastruktur«, die für diese Prüfung relevant sind. DNS ist einer der wichtigsten Dienste in einer TCP/IP-umgebung, insbesondere bei solchen, die mit Active Directory Services arbeiten. Dieses Kapitel behandelt alle Aspekte des Betriebes eines DNS-Server-Dienstes in einem Windows-2000-Netzwerk. Microsoft legt die Ziele bei den Themen »Installation, Konfiguration, Verwaltung, Überwachung und Problemlösung von DNS in einer Windows-2000-NetzwerkInfrastruktur« wie folgt fest: DNS: Installation, Konfiguration und Fehlerbeseitigung 씰
Installieren Sie den DNS-Server-Dienst.
씰
Konfigurieren Sie einen Root-Name-Server.
씰
Konfigurieren Sie Zonen.
씰
Konfigurieren Sie einen Caching-Only Server.
씰
Konfigurieren Sie einen DNS-Client.
씰
Konfigurieren Sie Zonen für dynamische Aktualisierungen (Updates).
28
Kapitel 1
DNS
씰
Testen Sie den DNS-Server-Dienst.
씰
Implementieren Sie eine delegierte Zone für DNS.
씰
Erstellen Sie manuell DNS-Ressourceneinträge.
씰
Eine Ihrer ersten Aufgaben bei der Vorbereitung des Einsatzes einer Windows-2000-Produktions-Netzwerkumgebung ist es sicherzustellen, dass der DNS richtig installiert und konfiguriert ist. DNS ist die Basis, die auf dem Active Directory beruht, und Sie werden ein umfassendes Wissen sowohl über den Windows-2000-DNS-Server-Dienst als auch über die Funktionen von DNS selbst benötigen. Das bedeutet, dass Sie in der Lage sein müssen, DNS zu installieren, es für die Anwendung in einem Active-Directory-Services Netzwerk zu konfigurieren und es dann zu testen, um sicherzustellen, dass es richtig funktioniert.
DNS verwalten und überwachen 씰
Schließlich müssen Sie in der Lage sein, den DNS-Server nach der Installation, Konfiguration und Autorisierung zu warten. Die Fähigkeit zur Verwaltung von DNS-Server-Diensten und Überwachung der DNS-Serveraktivitäten ist ein wesentlicher Punkt bei der laufenden Verwaltung eines Windows-2000-Netzwerkes, insbesondere bei Netzwerken, die auf dem Active Directory aufbauen.
Tipps für das Selbststudium 씰
DNS liefert die Unterstruktur der Namensauflösung, auch Backbone genannt, für das moderne Internet. Mit Einführung des Active Directory stellt es nun auch das Backbone für die Namensauflösung von Microsoft. Es ist besonders wichtig, dass Sie verstehen, woher DNS kommt, wie es funktioniert und welche Verbesserungen Microsoft für Active Directory an DNS vorgenommen hat.
씰
Teil der Leistung des Microsoft DNS Service ist die Integration von DHCP (Dynamic Host Configuration Protocol) durch Dynamic DNS. Sie müssen den Zusammenhang zwischen den beiden kennen und wissen, wie Dynamic DNS funktioniert.
씰
Der Microsoft-Windows-2000-DNS-Dienst unterstützt eine Reihe von Zonenarten und DNS-Serverarten. Sie müssen wissen, welche Arten dies sind, wie sie funktionieren und wann Sie sie in einem Produktionsumfeld verwenden können.
1.1 Einführung in das Domain Name System (DNS)
씰
1.1
Da Microsoft Wert auf praktische Prüfungsfragen legt, sollten Sie den Absätzen Schritt für Schritt und den Übungen am Ende des Kapitels besondere Aufmerksamkeit widmen
Einführung in das Domain Name System (DNS)
Wenn Sie schon einmal eine Webseite mit Namen aufgerufen haben, dann haben Sie auch Domain Name System (DNS) benutzt. DNS ist ein Dienst, der im Internet verwendet wird, um vollqualifizierte Domänennamen (FQDN, fully qualified domain names) in ihre eigentlichen Internet-Protocol-Adressen (IP-Adressen) aufzulösen. Nehmen wir z.B. an, Sie hätten sich auf die letzte Windows-2000-Zertifizierungsprüfung vorbereitet und hätten Ihre Kollegen gefragt, welches der beste Studienführer ist. Ihre Kollegen hätten Ihnen empfohlen, auf der Webseite von New Riders (oder Markt und Technik) nachzusehen, welche Studienführer zur Verfügung stehen. Ihre nächste Frage würde natürlich lauten: »Wo finde ich die NewRiders-Webseite?« Vor der Einführung von DNS hätte die Antwort dann gelautet: 205.133.114.87. Wie die meisten anderen Menschen, werden Sie sich diese Zahl wohl aber nicht einmal 30 Sekunden lang merken können, und Sie würden die NewRiders-Webseite wahrscheinlich niemals finden (oder nie den Studienführer finden, den Sie suchen). Die Aufgabe von DNS ist es, der unverständlichen numerischen Adresse ein benutzerfreundliches Aussehen zu geben. Dank DNS kann Ihr Freund Ihnen also sagen, Sie sollten www.newriders.com aufrufen. Die DNS-Infrastruktur des Internets verwandelt diesen Namen in die korrekte Adresse, nämlich 205.133.113.87. Das Ganze funktioniert also wie ein riesiges Telefonbuch. Sie geben einen Namen ein, und DNS gibt Ihnen die richtige Nummer. Zum Glück für die unter uns, die sich lange Zahlenketten nur begrenzt merken können, erkannte die Internetgemeinde die Vorteile eines Systems zur Namensauflösung als entscheidenden Bestandteil der Infrastruktur, die die ursprüngliche Internet-Architektur bildet. So kam es zu DNS.
1.1.1
Geschichte des DNS
DNS ist eine hierarchische Datenbank, die Namen und Adressen für IP-Netzwerke und Hosts enthält und die beinahe universell zur Namensauflösung eingesetzt wird. Diese Aussage trifft nun umso mehr zu, da Microsoft DNS, statt Internet Naming System (WINS), als Namensauflösungsmethode für Windows 2000 übernommen hat. (Wir behandeln WINS und dessen Bezug zu Windows 2000 in Kapitel 5, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von WINS in einer Windows-2000-Netzwerk-Infrastruktur«.) Aber bevor wir mit dem Thema DNS in einem Windows-2000-Netzwerk beginnen, sollten wir zunächst einmal die Geschichte und den Aufbau von DNS allgemein betrachten.
29
30
Kapitel 1
DNS
PRÜFUNGSTIPP Sie müssen DNS mit HOST-Dateien vergleichen können. Sie müssen die Vorteile von DNS im Vergleich zur der Flatfile-Methode zur Namensauflösung, wie sie von den HOST-Dateien verwendet wird, kennen.
In den Anfangstagen des Internets, als dieses noch als Advanced Research Products Agency Network (ARPANET) bekannt war und die Anzahl von Hosts am Netz noch weniger als 100 betrug, gab es eine Masterlist mit Namen und IP-Adressen, die HOSTS.TXT-Datei. Diese wurde vom Stanford Research Institute’s Network Information Center (damals unter dem Namen SRI-NIC bekannt) geführt und erfüllte seine Aufgabe recht gut, solange die Anzahl von Hosts gering und Wechsel selten waren. Jeder, der an das Netz angeschlossen war, lud sich regelmäßig eine Kopie dieser Datei herunter und hatte so ein lokale Tabelle mit Namen und Adressen zur Verfügung, um andere Computer mit Namen anwählen zu können. Windows 2000 (und die meisten TCP/IP-Stacks) verfügen immer noch über diese Funktion, obwohl sie in Verbindung mit dem Internet nur noch selten angewandt wird. Diese Methode der Namensauflösung war zunächst eine gute Lösung, aber als die Anzahl an Computern zunahm, traten einige Probleme auf, wie z.B.: 씰
Verkehr. Als immer mehr Menschen versuchten, auf diese Datei zuzugreifen, wurde die Belastung für das SRI-Netzwerk und die Server zu groß.
씰
Aktualität. Als die Anzahl von Hosts und die Zahl der Wechsel immer mehr zunahmen, wurde die Verbreitung der HOSTS.TXT-Datei so gut wie unmöglich. Da diese Datei bis zu den entferntesten Computern übertragen wurde, waren in der Zwischenzeit häufig schon neue Server an das Netz angeschlossen worden. Somit war die gerade heruntergeladene Datei bereits veraltet.
씰
Flatfile-Einschränkungen. Diese Einschränkungen sind allen WindowsNT-Domänen-Administratoren bekannt. Da die HOSTS.TXT-Datei ein Flatfile war (ähnlich der Art, wie Domänen-Objekte in Windows-NT-4 Domänen gespeichert werden), war es erforderlich, dass jeder Name nur einmal vergeben wurde. In der Namensstruktur wurden also keine hierarchischen Fähigkeiten eingebaut. Als Folge davon wurde es immer schwieriger, Namen zu erfinden die ebenso intuitiv wie eindeutig waren.
HINWEIS Ein Hinweis zu RFC. Request For Comment (RFC)-Dokumente werden eingesetzt, um Hinweise über das Internet und Internet-Technologien zu geben. Sollte ein RFC genügend Interesse erwecken, könnte er evtl. zum Standard werden.
1.1 Einführung in das Domain Name System (DNS)
Das Netz erforderte also eine bessere Lösung als nur eine Textdatei zur Namensauflösung. 1984 führte Paul Mochapetris zum ersten Mal das Domain Name System bei den RFCs 882 und 883 ein. Diesen folgten seither die RFCs 1034 und 1035, die aktuellen DNS-Spezifikationen. DNS ist eine verteilte Datenbank, die lokale Kontrolle für kleinere Segmente des gesamten Namensraumes ermöglicht. Zusätzlich ist eine logische Architektur vorhanden, um die lokalen Informationen im ganzen Netz zur Verfügung zu stellen. Jeder Teil der DNS-Datenbank bezieht sich auf einen Server, auch Namensserver genannt. Der Aufbau von DNS ist so gestaltet, dass aus Gründen der Redundanz zahlreiche Namensserver vorhanden sein können. Das Zwischenspeichern von Namen auf lokalen Servern wird ebenfalls unterstützt, was die Robustheit von DNS noch steigert. Zusätzlich werden dadurch, dass Teile des gesamten Namespace auf verschiedenen Computern untergebracht sind, die Datenspeicherung und die Belastung durch Abfragen auf Tausende DNS-Server im ganzen Internet verteilt. Der hierarchische Aufbau von DNS ist so gestaltet, das jeder Computer im Internet oder außerhalb des Internets als Teil des DNS Namespace genannt werden kann. Um den Windows-2000-DNS-Serverdienst richtig installieren, konfigurieren und unterstützen zu können, müssen Sie einiges über die dem heutigem DNS zugrunde liegende Architektur wissen. Ohne hier näher auf die RFCs einzugehen (obwohl wir Ihnen empfehlen, dieses Kapitel zum besseren Verständnis von DNS ebenfalls zu lesen), behandeln wir hier die Architektur des DNS Namespace und die Frage, wie einzelne DNS-Server ihren Teil des gesamten Namespace verwalten. Anschließend werden wir auf die Besonderheiten des Windows-2000-DNS-Server-Dienst eingehen. Von DNS definierte Domänen Wie bereits oben erläutert, haben Sie wahrscheinlich DNS schon einmal benutzt, ganz egal ob Ihnen die zugrunde liegenden Mechanismen dabei bekannt waren oder nicht. Namen wie z.B. www.microsoft.com, www.newriders.com oder auch www.mcse.com sind leicht zu verstehen. Sie müssen nur lesen können. Diese Einfachheit hat jedoch ihren Preis. Der DNS Namespace ist komplex. DNS-Namen werden als Teil einer hierarchischen Datenbank erzeugt, die ähnlich funktioniert wie die Verzeichnisse in einem Dateisystem. Hierarchien sind leistungsstarke Datenbankstrukturen, die riesige Mengen an Daten speichern können und es gleichzeitig erleichtern, nach bestimmten Einzelinformationen zu suchen. Bevor wir hier auf die Besonderheiten der DNS-Namespace-Hierarchie eingehen, wollen wir zunächst einige allgemeine Grundlagen über Hierarchien wiederholen.
31
32
Kapitel 1
DNS
Hierarchien
HINWEIS Ein einfaches Beispiel für eine Hierarchie. Microsofts neuer Active Directory Service ist ein ausgezeichnetes Beispiel für eine hierarchische Datenbank. Da die Hierarchie natürlich nach den Regeln der DNS-Namespace erstellt wurde, steht die Information der DNS-Hierarchie in direkter Verbindung zum Aufbau eines Active Directory.
Bevor wir näher auf Hierarchien eingehen, sollten hier zunächst einige Begriffe erläutert werden. 씰
Struktur (Tree). Eine Datenstruktur, bei der jedes Element mit einem oder mehreren direkt darunter liegenden Elementen verknüpft ist. Bei DNS spricht man häufig von einer invertierten Struktur, da es allgemein mit den Wurzeln (Root) nach oben dargestellt wird.
씰
Top-Level-Domäne (TLD). Top-Level-Domäne bezieht sich auf den Zusatz, der an jeden Internet Domänennamen angehängt wird. Es gibt eine begrenzte Anzahl festgelegter Zusätze, wobei jeder für eine Top-Level-Domäne steht. Zu den bekanntesten Top-Level-Domänen gehören COM, EDU, GOV, MIL, NET und ORG.
씰
Knoten. Ein Punkt, an dem sich zwei oder mehr Linien der Struktur schneiden. Bei DNS kann ein Knoten eine Top-Level-Domäne, eine SUB-Domäne oder einen tatsächlichen Netzwerkknoten (Host) darstellen.
씰
Vollqualifizierter Domänenname (FQDN, fully qualified domain name). Ein DOMÄNENNAME, der alle Domänen zwischen Host und der Wurzel des DNS beinhaltet, wird als FQDN bezeichnet. So ist z.B. www.microsoft.com ein FQDN.
씰
Blatt. Ein Objekt am untersten Ende einer hierarchischen Baumstruktur. Es enthält keinerlei andere Objekte. Bei DNS werden diese Objekte Knoten genannt.
씰
Zone. Eine DNS-Zone ist eine logische Gruppierung von Hostnamen innerhalb des DNS. newriders.com z.B. ist die Forward-Lookupzone für New Riders. In diesem Abschnitt des DNS ist die Information über den New-Rider-Host enthalten.
Wenn Sie typischen Endbenutzern erzählen, dass Sie schon immer mit Hierarchien arbeiten, werden die meisten überhaupt nicht verstehen, wovon Sie reden. Das sollten einige Administratoren ebenfalls bedenken. Dennoch haben Sie Recht. Die
1.1 Einführung in das Domain Name System (DNS)
MS-DOS Version 2 führte eine Hierarchie in Form von Dateisystemen im Computer ein. Aber wozu brauchen Computer ein hierarchisches Dateisystem? Weil das Speichern von Dateien als endlose alphabetische Auflistung ineffizient ist, müssen sie in verwandten Gruppen gespeichert werden. Inzwischen verwenden alle Computer hierarchische Strukturen zur Organisation der Speicherung von Dateien. Bei DNS werden die Verzeichnisse als Domänen bezeichnet. Die Hierarchie beginnt mit einem Stammverzeichnis, die so genannte Root-Domäne. Die RootDomäne selbst hat keinen Namen und wird deshalb üblicherweise als einzelner Punkt dargestellt (siehe Bild 1.1). Direkt unter der Root-Domäne befinden sich die Top-Level-Domänen. Diese werden manchmal auch als First-Level-Domänen bezeichnet. Niedrigere Domänen heißen entsprechend Second-Level, Third-Level usw. Jeder Domänenname verfügt über einen Zusatz, der die zugehörige Top-LevelDomäne angibt. Es gibt nur eine begrenzte Anzahl solcher Domänen. Dazu gehören z.B.: Abbildung 1.1 Dieser Teil der DNS-Hierarchie zeigt die Position von www.newriders.com in der DNS-Datenbank in Beziehung zum Rest der DNSDatenbank.
DNS-Hierarchie
COM
MIL
GOV
EDU
AU
NET NEWRIDERS
WWW
씰
COM. Ursprünglich sollte die COM-Domäne kommerzielle Objekte enthalten. Aber COM wurde zum überragenden Favoriten unter den Top-Level-Domänen, und jeder möchte seine persönliche Subdomäne als COM. Da COM zu häufig benutzt und missbraucht wurde, ist es so gut wie unmöglich geworden, einen sinnvollen neuen Namen für eine COM-Subdomäne zu finden. Die zu große Menge in COM ist der Hauptantrieb für die Definition neuer TopLevel-Domänen. (Beispiel für eine COM: mcp.com)
씰
ORG. In dieser Domäne sollen Organisationen mit nicht kommerziellem Hintergrund untergebracht werden. Obwohl viele nichtkommerzielle Organisationen in einer COM-Domäne registriert sind, wird die eigentliche Absicht der ORG-Domäne meist befolgt. ORG-Domänen eignen sich gut für gemeinnützige Organisationen, Berufsgruppen, Kirchen und ähnliche Einrichtungen. (Beispiel für eine ORG: npr.org)
33
34
Kapitel 1
DNS
씰
EDU. Diese Domäne sollte ursprünglich alle Arten von Bildungseinrichtungen aufnehmen, aber sie füllte sich schnell, als immer mehr Schulen Zugang zum Internet bekamen. Nun ist sie vorrangig für höhere Bildungseinrichtungen reserviert. Grund- und Realschulen müssen sich unter ihrer State-Domäne registrieren, die eine Subdomäne der Landes-Domäne ist. (Beispiel für eine EDU: berkeley.edu)
씰
GOV. Diese Domäne umfasst Behörden der Bundesregierung der Vereinigten Staaten mit Ausnahme des Militärs, dessen Domäne MIL lautet. (Beispiel für eine GOV: whitehouse.gov)
씰
NET. Diese Domäne unterstützt Internet-Dienstanbieter (Internet Service Providers, ISPs) und Internet-Verwaltungscomputer. (Beispiel für eine NET: ibm.net)
씰
Land. Jedem Land ist eine eindeutige Top-Level-Domäne zugewiesen. Zu den bekanntesten Beispielen gehören:
씰
씰
CA. Canada
씰
TH. Thailand
씰
UK. United Kingdom
씰
AU. Australia
씰
TO. Tonga
CC. Diese neue Domäne wurde mit dem gleichen Ziel wie die COM-Domäne erstellt. Ihr Zweck ist es, die Anzahl verfügbarer Namen für kommerzielle Anbieter zu erhöhen. (Beispiel für eine CC: www.spot.cc)
Die ICANN hat November 2000 die Einführung folgender sieben neuer Top Level Domains beschlossen: 씰
biz
씰
pro
씰
name
1.1 Einführung in das Domain Name System (DNS)
씰
info
씰
museum (für Museum)
씰
areo (für Fluggesellschaften, Flughäfen, Reiseveranstalter, etc.)
씰
coop (für genossenschaftliche Unternehmen und Organisationen)
Wie bereits erwähnt, dient DNS dazu, Hostnamen in IP-Adressen umzuwandeln. Ein typischer DNS-Name sieht in etwa so aus: isaac.widgets.urwrite.net
Diese Adresse wird als vollqualifizierter Domänenname (FQDN) bezeichnet, da er den exakten Standort des Hosts in der DNS-Hierarchie angibt. Der DNS-Name in unserem Beispiel steht für den Host ISAAC in der Subdomäne WIDGETS (dabei handelt es sich häufig um eine Abteilung in einer Firma), welche sich in der Subdomäne URWRITE befindet (hier handelt es sich häufig um den Namen der Firma oder Organisation, die diese Domäne registriert hat); diese wiederum befindet sich in TDL NET.
PRÜFUNGSTIPP Wissen über FQDN. Für die Prüfung müssen Sie wissen, was der FQDN ist und wie er präsentiert wird.
PRÜFUNGSTIPP Sie müsse ssen den Unterschied zwischen primären und sekundären Domänen kennen. Der Hauptunterschied ist, dass die sekundäre Domäne nur über eine schreibgeschützte Version der DNS-Datenbank verfügt.
Wenn eine Organisation einen Domänennamen im Internet eintragen lassen will, muss der Domänenname bei einer der autorisierten Registrierungsbehörden registriert werden. Eine dieser Registrierungsbehörden, die vielen Menschen bekannt ist, ist Network Solutions, das frühere InterNIC. Unter http://www.networksolutions.com können Sie nach neuen Domänennamen suchen und Registrierungsformulare abrufen. Sie können sich auch an einen ISP wenden, wenn Sie Hilfe benötigen. Um eine Domäne zu registrieren, brauchen Sie mindestens zwei Namenserver. Zwei Arten von Namenservern sind in den DNS-Spezifikationen festgelegt. Es handelt sich dabei um Folgende:
35
36
Kapitel 1
DNS
씰
Primär. Dieser Server erhält Informationen über Zonen, für die er verantwortlich ist (d.h. deren Namen er auflöst). Er erhält diese Informationen übrigens aus Dateien auf dem Host, mit dem er arbeitet. Es handelt sich hierbei um den Server, auf dem Sie Hinzufügungen, Veränderungen und Löschungen an der DNS-Zone vornehmen. Dieser Vorgang lässt sich mit dem Vorgang beim NT 4-PDC vergleichen. Nur mit diesem Server können Veränderungen an der Domäne vorgenommen werden.
씰
Sekundär. Dieser Server erhält seine Zonen-Informationen vom primären Namenserver, der für diese Domäne zuständig ist, also entweder von einem primären oder sekundären Masternamenserver. Wenn ein sekundärer Server startet, kontaktiert er den Namenserver (den verantwortlichen Server), von dem er Updates und die neueste Version der Zonendaten erhält.
HINWEIS Zonen in DNS. In der Welt des DNS ist eine Zone die vollständige Information über einen Teil des Domänennamespace. Sie ist in anderen Worten also eine Teilmenge der Domäne. Der Namenserver ist für diese Zone zuständig, und kann auf alle Anfragen zur Namensauflösung für diese Zone antworten.
Nachdem Sie die beiden (oder mehr) Namenserver identifiziert haben, können Sie Ihre Domäne registrieren. Um einen Domänennamen bei Network Solutions zu registrieren, gehen Sie wie folgt vor:
HINWEIS Die Rolle lle ei einer Domäne. Wenn Sie planen, Ihr Netzwerk mit dem Internet zu verbinden, so bietet die erste Installation von DNS eine gute Gelegenheit für einige Vorbereitungen. Wichtiger ist, dass nach der Installation von Active Directory die vorliegende DNS-Domäne nur noch durch Entfernen und Neuinstallieren von Active Directory geändert werden kann. Dabei gehen alle Anwender und Berechtigungen verloren.
SCHRITT FÜR SCHRITT 1.1
Registrieren einer DNS-Domäne
1. Durchsuchen Sie die Network-Solutions-Datenbank (www.networksolutions.com), um einen Domänennamen zu finden, der noch nicht verwendet wird. Dieses Unternehmen kann sich reichlich schwierig gestalten, es sei denn, Sie sind bereit, eine relativ unklare Bezeichnung zu verwenden. Die meisten üblichen (und auch recht unüblichen) Domänennamen sind bereits registriert worden.
1.1 Einführung in das Domain Name System (DNS)
2. Legen Sie die IP-Adresse von zwei DNS-Servern fest – ein Masternamenserver und ein Backup-Nameserver (oder sekundärer Server), die für Ihre Domäne zuständig sein werden. Wenn Ihr ISP Ihnen Ihre Nameserver zur Verfügung stellt, erhalten Sie die IP-Adressen von Ihrem ISP. 3. Registrieren Sie den Domänennamen bei Network Solutions. Die Webseite enthält auch Online-Formulare zur Registrierung oder Änderung von Domänennamen. 4. Bezahlen Sie die Registrierungsgebühr, die je nach den von Ihnen gewählten Optionen unterschiedlich hoch ist. Die erste Registrierungsgebühr gilt für die ersten zwei Jahre, dann müssen Sie jährlich einen Betrag entrichten, damit Ihr Domänenname aktiv bleibt. Großartig. Sie haben nun also Ihre Domäne registriert, und Sie kennen die DNSHierarchie. Der nächste Schritt ist, zu verstehen, wie DNS funktioniert. Anders gesagt: Wie wird der Name nach Eingabe in eine IP-Adresse umgewandelt? Um den Namen in eine IP-Adresse aufzulösen, läuft im DNS-Namenserver folgender Prozess ab: 1. Der Client macht eine Anfrage an den lokalen DNS-Server. Dies geschieht im Allgemeinen dann, wenn eine Anwendung versucht, eine Verbindung durch einen Hostnamen aufzubauen, z.B. wenn Sie www.newriders.com in Ihrem Webbrowser eingeben. 2. Der DNS-Server sucht in einem lokalen Speicher nach Namen, die er in letzter Zeit aufgelöst hat. Wird der Name im lokalen Zwischenspeicher gefunden, schickt der Namenserver die Adresse an den Client, von dem sie angefordert wurde. Die meisten DNS-Server speichern sowohl lokale als auch entfernte Domänennamen, sodass selbst DNS-Anfragen für einen Host in Ihrem lokalen Netzwerk gespeichert sein können. 3. Der Namenserver sieht in den Host-Tabellen nach, ob sich darin ein statischer (oder im Falle von Dynamic DNS ein dynamischer) Eintrag für den Hostnamen befindet, um diesen in eine IP-Adresse aufzulösen. Wenn ein solcher Eintrag existiert, schickt der DNS-Server die IP-Adresse an den Client. 4. Wenn die Anfrage nicht aufgelöst werden kann, schickt der Namenserver sie an einen Root-Name-Server. Root-Name-Server verwalten den Stamm der Namespace-Hierarchie. Derzeit verwalten zehn Computer die Root-Domäne. 5. Der Root-Name-Server schickt die Anfrage an einen Namens-Server, der für die First-Level-Domäne im Hostnamen zuständig ist. Anders gesagt, wenn Sie eine Host-Adresse in der newriders.com-Domäne angefragt haben, wird der Root-Name-Server die Anfrage an den newriders.com-DNS-Server schicken.
37
38
Kapitel 1
DNS
Der First-Level-Domänennamenserver schickt die Anfrage an einen Namenserver für die Second-Level-Domäne in Hostnamen usw., bis schließlich ein Namenserver gefunden wird, der den ganzen Hostnamen auflösen kann. 6. Der erste Namenserver, der den Hostnamen in eine IP-Adresse auflösen kann, schickt die IP-Adresse an den Client.
HINWEIS Funktion der Root oot-Server. Wenn Sie Ihre Domäne registrieren, müssen Sie die Namen und Adressen von zwei (oder mehreren) DNS-Servern angeben, die DNS für diese Domäne liefern werden. Die Root-Name-Server haben Zugriff auf diese Namen und Adressen und wissen so, wohin die Anfragen geschickt werden müssen.
Um sicherzustellen, dass dieser Prozess auch in Ihrer Umgebung funktioniert, müssen Sie für zwei Dinge sorgen. Zum einem müssen Sie sicherstellen, dass Ihr Netzwerk über mindestens einen, besser noch über mehrere DNS Name-Server verfügt. Unter diesen Namenservern können sich auch ihr Windows-2000-Server, DNS-Server, ältere Microsoft-DNS-Server, andere DNS-Server (UNIX, Linux, OS/2, etc) oder auch ein von Ihrem ISP zur Verfügung gestellter DNS-Server befinden. Zum zweiten müssen Sie sicherstellen, dass alle Ihre Clients so konfiguriert sind, dass sie diesen Server für DNS-Verzeichnisse verwenden. Der restliche Prozess funktioniert im Allgemeinen. Sie müssen die Root-Name-Server-Liste oder den Suchprozess nicht erhalten. Reverse-Lookups Wir haben bereits erläutert, wie man zu der gebräuchlichsten Form von DNSLookups kommt, die auch als vorwärts gerichtete Lookups bezeichnet werden. Dabei handelt es sich um DNS-Lookups, bei denen Sie einen Namen eingeben und der DNS-Server Ihnen die IP-Adresse liefert. Es gibt aber auch noch eine weitere Art von Lookups, die umgekehrten Lookups. Reverse-Lookups funktionieren eigentlich so, wie ihr Name schon vermuten lässt. Sie fragen beim DNS-Server eine IP-Adresse an, und er liefert Ihnen (sofern ein entsprechender Eintrag vorhanden ist) den DNS-Namen für den angefragten Host. Dies kann sehr nützlich sein, wenn Sie Anwendungen im Netzwerk nachverfolgen, einen Host ausfindig machen, der Probleme verursacht, oder wenn Sie die Identität eines Hosts überprüfen möchten. Microsoft benutzt Reverse-Lookups für das Herunterladen seiner 128-Bit-Software, um sicherzugehen, dass sich der Anwender, der versucht, die Software herunterzuladen, in den Vereinigten Staaten oder in Kanada befindet. Hat Ihr Host keinen Eintrag in einer Tabelle für Reverse-Lookups, so werden Sie die Software nicht herunterladen können. Auf die verschiedenen Aufzeichnungsarten gehen wir im Punkt »DNS-Aufzeichnungsarten« in diesem Kapitel ein. Es ist aber wichtig für Sie zu wissen, dass umgekehrte Lookup-Tabellen PTR verwenden, um IP-Adressen in Namen aufzulösen. Ein PTR-Verzeichnis ist ein Zeiger für einen Speicherort (ein FQDN) in der DNS-Domäne.
1.1 Einführung in das Domain Name System (DNS)
PRÜFUNGSTIPP Sie müsse ssen die die Funktion einer umgekehrten Lookup-Tabelle lle kennen. Da sie im Vergleich zu vorwärts gerichteten Lookup-Tabellen seltener eingesetzt und folglich auch seltener wirklich verstanden werden, sind umgekehrte Lookup-Tabellen ein ausgezeichnetes Thema für Prüfungsfragen.
Praxistipp SPAM-E-Mails und Reverse-Lookups Es kann vorkommen, dass Sie einen umgekehrten Lookup brauchen, um E-Mails im Internet zu versenden. Eine der neuesten Waffen im Anti-SPAM-Krieg ist die Anwendung von umgekehrten Lookups zur Überprüfung der Gültigkeit einer Domäne, von der eine E-Mail abgeschickt wurde. Empfängt der Mail-Server eine E-Mail, so wird er zunächst prüfen, ob sie aus einer gültigen Domäne stammt, und wird sie andernfalls ablehnen. Viele SPAMs benutzten bisher erfundene Domänen, um so zu versuchen, die wahre Identität des Spammers zu verschleiern. Wenn Sie bisher noch keine Erfahrungen mit SPAM, der elektronischen Version von Telemarketing und Junk-Mail, haben, dann hatten Sie bisher großes Glück, aber auch Sie werden um diese Erfahrung nicht umhinkommen. Als SPAM bezeichnet man allgemein unverlangte E-Mail-Werbung für ein Produkt, die an eine E-MailAdresse, eine Mailing-Liste oder eine Newsgruppe geschickt wird. Diese SPAMs sind nicht nur ärgerlich für den Anwender, sondern verbrauchen auch eine beträchtliche Menge der Bandbreite des Netzwerks. Wenn Sie also DNS im Internet aufbauen, sollten Sie sicherstellen, eine Reverse-Lookupzone für Ihren E-Mail-Server einzurichten.
Die Namenskonvention für Reverse-Lookupzonen ist folgende: "Netzwerkanteil der IP-Adresse".in-addr.arpa
Die umgekehrte Angabe des IP-Netzwerkanteils der Adresse 205.133.113.87 lautet also 113.133.205.in-addr.arpa. Es ist wichtig zu wissen, dass der Assistent zum Installieren von Active Directory nicht automatisch eine Reverse-Lookupzone und PTR-Quellenverzeichnisse zufügt. Sie werden dies manuell vornehmen müssen. Der Grund dafür ist, dass möglicherweise ein anderer Server die Reverse-Lookupzone kontrolliert. Ist dies nicht der Fall, werden Sie vielleicht eine Lookupzone hinzufügen wollen. Obwohl eine Reverse-Lookupzone für die Funktion von Active Directory nicht erforderlich ist, so ist sie doch aus den oben genannten Gründen sinnvoll.
39
40
Kapitel 1
DNS
DNS-Verzeichniseinträge Bevor wir mit den Ausführungen über DNS fortfahren, sollten Sie sich hier einmal die verschiedenen Verzeichniseinträge ansehen, die Sie in einer DNS-Domäne erstellen können. Tabelle 1.1 listet die Verzeichniseinträge auf, die von Windows 2000 DNS Server Service unterstützt werden, sowie deren Bedeutung.
HINWEIS Prüfungsvorbereitung Lernen Sie die die Tabelle für DNS-Verzeichniseinträge nicht auswendig. Sie müssen zwar die gebräuchlichsten Einträge kennen, aber Einträge wie das Andrew File System Database Server werden in der Prüfung nicht gefragt. Verzeichniseintrag und RFC
Wert und Bedeutung
AFSDB (RFC 1183)
Andrew File System Database Server Record. Nennt den Speicherort von entweder einem AFS Datenträgerstandortserver oder von einem Distributed Computing Environment (DCE)-Server.
CNAME (RFC 1035)
Als eine der ursprünglichen Einträge gibt CNAME einen AliasDomänennamen für Namen, die bereits als eine andere Quellart in dieser Zone spezifiziert sind, an. CNAME ist die Abkürzung für Canonical Name.
ATMA
ATM Adresse – ordnet einen DNS-Namen einer ATM-Adresse zu.
A (RFC 1035)
Eine Host-Adresse – ordnet einen DNS-Namen einer IP(Version 4)Adresse zu.
AAAA (RFC 1886)
Ähnlich wie der A-Eintrag ist der AAAA-Eintrag eine Host-Adresse, allerdings für IPv6-Hosts. Er wird verwendet, um einen DNS-Namen einer IP(Version 6)-Adresse zuzuordnen.
ISDN (RFC 1183)
Integrated Services Digital Network (ISDN)-Teilnehmernummern – teilt einen DNS-Namen einer ISDN-Telefonnummer zu.
MX (RFC 1035)
Ein Mail-Exchanger-Eintrag wird angewandt, um einen spezifischen Host für den Empfang und die Weiterleitung von E-Mails festzulegen.
MG (RFC 1035)
Ein Mailgruppen-Eintrag wird verwendet, um Mailbox-Einträge als Mitglieder einer Domänen-Mailing-Group hinzuzufügen.
MB (RFC 1035)
Ein Mailbox-Eintrag teilt dem Host, in dem sich die Mailbox befindet, einen bestimmten Domänen-Mailbox-Namen zu.
Tabelle 1.1: DNS-Verzeichniseinträge
1.1 Einführung in das Domain Name System (DNS)
Verzeichniseintrag und RFC
Wert und Bedeutung
MINFO (RFC 1035)
Mailbox oder Mailing-List-Information bestimmt einen Domänen Mailbox-Namen, der kontaktiert werden soll. Kann auch eine Mailbox für Fehlermeldungen festlegen.
PTR (RFC 1035)
Ein Eintrag für einen Zeiger, der Positionen in der Domäne angibt. Dieser wird üblicherweise bei reverse Lookups eingesetzt.
MR (RFC 1035)
Ein solcher Eintrag wird angewandt, um eine Domänen-Mailbox festzulegen, die die ordentliche Neubenennung eines existierenden Mailbox-Eintrages ist.
RP (RFC 1183)
Ein solcher Eintrag legt die Domänen-Mailbox für eine verantwortliche Person fest. Für diese Person muss ein entsprechender Text(TXT)-Verzeichnisse-Eintrag existieren.
TXT (RFC 1035)
Ein Text-Eintrag wird eingesetzt, um eine Zeichenkette zu speichern, die als erklärender Teil mit einem spezifischen DNS-Namen verbunden ist.
RT (RFC 1183)
Ein Route-through-Eintrag liefert eine Intermediate-route-throughBindung für interne Hosts, die über keine eigene, direkte Wide-areaNetwork(WAN)-Adresse verfügen.
SRV (RFC 2052)
Ein Eintrag für einen Dienst. Dieser ermöglicht es Administratoren, mehrere Server für eine einzige DNS-Domäne zu verwenden, um so TCP/IP-Dienste einfach von Host zu Host weiterzugeben und um den primären und den Backup-Service-Host zu bestimmen.
WKS (RFC 1035)
Ein Eintrag für einen wohl bekannten Dienst wird eingesetzt, um bekannte TCP/IP-Dienste zu beschreiben, die von einem bestimmten Protokoll (TCP oder UDP) auf einer bestimmten IP-Adresse unterstützt werden.
X25 (RFC 1183)
Ein X.25-Eintrag wird eingesetzt, um einen DNS-Namen einer Public-Switched-Data-Network-Adresse (PSTN) zuzuteilen.
Tabelle 1.1: DNS-Verzeichniseinträge
DNS-Namenskonventionen Bevor wir mit dem Teil über die Installation in diesem Kapitel beginnen, müssen wir zunächst noch einmal auf die Parameter zur Bildung eines DNS-Namens eingehen. Tabelle 1.2 zeigt die Beschränkungen für die Bildung eines DNS-Namens und eines FQDN.
41
42
Kapitel 1
DNS
HINWEIS Der Windows 2000 DNS Server Service unterstützt zusätzliche Standards. Microsoft hat ein Problem mit der Positionierung eines DNS-gestützten Directory Service, und dieses Problem sorgte jahrelang für Ärger. Das NetBIOS, die alte Microsoft-Methode zur Namensgebung, entspricht nicht den in RFC 1123 festgelegten Namensstandards. Das bedeutet, dass in einigen Umgebungen Firmen alle ihre Microsoft-Geräte neu benennen müssten, um einen Namensstandard zu erlangen, der von Active Directory unterstützt wird. Um dies zu vermeiden, baute Microsoft eine Unterstützung für RFC 2181 und 2044 ein, sodass alte NetBIOSNamen unter DNS unterstützt werden. Die von Microsoft angebotene Unterstützung von RFC 2181 und 2044 hat allerdings einen Haken. Wenn Sie zu einer Namenskonvention übergehen, die die Vorteile der neuen Standards nutzt, können Sie Probleme mit Nicht-Windows2000-Servern, einschließlich der Windows-NT-4.0-DNS-Server bekommen. Die meisten Server unterstützen die von Microsoft angebotenen Standards nicht. Der Grund dafür ist, dass RFC 2044 die Unterstützung der Buchstabenkodierung Unicode Translation Format 8 (UTF-8) erfordert. UTF-8 unterstützt Buchstaben aus vielen Fremdsprachen, die von Nicht-Windows-2000-Versionen von DNS nicht unterstützt werden. Beschränkung
Standard DNS (einschl. Windows_ NT 4.0)
DNS in Windows 2000
Buchstaben
Unterstützt RFC 1123; möglich A bis Z, a bis z, 0 bis 9, und der Bindestrich (-).
Einige verschiedene Konfigurationen sind möglich. RFC 1123 als Standard und als Support für RFCs 2181 und das in RFC 2044 (UTP 8) spezifizierte Buchstaben-Set
FQDN Länge
63 Byte pro Label und 255 Byte für ein FQDN.
Domänen-Controller sind begrenzt auf 155 Byte für ein FQDN
Tabelle 1.2: DNS-Namesbeschränkungen
Sehen wir uns nun die Installation des Windows 2000 DNS Server Service an.
1.1.2
DNS: Installation, Konfiguration und Fehlerbeseitigung
Da Sie jetzt wissen, wie DNS im Allgemeinen funktioniert, können wir nun zur Installation des Windows 2000 DNS Server Service übergehen. Eine der ersten Fragen, die man Ihnen stellen wird, ist: »Müssen wir auf Windows 2000 DNS umsteigen?« Die Antwort darauf ist ja und nein zugleich. Wenn Sie nicht alle Vorteile eines Windows-2000-Netzwerkes und Active Directory nutzen wollen, müssen Sie nicht umrüsten. Wenn Sie mit einer DNS-Version arbeiten, die RFC-2136 unter-
1.1 Einführung in das Domain Name System (DNS)
stützt und über Dynamic DNS verfügt, können sie mit Ihrer vorhandenen DNS weiterarbeiten und die Vorteile von Windows 2000 Features nutzen. Aber nehmen wir einmal an, Sie arbeiten nicht mit einer RFC 2136-konformen DNS-Version. Warum sollten Sie umrüsten? Der Windows 2000 DNS enthält eine Reihe entscheidender Verbesserungen der DNS-Standards (einschließlich der Windows-NT-Implementierung) wie z.B. die Folgenden: 씰
Benachrichtigungsbezogene Zonentransfers. Das Standardmodell für DNS-Updates erfordert, dass der sekundäre Namensserver regelmäßig beim Masterserver nach Tabellen-Updates nachsucht. Beim Windows 2000 DNS kann der primäre Server dem sekundären melden, wenn ein Update aufgetreten ist. Diese sofortige Meldung ist nicht nur effizienter als die alten Methoden, sondern sie ermöglicht auch eine viel schnellere Verbreitung von Änderungen, da die Updates nicht mehr von den Abständen zwischen den einzelnen Abfragen abhängen.
PRÜFUNGSTIPP Sie müsse ssen die die Vorteile ile des Windows 2000 Dynamic DNS zu he herkömmlic lichen Servern kennen. Da Active Directory vollständig auf DNS basiert, ist dieses Thema für den Erfolg des Active Directory ziemlich wichtig, und ist daher ein gutes Thema für Prüfungsfragen. 씰
Integrierte Zonen-Tabellen. Mit dem Windows 2000 DNS Server Service können Sie DNS in das Active Directory integrieren. Quellenverzeichnisse werden nun im Active Directory gespeichert und können von jedem laufendem Domänen-Controller, der mit DNS arbeitet, aktualisiert werden. Diese Integration ist ein Marken-Feature von Windows 2000 DNS, und es liefert eine sicherere, robustere und fehlertolerantere Implementierung als StandardDNS.
씰
Inkrementelle Zonen-Transfers. Das Standardmodell für DNS-ZonenTransfers ist es, immer die ganze Zone zu transferieren wenn ein Update gemacht wird. Das Transferieren ganzer Zonen ist allerdings ineffizient. Windows 2000 DNS ermöglicht es sekundären Servern, inkrementelle Updates abzufragen, die lediglich die Änderungen seit dem letzten Transfer enthalten.
씰
Sichere DNS-Updates. Windows-2000-DNS-Updates können auf autorisierte Sekundäre beschränkt werden.
씰
DNS-DHCP-Integration. Die Stärke von dynamischem DNS ist das Integrieren von DHCP in die DNS-Tabelle. Jeder Windows-2000-DHCP-Client wird automatisch in die DNS-Tabelle hinzugefügt, wenn seine IP-Adresse bekannt ist.
43
44
Kapitel 1
DNS
Da Sie nun alles Nötige wissen, installieren wir nun den Windows 2000 DNS Server Service.
1.1.3
Installieren des DNS Server Service
Eine der wichtigsten Verbesserungen in Windows 2000 ist die Fähigkeit, Aufgaben wie z.B. das Installieren von Diensten auf verschiedene Arten auszuführen. In der Tat gibt es verschiedene Arten, um einen DNS Server Service zu installieren. Wir werden hier auf zwei der üblichsten Methoden eingehen. Um mit dem Betriebssystem zu arbeiten, ist es allgemein am besten, die für Sie bequemste Methode herauszufinden und sich immer daran zu halten. Um den Windows 2000 DNS Server Service zu installieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.2
Installieren des DNS Server Service
1. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG auf dem Desktop. Wählen Sie im Kontextmenü die Option EIGENSCHAFTEN. Das Fenster NETZWERK- UND DFÜ-VERBINDUNGEN öffnet sich (siehe Bild 1.2). 2. Klicken Sie im unteren linken Anzeigebereich auf NETZWERKKOMPONENTEN HINZUFÜGEN. (Dies ist nur sichtbar, wenn Sie den Ordner als Webseite – die Standardeinstellung – anzeigen.) Dieser Hyperlink öffnet das Dialogfenster WINDOWS-KOMPONENTEN, das zum Assistenten für die optionalen Windows-Netzwerkkomponenten gehört (siehe Abbildung 1.3). 3. Wählen Sie NETZWERKDIENSTE und klicken Sie auf DETAILS. Dies öffnet das Dialogfenster NETZWERKDIENSTE, wie in Bild 1.4 dargestellt. Wählen Sie DOMAIN NAME SYSTEM (DNS). Klicken Sie auf OK. Der Assistent für die optionalen Windows-Netzwerkkomponenten wird Sie nach der Windows2000-Server-CD-ROM fragen, wenn er Dateien kopieren muss. 4. Wenn der Assistent den Vorgang beendet hat, zeigt er in einem Fenster eine Zusammenfassung der Änderungen an, die vorgenommen werden müssen. Klicken Sie auf OK und stellen Sie die Installation fertig. Glückwunsch, Sie haben soeben DNS installiert. Sehen wir uns nun eine weitere Möglichkeit zum Installieren von DNS an.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.2 Hier können Sie Ihre Netzwerkeinstellungen und Dienste hinzufügen, verändern oder entfernen.
Abbildung 1.3 Der Windows-2000DNS-Server ist Teil der Netzwerkdienste-Komponenten.
45
46
Kapitel 1
DNS
Abbildung 1.4 Durch Auswählen des DNS-Servers (Domain Name System) und Klicken auf OK installieren Sie den Dienst.
SCHRITT FÜR SCHRITT 1.3
Anwenden einer alternativen Methode zum Installieren des Windows-2000-DNS-Servers
1. Öffnen Sie SYSTEMSTEUERUNG (siehe Bild 1.5) und klicken Sie doppelt auf SOFTWARE. Das Dialogfenster SOFTWARE öffnet sich (siehe Bild 1.6). Abbildung 1.5 Wie auch bei Windows NT 4 enthält die Systemsteuerung die meisten der System-Applets, einschließlich Software.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.6 Als eine der wichtigsten Verbesserungen im Vergleich zu früheren Versionen gibt Ihnen das Dialogfenster Software zusätzlich nützliche Informationen über installierte Anwendungen, einschließlich Größe der Anwendung, und in einigen Fällen auch die Anwendungshäufigkeit für installierte Anwendungen. Abbildung 1.7 Wie Sie sehen, können Sie auf mehreren Wegen zum Assistenten für Windows-Komponenten gelangen.
2. Klicken Sie auf WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. Der Assistent für Windows-Komponenten öffnet sich (siehe Bild 1.7). Ab hier können Sie die gleichen Schritte vornehmen wie in der vorhergehend beschriebenen Methode, um die Installation fertig zu stellen. Nachdem nun DNS installiert ist, konfigurieren Sie eine DNS-Zone.
47
48
Kapitel 1
1.1.4
DNS
Konfiguration eines Root-Name-Servers
Erklären wir zunächst einmal, was Microsoft meint, wenn man Sie darum bittet, einen Root-Name-Server zu konfigurieren. Der Root-Name-Server einer Domäne ist der Namenserver, der als Start of Authority (SOA – Aktualisierungsursprung) für diese Zone agiert. Das SOA-Verzeichnis ist das erste Verzeichnis in der Datenbank. Es hat folgendes Format:
HINWEIS Benutzen Sie für den SOA-Eintrag keine normale E-Mailil-Adresse sse. Eine wichtige Tatsache über die angegebene E-Mail-Adresse im SOA ist, dass nicht die normale Standard Internet-E-Mail-Format-Schreibweise genutzt wird. Das Zeichen »@« in der E-Mail-Adresse wird durch einen Punkt ersetzt. In der Zonendatei wäre also [email protected] dann billg.microsoft.com. IN SOA <source host> < contact mail> < serial number> < refresh time> < retry time> < expiration time> < time to live> 씰
Source Host. Dies ist der primäre DNS-Server, der diese Datei enthält.
씰
Contact mail. Dies ist die Internet E-Mail-Adresse für die Person, die für die Datenbankdatei dieser Domäne verantwortlich ist. Wichtige Informationen über die Formatierung finden Sie in der Notiz.
씰
Serial number. Sie ist besonders wichtig. Die Seriennummer verhält sich wie die Versionsnummer für die Datenbankdatei. Jedes Mal wenn die Datenbankdatei geändert wird, sollte diese Nummer höher werden. Die Datei mit der höchsten Seriennummer hat bei Zonen-Transfers Vorrang.
씰
Refresh time. Dies ist die abgelaufene Zeit (in Sekunden), die ein sekundärer Server zwischen Kontrollvorgängen an den Masterserver abwartet, um herauszufinden, ob sich die Datenbank-Datei geändert hat und ob ein ZonenTransfer vorgenommen werden sollte. Standard sind 15 Minuten, aber in einer Umgebung, in der DNS nicht oft geändert wird, kann es auch länger sein.
씰
Retry time. Dies ist die Zeit (in Sekunden), die ein sekundärer Server abwartet, bevor er einen fehlgeschlagenen Zonen-Transfer erneut versucht. Standard bei Windows 2000 sind 10 Minuten, es kann aber je nach Umgebung mehr oder weniger Zeit in Anspruch genommen werden.
씰
Expiration time. Dies ist die Zeit (in Sekunden), während der ein sekundärer Server versucht, eine Zone herunterzuladen. Nachdem dieses Zeitlimit verstrichen ist, wird die alte Zonen-Information gelöscht. Die Standardeinstellung ist hier ein Tag. Auch diese Zeit kann je nach Anforderung abgeändert
1.1 Einführung in das Domain Name System (DNS)
werden. Sie werden diese Zahl in Gebieten erhöhen, in denen die Verbindungsqualität wechselhaft ist und Ausfälle nicht ungewöhnlich sind. DNS über VPN ist hierfür ein Beispiel. 씰
Time to live (TTL). Die TTL ist die Zeit (in Sekunden), die der DNS-Server beliebige Quelleinträge dieser Datenbankdatei speichern darf.
Der SOA gibt den primären Server für die Zone an. Es handelt sich dabei um den Root-Server für die Domäne.
1.1.5
Zonen konfigurieren
Die DNS-Konfiguration wird durch ein Snap-In für die Microsoft Management Konsole (MMC) gehandhabt. Diese finden Sie unter Verwaltung unter dem Eintrag DNS. Diese Funktion steht Ihnen nach der Installation von DNS zur Verfügung. Obwohl es auch möglich ist, die von DNS erzeugten Text-Dateien manuell zu konfigurieren (darauf wird unter »Manuelles Erstellen von DNS-Quellverzeichnissen« in diesem Kapitel eingegangen), macht es die DNS-Konsole doch viel einfacher, ihre DNS-Namespace-Konfiguration zu verwalten. Wenn Sie Ihren DNS-Server installieren, werden Sie ihn mit seiner ersten Zone konfigurieren müssen. Wir werden uns ansehen, wie Sie dazu unter Verwendung des Assistenten vorgehen müssen. Anschließend werden wir darauf eingehen, wie Sie vorgehen müssen, wenn Sie zusätzliche Zonen hinzufügen möchten. Bevor wir zur Konfiguration von DNS-Zonen übergehen, müssen wir zuerst einmal auf die Arten der Zonenspeicherung eingehen, die in DNS verwendet werden. 씰
Active-Directory-integriert. Diese Zonen-Option speichert alle DNS-Informationen im Active Directory. Dies ist eine gute Wahl, wenn Ihre gesamte Domänen-Infrastruktur auf einer Windows-2000-Plattform basiert. Dies ist auch die sicherste Option für die Erhaltung ihrer DNS-Tabellen, da alle Ihre DNS-Informationen im Active Directory gespeichert werden, und alle Ihre Updates als Active-Directory-Updates vorgenommen werden. Anders als die Text-Datei-Methode, die bei den meisten DNS-Implementierungen verwendet wird, können DNS-Tabellen, die im Active Directory gespeichert sind, nicht von einem Texteditor wie z.B. Notepad oder Ähnlichem gelesen werden.
PRÜFUNGSTIPP Die sicherste Art der Implementierung von DNS ist das Integrieren in Active Directory. Active Directory ist sicherer als ein Flatfile. Updates und Zonentransfers werden als Teil der verschlüsselten Replikationen des Active Directory vorgenommen.
49
50
Kapitel 1
DNS
PRÜFUNGSTIPP Die DNS-Konsole en entspricht dem MMC. Tatsächlich ist die DNS-Konsole nicht mehr als MMC, bei dem das DNS-Verwaltungs-Snap-In installiert ist. Microsoft hat diese Version des MMC erstellt, um das Verwaltungssystem für neue Windows-2000-Anwender einfacher zu gestalten. Lassen Sie sich also nicht verwirren, wenn in der Prüfung Hinweise auf MMC auftauchen. Damit ist nur die DNSKonsole gemeint. 씰
Primär (Standard). Diese Zonen-Option speichert die Informationen in einer Textdatei, so wie die meisten nicht-Windows 2000 DNS-Server. Diese Option ist nützlich, wenn Sie Informationen zwischen verschiedenen Arten von DNS-Servern transferieren müssen.
씰
Sekundär (Standard). Diese Option erzeugt eine schreibgeschützte Kopie einer existierenden Zone. Die Master-Kopie (Lese/Schreibversion) ist auf einem primären Server gespeichert. Sie wird im Allgemeinen genutzt, um für Redundanz zu sorgen oder um Netzwerklastenausgleich für DNS zu schaffen.
Praxistipp Verwenden von MMC und manuelles Einfügen von Snap-Ins Wenn Sie bereits ein fortgeschrittener Anwender sind und gerne verschieden konfigurierte Versionen des MMC für jeden der auf Ihrem Windows-2000-Server installierten Dienste verwenden möchten, dann gibt es einen einfachen Weg, um dies alles von einer einzigen MMC-Konfiguration aus zu verwalten. Öffnen Sie MMC, indem Sie auf START, AUSFÜHREN klicken und MMC eintippen. So öffnen Sie die MMC-Shell, die beim ersten Laden noch leer sein wird. Gehen Sie auf KONSOLE, SNAP-IN HINZUFÜGEN/ENTFERNEN. Wenn sich das Dialogfenster SNAP-IN HINZUFÜGEN/ENTFERNEN öffnet, klicken Sie auf HINZUFÜGEN. Im Dialogfenster EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN können Sie einige oder alle der Snap-Ins für Windows2000-Dienste auswählen.
Um die Zonen auf Ihrem DNS-Server zum ersten Mal zu konfigurieren, gehen Sie wie folgt vor:
1.1 Einführung in das Domain Name System (DNS)
SCHRITT FÜR SCHRITT 1.4
Erstes Konfigurieren von Zonen
1. Öffnen Sie die DNS-Konsole, indem Sie auf VERWALTUNG gehen und DNS auswählen. Klicken Sie mit der rechten Maustaste auf Ihren neuen Server und wählen Sie SERVERKONFIGURATION. Der DNS- Serverkonfigurations-Assistent (siehe Abbildung 1.8) wird geöffnet. Klicken Sie auf WEITER, um die Anzeige Forward- Lookupzone zu öffnen (Abbildung 1.9). Dies ist die Zone, die Ihre DNS-Namen in IP-Adressen auflösen wird. 2. Wählen Sie JA, EINE FORWARD-LOOKUPZONE ERSTELLEN zum Erstellen einer ersten Zone. Das Dialogfenster ZONENTYP (siehe Abbildung 1.10) ermöglicht es Ihnen, die Zonenart auszuwählen, die erzeugt werden soll – in unserem Falle ACTIVE DIRECTORY-INTEGRIERT. Klicken Sie auf WEITER. Das Dialogfenster ZONENNAME (Abbildung 1.11) öffnet sich. 3. Geben Sie im Namensfeld den Namen der aufzulösenden Domäne ein. Wenn Sie an ein Netzwerk angeschlossen sind, das mit dem Internet verbunden ist, und wenn Sie nicht Namen für Anwender außerhalb des internen Netzwerkes auflösen, können Sie jeden möglichen Namen eingeben. Klicken Sie auf WEITER, um die Anzeige REVERSE-LOOKUPZONE (Abbildung 1.12) zu öffnen. Diese Zone erfüllt die umgekehrte Funktion der vorwärts gerichteten Lookupzone (wie bereits unter »Reverse Lookups« in diesem Kapitel erläutert), und ermöglicht dem Anwender, den mit einer IP-Adresse verbundenen Hostnamen anzufragen. 4. Wählen Sie JA, EINE REVERSE-LOOKUPZONE ERSTELLEN. Der Assistent erzeugt eine Reverse-Lookupzone. Klicken Sie auf WEITER, um das Dialogfenster ZONENTYP zu öffnen (Abbildung 1.13). 5. Wählen Sie ACTIVE DIRECTORY-INTEGRIERT für die sicherste Implementierung, und klicken Sie auf WEITER. Das Dialogfenster REVERSE-LOOKUPZONEN (Abbildung 1.14) wird geöffnet. 6. Identifizieren Sie die umgekehrte Lookup-ID durch die Netzwerkkennung oder durch das Spezifizieren eines Namens. Der in Abbildung 1.14 gezeigte Name benutzt die Standard-Namenskonvention, d.h. die Netzwerk-ID (in unserem Fall 10.15.100.x) in umgekehrter Reihenfolge, mit dem Zusatz inaddr.arpa. Dieses Ergebnis ist der umgekehrte Name von 100.15.10.inaddr.arpa. Achten Sie auf das arpa im Namen. Wenn Sie nun annehmen, dass die Namenskonvention existiert, seit das Internet noch als ARPANET bezeichnet wurde, so haben Sie Recht. Wie wir bereits unter »ReverseLookups« in diesem Kapitel erwähnt haben, handelt es sich hier um die Internet-Standard-Namenskonvention, und Sie sollten auch versuchen, sich daran zu halten.
51
52
Kapitel 1
DNS
Abbildung 1.8 Der DNS-ServerkonfigurationsAssistent leitet Sie durch die Konfiguration Ihres neu installierten DNSServers.
Abbildung 1.9 Eine ForwardLookupzone wird eingesetzt, um Domänennamen in IP-Adressen aufzulösen.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.10 Zur sichersten Implementierung speichern Sie Ihre DNS-Tabelle in Active Directory.
Abbildung 1.11 Es ist immer gut, beim Erstellen einer Zone einen registrierten Domänennamen zu verwenden.
53
54
Kapitel 1
DNS
Abbildung 1.12 Eine ReverseLookupzone ermöglicht dem Anwender, eine IPAdresse in einen Hostnamen aufzulösen.
Abbildung 1.13 Zur sichersten Implementierung speichern Sie Ihre DNS-Tabelle in Active Directory.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.14 Sie können entweder eine Netzwerkkennung festlegen oder die StandardDNS-Namenskonvention verwenden, um eine Reverse-Lookupzone zu identifizieren.
Abbildung 1.15 Wenn Sie beim letzten Bildschirm ankommen, können Sie immer noch zurückgehen, um Änderungen vorzunehmen oder den Konfigurationsassistenten abbrechen, ohne dass die Änderungen übernommen werden.
Klicken Sie auf WEITER, um das Dialogfenster FERTIGSTELLEN DES ASSISTENTEN zu öffnen (Abbildung 1.15). Dieser Bildschirm ermöglicht es Ihnen, die ausgewählten Konfigurationen noch einmal einzusehen und entweder zurückzugehen, um Fehler zu korrigieren, oder den Assistenten abzubrechen, bevor Änderungen übernommen werden.
55
56
Kapitel 1
DNS
Abbildung 1.16 Ihre neuen Domänen erscheinen nun in der DNSKonsolen-Applikation.
7. Klicken Sie auf FERTIG STELLEN, um die Konfiguration zu beenden. Achten Sie in Abbildung 1.16 darauf, dass die Domänen, die durch den Assistenten konfiguriert wurden, nun in der DNS-Konsole erscheinen.
PRÜFUNGSTIPP DNS-Namen, die die mit Active Directory verwendet werden, können nicht geändert werden. Beim Auswählen eines Domänennamens, der beim Installieren des DNS verwendet wird, ist es immer gut, einen Domänennamen bei der entsprechenden Domänennamen-Registrierungsagentur zu registrieren und diesen Namen auch dann zu verwenden, wenn Ihr internes Netzwerk isoliert (d.h. nicht ans Internet angeschlossen) ist. Der Grund dafür ist, dass DNS-Namen, die im Active Directory Service verwendet werden, nicht geändert werden können. Diese Tatsache, würde sich hervorragend für eine Prüfungsfrage eignen.
Sie haben jetzt eine Zone unter Verwendung des DNS-Server-KonfigurationsAssistenten konfiguriert. Erzeugen wir nun eine Zone unter Verwendung der DNSKonsolen-Anwendungen.
1.1 Einführung in das Domain Name System (DNS)
Um eine primäre Forward-Lookupzone auf Ihrem DNS-Server zu erzeugen, gehen Sie folgendermaßen vor:
SCHRITT FÜR SCHRITT 1.5
Erstellen einer primären Forward-Lookupzone
1. Öffnen Sie die DNS-Konsole, indem Sie auf VERWALTUNG gehen und DNS auswählen. Klicken Sie mit der rechten Maustaste auf DNS-SERVER und wählen Sie NEUE ZONE. Der Assistent zum Erstellen neuer Zonen beginnt (Abbildung 1.17). Klicken Sie auf WEITER, um das Dialogfenster ZONENTYP zu öffnen (Abbildung 1.18). Das Dialogfenster ZONENTYP ermöglicht Ihnen, die Zonenart auszuwählen, die erstellt werden soll. Abbildung 1.17 Der Assistent zum Erstellen neuer Zonen leitet Sie durch die Konfiguration einer neuen Zone auf Ihrem DNS-Server.
2. Wählen Sie PRIMÄR (STANDARD). Wenn Sie ACTIVE DIRECTORY-INTEGRIERT auswählen, werden Sie den gleichen Prozess fertig stellen, aber Sie werden nicht nach einem Datenbank-Dateinamen gefragt. Klicken Sie auf WEITER. Das Dialogfenster FORWARD- ODER REVERSE-LOOKUPZONE öffnet sich (Abbildung 1.19). 3. Erstellen Sie entweder eine Forward- (Name in IP-Adresse) oder eine Reverse (IP-Adresse in Name)-Lookupzone. 4. Wählen Sie FORWARD-LOOKUPZONE und klicken Sie auf WEITER. Das Dialogfenster ZONENNAME öffnet sich (Abbildung 1.20).
57
58
Kapitel 1
DNS
Abbildung 1.18 Bei diesem Vorgang speichern Sie Ihre DNS-Zone nicht in Active Directory, sondern in einer Textdatei (Standard).
Abbildung 1.19 Wenn sie mehrere Domänen besitzen, werden sie allgemein mehr Forward-Lookupzonen als ReverseLookupzonen einrichten.
5. Geben Sie im Namenfeld den Namen der Domäne ein, für die Sie Namen auflösen werden. Klicken Sie auf WEITER, um das Dialogfenster ZONENDATEI zu öffnen (Abbildung 1.21).
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.20 Es ist immer gut, beim Erstellen einer neuen Zone einen registrierten Domänennamen zu verwenden.
Abbildung 1.21 Das Anwenden der Standard-Namenskonvention für Ihre DNS-Dateien ist sinnvoll, um Ihre Dateien später leicht identifizieren zu können.
59
60
Kapitel 1
DNS
Abbildung 1.22 Wenn Sie beim letzten Bildschirm ankommen, können Sie immer noch zurückgehen, um Änderungen vorzunehmen, oder den Konfigurationsassistenten abbrechen, ohne dass die Änderungen übernommen werden.
Abbildung 1.23 Die DNS-Konsole listet die neue Domäne sofort in ihrer hierarchischen Reihenfolge auf.
6. Erstellen Sie eine neue DNS-Datei oder importieren Sie eine existierende DNS-Datei. Das Importieren ist dann besonders nützlich, wenn Sie einen Nicht-Windows-DNS-Server ersetzen und die Informationen importieren möchten. Klicken Sie auf WEITER, um das Dialogfenster FERTIGSTELLEN DES ASSISTENTEN zu öffnen (Abbildung 1.22). Dieser Bildschirm ermöglicht Ihnen, die ausgewählten Konfigurationen noch einmal zu betrachten und entweder zurückzugehen, um Fehler zu korrigieren, oder den Assistenten abzubrechen, bevor Änderungen übernommen werden. 7. Klicken Sie auf FERTIG STELLEN, um die Konfiguration zu vollenden. Die neue Domäne erscheint nun in der DNS-Konsole (Abbildung 1.23).
1.1 Einführung in das Domain Name System (DNS)
Wir haben nun eine Lookupzone erstellt. Erstellen wir nun eine Reverse-Lookupzone.
SCHRITT FÜR SCHRITT 1.6
Erstellen einer Reverse-Lookupzone
1. Öffnen Sie die DNS-Konsole, indem Sie VERWALTUNG – DNS anklicken. Der Assistent zum Erstellen neuer Zonen wird gestartet (siehe Abbildung 1.17). Klicken Sie auf WEITER, um das Dialogfenster ZONENTYP zu öffnen (Abbildung 1.18). Das Dialogfenster ZONENTYP ermöglicht Ihnen, die Zonenart auszuwählen, die erstellt werden soll.
HINWEIS Platz für zwischengespeicherte Informationen. Alle gecachten Einträge in einem Caching-Only-Server werden in Arbeitsspeicher gespeichert. Sie müssen sichergehen, dass Ihr Caching-Server über ausreichend Arbeitsspeicher verfügt, da er sonst nicht effektiv arbeiten wird.
2. Wählen Sie PRIMÄR (STANDARD), und klicken Sie auf WEITER. Das Dialogfenster FORWARD-ODER REVERSE-LOOKUPZONE wird geöffnet (siehe Abbildung 1.19). 3. Erstellen Sie entweder eine Forward(Name in IP-Adresse) oder eine Reverse(IP-Adresse in Name)-Lookupzone . 4. Wählen Sie REVERSE-LOOKUPZONE und klicken Sie auf WEITER. Das Dialogfenster REVERSE-LOOKUPZONEN wird geöffnet (Abbildung 1.24). 5. Geben Sie die IP-Adresse des Netzwerkes ein, für das Sie Reverse-Lookups ausführen wollen. Wenn Sie mit den Namenskonventionen für ReverseLookupzonennamen vertraut sind, können Sie den Zonennamen manuell festlegen, indem Sie die Option REVERSE-LOOKUPZONE wählen. Klicken Sie auf WEITER, um zum Dialogfenster ZONENDATEI zu gelangen (Abbildung 1.25). Dieses Dialogfenster ermöglicht Ihnen, eine neue Zonendatei zu erzeugen oder eine bereits erstellte Datei von einem anderen DNS-Server zu verwenden. 6. Wählen Sie die Option NEUE DATEI MIT DIESEM DATEINAMEN ERSTELLEN. Klicken Sie auf WEITER, um das Dialogfenster für das Fertigstellen des DNSServer-Assistenten zu öffnen. Dieser Bildschirm ermöglicht Ihnen, die ausgewählten Konfigurationen nochmals durchzusehen und entweder zurückzugehen, um Fehler zu korrigieren, oder den Assistenten abzubrechen, bevor Änderungen übernommen werden. Klicken Sie auf FERTIG STELLEN, um die Konfiguration zu beenden. Die neue Domäne erscheint in der DNS-Konsole.
61
62
Kapitel 1
DNS
Abbildung 1.24 Um auf der sicheren Seite zu sein, sollten Sie die Netzwerkkennung festlegen und den Zonen-Namen vom Assistenten erstellen lassen.
Abbildung 1.25 Mit dem Dialogfenster Zonendatei können Sie eine neue Zonendatei erstellen; Sie können aber auch eine existierende Datei verwenden, um ihre Zone beim Erstellen zu füllen.
Sie sollten genau wissen, wie Zonen erstellt werden. Sehen wir uns nun an, wie ein Caching-Only Server eingerichtet wird.
1.1 Einführung in das Domain Name System (DNS)
1.1.6
Konfiguration eines Caching-Only-Servers
Caching-Only Server dienen dazu, DNS-Anfragen von Clients zu beschleunigen, indem sie eine große Anzahl von Einträgen sammeln, die auf DNS-Anfragen von Clients basieren. Ein Caching-Only-Server besitzt keine Kopie der Zonendatei und kann deshalb nicht auf Anfragen, die die Zone betreffen, antworten, wenn sie nicht bereits im Pufferspeicher sind. Ein Caching-Server ist für keine Zone zuständig. Um einen Caching-Only-Server zu konfigurieren, installieren Sie DNS wie oben im DNS-Installationsvorgang beschrieben, und gehen Sie dann wie folgt vor:
SCHRITT FÜR SCHRITT 1.7
Erstellen eines Caching-Only-DNS-Servers
1. Öffnen Sie die DNS-Konsole, indem Sie auf VERWALTUNG gehen und DNS wählen. Klicken Sie mit der rechten Maustaste auf Ihren neuen Server und wählen Sie EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN (des DNSServers) wird geöffnet (Abbildung 1.26); die Titelzeile zeigt den Namen Ihres Servers an. 2. Klicken Sie auf das Register HINWEISE AUF DAS STAMMVERZEICHNIS (Abbildung 1.27). Sollten bereits Einträge für STAMMSERVER (Root-Server) existieren, löschen Sie sie. 3. Klicken Sie im Register HINWEISE AUF DAS STAMMVERZEICHNIS auf HINZUFÜGEN, um das Dialogfenster für neue Einträge zu öffnen (Abbildung 1.28). Fügen Sie einen Eintrag für jeden DNS-Server hinzu, für den dieser Server zwischenspeichern soll. Diese Namenserver müssen bereits in Ihrer DNSHierarchie existieren. 4. Klicken Sie auf OK, wenn Sie dies beendet haben. Achten Sie darauf, dass die Namenserver im Fenster HINWEISE AUF DAS STAMMVERZEICHNIS erscheinen (Abbildung 1.29). Klicken Sie auf OK, um zur DNS-Konsole zurückzukehren. Um zu überprüfen, ob die Caching-Funktion richtig arbeitet, pingen Sie mehrere Hosts von einer Workstation, die so konfiguriert ist, dass sie diesen Server für DNS verwendet. Dies baut den Pufferspeicher auf. Gehen Sie zu einer anderen Workstation, die ebenfalls diesen Server für DNS verwendet, und pingen Sie die gleichen Hosts an. Die Antwort sollte dann viel schneller erfolgen.
63
64
Kapitel 1
DNS
Abbildung 1.26 Das Dialogfenster Schnittstellen der DNS-Server-Eigenschaften ermöglicht Ihnen das Konfigurieren von erweiterten Eigenschaften des Servers.
Abbildung 1.27 Hinweise auf das Stammverzeichnis werden verwendet, um andere DNSServer im Netzwerk zu lokalisieren.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.28 Die Dialogbox für neue Quellverzeichnisse ermöglicht Ihnen, existierende Namenserver in Ihrer Liste, die die Hinweise auf das Stammverzeichnis enthält, hinzuzufügen.
Abbildung 1.29 Nachdem Sie die Namenserver, die Sie zwischenspeichern möchten, hinzugefügt haben, erscheinen diese im Fenster Hinweise auf das Stammverzeichnis.
65
66
Kapitel 1
1.1.7
DNS
Konfiguration eines DNS-Client-Computers
Nachdem Sie nun einen Teil des DNS-Servers für Windows 2000 DNS installiert und konfiguriert haben, sollten Sie auch darauf eingehen, wie DNS auf einen Windows-2000-Client installiert wird. Das Wichtige beim Installieren von DNS auf einem Windows-2000-Client ist, daran zu denken, dass DNS an zwei Stellen installiert ist. Zum einen ist DNS als Teil der TCP/IP-Schnittstelle konfiguriert. Wenn Sie bereits einmal DNS auf einem Windows-NT-Computer installiert haben, sollten Sie mit diesem Prozess vertraut sein. Der zweite Ort, an dem Sie DNS in Windows 2000 installieren müssen, ist in den Systemeigenschaften. Die DNS-Information, die in den Systemeigenschaften konfiguriert ist, wird als DNS-Zusatz für die Bildung von FQDNs (ähnlich der Zusatzinformation, die unter TCP/IP-Eigenschaften bei anderen Windows-Betriebssystemen konfiguriert ist) angewandt. Sie wird ebenfalls als Teil des Prozesses zur Registrierung von Computern in Dynamic DNS eingesetzt, was bei Windows 2000 neu ist. Beginnen wir mit der Konfiguration der TCP/IP-Eigenschaften.
SCHRITT FÜR SCHRITT 1.8
Konfigurieren eines DNS-Clients
1. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG und wählen Sie im Kontextmenü die Option EIGENSCHAFTEN. Dadurch öffnet sich das Fenster NETZWERK- UND DFÜ-VERBINDUNGEN. 2. Klicken Sie mit der rechten Maustaste auf das Icon für LOKALE VERBINDUNGEN und wählen Sie aus dem Kontextmenü EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN VON LAN-VERBINDUNG wird geöffnet (Abbildung 1.30). 3. Wählen Sie den Eintrag INTERNETPROTOKOLL (TCP/IP) und klicken Sie auf EIGENSCHAFTEN. Dies können Sie auch erreichen, indem Sie auf den Eintrag INTERNETPROTOKOLL (TCP/IP) doppelklicken. Das Dialogfenster EIGENSCHAFTEN VON INTERNETPROTOKOLL (TCP/IP) öffnet sich (Abbildung 1.31). 4. Im DNS-Bereich des Dialogfensters können Sie zwischen der automatischen DNS-Konfiguration über DHCP und den bevorzugten und alternativen DNSServern wählen. Klicken Sie auf ERWEITERT, um zusätzliche DNS-Optionen zu erhalten. Klicken Sie auf das DNS-Register, um die DNS-Optionen zu erhalten, die in Abbildung 1.32 dargestellt sind. 5. Im Dialogfenster ERWEITERT können Sie Einstellungen für mehrere DNSClients konfigurieren. In diesem Schritt für Schritt behalten Sie die Standardeinstellungen bei.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.30 Das Dialogfenster Eigenschaften von LAN-Verbindung ermöglicht Ihnen Zugang zu allen Ihren LAN-Eigenschaften, einschließlich der TCP/IP-Einstellungen.
Abbildung 1.31 Sie können Ihre DNS-Einstellungen automatisch über DHCP vornehmen lassen oder sie manuell festlegen.
67
68
Kapitel 1
DNS
Abbildung 1.32 Das Dialogfenster für erweiterte TCP/IP-Einstellungen bietet Ihnen zusätzliche DNSKonfigurationsoptionen.
6. Klicken Sie auf OK, um zu den EIGENSCHAFTEN VON INTERNETPROTOKOLL (TCP/IP) zurückzukehren. Klicken Sie auf OK, um zu den EIGENSCHAFTEN VON LAN-VERBINDUNG zurückzukehren. Klicken Sie auf OK, um die EIGENSCHAFTEN VON LAN-VERBINDUNG zu schließen und Änderungen wirksam zu machen. Eine Reihe von fortgeschrittenen TCP/IP-Optionen können in Verbindung mit dem DNS-Client konfiguriert werden. Dazu zählen auch folgende:
HINWEIS Die grau un unterlegte Schaltfläche Eigenschaften. Falls Ihr Computer ein DomänenController ist, kann die Identifizierungsinformation nicht verändert werden. 씰
DNS-Server-Adressen, in der Reihenfolge der Anwendung.
씰
Parameter zum Auflösen unqualifizierter Domänennamen. Dazu gehören auch folgende Optionen:
1.1 Einführung in das Domain Name System (DNS)
씰
Primäre und verbindungsspezifische DNS-Suffixe anhängen. Diese Option fügt die Domänen-Zusätze, die unter Systemeigenschaften konfiguriert sind, an alle unqualifizierten Domänennamen, die zur Auflösung geschickt werden.
씰
Übergeordnete Suffixe des primären DNS-Suffixes anhängen. Diese Option fügt nicht nur die festgelegten Domänen-Zusätze, sondern auch die Zusätze aller verwandten Domänen an alle unqualifizierten Domänennamen, die zur Auflösung geschickt werden.
씰
Diese DNS-Suffixe anhängen (in der Reihenfolge). Diese Option ermöglicht es, bestimmte DNS-Zusätze festzulegen, die an unqualifizierte Domänennamen angehängt werden sollen, die zur Auflösung geschickt werden.
씰
DNS-Suffix für diese Verbindung. Diese Option ermöglicht Ihnen, einen bestimmten DNS-Zusatz für diese Verbindung in der Liste von Netzwerk und DFÜ-Verbindungen zu konfigurieren. Sie können verschiedene Zusätze festlegen, falls Sie mehrere LAN-Adapter geladen haben, oder wenn Sie verschiedene Zusätze zwischen LAN- und DFÜVerbindungen verwenden wollen.
씰
Adressen dieser Verbindungen in DNS registrieren. Auf diese Art konfigurieren Sie den Computer, um die Vorteile von Dynamic DNS zu nutzen.
씰
DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden. Diese Option ermöglicht Ihnen, den in dieser Verbindung festgelegten DNS-Zusatz als Teil der Information zu verwenden, wenn der Host mit Dynamic DNS registriert ist.
Um die DNS-Einstellungen in den Systemeigenschaften zu verändern, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.9
Verändern der DNS-Einstellungen für Active Directory Integration
1. Klicken Sie mit der rechten Maustaste auf ARBEITSPLATZ. Wählen Sie im Kontextmenü den Punkt EIGENSCHAFTEN. Die Dialogbox für Systemeigenschaften wird geöffnet. Wählen Sie das REGISTER NETZWERKIDENTIFIKATION (Abbildung 1.33). 2. Klicken Sie auf EIGENSCHAFTEN. Das Dialogfenster für ÄNDERUNGEN BENUTZERINFORMATIONEN wird geöffnet (Abbildung 1.34).
DER
69
70
Kapitel 1
DNS
Abbildung 1.33 Im Netzwerkidentifizierungsregister stellen Sie den Namen und die Domänen-Mitgliedschaft Ihres Computers ein.
Abbildung 1.34 In diesem Dialogfenster können Sie den Domänen- und Computernamen einstellen. Wenn Sie auf Erweitert klicken, gelangen Sie zu den Domäneninformationen.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.35 In diesem Dialogfenster stellen Sie Ihre DNS-Information für die Registrierung mit dynamischem DNS ein.
3. Klicken Sie auf ERWEITERT, um das Dialogfenster für DNS-SUFFIX UND NETBIOS-COMPUTERNAME zu öffnen (Abbildung 1.35). Das Kontrollkästchen PRIMÄRES DNS-SUFFIX BEI DOMÄNENMITGLIEDSCHAFTSÄNDERUNG ÄNDERN sorgt dafür, dass die DNS-Domäne des Hosts mit der Active-DirectoryDomäne übereinstimmt. 4. Klicken Sie auf OK, um die Änderungen zu speichern. Klicken Sie auf OK, um zu den SYSTEMEIGENSCHAFTEN zurückzukehren. Klicken Sie auf OK, um das Dialogfenster Systemeigenschaften zu schließen. Sie werden aufgefordert, Ihren Computer neu zu starten. Folgen Sie dieser Aufforderung. Sie haben nun die Konfiguration Ihres Windows-2000-DNS-Clients beendet. Sehen wir uns nun an, wie das Konfigurieren von Zonen für dynamische Updates funktioniert.
1.1.8
Konfigurieren von Zonen für dynamische Aktualisierungen
Einer der größten Vorteile beim Arbeiten mit einem Windows-2000-Netzwerk ist die Fähigkeit, dynamische DNS zu verwenden. Sehen wir uns nun an, wie Zonen für dynamische Aktualisierungen konfiguriert werden. Um DNS-Zonen für dynamische Aktualisierungen zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.10 Konfigurieren Ihrer Zone für dynamische Aktualisierungen 1. Öffnen Sie im Verwaltungsprogrammmenü die DNS-KONSOLE. 2. Wählen Sie die Zone aus, die Sie konfigurieren möchten, um dynamische Aktualisierungen zu erhalten, und klicken Sie mit der rechten Maustaste
71
72
Kapitel 1
DNS
darauf. Wählen Sie im Kontextmenü EIGENSCHAFTEN. Dadurch öffnet sich das Dialogfenster EIGENSCHAFTEN wie in Abbildung 1.36 dargestellt. (Die Titelzeile des Dialogfensters zeigt den Zonennamen an.) Abbildung 1.36 Das Dialogfenster Zoneneigenschaften ermöglicht Ihnen, den DNSServer-Service anzuhalten, die Domänenart zu ändern, Ihren DNSServer so zu konfigurieren, dass er dynamische Aktualiserungen zulässt und die Optionen Zonenalterung/Aufräumvorgang für die Domäne einzustellen.
3. Setzen Sie das Pull-down-Menü DYNAMISCHE AKTUALISIERUNG ZULASSEN auf JA. Klicken Sie auf OK, um das Dialogfenster zu schließen und zur DNSKonsole zurückzukehren. Sie haben soeben die Zone konfiguriert, um dynamische Updates zuzulassen. Bevor wir den DNS Server Service testen, sollten wir kurz darauf eingehen, was Dynamic DNS eigentlich ist. Dynamisches DNS ist in RFC 2136 spezifiziert – dynamische Aktualisierungen im Domain Name System (DNS UPDATE). Es ist die Grundlage für eine erfolgreiche Implementierung des Active Directoy Service. Wie bereits erwähnt, wird DNS angewandt, um einen Namen in eine IP-Adresse (oder umgekehrt) aufzulösen. Dazu wird eine vorbestimmte hierarchische Namensstruktur eingesetzt, um Einheitlichkeit zu garantieren. Dynamic DNS bringt diese Architektur auf ein höheres Level. Dieser Abschnitt beschreibt die Implementierung von dynamischen Aktualisierungen bei Windows 2000.
1.1 Einführung in das Domain Name System (DNS)
Bei Windows 2000 können Clients dynamische Aktualisierungen für drei Arten von Netzwerk-Adaptern senden: DHCP-Adapter, statisch konfigurierte Adapter und Adapter mit Fernzugriff. Diese Konfigurationen haben Sie bereits unter »Konfigurieren eines DNS Clients« weiter oben in diesem Kapitel kennen gelernt. Die Aufgabe von dynamischem DNS ist das Integrieren von DHCP und DNS, wie in RFC 2136 beschrieben. Jedes Mal, wenn ein Computer eine neue Adresse anfragt oder seine Adresse erneuert, sendet dieser Computer eine Option 81 und seinen vollqualifizierten Namen der Arbeitsstation an den DHCP-Server und verlangt, dass der DHCP-Server für ihn einen Eintrag in der umgekehrten DNS-Lookupzone registriert. Der DHCP-Client verlangt auch nach einem Eintrag in der ForwardLookupzone. Das Endergebnis ist, dass jeder DHCP-Client sowohl einen Forwardals auch einen Reverse-Eintrag in der DNS-Zone hat. Diese Information kann von anderen Windows-2000-Computern an Stelle von WINS verwendet werden, um die Namen und IP-Adressen von anderen Hosts zu identifizieren.
HINWEIS Option 81 ist FQDN. Option 81 (auch bekannt als die FQDN-Option) ermöglicht dem Client beim Anfragen nach einer IP-Adresse seine FQDN an den DHCP-Server zu schicken.
Standardmäßig registriert der dynamische Update-Client dynamisch seine Quellenverzeichnisse, wenn einer der folgenden Fälle auftritt: 씰
Die TCP/IP-Konfiguration wird geändert.
씰
Die DHCP-Adresse wird erneuert oder man erhält einen neuen Vertrag.
씰
Ein Plug&Play-Vorfall tritt auf.
씰
Eine IP-Adresse wird vom Computer hinzugefügt oder gelöscht, wenn der Anwender eine IP-Adresse für einen statischen Adapter ändert oder hinzufügt.
Standardmäßig löscht der dynamische Update-Client automatisch IP-Adresseneinträge, wenn die Lease für DHCP abläuft. Sie können eine Neuregistrierung erzwingen, indem Sie das Befehlszeilentool IPCONFIG anwenden. Bei Computern mit Windows 2000 geben Sie dazu Folgendes in der Eingabeaufforderung ein: ipconfig /registerdns
73
74
Kapitel 1
DNS
Sehen wir uns nun kurz den Prozess bei der dynamischen Aktualisierung an, und wie Ihr Windows-2000-Host mit dynamischem DNS registriert wird. Eine dynamische Aktualisierung tritt folgendermaßen auf: 1. Der DNS-Client fragt bei seinem lokalen Namenserver an, um den primären (Standard) Nameserver und die Zone zu erfahren, die für den Namen zuständig ist, welcher aktualisiert wird. Der lokale Namenserver führt den üblichen Namensauflösungsprozess durch, um den primären (Standard) Namenserver herauszufinden. Anschließend schickt er den Namen des zuständigen Servers und der Zone zurück. 2. Der Client sendet eine Anfrage für dynamische Aktualisierung (Update) an den primären (Standar-) Server. Der zuständige Server führt das Update durch und teilt dem Client das Ergebnis des dynamischen Updates mit. Nachdem nun DNS installiert und konfiguriert ist, sehen wir uns an, wie DNS getestet wird.
1.1.9
Testen des DNS-Dienstes
Wie können Sie testen, ob DNS funktioniert? Mehrere Anwendungen erlauben Ihnen, diese Tests durchzuführen. Wir werden sie in der Reihenfolge des Schwierigkeitsgrades durchgehen. Die erste Anwendung zum Testen von DNS ist das PING.EXE-Hilfsprogramm. PING ermöglicht Ihnen, ein ICMP (Internet Control Message Protocol) an einen TCP/IP-Host zu senden. Wenn Sie die richtige Flag verwenden, kann PING auch Namensauflösungen als Teil des Testverfahrens liefern. Das korrekte Format für diese Aufforderung lautet: PING –eine , bei der eine Flag die Auflösung des Hostnamens liefert.
Eine Beispiel-PING-Sitzung könnte so aussehen: ping -a www.newriders.com Pinging scone.donet.com [205.133.113.87] with 32 bytes_of data: Reply from 205.133.113.87: bytes=32 time=47ms TTL=241 Reply from 205.133.113.87: bytes=32 time=60ms TTL=242 Reply from 205.133.113.87: bytes=32 time=40ms TTL=242 Reply from 205.133.113.87: bytes=32 time=37ms TTL=242 Ping statistics for 205.133.113.87: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 37ms, Maximum = 60ms, Average = 46ms
1.1 Einführung in das Domain Name System (DNS)
Eine Reihe weiterer Wechsel können mit dem PING-Hilfsprogramm verwendet werden. Dies sind: 씰
-t. Den festgelegten Host bis zum Ende pingen. Wenn Sie die Statistik sehen und dann weitermachen möchten, drücken Sie (Strg)+(Pause). Um das Pingen zu beenden, drücken Sie (Strg)+(C).
씰
-n count. Den festgelegten Host n-mal anpingen.
씰
-l size. Den festgelegten Host mit Paketen der Größe l anpingen.
씰
-f. Das Nichtfragmentieren-Flag wird im Paket gesetzt.
씰
-i TTL. Die time to live (TTL) auf i setzen. TTL entspricht den Router-Weiterleitungen.
씰
-v TOS. Die eingesetzte Dienstart einstellen.
씰
-r Anzahl. Zeichnet die angegebene Anzahl von Hosts auf dem Weg des ge-
sendeten und zurückkommenden Paketes auf. 씰
-s Anzahl. Gibt die Zeit für die angegebene Anzahl von Abschnitten an.
씰
-j Host-Liste. Die Route läuft entlang der angegebenen Host-Liste. Diese
Flag wird nicht häufig eingesetzt, da das Quellenrouting nur selten angewandt wird. 씰
-k Host-Liste. Genaue Quellenroute entlang der Host-Liste. Wird ebenfalls nur selten benutzt.
씰
-w timeout. Timeout in Millisekunden, die auf jede Antwort gewartet wird.
HINWEIS Ein Alia lias für den FQDN eines anderen Servers. Wenn Sie mit der Server-HostingArchitektur des Internets vertraut sind, werden Sie vielleicht vermuten, dass dies bedeutet, dass der Server www.newriders.com bei einer Firma mit der Domäne donet.com gehostet ist.
PRÜFUNGSTIPP Sie müsse ssen NSLOOK OOKUP kennen. Da NSLOOKUP das Standard-DNS-Tool für die Fehlerbeseitigung von DNS ist, sollten Sie für die Prüfung die Fähigkeiten und Optionen von NSLOOKUP kennen.
75
76
Kapitel 1
DNS
Aus diesem Beispiel können Sie Verschiedenes entnehmen. Zum einen wissen Sie, dass DNS funktioniert, da die IP-Adresse von 205.133.113.87 zurückgeschickt wurde. Zum anderen wissen Sie, dass www.newriders.com ein DNS-Aliasname oder CNAME für die FQDN eines anderen Servers ist, da auch der alternative Hostname scone.donet.com zurückgeschickt wurde. Der Rest der Information steht in Verbindung mit der Netzwerk-Wartezeit, und hat in diesem Kapitel keine Bedeutung. Das nächste Hilfsprogramm, das wir uns ansehen müssen, ist NSLOOKUP.EXE. NSLOOKUP.EXE ist ein standardmäßiges Befehlszeilen-Tool, das in den meisten DNS-Server-Implementierungen, und auch bei Windows 2000 vorhanden ist. NSLOOKUP bietet die Möglichkeit, DNS-Server-Anfragetests durchzuführen und detaillierte Antworten auf die Eingabeaufforderung zu erhalten. Diese Information ist nützlich für die Diagnose und das Beheben von Problemen in der Namensauflösung, um zu überprüfen, ob Quellenverzeichnisse in einer Zone richtig hinzugefügt oder aktualisiert worden sind, und um andere mit dem Server verbundene Probleme zu beheben. NSLOOKUP kann verwendet werden, indem Sie in der DOS-Eingabeaufforderung NSLOOKUP eingeben und (¢) drücken. Es kann mit folgenden Optionen betrieben werden: Befehle: (Kennzeichner werden in Großbuchstaben dargestellt; [ ] bedeutet optional.) 씰
NAME. Druckt Info über den Host/Domänen NAME, der den Standard-Server
benutzt. 씰
NAME1 NAME2. Genauso wie oben, benutzt aber NAME2 als Server.
씰
Hilfe oder ?. Druckt Info über häufige Befehle.
씰
set OPTION. Stellt eine Option ein. 씰
All. Druckt Optionen, den aktuellen Server und den Host.
씰
[no]debug. Druckt Informationen zur Fehlerbehebung.
씰
[no]d2. Druckt umfassende Informationen zur Fehlerbehebung.
씰
[no]defname. Hängt Domänennamen an jede Anfrage an.
씰
[no]recurse. Fragt nach rekursiver Antwort auf Anfrage.
1.1 Einführung in das Domain Name System (DNS)
씰
[no]search. Domäne in Suchliste benutzen.
씰
[no]vc. Immer einen virtuellen Kreis benutzen.
씰
Domain=NAME. Den Standard-Domänennamen auf NAME setzen.
씰
srchlist=N1[/N2/.../N6]. Setzt Domäne auf N1 und Suchliste auf N2,
usw.
씰
씰
root=NAME. Setzt Root-Server auf NAME.
씰
retry=X. Setzt die Anzahl von Neuversuchen auf X.
씰
timeout=X. Setzt den ursprünglichen Timeout auf X Sekunden.
씰
type=X. Setzt die Anfrageart ein (z.B. A, ANY, CNAME, MX, NS, PTR, SOA, SRV).
씰
querytype=X. Genauso wie type.
씰
class=X. Setzt die Anfrageart ein (z.B. IN (Internet), ANY).
씰
[no]msxfr. Benutzt MS schnellen Zonen-Transfer.
씰
ixfrver=X. Aktuelle Version, die bei einer IXFR-Transfer-Anfrage zu benutzen ist.
server NAME. Setzt Standard-Server auf NAME, benutzt aktuellen Standard-
Server. 씰
lserver NAME. Setzt Standard-Server auf NAME, benutzt ursprünglichen
Server. 씰
finger [USER]. Setzt eine Finger-Anfrage auf den optionalen USER auf den aktuellen Standard-Host.
씰
root. Setzt den aktuellen Standard-Server auf den Root.
씰
ls [opt] DOMAIN [> FILE]. Listet Adressen in DOMAIN (optional: Ausgabe
in DATEI) 씰
-a. Listet kanonische Namen und Aliase auf.
씰
-d. Listet alle Einträge auf.
77
78
Kapitel 1
씰
DNS
-t TYPE. Listet Anfragen der festgelegten Art auf (z.B. A, CNAME, MX,
NS, PTR, usw.) 씰
view FILE. Sortiert eine Is-Ausgabedatei und zeigt sie mit pg an.
씰
exit. Verlässt das Programm.
Großartig. Wenn Sie NSLOOKUP noch nicht kennen, sind Ihnen diese Optionen wohl klar wie Kloßbrühe. Die beste Art, um die NSLOOKUP-Optionen und Flags wirklich zu verstehen, ist sie auszuprobieren. Für einen einfachen Test eines DNS mit NSLOOKUP wählen Sie einen Hostnamen, von dem Sie wissen, dass er in DNS ist, und geben Sie Folgendes ein:
PRÜFUNGSTIPP Sie müsse ssen die die NSLOOKUP-Funktionen kennen. Sie sollten wissen, dass NSLOOKUP sowohl interaktiv als auch nicht interaktiv funktioniert. Die Funktionsweise »nicht interaktiv« wird eingesetzt, wenn Sie nur eine Information brauchen. nslookup kubla.urwrite.net
Dieser Befehl schickt Folgendes zurück: Server: kubla.urwrite.net Adresse: 10.225.10.190 Name: kubla.urwrite.net Adresse: 10.225.10.190
In diesem Beispiel haben Sie den Namen des DNS-Servers für den Test verwendet. Sie können auch jeden Host in der DNS-Tabelle verwenden. Der erste Name und die erste Adresse, die zurückgeschickt werden, sind Name und Adresse des DNSServers, den Sie angefragt haben. Besitzt dieser Server kein PTR-Verzeichnis in einer umgekehrten Lookupzone, wird der Servername mit folgender Botschaft zurückgeschickt: *** Adresse des Servernamens kann nicht gefunden werden (die Adresse des ➥konfigurierten DNS-Servers): nicht existierende Domain ***Standard-Server nicht verfügbar
Das heißt nicht, dass irgendwo ein Fehler aufgetreten ist. Sie erhalten immer noch die Namensauflösung im Name/Adresse-Bereich der Antwort, und Ihr DNS-Server funktioniert.
1.1 Einführung in das Domain Name System (DNS)
Eine andere Methode, um den DNS-Server-Service zu testen, ist das Verwenden der Überwachungsfähigkeiten, die in der DNS-Konsolen-Applikation eingebaut sind. Um das Testen und Überwachen einzustellen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.11 Testen des DNS 1. Öffnen Sie die DNS-Anwendung. 2. Klicken Sie mit der rechten Maustaste auf DNS-SERVER und wählen Sie EIGENSCHAFTEN. Das Dialogfenster DNS-SERVEREIGENSCHAFTEN wird geöffnet. Wählen Sie ÜBERWACHEN. Sie können eine einfache Anfrage, eine rekursive Anfrage oder auch einen automatischen Test des DNS-Service mit diesem Register konfigurieren. 3. Klicken Sie auf JETZT TESTEN, um den ausgewählten Test durchzuführen. 4. Klicken Sie auf OK, um zur DNS-Anwendung zurückzugelangen. Dieser Test ermöglicht Ihnen, zwei Arten von Anfragen durchzuführen. Bevor wir weitergehen, sollten wir diese zwei Anfragen und ihre Funktionsweise genauer betrachten: 씰
Einfache (iterative) Anfrage. Bei einer einfachen (oder iterativen) Anfrage liefert der Namenserver die beste Antwort, basierend auf dem, was der Server von lokalen Zonendateien oder von Zwischenspeichern weiß. Verfügt der Server über keine Information, um auf die Anfrage zu antworten, so schickt er einfach eine negative Antwort.
씰
Rekursive Anfrage. Eine rekursive Anfrage zwingt den DNS-Server, auf eine Anfrage entweder mit einer Fehlermeldung oder mit einer positiven Antwort zu reagieren. Bei einer rekursiven Anfrage muss der DNS-Server alle anderen DNS-Server kontaktieren, die notwendig sind, um die Anfrage aufzulösen. Dieser Anfrage-Mechanismus ist sehr viel ressourcenintensiver.
Wenn der Test scheitert, sehen Sie eine Fehlermeldung in der DNS-KonsolenApplikation, und ein Warnsymbol erscheint auf dem DNS-Server. Eine weitere Methode zum Testen von DNS-Servern ist das Verwenden eines Webbrowsers, wie z.B. des Internet Explorer. Geben Sie die FQDN, die Sie erreichen wollen, in die Adressleiste ein und drücken Sie Enter. Wenn DNS richtig funktioniert, erscheint die IP-Adresse in der unteren linken Ecke der Anwendung. Dies
79
80
Kapitel 1
DNS
geschieht auch dann, wenn der angefragte Host kein Webserver ist. Der Browser stellt vielleicht die Verbindung nicht her, aber Sie sollten diese Auflösung sehen, wenn DNS richtig konfiguriert ist.
1.1.10
Implementieren einer delegierten Zone für DNS
Das Nächste, was wir uns ansehen müssen, ist das Erstellen einer delegierten Zone für Ihr DNS. Das Delegieren einer Domäne bedeutet, dass DNS-Anfragen an die existierende Domäne zur Auflösung an den Namenserver in der delegierten Domäne verwiesen werden. Sie können in der Hierarchie nur abwärts delegieren, d.h. die delegierte Domäne muss eine Subdomäne der Domäne sein, die die Delegation ausführt. Dies mag ein wenig verwirrend klingen, aber der Konfigurationsvorgang wird das Ganze besser verdeutlichen. Um eine delegierte Zone zu erstellen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.12 Erstellen einer delegierten Zone 1. Öffnen Sie die DNS-Anwendung über START, PROGRAMME, VERWALTUNG. 2. Klicken Sie mit der rechten Maustaste auf die DNS-Zone, die Sie delegieren möchten, und wählen Sie im Kontextmenü NEUE DELEGIERUNG. Der Assistent für neue Delegationen (Abbildung 1.37) öffnet sich. Klicken Sie auf WEITER, um fortzufahren. 3. Geben Sie im Dialogfenster für delegierte Domänennamen (Abbildung 1.38) den unqualifizierten Namen für die Domäne, die Sie delegieren möchten, in das Feld DELEGIERTE DOMÄNE ein. Klicken Sie auf WEITER, um fortzufahren. Das Dialogfenster NAMENSERVER (Abbildung 1.39) ermöglicht Ihnen, den Namenserver festzulegen, in dem sich die delegierte Zone befinden wird. 4. Klicken Sie auf HINZUFÜGEN. Sie können entweder zum Namenserver browsen oder ihn mit Namen oder IP-Adresse spezifizieren. Klicken Sie auf WEITER, um den Assistenten fertig zu stellen. Um die Delegation zu erstellen, klicken Sie auf FERTIG STELLEN.
1.1 Einführung in das Domain Name System (DNS)
Abbildung 1.37 Wie bei den meisten anderen Verwaltungsaufgaben bei Windows 2000 ist auch ein Assistent für das Erstellen einer neuen Delegation für eine Zone verfügbar.
Abbildung 1.38 Das Dialogfenster Namen der delegierten Domäne ermöglicht Ihnen, die Domäne festzulegen, die auf delegierte Anfragen antworten wird.
81
82
Kapitel 1
DNS
Abbildung 1.39 Das Dialogfenster Namenserver sollte Ihnen nun vertraut sein. Wie bei den vorhergehenden Vorgängen wird auch dieses Dialogfenster eingesetzt, um die Namenserver für diese Domäne zu spezifizieren.
1.1.11
Manuelles Erstellen eines DNSQuellenverzeichnisses
Der größte Teil des Kapitels handelte bisher über dynamische Methoden zum Erstellen von Einträgen in der DNS-Tabelle. Sehen wir uns nun an, wie man einen Eintrag manuell erstellt. Sie brauchen dies für Nicht-Windows-2000-Hosts, für Tabellen-Eintragsarten, die nicht von dynamischem DNS unterstützt werden, oder für Hosts, die Sie nur mit einem statischen Eintrag konfigurieren wollen. Wenn Sie einen DNS-Eintrag manuell konfigurieren, stehen Ihnen vier Optionen über die Art des zu erstellenden Eintrages zur Verfügung:
HINWEIS Namen für ein Verzeichnis. Beim Erstellen eines Verzeichnisses können Sie den FQDN-Namen oder auch den Hostnamen verwenden. Wenn Sie nur den Hostnamen verwenden, wird der Rest der FQDN für die Domäne, in der Sie den Eintrag erstellen, automatisch angehängt.
PRÜFUNGSTIPP Sie müsse ssen die Tabelle llen-Eintragsarten kennen. Vor der Prüfung sollten Sie sich selbst mit den anderen Tabellen-Eintragsarten vertraut machen. Bei jeder Eintragsart sind die für den Eintrag benötigten Informationen etwas anders. 씰
NEUER HOST. Erstellt ein A-Verzeichnis.
씰
NEUER ALIAS. Erstellt ein CNAME-Verzeichnis.
1.1 Einführung in das Domain Name System (DNS)
씰
NEUER MAIL-EXCHANGER. Erstellt ein MX-Verzeichnis.
씰
ANDERE NEUE VERZEICHNISSE. Ermöglicht Ihnen, andere Verzeichniseinträge auszuwählen.
Für dieses Verfahren werden Sie ein neues Host-Verzeichnis erstellen. Um einen DNS-Eintrag manuell zu erstellen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.13 Manuelles Erstellen eines DNS-Eintrages 1. Öffnen Sie in der Verwaltungs-Programmgruppe die DNS-KONSOLE. Klicken Sie mit der rechten Maustaste auf die Zone, in der Sie einen Eintrag hinzufügen wollen, und wählen Sie die Eintragsart (in Tabelle 1.1 aufgeführt), die Sie erstellen wollen. 2. Wählen Sie den neuen Host aus. Das Dialogfenster für neue Hosts (Abbildung 1.40) wird geöffnet. Geben Sie den Hostnamen im Namensfeld ein. Geben Sie die IP-Adresse in das Kontrollkästchen IP-ADRESSE ein. Wenn Sie für das Netzwerk einen Eintrag in der Reverse-Lookupzone erstellen wollen, können Sie die Option VERKNÜPFTEN PTR-EINTRAG auswählen. Klicken Sie auf HOST HINZUFÜGEN, um den Eintrag zu erstellen. Abbildung 1.40 Die Dialogbox für Neue Hosts fragt Sie nach dem Hostnamen und nach der IPAdresse des Hosts, und ob Sie einen Eintrag in eine Reverse-Lookupzone erstellen wollen.
Sie wissen nun, wie man Einträge für Zonen installiert, konfiguriert und erstellt. Sehen wir uns nun an, wie Sie Ihren DNS-Server verwalten und überwachen.
83
84
Kapitel 1
1.2
DNS
DNS verwalten und überwachen
Wir haben gesehen, wie der Windows 2000 DNS Server Service installiert und konfiguriert wird. Nachdem der Server nun läuft, sollten wir uns einmal ansehen, wie er verwaltet und überwacht wird. In dem meisten Fällen werden Sie sehr viel mehr Zeit mit dem Verwalten von DNS-Servern als mit dem Installieren verbringen. Obwohl der DNS-Server über keine besonderen Überwachungsfähigkeiten verfügt, sollten Sie eine Reihe zusätzlicher Optionen kennen, wenn Sie Ihren DNS-Server langfristig verwalten. Ein Hilfsprogramm, das sehr nützlich für das Verwalten Ihres DNS-Servers ist, ist das DNS-Snap-In im MMC, das als DNS im Menü VERWALTUNG aufgelistet ist. Um die Fähigkeiten der DNS-Konsole näher kennen zu lernen, öffnen Sie DNS. Wählen Sie den DNS-Server und klicken Sie auf das Menü VORGANG, um die verfügbaren Aktionen zu sehen. Einige werden nachstehend auf geführt. 씰
Serveralterung/Eigenschaften für Aufräumvorgang. Öffnet das Dialogfenster Serveralterung/Eigenschaften für Aufräumvorgang
씰
Veraltete Ressourceneinträge manuell aufräumen.
씰
ALLE TASKS. Einschließlich Starten, Stoppen, Anhalten, Zusammenfassen und Neustarten des DNS Server Service.
씰
LÖSCHEN. Löscht den DNS-Server.
씰
AKTUALISIEREN. Verursacht, dass die angezeigte Information mit dem aktuellen Status erneuert wird.
씰
LISTE EXPORTIEREN. Exportiert die Information vom DNS-Server zu einer tab- oder kommabegrenzten Textdatei oder Unicode-Textdatei.
씰
EIGENSCHAFTEN. Öffnet das Dialogfenster EIGENSCHAFTEN für den ausgewählten DNS-Server.
Die folgenden Abschnitte gehen näher auf einige dieser Aktionen ein.
1.2 DNS verwalten und überwachen
1.2.1
Serveralterung/Eigenschaften für Aufräumvorgang
Sie können das Dialogfenster Serveralterung/Eigenschaften für Aufräumvorgang (Abbildung 1.41) zum Einstellen von 3 Optionen verwenden: Abbildung 1.41 Durch das richtige Einstellen der Alterungs-Verzeichnisparameter können die Leistung des Servers erhöht und die Probleme reduziert werden.
씰
Die Option RESSOURCENEINTRÄGE FÜR VERALTETEN AUFRÄUMVORGANG ermöglicht dem Server, veraltete Quellenverzeichnisse zu entfernen. Wenn dynamische Updates zugelassen sind, werden Verzeichnisse automatisch zu der Zone hinzugefügt, wenn Computer ans Netzwerk gehen. In manchen Fällen werden diese Verzeichnisse nicht automatisch gelöscht. Wenn z.B. ein Computer vom Netzwerk genommen wird, wird das ihm zugeordnete Quellenverzeichnis vielleicht nicht gelöscht. Besitzt Ihr Netzwerk viele mobile Anwender (und wessen Netzwerk tut das heute nicht?), dann kann dies häufig vorkommen. Um Ihre Zonentabelle von solchen ungenauen Verzeichnissen frei zu halten, sollten Sie diese Option zulassen.
씰
Die Option INTERVALLE NICHT AKTUALISIEREN kontrolliert die Zeit zwischen der letzten Erneuerung des Zeitstempels eines Verzeichnisses und der Zeit, wenn der Zeitstempel wieder erneuert werden kann. In sehr dynamischen Netzwerken, an denen Computer häufig an- und abgemeldet werden, sollten Sie diesen Zeitraum auf weniger als die standardmäßig vorgegebenen 7 Tage einstellen.
85
86
Kapitel 1
씰
1.2.2
DNS
Die Option INTERVALLE AKTUALISIEREN setzt die Zeit fest zwischen dem frühesten Moment, in dem ein Zeitstempel eines Verzeichnisses erneuert werden kann, und dem frühestem Moment, in dem ein Verzeichnis aufgeräumt werden kann.
Ressourceneinträge für veralteten Aufräumvorgang manuell erstellen
Die Option RESSOURCENEINTRÄGE FÜR VERALTETEN AUFRÄUMVORGANG MANUELL ERSTELLEN räumt alte Quellenverzeichnisse auf. Wenn Sie diesen Befehl wählen, schreibt die Option DATEN DES SERVERS AKTUALISIEREN alle Änderungen, die im RAM auf der Festplatte des Servers vorhanden sind, in die Tabelle. (Um den Zwischenspeicher des Servers manuell zu leeren, klicken Sie mit der rechten Maustaste auf DNS-SERVER und wählen Sie CACHE LÖSCHEN aus dem Kontextmenü.) Abbildung 1.42 Im Register Schnittstellen können Sie verhindern, dass bestimmte IPAdressen auf DNSAnfragen antworten.
1.2.3
Eigenschaften einstellen
Gehen Sie auf Menü VORGANG und wählen Sie EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN öffnet sich (Abbildung 1.42). Im Dialogfenster haben Sie Zugang zu den folgenden Registern. (Denken Sie daran, dass die Titelzeile den Namen Ihres Servers anzeigt.) Das Dialogfenster EIGENSCHAFTEN ermöglicht Ihnen, neben dem Register SCHNITTSTELLEN, den Zugang zu folgenden weiteren Registern:
1.2 DNS verwalten und überwachen
Abbildung 1.43 Richtig angewendet können Forwarders die Auflösung von Domäneanfragen beschleunigen.
Abbildung 1.44 In der Registerkarte Erweitert können Sie Ihre Parameter genauer einstellen.
87
88
Kapitel 1
DNS
Abbildung 1.45 Das Register Hinweise auf das Stammverzeichnis ermöglicht Ihnen die Konfiguration von Adressen zusätzlicher DNSServer für Lookups.
PRÜFUNGSTIPP Sie müssen wissen, wann Round-Robin-DNS eingesetzt wird. Für die Prüfung sollten Sie wissen, dass Round-Robin-DNS auch als »Poor Man’s Load Balancing« bekannt ist. Durch Round-Robin können Sie DNS so einsetzen, dass die Belastung auf eine Gruppe von Servern verteilt wird, indem Sie mehrere IP-Adressen mit einem einzigen DNS-Verzeichnis verbinden können. Jedes Mal, wenn eine Auflösung angefragt wird, schickt DNS das »nächste« Verzeichnis aus der Adressenliste zurück.
Das Register WEITERLEITUNGEN ermöglicht Ihnen, eine Liste von Weiterleitungen zu konfigurieren, die der Server benutzen soll (siehe Abbildung 1.43). Eine Weiterleitung ist eine Art Verknüpfung zur Domänen-Auflösung. Wenn ein DNS-Server eine Anfrage für eine Zone erhält, für die er nicht zuständig ist, leitet er die Anfrage normalerweise zum Root-Server für diese Domäne weiter und folgt dann dem Baum, bis entweder die Zeit abgelaufen ist oder er eine Antwort erhält. Bei einer Weiterleitung können Sie sicher sein, dass er die Antwort auf die DNS-Anfrage bereits zwischengespeichert hat und viel schneller antworten kann.
1.2 DNS verwalten und überwachen
Das Register ERWEITERT ermöglicht Ihnen, folgende erweiterte Optionen zu konfigurieren (Abbildung 1.44): 씰
REKURSIONVORGANG DEAKTIVIERT. Ermöglicht dem DNS-Server iterative Anfragen und verweist den Client an einen DNS-Server, der die Antwort haben könnte. Wenn Rekursion zugelassen ist, ist der DNS-Server gezwungen, die Anfrage selbst aufzulösen. Iterative Anfragen erfordern viel weniger Platzbedarf auf dem Server.
씰
SEKUNDÄRE ZONEN AUF BIND-SERVERN. Ermöglicht Unterstützung für die BIND-Version von DNS.
씰
FEHLER BEIM LADEN MELDEN, FALLS DEFEKTE ZONENDATEN AUFTRETEN. Schützt den Server vor dem Laden von schlechten Daten in der Zonen-Datei.
씰
ROUND-ROBIN AKTIVIERT. Ermöglicht Ihnen, Server in einem DNS-Eintrag zusammenzulegen, sodass die Antwort auf eine Anfrage nach einem Hostnamen jede aus einer Gruppe von Adressen sein kann.
씰
ANFORDERUNG DER NETZMASKE AKTIVIERT. Ist standardmäßig zugelassen und legt fest, dass der DNS-Server die Anfrage mit der Adresse auflöst, die der IP-Adresse des anfragenden Clients am nächsten kommt, und sie in der Antwort an erster Stelle aufführt. Wenn sowohl Round-Robin als auch Netzmaske zugelassen sind, wird zuerst die Netzmaske versucht.
씰
ZWISCHENSPEICHER VOR BESCHÄDIGUNGEN SICHERN. Hilft sicherzustellen, dass falsche Einträge nicht in den DNS-Zwischenspeicher des Servers geladen werden.
씰
NAMENSÜBERPRÜFUNG. Ermöglicht Ihnen, die Namensarten festzulegen, die der Server als Teil seiner DNS-Tabelle aufnehmen wird.
씰
ZONENDATEN BEIM START LADEN. Ermöglicht Ihnen festzulegen, von wo aus DNS die ursprüngliche Tabelle lädt, wenn der Dienst beginnt. Die sicherste Option ist Aus ACTIVE DIRECTORY UND REGISTER.
씰
AUFRÄUMVORGANG BEI VERALTETEN EINTRÄGEN AKTIVIEREN. Gibt Ihnen die Möglichkeit, Ressourceneinträge für veralteten Aufräumvorgang zu automatisieren und ebenso Zeiträume festzulegen.
Die Register HINWEISE AUF DAS STAMMVERZEICHNIS ermöglicht Ihnen, andere DNS-Server für das Forwarding von DNS-Anfragen im Netzwerk zu konfigurieren, wo dies angebracht ist (Abbildung 1.45).
89
90
Kapitel 1
DNS
Das Register PROTOKOLLIERUNG ermöglicht Ihnen, Serverprotokollierung zu konfigurieren (Abbildung 1.46). Sie können die Protokoll-Optionen festlegen, indem Sie die entsprechende Option zum Zulassen auswählen. Die Protokolldatei ist zu finden unter %SystemRoot%\system32\dns\dns.log. %SystemRoot% ist normalerweise Ihr Windows-System-Dateiverzeichnis. Das Register ÜBERWACHEN automatisiert das Testen des DNS Server-Dienstes, und das Register SICHERHEITSEINSTELLUNGEN ermöglicht Ihnen, die Rechte für den DNS-Service zu konfigurieren (Abbildung 1.47). Abbildung 1.46 Eine Reihe von Parametern können protokolliert werden, um die Anwendung des DNS-Servers aufzuzeichnen.
1.2 DNS verwalten und überwachen
Abbildung 1.47 Je weniger Leute Rechte für den DNS-Service haben, desto besser – wie bei allen Dingen, die mit Sicherheit verbunden sind.
PRÜFUNGSTIPP Sie müsse ssen nicht alle Leistungsindik dikatoren auswendig dig lernen. Microsoft erwartet nicht, dass Sie alle Leistungsindikatoren auswendig kennen. Sie sollten jedoch mit den verschiedenen Arten vertraut sein und wissen, wie die Leistungskonsole verwendet wird.
PRÜFUNGSTIPP Die wichtigsten Leistungsindikatoren sind AXFR und IXFR. Zwei besonders wichtige Leistungsindikatoren sind der AXFR-Zähler und der IXFR-Zähler. Denken Sie daran, dass AXFR- Leistungsindikatoren in Verbindung mit ganzen Zonentransfers und IXFR-Leistungsindikatoren in Verbindung mit inkrementellen Zonentransfers verwendet werden.
HINWEIS Einen Zähler identifizieren. Sollten Sie wissen müssen, was ein Leistungsindikator bedeutet und sollten Sie Ihr Buch zu Hause unter dem Kopfkissen vergessen haben, so müssen Sie trotzdem nichts befürchten. Microsoft hat eine Option erstellt, die zum Definieren des Zählers hervorragend geeignet ist. Wählen Sie einfach den Leistungsindikator aus, über den Sie mehr wissen möchten, und klicken Sie auf die Schaltfläche ERKLÄRUNG.
91
92
Kapitel 1
DNS
Nachdem Sie nun die Optionen für das Überwachen des DHCP-Servers kennen gelernt haben, sehen wir uns einige der Arten zum Überwachen des Dienstes an. Bevor wir darauf eingehen, wie der DNS-Server überwacht wird, sollten wir erörtern, was überwacht werden kann. Folgende Gruppen von Leistungsindikatoren stehen für das DNS-Objekt zur Verfügung. Aufgrund der großen Zahl von Leistungsindikatoren gehen wir nur auf die Folgenden Leistungsindikator-Arten ein: 씰
AXFR- LEISTUNGSINDIKATOREN. Diese Zähler stehen in Verbindung mit den vollständigen Zonen-Transfer-Anfragen, die der Master-DNS-Server erhält. Zu dieser Gruppe zählen ERHALTENE ANFRAGEN, GESENDETE ANFRAGEN, ERHALTENE ANTWORTEN, ERFOLGREICH ERHALTEN und ERFOLGREICH GESENDET.
씰
CACHESPEICHER. Dieser Zähler überprüft die Speichermenge, die der DNSServer braucht.
씰
DATENBANKKNOTENSPEICHER. Dieser Speicher überprüft die Speichermenge von Datenbankknoten, die der DNS-Server braucht.
씰
DYNAMISCHE AKTUALISIERUNG. Diese Zähler sind mit dem dynamischen Update von DNS verbunden. Diese Gruppe beinhaltet OHNE VORGÄNGE, OHNE VORGÄNGE/SEK, WARTESCHLANGE.
씰
IXFR-LEISTUNGSINDIKATOR. Diese Leistungsindikatoren sind verbunden mit den inkrementalen Zonentransfer-Anfragen, die der Master-DNS-Server erhält. Diese Gruppe beinhaltet ERHALTENE ANFRAGEN, GESENDETE ANFRAGEN, ERHALTENE ANTWORDEN, ERFOLGREICH ERHALTEN, ERFOLGREICH GESENDET, TCP ERFOLGREICH ERHALTEN und UDP ERFOLGREICH ERHALTEN.
씰
NBSTAT-SPEICHER. Dieser NBSTAT überprüft die NBSTAT-Speichermenge, die der Server braucht.
씰
EMPFANGEN/GESENDET. Dieser NBSTAT überprüft die Meldungen, die der sekundäre DNS-Server gesendet und erhalten hat.
씰
EINTRAGSDATENSTROMSPEICHER. Dieser Leistungsindikator überprüft die Eintragsdatenstromspeicher, die der DNS-Server braucht.
씰
REKURSIV-ABFRAGEN. Der Rekursiv-Leistungsindikator ist verbunden mit den rekursiven Abfragen, die der DNS-Server durchführen muss. Diese Gruppe beinhaltet ABFRAGEN, ABFRAGEN/SEK, FEHLGESCHLAGENE ABFRAGEN, GESENDETE TIMEOUTS und TIMEOUT/SEK.
1.2 DNS verwalten und überwachen
씰
SICHERE AKTUALISIERUNGEN. Die Leistungsindikatorgruppe SICHERE AKTUALISIERUNGEN ist verbunden mit der Anzahl an sicheren Aktualisierungen, die gesendet und erhalten wurden. Diese Gruppe umfasst FEHLGESCHLAGEN, ERHALTEN, und ERHALTEN/SEC.
씰
TCP/UDP. Diese Leistungsindikatoren überprüfen jeweils die TCP und ZDP-Abfragen und -Antworten. Diese Gruppe umfasst Nachrichtenspeicher, Erhaltene Abfragen, Erhaltene Abfragen/Sec, Gesendete Antworten und Gesendete Antworten/Sec.
씰
GESAMT. Diese Leistungsindikatorenruppe zählt die Gesamtmenge der jeweiligen Kategorien von Anfragen und Antworten. Zu dieser Gruppe gehören Erhaltene Anfragen, Erhaltene Anfragen/sec, Gesendete Antworten und Gesendete Antworten/sec.
씰
WINS. Da DNS unter Windows 2000 für WINS-Lookups verwendet werden kann, umfassen die DNS-Leistungsindikatoren auch folgende WINS-spezifische Zähler: LOOKUP ERHALTEN, LOOKUP ERHALTEN/SEC, ANTWORTEN GESENDET, ANTWORTEN GESENDET/SEC, UMGEKEHRTE LOOKUP ERHALTEN, UMGEKEHRTE LOOKUP ERHALTEN/SEC, UMGEKEHRTE ANTWORTEN GESENDET, und UMGEKEHRTE ANTWORTEN GESENDET/SEC.
씰
ZONEN-TRANSFER. Die Leistungsindikatoren für Zonentransfers sind verbunden mit dem Prozess zum Übertragen von Kopien der DNS-Tabellen zwischen DNS-Servern. Diese Gruppe beinhaltet FEHLGESCHLAGEN, ANFRAGEN ERHALTEN, SOA-ANFRAGEN GESENDET, und ERFOLGREICH.
Um eine DNS-Leistungsüberwachung zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 1.14 Konfigurieren einer DNS-Leistungsüberwachung 1. Öffnen Sie die Leistungs-Applikation, indem Sie auf PROGRAMME, VERWALTUNG, SYSTEMMONITOR gehen (Abbildung 1.48). 2. Unter LEISTUNG wählen Sie SYSTEMMONITOR (Abbildung 1.49). 3. Um einen Eintrag in Systemüberwachung zu erstellen, klicken Sie auf das Hinzufügen(+)-Icon. Das Dialogfenster LEISTUNGSINDIKATOREN HINZUFÜGEN öffnet sich. Standardmäßig öffnet sich das Prozessor-Datenobjekt. 4. Wählen Sie das DNS-Datenobjekt. Die Liste der für DNS verfügbaren Leistungsindikatoren wird angezeigt (Abbildung 1.50). Abbildung 1.51 zeigt die erklärende Funktion der Leistungskonsole.
93
94
Kapitel 1
DNS
5. Nachdem Sie den Leistungsindikator gewählt haben, den Sie überwachen möchten, klicken Sie auf HINZUFÜGEN. Sie können mehrere Zähler hinzufügen, indem Sie entweder jeden einzelnen Zähler auswählen und auf HINZUFÜGEN klicken, oder indem Sie die Windows-Standard-Methode zum Auswählen mehrerer Punkte verwenden, d.h. die (Strg)-Taste gedrückt halten, während Sie alle Zähler auswählen, die Sie überwachen wollen, und dann auf HINZUFÜGEN klicken. Klicken Sie auf SCHLIESSEN, wenn Sie fertig sind. Ihre Zähler werden dann in einem Diagramm dargestellt, ähnlich wie die in Abbildung 1.52. Abbildung 1.48 Die Leistungskonsole ermöglicht es Ihnen, eine Reihe von System- und Anwendungsvorgängen zu überwachen, um so die Leistung und Gesundheit des Systems beurteilen zu können.
Abbildung 1.49 Der Systemmonitor ermöglicht Ihnen die Überwachung der Leistung Ihrer Serverstatistiken in Echtzeit.
1.2 DNS verwalten und überwachen
Abbildung 1.50 Die mit DNS verbundenen Leistungsindikatoren ermöglichen Ihnen die umfassende Überprüfung der Aktivitäten des DNS-Servers.
Abbildung 1.51 Um mehr Information über einen Leistungsindikator zu erhalten, wählen Sie ihn aus und klicken Sie auf Erklärung.
95
96
Kapitel 1
DNS
Abbildung 1.52 Nachdem alle Leistungsindikatoren hinzugefügt wurden, müssen die Daten nur noch sorgfältig ausgewertet werden.
Sie kennen nun die in der Verwendung DNS-Konsolen verfügbaren Verwaltungsoptionen, und Sie wissen, wie die Leistung verschiedener DNS-Leistungsindikatoren mit Hilfe der Leistungskonsole überwacht wird. Sie sollten nun über umfassendes Wissen über den Windows 2000 DNS Server Service und über DNS allgemein verfügen. Sehen wir uns nun an, wie Sie dieses Wissen in praktischen Situationen einsetzen können.
Fallstudie Das Wichtigste im Überblick Das Wesentliche des Falles ist Folgendes: 1. Ihre Firma ist gerade dabei, auf eine reine Windows-2000-Umgebung umzusteigen. 2. Ihre Firma besteht derzeit aus drei Unternehmen, von denen jedes die lokale Kontrolle über sein DNS behalten muss. 3. Die Anwender jedes Unternehmens müssen Adressen für die Hosts der anderen Unternehmen so schnell wie möglich auflösen können. 4. Die Firmenzentrale muss für jedes der Unternehmen Adressen auflösen können, muss aber keine DNS-Domäne unterhalten.
Fallstudie
Situationsbeschreibung Sie sind Netzwerk-Administrator bei NR Widgets Inc., einem multinationalen Großkonzern, und Sie arbeiten in der Zentrale des Großkonzerns. NR Widgest Inc. setzt sich aus drei Unternehmen zusammen: NR Manufacturing, NR Consulting und NR Telecommunications. Jedes dieser Unternehmen hat seine eigene IT-Abteilung und unterhält seine eigene Netzwerk-Infrastruktur. Ebenso hat jedes der Unternehmen seine eigene DNS-Domäne. Man hat Sie gebeten, das Netzwerk, d.h. sowohl die Clients als auch die Server, mit Windows 2000 auszustatten, sodass am Ende ein reines Windows-2000Netzwerk entsteht. Die erste Aufgabe auf Ihrer Liste ist es, eine Windows2000-fähige DNS-Infrastruktur zu implementieren. Dabei müssen Sie Folgendes beachten: 씰
Jede IT-Abteilung behält die Kontrolle über ihre Domäne.
씰
Die Anwender jedes Unternehmens haben die schnellstmögliche Auflösung für die Hosts der anderen Unternehmen.
씰
Die Anwender in der Zentrale brauchen eine schnelle DNS-Auflösung für jeden Host der Unternehmen.
씰
Da die Zentrale kein Computerzentrum ist, müssen Sie keinen MasterDNS-Server erhalten.
Was müssen Sie tun?
Situationsanalyse Zuerst werden Sie die Windows-2000-DNS-Server auslagern müssen. In Wirklichkeit sollten Sie jetzt auch ein Active Directory Services Design fertiggestellt haben, aber wir haben bisher nur die DNS-Dienste behandelt. Sie sollten die Server in folgender Weise auslagern: 씰
Zuerst erhält jedes Unternehmen den primären (Standard) DNS-Server für seine Domäne. Dadurch erhält das Unternehmen Kontrolle über seine Domäne. Aus Redundanzgründen sollte jedes Unternehmen auch einen sekundären Masterserver besitzen.
씰
Um jedem Unternehmen schnelles Auflösen von Adressen für die anderen Unternehmen zu ermöglichen, ist jeder primäre (Standard-) DNSServer gleichzeitig auch sekundärer Masterserver für die anderen Unternehmen. Dadurch können die Anwender lokale Lookups vornehmen.
97
98
Kapitel 1
DNS
씰
Die Unternehmenszentrale braucht einen Caching-Only-Server, der so konfiguriert ist, dass er Cache-Updates von den anderen DNS-Servern im Netz erhalten kann. Eine andere Möglichkeit wäre, einen DNS-Server einzurichten, der als sekundärer Master für die drei Unternehmensdomänen dient.
씰
Schließlich sollten alle DNS-Server so eingerichtet sein, dass sie dynamische Updates zulassen. Dies ist in reinen Windows-2000-Umgebungen erforderlich.
Wenn Sie das Kapitel aufmerksam durchgelesen haben, sollte diese Fallstudie recht einfach für Sie gewesen sein. Nachdem die DNS-Server eingerichtet sind und laufen, werden Sie natürlich auch einige der Überwachungen einrichten wollen, die wir am Ende des Kapitels durchgenommen haben.
Zusammenfassung Wiederholen wir einmal, was in diesem Kapitel durchgenommen wurde. Wir sind auf alle Schlüsselpunkte für das Benutzen eines Windows-2000-DNS-Servers in einer Windows-2000-Umgebung eingegangen. Zunächst haben wir die Geschichte und die Funktionsweise von DNS erläutert. Wir haben Reverse-Lookups, mit denen eine IP-Adresse in einen Hostnamen aufgelöst werden kann, und die verschiedenen Verzeichniseinträge durchgenommen. Ebenso sind wir auf die Namenskonventionen für Standard-DNS und den im Windows 2000 integrierten DNS-Service eingegangen. Als Nächstes haben wir das Installieren und Konfigurieren eines Windows 2000 DNS Server Service erläutert. Dazu gehören all die wichtigen Konfigurationsaktivitäten, angefangen von der ersten Installation bis hin zum manuellen Erstellen eines DNS-Verzeichnisses. Wir sind ebenfalls auf das Konfigurieren eines DNS-Clients und auf das Konfigurieren einer Zone für dynamische Updates eingegangen. Das Ende des Kapitels handelte vom Verwalten und Überwachen des DNS-Service. Sehen wir uns nun einige Übungen und Fragen an.
Lernzielkontrolle
Schlüsselbegriffe 쎲
Anhang
쎲
Hierarchie
쎲
Ausschluss
쎲
Knoten
쎲
Baum
쎲
Lease
쎲
Blatt
쎲
Management Information Base (MIB)
쎲
Caching
쎲
Primär (Standard)
쎲
Caching-Only-Server
쎲
Reverse-Lookupzone
쎲
DNS-Clientcomputer
쎲
RFC
쎲
DNS-Server
쎲
Sekundär (Standard)
쎲
Domain Name System (DNS)
쎲
Start of Authority (SOA)
쎲
Domäne
쎲
Top-Level-Domäne (TLD)
쎲
Dynamic Host Configuration Protocol (DHCP)
쎲
Transmission Control Protocol/Internet Protocol (TCP/IP)
쎲
Forward-Lookupzone
쎲
Verzeichniseinträge
쎲
Fully Qualified Domain Name, FQDN
쎲
Zone
Lernzielkontrolle Übungen 1.1
Erstellen einer DNS-Zone
In folgender Übung verwenden Sie die Anwendung DNS-Konsole zum Erstellen einer vorwärts gerichteten Lookupzone. Geschätzte Zeit: 10 Minuten 1. Öffnen Sie die DNS-Konsole, indem Sie auf VERWALTUNG gehen und DNS wählen. Klicken Sie mit der rechten Maustaste auf DNS-SERVER und wählen Sie NEUE ZONE. 2. Klicken Sie auf WEITER, um zum Dialogfenster ZONENTYP zu gelangen. Wählen Sie als zu erstellende Zonenart PRIMÄR (STANDARD). Klicken Sie auf WEITER. 3. Wählen Sie Forward-Lookupzone und klicken Sie auf WEITER.
99
100
Kapitel 1
DNS
4. Geben Sie im Namensfeld des Dialogfensters ZONENNAME den Namen der Domäne ein, für die Sie Namen auflösen werden. Klicken Sie auf WEITER. 5. Das Dialogfenster ZONENDATEI wird geöffnet. Arbeiten Sie mit den Standardeinstellungen, um eine neue Zone zu erstellen. Klicken Sie auf WEITER. 6. Das Dialogfenster für das Fertigstellen der Konfiguration des DNS-ServerAssistenten wird geöffnet. Klicken Sie auf FERTIG STELLEN, um die Konfiguration zu beenden. Die neue Domäne erscheint nun in der DNS-Konsole. 1.2
Manuelles Erstellen eines DNS-Verzeichnisses
Die folgende Übung zeigt Ihnen, wie ein DNS-Verzeichnis manuell erstellt wird. Geschätzte Zeit: 5 Minuten 1. Öffnen Sie die DNS-Konsole in der Programmgruppe VERWALTUNG. Klicken Sie mit der rechten Maustaste auf die Zone, der Sie einen Eintrag zufügen wollen und wählen Sie die Art des Eintrages, den Sie erstellen wollen. 2. Für diesen Vorgang erstellen Sie ein neues Alias(CNAME) -Verzeichnis. Wählen Sie NEUES ALIAS. Das Dialogfenster NEUES ALIAS öffnet sich. 3. Geben Sie im Alias-Namensfeld den Alias-Namen ein. Sie können den FQDN-Namen oder auch einfach den Hostnamen verwenden. Wenn Sie nur den Hostnamen einsetzen, wird der Rest des FQND für die Domäne, für die Sie einen Eintrag erstellen, automatisch angehängt. 4. Geben Sie den FQDN für den Alias-Host in das Feld VOLLQUALIFIZIERTER NAME DES ZIELHOSTS ein. 5. Klicken Sie auf OK, um den Eintrag zu erstellen. 1.3
Überwachen der DNS-Server-Leistung mit Hilfe der Anwendung Leistung
Diese Übung erklärt das Hinzufügen eines Zählers zur Leistungskonsole, sodass Sie Ihren DNS-Server überwachen oder eine Fehlerbeseitigung durchführen können. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie das Programm Leistung, indem Sie auf PROGRAMME, VERWALTUNG, LEISTUNG gehen. 2. Unter LEISTUNG wählen SIE SYSTEMÜBERWACHUNG. 3. Um einen Eintrag in Systemüberwachung zu erstellen, klicken Sie auf das Hinzufügen(+) -Icon. Das Fenster LEISTUNGSINDIKATOREN HINZUFÜGEN öffnet sich. Achten Sie darauf, dass sich standardmäßig das Objekt PROZESSORLEISTUNG öffnet.
Lernzielkontrolle
4. Wählen Sie das DNS-Leistungsobjekt. 5. Wählen Sie den Leistungsindikator, den Sie überwachen möchten, und klicken Sie auf HINZUFÜGEN. Sie können mehrere Leistungsindikatoren auswählen, indem Sie entweder jeden Leistungsindikator einzeln auswählen und auf HINZUFÜGEN klicken, oder indem Sie die Windows Standardmethode zum Auswählen mehrerer Punkte wählen, d.h. indem Sie die Strg-Taste gedrückt halten, während Sie die gewünschten Leistungsindikatoren auswählen, und dann auf HINZUFÜGEN klicken. Wenn Sie dies beendet haben, klicken Sie auf SCHLIESSEN. Wiederholungsfragen 1. Sie sind Netzwerkadministrator bei Exponent Mathematicians, und man hat Sie gebeten, DNS für eine reine Windows-Umgebung zu implementieren. Dazu sollen die Vorteile von Windows 2000 voll ausgenutzt werden. Wie sollten Sie vorgehen und warum? 2. Sie sind der Administrator für den DNS-Server der Kette Get Stuffed Taxidermists. Sie erhalten aus verschiedenen Feldspeicherorten Beschwerden darüber, dass es lange dauert, Internetadressen aufzulösen. All die Sites, von denen Beschwerden ausgehen, laufen über langsame WAN-Verbindungen. Was sollten Sie unternehmen? 3. Sie sind der Windows-2000-Administrator für Bug-B-Gone Exterminators. Ihr Intranet ist in verschiedene DNS-Zonen aufgeteilt, von denen jede von ihrer entsprechenden Abteilung unterhalten wird. Sie erhalten aus verschiedenen Feldspeicherorten Beschwerden darüber, dass es lange dauert, interne Adressen aufzulösen. All die Sites, von denen Beschwerden ausgehen, laufen über langsame WAN-Verbindungen. Was sollten Sie unternehmen? 4. Sie sind der Administrator des Windows-2000-DNS-Server der Firma Little Faith. Einer Ihrer Endanwender versucht, die 128-Bit-Version des Windows2000-Service-Packs 1 herunterzuladen. Die Webseite von Microsoft verweigert ihm den Zugriff, und sagt, dass diese Domäne nicht aufgelöst werden kann. Was können Sie unternehmen, um diesen Fehler zu beheben? 5. Sie sind der LAN-Administrator der Firma Think About IT Consulting Services. Sie arbeiten mit einer Windows-NT-4-Domäne-Architektur und haben soeben Ihren ersten Windows-2000-Client implementiert. Sie haben den Client so konfiguriert, dass er dynamische Updates für DNS ausführt, aber diese erscheinen nicht in der Tabelle. Warum nicht, und was können Sie unternehmen, um das Problem zu beheben?
101
102
Kapitel 1
DNS
Prüfungsfragen 1. Sie sind Netzwerkadministrator bei Wild Widgets Inc. Sie erklären einer neuen Angestellten die Anwendung des DNS-Services in einem Windows-2000Server. Sie fragt Sie, wie eine DNS-Anfrage aufgelöst wird, wenn der Name nicht zwischengespeichert ist und es sich um eine Domäne einer anderen Person handelt. A. Der Client stellt eine Anfrage an den lokalen DNS-Server. Der DNS-Server sucht in einem lokalen Cache nach Namen, die er in letzter Zeit aufgelöst hat. Der Namenserver konsultiert die Host-Tabelle im DNS-Server, um herauszufinden, ob ein statischer oder dynamischer Eintrag für den Lookup Hostnamen in IP-Adresse vorhanden ist. Der Namenserver verweist die Anfrage an einen Root-Name-Server. Der Root-Name-Server schickt die Anfrage an einen Namenserver für die First-Level-Domäne im Hostnamen. Der Namenserver für die First-Level-Domäne schickt die Anfrage weiter an einen Name-Server für die Second-Level-Domäne im Hostnamen, usw., bis schließlich ein Namenserver gefunden wird, der den ganzen Hostnamen auflösen kann. B. Der Client stellt eine Anfrage an den lokalen DNS-Server. Der Namenserver konsultiert die Host-Tabelle im DNS-Server, um herauszufinden, ob ein statischer oder dynamischer Eintrag für den Lookup Hostnamen in IPAdresse vorhanden ist. Der DNS-Server sucht in einem lokalen Pufferspeicher nach Namen, die er in letzter Zeit aufgelöst hat. Der Namenserver verweist die Anfrage an einen Root-Name-Server. Der Root-NameServer schickt die Anfrage an einen Namenserver für die First-LevelDomäne im Hostnamen. Der Namenserver für die First-Level-Domäne schickt die Anfrage weiter an einen Namenserver-Server für die SecondLevel-Domäne im Hostnamen, usw., bis schließlich ein Namenserver gefunden wird, der den ganzen Hostnamen auflösen kann. C. Der Client stellt eine Anfrage an den lokalen DNS-Server. Der Namenserver konsultiert die Host-Tabelle im DNS-Server, um herauszufinden, ob ein statischer oder dynamischer Eintrag für den Lookup Hostnamen in IPAdresse vorhanden ist. Der Namenserver verweist die Anfrage an einen Root-Name-Server. Der Root-Name-Server schickt die Anfrage an einen Namenserver für die First-Level-Domäne im Hostnamen. Der Namenserver für die First-Level-Domäne schickt die Anfrage weiter an einen Namenserver für die Second-Level-Domäne im Hostnamen, usw., bis schließlich ein Namenserver gefunden wird, der den ganzen Hostnamen auflösen kann.
Lernzielkontrolle
D. Der Client stellt eine Anfrage an den lokalen DNS-Server. Der DNS-Server sucht in einem lokalen Pufferspeicher nach Namen, die er in letzter Zeit aufgelöst hat. Der Namenserver konsultiert die Host-Tabelle im DNS-Server, um herauszufinden, ob ein statischer oder dynamischer Eintrag für den Lookup Hostnamen in IP-Adresse vorhanden ist. Der Namenserver schickt die Anfrage an einen Namenserver für die First-LevelDomäne im Hostnamen. Der Namenserver für die First-Level-Domäne schickt die Anfrage weiter an einen Namenserver für die Second-LevelDomäne im Hostnamen, usw., bis schließlich ein Namenserver gefunden wird, der den ganzen Hostnamen auflösen kann. 2. Sie sind der Systemadministrator bei Phil’s Phill-up Stations, einer Tankstellen-Kette. Als einen Teil des Netzwerkes unterhalten Sie auch einen Windows-2000-DNS-Server, um dynamische DNS-Updates zu erhalten. Der Server ist installiert und läuft, aber er erhält zurzeit keine dynamischen Updates. Wie stellen Sie den DNS-Server so ein, dass er dynamische Updates erhält? A. Öffnen Sie den DNS-Administrator. Wählen Sie den DNS-Server und klicken Sie mit der rechten Maustaste darauf. Wählen Sie DYNAMISCHE UPDATES ERHALTEN. Der Assistent für dynamische Updates beginnt. Folgen Sie den Anweisungen, um die Konfiguration für dynamische Updates fertigzustellen. B. Öffnen Sie die DNS-Konsole. Öffnen Sie die Eigenschaften für die Zone, die Sie für den Erhalt von dynamischen Aktualisierungen konfigurieren möchten. Setzen Sie im Register ALLGEMEIN die Option DYNAMISCHE AKTUALISIERUNGEN ZULASSEN auf Ja. Klicken Sie OK. C. Öffnen Sie die DNS-Konsole. Öffnen Sie im Programmmenü VERWALTUNG die die DNS-Konsole. Öffnen Sie die Eigenschaften für die Zone, die Sie für den Erhalt von dynamischen Aktualisierungen konfigurieren möchten. In der Registerkarte UPDATES klicken Sie auf die Option AUSWÄHLEN, DYNAMISCHE UPDATES ZULASSEN, und setzen Sie das Pulldown-Menü auf JA. Klicken Sie auf OK. D. Öffnen Sie die DNS-Konsole. Öffnen Sie im Programmmenü Verwaltung die DNS-Konsole. Öffnen Sie die Eigenschaften für die Zone, die Sie für den Erhalt von dynamischen Updates konfigurieren möchten. Im Register Updatesregister setzen Sie das dynamische Updates zulassen Pull-DownMenü auf Ja. Klicken Sie auf OK.
103
104
Kapitel 1
DNS
3. Sie sind LAN-Administrator der Detektiv-Agentur OUI Find-em. Ihr Chef hat Sie gebeten, einen DNS-Domänennamen für das Unternehmen zu registrieren. Welcher der folgenden Namen ist kein zulässiger Second-Level-Domänenname? A. findem.art B. findem.net C. findem.org D. findem.cc 4. Sie sind LAN-Administrator bei Little Faith Enterprises Meat Packing. Sie betreiben ein reines Windows-2000-Netzwerk mit sechs Windows-2000DNS-Servern für Ihre Domäne. Einer der sekundären Server erhält anscheinend keine Aktualisierungen. Wie können Sie überprüfen, ob der Server Aktualisierungen erhält? A. Öffnen Sie den Leistungs-Manager. Klicken Sie auf das Icon ZÄHLER HINZUFÜGEN. Wählen Sie das Objekt DNS-SERVER und wählen Sie dann den Zähler ERFOLGREICHE ZONEN-TRANSFERS. Klicken Sie auf HINZUFÜGEN, um den Zähler hinzuzufügen und die Zonentransfers zu überwachen. B. Öffnen Sie die Leistungskonsole. Klicken Sie auf das Icon ZÄHLER HINZUFÜGEN. Wählen Sie das Objekt DNS-Server und wählen Sie dann den Zähler ERFOLGREICHE AXFR. Klicken Sie auf HINZUFÜGEN, um den Zähler hinzuzufügen und die Zonentransfers zu überwachen. C. Öffnen Sie die DNS-Konsole. Wählen Sie die Zone, die Probleme verursacht, und klicken Sie mit der rechten Maustaste darauf. Wählen Sie aus dem Kontextmenü STATISTIK und überprüfen Sie, ob Zonen-Transfers erhalten werden. D. Öffnen Sie das Programm LEISTUNG. Klicken Sie auf das Applet LEISTUNGSINDIKATOREN HINZUFÜGEN. Wählen Sie das Objekt DNS-SERVER und wählen Sie dann den Leistungsindikator ERFOLGREICHE ZONENÜBERTRAGUNGEN. Klicken Sie auf HINZUFÜGEN, um den Leistungsindikator hinzuzufügen und die Zonentransfers zu überwachen. 5. Sie sind Hauptingenieur bei Little Faith Enterprises, und ein Kunde hat Sie gebeten, auf dem Windows-2000-Server den DNS-Dienst einzurichten und eine Zone zu so konfigurieren, dass sie Adressen bearbeiten kann. Welche Schritte müssen Sie mindestens unternehmen, um dieses Ziel zu erreichen?
Lernzielkontrolle
A. Gehen Sie in SYSTEMSTEUERUNG auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie NETZWERKKOMPONENTEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, autorisieren Sie ihn im Active Directory. Dann erstellen Sie die Zone. B. Gehen Sie in SYSTEMSTEUERUNG auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie NETZWERKKOMPONENTEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, benutzen Sie den Assistenten für die Serverkonfiguration, um das Setup fertigzustellen und die erste Zone zu erstellen. C. Gehen Sie in SYSTEMSTEUERUNG auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie NETZWERKKOMPONENTEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, erstellen Sie die Zone. Erstellen Sie eine Reverse-Lookupzone. D. Gehen Sie in SYSTEMSTEUERUNG auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie NETZWERKKOMPONENTEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, erstellen Sie die Zone. 6. Sie sind Netzwerk-Administrator bei Hittem Boxing Glove Corporation. Diese betreiben ein geroutetes Netzwerk mit einem zentralen Windows 2000 DNS-Server. Sie müssen ein DNS-Verzeichniseintrag erstellen, damit Ihre Domäne Internet-Mails empfangen kann. Welche Art von Eintrag müssen Sie erstellen? A. Einen CNAME-Eintrag. B. Einen A-Eintrag C. Einen PTR-Eintrag D. Einen MX-Eintrag 7. Sie verwalten den Windows-2000DNS-Server für die Bang Bang Hammer Corporation. Sie betreiben eine reine Windows-2000-Umgebung, und Sie müssen sicherstellen, dass die Workstations richtig im DNS für die ActiveDirectory-Integration registriert sind. Wie müssen Sie diese DNS-Integration konfigurieren? A. Die erforderlichen Zonen konfigurieren, um dynamische Aktualisierungen zuzulassen. B. Den DNS-Server konfigurieren, um dynamische Updates zuzulassen. C. Den DHCP-Server konfigurieren, um sicher zu sein, dass dynamische Updates gesendet werden. D. Den Windows-2000-DNS-Client auf den Workstations installieren.
105
106
Kapitel 1
DNS
8. Sie sind der LAB-Administrator bei UR Write Publishing, einem Verlagshaus. Sie sind für das Windows-2000-Netzwerk der Firma einschließlich der Windows-2000-DNS-Server verantwortlich. Sie haben eine Zweigstelle über eine langsame WAN-Verbindung. Wie stellen Sie DNS am besten ein, um interne Hostnamen aufzulösen? A. Sie erstellen eine delegierte Zone für die Zweigstelle und lassen alle DNSClient in diesem Büro von dieser Zone auflösen. B. Sie konfigurieren einen Caching-Only-Server und lassen alle DNS-Client von diesem Server auflösen. C. Sie benutzen einen zentralisierten DNS-Server und konfigurieren ihn für inkrementelle Updates. D. Sie konfigurieren den DNS-Client so, dass er den nahe liegendsten DNSServer selbst findet. 9. Sie sind als Computer-Administrator bei der Call-Me-Telefongesellschaft beschäftigt. Sie haben nur einen DNS-Server, der Namen für Ihre interne Domäne auflöst, und Sie haben eine Verbindung zum Internet. Sie müssen auf dem Client DNS konfigurieren, um Internet-Adressen aufzulösen. Wie gehen Sie vor? A. Sie installieren auf jedem Client den Microsoft-DNS-Kunden. Sie konfigurieren den Client so, dass er Namen für den DNS-Server auflöst. Sie konfigurieren auf dem Server Hinweise auf das Stammverzeichnis, welche auf den Internet-Root-Server hinweisen. B. Auf jedem Client konfigurieren Sie die DNS-Einstellungen in den TCP/ IP-Protokoll-Eigenschaften so, dass Namen für den DNS-Server aufgelöst werden. Sie konfigurieren die Hinweise auf das Stammverzeichnis auf dem Server so, dass sie auf die Internet-Root-Server verweisen. C. Sie installieren einen neuen DNS-Server, der Internet-Domänennamen auflöst. Auf jedem Client konfigurieren Sie die DNS-Einstellungen in den TCP/IP-Protokoll-Eigenschaften, um Namen für den DNS-Server aufzulösen. D. Auf jedem Client konfigurieren Sie die DNS-Einstellungen in den TCP/ IP-Protokoll-Eigenschaften, um Namen für den DNS-Server aufzulösen. 10. Welcher der folgenden Namen ist der vollqualifizierte Domänenname für den Host Home in der Sales-Domäne für das Unternehmen UR Write? Die Domäne des Unternehmens ist urwrite.net.
Lernzielkontrolle
A. HOME B. HOME.SALES.NET C. HOME.URWRITE.NET D. HOME.SALES.URWRITE.NET 11. Sie sind der LAN-Administrator bei Blue Sky Airlines. Ihre Firma besitzt ein gemischtes Windows-2000-Netzwerk, und Sie arbeiten immer noch mit einem Windows-NT-4-DNS-Server. Sie möchten die Windows-98-Computer in der Verkaufsabteilung so konfigurieren, dass sie dynamische Updates für Identifizierungs-Zwecke verwenden. Wie gehen Sie dazu vor? A. Sie stellen den DNS-Server auf Windows 2000 um. Sie konfigurieren ihn so, dass er dynamische Updates zulässt. Sie konfigurieren die Windows98-Clients so, dass sie dynamische Updates senden. B. Sie stellen den DNS-Server auf Windows 2000 um. Sie konfigurieren ihn so, dass er dynamische Updates zulässt. Sie stellen die Windows-98-Computer auf Windows 98 Zweite Edition um, um die Möglichkeit zu dynamischem DNS zu erhalten. Sie konfigurieren die Windows-98-Clients so, dass sie dynamische Updates senden. C. Sie stellen Ihre Windows-98-Computer auf Windows 2000 Professional um, um die Möglichkeit für dynamisches DNS zu erhalten. Sie konfigurieren die Windows-2000-Clients so, dass sie dynamische Updates senden. D. Sie stellen den DNS-Server auf Windows 2000 um. Sie konfigurieren ihn so, dass er dynamische Updates zulässt. Sie stellen Ihre Windows-98Computer auf Windows 2000 Professional um, um die Möglichkeit für dynamisches DNS zu erhalten. Sie konfigurieren die Windows-2000-Clients so, dass sie dynamische Updates senden. 12. Sie sind Netzwerkadministrator bei Little Big Men Clothiers. Sie haben einen Windows-2000-DNS-Server installiert, aber die Mitarbeiter können keine Namen auflösen. Sie müssen den Server testen. Wie gehen Sie dazu vor? A. In der Eingabeaufforderung eines Windows-2000-Professional-Host lassen Sie das NSLOOKUP-Hilfsprogramm ablaufen, um die Funktion des DNS-Services zu testen. B. Sie gehen auf DATEI, START, und geben dann NSLOOKUP32 ein. In der Dialogbox DNS-SERVER geben Sie die Adresse Ihres DNS-Servers ein und klicken auf OK, um den NSLOOKUP-Test durchzuführen.
107
108
Kapitel 1
DNS
C. Sie geben vom Windows-2000-DNS-Server aus PING ein – und die Adresse des DNS-Servers. Prüfen Sie die Ergebnisse, um zu sehen, ob der Server arbeitet. D. Sie geben vom Windows-2000-DNS-Server aus PING-R und die Adresse des DNS-Servers ein. Prüfen Sie die Ergebnisse, um zu sehen, ob der Server arbeitet. 13. Sie sind Netzwerkadministrator bei Big Al’s Plumbing, und Sie betreiben ein reines Windows-2000-Netzwerk. Es traten immer wieder Netzwerk-Ausfälle bei Windows-2000-Anwendern an anderen Arbeitsplätzen auf, und Sie haben festgestellt, dass Sie für diese Workstations schlechte DNS-Einträge erhalten. Welches Problem liegt bei DNS vor? A. Die Vertragszeit für dynamische DNS-Einträge ist zu hoch eingestellt. B. Der DNS-Server ist nicht konfiguriert, um Aufräumungsvorgänge von schlechten DNS-Verzeichnissen zuzulassen. C. Das Timeout-Parameter für dynamische Updates ist zu hoch eingestellt. D. Das Timeout-Parameter für dynamische Updates ist zu niedrig eingestellt. 14. Sie sind Systemadministrator bei Round the Bend-Autoteile, und Sie sind für den Windows-2000-DNS-Server verantwortlich. Sie betreiben ein reines Windows-2000-Netzwerk und benutzen dynamische Aktualisierungen. Ein neuer Netzwerkadministrator hat Sie gefragt, wann ein Host das DNS dynamisch aktualisiert? Wann tritt eine Aktualisierung ein? (Kreuzen Sie alle zutreffenden Antworten an.) A. Die TCP/IP-Konfiguration wurde verändert. B. Die DHCP-Adresse wurde erneuert oder ein neuer Vertrag wurde erhalten. C. Ein Plug&Play-Vorfall ist aufgetreten. D. Ein DNS-Zonen-Transfer ist aufgetreten. E. Wenn der DNS-Server-Zwischenspeicher manuell geleert wurde. 15. Sie sind Netzwerkadministrator bei Mad Hatter Top Hats Inc. Sie sind verantwortlich für das interne Netzwerk der Firma, ein reines Windows-2000-Netzwerk, einschließlich DNS. Man hat Sie gebeten, einen Reverse-LookupEintrag für jede Workstation zu erstellen. Wie gehen Sie vor? A. Sie benutzen die DNS-Konsole, um eine Reverse-Lookupzone zu erstellen. Sie fügen jede Workstation manuell in die Reverse- Lookupzone ein.
Lernzielkontrolle
B. Sie benutzen die DNS-Konsole, um eine Reverse-Lookupzone zu erstellen. Sie konfigurieren die vorwärts gerichtete Lookupzone so, dass sie dynamische Aktualisierungen zulässt. Die Reverse-Lookupzone wird automatisch upgedated. C. Sie benutzen die DNS-Konsole, um eine Reverse-Lookupzone zu erstellen. Sie konfigurieren den DNS-Server so, dass er dynamische Aktualisierungen zulässt. Die Reverse-Lookupzone wird automatisch upgedated. D. Sie benutzen die DNS-Konsole, um eine Reverse-Lookupzone zu erstellen. Sie konfigurieren die vorwärts gerichtete Lookupzone so, dass sie dynamische Aktualisierungen zulässt. 16. Sie sind System-Administrator bei Round the Bend-Autoteile, und Sie sind für den Windows-2000-DNS-Server verantwortlich. Sie betreiben ein reines Windows-2000-Netzwerk und verwenden dynamische Updates. Sie glauben, dass Probleme in Ihren Zonentransfers auftreten und möchten deswegen alle Zonentransfers überwachen, um herauszufinden, ob das Problem hier liegt. Welche Leistungsindikatorengruppe müssen Sie überwachen? A. AXFR B. IXFR C. Dynamische Aktualisierungen D. Meldung Erhalten/Gesendet 17. Sie sind Netzwerkadministrator bei Hittem Boxing Glove Corporation. Diese betreiben ein geroutetes Netzwerk mit einem zentralen Windows-2000-DNSServer. Sie sollen ein Verzeichnis in DNS erstellen, das Ihnen erlaubt, eine Verbindung zu Ihrem Webserver aufzubauen, ohne dass eine IP-Adresse notwendig ist. Welche Art von Domäneneintrag brauchen Sie? A. Einen CNAME-Eintrag B. Einen A-Eintrag C. Einen PTR-Eintrag D. Einen MX-Eintrag 18. Sie sind Systemadministrator bei Look Out Airlines. Ihr Netzwerk besteht aus sieben Windows 2000 Servern und etwa 200 Windows-2000-Professional-Workstations. Zwei der Server betreiben DNS für Ihr Netzwerk. Für den größten Teil der Firma haben Sie einen Hauptsitz, aber Sie haben auch eine
109
110
Kapitel 1
DNS
Zweigstelle mit rund 50 Software-Ingenieuren, die technisch sehr interessiert sind und für ihre Entwicklungssysteme gerne ihr eigenes DNS betreiben würden. Wie gehen Sie dazu vor? A. Sie implementieren in der Zweigstelle einen sekundären Server. B. Sie implementieren einen sekundären Server in der Zentrale. C. Sie implementieren einen Caching-Server. D. Sie implementieren einen DNS-Server an der Zweigstelle und delegieren eine Subdomäne an diesen Server. 19. Wann ist ein geeigneter Zeitpunkt, um eine delegierte Zone für DNS zu implementieren? A. Sie müssen die Belastung des Erhalts einer großen Datenbank auf mehrere Namenserver verteilen. B. Sie müssen mehrere DNS-Zonen auf einem einzigen DNS-Server unterbringen. C. Sie müssen mehrere DNS-Zonen über mehrere Server verteilen. D. Sie müssen die Redundanz für eine kleine DNS-Zone erhöhen. 20. Wann ist ein geeigneter Zeitpunkt, um einen Caching-Server zu implementieren? A. Sie möchten ermöglichen, dass eine Zweigstelle lokale Updates in der DNS-Datenbank vornehmen kann. B. Sie möchten in einem Netzwerk mit einer großen Anzahl selten besuchter Hosts die DNS-Leistung verbessern. C. Sie möchten in einem Netzwerk mit einer kleinen Anzahl häufig besuchter Hosts die DNS-Leistung verbessern. D. Sie müssen die Redundanz einer kleinen DNS-Zone erhöhen. 21. Sie sind Netzwerkadministrator bei Gone Goodbye Memorabilia. Sie sind gerade dabei, als Vorbereitung für einen Windows-2000-Rollout DNS auf Ihrem Windows-2000-Server einzurichten. Ihr Domänenname ist gonegoodbye.org. Welches ist laut Standard der Name Ihrer Zonen-Datei? A. gonegoodbye.dns B. gonegoodbye.txt
Lernzielkontrolle
C. gonegoodbye.org.dns D. gonegoodbye.org.txt Antworten zu den Wiederholungsfragen 1. Die Platzierung des DNS-Servers hängt stark von der Netzwerk-Infrastruktur der Firma ab, aber Sie werden einen Windows 2000 DNS Service brauchen. Windows NT 4 DNS unterstützt dynamisches DNS nicht, und obwohl andere DNS-Server dynamisches DNS unterstützen, kommen diese aufgrund der Anforderung nach einer reinen Windows-Umgebung nicht in Frage. Obwohl es Vorteile zu einigen anderen Plattformen gibt, ist die Lösung mit einer einzigen Plattform in Umgebungen, in denen der Administrator eng mit Windows NT vertraut ist, nicht unüblich. Lesen Sie dazu den Abschnitt »Konfigurieren von Zonen für dynamische Aktualisierungen«. 2. Platzieren Sie einen sekundären Master-DNS-Server an jeder Stelle, von der Sie Beschwerden erhalten. Dadurch erhalten Sie lokale DNS-Auflösung und einen lokalen Cache für häufig besuchte Internet-Adressen. Lesen Sie dazu den Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DNS«. 3. Platzieren Sie einen Caching-Only DNS-Server für jede Site, von der Sie Beschwerden erhalten, und konfigurieren Sie diese so, dass sie zwischengespeicherte Informationen von anderen DNS-Servern im Netzwerk ziehen. Lesen Sie dazu den Abschnitt »Konfigurieren eines DNS-Caching-Only-Servers«. 4. Sie müssen sicherstellen, dass er einen Eintrag in Ihrer umgekehrten LookupTabelle hat. Die Seite von Microsoft versucht, seinen Speicherort, der auf Ihrer Domäne basiert, zu überprüfen, und muss dazu einen umgekehrten Lookup durchführen können. Wenn Sie keine Zone für Reverse-Lookups haben, müssen Sie eine erstellen. Lesen Sie dazu den Abschnitt »Reverse Lookups«. 5. Der Windwos-NT-4-DNS-Server unterstützt keine dynamischen DNS-Updates. Sie müssen auf Windows 2000 DNS umrüsten oder auf DNS einer anderen Firma zurückgreifen, das dynamische Updates unterstützt. Lesen Sie dazu den Abschnitt »Konfigurieren von Zonen für dynamische Aktualisierungen«. Antworten zu den Prüfungsfragen 1. A. Die richtige Reihenfolge lautet: Cache, lokale DNS-Servertabelle, RootName-Server, Fist-Level Domänen-Server, und dann ein beliebiger Subdomänenserver. Siehe Abschnitt »Von DNS definierte Domänen«. 2. B. Dynamische Aktualisierungen stellen Sie in der Registerkarte ALLGEMEIN ein. Siehe Abschnitt »Konfigurieren von Zonen für dynamische Aktualisierungen«.
111
112
Kapitel 1
DNS
3. A. ART ist eine geplante Top-Level-Domäne. ORG, NET und CC sind aktuelle Top-Level-Domänen für Gewerbe. Siehe Abschnitt »Geschichte des DNS«. 4. D. Systemmonitor war der Name der Windows-NT-Anwendung. Bei Windows 2000 ist das Programm LEISTUNG Teil der Microsoft ManagementKonsole. Es sind keine Statistiken für den DNS-Server verfügbar. Der richtige Leistungsindikator ist ERFOLGREICHE ZONENÜBERTRAGUNGEN. Siehe Abschnitt »Verwalten und Überwachen von DNS«. 5. B. Wenn die Aufgabe lautet, das Verzeichnis so zu erstellen, dass es Namen auflöst, müssen Sie keine Reverse-Lookupzone konfigurieren. Sie werden mit dem Assistenten »Server konfigurieren« arbeiten müssen. Siehe Abschnitt »Installation des DNS Server Service«. 6. D. Ein MX(Mail Exchanger)-Verzeichniseintrag wird eingesetzt, um den oder die Mail-Server für eine Domäne zu identifizieren. Ein CNAME-Verzeichnis ist ein Alias-Verzeichniseintrag, ein A-Verzeichniseintrag wird eingesetzt, um Namen in Adressen aufzulösen, und ein PTR-Verzeichniseintrag wird für Reverse-Lookups verwendet. Siehe Abschnitt »DNS VerzeichnisArten«. 7. A. Konfigurieren Sie die erforderlichen Zonen so, dass sie dynamische Aktualisierungen zulassen. Dazu muss jede Zone einzeln konfiguriert werden. Siehe Abschnitt »Konfigurieren von Zonen für dynamische Aktualisierungen«. 8. B. Konfigurieren Sie einen Caching-Only-Server und lassen Sie alle RemoteClients von diesem Server aus auflösen. Siehe Abschnitt »Konfigurieren eines Caching-Only-Servers«. 9. D. Sie müssen die Workstations nur so konfigurieren, dass sie den vorhandenen DNS-Server zum Auflösen von Namen verwenden. Dies wird in den TCP/IP-Eigenschaften eingestellt. Der Server schickt alle Anfragen an unbekannte Domänen automatisch an den geeigneten Server. Siehe Abschnitt »Konfigurieren eines DNS-Clients«. 10. C. Die richtige Antwort ist: HOME.URWRITE.NET. HOME bezeichnet den Server, URWRITE bezeichnet die sekundäre Domäne und NET bezeichnet die Top-Level-Domäne. Siehe Abschnitt »Von DNS definierte Domänen«. 11. D. Sie brauchen einen Windows-2000-DNS-Server und einen Windows2000-Client um dynamisches DNS zu verwenden, ohne dazu DHCP neu konfigurieren zu müssen. Obwohl dies auch möglich ist, ist unter den genannten Antworten nur D richtig. Siehe Abschnitt »Konfigurieren von Zonen für dynamische Aktualisierungen«. 12. A. Das NSLOOKUP von der Befehlszeile aus ablaufen zu lassen ist eine gute Art zu testen. Siehe Abschnitt »Testen des DNS-Diensts ».
Lernzielkontrolle
13. B. Sie müssen den DNS-Server so konfigurieren, dass er schlechte DNS-Einträge noch einmal überarbeitet. Siehe Abschnitt »Verwalten und Überwachen von DNS«. 14. A, B, C. Wenn TCP/IP aktualisiert wird, wenn eine DHCP-Zuordnung oder Erneuerung eintritt, oder wenn ein Plug&Play Vorfall eintritt. Siehe Abschnitt »Konfigurieren von Zonen für dynamische Updates«. 15. D. Sie müssen eine Reverse-Lookupzone erstellen und sie so konfigurieren, dass sie dynamische Updates zulässt. Siehe Abschnitt »Reverse-Lookups«. 16. A. AXFR-Leistungsindikatoren haben mit vollständigen Zonentransfers zu tun. Bei IXFR geht es um inkrementelle Transfers. Die Leistungsindikatoren für dynamische Updates und für Meldung ERHALTEN/GESENDET haben nichts mit Zonentransfers zu tun. Siehe Abschnitt »Verwalten und Überwachen von DNS«. 17. B. Ein A-Verzeichniseintrag ist nötig, um Name-in-Adresse-Auflösungen zu ermöglichen. Siehe Abschnitt »DNS-Verzeichniseinträge«. 18. D. Dies ist eine ausgezeichnete Gelegenheit, um eine Zone zu delegieren. Sekundäre Server sind schreibgeschützte Server und ein Caching-Server besitzt nicht einmal eine DNS-Tabelle, sondern nur einen Zwischenspeicher. Siehe Abschnitt »Implementieren einer delegierten Zone für DNS«. 19. A. Sie müssen die Belastung durch die Verwaltung einer großen DNS-Datenbank auf mehrere Namenserver verteilen. Siehe Abschnitt »Implementieren einer delegierten Zone für DNS«. 20. C. Da Sie außerhalb des DNS-Cache arbeiten, möchten Sie ihn in einer Umgebung einsetzen, in der alle Hauptserver sich im Cache befinden, sodass sie schnell abgerufen werden können. Server, die selten aufgelöst werden, besitzen keine Adresse im Cache. Siehe Abschnitt »Konfigurieren eines CachingOnly-Servers«. 21. C. Standardmäßig besteht der Name der Zonendatei aus dem Namen der DNS-Domäne und dem Zusatz .DNS. Siehe Abschnitt »Konfigurieren von Zonen«.
113
114
Kapitel 1
DNS
Hinweise zu weiterführender Literatur und Quellen 1. Albitz, Paul, und Cricket Liu. DNS and Bind. Sebastopol, CA: O’Reilly and Associates, Inc., 1998. 2. Branley, Edward. Sams Teach Yourself DNS/Bind in 24 Hours. Indianapolis, IN: Sams Publishing, 2000. 3. Ruth, Andy. Concise Guide to Windows 2000 DNS. Indianapolis, IN: Que Corporation, 2000. 4. Siyan, Karanjit S. Windows NT TCP/IP. Indianapolis, IN: New Riders Publishing, 1998.
DHCP: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
2
Lernziele Einer der wichtigsten Dienste für das erfolgreiche Implementieren von ActiveDirectory-Dienst ist DHCP. In diesem Kapitel durchleuchten wir alle Aspekte des Betriebes des DHCP-Dienstes in einem Windows-2000-Netzwerk. Microsoft legt die Ziele beim Installieren, Konfigurieren, Verwalten, Überwachen und bei der Fehlerbeseitigung von DHCP in einer Windows-2000-NetzwerkInfrastruktur wie folgt fest: Installieren, Konfigurieren und Fehlerbeseitigung von DHCP 씰
Installieren Sie den DHCP-Server-Dienst.
씰
Erstellen und verwalten Sie Bereiche, Gruppierungs- und Multicast-Bereiche.
씰
Konfigurieren Sie DHCP für die Integration in DNS.
씰
Autorisieren Sie einen DHCP-Server in Active Directory.
씰
Eine der ersten Aufgaben bei der Vorbereitung des Einsatzes einer Windows2000-Produktions-Netzwerkumgebung ist es, sicherzustellen, dass DHCP richtig installiert und konfiguriert wurde. DHCP ist eng mit dynamischem DNS und dem Active-Directory-Dienst verbunden. Das bedeutet, Sie müssen DHCP installieren und es für die Anwendung in einem Active-Directory-Service-Netzwerk konfigurieren können.
116
Kapitel 2
DHCP
Verwalten und Überwachen von DHCP 씰
Schließlich müssen Sie auch in der Lage sein, Ihren DHCP-Server nach der Installierung, Konfigurierung und Autorisation zu warten. Das Verwalten des DHCP-Dienstes und Überwachen der Aktivitäten des DHCP-Servers ist bei der laufenden Verwaltung eines Windows-2000-Netzwerkes besonders wichtig.
Tipps für das Selbststudium 씰
DHCP ist ein Dienst, der lange Zeit in TCP/IP-basierenden Netzwerken verwendet wurde. Microsoft hat die Funktionen von DHCP als Teil des Betriebssystems Windows 2000 erweitert. Folgendes sollte Ihnen geläufig sein: Woher kommt DHCP, wie funktioniert es und welche Verbesserungen bringen die Windows-2000-DHCP-Server-Dienste von Microsoft in Bezug auf die Protokolle mit sich.
씰
DHCP wird nicht nur verwendet, um IP-Adressen dynamisch zuzuweisen, sondern spielt auch eine entscheidende Rolle bei der Registrierung von Hosts im Active Directory von Microsoft. Gehen Sie sicher, dass Sie auch verstanden haben, welche Rolle DHCP in einem Windows-2000-Netzwerk spielt.
씰
Der Windows-2000-DHCP-Server-Dienst von Microsoft unterstützt verschiedene Arten von Bereichen. Sie müssen diese verschiedenen Arten kennen, wissen, wie sie funktionieren und wann sie in einem Produktionsumfeld eingesetzt werden sollten.
2.1
Was ist das Dynamic Host Configuration Protocol?
Das TCP/IP-Protokoll ist de facto der Standard für Computer-Netzwerke. Es ist im Bereich der Netzwerkprotokolle so gut wie konkurrenzlos. Wenn Sie mit Windows 2000 arbeiten, dann werden Sie wohl auch mit TCP/IP arbeiten. Einer der Schlüssel zum erfolgreichen Arbeiten mit dem TCP/IP-Protokoll ist, das Konzept von TCP/ IP-Adressen zu kennen. Die Entwickler des TCP/IP-Protokolls wollten ein Identifizierungsschema entwickeln, das von der Art der Computer- oder Netzwerkausstattung unabhängig ist. So kam es zum Schema der IP-Adressen. Wenn Sie schon einmal im World Wide Web gesurft haben, haben Sie mit Sicherheit IP-Adressen gesehen (Zahlen wie z.B. 192.168.144.77). Sollten Sie TCP/IP in Ihrem Netzwerk verwalten, dann werden Sie einen Großteil Ihrer Zeit mit der Zuweisung von IP-Adressen verbringen, denn IP-Adressen tauchen nicht von alleine auf. Sie müssen manuell in die Konfiguration eines jeden TCP/IP-Compu-
2.1 Was ist das Dynamic Host Configuration Protocol?
ters in Ihrem Netzwerk eingetragen werden. Wird ein neuer Computer an Ihr Netzwerk angeschlossen, so braucht er eine IP-Adresse. Wenn er anderswo angeschlossen wird, wird er wahrscheinlich eine neue IP-Adresse benötigen. Wenn Sie gerade erst damit anfangen, ein großes TCP/IP-Netzwerk zu verwalten, dann wird Ihnen die Aufgabe, all diese Adressen zu verwalten, gewaltig erscheinen. Schließen Sie einen Domain Name System (DNS) Server anders an, müssen Sie jeden Clientcomputer neu konfigurieren. Wird ein Clientcomputer an ein neues Subnetz angeschlossen, müssen Sie die IP-Adresse aktualisieren. Damit machen Sie sich nicht gerade bei Ihren Kollegen beliebt, die viel zwischen verschiedenen Büros hin- und herfahren müssen, insbesondere auch nicht bei Ihren Regional-Managern. Bei einer manuellen IP-Adressenverwaltung müssen Sie bei fast jeder vorgenommenen Veränderung im Netzwerk zu einem oder mehreren Computern fahren, um die TCP/IPKonfiguration aktualisieren zu können. Keine allzu schöne Aussicht. Zum Glück haben die Menschen, die DNS als Ersatz für die HOSTS.TXT-Datei erfanden, auch eine Lösung für dieses Dilemma gefunden. Das Dynamic Host Configuration Protocol (DHCP) war die Antwort der InternetGemeinde auf die dynamische Verbreitung von IP-Adressen. DHCP ist offen und basiert auf den Standards Request for Comments (RFCs) 2131 und 2132, die von der Internet Engineering Task Force (IETF) festgelegt wurden. (Die IEFT ist die Hauptorganisation für Standard im Internet.) Normalerweise werden IP-Adressen bei der »Internet Assigned Numbers Authority (IANA) registriert, sodass im Internet benutzte IP-Adressen nachverfolgt werden können. In einigen Fällen sind Netzwerke nicht an das Internet angeschlossen und müssen daher keine registrierten Adressen verwenden. In anderen Fällen wiederum ist das Netzwerk mit spezieller Hard- und Software an das Internet angeschlossen. Diese Hard- und Software kann so konfiguriert werden, dass nicht registrierte Adressen in Verbindung mit Adressübersetzung verwendet werden können. Windows 2000 beinhaltet diese Möglichkeit. Wir werden im Kapitel 7, »Installieren, Konfigurieren und Fehlerbeseitigung der Netzwerkadressübersetzung (NAT)«, näher darauf eingehen. Häufig verwenden Netzwerkadministratoren nicht registrierte Adressen in ihrem internen Netzwerk, um sicherzustellen, dass Adressen für alle Anwender vorhanden sind. Dieses Modell funktioniert wunderbar, solange das Netzwerk nicht direkt an das Internet angeschlossen wird. Bedingt durch den Mangel an Klasse-A- und Klasse-B- (und sogar Klasse-C-) IP-Adressen gibt es jedoch auch Bereiche, die mit kleinen Pools registrierter Adressen arbeiten und dennoch eine große Anzahl von DHCP-Clients bedienen. Die Grundidee hierbei ist, dass nicht jeder Clientcomputer zur gleichen Zeit auf das Netzwerk zugreift. Solche Umfelder erfordern sehr aggressive Richtlinien für die Vergabe von IP-Adressen.
117
118
Kapitel 2
DHCP
Zusätzlich zu IP-Adressen kann DHCP auch Router-Adressen, DNS-Server-Adressen, und Windows-Internet- Name-Service(WINS)-Server-Adressen liefern – im Wesentlichen also alles, was ein Clientcomputer braucht, um am Netzwerk teilzunehmen. Dabei können alle verfügbaren IP-Adressen zusammen mit zusätzlicher Information über die Konfiguration, wie z.B. die Subnetzmaske, Gateways, und die Adresse des DNS-Servers in einer zentralen Datenbank gespeichert werden. Sie erhalten sogar die MAC-Adressen von Clientcomputern.
PRÜFUNGSTIPP Keine Panik vor den RFC für DHCP. Obwohl Microsoft dafür bekannt ist, in den Prüfungsfragen sehr genau zu sein, wird man nicht von Ihnen erwarten, alle RFCs für jedes der Protokolle oder jeden Dienst in Windows 2000 auswendig zu kennen.
HINWEIS RFC sind Hinweise, die die für Internet-RFC-Dokumente verwendet werden, um Hinweise auf das Internet und Internet-Technologien zu geben. Kann ein RFC genügend Interesse auf sich ziehen, wird er eventuell zum Standard. Die Themen der RFC reichen vom File-Transfer-Protokoll (ursprünglich 0114, aber durch RFC 0141, RFC 0172, und RFC 0171 aktualisiert) bis hin zum Hitchhikers Guide to the Internet (RFC 1118). Das erste RFC wurde 1969 von Steve Crocker abgesendet, und das Thema war Host-Software. Auflistungen aller RFC finden Sie auf zahlreichen Seiten im ganzen Internet. Eine dieser Seiten ist z.B. http://www.rfc-editor.org/.
2.1.1
Das DHCP-Protokoll
Es ist sicherlich einfach zu sagen, dass DHCP den Mechanismus für das dynamische Verteilen von IP-Adressen in einem Netzwerk liefert, aber dahinter steckt natürlich etwas mehr. Nachstehend bekommen Sie im Detail angezeigt, wie einem Clientcomputer eine Adresse zugewiesen wird: 1. Der Clientcomputer sendet eine DHCPDiscover-Meldung. Diese wird an den/die DHCP-Server im Netzwerk weitergeleitet. Die Adresse des/der DHCP-Server wird, wenn nötig, auf dem Router konfiguriert. Das Verschicken geschieht durch einen Prozess, der als BOOTP-Forwarder bezeichnet wird. Im nächsten Abschnitt, »Das BOOTP-Protokoll«, werden wir näher darauf eingehen. 2. Jeder DHCP-Server, der die Discover-Meldung erhalten hat, antwortet mit einer DHCP-Offer-Meldung. Diese Meldung enthält eine IP-Adresse, die für das Subnetz, zu dem der Clientcomputer gehört, geeignet ist. Der DHCP-Server bestimmt die geeignete Adresse dadurch, indem er die bei der DHCPDiscover-Meldung mitgesandten IP-Informationen auswertet.
2.1 Was ist das Dynamic Host Configuration Protocol?
3. Der Clientcomputer wählt unter den erhaltenen Offer-Meldungen ein Angebot aus (normalerweise das Angebot, das er zuerst erhalten hat). Anschließend sendet er eine DHCP-Request-Meldung an den DHCP-Server, von dem er die Offer-Meldung erhalten hat. Sollten mehrere DHCP-Server vorhanden sein, muss bei deren Konfiguration sehr sorgfältig vorgegangen werden. Es kann leicht passieren, dass die Server versehentlich so konfiguriert werden, dass sie miteinander in Konflikt geraten. Sind in Ihrem Netzwerk mehrere DHCP-Server vorhanden, so müssen Sie unbedingt überprüfen, ob IP-Adressen nicht doppelt angeboten werden. Da DHCP-Server untereinander nicht kommunizieren können, können sie sich auch nicht mitteilen, ob eine bestimmte Adresse bereits von einem anderen DHCP-Server verschickt wurde. 4. Der DHCP-Server bestätigt die Anfrage und erteilt dem Clientcomputer eine Berechtigung zur Verwendung der Adresse. 5. Der Clientcomputer verwendet die Adresse, um sich mit dem Netzwerk zu verbinden. Ist die IP-Adresse mit irgendwelchen Konfigurationsparametern verbunden, so werden diese Parameter in der TCP/IP-Konfiguration des Clientcomputers übernommen. Der erste Schritt in diesem Prozess zeigt, dass DCHP-Clients ihre Adressen mittels Broadcast-Meldungen anfordern. Wenn Sie mit Routing und insbesondere mit dem TCP/IP-Routing vertraut sind, dann wissen Sie wahrscheinlich auch, dass einer der Vorteile des Routings darin besteht, dass Router Broadcast-Meldungen im Allgemeinen nicht weiterleiten. Anders ausgedrückt bedeutet dies, dass Broadcast-Meldungen Router-Grenzen für gewöhnlich nicht übertreten. Aber heißt das, dass DHCP nur im lokalen Bereich arbeitet und dass Sie 50 DHCP-Server für Ihre 50 Subnetze brauchen? Nein, das müssen Sie nicht, wenn Sie Ihre Router so konfigurieren, dass sie das BOOTP-Protokoll verwenden. BOOTP ist der Vorläufer von DHCP und war das erste Protokoll, das verwendet wurde, um IP-Adressen dynamisch zuzuweisen. Das Protokoll war speziell dafür ausgelegt, um Router-übergreifend zu arbeiten. Es wird weiterhin verwendet, um das Weiterleiten von DHCPSendungen über Router zu ermöglichen. Dank BOOTP kann ein DHCP-Server Clients in einer x-beliebigen Anzahl von Subnetzen bedienen – und Sie können mit 49 von den 50 DHCP-Servern, die Sie eigentlich kaufen wollten, sicherlich etwas anderes anfangen.
2.1.2
Das BOOTP-Protokoll
Bevor wir damit beginnen, den DHCP-Dienst in Windows 2000 zu installieren, muss das BOOTP-Protokoll noch kurz erläutert werden. Eine Reihe von DHCPFeatures kommen ursprünglich aus BOOTP. Das BOOTP-Protokoll (Bootstrap Protocol) wurde 1985 von Bill Croft und John Gilmore entworfen, um die Konfiguration von Netzwerkgeräten zu automatisieren. Um BOOTP zu verwenden, muss der Netzwerkadministrator eine Liste der Clientcomputer, ihrer IP-Adressen und ihrer
119
120
Kapitel 2
DHCP
Netzwerk-Konfigurationen erstellen. Geht ein Clientcomputer ins Netz, so sendet er eine Anfrage an den BOOTP-Server. Dieser sucht in der Liste nach dem Clientcomputer und antwortet mit der in der Liste gespeicherten Konfigurationsinformation, mit deren Hilfe der Clientcomputer mit dem Netzwerk in Verbindung treten kann. Da das BOOTP-Protokoll gut funktionierte, wurde es zu Beginn der 90er-Jahre häufig zusammen mit Arbeitsstationen ohne Festplatte verwendet. (Ein BOOTP-Chip war eine gewöhnliche Option bei Netzwerk-Schnittstellenkarten, und viele Netzwerke entwickelten sich mit BOOTP.) Der Nachteil von BOOTP war, dass es nur die Konfigurationsinformation lieferte, die in der Liste eingetragen war. Die Liste musste immer noch vom Administrator konfiguriert werden. Die Beschränkungen von BOOTP standen tatsächlich jeglicher Automatisierung dieser Aufgabe entgegen, sodass BOOTP schließlich durch DHCP ersetzt wurde. BOOTP- und DHCPPakete sehen fast identisch aus, und DHCP nutzt sogar den BOOTP-ForwarderFunktionsreichtum der vielen Router und Switche. DHCP bietet die Features zur Automatisierung, die BOOTP fehlten. Nachdem die Geschichtsstunde nun beendet ist, sollten Sie eigentlich einiges über die Theorie des DHCP wissen. Sehen wir uns nun an, wie Sie mit DHCP in einem Windows-2000-Umfeld arbeiten.
2.2
Installieren, Konfigurieren und Fehlerbeseitigung
Die erste Frage vieler Manager, wenn sie mit der Bitte konfrontiert werden, Windows 2000 DHCP zu installieren, lautet: »Können wir nicht einfach unser vorhandenes DHCP verwenden?« Die Antwort darauf lautet zugleich ja und nein. Wenn Sie eine ältere Domäne und ein Netzwerk mit WINS-Auflösung unterhalten, kann Windows 2000 DHCP-Information von jedem DHCP-Server erhalten, mit dem Windows NT arbeitete. Wenn Sie jedoch die Vorteile der Features von ActiveDirectory-Diensten nutzen wollen und von der alten WINS-Architektur wegkommen wollen, werden Sie den Windows-2000-DHCP-Dienst benötigen. Der erste Punkt, den wir beim Arbeiten mit dem Windows-2000-DHCP-Dienst näher erläutern müssen, ist das Installieren des Dienstes.
2.2.1
Installieren des DHCP-Server-Dienstes
Eines der Features, das Windows 2000 bei den Systemadministratoren sehr beliebt machen wird, ist die umfassende Anwendung von Konfigurationsassistenten. Die meisten Aufgaben der Server-Konfiguration wurden in der Anwendung Windows
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
2000 Server konfigurieren zusammengefasst, sodass Sie für die häufigsten Konfigurationsvorgänge einen Assistenten zur Hilfe nehmen können. Wir werden versuchen, dieses Feature von Windows 2000 so weit wie möglich hervorzuheben, da es eine wesentliche Verbesserung des Betriebssystems bedeutet, und sich als »fruchtbarer Boden« für Prüfungsfragen erweisen könnte. Wenn Sie den Windows-2000-Server installieren, können Sie DHCP als einen der optionalen Dienste mitinstallieren. In Hinblick auf die Prüfung werden wir darauf eingehen, wie DHCP auf einem vorinstallierten Server, der nicht über DHCP verfügt, installiert wird. DHCP wird als Windows-2000-Netzwerkdienst installiert. Um den DHCP-ServerDienst zu installieren, gehen Sie wie folgt vor:
HINWEIS Ein DHCP-Server kann nicht gleichzeitig ein DHCP-Clilie ent sein. Wenn Sie Ihren Server zurzeit als DHCP-Client konfiguriert haben, wird die DHCP-Installierung Sie auffordern, eine statische IP-Adresse für Ihren Server einzugeben.
SCHRITT FÜR SCHRITT 2.1
Mit der Konfigurieren Sie Ihren Server-Anwendung den DHCPServer-Dienst installieren
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG und auf Konfiguration des Servers (siehe Abbildung 2.1). 2. In der WINDOWS 2000 SERVER KONFIGURIEREN-Anwendung wählen Sie NETZWERK UND DHCP (siehe Abbildung 2.2). 3. Klicken Sie auf den Hyperlink STARTEN des Assistenten für Windows-Komponenten. Das in Abbildung 2.3 gezeigte Windows-Komponenten-Dialogfenster öffnet sich. 4. Scrollen Sie im Windows Komponentenassistent auf NETZWERKDIENSTE (siehe Abbildung 2.4). Wählen Sie NETZWERKDIENSTE. 5. Klicken Sie auf die Schaltfläche DETAILS, um die Liste der Netzwerkdienste zu öffnen. Klicken Sie in der Liste NETZWERKDIENSTE das Kontrollkästchen neben DHCP-PROTOKOLL (Dynamic Host Configuration Protocol) an (siehe Abbildung 2.5). 6. Klicken Sie auf die Schaltfläche OK, um zum Dialogfenster WINDOWS-KOMPONENTEN zurückzukehren, und klicken Sie auf WEITER, um DHCP zu installieren. Haben Sie irgendwelche andere Dienste ausgewählt oder deaktiviert,
121
122
Kapitel 2
DHCP
so werden diese gleichzeitig mitinstalliert oder entfernt. Ist die Installation beendet, so öffnet sich das Dialogfenster WINDOWS-KOMPONENTENASSISTENT FERTIGSTELLEN (siehe Abbildung 2.6). 7. Klicken Sie auf die Schaltfläche BEENDEN, um den Assistenten zu schließen.
Abbildung 2.1 Die Assistenten für die Server-Konfiguration befinden sich in der MicrosoftWindows-2000Anwendung »Windows 2000 Server konfigurieren«
Abbildung 2.2 Über die Option DHCP können Sie die DHCP-Konfiguration starten.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.3 Das Dialogfenster Software kann verwendet werden, um Windows-2000Komponenten – einschließlich DHCP – hinzuzufügen oder zu entfernen.
Abbildung 2.4 Der Eintrag Netzwerkdienste enthält Netzwerkkomponenten wie z. B. DHCP, DNS und WINS.
123
124
Kapitel 2
DHCP
Abbildung 2.5 Durch das Auswählen des DHCP-Protokolls (Dynamic Host Configuration Protocol) beginnt der Installierungsprozess.
Abbildung 2.6 Der Assistent für Windows-Komponenten zeigt im letzten Schritt an, dass die Installation fertig gestellt wurde.
PRÜFUNGSTIPP Windows 2000 bietet viele verschiedene Möglichkeiten, um allgemeine Aufgaben durchzuführen. Verschiedene Möglichkeiten für die Durchführung allgemeiner Konfigurationsaufgaben sollen die Verwaltung eines Windows-2000-Netzwerkes für Systemadministratoren einfacher machen. Dadurch werden die Prüfungen sicherlich schwieriger, da Sie wahrscheinlich alle verschiedenen Möglichkeiten kennen müssen.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.7 Die Systemsteuerung bietet die Möglichkeit einer manuellens Installation von Windows-2000-Komponenten.
Abbildung 2.8 Der Ordner Netzwerk und DFÜ-Verbindungen bietet eine weitere Möglichkeit für das Hinzufügen oder Entfernen von Netzwerkkomponenten.
125
126
Kapitel 2
DHCP
Abbildung 2.9 Das Dialogfenster Windows-Assistent Optionale Netzwerkkomponenten zeigt die Netzwerkkomponenten, die installiert werden können.
Wie bereits erwähnt, handelt es sich bei dieser Installierung von DHCP-Diensten nur um eine der Möglichkeiten, die Ihnen zur Verfügung stehen. DHCP kann auch in folgender Weise installiert werden:
SCHRITT FÜR SCHRITT 2.2
Mit Systemsteuerung DHCP installieren
1. Gehen Sie auf START, EINSTELLUNGEN, SYSTEMSTEUERUNG (siehe Abbildung 2.7). Wenn Sie mit Windows NT 4 vertraut sind, sollte Ihnen dieses Fenster bekannt sein. 2. Doppelklicken Sie auf das Icon NETZWERK- UND DFÜ-VERBINDUNGEN. Der Ordner NETZWERK- UND DFÜ-VERBINDUNGEN öffnet sich (siehe Abbildung 2.8). 3. Klicken Sie unten links im Fenster auf den Hyperlink NETZWERKKOMPONENTEN HINZUFÜGEN, um das Windows-Dialogfenster ASSISTENT FÜR DIE OPTIONALEN WINDOWS-NETZWERKKOMPONENTEN zu öffnen (siehe Abbildung 2.9). Dort sind die Komponenten enthalten, die installiert werden können. Im Gegensatz zur Liste der verfügbaren Komponenten der ersten Installierungsmethode ist die Liste hier auf Netzwerkkomponenten beschränkt. 4. Wählen Sie NETZWERK-DIENSTE und klicken Sie auf die Schaltfläche DETAILS; die in Abbildung 2.5 gezeigte Liste der Netzwerk-Dienste erscheint. Ab hier verläuft die Installierung exakt wie bei der ersten Installierungsmethode, beginnend ab Punkt 5.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Sie kennen nun zwei verschiedene Methoden zum Installieren von DHCP. Sehen wir uns nun an, wie DHCP konfiguriert wird. Bevor wir aber mit der Konfigurierung Ihres neu installierten DHCP-Servers beginnen, ist es wichtig, dass Sie das Konzept der Bereiche, einschließlich Bereichsgruppierungen und Multicast-Bereiche, verstehen.
2.2.2
Was sind DHCP-Bereiche?
Ein Bereich ist eine Auswahl an IP-Adressen, die für dynamische Zuweisung zu einem Host in einem bestimmten Subnetz zur Verfügung stehen. Der Bereich eines bestimmten Subnetzes wird durch die Netzwerkadresse der Broadcast-DHCPAnfrage festgelegt. Zusätzlich zur Adressinformation kann der Bereich auch einen Satz Konfigurationsparameter enthalten, die dem Clientcomputer bei der Zuordnung der Adresse zugewiesen werden. Zu dieser Liste gehören z.B. DNS-Server, ein WINS-Server, Router und Subnetzmaske, NetBIOS-Scope-ID, IP-Routing und WINS-Proxy-Information. Um diese Informationen zu finden, gehen Sie auf START, AUSFÜHREN, und geben Sie dann WINIPCFG ein. Sie erhalten sämtliche Informationen für Ihren Windows-98-Clientcomputer. Bei Windows NT oder Windows 2000 gehen Sie zur Eingabeaufforderung, geben Sie IPCONFIG /ALL ein, und drücken Sie auf . Sie sollten den Bereich so groß wie möglich machen. Später, wenn Sie die Bereiche erstellen, haben Sie die Möglichkeit, Adressen auszuschließen. Des Weiteren können Sie Reservierungen für bestimmte Adressen festlegen, die im Bereich vorhanden sind.
HINWEIS Sie benötigen mindestens einen Bereich. Nach der Installierung des DHCPDienstes müssen Sie mindestens einen Bereich auf Ihrem Server festlegen. Der Dienst wird sonst nicht auf DHCP-Anfragen antworten.
2.2.3
Was sind DHCP-Bereichsgruppierungen?
Die nächste Art von Service wurde bei der Windows-NT-Produktfamilie mit dem Service Pack 2 für Windows NT 4 eingeführt. Mit Bereichsgruppierungen können Sie ein gruppiertes oder Multicast-Netzwerk mit einem Windows-2000-DHCP-Server aufbauen. Schön, werden Sie sagen. Dann müssen wir also nur noch herausfinden, was ein gruppiertes Netzwerk ist. Ein gruppiertes Netzwerk ist ein Netzwerk, bei dem viele Netzwerkadressen oder Subnetze im gleichen Segment laufen. Diese Konfiguration sehen Sie häufig in Netzwerkumgebungen mit mehr als 254 Hosts in einem Subnetz oder in einer Umgebung, in der bestimmte Hosts aus Gründen der Sicherheit oder des Routings vom Rest des logischen Netzwerks getrennt werden müssen. Bereichsgruppierungen unterstützen ein lokales gruppiertes Netz oder ein gruppiertes Netzwerk, auf das über einen Router zugegriffen wird und so konfigu-
127
128
Kapitel 2
DHCP
riert ist, dass es den BOOTP-Forwarder verwendet. Das Erstellen einer Bereichsgruppierung wird im Abschnitt »Erstellen einer Bereichsgruppierung« näher erläutert.
Praxistipp Wann wird ein gruppiertes Netzwerk verwendet? Stellen Sie sich eine große Firma vor, die in einem Gebäude 5 Stockwerke besetzt. In jedem Stockwerk befinden sich zwischen 300 und 500 Anwender, die alle am gleichen physischen Netzwerk angeschlossen sind. Im traditionellen Netzaufbau würde ein gerouteter Backbone zwischen den Stockwerken laufen, und jedes Stockwerk wäre ein eigenes IP-Netzwerk. Aber da gibt es ein Problem. In den Stockwerken befinden sich zu viele Anwender, um sie in einem einzigen Klasse-C-Subnetz unterzubringen. Welche Alternativen gibt es also? Sie könnten in jedem der Stockwerke irgendwo einen Router platzieren, um so das Netzwerk weiter zu segmentieren. Dies ist eine teuere und unterstützungsintensive Lösung, die im Allgemeinen als ungeeignet betrachtet wird. Sie könnten zum Adressieren Klasse-B-Adressen verwenden. Dabei verschwenden Sie jedoch im Allgemeinen IP-Adressen. Die letzte Möglichkeit ist, mehrere IP-Netzwerke in dem einzigen gerouteten Segment zu platzieren. Oder anders gesagt, ein Supernetz zu erstellen. Diese Möglichkeit wird von allen Routern unterstützt, die heute auf dem Markt sind, einschließlich der auf OS basierenden Routing-Dienste in Windows 2000, Novell NetWare und allen UNIX-Arten. Wenn Sie also an ein Supernetz denken, denken Sie an ein Stockwerk in einem Gebäude mit zu vielen Anwendern für 254 IP-Adressen.
2.2.4
Was sind Multicasting und Multicast-Bereiche?
Bevor wir näher auf Multicast-Bereiche eingehen, sollten wir zunächst einmal erklären, was Multicasting ist. Multicasting ist das Übertragen einer Nachricht an eine Gruppe ausgewählter Empfänger. Multicast steht also im Gegensatz zum Konzept des Broadcast, in dem die Nachricht an alle Hosts im Netzwerk gesendet wird. Es steht auch im Gegensatz zu Unicast, wo die Verbindung aus einem Eins-zu-einsVerhältnis besteht, und wo es nur einen einzigen Datenempfänger gibt.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Hierzu ein Beispiel an einer E-Mail-Nachricht: Wenn Sie eine E-Mail-Nachricht an Ihren Manager senden, handelt es sich dabei um eine Unicast-Nachricht. Senden Sie die Nachricht hingegen an alle Anwender in Ihrem System, so handelt es sich um ein Broadcast. Senden Sie die E-Mail-Nachricht an eine Mailing-Liste, so handelt es sich also um eine Multicast-Nachricht, eine Zwischenform von Unicast und Broadcast. Telekonferenzen und Videokonferenzen arbeiten mit dem Konzept des Multicasting, ebenso wie Broadcast-Radio, bei dem die Verbindung zwischen einem und einer ausgewählten Gruppe besteht. Derzeit nutzen nur wenige Anwendungen die Vorteile dieses Features. Mit der zunehmenden Beliebtheit der Multicast-Anwendungen werden Sie in Zukunft aber immer mehr davon zu sehen bekommen.. Wir erklären hier zunächst einige Begriffe, bevor wir auf die Multicast-Möglichkeiten von Windows 2000 eingehen. 씰
Multicast-DHCP (MDHCP). Eine Erweiterung des DHCP-Protokoll-Standards, welche die dynamische Zuweisung und Konfiguration von IP-Multicast-Adressen in TCP/IP-basierenden Netzwerken unterstützt.
씰
Multicast-Weiterleitungstabelle. Diese Tabelle wird von einem IP-Router verwendet, um IP-Multicast-Verkehr zu versenden. Ein Eintrag in der IPMulticast-Weiterleitungstabelle besteht aus der Adresse der Multicast-Gruppe, der Adresse der IP-Quelle, einer Liste von Schnittstellen, an die der Verkehr versendet wird (nächster Hop), und der einzigen Schnittstelle, an der der Verkehr empfangen werden muss, um versendet zu werden (vorhergehender Hop).
씰
Multicast-Gruppe. Eine Gruppe von TCP/IP-Mitglied-Hosts, die konfiguriert sind, um Datengramme, die an eine bestimmte, festgelegte IP-Adresse gesendet werden, zu hören und zu empfangen. Die Zieladresse für die Gruppe ist eine gemeinsame IP-Adresse in der Gruppe der Klasse-D-Adressen (224.0.0.0 bis 239.255.255.255).
씰
Multicast-Bereich. Eine Reihe von IP-Multicast-Adressen in der Reihe von 239.0.0.0 bis 239.254.255.255. Multicast-Adressen in dieser Reihe können daran gehindert werden, sich in eine Richtung (senden oder empfangen) auszubreiten, indem Bereichsbasierte Multicast-Grenzen gesetzt werden.
Ein neues Feature für den Windows-2000-DHCP-Dienst ist das Konzept des Multicastbereichs. Der Microsoft-DHCP-Server wurde so erweitert, dass er zusätzlich zu Unicast-Adressen (nur ein Computer) auch die Zuweisung von Multicast-Adressen zulässt. Ein von IETF vorgeschlagener Standard (RFC 2730), das MulticastAddress-Dynamic Client Allocation Protocol (MADCAP), legt die Zuteilung von Multicast-Adressen fest. Dieser vorgeschlagene Standard würde es Administratoren
129
130
Kapitel 2
DHCP
ermöglichen, Multicast-Adressen dynamisch zuzuweisen. Bei einer dynamischen Zuweisung von Multicast-Adressen würde in der gleichen Art und Weise vorgegangen werden, wie bei einer Zuweisung von Unicast-Adressen. Die MulticastingUnterstützung des Windows-2000-DHCP unterstützt ebenfalls eine dynamische Mitgliedschaft. Durch die dynamische Mitgliedschaft können einzelne Computer jederzeit der Multicast-Gruppe beitreten oder sie verlassen. Dies funktioniert ähnlich wie die Registrierung, um ein Internet-Broadcast zu empfangen, oder einer E-Mail-Mailing-Liste beizutreten oder sie zu verlassen. Die Anzahl von Mitgliedern in einer Gruppe ist nicht begrenzt, und Computer können in mehreren Gruppen Mitglied sein. Die Frage ist nun also, wie Clientcomputer einer Multicast-Gruppe beitreten oder diese verlassen. Die Antwort darauf geben das MADCAP-Protokoll und MADCAP-API. Clientcomputer, die mit MADCAP arbeiten, müssen so konfiguriert sein, dass sie MADCAP-API verwenden. MADCAP hilft bei der Vereinfachung und Automatisierung der Konfiguration von Multicast-Gruppen in Ihrem Netzwerk, ist aber für den Betrieb von Multicasting-Gruppen oder für den DHCP-Dienst nicht erforderlich. Multicastbereiche liefern nur Adresskonfiguration und unterstützen oder verwenden keine anderen Optionen, die DHCP zugewiesen werden. Die MADCAP-Adresskonfiguration für Clientcomputer sollte unabhängig davon vorgenommen werden, wie die Clientcomputer für den Empfang ihrer Haupt-IP-Adresse konfiguriert sind. Auch Computer, die entweder statische oder dynamische Konfiguration durch einen DHCP-Server verwenden, können MADCAP-Clients sein.
PRÜFUNGSTIPP Verwenden Sie für Multicastbereich-Klasse-D-IP-Adressen. Denken Sie daran, dass Sie zusammen mit Ihrer Haupt-IP-Adresse auch Ihre Multicast-Adresse erhalten. Diese Adresse ist nur für Multicast und verwendet die Klasse-D-IP-Adressen, die im Multicastbereich festgelegt sind. Für normalen Netzwerkverkehr wie Web-Verkehr oder auf IP-basierende Anwendungen werden diese Adressen nicht verwendet.
2.2.5
Erstellen eines Bereiches auf Ihrem DHCP-Server
Da Sie nun die verschiedenen Arten von Bereichen kennen, sehen wir uns nun an, wie diese erzeugt werden. Um einen DHCP-Bereich zu erstellen, gehen Sie wie folgt vor:
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
SCHRITT FÜR SCHRITT 2.3
Erstellen eines DHCP-Bereichs
1. Um das Dialogfenster WINDOWS 2000 SERVER KONFIGURIEREN zu öffnen, gehen Sie auf START, PROGRAMME, VERWALTUNG, KONFIGURATION DES SERVERS, und klicken Sie dann auf NETZWERK, DHCP und den Hyperlink ÖFFNEN (siehe Abbildung 2.10). Achten Sie auf den neuen DHCP-Server, der angezeigt wird (siehe Abbildung 2.11). (Zu der Konfiguration des Servers gelangen Sie auch, indem Sie den DHCP-Manager direkt öffnen. Gehen Sie einfach auf PROGRAMME, VERWALTUNG, DHCP.) 2. Wählen Sie den DHCP-SERVER, der rechts im DHCP-Fenster angezeigt wird und gehen Sie auf VORGANG, NEUER BEREICH (siehe Abbildungen 2.12 und 2.13). Klicken Sie auf WEITER, und das Dialogfenster BEREICHSERSTELLUNG-ASSISTENTNAME öffnet sich (Abbildung 2.14). 3. Geben Sie einen Namen und eine Beschreibung für Ihren Bereich ein. Es ist sinnvoll, einen umschreibenden Namen für einen Bereich zu wählen, sodass Sie auch nach dem Erstellen des 35. Bereichs noch sagen können, warum Sie diesen einen Bereich erstellt haben. Klicken Sie auf WEITER, und das Dialogfenster für die Auswahl von IP-Adressen öffnet sich (Abbildung 2.15). 4. Legen Sie die Auswahl der IP-Adressen fest, die Ihr Server für die Zuteilung von Adressen verwenden wird. 5. Legen Sie die Subnetzmaske fest, indem Sie die Standard-Oktett-Methode verwenden (beispielsweise 255.255.255.248), oder indem Sie das Feld LÄNGE verwenden. (Dieses Feld ermöglicht es Ihnen, die Anzahl binärer Bits zu bestimmen, die für das Spezifizieren der Subnetzmaske verwendet werden.) Klicken Sie auf WEITER, und das Dialogfenster AUSSCHLÜSSE HINZUFÜGEN öffnet sich (siehe Abbildung 2.16). 6. Wählen Sie eine Reihe von Adressen, die nicht an Clientcomputer weitergegeben werden sollen. Üblicherweise handelt es sich um Adressen, die Anwendungs-Servern, Routern, Druckern und anderen Geräten, die statische Adressen erfordern, in der Infrastruktur zugewiesen werden. Sie können entweder mehrere IP-Adressen oder einen Bereich von IP-Adressen für jeden Bereich ausschließen. Klicken Sie auf WEITER, um das Dialogfenster GÜLTIGKEITSDAUER DER LEASE zu öffnen (siehe Abbildung 2.17). 7. Stellen Sie die DHCP-Lease ein, also die Zeit, die verstreichen muss, bevor eine IP-Adresse automatisch in den DHCP-Pool zurückgeschickt wird. Diese Einstellung ist dann besonders wichtig, wenn Sie in einem Netzwerk mehr Hosts als Adressen haben. In einem solchen Fall werden Sie eine sehr kurze Lease einsetzen. Wenn Sie mehr Adressen als Hosts haben, können Sie die Lease-Dauer auf bis zu 999 Tage ausdehnen. Die Leasedauer ist standardmä-
131
132
Kapitel 2
DHCP
ßig auf acht Tage eingestellt. Bei den meisten Netzwerken reicht dies für gewöhnlich aus. Klicken Sie auf WEITER, um zum Dialogfenster DHCPOPTIONEN KONFIGURIEREN zu gelangen (siehe Abbildung 2.18). 8. Wenn Sie eine Adresse anfordern, konfigurieren Sie alle zusätzlichen TCP/ IP-Einstellungen, die Sie DHCP-Clients zuweisen können. 9. Konfigurieren Sie den Router oder Standard-Gateway (siehe Abbildung 2.19), oder bestimmen Sie mehrere Gateways. Sie können eine unbegrenzte Anzahl von Gateways konfigurieren. 10. Bestimmen Sie, wenn nötig, den Gateway für Ihre Umgebung, und klicken Sie auf WEITER. (Wenn Sie in einem einzigen Netzwerk sind, brauchen Sie keinen Gateway zu bestimmen.) Das Dialogfenster für Domänenname und DNS-Server öffnet sich (Abbildung 2.20). 11. Spezifizieren Sie so viele DNS-Server-Adressen wie nötig. Sie können aber auch nur eine übergeordnete Domäne eingeben. Spezifizieren Sie für Ihre Umgebung den DNS-Server und die übergeordnete Domäne. Das Thema DNS wird eingehend in Kapitel 1, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitung von DNS in einer Windows-2000-Netzwerk-Infrastruktur« behandelt. Klicken Sie auf WEITER, und das Dialogfenster für den WINS-Server öffnet sich (siehe Abbildung 2.21). 12. Geben Sie nur dann WINS-Server-Namen und -Adressen an, wenn Sie DHCP-Clients haben, die immer noch WINS-Dienste benötigen. Wie auch im vorhergehenden Dialogfenster kann man mit AUFLÖSEN einen Hostnamen in eine Adresse auflösen. Windows 2000 ist in Bezug auf die Namensauflösung sehr auf DNS angewiesen. Sollten Sie in einer reinen Windows-2000Umgebung arbeiten, benötigen Sie keinen WINS-Server. WINS wird eingehend in Kapitel 5, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von WINS in einer Windows-2000-Netzwerk-Infrastruktur« behandelt. Klicken Sie auf WEITER, um den Bereich fertig zu stellen. 13. Bestimmen Sie, ob der Bereich nun aktiviert werden soll. Die standardmäßige Einstellung im Dialogfenster BEREICH AKTIVIEREN (siehe Abbildung 2.22) ist: JA, ICH MÖCHTE DIESEN BEREICH JETZT AKTIVIEREN. Wenn Ihre Clientcomputer sofort Zugang zu diesem Bereich haben sollen, belassen Sie diese Standardeinstellung. Wenn Sie diesen Bereich erst später aktivieren möchten, wählen Sie NEIN, ICH MÖCHTE DIESEN BEREICH SPÄTER AKTIVIEREN. 14. Klicken Sie auf WEITER, und dann auf FERTIG stellung zu beenden (Abbildung 2.23).
STELLEN,
um die Bereichser-
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.10 Beachten Sie, dass nach der Installation des Dienstes verschiedene Optionen für DHCP zur Verfügung stehen.
Abbildung 2.11 Die DHCP Manager-Anwendung wird verwendet, um alle Parameter für Ihren DHCP-Server zu konfigurieren.
133
134
Kapitel 2
DHCP
Abbildung 2.12 Zum Konfigurieren des DHCP-Servers können Sie das Kontextmenü oder das Vorgangsmenü verwenden.
Abbildung 2.13 Der Assistent Neuer Bereich führt Sie durch die Erstellung Ihres ersten (und aller folgenden) Bereiches.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.14 Wenn Sie einen Bereich erstellen, wählen Sie einen umschreibenden Namen und eine klare Beschreibung, um den Bereich später leicht identifizieren zu können.
Abbildung 2.15 Gehen Sie sicher, dass Sie eine exklusive Adressreihe auswählen. Wenn diese Adressen bereits zugewiesen wurden, oder wenn ein anderer DHCP-Server dieses Subnet bedient, wird es Probleme geben.
135
136
Kapitel 2
DHCP
Abbildung 2.16 Das Dialogfenster Ausschlüsse hinzufügen ermöglicht es Ihnen, Adressen aus dem Adressen- Pool, deren Genehmigung DHCP-Clients erteilt wurde, auszuschließen.
Abbildung 2.17 Gehen Sie sicher, dass Sie die Dauer der Genehmigung auf eine Zeit einstellen, die Ihrer Netzwerkumgebung entspricht. Im Zweifelsfall verwenden Sie eine kürzere Genehmigung und arbeiten dann auf eine längere Genehmigung hin.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.18 Wenn Sie nicht ein extrem einfaches Netzwerk betreiben, werden Sie zumindest einige der Zusatzoptionen konfigurieren wollen.
Abbildung 2.19 Wenn Sie mehrere Standard-Gateways konfigurieren, stellen Sie sicher, dass Sie diese in der Reihenfolge der Priorität eingeben. Die Clientcomputer werden sie in dieser Reihenfolge ausprobieren.
137
138
Kapitel 2
DHCP
Abbildung 2.20 Bei Windows 2000 und Active Directory, das auf DNS basiert, sollten Sie mindestens zwei DNS-Server in Ihrem Netzwerk haben, und mindestens zwei für ihre DHCP-Clients konfigurieren.
Abbildung 2.21 WINS ist nur dann notwendig, wenn Sie veraltete Systeme unterstützen. In einem reinen Windows-2000Netzwerk sollte kein WINS-Server notwendig sein.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.22 Um eine Reihe von Adressen für DHCP-Clients verfügbar zu machen, muss der Bereich aktiviert werden.
Abbildung 2.23 Jeder der Assistenten von Microsoft informiert Sie über die erfolgreiche Durchführung einer Aufgabe.
139
140
Kapitel 2
DHCP
Praxistipp DHCP-Server-Probleme ausfindig machen Wenn Sie nicht vorsichtig sind, könnten Sie am Ende mehrere DHCP-Server haben, die alle die gleiche Reihe von Adressen ausstellen. Dieses Problem kann leicht ausfindig gemacht und behoben werden. Hierzu genügt es, auf jedem Server die Bereiche zu überprüfen. Die Lage ist etwas komplizierter, wenn jemand einen »neuen« DHCP-Server in Ihrem Netzwerk installiert, ohne dass Sie davon wissen. Plötzlich erhalten Ihre Anwender sinnlose Adressen, und können sich nicht mehr verbinden. Mir passierte das versehentlich beim PC meiner Frau, als der Windows-2000-DHCP-Dienst, der für das Buch verwendet wird, mit dem Internet-DHCP-Server für unser eigenes Netzwerk in Konflikt geriet. Meine Frau war darüber nicht gerade erfreut. In der Umgebung bei mir zu Hause war dieses Problem recht leicht ausfindig zu machen, da ich den neuen DHCP-Server einstellte. In Ihrem Netzwerk können Sie Verschiedenes tun, um den Server ausfindig zu machen. Zum einen muss er sich im gleichen Segment befinden wie die betroffenen Arbeitsstationen. Da der BOOTPForwarder für den neuen Server konfiguriert werden müsste, kann er auf Anfragen aus anderen Subnetzen nicht antworten. Wenn Sie das Subnetz kennen, in dem sich der Server befindet, leihen Sie sich oder installieren Sie einen Windows-2000-Host in diesem Subnetz. Stellen Sie sicher, dass der Netzwerk-Überwachungsdienst installiert ist. Laden Sie den Netzwerk-Überwachungsdienst, gehen Sie zu einer DOS-Eingabeaufforderung, und geben Sie ipconfig /renew ein. Hiermit kann Ihr Computer eine DHCP-Anfrage aussenden. Die IP-Adresse des antwortenden DHCP-Servers wird auf dem Netzwerk-Monitor angezeigt.
Sie haben erfolgreich einen Bereich für Ihren DHCP-Server erstellt. Damit dieser tätig werden kann, muss er in Active Directory autorisiert werden. Wenn Sie die Zielvorgaben von Microsoft genau beachtet haben, werden Sie bemerken, dass wir gerade in der falschen Reihenfolge vorgehen. In der Praxis würden Sie daher zuerst den Server einrichten und ihn testen, bevor Sie zusätzliche Bereiche und Bereichsgruppierungen erzeugen.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
2.2.6
Autorisierung eines DHCP-Servers in Active Directory
Aus Sicherheitsgründen muss ein neuer DHCP-Server im Active Directory autorisiert werden, bevor er IP-Adressen zuweisen kann. Hiermit wird verhindert, dass nicht autorisierte DHCP-Server in Ihrem Netzwerk laufen. Eines der gemeinsten Dinge, die ein Störenfried tun kann, ist es, einen »unerwünschten« DHCP-Server einzurichten, der Adressen ausgibt, die mit Geräten der Infrastruktur in Konflikt treten. Wenn Sie mit Windows-2000-Clientcomputern arbeiten, die Active Directory verwenden, ist das Gute an diesem Feature, dass die Computer keine DHCP-Adressen von nicht autorisierten Servern akzeptieren. Um einen DHCP-Server in Active Directory zu autorisieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 2.4
Autorisieren eines DHCP-Servers
1. Öffnen Sie die Anwendung DHCP-MANAGER 2. Wählen Sie den DHCP-Server, den Sie autorisieren möchten, und klicken Sie auf das Vorgangsmenü (siehe Abbildung 2.24). 3. Wählen Sie den Vorgang AUTORISIEREN. Dadurch startet der Autorisierungsprozess, der bis zur Fertigstellung einige Minuten brauchen kann. Wenn der Prozess beendet ist, erscheint Ihr Bereich im Inhaltsverzeichnis des DHCPServers (das rechte Fenster) mit dem Status aktiv (siehe Abbildung 2.25). Ihr Server ist nun bereit, Adressen auszugeben, wenn er eine DHCP-Anfrage erhält.
ACHTUNG Schlie ließen Sie Router aus Ihrem DHCP-Bereich aus. Wenn Sie die GatewayAdresse für Ihren DHCP-Bereich konfigurieren, haben Sie eine gute Gelegenheit, um sicherzustellen, dass Ihre Router aus dem DHCP-Bereich ausgeschlossen sind. Sie sollten es lieber nicht auf die harte Tour herausfinden – wenn nämlich ein Clientcomputer die Adresse des Routers erhält und der ganze Verkehr im Netzwerk plötzlich wegen eines Adresskonflikts unterbricht.
PRÜFUNGSTIPP Wann die die Option Neuer Multicastbereich verwendet wird. Das Vorgangsmenü erzeugt einen neuen Bereich und einen neuen Multicastbereich als zwei verschiedene Aufgaben. Wenn Sie in der Prüfung eine Frage über das Erstellen eines Multicastbereichs bekommen, denken Sie daran, dass Sie Neuer Multicastbereich wählen müssen.
141
142
Kapitel 2
DHCP
PRÜFUNGSTIPP DHCP-Clie lients versuchen, die Lease automatisch zu verlängern. Für die Prüfung sollten Sie wissen, wie eine DHCP-Lease funktioniert. Jeder DHCP-Client, dem eine Adresse zugewiesen wurde, wird automatisch versuchen, die Lease zu verlängern, wenn die Hälfte der Lease-Zeit verstrichen ist. Wenn er die Lease nicht verlängern kann, wird er es für die restliche Zeit weiterhin versuchen. Abbildung 2.24 Der Vorgang, den Sie in diesem Fall auswählen möchten, ist Autorisieren.
Abbildung 2.25 Ein Server mit einem aktiven Status kann DHCPAdressen ausstellen.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Sie haben nun einen Windows-2000-DHCP-Server installiert, konfiguriert, und autorisiert. Bevor wir nun auf die Konfiguration eines DHCP-Servers für die Integration in DNS eingehen, sehen wir uns einmal an, wie eine Bereichsgruppierung eingestellt wird.
2.2.7
Erstellen einer Bereichsgruppierung
Wir haben erklärt, wie Sie Ihren ersten Bereich erstellen und wie Sie Ihren DHCPServer im Active Directory autorisieren. Nun müssen wir uns ansehen, wie eine Bereichsgruppierung erstellt wird. Denken Sie daran, dass eine Bereichsgruppierung eine Gruppe von Bereichen ist, die verwendet wird, um mehrfach vernetzte IPSubnets im gleichen physischen Netzwerk zu unterstützen. Um eine Bereichsgruppierung zu erstellen, müssen Sie auf Ihrem Server mehr als einen Scope erstellen. Wenn Sie noch einmal nachlesen möchten, wie dies gemacht wird, lesen Sie den Abschnitt »Erstellen eines Bereichs auf Ihrem DHCP-Server«. Wenn Sie auf Ihrem DHCP-Server über mehrere Bereiche verfügen, können Sie eine Bereichsgruppierung erstellen, indem Sie der nachstehenden Schritt-für-Schritt-Anleitung folgen. Der beste Grund für das Verwenden von Bereichsgruppierungen ist, dass dadurch die Bereiche in einem mehrfachvernetzten Umfeld leichter unterstützt werden können. Wenn Sie mit einem Umfeld mit vielen Mehrfachvernetzungen arbeiten, kann es recht schwierig werden, herauszufinden, welcher Bereich zu welchem Netzwerk gehört. Wenn Sie jedoch eine Bereichsgruppierung mit einem Namen wie z.B. »4. Stockwerk« erstellen, und alle mehrfachvernetzten Adressen des 4. Stockwerks darin zusammenfassen, werden Sie mit Sicherheit wissen, wohin Sie gehen müssen, wenn ein Bereich verändert oder hinzugefügt werden muss (oder wenn Probleme dabei auftreten). In der Bereichsgruppierungs-Statistik erhalten Sie außerdem Statistiken für alle Bereiche innerhalb der Bereichsgruppierung.
ACHTUNG Alle lle Bereiche in Bereichsgruppierungen müssen aktiviert sein. Für die Bereichsgruppierung können Sie nur aktive Bereiche wählen. Bevor Sie beginnen, eine Bereichsgruppierung einzurichten, sollten Sie sicher sein, dass alle einzufügenden Bereiche aktiviert sind.
SCHRITT FÜR SCHRITT 2.5
Erstellen einer Bereichsgruppierung
1. Öffnen Sie die Anwendung DHCP-MANAGER. 2. Wählen Sie den DHCP-Server, auf dem Sie die Bereichsgruppierung erstellen wollen, und gehen Sie auf VORGANG, NEUE BEREICHSGRUPPIERUNG. (Das Vorgangsmenü kann auch geöffnet werden, wenn Sie mit der rechten
143
144
Kapitel 2
DHCP
Maustaste den DHCP-SERVER anklicken.) Der ASSISTENT ZUM ERSTELLEN NEUER BEREICHSGRUPPIERUNGEN startet (siehe Abbildung 2.26). Klicken Sie auf WEITER, und das Dialogfenster für NAME DER BEREICHSGRUPPIERUNG öffnet sich (siehe Abbildung 2.27). Abbildung 2.26 Der Assistent Neue Bereichsgruppierung führt Sie durch die Erstellung einer Bereichsgruppierung.
Abbildung 2.27 Durch die Verwendung eines umschreibenden Namens für einen Bereich ist es einfacher, den Bereich später zu identifizieren, zu verwalten und ihn auf Fehler zu untersuchen.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.28 Wählen Sie die aktiven Bereiche, die Sie in die Bereichsgruppierung einfügen möchten.
Abbildung 2.29 Das letzte Bild des Assistenten zum Erstellen neuer Bereichsgruppierungen liefert Ihnen eine Zusammenfassung der Bereichsgruppierung, die Sie gerade erstellen.
3. Geben Sie einen beschreibenden Namen für die Bereichsgruppierung ein und klicken Sie anschließend auf WEITER. Das Dialogfenster für ausgewählte Bereiche erscheint. In diesem Dialogfenster können Sie die aktiven Bereiche auswählen, welche in die Bereichsgruppierung eingefügt werden sollen (siehe Abbildung 2.28).
145
146
Kapitel 2
DHCP
4. Halten Sie die Strg-Taste gedrückt, wählen Sie die Bereiche, die in die Bereichsgruppierung eingefügt werden sollen, und klicken Sie auf WEITER. Das Dialogfenster FERTIGSTELLEN DES ASSISTENTEN erscheint (siehe Abbildung 2.29). Mit diesem Dialogfenster erhalten Sie einen Überblick über die Auswahl, die Sie im Assistenten vorgenommen haben, sodass Sie deren Richtigkeit überprüfen können. 5. Sollte Ihre Auswahl nicht richtig sein, klicken Sie auf ZURÜCK, um Änderungen vorzunehmen, oder klicken Sie auf ABBRECHEN, um den Vorgang abzubrechen. Wenn alles richtig ist und Sie bereit sind, die Bereichsgruppierung zu erstellen, klicken Sie auf FERTIG STELLEN. Sie haben nun eine Bereichsgruppierung erzeugt, mit deren Hilfe Sie mehrere Bereiche im gleichen physischen Netzwerk verwalten können.
2.2.8
Erstellen einer Multicast-Bereichsgruppierung
Sehen wir uns nun an, wie ein Multicast-Bereich erzeugt wird. Um einen MulticastBereich zu erstellen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 2.6
Erstellen eines Multicast-Bereichs
1. Öffnen Sie die DHCP-Manager-Anwendung. 2. Wählen Sie den DHCP-Server, auf dem Sie den Multicast-Bereich erstellen wollen. Gehen Sie dann auf VORGANG, NEUER MULTICASTBEREICH. (Sie können das Vorgangsmenü auch öffnen, indem Sie mit der rechten Maustaste auf DHCP-SERVER klicken.) Der ASSISTENT FÜR NEUE MULTICASTBEREICHE startet. Klicken Sie auf WEITER, und das Dialogfenster für MULTICASTBEREICHSNAMEN öffnet sich (siehe Abbildung 2.30). 3. Geben Sie einen beschreibenden Namen für den Multicastbereich ein und klicken Sie auf WEITER. Das Dialogfenster für die Reihe der IP-Adressen öffnet sich (siehe Abbildung 2.31). 4. Wählen Sie die Reihe der Adressen für Ihren Bereich. Sie können irgendwo zwischen 224.0.0.0 und 239.255.255.255 liegen. Geben Sie die Gültigkeitsdauer ein. Hierbei handelt es sich um die Anzahl von Routern, die MulticastPakete durchlaufen können, bevor sie aufgegeben werden. Klicken Sie auf WEITER, und das Dialogfenster AUSSCHLÜSSE HINZUFÜGEN öffnet sich. Es handelt sich hierbei um das Dialogfenster, das wir auch schon in unseren Schritt-für-Schritt-Anleitungen des Abschnitts »Erstellen eines DHCP-Bereiches« kennen gelernt haben (siehe Abbildung 2.16).
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.30 Durch die Verwendung eines umschreibenden Namens für einen Bereich ist es einfacher, den Bereich später zu identifizieren, zu verwalten und auf Fehler zu untersuchen.
Abbildung 2.31 Geben Sie die Reihe der IP-Adressen und TTL (Gültigkeitsdauer) für den Bereich ein.
5. Fügen Sie alle Adressen oder Adressreihen ein, die aus diesem Bereich ausgeschlossen werden müssen. Klicken Sie auf WEITER. Das Dialogfenster für die Leasedauer öffnet sich (siehe Abbildung 2.32).
147
148
Kapitel 2
DHCP
Abbildung 2.32 Multicastbereiche haben typischerweise längere Genehmigungszeiten als andere Bereich-Arten.
6. Setzen Sie die Länge der Leasedauer für die Multicast-Adresse ein. Da die Adressen von mehreren Computern geteilt werden, ist die Lease hier im Allgemeinen länger als bei anderen Bereichsarten. Stellen Sie die Lease auf die Zeit ein, die das Multicasting Ihrer Meinung nach laufen soll. 7. Klicken Sie auf WEITER, und dann auf FERTIG Multicast-Bereichs wird beendet.
STELLEN.
Das Erstellen des
Sehen wir uns nun an, wie DHCP in DNS integriert wird.
2.2.9
Konfigurieren von DHCP für die Integration in DNS
Einer der Schlüssel zu einer wirksamen Implementierung einer Active-DirectoryUmgebung ist die Tatsache, dass Windows-2000-Arbeitsstationen, die mit DHCP arbeiten, die automatische Registrierung in DNS unterstützen. Drei Einstellungen können für die DNS-Integration vorgenommen werden: 씰
DHCP-Clientinformationen in der DNS automatisch aktualisieren. Diese Option ist standardmäßig zugelassen. Wird diese Option ausgewählt, registriert der DHCP-Server den DHCP-Client sowohl für Forward- (Typ-A-Verzeichnisse) als auch für Reverse(Typ-PTR-Verzeichnisse)-Lookupzonen in DNS nur dann, wenn dies vom Clientcomputer verlangt wird. Diese Einstellungen sind normalerweise für reine Windows-2000-Umgebungen geeignet, da Windows-2000-Clientcomputer DNS direkt aktualisieren. Wenn sich ältere Microsoft-Computer oder Nicht-Microsoft-Computer in Ihrem Netzwerk
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
befinden, können Sie die Einstellung auf DNS immer aktualisieren. Ist die Option DNS IMMER AKTUALISIEREN ausgewählt, registriert der DHCP-Server den DHCP-Client immer sowohl für Forward- (Typ-A-Verzeichnisse) als auch für Reverse(Typ-PTR-Verzeichnisse)-Lookupzonen mit DNS. 씰
Forward-Lookups (Name zu Adresse) bei Ablauf des Lease löschen. Auch diese Option ist standardmäßig eingestellt und bedeutet, dass DNS alle Anfragen nach Auflösungen ablehnt, nachdem die Lease für eine IP-Adresse abgelaufen ist (also vom Clientcomputer nicht mehr verwendet wird).
씰
Aktualisierung für DNS-Clients, die dynamische Aktualisierungen nicht unterstützten, aktivieren. Dies ist ein weiterer Parameter, den Sie vielleicht einstellen wollen, wenn Sie Active Directory in einer Umgebung mit verschiedenen Clientcomputern verwenden.
Wo konfigurieren Sie Ihre(n) DNS-Server, wenn dieser/diese aktualisiert werden soll(en)? Die Antwort ist ganz einfach: Es muss überhaupt nicht konfiguriert werden! Der DHCP-Server aktualisiert nämlich automatisch sämtliche DNS-Server, die als Teil der TCP/IP-Netzwerk-Eigenschaften des Servers konfiguriert sind. Es sollte unbedingt überprüft werden, dass Ihr Haupt-DNS-Server als einer der DNS-Server konfiguriert ist. Sämtliche Aktualisierungen, die an den Haupt-DNS-Server gesendet werden, werden an alle anderen DNS-Server in dieser Domäne verteilt werden. Der fragliche DNS-Server muss jedoch dynamisches DNS unterstützen, wie in Kapitel 1, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von DNS in einer Windows-2000-Netzwerk-Infrastruktur« erläutert wird. Der Windows-2000-DNS-Server sowie zahlreiche andere DNS-Server unterstützen diese Aktualisierungen. Für das Konfigurieren dieser Unterstützung müssen Sie wie folgt vorgehen:
SCHRITT FÜR SCHRITT 2.7
Konfigurieren von DHCP für die Integration in DNS
1. Öffnen Sie die DHCP-Manager-Anwendung. 2. Wählen Sie den DHCP-Server, den Sie für die Integration in DNS konfigurieren möchten, und klicken Sie auf die Schaltfläche VORGANG. (Sie können das Vorgangsmenü auch öffnen, indem Sie mit der rechten Maustaste auf DHCPSERVER klicken.) 3. Wählen Sie EIGENSCHAFTEN. Die Eigenschaften für diesen DHCP-Server werden über die ALLGEMEIN-Registerkarte geöffnet (siehe Abbildung 2.33).
149
150
Kapitel 2
DHCP
Abbildung 2.33 Die Registerkarte Allgemein in den DHCP-Servereigenschaften ermöglicht es Ihnen, die Anmelde- und Statistik-Parameter des Servers zu konfigurieren.
Abbildung 2.34 Die DNS Registerkarte ermöglicht Ihnen, zu konfigurieren, wie der DHCP-Server mit DNS-Servern interagieren soll.
2.2 Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 2.35 Die Bildschirm-Server-Statistiken geben Ihnen einen guten Überblick über die Serveraktivitäten
4. Um DNS zu konfigurieren, wählen Sie die DNS-Registerkarte (siehe Abbildung 2.34). In diesem Dialogfenster können Sie drei Parameter konfigurieren. Behalten Sie für diese Übung die Standard-Einstellungen bei.
PRÜFUNGSTIPP DHCP und DNS. Wichtig ist, daran zu denken, dass Windows-2000-Clientcomputer A-Verzeichnisse in DNS ohne Hilfe des DHCP-Servers aktualisieren. DHCP kann DNS nur für Nicht-Windows-2000-Clientcomputer aktualisieren.
Somit wird auf die Mechanismen der Integration von DHCP in Ihrer DNS-Umgebung geachtet. Wir sollten auch darauf eingehen, wie der DHCP-Server tatsächlich die Aktualisierungen in DNS vornimmt. Als dieses Buch geschrieben wurde, handelte es sich immer noch um Entwürfe des Standards. (Den genauen Wortlaut des vorgeschlagenen Standards zu dem Zeitpunkt, als dieses Buch geschrieben wurde, finden Sie unter http://www.ietf.cnri.reston.va.us/ internet-drafts/draftietf-dhc-dhcp-dns-11.txt. Dieser Entwurf läuft im April 2000 aus.) Der Entwurf von IETF legt fest, wie ein DHCP-Server Pointer (PTR) und Adressen(A)-Quellenverzeichnisse für seine DHCP-fähigen Clients registrieren könnte. Des Weiteren legt er fest, wie ein zusätzlicher DHCP-Options-Code (Options-Code 81) zugewiesen werden kann, durch den der absolute Domänenname (FQDN) des Clients an den DHCP-Server zurückgeschickt werden kann. (PTR- , A-Verzeichnisse und FQDN werden in Kapitel 1 behandelt.) Wie Sie gerade gesehen haben, kann ein DHCP-Server durch die Fähigkeit, sowohl A- als auch PTR- Artenverzeichnisse zu registrieren, Nicht-Windows-2000-Clientcomputer in DNS registrieren. Der DHCP-Server kann zwischen Windows 2000 Professional und anderen Clientcomputern unterscheiden.
151
152
Kapitel 2
2.3
DHCP
Verwalten und Überwachen von DHCP
Wir haben gesehen, wie der Windows-2000-DHCP-Dienst installiert und konfiguriert wird. Das letzte Teilstück im DHCP-Puzzle ist das Verwalten und Überwachen des Servers nach dem Installieren und Konfigurieren. Der Windows-2000-DHCPServer verfügt für diesen Zweck über erweiterte Überwachungs- und StatistikBerichte. Der DHCP-Manager besitzt einige zusätzliche Features, die im Vorgangsmenü zu finden sind. Der Befehl STATISTIK ANZEIGEN öffnet das Dialogfenster SERVER-STATISTIKEN, das in Abbildung 2.35 gezeigt ist. Darauf sind folgende Statistiken zu sehen: 씰
Startzeit. Datum und Zeit des Starts des Diensts.
씰
Betriebszeit. Die gesamte Betriebszeit des DHCP-Dienstes. Wenn Sie den Dienst neu starten, wird diese Zahl auf Null gestellt – auch wenn der Windows-2000-Server nicht neu gestartet wurde.
씰
Entdeckungen. Anzahl der DHCPDiscover-Pakete, die der Server erhalten hat.
씰
Angebote. Anzahl der DHCP-Angebot-Pakete, die der Server gesendet hat.
씰
Anfragen. Anzahl der DHCP-Anfrage-Pakete, die der Server erhalten hat.
씰
Acks. Anzahl der DHCPAcknowledgement-Pakete, die der Server gesendet hat.
씰
Nacks. Anzahl der negativen DHCP-Auskunfts-Pakete, die der Server gesendet hat.
씰
Abweisungen. Anzahl der DHCP-Abweisungen-Pakete, die der Server erhalten hat.
씰
Freigaben. Anzahl der von DHCP freigegebenen Meldungen, die der Server erhalten hat.
씰
Bereiche insgesamt. Gesamtanzahl der Bereiche, die auf dem Server aktiv sind.
2.3 Verwalten und Überwachen von DHCP
씰
Adressen insgesamt. Die Gesamtanzahl der verfügbaren Adressen. Diese Zahl beinhaltet die Anzahl der Adressen für alle aktiven Bereiche auf dem Server.
씰
In Benutzung. Anzahl der Adressen, die gegenwärtig an DHCP-Clientcomputer verleast sind.
씰
Verfügbar. Anzahl der Adressen, die verleast werden können und für den gesamten Adressen-Pool verfügbar sind.
Abbildung 2.36 Wenn Sie gerade Erfahrungen damit machen, was Probleme mit fehlerhaften DHCP-Datenbanken sind, so ist dies der Ort, an dem Sie die Konsistenz der Datenbank überprüfen können.
Abbildung 2.37 Entziehen Sie einem DHCP-Server nur dann die Autorisation, wenn Sie sicher sind, dass er auf DHCPAnfragen antworten muss.
Mit dem Befehl ALLE BEREICHE ABSTIMMEN können Sie die in der DHCP-Datenbank enthaltenen Informationen mit den im Verzeichnis gespeicherten Informationen vergleichen. Verwenden Sie diese Option nur, wenn Sie Probleme mit dem DHCP-Server haben und Sie die konfigurierten Adressen überprüfen müssen. Wenn Sie auf die Schaltfläche ÜBERPRÜFEN klicken (siehe Abbildung 2.36), wird die Einheitlichkeit der Datenbank überprüft, und alle gefundenen Fehler werden zurückgeschickt.
153
154
Kapitel 2
DHCP
Der Befehl AUTORISIERUNG AUFHEBEN löscht den DHCP-Server aus der sich im Active Directory befindenden Liste der autorisierten DHCP-Server. Bevor die Löschung vorgenommen wird, werden Sie darauf hingewiesen (siehe Abbildung 2.37). Das Definieren von Benutzer- und Herstellerklassen sowie das Einstellen vorgegebener Optionen sind fortgeschrittene Konzepte, die nicht mehr in den Bereich dieser Prüfung fallen. Wahrscheinlich werden Sie sie nicht in Zusammenhang mit einer Standard-DHCP-Installation einsetzen. Für die Prüfung sollten Sie dennoch wissen, was Anwender- und Hersteller-Klassen sind: 씰
Benutzerklassen. Für gewöhnlich werden Benutzerklassen, ähnlich wie Benutzergruppen, für Verwaltungszwecke erstellt. Sie können eingesetzt werden, um alle DHCP-Clients in einer bestimmten Abteilung oder einem bestimmten Standort zu identifizieren. Benutzerklassen werden verwendet, um DHCP-Optionen-Gruppen von DHCP-Clients zuzuweisen.
씰
Herstellerklassen. Herstellerklassen werden im Allgemeinen eingesetzt, um herstellerspezifische DHCP-Verbesserungen zu bieten. So unterstützt z.B. der Windows-2000-DHCP-Dienst die Deaktivierung von NetBIOS über TCP/IP auf den DHCP-Clients.
Mit der Einstellung ALLE TASKS können Sie folgende Aufgaben für Ihren DHCPServer durchführen: 씰
Starten. Startet den DHCP-Dienst. Steht nur dann zur Verfügung, wenn der Dienst gestoppt oder unterbrochen wurde.
씰
Beenden. Stoppt den DHCP-Dienst. Steht zur Verfügung, wenn der Dienst läuft oder unterbrochen ist. Durch diese Option werden die Server-Statistiken auf Null gestellt.
씰
Anhalten. Unterbricht den DHCP-Dienst. Durch diese Option werden die Statistiken nicht zurückgesetzt.
씰
Fortsetzen. Setzt den DHCP-Dienst fort. Diese Option steht nur dann zur Verfügung, wenn der Dienst unterbrochen wurde.
씰
Neu starten. Diese Option startet den DHCP-Dienst neu, und stellt die Server-Statistiken im entsprechenden Vorgang auf Null. Diese Option steht dann zur Verfügung, wenn der Dienst nicht gestoppt ist.
2.3 Verwalten und Überwachen von DHCP
PRÜFUNGSTIPP Sie müssen die verschiedenen DHCP-Statistiken kennen. Obwohl Sie die Leistungsindikatoren für die Prüfung nicht auswendig kennen müssen, sollten Sie zumindest mit den Arten der Statistik vertraut sein, die für DHCP erstellt werden können.
Folgende drei Befehle sind geläufig: Mit dem Befehl LÖSCHEN wird der DHCP-Server gelöscht. Mit dem Befehl AKTUALISIEREN werden die angezeigten Informationen mit dem gegenwärtigen Status aktualisiert. Mit dem Befehl LISTE EXPORTIEREN kann die Information vom DHCP-Server einen Tabulator- oder Komma-begrenzten Text oder eine Unicode-Textdatei exportieren. Abbildung 2.38 Die Registerkarte Allgemein ermöglicht Ihnen, Statistiken, Anmelde- und BOOTP-Konfigurationsinformationen für Ihren DHCPServer zu konfigurieren.
Der letzte Befehl, EIGENSCHAFTEN, öffnet für den ausgewählten DHCP-Server das Dialogfenster EIGENSCHAFTEN. Über die Registerkarte ALLGEMEIN wird das Dialogfenster EIGENSCHAFTEN geöffnet, mit dessen Hilfe Sie folgende Optionen konfigurieren können (siehe Abbildung 2.38): 씰
Automatische Aktualisierung der Statistiken alle. Mit dieser Option können Sie die automatische Erneuerung der Statistiken sowie den Zeitraum für die Erneuerungen einstellen.
155
156
Kapitel 2
DHCP
Abbildung 2.39 Das Systemprotokoll kann auch ohne die Ereignisanzeige angesehen werden. Jeder DHCP-Vorgang wird im Systemprotokoll verzeichnet, wenn die Option DHCP-Protokolldatei zulassen ausgewählt ist.
Abbildung 2.40 Verwenden Sie die BOOTP-Option nur für BOOTP-Clients. Solche Clients werden immer seltener, und werden nur in wenigen Firmen-Umgebungen eingesetzt.
씰
DHCP-Protokollierung aktivieren. Mit dieser Option können Sie alle DHCP-Vorgänge in einer Datei loggen. Diese Datei kann mit der Ereignisanzeige im Systemprotokoll angesehen werden. Wählen Sie diese Option, wenn Sie einen DHCP-Fehler beseitigen und wissen möchten, welcher Vorgang gerade auf dem Server läuft. Abbildung 2.39 zeigt ein Beispiel des Systemprotokolls mit einer DHCP-Meldung. Diese Meldung können Sie auch in der Protokolldatei, die sich unter C:\<%system_root%>\System32\dhcp. befindet, angezeigt bekommen.
2.3 Verwalten und Überwachen von DHCP
씰
BOOTP-Tabellenordner anzeigen. Diese Option steht im Zusammenhang mit der Abwärtskompatibilität zu BOOTP. Sie können damit die Tabelle angezeigt bekommen, in der die Einträge der BOOTP-Konfiguration enthalten sind. Diese Tabelle erscheint in der Baumansicht des DHCP-Managers (siehe Abbildung 2.40) und ermöglicht es Ihnen, das BOOTP-Image-File zu konfigurieren, das zu einem BOOTP-Client entweder als absoluter Service-Pfad oder als TFTP-Datei übertragen werden kann.
Die DNS-Registerkarte des Eigenschaften-Dialogfensters wurde bereits ausführlich in diesem Kapitel im Abschnitt »Konfigurieren von DHCP für die Integration in DNS« behandelt. Die Registerkarte ERWEITERT (siehe Abbildung 2.41) wird für folgende Optionen benutzt: 씰
Anzahl der Konflikterkennungsversuche. Diese Option veranlasst, dass der DHCP-Server im Netzwerk nach IP-Adressen sucht, die Probleme verursachen, bevor er eine Adresse ausgibt. Dies klingt zwar nach einer großartigen Möglichkeit zur Vermeidung von Adresskonflikten, aber diese Option kann den Server stark belasten, und sollte deswegen nur eingesetzt werden, wenn Probleme mit Adresskonflikten beseitigt werden sollen. Die standardmäßige Einstellung dieser Option ist 0.
Abbildung 2.41 Die Registerkarte Erweitert sollte nur verändert werden, wenn Sie die Optionen und die mit der Veränderung verbundenen Auswirkungen wirklich kennen.
157
158
Kapitel 2
DHCP
Abbildung 2.42 Der Abschnitt Bindungen ermöglicht Ihnen das Konfigurieren von Schnittstellen, die für Antworten auf DHCPAnfragen eingesetzt werden.
씰
Protokolldateipfad. Wenn die DHCP-Protokollierung zugelassen ist, befindet sich die Protokolldatei im Verzeichnis C:\<%system_root%>\System32\ dhcp. Die standardmäßige Einstellung kann in der Registerkarte geändert werden.
씰
Datenbankpfad. Diese Option ermöglicht Ihnen, den Speicherort der DHCP-Datenbank festzulegen. Sie befindet sich standardmäßig unter C:\<%system_root%>\System32\dhcp.
씰
Verbindungen der Serverbindungen ändern. Mit dieser Option können Sie die Verbindungen angezeigt bekommen, die die Adressangabe des DHCPServers ermöglicht. Sollte es mehrere Verbindungen zu Ihrem DHCP-Server geben, wollen Sie DHCP vielleicht nur für ausgewählte Schnittstellen konfigurieren. Klicken Sie die Schaltfläche BINDUNGEN an, um dieses Bild angezeigt zu bekommen (siehe Abbildung 2.42). Mit dieser Option können Sie die Verbindungen des DHCP-Servers angezeigt bekommen, von dem die Adressen angeboten werden. Sollten Sie mehrere Verbindungen zu Ihrem DHCPServer haben, wollen Sie vielleicht DHCP nur für ausgewählte Schnittstellen konfigurieren. Klicken Sie die Schaltfläche Bindungen an, um dieses Bild angezeigt zu bekommen (siehe Abbildung 2.42).
Die verschiedenen Optionen in Bezug auf das Verwalten des DHCP-Servers wurden Ihnen erklärt. Sehen wir uns nun einige Möglichkeiten zur Überwachung des Dienstes an. Zunächst aber müssen Sie hierfür die Leistungsindikatoren kennen, die für DHCP eingesetzt werden können:
2.3 Verwalten und Überwachen von DHCP
씰
Pakete empfangen/Sek. Anzahl der Nachrichtenpakete, die der DHCP-Server pro Sekunde empfängt. Eine große Zahl bedeutet, dass auf dem Server großer DHCP-Nachrichtenverkehr herrscht. Dabei kann es sich nicht nur um eine große Anzahl von Anfragen, sondern auch um Adressanfragen, Erneuerungsanfragen oder Adressfreigaben handeln.
씰
Duplikate verworfen/Sek. Anzahl der Duplikate, die pro Sekunde vom DHCP-Server verworfen werden. Duplikat-Pakete sind in einem Netzwerk immer ein schlechtes Zeichen, und in diesem Falle zeigen Sie, dass DHCPClients das Zeitlimit überschritten haben, bevor der Server antworten konnte. Das kann daran liegen, dass das Zeitlimit der Clientcomputer zu niedrig ist, oder dass der Server nicht schnell genug antworten kann.
씰
Pakete abgelaufen/Sek. Anzahl der Pakete, die pro Sekunde ablaufen und die der DHCP-Server verwirft. Der Grund dafür ist ein Paket, das zu lange in der internen Nachrichtenschlange des Servers verbleibt. Eine hohe Zahl bedeutet hier, dass der Server entweder zu lange braucht, um einige Pakete zu verarbeiten, dass andere Pakete in der Schlange warten müssen, oder dass der Verkehr im Netzwerk zu groß ist, um vom DHCP-Server verarbeitet zu werden. Wichtig ist hier, darauf hinzuweisen, dass hohe Zahlen keine Probleme mit dem Verkehr im Netzwerk anzeigen können, und nicht unbedingt auf mit DHCP-verbundene Probleme hindeuten.
씰
Millisekunden/Paket (Durchschnitt). Durchschnittliche Zeit in Millisekunden, die der Server benötigt, um jedes empfangene Paket zu verarbeiten. Diese Zahl ist subjektiv, da sie von der Server-Konfiguration abhängt; Sie sollten für diese Zahl ein Grundmaß festlegen. Ein plötzlicher Anstieg in diesem Leistungsindikator könnte auf ein Festplattenproblem oder auf eine erhöhte Belastung des Servers hinweisen.
씰
Länge der aktiven Warteschlange. Aktuelle Länge der Schlange interner Nachrichten auf dem DHCP-Server. Die Zahl steht für die Anzahl nicht verarbeiteter Nachrichten, die vom Server empfangen wurden. Eine große Zahl könnte hier für ungewöhnlich großen Netzwerkverkehr oder für eine hohe Belastung des Servers stehen.
씰
Länge Warteschlangen-Konflikterkennung. Aktuelle Länge der Warteschlangen-Konflikterkennung für den DHCP-Server. Bevor ein Windows2000-DHCP-Server eine Adresse ausgibt, überprüft er, ob irgendwelche Konflikte mit IP-Adressen bestehen. Diese Schlange enthält die Nachrichten, die in der Warteschlange gehalten werden, während der DHCP-Server nach Adresskonflikten sucht. Eine hohe Zahl könnte hier für hohen Lease-Verkehr am dem Server stehen. Sie könnten auch die Konflikterkennungsparameter überprüfen, die möglicherweise zu hoch eingestellt sind.
159
160
Kapitel 2
DHCP
씰
Entdeckungen/Sek. Anzahl der DHCPDiscover-Meldungen, die pro Sekunde vom Server empfangen werden. Die DHCPDiscover-Meldung ist die erste Anfrage, die ein Clientcomputer sendet, wenn er zum ersten Mal ins Netzwerk geht und nach einem DHCP-Server sucht, der Adressen ausgibt. Ein plötzlicher Anstieg in diesem Leistungsindikator könnte darauf hinweisen, dass viele Clientcomputer zur gleichen Zeit versuchen, sich zu initialisieren und eine Genehmigung für eine IP-Adresse vom Server zu erhalten. Einen solchen Anstieg können Sie beobachten, wenn morgens viele Anwender ihre PCs einschalten, oder auch nach einem Stromausfall, wenn alle PCs gleichzeitig wieder eingeschaltet werden.
씰
Angebote/Sek. Anzahl der DHCPOffer-Meldungen, die der DHCP-Server pro Sekunde an Clientcomputer schickt. Eine DHCPOffer-Meldung ist die Meldung, die der Server als Antwort auf die vom Clientcomputer gesendete DHCPDiscover-Meldung sendet. Aus der Meldung kann ersehen werden, dass der Server dem anfragenden Clientcomputer anbietet, ihm eine Adresse auszustellen. Ein plötzlicher Anstieg in diesem Leistungsindikator könnte auf hohen Verkehr oder auf eine hohe Belastung des Servers hinweisen.
씰
Anforderungen/Sek. Anzahl der DHCPRequest-Meldungen, die der DHCPServer pro Sekunde von Clientcomputern empfängt. Diese Anfrage wird vom Clientcomputer gesendet, um eine IP-Adresse anzufragen, nachdem er einen Server gefunden hat, der Adressen ausstellen kann. Ein Anstieg in diesem Leistungsindikator weist darauf hin, dass möglicherweise eine große Anzahl von Clientcomputern versucht, Ihre Genehmigungen mit dem DCHP-Server zu erneuern. Dies liegt vielleicht an der Konfiguration einer kurzen Genehmigungsdauer oder daran, dass eine Reihe neuer Computer an das Netzwerk angeschlossen wurden.
씰
Benachrichtigungen/Sek. Anzahl der DHCPInform-Meldungen, die der DHCP-Server pro Sekunde empfängt. DHCPInform-Meldungen werden eingesetzt, wenn der DHCP-Server im Verzeichnisdienst nach dem Organisationsstamm sucht und wenn vom DNS-Server dynamische Aktualisierungen für Clientcomputer ausgeführt werden. Dies ist Teil der Integration in dynamisches DNS, und ein ungewöhnlicher Anstieg dieser Zahl könnte daher darauf hinweisen, dass eine große Menge an Adressen ausgestellt wurde.
씰
Acks/Sek. Anzahl der DHCPAck-Meldungen, die pro Sekunde vom DHCPServer an Clientcomputer geschickt werden. Die DHCPAck-Meldung wird vom DHCP-Server eingesetzt, um Anfragen nach einer Adresse zu bestätigen. Ein Anstieg dieser Zahl weist darauf hin, dass möglicherweise eine große Zahl von Clientcomputern versucht, ihre Genehmigung mit dem DHCP-
2.3 Verwalten und Überwachen von DHCP
Server zu erneuern. Dies könnte an der Konfiguration einer kurzen Genehmigungsdauer liegen oder daran, dass eine Reihe neuer Computer an das Netzwerk angeschlossen wurden. 씰
Nacks/Sek. Anzahl der negativen DHCP-Bestätigungsmeldungen, die der DHCP-Server pro Sekunde an Clientcomputer schickt. Dies zeigt, dass der Server nicht in der Lage ist, die DHCP-Anfragen zu erfüllen. Ein sehr hoher Wert dieses Leistungsindikators könnte auf ein Netzwerkproblem oder auf eine falsche Konfiguration des Servers oder der Clientcomputer hinweisen. Achten Sie auf deaktivierte Bereiche, die eine mögliche Ursache für derartige Probleme darstellen könnten.
씰
Abweisungen/Sek. Anzahl der DHCPDecline-Meldungen, die der DHCPServer pro Sekunde von Clientcomputern empfängt. Dieser Leistungsindikator zeigt, dass der DHCP-Clientcomputer die vom Server ausgegebene IPAdresse abgelehnt hat. Sie werden feststellen, dass diese Zahl steigt, wenn bei Clientcomputern Adresskonflikte auftreten. Dies könnte auf ein Netzwerkproblem hindeuten, auf Computer mit statischen Adressen, die ebenso Teil eines Bereiches sind, oder auf Probleme, die ein DHCP-Server im Netzwerk verursacht.
씰
Freigaben/Sek. Anzahl der DHCPRelease-Meldungen, die der DHCP-Server pro Sekunde von Clientcomputern empfängt. Eine DHCPRelease-Meldung wird nur gesendet, wenn der Clientcomputer eine Adresse manuell freigibt, z.B. wenn der Befehl ipconfig /release oder die Schaltfläche ALLES FREIGEBEN im Winipcfg-Hilfsprogramm in Clientcomputer verwendet wird. Da die meisten Anwender ihre Adressen nicht manuell freigeben, sollte diese Zahl, selbst in den ungewöhnlichsten Netzwerkumgebungen, niedrig sein.
PRÜFUNGSTIPP Was können Sie tun, um Konflik likte zu lösen? Wenn Sie eine hohe Zahl an Abweisungen pro Sekunde feststellen, werden Sie wahrscheinlich die Konflikterkennung auf Ihrem DHCP-Server zulassen wollen. Dadurch wird der Server nach Konflikten suchen, bevor er Adressen ausgibt, und er wird auf diese Konflikte achten, bis Sie das Problem behoben haben. Diese Option sollte nur verwendet werden, bis das Problem gefunden wurde. Wenn der DHCP-Server jedes Mal nach Konflikten suchen muss, wenn er eine Adresse ausgibt, so entsteht dadurch ein großer Leistungsverlust auf dem Server und dem DHCP-Dienst. Dies sollte auf lange Zeit vermieden werden. Stellen Sie sicher, dass Sie nach der Behebung des Problems dieses Feature wieder deaktivieren.
161
162
Kapitel 2
DHCP
Um die DHCP-Leistungsüberwachung zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 2.8
Überwachen der DHCP-Leistung
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG und SYSTEMMONITOR, um die Leistungsanwendung zu öffnen. 2. Wählen Sie in LEISTUNGEN SYSTEMÜBERWACHUNG (siehe Abbildung 2.43). 3. Um einen Eintrag im Systemmonitor zu erstellen, klicken Sie auf das Icon HINZUFÜGEN (+). Das Fenster LEISTUNGSINDIKATOREN HINZUFÜGEN (siehe Abbildung 2.44) öffnet sich. Abbildung 2.43 Der Systemmonitor ermöglicht Ihnen, die Leistung Ihrer Server-Statistiken in Echtzeit zu überwachen.
Abbildung 2.44 Leistungsindikatoren werden verwendet, um Messwerte für ein bestimmtes Leistungsobjekt anzuzeigen. Beim Leistungsobjekt kann es sich um Hardware oder Software handeln.
2.3 Verwalten und Überwachen von DHCP
Abbildung 2.45 Die mit DHCP verbundenen Leistungsindikatoren ermöglichen Ihnen, die Vorgänge des DHCP-Servers auf verständliche Weise zu überprüfen.
Abbildung 2.46 Klicken Sie auf die Schaltfläche Erklärung.
4. Wählen Sie das DHCP-Leistungsobjekt. Sie bekommen die Liste der Leistungsindikatoren angezeigt, die für DHCP verfügbar sind (siehe Abbildung 2.45). Wenn Sie wissen möchten, was ein Leistungsindikator überhaupt ist, wählen Sie den Leistungsindikator aus und klicken Sie auf die Schaltfläche ERKLÄRUNG. Abbildung 2.46 liefert Ihnen Erklärungen in Bezug auf die Leistungshilfsprogramme.
163
164
Kapitel 2
DHCP
Abbildung 2.47 Nachdem die Leistungsindikatoren hinzugefügt wurden, müssen die Daten nur noch erfolgreich ausgewertet werden.
5. Wenn Sie sich für den Leistungsindikator entschieden haben, den Sie überwachen wollen, klicken Sie auf HINZUFÜGEN. Sie können mehrere Leistungsindikatoren auswählen, indem Sie entweder jeden Leistungsindikator einzeln auswählen und auf HINZUFÜGEN klicken, oder indem Sie die Windows-Standardmethode zum Auswählen mehrerer Punkte verwenden (die Ctrl-Taste gedrückt halten, während Sie alle Leistungsindikatoren auswählen, die überwacht werden sollen, und dann auf HINZUFÜGEN klicken). Klicken Sie auf SCHLIESSEN, wenn Sie fertig sind. Ihre Leistungsindikatoren werden in Diagrammen dargestellt (siehe Abbildung 2.47). Sie kennen nun die Verwaltungsoptionen, die in der DHCP-Verwaltungsanwendung zur Verfügung stehen, und Sie wissen, wie Sie mit Hilfe der Leistungshilfsprogramme die Leistung der verschiedenen DHCP-Leistungsindikatoren überwachen. Nun sollte noch ein weiteres Feature des DHCP-Dienstes besprochen werden. Das Simple-Network-Management-Protokoll (SNMP) und Management-Information-Bases (MIBs) bilden einen Industriestandard, der aus Management-Protokollen für die Verwaltung komplexer Netzwerke besteht. SNMP wurde in den frühen 80erJahren entwickelt und versendet Nachrichten an verschiedene Teile eines Netzwerkes. SNMP-konforme Geräte speichern statistische Daten, welche die Geräte selbst betreffen, in der MIB und senden diese Daten an den SNMP-konformen Manager zurück.
Fallstudie: Implementieren Von DHCP in einer komplexen Umgebung
Der DHCP-Manager unterstützt jetzt auch SNMP und MIB, sodass der DHCP-Server Statistiken aufzeichnen kann und Warnungen an alle Management-Plattformen, einschließlich HP OpenView, Seagate Nerve Center, und sogar an Novells ManageWise senden kann. Dadurch können Administratoren unter anderem folgende DHCP-Informationen überwachen: 씰
Die Anzahl der verfügbaren Adressen.
씰
Die Anzahl der verwendeten Adressen.
씰
Die Anzahl der Genehmigungen, die pro Sekunde bearbeitet werden.
씰
Die Anzahl der bearbeiteten Nachrichten und Angebote.
씰
Die Anzahl der Anfragen, Auskünfte, Ablehnungen, Auskünfte über negative Status-Nachrichten (Nacks) und erhaltene Releases.
씰
Die Gesamtanzahl von Bereichen und Adressen auf dem Server, die Anzahl der verwendeten Bereiche und Adressen auf dem Server und die Anzahl der verfügbaren Bereiche und Adressen auf dem Server.
Wenn Sie mehr über SNMP und MIB wissen möchten, lesen Sie »A Practical Guide to SNMPv3 and Network Management« von David Zeltserman (Prentice Hall). Sie haben einen tiefen Einblick über die Grundkenntnisse der Windows-2000DHCP-Dienste erhalten. Im nächsten Abschnitt sehen Sie, wie Sie dieses Wissen in der Praxis anwenden.
Fallstudie: Implementieren Von DHCP in einer komplexen Umgebung Das Wichtigste im Überblick: Das Wichtigste im Überblick ist Folgendes: 1. Ihre Firma ist gerade dabei, auf eine reine Windows-2000-Umgebung umzustellen. 2. Ihre Firma besitzt drei Netzwerke, davon zwei mit Anwendern und eines als Backbone. Das Netzwerk des Verkaufs besitzt ca. 400 Anwender, das Netzwerk der Technik hat 75 Anwender.
165
166
Kapitel 2
DHCP
3. Die drei Netzwerke sind über zwei Router verbunden: Router A und Router B. 4. Dem Netzwerk des Verkaufs stehen zahlreiche Adressen zur Verfügung, da es sich um ein Netzwerk mit gruppierten Bereichen handelt. Im Netzwerk der Technik stehen nicht ausreichend Adressen zur Verfügung. Die Ingenieure können aber dennoch arbeiten, da sie Schichtdienst haben.
Situationsbeschreibung Sie sind Netzwerkadministrator bei NR Widgets Inc., einem Computerhersteller. NR Widgest Inc. ist gerade dabei, auf eine reine Windows-2000-Umgebung umzustellen. Sie haben zwei Anwendernetzwerke (siehe Abbildung 2.48): Verkauf und Technik sowie ein gemeinsames Backbone-Netzwerk. Das Netzwerk des Verkaufs hat mehr als 400 Anwender und besteht aus gruppierten Bereichen. Somit kann jedem Anwender eine ausreichende Anzahl an Adressen zur Verfügung gestellt werden. Das Netzwerk der Technik hat nur 75 Anwender, aber enthält auch eine Reihe von Druckern, Plottern und Testgeräten, sodass für die Anwender insgesamt nur 40 Adressen zur Verfügung stehen. Die Anwender in der Technikabteilung arbeiten in 3 Schichten; wobei pro Schicht 25 Ingenieure arbeiten. Heutzutage verwenden alle Hosts statische Adressen, was beim Netzwerk des Verkaufs gut funktioniert. Aber um Probleme bei der Auflösung von IP-Adressen zu vermeiden, müssen die Ingenieure darauf achten, welche Computer noch mit dem Netzwerk verbunden sind. Gestern sagte Ihnen Ihr Chef: »Wenn wir schon auf Windows 2000 umstellen, warum lösen Sie nicht auch gleich das Problem mit den IP-Adressen im Netzwerk?« Wenn Sie bedenken, dass derartige »Vorschläge« des Chefs in der Regel bedeuten »Lösen Sie dieses Problem bis Ende der Woche«, was also sollten Sie dann unternehmen? Abbildung 2.48 Netzwerkdiagramm der Fallstudie.
Fallstudie: Implementieren Von DHCP in einer komplexen Umgebung
Situationsanalyse Diese Situation bietet eine wunderbare Gelegenheit, den Windows 2000DHCP-Dienst als Teil des Windows-2000-Rollouts einzusetzen. Um das Problem zu lösen, gehen Sie wie folgt vor: 씰
Sie müssen die Server-Ressourcen zuordnen, um mindestens einen DHCP-Server zu unterstützen. Um möglichst viel Verkehr auf dem Router zu vermeiden, sollten Sie den Server in dem Netzwerk platzieren, das die meisten DHCP-Anfragen verwalten kann. Da sich im Netzwerk des Verkaufs 400 Anwender befinden, werden Sie wohl sofort denken, dass die meisten Anfragen von dort kommen werden. Aber denken Sie noch einmal darüber nach. Da im Netzwerk des Verkaufs zahlreiche Adressen zur Verfügung stehen, können Sie ungewöhnlich lange Genehmigungsdauern konfigurieren, sodass die Zahl der Anfragen nach der ersten Genehmigung recht gering sein wird. Im Netzwerk der Technik hingegen werden die Anwender aufgrund der begrenzten Anzahl der Adressen jedes Mal eine neue Adresse anfragen, wenn Sie den Computer einschalten.
씰
Nachdem Sie den Server identifiziert und im Netzwerk platziert haben, werden Sie DHCP installieren und konfigurieren müssen. Wenn dieser Dienst installiert ist, müssen Sie ihn anschließend im Active Directory autorisieren.
씰
Wenn Sie Bereiche erstellen, sollten Sie für das Techniknetzwerk einen einzigen Bereich und für das Verkaufsnetzwerk eine Bereichsgruppierung einrichten. Mit der Bereichsgruppierung können Sie, mehrere Bereich kombinieren (das Verkaufsnetzwerk verfügt über drei Netzwerksegmente), um so die Verwaltung zu vereinfachen. Die Genehmigung für jeden Bereich innerhalb der Bereichsgruppierung sollte mindestens 30 Tage betragen. So können Sie nämlich sichergehen, dass eine begrenzte Menge an Lease-Verkehr durch den Router läuft. Die Genehmigung im Techniknetzwerk sollte acht Stunden betragen, sodass die Adressen bei Schichtwechsel für die neue Schicht zur Verfügung stehen.
씰
Schließlich müssen Sie noch sicherstellen, dass der BOOTP-ForwarderDienst auf den Routern läuft. Dieser Dienst sollte so konfiguriert sein, dass er den DHCP-Verkehr an den entsprechenden DHCP-Server weiterleitet.
Wenn Sie das Kapitel aufmerksam durchgelesen haben, sollte diese Fallstudie recht einfach für Sie gewesen sein. Nachdem der DHCP-Server eingerichtet ist und funktioniert, werden Sie natürlich auch einige der Überwachungen einstellen wollen, die am Ende des Kapitels besprochen wurden.
167
168
Kapitel 2
DHCP
Zusammenfassung Schlüsselbegriffe 쎲
Adressen-Pool
쎲
Lease
쎲
Ausschluss
쎲
Management Information Block (MIB)
쎲
Bereich
쎲
Multicast -Bereich
쎲
Bereichsgruppierung
쎲
Registrierte IP-Adresse
쎲
BOOTP-Protokoll
쎲
Request For Comment (RFC)
쎲
DHCP-Client
쎲
Reservierung
쎲
DHCP-Server
쎲
Simple Network Management Protocol (SNMP)
쎲
Domain Name System (DNS)
쎲
Transmission Control Protocol/Internet Protocol (TCP/IP)
쎲
Dynamic Host Configuration Protocol (DHCP)
쎲
Unicast-Adressen
쎲
Gruppiertes Netzwerk
Wiederholen wir noch einmal, was in diesem Kapitel behandelt wurde. Wir sind auf alle Schlüsselkomponenten des Betriebes eines Windows-2000-DHCP-Servers in einer Windows-2000-Umgebung eingegangen. Zunächst wurde erklärt, was DHCP ist und woher es kam. Dann gingen wir ausführlich auf die verschiedenen Arten von Bereichen ein, und erläuterten die verschiedenen Schritte beim Installieren von DHCP sowie beim Erstellen des ersten Bereiches und beim Autorisieren des Servers im Active Directory. Damit wissen Sie alles, was Sie wissen müssen, um einen funktionierenden DHCP-Server zu erhalten. Anschließend wurde noch auf das Erstellen von Bereichsgruppierungen und Multicast-Bereichen sowie auf das Integrieren von DNS und DHCP eingegangen. Das Kapitel endete schließlich mit einer Auflistung der verschiedenen Methoden zur Überwachung und Verwaltung von DHCP.
Lernzielkontrolle
Lernzielkontrolle Übungen 2.1
Erstellen eines DHCP-Bereichs
In dieser Übung werden Sie mit dem Report Writer arbeiten und einen Bericht über den Inhalt einer Protokolldatei erstellen. Geschätzte Zeit: 30 Minuten 1. Gehen Sie zur Anwendung KONFIGURIEREN SIE IHREN SERVER, wählen Sie PROGRAMME, VERWALTUNG, und klicken Sie KONFIGURIEREN SIE IHREN SERVER an. 2. Klicken Sie auf den Hyperlink ÖFFNEN, um den DHCP-Manager zu öffnen. Zu diesem Dialogfenster gelangen Sie auch, wenn Sie den DHCP-Manager direkt öffnen. Gehen Sie hierfür einfach auf PROGRAMME, VERWALTUNG und DHCP. 3. Wählen Sie den DHCP-Server, der im Fenster DHCP aufgelistet ist (der Server rechts), und gehen Sie auf VORGANG, NEUER BEREICH. Der Assistent NEUER BEREICH wird gestartet. Klicken Sie auf WEITER, und beginnen Sie mit der Definition des Bereichs. Das Dialogfenster BEREICHSNAMEN öffnet sich. 4. Geben Sie den Namen Exercise1 und eine Beschreibung in die Felder ein, und klicken Sie auf WEITER. Hiermit wird die Reihe der IP-Adressen geöffnet. 5. Geben Sie eine geeignete Adressreihe und eine Subnetzmaske ein. Für diese Übung verwenden Sie die Reihe von 10.0.0.1 bis 10.0.0.100, und eine Subnetzmaske von 255.0.0.0. Klicken Sie auf WEITER, und das Dialogfenster AUSSCHLÜSSE HINZUFÜGEN öffnet sich. 6. Fügen Sie die Adressen hinzu, die ausgeschlossen werden sollen. In dieser Übung müssen Sie keine Adressen ausschließen. Klicken Sie auf WEITER, um das Dialogfenster GENEHMIGUNGSDAUER zu öffnen. 7. Behalten Sie in dieser Übung die standardmäßige Genehmigungsdauer bei. Klicken Sie auf Weiter, um das Dialogfenster Optionen- für das Konfigurieren von DHCP zu öffnen. 8. Konfigurieren Sie den Router bzw. Standard-Gateway. In dieser Übung verwenden Sie 10.0.0.254. Klicken Sie auf WEITER, und das Dialogfenster für DOMÄNENNAMEN UND DNS-SERVER öffnet sich.
169
170
Kapitel 2
DHCP
9. Bestimmen Sie den/die erforderlichen DNS-Server, wobei Sie für diese Übung 10.0.1.1 und 10.0.2.1 verwenden sollten. Klicken Sie auf WEITER. Das Dialogfenster WINS-SERVER öffnet sich. 10. Legen Sie einen WINS-Server fest, wenn Sie mit DHCP-Clientcomputern arbeiten, die immer noch WINS-Dienste in Anspruch nehmen. Für diese Übung verwenden Sie 10.0.1.2 und 10.0.2.2. 11. Klicken Sie auf WEITER, und anschließend auf BEENDEN, um das Erstellen der Bereiche fertig zu stellen. 2.2
Erstellen einer Bereichsgruppierung
Die folgende Übung zeigt Ihnen, wie Sie mehrere Bereiche durch das Erstellen einer Bereichsgruppierungs verwalten können. Für diese Aufgabe müssen Sie zuerst Übung 2.1 beendet haben. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie die Anwendung DHCP-MANAGER. 2. Wählen Sie den DHCP-Server, auf dem Sie eine Bereichsgruppierung erstellen wollen, und klicken Sie auf die Schaltfläche VORGANG. Sie können dieses Menü auch öffnen, indem Sie mit der rechten Maustaste auf den DHCP-Server klicken. 3. Wählen Sie NEUE BEREICHSGRUPPIERUNG. Klicken Sie auf WEITER. 4. Das Dialogfenster für Bereichsgruppierungsnamen öffnet sich. Geben Sie einen Namen ein und klicken Sie auf WEITER. Geben Sie für diese Übung den Namen SuperExercise1 ein. 5. Wählen Sie im Dialogfenster AUSGEWÄHLTE BEREICHE die Bereiche, die Sie in die Bereichsgruppierung einfügen möchten, und klicken Sie anschließend auf WEITER. Sie sollten den Bereich Exercise1 wählen, den Sie in der letzten Übung erzeugt haben. 6. Das Dialogfenster FERTIGSTELLEN DES NEUEN BEREICHSGRUPPIERUNGSASSISTENTEN gibt Ihnen eine Übersicht über die Auswahl, die Sie im Assistenten getroffen haben. Für die Erstellung der Bereichsgruppierung klicken Sie auf FERTIG STELLEN. 2.3
Überwachen der DHCP-Server-Leistung unter Verwendung der Leistungsanwendung
Diese Übung zeigt Ihnen Schritt für Schritt, wie ein Leistungsindikator einem Leistungshilfsprogramm hinzugefügt wird, sodass Sie Ihren DHCP-Server baselinen oder auf Fehler untersuchen können.
Lernzielkontrolle
Geschätzte Zeit: 15 Minuten 1. Öffnen Sie die Anwendung SYSTEMMONITOR, indem Sie auf PROGRAMME, VERWALTUNG und SYSTEMMONITOR gehen. 2. Wählen Sie von dort den Systemmonitor. 3. Um einen Eintrag in der Systemüberwachung zu erstellen, klicken Sie auf das Icon HINZUFÜGEN (+). Das Fenster für das Hinzufügen von Leistungsindikatoren öffnet sich. Beachten Sie bitte, dass in diesem Dialog standardmäßig LEISTUNGSINDIKATOR FÜR DIE PROZESSORZEIT ausgewählt ist. 4. Wählen Sie das DHCP-Datenobjekt. 5. Wählen Sie den Leistungsindikator, den Sie überwachen möchten, und klicken Sie auf HINZUFÜGEN. Sie können mehrere Leistungsindikatoren hinzufügen, indem Sie entweder jeden Leistungsindikator einzeln auswählen und auf HINZUFÜGEN klicken, oder indem Sie die Windows-Standardmethode für das Hinzufügen mehrerer Objekte verwenden (d.h. die Taste (Strg) gedrückt halten, während Sie die zu überwachenden Leistungsindikatoren auswählen, und dann auf HINZUFÜGEN klicken). Für diese Übung wählen Sie die Leistungsindikatoren ANGEBOTE/SEK, ANFRAGEN/SEK und FREIGABEN/SEK. Klicken Sie auf SCHLIESSEN, wenn Sie damit fertig sind. 6. Achten Sie auf die Ergebnisse im Überwachungsfenster. Wenn Ihnen mehrere Arbeitsstationen zur Verfügung stehen, machen Sie einige DHCP-Anfragen, um die Wirkung an den Leistungsindikatoren zu sehen. Wiederholungsfragen 1. Sie sind Netzwerkadministrator bei Exponent Mathematicians, und man hat Sie gebeten, DHCP in einem gruppierten Netzwerksegment zu implementieren. Was sollten Sie tun, um sicherzugehen, dass diese Aufgabe erfolgreich durchgeführt wird? 2. Sie sind Administrator des DHCP-Servers bei Get Bus, einer PfandleihhausKette. Sie erhalten Beschwerden von Anwendern, dass beim Einschalten der Computer eine Adresskonfliktmeldung angezeigt wird. Welcher DHCP-Leistungsindikator könnte Ihnen dabei helfen, das Problem zu identifizieren? 3. Sie sind Windows-2000-Administrator bei Fly-Away-Reisen. Beim Verwalten des DHCP-Servers von Fly Away bemerken Sie, dass die Anzahl der DHCP-Anfragen im Verhältnis zur Anzahl der Anwender im Netzwerk sehr hoch ist. Wo suchen Sie zuerst nach einem Problem, das in Verbindung mit dem Server steht?
171
172
Kapitel 2
DHCP
4. Sie sind Administrator des Windows-2000-DHCP-Servers bei Little Faith Enterprise. Sie bemerken, dass der DHCP-Server während der Stoßzeiten auffallend langsam läuft. Beim Überprüfen des Leistungsindikators Länge der Warteschlangen-Konflikterkennung im Systemmonitor fällt Ihnen auf, dass der Wert sehr hoch ist. Was könnte die Ursache dieses Problems sein? 5. Sie sind Administrator des Windows 2000-DHCP-Servers bei Little Faith Enterprise. Sie haben soeben den DHCP-Dienst installiert und mit Hilfe des Bereichsassistenten Ihren ersten Bereich erzeugt. Sie versuchen, einer Gruppe von Anwendern, die zwei Router-Hops entfernt ist, Adressen zu liefern. Was müssen Sie noch tun? Prüfungsfragen 1. Sie sind Netzwerkadministrator bei Wild Widgets Inc. Sie zeigen einer neuen Angestellten die Anwendung des DCHP-Dienstes im Windows-2000-Server. Sie stellt Ihnen die Frage, wie ein Clientcomputer Adressen anfragt und wie er sie vom Server erhält. A. Der Clientcomputer sendet eine DHCPDiscover-Meldung. Der DHCPServer bietet eine IP-Adresse an. Der Clientcomputer nimmt die Adresse an und verwendet sie, um mit dem Netzwerk zu kommunizieren. B. Der Clientcomputer sendet eine DHCPDiscover-Meldung. Der DHCPServer bietet eine IP-Adresse an. Der Clientcomputer nimmt die Adresse an und sendet eine Anfrage über die Verwendung dieser Adresse an den DHCP-Server zurück. Der Clientcomputer verwendet die Adresse, um mit dem Netzwerk zu kommunizieren. C. Der Clientcomputer sendet eine DHCPDiscover-Meldung. Der DHCPServer bietet eine IP-Adresse an. Der Clientcomputer nimmt die Adresse an und sendet eine Anfrage über die Verwendung dieser Adresse an den DHCP-Server zurück. Der DHCP-Server bestätigt diese Anfrage und erteilt dem Clientcomputer eine Genehmigung für die Verwendung dieser Adresse. Der Clientcomputer verwendet die Adresse, um sich mit dem Netzwerk zu verbinden. D. Der Clientcomputer sendet eine DHCPDiscover-Meldung. Der DHCPServer bietet eine IP-Adresse an. Der Clientcomputer nimmt die Adresse an und sendet eine Anfrage über die Verwendung dieser Adresse an den DHCP-Server zurück. Der DHCP-Server bestätigt diese Anfrage und erteilt dem Clientcomputer eine Genehmigung für die Verwendung dieser Adresse. Der Clientcomputer antwortet mit einer Bestätigung der Genehmigung und verwendet die Adresse, um sich mit dem Netzwerk zu verbinden.
Lernzielkontrolle
2. Sie sind Systemadministrator bei Phils Phill-up Stations, einer Tankstellenkette. Als Teil des Netzwerkes unterhalten Sie einen Windows-2000-DHCPServer für die dynamische Zuweisung von Adressen. Sie haben drei Bereichsgruppierungen eingerichtet. In jeder Bereichsgruppierung befinden sich vier Bereiche. Sie bemerken, dass plötzlich Probleme mit einem Bereich auftreten, der falsche Adressen ausstellt. Sie überprüfen den Server und denken, dass es ein Problem mit der Datenbank gibt. Wie können Sie überprüfen, ob die Datenbank intakt ist? A. Öffnen Sie den DHCP-Manager. Wählen Sie den entsprechenden Bereich, und klicken Sie auf das Vorgangsmenü. Wählen Sie BEREICH ABSTIMMEN. B. Öffnen Sie den DHCP-Manager. Wählen Sie die Bereichsgruppierung, die den fraglichen Bereich enthält, und klicken Sie das Vorgangsmenü an. Wählen Sie ALLE BEREICHE ABSTIMMEN. C. Öffnen Sie den DHCP-Manager. Wählen Sie den DHCP-Server, der den fraglichen Bereich enthält, und klicken Sie auf das Vorgangsmenü. Wählen Sie ALLE BEREICHE ABSTIMMEN. D. Öffnen Sie den DHCP-Manager. Wählen Sie den DHCP-Server, der den entsprechenden Bereich enthält, und klicken Sie auf das Vorgangsmenü. Wählen Sie DHCP-DATENBANK ABSTIMMEN. 3. Sie sind LAN-Administrator bei Get Stuffed Taxidermy, und Sie sind für die Wartung des Windows-2000-DHCP-Servers dieser Firma verantwortlich. Während Sie die täglichen System-Checks durchführen, bemerken Sie, dass die Anzahl der DHCPDiscover-Pakete um 9 Uhr morgens besonders hoch war. Was könnte der Grund dafür sein? A. Ein Netzwerkproblem. B. Der DHCP-Dienst wurde neu gestartet. C. Eine große Anzahl der Computer ging etwa zur gleichen Zeit ins Netz. D. Ein »falscher« DHCP-Server gibt Adressen doppelt aus. 4. Sie sind LAN-Administrator bei Get Stuffed Taxidermy, und Sie sind für die Wartung des Windows 2000-DHCP-Servers dieser Firma verantwortlich. Während Sie die täglichen System-Checks durchführen, bemerken Sie, dass die Anzahl der DHCPDiscover-Pakete um 9 Uhr morgens besonders hoch war. Wie würden Sie die DHCPDiscover-Pakete überwachen?
173
174
Kapitel 2
DHCP
A. Öffnen Sie den Systemmonitor. Klicken Sie auf das Icon LEISTUNGSINDIKATOR HINZUFÜGEN. Wählen Sie das DHCP-Server-Objekt und anschließend den Leistungsindikator DHCPDISCOVER-PAKETE/SEK. Klicken Sie auf HINZUFÜGEN, um den Leistungsindikator hinzuzufügen und die Pakete zu überwachen. B. Öffnen Sie den Systemmonitor. Klicken Sie auf das Icon LEISTUNGSINDIKATOR HINZUFÜGEN. Wählen Sie das DHCP-Server-Objekt und anschließend den Leistungsindikator DHCPDISCOVER-PAKETE/SEK. Klicken Sie auf HINZUFÜGEN, um den Leistungsindikator hinzuzufügen und die Pakete zu überwachen. C. Öffnen Sie den Systemmonitor. Klicken Sie auf das Icon LEISTUNGSINDIKATOR HINZUFÜGEN. Wählen Sie das DHCP-Server-Objekt und anschließend den Leistungsindikator ENTDECKUNGEN/SEK. Klicken Sie auf HINZUFÜGEN, um den Leistungsindikator hinzuzufügen und die Pakete zu überwachen. D. Öffnen Sie den DHCP-Manager. Wählen Sie den DHCP-Server, den Sie überwachen möchten. Klicken Sie mit der rechten Maustaste auf den Server, und wählen Sie aus dem Kontextmenü STATISTIKEN ANZEIGEN. Beobachten Sie die Statistik ENTDECKUNGEN. 5. Sie sind Ingenieur bei Little Faith Enterprises, und eine Kundin hat Sie gebeten, den DHCP-Dienst auf ihrem Windows-2000-Server zu installieren, einen Bereich zu konfigurieren und Adressen auszustellen. Welche Mindestmaßnahmen müssen Sie treffen, um dieses Ziel zu erreichen? A. Gehen Sie in der Systemsteuerung auf NETZWERK UND DFÜ-VERBINDUNGEN, und wählen Sie NETZWERKKOMPONENTEN HINZUFÜGEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, autorisieren Sie ihn im Active Directory. Erstellen Sie anschließend den Bereich. Konfigurieren Sie zu guter Letzt die DNS-Integration. B. Gehen Sie in der Systemsteuerung auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie NETZWERKKOMPONENTEN HINZUFÜGEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, erstellen Sie den Bereich. Konfigurieren Sie anschließend die DNS-Integration. C. Gehen Sie in der Systemsteuerung auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie ETZWERKKOMPONENTEN HINZUFÜGEN, um den Dienst zu installieren. Nachdem der Dienst installiert ist, erstellen Sie den Bereich. Erstellen Sie eine Bereichsgruppierung, und fügen Sie den Bereich dort ein. Autorisieren Sie den Server im Active Directory.
Lernzielkontrolle
D. Gehen Sie in der Systemsteuerung auf NETZWERK UND DFÜ-VERBINDUNGEN. Wählen Sie NETZWERKKOMPONENTEN HINZUFÜGEN, um den Dienst zu installieren. Nachdem der Dienst installiert wurde, erstellen Sie den Bereich. Autorisieren Sie den Server im Active Directory. 6. Sie sind Netzwerkadministrator bei Hittem Bosing Glove Corporation. Die Firma betreibt ein geroutetes Netzwerk mit einem zentralen Windows-2000DHCP-Server. Der Server kann Adressen an Anwender im lokalen Segment ausstellen, kann aber keine Adressen an andere, über einen Router verbundene Sites ausgeben. Was ist der wahrscheinlichste Grund für dieses Problem? A. Der DHCP-Forwarder-Dienst ist auf dem DHCP-Server nicht zugelassen. B. Der BOOTP-Forwarder-Dienst ist auf dem DHCP-Server nicht zugelassen. C. Der DHCP-Forwarder-Dienst ist auf den Routern nicht zugelassen. D. Der BOOTP-Forwarder-Dienst ist auf den Routern nicht zugelassen. 7. Sie verwalten die Windows-2000-DHCP-Server bei Realy Big Screwdriver Corporation. Sie betreiben eine reine Windows-2000-Umgebung, und Sie müssen sicherstellen, dass alle Arbeitsstationen für die Integration im Active Directory richtig in DNS registriert sind. Wie sollten Sie diese DNS-Integration konfigurieren? A. Stellen Sie die DNS-Integration auf automatisches Aktualisieren der DHCP-Clientinformation in DNS ein. B. Stellen Sie die DNS-Integration so ein, dass normale Lookups verworfen werden, wenn die Genehmigung abläuft. C. Stellen Sie die DNS-Integration so ein, dass Aktualisierungen für DNSClients ermöglicht werden, die keine dynamische Aktualisierung unterstützen. D. Stellen Sie die DNS-Integration so ein, dass DNS-Keep-Alives ermöglicht werden. 8. Sie sind LAN-Administrator bei UR Write Publishing, einem Buchhändler. Ihr Windows-2000-DHCP-Server gibt einen Block von 40 Adressen für 120 Verkäufer im Verkaufs-Netzwerk aus. Diese Anwender sind häufig auch außerhalb des Büros unterwegs, sodass nie mehr als 40 Anwender gleichzeitig im Netz sind. Was müssen Sie tun, um sicherzugehen, dass die Anwender im Bedarfsfall Adressen erhalten?
175
176
Kapitel 2
DHCP
A. Setzen Sie die DHCP-Genehmigung auf 60 Minuten. B. Setzen Sie die DHCP-Genehmigung auf 5 Tage. C. Konfigurieren Sie Reservierungen für jeden Anwender. D. Konfigurieren Sie einen Ausschluss für jeden Anwender. 9. Sie sind der Administrator bei Talk to Me Telephone. Ihre Firma arbeitet mit Windows 2000- und mit dem DHCP-Service. Unter Ihren DHCP-Clientcomputern befinden sich im Netzwerk auch noch einige alte Arbeitsstationen, die BOOTP-Chips auf ihren Ethernet-Karten haben. Für diese Computer müssen Sie eine Unterstützung für BOOTP hinzufügen. Wie stellen Sie diese Unterstützung sicher? A. Fügen Sie den BOOTP-Dienst auf dem Server hinzu. B. Konfigurieren Sie mit der ERWEITERN-Registerkarte der Bereichseigenschaften den Server so, dass Adressen für BOOTP- Clients ausgestellt werden. C. Konfigurieren Sie mit der ERWEITERN-Registerkarte der Server-Eigenschaften den Server so, dass Adressen sowohl für DHCP- als auch für BOOTP-Clients ausgestellt werden. D. Konfigurieren Sie mit der ERWEITERN-Registerkarte der Bereichseigenschaften den Server so, dass Adressen sowohl für DHCP- als auch für BOOTP-Clients ausgestellt werden. 10. Sie sind Netzwerkadministrator bei der Baufirma LFE. Sie betreiben einen Windows-2000-DHCP-Server für die Firma, und Sie müssen alarmiert werden, wenn weniger als 10 Adressen verfügbar sind. Wie stellen Sie das System ein, um den Alarm auszulösen? A. Da der DHCP-Server MIB unterstützt, müssen Sie eine MIB-konforme Verwaltungsanwendung wie z.B. HP OpenView verwenden, um den Server zu überwachen und um Sie zu warnen, wenn weniger als 10 Adressen verfügbar sind. B. Sie verwenden den Systemmonitor, um die Grenze verfügbarer Adressen auf 10 festzulegen. Das Programm wird Sie alarmieren, wenn diese Grenze erreicht wird. C. Da der DHCP-Server SNMP unterstützt, müssen Sie eine SNMP-konforme Verwaltungsanwendung, wie z.B. HP OpenView verwenden, um den Server zu überwachen und um Sie zu warnen, wenn weniger als 10 Adressen verfügbar sind.
Lernzielkontrolle
D. Öffnen Sie den DHCP-Manager. Klicken Sie mit der rechten Maustaste auf den DHCP-Server und wählen Sie SERVER-STATISTIKEN. Klicken Sie auf die Schaltfläche WARNUNG und wählen Sie die Anzahl der verfügbaren Adressen. Setzen Sie die Grenze auf 10 fest und klicken Sie auf NETZWERKALARM SENDEN. 11. Sie sind Netzwerkadministrator bei BT Editing Unlimited. Sie haben ein Netzwerk mit 50 Hosts und betreiben einen Windows-2000-DHCP-Server, um IP-Adressen auszustellen. Sie besitzen ebenfalls fünf auf IP basierende Drucker mit statischen IP-Adressen. Ihr Hilfsadministrator hat am DHCPServer gearbeitet und einige Änderungen vorgenommen. Plötzlich können Ihre Clients auf einem der Drucker nicht mehr drucken. Welches Problem liegt hier wahrscheinlich vor? A. Der Bereich, von dem die Drucker IP-Adressen erhielten, wurde gelöscht. B. Der vorhandene Bereich wurde verändert, sodass sich die für die Drucker reservierten Adressen überschneiden. C. Der vorhandene Bereich wurde verändert, sodass sich die für die Drucker reservierten Adressen überschneiden. Des Weiteren wurde einer Arbeitsstation die gleiche Adresse wie einem der Drucker zugewiesen. D. Der DHCP-Dienst wurde unabsichtlich gestoppt. 12. Sie sind Systemadministrator bei Little Faith Department Store. Sie sind für die Wartung des Windows 2000-DHCP-Servers der Firma zuständig. Vor kurzem fügte die Firma einen neuen Router und ein geroutetes Segment in das Netzwerk an. Dieses Segment muss nun mit dem DHCP-Server verbunden werden. Die Adresse des Router-Anschlusses lautet 10.10.25.1 und verfügt über eine Klasse-C-Subnetzmaske. Sie müssen, beginnend mit 10.10.25.20, 40 Adressen zur Verfügung stellen. Was müssen Sie tun, damit DHCP auch in diesem Segment läuft? A. Sie müssen einen zusätzlichen DHCP-Server in diesem Segment installieren und konfigurieren, um die DHCP-Dienste verfügbar zu machen. B. Sie müssen dem DHCP-Server einen Bereich hinzufügen, der die Adressen von 10.10.25.20 bis 10.10.25.39 enthält. Der Bereich braucht eine Subnetzmaske mit 255.255.255.0. Sie müssen den BOOTP-Forwarder für den Router des neuen Segments konfigurieren, und dazu die Adresse des DHCP-Servers verwenden. Sie müssen den Bereich aktivieren.
177
178
Kapitel 2
DHCP
C. Sie müssen dem DHCP-Server einen Bereich hinzufügen, der die Adressen von 10.10.25.20 bis 10.10.25.40 enthält. Der Bereich braucht die Subnetzmaske 255.255.255.0. Sie müssen den BOOTP-Forwarder für den Router des neuen Segments konfigurieren, und dazu die Adresse des DHCP-Servers verwenden. Sie müssen den Bereich aktivieren. D. Sie müssen dem DHCP-Server einen Bereich hinzufügen, der die Adressen von 10.10.25.20 bis 10.10.25.40 enthält. Der Bereich braucht die Subnetzmaske 255.255.255.0. Sie müssen den BOOTP-Forwarder für den Router des neuen Segments konfigurieren, und dazu die Adresse des DHCP-Servers verwenden. Sie müssen den Bereich nicht aktivieren, da dies automatisch beim Erstellen des Bereichs geschieht. 13. Sie sind Netzwerk-Manager bei IntCo Manufacturing. Sie betreiben eine nicht homogene Windows-2000-Umgebung, und verwenden einen Windows2000-DHCP-Dienst, um ein einziges Netzwerksegment zu unterstützen. Ihre Clientcomputer sind Arbeitsstationen mit Windows 2000 Professional, Windows NT und Windows 98 SE. Was müssen Sie tun, damit alle Ihre Clientcomputer DHCP-Adressen erhalten können? A. Sie müssen für jedes Netzwerksegment einen Bereich konfigurieren. Sie müssen jeden Clientcomputer so konfigurieren, dass er IP-Adressen dynamisch empfangen kann. Konfigurieren Sie den DHCP-Dienst für Abwärtskompatibilität. B. Sie müssen für jedes Netzwerksegment einen Bereich konfigurieren. Jeder Clientcomputer muss so konfiguriert werden, dass IP-Adressen dynamisch empfangen werden können. Bei den Windows-NT-Arbeitsstationen müssen Sie sicherstellen, dass die DHCP-Aktualisierung auf dem ServicePack 6 installiert wurde. C. Sie müssen für jedes Netzwerksegment einen Bereich konfigurieren. Jeder Clientcomputer muss so konfiguriert werden, dass IP-Adressen dynamisch empfangen werden können. Konfigurieren Sie den DHCP-Dienst für inhomogene Netzwerke. D. Sie müssen für jedes Netzwerksegment einen Bereich konfigurieren. Jeder Clientcomputer muss so konfiguriert werden, dass IP-Adressen dynamisch empfangen werden können. 14. Sie sind Berater bei Little Faith Enterprises, einer Windows-2000-Beraterfirma. Man hat Sie gebeten, DHCP für Ihre Clients zu konfigurieren. Der Kunde ist mit DHCP nicht sehr vertraut und möchte wissen, welche Informationen über DHCP zugewiesen werden können.
Lernzielkontrolle
Welche der folgenden Parameter kann DHCP zuweisen? (Kreuzen Sie alle zutreffenden Antworten an.) A. IP-Adresse B. BOOTP-Forwarder C. Gateway-Adresse D. WINS-Server-Adressen E. Active-Directory-Domänencontroller-Adressen 15. Sie sind Berater bei Little Faith Enterprises, einer Windows-2000-Beraterfirma. Man hat Sie gebeten, DHCP für Ihren Client zu konfigurieren. Der Kunde ist mit DHCP nicht sehr vertraut und möchte wissen, welche Informationen der DHCP-Server liefert. Welche der folgenden Informationen werden vom DHCP-Server geliefert? (Kreuzen Sie alle zutreffenden Antworten an.) A. IP-Adresse B. MAC-Adresse C. Hostname D. NetBIOS-Name E. Anwendername 16. Sie sind Netzwerkadministrator bei BT Edition und betreiben dort ein reines Windows-2000-Netzwerk mit Active Directory und dem Windows-2000DHCP-Dienst. Ein Anwender in einer anderen Abteilung hat den DHCP-Server auf einem UNIX-Server installiert. Wie verhindern Sie, dass Ihre Clientcomputer DHCP-Adressen von diesem Server empfangen? A. Deaktivieren Sie den nicht autorisierten Server im Active Directory. B. Stellen Sie sicher, dass alle Ihre Anwender mit Windows 2000 arbeiten. C. Konfigurieren Sie BOOTP auf dem Router neu. D. Gehen Sie zu jedem Clientcomputer und geben Sie dort die Adresse des Produktions-DHCP-Servers in TCP/IP-EIGENSCHAFTEN ein.
179
180
Kapitel 2
DHCP
17. Sie verwalten den Windows-2000-DHCP-Server bei der Realy Big Screwdriver Corporation. Sie betreiben eine gemischte Umgebung, die sowohl Windows-2000- als auch Nicht-Windows-2000-Arbeitsstationen enthält. Für die Integration im Active Directory müssen Sie sicherstellen, dass alle Arbeitsstationen richtig in DNS registriert sind. A. Stellen Sie die DNS-Integration auf automatische Aktualisierung der DHCP-Kundeninformation in DNS ein, wenn die Genehmigung abläuft. B. Stellen Sie die DNS-Integration so ein, dass normale Lookups verworfen werden, wenn die Lease abgelaufen ist. C. Stellen Sie die DNS-Integration so ein, dass Aktualisierungen für DNSClients, die automatische Aktualisierung nicht unterstützen, ermöglicht werden. D. Stellen Sie die DNS-Integration so ein, dass DNS-Keep-Alives ermöglicht werden. Antworten zu den Wiederholungsfragen 1. Um DHCP erfolgreich in einer multivernetzten Umgebung zu implementieren, sollten Sie eine Bereichsgruppierung verwenden, um so die Verwaltung der Bereiche für jedes der multivernetzten Netzwerke zu vereinfachen. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 2. Überprüfen Sie im Systemmonitor den Leistungsindikator ABWEISUNGEN/ SEK für das DHCP-Objekt. Die Anzahl der DHCP Abweisungsmeldungen, die der Server pro Sekunde von Clientcomputern erhält, zeigt, ob der DHCPClientcomputer eine vom Server ausgegebene IP-Adresse abgelehnt hat. Sie werden feststellen, dass diese Anzahl steigt, wenn bei Clientcomputern Adresskonflikte auftreten. Dies könnte auf ein Netzwerkproblem, auf Computer mit statischen Adressen, die ebenfalls Teil eines Bereichs sind, oder auf einen möglichen »fehlerhaften« DHCP-Server im Netzwerk hinweisen. Weitere Informationen hierzu finden Sie im Abschnitt »Verwalten und Überwachen von DHCP«. 3. Überprüfen Sie die Dauer der DHCP-Lease. Wenn eine sehr kurze Dauer für die Lease eingestellt wurde, müssen Clientcomputer häufig Adressen anfragen. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 4. Entweder treten in den Stoßzeiten viele DHCP-Anfragen auf, oder der Parameter für Konflikterkennungsversuche ist zu hoch eingestellt. Wenn dies zugelassen ist, wird der Windows-2000-DHCP-Server Adressen ausstellen und überprüfen, ob irgendwelche Konflikte mit IP-Adressen auftreten. Dies könn-
Lernzielkontrolle
te eine zu große Belastung für den Server verursachen und die Länge der Warteschlangen-Konflikterkennung vergrössern. Weitere Informationen hierzu finden Sie im Abschnitt »Verwalten und Überwachen von DHCP«. 5. Zuerst müssen Sie den DHCP-Server im Active Directory aktivieren. Nur dann kann der DHCP-Server Adressen ausstellen. Ebenso müssen Sie den BOOTP-Forwarder oder irgendwelche andere Router zwischen dem DHCPServer und den Client-Arbeitsstationen konfigurieren, sodass die Router wissen, wohin die DHCP-Meldungen geschickt werden müssen. Weitere Informationen hierzu finden Sie im Abschnitt »Autorisieren eines DHCP-Servers im Active Directory«. Antworten zu den Prüfungsfragen 1. C. Der Clientcomputer kann die Adresse nur dann verwenden, wenn er vom DHCP-Server eine Genehmigung erhält. Nachdem der DHCP-Server die DHCP-Anfrage bestätigt und eine Genehmigung erteilt hat, kann der Clientcomputer die Adresse frei verwenden. In diesem Prozess sind keine weiteren Schritte mehr nötig. Weitere Informationen hierzu finden Sie im Abschnitt »Das DHCP-Protokoll«. 2. C. Sie müssen alle Bereiche auf dem Server abstimmen. Antwort A ist fast richtig, denn Sie können auch einen einzigen Bereich verbinden. Der korrekte Befehl lautet aber nicht BEREICH ABSTIMMEN, sondern ALLE BEREICHE ABSTIMMEN. Sie können keine Bereiche auf der Ebene der Bereichsgruppierung abstimmen, wie dies in B beschrieben ist. Der Befehl in D existiert überhaupt nicht. Weitere Informationen hierzu finden Sie im Abschnitt »Verwalten und Überwachen von DHCP«. 3. C. Das DHCPDiscover-Paket wird gesendet, wenn ein Computer zum ersten Mal eine Adresse anfragt. Der wahrscheinlichste Grund für einen solchen Anstieg wäre eine große Anzahl von Anfragen zur gleichen Zeit. Dies kann vorkommen, wenn viele Client-Arbeitsstationen gleichzeitig eine Adresse anfragen. Bei einem Netzwerkproblem hingegen würden keine DHCPDiscoverPakete mehr beim Server ankommen. Ein Neustart des DHCP-Servers oder ein »fehlerhafter« DHCP-Server würden die Anzahl der DHCPDiscover-Pakete nicht beeinflussen, da diese vom Clientcomputer generiert werden. Weitere Informationen hierzu finden Sie im Abschnitt »Verwalten und Überwachen von DHCP«. 4. C. Systemmonitor war der Name der Windows-NT-Anwendung. Bei Windows 2000 ist der Systemmonitor Teil der Microsoft Management Console (MMC). Der richtige Leistungsindikator ist ENTDECKUNGEN/SEK. Die DHCP-Server-Statistik zeigt nur die Gesamtzahl der Discover-Pakete und kann keine Spitzen anzeigen. Weitere Informationen hierzu finden Sie im Abschnitt »Verwalten und Überwachen von DHCP«.
181
182
Kapitel 2
DHCP
5. D. Wenn die Aufgabe lautet, den DHCP-Dienst zu installieren, sodass Adressen ausgestellt werden können, müssen Sie DNS nicht konfigurieren. Sie müssen den Server auch im Active Directory autorisieren. Obwohl Sie in diesem Kapitel auch eine Bereichsgruppierung erzeugt haben, ist für das Funktionieren des Servers keine Bereichsgruppierung erforderlich. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 6. D. Um DHCP-Adressen über einen Router hinweg auszustellen, muss beim Router der BOOTP-Forwarder-Dienst zugelassen und konfiguriert sein. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 7. A. In einer reinen Umgebung müssen Sie DHCP für das automatische Aktualisieren von DNS konfigurieren, um sicherzustellen, dass die Clientcomputer im Netzwerk richtig erscheinen. Das Einstellen der DNS-Integration nach Ablaufen der Genehmigung funktioniert auch in einem reinen Windows2000-Netzwerk. Dies hat mit der richtigen Registrierung der Computer allerdings nichts zu tun. Weitere Informationen hierzu finden Sie im Abschnitt »Konfigurieren von DHCP für die Integration in DNS«. 8. A. Um sicherzugehen, dass Adressen auch verfügbar sind, muss die DHCPGenehmigung auf ein kurzes Intervall eingestellt sein. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 9. D. Sie müssen den Bereich konfigurieren, um sowohl an DHCP- als auch an BOOTP-Client Adressen ausstellen zu können. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 10. C. Obwohl der DHCP-Server MIB nicht unterstützt, brauchen Sie eine SNMP-konforme Management-Anwendung, um Sie bei dieser Art von Problem zu alarmieren. Weitere Informationen hierzu finden Sie im Abschnitt »Verwalten und Überwachen von DHCP«. 11. C. Die Adresse des Druckers wurde wahrscheinlich an einen anderen Computer ausgestellt. Da die Drucker statische Adressen verwenden, ist die einzige Veränderung am DHCP-Server, die sich auf das Drucken auswirken kann, ein zweiter Host mit der gleichen Adresse. Antwort B ist fast richtig, aber das Erstellen eines sich überschneidenden Bereichs ist noch kein Problem, solange die sich überschneidende Adresse nicht zugewiesen wird. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«.
Lernzielkontrolle
12. B. Ein einziger DHCP-Server kann mehrere Segmente bedienen. Sie brauchen also keinen zusätzlichen Server. Um 40 Adressen zu erhalten, muss die Adressreihe von 10.10.25.20 bis 10.10.25.39 gehen, da die erste Adresse bereits dazu zählt. Der letzte Schritt im Assistentbereich ist also das Autorisieren des neuen Bereichs. Dies müssen Sie tun, um den Bereich verwenden zu können. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 13. D. Sie müssen keine besonderen Konfigurationen am DHCP-Dienst vornehmen. Er kann ohne Probleme mit Nicht-Windows-2000-Clientcomputern kommunizieren. Ebenso müssen Sie keinen der Clientcomputer aktualisieren. Windows NT und Windows 98 können DHCP ohne Aktualisierungen verwenden. Sie müssen nur den richtigen Bereich konfigurieren und die Clientcomputer so konfigurieren, dass Sie diesen Bereich verwenden. Weitere Informationen hierzu finden Sie im Abschnitt »Installieren, Konfigurieren und Fehlerbeseitigung von DHCP«. 14. A, C, und D können DHCP zugewiesen werden. Die Liste der Parameter, die zugewiesen werden können, umfasst auch IP-Adressen, Gateway-Adressen, DNS-Server-Adressen und WINS-Server-Adressen. Weitere Informationen hierzu finden Sie im Abschnitt »Das DHCP-Protokoll«. 15. B, C, und D. MAC-Adresse, Hostname und NetBIOS-Name werden vom DHCP-Server standardmäßig geliefert. Weitere Informationen hierzu finden Sie im Abschnitt »Das DHCP-Protokoll«. 16. B. Da ein UNIX-Server nicht im Active Directory zugelassen werden kann, werden Windows-2000-Clientcomputer keine DHCP-Adressen von diesem Server annehmen. Antwort A ist falsch, da Sie derzeit keinen UNIX-Server im Active Directory platzieren können. Das Verändern der BOOTP-Konfiguration würde verhindern, dass entfernte/gesperrte Anwender diese Adressen erhalten, aber lokale Anwender wären dadurch noch immer anfällig. Antwort D ist falsch: Es gibt nirgends eine Möglichkeit, die Adresse des DHCP-Servers einzugeben. Weitere Informationen hierzu finden Sie im Abschnitt »Autorisieren eines DHCP-Servers im Active Directory«. 17. C. Da Nicht-Windows-2000-Computer den DNS-Server nicht direkt aktualisieren können, brauchen Sie den DHCP-Server, um Aktualisierungen für DNS durchzuführen. Wenn Sie die DNS-Integration auswählen, um Aktualisierungen für DNS-Clientcomputer zuzulassen, die dynamische Aktualisierungen nicht unterstützen, so kann der DHCP-Server diesen Dienst ausführen. Weitere Informationen hierzu finden Sie im Abschnitt »Konfigurieren von DHCP für die Integration in DNS«.
183
184
Kapitel 2
DHCP
Hinweise zu weiterführnder Literatur und Quellen 1. Droms, Ralph, und Ted Lemon. The DHCP Handbook. Indianapolis, IN: Macmillan Technical Publishing, 1999. 2. Siyan, Karanjit S. Windows NT TCP/IP. Indianapolis, IN: New Riders Publishing, 1998. 3. Kercheval, Berry. DHCP: A Guide to Dynamic TCP/IP Network Configuration. Upper Saddle River, NJ: Prentice Hall Computer Books, 1998.
RAS: Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung Lernziele
3
Wenn Sie jemals ein Modem verwendet haben, um Ihren Windows Computer mit einem anderen Server oder Netzwerk zu verbinden, dann haben Sie RAS-Verbindungen verwendet. Mit Windows 2000 hat Microsoft viele neue RAS-Fähigkeiten in sein Betriebssystem eingebracht. Dieses Kapitel behandelt die Zielsetzungen »Konfiguration, Verwaltung, Überwachung, und Fehlerbeseitigung von RAS in einer Windows-2000-Netzwerk-Infrastruktur«. Da die Arbeitswelt sich immer mehr diversifiziert, ist es in jeder Umgebung von zunehmender Bedeutung, zuverlässigen und sicheren RAS zu erbringen. Microsoft definiert die Ziele der »Konfiguration, Verwaltung, Überwachung, und Fehlerbeseitigung von RAS in einer Windows-2000-Netzwerk-Infrastruktur« folgendermaßen: Konfigurieren und Fehlerbeseitigung von RAS 씰
Konfigurieren der eingehenden Verbindungen.
씰
Erstellen von RAS-Richtlinien.
씰
Konfigurieren eines RAS-Profils.
씰
Konfigurieren eines Virtuellen Privaten Netzwerks (VPN).
씰
Konfigurieren von Multilinks.
씰
Konfigurieren von Routing und RAS für die DHCP-Integration.
186
Kapitel 3
씰
RAS
Eine Funktion, die Windows-Server schon immer hatten, ist die eines RASServers. Mit Windows 2000 erhöht Microsoft die RAS-Möglichkeiten. Zielsetzung dieses Kapitels ist es, dass Sie verstehen, wie man die verschiedenen RAS-Funktionen des Windows-2000-Servers konfiguriert.
Verwaltung und Überwachung von RAS 씰
Wenn Sie Ihren Windows-2000-Server für RAS verwenden, dann müssen Sie zuerst einmal wissen, wie man diese Funktion verwaltet und überwacht. Diese Zielsetzung prüft Ihr Verständnis bezüglich der Verwaltung und Überwachung von RAS.
Konfigurieren der Sicherheit von RAS 씰
Konfigurieren von Authentifizierungsprotokollen
씰
Konfigurieren von Verschlüsselungsprotokollen
씰
Erstellen von RAS-Richtlinien
씰
Sicherheit wird in der heutigen Computerwelt immer bedeutender. Diese Zielsetzung überprüft Ihr Verständnis der Sicherheitsfähigkeiten von RAS auf einem Windows-2000-Server.
Tipps für das Selbststudium 씰
Stellen Sie sicher, dass Sie ein gründliches Verständnis der Sicherheitsleistungen sämtlicher verschiedener RAS-Mechanismen besitzen. Der Schwerpunkt liegt auf der Sicherheit in der heutigen Industrie. da Microsoft die Sicherheit als einen der Eckpfeiler von Windows 2000 betrachtet.
씰
Verschaffen Sie sich einen Überblick über die verschiedenen Arten der Verschlüsselung, die für die Authentifizierung und die Sicherung Ihrer Informationen durch RAS möglich sind.
씰
Achten Sie genau auf die Unterstützung der RAS-Richtlinien. Windows 2000 enthält einige auf Richtlinien basierende Unterstützungen zur Verwaltung. Das Verstehen dieser damit verbundenen Richtlinien ist wichtig für diese Prüfung.
씰
Schließen Sie dieses Kapitel mit den Übungen ab. Denken Sie daran: Microsoft beabsichtigt, die Zertifikatsprüfungen in Zukunft schwieriger zu gestalten.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
3.1
RAS: Konfigurieren und Fehlerbeseitigung
Bevor wir besprechen, wie man RAS für Windows 2000 Server konfiguriert, sollten wir uns eine Minute Zeit nehmen und uns ansehen, was man genau unter einem RAS in Windows 2000 versteht. Wenn Sie mit Windows NT 4.0 gearbeitet haben, dann sind Sie sicherlich mit dem RAS-Dienst vertraut. RAS war ein NT-4.0-Zusatzdienst, der eingehende ModemAnrufe unterstützte und es dem Anwender ermöglichte, sich in das Netzwerk einzuloggen. RAS wurde auch anderweitig verwendet: RAS wurde benötigt, um Ihren Windows-NT-Server oder Ihre Arbeitsstation mit einem anderen Hauptrechner, entweder NT oder einem allgemeinen Einwahlserver, zu verbinden. Dieses Modell hat sich mit Windows 2000 drastisch verändert. Routing- und RASDienst (die nächste Generation des RAS-Dienstes) wird nicht nur automatisch mit dem Betriebssystem installiert, es beinhaltet auch einige andere Funktionen, die bei Windows NT über andere Dienste verteilt wurden. Zum Beispiel sind nicht nur RAS-Leistungen mit Routing- und RAS-Dienst verfügbar, sondern auch der Windows-2000-VPN-Dienst. Lassen Sie uns einige Gründe für den Einsatz von Routing und einige Punkte über Details von Windows-2000-Routing und RAS erläutern, bevor wir damit beginnen, den Routing- und RAS-Dienst zu konfigurieren. Microsoft hat seit der Einführung von Windows für Workgroups (ein RAS-Computer) und Windows NT Advanced-Server (ein RAS-Server) RAS-Unterstützung in alle Betriebssysteme integriert. Wenn Sie mit früheren Versionen von Windows NT oder Windows 9x gearbeitet haben, dann ist Ihnen der Begriff RAS sicher vertraut. Er wurde zuerst verwendet, um den NT-RAS zu bezeichnen, und später, um die meisten der RAS-Anwendungen des Windows-Betriebssystems zu bezeichnen. Dies veränderte sich noch während des Gebrauchs der Version des Windows NT 4.0 Server mit der Einführung eines zusätzlichen Aktualisierungsdienstes, auch bekannt als Routing und RAS-Dienst. Dieser Dienst – und das sollten Sie sich merken – wurde in das Windows-2000-Betriebssystem integriert. Der Hauptgrund für die Veränderung war, dass Microsoft sein Angebot im RAS- und Routing-Bereich für Netzwerke verbessern musste. Die Routing- und RAS-Aktualisierung lieferte den ersten Rahmen, der alle Netzwerkdienste unter einer einzigen Anwendung vereinigte. Routing und RAS führen die folgenden Funktionen in Windows-NT-Netzwerke ein:
187
188
Kapitel 3
RAS
씰
Ein vereinheitlichter Dienst für Routing und Remote Access, der in das Betriebssystem integriert ist.
씰
Ein kompletter Satz an Routing-Protokollen für IP und IPX (einschließlich des nennenswerten Zusatzes von OSPF).
씰
APIs für Routing-Protokolle Dritter, Benutzerschnittstelle und Verwaltung.
씰
Bei Bedarf wählendes Routing.
씰
PPTP für die sichere VPN-Server-to-Server-Verbindung.
씰
Remote Authentification Dial-In User Service (RADIUS) Clientunterstützung.
Lassen Sie uns sehen, was der Routing- und RAS-Dienst von Windows 2000 zu bieten hat. Routing und RAS beinhaltet auch die folgende Unterstützung: 씰
Volle Integration in das Windows-2000-Betriebssystem. Dies ist kein Zusatz oder Patch, sondern ein von Grund auf integrierter Dienst als Bestandteil von Windows 2000.
씰
Konsistente Verwaltungsschnittstellen für alle routingbasierten Vorgänge, einschließlich RAS, VPN und IP- und IPX-Rounting.
씰
Weniger Neustarts. Wenn Sie mit früheren Versionen von Windows gearbeitet haben, dann sind Sie sicherlich mit der »Ändern Sie eine Netzwerkkonfiguration und starten Sie das System neu«-Methode der Windows-Netzwerkverwaltung vertraut. Bei Windows 2000 ist die Anzahl der notwendigen Neustarts drastisch reduziert worden. Obwohl man gelegentlich vielleicht doch neu starten muss, kann das meiste ohne Eingriffe in laufende Vorgänge gemacht werden.
씰
Zusätzliche VPN-Dienste und vereinfachte VPN-Verwaltung. Die VPNSchnittstellen (PPTP und L2TP) werden standardmäßig installiert und bedürfen keiner weiteren Konfiguration. Es gibt auch eine Unterstützung für IPSProtokolle.
씰
Netzwerkadressübersetzung (NAT) wurde eingefügt, ebenso wie gemeinsame Verbindungsnutzung des Internets (ICS).
3.1 RAS: Konfigurieren und Fehlerbeseitigung
씰
Zusätzliche Authentifizierungsmechanismen, einschließlich MS-CHAP v2, RADIUS und EAP (für Smart Cards und Zertifikatsunterstützung), wurden Routing und RAS beigefügt.
Ein weiterer bedeutender Punkt, an den man denken muss, wenn man über Microsofts Routing- und RAS-Dienst und die Unterstützung von RAS spricht, ist, dass in früheren Versionen der Begriff RAS oder RAS-Dienst abwechselnd dazu verwendet wurde, um die DFÜ-Verbindung und den Server zu bezeichnen, auf dem der DFÜ-Dienst lief. Mit dem neuen Routing- und RAS-Dienst ist Microsoft gleichzeitig bemüht, die verwendete Terminologie klarzustellen. In der Windows-2000-Sprache bezeichnet Routing- und RAS-Dienst also auch nur Routing- und RAS-Dienstanwendungen. Der Server wird entweder Einwahl- oder DFÜ-Server genannt oder im Fall von VPN VPN-Server. Die Clientcomputer werden Einwahl- oder DFÜ-Clients genannt. Es ist wichtig, zu bedenken, dass der Microsoft Routing- und RAS-Dienst alle Verbindungen als LAN-Verbindungen betrachtet. Unter dem Gesichtspunkt der Funktionalität bedeutet dies, dass alle Dienstleistungen, die auf LAN erhältlich sind, auch über eine Modemverbindung erhältlich sind.
3.1.1
RAS-Protokolle verstehen
Microsofts Routing- und RAS-Dienst unterstützen zwei Datenübertragungsprotokolle für asynchrone Verbindungen: 씰
Serial Line Interface Protocol (SLIP). Der Großvater der Serial Line Interface Protokolle, SLIP, unterstützt veraltete Anwendungen und wird fast nie verwendet.
씰
Point-to-Point Protocol (PPP). PPP ist das Protokoll, das meistens bei Modemverbindungen verwendet wird. PPP kann sich automatisch verbinden und Verbindungen neu erstellen; es verwendet Fehlerkorrektur, und kann multiple Protokolle unterstützen. Die Windows-2000-Inbetriebnahme für PPP erfolgt gemäß RFC 1661 »Point-to-Point Protocol« .
Windows 2000 kann sich zu jedem anderen RFC-1661-gemäßen DFÜ-Server verbinden und Verbindungen von jedem konformen Clientcomputer annehmen. Die wahre Stärke dieses Protokolls liegt darin, multiple Netzwerkprotokolle wie IPX, IP und Apple Talk zu unterstützen. SLIP war nur auf IP begrenzt. PPP verwendet auch eine Reihe von Authentifizierungsprotokollen. Auf die Authentifizierungsprotokolle werden wir allerdings erst später in diesem Kapitel eingehen.
189
190
Kapitel 3
RAS
Im weiteren Verlauf des Kapitels werden wir viele dieser Funktionen besprechen. Lassen Sie uns im Moment die einfachste Verwendung von Routing- und RASDienst betrachten.
3.1.2
Eingehende Verbindungen konfigurieren
Wenn Sie mobile Anwender haben, dann haben Sie sicherlich mit Anfragen zum Netzwerkzugang zu tun gehabt. Dies könnte sein, um Zugang zur Post oder zum firmeninternen Netz zu erlangen, oder um Aktien oder Anträge abzugeben. Als Bestandteil von Routing- und RAS-Dienst verfügt Windows 2000 über die Fähigkeit, eingehende Verbindungen über angeschlossene Modems zuzulassen.
PRÜFUNGSTIPP Unterstützung für eingehende DFÜ-Verbindungen. Windows 2000 Server unterstützen 256 DFÜ- Verbindungen. Windows 2000 Professional nur eine.
Praxistipp Was bei der Systemkonfiguration für mobile Anwender zu berücksichtigen ist Wenn Sie Windows 2000 als Lösung für RAS von mobilen Anwendern verwenden, gibt es ein paar Dinge, die Sie berücksichtigen müssen. Da jeder Server nur über eine begrenzte Anzahl von Kommunikationsanschlüssen verfügt, benötigen Sie wahrscheinlich zuerst eine Mehrfachanschluss-Modem-Karte. Verschiedene Hersteller bieten diese Produkte an, aber sehen Sie vor einem Einkauf in der MicrosoftHardware-Kompatibilitätsliste nach. Sie sollten auch diese Unterstützung nicht auf irgendeinem Domänencontroller oder Anwendungsserver installieren. Der Aufwand, der mit eines DFÜ-Anwenders verbunden ist, ist zwar relativ gering, die Sicherheitsverästelungen, die mit der Verbindung einem oder mehreren Modems an einen Produktionsanwendungs-Server, oder schlimmer noch einen Domänencontroller, verbunden sind, sind beachtlich. Wenn möglich, sollten Sie diese Bauweise unbedingt vermeiden. In der letzten Version von Routing und RAS hat Microsoft einige neue Leistungsmerkmale als Teil der Verwaltung eingebaut. Das Leistungsmerkmal, das in der Besprechung von RAS den größten Stellenwert hat, sind die hinzugekommenen RAS-Richtlinien. RAS-Richtlinien sind eine radikale Abwendung von den Windows-NT-3.5x- und 4-Modellen, in denen die Einwahlberechtigung auf einer einfachen Einwahlgenehmigung basiert, die man im Benutzerkonto im BenutzerManager für Domänen oder im Programm RAS-Dienst einstellen konnte. Rückruf-
3.1 RAS: Konfigurieren und Fehlerbeseitigung
möglichkeiten wurden auch auf einer Pro-Anwender-Basis konfiguriert. In Windows 2000 werden Zugriffsberechtigungen aufgrund von DFÜ-Eigenschaften von Anwenderkonten und Richtlinien vergeben. Richtlinien sind ein Satz von Bedingungen und Verbindungseinstellungen, die Netzwerkadministratoren mehr Flexibilität bei der Autorisierung von Einwahlversuchen zugestehen. Der Windows-2000-Routing- und RAS-Dienst verwendet RASRichtlinien, um zu entscheiden, ob der Versuch einer Verbindung akzeptiert oder abgelehnt wird. Bei der Verwendung von RAS-Richtlinien, können Sie Zugriff durch individuelle Anwenderkonten oder durch die Konfiguration von spezifischen RAS-Richtlinien gewähren. Wir beschäftigen uns mit der Formulierung von Richtlinien später in diesem Kapitel im Abschnitt »Erstellen von RAS-Richtlinien«. Windows 2000 verwendet drei Richtlinien, um Zugriffe zu kontrollieren: 씰
Richtlinien lokaler Internet-Authentifizierungsdienste. Diese lokalen Richtlinien stammen von RADIUS und können dazu verwendet werden, Zugriffsrechte zu definieren, die auf einer Anzahl von Anwendermerkmalen beruhen.
씰
Richtlinien zentraler Internet-Authentifizierungsdienste. Ein DFÜ-Server kann so konfiguriert werden, dass er die Richtlinien eines zentralen IAS-RADIUS-Servers verwendet. Das ermöglicht multiplen Routing- und RASDFÜ-Servern die Verwendung der gleichen Richtlinien, ohne dass Sie die Richtlinien oder die Einstellungen nochmals manuell eingeben müssen.
씰
Gruppenrichtlinien. Mehr im Einklang mit älteren Versionen von RAS. Der Zugang kann durch Gruppenrichtlinien kontrolliert werden.
PRÜFUNGSTIPP Lernen Sie IAS kennen. Internet Authentication Services (IAS) sind die neuen RADIUS- Authentizitätsunterstützungen, die in Windows 2000 integriert sind. Sie werden vor allem in Verbindung mit Routing- und RAS-Richtlinien verwendet.
PRÜFUNGSTIPP Wissen Sie, wo RAS-Richtlin linien gespeichert werden? Sie werden im Dateisystem im Standardverzeichnis WINNT\SYSVOL\SYSVOL\<domain name> gespeichert
191
192
Kapitel 3
RAS
PRÜFUNGSTIPP Vergessen Sie nicht, das Snap-In zu verwenden. Wenn Sie Routing und RAS für DFÜ-Zutritt auf einem Domänencontroller konfigurieren, müssen Sie das Routingund RAS-Snap-In verwenden.
Nun sehen wir uns einmal an, wie wir einen Windows-2000-Server für die Unterstützung von eingehenden Verbindungen konfigurieren müssen.
SCHRITT FÜR SCHRITT 3.1
Konfigurieren von eingehenden Verbindungen
1. Klicken Sie das Icon NETZWERKUMGEBUNG auf dem Desktop mit der rechten Maustaste an. Wählen Sie EIGENSCHAFTEN aus dem Menü. Das NETZWERK UND DFÜ-VERBINDUNGEN-Fenster öffnet sich. (Sie können dieses Fenster auch öffnen, wenn Sie zu START, EINSTELLUNGEN, NETZWERK- UND DFÜVERBINDUNGEN gehen) 2. Klicken Sie doppelt auf die Schaltfläche NEUE VERBINDUNG ERSTELLEN. Der Netzwerkverbindungs-Assistent startet. Wenn Sie bisher Ihre lokalen Wahlinformationen noch nicht konfiguriert haben (siehe Abbildung 3.1), werden Sie aufgefordert, dies zu tun, bevor Sie mit dem Assistenten fortfahren. Geben Sie die Information ein und klicken Sie auf OK. Sie werden die neue Ortseingabe im Fenster TELEFON UND MODEM-OPTIONEN sehen. Klicken Sie auf OK, um es zu schließen und um zum Assistenten zurückzukehren. 3. Klicken Sie auf WEITER, um den Assistenten zu aktivieren. Das Dialogfenster NETZWERKVERBINDUNGSTYP öffnet sich (siehe Abbildung 3.2). Wählen Sie die Option EINGEHENDE VERBINDUNGEN AKZEPTIEREN und klicken Sie anschließend auf WEITER. Der Netzwerkverbindungsassistent öffnet sich (siehe Abbildung 3.3). 4. Wählen Sie die Komponente aus, die die eingehenden Anrufe annehmen soll, und klicken Sie auf WEITER. Das Dialogfenster EINGEHENDE VPN-VERBINDUNG öffnet sich (siehe Abbildung 3.4) 5. Da wir das Erstellen einer virtuellen privaten Netzwerkverbindung (VPN) im Abschnitt »Ein Virtuelles Privates Netzwerk konfigurieren (VPN)« dieses Kapitels noch behandeln werden, wählen Sie VIRTUELLE PRIVATE VERBINDUNG NICHT ZULASSEN aus und klicken Sie auf WEITER. Das Dialogfenster ZUGELASSENE BENUTZER öffnet sich (siehe Abbildung 3.5). 6. Wählen Sie die Benutzer aus, die einen DFÜ-Zugang haben sollen. Klicken Sie auf EIGENSCHAFTEN, um die Benutzereigenschaften zu öffnen. Dies ermöglicht Ihnen, wenn nötig, Rückrufe zu konfigurieren.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
Abbildung 3.1 Die Ortsinformation ist notwendig, um den Server zu informieren, ob der Anruf regional oder überregional ist. Bei DFÜ-Servern wird dies für Rückrufe benötigt.
Abbildung 3.2 Im Netzwerk-Verbindungsassistenten können Sie aus einer Reihe von Routing- und RASVerbindungsoptionen auswählen.
7. Klicken Sie auf die Registerkarte RÜCKRUF (siehe Abbildung 3.6). Für den sichersten Zugang wählen Sie IMMER FOLGENDE NUMMER RÜCKRUF VERWENDEN und geben Sie die Rufnummer des Benutzers ein. Klicken Sie auf OK, um zum Assistenten zurückzukehren, und klicken Sie auf WEITER, um fortzufahren. Das Dialogfenster NETZWERKKOMPONENTEN öffnet sich (siehe Abbildung 3.7).
193
194
Kapitel 3
RAS
Abbildung 3.3 Dieses Dialogfenster erlaubt es Ihnen, die Komponente auszuwählen, die die eingehenden Anrufe annimmt.
Abbildung 3.4 Zusätzlich zur Unterstützung von eingehenden Modemverbindungen kann Windows 2000 eingehende virtuelle Privatverbindungen unterstützen.
8. Wählen Sie die Komponenten aus, zu denen der Benutzer Zugang erhalten soll, nachdem die Verbindung hergestellt ist. Standardmäßig sind alle Komponenten ausgewählt. Klicken Sie auf WEITER, um fortzufahren. Das Dialogfenster FERTIGSTELLEN DES ASSISTENTEN öffnet sich (siehe Abbildung 3.8).
3.1 RAS: Konfigurieren und Fehlerbeseitigung
Abbildung 3.5 Sie können den Anwender auswählen, der eine Verbindung herstellen soll. Wenn Ihr Konto allerdings aufgehoben oder gesperrt ist, dann werden Sie keine Verbindung herstellen können.
Abbildung 3.6 In einer höchst sicheren Umgebung ist die Verwendung der in Windows 2000 enthaltenen Rückrufoptionen eine Notwendigkeit.
9. Geben Sie einen eigenständigen Namen für die neue Verbindung ein und klicken Sie auf FERTIG STELLEN, um die Installation zu beenden.
195
196
Kapitel 3
RAS
Abbildung 3.7 Das Dialogfenster Netzwerkverbindungen bestimmt, welche Netzwerkkomponenten für einen Einwahlanwender verfügbar sind.
Da Sie nun über eine DFÜ-Verbindung verfügen, sehen wir uns an, wie wir Richtlinien erstellen, um zu definieren, was mit den neuen Verbindungen gemacht werden kann. Abbildung 3.8 Nachdem der Assistent fertig ist, müssen Sie die Verbindung benennen, um sie zu Erstellen von RASRichtlinien
3.1 RAS: Konfigurieren und Fehlerbeseitigung
3.1.3
RAS-Richtlinien
RAS-Richtlinien sind eine Reihe von Aktionen, die auf eine Gruppe von Anwendern, die bestimmte Voraussetzungen erfüllen, angewendet werden können. Microsoft selbst verwendet als Beispiel die E-Mail-Richtlinien, um diesen Punkt zu veranschaulichen. In vielen E-Mail-Paketen können Sie Richtlinien aufstellen, nach denen Sie alle Nachrichten von einem bestimmten Anwender oder einer Gruppe von Anwendern löschen können. RAS-Richtlinien sind ähnlich, da man Vorgänge, basierend auf einer Anzahl bestimmter Kriterien, festlegen kann. Um dies zu verdeutlichen, lassen Sie uns gemeinsam RAS-Richtlinien erstellen.
SCHRITT FÜR SCHRITT 3.2
Erstellen von RAS-Richtlinien
1. Öffnen Sie das Programm ROUTING UND RAS, indem Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS gehen (siehe Abbildung 3.9). 2. Erweitern Sie die Baumansicht im linken Feld, indem Sie auf den Server doppelklicken. Klicken Sie mit der rechten Maustaste auf RAS-RICHTLINIEN und wählen Sie NEUE RAS-RICHTLINIE aus. Das Fenster RAS-RICHTLINIE HINZUFÜGEN öffnet sich (siehe Abbildung 3.10). Abbildung 3.9 Das Routing- und RAS-Bedienungsfeld ermöglicht es Ihnen, den RASServer zu verwalten und neue RASRichtlinien zu erstellen.
3. Geben Sie einen anwenderfreundlichen Namen ein und klicken Sie auf WEITER. Das Dialogfenster RAS-RICHTLINIE HINZUFÜGEN öffnet sich (siehe Abbildung 3.11).
197
198
Kapitel 3
RAS
Abbildung 3.10 Dieses Dialogfenster ermöglicht es Ihnen, Ihrer Richtlinie einen anwenderfreundlichen Namen zu geben.
4. Klicken Sie auf HINZUFÜGEN, um eine Bedingung einzugeben. Wählen Sie ein Attribut aus der Attributsliste aus (dargestellt in Abbildung 3.12). Jedes Attribut setzt einen leicht unterschiedlichen Prozess in Gang und Sie müssen die Attribute dementsprechend konfigurieren. Für dieses Beispiel markieren Sie WINDOWS-GROUPS. Durch die Verwendung des Attributes WINDOWSGROUPS ermöglichen Sie den RAS von Benutzergruppen, die im Bedienungsfeld als Anwender und Gruppen definiert sind. 5. Klicken Sie auf HINZUFÜGEN, um zum Dialogfenster GRUPPEN zu gehen (siehe Abbildung 3.13). Klicken Sie anschließend auf HINZUFÜGEN, um das Dialogfenster AUSWAHL VON GRUPPEN zu öffnen (Abbildung 3.14) und wählen Sie die zur Richtlinie zugehörigen Gruppen aus. Klicken Sie auf OK, um zum Dialogfenster GRUPPEN zurückzukehren. Klicken Sie auf OK, um die Windows Gruppenbedingung der Richtlinie beizufügen. Wenn Sie eine weitere Bedingung einfügen, müssen Anwender beide Bedingungen erfüllen, um der Richtlinie zu genügen (eine logische UND-Operation). 6. Klicken Sie auf WEITER, um das in Abbildung 3.15 dargestellte Dialogfenster RAS-RICHTLINIE HINZUFÜGEN zu öffnen. Sie können entweder RAS-Erlaubnis erteilen oder verweigern, indem Sie die entsprechende Option wählen. Markieren Sie die Option RAS-BERECHTIGUNG ERTEILEN und klicken Sie auf WEITER. Das sich öffnende Dialogfenster EINWÄHLPROFILE BEARBEITEN ermöglicht Ihnen, das Einwahlprofil der durch die Richtlinie betroffenen Benutzer zu bearbeiten (siehe Abbildug 3.16). Sie können einige Zugangsparameter begrenzen, was wir am Ende dieses Abschnittes besprechen werden.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
Abbildung 3.11 Der erste Schritt, um RAS-Richtlinien aufzustellen, ist, die Bedingungen festzulegen.
Abbildung 3.12 Wählen Sie die passenden Attribute für die Richtlinien, die Sie aufstellen möchten.
7. Klicken Sie auf OK, um zum Benutzerprofil zurückzukehren. 8. Klicken Sie auf FERTIG STELLEN, um das Erstellen des Profils zu beenden.
199
200
Kapitel 3
RAS
Abbildung 3.13 Allgemein gilt: Windows-Groups ist ein Attribut, das im Zusammenhang mit RAS-Richtlinien häufig verwendet wird, da es Ihnen ermöglicht, Anwender beliebig nach Abteilung, Funktion oder Zugriffsrechten zu gruppieren.
Abbildung 3.14 Wählen Sie die relevanten Gruppen für RAS-Erlaubnis aus.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
Abbildung 3.15 In diesem Dialogfenster erteilen oder verweigern Sie die RASBerechtigung.
Abbildung 3.16 Das Dialogfenster Einwählprofil bearbeiten ermöglicht Ihnen Zugriff auf die einzelnen Einstellungen für die Einwahlanwender.
201
202
Kapitel 3
RAS
Praxistipp Entwerfen Sie Ihre Richtlinien mit grosser Sorgfalt Eine Sache, auf die Sie stoßen werden, wenn Sie in einer großen RAS-Umgebung arbeiten, ist die Verwendung von auf Gruppen basierenden Richtlinien. Mancherorts kann diese Verwendung von Gruppen sehr nützlich sein, wie eine kreierte Gruppe für Mitarbeiter, die nur gelegentlich für Ihre Firma arbeiten. Sie können eine Gruppe erstellen, der der Zugang erlaubt oder verwehrt ist. Abhängig vom Stand der Projekte können Sie deren Zugang zu RAS kontrollieren, indem Sie das Konto einer Gruppe in andere verschieben. Mitarbeiter in Urlaub könnten in eine Urlaubsgruppe aufgenommen werden, um RAS zu blockieren, bis Sie wieder an Ihre Arbeitsstelle zurückgekehrt sind. Es gibt endlos viele Variationsmöglichkeiten. Der Trick dabei ist, sich zuerst ernsthaft Gedanken über das Richtliniendesign zu machen, bevor Sie Anwender erstellen. Wenn Sie anfangen, Anwender zu erstellen, um anschließend zurückzugehen und zu organisieren, haben Sie wahrscheinlich dreimal so viel Arbeit.
3.1.4
Konfigurieren eines RAS-Profils
Da Sie nun verstanden haben, wie man RAS-Richtlinien erstellt, müssen wir uns mit der nächsten Phase des Prozesses beschäftigen – Konfigurieren eines RAS-Profils. Um ein RAS-Profil zu konfigurieren, befolgen Sie die folgende Schritt-für-SchrittAnleitung:
SCHRITT FÜR SCHRITT 3.3
Konfigurieren eines RAS-Profils
1. Öffnen Sie das Programm ROUTING UND RAS, indem Sie zu START, PROGRAMME, VERWALTUNG, ROUTING UND RAS gehen. 2. Klicken Sie mit der rechten Maustaste auf die RAS-Richtlinie, für die Sie das RAS-Profil konfigurieren wollen. Wählen Sie EIGENSCHAFTEN aus dem Kontextmenü aus. Das Dialogfenster EIGENSCHAFTEN VON RICHTLINIE öffnet sich (siehe Abbildung 3.17). Der Name im Titelbalken gibt den Name der Richtlinie wieder. 3. Klicken Sie auf die Schaltfläche PROFIL BEARBEITEN. Das Dialogfenster EINWÄHLPROFIL BEARBEITEN öffnet sich (siehe Abbildung 3.16).
3.1 RAS: Konfigurieren und Fehlerbeseitigung
4. Nehmen Sie alle notwendigen Veränderungen vor und klicken Sie auf OK, um zum Dialogfenster EIGENSCHAFTEN zurückzukehren. Klicken Sie nochmals auf OK, um die Veränderungen zu aktivieren und um zurückzukehren.
Abbildung 3.17 Das Dialogfenster Eigenschaften von den Richtlinien beinhaltet alle Informationen bezüglich der Richtlinie.
HINWEIS Was ist das Einwahlmediu dium? Das Einwahlmedium ist eher auf eine VPN-Verbindung anwendbar als auf eine DFÜ-Verbindung. Sie haben aber die Möglichkeit, spezifische Netzwerkmedien von der Verbindung zum Server auszuschließen. Wenn Sie z.B. nicht wollen, dass ADSL-Anwender sich verbinden lassen können, dann können Sie dies spezifisch verhindern.
So also erhält man die Parameter für ein Profil. Nun schauen wir uns einmal einige der Parameter an, die Sie konfigurieren können, bevor wir im nächsten Teil zu VPN übergehen.
203
204
Kapitel 3
RAS
Das Einwahlprofil enthält die folgenden Einstellungen: 씰
Einwahleinschränkungen. Diese Registerkarte (siehe Abbildung 3.16) ermöglicht es Ihnen, die Beschränkungen für die Einwahlanwender zu konfigurieren, einschließlich des Timeouts für die Verbindungstrennung bei Inaktivität, der maximalen Dauer der Verbindung, der Bestimmung der Uhrzeit und des Tages, an dem die Verbindung erlaubt ist, der erlaubten Einwahlnummer und des genehmigten Einwahlmediums.
씰
IP. Diese Registerkarte (siehe Abbildung 3.18) wird verwendet, um die IPAdressenzuweisungsrichtlinien, wenn nötig, zu bestimmen. Nachfolgend zeigen wir drei mögliche Einstellungen für die IP-Adressenzuweisungsrichtlinie: 씰
IP-Adresse durch Server zuteilen. Damit dies funktioniert, muss der Server einen DHCP-Bereich für den RAS konfiguriert haben. Der Clientcomputer kann ohne eine Abfrage einer Adresse keine Verbindung erstellen.
씰
Client kann eine IP-Adresse anfordern. Diese Einstellung überlässt dem Clientcomputer die Entscheidung, ob eine DHCP-Adresse verwendet wird. Wenn der Clientcomputer eine feste Adresse hat, dann kann er immer noch eine Verbindung erstellen.
씰
Servereinstellungen definieren Richtlinie. Diese Einstellung verweist die Entscheidung über die IP-Adressenrichtlinie an die globale Routing und RAS-Server-Richtlinie.
Sie können auch IP-Paketfilter vom IP-Register verwenden. Paketfilter können für Verkehr, der an den Clientcomputer gesandt wird oder für Verkehr, der vom Clientcomputer empfangen wird, konfiguriert werden. Diese Filter werden vom Netzwerk verwendet und können verschiedene IP-basierte Protokolle, einschließlich Beliebig, Weitere, ICMP, UDP, TCP, und TCP [eingerichtet] filtern. 씰
Mehrfachverbindung. Diese Registerkarte (siehe Abbildung 3.19) ermöglicht es Ihnen, die Unterstützung durch Windows 2000 von multiplen aggregierten analogen Telefonlinien, die mit multiplen Modems verbunden sind, zu konfigurieren, um eine größere Bandbreite zu erreichen. Der Abschnitt über Multilink-Einstellungen erlaubt Ihnen die folgenden Konfigurationen: 씰
Servereinstellungen verwenden. Verweist auf die Konfiguration und die lokalen Routing- und Remote-Access-Einstellungen.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
씰
Deaktivieren (Client ist auf einen einzelnen Anschluss beschränkt). Diese Einstellung erklärt sich von selbst.
씰
Zulassen. Diese Konfiguration erlaubt es einem Client, sich unter Verwendung von multiplen Eingängen zu verbinden. Sie können konfigurieren, wie viele Eingänge diese benutzen können.
Abbildung 3.18 Mit dem IP-Register kann man IP-Filter für eine Richtlinie setzen.
Das Bandwith-Allocation-Protokoll (BAP) kann verwendet werden, um zu konfigurieren, wann eine der Multilink-Leitungen, je nach Verwendung, abgetrennt wird. Wenn die Verwendung unterhalb eine konfigurierbare Menge von Bandbreite (50% ist die Standardeinstellung) für eine bestimmte Zeit (standardmäßig 2 Minuten) absinkt, wird eine der Multilink-Leitungen getrennt. Sie können auch das Kontrollkästchen BAP IST FÜR DYNAMISCHE MEHRFACHVERBINDUNG ERFORDERLICH markieren. 씰
Authentifizierung. Diese Registerkarte (siehe Abbildung 3.20) ermöglicht Ihnen die Konfiguration der von Windows 2000 unterstützten Authentifizierungsmethoden. (Die in der Abbildung genannten Protokolle werden später in diesem Kapitel behandelt.)
205
206
Kapitel 3
RAS
Abbildung 3.19 Die Multilink-Unterstützung von Windows 2000 ermöglicht es Ihnen, die Bandbreite über multiple analoge Telefonsysteme zu maximieren.
Abbildung 3.20 Um von der Multilink-Unterstützung von Windows 2000 Gebrauch zu machen, müssen Sie sie hier für die dafür vorgesehene Gruppe aktivieren.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
Abbildung 3.21 Routing und RAS unterstützt drei Verschlüsselungsgrade.
Abbildung 3.22 Wenn Sie RADIUSEigenschaften konfigurieren müssen, verwenden Sie diese Registerkarte.
207
208
Kapitel 3
RAS
씰
Verschlüsselung. Diese Registerkarte (siehe Abbildung 3.21) ermöglicht es Ihnen, den Verschlüsselungsgrad festzulegen, der mit Routing und RAS-Authentifizierung einhergeht. Sie können die Standardeinstellung KEINE VERSCHLÜSSELUNG, STANDARD oder STARK einstellen, oder eine beliebige Kombination der drei wählen.
씰
Weitere Optionen. Die Registerkarte WEITERE OPTIONEN (siehe Abbildung 3.22) ermöglicht Ihnen, den Zusatz von Verbindungsattributen an den RAS-Server zurückgehen zu lassen. Dies wird üblicherweise in Verbindung mit RADIUS getan.
Praxistipp RADIUS in Betrieb nehmen Wenn Sie in einem großen RAS-Umfeld gearbeitet haben, dann kennen Sie RADIUS vielleicht bereits. Aber für alle von Ihnen, die es nicht kennen, werden wir RADIUS hier noch ausführlicher behandeln. RADIUS (Remote Authentification Dial-In User Service) ist ein Authentifizierungs- und Buchungssystem, das von vielen Internet-Dienstleistungsanbietern (ISPs) und Netzwerkunternehmern verwendet wird. Wenn Sie sich in den ISP einwählen, müssen Sie Ihren Benutzernamen und Ihr Passwort angeben. Diese Information wird an einen RADIUS-Server weitergeleitet, der prüft, ob die Information korrekt ist, und dann den Zugang in das ISP-System freigibt. Obwohl es kein offizieller Standard ist, werden die RADIUS-Spezifikationen von einer Arbeitsgruppe der IETF instandgehalten. Man findet RADIUS auch oft, wenn Hervorhebungen der Buchungsinformationen in einer Windows-2000-Domäne vorgenommen werden. Der eingebaute RADIUSServer kann nicht nur verwendet werden, um Routing und RAS-Clientcomputer zu beglaubigen, sondern kann auch von DFÜ-Servern einer dritten Person als Authentifizierungsmethode verwendet werden. Tatsächlich authentifizieren einige ISPs Anwender für Unternehmerkonten, indem sie RADIUS-Authentifizierungsanfragen an einen lokalen RADIUS-Server verweisen. Somit erlauben sie dem Unternehmer die Kontrolle über den Internetzugang.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
3.1.5
Ein Virtuelles Privates Netzwerk konfigurieren (VPN)
Bevor wir uns mit der Konfiguration von Windows 2000 VPN befassen, sehen wir uns VPN allgemein und einige der Faktoren an, die zu seiner Entstehung beigetragen haben. Wenn Sie schon längere Zeit in der Industrie tätig sind, wissen Sie, dass VPN einer der am häufigsten falsch verwendeten Begriffe der Computerindustrie von heute ist. Es scheint, als hätte jeder Anbieter ein VPN zu verkaufen, und manchmal scheint das VPN des einen Verkäufers das genaue Gegenteil des VPN des anderen zu sein. Vor nicht allzu langer Zeit zum Beispiel, hat ein großer Telekommunikationsanbieter einen VPN-Dienst angeboten, der aus einem privaten Frame-Relay-Netzwerk, in das sich die Anwender einwählen konnten, besteht. Von dort sollten sich die Anwender unter Verwendung des Frame-Relay-Netzwerks in das Firmennetzwerk verbinden. Der Dienst enthielt keine Verschlüsselung, und die einzige wirkliche Sicherheit, die diese Lösung bot, war der Vorgang, den der Anwender bei der Rahmenübertragung der Eingabe im Firmennetz auslöste. Ein anderer Anbieter wird versuchen, Ihnen eine bestimmte Hardwareplattform zu verkaufen, die dafür konzipiert ist, nur VPN-Dienste zu leisten. Anbieter von Firewalls werden versuchen, Ihnen VPN auf Ihrer Firewallplattform zu verkaufen, und Router-Anbieter werden Sie davon überzeugen wollen, dass die Bündelung des VPNDienstes auf den Routern die Lösung für Ihre Probleme ist. Schließlich gibt es die Lösungen, die auf einem Netzwerkbetriebssystem laufen, so wie das VPN, das mit Windows 2000 geliefert wird. Nehmen wie hier einfach einmal an, VPN ist ein privates Netzwerk, das unter Verwendung eines öffentlichen Netzwerks (wie z.B. dem Internet) aufgebaut ist, um seine Knoten zu verbinden. Das Erste, worüber man sich bewusst sein muss, wenn man Windows 2000 VPN bespricht, ist das zur Verfügung stehende Verschlüsselungsprotokoll. Windows 2000 hat zwei Haupt-verschlüsselungsprotokolle, die im VPN verwendet werden. Sie enthalten: 씰
Point-to-Point Tunneling Protocol (PPTP). PPTP ist Microsofts altes Protokoll, um VPN zu unterstützen. Gemeinsam entwickelt von Microsoft Corporation, U.S. Robotics und verschiedenen RAS-Anbieterfirmen, gemeinsam bekannt unter dem Begriff des PPTP-Forums, ist PPTP einigen Sicherheitsproblemen in ihrer Urform begegnet. Es wurde von Microsoft überarbeitet, von der Sicherheitsgemeinschaft aber niemals weitgehendst anerkannt. Obwohl eine Anzahl von VPN-Servern dieses Protokoll noch unterstützen, wird PPTP rapide von einem weithin angenommenen IPSec-Protokoll überholt.
씰
IP Security Protocol (IPSec). IPSec ist ein Paket von verschlüsselten Schutzdiensten und Schutzprotokollen, die für das erste standardisierte VPNProtokoll verwendet werden. Bei Windows 2000 wird IPSec verwendet, um maschinelle Authentifizierung wie auch Datenverschlüsselung für L2TP-basierte (Layer 2 Tunneling Protocol) VPN-Verbindungen zu liefern. Im Ge-
209
210
Kapitel 3
RAS
gensatz zu anderen IPSec-basierten VPN verwendet Microsoft System das L2TP-Protokoll, um Anwendernamen, Passwörter und Daten zu verschlüsseln, wobei IPSec verwendet wird, um die sichere Verbindung zwischen Ihrem Computer und dem RAS-Tunnel-Server herzustellen. L2TP/IPSec
PPTP
Basiert auf Standards.
Microsoft systemgebunden.
Auf Basis von Windows, Linux, Macintosh, Solaris und auf anderen.
Unter Windows und Linux
DES / 3DES-Verschlüsselung.
Microsoft-Systemverschlüsselung.
Das Tunnelmedium muss lediglich paketvermittelnde Point-to-Point-Verbindungen zur Verfügung stellen.
Bedarf eines IP-basierten Verbindungsnetzwerkes.
Unterstützt Headerkomprimierung.
Keine Headerkomprimierung.
Tabelle 3.1: Die Unterschiede zwischen L2TP/IPSec und PPTP
Da Sie jetzt wissen, was ein VPN ist und wie es funktioniert, lassen Sie uns eines aufbauen. Die gute Nachricht ist, dass die Installation von Routing und RAS automatisch eine VPN-Verbindung verfügbar macht. Was Sie zu diesem Zeitpunkt verstehen müssen, ist, wie man die installierte VPN-Verbindung konfiguriert. Um den VPN-Dienst zu konfigurieren machen Sie Folgendes:
SCHRITT FÜR SCHRITT 3.4
Konfigurieren eines Virtuellen Privaten Netzwerks
1. Öffnen Sie ROUTING UND RAS-ZUGANG, indem Sie zu START, PROGRAMME, VERWALTUNG, ROUTING UND RAS gehen. 2. Klicken Sie auf den Eintrag PORTS unter dem Server. Beachten Sie, dass die beispielhafte Konfiguration in Abbildung 3.23 fünf PPTP-Ports und fünf L2TP/IPSec-Ports zeigt. Dies ist so, weil der Server fünf Anwenderlizenzen konfiguriert hatte, als Routing und RAS installiert wurde. 3. Um Ports zu konfigurieren, markieren Sie PORTS im linken Feld und klicken Sie mit der rechten Maustaste darauf. Wählen Sie EIGENSCHAFTEN aus dem Kontextmenü. Das Dialogfenster EIGENSCHAFTEN VON PORTS öffnet sich (siehe Abbildung 3.24). Hier sehen Sie jedes der aufgeführten Protokolle. 4. Wählen Sie das zu modifizierende Protokoll aus und klicken Sie auf KONFIGURIEREN. Das Dialogfenster des Konfigurations-Assistenten öffnet sich (siehe Abbildung 3.25). Auf diesem Bildschirm können Sie die Richtung der
3.1 RAS: Konfigurieren und Fehlerbeseitigung
Schnittstelle (nur eingehend oder ein- und ausgehend) sowie die Anzahl an Ports festsetzen. Sie können auch die Telefonnummer der Komponente angeben, wobei diese bei einer VPN-Inbetriebnahme nur wenig von Nutzen ist. Abbildung 3.23 Im rechten Fenster werden alle konfigurierten VPN-Ports angezeigt.
Abbildung 3.24 Alle konfigurierten RAS-Verbindungen werden angezeigt, nachdem sie installiert wurden.
211
212
Kapitel 3
RAS
Abbildung 3.25 Das Dialogfenster des KonfigurationsAssistenten ermöglicht Ihnen die Feineinstellung der Geräteeigenschaften, einschließlich der Anzahl der zur Verfügung stehenden Anschlüsse.
PRÜFUNGSTIPP Unterscheiden Sie zwischen L2TP 2TP und PPTP. Da Microsoft die Client-Protokollkonfiguration für die Implementierung von IPSec-VPN verwendet, sollten Sie sichergehen, dass Sie die Unterschiede zwischen IPSec und PPTP genauso gut verstehen wie die Implementierung der Version IPSec. Tabelle 3.1 zeigt Ihnen die Unterschiede genau.
Das ist alles, was man über das Konfigurieren des VPN-Servers von Windows 2000 wissen muss.
Praxistipp Ihr VPN ist nur so gut wie Ihre InternetVerbindung Obwohl VPN häufig verwendet werden, um traditionelle Methoden des RAS, wie etwa Einwahl, zu ersetzen, übersehen manche gerne ein paar Dinge bei der Zusammenstellung eines VPN. Viele nehmen an, dass VPN schneller ist als das Anwählen eines RAS-Servers. Dies ist nicht unbedingt richtig. Sie können einen Engpass an der ISP-Verbindung haben, Stau im Internet, oder sogar Kapazitätsprobleme auf dem VPN-Server. Stellen Sie sicher, dass Sie auch richtige Erwartungen bezüglich der Kapazitäten bei dem Anwender der neuen VPN-Verbindung wecken. Durch die Erstellung eines VPN sind nicht alle Ihre RAS-Probleme gelöst. Sie werden feststellen, dass sich schnell eine Menge neuer Fragen ergeben kann. Wie Anwender Zugang zum Internet erhalten, die Größe und Kapazität des VPN-Servers, ja selbst die verfügbare Internet-Bandbreite kann schnell einen Engpass in der Leistung Ihres VPN schaffen.
3.1 RAS: Konfigurieren und Fehlerbeseitigung
3.1.6
Konfigurieren von Multilink-Verbindungen
Zuerst eingeführt als Teil von Windows 98, unterstützt Windows 2000 multiple Modemverbindungen zu einem RAS-Server, um diese dann zu einer einzigen Verbindung zusammenzufassen, die eine höhere Bandbreite besitzt. Hierbei handelt es sich normalerweise um eine Internetdienstanbieter-Verbindung. Die Verbindung könnte aber auch eine Verbindung zu einem anderen Windows-2000-Server oder zu einer anderen Speicherstelle sein. Teil dieser Unterstützung ist es auch, dass sie das Bandwidth-Authentification-Protokoll (BAP) erhöhen kann. BAP ist ein PPP-Kontrollprotokoll, das verwendet wird, um Verbindungen dynamisch zu einer Multilink- Verbindung hinzuzufügen oder zu entfernen. Um eine Multilink-Verbindung aufzubauen, müssen Sie nur das Fenster NETZWERK UND DFÜ-VERBINDUNGEN öffnen, auf die Schaltfläche HEREINKOMMENDE VERBINDUNGEN mit der rechten Maustaste klicken, EIGENSCHAFTEN auswählen (siehe Abbildung 3.26), und dann MULTILINK ERLAUBEN auswählen. Multilink ist jetzt konfiguriert. Wenn sich ein Anwender mit zwei Modems einwählt, wird der Server die beiden Verbindungen zusammenfassen und es dem Anwender erlauben, zusätzliche Bandbreite nach Bedarf zu verwenden.
HINWEIS Bevor Sie beginnen, Multilin ilink zu konfigurieren. Wenn Sie Multilink konfigurieren wollen, dann müssen Sie einige Dinge beachten. Zuerst müssen Sie mindestens zwei Modems in Ihrem System installiert haben. Immerhin ist es auch schwierig, eine Multilink-Verbindung mit einem einzigen Multilink zu erstellen. Hinzu kommt, dass Sie eine eingehende RAS-Verbindung aufgebaut haben müssen. Mit der Schritt-für-Schritt-Anleitung 3.1 können Sie eine eingehende RAS-Verbindung erstellen.
3.1.7
Konfigurieren von Routing und RAS für DHCPIntegration
Wenn Sie Anwender haben, die sich in Ihren Routing- und RAS-Server einloggen, wollen Sie ihnen wahrscheinlich eine TCP/IP-Adresse im Netzwerk dynamisch zuordnen. Dies macht man am besten mit DHCP, das konfiguriert werden muss. DHCP und der Routing- und RAS-Dienst stehen zueinander in Bezug. Diesen Bezug gilt es zu verstehen. Wenn der RAS-Server konfiguriert ist, um DHCP zu verwenden, verwendet der Routing- und RAS-Server die DHCP Client-Komponente, um 10 Adressen von einem DHCP-Server zu erhalten. Dies könnte im Netzwerk oder auf demselben Server wie der Routing- und RAS-Server sein. Der RASServer verwendet die erste Adresse, die er von DHCP erhält, für die RAS-Schnittstelle, und nachfolgende Adressen werden den TCP/IP-basierten RAS-Clientcom-
213
214
Kapitel 3
RAS
putern zugeordnet. Dies geschieht in der Reihenfolge, in der sie sich verbinden. IPAdressen, die frei werden, nachdem sich ein RAS-Clientcomputer ausgedockt hat, werden wieder verwendet. Wenn alle 10 Adressen zugeordnet wurden, beginnt der Prozess von neuem, indem der DHCP-Clientcomputer 10 zusätzliche Adressen anfordert.
PRÜFUNGSTIPP Wissen, wo Multilin ilinks aktiviert sind. Wichtiger, als zu wissen, wo Multilinks aktiviert sind, ist zu wissen, was man für eine Multilink-Verbindung benötigt und welche Vorteile durch Multilinks entstehen.
Um Routing und RAS für DHCP-Integration zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 3.5
Konfiguration von Routing und RAS für DHCP-Integration
1. Öffnen Sie die ROUTING UND RAS-Konsole, indem Sie zu START, PROGRAMME, VERWALTUNG, ROUTING UND RAS gehen. 2. Klicken Sie in der Struktur mit der rechten Maustaste auf den Server, wählen Sie aus dem Kontextmenü EIGENSCHAFTEN aus. Klicken Sie auf die Registerkarte IP (siehe Abbildung 3.26). 3. Klicken Sie im Abschnitt IP-ADRESSENZUORDNUNG das DHCP (DynamicHost-Configuration-Protokoll) an. Ihr Routing und RAS wird nun DHCP-Adressen an Benutzer ausstellen, die sich via Einwahl oder VPN verbinden.
PRÜFUNGSTIPP Denken Sie daran, dass Routing- und RAS-Dienste ihre DHCP-Adressen im 10erPack anfordern. Wenn der Pool erschöpft ist, wird zum DHCP-Server zurückgekehrt, um weitere 10 Adressen anzufordern.
PRÜFUNGSTIPP Sie müsse ssen sich nicht alle lle Leistungsindikatoren merken. Machen Sie sich nur mit den hauptsächlichen Kategorien vertraut und merken Sie sich, wie man die Leistungskonsole verwendet.
3.2 Verwalten und Überwachen von RAS
Abbildung 3.26 Verwenden von DHCP beim Konfigurieren von Routing und RAS ist so einfach wie das Anklicken einer Option.
3.2
Verwalten und Überwachen von RAS
Sie haben jetzt also einen funktionierenden Routing- und RAS-Server. Wie verwalten und überwachen Sie ihn? Fangen wir damit an, uns anzusehen, welche Art von Informationen uns der Systemmonitor geben kann. Er ist allgemein das beste Instrument, um Einzelheiten von Windows-2000-Diensten zu überwachen. Folgende Leistungsindikatoren für das RAS-Objekt stehen im Systemmonitor zur Verfügung: 씰
Ausrichtungsfehler. Die Größe des erhaltenen Pakets unterscheidet sich von der erwarteten Paketgröße.
씰
Pufferüberlauffehler. Die Software kann die Daten in der eingehenden Geschwindigkeit nicht verarbeiten.
씰
Bytes Empfangen. Gesamtanzahl an Bytes, die vom Dienst empfangen wurden.
씰
Bytes Empfangen/Sek. Anzahl an Bytes, die vom Dienst pro Sekunde empfangen wurden.
215
216
Kapitel 3
RAS
씰
Bytes Gesendet. Gesamtmenge der vom Dienst übertragenen Bytes.
씰
Bytes Gesendet/Sek. Menge der vom Dienst pro Sekunde übertragenen Bytes.
씰
CRC Fehler. Ein erhaltener Rahmen enthält fehlerhafte Daten und das Paket hat die zyklische Redundanzprüfung (CRC) nicht bestanden.
씰
Rahmen Empfangen. Gesamtanzahl der vom Dienst erhaltenen Rahmen.
씰
Rahmen Empfangen/Sek. Anzahl der vom Dienst pro Sekunde erhaltenen Rahmen.
씰
Übertragene Gesendet. Gesamtmenge der vom Dienst versandten Rahmen.
씰
Übertragene Gesendet/Sek. Menge der vom Dienst pro Sekunde versandten Rahmen.
씰
Komprimierung empfangener Bytes (%). Gibt an, wie gut eingehender Verkehr komprimiert wird.
씰
Komprimierung gesendeter Bytes (%). Gibt an, wie gut ausgehender Verkehr komprimiert wird.
씰
Fehler – Serieller Überlauffehler, Zeitüberschreitungen und Fehler Insgesamt/Sek. Diese Objekte behandeln alle Fehlerinformationen bezüglich des Routing- und RAS-Dienstes.
Nachdem wir uns die Leistungsindikatoren für den Dienst angesehen haben, können wir uns der Überwachung des Dienstes widmen.
PRÜFUNGSTIPP Was messe ssen wir? RAS insgesamt oder RAS-Ports? Mit der Konsole LEISTUNG können Sie diese Indikatoren portweise oder auf einem gesamten Serverlevel überwachen. Wählen Sie RAS-Ports, um die Statistiken des gesamten Servers angezeigt zu bekommen.
3.2 Verwalten und Überwachen von RAS
Um Routing und RAS-Leistung zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 3.6
Routing und RAS überwachen
1. Öffnen Sie die Leistungskonsole, indem Sie auf PROGRAMME, VERWALTUNG, SYSTEMMONITOR gehen (siehe Abbildung 3.27). 2. Wählen Sie in LEISTUNG SYSTEMMONITOR aus. 3. Um einen Eintrag im Systemmonitor zu erstellen, klicken Sie auf die Schaltfläche HINZUFÜGEN (+). Das Fenster LEISTUNGSINDIKATOR HINZUFÜGEN öffnet sich. Standardgemäß öffnet es sich mit dem Prozessor DATENOBJEKT. Abbildung 3.27 Die Leistungskonsole ermöglicht es Ihnen, mehrere System- und Anwendungsmaße zur Auswertung der Leistung und Funktionalität des Systems zu überwachen.
4. Wählen Sie das RAS-Port-Datenobjekt aus. Auf der linken Seite bekommen Sie eine Liste der Indikatoren, die für RAS verfügbar sind, und im rechten Feld eine Liste von RAS-Ports (siehe Abbildung 3.28) angezeigt. 5. Wählen Sie den Anschluss aus, den Sie überwachen wollen. Nachdem Sie sich entschieden haben, welchen Indikator Sie überwachen wollen, klicken Sie auf HINZUFÜGEN. Sie können die Indikatoren auf zweierlei Art und Weise hinzufügen: Wählen Sie jeden Indikator einzeln aus und klicken Sie auf HINZUFÜGEN. Sie können auch die Standard-Windows-Mehrfachauswahlmethode anwenden und die Steuerungstaste gedrückt halten, während Sie alle gewünschten Indikatoren auswählen. Klicken Sie anschließend auf HINZUFÜGEN.
217
218
Kapitel 3
RAS
6. Wenn Sie die gewünschten Indikatoren ausgewählt haben, klicken Sie auf SCHLIESSEN. Sie werden Ihre Indikatoren ähnlich wie in Abbildung 3.29 dargestellt finden.
Abbildung 3.28 Die für RAS verwendeten Indikatoren, sind denen sehr ähnlich, die für die meisten LAN-Verbindungen, einschließlich Ethernet, geboten werden.
Abbildung 3.29 Um herauszufinden, mit welchen Fehlern Sie es im Feld zu tun haben, haben Sie ein wachsames Auge auf plötzliche Sprünge nach oben oder nach unten. Die Grafik der Abbildung zeigt, dass zurzeit keine Fehler vorhanden sind.
3.2 Verwalten und Überwachen von RAS
Wenn Sie Statistiken für eine VPN-Verbindung angezeigt haben wollen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 3.7
Den Status eines Anschlusses überprüfen
1. Öffnen Sie ROUTING UND RAS. 2. Wählen Sie im linken Feld PORTS aus. Im rechten Feld wird eine Liste der verfügbaren Ports angezeigt. Wählen Sie den Port aus, über den Sie Statistiken sammeln wollen. Klicken Sie mit der rechten Maustaste den gewünschten Port an. Wählen Sie im Kontextmenü STATUS aus. Das Dialogfenster ANSCHLUSSSTATUS öffnet sich (siehe Abbildung 3.30). In diesem Dialogfenster wird der Anschlussstatus, die Geschwindigkeit der Leitung, die Anrufdauer, Netzwerkstatistiken, Fehler und die verwendeten Netzwerkprotokolle mit den Adressen für den Anschluss angezeigt. 3. Sie können die Statistiken zurücksetzen oder aktualisieren, indem Sie die entsprechende Schaltfläche unten im Dialogfenster anklicken. Falls jemand mit dem Anschluss verbunden sein sollte, können Sie die Verbindung unterbrechen, indem Sie auf TRENNEN klicken. Sehen wir uns nun an, wie wir Sicherheit für RAS konfigurieren. Abbildung 3.30 Hier bekommen Sie einen fast kompletten Statusbericht angezeigt.
219
220
Kapitel 3
3.3
RAS
Konfigurieren von Sicherheit für RAS
Die Überschrift ist ein wenig irreführend. In diesem Kapitel haben wir uns fast ausschließlich mit der RAS-Sicherheit befasst. Microsoft hat aber den Begriff RASSicherheit für eine bestimmte Gruppe von Einstellungen gewählt. Um diese Gruppe von Einstellungen zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 3.8
Konfigurieren der RAS-Sicherheit
1. Öffnen Sie die Konsole ROUTING UND RAS. 2. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie EIGENSCHAFTEN. Das Dialogfenster SERVER-EIGENSCHAFTEN öffnet sich. 3. Wählen Sie die Registerkarte SICHERHEIT aus (siehe Abbildung 3.31). Der Authentifizierungsabieter ist standardmäßig WINDOWS-AUTHENTIFIZIERUNG. Sie können die Einstellung aber auch in RADIUS-Authentifizierung ändern. Wählen Sie aus dem Pull-down-Menü RADIUS-AUTHENTIFIZIERUNG aus. Abbildung 3.31 RAS-Sicherheit wird von diesem Fenster aus kontrolliert.
3.3 Konfigurieren von Sicherheit für RAS
Abbildung 3.32 Das Hinzufügen eines RAS-Servers sieht zwar einfach aus, doch Sie müssen überprüfen, ob Ihre Information mit der RADIUS-Server-Konfiguration übereinstimmt.
4. Klicken Sie auf KONFIGURIEREN, um den RADIUS-Server zu konfigurieren. Das Dialogfenster RADIUS-SERVER HINZUFÜGEN öffnet sich (siehe Abbildung 3.33). Von hier aus können Sie den Servernamen des RADIUS-Servers, den gemeinsamen geheimen Schlüssel, Zeitüberschreitung, Ursprungswert und RADIUS-Port einstellen. Sie können auch die Verwendung digitaler Unterschriften verlangen. 5. Klicken Sie auf OK, um den RADIUS-Server hinzuzufügen. Klicken Sie auf OK, um das Dialogfenster RADIUS-Authentifizierung zu schließen. Sie müssen ROUTING UND RAS neu starten, um von der RADIUS-Authentifizierung Gebrauch machen zu können. Klicken Sie auf OK, um das Fenster zu schließen. Jetzt, da Sie gesehen haben, wie man die RADIUS- und Windows-Authentifizierung durchführt, sehen wir uns die Authentifizierungsprotokolle an, die Windows 2000 verwendet.
3.3.1
Authentifizierungsprokolle konfigurieren
Windows 2000 unterstützt eine Anzahl von Authentifizierungsprotokollen; deswegen wird fast jede Konfiguration einer Verbindung unterstützt. Die in Windows 2000 enthaltenen Protokolle sind: 씰
Erweiterte Authentifizierungsprotokolle/Extensible Authentication Protokoll (EAP). EAP-TLS ist eine Erweiterung zum PPTP. EAP liefert einen Standardmechanismus für die Unterstützung von zusätzlichen Authentifizierungsmethoden innerhalb von PPP, so wie Smart Cards, einmalige Passwörter, und Zertifikate. EAP ist entscheidend für sichere Windows-2000-VPN,
221
222
Kapitel 3
RAS
weil es stärkere Authentifizierungsmethoden anbietet (etwa X.509-Zertifikate), anstelle sich auf die Anwender-ID und traditionelle Passwortschemata zu verlassen. 씰
Challenge Handshake Authentifizierungsprotokoll (CHAP). CHAP ist eine Verschlüsselungsauthentifizierung, die MD5 (Message Digest 5) verwendet, ein von der Industrie standardisiertes Umwandlungsschema. CHAP verwendet Herausforderungs-Rückmeldung mit Einwege-MD5-Hashing für das Hashing der Antwort. Das ermöglicht Ihnen, den Server zu authentifizieren, ohne Ihr Passwort tatsächlich über das Netzwerk zu senden. Da dies eine industriestandardisierte Authentifizierungsmethode ist, kann Windows 2000 eine sichere Verbindung zu PPP-Servern anderer Hersteller erstellen.
씰
Microsoft Challenge Handshake Authentifizierungsprotokoll (MSCHAP). Microsoft konzipierte MS-CHAP, um entfernte Windows-Arbeitsstationen zu authentifizieren, wobei die Funktionalität des Protokolls erhöht wurde, indem die Verschlüsselungs- und Hashalgorithmen in Windows-Netzwerken verwendet wurden. Wie CHAP auch, verwendet MS-CHAP einen Herausforderungs-Rückmeldungsmechanismus mit Einwegeverschlüsselung für die Antwort. Obwohl sich MS-CHAP weitgehend mit CHAP deckt, befindet sich das MS-CHAP-Antwortpaket in einem speziell für Windows-Betriebssysteme entworfenen Format. Eine neue Version von Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2) steht ebenfalls zur Verfügung. Dieses neue Protokoll liefert gemeinsame Authentifizierung, stärkere ursprüngliche Datenverschlüsselungs-Schlüssel und unterschiedliche Verschlüsselung für das Versenden und das Empfangen.
HINWEIS MS-CHAP- versus MS-CHAP v2-Protokoll. ll. Wenn Sie eine VPN-Verbindung herstellen, versucht der Windows 2000-Server zuerst eine Authentifizierung unter Verwendung des MS-CHAP v2-Protokolls, bevor er das MS-CHAP-Protokoll anbietet. Wenn Sie einen aufgerüsteten Windows-Clientcomputer verwenden, sollten Sie in der Lage sein, sich mit dem MS-CHAP v2-Protokoll zu authentifizieren. Windows NT4 und auf Windows 98 basierende Computer können MS-CHAPv2Authentifizierung nur für VPN-Verbindungen verwenden. 씰
SPAP. Shiva Passwort Authentifizierungsprotokoll (SPAP) wird spezifisch verwendet, damit Shiva-Clientcomputer sich mit einem Windows 2000-Server und Windows-2000-Clientcomputer sich mit einem Shiva-Server verbinden können
3.3 Konfigurieren von Sicherheit für RAS
씰
PAP. Passwort Authentifizierungsprotokoll (PAP) verwendet unverschlüsselte (normaler Text) Passwörter für die Anwenderauthentifizierung und gilt als das unsicherste Authentifizierungsprotokoll, das zur Verfügung steht. PAP wird für die Authentifizierung normalerweise als letzter Ausweg verwendet – nämlich dann, wenn eine sicherere Form der Authentifizierung nicht verfügbar ist. Vielleicht müssen Sie dieses Protokoll verwenden, wenn Sie zu einem nicht-Windows-basierenden Server eine Verbindung herstellen wollen.
Um diese Protokolle zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 3.9
Konfigurieren von AUTHENTIFIZIERUNGSPROTOKOLLEN
1. Öffnen Sie die ROUTING UND RAS-Konsole. 2. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie EIGENSCHAFTEN. Das Dialogfenster SERVEREIGENSCHAFTEN öffnet sich. 3. Wählen Sie die Registerkarte SICHERHEIT aus, und klicken Sie auf AUTHENTIFIZIERUNGSMETHODEN (siehe Abbildung 3.31). Das Dialogfenster AUTHENTIFIZIERUNGSMETHODEN öffnet sich (siehe Abbildung 3.33). Beachten Sie, dass die Auswahl dem, was wir bisher in diesem Abschnitt besprochen haben, sehr ähnelt. Abbildung 3.33 RAS-Sicherheit wird von diesem Dialogfeld aus kontrolliert.
223
224
Kapitel 3
RAS
4. Wählen Sie das passende Protokoll für die Verbindung aus und klicken Sie auf OK. Klicken Sie auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren.
3.3.2
Verschlüsselungsprotokolle konfigurieren
Das Erste, dessen man sich bewusst sein muss, wenn man über die Verschlüsselungsprotokolle von Windows 2000 spricht, ist, dass hauptsächlich zwei bestimmte Verschlüsselungsprotokolle von Windows-2000-VPN verwendet werden. PPTP und IPSec wurden schon etwas früher in diesem Kapitel behandelt, aber es werden einige Verschlüsselungsprotokolle in Verbindung mit IPSec verwendet, die wir noch besprechen müssen. Im Microsoft-Modell basiert die IPSec-Verschlüsselung auf keiner Authentifizierungsmethode für seine ursprünglichen Schlüssel. Die Verschlüsselungsmethode wird von der IPSec-SA (Security Association) bestimmt. Eine SA ist eine Kombination von Zieladressen, von einem Sicherheitsprotokoll und einem einzelnen Identifikationswert, SPI (Security Parameters Index) genannt. Die für IPSec verfügbaren Verschlüsselungen enthalten: 씰
Data Encryption Standard (DES). DES verwendet einen 56-bit Verschlüsselungscode. Für gewerbliche Zwecke betrachtet man dies als kaum ausreichende Sicherheit, und dieser Verschlüsselungsgrad wurde unter Verwendung spezialisierter Hardware geknackt.
씰
Triple DES (3DES). Wie DES verwendet 3DES einen 6-Bit-Code. Aber wie der Name schon besagt, verschlüsselt es Daten mit drei verschiedenen 56-BitCodes. Dies wird als 168-Bit-Verschlüsselung betrachtet (3 x 56 = 168) und wird in höchst sicherer Umgebung verwendet. Bis vor kurzem hat die US-Regierung die Ausfuhr von Anwendungen, die 3DES unterstützen, streng kontrolliert. Obwohl diese Beschränkungen gelockert wurden, bedarf der Export von 3DES-Anwendungen der Erlaubnis der Regierung.
Das waren die für RAS verfügbaren Verschlüsselungsprotokolle in Windows 2000. Windows 2000 verwendet andere Verschlüsselungen, wie etwa Kerberos, um sich an eine Domäne anzuschließen Kerberos ist aber nicht anwendbar auf RAS. Um diese Protokolle zu konfigurieren, gehen Sie wie folgt vor:
3.3 Konfigurieren von Sicherheit für RAS
SCHRITT FÜR SCHRITT 3.10 Konfigurieren von Verschlüsselungsprotokollen 1. Öffnen Sie die ROUTING UND RAS-Konsole und wählen Sie RAS-RICHTLINIEN aus der Baumansicht aus. Klicken Sie mit der rechten Maustaste auf die Richtlinie im rechten Feld, für die Sie den Grad der Verschlüsselung festsetzen wollen und wählen Sie EIGENSCHAFTEN aus. 2. Klicken Sie im Dialogfenster EIGENSCHAFTEN VON RICHTLINIEN auf PROFIL BEARBEITEN. Das Dialogfenster EINWAHLPROFIL BEARBEITEN öffnet sich. 3. Klicken Sie auf die Registerkarte VERSCHLÜSSELUNG (siehe Abbildung 3.34). Sie können den Verschlüsselungsgrad auf KEINE VERSCHLÜSSELUNG, STANDARD, STARK oder einer Kombination aus den dreien festsetzen. Wählen Sie das gewünschte Niveau aus, und klicken Sie dann zweimal auf OK. Sie befinden sich wieder in der ROUTING UND RAS-Konsole.
Abbildung 3.34 Windows 2000 unterstützt drei Verschlüsselungsgrade.
225
226
Kapitel 3
RAS
Fallstudie: Routing und RAS in einer komplexen Umgebung implementieren Das Wichtigste im Überblick Das Wesentliche des Falles ist Folgendes: 씰
Die Leitung Ihrer Firma ist wenig interessiert an einer größeren Investition in Einwahlgebühren für eine Einwahl-basierte RAS-Lösung.
씰
Ihre Firma hat drei Hauptgruppen von Anwendern, jede mit verschiedenen RAS-Anforderungen.
씰
Jedes Team hat den erforderlichen Grad an Sicherheit.
Situationsbeschreibung Sie sind Netzwerkadministrator bei NR Widgets Inc., einem multinationalen Konglomerat, und Sie sitzen in der Firmenzentrale. NR Widgets hat etwa 200 mobile Mitarbeiter, die Zugang zum Netzwerk haben müssen, um Reisekostenberichte abzugeben. Etwa 100 Mitarbeiter leben in der Umgebung der Ortsvorwahl, und der Rest lebt verstreut über das Land. Die Firmenleitung will keine Kosten für überregionale Telefonate für RAS übernehmen. Ihre mobilen Anwender bestehen aus drei Gruppen. Die erste Gruppe besteht aus technisch hochqualifizierten Telearbeitern, die auf alles zugreifen müssen. Außerdem wird in dieser Gruppe sehr viel Wert auf Sicherheit gelegt. Die Information soll so sicher wie möglich sein. Die zweite Gruppe besteht aus lokalen Anwendern, die nicht allzu besorgt über die Sicherheit der Verbindung sind. Die dritte Gruppe besteht aus etwa 35 Anwendern, die von zu Hause aus arbeiten und Hochgeschwindigkeits-Internetanschlüsse haben. Folgendes gilt es nun zu bewältigen: 씰
Jede Gruppe soll Zugriff auf das Netzwerk haben.
씰
Jede Gruppe verfügt über die Sicherheit der Information, die sie braucht.
씰
Ferngespräche oder gebührenfreie Nummern sind nicht erlaubt.
Wie gehen Sie vor?
Fallstudie: Routing und RAS in einer komplexen Umgebung implementieren
Situationsanalyse Den oben genannten Anforderungen können Sie gerecht werden, indem Sie den Windows-2000-Routing- und RAS-Dienst installieren. Sie haben aber sicherlich bereits bemerkt, dass die Installation doch etwas komplizierter ist, als einfach nur den Konfigurationsassistenten laufen zu lassen. Zuerst müssen Sie sich jede der Zielgruppen genau ansehen. Die technischen Telearbeiter, die Zugriff auf vertrauliche Informationen haben, brauchen eine Konfiguration, die die robusten Sicherheits- und Verschlüsselungsmechanismen von Windows 2000 Routing und RAS nutzt. Vielleicht sollten Sie in deren Profil einen Rückruf konfigurieren. Eventuell werden Sie für die Authentifizierung auch Smart Cards benötigen. Für die zweite Benutzergruppe müssen Sie den Zugang wahrscheinlich auf bestimmte Informationen im Netzwerk beschränken, da sie eine weniger sichere, nutzerfreundlichere Authentifizierungsrichtlinie verwendet. Das Konfigurieren eines Netzwerkes, wie etwa ein Internet-basierendes VPN, ist relativ einfach. Allerdings wären da noch einige Entscheidungen zu treffen. Sie müssen die Bandbreitengröße zum Internet untersuchen, die Ihnen für diese Anwender zur Verfügung steht. Sie müssen bedenken, wo der Server stehen soll. Sollte er hinter einer Firewall oder direkt im Internet stehen? Sie müssen bedenken, welches VPN-Protokoll für die Umgebung am sinnvollsten ist. Sie finden vielleicht heraus, dass Ihre mobilen Nutzer, die nicht in der Region leben, einen lokalen ISP in Verbindung mit einer VPN-Lösung verwenden wollen, womit Ihnen ermöglicht würde, noch mehr Gebühren einzusparen. Dies hängt alles sehr von der Umgebung und den Umständen ab und bedarf effektiver Planung. Sie müssen Folgendes installieren: 씰
Einen Server, auf dem Windows 2000 Server und der Routing- und RAS-Dienst läuft.
씰
Modems müssen an den Server angeschlossen und für DFÜ-Anwender konfiguriert werden.
씰
Anwender, die nicht die Möglichkeit haben, sich lokal in den Server einzuwählen, müssen den Windows-2000-VPN-Dienst verwenden; folglich bedarf der Server einer Internetverbindung. Der Server benötigt RASProfile, um die Sicherheit für jede Gruppe zu kontrollieren.
Da Sie dieses Kapitel sicher mit größter Aufmerksamkeit und Konzentration gelesen haben, sollte diese Fallstudie kein größeres Problem für Sie darstellen. Fassen wir das Kapitel noch einmal kurz zusammen.
227
228
Kapitel 3
RAS
Zusammenfassung In diesem Kapitel haben wir detailliert behandelt, wie man den Windows-2000Routing- und RAS-Dienst verwendet, um RAS-Dienste anbieten zu können. Zu Beginn des Kapitels wurde behandelt, wie man Routing und RAS konfiguriert, damit eingehende Verbindungen, DHCP, VPN und Multilink-Verbindungen unterstützt werden. Außerdem wurde erklärt, wie man eine RAS-Richtlinie erstellt und verwendet. Schließlich haben wir untersucht, wie man ein RAS-Profil konfiguriert und verwendet. Anschließend haben Sie gelernt, wie man den Routing- und RAS-Dienst überwacht und verwaltet. Zu guter Letzt haben wir die diversen Sicherheitsaspekte des Dienstes behandelt, einschließlich der Konfiguration von RAS- Sicherheit, Authentifizierungsprotokollen und der Verschlüsselung. Wir können also zu den Übungen übergehen. Schlüsselbegriffe 쎲
Authentifizierung
쎲
Remote Access Service (RAS)
쎲
Dynamic Host Configuration Protocol (DHCP)
쎲
Rückruf
쎲
Modem
쎲
Verschlüsselung
쎲
Multilink, Mehrfachverbindung
쎲
Virtuelles Privates Netzwerk (VPN)
Lernzielkontrolle Übungen 3.1
Erstellen von RAS-Richtlinien
In der folgenden Übung werden Sie mit der Routing- und RAS-Konsole eine RASRichtlinie erstellen, müssen aber hierfür eine Richtlinie für Anwender erstellen, die sich mit PPP verbinden.
Lernzielkontrolle
Geschätzte Zeit: 10 Minuten 1. Öffnen Sie die ROUTING UND RAS-Konsole. 2. Erweitern Sie die Anwendungsstruktur im linken Bereich des Fensters, indem Sie auf den Server doppelklicken. Klicken Sie mit der rechten Maustaste auf RAS-RICHTLINIEN und wählen Sie NEUE RAS-RICHTLINIE. 3. Geben Sie den Namen Exercise 1 ein und klicken auf WEITER. 4. Klicken Sie auf HINZUFÜGEN, um eine Bedingung hinzuzufügen. Wählen Sie aus der Attributliste das Attribut FRAMED-PROTOCOL aus und klicken Sie auf HINZUFÜGEN. 5. Wählen Sie aus der Protokollliste PPP aus. Klicken Sie auf HINZUFÜGEN. 6. Klicken Sie auf OK, um die Bedingung hinzuzufügen und anschließend auf WEITER. 7. Wählen Sie die Option RAS-BERECHTIGUNG ERTEILEN. Klicken Sie auf WEITER. 8. Klicken Sie auf BEENDEN, um die Erstellung des Profils fertig zu stellen. 3.2
Konfigurieren Sie eine Leerlauf-Zeitüberschreitung für Routing und RAS- Server
Diese Übung führt Sie durch die einzelnen Schritte einer Profilveränderung. Eine Leerlauf-Zeitüberschreitung für eine RAS-Richtlinie wird hinzugefügt. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie das Bedienungsfeld der ROUTING UND RAS-Konsole. 2. Klicken Sie mit der rechten Maustaste auf die Exercise 1-RAS-Richtlinie, die Sie in der vorherigen Übung erstellt haben. Wählen Sie aus dem Kontextmenü EIGENSCHAFTEN aus. 3. Klicken Sie auf die Schaltfläche PROFIL BEARBEITEN. 4. Gehen Sie zur Registerkarte EINWÄHLBESCHRÄNKUNGEN. Wählen Sie die Option VERBINDUNG TRENNEN BEI EINER LEERLAUFZEIT VON aus und setzen Sie den Zeitlimitwert auf 30 Minuten. 5. Klicken Sie auf OK, um die Veränderungen durchzuführen. Klicken Sie nochmals auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren.
229
230
Kapitel 3
3.3
RAS
Mit der Leistungskonsole Routing und RAS überwachen
Die Übung führt Sie durch die einzelnen Schritte. Der Leistungskonsole wird ein Indikator hinzugefügt, damit Sie sehen können, wie viele Fehler in Routing- und RAS-Anschlüssen auftreten. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie die Leistungskonsole. 2. Wählen Sie SYSTEMMONITOR aus. 3. Klicken Sie auf die Schaltfläche HINZUFÜGEN (+), um den Indikator hinzuzufügen. 4. Wählen Sie das Objekt RAS insgesamt aus. 5. Wählen Sie den Indikator FEHLER ZUFÜGEN.
INSGESAMT
aus und klicken Sie auf HIN-
6. Klicken Sie auf SCHLIESSEN. Wiederholungsfragen 1. Sie sind der Netzwerkadministrator bei Exponent Mathematicians und man hat Sie damit beauftragt, die Authentifizierungsprotokolle, die der Routingund RAS-Server verwendet, zu überprüfen. Welche Protokolle stehen Ihnen zur Verfügung, und wie funktionieren Sie? 2. Sie sind der Administrator des Routing- und RAS-Servers der Get Stuffed Taxidermists-Kette. Sie haben Anwender, die das Windows-2000-VPN sowohl mit IPSec als auch mit PPTP-Protokollen verwenden. Was sind diese Protokolle und was ist der Industriestandard? 3. Sie sind der Windows-2000-Administrator von Bug-B-Gone Kammerjäger. Alle Ihre Anwender verbinden sich über 56K-Modems mit dem Netzwerk, und Sie beklagen sich über die Leistung. Um den Zugriff zu ermöglichen, verwenden Sie den Routing- und RAS-Dienst mit einer Modemfarm und Windows 2000 Professional. Nach der Leistungsüberwachung mit Windows 2000 stellen Sie fest, dass kein Routing- und RAS-Problem vorliegt. Das Problem scheint also die Brandbreitenbegrenzung zu sein. Was sollten Sie tun? 4. Sie haben soeben Routing und RAS installiert, um Ihren 100 Anwendern VPN-Dienste zu bieten. Sie schaffen es, die ersten 5 Anwender zu verbinden, dann aber verweigert der Server den Zugriff. Was ist das Problem und wie beseitigen Sie es?
Lernzielkontrolle
5. Sie sind LAN-Administrator bei Think About IT Consulting Services Company. Sie haben gerade Ihren ersten Routing- und RAS-Server installiert und Verbindung der Anwender funktioniert einwandfrei. Sie wollen nun feststellen, wie viel zusätzlicher Verkehr durch weitere Anwender im Netzwerk hinzugekommen ist. Wie können Sie dies prüfen? Prüfungsfragen 1. Welcher Teil von Routing- und RAS-Dienst kann verwendet werden, um eine gebündelte Bandbreite bei multiplen Modemverbindungen zu erreichen? A. Multinet B. Multilink C. X.25 D. VPN 2. Sie sind der Systemadministrator bei Phil’s Phillup Stations, einer Tankstellenkette. Als Mitglied des Netzwerks unterhalten Sie einen Windows-2000Routing- und RAS-Server, um RAS als Teil von VPN zu liefern. Welches VPN-Protokoll wird der Server unterstützen? A. PPTP B. IPSec C. PPP D. EAP E. L2TP 3. Sie sind der Netzwerkadministrator der OUI Find-em Detektivagentur. Sie haben Angestellte, die sich aus allen Ecken des Landes mit Ihrem Windows2000-Routing- und RAS-Server verbinden. Der Großteil der Anwender arbeitet von zu Hause aus. Wie können Sie die Gebühren für die Anwender, unter Verwendung von Routing und RAS, so niedrig wie möglich halten? A. Den RAS-Clientcomputer so konfigurieren, dass eine Verbindung nur bei Bedarf aufgebaut wird. B. IPSec verwenden, um über einen Tunnel im öffentlichem Telekommunikationsnetzwerk zum RAS-Server zu gelangen. Die Gebühren können somit umgangen werden. C. Jedem Anwender eine eigene 0800-Nummer verschaffen.
231
232
Kapitel 3
RAS
D. Die Routing- und RAS-Serversicherheit so einstellen, dass Rückruf verwendet wird. 4. Sie sind LAN-Administrator bei Little Faith Enterprises Meat Packing. Als Verantwortlicher für die Fehlerbehebung bei einem Support-Problem müssen Sie überprüfen, ob ein Anwender mit dem Routing und RAS-Server verbunden ist. Wie können Sie feststellen, ob der Anwender angemeldet ist? A. Öffnen Sie den Systemmonitor und klicken Sie die Schaltfläche LEISTUNGSINDIKATOR HINZUFÜGEN an. Wählen Sie im RAS-Objekt den Indikator VERBUNDENE ANWENDER. Klicken Sie auf OK und überprüfen Sie die angezeigte Statistik. B. Öffnen Sie die Leistungskonsole. Klicken Sie auf das Icon Indikator Hinzufügen. Wählen Sie das RAS-Objekt und anschließend den Indikator Verbundene Anwender. Klicken Sie auf OK und überprüfen Sie die angezeigte Statistik. C. Öffnen Sie die ROUTING UND RAS-Konsole. Klicken Sie mit der rechten Maustaste den RAS-Server an und wählen Sie VERBUNDENE ANWENDER. Überprüfen Sie den Anwender im Dialogfenster VERBUNDENE ANWENDER. D. Öffnen Sie die ROUTING UND RAS-Konsole. Wählen Sie im Server der Strukturansicht RAS-CLIENTS. Überprüfen Sie im Dialogfenster RASCLIENTS die Anwender. 5. Sie müssen eine strikte Authentifizierung für Ihren Windows-2000-Routingund RAS-Server konfigurieren. Welche(s) Protokoll(e) sollten Sie verwenden? A. IPSec B. PAP C. EAP D. CHAP E. MS-CHAP 6. Sie verwalten einen Windows-2000-Routing- und RAS-Server, der für RASEinwahl verwendet wird. Ein Endanwender versucht, eine Verbindung zum Routing- und RAS-Server herzustellen, bekommt aber die Meldung, dass er kein berechtigter Anwender ist. Von seinem Büro aus kann er sich aber in das Netzwerk einloggen und sich über LAN anmelden. Was könnte das Problem sein?
Lernzielkontrolle
A. Der Anwender verwendet nicht das richtige Passwort. B. Der Anwender verwendet keine ID, die ihn berechtigt, den Einwahl-Server zu benutzen. C. Er versucht sein LAN-Konto anstelle seines Einwähl-Kontos zu verwenden. D. Eines der Modems an dem Server funktioniert vermutlich nicht mehr. 7. Sie verwalten einen Windows-2000-Routing- und RAS-Server, der für die RAS-Einwahl verwendet wird. Ein Endanwender versucht, eine Verbindung zum Routing- und RAS-Server herzustellen, bekommt aber die Meldung, dass er kein berechtigter Anwender ist. Von seinem Büro aus kann er sich aber in das Netzwerk einloggen und sich über LAN anmelden. Nachdem Sie etwas nachgeforscht haben, stellten Sie fest, dass die Anwender-ID nicht für RAS berechtigt war. Wie können Sie das Problem beseitigen? A. Öffnen Sie mit der RAS-Konsole die Anwender-ID. In der Registerkarte REMOTE ACCESS / RAS können Sie dem Anwender die Berechtigung erteilen. B. Erstellen Sie mit der RAS-Konsole eine RAS-Richtlinie. Verwenden Sie die Windows-Gruppen-Kriterien und fügen Sie den Anwender einer autorisierten Gruppe hinzu. C. Erstellen Sie mit RAS ein RAS-Profil. Verwenden Sie die WindowsGruppen-Kriterien und fügen Sie den Anwender einer autorisierten Gruppe hinzu. D. Erstellen Sie mit RAS ein RAS-Profil. Konfigurieren Sie dieses Profil in RAS-BERECHTIGUNG ERTEILEN. 8. Sie sind Netzwerkadministrator bei Runaway Travel und haben gerade einen neuen Windows-2000-Routing- und RAS-Server installiert, um einen alten RAS-Hardwareserver zu ersetzen. Ihre Anwender benutzen eine PPP-Wahlhilfe-Software eines Drittherstellers, die für das alte System verwendet wurde. Welches ist das sicherste Authentifizierungsprotokoll, das für diese Verbindung verwendet werden kann? A. PAP B. EAP C. CHAP D. IPSec
233
234
Kapitel 3
RAS
9. Sie sind Netzwerkadministrator bei Runaway Travel und haben gerade einen neuen Windows 2000 Routing-und RAS-Server installiert, um einen alten RAS-Hardwareserver zu ersetzen. Ihre Anwender benutzen die Windows2000-Professional-Wahlhilfe. Was ist das sicherste, Ihnen zur Verfügung stehende Protokoll? A. CHAP B. MS-CHAP C. PPP D. IPSec 10. Sie sind der Netzwerkadministrator bei Runaway Travel und haben gerade einen neuen Windows 2000 Routing- und RAS-Server installiert, um einen alten RAS-Hardwareserver zu ersetzen. Ihre Anwender verwenden eine Reihe von Clientcomputer-Betriebssystemen und PPP-Wahlhilfen. Wie können Sie garantieren, dass alle Ihre Anwender sicheren Zugriff haben? A. MS-CHAP und MS-CHAPv2 im Einwählprofil dieser Anwender auswählen. B. Verschlüsselte Authentifizierung (CHAP) im Einwählprofil dieser Anwender auswählen. C. IPSec in Verbindung mit RAS verwenden. D. Allen Remote-PPP-Clientcomputern und allen anderen Protokollen die Verbindung ohne Authentifizierungsmethoden genehmigen. 11. Sie sind Netzwerkadministrator bei Go to Philly Bus Company und haben den Auftrag, eine Hardware-Lösung durch einen Windows-2000-Routingund RAS-Server zu ersetzen. Wie installieren und konfigurieren Sie den Dienst? A. RAS-Dienst, unter Verwendung des Netzwerks und des Einwahl-Verbindungs-Assistenten, installieren. B. RAS unter Verwendung des Netzwerks und Einwahl-Verbindungs-Assistenten installieren. C. Den RAS-Dienst verwenden, um den Dienst zu konfigurieren. Konfigurieren Sie diesen Dienst mit Windows-2000-Administration. D. Die Programme HINZUFÜGEN/ENTFERNEN verwenden, um den Routingund RAS-Dienst dem Server hinzu zu fügen. Die Anwendung mit Routing- und RAS-Dienst konfigurieren.
Lernzielkontrolle
12. Sie sind Systemadministrator bei Blue Cap Haberdashery, und haben einen Windows-2000-Routing- und RAS-Server, der als Einwahl-Server verwendet wird. Sie haben 15 Modems am Server, damit Anwender sich einwählen können. Zehn Anwender haben sich eingewählt und können sich mit dem Netzwerk verbinden. Der elfte Anwender kann sich einwählen, aber nichts im Netzwerk erreichen. Was könnte das Problem sein? A. Der Server ist nur für 10 Anwender lizenziert. B. Der DHCP-Server war heruntergefahren, als der elfte Anwender versuchte, sich einzuwählen. C. Der Anwender hat kein kompatibles Modem. D. Das IPSec-Passwort des Anwenders ist falsch. 13. Sie sind Systemadministrator bei Blue Cap Haberdashery, und haben einen Windows-2000-Routing- und RAS-Server, der als Einwahl-Server verwendet wird. Sie haben 15 Modems am Server, damit Anwender sich einwählen können. Anwender können sich zwar problemlos verbinden, aber keine Systeme unter DNS-Namen erreichen. Die Anwender können sich aber verbinden, indem sie die IP-Adresse des Systems verwenden. Was könnte das Problem sein? A. Der DNS-Dienst läuft nicht auf dem Routing- und RAS-Server. B. Der WINS-Dienst läuft nicht auf dem Routing- und RAS-Server. C. Der Netzwerk-DHCP-Server hat eine schlechte DNS-Konfiguration. D. Der Netzwerk-WINS-Server hat eine schlechte DNS-Konfiguration. 14. Sie sind Sicherheitsadministrator bei Barbs House of Pancakes. Sie wurden beauftragt, Smart Cards für RAS-Authentifizierung, unter Verwendung des Windows-2000-Routing- und RAS-Dienstes, einzuführen. Was brauchen Sie? A. IPSec B. PPTP C. MS-CHAPv2 D. EAP
235
236
Kapitel 3
RAS
15. Sie sind Netzwerkadministrator bei Phil’Em Up Gas Stations. Sie haben einen Windows-2000-Routing- und RAS-Server installiert, um mit RAS auf das Firmennetzwerk zugreifen zu können. Sie wollen sehen, wie der Server genutzt wird. Was ist der einfachste Weg, dies herauszufinden? A. Starten Sie den Performance-Monitor, um die Auslastung aufzuzeichnen und die Leistungsprotokolle dieser Information überprüfen. B. Die Leistungskonsole verwenden, um die Auslastung aufzuzeichnen und die Leistungsprotokolle dieser Information überprüfen. C. In der Registry die Protokollierung aktivieren. Die Protokolldatei dieser Information überprüfen. D. In RAS-Servereigenschaften auf die Registerkarte EREIGNISPROTOKOLLIERUNG gehen. Überprüfen Sie das Anwendungsprotokoll und verwenden Sie hierfür die Anwendung EREIGNISANZEIGE, um die Statistiken angezeigt zu bekommen. 16. Sie sind Netzwerkadministrator bei Ye of Little Faith Advertising, und Sie haben ein Windows-2000-Netzwerk bestehend aus sechs Windows-2000Servern und 300 Windows-2000-Professional-Clientcomputern. Sie haben 30 Modems an den Backup-Domänencontroller hinzugefügt und müssen den Server für eingehende Verbindungen installieren und konfigurieren. Ein zweites Ziel wäre, VPN-Dienste zu installieren und zu konfigurieren. Sie gehen wie folgt vor: Sie öffnen die Netzwerk- und Einwahl-Eigenschaften und doppelklicken auf die Schaltfläche NEUE VERBINDUNG HERSTELLEN. Der Assistent führt Sie durch den Installationsprozess, und um die Installation fertig zu stellen, wählen Sie VIRTUELLE PRIVATE VERBINDUNGEN ZULASSEN. Hiermit wird sichergestellt, dass Ihr VPN auch funktioniert. Diese Lösung: A. Ist funktional und erfüllt die erstrangigen und zweitrangigen Zielsetzungen. B. Ist funktional, aber erfüllt nur die erste Zielsetzung. C. Ist funktional, erfüllt aber nur die zweite Zielsetzung. D. Ist nicht funktional.
Lernzielkontrolle
17. Sie sind Systemadministrator bei Run to the Hills Travel. Sie haben einen Windows 2000 Routing-und RAS-Server konfiguriert, um Mehrfachverbindungen zu verwenden. Sie wollen den Server so konfigurieren, dass er eine Verbindung automatisch trennt, wenn die Leitung nicht verwendet wird. Welches Protokoll können Sie verwenden, um dies zu erreichen? A. PPP B. BAP C. PPTP D. EAP 18. Sie sind Internetadministrator und verwenden einen Windows-2000-Server als VPN-Server. Sie müssen zusätzliche IPSec-VPN-Anschlüsse konfigurieren. Wie erreichen Sie das? A. Konfigurieren Sie die zusätzlichen Anschlüsse mit dem VPN-Assistenten. B. Gehen Sie auf NETZWERK UND DFÜ-VERBINDUNGEN und doppelklicken Sie auf NEUE VERBINDUNG. Wenn der ASSISTENT FÜR NEUE VERBINDUNG startet, wählen Sie die neue Einwahl-Verbindung aus und befolgen Sie die Anweisungen.. C. Bearbeiten Sie in der ROUTING UND RAS-Konsole die Eigenschaften der L2TP-Anschlüsse und fügen Sie die zusätzlichen Verbindungen hinzu. D. Bearbeiten Sie in der ROUTING UND RAS-Konsole die Eigenschaften der IPSec-Anschlüsse und fügen Sie die zusätzlichen Anschlüsse hinzu. 19. Sie sind der Sicherheitsadministrator einer kleinen Polizeitruppe. Das Netzwerk basiert auf Windows-2000-Server, und Sie haben gerade Smart Cards für die ganze Truppe gekauft. Sie möchten deren Vorteile gerne für RAS einsetzen, aber Sie sind sich nicht sicher, wie Sie Routing und RAS konfigurieren sollen. Sie wissen, dass Sie das EAP-Protokoll brauchen. Wo konfigurieren Sie dieses Protokoll? A. In der RAS-Richtlinie. B. In den Modem-Pooleigenschaften. C. Unter ROUTING UND RAS-SERVEREIGENSCHAFTEN in der Registerkarte SICHERHEIT. D. Im Einwahl-Profil der betroffenen Richtlinie.
237
238
Kapitel 3
RAS
20. Was ist das stärkste von Windows unterstützte Verschlüsselungsprotokoll? A. DES B. IPSec C. MS-CHAPv2 D. 3DES 21. Sie sind Sicherheitsadministrator bei Jolly Snowmen Ice Cream. Ihr Betriebsleiter hat Sie gebeten, die Verwendung von Verschlüsselungen auf dem Windows 2000-Server zu erklären. Sie wissen, dass Sie DES verwenden. Welche Dienste liefert DES für Ihre Installation? A. DES verschlüsselt Einwahlverkehr über die Telefonleitungen. B. DES verschlüsselt L2TP-VPN-Verkehr. C. DES liefert verschlüsselte Authentifizierungen. D. DES liefert verschlüsselte Adressinformation in Verbindung mit PPTP. Antworten zu den Wiederholungsfragen 1. Die verfügbaren Authentifizierungsprotokolle enthalten Folgendes: 씰
EAP-TLS. Das Extensible Authentication Protocol (EAP) ist eine Erweiterung des Point-to-Point Protocol (PPP). EAP liefert einen Standardmechanismus für die Unterstützung von zusätzlichen Authentifizierungsmethoden innerhalb von PPP, so wie Smart Cards, einmalige Passwörter, und Zertifikate. EAP ist für ein sicheres Windows-2000-VPN bedeutend, da es, anstatt sich auf die Anwender-ID oder traditionelle Passwort-Schemata zu verlassen, sehr strenge Authentifizierungsmethoden (z.B. X.509Zertifikate) hat.
씰
CHAP. Das Challenge Handshake Authentication Protocol (CHAP) ist eine verschlüsselte Authentifizierung, die MD5 (Message Digest 5) verwendet, ein von der Industrie standardisiertes Hashing-Schema. CHAP verwendet Challenge-Response mit einwege MD5 Hashing bei der Response. Somit können Sie den Server authentifizieren, ohne Ihr Passwort tatsächlich über das Netzwerk zu senden. Da dies eine von der Industrie standardisierte Authentifizierungsmethode ist, können Sie sich mit Windows 2000 mit fast allen PPP-Servern von dritt Herstellern verbinden.
Lernzielkontrolle
씰
MS-CHAP. Microsoft konzipierte das Microsoft Challenge Handshake Protocol (MS-CHAP), eine Erweiterung von CHAP, um entfernte Windows-Arbeitsstationen zu authentifizieren, wobei die Funktionalität des Protokolls erhöht wurde, indem die Verschlüsselungs- und Umwandlungs- Algorithmen von Windows-Netzwerken integriert wurden. Wie CHAP verwendet auch MS-CHAP einen Challenge-Response-Mechanismus mit Einwegeverschlüsselung für die Response. Obwohl sich MSCHAP weitgehend mit CHAP deckt, ist das MS-CHAP-Antwortpaket in einem speziell für Computer von Windows-Betriebssystemen entworfenen Format. Eine neue Version von Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2) ist ebenfalls verfügbar. Dieses neue Protokoll liefert gemeinsame Authentifizierung, stärkere ursprüngliche Datenverschlüsselungs-Schlüssel und unterschiedliche Verschlüsselungen für das Versenden und Empfangen.
씰
SPAP. Shiva Password Authentication Protocol (SPAP) wird spezifisch verwendet, damit Shiva-Clientcomputer sich mit einem Windows-2000Server, Windows-2000-Clientcomputer sich mit einem Shiva-Server verbinden können.
씰
PAP. Password Authentication Protocol (PAP) verwendet unverschlüsselte (normaler Text) Passwörter, um Anwender zu authentifizieren, und gilt als das unsicherste verfügbare Authentifizierungsprotokoll. PAP wird normalerweise als letzter Ausweg für die Authentifizierung verwendet – nämlich dann, wenn eine sicherere Form der Authentifizierung nicht verfügbar ist. Vielleicht müssen Sie dieses Protokoll verwenden, wenn Sie zu einem Nicht-Windows-Server eine Verbindung herstellen.
2. Die Unterschiede zwischen IPSec und PPTP zu verstehen ist wichtig. Folgende Aufzählung zeigt die Unterschiede zwischen den beiden Protokollen auf. 씰
IPSec (IP Security Protocol). IPSec ist ein Paket von verschlüsselten Schutzdiensten und Sicherheitsprotokollen, die für die Erstellung einer sicheren VPN-Verbindung verwendet werden. IPSec liefert maschinelle Authentifizierung, wie auch Datenverschlüsselung, für auf L2TP basierende (Layer 2 Tunneling Protocol) VPN-Verbindungen. Im Gegensatz zu anderen auf IPSec basierenden VPN, verwendet Microsoft System das L2TP-Protokoll, um den Anwendernamen, Passwörter und Daten zu verschlüsseln, wobei IPSec verwendet wird, um die sichere Verbindung zwischen Ihrem Computer und dem RAS- Tunnelserver herzustellen. Jegliche Authentifizierung unter Microsoft IPSec-VPN geschieht durch L2TPVerbindungen. Diese verwenden alle standardmäßig PPP-basierte Authentifizierungsprotokolle, um den Anwender zu authentifizieren, nachdem eine sichere IPSec-Kommunikation hergestellt wurde.
239
240
Kapitel 3
씰
RAS
PPTP (Point-to-Point Tunneling Protocol). PPTP ist Microsofts altes Protokoll, um VPN zu unterstützen. Dieses Protokoll wurde gemeinsam von Microsoft Corporation, U.S. Robotics und verschiedenen RASAnbieterfirmen entwickelt, und ist auch bekannt unter dem Begriff PPTPForum. Das Protokoll in seiner ursprünglichen Form wies allerdings einige Sicherheitsmängel auf und wurde deshalb von Microsoft noch einmal überarbeitet. Trotz dieser Überarbeitung fand PPTP bei den Personen, die sich mit Sicherheit beschäftigen, keinen großen Anklang. Obwohl eine Anzahl von VPN-Servern PPTP noch unterstützt, wurde es rapide von einem weithin angenommenen IPSec-Protokoll überholt.
3. Der einzige Weg, um eine zusätzliche Bandbreite anzubieten, ist es, abgesehen von einem anderen Zugangsmedium, Multilink-Verbindungen zu aktivieren und den Anwendern ein zusätzliches Modem und eine Modemleitung am entfernten Ende zur Verfügung zu stellen. Somit können die Anwender die Bandbreite der zwei verschiedenen Verbindungen bündeln. 4. Standardmäßig ist Routing und RAS mit fünf Verbindungen für VPN konfiguriert. Sie müssen die Routing und RAS-Anwendung öffnen und in die Anschlusseigenschaften gehen. Fügen Sie zusätzliche Anschlüsse je nach Bedarf hinzu. 5. Um im Server die Informationen über die Bandbreite zu ermitteln, müssen Sie die Leistungskonsole verwenden. Gehen Sie zum RAS-Insgesamt-Objekt und fügen Sie die Indikatoren Bytes empfangen und Bytes gesendet hinzu. Addieren Sie die beiden Indikatoren, um die Gesamtmenge des zusätzlichen Verkehrs zu bekommen. Antworten zu den Prüfungsfragen 1. B. Der richtige Begriff für dieses Merkmal ist Multilink (Mehrfachverbindungen). Einzelheiten hierzu finden Sie unter »Multilink-Verbindungen konfigurieren«. 2. A, B, E. Windows 2000 Routing und RAS unterstützt folgende VPN-Protokolle: IPSec, PPTP und L2TP. Einzelheiten hierzu finden Sie unter »Ein Virtuelles Privates Netzwerk (VPN) konfigurieren«. 3. D. Wenn Sie den Routing- und RAS-Server konfigurieren, um Rückruf zu verwenden, dann gehen alle auf die ursprüngliche Verbindung entfallenden Gebühren auf das Konto der Firma und nicht auf die Rechnung des Anwenders. Dies ist ein alter Trick, um Kosten zu senken und erhöht die normalerweise für ein Unternehmen preiswerteren Gebühren für Ferngespräche. Einzelheiten hierzu finden Sie unter »Konfigurieren von Fernzugriff Profilen«.
Lernzielkontrolle
4. D. Diese Information wird im rechten Anzeigebereich der Routing und RASKonsole angezeigt. Klicken Sie hierfür den Eintrag für den RAS-Client an. Einzelheiten hierzu finden Sie unter »Authentifizierungsprotokolle konfigurieren«. 5. C, D, E. IPSec ist kein Authentifizierungsprotokoll. PAP sendet die Authentifizierungsinformation als klaren Text. EAP, CHAP und MS-CHAP sind alles sichere Authentifizierungsprotokolle. Einzelheiten hierzu finden Sie unter »Erstellen von RAS-Richtlinien«. 6. B. Der Anwender verwendet keine ID, die ihn berechtigt, den Einwahl-Server zu verwenden. Sie müssen in einer RAS-Richtlinie erst autorisiert sein, bevor Sie sich einwählen können. Einzelheiten hierzu finden Sie unter »Erstellen von RAS-Richtlinien«. 7. B. Mit der Routing- und RAS-Konsole können Sie eine RAS-Richtlinie erstellen. Verwenden Sie die Windows-Gruppenkriterien und ordnen Sie die Anwender einer autorisierten Gruppe zu. Einzelheiten hierzu finden Sie unter »Erstellen von RAS-Richtlinien«. 8. C. Das Beste, was Sie an Authentifizierung mit der Wahlhilfe eines Drittherstellers erreichen können, ist das CHAP-Protokoll. CHAP ist ein von der Industrie standardisiertes Protokoll, das von fast allen PPP-Wahlhilfen unterstützt wird. PAP würde ebenfalls funktionieren, bietet aber überhaupt keine Sicherheit. IPSec ist kein Authentifizierungsprotokoll. EAP ist ein Protokoll, das für Geräte wie Smart Cards verwendet wird. Einzelheiten hierzu finden Sie unter »Authentifizierungsprotokolle konfigurieren«. 9. B. Wenn Sie zwischen Windows-PPP-Clientcomputern kommunizieren, dann ist MS-CHAP das sicherste der aufgelisteten Protokolle. Einzelheiten hierzu finden Sie unter »Authentifizierungsprotokolle konfigurieren«. 10. D. Hier geht es darum, zu verstehen, dass die »Verbindung ohne Aushandlung einer Authentifizierungsmethode gestatten« der kleinste gemeinsame Nenner ist. Das ist der einzige Weg, um sicherzustellen, dass alle Ihre Anwender mit Ihrer RAS-Lösung sich an das Netzwerk anschließen können. Anwender können aber immer noch sicherere Verbindungen herstellen. Einzelheiten hierzu finden Sie unter »Authentifizierungsprotokolle konfigurieren«. 11. C. Der Routing und RAS-Dienst wird mit dem Betriebssystem installiert. Sie werden die Routing und RAS-Konsole brauchen, um sicherzustellen, dass alles korrekt konfiguriert ist. Einzelheiten hierzu finden Sie unter »Einwahlverbindungen konfigurieren«.
241
242
Kapitel 3
RAS
12. B. Der Routing- und RAS-Dienst wird 10 Adressen vom Netzwerk-DHCPServer abfragen wenn er startet. Wenn diese 10 Adressen ausgestellt wurden, wird RAS 10 weitere Adressen abfragen. Ist der DHCP-Server nach der Ausstellung der 10 ersten Adressen heruntergefahren worden, können sich Anwender zwar noch in das Netzwerk einloggen, aber nicht mehr in das Netzwerk gelangen. Der Grund hierfür ist, dass der Routing- und RAS-Dienst keine zusätzlichen 10 IP-Adressen vom DHCP-Server abfragen konnte. Einzelheiten hierzu finden Sie unter »Routing und RAS für DHCP-Integration konfigurieren«. 13. C. Da der Routing- und RAS-Server seine DHCP-Information vom Netzwerk DHCP-Server bekommt, könnte eine schlechte Konfiguration des DHCPServers das beschriebene Problem verursachen. Einzelheiten hierzu finden Sie unter »Routing und RAS für DHCP-Integration konfigurieren«. 14. D. EAP ist das Protokoll, das man braucht, um Smart Cards zu unterstützen. Einzelheiten hierzu finden Sie unter »Authentifizierungsprotokolle konfigurieren«. 15. D. In der letzten Routing- und RAS-Version kann man sich über Servereigenschaften anmelden. Die Anmeldeergebnisse werden in der Ereignisanzeige angezeigt. Einzelheiten hierzu finden Sie unter »Verwalten und Überwachen von RAS«. 16. D. Diese Lösung wird nicht funktionieren, da Sie die Routing- und RASKonsole verwenden müssen, um RAS auf einem Domänencontroller zu konfigurieren. Einzelheiten hierzu finden Sie unter »Einwähl-Verbindungen konfigurieren«. 17. B. Für die Ausführung dieser Funktion wird BAP (Bandwidth Access Protocol) in Verbindung mit Multilink verwendet. Einzelheiten hierzu finden Sie unter »Multilink-Verbindungen konfigurieren«. 18. C. Sie können die Eigenschaften des L2TP-Anschlusses, die installiert und konfiguriert werden, wenn Routing und RAS installiert wird, einfach bearbeiten. Da IPSec laut Standardeinstellung L2TP als Transportmittel in Windows 2000 verwendet, sind die Anschlüsse L2TP- und keine IPSec-Anschlüsse. Einzelheiten hierzu finden Sie unter »Virtuelles Privates Netzwerk (VPN) konfigurieren«. 19. D. Die Authentifizierungsprotokolle werden in den Einwahlprofilen konfiguriert. Obwohl Antwort A fast richtig ist, wird es nicht als Teil der Richtlinie konfiguriert, sondern ist Bestandteil des Profils. Einzelheiten hierzu finden Sie unter »Ein RAS-Profil konfigurieren«.
Lernzielkontrolle
20. D. 3DES oder Triple-DES ist das strengste Verschlüsselungsprotokoll, das von Windows 2000 verwendet wird. Einzelheiten hierzu finden Sie unter »Verschlüsselungsprotokolle konfigurieren«. 21. B. DES wird in Verbindung mit IPSec verwendet. Da IPSec zusammen mit L2TP gebraucht wird, ist B die korrekte Antwort. Einzelheiten hierzu finden Sie unter »Verschlüsselungsprotokolle konfigurieren«. Hinweise zu weiterführender Literatur und Quellen 1. Boswell, William. Inside Windows 2000 Server. Indianapolis, IN: New Riders Publishing, 2000. 2. Siyan, Karanjit S. Windows NT TCP/IP. Indianapolis, IN: New Riders Publishing, 1998.
243
4
Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung Zielsetzungen
Microsoft legt die Ziele für das »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von Netzwerkprotokollen in einer Windows-2000Netzwerk-Infrastruktur« wie folgt fest: Installieren, Konfigurieren und Fehlerbeseitigung bei Netzwerkprotokollen 씰
Installieren und konfigurieren Sie TPC/IP.
씰
Installieren Sie das NWLink-Protokoll.
씰
Konfigurieren Sie Netzwerkverbindungen.
Um effektiv zu funktionieren, benötigt ein Windows-2000-Server natürlich Verbindungen zu anderen Computern und Geräten in einem Netzwerk. Für diese Prüfung müssen Sie die Grundlagen der Protokolle TCP/IP (Transmission Control Protocol/ Internet Protocol) und NWLink beherrschen. Zudem ist eine umfassende Kenntnis der Netzwerkverbindungen wichtig. Netzwerkverbindungen bieten einen Weg, ein Protokoll in einer bestimmten, festgelegten Reihenfolge mit einer Netzwerkkarte oder einem Dienst zu »verbinden«.
246
Kapitel 4
Netzwerkprotokolle
Konfigurieren Sie TCP/IP-Paketfilter 씰
Als Windows-2000-Administrator wollen Sie sicherlich kontrollieren, wie Pakete in Ihr Netzwerk ein- und ausgehen können. Der richtige Netzwerkaufbau liefert zusammen mit TCP/IP-Paketfiltern die Basis für eine gute Netzwerksicherheit.
Konfigurieren Sie die Sicherheit der Netzwerkprotokolle und beseitigen Sie Fehler dabei 씰
Da Netzwerke immer komplizierter werden, immer mehr mit der Außenwelt verbunden sind und auf die Vernetzung zum Wide-Area-Network (WAN) angewiesen sind, werden mehr Hintereingänge geschaffen, die es gilt, wieder zu verschließen. Wir werden näher behandeln, wie Windows 2000 grundlegende Protokollsicherheit gewährleistet, wie Sie Ihren Sicherheitsplan implementieren und Fehler beseitigen können.
Verwalten und Überwachen des Netzwerkverkehrs 씰
Windows 2000 beinhaltet einige gut geeignete Tools zum Überwachen, Verwalten und Fehlerbeseitigen im Netzwerkverkehr. Für die Prüfung benötigen Sie eine umfassende Kenntnis über diese Tools. Wir werden die Leistungsfähigkeit dieser Tools genauer betrachten. Außerdem werden wir Möglichkeiten besprechen, wie Sie Pläne implementieren können, um den gesamten Netzwerkverkehr einzuschränken und die Sicherheit zu erhöhen.
Konfigurieren und untersuchen Sie Internet Protocol Security (IPSec) auf Fehler 씰
Aktivieren Sie IPSec.
씰
Konfigurieren Sie IPSec für den Transportmodus.
씰
Konfigurieren Sie IPSec für den Tunnelmodus.
씰
Verwenden Sie IPSec-Richtlinien und Regeln.
씰
Verwalten und überwachen Sie IPSec.
씰
Als Windows-2000-Administrator sollten Sie mit IPSec vertraut sein, um Daten von Netzwerk zu Netzwerk zu sichern. Wir werden hier IPSec für verschiedene Netzwerkumgebungen untersuchen, konfigurieren und auf Fehler untersuchen. Sie müssen die IPSec-Richtlinien und Regeln genau kennen sowie den IPSec-Transportmodus und Tunnelingmodus konfigurieren und IPSec überwachen können.
4.1 Einleitung
Lernziele 씰
Windows 2000 Networking umfasst zahlreiche Bereiche. Beim Studium der Netzwerkprotokollsicherheit sollten Sie schrittweise vorgehen. Lernen Sie immer nur einen bestimmten Teil, und kombinieren Sie alle Teile dann so miteinander, dass sie zu verschiedenen Netzwerklösungen passen. Die Schritt-für-Schritt-Übungen geben Ihnen nicht nur praktische Erfahrung, sondern bieten auch die Möglichkeit zur Wiederholung.
씰
Sie müssen sichergehen, dass Sie die Grundlagen von TCP/IP verstehen. Windows 2000 baut stark auf TCP/IP auf. Deshalb wird diese Prüfung mit Sicherheit auf die schwierigeren Bereiche des TCP/IP und dessen Funktion in Windows 2000 ausgelegt sein. Nehmen Sie sich Zeit, um die Grundlagen des IP zu wiederholen.
씰
Scheuen Sie Praxiserfahrungen nicht. Die Schritt-für-Schritt-Anleitungen in diesem Buch bieten zahlreiche Übungsmöglichkeiten. Sie sollten aber über diese Beispiele hinaus auch eigene Praxisübungen machen. Wenn sich Ihnen die Möglichkeit dazu bietet, sollten Sie jedes der Themen in der Praxis ausprobieren, um zu sehen, wie alles funktioniert und warum Sie die verschiedenen Methoden wo und wann einsetzen sollten.
4.1
Einleitung
Der Aufbau Ihres Netzes sollte die geografische Position Ihres Servers und die Topologie Ihres Netzwerkes berücksichtigen – einschließlich Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI) und so weiter und so fort. Zudem müssen natürlich auch die Protokolle berücksichtigt werden, die Ihr Netzwerk verwenden wird, um mit Servern, Workstations und Druckern zu kommunizieren. In diesem Kapitel gehen wir auf die TCP/IP- und NWLink-Protokolle ein, die mit IPX/SPX (Internetwork Packet Exchange/Sequenced Packet Exchange) kompatibel sind. TCP/IP ist das beste Protokoll, wenn Ihr Netzwerk ständig wächst und mit anderen Netzwerken rund um die Welt in Verbindung steht. NWLink ist erforderlich, wenn Sie alte NetWare-Server umstellen oder in Windows 2000 integrieren. Wenn Ihr Netzwerk wächst, müssen Sie auch die Sicherheitsmaßnahmen und -erfordernisse überprüfen, die Protokolle zulassen. Dieses Kapitel konzentriert sich auf die Sicherheit, auf das Verwalten und das Überwachen von Protokollen.
247
248
Kapitel 4
4.2
Netzwerkprotokolle
Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
Gehen wir zunächst einmal auf die Sicherheitsmaßnahmen ein, die für TCP/IP und NWLink in einer Windows 2000- Umgebung erforderlich sind. Dazu müssen wir aber erst einmal etwas über die Protokolle wissen und verstehen, wie sie in Windows 2000 installiert und konfiguriert werden.
4.2.1
TCP/IP
Installieren, konfigurieren und untersuchen Sie Netzwerkprotokolle auf Fehler Was ist TCP/IP? TCP/IP ist eine Folge von Protokollen, mit deren Hilfe Hosts, Netzwerke und Betriebssysteme miteinander kommunizieren können. Wie Sie vielleicht wissen, wurde TCP/IP eigentlich für das amerikanische Verteidigungsministerium (Department of Defense, DOD) entwickelt, damit ihre Mainframes und Server lokal und über Distanzen miteinander kommunizieren konnten. Wie bereits in Kapitel 1, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von Domain Name Service (DNS) in einer Windows-2000-Netzwerk-Infrastruktur« erwähnt wurde, entwickelte sich TCP/IP aus einem Netzwerk, das von einem großen Forschungsinstitut gegründet wurde. Dieses Institut war die Advanced Research Project Agency (ARPA), die technische Forschungen für das DOD durchführte. Das so genannte ARPAnet, eine Sammlung von Netzwerken, verband Forschungszentren, wie z.B. Universitäten, untereinander und mit den Sites des DOD, wie etwa dem Pentagon. ARPAnet ging dem ursprünglichen Routing-Protokoll, dem Network Core Protocol (NCP) voraus. NCP setzte sich aus den TCP-Protokollen und den IP-Protokollen zusammen. Bei TCP und IP handelte es sich also eigentlich um zwei verschiedene Komponenten. Darauf gehen wir später noch ein. Der Grundaufbau von TCP/IP ist einfach, fehlertolerant, kann geroutet werden und ist (Gott sei Dank) verkaufsneutral. TCP/IP diente ursprünglich dazu, Mainframes zu verbinden. In den Achtzigerjahren jedoch entwickelten sich UNIX und Personalcomputer (PC) schnell. An der University of California in Berkley gab UNIX den Weg bei der Integration von TCP/IP zur Verbindung von PC vor. Macintosh verwendete dazu das AppleTalk-Protokoll, und Windows bemühte sich entweder mit NetBIOS Extended User Interface (NetBEUI) oder NWLink-IPX/SPX-kompatibler Transport um die Verbindung zu NetWare.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
Und dann kam es zum WorldWideWeb. Nun brauchte jeder TCP/IP, und zwar sofort. Die Technik des IP Mittels IP können Daten von einem Computer zu einem anderen Computer in einem lokalen Netzwerk oder über einen Router zu einem Computer in einem anderen Netzwerk übertragen werden. Wie funktioniert das? Wenn Sie z.B. in Chicago acht Computer besitzen, die mit dem gleichen Ethernet verbunden sind, so haben Sie ein Local Area Network (LAN). Es gibt kein Routing – und Routing ist auch nicht erforderlich. In einem Ethernet-Netzwerk erhält jeder Computer jedes Paket, egal ob das Paket an ihn adressiert ist oder nicht. Denn die physische Adresse (Media Access Control (MAC)) der Netzwerkkarte entscheidet, ob das Paket angenommen oder abgelehnt wird, und deshalb muss jede Maschine das Paket bis zu einem bestimmten Punkt erst einmal lesen. Abbildung 4.1 Ein WAN mit Computern in Chicago und Atlanta, die über Router verbunden sind.
Chicago
Router
Atlanta
Router
Computer A
Computer Z
Computer Y
Computer B
Computer C
Computer D
Computer X
Computer W
Wenn Computer A über TCP/IP ein Paket an Computer B im gleichen EthernetNetzwerk verschickt, muss das Paket nicht über einen Router laufen. Allerdings muss Computer A die IP-Adresse des Computers B kennen. IP löst diese IP-Adresse in die MAC-Adresse der Netzwerk-Adapterkarte in Computer B auf. Diese MACAdresse dient dann als Header des Paketes, das über das Netzwerk verschickt wird. Nur Computer B wird diese Header akzeptieren, da nur er die exakte MAC-Adresse auf seiner Netzwerkkarte besitzt.
249
250
Kapitel 4
Netzwerkprotokolle
Was aber geschieht, wenn Computer A in Chicago mit Computer Z in Atlanta in Verbindung treten möchte (Abbildung 4.1)? Hier haben wir nun ein WAN, also brauchen wir einen Router. Ein Router ist ein Gerät, das Pakete von Netzwerk zu Netzwerk und schließlich zu einem Host routet. Wenn nun also Computer A mit Computer Z kommunizieren will, werden die Pakete über den Router verschickt, da sich das Ziel nicht im lokalen Netzwerk befindet. Der Router versendet, basierend auf seiner Routing-Tabelle, das Paket an den nächsten Router, usw., bis das Paket schließlich im Zielnetzwerk und auf dem Zielcomputer ankommt. IP-Adressen Damit Routing erfolgen kann, muss der Netzwerkaufbau bestimmte Regeln befolgen. Die erste Regel bei TCP/IP lautet, dass Sie eine gültige IP-Adresse verwenden müssen. Bei einer IP-Adresse handelt es sich um eine Zahlenreihe, die einen Computer repräsentiert – z.B. die Zahlenreihe 131.108.116.55. Jede der Zahlen in dieser IP-Adresse ist ein Oktett, das aus 8 Bit besteht. Die ganze IP-Adresse enthält 32 Bit. Wenn Sie die Zahlenreihe 131.108.116.55 in der Form betrachten müssten, wie sie Ihr Computer in binärer Form sieht, so wäre dies die Zahl 10000011 1101100 1110100 00110111. IP-Adressen werden immer als Dezimalzahl angezeigt. Dieses Format wird auch als Dezimalschreibweise mit Punkten bezeichnet. Jeder Host, der an ein TCP/IP-Netzwerk angebunden werden soll, braucht seine eigene IP-Adresse. Eine Netzwerkadresse in Dezimalschreibweise mit Punkten ist für Menschen leichter zu lesen als eine Adresse in binärer Form. Die Adressen in Form von Dezimalzahlen mit Punkten sind jedoch für den Computer unpraktisch, da er die binäre Form verwendet. Es ist manchmal hilfreich zu verstehen, was ein Computer tut, wenn er mit Netzwerkadressen arbeitet – besonders bei der Entscheidung, welche Route für eine bestimmte Adresse verwendet werden soll, der Festlegung der binären Kennziffer einer Subnetzmaske, oder auch allgemein, bei der Fehlersuche im TCP/IP-Protokoll. Sie können durch eine sehr einfache Technik die Adresse in Form einer Dezimalzahl mit Punkten in eine binäre Adresse umwandeln. Jeder durch einen Punkt abgeteilte Dezimalwert wird umgewandelt, indem die Zahl immer wieder durch 2 geteilt wird und der Quotient und der Rest aufgeschrieben werden. Der Rest (eine Reihe von Nullen und Einsen) bildet das binäre Äquivalent zur Dezimaladresse. Tabelle 4.1 zeigt, wie die Adresse 127.0.0.1 in eine binäre Adresse umgewandelt wird.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
(1) Handlung
(2) Quotient
(3) Rest
(4) Notizen
Vier Teile der Adresse sind 127, 0, 0, und 1. Der letzte Teil ist die 1.
Die vier Teile der Dezimalzahl mit Punkten werden in getrennte Werte aufgeteilt. Es wird mit dem letzten Teil, 1, der Dezimalzahl mit Punkten begonnen. Die Dezimalzahl 1 wird durch 2 geteilt, der Quotient und Rest werden in der nächsten Zeile aufgeschrieben.
1
Stopp! Quotient = 0
0
Es wird mit dem dritten Teil der Dezimalzahl mit Punkten, der 0, fortgefahren. Da der Quotient, mit dem begonnen wird, 0 ist, gibt es auch nichts, mit dem fortgefahren werden könnte.
0
Der Quotient beträgt bereits 0.
Der zweite Teil der Dezimalzahl mit Punkten, die 0, wird jetzt bearbeitet. Da der Quotient, mit dem begonnen wird, 0 ist, gibt es auch nichts, mit dem fortgefahren werden könnte.
0
Der Quotient beträgt bereits 0.
1
½=0 Rest 1
Es wird mit dem ersten Teil der Dezimalzahl mit Punkten, der 127, fortgefahren. Die Dezimalzahl 127 wird durch zwei geteilt; der Quotient und der Rest werden in der nächsten Zeile aufgeschrieben.
127
Der Vorgang wird wiederholt: Teilen durch 2, Aufzeichnen des Quotienten und des Rests in der nächsten Reihe.
63
1
127/2 = 63 Rest 1
Der Vorgang wird wiederholt.
31
1
63/2 = 31 Rest 1
Der Vorgang wird wiederholt.
15
1
31/2 = 15 Rest 1
Der Vorgang wird wiederholt.
7
1
15/2 = 7 Rest 1
Der Vorgang wird wiederholt.
3
1
7/3 = 1 Rest 1
Tabelle 4.1: Umwandlung von dezimal in binär
251
252
Kapitel 4
Netzwerkprotokolle
(1) Handlung
(2) Quotient
(3) Rest
(4) Notizen
Der Vorgang wird wiederholt.
1
1
3/2 = 1 Rest 1
Stopp! Quotient = 0
0
1
½=0 Rest 1
Tabelle 4.1: Umwandlung von dezimal in binär
Wir haben nun die Umwandlung aller vier Oktetts beendet. Sie können die daraus resultierende binäre Form der Dezimalzahl mit Punkten ablesen, wenn Sie die Ziffern in der Rest-Spalte (Spalte 3) aneinander fügen. Dazu beginnen Sie von unten mit der letzten Rest-Zahl in der Spalte und schreiben die binäre Zahl von links nach rechts; setzen Sie nach jedem Oktett einen Punkt. Sind keine acht Ziffern vorhanden, füllen Sie den binären Wert auf der linken Seite mit Nullen auf, bis acht Ziffern erreicht werden. In diesem Beispiel lautet das binäre Äquivalent zu 127.0.0.1: 127.0.0.1 = 01111111 00000000 00000000 00000001
Nachdem Sie nun wissen, wie eine Dezimalzahl in die binäre Form umgewandelt wird, werden Sie auch wissen wollen, wie eine binäre Zahl in eine dezimale Zahl umgewandelt wird. Um binär in dezimal umzurechnen, verwenden Sie ein Platzwertsystem. Wenn der binäre Wert 1 beträgt, stellt der Platz, den er in der Reihe der Einsen und Nullen repräsentiert, den dezimalen Wert dar. Wenn Sie diese Platzwerte addieren, erhalten Sie das dezimale Äquivalent der binären Reihe. Die Position des Platzwertes wird von rechts her berechnet und beginnt bei 0, die die Dezimalzahl 1 darstellt. Jede Erhöhung im Positionswert verdoppelt den dezimalen Platzwert der vorhergehenden Position. Nehmen wir z.B. den Wert 10110111. Im Folgenden werden die binäre Reihe, die Platzwerte und das dezimale Äquivalent aufgezeigt: 27
26
25
24
23
22
21
20
Platz
128
64
32
16
8
4
2
1
dezimaler Platzwert
1
0
1
1
0
1
1
1
binärer Wert
Die Summe aus 128 + 32 + 16 + 4 + 2 + 1 ist 183. Jeder Positionswert mit einer Potenz von 2 verdoppelt den vorhergehenden Positionswert. Jeder Platzwert stellt ein Ergebnis mit einer Zweier-Potenz für einen binären Wert dar. Die Position -1 zeigt, wie die Potenz lauten sollte.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
IP-Adressen werden in Klassen eingeteilt: Klasse A, Klasse B und Klasse C. Tabelle 4.2 legt die Reihe und die Anzahl von Hosts fest, die zu jedem Netzwerk gehören. Klasse
von
nach
Netz-IDs
Host-IDs
A
1
126
126
16.777.214
B
128
191
16.384
65.534
C
192
223
2.097.152
254
Tabelle 4.2: Details einer IP-Adresse
Die Subnetzmasken für diese Klassenadressen werden in Tabelle 4.3 festgelegt. Adress-Klasse
Bits für die Subnetz-Maske
Subnetzmaske
Klasse A
11111111 00000000 00000000 00000000
255.0.0.0
Klasse B
11111111 11111111 00000000 00000000
255.255.0.0
Klasse C
11111111 11111111 11111111 00000000
255.255.255.0
Tabelle 4.3: Klassen-Subnetzmasken
Subnetze und Subnetzmasken Wenn man behauptet, dass eine IP-Adresse Ihren Computer repräsentiert, so kann man auch sagen, dass ein Subnetz angibt, wo sich Ihr Computer befindet. Die Komponente einer IP-Adresse, die entscheidet, ob ein Paket lokal oder durch einen Router versendet wird, ist die Subnetzmaske. Die Subnetzmaske gibt dem Protokoll an, ob sich der lokale Host und der Zielhost im gleichen Subnetz befinden. Wenn die Subnetz-Bits übereinstimmen, so befinden sich Host und Zielhost im gleichen Subnetz, und es ist kein Routing erforderlich. Stimmen die Subnetz-Bits nicht überein, so befindet sich der Zielhost in einem Remote-Netzwerk und die Pakete müssen über einen Router versendet werden. Die Internet-Gemeinde hat einige vorbestimmte Subnetzmasken standardisiert. Subnetzmasken unterteilen den gesamten festgelegten Adressbereich im Internet in verschiedene Klassen: Klasse A, Klasse B und Klasse C. Tabelle 4.4 legt die Reihe und die Anzahl von Hosts fest, die sich in jedem Netzwerk befinden.
253
254
Kapitel 4
Netzwerkprotokolle
Klasse
von
Bis
Netz-IDs
Host-IDs
A
1
126
126
16,777,214
B
128
191
16,384
65,534
C
192
223
2,097,152
254
Tabelle 4.4: Details einer IP-Adresse
Subnetzmasken mit variabler Länge Wenn Sie mit TCP/IP arbeiten, so ist eines der Themen, die am schwierigsten zu verstehen sind, das Konzept der Subnetzmasken mit variabler Länge. Da sich TCP/ IP immer weiter verbreitete, wurde offensichtlich, dass manchmal sogar das Zuweisen einer ganzen Klasse-C-Adresse mit 254 verfügbaren Hosts eine Verschwendung von Adressen ist – so z.B. in einem Büro mit fünf Angestellten, einem Dateiserver und einem Drucker. Um eine effizientere Nutzung des Adressbereichs zu ermöglichen, muss die Reihe einer IP-Adresse in kleinere Teile unterteilt werden. Subnetzmasken mit variabler Länge (auch als Subnetting bezeichnet) ist die Methode, um Bits aus dem ID-Teil des Hosts einer IP-Adresse zu »entleihen« und sie der Netzwerk-ID zuzuweisen. Nehmen wir an, Ihnen wurde die Klasse-B-Adresse 172.18.0.0 zugewiesen. Aus Ihrer eigenen IP-Adressreihe müssen Sie vier verschiedene Netzwerke erstellen. Die Technik dabei ist, drei Bit aus dem Host-ID-Feld zu entnehmen. Und zwar werden diese immer von den höherwertigen Bits entnommen, wie Sie weiter unten in einem Beispiel sehen. Mit diesen drei Bit können Sie sechs verschiedene Subnetze konfigurieren. Wenn sie mitgerechnet haben, wird Ihnen aufgefallen sein, dass es eigentlich acht Subnetze sein sollten. Darauf gehen wir später in diesem Kapitel ein. Um zu sehen, wie die Subnetz-Adressierung funktioniert, wandeln wir zunächst die IP-Adresse 172.18.0.0 in die binäre Form um: 10101100 00010010 00000000 00000000
Denken Sie daran, dass in einer Klasse-B-Adresse die ersten 16 Bit für die Netz-ID stehen und die letzten 16 Bit die Host-ID darstellen. Um zu zeigen, dass Sie Bits aus der Host-ID entnommen haben, verwenden Sie eine Subnetzmaske, also eine binäre Zahl mit 32 Bit. Um den Sinn einer Subnetzmaske deutlich zu machen, müssen Sie sie neben der binären IP-Adresse untersuchen, etwa so: 10101100 00010010 00000000 00000000 11111111 11111111 11100000 00000000
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
In Dezimalschreibweise mit Punkten lautet die Subnetzmaske 255.255.224.0. Die Regeln für Subnetzmasken sind einfach: 씰
Eine 1 in der Netzwerkmaske zeigt, dass ein Bit in der IP-Adresse Teil der Netz-ID ist.
씰
Eine 0 in der Netzwerkmaske zeigt, dass ein Bit in der IP-Adresse Teil der Host-ID ist.
Dieses Beispiel hat 19 Bit in der Netzwerkmaske; also befinden sich in der Netz-ID 19 Bit für die Adressierung. Diese Subnetzmaske ermöglicht Ihnen die Verwendung der folgenden Subnetzwerke (Subnetz-ID) in der Klasse-B-Adressreihe . 10101100 10101100 10101100 10101100 10101100 10101100
00010010 00010010 00010010 00010010 00010010 00010010
00100000 01000000 01100000 10000000 10100000 11000000
00000000 00000000 00000000 00000000 00000000 00000000
Warum nur sechs Subnetze? Wir müssen die »verbotenen« Subnetze (000 und 111) vermeiden, die aufgrund der TCP/IP-Konventionen nicht zur Verfügung stehen. Eine Subnetzadresse kann nicht ausschließlich aus Einsen bestehen, da alle EinserAdressen für das Adressieren von Broadcast-Nachrichten verwendet werden. Beachten Sie, dass die letzte Reihe der Adressen die 255 in der Netzwerkreihe enthält und nicht adressiert werden kann. Eine zweite Einschränkung besteht darin, dass eine Subnetz-ID nicht ausschließlich aus Nullen bestehen sollte. Diese Einschränkung ist vielleicht nicht so eindeutig, da es keine Einschränkung in der Adressierung in Bezug auf die Verwendung der dezimalen 0 in einer Netzwerk-ID gibt. In Windows 2000 können Sie das 0-Netzwerk verwenden, obwohl dies laut Konventionen eigentlich ausgeschlossen ist. Wenn Sie die binäre Adresse in eine Dezimalzahl umrechnen, so stellen Sie fest, dass sich aus der Subnetzmaske 255.255.224.0 sechs gültige und zwei »illegale« Subnetze mit den folgenden Adressreihen bilden lassen: 씰
172.18.0.1 bis 172.18.31.254
씰
172.18.32.1 bis 172.18.63.254
씰
172.18.64.1 bis 172.18.95.254
255
256
Kapitel 4
Netzwerkprotokolle
씰
172.18.96.1 bis 172.18.127.254
씰
172.18.128.1 bis 172.18.159.254
씰
172.18.160.1 bis 172.18.191.254
씰
172.18.192.1 bis 172.18.223.254
씰
172.18.224.1 bis 172.18.255.254
Die Subnetzmaske wird also Teil der Konfiguration eines jeden Hosts im Netzwerk, wodurch die Hosts zwischen Netz-ID, Subnetz-ID und Host-ID unterscheiden können. Standard-Gateway Ein Standard-Gateway ist die IP-Adresse des Routers, den die Pakete eines Hosts verwenden sollten, um aus dem Subnetz zu gelangen. Der typische Vorgang, wie ein Paket aus einem Host zum Ziel gelangt, ist Folgender: 1. Computer A löst Computer Z in eine IP-Adresse auf. 2. Die IP-Adresse von Computer Z wird als lokale oder entfernte Adresse identifiziert. 3. Handelt es sich um eine entfernte Adresse, so schickt Computer A das Paket an die MAC-Adresse des Standard-Gateways. 4. Der Standard-Gateway schickt das Paket entsprechend seiner Routing-Tabelle weiter zum nächsten Router. 5. Befindet sich die IP-Adresse von Computer Z im gleichen Subnetz, so wird die IP-Adresse von Computer Z durch das Address Resolution Protocol (ARP) in die MAC-Adresse aufgelöst. 6. Computer A und Computer Z kommunizieren miteinander. Es ist kein Routing erforderlich. Dieser Abschnitt erklärte kurz die Grundlagen von TCP/IP, seine Entwicklung, seine Technik und seine Komponenten. Nun können Sie TCP/IP installieren.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
4.2.2
Installieren von TCP/IP
Installieren, Konfigurieren und Fehlerbeseitigung der Netzwerk-Protokolle Um TCP/IP in Ihrem Netzwerk zu nutzen, benötigen Sie eine Liste gültiger IPAdressen, die IP-Adresse Ihres Gateway (Router) und die Subnetzmaske Ihres Netzwerkes. Höchstwahrscheinlich ist auf Ihrem Windows-2000-Computer das TCP/IP-Protokoll bereits vorinstalliert. Die Schritt-für-Schritt-Anleitung 4.1 zeigt den Vorgang des Hinzufügens von TCP/IP, für den Fall, dass Sie diesen Dienst während der Installierung von Windows 2000 nicht mitinstallieren.
SCHRITT FÜR SCHRITT 4.1
Hinzufügen von TCP/IP
1. Um TCP/IP hinzuzufügen, öffnen Sie SYSTEMSTEUERUNG und dann die NETZWERK- UND DFÜ-VERBINDUNGEN, wie in Abbildung 4.2 dargestellt. 2. Doppelklicken Sie auf das Icon LAN-VERBINDUNG, um zum Dialogfenster STATUS DER LAN-VERBINDUNG zu gelangen (Abbildung 4.3). 3. Klicken Sie auf die Schaltfläche EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN VON LAN-VERBINDUNG öffnet sich (Abbildung 4.4). Wenn Sie Windows 2000 installieren, wird TCP/IP standardmäßig installiert. Abbildung 4.2 Das Fenster Netzwerk- und DFÜ-Verbindungen zeigt alle Verbindungen an, die auf Ihrem Computer konfiguriert sind.
257
258
Kapitel 4
Netzwerkprotokolle
4. Sollten Sie TCP/IP in dieser Liste nicht sehen, klicken Sie auf INSTALLIEREN. Das Dialogfenster TYP DER NETZWERKKOMPONENTE AUSWÄHLEN öffnet sich (Abbildung 4.5). 5. Gehen Sie auf PROTOKOLL und HINZUFÜGEN. Wählen Sie IP (TCP/IP) und klicken Sie auf OK. Dadurch kehren Sie zur Registerkarte ALLGEMEIN der LAN-Verbindungseigenschaften zurück. Klicken Sie auf OK, um das Dialogfenster zu schließen.
4.2.3
Konfigurieren von TCP/IP
Nachdem wir nun das TCP/IP-Protokoll installiert haben, müssen wir das Protokoll mit der notwendigen TCP/IP-Information konfigurieren. Sie können Ihren Windows-2000-Computer auf zwei verschiedene Arten mit einer IP-Adresse konfigurieren. Die erste Möglichkeit bietet das Dynamic Host Configuration Protocol (DHCP). Ein DHCP-Server verfügt über eine Datenbank mit gültigen IP-Adressen für ein Subnetz, die auch als Bereiche bezeichnet werden. Benötigt ein Computer, der für DHCP konfiguriert ist, eine IP-Adresse, so sucht er im Netzwerk nach einem DHCP-Server. Der DHCP-Server antwortet mit einer gültigen IP-Adresse für das Subnetz, in dem sich der Host befindet. Das Verwenden von DHCP bringt viele Vorteile, wie z.B.: 씰
Zentrale Verwaltung
씰
Veränderungen werden nicht am Computer, sondern am Server vorgenommen
씰
Konflikte zwischen IP-Adressen werden gelöst
씰
Die Probleme werden gelöst, wenn Hosts von einem Subnetz in ein anderes Subnetz wechseln
씰
Die Zeit, die dafür aufgebracht wird, jeden Computer für das Einstellen der IP-Eigenschaften einzeln aufzusuchen, wird erspart
Die zweite Möglichkeit, die allerdings weniger beliebt ist, ist das manuelle Einstellen der IP-Adresse auf jedem Computer. Obwohl diese Möglichkeit bei Arbeitsstationen vielleicht nicht beliebt ist, so ist sie bei Servern jedoch realistisch. Die meisten Dienste, die mit TCP/IP arbeiten, wie z.B. Windows Internet Name Service (WINS), DNS, DHCP und andere, setzen voraus, dass der Server eine statische Adresse besitzt.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 4.3 Das Dialogfenster Status der LAN-Verbindung zeigt an, ob die Verbindung aktiv ist und wie viele Informationen gesendet und empfangen werden.
Abbildung 4.4 Das Dialogfenster Eigenschaften der LAN-Verbindung zeigt die Adapterart und die installierten Protokolle.
Die Schritt-für-Schritt-Anleitung 4.2 zeigt, wie DHCP auf diesem Host verwendet bzw. eine Adresse manuell zugewiesen wird.
259
260
Kapitel 4
Netzwerkprotokolle
Abbildung 4.5 Verwenden Sie dieses Dialogfenster, um die Art der Komponenten auszuwählen, die Sie installieren möchten.
ACHTUNG Welche IP-Adresse soll ich verwenden? Wenn Sie in einem großen Netzwerk arbeiten, sind wahrscheinlich mehrere Personen für das Hinzufügen und Entfernen von IP-Adressen, die im Netzwerk zugewiesen sind, verantwortlich. Sie werden sich mit diesen Personen absprechen müssen, bevor Sie willkürlich eine IPAdresse in das Netzwerk einfügen. Eine falsche IP-Adresse auf Ihrer Seite könnte auf der Seite der anderen große Probleme hervorrufen. Wenn Sie von der Produktionsumgebung getrennt arbeiten, können Sie jede IPAdresse verwenden, die Sie möchten.
SCHRITT FÜR SCHRITT 4.2
Konfigurieren von TCP/IP
1. Öffnen Sie SYSTEMSTEUERUNG und dann NETZWERK- UND DFÜ-VERBINDUNGEN (siehe Abbildung 4.2). 2. Doppelklicken Sie auf das Applet LAN-VERBINDUNG, um zum Dialogfenster STATUS DER LAN-VERBINDUNG zu gelangen (Abbildung 4.3). Klicken Sie auf die Schaltfläche EIGENSCHAFTEN. 3. Klicken Sie in der Registerkarte ALLGEMEIN auf das Dialogfenster EIGENSCHAFTEN DER LAN-VERBINDUNG (Abbildung 4.4). Wählen Sie dann IP (TCP/IP), und klicken Sie auf EIGENSCHAFTEN. Das Dialogfenster VON INTERNETPROTOKOLL (TCP/IP)-EIGENSCHAFTEN öffnet sich (Abbildung 4.6). 4. Wählen Sie eine Methode, mit der die IP-Adresse erhalten werden soll. Verwendet Ihr Netzwerk einen DHCP-Server, und möchten Sie diesen Computer so konfigurieren, dass er seine IP-Adresse automatisch erhält, so wählen Sie die Option IP-ADRESSE AUTOMATISCH BEZIEHEN. Alle IP-Informationen
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
werden dann vom DHCP-Server bezogen. (Beachten Sie jedoch, dass Sie die IP-Adresse des DNS-Servers verändern können oder diese Adresse auch über DHCP erhalten können.) 5. Um eine IP-Adresse zuzuweisen, wählen Sie die Option FOLGENDE IPADRESSE VERWENDEN. 6. Geben Sie im IP-Adressfeld eine gültige IP-Adresse für Ihr Netzwerk ein. Fügen Sie dann die Subnetzmaske für Ihr Netzwerk und die IP-Adresse des Routers oder Gateways für Ihr Netzwerk ein. Geben Sie anschließend die IPAdresse des bevorzugten DNS-Servers, und – wenn möglich – die Adresse des zweiten DNS-Servers ein. Abbildung 4.7 zeigt, wie das Dialogfenster nach der Fertigstellung aussehen sollte. 7. Um diese Einstellungen zu bestätigen, klicken Sie zweimal auf OK.
Abbildung 4.6 IP(TCP/IP)-Eigenschaften
Nachdem Sie TCP/IP hinzugefügt und konfiguriert haben, werden Sie immer noch einige zusätzliche Einstellungen am Protokoll vornehmen müssen. Im Dialogfenster VON INTERNETPROTOKOLL (TCP/IP)-EIGENSCHAFTEN gelangen Sie über die Registerkarte ERWEITERT zu diesen Einstellungen. Hier sehen Sie eine Auflistung und Erklärung dieser zusätzlichen Einstellungen:
261
262
Kapitel 4
Netzwerkprotokolle
Abbildung 4.7 Wenn Sie eine IPAdresse entweder manuell oder mit DHCP eingeben, können Sie immer noch festlegen, welches der DNSServer sein soll.
씰
IP-Einstellungen Diese Registerkarte zeigt die derzeit konfigurierten IPAdressen, die der Netzwerkkarte zugewiesen sind. Außerdem können Sie auf dieser Registerkarte zusätzliche IP-Adressen zu Ihrer Netzwerkkarte hinzufügen. Diese Option wird nur selten verwendet; sie wird jedoch eingesetzt, wenn dieser Computer eine Website hostet. Sie können jeder Karte zwei IPAdressen zuweisen. Jede der beiden IP-Adressen würde dann einen anderen Domänennamen auf dem Server darstellen. Außerdem können Sie auf dieser Registerkarte zusätzliche Standard-Gateways festlegen.
씰
DNS Diese Registerkarte zeigt die DNS-Server, die verwendet werden, um Fully Qualified Domain Names (FQDNs) und Host-Namen anzufragen. Sie können außerdem festlegen, dass Windows zuerst in dieser Domäne nach Hostnamen suchen soll. Um sich z.B. mit einem Computer zu verbinden, dessen FQDN server5.publishing.Midwest.newriders.com lautet, geben Sie anstelle der ganzen FQDN nur http://server5 ein. Sie können auch bestimmen, dass Windows 2000 andere festgelegte Domänen nach Computernamen durchsuchen soll.
씰
WINS WINS ist ein Dienst, der NetBIOS-Namen in IP-Adressen auflöst. Es gibt diesen Dienst noch immer für Windows 2000, um NetBIOS-Namen (Network Basic Input Output System) in älteren Betriebssystemen zu unterstützen. Wenn Sie WINS verwenden (und das tun Sie wahrscheinlich, wenn
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
Ihr Netzwerk Betriebssysteme wie Windows 98, Windows 95, und vielleicht auch Windows NT 4 enthält), müssen Sie die IP-Adresse des WINS-Servers eingeben. 씰
4.2.4
Optionen Mit der Registerkarte Optionen gelangen Sie zu den IP-Sicherheitseinstellungen und den TCP/IP-Filtereinstellungen. Auf diese Einstellungen wird später in diesem Kapitel noch genauer eingegangen.
Installieren des NWLink-Protokolls
NWLink ist die 32-Bit-Implementierung von IPX/SPX von Microsoft- NWLink und ist, wie sein Gegenstück Novell, ein zuverlässiges Protokoll, das geroutet werden kann. Ältere Versionen von NetWare, wie z.B. NetWare 3, waren auf IPX/SPX angewiesen. Neuere Versionen von NetWare können mit TCP/IP arbeiten. Bevor Sie NWLink auf Ihren Windows-2000-Computern installieren, müssen Sie einige Informationen sammeln. Im Folgenden sehen Sie einige allgemeine Fragen, die Sie beantworten müssen, bevor Sie NWLink installieren. 씰
Werden Sie Ihren NetWare-Server auf Windows 2000 umstellen? Oder werden Sie NetWare und Microsoft 2000 integrieren?
씰
Welche Version von NetWare werden Sie mit Windows 2000 integrieren? Kann diese Version TCP/IP anstelle von IPX/SPX verwenden?
씰
Welches ist die interne Netzwerknummer Ihres/Ihrer NetWare-Server(s), der/ die integriert werden soll(en)?
씰
Welche Rahmenart wird mit Ihren NetWare-Servern verwendet?
Das Hinzufügen von NWLink ist recht einfach. Wenn Sie die Antworten zu den vorhergehenden Fragen wissen, können Sie das Protokoll hinzufügen und mit der Umstellung von NetWare oder der Integration von NetWare beginnen. Schritt für Schritt 4.3 zeigt den Installationsvorgang.
SCHRITT FÜR SCHRITT 4.3
NWLink in Windows 2000 hinzufügen
1. Öffnen Sie SYSTEMSTEUERUNG und dann die NETZWERK- UND DFÜ-VERBINDUNGEN. 2. Öffnen Sie die EIGENSCHAFTEN DER LAN-VERBINDUNG (oder der Verbindung, die Sie verwenden werden, um Ihre NetWare-Server zu verbinden).
263
264
Kapitel 4
Netzwerkprotokolle
3. Klicken Sie auf die Schaltfläche INSTALLIEREN, um zum Dialogfenster NETZWERKKOMPONENTENART zu gelangen. Wählen Sie PROTOKOLL und klicken Sie dann auf die Schaltfläche HINZUFÜGEN. Das Dialogfeld NETZWERKPROTOKOLL WÄHLEN öffnet sich (Abbildung 4.8). 4. Wählen Sie NWLINK IPX/SPX/NETBIOS-KOMPATIBLES TRANSPORTPROTOKOLL und klicken Sie auf OK. Windows 2000 installiert das Protokoll und kehrt dann zum Fenster EIGENSCHAFTEN DER LAN-VERBINDUNG zurück. Klicken Sie auf OK, um das Fenster zu schließen.
Abbildung 4.8 Wählen Sie aus der Liste das Protokoll, das Sie installieren möchten.
4.2.5
Konfigurieren von NWLink
Nach dem Hinzufügen von NWLink können Sie das Protokoll weiter mit der Information konfigurieren, die notwendig ist, um mit NetWare-Servern und Clientcomputern zu kommunizieren. Denken Sie daran, dass dies das einzige Protokoll ist, mit dem Sie eine Verbindung zu NetWare-Servern herstellen können. Normalerweise ist weitere Software, wie z.B. Client Services for NetWare (CSNW), Gateway Services for NetWare (GSNW) oder File and Print Services for NetWare (FPNW) erforderlich, um die Verbindung zwischen NetWare-Servern und Clientcomputern zu perfektionieren. Durch CNSW können sich Windows-2000-Clientcomputer mit NetWare-ServerFreigaben verbinden. GSNW ermöglicht Windows 2000-Servern, sich mit NetWare-Freigaben zu verbinden und dann als Gateway zu agieren, indem es Verbindungen zwischen Windows-Netzwerk-Freigaben und NetWare-Freigabe-Punkten bietet. FPNW ermöglicht Windows-2000-Servern, Netzwerk-Freigabe-Punkte bereitzustellen, die für NetWare-Computer zugänglich sind.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
Um das NWLink-Protokoll zu konfigurieren, folgen Sie der Schritt-für-Schritt Anleitung 4.4.
SCHRITT FÜR SCHRITT 4.4
Konfigurieren des NWLink-Protokolls
1. Öffnen Sie SYSTEMSTEUERUNG und anschließend NETZWERKVERBINDUNGEN (siehe Abbildung 4.2).
UND
DFÜ-
2. Klicken Sie mit der rechten Maustaste auf die Verbindung, die Sie zum Verbinden Ihres NetWare-Servers verwenden möchten, und wählen Sie dann EIGENSCHAFTEN (siehe Abbildung 4.4). 3. Klicken Sie auf die Registerkarte ALLGEMEIN, wählen Sie das NWLink-IPX/ SPX/NetBIOS-kompatible Transportprotokoll, und klicken Sie dann auf die Schaltfläche EIGENSCHAFTEN. 4. Um Dienste zu verwenden, die das Service Advertising Protocol (SAP) erfordern, wie z.B. FPNW oder IPX Routing, müssen Sie die interne Netzwerknummer für Ihr NetWare-Netzwerk liefern (Abbildung 4.9). Abbildung 4.9 Hier können Sie die interne Netzwerknummer eingeben
265
266
Kapitel 4
Netzwerkprotokolle
5. Wählen Sie entweder die Verwendung der Option RAHMENTYP AUTOMATISCH ERKENNEN, oder spezifizieren Sie alle Rahmentypen, die von Ihren NetWare-Servern verwendet werden. Abbildung 4.9 zeigt die manuellen Einträge der Rahmentypen für eine Windows-2000- und NetWare-Umgebung. 6. Klicken Sie auf OK und dann auf SCHLIESSEN, um die Änderungen zu aktivieren.
PRÜFUNGSTIPP Sie müsse ssen die die Netzwerkbindungen kennen. In der Prüfung wird man Ihr Wissen zu Netzwerkbindungen testen: Was sind Netzwerkbindungen und wie werden sie konfiguriert und bearbeitet?
4.2.6
Konfigurieren von Netzwerkbindungen
Netzwerkbindungen sind Konfigurationen, die angeben, welches Protokoll Windows 2000 zuerst in einer Netzwerkverbindung für einen Netzwerkdienst verwenden wird. Wenn z.B. Ihr Netzwerk lokal konfiguriert ist, um sich sowohl mit NetWare-Servern über IPX/SPX als auch mit Microsoft-Networks über TCP/IP zu verbinden, so können Sie festlegen, welches Protokoll bevorzugt oder zuerst verwendet werden soll, wenn versucht wird, sich mit Ressourcen zu verbinden. Beim Arbeiten mit Netzwerkbindungen wurde früher ein spezifisches Protokoll mit der Netzwerkkarte verbunden. Obwohl diese Beschreibung immer noch zutrifft, hat Windows 2000 noch einige Funktionen hinzugefügt. Diese Funktionen ermöglichen Ihnen, zuerst die Provider-Reihenfolge festzulegen. Ein Provider ist die Komponente, die Ihnen ermöglicht, sich mit Netzwerk-Ressourcen zu verbinden. Der Standard-Provider bei Windows 2000 ist das Microsoft-Windows-Netzwerk. Wenn Sie weitere Provider wie z.B. GSNW hinzufügen, müssen Sie festlegen, welcher Provider zuerst benutzt werden soll. Netzwerk-Provider sind nicht die einzigen Komponenten, die mit Bindungen zusammenhängen. Sie können auch Drucker-Provider auswählen. Wie auch sein Gegenstück, ermöglicht Ihnen ein Druckerprovider, zu einer anderen Ressourcenart zu gelangen – zu einem Drucker nämlich. Um eine Bindung einzustellen, platzieren Sie den Provider, den Sie am häufigsten benutzen (z.B. das Microsoft-Windows-Netzwerk) ganz oben in der Liste der Provider, gefolgt von FPNW. Platzieren Sie TCP/IP in der Liste der Protokolle an erster Stelle, und NWLink an zweiter Stelle. Sie legen die Prioritäten fest, indem Sie die Bindungsreihenfolge verändern.
4.2 Netzwerkprotokolle: Installieren, Konfigurieren und Fehlerbeseitigung
Bindungen zu verändern klingt einfach, erfordert aber etwas Vorbereitung. Wenn Ihr Netzwerk wächst, werden Sie wahrscheinlich immer mehr Dienste installieren. Wenn Sie diese Dienste installieren, binden Sie auch automatisch die installierten Protokolle an jeden Dienst. Höchstwahrscheinlich ändert sich auch die Bindungsreihenfolge, wenn sich Ihr Netzwerk verändert. Warum sollten Sie sich überhaupt Gedanken über Bindungen machen? Eine einfache, winzig kleine Veränderung in der Konfiguration Ihrer Bindungen kann die Geschwindigkeit Ihrer Server-zu-Server- und Server-zu-Client-Verbindungen stark beeinträchtigen. Später in diesem Kapitel untersuchen Sie Netzwerke und überwachen, wie eine Veränderung in der Bindungsreihenfolge Ihre gesamte Netzwerkleistung beeinflusst. Schritt für Schritt 4.5 zeigt, welche Vorgänge nötig sind, um Netzwerk- und Drucker-Provider zu konfigurieren. Dieses Beispiel setzt voraus, dass Sie einen zweiten Provider, wie z.B. GSNW, installiert haben.
SCHRITT FÜR SCHRITT 4.5
Festlegen der Provider-Reihenfolge
1. Gehen Sie auf START, EINSTELLUNGEN, SYSTEMSTEUERUNG und NETZWERKUND DFÜ-VERBINDUNGEN. Wählen Sie dann die Netzwerkverbindung. (Normalerweise die Lokale Bereichsverbindung ). 2. Klicken Sie im Menü ERWEITERT auf ERWEITERTE EINSTELLUNGEN. 3. Im Dialogfenster ERWEITERTE EINSTELLUNGEN klicken Sie auf die Registerkarte REIHENFOLGE DER ANBIETER. Hier sehen Sie die Provider, die auf Ihrem Computer installiert sind (Abbildung 4.10). 4. Wählen Sie den Provider, den Sie verändern möchten. Wenn Sie z.B. GSNW hinzugefügt haben und es an erster Stelle in der Liste der Netzwerk-Provider platzieren möchten, klicken Sie auf GSNW und dann auf den Pfeil, der nach oben zeigt, um es nach oben zu verschieben. 5. Ordnen Sie die Drucker-Provider in der Reihenfolge an, in der sie in dieser Netzwerkverbindung verwendet werden sollen. 6. Klicken Sie auf OK, um die Veränderungen zu aktivieren. Sie können die Reihenfolge der Protokolle auch bei den installierten Diensten verändern. Was Sie hier eigentlich tun, ist Windows 2000 zu sagen, welches der Protokolle Sie zuerst verwenden möchten. Dadurch wird die Leistung verbessert – der Dienst wird sich schneller verbinden und schneller verbunden werden. Abbildung 4.11 zeigt die Bindungsreihenfolge eines typischen Windows-2000-Servers.
267
268
Kapitel 4
Netzwerkprotokolle
Abbildung 4.10 Sie können das Dialogfenster Erweiterte Einstellungen verwenden, um die Bindungsreihenfolge zu verändern.
4.3
Arbeiten mit TCP/IP-Paketfiltern
Konfigurieren Sie TCP/IP-Paketfilter Sie wissen nun, wie Protokolle hinzugefügt und konfiguriert werden, wie Sie die Bindungen für Ihre Verbindungsdienste anordnen und Providern Priorität zuweisen. Sehen wir uns nun an, wie TCP/IP-Pakete kontrolliert werden. Dieser Abschnitt führt Sie durch das Festlegen und Verändern von Paketfiltern. Windows 2000 ermöglicht Ihnen, die Art der TCP/IP-Informationen zu kontrollieren, die an Ihren Computer gesendet werden. Sie können entweder eine Universalregel für die Art der Daten konfigurieren, die zu Ihrer Netzwerkkarte in Ihrem Server gelangen, oder Sie können jede Karte individuell konfigurieren. TCP garantiert die Auslieferung des Paketes. Tabelle 4.5 listet die üblichen TCPPorts auf, mit denen Sie Zugang gewähren oder verweigern können. Das User Datagramm Protokoll (UDP) garantiert die Auslieferung der Pakete nicht. Es versucht vielmehr, das Paket, wenn möglich, auszuliefern. Tabelle 4.6 zeigt die üblichen UDP-Ports, denen Sie Zugang gewähren oder verweigern können:
4.3 Arbeiten mit TCP/IP-Paketfiltern
TCP-Port-Nummer
Beschreibung
20
FTP-Server-Datentunnel
21
FTP-Server-Kontrolltunnel
23
Telnet
80
Web-Server – insbesondere Hypertext Transport Protocol (HTTP)
139
NetBIOS Session Service
Tabelle 4.5: Übliche TCP-Portnummern Abbildung 4.11 Bindungen sind eine Möglichkeit, um ein Protokoll mit einer Netzwerkkarte, einem Dienst oder einer Verbindung zu verbinden.
HINWEIS Sie müsse ssen Ihre Verbindungen kennen. Der Begriff Verbindung bezieht sich auf eine Netzwerkkomponente, die anzeigt, wie sich ein Host mit einem anderen Host verbindet: LAN, WAN oder Netzwerk- und DFÜ-Verbindungen.
PRÜFUNGSTIPP Sie müssen wissen, wie TCP/IP-Paketfilt ilter konfiguriert werden. Die Prüfung wird auch Ihr Wissen über diese Konfigurationen eingehend testen.
269
270
Kapitel 4
Netzwerkprotokolle
UDP- Portnummer
Beschreibung
53
DNS-Namensanfragen
69
Trivial File Transfer Protocol (TFTP)
137
NetBIOS Name Server (NBNS)
161
Simple Network Management Protocol (SNMP)
520
Routing Information Protocol (RIP)
Tabelle 4.6: Übliche UDP-Portnummern
IP setzt sich aus verschiedene Protokollen zusammen. Tabelle 4.7 zeigt die üblichen IP-Protokollnummern, denen Sie Zugang gewähren oder verweigern können: IP-Protokollnummer
Protokoll
1
Internet Control Message (ICMP)
2
Internet Group Management (IGMP)
3
Gateway-to-Gateway (GGP)
4
IP in IP (Einkapseln)
5
ST-Stream
6
TCP
7
Computer-based Training (CBT)
8
Exterior Gateway Protocol (EGP)
Tabelle 4.7: Übliche IP-Protokollnummern
Das Filtern von TCP/IP-Paketen ermöglicht Ihnen, die Art der TCP-Ports festzulegen, die zugänglich sind, sowie die UDP-Ports festzulegen, die zugänglich sind, und auch noch genauer die IP-Protokolle festzulegen, die Zugang zu diesem Computer haben. So können Sie z.B. den Port 80 filtern, der vom HTTP-Protokoll verwendet wird. Indem Sie diesen Port ausfiltern, verweigern Sie allen Web-Servern den Zugang. Um einen TCP/IP-Paketfilter zu erstellen, geben Sie die jeweilige Portnummer oder IP-Protokollnummer in ERWEITERTE EIGENSCHAFTEN VON TCP/IP ein. Schritt für Schritt zeigt Ihnen Kap. 4.6, wie Paketfilter erstellt werden.
4.3 Arbeiten mit TCP/IP-Paketfiltern
SCHRITT FÜR SCHRITT 4.6
Einrichten von IP-Filtern
1. Öffnen Sie SYSTEMSTEUERUNG und öffnen Sie dann das Dialogfenster NETZWERK- UND DFÜ-VERBINDUNGEN. 2. Klicken Sie mit der rechten Maustaste auf die Verbindung, die Sie konfigurieren möchten, und wählen Sie dann EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN VON LAN-VERBINDUNG öffnet sich. Klicken Sie auf die Schaltfläche EIGENSCHAFTEN, um die Verbindungseigenschaften zu öffnen. 3. Wählen Sie auf der Registerkarte ALLGEMEIN und dann EIGENSCHAFTEN. 4. Auf dieser Registerkarte ALLGEMEIN der IP-Eigenschaften klicken Sie auf die Schaltfläche ERWEITERT. Das Dialogfenster ERWEITERTE TCP/IP-EINSTELLUNGEN öffnet sich (Abbildung 4.12). 5. In ERWEITERTE TCP/IP-EINSTELLUNGEN klicken Sie auf die Registerkarte OPTIONEN, wählen TCP/IP-FILTER und anschließend EIGENSCHAFTEN. Das Fenster TCP/IP-FILTER öffnet sich (Abbildung 4.13). 6. Stellen Sie sicher, dass die Option TCP/IP-FILTER AKTIVIEREN (alle Netzwerkarten) bisher noch nicht aktiviert wurde. 7. Wählen Sie über den TCP-Port die Option NUR ZULASSEN und klicken Sie dann auf die Schaltfläche HINZUFÜGEN. Das Dialogfenster FILTER HINZUFÜGEN öffnet sich (Abbildung 4.14). 8. Legen Sie die Nummer 23 für Telnet-Sitzungen fest, und klicken Sie auf OK. 9. Klicken Sie wieder auf HINZUFÜGEN und geben Sie die Portnummer 80 für Web-Zugang ein, und klicken Sie auf OK. 10. Wählen Sie für die UDP-Ports die Option NUR ZULASSEN und klicken Sie dann auf die Schaltfläche HINZUFÜGEN. 11. Geben Sie die Portnumer 69 für TFTP-Sitzungen ein, und klicken Sie dann auf OK. 12. Klicken Sie wieder auf OK und geben Sie die Nummer 161 für SNMP ein. Klicken Sie auf OK. 13. Klicken Sie auf OK, um die Einstellungen zu bestätigen. Durch diese Einstellungen haben nur TCP-Ports 23 und 80 und UDP-Ports 69 und 161 Zugang zum Server.
271
272
Kapitel 4
Netzwerkprotokolle
Abbildung 4.12 Das Dialogfenster TCP/IP-Einstellungen bietet weitere Optionen für die Konfiguration des Internet-Protokolls.
Abbildung 4.13 TCP/IP-Filter können bei allen Adapterkarten gleichzeitig oder jeweils nur bei einer Karte eingestellt werden.
4.4 Netzwerkprotokollsicherheit: Konfigurieren und Fehlerbeseitigung
Abbildung 4.14 Geben Sie die TCP/ IP-Portnummer ein, der Sie Zugang gewähren möchten.
Nachdem Sie einen Paketfilter eingerichtet haben, werden Sie vielleicht einmal die vorhandenen Filter ändern wollen. Um einen Filter zu ändern, öffnen Sie die TCP/ IP-EIGENSCHAFTEN und wählen Sie ERWEITERT. Nehmen Sie die gewünschten Änderungen in der Registerkarte OPTIONEN vor. Bestätigen Sie die Veränderungen, um die Einstellungen zu übernehmen.
4.4
Netzwerkprotokollsicherheit: Konfigurieren und Fehlerbeseitigung
Konfigurieren und untersuchen Sie die Netzwerkprotokollsicherheit auf Fehler Wenn Netzwerke wachsen und mit anderen Netzwerken interagieren, werden Daten anfälliger für Angriffe, Abfangen oder Lauscher. Um Ihre Daten zu sichern, müssen Sie Ihr Netzwerk sichern. Dieser Abschnitt beschäftigt sich mit dem Konfigurieren und der Fehlerbeseitigung Ihrer Protokolle. Dabei werden die folgenden Themen behandelt: 씰
Netzwerkdatensicherheit
씰
Verwenden von Sicherheits-Hosts
씰
Was ist Kerberos?
씰
Virtuelle Private Netzwerke (VPNs) und Tunneling-Sicherheitsfeatures
4.4.1
Netzwerkdatensicherheit
Windows 2000 verfügt über viele Facetten der Netzwerkprotokollsicherheit. Am bekanntesten ist dabei das IPSec. Wir werden IPSec eingehend erklären. Zunächst aber müssen Sie wissen, dass IPSec verwendet wird, um IP-Pakete zwischen Hosts oder einer LAN- oder WAN-Umgebung zu schützen. IPSec bietet private Kommunikation über das Internet.
273
274
Kapitel 4
Netzwerkprotokolle
Der Windows-2000-Router-Dienst bietet sowohl in LAN- als auch in WAN-Umgebungen Datensicherheit. Sie implementieren VPN dort, wo der Router-Dienst und Sicherheitsarbeit zusammen verwendet werden. Darauf gehen wir später noch genauer ein. VPN und der Router-Dienst basieren entweder auf dem Point-to-PointTunnelingprotokoll (PPTP) oder auf dem Layer-2-Tunnelingprotokoll (L2TP). Ein Proxy-Server ist zwar keine Standardkomponente von Windows 2000, ist aber ein wertvolles Feature zur Sicherung von Clientcomputern in einem Netzwerk. Ein Proxy-Server nimmt ausgehende Netzwerkanfragen an und bearbeitet die Anfrage als ein »Proxy« für den Host, von dem die Anfrage kommt. Normalerweise dient ein Proxy-Server auch als Firewall, um eingehende Pakete daran zu hindern, ins interne Netzwerk zu gelangen.
4.4.2
Sicherheits-Hosts
Sicherheits-Hosts sind Geräte, die zwischen einem Remote-DFÜ-Clientcomputer und Ihrem Netzwerk zwischengeschaltet werden. Diese Geräte fangen die DFÜAnfragen ab und erfordern zusätzliche Information, um Zugang zum Netzwerk zu erhalten und authentifiziert zu werden. Bei Windows 2000 können Sie zwei verschiedene Arten von Sicherheits-Hosts verwenden: 씰
Authentifizierung beim Anruf. Diese Zwischengeräte erfordern normalerweise eine zusätzliche Information, um Zugang zum Server zu erhalten. Die wichtigsten Beispiele hierfür sind Sicherheitsmanager und Sicherheitskarten. Der Sicherheitsmanager ist die Software, die sich auf dem DFÜ-Server befindet. Die Sicherheitskarte ist ein Gerät, das in etwa so groß ist wie eine Visitenkarte und aussieht wie ein Taschenrechner. Die Sicherheitskarte verfügt über eine LCD-Anzeige, auf der sich die Zahlen etwa jede Minute verändern. Die Zahlen im Display sind mit der Software des Sicherheitsmanagers synchronisiert. Wenn ein Anwender den Server aufruft, muss er zuerst diese Zahl auf der Sicherheitskarte angeben, bevor er seinen Berichtigungsnachweis für Windows 2000 eingibt.
씰
Authentifizierung zusammen mit dem Anmeldeprozess. Diese Komponenten können auf Hardware und/oder Software basieren. Ein typisches Beispiel hierfür ist der Remote Authentication Dial-In User Service (RADIUS) Server, der Clientcomputer für Routing und Remote Access authentifiziert. Andere Beispiele beinhalten Softwareprogramme, die mit Smart-Cards kommunizieren und diese überprüfen können, um so dem Anwender Netzwerkreferenzen zur Verfügung zu stellen.
4.4 Netzwerkprotokollsicherheit: Konfigurieren und Fehlerbeseitigung
4.4.3
Kerberos-V5-Authentifizierung
Kerberos-V5 ist das Authentifizierungsprotokoll, das in einer Windows-2000Domäne verwendet wird. Sie müssen nichts tun, um Kerberos zu implementieren – es ist bereits vorhanden. Kerberos authentifiziert Windows-2000-Clientcomputer beim Anmelden in einer Windows-2000-Domäne und ist die Grundlage der Windows-2000-Netzwerksicherheit. Windows 2000 ist nicht das erste Betriebssystem, das Kerberos verwendet – Kerberos existiert bereits seit geraumer Zeit. Es wurde in den 80er-Jahren am MIT entwickelt. Verschiedene Betriebssysteme, die Kerberos verwenden, können so konfiguriert werden, dass sie interagieren, um Zugang zu Objekten im Active Directory zu erhalten. Ein Anwender muss verschiedene Schritte unternehmen, um sich in eine Windows2000-Domäne einzuloggen und Zugang zu Netzwerk-Ressourcen zu erhalten. Es handelt sich dabei um folgende Schritte: 1. Ein Anwender gibt einen gültigen Anwendernamen und ein Kennwort ein. Ein Key Distribution Center (KDC) bestätigt die Anfrage bezüglich der Anmeldung. 2. Bei der Anmeldung erstellt KDC ein Ticket, mit dessen Hilfe der Anwender einen Netzwerkdienst anfragen kann. Dieses Ticket wird als Ticket Granting Ticket oder TGT bezeichnet. 3. Der Clientcomputer weist das TGT beim Ticket-Granting Service (TGS) vor. Der TGS stellt für den Anfrager ein Serviceticket aus. 4. Der Anwender versucht, Zugang zu einer Ressource, oder genauer zu einem Netzwerkdienst zu erhalten. Das Serviceticket ermöglicht dem Clientcomputer ein Zugangslevel zum Netzwerkdienst, indem es die Identifizierung des Anwenders für den Service liefert. Windows-2000-Domänencontroller Jeder Domänencontroller, der Anwender authentifiziert dient auch als KDC. Wenn sich Clientcomputer in die Domäne einloggen, wird ihnen ihr Ticket-GrantingTicket zugewiesen. Erinnern Sie sich daran, dass bei Windows 2000 DNS (Domain Name Service) verwendet wird, um den nächsten Domänencontroller für den Clientcomputer zu lokalisieren. Sollte der nächste Domänencontroller nicht verfügbar sein, so sucht DNS im nächsten verfügbaren Domänencontroller oder KDC nach einer Authentifizierung des Benutzerkontos.
275
276
Kapitel 4
Netzwerkprotokolle
Kerberos-V5 und andere Betriebssysteme Wie bereits erwähnt, ist Microsoft Windows 2000 nicht das erste Betriebssystem, das Kerberos verwendet. Da bereits andere Betriebssysteme dieses Authentifizierungsprotokoll verwenden, können Sie Ihre Domänen so konfigurieren, dass sie mit diesen Systemen interagieren. So können Clientcomputer, die andere Betriebssysteme (wie z.B. UNIX) verwenden, Zugang zu Ressourcen auf Windows-2000-Servern erhalten. Windows 2000 unterstützt zwei verschiedene Arten des Austauschprozesses: 씰
Eine Vertrauensbeziehung zwischen einer Windows-2000-Domäne und einem auf MIT basierenden Bereich.
씰
UNIX-Arbeitsstationen und Server können Konten im Active Directory besitzen und erhalten daher Authentifizierung durch KDC.
4.4.4
VPN
Ein VPN besteht aus zwei oder mehreren Orten, die über ein gemeinsames oder ein öffentliches Netzwerk, wie z.B. das Internet, verbunden sind. Über VPN können sich Anwender mit Remote-Servern und Ressourcen verbinden, so als würden sich diese Ressourcen auf LAN befinden. Folgender Vorgang erstellt eine VPN-Verbindung: 1. Die Daten werden eingekapselt. Der Header liefert Routing-Information über das Zielnetzwerk oder die Host-ID. 2. Die Daten werden durch das öffentliche Netzwerk zum Remote-Host übertragen. Diese Pakete sind verschlüsselt. 3. Wenn die Pakete am Ziel ankommen, werden die Pakete entschlüsselt und die Information wird so gelesen, als wäre sie durch ein sicheres, privates Netzwerk übertragen worden. Windows 2000 unterstützt zwei Arten von VPN: 씰
PPTP. Dieses Protokoll verwendet die Authentifizierung des Punkt-zu-PunktProtokolls (PPP) und die Microsoft-Punkt-zu-Punkt-Verschlüsselung (MPPE) für Daten.
씰
L2TP mit IPSec.
4.5 Verwalten und Überwachen des Netzwerkverkehrs
Durch L2TP können Sie über das Internet Zugang zu Ihrer Windows-2000-Domäne erhalten, so als würde sich der ganze routbare Pfad auf einem privaten Netzwerk befinden. L2TP ist ein Industrie-Standardprotokoll, das ähnliche Features wie PPTP aufweist. Einer der Hauptunterschiede zwischen PPTP und L2TP ist, dass PPTP weder Tunneling über X.25, noch Frame Relay oder Asynchronous Transfer Mode (ATM)Netzwerke unterstützt. Es ist nur für Internet-Tunneling ausgelegt. Wie auch PPTP fasst L2TP Pakete zusammen und sendet Sie dann an ein RemoteNetzwerk. Durch dieses Feature können Clientcomputer und Server unabhängig von TCP/IP-Protokollen verwendet werden. Diese Möglichkeit ist dann sinnvoll, wenn eine Anwendung ein bestimmtes Protokoll erfordert, um richtig zu funktionieren. Dies ist z.B. bei Appletalk 6.07 der Fall. L2TP unterstützt ebenfalls HeaderKompression und Tunnel-Authentifizierung, was bei PPTP nicht der Fall ist. PPTP verwendet für die Authentifizierung PPP-Verschlüsselung, während L2TP den IPSec-Verschlüsselungsstandard verwendet. L2TP garantiert in Verbindung mit IPSec einen sicheren Transfer von Daten zwischen zwei Host-IDs. Auf den IPSecVerschlüsselungsstandard wird gleich noch näher eingegangen werden.
4.5
Verwalten und Überwachen des Netzwerkverkehrs
Als Netzwerkadministrator werden Sie feststellen, dass Netzwerkverkehr die Leistung und den Aufbau eines Netzwerkes direkt beeinflussen kann. Sie werden also einen soliden Plan implementieren wollen, um den vorhandenen Verkehr zu überwachen. Daraus können Sie schließlich schlussfolgern, wie Sie diesen Verkehr verwalten können. Der ewige Kampf dabei wird sein, dass Sie immer an Bandbreite einbüßen werden, wenn sie einen neuen Dienst installieren. Durch Planung, Feinabstimmung und Design können Sie diese Verluste relativ gering halten. Dieser Abschnitt behandelt folgende Themen: 씰
Grundlagen des Netzwerkverkehrs
씰
Netzwerküberwachung
씰
Konfigurieren der Netzwerküberwachung
씰
Einschränken des Netzwerkverkehrs
277
278
Kapitel 4
4.5.1
Netzwerkprotokolle
Was ist Netzwerkverkehr und Netzwerküberwachung?
Netzwerkverkehr ist jeder Vorgang, der von einem Host in Ihrem Netzwerk vorgenommen wird. Jedes Paket, das eine Netzwerkkarte verlässt, trägt zum Netzwerkverkehr bei. Je mehr Hosts Sie in einem Netzwerk haben, desto mehr Dienste werden dem Netzwerk hinzugefügt, und je fehlerhafter Sie das Netzwerk segmentieren, umso mehr Verkehr werden Sie haben. Warum ist das Problem mit dem Netzwerkverkehr so wichtig? Wenn ein Netzwerk während der Stoßzeiten überlastet ist, senkt der Verkehr die Geschwindigkeit des Netzwerks. Das Netzwerk wird so zu einer Engstelle, und es kann schließlich auch ausfallen. Generell gilt: Je mehr Netzwerkdienste, Freigaben und Ressourcen Sie einem Netzwerk hinzufügen, desto mehr Verkehr verwalten Sie. Stellen Sie sich folgende Situation vor: Sie verfügen über 100 Windows 2000 Professional Arbeitsstationen und vier Windows-2000-Server in einer Domäne. Sie haben auf jedem Server DHCP, WINS, DNS, GSNW, TCP/IP, NetBEUI, AppleTalk und NWLink installiert. Dies trägt maßgeblich zum Netzwerkverkehr bei – insbesondere dann, wenn es sich bei den Clientcomputern ausschließlich um Arbeitsstationen mit TCP/IP handelt. Es handelt sich hier also definitiv um eine Situation, in der weniger oft mehr ist. Windows 2000 besitzt viele Tools – auch von Drittanbietern – zur Überwachung Ihrer Netzwerkaktivität. Es gibt jedoch ein Tool, das leistungsfähiger ist als jede Software: Ihr Gehirn! Planen Sie Ihre Netzwerke, bevor Sie sie implementieren. Auf lange Sicht werden Sie mehr Freude daran haben. Hier ein paar Tipps für die Planung eines Netzwerks mit Rücksicht auf Verkehr: 씰
Weniger ist mehr.
씰
Eliminieren Sie unnötige Protokolle.
씰
Eliminieren Sie unnötige Dienste.
씰
Organisieren Sie Ihre Freigaben so, dass sich in der Struktur leicht navigieren lässt.
씰
Haben Sie keine Angst, Ihr Netzwerk zu segmentieren! Je mehr Anwender Sie in Ihrer Umgebung haben, umso mehr »Geplapper« – und umso mehr Streit – werden Sie erfahren müssen.
씰
Verwenden Sie den Netzwerkmonitor, um den Grundzustand Ihres Netzwerkes zu ermitteln. Nutzen Sie diesen, um zu vergleichen, wie sich Ihr Netzwerk entwickelt.
4.5 Verwalten und Überwachen des Netzwerkverkehrs
ACHTUNG Eingeschränkte Version des Netzwerkmonitors Windows 2000 enthält eine eingeschränkte Version des Netzwerkmonitors. Diese eingeschränkte Version erfasst nur Rahmen zwischen dem Host und anderen Computern. Die Vollversion, die im System Management Server (SMS) enthalten ist, kann Rahmen aufzeichnen, die von allen Computern in einem Netzwerksegment gesendet oder empfangen werden.
4.5.2
Installieren des Netzwerkmonitors
Sie verwenden den Netzwerkmonitor, um Pakete in Ihrem Netzwerk aufzuzeichnen. Aufgrund dieser Pakete können Sie Fehler bei Netzwerkproblemen beseitigen und herausfinden, wie groß die Belastung des Netzwerkes ist. Sie können dann auch vorhersagen, wie sich Ihr Netzwerk entwickeln wird. Der Netzwerkmonitor umfasst zwei wesentliche Komponenten: 씰
Netzwerkmonitor. Netzwerkmonitor ist das Programm, das Sie verwenden, um Pakete aufzuzeichnen, die von und an diesem Server geschickt werden. Diese Version von Netzwerkmonitor zeichnet nur Pakete auf, die von und an diesen Server und das LAN geschickt werden.
씰
Treiber des Netzwerkmonitors. Der Treiber des Netzwerkmonitors wird automatisch installiert, wenn Sie den Netzwerkmonitor auf einem Server installieren. Vielleicht aber möchten Sie nur den Treiber des Netzwerkmonitors installieren, damit Remote-Computer durch die Vollversion des Netzwerkmonitors, die im SMS enthalten ist, überwacht werden können.
Die Netzwerküberwachung ist nicht vorinstalliert. Aber sie kann leicht hinzugefügt werden. Schritt für Schritt 4.7 zeigt, wie diese Software installiert wird:
SCHRITT FÜR SCHRITT 4.7
Hinzufügen der Netzwerküberwachung
1. Gehen Sie auf PROGRAMME, EINSTELLUNGEN, SYSTEMSTEUERUNG, SOFTWARE. 2. Klicken Sie auf das Applet WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. Das Dialogfenster WINDOWS-KOMPONENTEN öffnet sich (Abbildung 4.15). 3. In der Liste der Komponenten wählen Sie VERWALTUNGS- UND ÜBERWACHUNGSPROGRAMME. Die Dialogbox VERWALTUNGS- UND ÜBERWACHUNGSPROGRAMME öffnet sich (Abbildung 4.16).
279
280
Kapitel 4
Netzwerkprotokolle
4. Wählen Sie in der Liste der Subkomponenten die Option NETZWERKMONITORPROGRAMME und klicken Sie auf OK. Klicken Sie anschließend auf WEITER. (Sie können auch Verbindungs-Manager-Komponenten und SNMP wählen.) 5. Sie werden vielleicht aufgefordert, die Windows-2000-CD einzulegen oder den Pfad anzugeben, auf dem sich die Quelldateien befinden.
Abbildung 4.15 Verwenden Sie Windows-Komponenten hinzufügen/ entfernen, um die Netzwerküberwachung hinzuzufügen.
Abbildung 4.16 Wenn Sie mehr Informationen über eine Subkomponente der Verwaltungs- und Überwachungsprogram me benötigen, klicken Sie auf Details.
4.5 Verwalten und Überwachen des Netzwerkverkehrs
4.5.3
Installieren des Treibers der Netzwerküberwachung
Wenn Sie den SMS-Netzwerkmonitor eines anderen Computers in diesem Netzwerk verwenden, müssen Sie den Treiber der Netzwerküberwachung hinzufügen. Schritt für Schritt 4.8 zeigt, wie Sie nur den Treiber installieren können.
SCHRITT FÜR SCHRITT 4.8
Hinzufügen des Treibers der Netzwerküberwachung
1. Klicken Sie auf START, EINSTELLUNGEN, SYSTEMSTEUERUNG. Öffnen Sie in Systemsteuerung das Dialogfenster NETZWERK- UND DFÜ-VERBINDUNGEN. 2. Klicken Sie mit der rechten Maustaste auf LAN-VERBINDUNG, und wählen Sie EIGENSCHAFTEN. Das Dialogfeld EIGENSCHAFTEN DER LAN-VERBINDUNG öffnet sich. 3. Klicken Sie auf die Schaltfläche INSTALLIEREN. 4. Wählen Sie aus der Liste der verfügbaren Komponenten den Punkt PROTOKOLL, und klicken Sie dann auf HINZUFÜGEN. Die Dialogbox NETZWERKPROTOKOLL AUSWÄHLEN öffnet sich (Abbildung 4.17). 5. Wählen Sie den Treiber der Netzwerküberwachung und klicken Sie auf OK. Die benötigten Dateien werden hinzugefügt. 6. Möglicherweise werden Sie aufgefordert, die Windows-2000-CD einzulegen oder einen Pfad einzugeben, um Zugang zu den Setup-Dateien zu erhalten.
Abbildung 4.17 Der Treiber des Netzwerkmonitors ist erforderlich, damit der SMSNetzwerk-Monitor Pakete aufzeichnen kann, die von diesem und an diesen Netzwerkadapter gesendet werden.
281
282
Kapitel 4
4.5.4
Netzwerkprotokolle
Verwenden des Netzwerkmonitors zur Datenerfassung
Der Netzwerkmonitor, der in Abbildung 4.18 gezeigt ist, erfasst Frames oder Pakete, die von und an diesen lokalen Computer im Netzwerk gesendet werden. Dieser Abschnitt zeigt, wie die Netzwerküberwachung verwendet wird, um eine einfache Erfassung zu gewährleisten. Später gehen wir noch genauer darauf ein, wie mit Hilfe des Netzwerkmonitors ein Erfassungsfilter erzeugt wird. Vier Fenster im Netzwerkmonitor zeichnen Informationen über den von Ihnen derzeitig angewendeten Vorgang oder über erfasste Dateien auf: 씰
Das GRAFIK-Fenster zeichnet die Aktivität in Prozenten in Form eines Balkens auf.
씰
Das Fenster SITZUNGSSTATISTIK zeichnet die individuelle Statistik der Client-zu-Server-Aktivität während der Datenerfassung oder der momentanen Aktivität auf.
씰
Das Fenster LOKALE STATISTIK zeichnet Informationen über die Aktivitäten jeder Arbeitsstation in einem Netzwerk auf. Denken Sie daran, dass es sich bei dieser Version des Netzwerkmonitors eigentlich um Aktivitäten zwischen Arbeitsstation und Server handelt.
씰
Das Fenster GESAMTSTATISTIK zeichnet die Summe der Statistiken aller anderen Fenster auf.
Abbildung 4.18 Die Netzwerküberwachung besitzt vier Fenster, die Informationen aufzeichnen.
4.5 Verwalten und Überwachen des Netzwerkverkehrs
SCHRITT FÜR SCHRITT 4.9
Erzeugen einer Netzwerkerfassung
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, NETZWERKMONITOR. Das Fenster NETZWERKMONITOR öffnet sich. 2. Gehen Sie auf SAMMELN, STARTEN (Abbildung 4.19). Der Netzwerkmonitor zeichnet die Aktivitäten von und an diesen Computer auf. Sie können auch Aktivität generieren, indem Sie einen PING-Befehl senden. 3. Gehen Sie auf START und AUSFÜHREN. Geben Sie dann CMD ein und drücken Sie auf ENTER, um zur Befehlseingabeaufforderung zu gelangen. Abbildung 4.19 Wählen Sie im Menü Sammeln Starten, um die Aufzeichnungsaktivitäten zu starten.
Abbildung 4.20 Die Detailansicht ermöglicht Ihnen, Einzelheiten jedes aufgezeichneten Paketes zu überprüfen.
283
284
Kapitel 4
Netzwerkprotokolle
4. In der Befehlseingabeaufforderung pingen Sie einen anderen Computer in diesem Netzwerk – oder auch eine Internetadresse. Sie können z.B. eingeben: ping www.newriders.com. 5. Gehen Sie zurück zu NETZWERKMONITOR. Gehen Sie dort auf SAMMELN, BEENDEN und ANZEIGEN. Abbildung 4.20 zeigt die aufgezeichneten Pakete im Fenster DETAIL. Die aufgezeichneten Daten werden angezeigt. 6. Doppelklicken Sie auf einen ICMP-Protokolleintrag, um die Ergebnisse des PING-Befehls zu sehen. 7. Schließen Sie das Anzeigefenster, um zum Fenster STATIONSSTATISTIK zurückzukehren.
4.5.5
Interpretieren der erfassten Daten
Die Interpretierung der erfassten Daten ist von der Art des Servers abhängig, mit dem Sie arbeiten. Welche Rolle spielt der Server in dieser Domäne? Handelt es sich um einen Domänencontroller, um einen Anwendungsserver oder um einen Dateiserver? Je nach Rolle des Servers liegen verschiedene Verkehrsmuster vor. Um ein genaues Bild von den Aktivitäten des Servers zu erhalten, benötigen wir einen Filter. Filter ermöglichen es, Pakete, die für den Server nicht relevant sind, erfasste Pakete oder Paketarten, nach denen wir suchen, auszufiltern. Wählen Sie aus dem Menü SAMMELN im Netzwerkmonitor den Punkt FILTER. Das Dialogfenster ERFASSUNGSMENÜ bietet Ihnen folgende Möglichkeiten: 씰
Filterprotokolle für die Erfassung festlegen. Sie können bestimmen, welche Protokolle Sie in der Erfassung angezeigt haben möchten. Vervollständigen Sie das Feld SAP/ETYPE mit dem/den Protokoll/en, die Sie angezeigt haben möchten.
씰
Adresspaare festlegen. Diese Option ermöglicht Ihnen, bis zu drei Adresspaare auszufiltern, die Pakete aneinander geschickt und voneinander erhalten haben.
씰
Musterübereinstimmungen für die Erfassung festlegen. Diese Einstellung enthält viele Optionen, um eigene Variablen für das Erfassen von Daten zu erstellen und um diese Daten anschließend anzeigen zu können. Sie können Rahmen anzeigen, die ein bestimmtes Muster beinhalten.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
Bevor Sie Veränderungen in Ihrem Netzwerk implementieren, müssen Sie immer den Grundzustand festhalten. Der Grundzustand ist eine Momentaufnahme davon, wie Ihr Netzwerk unter normalen Bedingungen funktioniert. Nach dem Aufzeichnen des Grundzustandes nehmen Sie die gewünschten Veränderungen vor und machen den Test erneut. Nachdem Sie diesen Test durchgeführt haben, stellen Sie sich selbst folgende Fragen: 씰
Waren die Veränderungen für die Leistung hilfreich oder hinderlich?
씰
Falls die Veränderungen die Leistung beeinträchtigen: Habe ich alle Optionen für diese Veränderung richtig konfiguriert? Habe ich z.B. alle Bindungen wieder konfiguriert?
씰
Hat sich die Leistung eines der Netzwerkbereiche, wie z.B. die Anmeldezeit, verbessert, haben sich dafür aber die Leistungen anderer Netzwerkbereiche, wie z.B. die Kommunikation zwischen Domänencontrollern, verschlechtert?
씰
Beträgt die Netzwerklast mehr als 75%? Wenn dies der Fall ist, sollte ich dann einen Switch oder einen Router einrichten, um das Netzwerk zu unterteilen?
Nachdem Sie die Veränderungen in Ihrem Netzwerk hinzugefügt und konfiguriert haben, zeichnen Sie den Grundzustand erneut auf, um festzuhalten wie Ihr System nach diesen Veränderungen funktioniert. In den folgenden Tagen, Wochen und Monaten sollten Sie diesen Test regelmäßig wiederholen und die Ergebnisse mit dem aufgezeichneten Grundzustand vergleichen. Hiermit können Sie vorhersehen, wie sich Ihr Netzwerk entwickeln wird und welche Ressourcen Ihre Bandbreite verbraucht.
4.6
IPSec: Konfigurieren und Fehlerbeseitigung
IPSec ist ein Gerüst offener Standards, die private sichere Kommunikation über IPNetzwerke garantieren. Dieses Protokoll entwickelt sich schnell zum eigentlichen Gerüst für sichere Kommunikation mit VPN. Wahrscheinlich wird IPSec-PPTP das von Microsoft bevorzugte VPN-Protokoll ersetzen. IPSec nutzt viele der Vorteile der beliebtesten Verschlüsselungsprotokolle, die heute verwendet werden. Mehr Informationen zu Verschlüsselungsprotokollen finden Sie im Abschnitt »Konfigurieren von Verschlüsselungsprotokollen« in Kapitel 3, »Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von Remote Access in einer Windows-2000Netzwerk-Infrastruktur«. IPSec basiert auf einem Sicherheitsprotokoll, bei dem nur
285
286
Kapitel 4
Netzwerkprotokolle
der sendende und der empfangende Computer über IPSec Bescheid wissen müssen. Die Pakete werden durch das Netzwerk übertragen, ohne von einem der intervenierenden Netzwerkgeräte beeinträchtigt zu werden. Jedes IPSec-Gerät besitzt seine eigene Sicherheit und geht davon aus, dass das Transportmedium nicht sicher ist. Ein unsicheres Transportmedium wäre z.B. das Internet. Die Microsoft Windows2000-Implementierung von IPSec basiert auf Standards, die von der Internet Engineering Task Force (IETF) IPSec-Arbeitsgruppe entwickelt wurden. Es ist jedoch wichtig zu wissen, dass Microsoft zwei Implementierungen von IPSec verwendet: die IETF-Version, die auch als reiner IPSec-Tunnelmodus oder nur als Tunnelmodus bekannt ist, und die Microsoft-Variante des IPSec, die Microsoft als L2TP/ IPSec-Modus oder Transportmodus bezeichnet. Ein IPSec-VPN, das konfiguriert ist, um Transportmodus zu verwenden, sichert ein vorhandenes IP-Paket von der Quelle bis zum Ziel, indem es die Verschlüsselungs- und Authentifizierungsmethoden verwendet, die später in diesem Kapitel noch erläutert werden. Der Tunnelmodus verpackt ein vorhandenes IP-Paket in ein neues IP-Paket, das im IPSec-Format an den Tunnelendpunkt geschickt wird. Sowohl der Transportmodus als auch der Tunnelmodus können in Encapsulating Security Payload (ESP) oder AH-Header zusammengefasst werden. Die IETF Request for Comments (RFC) IPSec-Tunnelprotokoll-Spezifikationen enthalten keine Mechanismen, die für Remote-AccessVPN-Clients geeignet sind, und konzentrierten sich statt dessen auf Site-to-SiteImplementierungen. Aus diesem Grund basiert die Microsoft-Implementierung von Tunnelmodus auf der Verwendung des L2TP-Protokolls. Dieses Protokoll wurde zusammen mit Cisco entwickelt, um ein weiteres Paketformat zur Verfügung zu stellen. (Eine Einführung in die Komponenten des IPSec finden Sie etwas später in diesem Kapitel). Die Windows-2000-IPSec-VPN-Implementierung enthält folgende Features: 씰
IPSec in Windows 2000 basiert auf Richtlinien. Es kann nicht konfiguriert werden, wenn keine IPSec-Richtlinie vorliegt, die es dem Administrator ermöglicht, bei Objektgruppen, wie z.B. Computern oder Anwendern, Einstellungen leichter vorzunehmen.
씰
IPSec in Windows 2000 kann für die Anwenderauthentifizierung KerberosV5 verwenden.
씰
Bevor Daten ausgetauscht werden, authentifiziert IPSec Computer gegenseitig.
씰
IPSec baut eine Security-Association (SA) zwischen den zwei Host-Computern auf, zwischen denen die Daten übertragen werden. Eine SA ist eine Sammlung von Richtlinien und Schlüsseln, die die Regeln für die Sicherheitseinstellungen bestimmen.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
씰
IPSec verschlüsselt Daten mit dem Data Encryption Standard (DES), dem dreifachen DES (3DES) oder dem 40-Bit-DES.
씰
IPSec kann öffentliche Verschlüsselungszertifikate für vertrauenswürdige Hosts aus Nicht-Windows-2000-Domänen verwenden.
씰
IPSec ermöglicht eine vorinstallierte Schlüsselunterstützung. Steht die Kerberos-Authentifizierung nicht zur Verfügung, so kann ein gemeinsamer Schlüssel, wie z.B. ein Kennwort, konfiguriert werden, um die IPSec-Sitzung einzustellen.
씰
IPSec ist für die Anwender nicht sichtbar. IPSec läuft auf der Netzwerkschicht des Open System Interface (OSI)-Modells. Deswegen interagieren die Anwender und Anwendungen nicht direkt mit dem Protokoll. Nachdem ein IPSec-Tunnel erstellt wurde, können sich die Anwender mit Anwendungen und Diensten verbinden, ganz so als würden sie sich im lokalen Netzwerk befinden, und nicht auf der anderen Seite eines öffentlichen Netzwerkes.
PRÜFUNGSTIPP VPN-Verbindungen schü hüttzen. Standardmäßig werden Client-RemotezugriffsVPN-Verbindungen durch eine automatisch generierte IPSec-Richtlinie geschützt, die den IPSec-Transportmodus (nicht den Tunnelmodus) verwendet, wenn die L2TP-Tunnelart ausgewählt ist. Sie werden diese Konfiguration wahrscheinlich in fast jeder Produktionsimplementierung einer Windows-2000-IPSec-Implementierung sehen. Um diese Konfiguration zuzulassen, installieren Sie Routing und Remote Access und konfigurieren Sie es für die L2TP-Verbindung. Dies ist im Abschnitt »Konfigurieren eines Virtuellen Privaten Netzwerkes (VPN)« in Kapitel 3 beschrieben.
PRÜFUNGSTIPP Tunnelmodus contra Transportmodus. Denken Sie daran, dass reines IPSec als Tunnelmodus bezeichnet wird, während die Standard-L2TP/IPSec-Implementierung als Transportmodus bezeichnet wird.
PRÜFUNGSTIPP Was ist IPSec? Die Prüfung wird auch Fragen und Situationsdarstellung über IPSec enthalten. Auch wenn sie nicht alle von IPSec verwendeten Verschlüsselungsprotokolle bis ins kleinste Detail kennen müssen, sollten Sie doch mit den verschiedenen Komponenten von IPSec vertraut sein und wissen, wie ein IPSecTunnel implementiert wird. Achten Sie besonders darauf, wie man mit IPSecRichtlinien arbeitet.
287
288
Kapitel 4
Netzwerkprotokolle
IPSec läuft auf der Netzwerkschicht. Deswegen ist es für Anwendungen und Computer nicht sichtbar. Das Verständnis der folgenden Features wird Ihnen jedoch dabei helfen, Probleme auf Fehler zu untersuchen, die in einer Verbindung auftreten können, und diese zu beseitigen. 씰
IPSec-Richtlinien sind Teil der lokalen (und/oder) Gruppenrichtlinien im Active Directory. Dieses eingebaute Feature ermöglicht das Zentralisieren von Veränderungen und der Verwaltung. Einstellungen für IPSec werden auf dem Computer durchgeführt, wenn die Richtlinie durchgeführt wird.
씰
Das Internet-Security-Key-Association-Key-Management-Protokoll (ISAKMP) überwacht die Aushandlungen zwischen Hosts und stellt den Schlüssel zur Verfügung, der mit Sicherheitsalgorithmen verwendet wird.
씰
Der installierte IPSec-Treiber sichert den Verkehr zwischen zwei Hosts.
4.6.1
Architektur und Komponenten von IPSec
Sehen wir uns nun die IPSec zugrunde liegende Architektur und die Komponenten von IPSec an. IPSec bietet Dienste zur Daten- und Identitätssicherung für jedes IPPaket, indem es an jedes der Pakete einen Sicherheits-Protokoll-Header anhängt. Dieser Header setzt sich aus verschiedenen Komponenten zusammen, wobei jede der Komponenten eine eigene Funktion hat. Authentifizierungs-Header (AH) Der IPSec-AH bietet als Teil des IPSec-Protokolls drei Dienste. Wie der Name bereits vermuten lässt, authentifiziert AH das gesamte Paket. Zum Zweiten sichert AH die Integrität der Daten. Drittens verhindert AH das Abspielen des Paketes durch einen Dritten, der vielleicht versucht, in den IPSec-Tunnel einzudringen. Ein Dienst, den AH nicht bietet, ist die Verschlüsselung der Daten an sich. AH schützt Ihre Daten vor Veränderung. Allerdings kann ein »Eindringling«, der im Netzwerk schnüffelt, die Daten trotz AH lesen. Um ein Verändern der Daten zu verhindern, verwendet AH Hash-Algorithmen, die die Pakete auf Integrität hin kennzeichnen. 씰
Message Digest 5 (MD5) verwendet die Hash-Funktion für die Daten in vier Schritten.
Der Secure Hash Algorithm (SHA) ist sehr ähnlich aufgebaut wie MD5. SHA verwendet 79 32-Bit-Konstanten während der Berechnung des Hash-Wertes. Dies führt zu einem 160-Bit-Schlüssel. Da die Schlüssellänge des SHA länger ist, wird SHA im Allgemeinen als sicherer als MD5 angesehen.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
AH verwendet die IP-Protokollkennung 51, um sich selbst im IP-Header zu identifizieren. Der AH-Header setzt sich aus folgenden Feldern zusammen: 씰
Nächster Header. Identifiziert den nächsten Header, der die IP-Protokoll-ID verwendet.
씰
Länge. Gibt die Länge des AH-Headers an.
씰
Security Parameter Index (SPI). SPI wird zusammen mit der Zieladresse und dem Sicherheitsprotokoll (AH oder ESP) verwendet. SPI wird vom Empfänger verwendet, um die Schlüssel und die Vorgänge der Verschlüsselung zu identifizieren und um die Pakete zu entschlüsseln.
씰
Sequenzzahl. Sorgt für die Anti-Replay-Funktion des AH. Die Sequenz-Zahl ist eine von Null ab ständig steigende Zahl, die keine Ringe bilden darf, und die die Paketnummer angibt. Der Computer, der das Paket erhält, überprüft dieses Feld, um sicherzugehen, dass dieses Paket nicht bereits erhalten wurde. Wurde bereits ein Paket mit dieser Nummer erhalten, so wird das Paket abgelehnt.
씰
Authentifizierungsdaten. Enthält den Integrity Check Value (ICV), der verwendet wird, um die Integrität der Meldung zu überprüfen. (Es handelt sich hierbei um den zuvor erwähnten Hash-Wert.) Der Empfänger berechnet den Hash-Wert und vergleicht ihn mit dem ICV, um die Integrität des Paketes zu überprüfen.
AH kann alleine oder in Kombination mit dem ESP-Protokoll verwendet werden. ESP ESP garantiert neben Authentifizierung, Integrität und Anti-Replay auch Vertraulichkeit. ESP ist der Teil des IPSec-Protokolls, der den Dateninhalt eines Paketes verschlüsselt. ESP hat verschiedene Formate, je nach der Art und dem Modus der Verschlüsselung, die verwendet wird. ESP kann alleine, in Kombination mit AH oder, wie in der Microsoft-Implementierung, zusammen mit L2TP verwendet werden. ESP erscheint im IP-Header mit der IP-Protokollkennung 50. Der ESP-Header enthält folgende Felder: 씰
SPI. SPI wird in Kombination mit der Zieladresse und dem Sicherheitsprotokoll (AH oder ESP) verwendet. SPI wird vom Empfänger eingesetzt, um die Schlüssel und die Vorgänge der Verschlüsselung zu identifizieren und um die Pakete zu entschlüsseln.
289
290
Kapitel 4
씰
Netzwerkprotokolle
Sequenzzahl. Sorgt für die Anti-Replay-Funktion des ESP. Die Sequenzzahl ist eine von Null ab ständig steigende Zahl, die keine Ringe bilden darf, und die die Paketnummer angibt. Der Computer, der das Paket erhält, überprüft dieses Feld, um sicherzugehen, dass dieses Paket nicht bereits erhalten wurde. Wurde bereits ein Paket mit dieser Nummer erhalten, so wird das Paket abgelehnt.
Der ESP-Trailer setzt sich aus folgenden Feldern zusammen: 씰
Padding. 0 bis 255 Byte, die für eine 32-Bit-Ausrichtung und für die Blockgröße der Blockverschlüsselung verwendet werden.
씰
Padding-Länge. Gibt die Länge des Padding-Feldes in Bytes an.
씰
Nächster Header. Gibt die Aufmachung der nächsten Nutzlast, wie z.B. TCP oder UDP an.
Der ESP-Authentifizierungs-Trailer umfasst ein Feld: die Authentifizierungsdaten. Dieses Feld enthält den ICV und einen MAC, die eingesetzt werden, um die Identität des Senders zu überprüfen und die Integrität der Daten zu sichern. ESP wird nach dem IP-Header und vor dem oberen Layer-Protokoll, wie z.B. dem TCP, UDP oder dem ICMP eingefügt. ESP wird vor jedem anderen IPSec-Header (wie z.B. AH) eingefügt, die zuvor bereits eingefügt wurden. Alles, was nach ESP folgt (das obere Layer-Protokoll, die Daten und der ESP-Trailer), ist verschlüsselt. Der IP-Header selbst ist nicht verschlüsselt, und daher nicht unbedingt gegen Veränderungen geschützt, wenn der Tunneling-Modus nicht aktiviert ist. Der letzte Teil des IPSec-Protokolls sind die Authentifizierung und der Schlüsselaustauschmechanismus. Diese Aufgabe wird duch ein Protokollpaar erfüllt.
HINWEIS Warum ist Replaying schlecht? Sie haben sicherlich festgestellt, dass das Thema Replaying mehrfach in der Diskussion über IPSec auftauchte. Replaying ist eine etwas obskure Methode, um Zugang zu einem System zu erlangen. Eine ReplayAttacke wird zu einem Problem, da TCP/IP-Protokolle wie das Network File System (NFS) über keine Mechanismen verfügen, um festzustellen, ob ein Paket wiederholt gesendet wurde – auch nicht nach mehreren Stunden. Zum Glück aber machen die Anti-Replay-Mechanismen des IPSec eine solche Replay-Attacke unmöglich.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
Internet Security Key Association Key Management Protocol (ISAKMP/ Oakley) ISAKMP/Oakley (auch als ISAKMP/IKE für den Austausch von Schlüsseln über Internet bekannt) stellt einen Mechanismus zur Verfügung, der es verschiedenen VPN-Servern ermöglicht, sich Informationen über Verschlüsselungsarten zu teilen und so das IPSec-Protokoll für heutige Umgebungen brauchbar macht. Bevor gesicherte Daten über VPN-Server ausgetauscht werden können, muss eine Sicherheitszuordnung zwischen den beiden Computern erarbeitet werden. In dieser Sicherheitszuordnung, die auch SA genannt wird, stimmen beide Computer darüber überein, wie die Information ausgetauscht und geschützt wird. Anders gesagt müssen die beiden Server (oder der Server und der Client-Computer) darüber übereinstimmen, wie die zu sendenden Daten ver- und entschlüsselt werden sollen. Damit dieser Prozess möglich wird, verwendet das IPSec einen Standardvorgang, um die Sicherheitszuordnung zwischen zwei Computern zu erstellen. Dieser Vorgang besteht aus dem ISAKMP und Oakley-Schlüsselgenerierungs-Protokoll. ISAKMP liefert die zentralisierte Security-Association-Management, während Oakley den Schlüssel generiert und verwaltet, der für die Sicherung der Daten verwendet wird. Das letzte Teil, das in diesem Puzzle noch fehlt, ist die Microsoft-IPSec/L2TP-Implementierung, die der IPSec-Implementierung ein weiteres Tunneling-Protokoll hinzufügt. L2TP und IPSec Der Hauptunterschied zwischen dem ESP-Tunnel und L2TP besteht darin, dass L2TP auf dem Layer 2 des OSI-Modells, dem Data-Link-Layer, ausgeführt wird. Dadurch kann L2TP weitere Protokolle, wie IPX oder NetBEUI tunneln. Das IPSec-ESP-Tunnelingprotokoll kann nur TCP/IP-Protokolle tunneln, die auf dem Standard basieren. Werden L2TP und IPSec kombiniert verwendet, um somit einen sicheren Tunnel zu garantieren, so wird der ursprüngliche Paket-Header benutzt, um die Quelle und den Zielort des Paketes zu übermitteln, während der IP-Header des Tunnel-Paketes die Adresse eines IPSec-Gateways enthält. Der L2TP-Header überträgt die Information, die benötigt wird, um das Paket über das Netzwerk zu routen. Der PPP-Header im verpackten Paket identifiziert das Protokoll des ursprünglichen Paketes. Oder anders gesagt: Wird L2TP verwendet, um Daten zu übertragen, so wird IPSec eingesetzt, um den Tunnel zu sichern. L2TP verpackt das Paket in einen PPP-Rahmen. Der PPP-Rahmen wird zu einem UDP-Rahmen hinzugefügt, der dem Anschluss 1701 zugewiesen ist. UDP ist Teil der TCP/IP-Protokollfamilie und ermöglicht IPSec, den Inhalt der Pakete zu sichern. Die Inhalte von L2TP sind daher sicher und unabhängig vom urspünglichen Protokoll und/oder der Datenart.
291
292
Kapitel 4
Netzwerkprotokolle
Ein weiterer Vorteil der L2TP-Methode ist, dass weitere Verschlüsselungs-Algorithmen für die Sicherung der Daten zur Wahl stehen. Sie kennen nun also die Vorteile und die Hintergründe des IPSec-Protokolls. Sehen wir uns nun an, wie mit IPSec gearbeitet wird.
4.6.2
Zulassen von IPSec durch eine Richtlinie
Bevor Sie IPSec auf Ihrem lokalen Computer oder Ihrer Domäne aktivieren, werden Sie IPSec mittels Richtlinien konfigurieren wollen. Eine IPSec-Richtlinie ist ein Satz Regeln, die bestimmen, wie und wann die Kommunikation zwischen zwei Endpunkten gesichert ist. Dies geschieht durch die Konfiguration verschiedener Regeln. Jede Regel enthält eine Ansammlung von Vorgängen und Filtern, die dann beginnen, wenn sie zwei zueinander passende Endpunkte finden. Mit Richtlinien können Sie, basierend auf den Einstellungen, die in Ihrer Organisation erforderlich sind, IPSec schnell und einfach konfigurieren. Die Schritt-fürSchritt-Anleitung 4.10 zeigt, wie Sie zunächst IPSec-Richtlinien konfigurieren.
HINWEIS L2TP 2TP-Tunnelin ling – Teil des Standards? Wenn Sie sich die RFP für IPSec durchgelesen haben, so ist Ihnen vielleicht aufgefallen, dass L2TP nirgends im Dokument erwähnt wird. L2TP ist ein Zusatz von Microsoft für IPSec. Während dieses Buch geschrieben wurde, beantragte Microsoft bei der IPSec-Arbeitsgruppe bei der nächsten Revision der Spezifikationen die Einführung seiner L2TP-Variante. Zu der Zeit gab es aber keine Anzeichen dafür, ob Microsoft mit diesem Antrag erfolgreich sein würde oder nicht. Bei L2TP handelt es sich jedoch um ein Joint Venture zwischen Microsoft und Cisco, und Cisco ist zu einem großen Teil an der Erarbeitung der IPSec-Spezifikationen beteiligt. Die Zeit wird zeigen, ob Microsoft erfolgreich sein wird.
SCHRITT FÜR SCHRITT 4.10 Erstellen einer IPSec-Richtlinie 1. Gehen Sie auf START und AUSFÜHREN. Geben Sie MMC /s ein, und drücken Sie (¢). Das Konsolenmenü öffnet sich (siehe Abbildung 4.21). 2. Gehen Sie im Konsolenmenü auf SNAP-IN HINZUFÜGEN/ENTFERNEN. Das Dialogfenster SNAP-IN HINZUFÜGEN/ENTFERNEN erscheint (siehe Abbildung 4.22). Klicken Sie auf die Schaltfläche HINZUFÜGEN. 3. Wählen Sie aus der Liste der Komponenten IP-SICHERHEITSRICHTLINIENVERWALTUNG, und klicken Sie auf HINZUFÜGEN.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
4. Wählen Sie LOKALEN COMPUTER. Achten Sie darauf, dass sich unter den anderen Optionen auch DOMÄNENRICHTLINIE FÜR DIE DOMÄNE DIESES COMPUTERS VERWALTEN, DOMÄNENRICHTLINIE FÜR EINE ANDERE DOMÄNE VERWALTEN ODER ANDEREN COMPUTER befinden. Klicken Sie auf FERTIG STELLEN, SCHLIESSEN, und OK, um zur MMC zurückzukehren. Sie können auch zur Sicherheitsrichtlinie für Domänen zurückkehren, indem Sie die Konsole LOKALE SICHERHEITSRICHTLINIE öffnen. Gehen Sie hierfür auf START, PROGRAMME, VERWALTUNG, LOKALE SICHERHEITSRICHTLINIE. Diese Konsole ist in Abbildung 4.24 dargestellt. Abbildung 4.21 Die Eingabe von MMC /s in Ausführen bringt Sie zu einer leeren Microsoft Management Console (MMC).
5. Klicken Sie im Konsolenbaum mit der rechten Maustaste auf IP-SICHERHEITSRICHTLINIEN und wählen Sie die Option IP-SICHERHEITSRICHTLINIE ERSTELLEN. Der Assistent für IP-Sicherheitsrichtlinien öffnet sich (siehe Abbildung 4.25). 6. Klicken Sie auf WEITER, um das Dialogfenster IP-SICHERHEITSRICHTLINIENNAME zu öffnen (siehe Abbildung 4.26). Geben Sie einen beschreibenden Namen und eine Beschreibung der Richtlinie ein. Dies hilft Ihnen, die Richtlinien zu verwalten, wenn die Zahl der Richtlinien ansteigt. 7. Klicken Sie auf WEITER, um das Dialogfenster ANFRAGE NACH SICHERER KOMMUNIKATION zu öffnen (siehe Abbildung 4.27). Dadurch können Sie die neue Richtlinie als Standard-Richtlinie für jede Anfrage nach sicherer Kommunikation verwenden. Da es sich um die erste Richtlinie handelt, ist die Option AKTIVIEREN DER STANDARDANTWORTREGEL gewählt.
293
294
Kapitel 4
Netzwerkprotokolle
Abbildung 4.22 Sie können das Dialogfenster Snap-In hinzufügen/entfernen verwenden, um eine an Sie angepasste MMC zu erstellen.
Abbildung 4.23 Wählen Sie die Komponenten aus, die Sie der MMCKonsole hinzufügen möchten.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
Abbildung 4.24 Die Konsole Lokale Sicherheitsrichtlinie ermöglicht Ihnen Zugang zu allen Windows2000-Sicherheitsrichtlinien, einschließlich der IPSicherheitsrichtlinien.
Abbildung 4.25 Der Assistent für IPSicherheitsrichtlinien führt Sie durch das Erstellen einer IP-Sicherheitsrichtlinie.
8. Klicken Sie auf WEITER, um das nächste Dialogfenster zu öffnen (siehe Abbildung 4.28). Dieses Dialogfenster ermöglicht Ihnen, die Standardauthentifizierungsmethode für Anfragen nach sicherer Kommunikation zu konfigurieren. Behalten Sie den von Windows 2000 voreingestellten Standard (Kerberos-V5-Protokoll) bei. Sie können auch ein Zertifikat verwenden oder eine Zeichenfolge konfigurieren, die zum Schutz des IPSec-Schlüsselaustausches verwendet wird.
295
296
Kapitel 4
Netzwerkprotokolle
Abbildung 4.26 Das Dialogfenster IP-Sicherheitsrichtlinienname ermöglicht Ihnen, jeder Richtlinie einen Namen und eine Beschreibung zu geben.
Abbildung 4.27 Das Dialogfenster Anforderungen für sichere Kommunikation ermöglicht Ihnen zu konfigurieren, ob die Richtlinie zum Standard für Anfragen nach sicherer Kommunikation wird.
4.6 IPSec: Konfigurieren und Fehlerbeseitigung
9. Klicken Sie auf WEITER, um zum Dialogfenster ASSISTENT FÜR IP-SICHERHEITSRICHTLINIE FERTIGSTELLEN zu gelangen (siehe Abbildung 4.29). Hier erhalten Sie die Möglichkeit, die Richtlinieneigenschaften nach Fertigstellen des Assistenten zu verändern. 10. Lassen Sie die Option EIGENSCHAFTEN BEARBEITEN eingestellt, und klicken Sie auf FERTIG STELLEN, um den Assistenten zu beenden und zum Dialogfenster EIGENSCHAFTEN DER SICHERHEITSRICHTLINIE zu gelangen (siehe Abbildung 4.30). Achten Sie darauf, dass sämtlicher IP-Verkehr Sicherheitsvorkehrungen braucht. Nehmen Sie sich Zeit, um die anderen Einstellungen für Clientcomputer und auch die Server-Einstellungen durchzusehen. 11. Klicken Sie auf OK, um die Eigenschaften zu schließen und zur Konsole IPSICHERHEITSRICHTLINIE AUF LOKALEM COMPUTER zurückzukehren. Achten Sie darauf, dass die neue Sicherheitsrichtlinie nun im rechten Anzeigenbereich aufgelistet ist. Um die Richtlinie zu aktivieren, klicken Sie mit der rechten Maustaste auf die neue Richtlinie und wählen Sie anschließend ZUWEISEN. Der Eintrag RICHTLINIE ZUGEWIESEN wechselt von NEIN auf JA, und die Richtlinie wird aktiviert.
Abbildung 4.28 Das Dialogfenster Standardantwortregel der Authentifizierungsmethode ermöglicht Ihnen zu konfigurieren, wie Anfragen nach sicherer Kommunikation durch Verwendung der Standard-Regel authentifiziert werden müssen.
297
298
Kapitel 4
Netzwerkprotokolle
Abbildung 4.29 Nach dem Fertigstellen des Assistenten für IPSicherheitsrichtlinien müssen Sie die Eigenschaften der Richtlinie verändern, um sie Ihren Bedürfnissen anzupassen.
Abbildung 4.30 Die Eigenschaften der Sicherheitsrichtlinien ermöglichen Ihnen eine Feineinstellung der Konfiguration Ihrer IPSec-Sicherheitsrichtlinie.
4.7 IPSec an die Client-Anforderung anpassen
4.7
IPSec an die Client-Anforderung anpassen
Nach dem Installieren und Konfigurieren ist das nächste Teil im Puzzle des IPSec das Anpassen der IPSec-Konfiguration an Ihre speziellen Anforderungen. Sehen wir uns dazu die Eigenschaften der IP-Sicherheitsrichtlinie an. Die IP-Sicherheitsrichtlinie wird verwendet, um alle IPSec-Verbindungen zum Windows-2000-Server zu verwalten. Die Eigenschaften der IP-Sicherheitsrichtlinie ist in zwei Registerkarten unterteilt: Regeln (siehe Abbildung 4.30) und ALLGEMEIN (siehe Abbildung 4.31). Sehen wir uns zunächst die Registerkarte REGELN an. Das Fenster IP-SICHERHEITSREGELN listet alle IP-Sicherheitsregeln auf, die für diese Richtlinie aktiv sind. Das Bearbeiten einer Regel öffnet das Dialogfenster REGELEIGENSCHAFTEN BEARBEITEN (siehe Abbildung 4.32). In diesem Abschnitt stehen drei Registerkarten zur Verfügung: Abbildung 4.31 Die Registerkarte Allgemein ermöglicht Ihnen nicht nur, den Namen und die Beschreibung einer Richtlinie zu verändern, sondern auch die Parameter für den Austausch von Schlüsseln zu konfigurieren.
씰
Sicherheitsmethoden. Die Registerkarte SICHERHEITSMETHODEN ermöglicht Ihnen zu konfigurieren, welche Sicherheitsmethoden verwendet werden können, wenn die Erstellung eines IPSec-Tunnels mit einem anderen Computer ausgehandelt wird. Sie können dabei nicht nur die Sicherheitsmethoden konfigurieren, die verwendet werden sollen, sondern auch die Reihenfolge der verschiedenen Sicherheitsmethoden nach Ihren Anforderungen festlegen.
299
300
Kapitel 4
Netzwerkprotokolle
씰
Authentifizierungsmethoden. Die Registerkarte AUTHENTIFIZIERUNGSMETHODEN (siehe Abbildung 4.33) ermöglicht Ihnen festzulegen, ob Kerberos, ein Zertifikat oder eine Zeichenfolge verwendet werden soll, um den Austausch der Schlüssel zu sichern. Sie können auch mehrere Methoden auswählen und deren Reihenfolge festlegen.
씰
Verbindungstyp. Die Registerkarte VERBINDUNGSTYP (siehe Abbildung 4.34) legt fest, für welche Verbindungsarten die Regel angewandt wird: Alle Netzwerkverbindungen, LAN oder Remote Access.
Abbildung 4.32 Das Dialogfenster Eigenschaften von Regel bearbeiten ermöglicht Ihnen, eine aktive IPSicherheitsregel an Ihre Anforderungen anzupassen.
Sie kennen nun die beiden Arten der IPSec-Implementierung (Transportmodus und Tunnelmodus), und wissen, wie eine IPSec-Sicherheitsrichtlinie erstellt wird. Wie bereits gesagt, ist das Konfigurieren eines Windows-2000-Servers zur Verwendung des Transportmodus für IPSec genauso einfach wie das Installieren von Routing und Remote Access und das Zulassen von VPN. L2TP/IPSec (Transportmodus) ist immer voreingestellt. In Fällen, in denen der Windows-2000-Server mit Routern oder Gateways von Drittfirmen zusammenarbeiten muss, die L2TP/IPSec nicht unterstützen, müssen Sie einige Einstellungen vornehmen, um den Tunnelmodus verwenden zu können. Bevor wir hier auf die einzelnen Schritte eingehen, sollten wir zunächst die allgemeinen Schritte betrachten, die dazu erforderlich sind.
4.7 IPSec an die Client-Anforderung anpassen
Abbildung 4.33 Das Konfigurieren der Authentifizierungsmethode ist ein wesentlicher Teil einer sicheren IPSec-Implementierung.
Abbildung 4.34 Die Registerkarte Verbindungstyp ermöglicht Ihnen festzulegen, an welcher Netzwerkschnittstelle diese Richtlinie aktiv sein wird.
301
302
Kapitel 4
Netzwerkprotokolle
1. Sie brauchen eine IPSec-Richtlinie, wie z.B. die, die Sie in der Schritt-fürSchritt-Anleitung0 4.10 erstellt haben. 2. Sie müssen zwei Filter einrichten: einen für Pakete, die vom lokalen Netzwerk zum Remote-Netzwerk (Tunnel 1) übertragen werden, und einen für Pakete, die vom Remote-Netzwerk zum lokalen Netzwerk übertragen werden. 3. Sie müssen eine Filteraktion konfigurieren, um zu bestimmen, wie der Tunnel geschützt werden soll. Jeder Tunnel wird durch eine Regel vertreten. Sie benötigen für diesen Vorgang also zwei Regeln. 4. Um Ihr VPN für den Tunnelmodus zu konfigurieren, gehen Sie wie folgt vor.
SCHRITT FÜR SCHRITT 4.11 Konfigurieren des VPN für den Tunnelmodus 1. Öffnen Sie die Konsole LOKALE SICHERHEITSRICHTLINIE, indem Sie auf START, PROGRAMME, VERWALTUNG und LOKALE SICHERHEITSRICHTLINIE gehen. 2. Klicken Sie mit der rechten Maustaste auf die IP-SICHERHEITSRICHTLINIE, die Sie in der Schritt-für-Schritt-Anleitung 4.10 erstellt haben, und wählen Sie aus dem Kontextmenü den Punkt EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN DER NEUEN IP-SICHERHEITSRICHTLINIE öffnet sich (siehe Abbildung 4.35). 3. Deaktivieren Sie, falls nötig, die Option ASSISTENT VERWENDEN und klicken Sie auf HINZUFÜGEN, um eine neue Regel zu erstellen. Das Dialogfenster EIGENSCHAFTEN VON NEUE REGEL öffnet sich (siehe Abbildung 4.36). 4. In der Registerkarte IP-FILTERLISTE klicken Sie auf HINZUFÜGEN. Das Dialogfenster IP-FILTERLISTE öffnet sich (siehe Abbildung 4.37). 5. Geben Sie einen entsprechenden Namen und Beschreibung für die IP-Filterliste ein. Deaktivieren Sie, falls nötig, die Option ASSISTENT VERWENDEN und klicken Sie anschließend auf HINZUFÜGEN. Das Dialogfenster EIGENSCHAFTEN VON FILTER öffnet sich (siehe Abbildung 4.38). 6. Wählen Sie in der Pull-down-Liste QUELLADRESSE ein spezifisches IP-Subnetz und geben Sie anschließend die IP-Adresse und die Subnetzmaske in die entsprechenden Felder ein, um das lokale Netzwerk wiederzugeben. In der Pull-down-Liste ZIELADRESSE gehen Sie genauso vor, verwenden Sie aber für diese Felder die IP-Adresse und die Subnetzmaske des Remotenetzwerks. Deaktivieren Sie die Option »DIESE FILTERANGABE WIRD AUCH AUF PAKETE MIT GEGENTEILIGER QUELL- UND ZIELADRESSE ANGEWENDET«.
4.7 IPSec an die Client-Anforderung anpassen
Abbildung 4.35 Auf der Registerkarte Regeln können IPSec-Richtlinienregeln hinzugefügt, verändert und gelöscht werden.
Abbildung 4.36 Um eine TunnelModus-VPN-Verbindung zu konfigurieren, müssen Sie die Regeln manuell konfigurieren.
303
304
Kapitel 4
Netzwerkprotokolle
Abbildung 4.37 Mit dem Dialogfenster IP-Filterliste können Sie eine Filterliste in einen einzigen IP-Filter gruppieren.
Abbildung 4.38 Sie müssen die Adressierung und das/die Protokoll(e) konfigurieren und eine Beschreibung eines jeden Filters, den Sie hinzufügen, angeben.
4.7 IPSec an die Client-Anforderung anpassen
7. Überprüfen Sie, dass die Protokollart in der PROTOKOLL-Registerkarte (siehe Abbildung 4.39) auf BELIEBIG eingestellt ist. 8. Klicken Sie auf OK und anschließend auf SCHLIESSEN, um zum Dialogfenster EIGENSCHAFTEN DER NEUEN REGEL zurückzukehren. Sie haben erfolgreich den Filter vom lokalen Netzwerk zum Remotenetzwerk erstellt. 9. Deaktivieren Sie in EIGENSCHAFTEN VON NEUE REGEL die Option ASSISTENT VERWENDEN und klicken Sie anschließend auf HINZUFÜGEN, um eine neue Regel zu erstellen. Das Dialogfenster EIGENSCHAFTEN DER NEUEN REGEL öffnet sich (siehe Abbildung 4.36). 10. Klicken Sie auf der Registerkarte IP-FILTERLISTE auf HINZUFÜGEN. Das Dialogfenster IP-FILTERLISTE öffnet sich. 11. Geben Sie einen entsprechenden Namen und eine entsprechende Beschreibung für die Filterliste ein. Deaktivieren Sie die Option ASSISTENT VERWENDEN und klicken Sie anschließend auf HINZUFÜGEN. Das Dialogfenster FILTEREIGENSCHAFTEN öffnet sich. 12. Wählen Sie in der Pull-down-Liste QUELLADRESSEN ein spezielles Subnetz aus und füllen Sie anschließend die Felder IP-ADRESSE und SUBNETZMASKE aus, um das Remotenetzwerk wiederzugeben. Gehen Sie genauso in der Pulldown-Liste ZIELADRESSE vor, verwenden Sie aber hier die IP-Adresse und die Subnetzmaske des lokalen Netzwerks. Deaktivieren Sie die Option »DIESE FILTERANGABE WIRD AUCH AUF PAKETE MIT GEGENTEILIGER QUELLUND ZIELADRESSE ANGEWENDET«. 13. Überprüfen Sie, ob die Protokollart auf der Registerkarte PROTOKOLL auf BELIEBIG eingestellt ist. 14. Klicken Sie auf OK und anschließend auf SCHLIESSEN, um zu EIGENSCHAFTEN DER NEUEN REGEL zurückzukehren. Sie haben erfolgreich den Filter vom Remotenetzwerk zum lokalen Netzwerk erstellt. 15. Klicken Sie auf der Registerkarte IP-FILTERLISTE den Filter an, den Sie erstellt haben. Wählen Sie die Registerkarte TUNNELEINSTELLUNGEN (siehe Abbildung 4.40) und wählen Sie anschließend die Option DER TUNNELENDPUNKT WIRD DURCH DIESE IP-ADRESSE SPEZIFIZIERT. Geben Sie anschließend die IP-Adresse ein, die dem Gateway-externen Netzwerk-Adpater einer Fremdpartei (dem anderen Endpunkt) zugewiesen wurde. 16. Wählen Sie in der Registerkarte VERBINDUNGSTYP die Option ALLE NETZWERKVERBINDUNGEN aus (siehe Abbildung 4.34).
305
306
Kapitel 4
Netzwerkprotokolle
Abbildung 4.39 Stellen Sie sicher, dass die Option Beliebig für die Protokollart ausgewählt wurde. IPSecTunnel unterstützen keine protokollspezifischen Filter.
Abbildung 4.40 Sie müssen die Endpunkt-Adresse des Remote-Gateways bestimmen.
4.7 IPSec an die Client-Anforderung anpassen
17. Deaktivieren Sie, falls nötig, in der Registerkarte FILTERAKTION (siehe Abbildung 4.41) die Option ASSISTENT VERWENDEN und klicken Sie anschließend auf HINZUFÜGEN, um einen neuen Filtervorgang zu erstellen. Das Dialogfenster EIGENSCHAFTEN VON NEUE FILTERAKTION öffnet sich (siehe Abbildung 4.42). 18. Stellen Sie sicher, dass die Option SICHERHEIT AUSHANDELN aktiviert ist und deaktivieren Sie UNSICHERE KOMMUNIKATION ANNEHMEN, ABER IMMER MIT IPSEC ANTWORTEN. Klicken Sie auf HINZUFÜGEN und behalten Sie die standardmäßige Einstellung der Option HOCH (ESP) im Dialogfenster NEUE SICHERHEITSMETHODE bei. Klicken Sie auf OK. 19. Geben Sie in der Registerkarte ALLGEMEIN einen Namen für den neuen Filtervorgang ein und klicken Sie anschließend auf OK. 20. Wählen Sie den Filtervorgang aus, den Sie gerade erstellt haben. Klicken Sie in der Registerkarte AUTHENTIFIZIERUNGSMETHODE auf HINZUFÜGEN und konfigurieren Sie die Authentifizierungsmethode in VORINSTALLIERTER SCHLÜSSEL. Klicken Sie anschließend auf SCHLIESSEN. 21. Klicken Sie im Dialogfenster IPSEC-RICHTLINIENEIGENSCHAFTEN auf HINZUFÜGEN, um eine neue Regel zu erstellen, und auf der Registerkarte IP-FILTERLISTE auf die Filterliste, die Sie erstellt haben. 22. Wählen Sie in der Registerkarte TUNNELEINSTELLUNGEN (siehe Abbildung 4.40) die Option TUNNELENDPUNKT WIRD DURCH DIESE IP-ADRESSE SPEZIFIZIERT und geben Sie anschließend die IP-Adresse ein, die dem Windows2000-Gateway externen Netzwerk-Adapter zugewiesen wurde. 23. In der Registerkarte VERBINDUNGSTYP wählen Sie zuerst die Option ALLE NETZWERKVERBINDUNGEN AUS und dann in der Registerkarte FILTERAKTION die Filteraktion, die Sie erstellt haben. 24. Konfigurieren Sie in der Registerkarte AUTHENTIFIZIERUNGSMETHODEN die gleiche Methode, die in der ersten Regel verwendet worden ist (für beide Regeln muss dieselbe Methode angewendet werden). 25. Klicken Sie auf OK und stellen Sie sicher, dass beide Regeln, die Sie erstellt haben, in Ihrer Richtlinie aktiviert sind. Klicken Sie nochmals auf OK, um zur Konsole LOKALE SICHERHEITSRICHTLINIEN zurückzukehren. Glückwunsch. Sie haben gerade die Regeln und Filtervorgänge angepasst, die Sie brauchen, um eine Tunnel-Modus-Windows-2000-VPN-Verbindung zu erstellen.
307
308
Kapitel 4
Netzwerkprotokolle
Abbildung 4.41 Wenn Sie keine neue Filteraktion erstellen, werden sämtliche Daten ohne Sicherheit weitergeleitet werden.
Abbildung 4.42 Vom Dialogfenster Eigenschaften von Neue Filteraktion aus können Sie die Reihenfolge der Sicherheitspräferenzen konfigurieren und die Verbindungsarten, die vom Server angenommen werden, spezifizieren.
4.8 IPSec verwalten und überwachen
4.8
IPSec verwalten und überwachen
Das letzte Puzzleteil ist das Verwalten und Überwachen von IPSec. Das Gute an der Microsoft-Implementierung von IPSec ist, dass es als eine RAS-Technologie implementiert wird. Die gesamte Information, die Sie benötigen, um Ihre IPSec-Implementierung zu verwalten und zu überwachen, befindet sich in der Routing- und Remote-Access-Konsole. In der Schritt-für-Schritt-Anleitung 4.12 sehen Sie, wer mit einem IPSec-Anschluss verbunden ist.
SCHRITT FÜR SCHRITT 4.12 Überwachen von IPSec-Verbindungen 1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die Routing- und Remote-Access-Konsole öffnet sich (siehe Abbildung 4.43) Abbildung 4.43 Die Routing und Remote AccessKonsole wird für das Verwalten der gesamten Remote Access Vernetzung verwendet.
2. Wählen Sie in der Baumansicht der Ports. Alle P-PTP und L2TP-Ports werden im rechten Bereich aufgelistet. Die L2TP-Ports werden alle IPSec-Verbindungen aufzeigen. Doppelklicken Sie auf den Port, von dem Sie den Status erfahren möchten. Sie werden eine Information ähnlich wie die Information, die in Abbildung 4.44 angezeigt ist, erhalten.
309
310
Kapitel 4
Netzwerkprotokolle
Abbildung 4.44 Die PPTP- und L2TP-Ports zeigen den Status der VPN-Verbindungen.
Eine andere Methode der Überwachung von IPSec besteht darin, sicherzustellen, dass die Protokolldatei richtig konfiguriert ist. Die Schritt-für-Schritt-Anleitung 4.13 zeigt Ihnen, wie die Protokolldatei-Parameter eingestellt werden müssen.
SCHRITT FÜR SCHRITT 4.13 RAS-Protokollierung konfigurieren 1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die Routing- und Remote-Access-Konsole öffnet sich. 2. Wählen Sie im Strukturbereich die RAS-Protokollierung. Klicken Sie im Kontextmenü mit der rechten Maustaste auf EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN VON LOKALE DATEI öffnet sich (siehe Abbildung 4.45). 3. Wählen Sie in der Registerkarte EINSTELLUNGEN, KONTOFÜHRUNGSANFORDERUNGEN PROTOKOLLIEREN, AUTHENTIFIZIERUNGSANFORDERUNGEN PROTOKOLLIEREN UND PERIODISCHEN STATUS PROTOKOLLIEREN, um eine maximale Anzahl an Informationen zu erhalten. 4. In der Registerkarte LOKALE DATEI (siehe Abbildung 4.46) können Sie das Format für die Protokolldatei konfigurieren, die Frequenz einer neuen Protokolldatei und den Pfad zur Protokolldatei erstellen.
4.8 IPSec verwalten und überwachen
Abbildung 4.45 Mit dem Dialogfenster Eigenschaften von Lokale Datei können Sie die RemoteAccess-Protokollierung konfigurieren.
Abbildung 4.46 Je nachdem, wie viele Verbindungen es gibt, wollen Sie alle Verbindungen in einer einzigen Datei (bei wenigen Verbindungen) protokollieren oder jeden Tag eine neue Protokolldatei (größere Umgebungen) erstellen.
311
312
Kapitel 4
Netzwerkprotokolle
Sie wissen nun, wie man IPSec verwaltet und überwacht. Sehen wir uns die Fallstudie an.
Fallstudie: Morgan Enterprises Das Wichtigste im Überblick Die wesentlichen Elemente dieses Falles sind: 1. Das entsprechende Protokoll für die Umgebung installieren. 2. Eine Methode konfigurieren, mit der die Sicherheit der Daten, die zwischen Sites und deren Netzwerken weitergeleitet werden, gewährleistet wird. 3. Einen Weg für NetWare-Server konfigurieren, damit sie in dieser Domäne aktiviert bleiben. 4. Für eine sichere Authentifizierung eine Methode für DFÜ-Clientcomputer konfigurieren.
Situationsbeschreibung Morgan Enterprises ist ein Konglomerat aus Unternehmen, das sich aus Verlagen, Investmentgesellschaften und Vertriebsfirmen zusammensetzt. Das Netzwerk wurde auf Windows NT aufgerüstet und jede Abteilung hat ihre eigene Domäne. Das Konglomerat hat bereits einen Plan, um die Domänenstruktur flacher zu gestalten und alles über eine Windows-2000-Domäne zu verwalten. Die Systemadministratoren haben allerdings einige Bedenken, da die Netzwerke noch nie alle unter Windows NT 4 verbunden waren. Sie benötigen ein Netzwerkprotokoll für die Vernetzung, allerdings müssen die Daten sicher und weiterhin vertrauenswürdig bleiben. Viele Angestellte der verschiedenen Abteilungen sind auf Geschäftsreise und haben ihre Laptops dabei. Sie müssen sich ins Büro einwählen und auf Ressourcen zugreifen. Die Authentifizierung zwischen den DFÜ-Clientcomputern und dem Server muss sicherstellen, dass unberechtigte Anwender davon abgehalten werden, sich Zugang zum Netzwerk zu verschaffen.
Zusammenfassung
Außerdem müssen die zwei NetWare-3-Server, die sich in einer Niederlassung in Texas befinden, für Anwender der Niederlassung in Dallas erreichbar sein. Sämtliche Clientcomputer sollen Windows 2000 Professional verwenden und alle Server, mit Ausnahme der NetWare-Server, sollen Windows-2000-Advanced-Server benutzen.
Situationsanalyse Sie müssen zuerst ein vertrauenswürdiges, routbares Protokoll für Morgan Enterprises installieren. Auf den ersten Blick scheint IPX die geeignete Lösung, da es routbar ist, über das Internet gesichert werden kann und von den Anwendern in Dallas für die Vernetzung zu den NetWare-Servern benötigt wird. Für ein Netzwerk dieser Größe in einer Windows-2000-Umgebung eignet sich TCP/IP jedoch besser. Um die Daten zwischen Sites zu sichern, sollte IPSec implementiert werden. Das L2TP-Protokoll wird eingesetzt, um die Daten zwischen den Sites, die das Internet als Backbone verwenden, zu komprimieren und zu verschlüsseln. Für die Niederlassung in Dallas können Sie NWLink für die Server, die mit den NetWare-Servern verbunden werden müssen, installieren. Es wird empfohlen, dass Morgan Enterprises diese Server zu Windows 2000 aufrüstet oder zumindest ein Tool, wie etwa GSNW, verwendet. Für die DFÜ-Clientcomputer implementieren Sie einen Sicherheitshost, wie etwa die Secure Card, die eine sich ändernde Nummer synchron mit der Software auf dem Server hat. Wenn Anwender sich in den Server einwählen, müssen sie zuerst die auf der Secure Card angegebene Nummer eingeben, bevor sie auch ihre Windows-2000-Authentifizierungsinformation angeben können.
Zusammenfassung Um ein sicheres, vertrauenswürdiges und routbares Netzwerk zu haben, sollten Sie zuerst einen effektiven Plan erstellen. TCP/IP wird standardmäßig mit Windows 2000 installiert. Wir haben Features von Windows 2000 kennen gelernt, die auf TCP/IP basieren. TCP/IP erfordert eine gültige IP-Adresse, eine Subnetzmaske, ein Standard-Gateway und einen DNS-Server. Diese Information kann in jedem Clientcomputer und in jedem Server manuell oder, besser noch, über DHCP eingegeben werden. DHCP weist dem Host eine den Anforderungen des Clientcomputers entsprechende IP-Adresse zu.
313
314
Kapitel 4
Netzwerkprotokolle
Wenn Sie Windows 2000 mit den älteren NetBIOS-basierenden OS kombinieren, so werden Sie aller Wahrscheinlichkeit nach auch WINS verwenden. WINS löst NetBIOS-Namen, wie etwa Computer5, in IP-Adressen auf. Über die Registerkarte ERWEITERT der TCP/IP-Eigenschaften, können Sie auf WINS-Eigenschaften zugreifen. Für eine Integration mit NetWare benötigen Sie Information über die Netzwerknummer und den Rahmentyp. Sie werden von dem NetWare-Server angefordert. Netzwerkbindungen sind eine Möglichkeit, Netzwerk-Provider, Protokolle und Verbindungen anzufordern, und zwar in der Reihenfolge, in der Sie aller Wahrscheinlichkeit nach vom OS verwendet werden. Kerberos-V5-Authentifizierung ist das Protokoll, das Windows 2000 standardmäßig verwendet. Es muss keinerlei Konfiguration vorgenommen werden, um dieses Sicherheitsprotokoll mit Windows 2000 anzuwenden. Computern in einem vertrauenswürdigen MIT-Bereich wird der Zugriff auf Ressourcen in der lokalen Kerberos(Windows 2000)-Domäne gestattet. Mit VPN können Netzwerke verbunden werden, wobei aller Wahrscheinlichkeit nach eine existierende Internetstruktur als deren Backbone verwendet wird. IPSec kann mit VPN gekoppelt werden, um die Qualität und die garantierte Zustellung von Paketen zu gewährleisten. Mit zunehmender Größe der Netzwerke wird auch der Verkehr ansteigen. Administratoren müssen diesen Verkehr mit Hilfe von einem Netzwerk-Monitor überwachen. Mit einem Netzwerk-Monitor können Sie Echtzeit-Vorgänge erfassen und auf der Protokollart, die Sie angezeigt haben möchten, Filter einrichten und diese Information dann in einer Datei speichern. Beachten Sie, dass der in Windows 2000 enthaltende Netzwerk-Monitor keine Vollversion ist. Der komplette Netzwerk-Monitor ist im SMS enthalten. Schlüsselbegriffe 쎲
DNS-Server
쎲
L2TP
쎲
Grundzustand
쎲
Netzwerkbindung
쎲
IP-Adresse
쎲
Netzwerkmonitor
쎲
IPSec
쎲
NWLink
쎲
Kerberos-V5
쎲
Provider-Verbindung
쎲
Rahmentyp
쎲
TCP/IP-Filter
쎲
Subnetzmaske
쎲
Tunneling
쎲
TCP/IP
Lernzielkontrolle
Lernzielkontrolle Übungen 4.1
TCP/IP testen
Diese Übung führt Sie durch den Prozess des Abrufens von IP-Adresseninformation. Mit einigen Eingaben in die Befehlszeile können Sie die Konfiguration und die Vernetzung der IP-Adresse überprüfen. Geschätzte Zeit: 5 Minuten 1. Klicken Sie auf START, AUSFÜHREN, CMD (¢).
EINGEBEN
und anschließend auf
2. Geben Sie den Befehl IPCONFIG ein und drücken Sie auf (¢). 3. Wie lautet Ihre IP-Adresse? 4. Was ist Ihre Subnetzmaske? 5. Können Sie auf dem DNS-Server die IP-Adresse sehen? 6. Geben Sie Ipconfig /all ein. Welche Information wird Ihnen angezeigt? 7. Geben Sie PING 127.0.0.1 ein. Dies ist der spezielle Loopback-Test, der Ihnen angibt, ob Ihr Modem entweder inaktiviert ist, Störungen aufweist oder funktioniert. 8. Geben Sie PING XX ein, wobei XX Ihre meist benutzte Web-Adresse ist. 9. Sollte ein weiterer Computer in diesem Netzwerk angeschlossen sein, pingen Sie die IP-Adresse dieses Comptuers. 10. Pingen Sie schließlich den Namen des Computers. 4.2
Erstellen eines TCP/IP-Paketfilters
Diese Übung führt Sie durch den Erstellungsprozess eines TCP/IP-Filters auf Ihrem Computer. 1. Öffnen Sie die SYSTEMSTEUERUNG und anschließend das Netzwerk und das DIALOGFENSTER DFÜ-VERBINDUNGEN. 2. Klicken Sie mit der rechten Maustaste auf LAN-VERBINDUNG und wählen Sie EIGENSCHAFTEN. 3. Klicken Sie auf IP und wählen Sie EIGENSCHAFTEN. 4. Klicken Sie die Registerkarte ERWEITERT an.
315
316
Kapitel 4
Netzwerkprotokolle
5. Klicken Sie in ERWEITERTE TCP/IP-EINSTELLUNGEN die Registerkarte OPTIONEN an. 6. Wählen Sie TCP/IP-FILTERUNG und anschließend EIGENSCHAFTEN. 7. Klicken Sie neben NUR TCP-PORTS ZULASSEN die Schaltfläche OPTIONEN an und anschließend die Schaltfläche HINZUFÜGEN. 8. Geben Sie für Telnet Port 23 und für Web-Server Port 80 ein. 9. Klicken Sie neben NUR UDP-PORTS ZULASSEN die Schaltfläche OPTIONEN an und anschließend die Schaltfläche HINZUFÜGEN. 10. Geben Sie für DNS Port 53 und für SNMP Port 161 ein. 11. Klicken Sie neben NUR IP-PROTOKOLLE ZULASSEN die Schaltfläche OPTIONEN an und anschließend die Schaltfläche HINZUFÜGEN. 12. Geben Sie für IGMP 2 ein und wählen Sie dann OK. 13. Überprüfen Sie Ihre Änderungen in den Dialogfenstern und klicken Sie dann auf OK. Um die Änderungen prüfen zu können, müssen Sie Ihren Computer erneut starten. 14. Nachdem Sie Ihren Computer neu gestartet haben, gehen Sie auf einen anderen Computer im Netzwerk. Öffnen Sie eine Befehlsaufforderung und pingen Sie die IP-Adresse des Servers, der die IP-Filterung konfiguriert hat. 15. Konnten Sie den Computer pingen? 16. Öffnen Sie auf dem originalen Computer erneut TCP/IP-FILTERUNG. Fügen Sie im Abschnitt NUR IP-PROTOKOLLE ZULASSEN 1 für ICMP hinzu. Sind die Einstellungen richtig, starten Sie den Computer neu. 17. Gehen Sie auf einen anderen Computer im Netzwerk. Können Sie den Computer jetzt pingen? 18. Kehren Sie nochmals zum ursprünglichen Computer zurück und entfernen Sie die IP-Paketfilter. Überprüfen Sie die Einstellungen, starten Sie den Computer neu und testen Sie den PING-Befehl. 4.3
Netzwerkverkehr erfassen und filtern
Diese Übung führt Sie mit Hilfe des Netzwerk-Monitors durch den Mechanismus der Netzwerkverkehrerfassung. Erstellen Sie anschließend einen Filter, um nur die Pakete zu extrahieren, die Sie untersuchen wollen. Es wird davon ausgegangen, dass Sie für diese Übung mindestens zwei Computer im lokalen Netzwerk haben.
Lernzielkontrolle
Geschätzte Zeit: 20 Minuten 1. Klicken Sie auf START, PROGRAMME, VERWALTUNG und wählen Sie NETZWERK-MONITOR. 2. Wählen Sie im Menü SAMMELN STARTEN. Pakete, die an diesen Computer geschickt werden und die dieser Computer verschickt, können erfasst werden. 3. Gehen Sie zu einem anderen Computer und durchsuchen Sie dessen Ressourcen. 4. Durchsuchen Sie die Ressourcen eines anderen Computers des Netzwerks. Nehmen Sie die Durchsuchung auf einem Computer vor, auf dem NetzwerkMonitor läuft. 5. Pingen Sie den Computer, auf dem Netzwerk-Monitor läuft. 6. Wählen Sie im Erfassungsmenü STOP und ANSICHT, um den Inhalt der Erfassung zu sehen. 7. Scrollen Sie durch die Liste der erfassten Pakete. Sie sollten Broadcast, ICMP, ARP und andere Protokolle angezeigt bekommen. 8. Um einen Filter in einem erfassten Paket einrichten zu können, klicken Sie die Schaltfläche auf der Symbolleiste an, die wie ein Trichter aussieht, oder wählen sie vom Ansichtsmenü Filter. 9. Das Filteranzeige-Fenster erscheint. Doppelklicken Sie auf den Wert Protocol=Any. Diese Einstellung bedeutet, dass alle Protokolle erfasst werden können. Das Fenster AUSDRUCK erscheint. Klicken Sie in der Registerkarte PROTOKOLL die Schaltfläche ALLE DEAKTIVIEREN. 10. Suchen und wählen Sie in der Liste der deaktivierten Protokolle ICMP. Wählen Sie anschließend AKTIVIEREN. Sie stimmen diesem Protokoll zu, indem Sie auf OK klicken. 11. Wählen Sie erneut OK, um den Filter auf Start einzustellen. 12. Die Liste der ICMP-Pakete wird aufgezeigt. Doppelklicken Sie ein ICMPPaket an und sehen Sie sich die Details zu diesem Paket an. 13. Was sind die ICMP-Paketsendungen? Tipp: Sehen Sie sich Echo in ICMP an und beachten Sie die binären Inhalte. 14. Für was ist dieses ICMP-Paket verantwortlich? Sollte PING Ihre Antwort gewesen sein, so liegen Sie richtig.
317
318
Kapitel 4
Netzwerkprotokolle
15. Nehmen Sie sich etwas Zeit, um einige andere Filter zu erstellen, und untersuchen Sie die Details und Inhalte der binären Information. Wiederholungsfragen 1. Was wird für eine gültige IP-Adresse in einer Windows-2000-Umgebung verlangt? 2. Wie weiß TCP/IP, ob die Pakete lokal für dieses Netzwerk sind oder an ein anderes Netzwerk weitergeleitet werden müssen? 3. Aus welchen Gründen würde ein Unternehmen DHCP anstatt einer manuellen Zuweisung von IP-Adressen wählen? 4. Warum ist es so wichtig, dass ein Clientcomputer in einem Windows-2000Netzwerk die IP-Adresse eines DNS-Servers hat? 5. Wofür wird NWLink verwendet? 6. Warum ist eine passende Rahmenart für NWLink wichtig? 7. Warum sollte sich ein Netzwerkadministrator mit Bindungen befassen? 8. Was muss ein Administrator tun, um Kerberos-Authentifizierung in einer Windows-2000-Domäne zu aktivieren? 9. Was ist ein VPN? 16. Was ist eine Baseline (Grundzustand) und warum ist es wichtig, einen solchen zu erfassen? 17. Warum ist IPSec in einer gerouteten Umgebung so wichtig? 18. Was ist Tunneling? Antworten zu den Wiederholungsfragen 1. IP-Adresse, Subnetzmaske und Standard Gateway. 2. Die Subnetzmaske definiert den Netzwerk-ID-Teil der IP-Adresse. Sollte das Ziel des Pakets eine andere Netzwerk-ID haben, so wird es an das Gateway weitergeleitet. 3. DHCP ermöglicht die dynamische Zuweisung von IP-Adressen und bietet eine größere Flexibilität in der Adressverwaltung. Wenn ein Clientcomputer beispielsweise DHCP verwendet und keine festkodierte IP-Adresse hat, wird er an ein anderes Netzwerk geleitet, ohne die TCP/IP-Konfiguration verändern zu müssen. 4. Ein DNS-Server kann Hostnamen in IP-Adressen auflösen. Ohne DNS-Server müssten Sie die aktuelle IP-Adresse des Ziel-Computers kennen. Außerdem kann mit Windows 2000 Active Directory und DHCP-DNS dynamisch aktualisiert werden.
Lernzielkontrolle
5. NWLink ist das IPX/SPX-kompatible Protokoll, das verwendet wird, um mit NetWare-Servern zu kommunizieren. 6. NWLink muss eine passende Rahmenart verwenden, um mit NetWare-Servern kommunizieren zu können. Sollte NWLink mit einer falschen Rahmenart für das IPX-Netzwerk konfiguriert sein, auf das es zugreifen will, kann nicht kommuniziert werden. 7. Ein Netzwerkadministrator sollte überprüfen, wo Bindungen installiert sind. Er sollte außerdem die Reihenfolge, in der auf die Bindungen zugegriffen wird, verändern, sodass auf die Bindung, die am häufigsten verwendet wird, als Erstes zugegriffen wird. Wenn Sie beispielsweise hauptsächlich mit einem NetWare-Netzwerk kommunizieren und nur selten auf das Internet zugreifen, wollen Sie wahrscheinlich das NWLink-Protokoll vor das IPProtokoll setzen. 8. Nichts. Kerberos wird mit Windows 2000 automatisch implementiert. 9. Ein VPN besteht aus zwei oder mehreren Speicherorten, die über ein gemeinsames oder öffentliches Netzwerk, wie etwa das Internet, verbunden sind. 10. Eine Baseline ist eine Reihe von Performance-Werten, die zu einer bestimmten Zeit gemessen werden. Sie wird verwendet, um sich auf Wertmessungen zu beziehen. So können Änderungen in der Leistung identifiziert werden. 11. IPSec liefert Datenintegrität zwischen zwei Host-IDs. Die Daten und die Identität sind gespeichert und können von anderen Anwendern über vermittelnde Software verändert oder gelesen werden. 12. Tunneling kapselt Pakete innerhalb anderer Pakete ein. So wird sichergestellt, dass private Übertragungen von LANs und WANs sicher sind. Prüfungsfragen 1. Sie sind der Netzwerkberater von New Riders Distributors. Diese Firma besteht derzeit aus einer Windows 2000-Domäne, die zwei Domänencontroller und 139 Windows-2000-Professional-Arbeitsstationen umfasst. Die 139 Arbeitsstationen sind über eine LAN in der Niederlassung in Santa Fe mit zwei Servern verbunden. Ihr Kunde gelangt über eine T1-Leitung der Niederlassung ins Internet. New Riders Distributors hat gerade eine weitere Vertriebsfirma mit Sitz in San Antonio aufgekauft. Die Firma in San Antonio verwendet sowohl NetWare-Server als auch eine Windows-2000-Domäne und gelangt derzeit über eine fractional T1-Leitung ins Internet. Ihre Aufgabe besteht darin, die Windows-2000-Domänen und die NetWare-Ressourcen zwischen den beiden Lokationen zu verbinden. Dabei soll die Datensicherheit gewährleistet sein und auf die Kosten geachtet werden. Wählen Sie aus den folgenden Ansätzen die beste Lösung für Ihren Kunden.
319
320
Kapitel 4
Netzwerkprotokolle
A. Verbinden Sie die zwei Domänen mit einer privaten geleasten Leitung. B. Verbinden Sie die beiden Domänen mit einer privaten geleasten Leitung. Fügen Sie NWLink in der Niederlassung in Santa Fe hinzu. C. Verbinden Sie die beiden Domänen mit einem VPN. Implementieren Sie IPSec und L2TP, um Netzwerkprotokolle an beiden Enden zu verschlüsseln. Sie müssen in der Niederlassung in Santa Fe kein NWLink hinzufügen, da IPSec alle Pakete in TCP/IP konvertieren wird. D. Verbinden Sie die beiden Domänen über einen VPN. Implementieren Sie IPSec und L2TP, um Netzwerkprotokolle an beiden Enden verschlüsseln zu können. Sie müssen in der Niederlassung von Santa Fe kein NWLink hinzufügen, da IPSec alle Pakete in TCP/IP konvertiert. 2. Maria ist LAN-Administrator eines Unternehmens und plant, ihr Netzwerk für eine Windows-2000-Domäne zu konfigurieren, die sie implementieren wird. Die Domäne wird aus 8 Lokationen, 16 Windows-2000-Servern (von denen 10 Domänencontroller sein werden) und 862 Windows-2000-Professional-Arbeitsstationen bestehen. In dieser gerouteten Umgebung wird sie TCP/IP und vier DHCP-Server für Fehlertoleranz über das Netzwerk verwenden. Ihr Vorgesetzter, Paulo, ist über die Entscheidung Marias, DHCP zu verwenden, nicht gerade begeistert. Seiner Meinung nach ist DHCP für eine Konfiguration zu schwierig, verursacht Ausfallzeit und macht es einem Administrator unmöglich herauszufinden, wer welche IP-Adresse hat. Mit einer einfachen Kalkulationstabelle, die Computernamen und IP-Adressen enthalten würde, wäre das Problem seiner Meinung nach gelöst. Mit welchen Argumenten könnte Maria ihn überzeugen, dass DHCP doch die bessere Lösung ist? A. Mit DHCP kann aufgezeigt werden, welchem Computer welche IPAdresse zugewiesen wurde. B. Mit DHCP spart man sich viel Zeit, da sich Computer von einem Segment zum anderen bewegen. C. DHCP ist komplex und deswegen etwas schwieriger zu konfigurieren. D. Ausfallzeiten sind laut Maria nur minimal, da sie die verfügbaren Bereiche auf vier DHCP-Server verteilt hat. 3. Sie sind LAN-Administrator in Ihrer Firma. Ihre Aufgabe besteht darin, die IP-Adressen Ihres Netzwerkes zu konfigurieren. Sie wollen DHCP implementieren, um den Prozess zu automatisieren und weniger Ausfallzeit zu haben. Dennoch geben Sie die IP-Adresse einiger Hosts manuell in Ihr Netzwerk ein. Welche der folgenden Geräte eignen sich für die manuelle Eingabe von IP-Adressen?
Lernzielkontrolle
A. Ein Laptop, das sich von Segment zu Segment bewegt. B. Ein DNS-Server. C. Ein Exchange-Server. D. Ein Drucker-Server, der auf dem größten Subnetz lokalisiert ist. 4. Janice, eine Anwenderin in der Buchhaltung, ruft Sie, den LAN-Administrator, an und teilt Ihnen mit, dass sie Schwierigkeiten hat, sich mit den Ressourcen auf Ihrer Windows-2000-Domäne zu verbinden. Janice erklärt Ihnen, dass sie sich mit einem Server in Washington verbinden möchte. Andere Anwender können die Verbindung zu diesem Server herstellen, aber sie nicht. Sie kann zwar die IP-Adresse anderer Hosts ihres Segments pingen und sogar die IP-Adresse des Servers in Washington, aber wenn sie den Hostnamen des Servers verwendet, kann sie keine Verbindung herstellen. Was könnte das Problem sein? A. Janice hat eine leere oder ungültige DNS-Server-IP-Adresse. B. Janice hat eine leere oder ungültige Subnetzmaske. C. Janice hat eine fehlerhafte Netzwerkadapterkarte. D. Janice muss ihre IP-Adresse erneuern und hierfür den Befehl ipconfig / release und anschließend ipconfig .renew eingeben. 5. Sie sind Netzwerkadministrator von Wright Brothers Shipping. Ihre Windows-2000-Domäne umfasst drei Domänencontroller, 567 Windows-2000Professional-Arbeitsstationen und drei NetWare-Server, mit denen Sie arbeiten werden. Einem Ihrer Domänencontroller haben Sie das NWLink-Protokoll hinzugefügt. Die GSNW-Konfiguration mit zwei der drei NetWareServer verlief erfolgreich. Ein Server kann allerdings nicht gefunden werden. Welche der nachstehenden Erklärungen könnte für das Nichtauffinden des NetWare-3-Servers zutreffen, wo doch die beiden NetWare-4-Server aufgefunden wurden? A. NetWare-3-Server funktionieren nicht mit GSNW. B. NetWare-3-Server verwenden die Rahmenart 802.3. Geben Sie die Rahmenarten manuell ein. C. NetWare-3-Server verwenden die Rahmenart 802.2. Geben Sie die Rahmenarten manuell ein. D. Aktivieren Sie auf, GSNW-Server SAP, bevor Sie den NetWare-3-Server hinzufügen.
321
322
Kapitel 4
Netzwerkprotokolle
6. Sie sind Berater bei Best Importers, dessen TCP/IP-Netzwerk aus acht Domänencontrollern in drei Lokationen, vier NetWare-Servern (auf die mittels NWLINK und GSNW zugegriffen werden kann; diese sind in Boston lokalisiert) und 432 Windows-2000-Professional-Arbeitsstationen besteht. Pierre, der Eigentümer von Best Importers, teilt Ihnen mit, dass das Netzwerk langsamer zu sein scheint, als es sollte – vor allem seit Alice NWLink und GSNW auf allen Servern hinzugefügt hat. Er beauftragt Sie, die Windows-2000-Server zu untersuchen, um auch sicherzugehen, dass sie richtig konfiguriert sind. Sie sollen Pierre mitteilen, wie man das Netzwerk beschleunigen könnte, ohne dabei zusätzliche Überwachungssysteme zu gebrauchen. Welcher der folgenden Vorschläge ist für dieses Unternehmen am geeignetsten? A. Konfigurieren Sie die Provider-Bindungsreihenfolge, damit alle Server zuerst das Microsoft-Windows-Netzwerk und dann das NetWare-Netzwerk verwenden. B. Konfigurieren Sie die Provider-Reihenfolge, damit alle Server zuerst das Microsoft-Windows-Netzwerk und dann das NetWare-Netzwerk verwenden. Konfigurieren Sie NWLink so, dass es nur mit GSNW und nicht mit anderen Netzwerk-Komponenten verwendet wird. C. Entfernen Sie GSNW und NWLink von allen Servern außer einem. Greifen Sie auf die NetWare-Ressourcen mit diesem einen Server zu. Konfigurieren Sie den Netzwerk-Provider, um zuerst das Microsoft-Netzwerk und anschließend die NetWare-Netzwerke zu verwenden. D. Entfernen Sie GSNW und NWLink von allen Servern außer einem. Greifen Sie auf die NetWare-Ressourcen mit diesem einen Server zu. Konfigurieren Sie den Netzwerk-Provider, um zuerst das Microsoft-Netzwerk und anschließend die NetWare-Netzwerke zu verwenden. Deaktivieren Sie NWLink auf allen Netzwerk-Komponenten, außer in GSNW. 7. Sie sind Netzwerkadministrator bei Freedom Bell Agency. Ihre Windows2000-Domäne umfasst zwei Domänencontroller, 18 Windows-2000-Professional-Arbeitsstationen auf LAN und 223 Windows-2000-Professional-Laptops, mit denen sich die Verkaufsvertreter in LAN einwählen. In der Verwaltung ist man besonders darauf bedacht, zu gewährleisten, dass Anwender, die sich in den Server einwählen, auch die sind, die sie angeben zu sein. Sollte ein Verkaufsvertreter sein Laptop verlieren, könnte sich ein nicht berechtigter Anwender in das Netzwerk einwählen. Welches der folgenden Lösungen könnte das Einwählen nicht berechtigter Anwender in das Netzwerk verhindern? A. Stellen Sie Passwörter aus. B. Passwörter der Anwender sollten oft geändert werden.
Lernzielkontrolle
C. Stellen Sie Anwendern eine Sicherheitskarte aus, die minütlich einen neuen Code anzeigt. Der Code muss mit dem Code auf der Serversoftware übereinstimmen, damit Anwender auch dazu in der Lage sind, sich zu authentifizieren. D. Bieten Sie allen Anwendern ein Mobiltelefon an. Sämtliche DFÜ-Verbindungen würden durch dieses Mobiltelefon konfiguriert werden. 8. Sie sind Netzwerkadministrator bei Office Products USA. Ihre Domäne umfasst zwei Domänencontroller und 176 Windows-2000-Professional-Arbeitsstationen. Sie wollen Kerberos-V5 auf Ihr Netzwerk implementieren. Welche Schritte müssen Sie vornehmen, um das Sicherheits-Authentifizierungsprotokoll zu implementieren? A. Fügen Sie das Protokoll mit dem Netzwerk und dem DFÜ-VerbindungsApplet hinzu. B. Fügen Sie das Protokoll mit der LAN-Verbindung im Netzwerk und dem DFÜ-Verbindungs-Applet hinzu. C. Fügen Sie den Kerberos-Dienst mit dem Netzwerk und dem DFÜ-Verbindungs-Applet hinzu. D. Unternehmen Sie nichts; das Protokoll wird installiert, wenn eine Windows-2000-Domäne erstellt wird. 9. Maria ist der Netzwerkadministrator von Fielding Gloves. Ihre Windows2000-Domäne umfasst zwei Sites, vier Domänencontroller und 762 Windows-2000-Professional-Arbeitsstationen. Die meisten Ihrer Domänenmitglieder befinden sich in Boston, aber ca. 200 in Woburn. Sie möchte die Anwender miteinander verbinden. Sie weiß, dass dies zwar mehr kosten wird, als die private geleaste Leitung, die sie momentan benutzt, dafür aber auch sicherer ist. Wie kann sie ihr Anliegen mit Windows 2000 verwirklichen? A. Fügen Sie IPSec hinzu und erstellen Sie einen Router, der auf Anfrage eine Verbindung erstellt. B. Erstellen Sie ein VPN, das Internet als ein Backbone verwenden wird. C. Erstellen Sie ein VON und implementieren Sie IP-Filterung auf den Routern. D. Erstellen Sie ein VPN und implementieren Sie L2TP, das Internet als ein Backbone verwenden wird.
323
324
Kapitel 4
Netzwerkprotokolle
10. Sie sind Netzwerkadministrator bei einem Subunternehmen für Militär. Das Netzwerk umfasst zwei Domänen: eine in Chicago und eine in Knoxville. Jede Domäne hat zwei Domänencontroller und 75 Windows-2000-Professional-Arbeitsstationen. Sie wurden damit beauftragt, bei der Erstellung eines VPN zwischen den Niederlassungen in Chicago und Knoxville mitzuhelfen. Die Niederlassung in Chicago befindet sich in einem Militärstützpunkt und verwendet ATM für den Remote Acces mit der Niederlassung in Knoxville. Lamont, der Teamleader des Subunternehmens möchte die Sicherheitsfeatures von L2TP in seinem Netzwerk verwenden. Leider müssen Sie ihm mitteilen, dass das nicht möglich ist. Warum? A. L2TP benötigt IPSec. IPSec ist aber nicht auf ATM verfügbar. B. Nur Internet-Tunneling und nicht L2TP ist auf ATM verfügbar. C. Militärische Domänen (.mil) sind von IPSec ausgeschlossen. D. Militärische Domänen sind wegen der Beschränkungen bezüglich der Verschlüsselung von Daten von L2TP ausgeschlossen. 11. Sie sind Berater bei Albatross International, deren Windows-2000-Domäne vier Domänencontroller, 872 Windows-2000-Professional-Arbeitsstationen und einige Macintosh-Clientcomputer umfasten, die sich gelegentlich mit dem Server verbinden. Sie sollen das TCP/IP-Netzwerk untersuchen und dessen Leistung verbessern. Sie entdecken, dass allen Servern folgende Protokolle hinzugefügt wurden: Protokolle der Macintosh-Dienste, NWLinkProtokolle, GSNW-Protokolle, DHCP-Protokolle (obwohl nur zwei funktionell sind), NetBEUI-Protokolle und TCP/IP-Protokolle. Welche der folgenden Lösungen würde die Netzwerkleistung steigern? A. Stellen Sie die Bindungen so ein, dass sie Netzwerk-Provider vom Microsoft-Netzwerk und anschließend Novell verwenden. Die Protokolle auf jeder Komponente sollen TCP/IP, NWLink und NetBEUI sein. Lösen Sie NWLink und NetBEUI vom DHCP-Dienst. B. Entfernen Sie von allen Servern GSNW und NWLink. Stellen Sie die Bindungen jeder Komponente so ein, dass sie zuerst TCP/IP und dann NetBEUI verwendet. C. Entfernen Sie von allen Servern GSNW, NWLink und NetBEUI. Entfernen Sie von allen Servern, außer von dem Server, mit dem sich die Macintosh-Computer verbinden, die Macintosh-Dienste. D. Entfernen Sie von allen Servern GSNW, NWLink und NetBEUI. Entfernen Sie von allen Servern, außer von dem Server, der gerade verwendet wird. Entfernen Sie den DHCP-Serverdienst von den beiden Servern, die zurzeit nicht als DHCP-Server fungieren.
Lernzielkontrolle
12. Ralph ist der Netzwerkadministrator einer Windows-2000-Domäne. Seine Domäne besteht aus drei Domänencontrollern und 87 Windows-2000-Professional-Arbeitsstationen. Außerdem hat er noch 75 Microsoft-Windows-NT4-Arbeitsstationen. Alle seine Computer verwenden TCP/IP. Ralph möchte den Netzwerk-Monitor konfigurieren, um die Vorgänge der NT 4-Arbeitsstationen aufzuspüren und um zu überprüfen, welche Einbüßungen auf seinem Netzwerk verzeichnet werden. Außerdem soll festgestellt werden, wie die Netzwerkleistung nach der Aufbesserung aussieht. Ralph hat aber Schwierigkeiten mit der Netzwerk-Monitor-Konfiguration, um die Rahmen von und zu diesen NT-4-Arbeitsstationen zu erfassen. Was könnte das Problem sein? A. Ralphs Netzwerkkarte ist nicht im wechselnden Modus. B. Ralphs Netzwerk-Monitor ist die Windows-2000-Version, die nur die Rahmen von und zu diesem Server erfasst. C. Ralph muss einen Filter erstellen, um NT-LanManager(NTLM)-Pakete nur von bestimmten IP-Adressen zu erfassen. D. Ralph verwendet IPSec mit seinem Windows 2000-Server und nicht mit seinen Microsoft-Windows-NT-4-Arbeitsstationen. Die unsicheren Pakete werden verworfen. 13. Sie sind der Administrator für eine Windows-2000-Domäne. Ihr Netzwerk besteht aus drei Domänencontrollern und 192 Windows-Professional-Arbeitsstationen. Sie haben Ihrer Umgebung einen SMS-Server hinzugefügt. Nun planen Sie, den Netzwerkmonitor mit SMS zu verwenden. Was müssen Sie jedem Windows-2000-Computer hinzufügen, damit der SMS-Monitor in der Lage ist, Ihre Netzwerkaktivität zu verfolgen? A. Sie müssen IPSec mit L2TP hinzufügen. B. Sie müssen die Datei- und Druckerfreigabe jeder Workstation hinzufügen und ein SMS-Konto in der lokalen Gruppe der Domänenadministratoren erstellen. C. Sie müssen den Netzwerk-Monitor-Treiber hinzufügen. D. Sie müssen das Netzwerk-Monitor-Protokoll hinzufügen. 14. Sie sind gerade Netzwerkadministrator für ein großes Versicherungsunternehmen in Atlanta geworden. Das Windows-2000-Netzwerk besteht aus acht Domänencontrollern und 694 Microsoft-Windows-2000-Professional-Arbeitsstationen. Zusätzlich verfügt das Unternehmen über ungefähr 400 Windows-NT- Workstation-Computer im Netzwerk. Sie haben herausgefunden, dass drei NetWare-Server für Datei- und Drucker – Server verwendet werden. Alle Computer und Server verwenden TCP/IP. Was sollten Sie als Erstes in dieser Umgebung tun, bevor Sie überhaupt Veränderungen vornehmen?
325
326
Kapitel 4
Netzwerkprotokolle
A. Installieren Sie die NetWare-Server in Windows 2000. B. Implementieren Sie IPSec. C. Erstellen Sie eine Netzwerk-Baseline. D. Rüsten Sie die Clientcomputer der Windows NT Workstation auf Windows 2000 Professional auf. 15. Sie sind der Sicherheitsberater für ein Finanzunternehmen. Das Netzwerk dieses Unternehmens verwendet TCP/IP und Windows 2000. Die Domäne besteht aus 18 Domänencontrollern und 982 Windows-2000-Professional-Arbeitsstationen. Viele Anwender benutzen DFÜ-Verbindungen und geleaste Leitungen, um ihre Betriebe zu verbinden. Sal, der Sicherheitsmanager, hat Sie darum gebeten, einen Plan zu entwickeln, der die Sicherheit von Daten in öffentlichen und privaten Leitungen garantiert. Was schlagen Sie vor? A. Implementieren Sie Smart Cards, um authentifizierten Benutzern eine Verwendung von allen Speicherorten aus zu garantieren. B. Implementieren Sie PPTP, um Paketeinkapselungen zu verwenden. C. Implementieren Sie IPSec und L2TP für alle Computer inklusive der DFÜ-Computer. D. Implementieren Sie Kerberos-V5-Authentifizierung. Antworten zu den Prüfungsfragen 1. C. Verbinden Sie die beiden Domänen mit einer VPN. Indem Sie IPSec und L2TP implementieren, werden die Daten zwischen den beiden Netzwerken verschlüsselt und eingepackt. Nur das Unternehmen in Santa Fe erfordert NWLink. Sie werden also einem Server in Santa Fe GSNW hinzufügen. Benutzer beider Domänen werden über GSNW Zugriff auf die Ressourcen haben. Für weitere Informationen werfen Sie einen Blick auf »VPN«. 2. A, B, D. Mit DHCP können Sie herausfinden, welche Ip-Adresse welchem Computer zugeteilt wurde. DHCP spart Zeit, da Computer sich von Segment zu Segment bewegen. Die Ausfallzeit wird minimal sein, falls ein DHCPServer abstürzt, da Maria die Bereiche auf vier Server aufgeteilt hat. Für weitere Informationen werfen Sie einen Blick auf »Konfigurieren von TCP/IP«. 3. B, C. DNS-Server erfordern statische IP-Adressen; normalerweise erfordern auch Mailserver statische IP-Adressen. Für weitere Informationen werfen Sie einen Blick auf »Konfigurieren von TCP/IP«.
Lernzielkontrolle
4. A. Wenn Janice erfolgreich lokale und entfernte Hosts pingen kann, also auch den Server, den Sie anschließen möchte, fehlt entweder eine DNS-IP-Adresse oder eine DNS-IP-Adresse wurde nicht richtig konfiguriert. Für weitere Informationen werfen Sie einen Blick auf »Konfigurieren von TCP/IP«. 5. B. Wenn Sie Schwierigkeiten haben, NetWare (ganz gleich, um welche Version es sich handelt) mit NMLink zu verbinden, kontrollieren Sie immer den Frametyp. Ein Frametyp, der nicht mit dem korrekten NetWare-Server verbunden ist, verhindert die Kommunikation. Für weitere Informationen werfen Sie einen Blick auf »Installieren des NWLink-Protokolls«. 6. D. GSNW und NWLink müssen nicht auf allen Servern in der Domäne installiert werden – sie müssen nur auf dem Server installiert werden, der eine Verbindung zum NetWare-Server erstellt, um das Gateway zu vervollständigen. Konfigurieren Sie den Netzwerkanbieter so, dass er das erste Microsoft-Windows-Netzwerk und Novell auf diesem Server ist. Entfernen Sie NWLink von allen Netzwerkkomponenten außer GSNW. Für weitere Informationen werfen Sie einen Blick auf »Konfigurieren von Netzwerkbindungen«. 7. C. Wenn Sie Clients eine Smart Card geben, können Sie Daten bei der Verwendung von DFÜ-Verbindungen besser schützen. Das Risiko bei Sicherheitskarten jedoch ist, dass, wenn ein Benutzer das Laptop mit der Sicherheitskarte zusammen verliert, der Zugriff für Nichtautorisierte sehr einfach sein kann. Meistens kann die Software der Sicherheitskarte jedoch Anmeldeanfragen, die von einer gestohlenen oder verlorenen Sicherheitskarte ausgehen, ignorieren oder sperren. Außerdem kann der Administrator die Benutzeridentifikation und das Passwort im Netzwerk ändern, um die ursprüngliche Anmeldeidentifikation ungültig zu machen. Für weitere Informationen, werfen Sie einen Blick auf »Sicherheits-Hosts«. 8. D. Kerberos-V5 wird mit Windows-2000-Domänen installiert, wenn Sie einen Domänencontroller installieren. Für weitere Informationen werfen Sie einen Blick auf »Kerberos-V5 Authentifizierung«. 9. D. Maria sollte ein VPN zwischen zwei Sites erstellen. Indem sie IPSec und L2TP implementiert, kann sie sichergehen, dass die Daten zwischen den beiden Speicherorten sicher sind, und dass nur autorisierte IP Pakete Zutritt zum Netzwerk haben. Für weitere Informationen werfen Sie einen Blick auf »VPN«. 10. B. L2TP mit IPSec ist bei ATM-Netzwerken nicht verfügbar. L2TP ist nur für Tunneling verfügbar. Für weitere Informationen werfen Sie einen Blick auf »L2TP und IPSec«.
327
328
Kapitel 4
Netzwerkprotokolle
11. D. Sie sollten GSNW, NWLINK und NetBEUI von allen Servern entfernen. Entfernen Sie Dienste für Macintosh von allen Servern, außer von dem Server, der gerade verwendet wird. Entfernen Sie DHCP von den beiden Servern, die nicht als DHCP-Server verwendet werden. Nur indem Sie diese zusätzlichen Konfigurationen von den Servern entfernen, wird sich die Netzwerkleistung erhöhen, da weniger Netzwerkdienste und Ressourcen weniger Netzwerkzeit einnehmen. Für weitere Informationen werfen Sie einen Blick auf »Verwalten und Überwachen von Netzwerkverkehr«. 12. B. Der Netzwerk-Monitor von Windows 2000 ermöglicht erfassende Pakete nicht im gesamten Netzwerk, sondern nur zwischen dem lokalen Netzwerk und dem Computer, von denen sie ausgehen. Für weitere Informationen werfen Sie einen Blick auf »Verwenden von Netzwerk-Monotor zur Datenerfassung«. 13. C. Bevor Sie den Netzwerk-Monitor von SMS verwenden, muss auf jedem Computer, der überwacht werden soll, der Netzwerk-Monitor-Treiber installiert werden. Für weitere Informationen werfen Sie einen Blick auf »Installieren des Netzwerk-Monitor-Treibers«. 14. C. Immer wenn Sie in einer neuen Umgebung arbeiten oder größere Veränderungen in einem Netzwerk vornehmen möchten, müssen Sie zuerst eine Baseline erstellen. Eine Baseline hilft Ihnen, die Ergebnisse in Ihrem Netzwerk zu sehen. Außerdem liefert Ihnen eine Baseline Informationen, wann und wie Ihr Netzwerk verwendet wird. Für weitere Informationen werfen Sie einen Blick auf »Interpretieren aufgezeichneter Daten«. 15. C. Daten werden geschützt, indem Sie IPSec und L2TP für alle Computer, auch für DFÜ-Computer implementieren. Sie können dann sichergehen, dass nur autorisierte Pakete auf die Netzwerkressourcen Zugriff haben. Für weitere Informationen werfen Sie einen Blick auf »Konfigurieren und Fehlerbeseitigen von IPSec«. Hinweise zu weiterführender Literatur und Quellen 1. Minasi, Mark, Christa Anderson, Brian M. Smith und Doug Toombs. Mastering Windows 2000-Server. Alameda, CA: Sybex Press, 2000. 2. Morimoto, Rand. Windows 2000 Design and Migration. 3. Shields, Paul, Ralph Crump und Martin Weiss. Windows 2000-Server System Administration Handbook. Rockland, MA: Syngress Media, 1999. 4. Websites www.isi.edu
WINS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
5
Lernziele Wenn Sie Microsoft Active Directory mit dem erforderlichen DomänennamenDienst implementieren, dann wissen Sie sicherlich auch, dass Sie die veralteten WINS-Server (Windows Internet Name Service) nicht mehr benötigen. Da jedoch die meisten Umgebungen eine Unterstützung veralteter Server, Domänen und Anwendungen erfordern, ist es wichtig, dass auch Windows 2000 WINS unterstützt, und dass Administratoren wissen, wie eine WINS-Implementierung installiert, gewartet und auf Fehler untersucht wird. Microsoft definiert die Zielsetzungen des vorliegenden Kapitels »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von WINS in einer Windows-2000-Netzwerk-Infrastruktur« wie folgt: WINS installieren, konfigurieren und auf Fehler untersuchen 씰
Es ist wichtig, dass Sie verstehen, wie man Windows-2000-Dienste installiert, konfiguriert und auf Fehler untersucht. Dieses Kapitel wird sich auf die Installierung, Konfigurierung und Fehleruntersuchung von WINS konzentrieren. In Windows 2000 wurde WINS von DNS und Active Directory ersetzt. WINS wäre in Windows 2000 also nicht unbedingt erforderlich. In Bezug auf gemischte Umgebungen, die Windows-NT-Server und Arbeitsstationen enthalten, kann man auf WINS dennoch nicht verzichten. WINS ist das Fundament der Domänen, die auf Windows NT in einer IP-Umgebung basieren. Sie müssen sich also nicht nur ein Wissen über den Windows-2000-WINSDienst aneignen, sondern auch über die Funktionen des WINS. Zielsetzung dieses Kapitels ist es, dass Sie WINS installieren und so konfigurieren können, dass er in Verbindung mit veralteten Hosts verwendet werden kann. Außerdem sollten Sie in der Lage sein, eventuell auftauchende Probleme beheben zu können.
330
Kapitel 5
WINS
WINS-Replikation konfigurieren 씰
Eines der Schlüsselfeatures von WINS ist die WINS-Datenbank, die zwischen WINS-Servern repliziert werden kann. Diese Fähigkeit ist in einer verteilten NT-Domänenumgebung besonders wichtig, um WINS-Auflösungen für alle IP-Segmente angeben zu können. Sie müssen verstehen, wie WINSReplikationen funktionieren und wie man den Dienst installiert.
씰
NetBIOS-Namensauflösungen konfigurieren. Der Schlüssel zu veralteten Microsoft-Netzwerken ist die Verwendung von NetBIOS-Namensauflösung, um Hosts und Dienste im Netzwerk ausfindig zu machen. Hierfür müssen Sie wissen, wie die NetBIOS-Namensauflösung funktioniert und wie man diese auf einem Windows-2000-Server installiert.
WINS verwalten und überwachen 씰
Schließlich sollten Sie dazu in der Lage sein, den WINS-Dienst zu verwalten und zu überwachen und nach der Installation zu warten. Die meiste Zeit und Arbeit bei Windows-2000-Implementierungen wird die Wartung des Servers und der Dienste sein, vor allem in Bezug auf die Installation und Konfiguration der Assistenten, die in Windows 2000 enthalten sind.
Tipps für das Selbststudium 씰
Gehen Sie sicher, dass Sie genau wissen, wie WINS-Dienste und NetBIOSNamensauflösungen funktionieren. Obwohl es sich hierbei um ein veraltetes Microsoft-Protokoll handelt, wird es in den meisten Umgebungen verlangt. Microsoft möchte deshalb sicherstellen, dass Sie auch verstanden haben, wie es funktioniert. Sehen Sie sich noch einmal die Überwachungstools und die verschiedenen Parameter von WINS an, die überwacht werden können. In der Prüfung legt Microsoft besonders viel Wert auf die Überwachung und Fehlerbeseitigung der verschiedenen Dienste, also auch des WINS-Dienstes. Machen Sie alle Übungen, die sich am Ende dieses Kapitels befinden. Da die Prüfungen von Microsoft immer schwieriger werden, ist es von großer Wichtigkeit, dass Sie sich nicht nur mit der Theorie vertraut machen, sondern sich auch mit der Praxis auseinander setzen, in diesem Fall also mit der Installation, Konfiguration und der Fehlerbeseitigung des WINS-Dienstes.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
5.1
WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Sollten Windows-NT-4-Netzwerke ein Begriff für Sie sein, so sind Sie sicherlich auch mit den Feinheiten einer WINS-Infrastruktur vertraut. Wahrscheinlich stellen Sie sich die Frage, warum Microsoft mit seinem Windows 2000 denn immer noch WINS verwendet. Keine Sorge, WINS wird in Windows 2000 nur für die Abwärtskompatibiliät verwendet. In einer reinen Windows-2000-Umgebung wird WINS überhaupt nicht verwendet. Active Directory und DNS werden verwendet, um die Funktionalität der Namensauflösung von WINS zur Verfügung zu stellen. Also müssen wir uns gar nicht näher mit WINS beschäftigen, oder? Moment, so einfach geht das nun doch nicht. Bis Ihr Netzwerk nicht 100-prozentig aus Windows2000-Servern besteht, werden Sie WINS für die Abwärts-Kompatibilität für veraltete Windows-Betriebssysteme benötigen, insbesondere für Ihre NT-Domänen. Aufgrund dieser Tatsache werden wir uns wohl doch etwas eingehender mit WINS beschäftigen müssen.
PRÜFUNGSTIPP Ich brauche kein WINS. Diese Aussage ist nur gültig, wenn der Clientcomputer auf einen DNS-Server zugreift. Gehen Sie bei den WINS-Prüfungsfragen nicht davon aus, dass DNS automatisch vorhanden ist.
5.1.1
Einführung in WINS
Das Transmission Control Protocol/Internet Protocol (TCP/IP) wurde in Internetumgebungen, die die meisten Unternehmen entwerfen und warten, zum allgegenwärtigen Netzwerkprotokoll. Das TCP/IP erwies sich als sehr nützlich für Anwender die mit dem veralteten UNIX arbeiteten. TCP/IP stammt aus der »UNIX-Arena« und ist seit Ende der 80er-Jahre das lokale Protokoll für UNIX-Systeme. Microsoft brachte aber ein anderes Protokoll als lokales Protokoll seines LANManager-Betriebssystems heraus – NetBIOS Extended Use Interface (NetBEUI). Für kleinere Netzwerke eignete sich NetBEUI ganz besonders: es bedurfte keiner Konfiguration und verlangte auch nach keiner komplexen Adressierung, wie dies bei TCP/IP der Fall ist. Dennoch konnte NetBEUI kein Routing bearbeiten und eignet sich auch nicht für größere Umgebungen. Deshalb musste Microsoft die TCP/ IP-Unterstützung einführen.
331
332
Kapitel 5
WINS
Als Microsoft die TCP/IP-Unterstützung in seine LAN-Server-Produkte integrierte, trat ein kleines Problem auf. Das Namensgebungssystem, das zu dieser Zeit in Microsoft-Netzwerken verwendet wurde, funktionierte nicht auf gerouteten TCP/IPNetzwerken. Microsoft LAN-Manager-Computer verwendeten für die Identifizierung die NetBIOS-Namen des Computers. Obwohl hiermit die Wartung des Netzwerkes für einen Administrator sehr vereinfacht wurde, da Server automatisch mit Namen im Netzwerk angesprochen werden können, stellte dieses Namensgebungssystem dennoch ein Problem für das TCP/IP-Protokoll dar. Da NetBIOS für die Verbreitung von Servernamen und deren gemeinsam genutzten Ressourcen stark von Broadcast-Meldungen abhängig ist, verfügt NetBIOS über eine strukturelle Einschränkung, die in gerouteten Netzwerken angezeigt wird. Broadcast-Meldungen sind Meldungen, die von jedem Computer, anstatt nur von einem bestimmten Computer, in einem Netzwerk-Segment empfangen werden können. Dieses Paradigma kann in kleineren Netzwerken verwendet werden, es kann aber einen zu starken Broadcast-Verkehr im Netzwerk eines Unternehmens zur Folge haben. Sollten Sie jemals einen solchen Broadcast-Sturm miterlebt haben, dann dürfte Ihnen dieses Problem ja wohl bekannt sein. Um die Auswirkungen auf Broadcast-Meldungen, die sich in einem TCP/IP-Netzwerk befinden, zu begrenzen, leiten IP-Router keine Broadcast-Meldungen weiter. Im Gegensatz zum MicrosoftNWLink-Protokoll, das für die Unterstützung von Broadcasts geschrieben wurde, hält sich TCP/IP an sehr strenge Standards. Um in einer TCP/IP-Umgebung zu funktionieren, musste die TCP/IP-Implementierung standardkonform sein. Deswegen musste Microsoft einen Weg finden, die NetBIOS-Namensgebung in einem TCP/IP Standard-Netzwerk vorzunehmen.
Praxistipp Das NWLink-Protokoll Die meisten der Windows-2000-Dokumentationen und die meisten der Kapitel in diesem Buch behandeln das TCP/IP-Protokoll und die TCP/IP-Dienste. Dennoch ist es wichtig daran zu denken, dass ein beträchtlicher Teil der Unternehmen immer noch Windows-Betriebssysteme in Verbindung mit einem Novell-NetWare-Server verwenden. Als Novell noch das dominierende, auf Intel basierende Netzwerk-Betriebssystem war, wurde das NWLink-Protokoll ursprünglich dafür geschrieben, um Windows die Kommunikation in einem solchen Netzwerk zu ermöglichen. Hierfür verwendete Windows ein kompatibles IPX/SPX-Protokoll, das von Novell-Netware-Servern verwendet wird. Obwohl Novell TCP/IP ebenfalls als Hauptprotokoll angenommen hat, besteht dennoch die Möglichkeit, dass Sie IPX antreffen werden und
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Sie gegebenenfalls sogar das NWLink-Protokoll verwenden müssen. Stellen Sie also sicher, dass Sie die Informationen in diesem Buch hierzu auch verstanden haben, und seien Sie nicht überrascht, wenn Sie eines Tages selbst NWLink auf Ihren Windows-2000-Server installieren.
Die erste Lösung von Microsoft, die mit den älteren LAN-Manager-Servern eingeführt wurde, bestand darin, eine LAN-Manager-Hosts-Datei (LMHOSTS) in jedem Computer im Netzwerk zu verwenden. Ähnlich wie die HOSTS-Datei, die verwendet wurde, bevor DNS zur Verfügung stand, besteht eine LMHOSTS aus Einträgen, die NetBIOS-Namen den IP-Adressen zuordnen. Konnte ein Computer in einem lokalen Netzwerk keinen bestimmten NetBIOS-Computer finden, konsultierte er dessen LMHOSTS-Datei, um zu sehen, ob der Computer anderswo zu finden ist. Eine LMHOSTS-Datei ist eine Textdatei, die manuell bearbeitet werden muss. Nachdem eine Master-LMHOSTS-Datei erstellt wurde, muss ein Administrator die Datei kopieren und an jeden Computer im Netzwerk senden. Jedes Mal, wenn ein Computer installiert oder entfernt wurde, musste die LMHOSTS-Datei aktualisiert und erneut verteilt werden. Hört sich weniger lustig an, oder? (Wenn Sie das Kapitel 1 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von DNS in einer Windows-2000-Netzwerk-Infrastruktur« durchgelesen haben, sollte Ihnen dies bekannt vorkommen.) Bevor die DNS-Spezifikation geschrieben wurde, hatten die Ersteller von TCP/IP ein ähnliches Problem mit HOSTS-Dateien. Hinzu kam, dass Microsoft einen dynamischen Namens-Dienst benötigte, der sich selbst aktualisiert mit den Namen und Adressen der Computer im Netzwerk – ein Namens-Dienst, der in gerouteten TCP/IP-Umgebungen arbeiten konnte. Microsofts Antwort auf diese Bedürfnisse war WINS. Ein WINS-Netzwerk besteht aus vier Elementen: 씰
WINS-Server. Wenn ein WINS-Clientcomputer an das Netzwerk angeschlossen wird, wird mit WINS-Servern mittels Meldungen Kontakt aufgenommen. Mit dem WINS-Server registriert der Clientcomputer seinen Namen. WINS-Server werden verwendet, um NetBIOS-Namen in IP-Adressen aufzulösen.
씰
WINS-Clientcomputer. WINS-Clientcomputer verwenden gesendete (PKnoten-)Meldungen, um mit WINS-Servern zu kommunizieren, und sind konfiguriert, um eine H-Knoten-Kommunikation zu verwenden. WINS-Clientcomputer können Windows 2000, Windows NT, Windows 95 und 98 und Windows für Workgroups sein.
333
334
Kapitel 5
WINS
씰
Nicht-WINS-Clientcomputer. Ältere Microsoft-Netzwerk-Clientcomputer, die keine P-Knoten verwenden können, können dennoch von WINS profitieren. Die Broadcast-Meldungen solcher Computer werden von WINS-ProxyComputern, die als Vermittler zwischen den B-Knoten-Clientcomputern und WINS-Servern fungieren, abgefangen. MS-DOS und Windows-3.1-Clientcomputer funktionieren als Nicht-Windows-Clientcomputer.
씰
WINS-Proxy. Windows NT, Windows 95 und 98 und Windows für Workgroups-Clientcomputer können als WINS-Proxies funktionieren. Sie fangen B-Knoten-Broadcasts auf ihrem lokalen Subnetz ab und kommunizieren im Auftrag von B-Knoten-Clientcomputern mit einem WINS-Server.
Im Abschnitt »WINS-Replikation konfigurieren« dieses Kapitels werden wir besprechen, wie WINS-Server ihre Datenbanken replizieren, sodass jeder WINSServer eine Namensauflösung für das gesamte Netzwerk anbieten kann. Wenn immer es möglich ist, sollten Sie mindestens zwei WINS-Server haben. Denn, selbst wenn ein Namenserver ausfallen sollte, können Namensauflösungen weiterhin vorgenommen werden. Des Weiteren können Administratoren WINS-Vorgänge über mehrere Server verteilen und somit die Last verteilen. WINS-Server-Adressen ist eine der Konfigurations-Einstellungen, die mit dem Dynamic Host Configuration Protocol (DHCP) ausgestellt werden kann.
5.1.2
WINS installieren
Wie bereits erwähnt, können Sie mit Windows 2000 Vorgänge, wie Dienste installieren, auf verschiedene Art und Weise vornehmen. Dieser Abschnitt behandelt zwei der üblichsten Methoden für das Installieren von WINS. Entscheiden Sie selbst, mit welcher Methode Sie am besten klar kommen. Bleiben Sie bei dieser Methode, denn das ist der beste Weg, um im Betriebssystem zu arbeiten.
PRÜFUNGSTIPP Windows-20002000-Dienste verwalten. Die Schritt-für-Schritt-Anleitungen verwenden ein Hilfsprogramm namens WINS-Manager. Denken Sie daran, dass dieser Manager nichts weiter als ein Snap-In in der Microsoft Management-Konsole (MMC) ist. Diese MMC wurde erstellt, um für Windows-2000-Anwender die Verwaltung ihrer Systeme einfacher zu machen. Lassen Sie sich also nicht verwirren, wenn sich in der Prüfung auf MMC bezogen wird.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Um den Windows-2000-WINS-Dienst zu installieren, müssen Sie wie folgt vorgehen:
SCHRITT FÜR SCHRITT 5.1
Mit dem Netzwerk und DFÜ-Verbindungseigenschaften WINS installieren
1. Klicken Sie mit der rechten Maustaste das Applet NETZWERKUMGEBUNG auf dem Desktop. Wählen Sie aus dem Kontextmenü EIGENSCHAFTEN. Das Fenster NETZWERK UND DFÜ-VERBINDUNGEN öffnet sich (siehe Abbildung 5.1). 2. Klicken Sie in der Ecke unten links auf NETZWERKKOMPONENTEN HINZUFÜGEN. (Dieses Applet wird nur angezeigt, wenn Sie den Ordner als eine Webansicht definineren.) Dieser Hyperlink öffnet das Dialogfenster WINDOWSKOMPONENTEN des optionalen Netzwerk-Komponenten-Assistenten (siehe Abbildung 5.2). Abbildung 5.1 Von hier aus können Sie Ihre Netzwerk-Einstellungen und Dienste hinzufügen, entfernen oder verändern.
335
336
Kapitel 5
WINS
Abbildung 5.2 Der Windows-2000WINS-Dienst ist Teil der NetzwerkDienst-Komponenten.
Abbildung 5.3 Der Dienst wird installiert, wenn Sie WINS auswählen und auf OK klicken.
3. Wählen Sie NETZWERKDIENSTE und klicken Sie auf DETAILS. Das Fenster NETZWERKDIENSTE öffnet sich (siehe Abbildung 5.3). Wählen Sie WINS aus. 4. Klicken Sie auf die Schaltfläche OK, um zum Assistenten für die optionalen Windows- Netzwerkkomponenten zurückzukehren. Klicken Sie auf WEITER, um die Installation zu beginnen. Der Windows-Komponenten-Assistent wird von Ihnen die Windows-2000-Server-CD-ROM verlangen, falls Dateien kopiert werden müssen. Ist der Assistent beendet, wird ein Zusammenfassungs-Fenster der Veränderungen angezeigt, die gemacht werden müssen. Klicken Sie auf OK, um die Installation fertig zu stellen.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Glückwunsch, Sie haben gerade WINS installiert. Denken Sie daran, dass Sie immer noch Ihren Clientcomputer installieren müssen, um den neuen Server auch verwenden zu können. Der Teil bezüglich der Server-Installation ist allerdings vollbracht. Sehen wir uns nun die zweite Installationsmöglichkeit an.
SCHRITT FÜR SCHRITT 5.2
Mit dem Applet Software den WINS-Dienst installieren.
1. Öffnen Sie die SYSTEMSTEUERUNG (siehe Abbildung 5.4) und klicken Sie doppelt auf SOFTWARE. Das Dialogfenster SOFTWARE öffnet sich (siehe Abbildung 5.5). 2. Wählen Sie WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. Das Dialogfenster WINDOWS-KOMPONENTEN öffnet sich (siehe Abbildung 5.6). 3. Von hier aus können Sie dieselben Schritte für die Fertigstellung der Installation vornehmen, wie in der vorherigen Schritt-für-Schritt-Anleitung.
Abbildung 5.4 Die Systemsteuerung enthält die System-Applets, inklusive Software, welche für die Installation von WINS in diesem Beispiel benötigt werden.
337
338
Kapitel 5
WINS
Abbildung 5.5 Eine erhebliche Verbesserung im Vergleich zu früheren Versionen besteht darin, dass das Dialogfenster Software Ihnen nützlichere Informationen über die installierten Anwendungen gibt. In diesen Informationen sind die Anwendungsgröße und in einigen Fällen auch die Anwendungshäufigkeit für eine installierte Anwendung enthalten. Abbildung 5.6 Den WindowsKomponentenAssistenten können Sie auf verschiedene Art und Weise erreichen.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
HINWEIS DHCP und WINS. Sollten Sie, aus welchen Gründen auch immer, Ihren Windows2000-Server so konfiguriert haben, dass er DHCP verwendet, werden Sie vom Installationsvorgang eine Meldung erhalten, die besagt, dass der WINS-Dienst nur auf Servern mit einer statischen Adresse installiert werden soll. Das Dialogfenster Verbindungseigenschaften zum lokalen Netzwerk öffnet sich und Sie können die erforderliche Korrektur vornehmen. Microsoft hat diese Meldung eingeführt, da es tatsächlich keine sehr gute Idee ist, WINS auf einem dynamisch adressierten Server zu verwenden. Da sich Adressen ändern können, möchten Sie sicherlich nicht, dass Ihr WINS-Server dynamische Adressen verwendet. Sollte Ihr WINSServer dennoch dynamische Adressen verwenden, wird keiner Ihrer Anwender mehr Zugriff auf den Server haben. Denn Adressen werden dazu verwendet, um auf WINS-Server zu zeigen, die statisch konfiguriert sind. Gleiches gilt auch für DNS-Server.
Nachdem wir WINS installiert haben, können wir uns mit dem Konfigurieren befassen.
5.1.3
WINS konfigurieren
Praxistipp Verwenden der MMC und der manuell eingefügten Snap-Ins Für erfahrene Anwender, die die unterschiedlich konfigurierten Versionen der MMC, die es für jeden installierten Dienst auf dem Windows 2000-Server gibt, überspringen wollen, bietet Microsoft die einfache Methode des Verwaltens einer einzigen MMC-Konfiguration. Öffnen Sie MMC, gehen Sie auf START, VORGANG, MMC. MMC-Shell öffnet sich und wird beim ersten Laden leer sein. Gehen Sie auf KONSOLE, SNAP-IN HINZUFÜGEN/ENTFERNEN und klicken Sie auf die Schaltfläche HINZUFÜGEN. Im Dialogfenster EIGENSTÄNDIGEN SNAP-IN HINZUFÜGEN können Sie einen oder alle Snap-Ins für Windows-2000-Dienste wählen. Die Snap-In-Liste enthält: 씰
Active Directory Domänen und Trusts
씰
Active Directory Sites und Dienste
씰
Active Directory Benutzer und Computer
씰
ActiveX Control
씰
Zertifikate
씰
Komponentendienste
339
340
Kapitel 5
WINS
씰
Computerverwaltung
씰
Geräteverwaltung
씰
DHCP
씰
Festplattendefragmentierung
씰
Festplattenmanagement
씰
Dateisystem
씰
DNS
씰
Ereignisanzeige
씰
Faxdienstverwaltung
씰
Gruppengemeinwesen
씰
Indexdienst
씰
Internet Information Service
씰
IP Sicherheitsrichtlinien Management
씰
Lokale Benutzer und Gruppen
씰
Leistungsdatenprotokolle und Warnungen
씰
Routing und RAS
씰
Dienste
씰
Systeminformationen
씰
WINS
Diese Liste ist wahrscheinlich nicht besonders aufschlussreich für Sie, wenn Sie nicht schon einen Blick auf die verschiedenen Dienste geworfen haben, die wir in diesem Buch besprochen haben. Einige Dienste werden auch erst in den folgenden Kapiteln behandelt. MMC ist ein flexibles Tool und Sie sollten sich nicht auf die standardmäßig konfigurierten Microsoft-Versionen beschränken, die mit jedem Dienst geladen werden.
HINWEIS Sichern oder nicht sichern. Sie sollten, wenn möglich, den standardmäßigen Datenbankpfad und das automatische Speichern der Datenbank immer so konfigurieren, dass Medien beim Herunterfahren wieder entfernt werden können. Diese Konfiguration sichert die maximale Fehlertoleranz für die WINS-Datenbank, wenn der Server nicht sichern kann.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Eine ganze Reihe von Eigenschaften kann in WINS konfiguriert werden. Sie können diese verwenden, indem Sie die WINS-Konsole öffnen (START, PROGRAMME, VERWALTUNG, WINS) und den Server auswählen, der konfiguriert werden soll (siehe Abbildung 5.7). Klicken Sie mit der rechten Maustaste den Server an und wählen Sie EIGENSCHAFTEN. Folgender Abschnitt beschreibt die Eigenschaftsoptionen. Allgemeine Einstellungen Die Registerkarte ALLGEMEIN (siehe Abbildung 5.8) wird zur Konfiguration von Statistiken und Datensätzen verwendet. Sie können diese Registerkarte zur Konfiguration automatischer Sicherungen von WINS-Statistiken und Zeitabständen benutzen. Sie können auch den Standard Sicherungspfad für die WINS-Datenbank konfigurieren und die automatische Speicherung der Datenbank aktivieren, wenn der Server deaktiviert ist. Abbildung 5.7 Der WINS-Manager wird für alle Konfigurationen für den WINS-Dienst gebraucht.
Intervalleinstellungen Die Registerkarte INTERVALLE (siehe Abbildung 5.9) wird zur Erneuerung der WINS-Datenbank Datensätze, zum Löschen und zur Überprüfung der Intervalle verwendet. Sie können folgende Intervalle einstellen: 씰
Erneuerungsintervall. Bestimmt die Häufigkeit der Datensatzerneuerungen. Die Standardeinstellung ist sechs Tage und funktioniert überall, besonders in sehr dynamischen Umgebungen. Wenn Sie eine dynamische Umgebung besitzen, bei der der Computer oft eingeschaltet und das Netzwerk oft verlassen wird, sollten Sie dieses Intervall reduzieren.
씰
Alterungsintervall. Bestimmt die Zeitdauer, bevor ein Datensatz als gelöscht gilt und von der Datenbank gelöscht wird. Die Standardeinstellung von vier Tagen ist ist für die meisten Umgebungen bis auf sehr dynamische gut geeignet.
341
342
Kapitel 5
WINS
Abbildung 5.8 Die Registerkarte Allgemein wird für die Konfiguration von Statistiken und Datensätzen für die WINS-Datenbank benötigt.
씰
Alterungszeitüberschreitung. Bestimmt die Zeitdauer, in der ein Datensatz überprüft wird, bevor er als gelöscht gilt. Wenn diese Registerkarte erscheint, wird der Datensatz nach Erscheinen des Alterungsintervalls gelöscht.
씰
Überprüfungsintervall. Bestimmt die Häufigkeit, in der die Datensätze der Datenbank überprüft werden.
Einstellungen zur Datenbanküberprüfung Die Registerkarte DATENBANKÜBERPRÜFUNG (siehe Abbildung 5.10) ermöglicht Ihnen die Konfiguration der Parameter, die mit der WINS-Datenbank in Verbindung stehen. Sie können bestimmte Datenbanken für bestimmte Intervalle einstellen. Die Standardeinstellung ist 24 Stunden. Wenn diese aktiviert ist, wird die Datenbank automatisch einmal pro Tag überprüft. Sie können auch den Zeitpunkt bestimmen, an dem die Überprüfung stattfinden soll, ebenso wie die Anzahl der Datensätze der Datenbanken, die jeweils überprüft werden sollen, und die Quelle, mit der dieser überprüft werden soll. Sie können Datensätze auch mittels Besitzerservern (die Server, aus denen die Replikation des zu überprüfenden Servers stammt) oder Partnerservern, auf die Sie Zugriff haben, überprüfen.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 5.9 In den meisten Netzwerken sind die Standardintervalle geeignet, um eine stabile WINSUmgebungen aufzubauen.
Abbildung 5.10 Das Überprüfen einer WINS-Datenbank ist für eine stabile WINSUmgebung entscheidend.
343
344
Kapitel 5
WINS
Erweiterte Einstellungen Die Registerkarte ERWEITERT (siehe Abbildung 5.11) wird zur Konfiguration bestehender WINS-Parameter verwendet. Sie enthält: 씰
Detaillierte Ereignisse im Windows-Ereignisprotokoll eintragen. Sie können die detaillierte Ereignisprotokollierung für Fehlerbeseitigung von WINS aktivieren, wenn es Probleme gibt.
씰
Burstverarbeitung aktivieren. Sie können das, was auf Ihrem Server geladen wird, konfigurieren, indem Sie die Anzahl von WINS-Anforderungen, bevor der Server darauf antwortet, spezifizieren. Diese Einstellung kann Niedrig, Mittel, Hoch oder Benutzerdefiniert sein. Somit erhalten Sie eine genau bestimmte Verbindungsanzahl.
씰
Datenbankpfad. Es handelt sich hierbei um den Pfad für die WINS-Datenbank. Wenn Sie fehlertolerierende Laufwerke in Ihrem Server besitzen, gehen Sie sicher, dass die WINS-Datenbank sich auf einem dieser Laufwerke befindet.
Abbildung 5.11 Die Funktionen der Registerkarte Erweitert enthält WINS-Parameter und wichtige Parameter für Fehlerbeseitigung und Laderegulierung.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
씰
Erste Versionskennung. Sie brauchen diesen Parameter nicht zu ändern. Die Anfangsversionszahl wird für Übereinstimmungszwecke benötigt. In Windows 2000 erhält jede Datenbankversion eine jeweils höhere Versionsnummer. So können zwei WINS-Datenbanken verglichen werden. Daraus kann man dann ersehen, welche der beiden Datenbanken die neuere ist. DNS verwendet einen ähnlichen Mechanismus für die Synchronisierung der Tabellen.
씰
Computernamen verwenden, die mit LAN Manager kompatibel sind. Sie können WINS auch so einstellen, dass LAN-Manager-kompatible Computernamen verwendet werden können. Sämtliche LAN-Manager-Installationen können somit bei der Namensauflösung WINS verwenden.
Diese Punkte decken den Bereich der Konfiguration eines WINS-Servers ab. Werfen wir nun einen Blick auf die Konfiguration von WINS-Replikationen zwischen zwei WINS-Servern.
5.1.4
Konfigurieren der WINS-Replikation
In den meisten Umgebungen, die sich bei Namensauflösungen in älteren Systemen auf WINS verlassen, ist es sehr wichtig, sicherzustellen, dass mehr als ein WINSServer vorhanden ist, sodass Redundanz und Funktionsfähigkeit garantiert werden kann. Damit auch sichergestellt ist, dass jeder Server eine aktuelle Kopie der Datenbank aufweist, ist die Konfiguration der Replikation in Ihrem WINS-Server sehr wichtig. Werfen wir einen kurzen Blick auf die verschiedenen Replikationsmöglichkeiten, die Sie für Ihren WINS-Dienst konfigurieren können: 씰
Pull-Replikation. Hier zieht Ihr Server die Datenbank von einem Replikationspartner. Eine Pull-Replikation ist zeitlich abhängig und erscheint, wenn die Konfiguration beendet ist. Sie können entscheiden, ob Sie eine ständige Verbindung für Replikationen wünschen und Sie können die Anfangszeit und das Zeitintervall für Replikationen einstellen.
씰
Push-Replikation. Hier wird die entsprechende Datenbank von Ihrem Server in einem Replikationspartner gespeichert. Diese Anwendung ist ereignisgebunden, und die Anzahl der Datenbankspeicherungen bestimmt, wann die Anwendung erscheint. Sie können entscheiden, ob Sie eine ständige Verbindung für Speicheraktivitäten/Speichervorgänge wünschen und die Anzahl der Änderungen in der ID-Version einstellen, bevor die Replikation stattfindet.
씰
Replikations-Partnertyp. Je nachdem, welche Anforderungen Sie haben, kann der Partnertyp Push, Pull oder Push/Pull sein. (Bei der Push/Pull-Replikation kann die Datenbankreplikation erscheinen, wenn entweder die Pushoder die Pull-Methode verwendet wird.)
345
346
Kapitel 5
WINS
PRÜFUNGSTIPP WINS-Replikation. Ein neues Feature von Windows 2000 WINS-Server unterstützt eine andauernde Verbindung mit einem oder mehreren Replikationspartnern, erhält diese aufrecht und ermöglicht Replikationen in Echtzeit. Da es sich hierbei um eines der neuen Features des WINS-Dienstes handelt, werden Sie es vermutlich im Test wiederfinden. Microsoft stellt hauptsächlich Prüfungsfragen, die sich darauf beziehen, wie Sie mit neuen Features des Dienstes umgehen, und nicht darauf, wie es um Ihre allgemeinen Kenntnisse zu WINS steht. WINS war nämlich von Anfang an Teil des Windows-Server-Betriebssystems.
Um die WINS-Replikation zu konfigurieren, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 5.3
Konfigurieren der WINS-Replikation
1. Öffnen Sie den WINS-Manager, indem Sie START, PROGRAMME, VERWALTUNG und WINS auswählen. 2. Klicken Sie mit der rechten Maustaste auf REPLIKATIONSPARTNER in der linken Anzeigenhälfte, und wählen Sie NEUER REPLIKATIONSPARTNER. Das Dialogfenster NEUER REPLIKATIONSPARTNER öffnet sich (siehe Abbildung 5.12). Geben Sie die Adresse eines anderen WINS-Servers ein. Es kann sich entweder um den Servernamen oder um die IP-Adresse handeln. Wenn der Servername nicht gefunden werden kann, müssen Sie die Serveradresse eingeben. Abbildung 5.12 Der Replikationspartner kann entweder als Name oder Adresse aufgelistet werden .
3. Geben Sie den Servernamen ein und klicken Sie auf OK. 4. Klicken Sie im linken Anzeigebereich auf REPLIKATIONSPARTNER. Sie sollten Ihren neuen Replikationspartner im rechten Anzeigebereich sehen (siehe Abbildung 5.13) 5. Klicken Sie mit der rechten Maustaste auf den neu erstellten Replikationspartner und wählen Sie EIGENSCHAFTEN. Das EIGENSCHAFTEN-Dialogfenster öffnet sich. Es zeigt nur den Namen und die Adresse des Replikationspartners an.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 5.13 Nachdem der Replikationspartner erstellt wurde, wird dieser in der Registerkarte Replikationspartner des WINS-Managers angezeigt.
6. Klicken Sie auf die Registerkarte ERWEITERT (siehe Abbildung 5.14). In dieser Registerkarte können Sie die Replikationseigenschaften für den Replikationspartner konfigurieren. Wählen Sie die entsprechende Eigenschaft für Ihre Umgebung aus. 7. Klicken Sie auf OK, wenn Sie mit der Einstellung zufrieden sind. Sie haben nun Replikationen mit einem Replikationspartner konfiguriert. Werfen wir nun einen Blick auf die allgemeinen Replikationseigenschaften. Um die allgemeinen Replikationseigenschaften zu wiederholen, öffnen Sie die Anwendung WINS-Manager wie in Schritt für Schritt beschrieben wurde und wählen Sie auf der linken Anzeigenhälfte REPLIKATIONSPARTNER. Klicken Sie mit der rechten Maustaste darauf und wählen Sie aus dem Kontextmenü EIGENSCHAFTEN. EIGENSCHAFTEN VON REPLIKATIONSPARTNER öffnet sich, was wiederum die Registerkarte ALLGEMEIN aufruft. Konfigurationen von Replikationspartnern können mit folgenden Registerkarten erstellt werden: 씰
Allgemein. Die Registerkarte ALLGEMEIN ermöglicht das Einschränken von Replikationen mit Partnern. Sie können in dieser Registerkarte auch den Server so konfigurieren, dass statische Abbildungen auf dem Server überschrieben werden.
씰
Push-Replikation. Wie Sie in Abbildung 5.15 sehen können, wird diese Registerkarte verwendet, um zu bestimmen, ob die Replikation gleichzeitig mit dem System startet. Sie können mit dieser Registerkarte auch festlegen, wann eine Adresse geändert werden soll (Sie können die Anzahl der gewünschten Anforderungen so konfigurieren, dass die Push-Replikation eingeleitet wird) und ob ständige Verbindungen für die Push-Replikation verwendet werden sollen.
347
348
Kapitel 5
WINS
Abbildung 5.14 Mit der Registerkarte Erweitert können Sie die WINSReplikation einstellen, um die Netzwerkanfragen zu bearbeiten.
Abbildung 5.15 Mit der Registerkarte Push-Replikation können Sie Schwellwerte festlegen, um eine Push- Replikation zu starten.
5.1 WINS: Installieren, Konfigurieren und Fehlerbeseitigung
Abbildung 5.16 Die Registerkarte Pull-Replikation ermöglicht das Konfigurieren der Zeitbestimmungen für eine Pull-Replikation.
씰
Pull-Replikation. Wie Sie in Abbildung 5.16 sehen können, können Sie diese Registerkarte verwenden, um zu bestimmen, ob die Pull-Replikation gleichzeitig mit dem Systemstart beginnen soll, wann die Replikation beginnen soll, wie groß der Zeitabstand zwischen den Replikationen sein soll. Ferner können Sie festlegen, wie viele Wiederholungen gemacht werden sollen und ob ständige Verbindungen aufrechterhalten werden sollen.
씰
Erweitert. Die Registerkarte aus Abbildung 5.17 ermöglicht das Blockieren von Servern, sodass der Replikationsvorgang gestoppt wird. Sie können mit Hilfe dieser Registerkarte auch die automatische Blockierung von Replikationseinträgen anderer Server sowie die automatische Konfiguration des Partners konfigurieren. Da Sie Multicast benötigen, um Server zu konfigurieren und aufzuspüren, ist dieser Vorgang nur bei kleinen Netzwerken möglich.
PRÜFUNGSTIPP Allg llgemeine Replik likationseinstellungen. Die Konfiguration von Replikationspartnern wurde gerade behandelt, die Parameter sollten Ihnen also bekannt vorkommen. In diesem Abschnitt jedoch können die Veränderungen bei allen Replikationspartnern durchgeführt werden, die nach der Modifikation erstellt wurden. Sie werden aber nicht bei bereits existierenden Replikationspartnern verwendet.
349
350
Kapitel 5
WINS
HINWEIS Was ist Multicasting? Multicasting ist das Übertragen einer Nachricht an eine ausgewählte Empfängergruppe. Multicasting steht im Gegensatz zu Broadcast, wo jeder Host aus dem Netzwerk eine Nachricht erhält. Multicasting steht ebenfalls im Gegensatz zu Unicast, wo die Verbindung nur zwischen Sender und Empfänger besteht, und nur ein Datenempfänger vorhanden ist. Multicasting lässt sich am Beispiel einer E-Mail demonstrieren. Wenn Sie eine E-Mail an Ihren Manager schicken, handelt es sich um Unicast. Wird eine E-Mail an alle Systembenutzer geschickt, handelt es sich um Brodcast. Wird eine E-Mail auf eine Mailingliste gesetzt und eine Multicast-Nachricht verschickt, handelt es sich weder um Broadcast noch um Unicast. Multicasting wird bei Telefon- und Videokonferenzen verwendet sowie beim Rundfunk, wo die Verbindung zu einer ausgewählten Gruppe besteht. Im Moment profitieren nur wenige Anwendungen von diesem Feature, jedoch, nachdem die Multicast-Anwendungen sich immer größerer Beliebtheit erfreuen, wird man schon in naher Zukunft eine immer größere Anwendung von Multicasting feststellen können. WINS ist eines dieser Features, eignet sich allerdings nur für kleine Netzwerke.
Sie haben nun alle möglichen Parameter der Windows-Replikationspartner erfolgreich konfiguriert. Werfen wir einen kurzen Blick auf die Identifizierung von WINS-Problemen. Abbildung 5.17 Mit der Registerkarte Erweitert können Sie den Server für ein kleines Netzwerk einstellen. Sie können mit Hilfe dieser Registerkarte auch die automatische Blockierung von Replikationseinträgen anderer Server konfigurieren.
5.2 Fehler beseitigen bei WINS
5.2
Fehler beseitigen bei WINS
Die meisten WINS-Einträge, die Sie kennen lernen werden, hängen mit der Vernetzung zusammen. Als Erstes müssen wir also einen Blick auf die TCP/IP-Vernetzung werfen. Das wichtigste Tool für die Prüfaufgaben in IP-Netzwerken ist das Hilfsprogramm PING.EXE. Mit PING senden Sie Internet Control Message Protocol (ICMP)-Pakete an einen TCP/IP-Host. Wenn das richtige Flag verwendet wird, kann PING auch eine Namensauflösung als Teil seines Testvorganges ausführen. Das korrekte Format für diesen Befehl ist: PING -a
Wobei -a angibt, dass der Hostname aufgelöst werden soll. Hier sehen Sie ein Beispiel einer PING-Ausführung: Ping -a wins1.newriders.com Ping wins1.newriders.com [205.123.113.87] with 32 bytes of data: Reply from 205.123.113.87: bytes=32 time=47ms TTL=241 Reply from 205.123.113.87: bytes=32 time=60ms TTL=242 Reply from 205.123.113.87: bytes=32 time=40ms TTL=242 Reply from 205.123.113.87: bytes=32 time=37ms TTL=242 Ping statistics for 205.123.113.87: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milliseconds: Minimum = 37ms, Maximum = 60ms, Average = 46ms
Da die Anzahl der Sendungen der Anzahl der Empfänge entspricht, ist die Verbindung zwischen dem Arbeitsplatz und dem WINS-Server gut. Wenn Sie keine Rücksendungen erhalten, sollten Sie das Netzwerk genauer auf Fehler untersuchen. Der nächste Teil des WINS-Puzzles ist die WINS-Konfiguration des Clientcomputers. Um zu testen, ob die WINS-Konfiguration Ihres Windows-2000-Clientcomputers in Ordnung ist, gehen Sie folgendermaßen vor:
SCHRITT FÜR SCHRITT 5.4
Überprüfen der WINS-Einstellungen in einem Clientcomputer
1. Öffnen Sie die EINGABEAUFFORDERUNG, indem Sie START, PROGRAMME, ZUBEHÖR und EINGABEAUFFORDERUNG wählen. 2. Geben Sie in die Befehlszeilenaufforderung ipconfig /all ein. Sie werden ein ähnliches Ergebnis wie in Abbildung 5.18 erhalten.
351
352
Kapitel 5
WINS
3. Überprüfen Sie die Eingabe PRIMÄRER WINS-SERVER am Ende der Parameterliste. Stellen Sie sicher, dass ein WINS-Server konfiguriert ist, und dass es sich um den korrekten Server handelt. Wenn kein Server angezeigt wird oder der angezeigte Server der falsche ist, müssen Sie den korrekten Server angeben. Wenn Sie DHCP verwenden, müssen Sie Ihre DHCP-Einstellungen aktualisieren. Wenn Sie statische Adressen verwenden, kann der WINS-Server konfiguriert werden, wenn Sie das Netzwerk-Applet in der Systemsteuerung öffnen und den korrekten Server in den TCP/IP-Eigenschaften einstellen.
Abbildung 5.18 Das Hilfsprogramm IPConfig gibt Ihnen alle Informationen zur IPKonfiguration Ihrer Adapter, ganz gleich um welchen es sich handelt.
Um das WINS-Puzzle zu vervollständigen, muss der Server noch auf seine Funktionalität überprüft werden. Sie sollten dabei mehrere Dinge kontrollieren: 씰
Funktioniert der WINS-Server? Öffnen Sie hierfür den Task-Manager öffnen (drücken Sie Ctrl+Alt+Delt und wählen Sie Task-Manager. Überprüfen Sie in der Registerkarte PROZESSE (siehe Abbildung 5.19), ob der WINSDienst (WINS.EXE) aktiv ist. Ist dieser Dienst nicht aktiv, sollten Sie den Server eventuell neu starten, um sicherzustellen, dass es nicht noch weitere Problempunkte gibt.
씰
Antwortet der WINS-Dienst auf Anforderungen? Die beste Methode, um dies zu überprüfen ist, die Serverstatistik zu kontrollieren. (Sie können auch den Systemmonitor verwenden, um diese Informationen zu erhalten. Später in diesem Kapitel wird dieses Thema ausführlicher behandelt.) Um die Serverstatistik zu überprüfen, klicken Sie mit der rechten Maustaste den Server im WINS-Manager an und wählen Sie SERVERSTATISTIK (siehe Abbildung 5.20). Wenn Sie diese Statistiken über eine 15 Minuten lange Zeitspanne kontrollieren, und diese nicht zunehmen, besitzen Sie wahrscheinlich irgendwo anders ein WINS-Problem.
5.3 Konfigurieren der NetBIOS-Namensauflösung
Wir haben nun die elementaren Schritte zur Beseitigung von Fehlern bei WINS behandelt. Wie in jeder Situation, in der es diverse Punkte zu prüfen gibt, können die einzelnen Schritte variieren. Jede Fehlersituation ist einzigartig und erfordert unter Umständen ebenso einzigartige Schritte zur Behebung der Fehler.
5.3
Konfigurieren der NetBIOSNamensauflösung
Microsoft TCP/IP verwendet NetBIOS über TCP/IP (NetBT), und ist, wie in Request for Comment (RFC) 1001 und 1002 spezifiziert ist, für die Unterstützung der NetBIOS-Client- und Serverprogramme in der LAN- und WAN-Umgebung zuständig. Bevor wir uns die NetBIOS-Namensauflösung genauer ansehen, wiederholen wir doch noch einmal kurz, wie Computer im Netzwerk kommunizieren. Das sollte Ihnen helfen, zu verstehen, wie verschiedene NetBIOS-Betriebsarten funktionieren, und warum Sie manche anderen vorziehen sollten. Abbildung 5.19 Der Task-Manager ist einer der schnellsten Wege zur Überprüfung, ob der Dienst funktioniert.
353
354
Kapitel 5
WINS
Abbildung 5.20 Die WINS-Serverstatistik bieten einen hervorragenden Überblick auf den WINS-Dienst.
Computer können auf zwei Arten im Netzwerk kommunizieren: 씰
Mittels Broadcast-Nachrichten, die jeder Computer erhält
씰
Mittels direkten Nachrichten, die an bestimmte Computer gesendet werden
Wenn es möglich ist, sollte man immer lieber direkt kommunizieren. Das reduziert den Netzwerkverkehr und garantiert, dass nur der entsprechende Host die Nachricht erhält und die Nachricht über Router gesendet wird. Microsoft musste also sicherstellen, dass WINS primär mittels Direktmeldungen kommuniziert. Microsoft hat das Ganze vervollständigt, indem verschiedene NetBIOS-Namensgebungsmethoden erlaubt wurden. Diese Namensgebungsmethoden werden Knotenarten genannt, bei dem ein Knoten ein Gerät in einem Netzwerk darstellt. Jeder Computer in einem Microsoft-Netzwerk arbeitet mit einer der vier Namensauflösungen (Knotenarten). Die Knotenart bestimmt, ob der Computer Namen bei Broadcast, Direktmeldungen oder einer Kombination aus beiden lernt. Bevor Sie mit WINS arbeiten können, müssen Sie wissen, was für Knotenarten es gibt, und wann sie verwendet werden. 씰
B-Knoten (Broadcast-Knoten). Bezieht sich nur auf Brodcasts und ist die älteste NetBIOS-Namensauflösung. Ein Host, der eine Namensanforderung beantworten soll, sendet eine Anforderung zu jedem Host und fordert die Adresse an, die mit einem Hostnamen in Verbindung steht, an. Der B-Knoten hat zwei Nachteile: Broadcast-Verkehr ist nicht wünschenswert und verbraucht nur Netzwerkbandbreiten. Außerdem leiten Router diesen Broadcast nicht weiter.
씰
P-Knoten (Punkt-zu-Punkt-Knoten). Für WINS-Server und NetBIOS-Namensauflösungen. Clientcomputer registrieren sich selbst bei einem WINSServer im entsprechenden Netzwerk. Anschließend können Sie den WINS-
5.3 Konfigurieren der NetBIOS-Namensauflösung
Server mit NetBIOS-Namensauflösungen kontaktieren. WINS-Server kommunizieren mit Direktmeldungen, die Router-Grenzen überwinden können. So kann der P-Knoten in größeren Netzwerken arbeiten. Wenn der WINSServer jedoch nicht verfügbar ist, oder wenn ein Knoten nicht so konfiguriert ist, dass er einen WINS-Server kontaktieren kann, funktioniert auch die PKnoten-Namensauflösung nicht. 씰
M-Knoten (modifizierter Knoten). Ein Hybridmodus, der zuerst versucht, NetBIOS-Namen mit Hilfe des B-Knoten-Mechanismus aufzulösen. Wenn dies nicht gelingt, versucht er, die P-Knotenauflösung zu benutzen. Der MKnoten war der erste Hybridmodus, der angewendet wurde, aber er hat den Nachteil, dass er B-Knotenvorgänge bevorzugt, was gleichzeitig einen großen Broadcast-Verkehr bedeutet.
씰
H-Knoten (Hybrid-Knoten). Ein Hybridmodus, der die Verwendung von WINS für NetBIOS-Namensauflösungen bevorzugt. Wenn ein Computer einen NetBIOS-Namen auflösen muss, versucht dieser Modus zuerst, dies mit Hilfe der P-Knotenauflösung zu tun. Nur wenn die WINS-Auflösung nicht funktioniert, greift der Host auf den B-Knoten zurück, um den Namen mit Hilfe von Broadcasts aufzulösen. Da dieser Modus sehr gut funktioniert, ist er der Standardmodus bei Vorgängen in Microsoft-TCP/IP-Clientcomputern, die für WINS-Namensauflösungen konfiguriert sind. Microsoft empfiehlt, die Standardeinstellung der H-Knoten-Konfiguration bei Clientcomputern beizubehalten.
PRÜFUNGSTIPP Microsoft überprüft die Abwärtskompatibilit ilität. Täuschen Sie sich nicht. Nur weil WINS eine veraltete Technologie ist, heißt das noch lange nicht, dass keine Fragen darüber in der Prüfung gestellt werden. Microsoft zieht die Abwärtskompatibilität in Betracht, und deshalb können Sie davon ausgehen, dass auch Fragen zu WINS in dieser Prüfung auftauchen werden. Wenn Sie nicht mit WINS in einem veralteten Netzwerk gearbeitet haben, gehen Sie sicher, dass Sie verstehen, wie WINS funktioniert.
Praxistipp Namensauflösung mit WINS Es ist wichtig, dass Sie wissen, wie WINS einen Namen eigentlich auflöst. (Da der H-Knoten nicht nur der Standardmodus, sondern die empfohlene Konfiguration ist, werden wir uns auf die H-Knoten-Namensauflösung beschränken.) Wenn ein
355
356
Kapitel 5
WINS
WINS-Clientcomputer, der auf den Hybridmodus konfiguriert ist, einen Hostnamen auflösen muss, werden folgende Schritte vorgenommen: 1. Kontrolle des NetBIOS-Cache. Wenn der Name im Cache ist, wird er verwendet und zurückgesendet, wenn er gefunden wird. 2. Anfrage an den WINS-Server. Wenn der Name gefunden wird, wird er zurückgesendet. 3. Suche nach der Datei LMHOSTS, um zu überprüfen, ob ein Eintrag vorhanden ist. Wenn der Name gefunden wird, wird er zurückgesendet. 4. Broadcast wird eingeleitet, um den Host im lokalen Netzwerk zu finden. Wenn der Name gefunden wird, wird er zurückgesendet. 5. Suche nach der Datei Hosts, um zu überprüfen, ob ein Eintrag vorhanden ist. Wenn der Name gefunden wird, wird er zurückgesendet. 6. Anfrage an den DNS-Server, ob ein Eintrag vorhanden ist. Wenn der Name gefunden wird, wird er zurückgesendet. 7. Wenn alle diese Methoden nicht funktionieren, zeigt der WINS-Clientcomputer eine Fehlermeldung an, in der steht, dass er nicht mit dem Host kommunizieren kann. Obwohl Netzwerke so organisiert werden können, dass sie verschiedene Knoten verwenden können, rät Microsoft davon ab. B-Knoten-Clientcomputer ignorieren PKnoten-Direktmeldungen, und P-Knoten Clientcomputers ignorieren B-KnotenBroadcast. Deshalb ist es vorstellbar, dass zwei Clientcomputer getrennt voneinander mit dem gleichen NetBIOS-Namen eingerichtet werden. Wenn WINS auf einem Windows-2000-Professional-Computer funktioniert, verwendet das System den HKnoten standardmäßig. Ohne WINS verwendet das System standardmäßig den BKnoten. Nicht-WINS-Clientcomputer können WINS mit einem WINS-Proxy erhalten. WINS-Proxy ist ein Computer mit aktivierter WINS-Auflösung, der Namensanfragen in Form von Broadcast erfasst und anschließend Anfragen anstelle des anfordernden Clientcomputers an den WINS Server richtet. Um zu sehen, welche Knotenart auf einem Windows-2000-Computer konfiguriert ist, müssen Sie wie folgt vorgehen:
SCHRITT FÜR SCHRITT 5.5
Identifizieren einer NetBIOS-Knotenart
1. Öffnen Sie eine EINGABEAUFFORDERUNG, indem Sie auf START, PROGRAMME, ZUBEHÖR, EINGABEAUFFORDERUNG gehen.
5.4 Verwalten und Überwachen von WINS
Abbildung 5.21 Mit dem IPConfigHilfsprogramm erhalten Sie die gesamte Information bezüglich der IP-Konfiguration für Adapter aller Art, inklusive Knotenarten.
2. Geben Sie in die Eingabeaufforderung, ipconfig /all ein. Sie erhalten ein ähnliches Ergebnis wie in Abbildung 5.21. Die Knotenart wird rechts neben der Überschrift KNOTENART angezeigt. In diesem Beispiel arbeitet der Computer im Hybridmodus, dem Standardmodus für Windows 2000.
PRÜFUNGSTIPP Registrieren mit WINS. Wenn Ihr Windows-Clientcomputer Zugriff auf das Netzwerk hat, wird er von WINS registriert, sodass andere Microsoft-Clientcomputer seinen Namen und seine Adresse auflösen oder erhalten können. Für die Prüfung müssen Sie wissen, dass auch ein WINS-Proxyserver zur Namensauflösung für Hosts eingesetzt werden kann. Diese können allerdings nicht direkt von WINS registriert werden.
Sehen wir nun, wie man WINS am besten verwalten und überwachen kann, und wie Sie Ihren WINS-Server am besten verwalten.
5.4
Verwalten und Überwachen von WINS
Wir haben einen Blick darauf geworfen, wie der Windows-2000-WINS-Serverdienst installiert und konfiguriert wird. Nun müssen wir lernen, wie der Server verwaltet und überwacht wird. Normalerweise muss immer viel mehr Zeit für das Verwalten des WINS-Servers aufgebracht werden als für seine Installation. Obwohl der WINS-Server nur begrenzte Überwachungsmöglichkeiten bietet, haben Sie Zugriff auf die WINS-Statistiken, die in diesem Kapitel bereits erwähnt wurden. Um Server-Statistiken zu erhalten, öffnen Sie einfach den WINS-Manager und klicken mit der rechten Maustaste auf den entsprechenden Server. Wählen Sie aus dem Kontextmenü SERVERSTATISTIKEN ANZEIGEN. Ein Schnappschuss der Serverstatistiken wird angezeigt (siehe Abbildung 5.22).
357
358
Kapitel 5
WINS
Abbildung 5.22 Die WINS-Serverstatistiken bieten Ihnen einen guten Screenshot der WINS-Aktivitäten.
Die WINS-Server Anwendung bietet zusätzliche Möglichkeiten. Sie können aus der geöffneten WINS-Manager Anwendung den WINS-Server auswählen und anschließend das Menü VORGANG verwenden, um Zugriff auf die möglichen Anwendungen zu haben: 씰
Die Option SERVERSTATISTIKEN ANZEIGEN zeigt die Statistiken an, die in diesem Kapitel bereits erläutert wurden.
씰
Die Option Datenbank aufräumen ermöglicht das manuelle Entfernen unbenutzter Einträge aus der WINS-Datenbank.
씰
Die Option Datenbankkonsistenz überprüfen zwingt den Server, die Netzwerkhosts und die Eingaben in der WINS-Datenbank zu überprüfen. Dieser Vorgang kann sehr viel Prozessor- und Netzwerkarbeit erfordern und sollte deshalb erst nach Feierabend durchgeführt werden.
씰
Die Option Konsistenz der Versionskennung überprüfen zwingt den WINSServer, alle anderen WINS-Server im Netzwerk auf die Versionsnummern der Datenbanken zu überprüfen, um sicherzugehen, dass sie konsistent sind.
5.4 Verwalten und Überwachen von WINS
Dies ist ebenfalls ein langwieriger Vorgang, und sollte deshalb erst nach Feierabend durchgeführt werden – oder zumindest nicht dann, wenn ein Mitarbeiter E-Mails lesen möchte. 씰
Die Option Push-Replikation starten ermöglicht eine manuelle Push-Replikation.
씰
Die Option Pull-Replikation starten ermöglicht eine manuelle Pull-Replikation.
씰
Die Option Datenbank sichern ermöglicht Ihnen die Erstellung einer Sicherungskopie der WINS-Datenbank. Gehen Sie immer sicher, dass Sie für alle Fälle eine Kopie dieser Datenbank besitzen. Wenn Sie das Sicherungsverzeichnis bestimmen, speichert der Server die Datenbank automatisch alle 24 Stunden.
씰
Die Option Datenbank wiederherstellen ermöglicht Ihnen das Wiederherstellen einer Sicherungskopie der Datenbank.
씰
Die Option Alle Tasks bietet ein Menü an, das aus folgenden Befehlen besteht: 씰
Start. Startet den WINS-Serverdienst. Diese Option ist nur aktivierbar, wenn der Dienst gestoppt oder unterbrochen ist.
씰
Beenden. Stoppt den WINS-Serverdienst. Über diesen Dienst können Sie dann verfügen, wenn der Dienst gerade läuft oder unterbrochen ist. Diese Option zwingt den Server, die Statistiken zu löschen.
씰
Anhalten. Unterbricht den WINS-Serverdienst. Diese Option löscht die Statistiken nicht.
씰
Fortsetzen. Wiederaufnahme des WINS-Serverdienstes, wenn er unterbrochen wurde. Diese Option ist nur dann verfügbar, wenn der Dienst unterbrochen wurde.
씰
Neu Starten. Startet erneut den WINS-Serverdienst. Diese Option ist immer verfügbar, es sei denn, der Server ist gestoppt.
씰
Die Option LÖSCHEN löscht einen WINS-Server vom WINS-Manager.
씰
Die Option AKTUALISIEREN erneuert alle angezeigten Informationen.
359
360
Kapitel 5
WINS
씰
Die Option LISTE EXPORTIEREN ermöglicht Ihnen das Exportieren der Informationen vom DNS-Server in einen Tabulator- oder Komma-separierten Text oder in einer Unicode-Textdatei.
씰
Die Option EIGENSCHAFTEN öffnet die Server-Eigenschaften wie bereits schon erklärt wurde.
Der Windows-2000-WINS-Dienst enthält außerdem neue Funktionen für das Verwalten der WINS-Datenbank. Wenn Sie den WINS-Manager öffnen und auf AKTIVE REGISTRIERUNGEN klicken, erscheint eine Liste, in der alle dynamisch hinzugefügten Einträge in die WINS-Datenbank stehen. Obwohl dies sehr nützlich ist, wäre es praktisch, wenn man einen bestimmten Eintrag suchen könnte oder diesen sogar unter einer bestimmten Eintragsart speichern könnte. Und es ist möglich! Wenn Sie AKTIVE REGISTRIERUNGEN mit der rechten Maustaste anklicken und NACH NAMEN SUCHEN oder NACH BESITZER SUCHEN auswählen, können Sie die WINS-Datenbank auf bestimmte Einträge durchsuchen. Unter Nach Besitzer suchen können Sie sogar filtern, welche WINS-Eintragsarten angezeigt werden sollen. Wenn Sie in einer großen Umgebung arbeiten (500 Computer oder mehr), werden diese Möglichkeiten nicht funktionieren, da Computer oft 10 bis 12 Einträge in die WINS-Datenbank eingeben können. Ich weiß nicht, wie es Ihnen geht, aber ich habe nicht vor, 5000 bis 6000 Datensätze zu lesen, um eine spezielle Maschine zu finden. Der Windows-2000-WINS-Dienst ermöglicht nicht nur das Löschen von statischen, sondern auch von dynamischen Einträgen. Im Vergleich zu älteren WINS-Versionen haben wir es hier mit einer erheblichen Verbesserung zu tun, da dort dynamische Einträge nicht gelöscht werden konnten. Sie haben nun einige Optionen des Verwaltens von WINS-Servern kennen gelernt, beschäftigen wir uns nun also mit dem Überwachen des Dienstes. Bevor Sie die Schritt-für-Schritt-Anleitung durchführen, sollten Sie wissen, welche Leistungsindikatoren Sie beim Überwachen von WINS verwenden können. Das Objekt WINS steht mit folgenden Leistungsindikatoren in Zusammenhang: 씰
Fehlgeschlagene Abfragen. Gibt die Anzahl fehlgeschlagener WINS-Anfragen pro Sekunde wieder. Wenn die Zahl sehr hoch ist, erhalten Sie vielleicht eine Angabe mit WINS-Auflösungen.
씰
Fehlgeschlagene Freigaben/s. Gibt die Anzahl fehlgeschlagener WINS, die pro Sekunde freigegeben wurden, wieder. Wenn die Zahl sehr hoch ist, erhalten Sie möglicherweise eine Angabe mit WINS-Auflösungen.
씰
Gruppenkonflikte/s. Die Rate der vom WINS-Server bearbeiteten Gruppenregistrierungen, die im Konflikt zur Datenbank stehen.
5.4 Verwalten und Überwachen von WINS
씰
Gruppenregistrierungen/s. Die Rate, in der Gruppenregistrierungen erhalten werden.
씰
Gruppenerneuerungen/s. Die Rate, in der Gruppenregistrierungen erhalten werden.
씰
Abfragen/s. Die Rate, in der Abfragen erhalten werden.
씰
Freigaben/s. Die Rate, in der Freigaben erhalten werden.
씰
Erfolgreiche Abfragen/s. Die Anzahl erfolgreicher Abfragen pro Sekunde. Nützlich, wenn Sie WINS oft verwenden.
씰
Erfolgreiche Freigaben/s. Die Anzahl erfolgreicher Freigaben pro Sekunde. Nützlich, wenn Sie WINS oft verwenden.
씰
Konflikte insgesamt/s. Die Summe einzelner Konflikte und Gruppenkonflikte pro Sekunde.
씰
Registrierungen insgesamt/s. Die Summe einzelner Registrierungen und Gruppenregistrierungen pro Sekunde.
씰
Erneuerungen insgesamt/s. Die Summe einzelner Erneuerungen und Gruppenerneuerungen pro Sekunde.
씰
Einzelkonflikte/s. Die Rate, in der Einzelregistrierungen/Erneuerungen vom Server erhalten werden
씰
Einzelregistrierungen/s. Die Rate, in der Einzelregistrierungen vom Server erhalten werden.
씰
Einzelerneuerungen/s. Die Rate, in der Einzelerneuerungen vom Server erhalten werden.
Zur Konfiguration der WINS-Leistungsüberwachung, befolgen Sie folgende Schritte:
SCHRITT FÜR SCHRITT 5.6
WINS-Leistungsüberwachung
1. Öffnen Sie den SYSTEMMONITOR, indem Sie PROGRAMME, VERWALTUNG und SYSTEMMONITOR auswählen (siehe Abbildung 5.23).
361
362
Kapitel 5
WINS
2. Wählen Sie SYSTEMMONITOR (siehe Abbildung 5.24). 3. Um eine Eingabe in Systemmonitor zu manchen, klicken Sie auf das Symbol HINZUFÜGEN (+). Das Dialogfenster LEISTUNGSINDIKATOR HINZUFÜGEN öffnet sich. Standardgemäß öffnet es das Objekt PROZESSOR. 4. Wählen Sie das Objekt WINS-SERVER. Eine Liste der verfügbaren Indikatoren, die es für den WINS-Dienst gibt, wird eingeblendet. In Abbildung 5.25 sehen Sie die Erklärungen der Leistungsindikatoren. Abbildung 5.23 Der Systemmonitor ermöglicht die Überwachung zahlreicher Systeme und Anwendungen.
Abbildung 5.24 Systemmonitor ermöglicht die Leistungsüberwachung Ihrer Serverstatistiken in Echtzeit.
5.4 Verwalten und Überwachen von WINS
Abbildung 5.25 Für die gewählten Leistungsindikatoren wird eine Erklärung angezeigt.
Abbildung 5.26 Nachdem die Leistungsindikatoren hinzugefügt wurden, müssen die Daten nur noch erfolgreich interpretiert werden.
363
364
Kapitel 5
WINS
5. Wählen Sie den Leistungsindikator, den Sie überwachen möchten, und klicken Sie anschließend auf HINZUFÜGEN. Sie können auch noch zusätzliche Indikatoren hinzufügen. Wählen Sie hierfür die Leistungsindikatoren einzeln aus und klicken Sie auf HINZUFÜGEN. Sie können aber auch die Standardmethode von Windows verwenden und einfach die Strg-Taste solange gedrückt halten, bis Sie alle gewünschten Indikatoren gewählt haben und auf HINZUFÜGEN geklickt haben. Klicken Sie dann auf SCHLIESSEN. Die Leistungsindikatoren werden angezeigt (siehe Abbildung 5.26). Wir haben einen Blick auf die Verwaltungsoptionen, die es in der Anwendung WINS-Manager gibt, und auf die Überwachungsmöglichkeiten der Leistung verschiedener WINS-Leistungsindikatoren, die in der Leistungskonsole angeboten werden, geworfen. Sie sollten nun gute Kenntnisse über Windows 2000 WINS-Serverdienst und über WINS-Dienste im Allgemeinen haben. Wenden Sie Ihr Wissen jetzt in der Praxis an.
Fallstudie: Konfigurieren von NAT in einem 100-UserNetzwerk Das Wichtigste im Überblick Folgende Gegebenheiten müssen vorliegen: 씰
Sie haben ein Netzwerk, das über fünf Standorte verteilt ist. Jeder Standort hat ein eigenes IP-Subnetz.
씰
Sie benötigen einen zentralisierten NetBIOS-Namensauflösungsdienst, der Anwendern das Auflösen von Namen erlaubt.
씰
Dieser Namensauflösungsdienst soll allen Anwendern zur Verfügung gestellt werden und Auflösungen in sämtlichen Microsoft-Servern vornehmen.
Situationsbeschreibung Sie sind Netzwerkadministrator bei LFE Incorporated, einer Firma, die Gartengeräte herstellt. Sie besitzen ein Netzwerk, das über fünf Standorte verteilt ist. Jeder Standort hat ein eigenes IP-Subnetz. Sie arbeiten momentan an vielen Windows-NT-Arbeitsplätzen und Servern und sind gerade dabei, den Windows-2000-Server aufzurüsten.
Zusammenfassung
Sie haben bis jetzt LMHOST-Dateien für die NetBIOS-Namensauflösung verwendet, möchten sich aber auf zentralisierte Namensauflösungen umstellen, um vorhandene Anwendungen weiterhin verwenden zu können. Sie müssen sichergehen, dass Namensauflösungen für alle Computer in allen Subnetzen vorhanden sind, und dass sie für alle Hosts im Netzwerk funktionieren. Was müssen Sie tun?
Situationsanalyse Dies ist ein hervorragendes Beispiel für ein Netzwerk, das eine WINS-Infrastruktur verwendet. Ein gutes WINS-Design benötigt für die lokale Auflösung und die Fernauflösung einen WINS-Server in jedem Bereich. Damit das Ganze funktioniert, sollten Sie folgende Punkte beachten: 씰
Installieren Sie den Windows-2000-WINS-Dienst in mindestens einem Windows-2000-Server in jedem Bereich.
씰
Konfigurieren Sie die WINS-Server als Replikationspartner und stellen Sie sicher, dass Sie ihre Datenbanken richtig replizieren.
씰
Konfigurieren Sie jeden Clientcomputer, damit diese die WINS-Auflösung mit dem lokalen WINS-Server als primären Server verwenden können.
씰
Wenn Sie DHCP verwenden, stellen Sie sicher, dass Sie die DHCP-Einstellungen so aktualisieren, dass sie mit den neuen WINS-Servern funktionieren.
Wenn Sie Ihr Netzwerk gerade auf Windows 2000 migrieren und noch keine WINS-Infrastruktur für Ihre Microsoft-Clientcomputer betreiben, ist dies ein gutes Modell für die Übergangszeit, bis Sie die Migration zu Windows 2000 komplett vollzogen haben.
Zusammenfassung Fassen wir zusammen, was wir in diesem Kapitel gelernt haben. Zuerst haben Sie gesehen, was WINS ist und welche Dienste es anbietet. In einer Windows-2000Umgebung bietet WINS Namensauflösungen für Clientcomputer an, auf denen Windows 2000 nicht installiert ist.
365
366
Kapitel 5
WINS
Danach haben wir einen Blick auf die Installation, Konfiguration und Fehlerbeseitigung von WINS geworfen. Ein Assistent leitet Sie durch den Installationsprozess. Die Konfiguration besteht hauptsächlich aus der Einstellung der Parameter für Ihre Umgebung. Wir haben auch die unterschiedlichen Bereiche, die Sie kontrollieren sollten, angesprochen. Schlüsselbegriffe 쎲
B-Knoten
쎲
P-Knoten
쎲
Dynamic Host Configuration Protocol (DHCP)
쎲
Pull-Replikation
쎲
H-Knoten
쎲
Push/Pull-Replikation
쎲
Internet Control Message Protocol (ICMP)
쎲
Push-Replikation
쎲
LMHOSTS
쎲
Replikationspartner
쎲
M-Knoten
쎲
Request For Comments (RFC)
쎲
NetBIOS
쎲
Transmission Control Protocol/Internet Protocol (TCP/IP)
쎲
NWLink-Protokoll für IPX
쎲
Windows Internet Name Service (WINS)
Wir haben gelernt, wie NetBIOS und WINS-Replikationspartner konfiguriert werden. Am Ende des Kapitels haben wir die verschiedenen Mechanismen angesprochen, die es zur Überwachung und zum Verwalten von WINS-Servern gibt. Im nächsten Kapitel werden wir über »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von IP-Routing in einer Windows-2000-Netzwerk-Infrastruktur sprechen«.
Lernzielkontrolle
Lernzielkontrolle Übungen 5.1
Installieren von WINS auf einem Windows-2000-Server
In der folgenden Übung werden Sie WINS auf Ihrem Windows-2000-Server installieren. Geschätzte Dauer: 15 Minuten 1. Öffnen Sie die NETZWERK UND DFÜ-VERBINDUNGEN. 2. Klicken Sie auf den Hyperlink NETZWERKKOMPONENTEN HINZUFÜGEN. 3. Wählen Sie Netzwerkdienste und klicken Sie auf DETAILS. 4. Wählen Sie den Windows Internet Name Service (WINS). 5. Klicken Sie auf die Schaltfläche OK. 6. Klicken Sie auf WEITER, um die Installation zu starten. 7. Geben Sie die Windows-2000-Server-Installationsmedien in das Laufwerk ein (falls Sie es nicht schon getan haben), ordnen Sie die Anwendung dem entsprechenden Verzeichnis zu oder geben Sie die Installationsdateien frei. 8. Wenn das Fenster ZUSAMMENFASSUNG erscheint, klicken Sie auf OK, um die Installation zu beenden. 5.2
Konfigurieren eines Replikationspartners
In dieser Übung werden Sie einen Replikationspartner konfigurieren. Geschätzte Dauer: 10 Minuten 1. Öffnen Sie den WINS-Manager, indem Sie START, PROGRAMME, VERWALTUNG und WINS auswählen. 2. Klicken Sie mit der rechten Maustaste auf REPLIKATIONSPARTNER und wählen Sie aus dem Kontextmenü NEUER REPLIKATIONSPARTNER. 3. Geben Sie den Servernamen WINSTEST ein. Sie müssen anschließend die Adresse des Servers eingeben.
367
368
Kapitel 5
WINS
4. Geben Sie 10.10.10.254 ein und klicken Sie auf OK, um zu WINS-Manager zurückzukehren. 5. Klicken Sie im linken Anzeigebereich auf REPLIKATIONSPARTNER. Sie sollten Ihren neuen Replikationspartner in der rechten Anzeigenhälfte sehen. 5.3
Durchführen einer manuellen Push-Replikation
In dieser Übung werden Sie eine manuelle Push-Replikation durchführen. Geschätzte Dauer: 10 Minuten 1. Öffnen Sie den WINS-Manager, indem Sie START, PROGRAMME, VERWALTUNG und WINS auswählen. 2. Klicken Sie mit der rechten Maustaste auf den WINS-Server und wählen Sie PUSH-REPLIKATION STARTEN. 3. Geben Sie den Servernamen oder die IP-Adresse des anderen WINS-Servers ein und klicken Sie auf OK. 4. Wählen Sie die Replikationsmethode NUR FÜR DIESEN PARTNER STARTEN. Sie können auch die andere Methode, ZU ALLEN PARTNERN ÜBERMITTELN, auswählen. Klicken Sie auf OK. Sie erhalten eine Meldung, dass die Replikationsanforderung in der Warteschleife ist. 5. Überprüfen Sie das Ereignisprotokoll auf den Status einer Anforderung, um zu sehen, wann diese beendet ist. 5.4
Durchführen einer manuellen Pull-Replikation
In dieser Übung werden Sie eine manuelle Pull-Replikation durchführen. Geschätzte Dauer: 10 Minuten 1. Öffnen Sie den WINS-Manager, indem Sie START, PROGRAMME, VERWALTUNG und WINS auswählen. 2. Klicken Sie mit der rechten Maustaste auf den WINS-Server und wählen Sie STARTEN DER PULL-REPLIKATION. 3. Geben Sie den Servernamen oder die IP-Adresse des anderen WINS-Servers ein und klicken Sie auf OK. 4. Wenn Sie die Anforderung bestätigen sollen, klicken Sie auf JA. Sie erhalten dann eine Meldung, die Ihre Anforderung bestätigt. 5. Kontrollieren Sie das Ereignisprotokoll auf den Status der Anforderung, um zu sehen, wann diese beendet ist.
Lernzielkontrolle
Wiederholungsfragen 1. Sie sind Netzwerkadministrator bei einem kleinen Unternehmen mit verschiedenen Standorten, wobei jeder Standort über mehrere Host-Computer verfügt. Sie möchten zu Windows 2000 migrieren, wollen zunächst aber einmal sicherstellen, dass alle älteren Windows-NT-4-Computer im Netzwerk funktionieren. Was müssen Sie tun? 2. Sie haben WINS erfolgreich in Ihre Umgebung installiert und es funktioniert. Ihre Anwender können mit Ihrem Netzwerk arbeiten. Wie macht die WINSDatenbank dies möglich? 3. Nachdem WINS und die entsprechende Datenbank jetzt gut funktionieren, wie werden Einträge aus der Datenbank gelöscht? 4. Was ist der grundlegende Unterschied zwischen Push-Replikation und PullReplikation? 5. Sie sind Administrator des Windows-2000-Server von Little Faith Enterprise, und Sie möchten WINS einrichten. Sie bräuchten aber noch mehr Kenntnisse zu NetBIOS und den unterschiedlichen Knotenarten. Was sind die vier NetBIOS-Knotenarten und wie funktionieren Sie? Prüfungsfragen 1. Sie sind WINS-Administrator bei LFE Incorporated. Sie möchten sichergehen, dass Sie sich auch in Problemfällen auf die WINS-Datenbank verlassen können, aber Sie wollen die Datenbank nicht jeden Tag manuell sichern. Was ist die beste Möglichkeit zur automatischen Sicherung der WINS-Datenbank? A. Ein Hilfsprogramm verwenden, das die gesamten Serverdaten nachts automatisch sichert. B. Verwenden Sie geplante Tasks, und konfigurieren Sie die WINS-Datenbank so, dass der Sicherungsvorgang garantiert ist. C. Das Sicherungsverzeichnis und das Sicherungsintervall im WINS-Manager einstellen. D. Das Sicherungsverzeichnis in WINS-Manager einstellen. 2. Sie sind Netzwerkadministrator bei Lost in Woods Guide Service. Sie arbeiten mit einem Windows-2000-Server in Ihrer Hauptniederlassung und einem in der Zweigstelle. Sie möchten, dass der Server in der Zweigstelle alle zwei Stunden ein Replikat der Datenbank des Servers in der Hauptniederlassung erhält. Wie gehen Sie vor?
369
370
Kapitel 5
WINS
A. Den WINS-Server der Zweigstelle als Push-Replikationspartner mit einem zweistündigen Intervall konfigurieren. B. Den WINS-Server der Zweigstelle als Pull-Replikationspartner mit einem zweistündigen Intervall konfigurieren. C. Den WINS-Server Ihrer Hauptniederlassung als Push-Replikationspartner mit einem zweistündigen Intervall konfigurieren. D. Den WINS-Server Ihrer Hauptniederlassung Pull-Replikationspartner mit einem zweistündigen Intervall konfigurieren. 3. Sie sind Netzwerkadministrator bei einem Nahrungsmittelhersteller mit fünf Zweigstellen. Sie haben an allen fünf Niederlassungen WINS-Server und Sie möchten, dass diese untereinander automatisch kommunizieren. Was müssen Sie tun? A. Konfigurieren Sie jeden WINS-Server als Replikationspartner. Wählen Sie unter Eigenschaften Replikationspartner REPLIKATION MIT ALLEN PARTNERN. B. Konfigurieren Sie jeden WINS-Server als Replikationspartner. Wählen Sie unter Eigenschaften Replikation NUR MIT PARTNERN. C. Deaktivieren Sie unter Eigenschaften Replikation NUR MIT PARTNERN. Der Server stellt sich automatisch auf Replikation mit allen WINS-Servern ein. D. Installieren Sie WINS. Jeder WINS-Server im Netzwerk wird automatisch repliziert. 4. Sie sind Netzwerkadministrator bei LFE Inc., einer Firma, die verschiedenste Produkte herstellt. Sie haben viele Windows-NT-4-Workstation-Clientcomputer in Ihrem Windows-2000-Netzwerk. Sie haben einen neuen Administrator, der lernen möchte, wie WINS funktioniert. Sie erklären es ihm. Welcher WINS-Server wird von Clientcomputern standardgemäß für Namensauflösungen verwendet? A. Der WINS-Server, der als Erstes auf die Broadcastanforderung antwortet. B. Der standardmäßige WINS-Server, den der Clientcomputer per DHCP erhält oder der in den TCP/IP-Eigenschaften konfiguriert ist. C. Der primäre WINS-Server, den der Clientcomputer per DHCP erhält oder der in den TCP/IP-Eigenschaften konfiguriert ist: D. Der WINS-Server, der die wenigsten Hops im Netzwerk entfernt ist.
Lernzielkontrolle
5. Sie sind Netzwerkadministrator bei BT Machines, einer Firma, die Maschinen herstellt. Sie haben zahlreiche Windows-NT-4-Workstations in Ihrem Windows-2000-Netzwerk. Sie wissen, dass es Computer im Netzwerk gibt, die denselben NetBIOS-Namen besitzen. Welche WINS-Statistik sollten Sie in diesem Fall überprüfen? A. Einzelkonflikte/s B. Konflikte insgesamt/s C. Gruppenkonflikte/s D. Fehlgeschlagene Freigaben/s 6. Sie sind der Netzwerkadministrator für BT Machines, eine Firma, die Maschinen herstellt. Sie haben zahlreiche Windows NT 4 Workstations in Ihrem Windows-2000-Netzwerk. Sie wollen schnell die Gesamtanzahl von Clientcomputern überprüfen, die der WINS-Datenbank Aktualisierungen hinzufügen. Welche Parameter sollten Sie überprüfen? A. Einzelregistrierungen/s B. Registrierungen insgesamt/s C. Erneuerungen insgesamt/s D. Registrierungen insgesamt/s und Erneuerungen insgesamt/s. 7. Sie sind Netzwerkadministrator bei Blue Sky Air, und Sie bringen einem anderen Administrator den Umgang mit dem Netzwerk bei. Er hat Schwierigkeiten, die unterschiedlichen NetBIOS-Knotenarten zu verstehen, vor allem welche Knotenart Windows-2000-Professional-Computer verwenden. Welches ist die standardmäßige Knotenart für Windows 2000? A. H-Knoten B. M-Knoten C. N-Knoten D. B-Knoten 8. Ihr neuer Assistent kennt sich jetzt mit den verschiedenen Knotenarten aus, möchte jetzt aber wissen, was die Unterschiede zwischen den einzelnen Knotenarten sind.
371
372
Kapitel 5
WINS
Welche der folgenden Behauptungen ist falsch? A. H-Knoten und M-Knoten bevorzugen WINS-Server, aber M-Knoten können keine Broadcast verwenden, wenn der Server heruntergefahren ist. B. H-Knoten und B-Knoten bevorzugen WINS-Server, aber M-Knoten können keine Broadcast verwenden, wenn der Server heruntergefahren ist. C. B-Knoten und M-Knoten eignen sich beide für Broadcast, aber B-Knoten können mit einem WINS-Server auch dann Auflösungen vornehmen, wenn sich der Host in einem anderen Subnetz befindet. D. H-Knoten und P-Knoten eignen sich beide für WINS-Server, aber H-Knoten können mit einem Broadcast Namensauflösungen vornehmen, wenn der WINS-Server nicht verfügbar ist. 9. Sie sind LAN-Administrator bei Little Faith Enterprises, einem Verlag. Sie haben einen Windows-2000-Server für die Hauptfiliale, aber eine Kombination aus Windows-2000- und Windows-NT-4-Clientcomputern im Netzwerk. Sie haben WINS für die Abwärtskompatibilität bereitgestellt, aber Sie sind sich nicht sicher, ob WINS auch funktioniert. A. Sie verwenden den Systemmonitor, wählen den WINS-Server und den Leistungsindikator ERFOLGREICHE AUFLÖSUNGEN/S. Überprüfen Sie, ob der Indikatorenwert größer als 0 ist. B. Sie verwenden den Systemmonitor, wählen den WINS-Server und den Leistungsindikator ERFOLGREICHE ABFRAGEN/S. Überprüfen Sie, ob der Indikatorenwert größer als 0 ist. C. Öffnen Sie den WINS-Manager, wählen Sie den entsprechenden Server und wählen Sie aus dem Vorgangsmenü SERVERSTATISTIKEN. Überprüfen, Sie, ob die Anzahl von Abfragen insgesamt/s wächst. Klicken Sie auf Aktualisieren, um die Statistiken zu aktualisieren. D. Öffnen Sie den WINS-Manager, wählen Sie den entsprechenden Server und wählen Sie aus dem Vorgangsmenü Serverstatistik. Überprüfen, Sie, ob die Anzahl der Datensätze wächst. Klicken Sie auf AKTUALISIEREN, um die Statistiken zu aktualisieren. 10. Sie sind Systemadministrator bei New Riders Harley Davidson und Sie installieren einen WINS-Server auf Ihrem Windows-2000-Server. Ihre Endanwender verwenden alle DHCP.
Lernzielkontrolle
Wie konfigurieren Sie am besten den Arbeitsplatz, um den WINS-Server verwenden zu können? A. Stellen Sie sicher, dass der WINS-Server auf einem Domänencontroller installiert ist. Die WINS-Auflösung erfolgt automatisch. B. Ändern Sie die Optionen des DHCP-Bereichs für den WINS-Server, um die Adresse des neuen WINS-Servers hinzuzufügen. C. Öffnen Sie das Netzwerk-Applet und TCP/IP-Eigenschaften. Ändern Sie in der Registerkarte WINS die TCP/IP-Eigenschaften. Wiederholen Sie den Vorgang für jede Maschine. D. Aktualisieren Sie die Datei LMHOSTS, um die Adresse des neuen Servers hinzuzufügen. 11. Sie sind der Administrator für ein Unternehmen, das drei Zweigstellen besitzt. Eine Zweigstelle ist die Hauptstelle, die zwei anderen sind die Nebenstellen. Sie steigen von einem auf Arbeitsgruppen basiertem Windows-NT-4Netzwerk auf ein Windows-2000-Netzwerk um. Jede Site ist mit den anderen beiden Standorten mittels einer Frame-Relay-Verbindung und einer Brücke verbunden. Da Geld eine wichtige Rolle in dieser Übergangsphase spielt, sollten Verwaltungsaufgaben so schnell wie möglich erledigt werden. Wie kann WINS mit dem geringsten Kostenaufwand in diese Umgebung installiert werden? A. Installieren Sie einen WINS-Server im Netzwerk der Hauptniederlassung. B. Installieren Sie einen WINS-Server in jedem Netzwerk. C. Installieren Sie einen WINS-Server in der Hauptniederlassung und einen weiteren WINS-Server in einer Zweigstelle. D. Installieren Sie in jedem Zweigstellennetzwerk einen Server, und zwei Server in der Hauptniederlassung, um Redundanz aufzubauen. 12. Der WINS-Dienst wurde erstellt, um welche der folgenden Komponenten zu ersetzten? A. Den DNS B. Die HOSTS-Datei C. Die LMHOSTS-Datei D. Die WINS-Datei
373
374
Kapitel 5
WINS
13. Sie sind Administrator für ein Direktmarketing-Unternehmen, das eine Site besitzt. Sie haben an Ihrer Niederlassung zwei Netzwerksegmente. In beiden Netzwerken befinden sich Server, und ein Windows-2000-Server stellt die Verbindung zwischen den Segmenten her. Die Clientcomputer in diesem Netzwerk sind eine Kombination aus DOS, Windows 95/98 und Windows NT Workstations. Sie installieren WINS auf dem Server, und Ihre DOS-Clientcomputer sind nicht in der Lage, die Server auf der anderen Seite des Routers zu erkennen. Warum kann der DOS-Clientcomputer die Computer jenseits des Routers nicht erkennen? A. DOS verwendet kein dynamisches Routing-Protokoll, also kann es die Computer jenseits des Routers nicht erkennen. B. DOS kann WINS-Namen nicht interpretieren. C. DOS benötigt einen WINS-Clientcomputer, um mit dem WINS-Server arbeiten zu können. D. DOS verwendet B-Knoten-Auflösungen von NetBIOS-Namen. 14. Sie sind Direktor eines kleinen Beratungsunternehmens und Sie verfügen über ein einzelnes Netzwerksegment von 225 Computern und zwei WINSServern, die auf dem Windows-2000-Server installiert sind. Sie wundern sich, dass Sie zwei Computer mit demselben Namen im Netzwerk haben, aber die Schuldigen nicht finden können. Wie können Sie feststellen, ob Sie zwei Computer mit dem gleichen Namen haben? A. Öffnen Sie das WINS-Hilfsprogramm und wählen Sie aus dem Vorgangsmenü STATISTIKEN. Überprüfen Sie, ob die Statistik DOPPELTE NAMEN ansteigt. B. Öffnen Sie das WINS-Hilfsprogramm und wählen Sie aus dem Vorgangsmenü STATISTIK. Überprüfen Sie, ob die Statistik KONFLIKTE ansteigt. C. Öffnen Sie die Konsole SYSTEMMONITOR und fügen Sie den Leistungsindikator DOPPELTE NAMEN für das Serverobjekt WINS hinzu. Überprüfen Sie die Statistiken. D. Öffnen Sie die Konsole SYSTEMMONITOR und fügen Sie den Leistungsindikator NAMENSKONFLIKT für das Serverobjekt WINS hinzu. Überprüfen Sie die Statistiken.
Lernzielkontrolle
15. Sie sind der WAN-Administrator für das Bekleidungsgeschäft Women’s Place. Sie haben sechs Zweigstellen, die alle über WAN mit geringer Bandbreite untereinander verbunden sind. Jede Zweigstelle besitzt ihren eigenen WINS-Server für die Namensauflösung und muss repliziert werden. Was ist die beste Konfiguration für die WINS-Replikation, die vom entsprechenden WINS-Server zu den anderen Servern gehen soll? A. Konfigurieren Sie eine Pull-Replikation von den Servern der Zweigstellen zum zentralen Server und stellen Sie diese so ein, dass sie erscheint, wenn der Tabelle 100 Einträge hinzugefügt wurden. B. Konfigurieren Sie eine Push-Replikation von den Servern der Zweigstellen zum zentralen Server und stellen Sie diese so ein, dass sie erscheint, wenn der Tabelle 100 Einträge hinzugefügt wurden. C. Konfigurieren Sie eine Pull-Replikation von den zentralen Servern zu den Servern der Zweigstelle und stellen Sie diese so ein, dass sie erscheint, wenn der Tabelle 100 Einträge hinzugefügt wurden. D. Konfigurieren Sie eine Push-Replikation von den zentralen Servern zu den Servern der Zweigstelle und stellen Sie diese so ein, dass sie erscheint, wenn der Tabelle 100 Einträge hinzugefügt wurden. Antworten zu den Wiederholungsfragen 1. Sie müssen WINS in Ihre Umgebung installieren. Je nach Ihrer Umgebung, sollten Sie redundante WINS-Server in Ihrem zentralen Standort oder an jede Zweigstelle installieren können. In beiden Fällen müssen Sie die Replikation zwischen den Servern konfigurieren. Einzelheiten hierzu können Sie im Abschnitt »Installieren von WINS auf einem Windows-2000-Server« nachlesen. 2. Die WINS-Datenbank registriert die WINS-Clientcomputer. Wenn sich der WINS-Clientcomputer mit dem Netzwerk verbindet, werden automatisch sein Name und seine Adresse im WINS-Servers registriert. Nachdem der Clientcomputer registriert wurde, wird ihm die Zeitdauer der Registrierungen übermittelt. Einzelheiten hierzu können Sie im Abschnitt »WINS konfigurieren« nachlesen. 3. Es gibt zwei automatische Mechanismen zur Löschung von Eingaben. Wenn ein Clientcomputer ausgeschaltet wird, sendet er eine Anforderung zum Löschen an den WINS-Server. Die Einträge werden auch dann gelöscht, wenn die Gültigkeitsdauer des Clientcomputers abläuft. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der WINS-Replikation« nachlesen.
375
376
Kapitel 5
WINS
4. Der Hauptunterschied zwischen Push- und Pull-Replikation (neben der Richtung, in der die Replikation der Datenbank erfolgt) ist der Auslöser für den Vorgang. Im Falle einer Push-Replikation ist der Auslöser ein Ereignis. Wenn eine bestimmte Anzahl an Änderungen in der Datenbank vorgenommen wurde, wird die Replikation ausgelöst. Eine Pull-Replikation wird von der Zeitangabe, die bei der Konfiguration eingestellt wurde, ausgelöst. Diese Konfiguration wird vom Anwender durchgeführt. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der WINS-Replikation« nachlesen. 5. Es gibt vier Knotenarten, und der Hauptunterschied zwischen den verschiedenen Knotenarten ist die Methode, die sie zur Namensauflösung verwenden (Broadcasts und Direktverbindungen). Es gibt: 씰
Den B-Knoten (Broadcastknoten), der nur für Broadcast gedacht ist und die älteste Methode zur Namensauflösung von NetBIOS ist. Ein Host, der eine Namensanforderung bearbeiten soll, sendet an jeden Host eine Nachricht, wobei die Adressanforderung in Verbindung mit einem Hostnamen steht. Der B-Knoten hat zwei Nachteile: Broadcast sollten nicht so oft verwendet werden, denn sie nehmen einen großen Teil der Netzwerkbandbreite ein, und TCP/IP-Router leiten keine Broadcast-Meldungen weiter, was die Verwendung von B-Knoten auf ein einziges Netzwerksegment beschränkt.
씰
P-Knoten (Punkt-zu-Punkt-Knoten, für WINS-Server und die Namensauflösung von NetBIOS). Clientcomputer tragen sich selbst mit einem WINS-Server ein, wenn sie ins Netzwerk gelangen. Sie kontaktieren dann den WINS-Server und fordern NetBIOS-Namensauflösungen an. WINSServer kommunizieren mit Direktmeldungen, die Routergrenzen überwinden können. P-Knoten können also in großen Netzwerken arbeiten. Wenn der WINS-Server jedoch nicht verfügbar ist, oder ein Knoten nicht so konfiguriert ist, dass er einen WINS-Server kontaktieren kann, funktioniert die P-Knoten-Namensauflösung leider nicht.
씰
Der M-Knoten (modifizierter Knoten) ist ein Hybridmodus, der zuerst versucht, die NetBIOS-Namen mit dem B-Knoten-Mechanismus aufzulösen. Wenn dies nicht funktioniert, greift dieser Modus auf die P-KnotenNamensauflösung zurück. Der M-Knoten war der erste Hybridmodus, der in der Praxis angewendet wurde, aber er hat den Nachteil, dass er den B-Knoten-Modus bevorzugt. Das ist aber mit hohem Traffic verbunden.
씰
Der H-Knoten (Hybridknoten) ist ebenfalls ein Hybridmodus, der den Gebrauch von WINS für NetBIOS-Namensauflösungen bevorzugt. Wenn ein Computer einen NetBIOS-Namen auflösen soll, wird zuerst die P-Knoten-Namensauflösung über WINS angewendet. Nur wenn die WINS-Auflösung nicht funktioniert, beruft sich der Host auf den B-Kno-
Lernzielkontrolle
ten, um den Namen über Broadcast aufzulösen. Da diese Methode in der Netzwerkverwendung gut funktioniert, ist der H-Knoten der Standardmodus bei Microsoft TCP/IP, das WINS zur Namensauflösung verwendet. Microsoft empfiehlt, den TCP/IP-Clientcomputer in der Standardkonfiguration beizubehalten Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der NetBIOS-Namensauflösung« nachlesen. Antworten zu den Prüfungsaufgaben 1. D. Wenn Sie das Sicherungsverzeichnis bestimmen, speichert der Server alle 24 Stunden automatisch die WINS-Datenbank ab. Einzelheiten hierzu können Sie im Abschnitt »Verwalten und Überwachen von WINS« nachlesen. 2. B. Pull-Replikationen werden in bestimmten Zeitintervallen ausgelöst. Wenn der Zweigstellenserver eine Kopie der entsprechenden Datenbank benötigt, müsste er die Informationen in zweistündigen Zeitintervallen übermitteln. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der WINS-Replikation« nachlesen. 3. B. Nachdem die WINS-Server als Replikationspartner konfiguriert wurden, werden sie untereinander kommunizieren können. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der WINS-Replikation« nachlesen. 4. C. Da es keinen Standard-WINS-Server gibt (verwechseln Sie das nicht mit dem Standard-Gateway), ist die Antwort C, der primäre WINS-Server, richtig. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der NetBIOS-Namensauflösung« nachlesen. 5. A. Konflikte pro Sekunde würden Ihnen zeigen, ob Sie einen Computer besitzen, bei dem Namenskonflikte auftreten. Einzelheiten hierzu können Sie im Abschnitt »Verwalten und Überwachen von WINS« nachlesen. 6. D. Wenn Sie alle Clientcomputer, die im Server registriert werden, ermitteln möchten, müssen Sie die Registrierungen insgesamt/s und die Erneuerungen insgesamt/s beachten. Einzelheiten hierzu können Sie im Abschnitt »Verwalten und Überwachen von WINS« nachlesen. 7. A. Windows-2000-Professional-Computer verwenden den H-Knoten (Hybrid) für die NetBIOS-Namensauflösung. Diese Knotenart bevorzugt den WINS-Server zur Namensauflösung, aber beruft sich auch auf Broadcast, wenn der WINS-Server nicht verfügbar ist. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der NetBIOS-Namensauflösung« nachlesen.
377
378
Kapitel 5
WINS
8. D. Der H-Knoten (Hybrid) ist die bevorzugte Methode, da er sich zuerst auf den WINS-Server, und falls dieser nicht verfügbar ist, erst dann auf Broadcast beruft. Der P-Knoten (Punkt-zu-Punkt) verwendet einen WINS-Server, kann aber Broadcast für NetBIOS-Namensauflösungen nicht benutzen. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der NetBIOS-Namensauflösung« nachlesen. 9. D. Obwohl C auch eine fast korrekte Antwort ist, enthält Abfragen insgesamt/s nicht gefundene Datensätze. Wenn auf sämtliche Anforderungen geantwortet wurde, dass keine Datensätze vorgefunden wurden, hat Ihr Server wahrscheinlich ein Problem. Stellen Sie sicher, dass die Anzahl der gefundenen Datensätze steigend ist. Einzelheiten hierzu können Sie im Abschnitt »Verwalten und Überwachen von WINS« nachlesen. 10. B. Da es sich um eine DHCP-Umgebung handelt, fügen Sie einfach nur die Option WINS AKTUALISIEREN für den DHCP-Bereich hinzu. Es hätte auch C als Lösung angegeben werden können, aber diese Lösung wäre viel arbeitsintensiver als das einmalige Aktualisieren. Einzelheiten hierzu können Sie im Abschnitt »WINS konfigurieren« nachlesen. 11. A. Da es sich um ein Netzwerk mit einer Bridge als Übergang handelt, benötigen Sie nur einen Server, um WINS in jeder Zweigstelle zu installieren. In einem Netzwerk mit Bridge gibt es nur ein logisches Segment. Das bedeutet, dass Broadcasts über die WAN-Verbindung gesendet werden. Obwohl es sich nicht um eine typische Konfiguration handelt, gibt es sie auch in älteren Netzwerken. Einzelheiten hierzu können Sie im Abschnitt »WINS konfigurieren« nachlesen. 12. C. WINS ist ein dynamischer Ersatz für die Datei LMHOSTS. Einzelheiten hierzu können Sie im Abschnitt »Einführung zu WINS« nachlesen. 13. D. DOS kann WINS nicht verwenden, da es auf eine B-Knoten-Auflösung begrenzt ist. Der B-Knoten ist eine Auflösungsmethode, die nur mit Broadcast funktioniert. Broadcast können den Router nicht kreuzen. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der NetBIOS-Namensauflösung« nachlesen. 14. B. Wenn Ihre Konfliktstatistiken oft steigend sind, haben Sie es wahrscheinlich mit einem doppelten Namen zu tun. Einzelheiten hierzu können Sie im Abschnitt »Verwalten und Überwachen von WINS« nachlesen. 15. D. Bei dieser Frage müssen Sie zwei Dinge beachten: den Auslöser – wenn eine gewisse Anzahl an Einträgen hinzugefügt wird (es handelt sich hierbei um die Methode, die am wenigsten Bandbreite einnimmt) – und die Richtung, in die die Information gesendet werden soll. Antwort D ist die einzig richtige Antwort. Einzelheiten hierzu können Sie im Abschnitt »Konfigurieren der WINS-Replikation« nachlesen.
Lernzielkontrolle
Hinweise zu wieterführender Literatur und Quellen 1. Boswell, William. Inside Windows 2000 Server. Indianapolis, IN: New Riders Publishing 2000. 2. Heywood, Drew. Networking with Microsoft TCP/IP, Third Edition. Indianapolis, IN: New Riders Publishing 2000. 3. Microsoft Corporation, Microsoft Windows 2000 Server Resource Kit. Redmond, WA: Microsoft Press, 2000.
379
IP-Routing: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
6
Lernziele Installieren, Konfigurieren und Fehlerbeseitigung von IP-Routingprotokollen. 씰
Aktualisieren einer auf Windows 2000 basierende Routing-Tabelle mit Hilfe von statischen Routen.
씰
Implementieren des bedarfsorientierten Verbindungsaufbaus.
씰
Um IP-Routingprotokolle installieren, konfigurieren und auf Fehler untersuchen zu können, müssen Sie zuerst einmal wissen, wie diese Protokolle funktionieren. Die Vorgänge für die richtige Konfigurierung und Implementierung der Protokolle kann dann auch verstanden werden.
씰
Netzwerkumgebungen, die versuchen, die Kommunikationskosten zwischen entfernten Niederlassungen und dem zentralen Büro auf ein Minimum zu reduzieren, können sie den bedarfsorientierten Verbindungsaufbau verwenden. Mit diesem Feature von Windows 2000 können Sie auch, Fehlertoleranzen in ein Netzwerk-Design einbauen
씰
In einigen Netzwerkumgebungen ist es einfacher, anstatt den Overhead des dynamischen Routingprotokolls das Routing durch manuelles Konfigurieren der Routing-Tabellen zu implementieren. Um so vorzugehen, muss der Netzwerkadministrator allerdings mit dem ROUTE-Befehl vertraut sein.
Verwalten und Überwachen von IP-Routing. 씰
Verwalten und Überwachen des grenzüberschreitenden Routings (BorderRouting).
씰
Verwalten und Überwachen sie internen Routings.
382
Kapitel 6
IP-Routing
씰
Verwalten und Überwachen von IP-Routingprotokoll.
씰
Eine der Aufgaben bei der Implementierung von Computer-Software und -Hardware ist das Verwalten und Überwachen der laufenden Operationen sowie die Fehlerbeseitigung von auftretenden Problemen. Um diese Aufgabe zu bewältigen, ist es wichtig, zu wissen, wie man die Tools, die zur Überwachung der Operation und zur Verwaltung von Änderungen in der Konfiguration dienen, anwenden muss.
Tipps für das Selbststudium 씰
Sie können sich auf eine Reihe von Fragen einstellen, die mit den Routingprotokollen und ihrer Verwendung in Verbindung stehen. Viele der Fragen werden in Form einer Szenario-Beschreibung präsentiert. Die Implementierung eines bestimmten Protokolls wird auf dem Entwurf der Topologie des Netzwerks basieren. Deswegen müssen Sie genau wissen, wie die Protokolle in kleinen, mittleren und großen Netzwerken funktionieren, und welches der Protokolle in das jeweilige Szenario am besten passt. Nachdem Sie sich mit der hier aufgeführten Theorie vertraut gemacht haben, sollten Sie versuchen, praktische Erfahrung durch möglichst häufiges Verwenden des Windows 2000 Advanced Servers zu sammeln. Implementieren Sie die verschiedenen Protokolle, um zu sehen, wie sie funktionieren und wie sie in der Netzwerkumgebung konfiguriert sind.
씰
Sie können auch Szenario-Fragen zur Implementierung und Konfiguration von Umgebungen mit bedarfsorientiertem Verbindungsaufbau erwarten. Sie sollten wissen, wann man das Wählen bei Bedarf-Feature am besten einsetzt, und welche Aspekte bei der Implementierung der verschiedenen Routingprotokolle mit dieser Konfigurationsart beachtet werden müssen.
6.1
IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
Das Hauptziel dieses Kapitels ist, zu erklären, wie die Routingprotokolle in Windows 2000 funktionieren und wie sie in einem Windows-2000-Netzwerk implementiert und konfiguriert werden. Die dem Routing zugrunde liegende Theorie wird ebenso erläutert, sodass Sie über eine gute Basis für die spätere Diskussion über Routingprotokoll wie z.B. Open Shortest Path First (OSPF) und Routing Information Protocol (RIP), verfügen.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
Außerdem wird in diesem Kapitel Wählen bei Bedarf behandelt, einschießlich der Funktionsweise von Wählen bei Bedarf und der besonderen Aspekte, die bei der Implementierung einer Wählen-bei-Bedarf-Konfiguration in Ihrer Netzwerkumgebung beachtet werden müssen. Das Kapitel umfasst auch Schritt-für-Schritt-Anleitungen für das Implementieren, Verwalten und Überwachen einer Wählen-beiBedarf-Konfiguration. Schließlich gibt das Kapitel einen kurzen Überblick über einige der Probleme, die in einer Routing-Umgebung auftreten können, und erläutert die Tools, die zur Diagnose dieser Probleme verwendet werden können.
6.1.1
Einführung in das IP-Routing
Routing ist der Vorgang, bei dem ein Paket an eine IP-Adresse geschickt wird. Routing tritt entweder bei einem sendenden TCP/IP-Host auf, was als Host-Routing bezeichnet wird, oder bei einem IP-Router, was als Router-Routing bezeichnet wird. In beiden Fällen, d.h. bei einem sendenden Host und bei einem Router, muss eine Entscheidung darüber getroffen werden, wohin das Paket gesendet werden muss. Um diese Entscheidung treffen zu können, konsultiert die IP-Schicht eine RoutingTabelle, die sich in ihrem Speicher befindet. Einträge in Routing-Tabellen werden standardmäßig erzeugt, sobald TCP/IP initialisiert wird. Zusätzliche Einträge werden entweder manuell vom Systemadministrator oder automatisch durch die Kommunikation mit Routern hinzugefügt.
6.1.2
Host-Routing
Damit ein Host mit einem Zielcomputer kommunizieren kann, muss er zunächst einmal herausfinden, wo sich dieser Host befindet. Für die Kommunikation mit einem Zielhost verwenden Endbenutzer lieber Hostnamen. Ein Name lässt sich nun einmal leichter merken als eine Netzwerkadresse, die aus Zahlen besteht. Hierfür müssen Computer jedoch die Netzwerkadresse des Zielhosts kennen, damit sie miteinander kommunizieren können. Um diese Zieladresse zu erhalten, verwendet der sendende Host einen Mechanismus zur Adressauflösung, wie z.B. das Domäne Name System (DNS) oder Windows Internet Naming System (WINS). (Weitere Informationen hierzu finden Sie in Kapitel 1, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von DNS in einer Windows-2000-Netzwerk-Infrastruktur«, sowie in Kapitel 5, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von WINS in einer Windows-2000-NetzwerkInfrastruktur«.)
383
384
Kapitel 6
IP-Routing
Nachdem der sendende Host die Adresse erhalten hat, muss er entscheiden, ob er direkt an den Zielhost sendet oder ob er über einen Router verschickt. Um diese Entscheidung zu treffen, vergleicht der sendende Host die Netzwerkadresse der Quelle mit der Netzwerkadresse des Ziels. Sind beide Adressen gleich, so weiß der sendende Host, dass sich das Ziel im gleichen Segment befindet, und sendet das Paket an die physische Adresse des Hosts. Stimmen die beiden Netzwerkadressen nicht überein, muss der Host die Nachricht an einen Router senden. Dieser Router versucht, das Paket anstelle des Hosts an das Ziel zu schicken. Damit der Zielhost auch das Paket erhält, verwendet der Router seine Router-Tabelle, um anhand der Zieladresse die Schnittstelle festzulegen, an die das Paket am besten gesendet werden soll. Jeder Router entlang des Pfades wiederholt diesen Vorgang so lange, bis der Zielhost schließlich das Paket erhält. Stellen die Router fest, dass ein Host nicht erreichbar ist, wird ein »Ziel nicht erreichbar«-Paket zurück an den Host gesendet. Damit der Host das Paket über einen Router an sein Ziel schicken kann, muss er zunächst die Adresse des Routers bestimmen, an den das Paket gesendet wird. Dies kann auf folgende Arten geschehen: 씰
Die Standard-Gateway-Adresse wird bestimmt, und der Cache des lokalen Adress Resolution Protocol (ARP) wird angefragt, um die physische Adresse, die für das Erreichen des gewünschten Routers verwendet werden soll, zu identifizieren.
씰
Ein Internet Control Message Protocol (ICMP) leitet eine gesendete Nachricht so um, dass diese von einem IP-Router an den sendenden Host zurückgeschickt wird. Hiermit soll erreicht werden, dass dem Host eine bessere Route zum Zielhost mitgeteilt wird.Die bessere Route wird eine Host-Route in der Routing-Tabelle werden.
씰
Ein TCP/IP-Host kann den Routingprotokoll-Verkehr, der von Routern benutzt wird, »abhören«. Dies wird auch als »Eavesdropping« oder »Wiretapping« bezeichnet. Eavesdropping-Hosts haben die gleichen Routing-Informationen wie Router. Windows 2000 implementiert Eavesdropping durch ein Feature, das stilles RIP genannt wird.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
SCHRITT FÜR SCHRITT 6.1
RIP-Überwachung auf einer Windows-2000-ProfessionalArbeitsstation aktivieren
1. Gehen Sie auf START, EINSTELLUNGEN UND SYSTEMSTEUERUNG (siehe Abbildung 6.1). Doppelklicken Sie auf SOFTWARE. Abbildung 6.1 Verwenden Sie das Applet Software in der Windows-Systemsteuerung, um zu den WindowsKomponenten zu gelangen.
2. Klicken Sie auf WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN. Das Dialogfenster WINDOWS-KOMPONENTEN öffnet sich (siehe Abbildung 6.2). 3. Markieren Sie in den Komponenten NETZWERKDIENSTE (ohne die Option auszuwählen), und klicken auf DETAILS. Das Dialogfenster NETZWERKDIENSTE öffnet sich (siehe Abbildung 6.3). 4. Wählen Sie die Option RIP-ÜBERWACHUNG, und klicken Sie auf OK. 5. Klicken Sie auf WEITER, und folgen Sie den Anweisungen des Assistenten.
6.1.3
Router-Routing
Erhält ein Router ein Paket, das an einen Zielhost geschickt werden muss, so muss der Router dieses Paket entweder an den Zielhost oder an einen anderen Router weiterschicken. Dieser zweite Router wiederum wiederholt diesen Vorgang, bis das Paket den Zielhost erreicht. Um zu entscheiden, ob er an einen Host oder an einen Router senden soll, untersucht der Router die Netzwerkadresse des Ziels und überprüft, ob er an dieses Netzwerk angeschlossen ist. Wenn dies der Fall ist, schickt der Router das Paket an den Zielhost im Netzwerk.
385
386
Kapitel 6
IP-Routing
Abbildung 6.2 Über den WindowsKomponentenAssistenten gelangen Sie zu den NetzwerkdienstOptionen.
Abbildung 6.3 Um die RIP-Überwachung einzustellen, müssen Sie die Schaltfläche Details anklicken.
Ist der Router nicht direkt mit dem Zielnetzwerk verbunden, so benutzt er die Informationen in seiner Routing-Tabelle, um die Schnittstelle zu bestimmen, an die er das Paket am besten schickt. Dabei adressiert er das Paket an die physische Adresse eines anderen Routers entlang des Pfades zum Zielhost, der mit einem Netzwerksegment verbunden ist, mit dem auch der aktuelle Router verbunden ist. Die Entscheidung, an welchen Router das Paket gesendet wird, hängt von einer Reihe von Variablen über jeden der Netzwerkpfade zum Zielhost hin ab, wie z.B. der Anzahl der Hops, dem Preis eines Hops usw.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
HINWEIS Sie müsse ssen Zugang haben. Wenn der Server, mit dem Sie arbeiten, Teil einer Windows-2000-Active-Directory- Domäne ist und Sie kein Domänenadministrator sind, bitten Sie Ihren Domänenadministrator, das Computerkonto des Servers in die RAS- und IAS-Server-Sicherheitsgruppe in der Domäne einzufügen, zu der der Server gehört. Hierfür muss der Domänenadministrator den Befehl Active Directory-Anwender und Computer oder netsh ras registrierte Server hinzufügen eingeben.
Mit dem Windows-2000-Advanced-Server können Sie Router-Routing über Routing und Remote Access-Services (RRAS) vornehmen. Um RRAS auf einem Windows-2000-Advanced-Server zuzulassen, gehen Sie nach folgender Anleitung vor:
SCHRITT FÜR SCHRITT 6.2
Routing und RAS-Dienste zulassen
1. Gehen Sie auf START, VERWALTUNG, ROUTING UND RAS. Der lokale Computer ist standardmäßig als Server aufgelistet (siehe Abbildung 6.4). 2. Klicken Sie in der Baumstruktur mit der rechten Maustaste auf den Server, den Sie zulassen möchten, und klicken Sie anschließend auf ROUTING UND RAS KONFIGURIEREN UND AKTIVIEREN. Der Assistent für das Installieren des Routing und RAS Server startet. 3. Klicken Sie auf WEITER, um das Konfigurieren von Routing und RAS zu starten. Das Dialogfenster ALLGEMEINE KONFIGURATIONEN öffnet sich (siehe Abbildung 6.5). Abbildung 6.4 Die Routing- und RAS-Konsole wird verwendet, um alle Routings für Windows 2000 zu konfigurieren.
387
388
Kapitel 6
IP-Routing
4. Wählen Sie NETZWERKROUTER, und klicken Sie auf WEITER. Das Dialogfenster GEROUTETE PROTOKOLLE öffnet sich (siehe Abbildung 6.6). 5. Überprüfen Sie im Dialogfenster GEROUTETE PROTOKOLLE, ob die Protokolle, die Sie routen werden, auf dem Server auch verfügbar sind. Für dieses Kapitel muss TCP/IP installiert sein. Klicken Sie anschließend auf WEITER. Der Setup-Assistent öffnet sich (siehe Abbildung 6.7). 6. Stellen Sie in diesem Dialogfenster ein, ob die Option BEI BEDARF HERZUSTELLENDE VERBINDUNG aktiviert werden soll, um Verbindungen zu entfernten Netzwerken aufzubauen. Wählen Sie NEIN und klicken Sie anschließend auf WEITER. Das Dialogfenster, das die Zusammenfassung der ausgewählten Optionen enthält, die sich auf den Assistenten für das Fertigstellen der Installation des Routing und RAS-Servers beziehen, öffnet sich (siehe Abbildung 6.8). 7. Klicken Sie auf FERTIG STELLEN. Die Aktivierung der Routing-Dienste wird abgeschlossen. Abbildung 6.5 Das Dialogfenster Allgemeine Konfigurationen ermöglicht Ihnen, den Assistenten für die Konfiguration spezieller Bedürfnisse individuell zu gestalten.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
Abbildung 6.6 Das Dialogfenster Geroutete Protokolle zeigt die installierten Protokolle an und erlaubt Ihnen, zusätzliche Protokolle nach Bedarf hinzuzufügen.
Abbildung 6.7 Die bedarfsorientierten Verbindungen können nach Beenden des Assistenten konfiguriert werden.
389
390
Kapitel 6
IP-Routing
Abbildung 6.8 Das Dialogfenster des Assistenten für die Fertigstellung des Routing- und RAS-Server-Setups ist die letzte Möglichkeit, um die Installatierung von Routing und RAS abzubrechen.
6.1.4
Der Routing-Prozess
Wenn ein Paket von einem Router empfangen oder von einem Host gesendet wird, müssen sowohl Router als auch Host eine Entscheidung darüber treffen, wie das Paket gesendet werden soll. Um diese Entscheidung zu treffen, konsultieren Router und Host eine Informationsdatenbank, die als Routing-Tabelle bezeichnet wird. Diese Datenbank ist in RAM gespeichert, sodass der Lookup-Prozess optimiert wird. Wenn das Paket über verschiedene Router zum Ziel geschickt wird, trifft jeder Router eine Entscheidung darüber, wie vorzugehen ist, und konsultiert hierfür seine Routing-Tabelle. Antwortet ein Zielhost auf ein Paket, wird möglicherweise ein anderer Pfad verwendet, um zum ursprünglichen Sender zu gelangen. Dies ist von der Metrik eines jeden Pfades entlang der Route abhängig. Die Informationen in der Routing-Tabelle können auf zwei verschiedene Arten generiert werden. Eine Möglichkeit ist, die Routing-Tabelle mit den Routen für jedes Zielnetzwerk manuell zu konfigurieren. Diese Vorgehensweise ist auch als statisches Routing bekannt. Statisches Routing ist eher für kleinere Umgebungen geeignet, in denen die Menge der zu konfigurierenden Informationen gering ist und der Overhad, der durch das Generieren der Routing-Information entsteht, nicht nötig ist. Wegen der manuellen Konfiguration eignen sich statische Router nicht besonders für große oder sich dynamisch verändernde Internetzwerke. Die zweite Möglichkeit für das Generieren der Routing-Tabellen-Information ist das Verwenden eines dynamischen Routingprotokolls. Ein dynamisches Routingprotokoll besteht aus Routing-Tabellen, die durch die laufende Kommunikation zwischen Routern automatisch aufgebaut und erhalten werden. Nachrichten werden
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
periodisch oder auf Befehl zwischen den Routern ausgetauscht, um die in den Routing-Tabellen enthaltenen Informationen zu aktualisieren. Dynamische Router erfordern nach ihrer Konfiguration für gewöhnlich nur wenig Wartung. Dadurch können sie auch in großen Umgebungen eingesetzt werden, in denen die Verwendung von statischen Routern zu unpraktisch ist. Zwei dynamische Routingprotokolle, die Windows 2000 anbietet, sind: 씰
Routing Information Protocol (RIP)
씰
Open Shortest Path First (OSPF)
Dynamische Router können Information von anderen Routern aufspüren und machen so dynamisches Routing fehlertolerant. Wenn ein Router oder eine Verbindung zusammenbricht, bemerken die Router die Veränderung in der NetzwerkTopologie, da die Routeninformation aus der Routing-Tabelle herausfällt. Der Router kann aufgrund der neuen Netzwerk-Topologie seine Verbindungen neu aufbauen und die Routinginformation anderen Routern zusenden, sodass alle Router im Verbindungsnetzwerk über die neue Netzwerk-Topologie informiert werden. Statische Router verfügen nicht über diese Fähigkeit. Nachdem ein Router in einem statistischem Router konfiguriert ist, bleibt er dort, bis manuell eine Änderung vorgenommen wird. Er kann sich also selbst nicht an Änderungen im Verbindungsnetzwerk anpassen.
Praxistipp Erkennen, wenn ein Router ausfällt Nehmen wir an, Sie besitzen ein Netzwerk mit drei Routern: Router 1 ist mit Router 2 über das Netzwerk A verbunden, und Router 2 ist über Netzwerk B mit Router 3 verbunden (siehe Abbildung 6.9). Fällt Router 1 aus, kann Router 2 Router 1 nicht mehr über das Netzwerk A erreichen, so wie die Route in der Routing-Tabelle festgelegt ist. Nach einer bestimmten Zeitspanne löscht Router 2 die Routen-Information aus seiner Routing-Tabelle und fordert eine Aktualisierung an, sobald er feststellt, dass er Router 1 nicht mehr erreichen kann. Dies wird dann in seiner RoutingTabelle angezeigt. Router 2 sendet seine Routing-Information schließlich an Router 3, und Router 3 aktualisiert seine Routing-Tabelle mit der Information, dass Router 1 nicht mehr erreichbar ist.
391
392
Kapitel 6
IP-Routing
Abbildung 6.9 Dieses Diagramm zeigt das Netzwerk und die Router, die beim Aufspüren eines ausgefallenen Routers beteiligt sind.
Router 3
Router 1
Netzwerk A
Netzwerk B
Router 2
SCHRITT FÜR SCHRITT 6.3
RIP hinzufügen
1. Öffnen Sie die ROUTING UND RAS-Konsole, indem Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS gehen (siehe Abbildung 6.10). 2. Erweitern Sie die Baumstruktur unter IP-ROUTING in der linken Hälfte, und klicken Sie mit der rechten Maustaste auf ALLGEMEIN. Wählen Sie im Kontextmenü NEUES ROUTINGPROTOKOLL. Das Dialogfenster NEUES ROUTINGPROTOKOLL öffnet sich (siehe Abbildung 6.11). Abbildung 6.10 Die Routing und RAS-Konsole wird verwendet, um Routingprotokolle in Windows 2000 zu konfigurieren.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
Abbildung 6.11 Fünf verschiedene Routing-Prokolle stehen zur Installation zur Verfügung.
3. Wählen Sie RIP Version 2 für Internet-Protokoll, und klicken Sie auf OK. RIP erscheint unter dem Eintrag IP-ROUTING (siehe Abbildung 6.12). RIP ist nun auf Ihrem Windows-2000-Server installiert.
Abbildung 6.12 Die installierten Routingprotokolle sind unter dem Abschnitt IP-Routing in der Baumstruktur aufgeführt.
Durch die Fähigkeit, Fehler im Verbindungsnetzwerk zu erkennen und zu beheben, ist dynamisches Routing besser für mittlere, große und sehr große Verbindungsnetzwerke als statisches Routing geeignet.
393
394
Kapitel 6
6.1.5
IP-Routing
Die Routing-Technologie
Routingprotokolle basieren entweder auf der Distance-Vector-Technologie, oder auf der Link-State-Technologie. Der Hauptunterschied zwischen diesen beiden Routingprotokollen ist folgender: 씰
Die Routinginformation, die ausgetauscht wird. Wenn eine Verbindung oder ein Router ausfällt, muss das Verbindungsnetzwerk sich selbst neu konfigurieren, um die neue Topologie wiederzugeben. Die Information in den Routing-Tabellen muss aktualisiert werden.
씰
Art und Weise des Informationsaustausches. Die Zeit, die ein Verbindungsnetzwerk benötigt, um sich umzustellen, wird als Konvergenzzeit bezeichnet. Die Dauer der Konvergenz hängt vom Routingprotokoll und von der Fehlerart (ausgefallene Verbindung oder ausgefallener Router) ab.
씰
Die Zeit, in der sich das Verbindungsnetzwerk auf eine ausgefallene Verbindung oder einen ausgefallenen Router einstellen kann. Wie schnell sich das Netz anpassen kann, ist abhängig von der Fehlerart, von der Art, wie dieser Fehler aufgespürt wird, und davon, wie die Routing-Information im Verbindungsnetzwerk verbreitet wird.
Distance-Vector-Routing Distanz-Vektor-Routing ist der älteste und gebräuchlichste Routing-Algorithmus. Distanz-Vektor-Router bauen ihre Routing-Informations-Tabellen auf Informationen auf, die sie von anderen Routern erhalten. Die Router geben diese Information an andere Router in dem mit ihnen verbundenen Segment weiter. Die Routing-Information wird im Allgemeinen in regelmäßigen Abständen ausgetauscht, ebenso wenn ein Router hochgefahren wird und wenn ein Router verändert wird. Wenn neue Routing-Informationen empfangen werden, aktualisieren die Router damit ihre Routing-Informationstabelle und senden die neue Routing-Information an alle mit ihnen verbundenen Netzwerke. Kann jedoch ein Router überhaupt nicht kommunizieren (z.B. wenn der Router nicht verfügbar ist), so muss ein RouteAging-Algorithmus aktiv werden, um die Routing-Information aus der Tabelle eines Routers zu entfernen. Die Zeit, die benötigt wird, um alle Router mit einer veränderten Routing-Information zu aktualisieren, wird als Konvergenzzeit bezeichnet. Einer der Nachteile des Distance-Vector-Routing ist die langsame Konvergenz. Bei der auf Distanz-Vektor basierenden Routing-Methode erhält jeder Router die Information über eine veränderte Route, aktualisiert seine Tabelle, berechnet die Zahl der Hops zu vorhandenen Routen, und sendet dann eine neue Routing-Information.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
Einer der größten Nachteile des Distance-Vector-Routing ist das Count-to-InfinityProblem. Dieses Problem kann auftreten, wenn ein Router (oder eine Verbindung zu einem Router) nicht mehr zur Verfügung steht. Da die Konvergenzzeit langsam ist, kann auch falsche Routing-Information im System verbreitet werden.
Praxistipp Austausch von Information Nehmen wir an, Sie besitzen zwei Router: 1 und 2 (siehe Abbildung 6.13). Die Verbindung von Router 1 zum Netzwerk A wurde zerstört. Router 1 weiß, dass er Netzwerk A selbst nicht erreichen kann, aber Router 2 informiert ihn darüber, dass er zwei Hops von Netzwerk A entfernt ist. Router 1 nimmt daher an, dass er nun 3 Hops von Netzwerk A entfernt ist, und dass Router 2 eine Verbindung zu Netzwerk A herstellt. Router 2 jedoch geht immer noch davon aus, dass Router 1 die Verbindung zu Netzwerk A ist, und erneuert seine Routing-Tabelle, um zu zeigen, dass das Netzwerk A nun vier Hops entfernt ist und dass Router 1 die beste Verbindung dazu darstellt. Router 2 sendet diese Information erneut, und Router 1 erneuert daraufhin wieder seine Tabelle, um zu zeigen, dass er nun fünf Hops entfernt ist, wobei er Router 2 als den besten Weg zu Netzwerk A angibt.
Abbildung 6.13 Dieses Diagramm zeigt, wie Router durch Übertragen von Daten die Zahl der Hops berechnen.
Entfernung von Netzwerk A: 1 Hop
Netzwerk A
Netzwerk B Router 1
Netzwerk C Router 2
Entfernung von Netzwerk A: 2 Hops Entfernung von Netzwerk A: 3 Hops Entfernung von Netzwerk A: 4 Hops
Die Router erneuern ständig ihre Routing-Tabellen und erhöhen die Zahl der Hops so lange, bis »unendlich« erreicht wurde. Unendlich bedeutet in der Regel die maximale Anzahl an Hops, die ein Routingprotokoll annimmt, bevor ein Routing-Informationspaket aufgegeben wird. Routingprotokolle können verschiedene Schritte unternehmen, um das Count-toInfinity-Problem zu umgehen. Die verschiedenen Mechanismen zur Verhinderung, die implementiert werden können, sind:
395
396
Kapitel 6
IP-Routing
씰
Split Horizon. Dieser Mechanismus basiert darauf, dass eine Routing-Information nicht in die Richtung zurückgesendet wird, aus der sie empfangen wurde. Im Prinzip sagt der Router »Ich habe durch Netzwerk xx von dir erfahren, also werde ich dich nicht an Netzwerk xx zurückschicken«. Split Horizon verhindert Count-to-Infinity -und Routing-Schleifen während der Konvergenz im Verbindungsnetzwerk mit einem einzigen Pfad, und reduziert die Veränderungen des Count-to-Infinity in Internetzwerken mit mehreren Pfaden.
씰
Split Horizon with Poison Reverse. Dieser Mechanismus unterscheidet sich von Split Horizon dadurch, dass er alle Netzwerke informiert. Diese Netzwerke haben jedoch aus einer bestimmten Richtung erfahren, dass die Zahl der Hops bei 16 liegt, und das Netzwerk somit nicht erreichbar ist. In einem Netzwerk mit nur einem Pfad hat Split Horizon mit Poison Reverse keine Vorteile gegenüber Split Horizon. In einem Netzwerk mit mehreren Pfaden jedoch reduziert Split Horizon mit Poison Reverse das Problem mit Count-toInfinity und Routing-Schleifen ganz beträchtlich. Allerdings kann Count-toInfinity in Netzwerken mit mehreren Pfaden immer noch auftreten, da Informationen über Routen zu Netzwerken aus vielen Quellen kommen können.
씰
Getriggerte Updates. Durch diesen Mechanismus kann ein Router beinahe unverzüglich über eine Veränderung in einem metrischen Wert informieren, ohne auf die nächste periodische Ankündigung warten zu müssen. Ein Trigger ist eine Veränderung an der Metrik eines Eintrags in der Routing-Tabelle. Durch eine ausgelöste Aktualisierung können z.B. Netzwerke, die nicht mehr erreichbar sind, mit einer Hop-Anzahl von 16 angekündigt werden. Würden ausgelöste Aktualisierungen sofort von allen Routern gesendet, so würde jede ausgelöste Aktualisierung eine ganze Flut an Broadcast-Verkehr im gesamten IP-Verbindungsnetzwerk auslösen. Ausgelöste Aktualisierungen verkürzen zwar die Konvergenzzeit in RIP-Netzwerken, aber sie verursachen zusätzlichen Broadcast-Verkehr.
Weitere Nachteile des Distanz-Vektor-Routings sind die langsame Konvergenz und der große Overhead. Wird in Distance-Vector-Routing eine Veränderung vorgenommen, so muss diese Änderung an jeden Router weitergeschickt werden. Dadurch müssen alle Routing-Tabellen, die von dieser Änderung betroffen sind, neu berechnet werden. Die Konvergenz bei Distanz-Vektor-Routing kann bei Veränderungen in der Netzwerk-Topologie recht lange dauern. Existiert innerhalb des Netzwerkes eine große Anzahl an Routen, so kann dies außerdem zu sehr langen Routing-Tabellen führen, die zusätzliche Ressourcen auf dem Router erfordern, und die während der Aktualisierung der Routing-Information für erheblich mehr Verkehr im Netzwerk sorgen.
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
Die Vorteile des Distanz-Vektor-Routing sind, dass es nur wenig Wartung erfordert und leicht zu konfigurieren ist. Deswegen ist Distanz-Vektor-Routing in kleineren Netzwerkumgebungen besonders beliebt. Link-State-Routing Wie bereits erwähnt, senden sich auf Distance-Vector basierende Routingprotokolle regelmäßig Routen-Informationen zu, unabhängig davon, ob sich die Information geändert hat oder nicht. Link-State-Routingprotokolle hingegen tauschen nur Informationen über diejenigen Routen aus, die sich geändert haben. Router, die Link-State-Routingprotokolle verwenden, erfahren über ihre Netzwerkumgebung, indem sie sich mit ihren benachbarten Routern »treffen«. Dies geschieht durch so genannte »Grußpaketintervalle«. Diese Netzwerkinformation wird an alle benachbarten Router gesendet, die mit Benachrichtigung durch Verbindungsstatus arbeiten. Die benachbarten Router kopieren den Inhalt des Paketes und senden die Link-State-Meldung an alle mit dem Netzwerk verbundenen Router weiter. Hiervon ist der Router ausgenommen, von dem aus die Benachrichtigung empfangen wurde. Dieser Prozess wird auch als Flooding bezeichnet. Router, die mit dem Link-State-Routingprotokoll arbeiten, bilden einen Baum mit den kürzesten Pfaden, wobei sie selbst den Stamm darstellen. Die Struktur basiert auf allen erhaltenen Link-State-Meldungen, und enthält die Route zu jedem der Ziele im Netzwerk. Abbildung 6.14 zeigt ein Netzwerk, das mit dem Link-State-Routingprotokoll arbeitet. Router 1 übermittelt ein »Grußpaketintervall«, um etwas von seinen benachbarten Routern zu erfahren. Jeder seiner Nachbarn antwortet mit einer Information zu den Route-Kosten und zum Link, mit dem er verbunden ist . Router 1 baut seine Routing-Datenbank direkt auf der Information auf, die er als Antwort auf seine »Grußpaketintervalle« erhalten hat. Der nächste Schritt im Link-State-Routing ist die Übertragung von Link-State-Meldungen an die benachbarten Router. Die übermittelte Link-State-Meldung enthält Informationen über die mit Router 1 verbundenen Nachbar-Router und den mit ihnen verbundenen Kosten. Die Nachbarn kopieren dieses Paket und schicken die Link-State-Meldung wiederum an ihre Nachbarn weiter. Die Router behalten das Original der Link-State-Meldung, und so kann ein Router, der eine Information über eine Link-State-Meldung braucht, eine Kopie des Originals bei seinen Nachbarn anfordern. Da die Link-State-Meldung von einem Router nie verändert wird, kann sie als Information aus erster Hand angesehen werden.
397
398
Kapitel 6
IP-Routing
Abbildung 6.14 Das in diesem Diagramm gezeigte Netzwerk arbeitet mit Link-State-Kommunikation.
Nachbar: R4 – Link ID: Netzwerk D – Kostern 2 Nachbar: R2 – Link ID: Netzwerk A – Kostern 6
Hallo ich bin Router 1. Wer bist du?
Netzwerk A Router 1
Netzwerk D
Ich bin Router 2 – meine Verbindungskosten betragen 6.
Router 2
Netzwerk B
Router 3
Netzwerk C Router 4 Ich bin Router 4 – meine Verbindungskosten betragen 2.
Da die Link-State-Meldung nur Informationen über die Nachbarn eines bestimmten Routers enthalten, werden nur kleine Routing-Tabellen erzeugt. Weil diese Meldung außerdem nicht ausgetauscht wird, nachdem das Netzwerk zusammengeführt wurde, hat sie nicht den gleichen Einfluss auf das Netzwerk wie das Distanz-Vektor-Routing. Dadurch ist Link-State-Routing effizienter als Distanz-Vektor-Routing. Der Nachteil bei auf Link-State basierenden Protokollen ist, dass sie schwieriger zu verstehen und zu konfigurieren sind als Distanz-Vektor-Protokolle.
6.1.6
Routing-Netzwerke
Viele Unternehmen können heute keine Ausfallzeiten in ihrem Netzwerk mehr tolerieren. Um den Ansprüchen im Dienst-Level gerecht zu werden, müssen die Fachleute der Informationstechnologie neue Wege finden, um Redundanz aufzubauen oder Fehlertoleranz im Netzwerk-Design zu integrieren. Herkömmliche SinglePath-Architekturen, bei denen nur ein einziger Pfad zwischen zwei Netzwerken im Internetzwerk besteht, vereinfachen die Routing-Tabellen sowie den PaketflussPfad. Sie liefern jedoch keinerlei Redundanz. Ein dynamischer Router kann zwar einen Fehler aufspüren, aber das über den ausgefallenen Teil verbundene Netzwerk bleibt für die Dauer des Fehlers dennoch unerreichbar. Eine ausgefallene Verbindung oder ein ausgefallener Router muss erst neu eingerichtet werden, damit Pakete wieder erfolgreich über diese Verbindung oder diesen Router versendet werden können. In einer Multipath-Routing-Infrastruktur gibt es mehrere Pfade zwischen zwei Netzwerken im Verbindungsnetzwerk. Multipath-Netzwerke bieten Redundanz, wenn dynamisches Routing verwendet wird. Einige Routingprotokolle, wie z.B. OSPF
6.1 IP-Routingprotokolle: Installation, Konfiguration und Fehlerbeseitigung
können die Belastung durch Netzwerkverkehr auf mehrere Pfade mit dem gleichen metrischen Wert verteilen. Multipath-Internetzwerke sind jedoch schwieriger zu konfigurieren und bei Verwendung von auf Distanz-Vektor basierenden Routingprotokollen während der Konvergenz eher für Routing-Schleifen anfällig. In kleineren Netzwerken ist die Information über jede Netzwerk-ID in der RoutingTabelle enthalten. Dadurch kann sich jeder Host mit jedem anderen Host im Netzwerk verbinden. Er wendet sich hierfür an das Netzwerk, in dem sich der zweite Host befindet. Die Router in einem solchen Netzwerk enthalten Informationen über jede Route zu einer bestimmten Netzwerk-ID, sodass auch Routing mit Netzwerk/ Host-Adresspaaren ausgeführt werden kann. Diese Netzwerke sind nicht weiter in kleinere Netzwerke eingeteilt, welche Netz/Subnetz-Information verwenden. Hier wird lediglich mit den Netzwerk- und Host-Informationen gearbeitet. Diese Art von Netzwerken haben eine flache Routing-Infrastruktur. Eine flache Routing-Infrastruktur eignet sich jedoch nicht für besonders große Netzwerke. Ein solches großes Netzwerk ist z.B. das Internet. Das Internet hat sich zu einer Sammlung von Internet Service Providern (ISP) entwickelt. Die Provider sind untereinander verbunden und können somit ihren Kunden internetweite Verbindung garantieren. Ursprünglich war das IP-Routing im Internet so gestaltet, dass ein flaches Modell aus Netzwerk/Host-Adressinformationen verwendet wurde. Jeder Host im Internet hat eine Adresse, die sowohl das Netzwerk bezeichnet, in dem sich der Host befindet, als auch die genaue Adresse des einen Hosts angibt. Für jede Netzwerkadresse werden Routing-Einträge in einer Routing-Tabelle gespeichert. Diese Einträge werden für Routen-Informationen zwischen Hosts verwendet. Als das Internet größer wurde, war das Verwenden von Adressen nicht mehr effizient, und beim Routing traten Probleme mit der Skalierbarkeit auf (es gibt 2.097.152 Klasse-C-Netzwerke; ein Routing-Eintrag für jedes Netzwerk würde zu großen und nicht effizienten Routing-Tabellen führen). Um die Probleme mit der Skalierbarkeit, d.h. mit dem Routing zwischen mehrfach untereinander vernetzten Providern, zu lösen, die jeweils eine große Anzahl an Netzwerken, Subnetzwerken und Hosts haben, wurde in der IP-Routing-Architektur jeder Provider zu einer Sammlung untereinander verbundener, autonomer Systeme.
399
400
Kapitel 6
IP-Routing
HINWEIS Das Klassen-System in Internet. Internetadressen sind in verschiedene Klassen eingeteilt. Es gibt fünf verschiede Klassenarten, von Klasse A bis Klasse E. Die beliebtesten Klassen sind im Allgemeinen Klasse A, B und C. Die Klasse wird durch die werthöheren Bits in der Adresse festgelegt. Bei Klasse A ist das werthöhere Bit der Adresse auf 0 eingestellt. die nächsten 7 Bit bilden den Teil der Netzwerkkennzahl, und die restlichen 24 Bit bilden den Teil der Host-Kennzahl. Bei Klasse B sind die 2 obersten Bits auf 10 (binär) eingestellt. Die nächsten 14 Bit bilden den Teil der Netzwerkkennzahl und die restlichen 16 Bit bilden den Teil der Host-Kennzahl. Bei Klasse C schließlich sind die 3 obersten Bits auf 110 (binär) eingestellt. Die nächsten 21 Bit bilden den Teil der Netzwerkkennzahl, und die restlichen 8 Bit bilden den Teil der Host-Kennzahl. Bei dieser Art der Struktur ist die Verwendung von Adressen sehr ineffizient. Ein Klasse-A-Netzwerk kann z.B. 16 777 216 Hosts in einem Netzwerk enthalten. Es ist jedoch sehr unwahrscheinlich, dass irgendein Unternehmen derart viele Hosts in seinem Netzwerk besitzt. Deshalb wurde das Konzept des Subnettings eingeführt. Weitere Informationen über das Subnetting finden Sie in Kapitel 4, »Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung«.
Routing in autonomen Systemen wird mittels Intradomäne(internen)-Routingprotokollen, wie z.B. RIP, OSPF oder Interior Gateway Protocol (IGP) durchgeführt. Routing zwischen autonomen Systemen wird mittels Interdomäne(externen)-Routingprotokollen, wie dem Exterior Gateway Protocol (EGP) und Border Gateway Protocol (BGP) durchgeführt. Interdomäne(externe)-Routingprotokolle fassen IPRouten zusammen und helfen, Probleme in Bezug auf die Skalierbarkeit, die bei internen Gateway-Protokollen auftreten können, zu beheben. Autonome Systeme können in Routing-Domänen (auch als Regionen oder Gebiete bekannt) unterteilt sein, welche die Hierarchie im autonomen System festlegen. Diese Art der Netzwerk-Infrastruktur wird als hierarchisches Verbindungsnetzwerk bezeichnet. Die Netzwerk-IDs in einem hierarchischen Verbindungsnetzwerk haben die Struktur Netzwerk/Subnetz/Subsubnetz. Ein Eintrag in der Routing-Tabelle für das höchste Level (das Netzwerk) wird auch als Route für die Subnetze und Subsubnetze des Netzwerkes verwendet. Beim Routen zwischen Routing-Domänen kann eine Gruppe von Netzwerk-IDs durch Zusammenfassung der Routen von einem einzigen Eintrag in der Routing-Tabelle dargestellt werden. Hierarchische Routing-Infrastrukturen vereinfachen die Routing-Tabellen und reduzieren die ausgetauschte Routing-Information. Sie erfordern jedoch mehr Planung.
6.2 Einstellen der verwendeten Routingprotokolle
6.2
Einstellen der verwendeten Routingprotokolle
Bisher erläuterte dieses Kapitel die Theorie der verschiedenen Routingprotokolle, ihre Funktionsweise sowie einige der Mechanismen, die eingesetzt werden, um die bei den verschiedenen Routingprotokollen auftretenden Probleme zu beheben. Als Nächstes gehen wir auf die eigentlichen Routingprotokolle ein: zunächst das RIPProtokoll, und schließlich das OSPF-Protokoll.
6.2.1
Arbeiten mit RIP
RIP ist ein Distanz-Vektor-Protokoll, das die Zahl der Hops als Metrik für das Messen der Anzahl der Router verwendet, die überquert werden müssen, um zum gewünschten Netzwerk zu gelangen. RIP wird häufig eingesetzt, um Verkehr im weltweiten Internet zu routen. RIP ist ein IGP, d.h., es führt Routing in einem einzigen autonomen System durch. Es gibt zwei verschiedene Versionen des RIP, Version 1 und Version 2. RIP Version 1 Bei RIP Version 1 werden alle Routen-Ankündigungen an das IP-Subnetz adressiert (alle Host-Bits sind auf 1 eingestellt), und eine MAC-Level-Broadcast wird vorbereitet. Dadurch erhalten Nicht-RIP-Hosts und RIP-Hosts Ankündigungen. Bei großen und sehr großen RIP-Internetzwerken kann die Menge des Broadcast-Verkehrs in jedem Subnetz beträchtlich steigen. Um RIP auf einen Routing- und RAS-Server zu konfigurieren, folgen Sie der folgenden Schritt-für-Schritt-Anleitung.
SCHRITT FÜR SCHRITT 6.4
Konfigurieren von RIP auf Windows 2000
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich. 2. Erweitern Sie die Konsolenstruktur und wählen Sie IP-ROUTING. Klicken Sie mit der rechten Maustaste auf die Schnittstelle ALLGEMEIN und wählen Sie aus dem Kontextmenü NEUES ROUTINGPROTOKOLL. Das Dialogfenster NEUES ROUTINGPROTOKOLL öffnet sich (siehe Abbildung 6.15). 3. Wählen Sie RIP VERSION 2 FÜR INTERNET-PROTOKOLL und klicken Sie auf OK. Sie kehren dadurch zur ROUTING UND RAS-Konsole zurück, und RIP erscheint jetzt unter den IP-Routing-Einträgen.
401
402
Kapitel 6
IP-Routing
4. Wählen Sie das Icon des neu erstellten RIP und klicken Sie mit der rechten Maustaste darauf. Wählen Sie NEUE SCHNITTSTELLE aus. Das Dialogfenster NEUE SCHNITTSTELLE für RIP Version 2 für Internet-Protokolle öffnet sich (siehe Abbildung 6.16). Abbildung 6.15 Wählen Sie RIP, Version 2, für Internet-Protokolle.
Abbildung 6.16 Sie müssen eine Schnittstelle wählen, auf der RIP laufen soll. Dies werden Sie in vielen Fällen wiederholt tun müssen; einmal bei jeder Local Area Network-Verbindung.
6.2 Einstellen der verwendeten Routingprotokolle
5. Wählen Sie die geeignete LAN-Verbindung aus, und klicken Sie auf OK. Das Dialogfenster RIP-EIGENSCHAFTEN öffnet sich (siehe Abbildung 6.17). 6. Auf der Registerkarte ALLGEMEIN unter PROTOKOLL AUSGEHENDER PAKETE wählen Sie RIP VERSION 1 BROADCAST. Unter PROTOKOLL AUSGEHENDER PAKETE wählen Sie RIP VERSION 1 UND 2. Klicken Sie auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren und die Änderungen zu aktivieren.
Abbildung 6.17 Bei RIP handelt es sich um ein recht kompliziertes Protokoll mit vielen KonfigurationsOptionen.
Während das RIP-Routingprotokoll zusätzlichen Broadcast-Verkehr verursacht, ist durch die Broadcast-Art von RIP Version 1 die Verwendung von Silent RIP möglich. Ein stiller RIP-Router verarbeitet zwar RIP-Ankündigungen, kündigt aber selbst keine Routen an. Silent RIP könnte auf Nicht-Router-Hosts zugelassen werden, um eine ebenso detaillierte Routing-Tabelle wie bei RIP-Routern zu erhalten. Mit mehreren und detaillierteren Routen in der Routing-Tabelle kann ein SilentRIP-Host bessere Entscheidungen über Routing treffen. Um Silent RIP auf Ihrem Router zuzulassen, gehen Sie wie folgt vor:
403
404
Kapitel 6
IP-Routing
SCHRITT FÜR SCHRITT 6.5
Silent RIP auf Windows 2000 zulassen
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich. 2. Erweitern Sie die Konsolenstruktur und wählen Sie RIP. Die Liste der zur Verfügung stehenden Schnittstellen mit RIP erscheint in der rechten Hälfte der Konsole (siehe Abbildung 6.18). Abbildung 6.18 Sie können RIP auf vielen Schnittstellen laufen lassen. Jede der Schnittstellen muss einzeln konfiguriert werden.
3. Klicken Sie mit der rechten Maustaste auf die Schnittstelle, die Sie für den Silent-RIP-Modus konfigurieren möchten, und wählen Sie aus dem Kontextmenü EIGENSCHAFTEN. Das Dialogfenster EIGENSCHAFTEN VON LAN-VERBINDUNG öffnet sich (siehe Abbildung 6.19). 4. Auf der Registerkarte ALLGEMEIN, unter PROTOKOLL AUSGEHENDER PAKETE, wählen Sie SILENT RIP aus dem Pull-down-Menü. Klicken Sie auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren und die Veränderungen anzuwenden. RIP Version 1 wurde für auf Klassen basierende IP-Internetzwerke entworfen, bei denen die Netzwerk-ID durch die Werte der ersten 3 Bit der IP-Adresse in der RIPRoute festgelegt werden kann. Da die Subnetzmaske in der Route nicht enthalten oder angekündigt ist, muss der RIP-Router die Netzwerk-ID aufgrund einer begrenzten Zahl an Informationen bestimmen. Für jede Route einer RIP-Nachricht Version 1 führt der RIP-Version-1-Router folgende Vorgänge durch:
6.2 Einstellen der verwendeten Routingprotokolle
Abbildung 6.19 Das Dialogfenster LAN-Verbindungseigenschaften enthält die RIP-Konfiguration.
씰
Passt die Netzwerk-ID zu den Adressklassen (Klasse A, Klasse B oder Klasse C), so wird die auf Klassen aufbauende Standard-Subnetzmaske angenommen.
씰
Passt die Netzwerk-ID nicht zu den Adressklassen, aber zu der Subnetzmaske der Schnittstelle, von der aus sie empfangen wurde, so wird die Subnetzmaske dieser Schnittstelle angenommen.
씰
Paßt die Netzwerk-ID nicht zur Subnetzmaske der Schnittstelle, von der aus sie empfangen wurde, wird die Netzwerk-ID als Host-Route mit der Subnetzmaske 255.255.255.255 eingestuft.
Aufgrund der zuvor aufgelisteten Annahmen könnten supervernetzte Routes als einzige Netzwerk-ID anstatt als die Reihe von Netzwerk-IDs, die sie eigentlich darstellen sollen, interpretiert werden. Ebenso könnten Subnetz-Routen, die außerhalb der Netzwerk-ID als untervernetzt angekündigt werden, als Host-Routes ausgelegt werden. Als Mechanismen für die Unterstützung untervernetzter Umgebungen informieren RIP-Router Version 1 die Subnetze einer untervernetzten, auf Klassen basierenden Netzwerk-ID außerhalb der untervernetzten Region des IP-Internetzwerks nicht. Da jedoch nur die auf Klassen basierende Netzwerk-ID außerhalb der untervernetzten Umgebung angekündigt werden, müssen Subnetze einer Netzwerk-ID in einer RIP-
405
406
Kapitel 6
IP-Routing
Version-1-Umgebung direkt aufeinander folgen. Wenn Subnetze einer IP-Netzwerk-ID nicht direkt aufeinander folgen, was man auch als unterbrochene Subnetze bezeichnet, wird die auf Klassen basierende Netzwerk-ID durch separate RIP-Router Version 1 in verschiedenen Teilen des Internetzwerks angekündigt. Als Folge davon kann IP-Verkehr auch an ein falsches Netzwerk geschickt werden. Schließlich schützt RIP Version 1 auch nicht gegen »falsche« RIP-Router, die in einem Netzwerk starten und falsche Routen ankündigen. Ankündigungen von RIP Version 1 werden ungeachtet ihrer Quelle weitergeschickt. Böswillige Anwender könnten dieses Loch in der Sicherheit nutzen, um RIP-Router mit hunderten und tausenden falscher Routen zu überfluten. RIP Version 2 RIP Version 2 versucht, einige der mit RIP Version 1 verbundenen Probleme zu beheben. Die Ziele bei der Entwicklung von RIP Version 2 waren, den BroadcastVerkehr zu minimieren und variables Subnetting zu verwenden, um IP-Adressen und sichere Routing-Umgebungen vor falsch konfigurierten oder böswilligen Routern zu schützen. Um diese Probleme zu beheben, wurden einige Schlüsselfeatures eingefügt: 씰
Anstelle des Broadcastings von RIP-Ankündigungen unterstützt RIP Version 2 das Senden von RIP-Ankündigungen an die IP-Multicast-Adresse 224.0.0.9. Nicht-RIP-Knoten werden vom RIP-Router-Ankündigungsverkehr nicht gestört. Der Nachteil dieses neuen Features ist, dass stille RIP -Knoten ebenfalls auf Multicasting-Verkehr achten müssen, der an 224.0.0.9 gesendet wird. Wenn Sie stilles RIP verwenden, achten Sie darauf, dass Ihre stillen RIP-Knoten auch auf multicasted RIP-Version-2-Ankündigungen hören, bevor ein Multicast-RIP Version 2 eingesetzt wird. Die Verwendung von Multicast-RIP-Version-2-Ankündigungen ist optional. Auch das Broadcasten von RIP-Version-2-Ankündigungen wird unterstützt.
씰
RIP-Version-2-Ankündigungen senden die Subnetzmaske (die auch als Netzwerkmaske bekannt ist) zusammen mit der Netzwerk-ID. RIP Version 2 kann in untervernetzten und in supervernetzten Subnetzmasken-Umgebungen sowie in Subnetzmasken-Umgebungen mit variabler Länge eingesetzt werden. Subnetze in einer Netzwerk-ID müssen nicht direkt aufeinander folgen (es können auch unterbrochene Subnetze sein).
씰
RIP Version 2 unterstützt auch die Verwendung von Bestätigungsmechanismen, um den Ursprung einer eingehenden RIP-Ankündigung zu überprüfen. Die einfache Bestätigung mit einem Kennwort ist in RFC 1723 festgelegt, aber es stehen auch neuere Bestätigungsmechanismen, wie z.B. Message Digest 5 (MD5), zur Verfügung.
6.2 Einstellen der verwendeten Routingprotokolle
RIP-Aktualisierungen RIP sendet Routing-Aktualisierungsmeldungen in regelmäßigen Abständen und immer dann, wenn sich die Netzwerk-Topologie verändert. Empfängt ein Router eine Routing-Aktualisierung, die Änderungen an einem Eintrag enthält, so verwendet er diese Information zum Aktualisieren seiner Routing-Tabelle. Die neue Route kann somit wiedergegeben werden. Der metrische Wert des Pfades wird um eins erhöht, und der Sender wird als nächster Hop angegeben. RIP behalten für ein Ziel nur die beste Route (die Route mit dem kleinsten metrischen Wert). Nach dem Aktualisieren der Routing-Tabelle beginnt der Router sofort mit dem Übertragen von Routing-Aktualisierungen, um andere Router im Netzwerk über die Änderung zu informieren. Diese Aktualisierungen werden unabhängig von den in regelmäßigen Abständen von RIP-Routern gesendeten Aktualisierungen gesendet. Wenn der RIP-Router eine vollständige Liste aller Netzwerke und der möglichen Wege zu jedem dieser Netzwerke speichert, so kann diese Liste in einem großen Verbindungsnetzwerk mit mehreren Pfaden hunderte, ja sogar tausende Einträge haben. Da nur 25 Routen zusammen in einem RIP-Paket versendet werden können, müssen große Routing-Tabellen in mehreren RIP-Paketen verschickt werden. RIP-Router informieren alle 30 Sekunden sämtliche mit ihnen verbundenen Netzwerke über den Inhalt ihrer Routing-Tabelle. Hierfür wird ein IP-Subnetz oder ein MAC-Level Broadcast verwendet (RIP-Version-2-Router können auf MulticastRIP-Ankündigungen konfiguriert werden). Große IP-Netzwerke tragen den Broadcast-RIP-Overhead großer Routing-Tabellen. Dies kann insbesondere bei WANVerbindungen problematisch werden, bei denen große Teile der Bandbreite der WAN-Verbindung für RIP-Verkehr reserviert sind. Aus diesem Grund eignen sich auf RIP basierende Routings nicht sehr gut für große Internetzwerke oder für WANImplementierungen.
6.2.2
RIP Routing Metrik
RIP verwendet Metrik (Zahl der Hops), um die Distanz zwischen dem Ur-Hopsund dem Zielnetzwerk zu messen. In einem Pfad wird jedem Hop von einem Ursprung zu einem Ziel ein Hop-Count-Wert zugewiesen, der 1 beträgt. Erhält ein Router eine Routing-Aktualisierung mit einem neuen oder geänderten Eintrag für ein Zielnetzwerk, erhöht der Router den in der Aktualisierung angegebenen metrischen Wert um 1 und fügt das Netzwerk in seine Routing-Tabelle ein. Die IPAdresse des Senders wird als nächster Sprung verwendet. RIP verhindert endlose Routing-Schleifen, indem er in einem Pfad vom Ursprung bis zum Ziel eine Höchstzahl von Hops implementiert. Die maximale Anzahl an Hops in einem Pfad liegt bei 15; es können sich also nur 15 Router zwischen zwei verschiedenen Hosts befinden. Wenn ein Router eine Routing-Aktualisierung mit
407
408
Kapitel 6
IP-Routing
einem neuen oder geänderten Eintrag erhält, und wenn das Erhöhen des Wertes der Metrik um eins den Wert unendlich werden lässt (also 16 Hops), wird das ZielNetzwerk als nicht erreichbar betrachtet.
HINWEIS RIP-Stabilit ilität. Um schnellen Änderungen in der Netzwerk-Topologie gerecht zu werden, spezifiziert RIP eine Reihe von Stabilitäts-Features, die in vielen Routingprotokollen üblich sind. So implementiert RIP z.B. Horizont teilen, Split Horizon, Split Horizon mit Poison Reverse und den ausgelösten Aktualisierungsmechanismus, um die Verbreitung falscher Routing-Informationen zu verhindern. Die begrenzte Zahl an Hops in RIP verhindert außerdem das Entstehen endloser Routing-Schleifen.
6.2.3
OSPF
Bei OSPF handelt es sich um ein Link-State-Routingprotokoll. OSPF sendet LinkState-Advertisements (LSAs) an alle Router im gleichen hierarchischen Bereich. Keine Angst, wenn Sie nicht wissen, was ein hierarchischer Bereich ist. Dieses Thema wird in einem späteren Kapitel über »Routing-Hierarchien« behandelt. LSAs für Router bestehen aus einem Router, den mit ihm verbundenen Netzwerken und seinen konfigurierten Kosten. Da OSPF-Router Link-State-Informationen in einer Datenbank, der so genannten Link-State-Datenbank, sammeln, verwenden sie den Shortest Path First (SFP) -Algorithmus, um den kürzesten Pfad zu jedem Knoten zu berechnen. OSPF verfügt über folgende Features: 씰
OSPF hat eine bessere Konvergenz als RIP, da Änderungen im Routing sofort und nicht nur in bestimmten Abständen verbreitet werden.
씰
Von OSPF berechnete Routen sind immer frei von Schleifen. Schleifen können hier nicht auftreten.
씰
OSPF sendet Aktualisierungen nur dann, wenn Änderungen im Routing auftreten, und nicht nur in regelmäßigen Abständen. Dadurch wird die Bandbreite besser genutzt.
씰
OSPF ermöglicht eine logische Definition von Netzwerken, in denen Router in Bereiche unterteilt werden können. Dadurch entsteht ein Mechanismus zum Zusammenfassen von Routen. Die Verbreitung nicht notwendiger Subnetz-Informationen wird eingeschränkt.
씰
OSPF wurde entwickelt, um die Subnetzmaske zusammen mit dem Netzwerk anzukündigen. OSPF unterstützt Subnetzmasken mit variabler Länge (VLSM), unterbrochene Subnetze und Supernetting.
6.2 Einstellen der verwendeten Routingprotokolle
씰
OSPF ermöglicht die Bestätigung von Routen durch verschiedene Methoden der Bestätigung mit Kennwort. Routen außerhalb des autonomen OSPF-Systems werden im autonomen System so angekündigt, dass OSPF-Router die billigste Route zu externen Netzwerken berechnen können. Dadurch werden externe Routen aufgespürt, die von externen Protokollen eingebracht wurden.
Um OSPF auf einem Routing- und RAS-Server zu konfigurieren, folgen Sie der Schritt-für-Schritt-Anleitung.
HINWEIS Subnetti tting und Supernetti tting. Subnetting mit variabler Länge ist eine Technik zur Zuweisung untervernetzter Netzwerk-IDs, die Subnetzmasken mit verschiedenen Größen verwenden. Alle untervernetzten Netzwerk-IDs sind jedoch einzigartig und können durch ihre entsprechende Subnetzmaske voneinander unterschieden werden. Subnetting ist das Verketten von Teilen des Klasse-C-Adressraums. Supernetting kann verwendet werden, um mehrere Klasse-C-Netzwerk-Adressen zu einem logischen Netzwerk zu verbinden. Um Supernetting anwenden zu können, müssen die IP-Netzwerkadressen, die miteinander verbunden werden sollen, die gleichen werthöheren Bits aufweisen. Die Subnetzmaske wird gekürzt, um Bits aus dem Netzwerk-Teil der Adresse zu entfernen und sie zum Host-Teil der Adresse hinzuzufügen. Unterbrochene Subnetze sind Subnetze, deren IP-Netzwerk-IDs nicht direkt aufeinander folgend sind.
SCHRITT FÜR SCHRITT 6.6
Installieren und Konfigurieren von OSPF bei Windows 2000
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, und klicken Sie auf ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich. 2. Erweitern Sie die Konsolenstruktur und klicken Sie unter IP-ROUTING mit der rechten Maustaste auf ALLGEMEIN. Wählen Sie aus dem Kontextmenü NEUES ROUTINGPROTOKOLL. Das Dialogfenster NEUES ROUTINGPROTOKOLL öffnet sich (siehe Abbildung 6.20). 3. Wählen Sie OSPF (OPEN SHORTEST PATH FIRST) und klicken Sie auf OK, um OSPF zu installieren. In der ROUTING UND RAS-Konsole erscheint es nun unter IP-ROUTING (siehe Abbildung 6.21). 4. Wählen Sie das neu installierte OSPF-Protokoll und klicken Sie mit der rechten Maustaste darauf. Wählen Sie aus dem Kontextmenü NEUE SCHNITTSTELLE. Das Dialogfenster NEUE SCHNITTSTELLE FÜR OSPF (OPEN SHORTEST PATH FIRST) öffnet sich (siehe Abbildung 6.22).
409
410
Kapitel 6
IP-Routing
Abbildung 6.20 Wählen Sie das Routingprotokoll, das Sie installieren möchten.
Abbildung 6.21 Alle TCP/IP-Routingprotokolle sind in der Konsolenstruktur unter IPRouting aufgelistet.
5. Wählen Sie LAN-VERBINDUNG und klicken Sie auf OK. Das Dialogfenster OSPF-EIGENSCHAFTEN öffnet sich (siehe Abbildung 6.23). 6. Auf der Registerkarte ALLGEMEIN wählen Sie OSPF FÜR DIESE ADRESSOPTION AKTIVIEREN. In der BEREICHSKENNUNG klicken Sie auf die ID des Bereichs, zu der die Schnittstelle gehört. In der ROUTERPRIORITÄT klicken Sie auf die Pfeile, um die Priorität des Routers über die Schnittstelle einzustellen. In den KOSTEN klicken Sie auf die Scroll-Pfeile, um die Kosten für das Senden eines Paketes über eine Schnittstelle einzustellen. Wenn in dem
6.2 Einstellen der verwendeten Routingprotokolle
Bereich, zu dem die Schnittstelle gehört, ein Kennwort zugelassen ist, geben Sie unter KENNWORT ein Kennwort ein. Unter NETZWERKTYP stellen Sie die Art der OSPF-Schnittstelle auf Broadcast ein. Klicken Sie auf OK, um die Installation der Schnittstelle zu beenden und zur ROUTING UND RAS-Konsole zurückzukehren. Abbildung 6.22 Sie müssen die Schnittstelle auswählen, über die OSPF laufen soll. In einigen Umgebungen kann es sich auch um mehrere Schnittstellen handeln.
Abbildung 6.23 Sie können die Standard-OSPFEinstellungen verändern, während Sie die erste Schnittstelle installieren.
411
412
Kapitel 6
IP-Routing
Routing-Hierarchien Im Gegensatz zu RIP kann OSPF mit Hierarchien arbeiten. Die Grundstruktur dieser Hierarchien umfasst Bereiche, autonome Systeme und Backbone. Die größte Einheit innerhalb einer Hierarchie ist das autonome System. Ein autonomes System ist eine Sammlung von Netzwerken unter gemeinsamer Verwaltung, die eine gemeinsame Routen-Strategie besitzen. Jedes autonome System kann weiter in Bereiche unterteilt sein. Dabei können Bereiche untereinander mit einem OSPFBackbone verbunden sein und so einen eigenen Bereich bilden. Bereiche Ein autonomes System kann in eine Reihe kontinuierlicher Netzwerkgruppen unterteilt werden, die als Bereiche bezeichnet werden. Jeder Bereich ist durch eine Bereichs-ID gekennzeichnet. Diese Kennzeichnung steht mit der IP-Adresse oder der IP-Netzwerk-ID in keiner Verbindung. Bereichs-IDs werden nicht verwendet, um Routing-Daten wiederzugeben. Wenn jedoch alle Netzwerke innerhalb eines Bereiches zu einer einzigen untervernetzten Netzwerk-ID gehören, kann die Bereichs-ID eingesetzt werden. Somit kann mit einer einfacheren Verwaltung die Netzwerk-ID wiedergegeben werden. Enthält z.B. ein Bereich alle Subnetze des IPNetzwerkes 10.1.0.0, so kann die Bereichs-ID auf 10.1.0.0 eingestellt werden. Bereiche werden in einem autonomen System festgelegt, um die Größe einer topologischen Datenbank zu verringern. Um die Größe einer topologischen Datenbank bei jedem Router möglichst gering zu halten, werden LSAs an Bereichsnetzwerke und Router im Bereich geschickt, aber nicht an Router außerhalb des Bereichs. Jeder Bereich erhält seine eigene LinkState-Domäne mit seiner eigenen topologischen Datenbank.
HINWEIS Topologische Datenbanken. Eine topologische Datenbank ist im Wesentlichen eine Gesamtdarstellung von Netzwerken in Verbindung mit Routern. Die topologische Datenbank enthält alle LSAs, die von Routern aus dem gleichen Bereich empfangen wurden. In einem sehr großen AS mit sehr vielen Netzwerken muss jeder OSPF-Router die LSA jedes anderen Routers in seine topologischen Datenbank speichern. Jeder Router in einem großen autonomen OSPF-System besitzt eine große topologische Datenbank. Die SPF-Berechnung einer großen topologischen Datenbank kann eine beträchliche Rechenleistung für die Verarbeitung erfordern und zu sehr großen Routing-Tabellen führen. Um diese zu verhindern, werden autonome Systeme weiter in Bereiche unterteilt.
Router mit mehreren Schnittstellen können zu mehreren Bereichen gehören. Diese Router, die als Border-Router bezeichnet werden, unterhalten für jeden Bereich eine getrennte topologische Datenbank. Die Routing-Tabellen dieser Router sind eine Kombination der Routing-Tabellen-Einträge aller SPF-Strukturen der verschiede-
6.2 Einstellen der verwendeten Routingprotokolle
nen topologischen Datenbanken. Sie enthalten außerdem statische Routen, von Simple Network Management Protocol (SNMP) konfigurierte Routen und Routen, die aus anderen Routingprotokollen stammen. Um die Zahl der Einträge in der Routing-Tabelle zu reduzieren, können die Netzwerke aus einem Bereich außerhalb dieses Bereichs mit einer gemeinsamen Routenankündigung angekündigt werden. Durch die getrennten Bereichs-Topologien verschickt OSPF weniger Routingverkehr als bei nicht unterteilten autonomen Systemen. OSPF-Backbone Ein OSPF-Backbone ist für die Verteilung von Routeninformationen zwischen Bereichen verantwortlich. Es gibt mindestens ein Backbone in jedem OSPF-Verbindungsnetzwerk. Für das Backbone ist die Bereichs-ID 0.0.0.0 reserviert. Das Backbone besteht aus sämtlichen Border-Routern, aus den Netzwerken, die sich nicht in einem Bereich befinden, und aus den mit ihnen verbundenen Routern. Das Backbone muss sich im Zentrum der Bereiche in einem autonomen System befinden. Das heißt, dass alle Bereiche physisch an das Backbone angeschlossen sein müssen. Der Grund dafür ist, dass OSPF davon ausgeht, dass alle Bereiche Routing-Informationen an das Backbone schicken, und dass das Backbone im Gegenzug diese Information an andere Bereiche weiterleitet. Abbildung 6.24 zeigt ein Beispiel eines Internetzwerks mit mehreren Bereichen und einem Backbone. Abbildung 6.24 Dieses OSPF-Netzwerk besitzt mehrere Bereiche und ein Backbone.
Bereich 3 0.0.0.3
Bereich 2 0.0.0.2 Router 9
Host 1 Router 12
Host 2 Router 7
Router 13 Router 14 ABR Router 4 ABR
Router 10 ABR
Backbone 0.0.0.0
Router 5 ABR
Router 6 ABR
Bereich 1 0.0.0.1
413
414
Kapitel 6
IP-Routing
In diesem Beispiel wird das Backbone von den Routern 4, 5, 6, 10, 11 und 12 gebildet. Möchte Host 1 aus dem Bereich 1 ein Paket an Host 2 im Bereich 2 senden, wird das Paket zunächst an Router 13 geschickt, der das Paket an 12 schickt, von wo aus es an Router 11 geschickt wird. Router 11 schickt das Paket das Backbone entlang an Router 10, den Border-Router des Bereichs, der das Paket durch zwei bereichsinterne Router (Router 9 und Router 7) weiter an Host 2 schickt. Da das Backbone selbst ein OSPF-Bereich ist, können alle Backbone-Router die gleichen Vorgänge und Algorithmen verwenden. Somit können innerhalb des Backbones eines Bereichs-Routers Routing-Informationen erhalten werden. Dadurch können Backbone-Router nicht nur Host-Verkehr zwischen Bereichen routen, sondern auch zusammenfassende Routen in Bereichen an andere Router am Backbone verbreiten, die wiederum die Information in ihrem eigenen Bereich an BereichsRouter weitersenden. Auf diese Art wird sichergestellt, dass jeder Host in einem Bereich jeden Host in einem anderen Bereich erreichen kann. Um die Größe der Routing-Tabelle zu reduzieren, ist durch OSPF sichergestellt, dass die BackboneTopologie für alle bereichsinternen Router unsichtbar ist, ebenso wie die individuelle Bereichstopologie für das Backbone unsichtbar ist. In seltenen Fällen kommt es vor, dass ein neuer Bereich zu einem autonomen System hinzugefügt wird, der keinen direkten physischen Zugang zum Backbone hat. In diesem Fall muss eine so genannte virtuelle Verbindung zwischen dem neuen Bereich und dem Backbone konfiguriert werden. Eine virtuelle Verbindung gibt dem nicht angeschlossenen Bereich einen logischen Pfad zum Backbone. Die virtuelle Verbindung muss zwischen zwei Bereichs-Borderroutern hergestellt werden, die über einen gemeinsamen Bereich verfügen, wobei einer der Bereichs-Borderrouter mit dem Backbone verbunden sein muss. Virtuelle Links werden über einen Nicht-Backbone-Bereich konfiguriert, der auch als Transitbereich bezeichnet wird. Abbildung 6.25 zeigt ein Beispiel eines OSPF-Netzwerkes mit einer virtuellen Verbindung. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie eine virtuelle Verbindung zwischen RRAS konfiguriert wird.
SCHRITT FÜR SCHRITT 6.7
Konfigurieren einer virtuellen Routing-Verbindung für Windows 2000
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich. 2. Erweitern Sie die Konsolenstruktur und wählen Sie IP-ROUTING. Klicken Sie mit der rechten Maustaste auf die OSPF-Schnittstelle, die Sie konfigurieren
6.2 Einstellen der verwendeten Routingprotokolle
möchten, und wählen Sie aus dem Kontextmenü den Punkt EIGENSCHAFTEN. Das Dialogfenster OSPF-EIGENSCHAFTEN öffnet sich (siehe Abbildung 6.26). Abbildung 6.25 Dieses OSPF-Netzwerk besitzt eine virtuelle Verbindung, die über einen TransitBereich konfiguriert ist.
Bereich 1 1.1.1.1
Router ABR Virtuelle Verbindung
Bereich 2 2.2.2.2
Router ABR
Bereich 0 0.0.0.0
3. Auf der Registerkarte VIRTUELLE SCHNITTSTELLE klicken Sie auf HINZUFÜGEN. In der Transitbereichs-ID klicken Sie auf den Transitbereich, über den Sie die virtuelle Verbindung herstellen. Das Dialogfenster OSPF VIRTUELLE SCHNITTSTELLE öffnet sich (siehe Abbildung 6.27). 4. Unter VIRTUELLER NACHBARROUTERKENNUNG geben Sie die OSPF-RouterID des Routers am anderen Ende der virtuellen Verbindung ein. Unter ÜBERTRAGUNGSVERZÖGERUNG (SEK) klicken Sie auf den Pfeil, um die TransitVerzögerung in Sekunden einzustellen. Unter NEUÜBERTRAGUNGSINTERVALL (SEK) klicken Sie auf den Pfeil, um das Rückübertragungsintervall in Sekunden einzustellen. Unter GRUSSPAKETINTERVALL (SEK) klicken Sie auf den Pfeil, um das Grußpaketintervall in Sekunden einzustellen. Unter INAKTIVITÄTSINTERVALL (SEK) klicken Sie auf den Pfeil, um das Inaktivitätsintervall in Sekunden einzustellen. Klicken Sie auf OK, um die virtuelle Schnittstelle hinzuzufügen, und klicken Sie nochmals auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren.
415
416
Kapitel 6
IP-Routing
Abbildung 6.26 Sie können die OSPF-Einstellungen verändern, wenn Sie die OSPF-Eigenschaften öffnen.
Abbildung 6.27 Bevor Sie eine virtuelle Schnittstelle konfigurieren, sollten Sie ein umfassendes Wissen über OSPF und Ihr Netzwerk haben.
6.2 Einstellen der verwendeten Routingprotokolle
Bereichs-Routing Beim Aufteilen von Bereichen entstehen zwei Arten des OSPF-Routings, abhängig davon, ob der Ursprung und das Ziel sich im gleichen oder in verschiedenen Bereichen befinden. 씰
Bereichsinternes Routing tritt auf, wenn sich Ursprung und Quelle im gleichen Bereich befinden. Beim bereichsinternen Routing sendet die Quelle das Paket an ihr Standard-Gateway (ein interner Bereichs-Router). Der interne Bereichs-Router verwendet die festgelegten Routen, die, so wie sie durch den SPF-Algorithmus berechnet wurden, im Bereichs-Router gespeichert sind, und sendet das Paket über eine geeignete Schnittstelle an den internen Router des Zielbereichs. Der interne Router des Zielbereichs sendet das Paket an den Zielhost.
씰
Routing zwischen Bereichen tritt auf, wenn sich Quelle und Ziel in verschiedenen Bereichen befinden. Beim Routen zwischen Bereichen schickt die Quelle das Paket an ihren Standard-Gateway (einen bereichsinternen Router). Der Bereichs-Router sendet das Paket an einen Bereichs-Borderrouter, wobei der kürzeste Pfad verwendet wird. Der Bereichs-Borderrouter schickt das Paket durch einen Backbone-Router über den kürzesten Pfad an den BereichsBorderrouter des Zielhosts. Der Bereichs-Borderrouter des Zielhosts schickt das Paket durch bereichsinterne Router zum Ziel, wobei wieder der kürzeste Pfad verwendet wird.
Die folgende Anleitung erklärt das Erzeugen eines zusätzlichen OSPF-Bereichs.
SCHRITT FÜR SCHRITT 6.8
Erzeugen eines OSPF-Bereichs mit Windows 2000 Routing und RAS
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich. 2. Erweitern Sie die Konsolenstruktur und wählen Sie IP-ROUTING. Unter EINZELHEITEN klicken Sie mit der rechten Maustaste auf die OSPF-Schnittstelle, und wählen Sie das Kontextmenü EIGENSCHAFTEN. Das Dialogfenster OSPFEIGENSCHAFTEN öffnet sich. 3. Wählen Sie die Registerkarte BEREICHE (siehe Abbildung 6.28). 4. Klicken Sie auf HINZUFÜGEN, um das Dialogfenster OSPF-BEREICHSKONFIGURATION zu öffnen (siehe Abbildung 6.29).
417
418
Kapitel 6
IP-Routing
5. Auf der Registerkarte ALLGEMEIN geben Sie eine Dezimalzahl mit einem Punkt ein, um den Bereich zu identifizieren. Um ein Wort als Kennwort verwenden zu können, müssen Sie sicherstellen, dass die Option KLARTEXTKENNWORT AKTIVIEREN ausgewählt ist. Um den Bereich als Stubbereich zu kennzeichnen, wählen Sie die Option STUBBEREICH. Im Stubmetrik klicken Sie auf die Pfeile, um das STUBMETRIK einzustellen. Um Routen aus anderen Bereichen in den Stubbereich zu importieren, wählen Sie die Option ZUSAMMENFASSUNG VON ANKÜNDIGUNGEN IMPORTIEREN. Klicken Sie zweimal auf OK, um die Änderungen zu übernehmen und zur ROUTING UND RAS-Konsole zurückzukehren.
Abbildung 6.28 Die Registerkarte Bereiche wird verwendet, um auf dem Server konfigurierte OSPFBereiche hinzuzufügen, zu verändern oder zu löschen.
Routing bei autonomen Systemen Routing tritt nicht nur innerhalb von Bereichen mit OSPF auf. Wenn Internetzwerke mit anderen Internetzwerken verbunden sind, die von einer anderen Verwaltung kontrolliert werden, muss Routing eingerichtet werden. Diese Art des Routings zwischen autonomen Systemen wird so eingerichtet, dass sie externe Routen verwenden. Border-Router von autonomen Systemen, die mit OSPF arbeiten, erfahren durch andere Routingprotokolle, wie z.B. Internet Group Recommended Practice (IGRP), RIP oder BGP von externen Routen. Border-Router von autonomen Systemen funktionieren genau wie Border-Router von Bereichen, mit dem einzigen Unterschied, dass sie zwischen autonomen Systemen routen.
6.2 Einstellen der verwendeten Routingprotokolle
Abbildung 6.29 Mit der Registerkarte Allgemein können Sie die Bereichs-ID und ein Kennwort eingeben und festlegen, ob der Bereich ein Stubbereich sein soll.
Standardmäßig kündigen Border-Router von autonomen Systemen alle externen Routen in ihrem autonomen System an. Dadurch können alle Bereiche und Netzwerke in Bereichen Ziele erreichen, die außerhalb des autonomen Systems liegen. Als Netzwerkadministrator halten Sie es vielleicht für notwendig, die externen Routen, die im autonomen System angekündigt werden, einzuschränken. Mit dem Windows-2000-Router- und RAS-Dienst können Sie Border-Router von autonomen Systemen so konfigurieren, dass sie Routen aus bestimmten externen Quellen, wie den Routingprotokollen (RIP Version 2) oder aus anderen Quellen (statische Router oder SNMP) annehmen oder ablehnen. Sie können Border-Router von autonomen Systemen auch so konfigurieren, bestimmte Routen anzunehmen oder abzulehnen, indem Sie eine oder mehrere Adresspaare (Ziel, Netzwerkmaske) konfigurieren. Um Border-Routing bei autonomen Systemen einzustellen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 6.9
Konfigurieren von Systemgrenzrouting für autonome Systeme in Windows 2000 Routing und RAS
1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich.
419
420
Kapitel 6
IP-Routing
Abbildung 6.30 Systemgrenzrouting kann für autonome Systeme zugelassen werden, indem Sie die Option Autonomen Systemgrenzrouter aktivieren.
Abbildung 6.31 Mit der Registerkarte Externes Routing können Sie die OSPF-RoutingQuellen für Windows 2000 konfigurieren.
6.2 Einstellen der verwendeten Routingprotokolle
2. Erweitern Sie die Konsolenstruktur und wählen Sie IP-ROUTING. Klicken Sie mit der rechten Maustaste auf die OSPF-SCHNITTSTELLE, die Sie konfigurieren möchten, und wählen Sie aus dem Kontextmenü EIGENSCHAFTEN. Das Dialogfenster OSPF-EIGENSCHAFTEN öffnet sich. 3. Auf der Registerkarte ALLGEMEIN (siehe Abbildung 6.30) aktivieren Sie den AUTONOMEN SYSTEMGRENZROUTER. 4. Wählen Sie die Registerkarte EXTERNES ROUTING (siehe Abbildung 6.31) und aktivieren Sie ROUTEN ALLER ROUTENQUELLEN, MIT AUSNAHME DER GEWÄHLTEN AKZEPTIEREN. Hierzu wählen Sie weiter unten die Routen aus. Wenn Sie eine bestimmte Routenquelle ignorieren möchten, wählen Sie diese im darunterliegenden Fenster aus, und bestimmen Sie die zu ignorierenden Routen. 5. Klicken Sie auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren und den Systemgrenzrouter zu aktivieren. Als Netzwerkadministrator werden Sie Ihre Routingprotokolle auf größtmögliche Effizienz einstellen wollen. Wenn externe Routen in Bereiche Ihres autonomen Systems gelangen können, werden Routing-Reserven aufgebraucht. Um zu vermeiden, dass zusätzliche Ressourcen auf Ihren Routern verbraucht werden, können Sie Border-Router von Bereichen so konfigurieren, dass eine Standard-Route in den Bereich angegeben wird. Diese Standard-Route wird an alle Router im Bereich gesendet. Die Standard-Route wird dann von allen Routern im Bereich für jede Zieladresse verwendet, die innerhalb des autonomen Systems nicht erreicht werden kann. Bereiche, die mit dieser Standard-Route konfiguriert sind, werden auch als Stubbereiche bezeichnet. OSPF-Vorgänge Der SPF-Routing-Algorithmus ist die Grundlage der OSPF-Vorgänge. Wird ein SPF-Router hochgefahren, initialisiert er die Datenstruktur seines Routingprotokolls und wartet dann auf Angaben aus Lower-Layer-Protokollen, um zu wissen, dass die Schnittstellen funktionieren. Nachdem der Router weiß, dass seine Schnittstellen funktionieren, verwendet er ein OSPF-Hallo-Protokoll, um seine Nachbarn anzusprechen. Nachbarn sind Router mit einer Schnittstelle zu einem gemeinsamen Netzwerk. Der Router sendet Grußpaketintervalle an seine Nachbarn und empfängt deren Grußpaketintervalle. Grußpaketintervalle dienen außerdem auch als Keep-Alives, durch die sich Router gegenseitig wissen lassen, dass sie noch funktionieren.
421
422
Kapitel 6
IP-Routing
Designierte Router In Multiaccess-Netzwerken (Netzwerke, die mehr als zwei Router unterstützen) wählt das Grußpaketintervalle-Protokoll einen designierten Router und einen designierten Backup-Router. Da der designierte Router an alle anderen Router angrenzt, dient er als Zentrum für die Verbreitung von Link-State-Informationen, die zur Synchronisation der topologischen Datenbank und der Kontrolle der Adjacencies zwischen Routern im Netzwerk dienen. (Die Beziehung zwischen benachbarten Routern zum Zwecke der Synchronisierung der topologischen Datenbank wird als Adjacency bezeichnet; im Abschnitt »Adjacencies« wird darauf näher eingegangen.) Als Beispiel dafür, warum ein designierter Router erforderlich ist, stellen Sie sich ein Broadcast-Netzwerk mit sechs OSPF-Routern vor. Würde das Adjacency-Verhalten nicht kontrolliert, könnte jeder Router mit jedem anderen Router eine Adjacency aufbauen. Die Höchstzahl liegt hier bei 15 Adjacency-Verbindungen. In einem Broadcast mit n-Routern würden insgesamt n*(n-1)/2 Adjacencies gebildet. Dies kann zu endlosem Flooding-Verkehr führen, wenn Router versuchen, mit all ihren angrenzenden Routern zu synchronisieren. Designierte Router ermöglichen eine Reduzierung des Netzwerkverkehrs und der Größe der topologischen Datenbank. Der designierte Router wird durch das Grußpaketintervall festgelegt. Grußpaketintervalle werden über IP-Multicast-Pakete in jedem Segment ausgetauscht. Der Router mit der höchsten OSPF-Priorität in einem Segment wird zum designierten Router für dieses Segment. Sollten zwei Router die gleiche Priorität haben, wird der Router mit der höchsten Router-ID zum designierten Router. Standard für die OSPF-Schnittstellen-Priorität ist 1. Router-Priorität 0 bedeutet, dass dieser Router kein designierter Router wird. Neben dem designierten Router wird auch ein designierter Backup-Router für jedes Multiaccess-Netzwerk bestimmt. Dadurch wird verhindert, dass mit einem ausgefallenen Router auch Verbindungen verloren gehen. Wie der designierte Router, ist auch der designierte Backup-Router mit allen Routern im Netzwerk direkt verbunden. Fällt der designierte Router aus, so wird der designierte Backup-Router sofort zum neuen designierten Router. Er sendet dann LSAs an alle direkt mit ihm verbundenen Router und kündigt somit seine neue Rolle an. Wenn der designierte BackupRouter die Rolle des designierten Routers übernimmt, könnte es zu einer kurzzeitigen Beeinträchtigung des Transitverkehrs kommen. Wie der designierte Router, wird auch der designierte Backup-Router durch den Austausch von Grußpaketintervallen festgelegt. Jedes Grußpaketintervall enthält ein Feld für den designierten Backup-Router des Netzwerkes. Ist der designierte Backup-Router nicht festgelegt, so wird der Router mit der höchsten Router-Priorität, der noch nicht designierter Router ist, zum designierten Backup-Router. Besitzen mehrere Router die höchste Router-Priorität, so wird der Router mit der höchsten Router-ID zum designierten Backup-Router ernannt.
6.2 Einstellen der verwendeten Routingprotokolle
Adjacencies Wenn die topologischen Datenbanken zweier benachbarter Router synchronisiert sind, so spricht man von Adjacent-Routern. In Multiaccess-Netzwerken bestimmt der designierte Router, welche Router zu Adjacent Routern werden sollen. Topologische Datenbanken werden zwischen einem Paar Adjacent-Router synchronisiert. Adjacencies kontrollieren die Verbreitung von Routingprotokoll-Paketen. Diese Pakete können nur von Adjacencies gesendet oder empfangen werden. Nachbarschaften werden zum ersten Mal gebildet, wenn ein OSPF-Router initialisiert wird. Er sendet dann ein periodisches OSPF-Grußpaketintervall. Das OSPFGrußpaketintervall enthält Informationen über die Konfigurierung, wie z.B. die Router-ID des Routers und die Liste der Nachbar-Router, für die der Router ein Grußpaketintervall erhalten hat. Anfangs enthält die Liste der Nachbarn im OSPFGrußpaketintervall keine Nachbarn. Der initialisierende OSPF-Router achtet auch auf Grußpaketintervalle von benachbarten Routern. Aus den hereinkommenden Grußpaketintervallen bestimmt der initialisierende Router den oder die spezifischen Router, mit denen Adjacencies gebildet werden sollen. Nachbarschaften werden mit dem designierten Router und dem designierten Backup-Router, die in den hereinkommenden Grußpaketintervallen angegeben sind, gebildet. Designierte Router und designierte Backup-Router werden später in diesem Kapitel noch genauer erläutert. Um die Adjacencies zu beginnen, beschreiben die Router, welche die Adjacencies bilden, den Inhalt ihrer topologischen Datenbank durch eine Sequenz von Datenbank-Beschreibungspaketen. Man bezeichnet diesen Vorgang auch als Datenbankaustausch.Während diesem Vorgang bilden die beiden benachbarten Router eine Master/Slave-Beziehung. Der Inhalt der topologischen Datenbank jedes Routers wird durch den benachbarten Router bestätigt. Jeder Router vergleicht seine LSAs mit den LSAs seiner Nachbarn und stellt fest, welche LSAs von seinen Nachbarn für eine Synchronisierung der topologischen Datenbank angefordert werden müssen. Die fehlenden oder erneuerten LSAs werden dann durch ein Link-State-Anforderungspaket angefordert. In Antwort auf die Link-State-Anforderungspakete werden aktualisierte Link-State-Pakete gesendet, deren Erhalt bestätigt wird. Wenn alle Link-State-Anforderungen beider Router beantwortet wurden, sind die topologischen Datenbanken der benachbarten Router vollständig miteinander synchronisiert und die Adjacency ist gebildet. Nachdem die Adjacency gebildet wurde, sendet jeder benachbarte Router ein periodisches Grußpaketintervall, um seine Nachbarn darüber zu informieren, dass der Router noch immer aktiv im Netzwerk ist. Das Ausbleiben von Grußpaketintervallen eines benachbarten Routers wird zum Aufspüren ausgefallener Router verwendet.
423
424
Kapitel 6
IP-Routing
Tritt ein bestimmter Vorfall ein, wie z.B. eine ausgefallene Verbindung, ein ausgefallener Router oder das Hinzufügen eines neuen Netzwerkes, durch das die topologische Datenbank eines Routers verändert wird, werden die topologischen Datenbanken von benachbarten Routern nicht mehr synchronisiert. Die Router, deren topologische Datenbank verändert wurde, senden aktualisierte Link-State-Pakete an ihren Nachbarn. Der Empfang des aktualisierten Link-State-Paketes wird bestätigt. Nach diesem Austausch werden die topologischen Datenbanken der benachbarten Router wieder synchronisiert.
6.2.4
Wählen bei Bedarf, (Demand-Dial)-Routing
In einigen Netzwerkumgebungen könnte der Netzwerkadministrator verlangen, dass Redundanz in das Netzwerk-Design integriert wird, damit über eine Demand-DialVerbindung eine alternative Route als Backup-Route vorhanden ist, wenn eine ständige Netzwerkverbindung zwischen Sites ausfällt. In anderen Speicherstellen ist eine ständige Verbindung erforderlich, aber die Kosten zur Herstellung dieser Verbindung sind zu hoch, oder die Technologien, die zur Verfügung stehen, um diese Verbindung zu implementieren, sind begrenzt. In solchen Fällen kann eine Technologie namens Demand-Dial-Routing eingesetzt werden, mit deren Hilfe Pakete über eine DFÜ-Verbindung geroutet werden können. Ein Demand-Dial-Netzwerk besteht aus einem anrufenden und einem antwortenden Router. Sowohl auf dem anrufenden, als auch auf dem empfangendem Router ist der Routing- und RAS-Dienst installiert. Um Demand-Dial-Routing auf einem vorhandenen RRAS-Server zu installieren, gehen Sie wie folgt vor.
SCHRITT FÜR SCHRITT 6.10 Wählen bei Bedarf-Routing zulassen 1. Gehen Sie auf START, PROGRAMME, VERWALTUNG, ROUTING UND RAS. Die ROUTING UND RAS-Konsole öffnet sich. 2. Erweitern Sie die Konsolenstruktur und klicken Sie mit der rechten Maustaste auf den Server. Wählen Sie aus dem Kontextmenü den Punkt EIGENSCHAFTEN. Das Dialogfenster SERVER-EIGENSCHAFTEN (lokal) öffnet sich. (siehe Abbildung 6.32). 3. Auf der Registerkarte ALLGEMEIN wählen Sie LAN- UND BEI BEDARF WÄHLENDES ROUTING. Klicken Sie auf OK, um zur ROUTING UND RAS-Konsole zurückzukehren. 4. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf ROUTINGSCHNITTSTELLEN und wählen Sie aus dem Kontextmenü NEUE SCHNITTSTELLE FÜR WÄHLEN BEI BEDARF. Dadurch erscheint der ASSISTENT FÜR EINE SCHNITTSTELLE WÄHLEN BEI BEDARF (siehe Abbildung 6.33).
6.2 Einstellen der verwendeten Routingprotokolle
Abbildung 6.32 Der Windows-2000Router kann entweder ausschließlich LAN-Router oder LAN- und bei Bedarf wählendes Routing sein.
5. Klicken Sie anschließend auf WEITER. Das Dialogfenster SCHNITTSTELLENNAME öffnet sich (siehe Abbildung 6.34). 6. Geben Sie im Feld SCHNITTSTELLENNAME einen Namen für diese Verbindungsschnittstelle ein. Klicken Sie auf WEITER. Das Dialogfenster VERBINDUNGSTYP öffnet sich (siehe Abbildung 6.35). 7. Im Dialogfenster VERBINDUNGSTYP wählen Sie VERBINDUNG ÜBER EIN MODEM, EINE ISDN-KARTE ODER EIN ANDERES PHYSIKALISCHES GERÄT HERSTELLEN und klicken Sie auf WEITER. Das Dialogfenster WÄHLEN SIE EIN GERÄT AUS öffnet sich (siehe Abbildung 6.36). 8. Wählen Sie das serielle Gerät, das Sie für Ihre Verbindungsschnittstelle verwenden möchten (z.B. ein Modem), und klicken Sie auf WEITER. Das Dialogfenster RUFNUMMER öffnet sich (siehe Abbildung 6.37). 9. Geben Sie die Telefonnummer des antwortenden Routers in den Freiraum ein. Klicken Sie auf WEITER. Das Dialogfenster PROTOKOLLE UND SICHERHEIT öffnet sich (siehe Abbildung 6.38). 10. In diesem Dialogfenster können Sie die Protokolle auswählen, die Sie über diese Verbindung routen möchten. Klicken sie auf WEITER. Das Dialogfenster ANMELDEINFORMATIONEN FÜR DAS HINAUSWÄHLEN öffnet sich (siehe Abbildung 6.39).
425
426
Kapitel 6
IP-Routing
Abbildung 6.33 Wie bei den meisten Windows-2000Tasks steht auch für die Konfigurierung für Wählen bei Bedarf-Schnittstelle ein Assistent zur Verfügung.
Abbildung 6.34 Sie müssen in der Option Schnittstellenname einen Namen eingeben.
6.2 Einstellen der verwendeten Routingprotokolle
Abbildung 6.35 Sie können die Verbindung mit Hilfe eines physikalischen Gerätes wie einem Modem, einem ISDN-Adapter oder durch VPN herstellen.
Abbildung 6.36 Sie müssen das Gerät, das für das Wählen verwendet werden soll, auswählen. Normalerweise wird ein Modem oder eine ISDN-Karte verwendet.
427
428
Kapitel 6
IP-Routing
Abbildung 6.37 Um den DemandDial-Router zu verwenden, benötigen Sie die Telefonnummer des Routers, den Sie anwählen.
Abbildung 6.38 Von hier aus können Sie die zu routenden Protokolle und die Sicherheit für die DemandDial-Verbindung konfigurieren.
6.2 Einstellen der verwendeten Routingprotokolle
Abbildung 6.39 Um den RemoteRouter erfolgreich zu verbinden, müssen Sie die Anmeldereferenzen konfigurieren.
11. Geben Sie die Sicherheitsreferenz-Information ein, mit deren Hilfe Sie sich mit dem antwortenden Router verbinden können. Diese Information umfasst Benutzername, Domäne und Kennwort. Klicken Sie auf WEITER, um fortzufahren. 12. Klicken Sie im letzten Dialogfenster auf FERTIG UND RAS-Konsole zurückzukehren.
STELLEN,
um zur ROUTING
Erhält ein anrufender Router ein Paket über das Netzwerk, so bestimmt der Router die beste Route für das Verschicken des Paketes. Handelt es sich bei der gewählten Route um eine Wählen bei Bedarf-Route, so wird eine Verbindung mit der anderen Seite aufgebaut. Bei dieser Verbindungsart handelt es sich um eine Punkt-zu-PunktVerbindung (PPP), die entweder über eine physische Verbindung, wie z.B. eine analoge Leitung bzw. ISDN-Leitung, oder über eine logische Verbindung (auch als Tunnel bezeichnet) aufgebaut wird. Tunnel werden entweder mittels Point-to-PointTunneling-Protokoll (PPTP) oder mittels Layer-2-Tunneling-Protokoll (L2TP) aufgebaut. Nachdem der Demand-Dial-Router festgestellt hat, dass eine Verbindung aufgebaut werden muss, überprüft er, ob bereits eine Verbindung besteht. Wenn der Status verbunden ist, wird das Paket an den Zielhost geschickt. Besteht keine Verbindung, so muss der anrufende Router eine Verbindung aufbauen.
429
430
Kapitel 6
IP-Routing
Um eine Verbindung zwischen dem anrufenden und dem antwortenden Router aufzubauen, überprüft der anrufende Router die Dial-Out-Stunden oder Demand-DialFilter den Aufbau der Verbindung, so scheitert der Verbindungsversuch, und der Host, der das Paket abgeschickt hat, erhält die Information, dass der Zielhost nicht erreichbar ist. Kann nach der Überprüfung die Verbindung hergestellt werden, holt sich der Router die Konfiguration der Wählen bei Bedarf-Schnittstelle und baut dann, basierend auf dieser Konfiguration, eine Verbindung mit dem antwortenden Router auf. Der Wählen bei Bedarf-Router muss sich an verschiedene Verbindungsarten anpassen. Hierzu gehören folgende Verbindungsarten: 씰
Modem- oder ISDN-Verbindung. Bei dieser Konfigurationsart wird die konfigurierte Telefonnummer gewählt.
씰
Virtual Private Network (VPN)-Verbindung. Bei dieser Konfigurationsart wird die konfigurierte Host- oder IP-Adresse verwendet, um entweder eine PPTP- oder eine IPSec-Verbindung aufzubauen.
씰
Direkte serielle oder direkte parallele Portverbindung. Bei dieser Konfigurationsart wird über einen seriellen oder einen parallelen Anschluss eine direkte Verbindung zwischen dem anrufenden und dem antwortenden Router aufgebaut.
Nachdem die Verbindung hergestellt wurde, muss der anrufende Router eine PPPVerbindung mit dem antwortenden Router aushandeln. Teil dieser Verhandlung ist das Senden von Referenzen durch den anrufenden Router. Der antwortende Router vergleicht die Referenzen mit einer lokalen Kontodatenbank und/oder RemoteRichtlinien oder sendet die Verbindungs-Attribute an einen RADIUS-Server, der die Referenzen überprüft. Neben der Überprüfung der Referenzen des Anwenders verhandelt PPP auch Parameter für die Verbindung, wie z.B. die IP-Adressen der beiden Router und den Namenserver, der verwendet werden soll, sowie statische Router, die möglicherweise vom Anwender eingerichtet wurden. Schließlich sucht der antwortende Router nach dem Anwender, der die Verbindung für eine passende Schnittstelle initiiert. Wird eine passende Demand-Dial-Schnittstelle lokalisiert, wird der Verbindungsstatus auf den Status VERBUNDEN geändert und die Routing-Verbindung wird hergestellt. Wird keine passende Schnittstelle gefunden, wird die anrufende Einheit als RAS-Clientcomputer identifiziert, und die Verbindung wird nicht aufgebaut.
6.2 Einstellen der verwendeten Routingprotokolle
6.2.5
Demand-Dial-Verbindungsarten
Bei Demand-Dial-Routing gibt es zwei verschiedene Verbindungsarten: Verbindung bei Bedarf und ständige Verbindung. Eine Verbindung bei Bedarf wird initiiert, wenn ein Paket von einem anrufenden Router empfangen wird. Erhält der anrufende Router Informationen für den antwortenden Router, so leitet er die Verbindung ein. Nachdem die Information an den antwortenden Router übertragen wurde und die Verbindung eine bestimmte Zeit lang nicht mehr verwendet wurde, wird die Verbindung abgebrochen. Sie können die Demand-Dial-Zeitüberschreitung in der Registerkarte OPTIONEN der Demand-Dial-Schnittstelleneigenschaften konfigurieren. In einer Demand-Dial-Umgebung können ein Router oder auch beide Router für das Initiieren der Verbindung konfiguriert werden. Wird nur ein Router für das Initiieren der Verbindung konfiguriert, so spricht man von einer Ein-Weg-Verbindung. Sind beide Router für das Initiieren von Verbindungen konfiguriert, so spricht man von Zwei-Wege-Verbindungen. In einer initiierten Ein-Weg-Verbindung ist der anrufende Router mit einem Anwendernamen konfiguriert, der für die Verbindung zum antwortenden Router verwendet wird. Mit diesem Anwenderkonto sind statische Routen verbunden, die festlegen, welche Pakete zur anderen Seite geroutet werden sollen. Wird die Verbindung initiiert und der Anwendername durch den antwortenden Router bestätigt, wird der mit dem Anwendernamen verbundene statische Router zur RoutingTabelle des antwortenden Routers hinzugefügt. Eine initiierte Zwei-Wege-Verbindung funktioniert ähnlich wie eine initiierte EinWeg-Verbindung, mit dem Unterschied, dass beide Router mit der Information konfiguriert sein müssen, die für die Herstellung der Verbindung erforderlich ist. Darüber hinaus müssen beide Router, also anrufender und antwortender Router, konfiguriert sein. Sowohl in einer initiierten Ein-Weg-Verbindung, wie auch in einer initiierten ZweiWege-Verbindung muss der Router, der den Anruf initiiert, mit einem Anwendernamen konfiguriert sein, der zur Demand-Dial-Schnittstelle des antwortenden Routers passt. Eine Verbindung bei Bedarf kann Probleme bei zeitempfindlichen Anwendungen hervorrufen, da die Anwendung in der Lage sein muss, eine Verzögerung zu tolerieren. Diese Verzögerung entsteht, während der anrufende Router die Verbindung mit dem antwortenden Router initiiert und die statischen Routen, die auf beiden Routern konfiguriert sind, von beiden Seiten durch das Verbindungsnetzwerk gesendet werden. Die Länge der Verzögerung ist von der Art der physischen oder logischen Verbindung abhängig, die hergestellt werden soll.
431
432
Kapitel 6
IP-Routing
Die zweite Verbindungsart, die in einer Demand-Dial-Routing-Umgebung zur Verfügung steht, sind ständige Verbindungen. Bei dieser Verbindungsart tritt keine Verzögerung auf, während der anrufende Router die Verbindung mit den antwortenden Routern initiiert. Die Verbindung steht dauerhaft zur Verfügung. Diese Verbindungsart findet man allgemein in WAN-Umgebungen, in denen es sich um eine Verbindung über geleaste Leitungen, eine X.25-Verbindung oder eine ISDN-Verbindung handelt. Bei einer ständigen Verbindung kann der anrufende Router so konfiguriert werden, dass eine verlorene Verbindung automatisch wieder hergestellt wird. Die Wahl der Verbindung ermöglicht einen tieferen Einblick in die Art des Routings, das über die Verbindung konfiguriert werden sollte. Bei einer ständigen Verbindung sollte eines der dynamischen Routingprotokolle, wie z.B. RIP oder OSPF, mit einer speziellen Konfiguration verwendet werden, damit die Verwendung einer Demand-Dial-Verbindung auch berücksichtigt wird. In einem Szenario mit einer Verbindung bei Bedarf ist ein dynamisches Routingprotokoll nicht gerade die beste Wahl. Dynamische Protokolle müssen regelmäßig Informationen zwischen Routern austauschen, um ihre Routing-Tabellen auf dem neuesten Stand zu halten. Dies ist eine Funktion, mit der dynamische Routingprotokolle arbeiten. Der Bedarf nach regelmäßigem Informationsaustausch mit anderen Routern in der Umgebung kann dazu führen, dass jedes Mal eine Verbindung aufgebaut wird, wenn eine Aktualisierung vorgenommen wird, oder dass in manchen Fällen die Verbindung auch ständig aufrechterhalten wird – je nachdem, wie oft die Aktualisierungen durchgeführt werden. In einer Umgebung, in der man eigentlich die Kosten einsparen möchte, ist dieser Vorgang nicht erwünscht. Bei der Verbindung bei Bedarf werden häufig entweder statische Routen oder autostatische Aktualisierungen vorgezogen, um Routing zuzulassen. Eine autostatische Aktualisierung ist eine Anfrage von einem Router, in der er alle bekannten Routen oder Dienste des Routers am anderen Ende der Verbindung nachfragt. Nachdem diese Anfrage erhalten wurde, fügt der Router die angefragten Routen in seine Routing-Tabelle ein. Eine autostatisches Aktualisierung ist ein einmaliger Austausch von Informationen in eine Richtung. Autostatische Aktualisierungen treten bei der Initiierung einer Demand-Dial-Verbindung nicht automatisch auf. Sie müssen vielmehr manuell initiiert werden, oder ein Zeitplan für Routen-Updates muss eingerichtet werden. Nachdem die Routen gesendet wurden, tauschen die beiden Router nur dann Aktualisierungen mit Routing-Informationen aus, wenn diese manuell angefragt werden oder wenn eine Anfrage nach Zeitplan auftritt – abhängig davon, wie die autostatischen Aktualisierungen in Ihrer Umgebung konfiguriert wurden. Autostatische Aktualisierungen sind in Umgebungen hilfreich, in denen
6.2 Einstellen der verwendeten Routingprotokolle
Routen einmal über eine Verbindung hinzugefügt werden müssen, wobei die Verbindungen aber zu zahlreich sind, um sie praktisch als statische Routings verwenden zu können. Das Konfigurieren statischer Routen in einem Demand-Dial-Netzwerk unterscheidet sich von der Konfigurierung statischer Routen mit Hilfe des ROUTE-Befehls. In der Schritt-für-Schritt-Anleitung 6.11 sehen Sie, wie statische Routen für eine Demand-Dial-Schnittstelle konfiguriert werden. Beim Konfigurieren von statischen Routen ist es wichtig, besonders auf die Standard-IP-Route (0.0.0.0) zu achten. Die Standard-IP-Route wird verwendet, um zu bestimmen, was mit Netzwerkverkehr geschehen soll, wenn keine der vorhandenen Routen einen Pfad für den Verkehr darstellt. Ist keine Route vorhanden, so schickt der Router den Verkehr über die Standard-Route. Dies ist bei Internetverkehr praktisch, da hier die Wahrscheinlichkeit besteht, dass die Zieladresse ein Host im Internet ist. Bei einem Intranet wird dies vielleicht nicht der Fall sein. Dieser Vorgang kann Auswirkungen auf den Demand-Dial-Router haben. Wenn z.B. die Standard-Route über den Demand-Dial-Router festgelegt ist, wird jedes Mal, wenn eine unvollständige Adresse spezifiziert wird, der Verkehr durch den Demand-Dial-Router geroutet. Dadurch wird eine Verbindung initiiert und der Verkehr wird verschickt, nur um dann herauszufinden, dass auf der anderen Seite kein Host existiert. Ihnen entstehen also Kosten für das Routen von Verkehr an einen nicht erreichbaren Host. In einer solchen Situation werden Sie sicherstellen wollen, dass Ihr Demand-DialRouter mit Routen konfiguriert ist, die zum Zielnetzwerk führen und die den Demand-Dial-Router nicht als Standard-Route verwenden.
6.2.6
Demand-Dial-Sicherheit
Sicherheitsfragen sind für die meisten Firmen eine Nebenerscheinung der modernen, vernetzten Welt. Wenn sich Firmen an das Internet anschließen, müssen Sie Maßnahmen ergreifen, um sicherzustellen, dass ihre Netzwerke gegen böswillige Attacken oder gegen unberechtigten Zugriff geschützt sind. Demand-Dial-Sicherheit bietet eine Reihe von Sicherheitsfeatures, um zu garantieren, dass der richtige anrufende Router die Verbindung initiiert und dass der richtige antwortende Router auf die Verbindung antwortet. Zu diesen Features gehören unter anderen: 씰
Remote-Access-Erlaubnis
씰
Authentifizierung
씰
Verschlüsselung
433
434
Kapitel 6
IP-Routing
씰
Rückruf
씰
ID des Anrufers
씰
RAS Account Lockout
In einer Demand-Dial-Routingumgebung besteht der Hauptmechanismus für Sicherheit zwischen einem anrufenden und einem antwortenden Router darin, dem Router, der die Verbindung initiiert, ein Anwenderkonto zuzuweisen. Dadurch erhält der antwortende Router einen Mechanismus, um zu überprüfen, ob der Router, der die Verbindung initiiert, autorisiert ist, und die notwendigen Befugnisse besitzt, um über eine Remote-Einwahl-Verbindung Zugang zum Router zu erhalten. Einem Administrator stehen zwei Möglichkeiten für die Ausstellung einer erforderlichen Genehmigung zur Verfügung: Zum einen kann er das Konto mit Hilfe der Registerkarte EINWAHL-EIGENSCHAFTEN, die sich entweder innerhalb der Computerverwaltung oder Anwender/Computer von Active Directory befindet, aktivieren. Zum anderen kann die Berechtigung für das Konto aktiviert werden, indem sie einer RAS-Richtlinie zugeordnet wird, die innerhalb eines RADIUS/Internet Authentifizierungsdienst-Servers konfiguriert ist. Um ein Konto mit der erforderlichen Genehmigung zuzulassen, kann ein Administrator entweder das Konto ausdrücklich zulassen, indem er in der Registerkarte DFÜ-EIGENSCHAFTEN des Anwenderkontos entweder in der Computerverwaltung oder im Active Directory Anwender und Computer verwendet. Das Konto kann aber auch, wenn die entsprechenden Befugnisse vorhanden sind, mit einer RAS-Richtlinie, die in einem RADIUS/InternetAuthentifizierungs-Dienst-Server konfiguriert ist, in Verbindung gebracht werden kann. Zum Überprüfen der erforderlichen Genehmigungen für das Konto muss der antwortende Router zusätzlich das Anwenderkonto authentifizieren, um zu gewährleisten, dass der Initiator die Authentizität bestätigen kann. Diese Authentifizierung kann in einer Richtung, vom anrufenden zum antwortenden, oder in beiden Richtungen geschehen. Geschieht diese Authentifizierung nur in einer Richtung, so schützt sie nicht vor »maskierten« Routern. Windows 2000 enthält sowohl auf dem Endanwender-Level, als auch auf dem Computer-Level eine Unterstützung für PPP-Authentifizierungs-Protokolle. Zu den unterstützten Protokollen gehören auch die folgenden: 씰
Password Authentification Protocol (PAP)
씰
Shiva Password Authentification Protocol (SPAP)
씰
Challenge Handshake Authentification Protocol (HCAP)
6.2 Einstellen der verwendeten Routingprotokolle
씰
Microsoft Challenge Handshake Authentification Protocol Version 1 (MSCHAP v1)
씰
Microsoft Challenge Handshake Authentification Protocol Version 2 (MSCHAP v2)
씰
Extensible Authentification Protocol-Message Digest 5 CHAP (EAP-MD5)
Jedes dieser Protokolle liefert einen Satz Regeln, um sicherzustellen, dass der Endanwender auch tatsächlich der ist, der er vorgibt zu sein. Bei jedem der vorhergehend aufgeführten Protokolle wird ein Anwendername, ein Domänenname und ein Kennwort übertragen, sodass diese authentifiziert werden können. Wenn das Übertragen von Referenzinformationen zum Zwecke der Authentifizierung nicht erwünscht ist, kann die Authentifizierung auch durch Zertifikate vorgenommen werden, die den Endanwender oder den Computer, der die Verbindung initiiert, repräsentieren. Die auf Zertifikaten basierende Authentifizierung basiert auf den folgenden Mechanismen: 씰
Extensible Authentification Protocol-Transport Layer Security (EAP-TLS). Durch Verwendung dieses Protokolls authentifiziert sich der antwortende Router, indem er seine Zertifikate an den anrufenden Router schickt, der sie überprüft.
씰
Wird IPSec für ein L2TP über eine IPSec-Demand-Dial-Verbindung verwendet, wird keine Anwender-Authentifizierung vorgenommen. Die beiden Computer müssen sich vielmehr selbst gegenseitig authentifizieren. Diese Art der Computer-Level-Authentifizierung wird durch den Austausch von Zertifikaten (auch als Maschinen-Zertifikate bekannt) vorgenommen, während die IPSec-Sicherheits-Verbindung hergestellt wird.
Nachdem die Verbindung authentifiziert wurde, ist es vielleicht notwendig, die Verbindung weiterhin zu sichern. Um unberechtigten Zugriff auf die über die Verbindung übertragenen Informationen zu verhindern, kann eine der Verschlüsselungstechnologien verwendet werden, die für Demand-Dial-Routing zur Verfügung stehen. Zwei dieser Verschlüsselungsarten sind: 씰
Microsoft Point-to-Point Encryption Protocol (MPPE)
씰
Internet Protocol Security (IPSec)
435
436
Kapitel 6
IP-Routing
Jedes dieser Verschlüsselungsschemen kann verwendet werden, um sicherzustellen, dass nicht autorisierter Zugriff auf Informationen während der Übertragung über die Verbindung nicht möglich ist. Rückruf ist ein Feature, das dem Netzwerk-Manager zur Verfügung steht, um die Verbindung zwischen dem anrufenden und dem antwortenden Router weiter zu sichern. Bei Rückruf stellt der anrufende Router die ursprüngliche Verbindung zum antwortenden Server her. Der antwortende Server ist dann so konfiguriert, dass er den anrufenden Router unter einer festgelegten Nummer zurückruft. Ein weiteres Sicherheits-Feature, das der Netzwerk-Manager verwenden kann, ist die Anrufer-ID. Durch dieses Feature kann der antwortende Router sicherstellen, dass der hereinkommende Anruf von einer bestimmten Telefonnummer kommt. Dieses Feature erfordert eine beträchtliche Konfigurierung, bei der auch andere Sicherheits-Features beachtet werden. Bei Anrufer-ID müssen die Telefonleitung des Anrufers, das Telefonsystem, die Telefonleitung des RAS-Servers und der Windows-2000-Treiber für das DFÜ-Gerät so konfiguriert sein, dass sie Anrufer-ID unterstützen. Ein letztes Sicherheitsfeature, das in einer Demand-Dial-Routingumgebung verfügbar ist, ist das RAS Account Lockout. Das heißt, der Netzwerkadministrator legt als Teil der Konfiguration fest, wie oft eine RAS-Authentifizierung gegen ein gültiges Anwenderkonto fehlschlägt, bevor dem Anwender der RAS verwehrt wird. Diese Art von Feature ist hilfreich gegen böswillige Attacken mit einer »WörterbuchAttacke«. Eine Wörterbuch-Attacke ist eine grobe Attacke, bei der der Angreifer immer wieder verschiedene Kombinationen aus Anwendernamen und Kennwort für die Verbindung ausprobiert, bis die richtige Anwendername/Kennwort-Kombination gefunden wird.
6.3
Verwalten und Überwachen von IPRouting
Verwalten und Überwachen von IP-Routing Bisher behandelte dieses Kapitel die Theorie, die den Routingprotokollen zugrunde liegt, und ging auf die verschiedenen Routingprotokolle ein. Dieser Abschnitt konzentriert sich nun auf andere Tools, die in einer Netzwerkumgebung verwendet werden können, um Routing zu konfigurieren und Routing-Probleme auf Fehler zu untersuchen. Der Abschnitt endet mit einer Erläuterung einiger der Fehlerbeseitigungs-Optionen für jedes der Routingprotokolle.
6.3 Verwalten und Überwachen von IP-Routing
6.3.1
Verwenden des ROUTE-Befehls für das Konfigurieren statischer Routen
Der ROUTE-Befehl wird hauptsächlich verwendet, um statische Routen in einem Netzwerk zu konfigurieren. Er kann auch zur Fehlerbeseitigung verwendet werden, indem er alle Routen auflistet, die dem Computer bekannt sind. Die Syntax des ROUTE-Befehls lautet: Route (-f) (-p) (Befehl (Ziel) (Subnetz-Maske) (Gateway) (Metric Kostenmetric))
Der -f-Parameter wird verwendet, um alle Einträge aus der Routing-Tabelle zu entfernen. Der -p-Parameter wird verwendet, um die Route dauerhaft zu gestalten. Wird eine Route zum Router hinzugefügt, wird der Eintrag standardmäßig nicht über erneutes Starten des Systems gehalten. Der -p-Parameter stellt sicher, dass der Eintrag in der Routing-Tabelle über ein erneutes Starten des Systems erhalten bleibt. Folgende Befehle werden verwendet, um festzulegen, was mit dem ROUTE-Befehl gemacht werden kann: 씰
Drucken. Druckt die vorhandenen Einträge in der Routing-Tabelle.
씰
Hinzufügen. Fügt eine neue Route in die Routing-Tabelle ein.
씰
Löschen. Löscht eine vorhandene Route aus der Routing-Tabelle.
씰
Verändern. Ändert eine vorhandene Route in der Routing-Tabelle.
Der Ziel-Parameter legt das Ziel fest, das Sie erreichen möchten. Es kann folgende Informationen enthalten: 씰
Host-Adresse
씰
Subnetz-Adresse
씰
Netzwerk-Adresse
씰
Standard-Gateway
Der Maskenparameter legt fest, welcher Teil der Zieladresse übereinstimmen muss, damit diese Route verwendet wird. Ist die Maske binär geschrieben, so ist eine 1 von Bedeutung (muss also übereinstimmen); eine 0 muss nicht übereinstimmen.
437
438
Kapitel 6
IP-Routing
Eine 255.255.255.255-Maske wird z.B. für einen Hosteintrag verwendet. Die Maske aller 255er (aller 1en) bedeutet, dass die Zieladresse, an die das Paket geroutet wird, exakt mit der Netzwerkadresse übereinstimmen muss, damit diese Route verwendet wird. Ein weiteres Beispiel: Die Netzwerkadresse 157.57.8.0 hat die Netzmaske 255.255.248.0. Diese Netzmaske bedeutet, dass die ersten zwei Oktetts exakt übereinstimmen und die ersten 5 Bit des dritten Oktetts übereinstimmen müssen (248 = 11111000), und dass das letzte Oktett nicht von Bedeutung ist. Daher wird also jede Adresse mit 157.57 und mit einem letzten Oktett von 8 bis 15 (15 = 00001111) diese Route verwenden. Der Gateway-Parameter legt fest, wohin das Paket gesendet werden muss. Dabei kann es sich um die lokale Netzwerkkarte oder um einen Router im lokalen Subnetz handeln. Der metrische Parameter legt die Kosten fest, die mit einer Route verbunden werden sollen. Diese Kosten entscheiden unter anderem darüber, wie Pakete versendet werden sollen. Pakete werden über die Route mit den geringsten Kosten geroutet. Die Schritt-für-Schritt-Anleitung 6.11 zeigt, wie eine statische Route für das Netzwerk 199.199.42.0 konfiguriert wird.
SCHRITT FÜR SCHRITT 6.11 Hinzufügen einer statischen Route bei Windows 2000 1. Öffnen Sie die EINGABEAUFFORDERUNG, indem Sie auf START, PROGRAMME, ZUBEHÖR gehen, und die EINGABEAUFFORDERUNG auswählen. Das Fenster EINGABEAUFFORDERUNG öffnet sich. 2. Im Fenster EINGABEAUFFORDERUNG geben Sie folgende Befehle ein und drücken dann auf (¢). Ein erfolgreicher Eintrag führt Sie ohne Nachricht zur Befehls-Eingabeaufforderung zurück. Ist das Hinzufügen des Eintrages nicht erfolgreich, erhalten Sie eine Fehlermeldung. Route Add 10.100.10.0 mask 255.255.255.0 10.100.5.1 Metric 2
3. Um die neu hinzugefügte Route anzuzeigen, geben Sie ROUTE DRUCKEN ein und drücken Sie auf (¢). Es werden folgende Informationen angezeigt (die Anzeige sieht je nach der Konfiguration Ihres Computers verschieden aus):
6.3 Verwalten und Überwachen von IP-Routing
6.3.2
Verwenden des Netzwerkmonitors
Der Netzwerkmonitor ist ein Tool für die Erfassung von Netzwerkverkehr. Sie kann zur Problemdiagnose verwendet werden, wenn zwei Computer nicht miteinander kommunizieren oder wenn ein Computer Probleme mit der Funktion in einer Netzwerkumgebung hat. Ein Computer könnte z.B. Probleme haben, Namen aufzulösen oder einen Pfad zu einem anderen Computer zu finden (Routing-Probleme). Der Netzwerkmonitor kann so konfiguriert werden, dass Netzwerkverkehr in verschiedenen Arten erfasst wird. Er kann so konfiguriert werden, dass der gesamte empfangene Netzwerkverkehr erfasst wird, dass auf Vorfälle im Netzwerk geantwortet wird, oder dass nur eine Teilmenge des Verkehrs überwacht wird (z.B. ein bestimmtes Protokoll, wie etwa nur HTTP-Verkehr). Nachdem die Netzwerkdaten erfasst wurden, analysiert der Netzwerkmonitor die Daten und überträgt sie in seine logische Rahmenstruktur, um so die Information des Protokolls für die Person, die die Daten erfasst, lesbar zu machen. Jeder Rahmen enthält folgende Informationen: 씰
Die Quelladresse des Computers, der den Rahmen sendet
씰
Die Zieladresse des Computers, der den Rahmen empfängt
씰
Header für jedes Protokoll, das verwendet wird, um den Rahmen zu senden
씰
Die Daten oder einen Teil der Information, die gesendet wird
Nachdem die Daten übersetzt wurden, wird die Information im grafischen Display des Netzwerkmonitors angezeigt. Kapitel 4, »Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung« erklärt, wie Sie den Netzwerkmonitor verwenden müssen, um den Netzwerkverkehr überwachen zu können.
PRÜFUNGSTIPP Netzwerkanalyse ist für die Prüfung nicht relevant. Die Analyse des Verkehrs, den Sie im Netzwerkmonitor dargestellt sehen, geht nicht nur weit über den Umfang dieses Buches hinaus, sondern kann auch nicht getestet werden. Netzwerkanalyse ist eine Wissenschaft, zu deren Beherrschung viel Übung und Erfahrung erforderlich ist. Für die Prüfung sollten Sie nur wissen, dass der Netzwerk-Monitor die Erfassung und Analyse von Paketen ermöglicht.
439
440
Kapitel 6
6.3.3
IP-Routing
Verwalten und Überwachen von IPRoutingprotokollen
Als Netzwerkadministrator werden Sie die Aufgabe haben, Routing- und RASDienste zu konfigurieren und zu installieren. Nach dem Konfigurieren und Installieren dieser Dienste werden Sie für die Verwaltung weiterer Änderungen an der vorhandenen Konfiguration verantwortlich sein, die installierte Konfiguration auf Probleme überwachen und auftauchende Probleme beheben müssen. Dieses Kapitel bietet einen Überblick über einige der Schritte, die für diese Aufgaben notwendig sind. Vorgänge der Routing- und RAS-Dienste Nach dem Installieren von RRAS können Sie verschiedene Aufgaben zur Verwaltung der laufenden Vorgänge durchführen. Zu den Punkten, die Sie verwalten und überwachen werden müssen, gehören auch folgende: 씰
Verwalten des Remote-Routers
씰
Überprüfen des Status einer vorhandenen Schnittstelle
씰
Vorhandene Routing-Tabellen kontrollieren und überprüfen, ob Routen aus anderen Routingprotokollen empfangen werden
씰
Den Status von RRAS-Diensten feststellen und nötigenfalls die Dienste zurücksetzen
In vielen modernen Unternehmen sind die Anwender über verschiedene Standorte verstreut. Die Abteilung Informationsdienste ist im Allgemeinen zentral gelegen, um die Kosten auf einem Minimum zu halten. Für das Verwalten entfernter Installationen ist dies allerdings ein Problem. Mit RRAS ist es möglich, RRAS-Router von einem zentralen Punkt aus aus der Ferne zu verwalten. Nachdem Sie den lokalen und die Remote-Server verwalten können, werden Sie dieses Tool verwenden wollen, um festzustellen, ob vorhandene Schnittstellen aktiv sind. Neben dem Überwachen von Ereignisprotokollen auf Meldungen, die ein Problem anzeigen, können Sie auch verschiedene Schnittstellen auf ihren Betriebsstatus hin überprüfen. Sie haben vielleicht festgestellt, dass die Schnittstellen eines bestimmten Servers betriebsbereit sind. Dennoch ist es möglich, dass die vorhandenen Schnittstellen keine Routen für das Aktualisieren Ihrer Routing-Tabellen erhalten. Als Netzwerkadministrator werden Sie überprüfen wollen, ob der Router tatsächlich Aktualisierungen erhält. Dies können Sie mit dem Verwaltungs-Tool tun, das ebenfalls im
6.3 Verwalten und Überwachen von IP-Routing
Windows-2000-Advanced-Server enthalten ist. Um im Routing und RAS-Tool die Routing-Tabelle eines bestimmten Protokolls zu sehen, wählen und erweitern Sie SERVER UND IP-ROUTING, und wählen Sie anschließend STATISCHE ROUTEN. Klicken Sie mit der rechten Maustaste auf ROUTER und wählen Sie die Option IP-ROUTINGTABELLE ANZEIGEN. Somit können Sie nachprüfen, ob der Router von anderen Routern im Netzwerk Aktualisierungen für seine Routing-Tabelle erhält. Schließlich werden Sie auch den Gesamtstatus der Dienste überprüfen wollen, um festzustellen, ob sie auch in Betrieb sind. Sind sie nicht in Betrieb, so müssen Sie sie starten. Gehen Sie hierfür auf COMPUTERVERWALTUNG, DIENSTE und ANWENDUNGEN AUSWÄHLEN. Wählen Sie anschließend DIENSTE. Stellen Sie sicher, dass im Abschnitt EINZELHEITEN DES ROUTING UND RAS der Status »In Betrieb« in der Statusspalte angezeigt wird. Ist der Dienst nicht in Betrieb, klicken Sie mit der rechten Maustaste auf ROUTING UND RAS, und klicken Sie dann auf START. Startet der Router nicht, überprüfen Sie das Systemereignisprotokoll nach Fehlermeldungen. Fehlerbeseitigung in RIP-Umgebungen Nachdem RIP in Ihrer Umgebung konfiguriert ist, werden Sie von Zeit zu Zeit im Routing auftretende Probleme beheben müssen. Obwohl jedes Problem einzigartig ist, versucht die folgende Zusammenstellung von Punkten Ihnen bei der Behebung von Problemen in einer RIP-Umgebung zu helfen. Problem
Lösung
In einem gemischten RIPVersion-1- und -2-Netzwerk haben RoutingTabellen falsche Routinginformationen.
RIP-Version-2-Router sind auf Multicast-Ankündigungen konfiguriert. Solche Multicast-Ankündigungen können von RIP-Version-1-Routern nie empfangen werden. Wenn Sie eine gemischte Umgebung mit RIP Version 1 und RIP Version 2 haben, sollten Sie überprüfen, dass die Router mit RIP Version 2 auf die Verwendung von Broadcast, anstelle von Multicast konfiguriert sind.
Stille RIP-Hosts erhalten keine Routen.
RIP-Version-2-Router sind auf Multicast-Ankündigungen konfiguriert. Multicast-Ankündigungen können von stillen RIP-Hosts nie empfangen werden. Erhalten stille Hosts in einem Netzwerk vom lokalen RIPRouter keine Routen, so sollten Sie überprüfen, welche Version des RIP vom stillen RIP-Host unterstützt wird. Handelt es sich um den Listening-Service im Windwos NT 4 Service-Pack 4 oder in Windows 2000, so müssen Sie die RIP-Router für RIP-Version-1- oder für RIP-Version-2Broadcasting konfigurieren.
Tabelle 6.1: RIP – Probleme und Lösungen
441
442
Kapitel 6
IP-Routing
Problem
Lösung
RIP-Router werden nicht richtig mit gültigen Routen aktualisiert.
Sie verwenden Subnettings mit variabler Länge, unterbrochene Subnetze oder Supernetting in einer RIP-Version-1oder in einer gemischten RIP-Version-1 und Version-2Umgebung. Subnetting mit variabler Länge, unterbrochene Subnetze oder Supernetting werden in einer RIP-Version-1-Umgebung oder in einer gemischten RIP-Version-1- und -2Umgebung nicht unterstützt. Aus diesem Grund sollten Sie sie dort nicht verwenden. Sie verwenden automatisches RIP und haben zu Beginn keine manuelle Aktualisierung vorgenommen. Wenn Sie automatisches RIP in einer Demand-Dial-Schnittstelle verwenden, müssen Sie beim ersten Herstellen einer Verbindung die Routen manuell aktualisieren. Die Routen auf dem Router für die entsprechende Schnittstelle müssen ebenfalls manuell aktualisiert werden. Die Routen erscheinen dann in der Routing-Tabelle.
Host-Routen oder Standard-Routen werden nicht übertragen.
RIP ist normalerweise nicht konfiguriert, um Host-Routen oder Standard-Routen zu übertragen. Sollen diese übertragen werden, so müssen Sie die Standard-Einstellungen auf der Advanced-Registerkarte in Eigenschaften einer RIPSchnittstelle ändern.
Tabelle 6.1: RIP – Probleme und Lösungen
Dies sind nur einige der Probleme, die in einer RIP-Umgebung auftreten können. Weitere Informationen über Fehlerbeseitigung finden Sie im Microsoft Technet oder in der Windows-2000-Advanced-Server-Dokumentation. Fehlerbeseitigung in OSPF-Umgebungen Das OSPF-Protokoll ist schwieriger zu verstehen als RIP. Da dieses Protokoll sehr kompliziert ist, ist die Wahrscheinlichkeit, dass ein Fehler auftritt, größer. Im Vergleich zu anderen Protokollen hat OSPF eine stärkere Hierarchien-Struktur. Bei der Behebung von auftretenden Problemen kann dies sehr hilfreich sein, da es einfacher ist, Probleme in einem bestimmten Bereich oder in der Verbindung zwischen Bereichen zu isolieren. Tabelle 6.2 zeigt einige Beispiele für mögliche Probleme und ihre Behebung.
6.3 Verwalten und Überwachen von IP-Routing
Problem
Lösung
Zwischen zwei Nachbarroutern baut sich keine OSPF-Adjacency auf.
Auf der Schnittstelle ist OSPF nicht zugelassen. Stellen Sie sicher, dass OSPF auf der Schnittstelle in dem Netzwerksegment, in dem sich die Adjacency bilden soll, zugelassen ist. Wenn Sie eine neue Schnittstelle in das OSPF-Routingprotokoll einfügen, ist OSPF für diese Schnittstelle normalerweise nicht eingestellt und muss manuell zugelassen werden. Pingen Sie den benachbarten Router, um sicherzustellen, dass die IP-Dienste und die Netzwerkverbindung funktionieren. Mit dem Befehl TRACERT kann die Route zum benachbarten Router finden. Zwischen den benachbarten Routern sollten sich keine weiteren Router befinden.
Zwischen zwei Bereichen bildet sich keine virtuelle Verbindung.
Nicht passende Konfiguration von Kennwort, Hallo-Intervall oder Totzeit. Sie müssen sicherstellen, dass die benachbarten Router, die über eine virtuelle Verbindung verbunden werden sollen, auf das gleiche Kennwort, das gleiche Hallo-Intervall und die Totzeit konfiguriert sind. Nachbarn mit einer virtuellen Verbindung sind für die falsche Transitbereich-ID konfiguriert. Stellen Sie sicher, dass beide Nachbarn mit virtueller Verbindung für die gleiche, richtige Transitbereich-ID konfiguriert sind.
Routing-Tabellen werden nicht mit OSPF-Routen oder mit falschen OSPF-Routen aktualisiert.
Zusammengefasste Routen werden nicht erhalten. Wenn Sie für einen Bereich keine zusammengefassten Routen erhalten, müssen Sie sicherstellen, dass die Bereichs-Borderrouter des Bereichs mit den richtigen Paaren (Ziel, Netzwerkmaske), die diesen Bereich zusammenfassen, konfiguriert sind. Alle Bereichs-Borderrouter sind nicht an das Backbone angeschlossen. Stellen Sie sicher, dass alle Bereichs-Borderrouter physisch oder logisch mit dem Backbone verbunden sind. Verwenden Sie hierfür Gateway-Router verwenden. GatewayRouter sind Router, die zwei Bereiche verbinden, ohne durch ein Backbone zu laufen.
Tabelle 6.2: OSPF – Probleme und Lösungen
Dies sind nur einige der Probleme, die in einer OSPF-Umgebung auftreten können. Weitere Informationen über Fehlerbeseitigung finden Sie im Microsoft Technet oder in der Windows-2000-Advanced-Server-Dokumentation.
443
444
Kapitel 6
IP-Routing
Fallstudie: Ein kleines Büro mit einer Festverbindung zum Internet Das wichtigste im Überblick Die folgenden Punkte fassen die wesentlichen Züge des Falles zusammen: 1. Es muss eine Festverbindung zum Internet geben. 2. Das Netzwerk könnte später erweitert werden, was mit einer minimalen Konfiguration geschehen muss. 3. Nur ein Segment ist im Netzwerk. 4. Die Verbindung muss immer online sein. Situationsbeschreibung Sie sind Netzwerkadministrator eines kleinen Büros. Der Besitzer der Firma hat Sie gebeten, eine Verbindung zum Internet zu konfigurieren. Sie möchten eine Festverbindung konfigurieren, mit der Sie allen Arbeitsstationen eine TCP/IPAdresse zuweisen können. Mit dieser TCP/IP-Adresse können die Verbindungen dann im Internet identifiziert werden. Im Netzwerk der Firma haben Sie zurzeit nur ein Segment mit ca. 50 Arbeitsstationen. Ihre Verbindung muss jederzeit online sein und Sie wollen die Verwaltungsarbeiten, für die Sie zuständig sind, verringern. Sie gehen davon aus, dass Ihr Netzwerk innerhalb des nächsten Jahres wachsen wird. Die hierfür erforderliche Konfiguration möchten Sie auf ein Minimum beschränken. Situationsanalyse Wenn Sie ein Netzwerk für ein kleines Büro konfigurieren, können Sie es auf verschiedene Arten an das Internet anschließen. Ein Netzwerk eines kleinen Büros kann z.B. über eine Demand-Dial-Verbindung oder über einen Router mit Netzwerk-Adress-Übersetzung an das Internet angeschlossen werden. Bei den Erfordernissen in dieser Situationsbeschreibung ist es jedoch am besten, eine Festverbindung zu implementieren. Da der Netzwerk-Manager die erforderliche Konfiguration auf ein Minimum beschränken möchte, sollte eine Konfiguration eingerichtet werden, die entweder auf statischen Routen oder auf RIP basiert. Eine Lösung mit OSPF wäre bei dieser Situationsbeschreibung viel zu komplex. Um zu entscheiden, ob statische Routen oder RIP verwendet werden sollen, müssen Sie sich die Anforderungen genau ansehen.
Zusammenfassung
Da das Netzwerk später erweitert werden könnte und dies mit einer minimalen Konfiguration geschehen soll, ist es am besten, ein dynamisches Routingprotokoll einzusetzen, das sich an Veränderungen in der Netzwerk-Topologie anpassen kann. Dies würde RIP über statisches Routing erfordern.
Zusammenfassung Schlüsselbegriffe 쎲
Adjacency
쎲
Internes Gateway-Protokoll (IGP)
쎲
Autonomes System
쎲
Open Shortest Path First (OSPF)
쎲
Bereich
쎲
Routing Information Protocol (RIP)
쎲
Distanz-Vektor
쎲
Split Horizon
쎲
Externes Gateway-Protokoll (EGP)
쎲
Verbindungsstatus
Dieses Kapitel behandelte das Thema Routing. Dabei ging es um die Grundlagen des Routings und Themen wie das Distanz-Vektor-Routing und das Link-StateRouting. Es wurde auch erläutert, wie ein Host entscheidet, ob ein Paket direkt oder über einen Router an den Ziel-Host geschickt wird. Das Kapitel behandelte auch einige der Probleme jeder Routing-Art sowie die Lösungen zu diesen Problemen, wie z.B. Horizont teilen, Horizont teilen mit Poison Reverse und ausgelöste Aktualisierungen. Das zweite große Thema war RIP. Beide RIP-Versionen – Version 1 und Version 2 – wurden erläutert. Ebenso wurde auf die spezifischen Features des stillen RIPs eingegangen. Features des RIP-Protokolls wurden auf die Grundlagen des Routings, wie z.B. Distanz-Vektor und Horizont teilen, im ersten Teil des Kapitels bezogen. Es wurde erklärt, wie RIP in einer Netzwerkumgebung funktioniert, und eine Schritt-für-Schritt-Anleitung zeigte die Implementierung von RIP mit RRAS-Features auf einem Windows-2000-Advanced-Server. Als zweites Routingprotokoll wurde das OSPF-Protokoll erklärt. Die verschiedenen Features von OSPF und ihr Unterschied zu RIP wurden dargestellt. Anschließend wurde auf die Komponenten und auf die Vorgänge eingegangen, die das OSPF-
445
446
Kapitel 6
IP-Routing
Routingprotokoll bilden. Ebenso wurde erklärt, wie OSPF in einer Netzwerkumgebung funktioniert. Eine Schritt-für-Schritt-Anleitung zeigte das Implementieren von OSPF mit RRAS-Features auf einem Windows-2000-Advanced-Server. Mit Demand-Dial-Routing können Remote-Speicherstellen mit Firmen-Netzwerken verbunden oder Redundanz in den Aufbau fehlertoleranter Netzwerke eingebunden werden. Das Kapitel begann mit der Erklärung der Funktionsweise von DemandDial-Routing und gab anschließend einen Überblick über einige der Probleme, die bei der Implementierung einer Demand-Dial-Lösung berücksichtigt werden müssen. Das Thema Sicherheit muss von jedem Netzwerkadministrator bei jeder Lösung beachtet werden. Deshalb wurden auch die für Demand-Dial-Routing zur Verfügung stehenden Sicherheits-Features erläutert. Zuletzt wurde ein Überblick über die Tools für das Arbeiten mit Routing und für die Diagnose von Problemen beim Routing gegeben. Der ROUTE-Befehl wurde erklärt, und es wurde kurz auf den Netzwerk-Monitor eingegangen. Neben dem Überblick der verwendeten Tools wurden auch Probleme dargestellt, die bei den verschiedenen Protokollen auftreten können. Auch Lösungsvorschläge zu den Problemen wurden genannt. Selbst wenn sie nicht direkt verständlich sind, ermöglichen sie einen Einblick in die verschiedenen Dinge, die überprüft werden sollten, wenn Probleme auftreten.
Lernzielkontrolle Übungen 6.1
Fügen Sie eine statische Route in die vorhandene Routing-Tabelle ein
Diese Übung untersucht die Verwendung des ROUTE-Befehls für das Hinzufügen einer statischen Route in eine vorhandene Routing-Tabelle auf einem RRAS. Mit dieser Methode können Sie statische Routen in eine Routing-Konfiguration einfügen. Geschätzte Zeit: 10 Minuten 1. Gehen Sie auf START. 2. Wählen Sie START, PROGRAMME, ZUBEHÖR. 3. Wählen Sie die BEFEHLS-EINGABEAUFFORDERUNG. 4. Im Fenster BEFEHLS-EINGABEAUFFORDERUNG geben Sie route 157.0.0.0 MASK 255.0.0.157.55.80.1 METRIC 3 IF 2 ein.
ADD
Lernzielkontrolle
5. Geben Sie im Fenster BEFEHLS-EINGABEAUFFORDERUNG Route Print ein. 6. Geben Sie Exit ein, um das Fenster BEFEHLS-EINGABEAUFFORDERUNG zu verlasseninzufügen einer Demand-Dial-Schnittstelle in einem RRAS-Server 6.2
Hinzufügen einer Demand-Dial-Schnittstelle in einem RRASServer
Diese Übung untersucht die Verwendung des Routing- und RAS-Dienst-Tools für das Hinzufügen einer Demand-Dial-Schnittstelle zu einem vorhandenen Router. Das Routing und RAS-Dienst-Tool ist ein wichtiges Tool für das Konfigurieren von Routing in einer Windows-2000-Umgebung. Geschätzte Zeit: 15 Minuten 1. Starten Sie ROUTING UND RAS. Gehen Sie hierfür auf START, PROGRAMME, VERWALTUNG und klicken Sie anschließend auf ROUTING UND RAS. 2. Klicken Sie in der Konsolenstruktur auf ROUTING-SCHNITTSTELLE. Verwenden Sie hierfür die Plus-(+)Taste. Die ROUTING UND RAS-Option wird erweitert. Wählen Sie dann den Server, mit dem Sie arbeiten möchten. 3. Klicken Sie mit der rechten Maustaste auf ROUTING-SCHNITTSTELLEN und wählen Sie NEUE DEMAND-DIAL-SCHNITTSTELLE. 4. Folgen Sie den Anweisungen des Assistenten für Demand-Dial-Schnittstellen und geben Sie folgende Informationen ein: 씰
Schnittstellen-Name. Der Name der Schnittstelle.
씰
Verbindungsart. Entweder Modem, ISDN-Adapter oder ein anderes physisches Gerät.
씰
Gerät auswählen. Das Gerät, das für die Herstellung der Verbindung verwendet werden soll.
씰
Telefonnummer oder Adresse. Telefonnummer oder Adresse des antwortenden Routers.
씰
Protokolle und Sicherheit. Die Protokolle, die geroutet werden sollen, und ein Anwender-Account, das der Remote-Router verwenden kann, um sich einzuwählen.
씰
Dial-In-Referenzen. Die Domäne und das Kennwort für das Konto, das für die Authentifizierung des antwortenden Routers verwendet wird.
씰
Auswähl-Referenzen. Die Referenzen die zur Authentifizierung des anrufenden Routers verwendet werden, wenn er eine Verbindung mit dem antwortenden Router aufbaut.
447
448
Kapitel 6
6.3
IP-Routing
Konfigurieren Sie einen Border-Router für ein autonomes System
Diese Übung untersucht die Verwendung des Routing- und RAS-Dienst-Tools für die Konfigurierung eines Border-Routers eines autonomen Systems in einem OSPFNetzwerk. Geschätzte Zeit: 15 Minuten 1. Starten Sie ROUTING UND RAS. Klicken Sie hierfür auf START, PROGRAMME, VERWALTUNG und auf ROUTING UND RAS. 2. Klicken Sie in der Konsolenstruktur auf OSPF. Verwenden Sie hierfür die Plus(+)-Taste. Die ROUTING UND RAS-Option wird erweitert. Wählen Sie dann SERVER und markieren Sie die IP-ROUTING-Option. 3. Klicken Sie mit der rechten Maustaste auf OSPF und anschließend auf EIGENSCHAFTEN. 4. Klicken Sie in der Registerkarte ALLGEMEIN auf BOUNDARY-ROUTER. Das autonome System wird zugelassen. 5. Klicken Sie in der Registerkarte EXTERNES ROUTING entweder auf ROUTEN AUS ALLEN ROUTING-QUELLEN AUSSER DEN AUSGEWÄHLTEN ZULASSEN, oder auf ROUTEN AUS ALLEN ROUTEN-QUELLEN AUSSER DEN AUSGEWÄHLTEN IGNORIEREN. 6. Wählen oder entfernen sie die erforderlichen Optionen neben den RoutenQuellen. 6.4
Konfigurieren Sie eine Schnittstelle einer virtuellen Verbindung
Diese Übung untersucht die Verwendung des Routing- und RAS-Dienst-Tools für die Konfiguration einer virtuellen Schnittstelle für die eine Seite einer virtuellen OSPF-Verbindung. Geschätzte Zeit: 15 Minuten 1. Starten Sie ROUTING UND RAS, indem Sie auf START, PROGRAMME, VERWALTUNG und dann auf ROUTING UND RAS klicken. 2. Klicken Sie in der Konsolenstruktur auf OSPF. Verwenden Sie hierfür die Plus(+)-Taste. Die ROUTING UND RAS-Option wird erweitert. Wählen Sie den Server, und markieren Sie die IP-ROUTING-Option. 3. Klicken Sie mit der rechten Maustaste auf OSPF und dann auf EIGENSCHAFTEN. 4. Klicken Sie in der Registerkarte VIRTUELLE SCHNITTSTELLE auf HINZUFÜGEN.
Lernzielkontrolle
5. Klicken Sie in der Transitbereicherkennung auf den Transitbereich, über den Sie die virtuelle Verbindung herstellen. 6. Geben Sie unter VIRTUELLE NACHBARROUTERERKENNUNG die OSPF-Routerkennung des Routers am anderen Ende der virtuellen Verbindung ein. 7. Klicken Sie in TRANSITVERZÖGERUNG (SEKUNDEN) auf die Pfeile, um die Transitverzögerung in Sekunden einzustellen. 8. Klicken Sie in INTERVALL FÜR NEUÜBERTRAGUNG (SEKUNDEN) auf die Pfeile, um das Intervall für Neuübertragung in Sekunden einzustellen. 9. Klicken Sie in GRUSSPAKETINTERVALL (SEKUNDEN) auf die Pfeile, um das Grußpaketintervall in Sekunden einzustellen. 10. Klicken Sie in INAKTIVITÄTSINTERVALL (SEKUNDEN) auf die Pfeile, um das Inaktivitätsintervall in Sekunden einzustellen. 11. Ist der Backbone-Bereich für ein Kennwort konfiguriert, geben Sie unter KLARTEXT-KENNWORT ein Kennwort ein. 6.5
Fügen Sie ein IP-Routingprotokoll einem RRAS-Server hinzu
Diese Übung untersucht die Verwendung des Routing- und RAS-Dienst-Tools für die Konfiguration einer virtuellen Schnittstelle für eine Seite einer virtuellen OSPFVerbindung. Geschätzte Zeit: 15 Minuten 1. Starten Sie ROUTING UND RAS, indem Sie auf START, PROGRAMME, VERWALTUNG und dann auf ROUTING UND RAS klicken. 2. Klicken Sie in der Konsolenstruktur auf ALLGEMEIN. Verwenden Sie hierfür die Plus(+)-Taste. Die ROUTING UND RAS-Option wird erweitert. Wählen Sie den Server, und markieren Sie die IP ROUTING-Option. 3. Klicken Sie mit der rechten Maustaste auf ALLGEMEIN und anschließend auf NEUES ROUTINGPROTOKOLL. 4. Klicken Sie in ROUTINGPROTOKOLLE auf IP-PROTOKOLL und anschließend auf HINZUFÜGEN. Wiederholungsfragen 1. Was ist eine topologische Datenbank? 2. Geben Sie einen Grund an, warum Link-State-Protokolle effizienter sind als Distanz-Vektor-Algorithmen. 3. Was ist Horizont teilen?
449
450
Kapitel 6
IP-Routing
4. Was müssen Sie tun, wenn Sie automatische Aktualisierung verwenden und sich das erste Mal mit einem Remote-Router verbinden? 5. Welcher Parameter im ROUTE-Befehl löscht alle vorhandenen Einträge in der Routing-Tabelle? 6. Welche ID ist für das OSPF-Backbone reserviert? 7. Was ist eines der Hauptprobleme bei Distanz-Vektor-Routing? 8. Was ist ein autonomes System? Prüfungsfragen 1. Sie sind Netzwerkadministrator eines mittelgroßen Netzwerkes. Das Netzwerk erstreckt sich über drei Stockwerke und ist über einen Windows-2000Server miteinander vernetzt. Sie möchten Routing mit statischen Routen konfigurieren. Die Segmente sind alle mit Klasse-C-Adressen konfiguriert. Welchen Route-Befehl brauchen Sie für das Konfigurieren des Netzwerksegments, das die Arbeitsstation mit der Adresse 192.156.15.2 enthält? A. Route -f add 199.199.42.0 Maske 255.255.255.0 199.199.40.1 Metric 2 B. Route add 199.199.42.0 Maske 255.255.0.0 199.100.40.1 Metric 2 C. Route -f add 199.199.42.0 Maske 255.255.0.0 199.199.40.1 Metric 2 D. Route add 199.199.42.0 Maske 255.255.255.0 199.100.40.1 Metric 2 2. Sie haben einen Windows-2000-Server als Router konfiguriert, um Ihren vorhandenen Novell-Server, der als Router diente, zu ersetzen. Sie haben drei Segmente konfiguriert, die mit diesem Server verbunden sind. Jedes Segment hat eine Klasse-C-Adresse, die mit ihm verbunden ist. Sie haben die notwendigen ROUTE-Befehle konfiguriert, um die Netzwerkeinträge in die statische Routing-Tabelle einzufügen. Sie haben die Subnetzmaske 255.255.255.0 eingestellt, und Sie haben kein Standard-Gateway für den Router konfiguriert. Was passiert, wenn ein Paket für eine Route ankommt, die nicht auf dem Router konfiguriert wurde? A. Das Paket wird durch das erste Segment geroutet, das auf dem Router konfiguriert wurde. B. Das Paket wird durch alle Segmente geroutet, die auf dem Server konfiguriert sind. C. Der Router verwendet ein ARP, um die Adresse aufzulösen, sodass er weiß, wohin das Paket geroutet werden soll. D. Das Paket wird vom Router verworfen
Lernzielkontrolle
3. Sie sind Netzwerkadministrator eines mittelgroßen Unternehmens. Sie erhalten Anrufe vom Helpdesk, die zeigen, dass Sie keinen Zugang zum Server erhalten. Sie überprüfen das Ganze und stellen fest, dass Sie den Server über den Router nicht anpingen können. Sie überprüfen den Router. Die Dienste erwecken den Anschein, als wären sie in Betrieb und würden einwandfrei funktionieren. Sie möchten die Routing-Tabellen überprüfen. Welche Hilfsprogramme stehen Ihnen zur Verfügung, um festzustellen, was die Routing-Tabellen enthalten? A. Das Routing- und RAS-Programm B. Der ROUTE-Befehl C. Der TRACERT-Befehl D. Der ARP-Befehl 4. Sie haben ein sehr großes und stark anwachsendes Campus-Netzwerk. Ihr Netzwerk wird erweitert und, um Information in der gesamten Infrastruktur zu routen, Ihr Netzwerk verwendet das RIP-Protokoll. Sie fügen dem Netzwerk einige Router hinzu, doch seitdem beschweren sich Anwender, dass sie einige Netzwerksegmente nicht erreichen können. Beim Hinzufügen der Router haben Sie einige vorläufige Tests vorgenommen, um festzustellen, ob das Routing funktioniert. Sie befassen sich näher mit dem Problem und stellen dabei fest, dass einige Router keine Information über andere Router des Netzwerks haben. Was könnte das Problem sein? A. Das RIP-Protokoll übermittelt keine Information. B. Das RIP-Protokoll kann nicht mehr als 15 Hops unterstützen. C. Das RIP-Protokoll hat ein Count-to-Infinity-Problem D. Die Router können entweder nicht erreicht werden oder funktionieren nicht richtig. 5. Sie haben ein sehr großes und stark anwachsendes Campus-Netzwerk. Sie wollen das Netzwerk umkonfigurieren und Sie entfernen einige Segmente aus der Gesamtnetzwerktopologie. In Ihrem Netzwerk kommt das RIP-Protokoll zum Einsatz, um Informationen in der gesamten Infrastruktur zu verteilen. Anwender beschweren sich, dass sie einige Segmente nicht erreichen können. Beim Hinzufügen der Router haben Sie einige vorläufige Tests vorgenommen, um festzustellen, ob das Routing funktioniert. Sie befassen sich näher mit dem Problem und stellen dabei fest, dass einige Router keine Information über andere Router des Netzwerks haben. Was könnte das Problem sein?
451
452
Kapitel 6
IP-Routing
A. Das RIP-Protokoll übermittelt keine Information. B. Das RIP-Protokoll kann nicht mehr als 15 Hops unterstützen. C. Das RIP-Protokoll hat ein Count-to-Infinity-Problem D. Die Router können entweder nicht erreicht werden oder funktionieren nicht richtig. 6. Sie haben ein lokales Netzwerk mit einigen Segmenten. Auf einem der Segmente, das Daten an einen Host im selben Segment verschicken muss, befindet sich ein Host. Wie geht dieser Host vor, um mit dem anderen Host in Verbindung zu treten? A. Der Host wird DNS nach der Adresse des anderen Hosts anfragen und wird mit dieser Adresse den Host erreichen. B. Der Host wird mit ARP festlegen, wie man den anderen Host im Netzwerk erreichen kann. C. Der Host wird die Information an den Router senden, der diese dann dem Host senden wird. D. Die Router werden die Information auf dem lokalen Segment zum Zielhost broadcasten. 7. Sie erhalten einen Anruf von einem Anwender, der versucht, Informationen vom Computer des Anwenders über eine spezielle Anwendung an andere Computer zu übertragen. Sie überprüfen das Problem und stellen fest, dass sich die beiden Hosts in verschiedenen Segmenten befinden. Sie überprüfen die Konfigurationen der beiden Computer, bei denen Sie keine Fehler entdecken können. Sie führen einige grundlegende Prüfungen durch, wie z.B., ob Sie die IP-Adresse pingen können, und stellen fest, dass dies möglich ist. Sie sind sich nicht sicher, wo das Problem liegt, und müssen weitere Überprüfungen vornehmen. Welches Tool können Sie hierfür verwenden? A. Netzwerkmonitor B. Systemmonitor C. Systemüberwachung D. SNMP 8. Sie haben ein Netzwerk mit 4 Lokationen: einen in Toronto, einen in New York, und zwei in Los Angeles. Die zentrale IS-Abteilung befindet sich in Toronto, und Ihr Netzwerk ist mit Hochgeschwindigkeits-T3-Segmenten von Toronto zu allen Lokationen konfiguriert. Die Lokation in Los Angeles ver-
Lernzielkontrolle
fügt auch über einen Router mit einer Verbindung nach Toronto und über eine ISDN-Verbindung zur zweiten Niederlassung in Los Angeles. Über Anwendungsserver kommunizieren die Anwender in Los Angeles regelmäßig mit der zweiten Lokation in Los Angeles. Die Firma verwendet das RIP-Protokoll. Welche Route wird genommen, basierend auf den soeben genannten Informationen, wenn Verkehr geroutet wird? A. Der Verkehr wird über Toronto zur zweiten Lokation in Los Angeles geroutet. B. Der Verkehr wird direkt zur zweiten Lokation in Los Angeles geroutet. C. Ein Verteilung des Verkehrs sowohl über Toronto als auch direkt zur zweiten Location in Los Angeles geroutet. D. Der Verkehr verwendet die billigste vorgeschlagene Route zur Lokation in Los Angeles. 9. Sie sind Administrator eines großen Firmennetzwerkes. Sie besitzen eine Reihe von Windows-2000-Servern, die als Router dienen. Sie haben begonnen, diese Windows-2000-Server durch Cisco-Router zu ersetzen. Alle Ihre Windows-2000-Server-Router verwenden RIP Version 1. Sie implementieren einen der Cisco-Router und stellen aber nach der Implementierung des Routers fest, dass sich falsche Routing-Information in der Routing-Tabelle befindet. Wo könnte das Problem liegen? A. Der RIP-Version-2-Router broadcastet nicht alle in seiner RoutingTabelle enthaltenen Routen. B. Der RIP-Version-2-Router verbreitet Informationen, die mit RIP Version 1 nicht kompatibel sind. C. Der RIP-Version-2-Router berechnet Kosteninformationen anders als RIP-Version-1-Router. D. RIP-Version-2-Router sind für Multicast-Ankündigungen konfiguriert, während RIP-Version-1-Router so konfiguriert sind, dass sie auf Broadcasts achten. 10. Sie haben eine Demand-Dial-Routing-Verbindung zwischen Ihrer Hauptniederlassung und einer Zweigstelle. Ihre Firma ist sehr auf Kosten bedacht. Deswegen haben Sie eine Verbindung bei Bedarf implementiert. Während des Betriebes bemerken Sie jedoch, dass die Verbindung regelmäßig aufgebaut wird – sogar in den Abendstunden. Sie wissen aber, dass zu dieser Stunde keine Kommunikation zwischen den beiden Stellen stattfindet. Wo könnte das Problem liegen?
453
454
Kapitel 6
IP-Routing
A. Dieser Verbindungsaufbau ist normal und zeigt, dass Ihre Demand-DialRoutinglösung normal funktioniert. B. Während dieser Verbindung werden legitimierte Daten übertragen. C. Auf dem anrufenden Router wurde eine Standard-Route konfiguriert. Immer, wenn ein Paket erhalten wird, wird es an den Demand-Dial-Zielrouter weitergeleitet. D. Auf dem antwortenden Router wurde eine Standard-Route konfiguriert. Immer, wenn ein Paket erhalten wird, wird es an den Demand-Dial-Zielrouter weitergeleitet. 11. Sie besitzen ein großes Firmen-Netzwerk, das OSPF als Routingprotokoll in seiner Umgebung verwendet. Ihre Firma hat soeben mit einer anderen Firma fusioniert, die ebenfalls OSPF für das Routen in ihrem Netzwerk verwendet. Man hat Sie beauftragt, die beiden Netzwerke miteinander zu verbinden, und Sie erstellen eine virtuelle Verbindung zwischen den beiden Netzwerken. Allerdings wird diese virtuelle Verbindung nicht gebildet. Wo könnte das Problem liegen? A. Der Router auf der anderen Seite wurde so eingestellt, dass Routen herausgefiltert werden. Es wird daher etwas dauern, bis die virtuelle Verbindung aufgebaut wird. B. Das Kennwort der beiden Router ist unterschiedlich. C. Die Router-Schnittstellen der beiden Router sind auf verschiedene Verbindungsgeschwindigkeiten eingestellt. D. Der Router ist mit einem Grußpaketintervall konfiguriert, das sich vom Grußpaketintervall des anderen Routers unterscheidet. 12. Sie besitzen ein großes Firmen-Netzwerk, das in seiner Umgebung OSPF als Routingprotokoll verwendet. Sie haben Ihr Netzwerk in verschiedene Bereiche unterteilt, wobei jeder Bereich über einen einzigen Router verfügt, der mit dem Backbone verbunden ist. Sie möchten die Leistung steigern und sicherstellen, dass so wenig Routing-Verkehr wie möglich im Netzwerk gebroadcastet wird. Welche Methode bietet sich hierfür am besten an? A. Sie konfigurieren jeden Bereich als Stub-Bereich und lassen von jedem Bereichsrouter eine Standard-Route festlegen. B. Sie konfigurieren jeden Router so, dass externe Routen nur beim Systemstart verteilt werden.
Lernzielkontrolle
C. Sie konfigurieren jeden Bereich als Transitbereich und lassen von jedem Bereichsrouter eine Standard-Route festlegen. D. Sie konfigurieren jeden Bereichsrouter so, dass Filter für externe Routen implementiert werden. 13. Sie haben eine Demand-Dial-Routingverbindung zwischen der Hauptniederlassung Ihrer Firma und Ihrer regionalen Niederlassung konfiguriert. Sie haben als Routingprotokoll RIP konfiguriert und es als dauerhafte Verbindung eingerichtet. Wenn Sie jedoch versuchen, eine Host-Arbeitsstation am anderen Ende der Verbindung zu kontaktieren, können Sie diesen Host nicht erreichen. Nach eingehender Überprüfung stellen Sie fest, dass alles funktioniert. Wo könnte das Problem liegen? A. Der Host am anderen Ende funktioniert nicht richtig. B. Die Verbindung ist zu langsam, und die Arbeitsstation, die verwendet wird, um die Zielstation zu erreichen, hat das Zeitlimit überschritten. C. Der Router wurde noch nicht manuell mit Routen aktualisiert. D. Der Router wurde nicht mit einem Standard-Protokoll eingerichtet. 14. Sie haben eine Demand-Dial-Routingverbindung zwischen der Hauptniederlassung Ihrer Firma und Ihrer regionalen Niederlassung konfiguriert. Es handelt sich um eine dauerhafte Verbindung, die RIP verwendet, um die Routen zu den Remote-Lokationen aufrechtzuhalten. Die regionale Niederlassung verfügt über einen Router, von dem der anrufende Router regelmäßig Aktualisierungen erhält. Für eine Routine-Wartung fahren Sie den Router im Remote-Lokation herunter und fahren ihn dann eine Weile später wieder hoch. Als Sie den Router hochfahren, erhalten Sie jedoch Anrufe vom Helpdesk, die anzeigen, dass Anwender auf der Seite des anrufenden Routers der Demand-Dial-Verbindung keine Hosts auf der Seite des antwortenden Routers mehr erreichen können. Wo könnte das Problem liegen? A. Der Router, der nach der Wartung wieder hochgefahren wurde, war nicht richtig konfiguriert. B. Der Router, der nach der Wartung wieder hochgefahren wurde, erhielt keine Routing-Aktualisierungen von der anrufenden Seite der Verbindung. C. Die Verbindung des anrufenden Routers zur regionalen Niederlassung wurde verworfen. D. Die Routing-Einträge des anrufenden Routers wurden verworfen.
455
456
Kapitel 6
IP-Routing
15. Sie haben eine Demand-Dial-Routingverbindung zwischen Ihrer Handelsgesellschaft und Ihrer regionalen Niederlassung konfiguriert. Sie haben diese Verbindung als Verbindung bei Bedarf konfiguriert, und verwenden das RIPProtokoll, um die Router zur Remote-Speicherstelle aufrechtzuerhalten. Sie beginnen, die Verbindung zu testen. Wenn Sie Informationen an den RemoteRouter senden, baut sich die Verbindung nicht auf. Wo könnte das Problem liegen? A. Das RIP-Protokoll kann nicht für Verbindungen bei Bedarf konfiguriert werden. B. Der antwortende Router wurde mit einem Anwendernamen konfiguriert, aber der anrufende Router spezifiziert das Kennwort nicht, während er die Verbindung initiiert. C. Der Router wurde nicht mit dem richtigen Protokoll konfiguriert, um Verkehr an die Remote-Speicherstelle schicken zu können. D. Das IP-Routingprotkoll wurde auf dem anrufenden Router nicht konfiguriert. Antworten zu den Wiederholungsfragen 1. Eine topologische Datenbank ist im Wesentlichen ein Gesamtbild von Netzwerken in Verbindung zu Routern. Die topologische Datenbank enthält die Sammlung der LSAs, die von Routern im gleichen Bereich erhalten werden. In einem sehr großen AS mit einer großen Anzahl an Netzwerken muss jeder OSPF-Router die LSA jedes anderen Routers in seiner topologischen Datenbank speichern. Jeder Router in einem großen autonomen OSPF-System besitzt eine topologische Datenbank. Die erste Berechnung des kürzesten Pfades einer großen topologischen Datenbank kann einen langen Bearbeitungsprozess erfordern und zu sehr langen Routing-Tabellen führen. Um dies zu verhindern, sind die autonomen Systeme in Bereiche unterteilt. Lesen Sie hierzu den Abschnitt »OSPF«. 2. Ein Link-State-Routingprotokoll ist für gewöhnlich effizienter als ein Distanz-Vektor-Protokoll. Da Link-State-Ankündigungen nur Information über die Nachbarn eines bestimmten Routers enthalten, führt dies zu kürzeren Routing-Tabellen. In großen Netzwerken enthalten Link-State-Ankündigungen ausschließlich Informationen über Nachbarn. Deswegen ist die Auswirkung auf das Netzwerk geringer als in einem Netzwerk, das mit dem DistanzVektor-Routingprotokoll arbeitet. Bei einem Distanz-Vektor-Routingprotokoll werden alle Routen aus einer Routing-Tabelle verschickt, wodurch mehr Bandbreite als bei den Link-State-Protokollen verbraucht wird. Da Link-State-Information auch nicht mehr ausgetauscht wird, wenn das Netzwerk konvergiert ist, wird dadurch das Netzwerk auch nicht so beeinträchtigt, wie es
Lernzielkontrolle
beim Distanz-Vektor-Routing der Fall ist. Beim Distanz-Vektor-Routing werden Informationen regelmäßig gebroadcastet, egal ob dies erforderlich ist oder nicht. Lesen Sie hierzu den Abschnitt »Routing-Technologie«. 3. Split Horizon ist ein Mechanismus, der verhindert, dass Routing-Information in die Richtung zurückgesendet wird, aus der sie kam. Im Prinzip sagt der Server: »Ich habe über Netzwerk xx von dir erfahren, also schicke ich dich nicht an Netzwerk xx zurück.« Split Horizon verhindert Count-to-Infinity und Routing-Schleifen während der Konvergenz in Single-Pfad-Netzwerken und verringert die Veränderungen des Count-to-Infinity in Internetzwerken mit mehreren Pfaden. Lesen Sie hierzu den Abschnitt »Routing-Technologie«. 4. Autostatische Aktualisierungen treten beim Initiieren einer Demand-DialVerbindung nicht automatisch auf. Die autostatische Aktualisierung muss vielmehr manuell initiiert werden, oder es muss ein Zeitplan für das Aktualisieren der Routen eingerichtet werden. Nachdem die Routen gesendet wurden, tauschen die beiden Router keine Aktualisierungen von RoutingInformationen mehr aus, es sei denn, es wird eine manuelle Anfrage nach Aktualisierung gestellt oder es tritt eine Anfrage laut Zeitplan auf. Dies hängt davon ab, wie die autostatischen Aktualisierungen in Ihrer Umgebung konfiguriert sind. Wenn zum ersten Mal eine Verbindung hergestellt wird, muss deshalb eine autostatische Aktualisierung manuell initiiert werden, um den Router mit den richtigen Routen zum Zielnetzwerk zu konfigurieren. Lesen Sie hierzu den Abschnitt »Demand-Dial-Routing«. 5. Der -f-Parameter wird verwendet, um alle Einträge aus der Routing-Tabelle zu entfernen. Lesen Sie hierzu den Abschnitt »Verwenden des ROUTE-Befehls zum Konfigurieren von statischen Routen«. 6. Die für ein OSPF-Backbone reservierte Bereichs-ID lautet 0.0.0.0. Ein OSPF-Backbone ist für die Verteilung von Routing-Informationen zwischen Bereichen verantwortlich. In jedem OSPF-Verbindungsnetzwerk gibt es mindestens ein Backbone. Das Backbone besteht aus allen Bereichs-Borderroutern und aus Netzwerken, die zu keinem Bereich gehören, sowie aus den mit ihnen verbundenen Routern. Das Backbone muss sich im Zentrum aller Bereiche in einem autonomen System befinden. Das heißt, dass alle Bereiche physisch mit dem Backbone verbunden sein müssen. Der Grund hierfür ist, dass OSPF erwartet, dass alle Bereiche Routing-Information in das Backbone schicken und dass das Backbone wiederum diese Information in die anderen Bereiche weiterleitet. Lesen Sie hierzu den Abschnitt »OSPF«.
457
458
Kapitel 6
IP-Routing
7. Das Count-to-Infinity-Problem ist einer der größten Nachteile des DistanzVektor-Routings. Dieses Problem tritt auf, wenn ein Router (oder eine Verbindung zu einem Router) nicht mehr verfügbar ist. Die Konvergenzzeit ist langsam, und deswegen kann auch falsche Information durch das System verbreitet werden. Lesen Sie hierzu den Abschnitt »Routing-Technologie«. 8. Ein autonomes System ist eine Sammlung von Netzwerken unter gemeinsamer Verwaltung, die eine gemeinsame Routing-Strategie haben. Jedes autonome System kann weiter in Bereiche unterteilt werden, wobei die Bereiche mit einem OSPF-Backbone verbunden sind, das ebenfalls einen Bereich darstellt. Lesen Sie hierzu den Abschnitt »OSPF«. Antworten zu den Prüfungsfragen 1. D. Dieser Befehl fügt eine Route für eine Klasse-C-Adresse einer RoutingTabelle hinzu. Der Befehl -f entfernt vorhandene Routen aus der Routing-Tabelle. Da die Adresse, die konfiguriert wird, eine Klasse C-Adresse ist, müssen Sie die richtige Subnetzmaske konfigurieren. B bietet nicht die richtige Subnetzmaske. Lesen Sie hierzu den Abschnitt »Verwenden des ROUTE-Befehls für das Konfigurieren statischer Routen«. 2. D. Ist ein Standard-Gateway nicht konfiguriert, so lässt der Router das Paket fallen und sendet eine ICMP-Meldung zurück an den Host, in der er ihm mitteilt, dass der Zielhost nicht erreichbar ist. Lesen Sie hierzu den Abschnitt »Verwalten und Überwachen von IP-Routingprotokollen«. 3. A, B. Die beiden Hilfsprogramme, die für das Überprüfen der Routing-Tabelle verwendet werden können, sind das Routing, und RAS-Verwaltungstool und der ROUTE-Befehl. Verwenden Sie den Parameter print, um die vorhandenen Routen anzuzeigen. Der Befehl TRACERT wird verwendet, um die Erreichbarkeit durch das Netzwerk zu überprüfen. Der ARP-Befehl wird verwendet, um die IP in der Physischen Adress-Tabelle anzuzeigen. Lesen Sie hierzu den Abschnitt »Verwenden des ROUTE-Befehls für das Konfigurieren statischer Routen«. 4. B. Die Höchstzahl an Hops zwischen zwei Routern ist auf 15 voreingestellt. Bei der vorliegenden Situationsbeschreibung ist dies die wahrscheinlichste Ursache des Problems, da Sie die Routen bei der Installierung überprüft haben. Das Count-to-Infinity-Problem tritt nur dann auf, wenn ein Segment aus dem Netzwerk entfernt wird. Lesen Sie hierzu den Abschnitt »Routing-Technologie«. 5. B und C. In dieser besonderen Situationsbeschreibung werden Segmente aus dem gesamten Netzwerk entfernt. Nichts weist darauf hin, dass Router oder Segmente hinzugefügt werden. Dies zeigt, dass es sich hier tatsächlich um ein
Lernzielkontrolle
Count-to-Infinity-Problem handeln könnte. Da die Infinity auf 15 eingestellt ist, ist also auch Antwort B richtig. Lesen Sie hierzu den Abschnitt »RoutingTechnologie«. 6. A, B. Um an einen Zielhost im lokalen Segment senden zu können, muss der sendende Host erst die Netzwerk-Adresse über den Hostnamen herausfinden. Er benötigt DNS, um den Namen in eine IP-Adresse aufzulösen. Der Host sucht dann in seiner lokalen ARP-Tabelle, um zu sehen, ob für diese IPAdresse eine MAC-Adresse vorhanden ist. Der Host sendet dann eine Übertragung der Information, der an den Ziel-Host gerichtet ist. Lesen Sie hierzu den Abschnitt »Host-Routing«. 7. A. Um weiter zu überprüfen, was zwischen den beiden Maschinen passiert, benötigen Sie den Netzwerkmonitor. Die Leistungsüberwachung wird verwendet, um Statistiken über die Leistung ihres Computers/Servers zu erhalten. Die Systemüberwachung ist ein Tool, das bei Windows 95/98 verfügbar ist und das ähnliche Informationen für die Überwachung der Leistung liefert. SNMP wird verwendet, um Netzwerk-Geräte zu verwalten und zu überwachen. Lesen Sie hierzu den Abschnitt »Verwenden des Netzwerkmonitors«. 8. B. Der Verkehr wird direkt an die Lokation in Los Angeles geroutet. RIP routet den Verkehr auf der billigsten Route. Da die mit jedem der Segmente verbundenen Kosten nicht angegeben wurden, werden die Kosten standardmäßig mit 1 pro Segment angesetzt. Beim Routen über die Lokation in Toronto würden Kosten für zwei Hops entstehen, auch wenn es sich hierbei aufgrund der Leitungsgeschwindigkeit wohl um den schnellsten Pfad zur zweiten Speicherstelle in Los Angeles handelt. Lesen Sie hierzu den Abschnitt »Arbeiten mit RIP«. 9. D. RIP-Version-2-Router sind für Multicast-Ankündigungen konfiguriert. Multicast-Ankündigungen können von RIP Version 1-Routern nicht empfangen werden. Wenn Sie eine gemischte Umgebung aus RIP Version 1 und RIP Version 2 besitzen, sollten Sie sicherstellen, dass die Router, die mit RIP Version 2 konfiguriert sind, Broadcast anstelle von Multicast verwenden. Lesen Sie hierzu den Abschnitt »RIP Version 2«. 10. C. Obwohl die Standard-Route verwendet werden kann, um die Konfiguration von statischem Routing über Verbindungen bei Bedarf zu vereinfachen, müssen Sie die damit verbundenen Auswirkungen bedenken. Denn die Standard-IP-Route fasst alle IP-Ziele zusammen und wird zu der Route, die verwendet wird, um IP-Pakete zu verschicken, wenn eine andere, spezifischere Route nicht gefunden werden kann. Dadurch kann Verkehr über eine Verbindung bei Bedarf geroutet werden. Lesen Sie hierzu den Abschnitt »Wählen bei Bedarf (Demand-Dial)-Routing«.
459
460
Kapitel 6
IP-Routing
11. B, D. Um eine virtuelle Verbindung zwischen zwei Organisationen herzustellen ist es wichtig, dass das Kennwort, das Grußpaketintervall und das Inaktivitätsintervall gleich konfiguriert sind. Falls dies nicht der Fall ist, kann sich die virtuelle Verbindung nicht aufbauen. Lesen Sie hierzu den Abschnitt »OSPF«. 12. A. Ein Stub-Bereich enthält einen einzigen Ein- und Ausgangspunkt. In einem Stub-Bereich wird Routing zu externen Netzwerken mit autonomen Systemen über eine Standard-Route durchgeführt (Ziel 0.0.0.0 mit der NetzwerkMaske 0.0.0.0). Um die Standard-Route herzustellen, weist der Bereichs-Borderrouter des Stub-Bereichs dem Stub-Bereich eine Standard-Route zu. Die Standard-Route wird an alle Router innerhalb des Stub-Bereichs gesendet, aber nicht an Router außerhalb des Bereiches. Die Router innerhalb des Bereichs verwenden die Standard-Route, um Adressen zu routen, die innerhalb des autonomen Systems nicht erreichbar sind. Lesen Sie hierzu den Abschnitt »OSPF«. 13. C. In dieser speziellen Situationsbeschreibung trat keine autostatische Aktualisierung auf. Deshalb steht dem Quell-Host keine Routing-Information zur Verfügung, mit deren Hilfe sie den Ziel-Host erreichen könnte. Der Standard-Betriebsmodus für Demand-Dial-Schnittstellen bei RIP ist der Modus Autostatische Aktualisierung. Autostatische Aktualisierungen treten nicht automatisch auf, wenn eine Demand-Dial-Verbindung hergestellt wird. Sie müssen deshalb manuell angefragt werden oder eine Anfrage nach Zeitplan muss eingerichtet werden. Lesen Sie hierzu den Abschnitt »Wählen bei Bedarf (Demand-Dial)-Routing«. 14. D. Aufgrund der in der Situationsbeschreibung gegebenen Informationen lautet die richtige Antwort, dass die Einträge der Routing-Tabelle auf der Seite des anrufenden Routers verloren gingen. Dies trat wahrscheinlich während der autostatischen Aktualisierung nach Zeitplan auf. Wird eine autostatische Aktualisierung angefragt, werden die vorhandenen Routen, die durch eine frühere autostatische Aktualisierung erhalten wurden, gelöscht, bevor die Anfrage nach Routen gesendet wird. Es werden also alle Einträge in der Routing-Tabelle gelöscht. Erhält er keine Antwort auf seine Anfrage, so kann der Router die gelöschten Routen nicht ersetzen. Lesen Sie hierzu den Abschnitt »Wählen bei Bedarf (Demand-Dial)-Routing«. 15. B, D. Sowohl bei einer initiierten Ein-Weg-Verbindung als auch bei einer initiierten Zwei-Wege-Verbindung muss der Router, der den Anruf initiiert, mit einem Anwendernamen konfiguriert sein, der zur Demand-Dial-Schnittstelle des antwortenden Routers passt. Ist auf der Demand-Dial-Schnittstelle IP nicht zugelassen, so wird die Verbindung nicht initiiert. Lesen Sie hierzu den Abschnitt »Wählen bei Bedarf (Demand-Dial)-Routing«.
Lernzielkontrolle
Hinweise zu weiterführender Literatur und Quellen 1. Marcus, Scott J. Designing Wide Area Networks and Internetworks Is: A practical guide. Upper Saddle River, NJ; Addison Wesley, 1999 2. Microsoft Corporation Staff. Microsoft Windows NT 4.0 Network Administration Training Kit. Redmond, WA: Microsoft Press, 1998 3. Thomas, Thomas M. OSPF Network Design Solutions. Indianapolis, IN: Cisco Press, 1998
461
7
Netzwerkadressübersetzung (NAT): Installieren, Konfigurieren und Fehlerbeseitigung Lernziele
Bei der Freigabe des Windows-2000-Betriebssystems, hat Microsoft die Leistungsfeatures Internetverbindung (Internet Connection Sharing, ICS) und Netzwerkadressübersetzung (NAT) als Teil der Netzwerk- und DFÜ-Verbindung eingefügt. Diese Features ermöglichen es Ihnen, Ihr Büronetzwerk mit dem Internet zu verbinden. ICS liefert eine einfache Konfiguration für NAT, IP-Adresszuordnung und Namensauflösungsdienste. Microsoft definiert die Zielsetzungen von »Installieren, Konfigurieren und Fehlerbeseitigung von Netzwerkadressübersetzung (NAT)« wie folgt: Gemeinsame Nutzung der Internetverbindung installieren (ICS) 씰
ICS bietet eine automatisierte Methode, um Wählen bei Bedarf, Netzwerkadressübersetzung und DHCP zu konfigurieren. Außerdem bietet ICS einen DNS-Proxy-Dienst zu einem DNS-Server von ISP. Da ICS ideal für kleinere Büros ist, erwartet Microsoft, dass Sie wissen, wie man den Dienst installiert.
NAT installieren 씰
NAT wird zusammen mit einer Internetverbindung verwendet und eignet sich für Büros, die die Sicherheit und Adresserhaltungs-Features von NAT benutzen wollen. Microsoft erwartet, dass Sie den Installationsvorgang von NAT verstehen.
NAT-Eigenschaften konfigurieren 씰
Nachdem NAT installiert wurde, müssen Sie sich mit den mit NAT verbundenen Eigenschaften auseinander setzen. Die NAT-Eigenschaften zu verstehen, ist nicht nur für die Funktion von NAT bedeutend, sondern auch für die Sicherheit Ihres Netzwerks. Fehlerhafte Konfiguration kann möglicherweise zu Mängeln in der Sicherheit führen. Microsoft erwartet, dass Sie ein tiefgreifendes Verständnis dieser Eigenschaften haben.
464
Kapitel 7
Netzwerkadressübersetzung (NAT)
NAT-Schnittstellen konfigurieren 씰
Die letzte Zielsetzung ist, dass Sie die NAT-Schnittstelle installieren können. Ähnlich wie die in der vorangegangenen Zielsetzung behandelten Eigenschaften, ist das Verständnis, wie man die Schnittstelle konfiguriert, nicht nur für die Funktion von NAT wichtig, sondern auch für die Sicherheit Ihres Netzwerks. Inkorrekte Installation könnte zu Mängeln in der Sicherheit führen. Microsoft erwartet von Ihnen ein tiefgreifendes Verständnis der Schnittstellenkonfiguration.
Tipps für das Selbststudium 씰
ICS liefert einen assistentbetriebenen Mechanismus, um alle Dienste zu konfigurieren, die Sie für die Verbindung eines kleinen Büros an das Internet brauchen. Stellen Sie sicher, dass Sie die Features dieses Dienstes auch verstehen und wissen, wie sich diese Features von der manuellen NAT-Konfiguration unterscheiden.
씰
Stellen Sie sicher, dass Sie die Funktion von NAT verstehen und wissen, wie man die Schnittstellen und Eigenschaften korrekt konfiguriert. Auch wenn es relativ einfach ist, NAT zu installieren, betont Microsoft, dass die Installation der Schlüssel zu NAT ist.
씰
Sehen Sie sich noch einmal den Abschnitt des Kapitels 4, »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von Netzwerkprotokollen in einer Windows-2000-Netzwerk-Infrastruktur«, der TCP/IP erläutert, an. TCP/IP zu verstehen ist entscheidend, um zu verstehen, wie NAT funktioniert.
7.1
Installieren der gemeinsamen Nutzung der Internetverbindung
Im ersten Teil dieses Kapitels werden die ICS-Dienste behandelt. Die ICS-Dienste liefern einen automatisierten Installationsvorgang für die folgenden Dienste: 씰
Netzwerkadressübersetzung (NAT)
씰
Dynamic Host Configuration Protocol (DHCP)
씰
DNS-Proxy
7.1 Installieren der gemeinsamen Nutzung der Internetverbindung
Diese Dienste machen ICS zu einer hervorragenden Lösung für ein kleines Büro, welches nach einer einfachen und schnellen Lösung für eine DFÜ-Verbindung zum Internet sucht. ICS verfügt über einige Features, die in der NAT-Implementierung nicht zur Verfügung stehen. Microsoft wird diese fehlenden Features wahrscheinlich in einem Windows-2000-Servicepack einfügen. Die ICS-Features beinhalten: 씰
H.323 Proxy. Dieses Leistungsfeature ermöglicht es Anwendern, MicrosoftNetMeeting-Anrufe zu empfangen und zu tätigen.
씰
Lightweight Directory Access Protocol (LDAP) Proxy. Die Fähigkeit LDAP-Anfragen über einen Proxy laufen zu lassen, ermöglicht es Anwendern, sich bei einem Internet-Locater-Dienst(ILS)-Server als Teil eines NetMeeting-Verzeichnisses einzutragen.
씰
Directplay Proxy. Dies ermöglicht es Anwendern, Directplay-Spiele über den NAT Router zu spielen. Dieses Merkmal ist mehr für den Heimgebrauch als ein kleines Büro angebracht; es wird auch in der Windows-98-Version von ICS angeboten.
HINWEIS Was ist eine private IP-Adresse? Eine private IP-Adresse ist eine Adresse, die nicht über das Internet geleitet werden kann. Reservierte Adressen sind speziell für private Netzwerke vorgesehen. Siehe Kapitel 4 für mehr Informationen über private IP-Adressen.
Jetzt wissen Sie, was ICS für Sie macht. Bevor Sie gleich beginnen, ICS zu installieren, sollten Sie lernen, was der automatisierte Prozess installieren und konfigurieren wird. Bedenken Sie, dass ein Server auf dem ICS installiert wird, in einem LAN bereitstehen und über eine Modemverbindung verfügen muss. Andernfalls werden Sie nicht in der Lage sein, den Dienst zu installieren. ICS macht bei der Installation Folgendes: 씰
ICS setzt die IP-Adresse der LAN-Schnittstelle auf 192.168.0.1, eine private IP-Adresse. Da Sie mit der internen Schnittstelle des ICS-Servers (das ist der interne NIC im Windows-2000-Server) arbeiten, wird es aus Sicherheitsgründen auf eine private Adresse gesetzt. Sie können diese Adresse zurücksetzen, obwohl es eine gute Idee ist, eine private Netzwerkadresse auf dem internen Netzwerk zu verwenden. Private Adressen können nicht über das Internet geleitet werden, ihre Verwendung schafft also zusätzliche Sicherheit.
465
466
Kapitel 7
Netzwerkadressübersetzung (NAT)
씰
Die WAN-Schnittstelle (normalerweise ein Modem) wird auf Wählen bei Bedarf eingestellt, ausgerichtet auf den Internet Dienstanbieter (ISP).
씰
Ein DNS-Proxy-Dienst ist installiert, um DNS-Dienste für ein Büro zu liefern. Dieser Dienst leitet Client-Anfragen an den DNS-Server, welcher in den DHCP-Eigenschaften des ICS-Servers konfiguriert ist.
씰
Der AutoDHCP-Dienst ist installiert. Diese Komponente liefert einen Satz von Diensten, die eine komplette DHCP-Installation bieten. Dabei werden automatisch Adressen auf dem neuen 198.168.0.0-Netzwerk angegeben.
Jetzt sehen wir uns den Installationsvorgang von ICS an.
SCHRITT FÜR SCHRITT 7.1
Installieren von ICS
1. Öffnen Sie NETZWERK UND DFÜ-VERBINDUNGEN, indem Sie das Applet NETZWERKUMGEBUNG auf dem Desktop rechts klicken und auf EIGENSCHAFTEN gehen. Sie können die Eigenschaften auch öffnen, wenn Sie in der SYSTEMSTEUERUNG auf NETZWERK UND DFÜ-VERBINDUNGEN klicken. Um mit der Installation fortzufahren, brauchen Sie ein LAN und eine ISP-Verbindung (siehe Abbildung 7.1) 2. Klicken Sie die DFÜ-VERBINDUNG mit der rechten Maustaste an und wählen Sie EIGENSCHAFTEN aus dem Kontextmenü. Die EIGENSCHAFTEN DER MODEMVERBINDUNG öffnen sich. Klicken Sie auf das Register GEMEINSAME NUTZUNG (siehe Abbildung 7.2). 3. Wählen Sie DIE GEMEINSAME NUTZUNG VON INTERNETVERBINDUNGEN AKTIVIEREN-Einstellung. Die WÄHLEN BEI BEDARF-Option ist standardgemäß aktiviert. 4. Gehen Sie auf EINSTELLUNGEN, um die Einstellungen für die gemeinsame Nutzung der Internetverbindungen zu öffnen (siehe Abbildung 7.3). Das Register ANWENDUNGEN ermöglicht es Ihnen, spezifische Anwendungen zu konfigurieren, sodass Sie sich über die NAT-Verbindung verbinden können. 5. Klicken Sie auf HINZUFÜGEN, um eine bestimmte Anwendung hinzuzufügen. Abbildung 7.4 zeigt den Zusatz der Internet Relay Chat-Anwendung. Klicken Sie auf OK, um zu den Einstellungen zurückzukehren.
7.1 Installieren der gemeinsamen Nutzung der Internetverbindung
Abbildung 7.1 Netzwerk und Einwahl-Verbindungen ermöglicht Ihnen die Installation von ICS, wenn Sie bereits ein LAN und eine EinwahlNetzwerkverbindung installiert haben.
Abbildung 7.2 Das Register Gemeinsame Nutzung des Verbindungseigenschaften-Dialogfensters ermöglicht Ihnen die gemeinsame Nutzung von Internetverbindung sowie Wählen bei Bedarf.
467
468
Kapitel 7
Netzwerkadressübersetzung (NAT)
Abbildung 7.3 Nachdem die Gemeinsame Nutzung der Internetverbindung aktiviert ist, müssen Sie die Anwendungen, die verwendet werden können, konfigurieren.
Abbildung 7.4 Um eine Anwendung hinzuzufügen, müssen Sie wissen, welcher TCP/ IP-Anschluss verwendet wird.
6. Klicken Sie das Register DIENSTE (siehe Abbildung 7.5). Dieses Register ermöglicht Ihnen die Konfiguration von Diensten, die über das Internet erreicht werden. Z.B., wenn Sie einen FTP-Server auf dem internen Netzwerk einrichten wollen, geben Sie ihn hier frei. Um die Konfiguration fertig zu stellen, müssen Sie die private Adresse des Servers wissen. Wählen Sie einfach die Option für diese Anwendung aus und geben Sie den DNS-Namen oder die Adresse des Servers ein (siehe Abbildung 7.6). Der Name des Diensts wird für Sie eingegeben und kann nicht verändert werden. Klicken Sie auf OK, um zum Dienst zurückzukehren.
7.1 Installieren der gemeinsamen Nutzung der Internetverbindung
Abbildung 7.5 Wenn Sie wollen, dass Anwender aus dem Internet auf Server Ihres privaten Netzwerks für Aktivitäten wie Mail, FTP oder TELNET zugreifen können, wählen Sie das Register Dienste, um sie zu konfigurieren.
Abbildung 7.6 Um einen Server vom Internet aus zugänglich zu machen, brauchen Sie die ServerAdresse oder den DNS-Namen. Wenn Sie eine spezielle Anwendung hinzufügen, dann brauchen Sie auch den Anschluss der Anwendung, die Sie verwenden wollen.
7. Klicken Sie auf HINZUFÜGEN, um eine spezielle Anwendung für den eingehenden Zugriff hinzuzufügen. Sie brauchen den Namen des Diensts, die Anschlussnummer des Dienstes und den Namen oder die IP-Adresse des Servers im privaten Netzwerk des neuen Diensts (siehe Abbildung 7.7). Geben Sie die Information ein und klicken Sie auf OK, um den Dienst hinzuzufügen. Klicken Sie auf OK, um die GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG zu aktivieren.
469
470
Kapitel 7
Netzwerkadressübersetzung (NAT)
Abbildung 7.7 Sie können jeden Dienst hinzufügen, solange Sie den benötigten TCP/IP Anschluss kennen.
Praxistipp Wie bestimmen Sie die Anschlussnummer, die eine Anwendung gebraucht? Wenn Sie mit ICS (Gemeinsamen Nutzung der Internetverbindung – Internet Connection Sharing) arbeiten, sind die Anschlüsse gemeinsamer Anwendungen in den Anwendungen bereits bestimmt. Diese sind in der Tabelle 7.1 aufgeführt. Anwendung
Anschluss
FTP-Server
21
Internet Mail Access Protocol Version 3 (IMAP3)
220
Internet Mail Access Protocol Version 4 (IMAP4)
143
Simple Mail Transport Protocol (SMTP)
25
Post-Office Protocol Version 3 (POP3)
110
Telnet-Server
23
WWW
80
Tabelle 7.1: Vordefinierte Anschlüsse für gemeinsame Anwendungen
Dies ist hervorragend, wenn Sie eine der vordefinierten Anwendungen verwenden wollen. Aber was machen Sie, wenn Sie eine andere Anwendung aktivieren wollen? Wie können Sie den Anschluss finden, den Sie suchen? Dazu gibt es im Allgemeinen vier Methoden. Als Erstes sehen Sie die Produktdokumentation und Hilfedateien durch. Wenn Sie eine Anwendung gebrauchen, die allgemein im Internet verwendet wird, dann dokumentiert der Anbieter normalerweise den Anschluss, den
7.2 NAT installieren
Sie geöffnet haben müssen, um die Anwendung zu benützen. Wenn Sie die Information nicht finden können, dann wenden Sie sich an das Internet, oder genauer gesagt die Internet Assigned numbers Authority (http://www.iana.net). Diese Stelle bietet Anbietern, die einen TCP/IP-Anschluss für Ihre Anwendung reservieren wollen, Registrierungsdienste an. Wenn Sie Ihre Anwendung nicht aufgelistet finden, ist die Wahrscheinlichkeit hoch, dass Ihr Anbieter einen unregistrierten Anschluss verwendet. Der nächste Schritt, um den Anschluss ausfindig zu machen, ist die Netzwerkanalyse. Sie können Netzwerkanalysewerkzeug verwenden, um den Verkehr zu bestimmen, den die Anwendung benutzt. Wenn Sie die Anwendung auf einem Windows-NT oder einem Windows-2000-Server laufen lassen, können Sie das Netzwerküberwachungswerkzeug, welches im Betriebssystem beinhaltet ist, verwenden, um die Information zu erhalten. Wenn alles versagt, dann suchen Sie sich einen bequemen Stuhl und einen Telefonapparat und rufen den Anbieter an. Sie müssen vielleicht eine Weile warten, aber der Anbieter kann Ihnen fast immer sagen, welchen Anschluss seine Anwendung benutzt.
Das ist alles, was es zum ICS-Dienst zu sagen gibt. Es ist ein einfacher, schneller Dienst, perfekt für die Umgebung kleiner Büros. Nun sehen wir uns an, was zu tun ist, wenn Sie sich in einer größeren Umgebung befinden oder mehr Flexibilität in der Verbindung brauchen.
7.2
NAT installieren
Nehmen wir an, Sie haben ein Netzwerk, welches größer ist als im ICS-Teil beschrieben, aber Sie wollen immer noch Windows 2000 verwenden, um sich zum Internet zu verbinden. Sie werden die NAT-Fähigkeiten von Windows 2000 sehr nützlich finden. Aber für den Fall, dass Sie nicht mit NAT vertraut sind, sehen Sie sich an, wie NAT funktioniert und was es tut, bevor Sie einfach zu installieren beginnen. NAT macht ziemlich genau das, was der Name besagt. Es nimmt eine IP-Adresse, die über eine Schnittstelle des Windows-2000-Servers hereinkommt, und rechnet sie in eine andere Adresse um, die über eine andere Schnittstelle (gewöhnlich die mit Internetverbindung) hinausgeht. Nehmen wir z.B. an, Ihr Computer habe eine IP-Adresse, die 10.10.10.10 lautet. Im reservierten Netzwerk ist dies eine Adresse im Bereich von 10.0.0.0, was im Internet nicht übertragbar ist. Sie wollen Verbindung zum Internet herstellen, also brauchen Sie eine im Internet übertragbare (registrierte) IP-Adresse. Ein Server, auf dem NAT konfiguriert ist, nimmt jedes Paket von Ihrer Arbeitsstation, löst die 10.10.10.10 davon los, und versendet das Paket mit einer registrierten Adresse. Die Originaladresse und die registrierte Adresse werden in einer Tabelle aufbewahrt, sodass der Server weiß, welche Umrechnung verwen-
471
472
Kapitel 7
Netzwerkadressübersetzung (NAT)
det wurde. Das Paket wird an den angebrachten Bestimmungsort geleitet. Wenn der Bestimmungsort mit einem Paket antwortet, sieht der NAT-Server die Adresse in seiner NAT-Tabelle nach und wickelt den ursprünglichen Prozess rückwärts ab, setzt 10.10.10.10 an die Bestimmungsadresse und leitet das Paket weiter. Grundsätzlich gibt es zwei Gründe, dies zu tun: 씰
Sicherheit. Wenn Sie Ihr Netzwerk mit dem Internet verbinden, wollen Sie nicht, dass ungebetene Anwender sich mit Ihren privaten Rechnern verbinden. Indem Sie die Rechneradressen umrechnen, erschaffen Sie einen Sicherheitslevel für den Rechner.
씰
IP-Adresskonservierung. Es fällt zwar schwer zu glauben, aber dem Internet gehen die Adressen aus. Mitte der 90er-Jahre haben einige unternehmungslustige Leute dieses Problem vorausgesehen und haben NAT als einen Mechanismus zur Adresskonservierung entwickelt. Obwohl es klar ein stopgap-Mechanismus ist, bis die nächste Version von IP breite Anwendung findet, erlaubt NAT es Firmen, private Adressen im internen Netzwerk zu verwenden und diese in eine einzige Adresse oder in multiple registrierte Adressen umzurechnen. Dieser Viel-auf-wenige-AdresskonservierungMechanismus hat großteils dazu beigetragen, dass das Internet fähig war, weiterhin zu wachsen.
HINWEIS Ich wünschte, es gäbe einen RFC dafür. Da haben Sie Glück. Der RFC, der normalerweise zusammen mit NAT verwendet wird und die privaten Adressen definiert, ist RFC 1597. Er legt die Adressgebiete 10.0.0.0 bis 10.255.255.255, 172.16.0.0 bis 172.31.255.255, und 192.168.0.0 bis 192.168.255.255 zurecht. RFC 1631 bestimmt die Methode für NAT.
NAT kann die Adressübersetzung auf zwei Arten angehen. Wenn der Umrechner nur eine einzige registrierte IP Adresse zur Verfügung hat, rechnet er die Adresse im IP-Paket in die registrierte Adresse um und stellt den Ursprungsanschluss dann auf einen beliebigen Anschluss ein. Z.B., wenn NAT eine Anfrage für eine http-Verbindung bearbeitet, verbindet es zu einem Server auf Portnummer 80, aber »hört« auf die Antwort über den Anschluss, den es während der Umrechnung zugewiesen hat. Es ersetzt seine Adresse im Ursprungs-Adressfeld und die wahllose Anschlussnummer anstelle des Ursprungsanschluss des Clientcomputers. Dann verwendet es diese Information, um einen Adresseintrag in der NAT-Tabelle zu schaffen, der besagt, wohin die HTTP-Antworten gesendet werden sollen.
7.2 NAT installieren
Nun, wenn Sie multiple registrierte IP-Adressen haben, dann wird mittels NAT eine Eins-zu-eins-Umrechnung der Adressen erstellt und jegliche Portumrechnung übersprungen. Ein letzter Punkt, bevor wir uns die Installation ansehen: Ebenso wie der ICSDienst funktioniert NAT in beide Richtungen. Sie können NAT nicht nur für herausgehende Privat-an-öffentlich-Umrechnungen konfigurieren, sondern auch für Öffentlich-an-privat-Umrechnungen für hereinkommende Anfragen. Wenn Sie beispielsweise einen Webserver an Ihr internes Netzwerk anschließen wollen, NAT ermöglicht Ihnen das. Jetzt da Sie wissen, was NAT ist, lassen Sie es uns installieren.
SCHRITT FÜR SCHRITT 7.2
Netzwerkadressübersetzung installieren.
1. Gehen Sie zu START, PROGRAMME, VERWALTUNG, ROUTING UND RAS-KONSOLE. Das Dialogfenster ROUTING UND RAS öffnet sich. 2. Erweitern Sie die Baumstruktur unter dem lokalen Server. Unter IP-ROUTING finden Sie ALLGEMEIN. Klicken Sie mit der rechten Maustaste darauf und wählen Sie NEUES ROUTINGPROTOKOLL aus dem Kontextmenü aus. Das Dialogfenster NEUES ROUTINGPROTOKOLL öffnet sich (siehe Abbildung 7.8). Abbildung 7.8 NAT wird als Routingprotokoll betrachtet und wird wie jedes andere Routingprotokoll hinzugefügt.
473
474
Kapitel 7
Netzwerkadressübersetzung (NAT)
3. Wählen Sie NAT und klicken OK. Sie sollten sehen, dass NETZWERKADRESSÜBERSETZUNG als zusätzliches Applet unter IP-ROUTING erscheint. Jetzt da Sie NAT installiert haben, sehen wir uns die Konfiguration an.
7.3
NAT-Eigenschaften konfigurieren
Eine Reihe von Eigenschaften können zusammen mit NAT konfiguriert werden. Alle Eigenschaften können erreicht werden, indem man das Dialogfenster ROUTING UND RAS (wie in Schritt für Schritt 7.2 beschrieben) öffnet, das Applet NETZWERKADRESSÜBERSETZUNG rechts klickt, und EIGENSCHAFTEN aus dem Kontextmenü auswählt. Sie werden die folgenden Registerkarten sehen: ALLGEMEIN, UMRECHNUNG, ADRESSZUWEISUNG und NAMENAUFLÖSUNG. Die in Abbildung 7.9 gezeigte Registerkarte ALLGEMEIN wird verwendet, um die Ereignisprotokollierung zu konfigurieren. Jede Aufzeichnung, die in diesem Teil aktiviert wird, erscheint im Systemprotokoll der Ereignisanzeige. Sie können die Ereignisprotokollierung für folgende Level konfigurieren: 씰
Nur Fehler protokollieren. Fehler aufzeichnen ist eine sinnvolle Einstellung, wenn Sie das Aufzeichnen auf kritische Mitteilungen beschränken wollen. In einer arbeitsamen Umgebung ist es oft schwierig, Aufzeichnungen, die voll von Warnungen sind, welche kein wirkliches Problem darstellen, durchzusehen. Indem Sie die Aufzeichnungen auf Fehler beschränken, erhöhen Sie die Chancen, dass Sie schwerwiegende Fehler in den Aufzeichnungen finden werden.
씰
Fehler und Warnungen protokollieren. Die Standardeinstellung, Fehler und Warnungen aufzuzeichnen, ist eine gute Idee für kleinere Netzwerke. Wenn Sie feststellen, dass die Warnungen das Protokoll füllen, könnte es an der Zeit sein, nur die Fehler aufzuzeichnen.
씰
Möglichst viele Informationen protokollieren. Wenn Sie Ihr NAT anfangs einrichten, dann wollen Sie vielleicht die maximale Menge an Informationen aufzeichnen, um ein gutes Verständnis darüber zu gewinnen, was mit NAT vor sich geht. Beachten Sie, dass die Information die auf diesem Level aufgezeichnet wird, sehr detailliert ist und manchmal nur von Microsoft-Support entschlüsselt werden kann. Es ist hervorragend, wenn Sie ein Problem mit Microsoft beseitigen; andernfalls ist dies wahrscheinlich keine Einstellung für die Sie Verwendung haben.
7.3 NAT-Eigenschaften konfigurieren
Abbildung 7.9 In der Registerkarte Allgemein können Sie die NAT-Ereignisse protokollieren.
씰
Ereignisprotokollierung deaktivieren. Außer Sie sind auf diesem Server extrem im Betrieb eingeschränkt, sollten Sie die Aufzeichnung nie außer Kraft setzen.
Die in Abbildung 7.10 dargestellte Registerkarte ÜBERSETZUNG wird verwendet, um die Selbstabschaltungswerte für die Umrechnung zu setzen. Sie haben auch die Möglichkeit, hereinkommende Anwendungen hinzuzufügen, genauso wie in ICS. Tatsächlich werden alle in ICS konfigurierten Anwendungen (wenn Sie nach NAT wechseln würden) automatisch den NAT-Umrechnungen hinzugefügt.
PRÜFUNGSTIPP Verwenden Sie die Ereignisanzeige, um die Aufzeichnung von Ereignisse ssen zu prüfen. Denken Sie daran, dass alle Ereignisaufzeichnungen im Systemprotokoll aufgezeichnet sind und mit der Ereignisanzeige gesehen werden können. Microsoft erachtet die Fähigkeit, Fehler und Warnung aufzuzeichnen, als sehr wichtig, und Sie müssen wissen wo Sie die Informationen finden können, sodass Sie alle Fragen zur Aufzeichnung betreffend NAT beantworten können.
HINWEIS Protokollie llieren oder nicht protokollie lieren? Bedenken Sie, dass Aufzeichnung Ressourcen aufbrauchen. Wenn Sie Ressourcen zur freien Verfügung haben (CPU, RAM, Festplatte), dann lassen Sie ruhig die maximale Menge an Informationen aktiviert. Andernfalls sollten Sie die Aufzeichnungen auf Fehler und Warnungen, die Standardeinstellung, beschränken.
475
476
Kapitel 7
Netzwerkadressübersetzung (NAT)
Abbildung 7.10 Verwenden Sie das Übersetzungsregister, um TCP/UDPZeitzuordnungen zu setzen und um Netzwerkanwendungen, die für andere Computer freigegeben werden, hinzuzufügen.
Praxistipp Welche Einstellung funktioniert in der Praxis am besten? Allgemein gilt (und dies gilt für viele Microsoft-Anwendungen), die Standardeinstellungen wirken sich gut auf Ihr Netzwerk aus. Vielleicht möchten Sie aber die zeitliche Zuordnung neu einstellen, da Sie eine spezielle Anwendung betreiben, die eine längere Zuordnung verlangt, um zu funktionieren. Z.B., wenn Sie eine UDPbasierte Anwendung haben, die die Verbindung für längere Zeit aufrechterhalten muss, sollten Sie die UDP-Zuordnung lieber auf 60 Minuten einstellen. Allerdings sind mir, aufgrund der verbindungslosen Natur von UDP, keine UDP-basierten Anwendungen bekannt, welche diese Anforderungen haben. Im TCP-Bereich wollen Sie vielleicht die TCP-Zuordnung niedriger einstellen bei größeren Mengen von Anwendern, die sich für eine beschränkte Zeit an den Server angeschlossen haben und wenn Ihre Ressourcen beschränkt sind. Die Verkürzung dieses Parameters ermöglicht die schnellere Rückgewinnung von Ressourcen. Bedenken Sie, dass Sie dies für NAT verwenden. Sie wollen sicherlich nicht in den Ressourcen beschränkt sein. Sie sollten eine Aufrüstung in Betracht ziehen, falls die Situation so gravierend ist.
7.3 NAT-Eigenschaften konfigurieren
Das Register ADRESSZUWEISUNG ermöglicht Ihnen die Konfiguration der privaten IP-Adressen und die Konfiguration mittels DHCP, das in Verbindung mit NAT verwendet wird (siehe Abbildung 7.11). Um den NAT-DHCP zu aktivieren, prüfen Sie einfach das Kontrollkästchen IP-ADRESSEN AUTOMATISCH MITTELS DHCP ZUWEISEN. Dieser DHCP-Dienst kann anstelle vom Windows-2000-DHCP-Dienst verwendet werden, der in Kapitel 2, »Installieren, Konfigurieren, Verwalten, Überwachen, und Fehlerbeseitigung von DHCP in einer Windows-2000-Netzwerkumgebung« besprochen wird. Wenn Sie den Windows 2000 DHCP Dienst verwenden, dann wählen Sie nicht die NAT-DHCP-Option aus. Abbildung 7.11 Das Register Adresszuweisung ermöglicht Ihnen die Konfiguration des DHCP-Dienstes für das NATProtokoll.
Das Namensauflösungsregister (siehe Abbildung 7.12) wird verwendet, um DNS für das NAT-Protokoll zu konfigurieren. Von diesem Register aus können Sie konfigurieren, welche Clients eine DNS-Namensauflösung erhalten sollen und wie man mit der Auflösung nicht lokaler Namen umgeht. Sie können den Server sogar dazu konfigurieren, das Internet anzuwählen, wenn er einen Namen nicht auflösen kann.
PRÜFUNGSTIPP Verwenden Sie den NAT-DHCP-Dienst, um Clie lient-Computer zu aktivieren. Wenn Sie planen, NAT zu verwenden, ist der NAT-DHCP-Dienst der einfachste Weg, um Clientcomputer zu aktivieren. Dies konfiguriert den Client mit der korrekten Information, das NAT zu benützen, wenn Sie Ihre IP-Adresse via DHCP zugeordnet bekommen. Wenn Sie den NAT-DHCP verwenden, brauchen Sie den Windows2000-DHCP-Dienst nicht.
477
478
Kapitel 7
Netzwerkadressübersetzung (NAT)
Abbildung 7.12 Verwenden Sie das Register Namensauflösung, um die DNS-Auflösungsparameter für das NAT-Protokoll einzustellen.
Sie sollten bemerkt haben, dass, obwohl ICS und NAT unterschiedliche Dienste sind, die Fähigkeiten zu einem Großteil dieselben sind. Die Konfiguration unterscheidet sich jedoch wesentlich. Zur Wiederholung: Sowohl ICS wie auch der NAT-Dienst bieten eine Netzwerkadressübersetzung, DHCP und DNS- Proxy Fähigkeiten. ICS automatisiert die Installation und Konfiguration dieser Dienste, wobei bei der Konfiguration von NAT der Administrator mehr manuell konfigurieren muss. Außerdem unterstützt ICS Features, die nicht in NAT enthalten sind, wie beispielsweise H.323 Proxy, Lightweight Directory Access Protocol (LDAP) Proxy und Directplay Proxy. Jetzt sehen wie uns den abschließenden Teil der Konfiguration von NAT an – die Konfiguration der Schnittstellen.
7.4
Konfiguration der NAT-Schnittstellen
NAT-Schnittstellen konfigurieren Bisher haben wir in diesem Kapitel NAT installiert und die Eigenschaften konfiguriert. Was Sie noch nicht gemacht haben ist, die Schnittstelle, über die NAT laufen wird, zu konfigurieren. Eine NAT-Schnittstelle definiert die Eigenschaften der Verbindung für die Netzwerkadressübersetzung. Dies kann entweder die private Schnittstelle, verbunden mit dem internen (privaten) Netzwerk, oder die öffentliche
7.4 Konfiguration der NAT-Schnittstellen
Schnittstelle, verbunden mit dem Internet, sein. Da Ihr NAT-Server wahrscheinlich Ihr privates Netzwerk und das Internet verbinden wird, müssen Sie eine interne und externe NAT-Schnittstelle einrichten. Um eine Schnittstelle für NAT zu konfigurieren, machen Sie Folgendes:
SCHRITT FÜR SCHRITT 7.3
Eine NAT-Schnittstelle konfigurieren
1. Öffnen Sie das ROUTING UND RAS-Fenster und gehen Sie mit der rechten Maustaste auf NETZWERKADRESSÜBERSETZUNG (NAT). Wählen Sie NEUE SCHNITTSTELLE aus dem Kontextmenü aus. Das Dialogfenster NEUE SCHNITTSTELLE FÜR NAT (NETWORK ADDRESS TRANSLATION) öffnet sich, wie in Abbildung 7.13 gezeigt. 2. Wählen Sie die LAN-Verbindung zum Hinzufügen aus und klicken OK. Das Dialogfenster EIGENSCHAFTEN von EIGENSCHAFTEN DER NETZWERKADRESSÜBERSETZUNG (siehe Abbildung 7.14) öffnet sich. Dies erlaubt Ihnen, die Schnittstelle als private (Netzwerk) oder öffentliche (Internet) Schnittstelle einzustellen. Wenn Sie eine LAN-Verbindung zum Internet haben, müssen Sie eine öffentliche und eine private Schnittstelle konfigurieren. Wählen Sie die richtige Art aus und klicken Sie OK. Wenn Sie die öffentliche Schnittstelle wählen, müssen Sie einige zusätzliche Konfigurationen durchführen. Abbildung 7.13 Das Dialogfenster Neue Schnittstelle für NAT (Network Address Translation) erlaubt Ihnen die Konfiguration der Schnittstellen, die von NAT unterstützt werden. Sie werden nur LANVerbindungen in diesem Dialogfenster sehen, da man davon ausgeht, dass WAN-Verbindungen mit dem öffentlichen Netzwerk verbunden sind.
479
480
Kapitel 7
Netzwerkadressübersetzung (NAT)
Abbildung 7.14 Sie müssen klären, ob die Schnittstelle zu einem öffentlichen oder privaten Netzwerk verbunden ist, damit Windows 2000 weiß, wie es die Adressen übersetzen soll.
Abbildung 7.15 Sie müssen registrierte Adressen für die öffentliche Schnittstelle konfigurieren.
7.4 Konfiguration der NAT-Schnittstellen
3. Gehen Sie dazu auf das Register ADRESSPOOL (siehe Abbildung 7.15), um die öffentlichen Adressen für den Server zu konfigurieren. Diese werden von Ihrem ISP geliefert. Ihre internen Adressen werden in diese Adressen für das Routing über das Internet übersetzt. Abbildung 7.16 Das Register Spezielle Ports wird verwendet, um spezielle hereinkommende Verbindungen zu konfigurieren.
Abbildung 7.17 Nachdem die Schnittstelle hinzugefügt wurde, können Sie die Routing und RAS-Konsole verwenden, um sich einen Überblick über die verwendeten Zuordnungen zu verschaffen
481
482
Kapitel 7
Netzwerkadressübersetzung (NAT)
4. Wählen Sie das Register SPEZIELLE PORTS (siehe Abbildung 7.16), um spezielle Ports bzw. Adressen, die Sie eventuell brauchen, zu konfigurieren. 5. Im ROUTING UND RAS-Fenster sollten Sie die konfigurierte Schnittstelle sehen (siehe Abbildung 7.17). Sie können auch die Statistiken der Zuordnung und die Richtungen, wenn der Dienst verwendet wird, sehen. Das beendet die Installation, Konfiguration und Schnittstellen für das NAT-Protokoll. Prüfen wir also mit der folgenden Fallstudie, wie gut Sie das bisher Behandelte anwenden können.
Fallstudie Das Wichtigste im Überblick Das Wesentliche des Falles ist Folgendes: 1. Ihre Firma führt eine Internetverbindung unter Verwendung einer T1Leitung und eines Windows-2000-Server ein. Die T1-Leitung ist über eine LAN-Schnittstelle mit dem Server verbunden. 2. 100 Anwender sollen mit dem Internet verbunden werden. 3. Sie müssen einen Webserver auf dem internen Netzwerk einrichten, wobei dieser auch für Kunden aus dem Internet erreichbar sein muss. 4. Sie haben keinen existierenden DNS- oder DHCP-Dienst im Netzwerk.
Situationsbeschreibung Sie sind der Sicherheitsverwalter von LFE Incorporated. LFE Inc. ist ein Hersteller von Gartenmöbeln. Sie haben sich gerade entschieden, Ihre erste Verbindung zum Internet zu erstellen. Sie bekommen eine T1-Standleitung. Diese wird mit Ihrem Windows-2000-Server verbunden, der Routingdienste als Ethernet-Verbindung liefert. Die T1-Leitung wird von den 100 Anwendern zum Surfen im Web verwendet, und der Firmenleiter hat Sie gebeten, einen Webserver auf dem internen Netzwerk einzurichten, damit Kunden sich die Gartenmöbel ansehen können. Zu diesem Zeitpunkt haben Sie noch keine DNS- oder DHCP-Dienste auf dem Netzwerk eingeführt. Jeder verwendet statische IP-Adressen und verbindet sich so mit anderen Rechnern. Sie haben vorausgeplant und verwenden 10.0.1.xAdressen für alle Ihre Maschinen. Was müssen Sie tun?
Zusammenfassung
Situationsanalyse Die Situation bietet eine exzellente Möglichkeit, das Windows-2000-NAT-Protokoll, als Teil von Windows-2000-Routing- und RAS-Dienst, zum Einsatz zu bringen. Aufgrund der Größe des Netzwerks und der Tatsache, dass Sie keine Verbindung bei Bedarf zum Internet verwenden, ist ICS keine Lösung. Um das NAT-Protokoll zum Laufen zu bringen, müssen Sie Folgendes zu tun: 씰
Installieren Sie das NAT-Protokoll, indem Sie die Routing- und RASKonsole verwenden.
씰
Fügen Sie die internen und externen Schnittstellen hinzu. Geben Sie Acht, die Schnittstellen nicht zu verwechseln.
씰
Konfigurieren Sie die DHCP-Eigenschaften, um das 10.0.1.x-Netzwerk widerzuspiegeln. Sie sollten auch sichergehen, alle Rechner sowie Server und Drucker, die eine statische Adresse behalten werden, auszuschließen.
씰
Konvertieren Sie Ihre Anwender auf DHCP. Dies wird nicht nur das Verwalten der DHCP-Adressen vereinfachen, sondern wird auch die Informationen für die Clientkonfiguration liefern.
씰
Konfigurieren Sie den DNS, um eine Namensauflösung über das Internet zu erhalten. Ihre Anwender müssen in der Lage sein, Namen aufzulösen, damit sie im Internet surfen können.
씰
Und schließlich müssen Sie in die Eigenschaften der Netzwerkadressübersetzung (NAT) gehen und die Umrechnung für den Webserver konfigurieren. Verwenden Sie Port 80 für HTTP und die interne Adresse des Servers, um die Konfiguration abzuschließen.
Dies ist eine besonders gute Fallstudie, wenn Sie für eine kleinere Firma arbeiten, da mehr und mehr Firmen NAT einsetzen, um sich zum Internet zu verbinden. Auch wenn der Mechanismus derselbe ist, egal welches Gerät Sie dafür verwenden, ist die von Windows 2000 gelieferte Schnittstelle sehr sauber und einfach zu konfigurieren und zu verwenden.
Zusammenfassung Blicken wir zurück auf das, was wir in diesem Kapitel besprochen haben. Sie begannen damit, den ICS anzusehen, welcher automatisch eine Reihe von Diensten installiert. ICS ist entworfen worden, um kleine Büros schnell mit dem Internet verbinden zu können.
483
484
Kapitel 7
Netzwerkadressübersetzung (NAT)
Dann sind Sie zum manuell installierten und konfigurierten NAT-Protokoll übergegangen. Sie haben gelernt, wie man Schnittstellen für NAT installiert, konfiguriert und hinzufügt. Im nächsten Kapitel werde ich »Installation, Konfiguration, Verwaltung, Überwachung und Fehlerbeseitigung von Zertifikatdiensten« besprechen. Schlüsselbegriffe 쎲
Domain Name System (DNS)
쎲
Private IP-Adresse
쎲
Dynamic Host Configuration Protocol (DHCP)
쎲
Registrierte IP-Adresse
쎲
Gemeinsame Nutzung der Internetverbindung (ICS)
쎲
Request For Comment (RFC)
쎲
Internet-Dienstanbieter (ISP)
쎲
Routing und RAS
쎲
Netzwerkadressübersetzung (NAT)
쎲
Transmission Control Protocol/Internet Protocol (TCP/IP)
Lernzielkontrolle Übungen 7.1
ICS installieren
In der folgenden Übung werden Sie ICS installieren, um eine Einwahl-Internetverbindung gemeinsam zu nutzen. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie NETZWERK UND DFÜ-VERBINDUNGEN. 2. Klicken Sie mit der rechten Maus auf vorhandene DFÜ-Verbindungen und wählen Sie EIGENSCHAFTEN aus dem Kontextmenü aus. Wählen Sie das Register GEMEINSAME NUTZUNG. 3. Wählen Sie die Option GEMEINSAME NUTZUNG FÜR DIESE VERBINDUNG AKTIVIEREN.
DER INTERNETVERBINDUNG
4. Klicken Sie OK, um das Dialogfenster zu schließen und ICS zu aktivieren.
Lernzielkontrolle
7.2
Ein spezielle Anwendung hinzufügen
Die folgende Übung zeigt Ihnen, wie Sie die Internet Relay Chat (IRC)-Anwendung zu einem Server hinzufügen, der konfiguriert ist, NAT zu verwenden. Geschätzte Zeit: 15 Minuten 1. Öffnen Sie die ROUTING UND RAS-KONSOLE. 2. Erweitern Sie den Baum bis zu einem lokalen Server. Klicken Sie mit der rechten Maustaste auf NETZWERKADRESSÜBERSETZUNG (NAT) und wählen Sie EIGENSCHAFTEN aus. 3. Klicken Sie auf die Registerkarte ÜBERSETZUNG. 4. Klicken Sie auf ANWENDUNGEN. 5. Klicken Sie auf HINZUFÜGEN. Geben Sie im Dialogfenster ÜBER INTERNET GEMEINSAM GENUTZTE ANWENDUNG Folgendes ein: 6. Name der Anwendung: Internet Relay Chat 7. Remoteserver-Anschlussnummer: 6667 8. TCP/UDP: TCP 9. Eingehende Antworten (TCP): 6668 10. Klicken Sie OK, um die Anwendung hinzuzufügen, 11. Klicken Sie OK, um das EIGENSCHAFTEN-Dialogfenster zu schließen, und klicken Sie nochmals OK um die ROUTING UND RAS-Konsole zu schließen. Wiederholungsfragen 1. Sie sind der Netzwerkverwalter für eine kleine Firma, die sich zum ersten Mal mit dem Internet verbinden will. Die Firma hat 12 Angestellte und Sie haben nicht viel Erfahrung mit Windows 2000 oder Routing. Was sollten Sie tun, um sicherzustellen, dass Sie sich erfolgreich zum Internet verbinden können? 2. Der Netzwerkverwalter einer kleinen Firma ist auf 50 Anwender angewachsen und die Firmenleitung will auf eine DSL-Verbindung aufrüsten. Sie haben mehrere Dutzend spezieller Anwendungen konfiguriert, sowohl hereinkommend und hinausgehend, als Teil von ICS. Was sollten Sie machen, um die DSL Verbindung und die Anwendungen, die Sie konfiguriert haben, zusammen unterzubringen?
485
486
Kapitel 7
Netzwerkadressübersetzung (NAT)
3. Sie sind der Windows-2000-Verwalter für Fly Away Travel. Ihr Chef hat Sie gebeten, den Unterschied zwischen NAT-Protokoll und ICS-Dienstes zu erklären. Außer den manuell-versus-automatisiert Charakteristiken, was unterstützt ICS, was NAT nicht tut? 4. Das war ein guter Anfang, aber jetzt will er wissen, welche Dienste in ICS beinhaltet sind. 5. Sie sind der Verwalter des Windows-2000-Servers von Little Faith Enterprises, und Sie erwägen NAT einzuführen. Warum sollten Sie NAT einführen? Prüfungsfragen 1. Sie sind der Internet-Verwalter von Lost in the Woods Guide Service. Sie haben einen Windows-2000-Server, der mit dem Internet verbunden ist und auf dem ICS läuft. Sie wurden gebeten, eine spezielle ausgehende Verbindung zu konfigurieren. Wie machen Sie das? A. Die ICS-Konsole öffnen. Den Eintrag NETZWERKADRESSÜBERSETZUNG auswählen und rechts klicken, um die NAT-Eigenschaften zu öffnen. Auf dem Registerkarte GEMEINNUTZUNG den HINZUFÜGEN-Knopf verwenden, um die Anwendung hinzuzufügen. B. Die ROUTING UND RAS-Konsole öffnen. Den Eintrag NETZWERKADRESSÜBERSETZUNG auswählen und rechts klicken, um die NAT-Eigenschaften zu öffnen. Auf der Registerkarte ÜBERSETZUNG klicken Sie auf die Schaltfläche HINZUFÜGEN , um die Anwendung hinzuzufügen. C. Die Eigenschaften des Eintrags EINWAHL im NETZWERK UND DFÜ-VERBINDUNGEN-Fenster öffnen. Auf der Registerkarte ÜBERSETZUNG die Schaltfläche HINZUFÜGEN anklicken, um die Anwendung hinzuzufügen. D. Die Eigenschaften der DFÜ-Verbindung im Dialogfenster NETZWERK UND DFÜ-VERBINDUNGEN öffnen. Die Einstellungen auf der Registerkarte GEMEINSAME NUTZUNG auswählen und die Anwendung über die HINZUFÜGEN-Schaltfläche auf der Registerkarte ANWENDUNGEN hinzufügen. 2. Sie sind der Internet Verwalter von Lost in the Woods Guide Service. Sie haben einen Windows-2000-Server der mit dem Internet verbunden ist und auf dem Netzwerkadressübersetzung läuft. Sie wurden gebeten, eine spezielle herausgehende Verbindung zu konfigurieren. Wie machen Sie das? A. Öffnen der ROUTING UND RAS-Konsole. Den Eintrag NETZWERKADRESSÜBERSETZUNG auswählen und rechts klicken, um die NAT-Eigenschaften zu öffnen. Auf der Registerkarte ÜBERSETZUNG die Schaltfläche HINZUFÜGEN anklicken, um die Anwendung hinzuzufügen.
Lernzielkontrolle
B. Die ROUTING UND RAS-Konsole öffnen. Den Eintrag NETZWERKADRESSÜBERSETZUNG auswählen und rechts klicken, um die NAT-Eigenschaften zu öffnen. Auf der Registerkarte ÜBERSETZUNG die Schaltfläche HINZUFÜGEN anklicken, um die Anwendungen hinzuzufügen. C. Den Eigenschaften Eintrag, des Auswahl Eintrags im Netzwerk und Auswahlverbindungen Fenster, öffnen. Die Anwendung durch Verwendung des Hinzufügen Schalters, auf dem Gemeinnutzung Registerkarte, hinzufügen. D. Den Eintrag EIGENSCHAFTEN des Eintrags AUSWAHL im NETZWERK UND AUSWAHLVERBINDUNGEN-Fenster öffnen. EINSTELLUNGEN auf der Registerkarte GEMEINNUTZUNG auswählen und die Anwendung auf der Registerkarte ANWENDUNGEN mit dem HINZUFÜGEN-Schalter hinzufügen. 3. Welche der Folgenden sind von ICS durchgeführte Modifikationen? (Wählen Sie alle Richtigen aus.) A. Installiert DNS. B. Installiert DHCP. C. Installiert NAT. D. Stellt die Adresse der internen Schnittstelle auf 198.168.0.1. E. Stellt die externe Schnittstelle darauf ein, ihre Adressen dynamisch zu bekommen. 4. Sie haben NAT auf Ihrem Windows-2000-Server installiert und konfiguriert. Wie können Sie den Gebrauch am einfachsten überwachen? A. Den SYSTEMMONITOR öffnen. Die ZÄHLER HINZUFÜGEN-Ikone klicken. Das NAT-Objekt auswählen. B. Die ROUTING UND RAS-Konsole verwenden und das Symbol NETZWERKADRESSÜBERSETZUNG auswählen. Klicken Sie mit der rechten Maus und wählen Sie STATISTIKEN aus. C. Die ROUTING UND RAS-Konsole verwenden und das Symbol NETZWERKADRESSÜBERSETZUNG auswählen. Die Statistik wird im rechten Feld der Anwendung erscheinen. D. Die ROUTING UND RAS-Konsole öffnen, Eintragung auf alle Ereignisse setzen und die Ereignisanzeige verwenden, um die Ereignisse zu beobachten.
487
488
Kapitel 7
Netzwerkadressübersetzung (NAT)
5. Sie sind der Leitender Ingenieur von Little Faith Enterprises. Sie wurden gebeten, Windows 2000 zu konfigurieren, um zum Internet mit einer DSL-Verbindung zu verbinden. Was sollten Sie machen? A. Die ROUTING UND RAS-Konsole öffnen und das NAT-Protokoll installieren. Die Eigenschaften entsprechend konfigurieren und die interne Schnittstelle zum Protokoll hinzufügen. B. Die ROUTING UND RAS-Konsole öffnen und das NAT-Protokoll installieren. Die Eigenschaften entsprechend konfigurieren und die interne Schnittstelle zum Protokoll hinzufügen. Dann die externe Schnittstelle zum Protokoll hinzufügen. C. Die NETZWERKVERBINDUNG-Konsole öffnen und das NAT-Protokoll installieren. Die Eigenschaften entsprechend konfigurieren und die interne Schnittstelle zum Protokoll hinzufügen. Dann die externe Schnittstelle zum Protokoll hinzufügen. D. ICS installieren und die Demand-dial-Verbindung aktivieren. 6. Sie sind der Netzwerkverwalter der Blue Sky Corporation. Die Corporation gebraucht eine T1-Internetverbindung mit einem installierten NAT. Ein Anwender hat gerade eine neue Chat-Anwendung heruntergeladen, die es ihm ermöglicht, mit seinen Freunden Chats auf Russisch anzufangen. Die Anwendung funktioniert nicht. Was könnte am wahrscheinlichsten der Grund dafür sein? A. Die deutschsprachige Version von NAT wurde installiert. B. Sie können keine Chat-Anwendungen mit NAT verwenden; dafür braucht man ICS. C. Die Anwendung muss als herausgehende Anwendung hinzugefügt werden. D. Die Anwendung muss als hereinkommende Anwendung hinzugefügt werden. 7. Ihre Firma gebraucht eine T1-Internetverbindung, NAT ist installiert. Als Netzwerkverwalter haben Sie versucht, sie den herausgehenden NAT-Anwendungen hinzuzufügen, aber es funktioniert immer noch nicht. Warum nicht? A. NAT wurde nicht entworfen, um Spiele zu unterstützen. B. NAT kann Directplay-Spiele nicht unterstützen.
Lernzielkontrolle
C. Sie haben Sie Anwendung nicht korrekt hinzugefügt. Die meisten Spiele brauchen hereinkommenden Zugriff auf den Rechner. D. Sie haben die Anwendung auf die falsche Schnittstelle gesetzt. 8. Sie haben Ihre Internetverbindung gerade von einer DFÜ-Verbindung auf DSL aufgerüstet; ebenso das NAT Ihres Windows-2000-Servers vom ICSService auf das NAT-Protokoll. NetMeeting über das Internet funktioniert seit der Aufrüstung nicht mehr. Warum? A. NetMeeting braucht eine DFÜ-Verbindungen, um zu funktionieren. B. Sie haben die NetMeeting-Anwendung nicht zur Liste der Anwendungen hinzugefügt. C. Das NAT-Protokoll kann NetMeeting nicht unterstützen, wobei der ICSDienst dies kann. D. Sie müssen Ihren DNS-Server rekonfigurieren, um zum Internet für Namensauflösung zu verbinden. 9. Nennen Sie zwei Gründe, um NAT zu implementieren? A. Um der Internetverbindung Sicherheit hinzuzufügen. B. Damit Sie einen Internet-NetMeeting-Server auf Ihrem lokalen Netzwerk betreiben können. C. Um IP-Adressen zu konservieren. D. Um den Anwenderzugriff auf Internetseiten zu kontrollieren. 10. Sie sind der Netzwerkverwalter der LFE Construction Company. Sie haben einen Windows-2000-Server der NAT für Ihre Internetverbindung läuft. Sie müssen ein zusätzliches Segment hinzufügen und ihm Zugriff zum Internet geben. Wie fügt man ein zusätzliches Segment zu NAT hinzu? A. Nachdem das Segment auf dem Server konfiguriert wurde, die ROUTING UND RAS-Konsole laden. Den SCHNITTSTELLE HINZUFÜGEN-Assistent laufen lassen, um die Schnittstelle hinzuzufügen. B. Nachdem das Segment auf dem Server konfiguriert wurde, die Verbindung EIGENSCHAFTEN für das neue Segment öffnen. Auf der Registerkarte ALLGEMEIN NAT aktivieren. C. Nachdem das Segment auf dem -Server konfiguriert wurde, die Routing und RAS Konsole laden. Zum Netzwerk Adressübersetung Protokoll gehen und rechts-klicken. Neue Schnittstelle Option auswählen und die neue Schnittstelle auswählen.
489
490
Kapitel 7
Netzwerkadressübersetzung (NAT)
D. Nachdem das Segment auf dem Server konfiguriert wurde, die ROUTING UND RAS-Konsole laden. Zum Protokoll NETZWERKADRESSÜBERSETZUNG gehen und rechts klicken. Die Option NEUE SCHNITTSTELLE auswählen und die neue Schnittstelle auswählen. 11. Sie sind der Netzwerkverwalter von NR Publishing Unlimited. Sie haben ein Netzwerk für 100 Anwender und gerade einen Windows-2000-Server installiert, um das Netzwerk zum Internet zu verbinden. Keiner Ihrer Anwender kann sich mit dem Internet verbinden, obwohl sich der Server problemlos verbindet. Was dürfte das Problem sein? A. Die Anwender haben keine Adressen vom DHCP-Server, der mit NAT installiert wurde, erhalten. B. Die IP-Weiterleitung muss aktiviert werden. C. Sie müssen NAT eine Anwendung hinzufügen, bevor irgendjemand sich verbinden kann. D. Sie haben NAT oder ICS nicht installiert. 12. Sie sind der Chefberater für Zoom Package Delivery Service. Für Ihre 30 Anwender haben Sie einen Windows-2000-Server mit NAT konfiguriert. Einige Ihrer Anwender haben sich beschwert, dass Sie zeitweilige Unterbrechungen in Ihren Internetverbindungen hatten. Sie wollen das Logbuch prüfen, um herauszufinden, was das Problem sein könnte. Wo sehen Sie nach? A. In der <System Verzeichnis>\SYSTEM32\ETC\NAT\logddmmyy.logDatei. B. In der ANWENDUNG-Ereignisanzeige. C. Im SYSTEMPROTOKOLL der Ereignisanzeige. D. Im SICHERHEITSPROTOKOLL der Ereignisanzeige. 13. Sie sind der Netzwerkverwalter von Gollywillikers Candy und sind dabei, Ihre erste Internetverbindung, mit Windows 2000 und NAT-Protokoll, einzurichten. Ihr ISP hat Ihnen eine Reihe von IP-Adressen für Ihr NAT gegeben. Wo konfigurieren Sie diese? A. In den Netzwerk-Eigenschaften unter TCP/IP-Protokoll. B. Auf einer privaten Schnittstelle für das NAT-Protokoll. C. Auf einer öffentlichen Schnittstelle für das NAT-Protokoll. D. Auf der Registerkarte NETZWERK von NAT-Eigenschaften.
Lernzielkontrolle
14. Sie sind Netzwerkverwalter von Little Faith Enterprises, ein expandierendes Gartenbedarf-Center. Sie überlegen, ob Sie den Windows-2000-Server-ICSDienst oder NAT verwenden sollen, können sich aber nicht entscheiden. Ihr Geschäftsführer hat Sie nach dem Unterschied gefragt. Sie antworten, dass NAT nicht alle Protokolle unterstützt, welche ICS unterstützt. Welches Protokoll unterstützt NAT nicht, das ICS aber unterstützt? A. TCP/IP B. DNS C. LDAP Proxy D. HTTP 15. Sie sind der Systemverwalter von Barb’s House of Cheese, ein führender Käsehersteller. Sie haben sich entschlossen, auf dem Internet eine Webseite zur Verfügung zu stellen. Diese Seite befindet sich auf Ihrem internen Netzwerk, und Sie haben das Windows-2000-NAT-Protokoll auf dem Server laufen, der Sie zum Internet verbindet. Aus Sicherheitsgründen verwendet Ihr Server nicht den Standardport 80 für HTTP-Verkehr, sondern verwendet statt dessen Anschluss 333. Jetzt müssen Sie ausarbeiten, wie Sie die Umrechnung konfigurieren. Wo machen Sie dies? A. Auf der internen NAT-Schnittstelle B. Auf der öffentlichen NAT-Schnittstelle C. In den Netzwerk-Anwendungen EINSTELLUNGEN, Eigenschaften der NETZWERKADRESSÜBERSETZUNG. D. Im TCP-Mapping-Dialog der NETZWERKADRESSÜBERSETZUNG-Eigenschaften. Antworten zu den Wiederholungsfragen 1. Sie sollten ICS zusammen mit einer ISP-Wählverbindung einrichten. ICS ist einfach zu installieren und zu pflegen, und es bündelt die Dienste, die Sie brauchen, um diese Verbindung herzustellen. 2. Gehen Sie einfach zum NAT-Protokoll über. Dies wird die DSL-Verbindung problemlos unterstützen (obwohl Sie sowohl die interne und die externe Schnittstelle manuell konfigurieren müssen), und die Anwendungen, die Sie konfiguriert haben, werden noch in der NAT-Liste spezieller Anwendungen erscheinen. 3. ICS unterstützt die folgenden Standards: H.323 Proxy, LDAP Proxy und Directplay Proxy.
491
492
Kapitel 7
Netzwerkadressübersetzung (NAT)
4. ICS installiert einen DNS- und DHCP-Dienst. Ebenfalls stellt es die IPAdresse der LAN-Schnittstelle auf 192.168.0.1 ein und stellt die WANSchnittstelle, als Demand-dial-Router ausgerichtet auf den ISP, ein. 5. Es gibt zwei Gründe für die Verwendung von NAT: Erstens, um einen Sicherheitslevel zu schaffen, wenn Ihr Netzwerk mit dem Internet verbunden ist. NAT verbirgt nicht nur Ihre interne Adresse, es beschränkt auch die Dienste, welche auf das interne Netzwerk zugreifen können. Sie werden auch öffentliche IP-Adressen konservieren müssen. Außer wenn Sie genügend Adressen für Ihre Anwender haben, brauchen Sie NAT. Anworten auf die Prüfungsfragen 1. D. Alle ICS-Einstellungen werden über die DFÜ-Verbindungen EIGENSCHAFTEN konfiguriert. 2. B. Um eine Anwendung über NAT hinzuzufügen, müssen Sie die ROUTING UND RAS-Konsole verwenden. Die Anwendungen für herausgehenden Gebrauch werden auf dem Registerkarte UMRECHNUNG eingestellt. Siehe »NAT-Eigenschaften konfigurieren« 3. A, B, D. Der ICS-Dienst installiert Versionen von DNS und DHCP, aber installiert NAT nicht. Es liefert diese Funktionalität als Teil seines Diensts, aber installiert das eigentliche Protokoll nicht. Obwohl es die Adresse der internen Schnittstelle nicht setzt, wird die externe Schnittstelle als Bestandteil der Einwahl konfiguriert. Siehe »Gemeinsame Nutzung der Internetverbindung installieren«. 4. C. Die Statistik der Nutzung wird automatisch neben der entsprechenden Schnittstelle im rechten Feld der Anwendung erscheinen. Siehe »NAT-Eigenschaften konfigurieren«. 5. B. Da DSL zu einer LAN-Schnittstelle verbindet, müssen Sie das NAT-Protokoll für diese Verbindung verwenden. Sie müssen auch sicherstellen, beide Schnittstellen hinzuzufügen. Siehe »NAT-Schnittstellen konfigurieren«. 6. C. Damit eine neue Anwendung über den NAT-Server kommuniziert, muss sie zur Liste der herausgehenden Anwendungen hinzugefügt werden. Siehe »NAT-Eigenschaften konfigurieren«. 7. B. NAT kann zu diesem Zeitpunkt Directplay-Anwendungen nicht unterstützen. Siehe »NAT installieren«. 8. C. NetMeeting ist eine der Anwendungen, die ICS unterstützt, NAT tut dies jedoch nicht. Siehe »NAT installieren«. 9. A, C. NAT eignet sich gut für Sicherheit und Adresskonservierung. Siehe »NAT installieren«.
Lernzielkontrolle
10. D. Sie müssen die ROUTING UND RAS-Konsole verwenden, um eine neue Schnittstelle hinzuzufügen. Die korrekte Anweisung ist »Neue Schnittstelle« nicht »Schnittstelle hinzufügen«. Siehe »NAT-Schnittstellen konfigurieren«. 11. D. Sie müssen NAT installieren, damit die Verbindung funktioniert. Siehe »NAT installieren«. 12. C. Jegliche Protokollierung von NAT wird im Systemprotokoll der Ereignisanzeige getätigt . Siehe »NAT-Eigenschaften konfigurieren«. 13. C. Sie müssen die registrierte IP Adresse auf der öffentlichen NAT-Schnittstelle konfigurieren. Damit die Pakete richtig geleitet werden, müssen Sie von privater Adresse in registrierte Adresse umgerechnet werden. Die registrierte Adresse muss auf der öffentlichen Schnittstelle konfiguriert werden, damit diese Routing funktioniert. Siehe »NAT-Schnittstellen konfigurieren«. 14. C. ICS unterstützt LDAP-Proxy und NAT macht dies nicht. Siehe »Gemeinsame Nutzung der Internetverbindung installieren«. 15. B. Diese Zuweisung des speziellen Ports wird auf der öffentlichen Schnittstelle der NAT-Schnittstelle gemacht. Siehe »NAT-Schnittstelle konfigurieren«. Hinweise zu weiterführender Literatur und Quellen 1. Boswell, William. Inside Windows 2000 Server. Indianapolis, IN: New Riders Publishing, 2000. 2. Atkins, Derek. Internet Security: Professional Reference. Indianapolis, IN: New Riders Publishing, 1997.
493
8
Zertifikatsdienste: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung Lernziele
In diesem Kapitel werden die Microsoft-spezifischen Zielsetzungen in Hinblick auf die Prüfung der Zertifikatsdienste, Abschnitt 70-216, ausführlich behandelt. Sehen Sie nachstehend die Zielsetzungen der Prüfung für die Zertifikatsdienste: Installieren und Konfigurieren der Certificate Authority (CA) 씰
In Windows 2000 sind Zertifikatsdienste für die Sicherung von Intranet und Internet enthalten. In diesem Kapitel wird das Planen und Implementieren einer CA behandelt.
Ausstellen und Entziehen von Zertifikaten 씰
Für eine erfolgreiche Implementierung von Zertifikatsdiensten müssen Sie Richtlinien für das Ausstellen und Entziehen von Zertifikaten setzen. In diesem Kapitel werden wir solche Richtlinien umsetzen und näher untersuchen.
Entfernen der EFS (Verschlüsseltes Dateisystem) 씰
Die Implementierung von EFS ist ein Teil der Zertifikatsdienste. Die Attribute der verschlüsselten Dateisysteme (EFS) und die Funktion der Schlüssel zur Wiederherstellung im Zusammenhang mit CA werden in diesem Kapitel genauer erläutert.
Tipps für das Selbststudium 씰
Zertifikate als neues Feature für Windows 2000. Damit Sie sich auch optimal auf die Prüfung und deren Zielsetzungen vorbereiten können, müssen Sie sich zuerst Kenntnisse über das, was Zertifikate sind, aneignen. Zudem sollten Sie die Entwicklung dieser Zertifikate kennen und wissen, wie diese konfiguriert werden.
496
Kapitel 8
Zertifikatsdienste
씰
Gehen Sie Schritt für Schritt vor. Ihre Lernfortschritte werden im Laufe des Kapitels mit Hilfe der Übungen verfestigt. Außerdem müssen Sie sich mit der CA (CA) vertraut machen und die Gründe kennen, warum eine Einheit ein Zertifikat verwenden würde.
씰
Bringen Sie etwas Zeit für das Experimentieren mit CA und EFS auf. Im Rahmen dieses Buches werden sämtliche Zielsetzungen für die Prüfung detailliert behandelt. Nur Ihr eigener Fleiß und Ihre eigenen Bemühungen werden jedoch dazu führen, die von uns zur Verfügung gestellten Informationen in die Praxis umzusetzen.
8.1
Einführung/Allgemeines
Die Entwicklung moderner Netzwerke ist heute kaum mehr aufzuhalten. Es werden immer größere Fortschritte im Hinblick auf die Verzweigungsmöglichkeiten mit anderen Netzwerken gemacht. Diese Entwicklung ist eine große Herausforderung für Microsoft Certified Systems Engineers (MCSE), denn heutzutage stellt der Zugang zu Netzwerken selbst für »alles andere als ehrliche« Anwender keinerlei Problem mehr dar. Was aber genau macht Netzwerke so verletzlich? Die Antwort ist: Sie teilen ein gemeinsames Kommunikationsprotokoll. Bei diesem gemeinsamen Kommunikationsprotokoll, das für den Austausch von Daten verwendet wird, handelt es sich um TCP/IP. Daten, die über TCP/IP verschickt werden, werden zunächst aufgeteilt und über eine Vielzahl von Umleitungen zum Endziel versendet. Aufgrund der Struktur des TCP/IP können Daten leicht abgerufen werden, wobei der Absender bzw. Empfänger nicht einmal bemerken wird, dass diese abgerufen wurden. Da die Daten über weltweite Netzwerke verschickt werden, kann es natürlich vorkommen, dass diese einfach abgerufen bzw. gefälscht werden, und Anwender oft Daten erhalten, die ihre eigenen Daten gefährden können. Deshalb müssen wir einen Weg finden, unsere ausgehenden Daten zu schützen, und sicherstellen, dass die Daten, die wir erhalten, nicht kompromittiert wurden. Genau aus diesem Grund werden Zertifikate eingegeben. In diesem Kapitel werden wir Ihnen die wesentlichen Züge von Zertifikaten erklären und anschließend die Installierung und Konfigurierung von CA-Diensten behandeln.
8.1 Einführung/Allgemeines
8.1.1
PKI – Public Key Infrastructure
Um den offenen Zugang auf TCP/IP zu bekämpfen, ohne dabei die Funktionalität des Protokolls zu beeinträchtigen, wurde PKI zusammen mit TCP/IP entwickelt. Hiermit soll der Schutz von Daten gewährleistet werden, die im Intranet oder Internet zwischen den verschiedenen Hosts verschickt werden. Mit der Verschlüsselungstechnik können Netzwerkadministratoren und Sicherheitsexperten garantieren, dass Daten einzig und allein vom ursprünglich vorgesehenen Empfänger gelesen werden, und gewährleisten, dass die erhaltenen Daten unterwegs nicht bearbeitet wurden. Um Ihnen deutlich vor Augen zu führen, wie PKI funktioniert, müssen Sie sich nur einen mit Wachs versiegelten Briefumschlag als Vergleich vorstellen. Statt einem Siegel wird im Intranet bzw. Internet eben PKI verwendet. Mit einer digitalen Unterschrift wird sichergestellt, dass die Nachricht auch wirklich von der Quelle stammt, die sie angibt, zu sein. Zusätzlich zu den digitalen Unterschriften können Sie auch digitale Implementierungen eingeben: das digitale Zertifikat. Zertifikate Was genau ist ein digitales Zertifikat? Hauptsächlich handelt es sich hierbei um eine elektronische Version Ihres Passwortes oder um die Identifikation eines Angestellten. Mit einem digitalen Zertifikat kann sichergestellt werden, dass es sich auch wirklich um die Person handelt, deren Identifikation eingegeben wurde. Mit einem Zertifikat werden Sie Zugang zu Ressourcen und Daten erhalten. Für die Kontrolle und Sicherstellung von Daten werden Zertifikate nicht nur von einzelnen Personen verwendet, sondern auch von Organisationen, Unternehmen, Routern und anderen Einheiten. Digitale Zertifikate enthalten folgende Informationen: 씰
Anwendername
씰
Öffentlicher Schlüssel des Anwenders
씰
Seriennummer
씰
Ablaufdatum
씰
Informationen über das Zertifikat
씰
Informationen über die Organisation, die das Zertifikat ausstellt.
497
498
Kapitel 8
Zertifikatsdienste
Wenn geschützte Daten verschickt werden, wird zusätzlich ein elektronisches Siegel mittels Chiffrierung in die Daten eingefügt. Öffnet der Empfänger die Daten, wird das elektronische Siegel auf seine Richtigkeit hin überprüft und sichergestellt, dass sich niemand daran zu schaffen gemacht hat. Außerdem wird dem Empfänger garantiert, dass es sich auch wirklich um den angegebenen Sender handelt. Normalerweise verwenden Sie beim Versenden von chiffrierten Daten an andere Anwender einen Schlüssel für die Chiffrierung und die Sicherstellung der Daten. Wenn der Empfänger die verschlüsselten Daten öffnen will, wird hierfür eine Kopie des Schlüssels verwendet. Sollte jemand anders versuchen, die Daten zu öffnen, ohne dabei einen Schlüssel zur Verfügung zu haben, so wird ihm das nicht gelingen. Die Realität sieht dennoch anders aus. In Wirklichkeit ist diese Sicherungsmethode gar nicht so sicher. Wenn nicht autorisierte Anwender versuchen sollten, eine Dekodierung vorzunehmen, erhalten sie gleichzeitig Zugang zu den Daten – das kann also durchaus mit dem Beispiel des vergessenen Hausschlüssels im Türschloss verglichen werden. Ein anderer entdeckt diesen Schlüssel und hat somit Zutritt zu Ihrer Wohnung. Digitale Zertifikate bieten Ihnen dennoch eine leicht unterschiedliche Methode zum Verschließen und Öffnen von Daten. Mit digitalen Zertifikaten müssen nämlich nicht länger Kopien der Schlüssel erstellt werden, damit andere Personen Zugang zu den Daten haben. Digitale Zertifikate verwenden zwei Schlüssel: einen privaten Schlüssel für das Verschließen der Daten und einen weiteren Schlüssel, den öffentlichen Schlüssel, um die Daten wieder zu öffnen. Es wird also nicht länger mit einem einzigen Schlüssel gearbeitet. Mit diesem Zwei-Schlüssel-System bleibt Ihr Schlüssel also privat. Somit wird niemand anders als der rechtmäßige Besitzer des Schlüssels Zugang zu den Daten haben. Dennoch können Sie mithilfe des digitalen Zertifikats den öffentlichen Schlüssel an andere Personen weitergeben. Wenn Margo beispielsweise eine private Nachricht an Alice senden möchte, verwendet sie den öffentlichen Schlüssel für die Chiffrierung der Nachricht. Niemand anders als Alice wird die Nachricht dechiffrieren können. Allerdings wird Alice für das Öffnen des Inhalts ihren privaten Schlüssel benötigen. Wenn Alice auf Margos Nachricht antwortet, kann sie für die Verschlüsselung der Antwort Margos öffentlichen Schlüssel verwenden. Margo wird ihren eigenen privaten Schlüssel für die Dechiffrierung der Nachricht benutzen. CA Sämtliche Zertifikate, wie etwa VeriSign, stammen von einem CA. CA überprüft die Identität des Zertifikat- Eigentümers. CA ist eine vertrauenswürdige dritte Partei, die für die physische Überprüfung der Richtigkeit der Identität von einzelnen
8.1 Einführung/Allgemeines
Person oder Organisationen verantwortlich ist. Erst nach dieser Überprüfung wird CA ein digitales Zertifikat ausstellen. CA stellt aber nicht nur Zertifikate aus, sondern ist ebenfalls für deren Entziehung sowie für die Veröffentlichung einer Liste von entzogenen Zertifikaten verantwortlich. Mit Windows 2000 können Sie CA als dritte Partei verwenden oder auch Ihre eigenen Zertifikatsdienste benutzen. Den eigenen Zertifikatsdienst erhalten Sie von den Zertifikatsdiensten von Microsoft Windows 2000. Verschiedene Zertifikatsdienste stehen Ihnen hierbei zur Auswahl: Organisation: Stammzertifizierungsstelle, Organisation: Untergeordnete Zertifizierungsstelle, Eigenständig: Stammzertifizierungsstelle und Eigenständig: Untergeordnete Zertifizierungsstelle. Im Laufe dieses Kapitels werden diese Zertifikatdienst-Arten noch ausführlicher behandelt werden. Sollten Sie für Ihre Organisation einen internen CA erstellen, müssen Sie auch einige Regeln und Richtlinien aufstellen, um überprüfen zu können, dass die Anwender auch Angestellte der Organisation sind. Hierfür können Sie Sozialversicherungsnummern der Angestellten, deren Namen oder aber – um noch sicherer zu gehen – Smart Cards verwenden. Bei Smart Cards handelt es sich um Geräte, welche die Angestellten mit sich führen und dem Anwender (Angestellten) das Anmelden, den Zugang und das Versenden von Daten, wie etwa E-Mails oder Daten, auf einem Netzwerk ermöglichen.
HINWEIS Der führende Zertifikatsdienst. Der führende Internet-Zertifikatsdienst ist VeriSign. Zertifikate von VeriSign sind auf fast allen Webbrowser-Servern und anderen Netzwerkgeräten zu finden. Außerdem übernimmt VeriSign die Haftung für die Sicherheit und Gültigkeit seiner Dienste bis zu einem Betrag von 100 000 $ (Diebstahl, Verlust oder Fälschung).
Zertifikatsdienst von Windows 2000 Enterprise Ein Windows-2000-Enterprise-Zertifikatsdienst bietet Zertifikate für die interne Sicherheit einer ganzen Organisation an, während externe Zertifikatsdienste die Sicherheit für externe Schutzbedürfnisse liefert. Microsoft erfüllt beide Ansprüche. Somit können Sie individuell, je nach Bedarf, Ihre Zertifikate zusammenstellen. Sollten Anwender ein Zertifikat in einer Windows-2000-Umgebung anfordern, wird das Windows-2000-Anwenderkonto als Anmeldeinformation (credential) des Anwenders fungieren, denn die Anwender im Active Directory werden protokolliert und erkannt.
499
500
Kapitel 8
Zertifikatsdienste
Eine CA von Windows 2000 Enterprise ist durch fünf Merkmale gekennzeichnet: 씰
Der Server der CA kann auf jedem Server von Windows 2000 laufen. Für die bestmögliche Implementierung erstellen Sie einen Plan über den Vorgang, die Netzwerklast und die physische Bestückung des Servers.
씰
Da die CA in den Zertifikaten integriert ist, die sie erteilt, sollte der Name des Servers vor der Implementierung der Dienste der CA festgelegt werden.
씰
Die Organisationszertifizierungsstelle ist im Active Directory integriert.
씰
Nach dem Installieren einer Organisationszertifizierungsstelle wird ein Richtlinienmodul erstellt, wobei die Richtlinien von einem Administrator bearbeitet werden können.
씰
Da die CA für eine erfolgreiche Implementierung eines PKI absolut notwendig ist, muss diese ein Fehlertoleranz-Schema und einen Zeitplan haben, nach dem regelmäßige Sicherungskopien erstellt werden.
Eigenständige CAs Eine weitere Art von CAs, die Sie mit Windows 2000 installieren können, sind die eigenständigen CAs. Eine eigenständige CA benötigt keine Eingriffe eines Active Directory. Falls Eingriffe verfügbar sein sollten, können Sie natürlich vorgenommen werden. Eine eigenständige CA ist für das Erstellen von Zertifikaten und digitalen Signaturen sehr nützlich. Außerdem werden durch sie sichere E-Mail-Adressen (S/MIME) und Secure Socket Layer (SSL) oder Transport Layer Security (TLS) unterstützt. Typische eigenständige CAs haben folgende Merkmale: 씰
Es werden keine Active-Directory-Eingriffe benötigt.
씰
Sie können von Extranetzen verwendet werden.
씰
Es wird nicht überprüft, ob Zertifikate angefordert werden (sämtliche Anforderungen stehen solange aus, bis ein Administrator sie genehmigt).
씰
Anwender, die von einer eigenständigen CA ein Zertifikat anfordern, müssen sämtliche Information des Anwenderkontos angeben. Innerhalb einer Organisationszertifizierungsstelle wird dies nicht verlangt, da der Anwender durch das Anmeldekonto im Active Directory identifiziert wird.
8.1 Einführung/Allgemeines
씰
Es werden keine Zertifikatsvorlagen verwendet.
씰
Die Anmelde-Informationszertifikate von Windows 2000 werden nicht in Smart Cards gespeichert. Andere Zertifikate als die von Windows 2000 können jedoch in Smart Cards gespeichert werden.
씰
Die Zertifikate einer eigenständigen CA müssen von einem Administrator an einen vertrauenswürdigen Stammzertifikatsspeicher weitergeleitet werden.
Sollte ein Active Directory vorhanden sein, zu dem eine eigenständige CA Zugang hat, stehen noch zusätzliche Optionen zur Verfügung: 씰
Sollte ein Domänen-Administrator, der Schreibzugriff auf ein Active Directory hat, die eigenständige CA installieren, so wird diese dem Trusted Root Certification Authorities-Speicher hinzugefügt. Überprüfen Sie hierbei jedoch, dass die Standardeinstellung für zu bearbeitende Anforderungen nicht geändert wird. Sollte die Standardeinstellung nämlich verändert werden, würde die eigenständige CA automatisch sämtlichen Anforderungen für Zertifikate zustimmen. Nehmen Sie also keine Änderungen der Standardeinstellungen von noch ausstehenden Zertifikaten einer eigenständigen CA vor.
씰
Sollte ein Mitglied der Domänen-Administratorengruppe einer übergeordneten Domäne (oder ein Administrator, der Schreibzugriff auf ein Active Directory hat) die Installierung der eigenständigen CA vornehmen, wird diese das Zertifikat und die Zertifikatssperrung im Active Directory veröffentlichen.
8.1.2
Vorbereitungen für das Installieren einer CA treffen
Bevor Sie mit dem Installieren einer CA beginnen, müssen Sie Folgendes beachten: 씰
Wer kümmert sich um die Sicherheit?
씰
Sollen Verwaltungsaufgaben delegiert werden?
씰
Wie soll die CA überwacht werden? Wer wird die Überwachung übernehmen?
씰
Welche Art von Überwachung soll für die CA vorgenommen werden?
씰
Wo soll die CA lokalisiert sein?
Sind all diese Fragen geklärt, können Sie mit dem Planen der Installierung beginnen.
501
502
Kapitel 8
Zertifikatsdienste
Planen des PKI Beim Installieren einer CA sollten Sie zuerst das Konfigurieren Ihrer PKI planen. In den vorherigen Kapiteln wurde Ihnen bereits erklärt, dass Zertifikate und CAs Mittel zur Identitätsfeststellung sind. Was geschieht aber, wenn ein Anwender Bobs Passwort entdeckt und sich in der Domäne als Bob anmeldet? Für das System muss der nicht autorisierte Anwender Bob sein, da ja schließlich Bobs Anwendername und Passwort angegeben wurden. Die übliche Methode für die Sicherung eines Netzwerks ist natürlich die physische Sicherheit. Danach folgt die Implementierung strenger Richtlinien: strenge Passwörter, die regelmäßig geändert werden. Eine weitere Methode der Sicherung eines Netzwerkes ist die Implementierung von Smart Cards. Diese ermöglichen dem Anwender, die digitalen Anmelderinformationen mit nach Hause, ins Büro oder an sonstige Orte, an die er sich begeben muss, mitzunehmen. Mit den Gruppenrichtlinien von Windows 2000 können Sie Zertifikate direkt auf Anwenderkonten veröffentlichen oder sperren. Mit diesem Feature bietet sich Ihnen die Möglichkeit, die digitalen Informationen eines Anwenders zu ändern. Die digitalen Informationen können dann durchgeführt werden, um Zugriff auf Daten zu bekommen und diese abzurufen. Zu guter Letzt sollte Ihr PKI-Schema Maßeinheiten enthalten, mit denen Ihr Unternehmen E-Mails absichern kann, die mit S/MIME und SSL und / oder TLS verschickt werden. Planen der Zertifizierungsstellen(CAs)-Hierarchie Windows-2000-PKI ermöglichen und unterstützen eine breite Hierarchie von CAs. Mit verzweigten CAs wird eine Skalierbarkeit mit anderen Organisationen, internen und externen Ressourcen ermöglicht sowie die Kompatibilität mit anderen Implementierungen von CAs. Im Idealfall hätte jedes Unternehmen eine CA. Leider ist dies aber nicht immer der Fall. Die unterste Stufe einer jeden CAs-Hierarchie ist die Stammzertifizierungsstelle, von der sich eine Vielzahl von übergeordneten und untergeordneten Zertifizierungsstellen abzweigen. Die untergeordneten Zertifizierungsstellen werden von den übergeordneten Zertifizierungsstellen bis hin zu der Stammzertifizierungsstelle zertifiziert. Die übergeordnete Zertifizierungsstelle verbindet einen öffentlichen Schlüssel der Zertifizierungsstelle mit der Identität einer untergeordneten Zertifizierungsstelle. In diesem über- bzw. untergeordneten Verhältnis basieren die untergeordneten Zertifizierungsstellen auf den übergeordneten Zertifizierungsstellen. Diese wiederum basieren auf deren übergeordneten Zertifizierungsstellen, bis hin zur ursprünglichen Stammzertifizierungsstelle. Wenn eine Organisation eine Zertifizie-
8.1 Einführung/Allgemeines
rungsstelle verwaltet, indem sie ihr Zertifikat der Zertifizierungsstelle dem vertrauenswürdigen Stammzertifizierungsspeicher hinzufügt, wird die Organisation jede untergeordnete Zertifizierungsstelle in der Hierarchie verwalten. Falls einer untergeordneten Zertifizierungsstelle das Zertifikat von der Zertifizierungsstelle, die Zertifikate verteilt, gesperrt wird, ist die gesperrte Zertifizierungsstelle nicht länger vertrauenswürdig. Hierarchien sind sehr nützlich. Einige Gründe, warum Sie eine Hierarchie der CAs erstellen sollten, sind: 씰
Variierende Anwendung. Zertifikate werden für vielerlei Zwecke erstellt: Beispielsweise für die Sicherung Ihrer E-Mails, SSL und TSL. Hierbei können verschiedene CAs für unterschiedliche Sicherheitsbereiche zuständig sein.
씰
Richtlinien. Mit einer Hierarchie können Sie in den unterschiedlichsten Bereichen innerhalb eines Unternehmens eine einzige Richtlinie anwenden.
씰
Geographie. In einer WAN-Umgebung (Wide Area Network) kann es vorkommen, dass für das Speichern von Netzwerkressourcen eine andere CA für jeden physischen Pfad benötigt wird.
씰
Sicherheit. Die Stammzertifizierungsstelle verlangt nach einer sehr sicheren Umgebung mit Fehlertoleranz-Geräten. Untergeordnete CAs bedürfen nicht der gleichen Sicherheitsstufe und -art wie die Stammzertifizierungsstelle.
씰
Sperrung. Die meisten Organisationen müssen individuelle CAs sperren können. Dies verhindert die Sperrung eines gesamten Unternehmens.
Wenn Sie Ihre Hierarchie planen, denken Sie daran, dass die Stammzertifizierungsstelle eine CA ist, von der sämtliche untergeordneten CAs abzweigen. Die Stammzertifizierungsstelle sollte also am besten abgesichert sein und sollte nach der Installierung offline sein, um die Sicherheit des ursprünglichen Zertifikats und der ursprünglichen Schlüssel zu gewährleisten.
8.1.3
Erneuern des Zertifikats
Wenn eine Stamm- oder eine untergeordnete Zertifizierungsstelle ein Zertifikat erteilt, so ist dieses nur für eine bestimmte Zeit gültig. Man spricht hier von einer Gültigkeitsdauer, die nicht mit dem digitalen Ablaufdatum verwechselt werden darf.
503
504
Kapitel 8
Zertifikatsdienste
Ist die Gültigkeitsdauer abgelaufen, so wird das Zertifikat deaktiviert. Es wird dann davon ausgegangen, dass das Zertifikat nicht vor dem Ablaufdatum gesperrt wurde. Läuft ein Zertifikat ab, so muss es erneuert werden. In einem über-/untergeordneten Verhältnis zwischen CAs stellt die übergeordnete CA ein Zertifikat als Teil dieses Verhältnisses aus. Hiermit wird die untergeordnete CA bestimmt. Wie bei Kundenzertifikaten auch, enthalten Zertifikate der untergeordneten CAs ebenfalls eine Gültigkeitsdauer. Läuft die Gültigkeitsdauer für eine CA ab, muss deren eigenes Zertifikat erneuert werden, bevor Zertifikatsanforderungen von Kundencomputern überhaupt gestattet werden. Wenn Sie Ihre PKI organisieren, berücksichtigen Sie dabei, wie lange eine Zertifikat in einem über-/untergeordneten Verhältnis gültig sein soll. Aus Sicherheitsgründen wurde das Programm so erstellt, dass eine CA Anwärtern keine Zertifikate ausstellt, die länger als das Ablaufdatum der Zertifikate sind. Das ist ganz praktisch, denn somit können Sie z.B. sichergehen, dass eine CA, deren Ablaufdatum im Oktober ist, keine Zertifikate ausstellt, die noch nach Oktober gültig sind. Sogar das Zertifikat der Stammzertifizierungsstelle kann eventuell ablaufen. Deswegen werden Zertifikate, die die Stammzertifizierungsstelle untergeordneten Stellen ausstellt, von ihrem eigenen Ablaufdatum bestimmt.. Mit anderen Worten: Wenn die Stammzertifizierungsstelle abläuft, werden sämtliche untergeordneten CAs ebenfalls ablaufen.
8.2
Installieren der CA
Installieren und Konfigurieren der CAs Wenn Sie verstanden haben, wie die Zertifikatsdienste funktionieren, und einen Überblick über das Installieren des Dienstes sowie das Erneuern von Anwenderzertifikaten, Servern und CAs haben, können Sie mit dem Installieren der CAs beginnen. Für das Installieren von CAs stehen Ihnen vier Optionen zur Verfügung: 씰
Nachdem Windows 2000 installiert wurde. Verwenden Sie in SYSTEMSTEUERUNG das Programm HINZUFÜGEN/ENTFERNEN, um den Zertifikatsdienst der aktuellen Installation hinzuzufügen.
씰
Als Teil der Windows-2000-Installation. Während der Installation von Windows 2000 können Sie zwischen den optionalen Komponenten wählen. Nachdem Windows 2000 installiert wurde, können Sie die Installation des Dienstes entsprechend Ihrer PKI-Pläne vervollständigen.
8.2 Installieren der CA
씰
Vom Zertifikatsserver 1.0 aus aktualisieren. Wenn Sie Windows 2000 auf einem Zertifikatsserver 1.0 installieren, so wird das Installationsprogramm von Windows 2000 den Dienst automatisch aktualisieren.
씰
Mittels einer unbeaufsichtigten Installation. Wenn Sie bei der Installation von Windows 2000 eine unbeaufsichtigte Installation verwenden, so können Sie mit einer Setup-Datei die Installierung einer CA vornehmen.
Unabhängig davon, was für eine Methode Sie für das Installieren von Zertifikatsdiensten verwenden werden, müssen Sie folgende Informationen angeben: 씰
씰
Arten der CAs: 씰
Stammzertifizierungsstelle des Unternehmens. Von der Stammzertifizierungsstelle des Unternehmens zweigen sämtliche andere CAs ab. Es gibt nur eine Stammzertifizierungsstelle pro Unternehmen. Active Directory ist erforderlich. Fortgeschrittene untergeordnete CAs zweigen von diesem Server ab. Die Stammzertifizierungsstelle eines Unternehmens kann nur eine übergeordnete CA sein.
씰
Untergeordnete CAs eines Unternehmens. Eine untergeordnete CA muss ihr Zertifikat von einer höheren CA erhalten. Active Directory ist erforderlich. Diese CA ist untergeordnet, kann aber auch für eine andere CA übergeordnet sein.
씰
Eigenständige Stammzertifizierungsstelle. Eine eigenständige Stammzertifizierungsstelle ist der Stammzertifizierungsstelle eines Unternehmens sehr ähnlich. Der einzige Unterschied besteht darin, dass kein Active Directory erforderlich ist, dieses aber verwendet werden kann, falls es nötig sein sollte. Diese CA ist oft offline, um die Gültigkeit der ursprünglichen Zertifikate und Schlüssel zu garantieren.
씰
Eigenständige untergeordnete CAs. Diese CAs bedürfen keiner Active Directories (falls nötig, können sie aber verwendet werden). Eine eigenständige untergeordnete CA muss ihr Zertifikat von einer anderen CA ausgestellt bekommen. Sie ist zwar untergeordnet, kann aber auch eine übergeordnete CA sein, wenn sie einer anderen CA ein Zertifikat ausstellt.
Erweiterte Optionen. Sind während der Installierung Ihrer CA erweiterte Optionen möglich, müssen Sie Folgendes angeben: 씰
Kryptografiendienstanbieter (Cryptographic Service Provider – CSP). Erzeugt öffentliche und private Schlüssel.
505
506
Kapitel 8
Zertifikatsdienste
씰
Schlüssellänge. Je länger der Schlüssel, desto sicherer.
씰
Hash-Algorithmus. Berechnung, um den Hash-Wert eines Teils der Daten zu produzieren. Der Standard ist der sichere Hash-Algorithmus (SHA) -1, der den Hash-Wert 160 Bit hat.
씰
Name der CA. Sie können so ziemlich jedes Zeichen für den Namen einer CA eingeben. Der Name, den Sie der CA geben werden, wird der gemeinsame Name (Common Name – CN) des definierten Namens der CA im Active Directory sein. Sonderzeichen (Nicht-ASCII-Zeichen und ASCII-Interpunktionszeichen) werden aus einem sicheren Namen entfernt. Denken Sie auch daran, dass Active Directory auf 64 Zeichen begrenzt ist. Wird diese Länge überschritten, so wird der Name abgeschnitten.
씰
Organisation. Name Ihrer Organisation, wie er bekannt ist.
씰
Organisationseinheit. Abteilung, die die CA verwaltet.
씰
Lokation. Stadt
씰
Bundesstaat oder Provinz.
씰
Land. Der X.500-zwei-Zeichen-Code für Ihr Land.
씰
Pfad der Datenbank. Standardmäßig unter \systemroot\system32\certlog gespeichert
씰
Freigegebene Ordner. Sie können für Informationen der CA einen freigegebenen Ordner erstellen, wenn die CA an keiner Active Directory teilnimmt (z.B. ein eigenständiger Server).
8.2.1
Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens
Nach der Installierung der Stammzertifizierungsstelle werden Sie wahrscheinlich zusätzliche CAs installieren wollen. Hierbei handelt es sich um untergeordnete CAs. Die Beziehung zwischen einer Stammzertifizierungsstelle und der direkt von ihr abzweigenden anderen CAs ist unter- bzw. übergeordnet. Die untergeordnete CA kann dann eine Beziehung zu einer anderen CA erstellen, wodurch sie eine übergeordnete CA wird. Diese Verzweigung unter- bzw. übergeordneter Stellen kann sehr groß sein und sich so verzweigen, dass verschiedene Organisationseinheiten, Abteilungen, geografische Speicherorten usw. abgedeckt werden.
8.2 Installieren der CA
Für das Installieren und Konfigurieren einer untergeordneten Zertifizierungsstelle eines Unternehmens gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 8.1
Installieren und Konfigurieren einer CA
1. Melden Sie sich bei der voraussichtlichen untergeordneten CA als Domänenadministror an. Wählen Sie START, EINSTELLUNGEN, SYSTEMSTEUERUNG (siehe Abbildung 8.1). Abbildung 8.1 Gehen Sie in Windows 2000 in das Programm Hinzufügen/Entfernen der Systemsteuerung, um eine CA zu installieren.
2. Doppelklicken Sie auf SOFTWARE und gehen anschließend auf WINDOWSKOMPONENTEN HINZUFÜGEN/ENTFERNEN. Der Windows-KomponentenAssistent wird geöffnet und zeigt eine Liste von Komponenten zum Hinzufügen bzw. Entfernen an (siehe Abbildung 8.2). 3. Wählen Sie die ZERTIFIKATSDIENSTE-Option und klicken Sie dann auf WEITER. Sie werden gewarnt, dass der Computer nicht umbenannt oder einer Domäne hinzugefügt bzw. von einer entfernt werden kann, nachdem Sie diesen Dienst hinzugefügt haben (siehe Abbildung 8.3). 4. Klicken Sie auf JA, um das Dialogfenster, das diese Warnung enthält, zu schließen. Wählen Sie den Zertifizierungsstellentyp, den Sie einrichten wollen (siehe Abbildung 8.4). Wählen Sie ERWEITERTE OPTIONEN und klicken Sie auf WEITER. Das Dialogfenster ÖFFENTLICH-PRIVATES SCHLÜSSELPAAR erscheint (siehe Abbildung 8.5).
507
508
Kapitel 8
Zertifikatsdienste
Abbildung 8.2 Mit dem WindowsKomponentenAssistenten können Sie selektiv Komponenten Ihrem Computer hinzufügen.
Abbildung 8.3 Wenn Sie einen Zertifikatsdienst erst einmal installiert haben, können Sie dies nicht rückgängig machen. Abbildung 8.4 Wählen Sie den Zertifizierungstyp aus, den Sie installieren wollen.
8.2 Installieren der CA
Abbildung 8.5 Geben Sie in das Öffentliche und Private SchlüsselpaarDialogfenster die Einstellungen ein, um ein Schlüsselpaar zu erstellen oder wählen Sie ein bereits existierendes Schlüsselpaar aus.
Abbildung 8.6 Geben Sie die Informationen zur Identifizierung der CA, die Sie installieren möchten, ein.
5. Wählen Sie den Kryptografiedienstanbieter, den Hashalgorithmus, VORHANDENE SCHLÜSSEL ANWENDEN, SCHLÜSSELLÄNGE und klicken Sie dann auf WEITER. Die Informationen über die Zertifizierungsstelle erscheinen (siehe Abbildung 8.6).
509
510
Kapitel 8
Zertifikatsdienste
6. Geben Sie die DETAILS DER ZERTIFIZIERUNGSSTELLE (CA) ein und klicken Sie auf WEITER. Das Dialogfenster DATENSPEICHERUNGSPFAD erscheint (siehe Abbildung 8.7). 7. Geben Sie den Speicherort der Zertifikatsdatenbank ein oder nehmen Sie die Standardeinstellung an, und klicken Sie anschließend auf WEITER. Das Dialogfeld ZERTIFIKATSANFORDERUNG wird geöffnet (siehe Abbildung 8.8). Abbildung 8.7 Geben Sie in die Zertifikatsdatenbank den Pfad und das Protkoll der Zertifikatsdatenbank ein.
Abbildung 8.8 Sie können ein Zertifikat entweder direkt anfordern oder die Anforderung in einer Datei speichern.
8.2 Installieren der CA
Abbildung 8.9 Das Dialogfenster Warnung bietet Ihnen die Möglichkeit, sicherzugehen, dass der Dienst nun beendet werden kann.
8. Wenn die übergeordnete CA online ist, wählen Sie die Option ANFORDERUNG DIREKT AN EINE IM NETZWERK VORHANDENE ZERTIFIZIERUNGSSTELLE SENDEN und gehen Sie sicher, dass der richtige Computername und die übergeordnete CA angezeigt werden. Wenn die übergeordnete CA offline ist, wählen Sie die Option ANFORDERUNG IN DATEI SPEICHERN und überprüfen Sie, ob der richtige Dateiname angezeigt ist. Wenn Sie sicher sind, dass der Inhalt des Dialogfensters CA-ZERTIFIKATSANFORDERUNGEN richtig ist, klicken Sie auf WEITER. 9. Wenn der Internet Information Service gerade aktiv ist, erscheint das Dialogfenster WARNUNG (siehe Abbildung 8.9). Sie werden gefragt, ob Sie den Dienst beenden möchten. Klicken Sie auf OK. 10. Klicken Sie auf OK, um den Dienst mit den erforderlichen Parametern zu installieren, und klicken Sie anschließend auf BEENDEN, um den Assistenten zu beenden.
8.2.2
Installieren und Konfigurieren einer eigenständigen Stammzertifizierungsstelle
Der Installationsvorgang eines eigenständigen Stammzertifizierungsstellen-Servers ähnelt dem der Installation eines Organisationszertifizierungsstellen-Servers. Der Hauptunterschied beim Installieren eines eigenständigen CA-Servers ist, dass Sie kein Zertifikat von einem anderen CA Server anfordern müssen. Ein eigenständiger CA-Server besitzt nämlich seine eigenen ursprünglichen Zertifikate.
8.2.3
Aktualisieren des Zertifikatsservers 1.0
Wenn Sie einen Windows-NT-4-Server, der auch den Zertifikatsserver 1.0 verwendet, auf Windows 2000 aktualisieren, aktualisiert Windows 2000 automatisch den Zertifikatsserver 1.0 mit den CA-Diensten. Wenn der Zertifikatsserver 1.0 seine eigenen Richtlinien vor der Aktualisierung verwendet, ermöglicht Windows 2000 dem Server, seine Richtlinien zu verfolgen,
511
512
Kapitel 8
Zertifikatsdienste
anstatt mit den standardmäßigen Anweisungen zu arbeiten, die im Windows-2000Server integriert sind. Die ursprünglichen Richtlinien werden als »veraltet« bezeichnet. Wenn der Zertifikatserver 1.0 die Standardrichtlinie, die in dieser Software enthalten ist, verwendet, aktualisiert Windows 2000 die Richtlinie und passt sie der standardmäßigen Sicherheitsrichtlinie an, die für Zertifikatsdienste verwendet werden. Denken Sie daran, dass die Aktualisierung des Zertifikatservers 1.0 nicht automatisch ein Teil der Installation ist. Die neuen Zertifikatsdienste sind zwar installiert, die Konfiguration ist aber leer. Sie werden die Konfigurierung beenden müssen. Um die alten Datenbanken in die aktualisierte CA zu übertragen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 8.2
Übertragen alter Datenbanken in neue, aktualisierte CAs
1. Öffnen Sie die MICROSOFT MANAGEMENT-KONSOLE (MMC). Klicken Sie anschließend auf DIENSTE. Klicken Sie mit der rechten Maustaste auf ZERTIFIKATSDIENSTE und wählen Sie BEENDEN im Pop-up-Menü (siehe Abbildung 8.10). Abbildung 8.10 Wenn Sie mit der rechten Maustaste den Namen in der Konsolenstruktur anklicken, erscheint ein Popup-Menü.
8.2 Installieren der CA
Abbildung 8.11 Um eine alte Datenbank zu übertragen, müssen Sie die Eingabeaufforderung verwenden.
Abbildung 8.12 Die CA wird dem Verwaltungsmenü hinzugefügt, wenn der Zertifikatsdienst installiert ist.
2. Wählen Sie START, AUSFÜHREN, tippen Sie cmd und drücken Sie auf ENTER, um den Befehl zu bestätigen. 3. Tippen Sie certutil ConvertMDB und Befehl bestätigen (siehe Abbildung 8.11). 4. Wählen Sie START, PROGRAMME, VERWALTUNG und wählen Sie ZERTIFIZIERUNGSSTELLE (siehe Abbildung 8.12). Klicken Sie mit der rechten Maustaste auf den Servernamen der CA und wählen Sie unter ALLE TASKS DIENST STARTEN (siehe Abbildung 8.13).
513
514
Kapitel 8
Zertifikatsdienste
Abbildung 8.13 Sie können den Zertifikatsdienst vom Verwaltungsmenü der Zertifizierungsstelle starten und stoppen.
8.2.4
Erneuern der Zertifikate für CAs
Teil Ihrer Aufgabe wird sein, die Zertifikate für eine jede Art von CAs in Ihrer Umgebung zu erneuern. Die Stammzertifizierungsstelle ist hierbei am wichtigsten, da sie in der Hierarchie ganz oben steht. Aus Sicherheitsgründen befindet sie sich mit Hardware-Fehlertoleranz in einem physisch sicheren Umfeld und ist sogar, wenn möglich, offline, um Verfälschungen vorzubeugen. Wegen der Anforderungen einer Stammzertifizierungsstelle planen und konfigurieren Sie das Zertifikat dieser Stelle so, dass es auch für eine lange Zeit gültig ist.
Praxistipp Der Schlüssel zur Sicherheit Beim Erstellen einer Stammzertifizierungsstelle müssen Sie ebenfalls für die Langlebigkeit öffentlicher und privater Schlüssel dieser Stelle sorgen. Hierfür müssen Sie eine lange Schlüssellänge verwenden, was sich gleichzeitig als Abschreckungsmittel für Hacker eignet. Je länger der Schlüssel, desto länger können Sie private und öffentliche Schlüssel verwenden, ohne sich dabei Sorgen machen zu müssen, dass die Schlüssel gefährdet sind. Microsoft rät, während des Setups eines Zertifikatsdienstes, einen 4096-Bit-RSASchlüssel zu erstellen. Einen solchen Schlüssel zu knacken, würde etwa 15 bis 20 Jahre dauern. Zusätzlich kann kofiguriert werden, dass dieser Schlüssel erst nach
8.2 Installieren der CA
einer Dauer von 5 Jahren abläuft. Bis die CA erneuert werden muss, wird die 4096Bit-Schlüssellänge vom Fortschritt der Technik vielleicht schon überholt sein und ein anderer Algorithmus wird angewendet werden können.
Für die Erneuerung einer Stammzertifizierungsstelle gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 8.3
Erneuerung einer Stammzertifizierungsstelle
1. Melden Sie sich im System als Administrator an. 2. Wählen Sie START, PROGRAMM, VERWALTUNG, ZERTIFIZIERUNGSSTELLE. Das Dialogfenster ZERTIFIZIERUNGSSTELLE wird geöffnet (siehe Abbildung 8.13). 3. Klicken Sie mit der rechten Maustaste auf die Zertifizierungsstelle und wählen Sie anschließend ALLE TASKS, ZERTIFIZIERUNGSSTELLENZERTIFIKAT ERNEUERN. Das entsprechende Dialogfenster wird erscheinen (siehe Abbildung 8.14). 4. Wählen Sie JA, um einen neuen öffentlichen und privaten Schlüssel zu erzeugen. Wenn Sie NEIN wählen, wird das schon existierende öffentliche und private Schlüsselpaar verwendet werden. Klicken Sie dann auf OK.
Abbildung 8.14 Verwenden Sie Zertifizierungsstellenzertifikat erneuern, um die Gründe für das Erstellen einer neuen CA im Gegensatz zu einer Erneuerung schon existierender CAs angezeigt zu bekommen
515
516
Kapitel 8
Zertifikatsdienste
ACHTUNG Achten Sie auf das Ablaufdatum. Wenn Sie ein Zertifikat einer untergeordneten CA erneuern möchten, denken Sie immer daran, dass das Ablaufdatum einer untergeordneten CA etwas kürzer ist als das einer übergeordneten. Mit anderen Worten: Erneuern Sie zuerst das Zertifikat einer übergeordneten CA, bevor Sie sich an die Erneuerung des Ablaufdatums einer untergeordneten CA machen. Sollten Sie dies nicht tun, werden Sie ein neues Zertifikat erstellen, aber sein Ablaufdatum wird von dem der übergeordneten CA abhängig sein.
Microsoft empfiehlt, den untergeordneten CAs sechs bis zwölf Monate vor Ende des Ablaufdatums ein neues Zertifikat auszustellen. Innerhalb Ihrer Hierarchie haben Sie vielleicht fortgeschrittene CAs erstellt, die keinen Anwendern, sondern nur untergeordneten CAs Zertifikate ausstellen werden. Diese Delegierung der Zertifikatsausstellung ist durchaus akzeptabel, da fortgeschrittene CAs nur mit den Stammzertifizierungsstellen kommunizieren. Wann aber werden die von den Stammzertifizierungsstelles ausgestellten Zertifikate der fortgeschrittenen CAs ablaufen? Erinnern Sie sich, dass die Stammzertifizierungsstelles die Gültigkeitsdauer der untergeordneten Stellen staffelt. Sie müssen also überwachen, wann die Zertifikate ablaufen, um diese rechtzeitig (6 bis 12 Monate vor Ablaufdatum) zu erneuern.
8.3
Ausstellen und Sperren von Zertifikaten
Bevor eine CA ein Zertifikat ausstellen kann, muss erst einmal ein Zertifikat angefordert werden. Zertifikatsanforderungen können von Anwendern, Computern oder sogar von Dienstanbietern, wie etwa andere CAs, gemacht werden. Je nachdem, wie die CAs installiert und konfiguriert sind, können Zertifikatsanforderungen automatisch erfolgen. Ein Beispiel hierfür wäre, wenn man für das Anmelden in einer Domäne eine Smart Card verwenden würde. Als Teil der SmartCard-Anmeldung erfolgt die Zertifikatsanforderung automatisch.
8.3.1
Verwenden des Zertifikat-Snap-Ins
Mit Zertifikat-Snap-Ins können Anwender den Zertifikatsanforderungsassistenten verwenden, um von der Windows 2000 Organisation: CA ein neues Zertifikat ausgestellt zu bekommen.
8.3 Ausstellen und Sperren von Zertifikaten
Als Administrator können Sie Snap-Ins Ihrer MMC hinzufügen und Ihr Anwenderkonto, das Computerkonto und lokale Dienste selbst verwalten. Als regelmäßiger Anwender können Sie lediglich Ihre eigenen Anwenderkonto-Zertifikate verwalten. Um MMC das Zertifikat-Snap-In hinzuzufügen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 8.4
Starten des Snap-In-Zertifikats
1. Wählen Sie START, AUSFÜHREN. Geben Sie MMC ein und drücken Sie auf ENTER oder klicken Sie OK an. MMC wird geöffnet (siehe Abbildung 8.15). Abbildung 8.15 Mit MMC können Sie eine Vielzahl von Funktionen eines Windows2000-Servers von einer Schnittstelle aus verwalten.
2. Wählen Sie KONSOLE, SNAP-IN HINZUFÜGEN/ENTFERNEN und klicken Sie dann HINZUFÜGEN an. Das Dialogfenster EIGENSTÄNDIGES SNAP-IN HINZUFÜGEN erscheint (siehe Abbildung 8.16). 3. Doppelklicken Sie auf ZERTIFIKATE. Ein Administrator kann zwischen ANWENDER, COMPUTER oder DIENSTE auswählen. Alle anderen erhalten lediglich die Zertifikats-Option für das Verwalten seines oder ihres eigenen Kontos. 4. Klicken Sie auf SCHLIESSEN. Das Dialogfenster HINZUFÜGEN EIGENSTÄNDIGER SNAP-IN wird geschlossen. Klicken Sie anschließend auf OK. 5. Wählen Sie KONSOLE, SPEICHERN. Das SPEICHERN erscheint (siehe Abbildung 8.17).
UNTER-Dialogfenster
517
518
Kapitel 8
Zertifikatsdienste
Abbildung 8.16 Wenn Sie Ihre CA mit MMC verwalten wollen, müssen Sie ein CA-Snap-In hinzufügen.
Abbildung 8.17 Mit MMC können Sie verschiedene Konfigurierungen der Konsole speichern.
6. Geben Sie der Konsole den Namen ZERTIFIKATE und klicken Sie auf SPEICHERN. Nachdem Sie das Zertifikats-Snap-In hinzugefügt haben, können Sie bei der CA ein Zertifikat anfordern. Wählen Sie innerhalb der Zertifikatskonsole die CA, bei der Sie ein Zertifikat anfordern möchten. Sie müssen ebenfalls die geeignete Zertifikatsvorlage für das neue Zertifikat auswählen. Eine Zertifikatsvorlage ist eine schon vorher definierte Reihe von Regeln für das Zertifikat, das ausgestellt werden soll. In der Option ERWEITERT können Sie die CSP für die Schlüssel, die von der CA zugewiesen werden, wählen.
8.3 Ausstellen und Sperren von Zertifikaten
8.3.2
Verwenden der Windows-2000-ZertifikatsdiensteWebseite
Die zweite Möglichkeit, Zertifikate anzufordern, ist, die Anforderung über die Zertifikatsdienste-Webseite von Windows 2000 laufen zu lassen. Während der Installation einer CA werden Webseiten auf den entsprechenden IIS installiert. Standardmäßig haben Anwender unter http://servername/certsrv Zutritt zu diesen Seiten. Bei Zertifikatsanforderungen eines eigenständigen Servers müssen Sie die Windows-2000-Zertifikationsdienste- Webseite verwenden, da eigenständige Server für die Verteilung von Zertifikaten nicht auf Active Directory angewiesen sind. Hinzu kommt, dass Sie, wenn Sie Ihre Schlüssel nicht als exportierbar markieren, diese Webseiten für das Exportieren der Schlüssel benutzen müssen. Der Zertifikatsanforderungs-Assistent verfügt nicht über eine solche Option.
8.3.3
Bearbeiten der Anforderungen
Was geschieht denn nun, wenn die ausgestellten Anforderungen, durch welche Methode auch immer, bei der CA ankommen? Die Anforderung wird sofort bearbeitet, egal ob sie nun von einer Organisation: CA stammt oder nicht. Die Ergebnisse der bearbeiteten Anforderung schlagen entweder fehl oder werden gestattet, und dem Antragsteller zugestellt. Dieser wird wiederum aufgefordert, das ausgestellte Zertifikat zu installieren. Wurde Ihre Anforderung jedoch für einen eigenständigen Server ausgestellt, so wird dieser sämtliche Zertifikatsanforderungen standardmäßig als noch ausstehend markieren. Sie werden solange als ausstehend behandelt werden, bis ein Administrator der Anforderung zustimmt oder nicht.
8.3.4
Überprüfen von noch ausstehenden Anforderungen
Haben Sie einem eigenständigem Server eine Anforderung gesendet, wird diese als noch ausstehend markiert werden. Um den Status der noch ausstehenden Anforderung zu überprüfen, verwenden Sie den Internet Explorer und befolgen Sie folgende Schritte:
SCHRITT FÜR SCHRITT 8.5
Überprüfen einer noch ausstehenden Zertifikatsanforderung
1. Öffnen Sie den Internet Explorer, falls dieser nicht schon geöffnet worden ist, und tippen Sie http://servername/certsrv ein. Ersetzen Sie das Wort servername durch den aktuellen Namen des Zertifikatsservers (siehe Abbildung 8.18).
519
520
Kapitel 8
Zertifikatsdienste
2. Wenn die Seite geladen wird, wählen Sie die Option ÜBERPRÜFEN DER AUSSTEHENDEN ZERTIFIKATE. Klicken Sie anschließend auf WEITer. Abbildung 8.18 Sie müssen auf die Webseite des Zertifikatsdienst-Servers gehen, um Zertifikate zu erhalten.
3. Stehen keine Zertifikatsanforderungen aus, werden Sie darüber von Microsoft informiert (siehe Abbildung 8.19). Ansonsten wählen Sie die Anforderung, die Sie überprüfen wollen und klicken Sie dann auf WEITER. Die ausstehenden Anforderungen werden entweder als ausstehend, ausgestellt oder abgelehnt angezeigt. Abbildung 8.19 Der Zertifikatsdienstserver liefert Berichte über noch ausstehende Zertifikatsanforderungen.
8.3 Ausstellen und Sperren von Zertifikaten
4. Wenn Sie die Anforderung für ein noch ausstehendes Zertifikat stornieren möchten, entfernen Sie die Anforderung mit Remove. 5. Wenn Sie die Zertifikatsanforderungen gesehen haben, schließen Sie den Internet Explorer
8.3.5
Anwenderkonten Zertifikate zuordnen
Bis jetzt haben wir die Zertifikatsanforderung und die darauf folgende Antwort einer CA besprochen. Aber wie steht es denn mit dem Vorbereiten der Zertifikate und deren Zuordnung an die Anwender? Mit der Standardanmeldung (ohne Verwendung von Smart Card) in einer Windows2000-Domäne werden die Anmeldeanforderungen einem Domänencontroller weitergeleitet. Die Gültigkeit der Anmeldekennung des Anwenders (ID – Logon Identifier) und das Passwort werden überprüft. Erst dann wird dem Anwender gestattet, sich anzumelden. Dieses Modell der Client/Server-Beziehung mittels eines benannten Rohres ist sehr vertrauenswürdig und die Anwenderauthentifizierung wird gewährleistet. Was aber, wenn unser Netzwerk sich erweitert und sich mit anderen Netzwerken und eventuell mit unserer Datenbank verzweigt, die Millionen von Anwenderkonten enthalten kann oder muss? Ganz einfach: Das Zertifikat wird einem Anwenderkonto zugeordnet. Der Bedarf an zentralisierten Datenbanken, welche Anwendernamen und Passwörter für die Anmeldung enthalten, kann durch die Zuordnung von Zertifikaten an Anwenderkonten ersetzt werden. Ein öffentlicher Schlüssel wird jedem Anwenderkonto zugeordnet werden, sodass das Zertifikat bei der Anmeldung untersucht und überprüft wird und die Anmeldung des Anwenders eventuell abgeschlagen werden kann. Der Anwender informiert das System über sein Zertifikat, das System untersucht den entsprechenden Schlüssel und bestimmt dann, welches Anwenderkonto die Erlaubnis erteilt bekommt, sich anzumelden. Die Zuordnung erfolgt entweder durch Active Directory oder durch IIS. Normalerweise wird immer nur ein Zertifikat einem Anwenderkonto zugeordnet. Sie haben jedoch auch die Wahl, eine Vielzahl von Zertifikaten einem einzigen Anwenderkonto zuzuordnen: die so genannte Many-to-one-Zuordnung.
521
522
Kapitel 8
Zertifikatsdienste
Zuordnung an den Principal-Namen des Anwenders Mit Active Directory stimmt der Principal-Name des Anwenders mit dem Zertifikat der Organisation: CA überein. Als Teil der Erstellung einer Zertifizierung von einer Organisation: CA sind Principal-Namen der Anwender im Zertifikat enthalten. Eins-zu-eins-Zuordnung Wie der Name schon sagt, entspricht eine Eins-zu-eins-Zuordnung einem einzigen Zertifikat, das einem einzigen Anwenderkonto zugeordnet wird. Eine Eins-zu-einsZuordnung kann beispielsweise durch ein Extranet erfolgen. Wenn ein Unternehmen eine Website erstellt hat, mit der Verkaufsberichte aktualisiert und unterbreitet werden, können Kommissionen und der Status der Bestellungen überprüft werden. Es wird dann zweifelsohne in Ihrem Interesse sein, diese Site abzusichern. Indem Sie Anwenderzertifikate ausstellen, die auf Windows-2000-Konten angelegt sind, gewähren Sie den Anwendern über Internet Zutritt zur Site. Die Benutzer können ihre Anmeldeinformationen angeben und anschließend über die Informationen auf der Seite verfügen, als hätten sie eine direkte Verbindung zu einem LAN-Netzwerk in Ihrem Büro. Mehrere-zu-eins-Zuordnung Etwas seltener, aber dennoch ab und zu findet man die Mehrere-zu-eins-Zuordnung. Wie ihr Name schon sagt, handelt es sich hier um eine Option, mit der Sie eine Vielzahl von Zertifikaten, die von verschiedenen CAs stammen, einem einzigen Windows-2000-Konto zuordnen.
Praxistipp Eine mehrere-zu-eins-Zuordnung kann bei Anschaffungen sehr hilfreich sein Ein Beispiel einer Mehrere-zu-eins-Zuordnung wäre, wenn Ihr Unternehmen ein anderes aufkauft. Die existierenden CAs des aufgekauften Unternehmens bieten eine Eins-zu-eins-Zuordnung für deren Ressourcen an. Sie aber möchten, dass die Angestellten der erworbenen Firma die Ressourcen auf dem Netz verwenden, das Ihr Unternehmen anbietet. Zu Beginn werden die Anwender aber Ressourcen von beiden Unternehmen benötigen. Konfigurieren Sie Ihre Domäne, sodass die Anwender Konten in Ihrer Domäne haben werden, ordnen Sie Ihre Zertifikate den Konten der Anwender zu und ordnen Sie anschließend die Zertifikate der CA des
8.3 Ausstellen und Sperren von Zertifikaten
erworbenen Unternehmens ebenfalls deren Konten zu. Die CA des erworbenen Unternehmens kann hinzugefügt werden, wenn Sie sie als vertrauenswürdigen Stamm in Ihr Unternehmen installieren.
8.3.6
Ansicht eines ausgestellten Zertifikats
Nachdem ein Zertifikat ausgestellt wurde, können Sie die darin enthaltenen Informationen angezeigt bekommen. Öffnen Sie hierfür die entsprechende MMC, wählen Sie ZERTIFIKATE, LOGISCHER SPEICHER, ZERTIFIKATE und doppelklicken Sie das Zertifikat im Einzelheitenbereich an. Das Dialogfenster öffnet sich und zeigt Seiten an, die folgende Informationen enthalten: 씰
Überblick über die Zertifikate
씰
Verwendungen des Zertifikats
씰
Wem das Zertifikat ausgestellt wurde
씰
Gültigkeitsdauer des ausgestellten Zertifikats
씰
Die vertrauenswürdige Stammzertifizierungsstelle
씰
Zertifikat einer untergeordneten CA
씰
Vertrauensstatus
씰
Zertifizierungsstatus
씰
Version des Zertifikats
씰
Seriennummer
씰
Algorithmus
씰
Aussteller
씰
Das Subjekt, also der Name der CA (oder desjenigen, der das Zertifikat ausgestellt hat)
씰
Der öffentliche Schlüssel
씰
Fingerabdruckalgorithmus
씰
Fingerabdruck
씰
Angezeigter Name
씰
Die erweiterte Option der Schlüsselverwendung, welche definiert, wie das Zertifikat verwendet werden soll
523
524
Kapitel 8
8.3.7
Zertifikatsdienste
Sperren ausgestellter Zertifikate
Es kann manchmal vorkommen, ein bereits ausgestelltes Zertifikat wieder zu sperren. Dies kann aus folgenden Gründen geschehen: 씰
Ein Anwender mit einem ausgestellten Zertifikat verlässt die Entität.
씰
Ein Anwender mit einem ausgestellten Zertifikat ist in den Augen der Entität nicht mehr vertrauenswürdig.
씰
Verdacht, dass der private Schlüssel des Anwenders gefährdet ist.
씰
Ein Anwender hat ein Zertifikat erhalten, obwohl er absolut nicht dazu berechtigt war.
Wenn Sie ein ausgestelltes Zertifikat sperren, wird das gesperrte Zertifikat veröffentlicht und der Zertifikatsperrliste (Certificate Revocation List – CRL) beigefügt. Wie kommerzielle CAs auch, sind die Zertifikatsperrlisten für Client-Computer verfügbar. Somit können diese überprüfen, ob die Zertifikate überhaupt gültig sind. Ein ausgestelltes Zertifikat sperren Mit Snap-In können Sie Zertifikate sperren. Eine Sperrung sollte sofort erfolgen, wenn auch nur der geringste Verdacht bezüglich eines Zertifikats besteht. Nachdem das Zertifikat gesperrt wurde, wird es auf der Zertifikatsperrliste veröffentlicht werden. Für die Sperrung eines Zertifikats müssen Sie wie folgt vorgehen:
SCHRITT FÜR SCHRITT 8.6
Sperren eines Zertifikats
1. Melden Sie sich als Administrator an und öffnen Sie in der MMC-Konsole die Zertifizierungsstelle. 2. Klicken Sie in der Konsolenstruktur (siehe Abbildung 8.20) AUSGESTELLTE ZERTIFIKATE an. 3. Klicken Sie im Detailbereich das Zertifikat an, das gesperrt werden soll. 4. Wählen Sie VORGANG, ALLE VORGÄNGE, ZERTIFIKAT SPERREN. Das ZERTIFIKATSSPERRE-Dialogfenster öffnet sich und Sie werden nach den Gründen gefragt, warum Sie das Zertifikat sperren wollen (siehe Abbildung 8.21). 5. Wählen Sie einen der aufgeführten Gründe: UNBEKANNT, SCHLÜSSEL GEFÄHRDET, CA GEFÄHRDET, ZUORDNUNG GEÄNDERT, ABGELÖST, VORGANGSENDE, ZERTIFIKAT BLOCKIERT. Klicken Sie anschließend auf OK. Das Zertifikat wird gesperrt.
8.3 Ausstellen und Sperren von Zertifikaten
Abbildung 8.20 Um ein Zertifikat zu sperren, müssen Sie sich erst durch das CA- Snap- In Zugang zu diesem verschaffen.
Abbildung 8.21 Die Gründe, warum Sie ein Zertifikat sperren wollen, werden im Zertifikatsperr-Dialogfenster angegeben.
6. Um die Zertifikate, die Sie gesperrt haben, angezeigt zu bekommen, gehen Sie zur Konsolenstruktur, wählen Sie GESPERRTE ZERTIFIKATE, VORGANG, EIGENSCHAFTEN. Wählen Sie die Option ANSICHT DER AKTUELLEN ZERTIFIKATSPERRLISTE und klicken Sie dann auf SPERRLISTE. Arbeiten mit der Sperrliste Nachdem Sie ein Zertifikat gesperrt haben, wird dieses auf der Zertifikatsperrliste veröffentlicht. Als Administrator können Sie bestimmen, ab wann das Zertifikat auf dieser Liste veröffentlicht werden soll. Sie können aber auch ein früheres Datum der Veröffentlichung festlegen.
525
526
Kapitel 8
Zertifikatsdienste
Jedes Zertifikat enthält CRL-Verteilungspunkte. Somit kann das System aktualisiert werden, wenn ein Zertifikat gelöscht wurde. Die Verteilungspunkte zeigen auf, wo die CRL abgerufen werden kann. Standardmäßig ist die CRL-Datei auf der ausstellenden CA systemroot\system32\certsrv\certenroll lokalisiert. Sie können das Timing bestimmen, wie oft die CRL veröffentlicht werden soll. Hierfür müssen Sie in der Konsolenstruktur GESPERRTE ZERTIFIKATE wählen, VORGANG, EIGENSCHAFTEN. Die angeforderten Informationen werden geliefert. Wenn Sie die CRL manuell veröffentlichen wollen, wählen Sie VORGANG, ALLE VORGÄNGE, VERÖFFENTLICHEN und bestätigen Sie dann, dass die vorherige CRL überschrieben werden soll.
8.4
Verwenden der EFSSchlüsselwiederherstellung
Entfernen der EFS-Schlüsselwiederherstellung Haben Sie schon einmal erlebt, dass jemand wirklich hart an einer großen Anwender-ID gearbeitet hat, um sein Windows-Betriebssystem zu sichern, nur damit dann ein anderer seinen Computer benutzt, eine Diskette ins Laufwerk einlegt, DOS startet und trotz allem sämtliche Dateien liest? So wird normalerweise vorgegangen, wenn man sich illegalen Zutritt zu den Daten auf einem PC verschaffen will. Mit den richtigen Werkzeugen kann jemand, der physischen Zugang zu einem System hat, sogar die eingebauten Sicherheitsfeatures des Windows-2000-Betriebssystems umgehen und sich Zutritt zur Datensystem-Zugangskontrolle verschaffen, indem er die Dateien des Windows-NT-Dateiensystems (NTFS) liest. Was kann man dagegen unternehmen? Eine Alternative wäre z.B., den Startvorgang zu entfernen, obgleich diese Methode den Startvorgang nur aufhalten würde. Denn wenn sich jemand wirklich Zugang zu Ihren Daten verschaffen will, kann er dazu auch Ihre Festplatte verwenden. Um Ihre Daten effektiv abzusichern, müssen Sie sich einen Einblick in die Datenverschlüsselungs-Technologien verschaffen. Windows 2000 enthält eine neue EFS. EFS basiert auf den gleichen Sicherheitsprinzipien wie Zertifikate. EFS verschlüsselt Daten auf der Festplatte eines Computers und verwendet hierfür EFS-Schlüssel. Der Vorgang ist mit dem bei der Verschlüsselung von Informationen mittels Zertifikaten zu vergleichen. EFS verschlüsselt Daten in NTFS-Dateien auf der Platte. Sollte ein Anwender versuchen, sich Zutritt zu einer verschlüsselten NTFS-Datei zu verschaffen, und besitzt dieser Anwender den privaten Schlüssel der Datei, kann er die Datei öffnen und mit ihr, ähnlich wie mit einem normalen Dokument, arbeiten. Anwendern, die diesen privaten Schlüssel nicht besitzen, wird der Zugang verweigert. EFS-Schlüssel können auf separaten Medien gespeichert werden.
8.4 Verwenden der EFS-Schlüsselwiederherstellung
Bei EFS handelt es sich also um ein optimales Sicherheitswerkzeug. Dies trifft ganz besonders für Laptop-Anwender zu. Beispiel: Ein Angestellter begibt sich auf Geschäftsreise und nimmt sein Laptop mit. Es wird davon ausgegangen, dass die Informationen über das Unternehmen abgesichert sind, da sie ja verschlüsselt sind. Was aber, wenn das Laptop gestohlen wird, der Dieb den Anmeldenamen und das Passwort herausfindet und zusätzlich die Brieftasche gestohlen wurde, in der sich die Smart Card befand?
8.4.1
Exportieren der EFS-Schlüssel
Um Ihre Daten vor Diebstahl zu schützen, können Sie die EFS-Schlüssel von sämtlichen ungeschützten Computern entfernen und sie auf dem Netzwerk, auf einer Diskette oder irgendeiner anderen Art von Medien speichern. Mit dem Entfernen der EFS-Schlüssel verhindern Sie, dass sich jemand unberechtigt Zutritt durch einfaches Anmelden zu den Daten verschafft. Die Schlüssel für die Daten sind woanders gespeichert. Wo aber sollen wir die Disketten nun sicher aufbewahren? Um die EFS-Schlüssel zu entfernen, gehen Sie wie folgt vor:
SCHRITT FÜR SCHRITT 8.7
Exportieren der EFS-Schlüssel
1. Öffnen Sie das Snap-In-Zertifikat, gehen Sie in den persönlichen Ordner (siehe Abbildung 8.22) und öffnen Sie den Zertifikats-Unterordner. Im Anzeigebereich EINZELHEITEN werden die Anwenderzertifikate auf diesem Computer angezeigt werden. 2. Klicken Sie mit der rechten Maustaste auf ZERTIFIKAT, wählen Sie ALLE VORGÄNGE. Ein Drop-down-Menü wird angezeigt. Wählen Sie in diesem Menü EXPORT. Das ZERTIFIKAT EXPORT ASSISTENT-Dialogfenster erscheint (siehe Abbildung 8.23). 3. Gehen Sie zum Dialogfenster PRIVATEN SCHLÜSSEL EXPORTIEREN (siehe Abbildung 8.24) und wählen Sie JA, anschließend die Option PRIVATEN SCHLÜSSEL EXPORTIEREN. Klicken Sie auf WEITER und das Dialogfenster EXPORTDATEIFORMAT erscheint (siehe Abbildung 8.25).
527
528
Kapitel 8
Zertifikatsdienste
Abbildung 8.22 Um die Anwenderzertifikate angezeigt zu bekommen, müssen Sie das MMC-Snap-In Zertifikat verwenden.
Abbildung 8.23 Für das Exportieren von Zertifikaten können Sie den ZertifikatexportAssistenten verwenden.
8.4 Verwenden der EFS-Schlüsselwiederherstellung
Abbildung 8.24 Der ZertifikatexportAssistent warnt Sie, dass Sie für das Exportieren von Schlüsseln ein Passwort benötigen.
Abbildung 8.25 Sie können sämtliche Anwenderzertifikate miteinschließen, die verstärkte Sicherung aktivieren und den Schlüssel nach dem Exportieren löschen.
529
530
Kapitel 8
Zertifikatsdienste
Abbildung 8.26 Sie müssen ein Passwort eingeben, wenn Sie einen privaten Schlüssel exportieren wollen. Mit demselben Passwort importieren Sie den Schlüssel dann wieder.
4. Wählen Sie die Option PRIVATER INFORMATIONSAUSTAUSCH – PUBLIC-KEY CRYPTOGRAPHY STANDARDS (PKCS)#12 (PFX). Die Option VERSTÄRKTE SICHERUNG AKTIVIEREN wird standardmäßig gewählt. Wählen Sie die Option PRIVATEN SCHLÜSSEL NACH ERFOLGREICHEM EXPORT LÖSCHEN und klicken Sie anschließend auf WEITER. Da Sie die Option PRIVATEN SCHLÜSSEL EXPORTIEREN gewählt haben, werden Sie dazu aufgefordert, ein Passwort einzugeben, welches Sie wieder verwenden können, wenn Sie den Schlüssel später wieder importieren möchten (siehe Abbildung 8.26). 5. Geben Sie Ihr Passwort ein und klicken Sie anschließend auf WEITER. Das Dialogfenster EXPORTDATEI erscheint (siehe Abbildung 8.27). 6. Speichern Sie den Dateinamen in einem Netzwerk-Speicherort oder auf einer Diskette, klicken Sie auf WEITER und überprüfen Sie Ihre Einstellungen in dem Fenster, das erscheinen wird. Klicken Sie auf SCHLIESSEN, um den Zertifikatexport-Assistenten zu schließen.
8.4.2
Wiederherstellen der EFS-Schlüssel
Nachdem Sie die EFS-Schlüssel exportiert und die Sicherungsdatei erstellt haben, werden Sie die Schlüssel wieder in das System importieren müssen, wenn Sie mit EFS Zugang zu den Dateien haben wollen. Beim Importieren der EFS-Schlüssel wird fast genauso vorgegangen wie beim Exportieren.
8.4 Verwenden der EFS-Schlüsselwiederherstellung
Abbildung 8.27 Sie müssen den Dateinamen und den Speicherort angeben, an den Ihr privater Schlüssel exportiert werden soll.
ACHTUNG Passwort-Warnung. Wählen Sie ein Passwort für alle EFS-Vorgänge. Sollten Sie dieses Passwort vergessen, werden Sie keinen Zugang zu Ihren Daten mehr haben.
SCHRITT FÜR SCHRITT 8.8
Importieren der EFS-Schlüssel
1. Öffnen Sie die Snap-In-Zertifikate, gehen Sie in den persönlichen Ordner und öffnen Sie dort den Zertifikat-Unterordner. Unter EINZELHEITEN werden die Anwenderzertifikate, die es auf diesem Computer gibt, angezeigt werden. 2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie ALLE VORGÄNGE und EXPORT vom Drop-down-Menü, das erscheint. Das ZERTIFIKATIMPORT-ASSISTENT-Dialogfenster erscheint (siehe Abbildung 8.28). 3. Klicken Sie auf WEITER, um die exportierten Schlüssel zu lokalisieren. Das Dialogfenster DATEIIMPORT erscheint (siehe Abbildung 8.29). 4. Geben Sie den Pfad ein, auf dem die Datei gespeichert ist und klicken Sie dann auf WEITER. Das Dialogfenster PASSWORT erscheint (siehe Abbildung 8.30). 5. Geben Sie das Passwort für den privaten Schlüssel ein und klicken Sie dann auf WEITER. Das Dialogfenster ZERTIFIKATSPEICHER erscheint (siehe Abbildung 8.31).
531
532
Kapitel 8
Zertifikatsdienste
Abbildung 8.28 Mit dem Zertifikatimport-Assistenten können Sie Zertifikate importieren.
Abbildung 8.29 Mit dem Dateiimport-Dialogfenster können Sie die Datei bestimmen, die importiert werden soll.
6. Geben Sie an, wo sich die Schlüssel befinden und klicken Sie auf WEITER. 7. Überprüfen Sie noch einmal die Einzelheiten des Import-Assistenten und klicken Sie dann auf SCHLIESSEN.
8.4 Verwenden der EFS-Schlüsselwiederherstellung
Abbildung 8.30 Für ein erfolgreiches Importieren der Schlüssel müssen Sie das korrekte Passwort eingeben.
Abbildung 8.31 Mit dem Zertifikatspeichern-Dialogfenster können Sie bestimmen, wo die importierten EFSSchlüssel auf Ihrem System gespeichert werden sollen.
533
534
Kapitel 8
Zertifikatsdienste
Fallstudie Das Wichtigste im Überblick Das Wesentliche des Falles ist Folgendes: 1. Uploaden sensitiver Daten über das Internet 2. Den Kunden über das Web sicheren Zugang zu deren eigenen Daten gewähren 3. Daten von Anfang bis Ende sichern
Situationsbeschreibung Rockwell Financial Services ist ein Unternehmen, das sich mit Finanzverwaltung und Investments beschäftigt und mit zahlreichen Versicherungs- und Investmentfirmen in ganz Nordamerika vertreten ist. Diese Vertretungen verwenden für ihre Laptops Windows 2000 Professional. Mitarbeiter nutzen ihren Laptop, um die Investmentinformationen von der Site des Clients aus einzugeben. Diese Informationen werden anschließend an die entsprechenden Netzwerke zurückgesendet. Die Daten werden an den lokalen Structured Query Language Server (SQL) und von dort aus schließlich an einen zentralen SQLServer in Chicago geschickt. Dem Unternehmen ist bewusst, dass diese Daten besonders abgesichert werden müssen. Deswegen sind die Firmenvertreter auch dazu verpflichtet, regelmäßig in das Büro zurückkehren, um ihre Informationen weiterzuleiten. Die Vertreter beschweren sich allerdings über die wertvolle Zeit, die sie somit vergeuden und die damit verbracht werden könnte, andere Kunden zu besuchen. In manchen Fällen gehen hierbei sogar Geschäfte verloren, da der Markt fluktuiert und Gelegenheiten also verpasst wurden. Rockwell Financial Services möchte gerne einen Plan implementieren, der den Vertretern ermöglichen würde, über das Internet mit dem SQL-Server in Verbindung zu treten und die Daten mit Hilfe einer Web-Schnittstelle upzuloaden – und das alles, während die Daten abgesichert werden. Zusätzlich möchte Rockwell Financial Services seinen Kunden einen Dienst anbieten, der diesen ermöglichen würde, via Internet direkten Zugriff zu den Konteninformationen zu erhalten.
Zusammenfassung
Situationsanalyse Rockwell Financial sollte CAs installieren. Eine Cas-Hierarchie könnte im Hauptsitz in Chicago beginnen und sich von dort aus verzweigen. Verkaufsvertreter würden von der lokalen CA ein Zertifikat ausgestellt bekommen. Es würde eine Web-Präsenz mit Verkaufsangeboten und einer SQLSchnittstelle erstellt werden, welche ein sicheres Uploaden der Kundendaten über Internet unterstützen würde. Zusätzlich könnte ein Plan zur Sicherung gespeicherter Daten auf den Laptops aufgestellt werden. Für die Verkaufsvertreter würden hierfür Smart Cards oder EFS-Implementierung verwendet werden. Eine Web-Präsenz würde für Kunden erstellt werden, die mit ihren persönlichen Daten Zugang haben. Von einer CA würde ein Zertifikat ausgestellt werden, das sicherstellen würde, dass die Kunden ausschließlich zu ihren eigenen Daten Zugang haben.
Zusammenfassung Schlüsselbegriffe 쎲
CA
쎲
Mehrere-zu-eins-Zuordnung
쎲
EFS
쎲
Organisation: Stammzertifizierungsstelle
쎲
Eigenständige Zertifikatsdienste
쎲
Sperrliste
쎲
Eins-zu-eins-Zuordnung
쎲
Vorläufige CA
쎲
Gesperrtes Zertifikat
쎲
Zertifikat
쎲
Gültigkeitsdauer
쎲
Zuordnung des Principal-Namens des Anwenders
Zertifikate sind Mechanismen, mit denen die Datensicherung gewährleistet wird, wenn Daten zwischen Anwendern, Computern und Dienststellen verschickt werden. Zertifikate können von einer dritten CA stammen, wie etwa VeriSign, oder von Microsofts CA-Diensten.
535
536
Kapitel 8
Zertifikatsdienste
Eine CA muss sich entwickeln, um bestimmen zu können, wie viele CAs erstellt werden müssen, wo diese lokalisiert sein sollen und welche Rolle jede CA einnehmen soll. Eine Organisation: Stammzertifizierungsstelle ist die Basis eines typischen CAs-Schemas. Eine Organisation: Stammzertifizierungsstelle würde Vermittlungs-CAs Zertifikate ausstellen. Diese Vermittlungsstellen würden dann den untergeordneten CAs Zertifikate ausstellen. Sobald Server und Dienste vom Netzwerk entzogen werden oder Anwender das Unternehmen verlassen, müssen Sie die ausgestellten Zertifikate sperren. EFS ist eine Komponente, die es ermöglicht, Ihre Daten (vor allem die Daten auf einem Laptop) zu schützen, sobald die physische Sicherheit des Computers gefährdet ist. Wenn man die Daten auf dem Laptop verschlüsselt und dann die privaten und öffentlichen Schlüssel entfernt, können Sie sichergehen, dass, selbst wenn der Computer beschädigt oder gestohlen wird, die Daten sicher sind. Um Zutritt zu diesen Daten zu erhalten, brauchen Sie den privaten Schlüssel.
Lernzielkontrolle Übungen 8.1
Installieren und Konfigurieren einer Organisation: Stammzertifizierungsstelle
In dieser Übung werden Sie eine Stammzertifizierungsstelle für Ihre Umgebung erstellen. Dabei wird davon ausgegangen, dass Sie noch keine CA-Dienste-Dienste auf Ihrem Server installiert haben. In der Prüfung ist es wichtig, dass Sie wissen, wie man diesen Dienst installiert und konfiguriert. Geschätzte Zeit: 15-20 Minuten 1. Melden Sie sich als Administrator auf Ihrem Server an. 2. Klicken Sie START, EINSTELLUNGEN, SYSTEMSTEUERUNG und öffnen Sie anschließend das Applet SOFTWARE. 3. Klicken auf WINDOWS-KOMPONENTEN tent wird angezeigt.
HINZUFÜGEN/ENTFERNEN.
Der Assis-
4. Klicken Sie die Option an, welche den Zertifikatsdienst hinzufügt. Nachdem die Warnung über den Computernamen und den Zertifikatsdienst angezeigt wurde, klicken Sie auf WEITER.
Lernzielkontrolle
5. Wählen Sie die Option ORGANISATION: STAMMZERTIFIZIERUNGSSTELLE INSTALLIEREN. Klicken Sie auf ERWEITERTE OPTIONEN und dann auf WEITER. 6. Sie können eine alternative CSP, Hash-Algorithmus, Schlüssellänge und existierende Schlüssel auswählen. Wählen Sie die Schlüssellänge 4096. Klicken Sie auf WEITER. 7. Geben Sie die Details über diese CA ein. Geben Sie in das Feld GÜLTIG FÜR JAHRE 4 ein und klicken Sie anschließend auf WEITER. 8. Die Kryptografieschlüssel werden gebildet und der Service ist installiert. Dieser Schritt wird vielleicht einige Minuten in Anspruch nehmen, je nachdem, wie schnell Ihr Prozessor ist. 9. Sie werden aufgefordert, den IIS-Dienst zu stoppen. Stoppen Sie ihn; der Zertifikatsdienst wird installiert werden. 8.2
Ein Zertifikat anfordern
In dieser Übung werden Sie eine Stammzertifizierungsstelle für Ihre Umgebung erstellen. Dabei wird davon ausgegangen, dass Sie Übung 8.1 bereits gemacht haben. Geschätzte Zeit: 5-10 Minuten 1. Falls MMC noch nicht geöffnet ist, tun Sie dies. 2. Wählen Sie vom Konsolen-Menü die Option SNAP-IN HINZUFÜGEN/ENTFERNEN. Klicken Sie im Fenster SNAP-IN HINZUFÜGEN/ENTFERNEN auf HINZUFÜGEN. 3. Wählen Sie ZERTIFIKATE, AKTUELLER ANWENDER und klicken Sie dann auf OK. Das Snap-In- Zertifikat wurde hinzugefügt. 4. Wählen Sie aus der Snap-In-Zertifikat-Struktur PERSÖNLICH und anschließend ZERTIFIKATE. 5. Klicken Sie mit der rechten Maustaste auf ZERTIFIKATE und wählen Sie im Pop-up-Menü ALLE VORGÄNGE, NEUES ZERTIFIKAT ANFORDERN. 6. Der Assistent zur Zertifikatsanforderung erscheint. Lesen Sie die Anleitung und klicken Sie anschließend auf WEITER, um den Prozess zu starten, der das Zertifikat hinzufügen wird. 7. Wählen Sie im Fenster ZERTIFIKATSVORLAGE, ANWENDER und klicken Sie dann auf WEITER. Geben Sie diesem Zertifikat den angezeigten Namen des Anwenderzertifikats hinzu. Wenn Sie möchten, können Sie auch eine kurze Beschreibung des Zertifikats eingeben. Klicken Sie anschließend auf WEITER.
537
538
Kapitel 8
Zertifikatsdienste
8. Der Assistent überträgt den Abschluss des Zertifikats. Klicken Sie auf SCHLIESSEN. 9. Ein Dialogfenster erscheint und informiert Sie über die erfolgreiche Konfigurierung des Zertifikats. Klicken Sie auf ZERTIFIKAT ANZEIGEN, um die Details des Zertifikats anzuzeigen und zu erfahren, wie dieses Zertifikat Ihr Konto bearbeiten kann. 10. Klicken Sie auf OK und anschließend auf ZERTIFIKAT INSTALLIEREN. Aus dem daraufhin erscheinenden Dialogfenster können Sie entnehmen, dass die Installierung erfolgreich war. Klicken Sie auf OK und beenden Sie die Konsole. Wiederholungsfragen 1. Was ist ein Zertifikat? 2. Was ist eine CA? 3. Was ist eine Organisationszertifizierungsstelle? 4. Was ist die Rolle einer vorläufigen CA? 5. Aus welchen Gründen hat eine Organisation eine eigenständige CA? 6. Aus welchen Gründen wird ein ausgestelltes Zertifikat gesperrt? 7. Aus welchen Gründen muss eine CA ihr Zertifikat erneuern? 8. Wie werden Zertifikatanforderungen auf einem eigenständigen CA-Server gehandhabt? 9. Was ist eine Mehrere-zu-eins-Zuordnung? 10. Wie setzt man EFS effektiv ein, wenn es zum Schlimmsten kommt (verlorengegangener oder gestohlener Laptop)? Prüfungsfragen 1. Sie sind Administrator eines Windows-2000-Netzwerkes. Ihr Netzwerk besteht aus acht Domänencontrollern, zwei Mitgliedsservern und 874 Windows-2000-Professional-Arbeitsstationen. Ihr Netzwerk umspannt drei Städte: Redmond, Atlanta und Chicago. Um eine zusätzliche Sicherheit gewährleisten zu können, möchten Sie Zertifikate implementieren. Ihre Vorgesetzte, Maria, möchte nun wissen, warum Sie Zertifikate implementieren wollen. Welche der nachstehend aufgeführten Gründe könnten Sie für die Implementierung von Zertifikaten in Ihre Umgebung angeben? A. Mit Zertifikaten werden eingehende und ausgehende Daten nicht gefährdet.
Lernzielkontrolle
B. Mit Zertifikaten wird der Netzwerkverkehr schneller, da alle Daten verschlüsselt sind. C. Zertifikate können von Microsofts CA-Dienststellen ausgestellt werden. D. Zertifikate können nur mit Hilfe eines dritten Herstellers, wie etwa VeriSign, erstellt werden. 2. Sie sind der Netzwerkadministrator von Flagston Enterprises, deren Windows-2000-Netzwerk aus acht Domänencontrollern, vier Mitgliedsservern und 592 Windows-2000-Professional-Arbeitsstationen besteht. Sie haben einen Plan für die Implementierung von CAs erstellt. Ihrem Vorgesetzten berichten Sie, dass die erste CA eine Stammzertifizierungsstelle sein wird. Nun möchte Ihr Vorgesetzter aber wissen, warum es einer zusätzlichen CA bedarf. Welche der nachstehenden Antworten werden dieser Frage gerecht? A. Sämtliche Organisationszertifizierungsstellen bedürfen einer vorläufigen CA, um mit anderen CAs kommunizieren zu können. B. Organisationszertifizierungsstellen bedürfen eines Active Directory und vorläufiger CAs nicht. Vorläufige CAs funktionieren üblicherweise mit CAs, die sich außerhalb dieser Domäne befinden. C. Stammzertifizierungsstellen sind somit sicherer und werden Offline geschaltet, während vorläufige CAs online bleiben würden, um Zertifikate denjenigen auszustellen, die sie angefordert haben. D. Die vorläufige CA würde die gesamte Kommunikation zwischen untergeordneten CAs und der Stammzertifizierungsstelle übernehmen. 3. Die Firma Johnson Chemicals and Supply hat eine Windows-2000-Domäne, die vier Staaten umspannt. Sie besitzt sieben Windows-2000-Domänencontroller, fünf Mitgliedsserver und fast 1000 Windows-2000-ProfessionalArbeitsstationen, wovon 346 auf Laptops installiert sind. Larry Johnson, der Besitzer, macht sich Sorgen um die Daten, die mit äußerster Diskretion behandelt werden sollten und sich auf den Laptops befinden. Seine Hauptsorge besteht darin, dass die Laptops gestohlen werden könnten oder verloren gehen, was die Daten gefährden würde. Sie sollen nun Larry Johnson einen Lösungsansatz vorschlagen. Gefordertes Ergebnis: Ihre Lösung soll die Sicherheit der Daten gewährleisten, wenn Laptops gestohlen werden oder verloren gehen. Wünschenswerte Ergebnisse: Ihre Lösung soll dem Unternehmen keine zusätzlichen Kosten schaffen.
539
540
Kapitel 8
Zertifikatsdienste
Ihre Lösung muss von den Mitarbeitern leicht verstanden und anzuwenden sein. Vorgeschlagene Lösung: Implementieren eines Zertifikats für jeden Anwender mit Laptop. Die erfolgreiche Anmeldung eines Anwenders würde gewährleisten, dass es sich bei der Anmeldung um ein sicheres Anwenderkonto handelt. Nachdem der Anwender sich angemeldet hat, wird ihm oder ihr ein sicherer und effizienter Zutritt zu den erforderlichen Daten verschafft. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 4. Johnson Chemicals and Supply verfügt über eine Windows-2000-Domäne, die vier Staaten umfasst. Es hat sieben Windows-2000-Domänencontroller, fünf Mitgliedsserver und fast 1000 Windows-2000-Professional-Arbeitsstationen, wovon 346 auf Laptops installiert sind. Larry Johnson, der Besitzer, macht sich um die diskret zu behandelnden Daten auf den Laptops Sorgen. Seine Hauptsorge besteht darin, dass die Laptops gestohlen werden könnten oder verloren gehen, was die Sicherheit der Daten gefährden würde. Machen Sie Larry Johnson einen Lösungsvorschlag. Gefordertes Ergebnis: Ihre Lösung soll die Sicherheit der Daten gewährleisten, wenn Laptops gestohlen werden oder verloren gehen. Wünschenswerte Ergebnisse: Ihre Lösung soll dem Unternehmen keine zusätzlichen Kosten schaffen. Ihre Lösung muss von den Mitarbeitern leicht verstanden und anzuwenden sein. Vorgeschlagene Lösung: Implementieren Sie Smart Cards in jedes Laptop. Ohne Smart Cards hat man keinen Zutritt.
Lernzielkontrolle
Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 5. Johnson Chemicals and Supply verfügt über eine Windows-2000-Domäne, die vier Staaten umfasst. Es hat sieben Windows-2000-Domänencontroller, fünf Mitgliedsserver, und fast 1000 Windows-2000-Professional-Arbeitsstationen, wovon 346 auf Laptops installiert sind. Larry Johnson, der Besitzer, macht sich um die sensitiven Daten auf den Laptops Sorgen. Seine Hauptsorge besteht darin, dass die Laptops gestohlen werden könnten oder verloren gehen, was die Sicherheit der Daten gefährden würde. Machen Sie Larry Johnson einen Lösungsvorschlag. Gefordertes Ergebnis: Ihre Lösung soll die Sicherheit der Daten gewährleisten, wenn Laptops gestohlen werden oder verloren gehen. Wünschenswerte Ergebnisse: Ihre Lösung soll dem Unternehmen keine zusätzlichen Kosten schaffen. Ihre Lösung muss von den Mitarbeitern leicht verstanden und anzuwenden sein. Vorgeschlagene Lösung: Implementieren Sie EFS für jeden Laptop-Anwender. Exportieren Sie den privaten Schlüssel auf einen Netzwerk-Speicherort und kopieren Sie ihn dann auf eine Diskette. Danach löschen Sie den lokalen Schlüssel. Geben Sie den Verkäufern Anweisungen, dass sie die Diskette getrennt vom Laptop aufbewahren sollen, es sei denn, Sie benötigen die Diskette, um den Schlüssel zu importieren, um sich Zugang zu den Daten zu verschaffen. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse.
541
542
Kapitel 8
Zertifikatsdienste
B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 6. Sie sind der Netzwerkadministrator für Queens Agricultural Services. Ihr Windows-2000-Netzwerk besteht aus vier Domänencontrollern, zwei Mitgliedsservern und 462 Windows-2000-Professional-Arbeitsstationen. 143 Arbeitsstationen befinden sich auf Laptops. Sie haben die Aufgabe übertragen bekommen, die Sicherheit der Daten auf den Laptops und die Sicherheit der internen Arbeitsstationen zu gewährleisten. Die Lösung sollte für Anwender einfach sein und die Laptops mit einbeziehen. Außerdem sollte Ihr Lösungsvorschlag das Expandieren des Unternehmens und die Entwicklung von Technologien berücksichtigen. Welches der nachstehenden Lösungsvorschläge sind am geeignetsten? A. Implementieren Sie Smart Cards für alle Anwender – für Arbeitsstationen, auf die Sie Direktzugriff, und auch für die, auf die Sie Fernzugriff haben. B. Implementieren Sie eigenständige CAs. Anwender werden ein Zertifikat zugeordnet bekommen, das jedes Mal heruntergeladen wird, wenn Sie sich beim Netzwerk anmelden. C. Implementieren Sie Smart Cards für alle Anwender – für Arbeitsstationen, auf die Sie Direktzugriff und auch für die, auf die Sie Fernzugriff haben. Erstellen Sie eine Stammzertifizierungsstelle und das Zertifikat wird jedes Mal heruntergeladen werden, wenn sich Anwender anmelden. D. Implementieren Sie Smart Cards für alle Anwender – für Arbeitsstationen, auf die Sie Direktzugriff, und auch für die, auf die Sie Fernzugriff haben. Erstellen Sie eine Stammzertifizierungsstelle. Die ausgestellten Zertifikate eines jeden Anwenders werden in der Smart Card gespeichert werden. 7. Sie sind der Netzwerkadministrator einer großen Kontenführer-Firma in Illinois. Der Hauptsitz befindet sich in Chicago. Außerdem gibt es sieben Zweigstellen, die in den Vororten von Chicago sind: unter anderem in Springfield, Peoria und Urbana. Ihr Windows-2000-Netzwerk besteht aus zwölf Domänencontrollern, sieben Mitgliedsservern und 1300 Windows2000-Professional-Arbeitsstationen im Netzwerk. Über ein privates virtuelles Netzwerk (VPN) stehen Sie mit jedem dieser Netzwerke in Verbindung. Ihr Vorgesetzter möchte, dass Sie einen sicheren Plan für die Sicherung der Daten, die zwischen den geografischen Sites geschickt werden, präsentieren. Welche der nachstehenden Lösungsvorschläge scheinen am geeignetsten?
Lernzielkontrolle
A. Installieren von EFS auf jede Arbeitsstation und auf jeden Server, Entfernen des privaten Schlüssels und Löschen des lokalen Schlüssels. B. Installieren einer Organisation: Stammzertifizierungsstelle im Hauptsitz. Dieser abgesicherten Stammzertifizierungsstelle eine vorläufige CA hinzufügen. Als Zweig dieser vorläufigen CA eine Tochter-CA in jeden grafischen Speicherort hinzufügen. C. Im Hauptsitz eine Organisation: Stammzertifizierungsstelle installieren und anschließend eine eigenständige CA in jeden grafischen Speicherort installieren. D. Im Hauptsitz eine Organisation: Stammzertifizierungsstelle installieren. Dieser abgesicherten Stammzertifizierungsstelle eine vorläufige CA hinzufügen. Als Abzweigung dieser vorläufigen CA in jeden grafischen Speicherort eine Tochter-CA installieren. Die Stammzertifizierungsstelle offline schalten. 8. Sie sind der Netzwerkberater von Primary Colors, Ltd. Ihre WindowsDomäne besteht aus acht Domänencontrollern, sechs Mitgliedsservern und 1322 Windows-2000-Professional-Arbeitsstationen. Vor kurzem hat dieses Unternehmen die Firma AllPaints aufgekauft. AllPaints Netzwerk ist 40 Meilen vom Hauptsitz von Primary Colors entfernt und die Verwaltung hat sich damit einverstanden erklärt, beide Domänen vorerst zu behalten und mit ihnen zu arbeiten. Beide Netzwerke haben ihre Hersteller und Unterhändler, die beide Zugang zu den internen Ressourcen brauchen. Sie sollen nun ein angemessenes Sicherungsschema für dieses Netzwerk planen. Gefordertes Ergebnis: Anwender beider Domänen muss der einfache Zugang zu Internet und Intranet-Ressourcen ermöglicht werden. Wünschenswerte Ergebnisse: Um Zugang zu den jeweiligen Domänen zu haben, müssen sich die Anwender lediglich anmelden. Hersteller und Unterhändlern muss es gestattet sein, Zugang zu den IntranetRessourcen zu haben. Vorgeschlagene Lösung: Erstellen einer CA innerhalb der Primary-Colors-Domäne. An alle Anwender beider Domänen Zertifikate ausstellen. Für Unterhändler und Hersteller Konten erstellen, damit diese Zugang zu den Ressourcen im Intranet haben.
543
544
Kapitel 8
Zertifikatsdienste
Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 9. Sie sind der Netzwerkberater von Primary Colors, Ltd. Ihre WindowsDomäne besteht aus acht Domänencontrollern, sechs Mitgliedsservern und 1322 Windows-2000-Professional-Arbeitsstationen. Vor kurzem hat dieses Unternehmen die Firma AllPaints aufgekauft. AllPaints Netzwerk ist 40 Meilen vom Hauptsitz von Primary Colors entfernt und die Verwaltung hat sich damit einverstanden erklärt, beide Domänen vorerst zu behalten und mit ihnen zu arbeiten. Beide Netzwerke haben ihre Hersteller und Unterhändler, die beide Zugang zu den internen Ressourcen brauchen. Sie sollen nun ein angemessenes Sicherungsschema für dieses Netzwerk planen. Gefordertes Ergebnis: Anwender beider Domänen muss der einfache Zugang zu Internet und Intranet-Ressourcen ermöglicht werden. Wünschenswerte Ergebnisse: Um Zugang zu den jeweiligen Domänen zu haben, müssen sich die Anwender lediglich anmelden. Hersteller und Unterhändlern muss es gestattet sein, Zugang zu den Intranet Ressourcen zu haben. Vorgeschlagene Lösung: Erstellen einer CA innerhalb von Primary-Colors- und Allpaints-Domäne. Für alle Anwender beider Domänen Zertifikate ausstellen. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung?
Lernzielkontrolle
A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 10. Sie sind der Netzwerk-Berater von Primary Colors, Ltd. Ihre WindowsDomäne besteht aus acht Domänencontrollern, sechs Mitgliedsservern und 1322 Windows-2000-Professional-Arbeitsstationen. Vor kurzem hat dieses Unternehmen die Firma AllPaints aufgekauft. AllPaints Netzwerk ist 40 Meilen vom Hauptsitz von Primary Colors entfernt und die Verwaltung hat sich damit einverstanden erklärt, beide Domänen vorerst zu behalten und mit ihnen zu arbeiten. Beide Netzwerke haben ihre Hersteller und Unterhändler, die beide Zugang zu den internen Ressourcen brauchen. Sie sollen nun ein angemessenes Sicherungsschema für dieses Netzwerk planen. Gefordertes Ergebnis: Anwender beider Domänen muss der einfache Zugang zu Internet und Intranet-Ressourcen ermöglicht werden. Wünschenswerte Ergebnisse: Um Zugang zu den jeweiligen Domänen zu haben, müssen sich die Anwender lediglich anmelden. Hersteller und Unterhändlern muss es gestattet sein, Zugang zu den IntranetRessourcen zu haben. Vorgeschlagene Lösung: Erstellen Sie eine CA innerhalb der Primary-Colors-Domäne und eine CA innerhalb der AllPaints-Domäne. Fügen Sie beide CAs als vertrauenswürdigen Stamm in jede CA. Erstellen Sie Konten für Unterhändler und Hersteller, damit diese Zugang zu den Ressourcen im Intranet haben. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse.
545
546
Kapitel 8
Zertifikatsdienste
B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 11. Sie sind der Netzwerkadministrator für Nebuchadnezzar Furnaces, deren Windows-2000-Domäne aus Domänencontroller, zwei Mitgliedsservern und 765 Windows-2000-Arbeitsstationen besteht. Daniel, Ihr Vorgesetzter, nimmt an, dass Sam, dem vor zwölf Tagen gekündigt wurde, wahrscheinlich immer noch über das Internet Zugang zum Netzwerk hat. Sie sollen nun eine Lösung finden, damit Sam keinen Fernzugriff auf das Netzwerk hat. Mit welchem der nachstehend aufgeführten Lösungsvorschläge könnten Sie dies verwirklichen? A. Das an Sam ausgestellte Zertifikat muss gelöscht werden. B. Das an Sam ausgestellte Zertifikat muss gesperrt werden. C. Das Ablaufdatum von Sams Zertifikat muss vorverlegt werden. D. Veröffentlichen Sie die RCL. 12. Sie sind der Netzwerkadministrator von BrigtLight Enterprises. Ihr Netzwerk besteht aus vier Domänencontrollern, vier Mitgliedsservern und 320 Microsoft-2000-Professional-Arbeitsstationen, wovon 120 in einer Fabrik in Phoenix lokalisiert sind. Anwender der Niederlassung in Santa Fe beschweren sich, dass die Nachrichten, die sie nach Phoenix schicken, verändert dort ankommen, Teile des verschickten Textes fehlen oder sogar überhaupt nicht ankommen. Sie wurden nun damit beauftragt, eine Methode anzuwenden, die die sichere Datenübertragung über das Internet garantiert. Mit welchem der nachstehend aufgeführten Lösungsvorschläge könnten Sie dies verwirklichen? A. In Phoenix und in Santa Fe eine Stammzertifizierungsstelle erstellen. Von jeder CA Anwenderzertifikate ausstellen. B. Einen Zertifizierungsserver erstellen. Von dieser CA anschließend eine untergeordnete CA in jedem Netzwerk erstellen. Anwenderzertifikate ausstellen, damit Daten sicher über dieses Netzwerk verschickt werden können. C. EFS auf jede Arbeitsstation installieren. Einen Zertifizierungsserver erstellen. Von dieser CA anschließend eine untergeordnete CA in jedem Netzwerk erstellen. Anwenderzertifikate ausstellen, damit Daten sicher über dieses Netzwerk verschickt werden können.
Lernzielkontrolle
D. EFS auf jede Arbeitsstation installieren. Die privaten Schlüssel entfernen und den lokalen Schlüssel löschen. Eine CA in Santa Fe erstellen und Anwendern Zertifikate ausstellen, damit Daten sicher über dieses Netzwerk verschickt werden können. 13. Sie wurden als Windows-2000-Berater für Khunle Distributors Corporation eingestellt. Das Netzwerk dieses Unternehmens besteht aus zwei Domänencontrollern, einem Mitgliedsserver und 432 Microsoft-Windows-2000-Professional-Arbeitsstationen, wovon 398 in Rastplätzen für Lastwagenfahrer, die über das ganze Land verteilt sind, verwendet werden. Die Lastwagenfahrer wählen regelmäßig eine 800-Nummer an, die sie mit dem Hauptsitz in Kansas City verbindet, um nachzusehen, ob sie E-Mails bekommen haben und um über eine Internet-Site Berichte auszufüllen. Bethany, der Bürovorgesetzte, befürchtet, dass die Website, welche wichtiges Material über die Verteilungspläne des Unternehmens enthält, von der Konkurrenz eingesehen werden könnte. Sie wurden nun mit der Lösung dieses Problems beauftragt. Gefordertes Ergebnis: Nur die angestellten Lastwagenfahrer dürfen Zutritt zu der Website haben. Wünschenswerte Ergebnisse: Daten, wie etwa E-Mails, müssen sicher zwischen den Lastwagenfahrern und den Hauptquartieren verschickt werden können. Daten auf Laptops müssen sicher sein, auch dann, wenn das Laptop verloren geht oder gestohlen wird. Vorgeschlagene Lösung: Eine CA im Khunle-Netzwerk installieren. Jedem Remote-Anwender ein Zertifikat erstellen, damit dieser Zugang zur Internet-Site hat. EFS installieren, damit Daten auf dem lokalen Laptop und beim Versenden über Internet sicher sind. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis.
547
548
Kapitel 8
Zertifikatsdienste
14. Sie wurden von Khunle Distributors Corporation als Windows-2000-Berater eingestellt. Das Netzwerk dieses Unternehmens besteht aus zwei Domänencontrollern, einem Mitgliedsserver und 432 Microsoft-Windows-2000-ProfessionalArbeitsstationen, wovon 398 in Semitrailers, die über das ganze Land verteilt sind, verwendet werden. Lastwagenfahrer wählen regelmäßig eine 800-Nummer an, die sie mit dem Hauptsitz in Kansas City verbindet, um nachzusehen, ob sie E-Mails bekommen haben und über eine Internet-Site Berichte auszufüllen. Bethany, der Bürovorgesetzte, befürchtet, dass die Website, welche wichtiges Material über die Verteilungspläne des Unternehmens enthält, von der Konkurrenz eingesehen werden könnte. Sie wurden nun mit der Lösung dieses Problems beauftragt. Gefordertes Ergebnis: Nur die angestellten Lastwagenfahrer dürfen Zutritt zu der Website haben. Wünschenswerte Ergebnisse: Daten, wie etwa E-Mails, müssen sicher zwischen den Lastwagenfahrern und den Hauptquartieren verschickt werden können. Daten auf Laptops müssen sicher sein, auch dann, wenn das Laptop verloren geht oder gestohlen wird. Vorgeschlagene Lösung: Eine CA im Khunle-Netzwerk installieren. Jedem Remote-Anwender ein Zertifikat erstellen, damit diese Zugang zur Internet-Site haben. EFS auf jeder Remote-Maschine zur Sicherung der lokalen Daten installieren. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis. 15. Sie wurden von Khunle Distributors Corporation als Windows-2000-Berater eingestellt. Das Netzwerk dieses Unternehmens besteht aus zwei Domänencontrollern, einem Mitgliedsserver und 432 Microsoft-Windows-2000-Professional-Arbeitsstationen, wovon 398 in Semitrailers, die über das ganze Land verteilt sind, verwendet werden. Lastwagenfahrer wählen regelmäßig
Lernzielkontrolle
eine 800-Nummer an, die sie mit dem Hauptsitz in Kansas City verbindet, um nachzusehen, ob sie E-Mails bekommen haben und über eine Internet-Site Berichte auszufüllen. Bethany, der Bürovorgesetzte, befürchtet, dass die Website, die wichtiges Material über die Verteilungspläne des Unternehmens enthält, von der Konkurrenz eingesehen werden könnte. Sie wurden nun mit der Lösung dieses Problems beauftragt. Gefordertes Ergebnis: Nur die angestellten Lastwagenfahrer dürfen Zutritt zu der Website haben. Wünschenswerte Ergebnisse: Daten, wie etwa E-Mails, müssen sicher zwischen den Lastwagenfahrern und den Hauptquartieren verschickt werden können. Daten auf Laptops müssen sicher sein, auch dann, wenn das Laptop verloren geht oder gestohlen wird. Vorgeschlagene Lösung: Eine CA im Khunle-Netzwerk installieren. Auf jedem Laptop von RemoteAnwendern Smart Cards installieren. Die Smart Cards werden sämtliche Zertifikatinformationen enthalten, mit denen Zugang zu der abgesicherten Website verschafft wird und über die man dann Daten via nicht abgesicherte Leitungen verschicken kann. Den privaten Schlüssel entfernen und den lokalen Schlüssel löschen. Die Smart Cards so konfigurieren, dass sie den privaten Schlüssel enthalten. Den Lastwagenfahrern die Anweisung geben, dass sie die Smart Cards getrennt von den Laptops aufbewahren müssen, es sei denn, sie wollen mit dem Laptop arbeiten. Beurteilung: Welche(s) Ergebnis(se) erzielt die vorgeschlagene Lösung? A. Die vorgeschlagene Lösung erzielt zwar das verlangte, jedoch nicht die optionalen Ergebnisse. B. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und eines der optionalen Ergebnisse. C. Die vorgeschlagene Lösung erzielt das verlangte Ergebnis und beide optionalen Ergebnisse. D. Die vorgeschlagene Lösung erzielt nicht das verlangte Ergebnis.
549
550
Kapitel 8
Zertifikatsdienste
Antworten zu den Wiederholungsfragen 1. Ein Zertifikat ist eine Komponente, die Ihnen ermöglicht, Daten über ein Netzwerk sicher zu senden und zu erhalten. Der Empfänger kann sicher sein, dass Sie auch wirklich der sind, den Sie angegeben haben, zu sein. Der Absender kann sichergehen, dass die Daten ohne Gefahr den Empfänger erreichen werden. Weitere Informationen können Sie im Abschnitt »Zertifikate« nachlesen. 2. Eine CA ist für die Überprüfung der Anmeldeinformationen eines Zertifikatsanforderers verantwortlich, bevor diesem ein Zertifikat ausgestellt wird. Hierfür können Sie eine andere CA oder den Zertifikatsservice von Microsoft verwenden. Weitere Informationen erhalten Sie im Abschnitt »CAs«. 3. Eine Organisation: Stammzertifizierungsstelle ist eine Stammzertifizierungsstelle in einer Organisation. Da weitere CAs normalerweise dieser CA hinzugefügt werden, handelt es sich üblicherweise um Zertifikate einer Stammzertifizierungsstelle. Weitere Informationen erhalten Sie im Abschnitt »Windows 2000 Organisation: Stammzertifizierungsstelle ». 4. Eine vorläufige CA ist für das Ausstellen von Zertifikaten an eine untergeordnete CA verantwortlich. Die Organisation: Stammzertifizierungsstelle stellt der vorläufigen CA ein Zertifikat aus. Die vorläufige CA und nicht die Stammzertifizierungsstelle stellt alle untergeordneten CAs aus. Weitere Informationen erhalten Sie im Abschnitt »CAs«. 5. Eine eigenständige CA ist eine ausgezeichnete Wahl, wenn Active Directory nicht präsent ist oder wenn Sie den Zertifikatsanforderungen manuell zustimmen wollen. Mehr Informationen erhalten Sie im Abschnitt »Eigenständige CAs«. 6. Ein ausgestelltes Zertifikat wird aus einer Vielzahl von Gründen gesperrt: Der Anwender hat die Organisation verlassen, die Schlüssel sind eventuell gefährdet, ein Zertifikat wurde möglicherweise wegen falscher Angaben ausgestellt. Mehr Informationen erhalten Sie im Abschnitt »Sperren ausgestellter Zertifikate«. 7. Wenn eine CA erstellt wird, dann wird ihr ein Zertifikat ausgestellt. Dieses Zertifikat hat, wie alle anderen Zertifikate auch, ein Ablaufdatum. Wenn ein Zertifikat abläuft, oder kurz davor ist, kann ein Administrator darüber entscheiden, ob es verlängert werden soll. Mehr Informationen erhalten Sie im Abschnitt »Verlängerung der Zertifikate von CAs«. 8. Eigenständige CAs markieren sämtliche Anforderungen als noch ausstehend. Ein Administrator muss den Zertifikatanforderungen manuell zustimmen oder sie manuell ablehnen. Weitere Informationen erhalten Sie im Abschnitt »Eigenständige CAs«.
Lernzielkontrolle
9. Mehrere-zu-eins-Zuordnungen repräsentieren den Prozess der Ausstellung mehrerer Zertifikate an ein Windows-2000-Anwenderkonto. Mehr Informationen erhalten Sie im Abschnitt »Mehrere-zu-eins-Zuordnung«. 10. Wenn EFS auf einem Laptop verwendet wird, müssen Sie den privaten Schlüssel exportieren und den lokalen Schlüssel löschen. Hiermit werden die Daten abgesichert für den Fall, dass das Laptop verloren geht oder gestohlen wird. Mehr Informationen erhalten Sie im Abschnitt »Exportieren der EFSSchlüssel«. Antworten zu den Prüfungsfragen 1. A, C. Mit Zertifikaten wird die Sicherung von ein- und ausgehenden Daten gewährleistet. Sie können Zertifikatsserver als Teil von Windows 2000 hinzufügen. Mehr Informationen erhalten Sie im Abschnitt »Zertifikate«. 2. C. Wenn Sie eine vorläufige CA erstellen, kann die Stammzertifizierungsstelle sicher offline geschaltet werden. Der vorläufige Server würde dann den anderen CAs Zertifikate ausstellen. Weitere Informationen erhalten Sie im Abschnitt »CAs«. 3. D. Der Lösungsvorschlag erzielt nicht die verlangten Ergebnisse. Es wurde verlangt, dass die Daten, falls das Laptop verloren geht oder gestohlen wird, sicher sind. Der Lösungsvorschlag kann die Sicherung der Daten nicht garantieren. Weitere Informationen erhalten Sie im Abschnitt »Exportieren der EFS-Schlüssel«. 4. B. Der Lösungsvorschlag entspricht dem verlangten Ergebnis, allerdings nur, was die optionalen Resultate betrifft. Es wurde verlangt, dass die Daten sicher sind, falls ein Laptop verloren geht oder gestohlen wird. Der Lösungsvorschlag wird dem Problem des Zugangs auf die Daten zwar gerecht, allerdings würden Smart Cards zusätzliche Kosten für das Unternehmen bedeuten. Mehr Informationen erhalten Sie im Abschnitt »Exportieren der EFSSchlüssel«. 5. C. Der Lösungsvorschlag entspricht sowohl dem verlangten Ergebnis als auch den optionalen Ergebnissen. Wenn Sie EFS implementieren und den privaten Schlüssel exportieren (den lokalen Schlüssel löschen), so wird niemand, der nicht dazu berechtigt ist, Zugang zu den Daten im Laptop haben. Weitere Informationen erhalten Sie im Abschnitt »Exportieren der EFSSchlüssel«. 6. D. Wenn Sie eine CA erstellen und Anwendern ein Zertifikat ausstellen, das innerhalb der Smart Cards aufbewahrt werden soll, so können sich nur Anwender mit gültigen Smart Cards im Netzwerk anmelden. Weitere Informationen erhalten Sie im Abschnitt »Zertifikate«.
551
552
Kapitel 8
Zertifikatsdienste
7. D. Erstellen Sie eine Organisation: Stammzertifizierungsstelle. Erstellen Sie parallel eine vorläufige Zertifizierungsstelle, die für alle untergeordneten CAs verantwortlich ist. Schalten Sie aus Sicherheitsgründen die Stammzertifizierungsstelle offline. Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«. 8. D. Der Lösungsvorschlag entspricht nicht dem verlangten Ergebnis. Um Anwendern beider Domänen den Zugang zu den Ressourcen in beiden Domänen zu verschaffen, werden diese ein Zertifikat anfordern, mit dem sie Zugang in beide Domänen haben werden. Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«. 9. B. Der Lösungsvorschlag entspricht zwar dem verlangten Ergebnis, aber nur einem der optionalen Ergebnisse. Wenn zwei unabhängige CAs erstellt werden, welche den Anwendern beider Domänen ein Zertifikat ausstellen, können diese Zugang zu den Ressourcen in beiden Domänen haben. Die Anwender müssen sich nur in der entsprechenden Domäne anmelden. Dieser Ansatz ist allerdings für Hersteller und Unterhändler nicht geeignet. Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«. 10. C. Der Lösungsvorschlag entspricht sowohl dem verlangten Ergebnis als auch den optionalen Ergebnissen. Wenn Sie eine CA in jeder Domäne erstellen und dann jeder Stammzertifizierungsstelle vertrauen, können Anwender Zugang zu Ressourcen in jeder Domäne haben, da deren Zertifikat von der anderen Domäne als vertrauenswürdig anerkannt ist. Indem Sie Konten für Hersteller und Unterhändler erstellen, können Sie den Zugang zu Intranet und Internetressourcen anbieten und kontrollieren. Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«. 11. B. Sie sollten Sams Zertifikat sperren lassen, um ihn daran zu hindern, dass er Zugang zu Netzwerk-Ressourcen hat. Weitere Informationen erhalten Sie im Abschnitt »Sperren von ausgestellten Zertifikaten«. 12. B. Da es sich um eine einzige Organisation handelt, müssen Sie auch keine Stammzertifizierungsstelle in jedem geografischen Speicherort erstellen. Erstellen Sie statt dessen eine CA und in jedem Speicherort untergeordnete CAs. Stellen Sie Anwendern jedes Speicherorts ein Zertifikat von der entsprechenden CA aus. Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«.
Lernzielkontrolle
13. A. Der Lösungsvorschlag entspricht zwar dem verlangten Ergebnis, aber nicht den optionalen Ergebnissen. Wenn Sie den Fahrern Ihre CA-Zertifikate ausstellen, werden nur diese Fahrer dazu autorisiert, Zugriff auf die Webserver zu erhalten. Weitere Informationen erhalten Sie im Abschnitt »Installieren und konfigurieren einer untergeordneten CA eines Unternehmens«. 14. B. Der Lösungsvorschlag entspricht zwar dem verlangten Ergebnis, aber nur einem der optionalen Ergebnisse. Wenn sie den Fahrern Zertifikate ausstellen, um ihnen Zugang zu den sicheren Webservern zu ermöglichen, werden nur diese Fahrer dazu in der Lage sein, Zutritt zu den Seiten zu haben. Zertifikate auszustellen, um E-Mails sicher zu versenden und zu erhalten, würde nur einem der optionalen Ergebnisse entsprechen. Lediglich EFS zu installieren würde für die Sicherung der Daten auf dem Laptop nicht ausreichen. Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«. 15. C. Der Lösungsvorschlag entspricht sowohl dem verlangten Ergebnis als auch den optionalen Ergebnissen. Wenn Sie den Fahrern für den Zugang zu sicheren Webservern Zertifikate ausstellen, werden nur diese Fahrer dazu in der Lage sein, Zutritt zu den Seiten zu haben. Durch eine Zertifikatsausstellung ein sicheres Versenden und Erhalten von E-Mails zu garantieren, entspricht nur einem der optionalen Ergebnisse. Lediglich EFS zu installieren, um die Sicherung der Daten auf dem Laptop zu garantieren, ist unzureichend. Wenn Sie Smart Cards implementieren, müssen Sie die privaten Schlüssel vom Laptop entfernen, um sicher gehen zu können, dass die Daten auch sicher sind. Wenn Sie Smart Cards implementieren, so würden Sie den Fahrern das Leben leichter machen. Die Cards sind nämlich so programmiert , dass man auswählen kann, ob E-Mails verschickt, erhalten oder lokale Daten gesichert werden sollen. . Weitere Informationen erhalten Sie im Abschnitt »Installieren und Konfigurieren einer untergeordneten CA eines Unternehmens«. Hinweise zu weiterführender Literatur und Quellen 1. Marcus, Scott J. Designing Wide Area Networks and Internetworks: A Practical Guide. Upper Saddle River, NJ: Addison Wesley, 1999 2. Thomas, Thomas M. OSPF Network Design Solutions. Indianapolis, IN: Cisco Press, 1998.
553
Wiederholungsteil Teil 9. Gesamtzusammenfassung 10. Tipps zur Prüfungsvorbereitung 11. Musterprüfung
2
Gesamtzusammenfassung
9
Installieren und Verwalten einer Microsoft Windows-2000-NetzwerkInfrastruktur
Sie haben nun das Buch durchgearbeitet und sämtliche Übungen gemacht. Sie sind nun auf die Prüfung bestens vorbereitet. Mit diesem Kapitel soll Ihnen noch »der letzte Schliff« verliehen werden. Die Unterteilung dieses Kapitels richtet sich nach den vorhergehenden Kapiteln. Dabei handelt es sich nicht nur um eine Zusammenfassung Letzterer, sondern um einen Überblick, der sich auf die wichtigsten Punkte konzentriert. Sind Sie mit dem Inhalt und den Konzepten dieses Kapitels vertraut, so stehen Ihre Chancen, die Prüfung zu bestehen, wirklich gut.
9.1
DNS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
HOSTS-Dateien nehmen Namensauflösungen vor. Sie wurden ursprünglich vom Vorgänger des Internets zur Namensauflösung verwendet. Mit wachsender Anzahl an Computern, brachte dieser Ansatz allerdings einige Probleme mit sich, da es sich um eine Lösung in einer einzelnen Datei handelte. Dies machte die Verbreitung der Datei so gut wie unmöglich. DNS (Domain Name System) ersetzte die HOST-Dateien. DNS ist eine verteilte, hierarchische Datenbank, die auf Servern läuft, die als Namenserver bekannt sind. Es ist so konzipiert, dass es eine Vielzahl von Namenservern für die Redundanz gibt. Das Zwischenspeichern von Namen auf dem lokalen Server wird ebenfalls unterstützt.
558
Kapitel 9
Gesamtzusammenfassung
Die DNS-Terminologie beinhaltet Folgendes: 씰
Struktur (Baum). Eine Datenstruktur, bei der jedes Element mit einem oder mehreren Elementen verbunden ist, die sich in der Hierarchie direkt darunter befinden. DNS wird oft als invertierte Struktur bezeichnet, da der Stamm sich in der Struktur ganz oben befindet.
씰
Top-Level-Domäne (TLD). Suffix, das mit den Internet-Domänennamen verbunden ist. Die Anzahl der vordefinierten Suffixe ist begrenzt und jedes Suffix repräsentiert eine Top-Level-Domäne. Beispiel: com, edu, org, net und Länderbezeichnungen.
씰
Knoten. Punkt, an dem sich zwei oder mehrere Zeilen in der Struktur schneiden. Ebenfalls bekannt als Endknoten (leaf).
씰
Vollqualifizierter Domänenname (FQDN). Domänenname, der sämtliche Domänen zwischen Host und Stamm enthält. Die DNS-Information, die unter Systemeigenschaften konfiguriert ist, wird als DNS-Suffix zur Bildung von FQDNs verwendet.
씰
Zone. Eine logische Gruppierung von Hostnamen innerhalb des DNS. Eine Zone enthält die vollständige Information über einen Teil des Domänen-Namespace.
Zwei Arten von Name-Servern sind innerhalb der DNS-Spezifikationen definiert: 씰
Primärer Master. Server, auf dem Sie die DNS-Zone bearbeiten, ihr etwas hinzufügen oder löschen können.
씰
Sekundärer Master. Dieser Server erhält seine Zoneninformationen von einem anderen Domänen-Namenserver, der für diese Domäne autorisierend ist.
Der DNS-Namenserver löst einen Namen in ein Internetprotokoll (IP) auf und geht dabei wie folgt vor: 1. Der Clientcomputer richtet eine Anfrage an den lokalen DNS-Server. 2. Der DNS-Server sucht in einem lokalen Arbeitsspeicher-Cache nach Namen, die er kürzlich aufgelöst hat. Findet er den Namen im lokalen Arbeitsspeicher-Cache, so sendet der Namenserver die IP-Adresse, die vom Clientcomputer angefordert wurde, an diesen zurück.
9.1 DNS
3. Der Namenserver sucht in den Host-Tabellen des DNS-Servers nach statischen Eingaben (oder im Falle von dynamischer DNS, nach dynamischen Eingaben) bezüglich des Hostnamens in einem IP-Adressen-Lookup. Existiert eine solche Eingabe, leitet der DNS-Server die IP-Adresse an den Clientcomputer weiter. 4. Der Namenserver verweist die Anfrage auf einen Stammnamen-Server. Stammnamen-Server unterstützen den Stamm einer Namespace-Hierarchie. Zurzeit unterstützen zehn Computer die Stamm-Domäne. 5. Der Stammnamen-Server verweist die Anfrage an einen Namenserver für die First-Level-Domäne im Hostnamen. Der First-Name-Server löst den Hostnamen in einem IP-Adressen-Bericht auf und leitet die IP-Adresse an den Clientcomputer weiter. Mit einem Reverse-Lookup können Sie den DNS-Server nach einer IP-Adresse fragen. Sollte es diese IP-Adresse geben, wird der DNS-Name an den Host weitergeleitet. Tabelle 1 der Zusammenfassung enthält die wichtigsten Eintragstypen, die vom Windows-2000-DNS-Server Dienst unterstützt werden, sowie deren Bedeutung. Verzeichniseintrag
Wert und Bedeutung
CNAME
Einer der ursprünglichen Eintragstypen. CNAME zeigt einen AliasDomänennamen als einen Namen an, der bereits als ein anderer Ressourcentyp in dieser Zone angegeben wurde. CNAME ist das Akronym für kanonischer Name.
A
Ein Host-Adressen-Eintrag – Ordnet einen DNS-Namen einer IP(Version 4)-Adresse zu.
MX
Ein Mail-Exchanger-Eintrag, der dafür verwendet wird, NachrichtenRouting für einen spezifischen Mail-Exchange-Host bezüglich eines spezifischen DNS-Namens zu ermöglichen.
MG
Ein Mailgruppen-Eintrag, der dafür verwendet wird, einen MailboxEintrag (MB) als Mitglied einer Domänen-Mailing-Gruppe hinzuzufügen.
MB
Ein MB-Eintrag, der einen spezifischen Domänen-Mailbox-Namen dem Host der Mailbox zuordnet
MINFO
Mailbox oder Mailinglisten-Information, die den Domäne-MailboxNamen, den es zu kontaktieren gilt, angibt. Kann ebenfalls Mailbox für Fehlermeldungen angeben.
Tabelle 9.1: Zusammenfassung: Eintragsarten des DNS
559
560
Kapitel 9
Gesamtzusammenfassung
Verzeichniseintrag
Wert und Bedeutung
PTR
Ein Zeigereintrag zeigt einen Speicherort in der Domäne an. Wird üblicherweise für Reverse-Lookups oder IP-Adressen zu DNS-NamenLookups verwendet.
TXT
Ein Texteintrag wird verwendet, um eine Zeichenkette anzuhalten, die als deskriptiver Text dient und mit einem spezifischen DNS-Namen verbunden wird.
RT
Weiterleitender Eintrag, der eine fortgeschrittene weiterleitende Bindung für interne Hosts anbietet, welche keine eigene direkte WAN-Adresse haben.
SRV
Ein Diensteintrag, der Administratoren ermöglicht, mehrere Server für eine einzige DNS-Domäne zu verwenden, um auf einfache Art und Weise TCP/IP-Dienste von Host zu Host zu bewegen, und um primäre Sicherungshosts zu bestimmen.
WKS
Ein sehr bekannter Diensteintrag, der verwendet wird, um bekannte TCP/IP-Dienste, die von einem bestimmten Protokoll auf einer spezifischen IP-Adresse unterstützt werden (das Transmission Control Protocol (TCP) oder das User Datagram Protocol (UDP)), zu beschreiben.
Tabelle 9.1: Zusammenfassung: Eintragsarten des DNS
Tabelle 2 der Zusammenfassung enthält die Beschränkungen für die Erstellung eines DNS-Namens und eines FQDN. Beschränkung
Standard DNS (inkl. Windows NT 4)
DNS in Windows 2000
Zeichen
Unterstützt Request for Comments (RFC) welche Zeichen von A bis Z, a bis z, 0 bis 9 und den Bindestrich (-) erlauben.
Mehrere Konfigurationen sind möglich: RFC 1123 Standard sowie Unterstützung für RCF 2181 und die Zeichen, die in RCF 2044 (UTP-8) festgelegt sind.
FQDN-Länge
63 Byte pro Label und 255 Byte für einen FQDN.
Domänencontroller sind auf 155 Byte für FQDN begrenzt.
Tabelle 9.2: Zusammenfassung: Beschränkungen des DNS-Namens
9.1 DNS
Windows 2000 DNS enthält eine Reihe bedeutender Verbesserungen gegenüber Standard-DNS. Die Verbesserungen fanden in folgenden Bereichen statt: 씰
Von Benachrichtigungen gesteuerte Zonentransfers
씰
Integrierte Zonentabellen
씰
Inkrementelle Zonentransfers
씰
Sichere DNS-Aktualisierung
씰
DNS-Dynamic Host Configuration Protocol (DHCP)-Integration
Der Stammnamen-Server einer Domäne ist der Namenserver, der als Autoritätsursprung (Start Of Authority – SOA) für diese Zone handelt. Der SOA-Eintrag ist der erste Eintrag in der Datenbank und enthält folgende Felder: 씰
Source Host
씰
Contact mail. Serial number
씰
Refresh time
씰
Retry time
씰
Expiration time
씰
Time to live (TTL)
Dynamische DNS integriert DHCP und DNS und ist für Active Directory notwendig. Jedes Mal, wenn ein Computer eine neue Adresse anfordert oder seine Adresse erneuert, sendet er seinen komplett qualifizierten Namen zum DHCP-Server und beantragt, dass der DHCP-Server einen Eintrag in die Reverse-Lookupzone des DNS in seinem Namen registriert. Der DHCP-Clientcomputer beantragt ebenfalls eine Forward-Lookupzone in seinem eigenen Namen. Die Konfiguration einer Zone für eine dynamische Überarbeitung ermöglicht es Windows-2000-Clientcomputern, sich als Teil des DNS zu registrieren. In Windows 2000 können Clientcomputer dynamische Aktualisierungen für drei Arten von Netzwerkadaptern senden: DHCP-Adapter, statisch konfigurierte Adapter und Remote-Zugriff-Adapter. Der dynamische Aktualisierungs-Clientcomputer registriert standardmäßig und auf dynamische Art und Weise seine A-Ressourceneinträge jedes Mal, wenn eines der folgenden Ereignisse vorliegt:
561
562
Kapitel 9
Gesamtzusammenfassung
씰
Die TCP/IP-Konfiguration wurde verändert.
씰
Die DHCP-Adresse wurde erneuert oder eine neue Genehmigung wurde erteilt.
씰
Ein Plug&Play-Ereignis erscheint.
씰
Eine IP-Adresse wurde dem Computer hinzugefügt oder von diesem entfernt, wenn der Anwender eine IP-Adresse für einen statischen Adapter ändert oder hinzufügt.
Sie können ebenfalls eine erneute Registrierung erzwingen, indem Sie den Befehl ipconfig /registerdns verwenden.
Um von einem nicht funktionierendem DNS-Dienst zu einem funktionalen DNSServer zu gelangen, müssen Sie wie folgt vorgehen: 1. Die Installierung kann mit der SERVER KONFIGURIEREN-Anwendung, die gänzlich vom Assistenten gesteuert wird, fertig gestellt werden. Sie können die Installierung aber auch per NETZWERK UND DFÜ-VERBINDUNG in der Systemsteuerung vornehmen. 2. Nachdem Sie den Dienst installiert haben, müssen Sie ihn konfigurieren. Dazu müssen Sie die DNS-Konsole öffnen. Als Erstes müssen Sie den Assistenten für die DNS-Server-Konfiguration aufrufen. Er leitet Sie durch die Konfiguration des Servers und seiner ersten Zone. 3. Nachdem der Assistent den Prozess abgeschlossen hat, können Sie mit dem Auflösen der Namen beginnen. Die drei Zonenarten, die von Windows 2000 DNS unterstützt werden sind: 씰
Integriertes Active Directory
씰
Primär (Standard)
씰
Sekundär (Standard)
Für die sicherste Implementierung sollten Sie integriertes Active Directory wählen. Caching-Only-Server werden verwendet, um die Geschwindigkeit der Client-DNSAnfragen zu erhöhen. Dies wird erreicht, indem man eine große Anzahl an CacheEinträgen, die auf Client-DNS-Anfragen basieren, sammelt. Ein Caching-Only-Server besitzt keine Kopie der Tabellenzonen und kann deswegen auf Anfragen der Zone gegenüber solange nicht antworten, bis diese gesammelt sind. Ein CachingOnly-Server ist für keine der Zonen autorisierend.
9.1 DNS
Eine Domäne delegieren bedeutet, dass DNS-Anfragen auf einer existierenden Domäne an den Namenserver in der delegierten Domäne zur Auflösung weitergegeben werden. In der Hierarchie können Sie nur nach unten delegieren. Die delegierte Domäne muss also eine Unterdomäne der Domäne sein, die die Delegierung vornimmt. Parameter, die in der Sektion der Netzwerkeigenschaften konfiguriert sind, werden für die Namensauflösung verwendet. Parameter der Systemeigenschaften hingegen werden verwendet, während das System mit dem Active Directory registriert wird. Nachstehend sehen Sie vier Methoden für das Testen einer DNS-Auflösung: 씰
Verwenden des PING-Hilfsprogramms mit dem Parameter -a.
씰
Verwenden des NSLOOKUP-Hilfsprogramms.
씰
Verwenden der eingebauten Überwachung in der DNS-Konsole.
씰
Verwenden des Browsers des Internet Explorers.
Zur Verwaltung von DNS können Sie eine Anzahl von optionalen Parametern konfigurieren: 씰
Alterung/ Aufräumvorgang für alle Zonen festlegen. Hiermit wird kontrolliert, wie der Server mit veralteten Ressourceneinträgen umgeht.
씰
Aufräumen alter Datensätze. Hiermit können Sie den Datensatz manuell aufräumen.
씰
Server-Datendateien aktualisieren. Diese Option speichert sämtliche Änderungen der Tabelle, die sich im RAM befinden, auf der Festplatte des Servers.
씰
Cache löschen. Mit dieser Option können Sie den Cache des Servers leeren.
씰
Alle Vorgänge. Hiermit können Sie den Dienst starten, stoppen, anhalten, fortsetzen oder erneut starten.
씰
Löschen. Löscht den DNS-Server.
씰
Eigenschaften. Öffnet das Dialogfenster EIGENSCHAFTEN.
563
564
Kapitel 9
Gesamtzusammenfassung
Die Leistungs-Anwendung kann für die Überwachung der verfügbaren und der extensiven DNS-Zähler verwendet werden. Unterschiedliche Kategorien der Leistungsindikatoren, die für DNS zur Verfügung stehen sind: 씰
AXFR-Leistungsindikator
씰
Cachespeicher
씰
Datenbankknotenspeicher
씰
Dynamische Aktualisierung
씰
IXFR-Leistungsindikatoren
씰
NBTSTAT-Speicher
씰
Empfangene/Geschickte Benachrichtigungen
씰
Eintragsdatenstromspeicher
씰
Rekursiv
씰
Sichere Aktualisierung
씰
TCP/UDP
씰
Insgesamt
씰
Windows Internet Name Service (WINS)
씰
Zonentransfer
9.2
DHCP: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
DHCP ist offen und standardbasiert. Es handelt sich um die Antwort der Internet Community auf dynamisch verteilte IP-Adressen. Zusätzlich zu den IP-Adressen kann DHCP Gatewayadressen, DNS-Serveradressen, WINS-Serveradressen angeben – eigentlich alles, was der Clientcomputer benötigt, um im Netzwerk teilzunehmen.
9.2 DHCP
Oft verwenden Netzwerkadministratoren nicht registrierte Adressen (nicht mit IANA registriert) auf ihrem internen Netzwerk, um so sicherzustellen, dass es Adressen für alle Anwender gibt. Dieses Modell arbeitet so lange gut, so lange das Netzwerk nicht direkt mit dem Internet verbunden ist. Wenn DHCP verwendet wird, bekommt ein Clientcomputer eine Adresse, wenn er wie folgt vorgeht: 1. Der Clientcomputer überträgt eine DHCPDiscover-Nachricht, die an den/die DHCP-Server im Netzwerk weitergeleitet wird. Die Adresse des/der DHCPServer wird, falls nötig, auf dem Router konfiguriert. Die Weiterleitung findet statt, indem man einen Prozess namens Bootstrap-Forwarder (BOOTP) verwendet. 2. Jeder DHCP-Server, der die Discover-Meldung erhält, antwortet mit einer DHCPOffer-Meldung, die eine richtige IP-Adresse des Subnetzes enthält, mit dem der Clientcomputer verbunden ist. Der DHCP-Server bestimmt die richtige Adresse, indem er das Quellensubnetz auf die DHCPDiscover-Meldung untersucht. 3. Der Clientcomputer wählt eine Offer-Meldung (normalerweise die erste, die er erhält). Er sendet eine Anfrage an den DHCP-Server, von dem die Meldung ursprünglich stammt, für die Benutzung dieser Adresse. Sollte es mehrere DHCP-Server geben, so muss deren Konfigurierung mit großer Sorgfalt gemacht werden. 4. Der DHCP-Server stimmt der Anfrage zu und erteilt dem Clientcomputer die Genehmigung (Lease) zur Verwendung der Adresse. 5. Mit der IP-Adresse verbindet sich der Clientcomputer mit dem Netzwerk. Sollte die IP-Adresse mit irgendeinem Konfigurationsparameter verbunden sein, so wird der Parameter in die TCP/IP-Konfiguration des Clientcomputers integriert. Jeder DHCP-Clientcomputer, dem eine Adresse zugewiesen wurde, wird automatisch versuchen, die Lease zu verlängern, sobald die Hälfte der Leasezeit abgelaufen ist. Sollte der Clientcomputer dazu nicht in der Lage sein, wird er für die restliche Leasezeit weiterhin versuchen, diese zu verlängern. Sollten Sie eine ältere Domäne und ein WINS-Netzwerk besitzen, kann Windows 2000 DHCP-Informationen von jedem DHCP-Server, mit dem Windows NT gearbeitet hat, erhalten. Möchten Sie aber die Vorteile der Features von Active-Directory-Diensten nutzen, und nicht mehr mit der veralteten WINS-Struktur arbeiten, müssen Sie den Windows-2000-DHCP-Dienst verwenden.
565
566
Kapitel 9
Gesamtzusammenfassung
Ein DHCP-Server kann kein DHCP-Clientcomputer sein. Wenn Sie Ihren Server im Moment als DHCP-Clientcomputer konfiguriert haben, werden Sie bei der DHCPInstallation aufgefordert, eine statische IP-Adresse für Ihren Server einzugeben. Ein Bereich ist eine Gruppe von IP-Adressen, die für die dynamische Zuordnung zu den Clientcomputern auf einem vorgegebenen Subnetz zur Verfügung stehen. Der Bereich für ein bestimmtes Subnetz wird von der Netzwerkadresse per BroadcastDHCP-Anfrage festgelegt. Nachdem der DHCP-Dienst installiert wurde, müssen Sie mindestens einen Bereich auf dem Server definieren. Anderenfalls wird der Dienst nicht auf DHCP-Anfragen antworten. Eine Bereichsgruppierung ermöglicht es Ihnen, ein supernetted oder multinetted Netzwerk mit dem Windows-2000-DHCP-Server zu unterstützen. Ein supernetted Netzwerk ist ein Netzwerk, das viele Netzwerkadressen oder Subnetze, die auf dem gleichen Segment laufen, besitzt. In der Bereichsgruppierung können nur aktive Bereiche enthalten sein. Multicasting ist die Übertragung einer Meldung an eine Gruppe von Empfängern. Dies steht im Widerspruch zum Konzept eines Broadcasts, in dem der Datenfluss an jeden Host des Netzwerks gesendet wird, oder eines Unicasts, in dem eine Eins-zueins-Beziehung besteht und es nur einen Empfänger gibt. IP-Adressen der Klasse D sollten für den Multicast-Bereich verwendet werden. Komponenten einer Windows 2000 Multicast-Funktionalität sind: 씰
Multicast-DHCP (MDHCP)
씰
Multicast-Routingtabelle
씰
Multicast-Gruppe
씰
Multicast-Bereich
Einer der Schlüssel für eine effektive Implementierung einer Active-DirectoryUmgebung ist die Unterstützung für Windows-2000-Arbeitsstationen, die DHCP verwenden, um automatisch in DNS registriert zu werden. . Drei Einstellungen sind für DNS-Integration möglich: 씰
Automatisch die Clientcomputer-Information in DNS aktualisieren. Es handelt sich hier um eine Standardeinstellung.
씰
Forward-Lookups (Name-zu-Adresse) löschen, wenn die Genehmigung ausläuft. Hierbei handelt es sich ebenfalls um eine Standardeinstellung.
9.2 DHCP
씰
Aktualisierung für DNS-Clientcomputer ermöglichen, die eine dynamische Aktualisierung nicht unterstützten.
Die Fähigkeit, A- und PTR-Einträge zu registrieren, ermöglicht einem DHCP-Server andere Computer als Windows-2000-Clientcomputer im DNS zu registrieren. Der DHCP-Server kann zwischen Windows 2000 Professional und anderen Clientcomputern unterscheiden. Die DHCP-Konsole wird für die Verwaltung und Überwachung von DHCP verwendet. Sie hat einige Features im Vorgangsmenü, wie etwa Statistik Anzeigen, die diese Elemente beim Starten des Servers anzeigen wird. Die ALLE VORGÄNGEWahl ermöglicht es Ihnen, folgende Aufgaben für Ihren DHCP-Server auszuführen: 씰
Start
씰
Stop
씰
Pause
씰
Fortsetzen
씰
Neu starten
씰
Löschen
씰
Aktualisieren
씰
Liste exportieren
씰
Eigenschaften
Leistungsindikatoren, die für DHCP gemessen werden können, enthalten Folgendes: 씰
Pakete empfangen/Sek. Die Anzahl der Paketmeldungen, die der DHCPServer pro Sekunde erhält.
씰
Duplikate verworfen/Sek. Die Anzahl der Paketduplikate, die der DHCPServer pro Sekunde verwirft.
씰
Pakete abgelaufen/Sek. Anzahl der Pakete, die pro Sekunde ablaufen und vom DHCP-Server verworfen werden.
567
568
Kapitel 9
Gesamtzusammenfassung
씰
Millisekunden pro Paket (Durchschnitt). Die Durchschnittszeit, in Millisekunden gemessen, die ein DHCP-Server benötigt, um jedes Paket, das er erhält, zu verarbeiten.
씰
Länge der aktiven Warteschlange. Die aktuelle Länge der internen Warteschlange für Meldungen an den DHCP-Server. Sie repräsentiert die Anzahl an nicht verarbeiteten Meldungen, die der Server erhalten hat.
씰
Länge der Konfliktüberprüfungs-Warteschlange. Die aktuelle Länge der Konfliktüberprüfungs-Warteschlange des DHCP-Servers. Bevor ein Windows-2000-DHCP-Server eine Adresse ausstellen wird, überprüft er zunächst, ob es Konflikte bezüglich der IP-Adressen gibt. Diese Warteschlange hält die Nachrichten zurück, während der DHCP-Server die Erkennung von Adressenkonflikten vornimmt.
씰
Entdeckungen/Sek. Die Anzahl der DHCPDiscover-Meldungen, die der Server pro Sekunde erhält.
씰
Angebote/Sek. Die Anzahl der DHCPOffer-Meldungen, die der DHCP-Server pro Sekunde von Clientcomputern erhält.
씰
Anfragen/Sek. Die Anzahl der DHCPRequest-Meldungen, die der DHCPServer pro Sekunde von Clientcomputern erhält. Es handelt sich hierbei um die Anfragen, die der Clientcomputer sendet, um eine IP-Adresse anzufordern, nachdem er einen Server gefunden hat, der Adressen ausstellen kann.
씰
Benachrichtigungen/Sek. Die Anzahl der DHCPInform-Meldungen, die ein DHCP-Server pro Sekunde erhält.
씰
Acks/Sek. Die Anzahl der DHCPAck-Meldungen, die ein DHCP-Server pro Sekunde von Clientcomputern erhält.
씰
Nacks/Sek. Die Anzahl der DHCPNacks-Bestätigungsmeldungen, die ein DHCP-Server pro Sekunde von Clientcomputern erhält. Dies zeigt an, dass der Server nicht dazu in der Lage ist, die DHCP-Anfragen zu erfüllen.
씰
Abweisungen/Sek. Die Anzahl der DHCPDecline-Meldungen, die ein DHCP-Server pro Sekunde von den Clientcomputern erhält. Dieser Anzeigeindikator zeigt an, dass der DHCP-Clientcomputer die vom Server ausgestellte Adresse abgewiesen hat.
씰
Freigaben/Sek. Die Anzahl der DHCPRelease-Meldungen, die ein Server pro Sekunde von den Clientcomputern erhält.
9.3 RAS
Die DHCP-Konsole unterstützt nun SNMP (Simple Network Management Protocol) und MIB (Management Information Bases). Hiermit wird es dem DHCP-Server ermöglicht, Statistiken zu erheben und Warnungen an eine beliebige Anzahl an Verwaltungsplattformen zu senden, inklusive HP Open View, Seagate Nerve Center, und sogar an Novell ManageWise product. Administratoren können somit DHCP-Information überwachen. DHCP-Informationen sind: 씰
Anzahl der verfügbaren Adressen
씰
Anzahl der vergebenen Adressen
씰
Anzahl der Genehmigungen, die pro Sekunde bearbeitet werden
씰
Anzahl der Meldungen und der bearbeiteten Angebote
씰
Anzahl der Anforderungen, Bestätigungen, Abweisungen, Bestätigungsmeldungen mit negativem Status (Nacks) und erhaltenen Freigaben
씰
Die Gesamtanzahl der Bereiche und Adressen auf dem Server, die Anzahl der vergebenen Bereiche und Adressen und die verfügbare Nummer
9.3
RAS: Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
In Windows 2000 wird nicht nur der Routing- und RAS-Dienst (der den RemoteAccess-Dienst von Windows NT Server 4 ersetzt) automatisch mit dem Betriebssystem installiert, sondern auch Funktionen gebündelt, die für die Verteilung über andere Dienste verwendet werden (beispielsweise Windows-2000-VPN-Dienst). Eine RAS-Richtlinie ist eine Reihe von Vorgängen, die auf eine Gruppe von Anwendern mit jeweils den gleichen spezifizierten Anforderungen angewandt werden kann. Wenn Sie ein RAS-Profil erstellen, haben Sie zu folgenden Registerkarten Zugang: 씰
Einwahleinschränkungen. Ermöglicht es Ihnen, die Einschränkungen des Einwahlanwenders zu konfigurieren, inklusive Leerlaufzeitgeber, welche die Verbindungen trennen, die maximale Länge der Sitzung, der Tag- und Zeitzugriff ist genehmigt, die Einwahlmedia sind erlaubt.
569
570
Kapitel 9
Gesamtzusammenfassung
씰
IP. Wird verwendet, um die IP-Adressen-Zuordnungsrichtlinie festzulegen und ermöglicht es ebenfalls, dass Sie die IP-Paketfilter, falls nötig, anwenden.
씰
Multilink. Ermöglicht es Ihnen, die Windows-2000-Unterstützung einer Vielzahl von zusammengesetzten analogen Telefonlinien, die mit einer Vielzahl von Modems verbunden sind, zu konfigurieren. Hiermit haben Sie eine größere Bandbreite.
씰
Authentifizierung. Ermöglicht es Ihnen, die Authentifizierungsmethoden, die von Windows 2000 unterstützt werden, zu konfigurieren. Protokolle sind hierbei das Extensible Authentication Protocol (EAP), Transport Layer Security Protocol (TLS), Challenge Handshake Authentication Protocol (CHAP), Microsoft Challenge Handshake Authentication Protocol (MS-CHAP), Shivas Password Authentication Protocol (SPAP) und Password Authentication Protocol (PAP).
씰
Verschlüsselung. Ermöglicht es Ihnen, den Grad der verlangten Verschlüsselung mit Routing- und Remote-Access-Authentifizierung einzustellen. Folgende Einstellungen sind hierbei möglich: Keine Verschlüsselung, Standard, Streng oder eine Kombination der drei Möglichkeiten.
씰
Erweitert. Ermöglicht es Ihnen, hinzugefügte Verbindungsattribute zum Remote-Access-Server zurückzuschicken. Üblicherweise wird in Verbindung mit dem Remote-Authentication-Einwahl-Anwenderdienst (RADIUS) so vorgegangen.
Windows 2000 verfügt über zwei Verschlüsselungsprotokolle, die in VPN verwendet werden: 씰
Point-to-Point Tunneling-Protocol (PPTP). Wurde gemeinsam von Microsoft Corporation, U.S. Robotics und einigen Remote-Access-Herstellerunternehmen entwickelt, wurde aber nie in großem Ausmaße von den Security Communities akzeptiert.
씰
IP Security Protocol (IPSec). Eine Fortsetzung von kryptografisch-basierten Schutzdiensten und Sicherheitsprotokollen, das sowohl Maschinen-LevelAuthentifizierung anbietet als auch Datenverschlüsselung für Layer-2-Tunnelingprotokolle(L2TP)-basierte VPN-Verbindungen. Im Gegenteil zu anderen IPSec-basierten VPNs, verwendet die Implementierung von Microsoft das L2TP-Protokoll für die Verschlüsselung von Anwendernamen, Passwörtern und Daten. IPSec hingegen wird für den Austausch von sicheren Verbindungen zwischen Ihrem Computer und dessen Remote-Tunnel-Server verwendet.
9.3 RAS
Verfügbare Verschlüsselung für IPSec enthält Data Encryption Standard (DES) und Triple DES (3DES). Hierbei handelt es sich um die Verschlüsselungsprotokolle, die für Remote Access in Windows 2000 zur Verfügung stehen. Windows 2000 verwendet andere Verschlüsselungen, wie etwa Kerberos, für das Anmelden in einer Domäne. Kerberos ist allerdings nicht auf Remote Access anwendbar. Windows 2000 hat die Fähigkeit, auf einem RAS-Server eine Vielzahl von Modemverbindungen zu einer einzigen Verbindung mit größerer Bandbreite zusammenzusetzen. Diese Fähigkeit ist auch als Multilink bekannt. Bei Multilinks handelt es sich meistens um ISP-Verbindungen, es können aber auch Verbindungen zu einem anderen Windows-2000-Server sein. Ein Multilink wird im Dialogfenster EIGENSCHAFTEN EINGEHENDER VERBINDUNGEN konfiguriert. Dieses Dialogfenster befindet sich unterhalb des Fensters der NETZWERK- UND EINWAHLVERBINDUNGEN. Wenn der RAS-Server für die Verwendung von DHCP konfiguriert ist, verwendet der Routing- und Remote-Access-Server die DHCP-Client-Komponente, um 10 IPAdressen von einem DHCP-Server zu erhalten. Dies kann im Netzwerk oder auf dem gleichen Server wie dem Remote-Access-Server vorgenommen werden. Der RAS-Server verwendet die erste IP-Adresse, die er von DHCP erhalten hat, für die Remote-Access-Server(RAS)-Schnittstelle und die weiteren Adressen werden den TCO/IP-basierten Remote-Access-Clientcomputern zugeteilt, sobald diese eine Verbindung herstellen. IP-Adressen werden freigestellt und können wieder verwendet werden, wenn die Remote-Access-Clientcomputer die Verbindung trennen. Wurden alle 10 IP-Adressen zugeteilt, so beginnt der Prozess von vorne: DHCPClientcomputer beantragen 10 weitere Adressen. Um Routing- und Remote-Access für die DHCP-Integration zu konfigurieren, müssen Sie die Routing- und Remote-Access-Konsole innerhalb des Routing- und Remote-Access-Teils der Verwaltungstools öffnen. Das Überwachen von Remote Access erfolgt mit den folgenden Leistungsindikatoren im Systemmonitor-Dienstprogramm: 씰
Ausrichtungsfehler. Die Größe des erhaltenen Pakets entspricht nicht der erwarteten Größe.
씰
Pufferüberschreitungen. Die Software ist nicht in der Lage, die Rate zu bearbeiten, zu der Daten erhalten werden.
씰
Bytes empfangen. Die Gesamtanzahl an Bytes, die vom Dienst empfangen wurde.
571
572
Kapitel 9
Gesamtzusammenfassung
씰
Bytes empfangen/Sek. Die Anzahl an Bytes, die ein Dienst pro Sekunde erhält
씰
Übertragene Bytes. Die Anzahl der Bytes, die vom Dienst übertragen wurden.
씰
Übertragene Bytes/Sek. Die Anzahl der Bytes, die vom Dienst pro Sekunde übertragen wurden.
씰
Zyklische Redundanzüberprüfung / Cyclical Redundancy Check Errors (CRC). Ein erhaltener Frame, der fehlerhafte Danten enthält. Das Paket hat CRC nicht durchlaufen.
씰
Frames empfangen. Die Gesamtanzahl an Frames, die ein Dienst erhält.
씰
Frames empfangen/Sek. Die Anzahl an Frames, die ein Dienst pro Sekunde erhält.
씰
Übertragene Frames. Die Anzahl an Frames, die vom Dienst übertragen werden.
씰
Übertragene Frames/Sek. Die Anzahl an Frames, die vom Dienst pro Sekunde übertragen werden.
씰
Prozent der eingehenden Komprimierung. Gibt an, wie gut der Eingangsverkehr komprimiert wurde.
씰
Prozent der ausgehenden Komprimierung. Gibt an, wie gut der Ausgangsverkehr komprimiert wurde.
씰
Fehler. Serielle Überschreitungen, Zeitüberschreitungen, Fehler insgesamt, Fehler insgesamt/Sek. Diese Objekte bearbeiten sämtliche Fehlerinformationen für den Routing- und Remote-Access-Dienst.
Um Access-Sicherheit zu konfigurieren, müssen Sie die Routing- und RemoteAccess-Konsole öffnen. Klicken Sie mit der rechten Maustaste den Server an und wählen Sie EIGENSCHAFTEN, anschließend die Registerkarte SICHERHEIT. Der Standard-Authentifizierungsprovider ist Windows Authentication. Sie können aber auch die RADIUS-Authentifizierung einstellen.
9.4 Netzwerkprotokolle
9.4
Netzwerkprotokolle: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
TCP/IP wird standardmäßig mit Windows 2000 installiert. Viele Features von Windows 2000 hängen von TCP/IP ab, wobei eine gültige IP-Adresse, eine Subnetzmaske, ein Standardgateway und ein DNS-Server verlangt werden. Diese Information kann bei jedem Clientcomputer und Server manuell eingegeben werden, besser ist aber per DHCP. DHCP weist dem Host eine gemäß dem Clientcomputer benötigte IP-Adresse zu. Wenn Sie Windows 2000 mit einem älteren Netzwerk Basis Input Output System (NetBIOS) mischen, dann werden Sie höchstwahrscheinlich den Windows Internet Naming Service (WINS) verwenden, um die »Computernamen« in IP-Adressen aufzulösen. Zugang zu WINS-Eigenschaften erhalten Sie über die Registerkarte ERWEITERT des TCP/IP Dialogfensters EIGENSCHAFTEN. Wenn Sie NetWare integrieren, müssen Sie die Netzwerknummern und Rahmentypen kennen, die die NetWare-Server verlangen. Windows 2000 kann der momentan verwendete Rahmentyp ermitteln. Sie können den Rahmentyp aber auch manuell hinzufügen. Allgemein verwendeten NetWare-Servers 3.11 und vorhergehende Versionen 802.2 als Rahmentyp, wohingegen Netware 3.12 und später 802.2 verwenden. Sie müssen auch das NWLink-Protokoll anwenden, um die Packet Exchanged/ Sequenced Packet Exchange (IPX/SPX)-Kompabilität zu erhalten, welche von älteren NetWare-Servern verlangt wird (neuere NetWare-Server können TCP/IP verwenden). NWLink ist Microsofts 32-Bit-Implementierung von IPX/SPX. Zusätzlich zu den Protokollen wird für NetWare nach Software wie etwa Gateway Service (GSNW) verlangt oder nach File und Print Services (FPNW). Somit kann die Vernetzung mit NetWare-Servern und Clientcomputern vervollständigt werden. Netzwerkverbindungen sind ein Weg, Netzwerkprovider, Protokolle und Verbindungen in der Reihenfolge anzuordnen, in der sie am wahrscheinlichsten von Betriebssystemen verwendet werden. Kurz gesagt, Sie können bestimmen, auf welches Protokoll sich zuerst bezogen werden soll oder welches Protokoll zuerst verwendet werden soll, wenn der Versuch, sich mit Ressourcen zu verbinden, gestartet wird. Windows 2000 ermöglicht es Ihnen, Protokolle mit Diensten, die auf dem Computer installiert sind, zu verbinden oder die bereits bestehende Verbindung zu trennen. Sie können die gewünschte Reihenfolge der Protokolle unabhängig von den installierten Diensten und Adaptern festlegen.
573
574
Kapitel 9
Gesamtzusammenfassung
Ein Provider ist ein Netzwerk-Clientcomputer, der Zutritt zu den Ressourcen ermöglicht. Eine Verbindung ist eine Komponente, die darstellt, wie dieser Host sich mit einem anderen Host verbindet: Local Area Network (LAN), WAN oder DFÜ. Das Address Resolution Protocol (ARP) ist das Protokoll, das IP-Adressen in MAC-Adressen auflöst. TCP/IP-Paketfilter sind eine Möglichkeit, gewisse Pakettypen davon abzuhalten, Ihren Windows-2000-Computer zu erreichen. Sie können Filter für TCP, UDP oder IP-Nummern einstellen. Sie können eine universale Einstellung für sämtliche Adapter erstellen oder jeden Adapter individuell konfigurieren. Zugang zur IP-Filterung erhalten Sie über die Registerkarte OPTIONEN, oder über die Schaltfläche ERWEITERT im Dialogfenster TCP/IP-EIGENSCHAFTEN. IP-Paketfilterung ist nicht dasselbe oder so sicher wie IPSec. IPSec wird für die Sicherung von Paketen verwendet, die zwischen zwei Hostkennungen (ID) verschickt werden. Das Verschlüsselungsdateisystem (EFS) ist nicht verschlüsselt, wenn es die Daten auf einem Netzwerk verschickt. Deshalb müssen Sie ebenfalls IPSec für die Verschlüsselung von Daten in einem Netzwerk verwenden. Tunneling ist der Prozess für das Einkapseln von Paketen innerhalb anderer Pakete. Integrität, Sicherheit und Komfort der Daten wird somit gewährleistet. L2TP verwendet IPSec, wenn es verfügbar ist, da L2TP ein UDP-ähnliches Paket für Übertragungen verwendet. IPSec-Tunneling wird verlangt, wenn Ihre Router oder Remote-Hosts L2TP nicht akzeptieren können. Proxy-Server können als Firewalls handeln, um eingehende Pakete daran zu hindern, Host-IDs auf einem spezifischen Netzwerk zu erreichen. Um die Sicherheit von Anmeldungen, Authentifizierungen und Netzwerken zu garantieren, können Security-Hosts implementiert werden. Diese Security-Hosts sind Zwischengeräte für DFÜ-Clientcomputer. Kerberos-V5-Authentifizierung ist ein von der Industrie standardisiertes Authentifizierungsprotokoll. Mit Tickets und Schlüsseln werden Anwendern Rechte an den Ressourcen garantiert. Kerberos befindet sich auf Windows-2000-Domänen. Kerberos kann so konfiguriert werden, dass es mit MIT-basierten Bereichen interagiert. Clientcomputer von anderen Systemen können somit Zugang zu den Ressourcen im Active Directory haben. Ein VPN ist die Erweiterung eines physischen Netzwerks und verwendet das Internet als Backbone zwischen zwei Segmenten. Die VPN-Technologie wurde auf PPTP oder L2TP gegründet. Mit VPN können Sie Netzwerke verbinden, während diese, aller Wahrscheinlichkeit nach, die existierende Struktur des Internets als Backbone verwenden. IPSec kann mit VPN zur Gewährleistung der Quälität und der Zustellung der Pakete gekoppelt werden.
9.5 WINS
Je größer ein Netzwerk wird, desto größer wird auch der Verkehr. Administratoren müssen sich der Protokolle und Dienste entledigen, die nicht mehr gebraucht werden, um den Verkehr zu verringern. Administratoren müssen ebenfalls diesen Verkehr mittels Netzwerkmonitor überwachen. Mit dem Netzwerkmonitor können Sie Echtzeit-Vorgänge erfassen, Filter für Protokollarten erstellen und die Information in einer Datei abspeichern. Es ist wichtig, dass Sie eine Richtlinie erstellen, bevor Sie entscheiden, welche Daten Sie sammeln möchten, um die erbrachte Leistung zu sehen. Der in Windows 2000 enthaltene Netzwerkmonitor ist nicht die Vollversion. Die Vollversion des Monitors ist in SMS enthalten. Sie können den Netzwerkmonitortreiber (ein Protokoll) auf einer Arbeitsstation und Servern hinzufügen, die vom Short Messaging Service (SMS)-Netzwerkmonitor kontrolliert und überwacht werden sollen.
9.5
WINS: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
Die Namensauflösung von NetBIOS kann mit LMHOSTS-Dateien oder WINS vorgenommen werden. Eine LMHOSTS-Datei ist eine Textdatei, die manuell bearbeitet und auf jeden Computer im Netzwerk extra kopiert werden muss. WINS enthält folgende vier Elemente: 씰
WINS-Server. Wenn WINS-Clientcomputer sich dem Netzwerk anschließen, kontaktieren diese mit einer zielgerichteten Meldung einen WINS-Server. Der Clientcomputer registriert seinen Namen auf dem WINS-Server und verwendet diesen, um NetBIOS-Namen in IP-Adressen aufzulösen.
씰
WINS-Clientcomputer. WINS-Clients verwenden eine zielgerichtete Punktzu-Punkt-Knoten-Meldung (P-Knoten), um mit WINS-Servern zu kommunizieren. P-Knoten-Meldungen sind üblicherweise so konfiguriert, dass sie hybride Knoten(H-Knoten)-Kommunikation verwenden. WINS-Clientcomputer können Windows-2000-, Windows-NT-, Windows-95- und 98- und Windows-für-Workgroups-Computer sein.
575
576
Kapitel 9
Gesamtzusammenfassung
씰
Keine WINS-Clientcomputer. Ältere Microsoft-Netzwerk-Clientcomputer, die keine P-Knoten verwenden können, können dennoch von WINS profitieren. Deren Broadcast-Meldungen werden von WINS-Proxy-Computern abgestellt, die als Vermittler zwischen Broadcast-Knoten(B-Knoten)-Clientcomputern und WINS-Servern agieren. MS-DOS und Windows-3.1Clientcomputer funktionieren nicht als WINS-Clientcomputer.
씰
WINS-Proxies. Windows-NT-, Windows-95- und 98-, Windows-für-Workgroups-Clientcomputer können als WINS-Proxies funktionieren. Sie stellen B-Node-Broadcasts auf ihrem lokalen Subnetz ab und kommunizieren mit einem WINS-Server im Namen des B-Knoten-Clientcomputers.
WINS-Server sollten statt einer dynamischen eine statische IP-Adresse verwenden. Anderenfalls könnten alle Anwender den Zugang zum Server verlieren, falls eine andere Adresse als die, die vom DHCP-Server ausgestellt wurde, ausgegeben wird. Die WINS-Konsole ist ein Microsoft Management Console (MMC)-Snap-In, das für die Interaktion mit dem WINS-Dienst verwendet wird. Klicken Sie innerhalb der WINS-Konsole mit der rechten Maustaste den Server an und wählen Sie EIGENSCHAFTEN. Folgende Registerkarten werden angezeigt: 씰
씰
Allgemein. Wird für folgende Parameter verwendet. 씰
Statistik
씰
WINS-Datenbanksicherung
Intervalle. Wird für Erneuerungen von WINS-Datenbankeinträgen, -Löschungen und -Überprüfungen von Intervallen verwendet. Folgende Intervalle können eingestellt werden: 씰
Erneuerungsintervall
씰
Alterungsintervall
씰
Alterungszeitüberschreitung
씰
Überprüfungsintervall
씰
Datenbanküberprüfung. Ermöglicht es Ihnen, Parameter, die mit der WINS-Datenbank verbunden sind, zu konfigurieren.
씰
Erweitert. Wird für das Konfigurieren von Parametern verwendet: 씰
Anmelden
9.5 WINS
씰
Burstverarbeitung. Einstellungen können wie folgt sein: Low, Medium, High oder Custom. Hiermit wird es Ihnen ermöglicht, eine bestimmte Anzahl an Verbindungen festzulegen.
씰
Datenbankpfad
씰
Datenbank-Versionsnummer
씰
LAN-Manager-Kompabilität
Eines der neuen Features in Windows 2000 WINS-Server ist die Fähigkeit, eine ständige Verbindung mit einem oder mehreren Replikationspartnern aufrechtzuerhalten und dabei eine Echtzeitreplikation zu ermöglichen. Die verschiedenen Arten von Replikationen, die für den WINS-Dienst konfiguriert werden können, sind: 씰
Pull-Replikation
씰
Push-Replikation
씰
Partnerart der Replikation, die push, pull oder push/pull sein kann.
In Push-Replikationen fördert der Server seine Datenbank zum Replikationspartner. Eine Push-Replikation ist ereignisgesteuert. Die Anzahl an Datenbankaktualisierungen bestimmt, wann ein Ereignis eintritt. In Pull-Replikationen, zieht Ihr Server die Datenbanken von den Replikationspartnern. Eine Pull-Replikation ist zeitgesteuert und tritt bei der Konfigurierung ein. In Push/Pull-Replikationen können DatenbankReplikationen mittels einer der beiden Methoden durchgeführt werden. Die Mehrheit der WINS-Fehlerbehebungen treten aufgrund der Vernetzung auf. Tools, die die Fehlerbehebung unterstützen, sind: 씰
PING.EXE
씰
IPCONFIG
씰
Task Manager
Für die Server-Statistik müssen Sie lediglich die WINS-Konsole öffnen und mit der rechten Maustaste den jeweiligen Server anklicken. Wählen Sie im Kontextmenü SERVERSTATISTIK ANZEIGEN. Ein Snapshot der Server-Statistik wird angezeigt werden.
577
578
Kapitel 9
Gesamtzusammenfassung
Knotenarten, die Sie für WINS und Netzwerke kennen sollten, sind: 씰
B-Knoten. Bezieht sich ausschließlich auf Broadcast-Meldungen und ist der älteste NetBIOS-Namensauflösungsmodus.
씰
P-Knoten. Bezieht sich auf WINS-Server für NetBIOS-Namensauflösung. Clientcomputer registrieren sich selbst mit einem WINS-Server, wenn sie ins Netzwerk gelangen. Anschließend kontaktieren sie den WINS-Server mit NetBIOS-Namensauflösungsanfragen.
씰
Modifizierter Knoten (M-Knoten). Ein hybrider Modus, der zuerst versucht, NetBIOS-Namen mit dem B-Knoten-Mechanismus aufzulösen. Sollte ihm die Auflösung hiermit nicht gelingen, wird versucht, eine P-Knoten-Namensauflösung zu machen.
씰
H-Knoten. Ein hybrider Modus, der für die NetBIOS-Namensauflösung bevorzugt WINS verwendet. Wenn ein Computer einen NetBIOS-Namen auflösen muss, wird zuerst der Versuch unternommen, die P-Knoten Auflösung mittels WINS zu verwenden. Nur wenn diese Auflösung nicht gelingt, greift der Host auf die B-Knoten-Auflösung mittels Broadcast zurück.
9.6
IP-Routing: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbehebung
Routing ist der Prozess für die Weiterleitung eines Pakets, die auf der IP-Empfängeradresse basiert. Routing kann auf einem übermittelnden TCP/IP-Host geschehen, bekannt als Host-Routing, und auf einem IP-Router, bekannt als Router-Routing. Damit der Host das Paket über den Router auch zu seinem Empfänger verschicken kann, muss er zuerst die Adresse des Routers bestimmen, dem das Paket zugeschickt werden soll. Hierbei kann folgendermaßen vorgegangen werden: 씰
Die Standard-Gatewayadresse wird festgelegt und anschließend wird der lokale ARP-Cache aufgefordert, die physische Adresse des Routers, der das Paket erhalten soll, zu identifizieren.
9.6 IP-Routing
씰
Ein Internet Control Message Protocol (ICMP) leitet die Meldung weiter, die von einem IP-Router zu einem Sende-Host geschickt wurde und informiert über eine bessere Route zu einem Empfänger-Host. Diese bessere Route wird zu einer Host-Route in einer Routing-Tabelle.
씰
Ein TCP/IP-Host kann auf den Routing-Protokollverkehr, der von den Routern benutzt wird, hören. Diese Fähigkeit ist auch als Eavesdropping oder Wiretapping bekannt. Windows 2000 implementiert Eavesdropping mittels eines Features namens Silent Routing Informations Protocol (RIP).
Bei Router-Routing wird entschieden, zu welchem Router das Paket weitergeleitet werden soll. Diese Entscheidung wird durch die Anzahl an Variablen über jeden Netzwerkpfad, der zum Host führt, inklusive der Anzahl der Hops und der Kosten eines jeden Hops bestimmt. Windows 2000 Advanced Server bietet Router-Routing an, und verwendet hierfür den Routing- und Remote-Access-Dienst. Routing-Tabellen können manuell (statisch) oder unter Anwendung von dynamischen Routing-Protokollen konfiguriert werden. Zwei dynamische Routing-Protokolle, die von Windows 2000 angeboten werden, sind: 씰
RIP
씰
Open Shortest Path First (OSPF)
Dynamische Router können von anderen Routern lernen, was ihnen eine Fehlertoleranz ermöglicht. Wenn ein Router oder Link abstürzt, fühlen die Router die Veränderung in der Netzgruppentopologie mittels des Verfalls der Routeinformation in der Routing-Tabelle ab. Der Router kann dann seine Links, die auf der neuen Netzwerk-Topologie basieren, neu bilden und die Routing-Information anderen Routern weiterleiten, damit alle Router der Netzgruppe auch über die neue Netzgruppentopologie informiert sind. Routing kann entweder Distance-Vector-Routing- oder Link-State-Routing-Technologien verwenden. Die wichtigsten Unterschiede dieser zwei Routing-Protokolle sind: 씰
Welche Routing-Information ausgetauscht wird.
씰
Wie die Information ausgetauscht wird.
씰
Wie schnell die Netzgruppe sich nach einem abgestürzten Link oder abgestürztem Router wiederherstellen kann.
579
580
Kapitel 9
Gesamtzusammenfassung
Distance-Vector-Routing ist der älteste und meist gebrauchte Routing-Algorithmus. Distance-Vector-Routers bilden Ihre Routing-Information-Tabellen aufgrund von Informationen, die von anderen Routern kommen. Die Router leiten diese Information an andere Router und an jedes Segment, das mit diesen Routern verbunden ist, weiter. Link-State-Routing-Protokolle tauschen Informationen nur über spezifische Routen aus, die sich geändert haben. Router, die Link-State-Routing-Protokolle verwenden, lernen über ihre Netzwerkumgebung, indem sie benachbarte Router »treffen«. Dies geschieht mittels eines »Hallo«-Pakets. Diese Netzwerkinformation wird anschließend an alle benachbarten Router verschickt, wobei eine Link-State-Ankündigung verwendet wird. Die benachbarten Router kopieren den Inhalt des Pakets und leiten die Link-State-Ankündigung zu jedem verbundenen Netzwerk weiter, außer zu dem, das die Link-State-Ankündigung erhalten hat. Dies ist auch auch als Flooding bekannt. RIP ist ein Distance-Vector-Protokoll, das die Teilstrecken misst, um die Anzahl an Routern zu ermitteln, die gekreuzt werden müssen, um zum gewünschten Netzwerk zu gelangen. Die Anwendung von RIP ist weit verbreitet, vor allem für den Routing-Verkehr im weltweiten Internet. RIP ist ein internes Gateway-Protokoll (IGP). Dies bedeutet, dass Routing innerhalb eines einzigen autonomen Systems durchgeführt wird. Es gibt zwei Versionen von RIP: Version 1 und Version 2. RIP-Router kündigen sämtlichen verbundenen Netzwerken mittels eines IP-Subnetzes und MAC-Level-Broadcasts die Inhalte ihrer Routing-Tabellen alle 30 Sekunden an. (RIP-v2-Router können zu Multicast-RIP-Ankündigungen konfiguriert werden.) RIP verwendet eine einzige Routing-Metrik (Anzahl der Teilstrecken), um die Distanz zwischen der Quelle und einem Empfängernetzwerk zu messen. Jeder Teilstrecke in einem Pfad, der von der Quelle zum Ziel führt, wird ein Hop-Count-Wert zugewiesen, der normalerweise 1 ist. Die maximale Anzahl an Teilstrecken in einem Pfad ist 15. Deswegen kann es nur 15 Router zwischen zwei Hosts geben. OSPF ist ein Link-State-Routingprotokoll, das funktioniert, wenn Link-StateAnkündigungen (LSA) zu allen Routern innerhalb desselben Hierarchiebereichs verschickt werden. OSPF beinhaltet folgende Features: 씰
Bessere Konvergenz als RIP.
씰
OSPF berechnet Routen, die immer loopfrei sind.
씰
OSPF versendet Aktualisierungen nur dann, wenn das Routing sich ändert, also nicht periodisch. Somit kann die Bandbreite besser genutzt werden.
9.6 IP-Routing
씰
OSPF ermöglicht eine logische Definition von Netzwerken, in denen Router in Bereiche aufgeteilt werden können.
씰
OSPF wurde entwickelt, um die Subnetzmaske mit dem Netzwerk anzukündigen. OSPF unterstützt Variable-length-Subnetzmasken (VLSM), Disjointed-Subnetze und Supernetting.
씰
OSPF ermöglicht es, bei der Routing-Authentifizierung verschiedene Methoden von Passwort-Authentifizierungen anzuwenden.
씰
Routen außerhalb des autonomen OSPF-Systems sind innerhalb des autonomen Systems angekündigt, sodass OSPF-Router die kostengünstigste Route zu externen Netzwerken berechnen können.
Wählen bei Bedarf-Routing kann verwendet werden, um Pakete über DFÜ-Links zu versenden. Ein Wählen bei Bedarf-Netzwerk besteht aus einem Anruf-Router und einem Antwort-Router. Beide haben den Routing- und Remote-Access-Dienst installiert. Einige Verbindungsarten können mit dem Wählen bei Bedarf-Router verwendet werden, inklusive: 씰
Modem oder ISDN-Verbindung
씰
Direkte serielle Anschlussverbindung oder direkte parallele Anschlussverbindung
Wählen bei Bedarf(Demand-Dial)-Sicherheit gibt eine Anzahl von Sicherheitsfunktionen an, um sicherzugehen, dass der entsprechende Anruf-Router die Verbindung initiiert und der Antwort-Router auf die Verbindung antwortet: 씰
RAS-Berechtigung
씰
Authentifizierung
씰
Verschlüsselung
씰
Rückruf
씰
Anrufer-ID
씰
Remote-Access-Kontosperrung
581
582
Kapitel 9
Gesamtzusammenfassung
Der Route-Befehl wird vor allem angewandt, um statische Routen innerhalb eines Netzwerkes zu konfigurieren. Er kann ebenfalls zur Fehlerbeseitigung verwendet werden, indem sämtliche Routen, die dieser Computer kennt, aufgelistet werden. Tabelle 3 der Zusammenfassung listet häufig vorkommende Probleme und Lösungen mit RIP auf. Tabelle 4 der Zusammenfassung listet häufig vorkommende Probleme und Lösungen mit OSPF auf: Problem
Lösung
Routing-Tabellen haben keine ordnungsgemäßen Informationen innerhalb des gemischten RIP-Version-1und 2-Netzwerks
RIP-Version-2-Router sind in Multicast-Ankündigungen konfiguriert. Multicast-Ankündigungen können in keinem Fall von RIP-Version-1-Routern empfangen werden. Sollten Sie eine gemischte Umgebung aus RIP-Version 1 und RIP-Version 2 haben, stellen Sie sicher, dass die Router, die mit RIP-Version 2 konfiguriert sind, Broadcast anstatt Multicast verwenden.
Silent-RIP-Hosts erhalten keine Routen.
RIP-Version-2-Router sind für Multicast-Ankündigungen konfiguriert. Multicast-Ankündigungen können in keinem Fall von stillen RIP-Hosts empfangen werden. Sollten sich stille RIP-Hosts in einem Netzwerk befinden, das vom lokalen RIP-Router keine Routen empfängt, überprüfen Sie, ob die RIP-Version von stillen RIP-Hosts unterstützt wird. Sollte es sich um den Listening-Dienst in Windows NT 4 Service Pack oder Windows 2000 handeln, müssen Sie die RIP-Router für die RIP-Version 1 oder RIP-Version Broadcasting konfigurieren.
RIP-Router wurden nicht ordnungsgemäß mit gültigen Routen aktualisiert.
Setzen Sie variables Längen-Subnetting, DisjointedSubnetze oder Supernetting in einer RIP-Version oder einer gemischten Umgebung auf den RIP-Versionen (1 und 2) ein. In einer RIP-Version-1- oder einer RIP-Version-2-Umgebung können Sie kein variables Längen-Subnetting, keine Disjointed-Subnetze oder Supernetting einsetzen, da diese nicht unterstützt werden. Sie verwenden autostatisches RIP und haben keine anfängliche manuelle Aktualisierung vorgenommen. Wenn Sie autostatisches RIP auf einer Einwahl-beiBedarf-Schnittstelle verwenden, müssen Sie bei der ersten Verbindung, die Sie erstellen, die Routen manuell aktualisieren. Außerdem müssen Sie die Routen auf dem Router für die entsprechende Schnittstelle manuell aktualisieren. Die Routen erscheinen dann in der IP-Routing-Tabelle.
Tabelle 9.3: Zusammenfassung Tabelle 3: Probleme und Lösungen mit RI
9.6 IP-Routing
Problem
Lösung
Host- oder Standard-Routen wurden nicht übertragen.
Standardmäßig ist RIP nicht so konfiguriert, dass es Hostoder Standard-Routes überträgt. Müssen diese jedoch übertragen werden, ändern Sie die Standardeinstellungen unter Eigenschaften einer RIP-Schnittstelle auf der Registerkarte ERWEITERT.
Tabelle 9.3: Zusammenfassung Tabelle 3: Probleme und Lösungen mit RI
Problem
Lösung
Zwischen zwei Nachbarroutern baut sich keine OSPFAdjacency auf.
OSPF ist auf Schnittstellen nicht aktiviert. Überprüfen Sie, ob OSPF auf der Schnittstelle im Netzwerksegment, in dem eine adjacency should form aktiviert ist. Wenn Sie eine Schnittstelle einem OSPF-Routingprotokoll hinzufügen, wird OSPF für diese Schnittstelle standardgemäß deaktiviert und muss manuell aktiviert werden. Pingen Sie den benachbarten Router, um die Basis-IP und Netzwerkvernetzung sicherzustellen. Verwenden Sie den tracert-Befehl, um die Route zum benachbarten Router zu verfolgen. Es solllten sich keine Router zwischen den benachbarten Routen befinden.
Zwischen zwei Bereichen bildet sich keine virtuelle Verbindung.
Fehlgeschlagenes Konfigurieren eines Passworts, HalloIntervalls oder Inaktivitätsintervalls. Überprüfen Sie, ob der virtuelle Link-Nachbar-Router mit demselben Passwort, Hallo-Intervall oder Inaktivitätsintervall konfiguriert ist. Virtuelle Link-Nachbarn wurden für die falsche Transitbereich-ID konfiguriert. Überprüfen Sie, ob beide virtuelle Link-Nachbarn für dieselbe richtige Transitbereich-ID konfiguriert wurden.
Routing-Tabellen wurden nicht mit OSPF-Routen aktualisiert oder es existieren nicht ordnungsgemäße OSPF-Routen.
Kein Empfang zusammengefasster Routen. Sollten Sie keine zusammengefassten OSPF-Routen für einen Bereich erhalten, überprüfen Sie, ob beide Area Border Router (ABR) mit den richtigen {Ziel, Netzwerkmasken} Paaren konfiguriert wurden, die die Routen dieses Bereichs zusammenfassen.
Tabelle 9.4: Zusammenfassung Tabelle 4: Probleme und Lösungen mit OSPF
583
584
Kapitel 9
Gesamtzusammenfassung
Problem
Lösung
Kein einziger ABR ist mit dem back-with bone verbunden. Stellen Sie sicher, dass alle ABRs entweder physisch oder logisch mit dem Backbone verbunden sind und verwenden Sie hierbei einen virtuellen Link. Es sollte keine BackDoor-Router geben. Back-Door-Router sind Router, die mit zwei Bereichen verbunden sind, ohne durch den Backbone zu müssen. Tabelle 9.4: Zusammenfassung Tabelle 4: Probleme und Lösungen mit OSPF
9.7
Netzadressübersetzung (NAT): Installieren, Konfigurieren und Fehlerbeseitigung
Die gemeinsame Verbindungsnutzung im Internet (Internet Connection Sharing – ICS) gibt einen automatischen Wählen bei Bedarf-Installationsprozess für folgende Dienste an: 씰
NAT
씰
DHCP
씰
DNS Proxy
Mit diesen Diensten wird kleinen Betrieben eine schnelle und einfache Möglichkeit geboten, über DFÜ ins Internet zu kommen. Außerdem hat ICS Features, die es in den NAT-Implementierungen nicht gibt: 씰
H.323 Proxy. Dieses Feature erlaubt Anwendern, Microsoft-NetMeetingAnrufe zu tätigen und zu erhalten.
씰
Lightweight Directory Access Protocol (LDAP) Proxy. Unterstützung der Proxy LDAP-Anfragen ermöglicht es den Anwendern, sich mit einem Internet-Locater-Service-Server (ILS) als Teil eines NetMeeting-Verzeichnisses zu registrieren.
씰
Directplay Proxy. Directplay Proxy ermöglicht es den Anwendern, Directplay-Spiele über den NAT-Router zu spielen. Dieses Feature eignet sich eher für den Heimgebrauch und wird ebenfalls mit der Windows-98er-Version von ICS angeboten.
9.7 Netzadressübersetzung (NAT)
ICS führt während der Installation Folgendes durch: 씰
ICS stellt die IP-Adresse einer LAN-Schnittstelle auf 192.168.0.1 ein, eine private IP-Adresse. Eine private IP-Adresse ist eine Adresse, die nicht über das Internet verfolgt werden kann. Reservierte Adressen sind speziell für private Netzwerke.
씰
Die WAN-Schnittstelle (üblicherweise ein Modem) ist so eingestellt, dass sie ein Wählen bei Bedarf-Router ist, und auf das ISP ausgerichtet ist.
씰
Ein DNS-Proxy-Dienst wird installiert, um Büros die DNS-Dienste zu ermöglichen. Dieser Dienst leitet DNS-Anfragen von Clientcomputern an den DNS-Server weiter, der in den DHCP-Einstellungen des ICS-Servers konfiguriert ist.
씰
Der AutoDHCP-Dienst ist installiert. Dieser Dienst gibt eine Teilmenge der Dienste an, die in einer vollen DHCP-Installation enthalten sind. AutoDHCP ist allerdings konfiguriert, um Adressen auf dem neuen 198.168.0.0-Netzwerk auszustellen.
Sollten Sie über ein größeres Netzwerk verfügen, als das, das ICS unterstützen kann, so können Sie über die NAT-Unterstützung von Windows 2000 verfügen. NAT bringt eine IP-Adressen-Eingabe auf eine Schnittstelle des Windows-2000Servers und übersetzt sie in eine andere Adresse, die auf einer anderen Schnittstelle existiert (üblicherweise mit dem Internet verbunden). Die zwei Gründe, warum so vorgegangen wird, sind: 씰
Sicherheit
씰
IP-Adressen-Vergabe
Sollten Sie vorhaben, NAT zu verwenden, so kann mit Hilfe des NAT-DHCPDienstes der Clientcomputer am einfachsten aktiviert werden. Mit diesem Dienst werden die Clientcomputer mit der korrekten Information konfiguriert und können das NAT-Gateway verwenden, wenn sie ihre IP-Adresse über DHCP zugestellt bekommen. Wenn Sie NAT-DHCP verwenden, benötigen Sie den Windows-2000DHCP-Dienst nicht. Eine NAT-Schnittstelle definiert die Eigenschaften der Verbindung für NAT. Hierbei kann es sich entweder um die private Schnittstelle, die mit dem internen (privaten) Netzwerk verbunden ist, handeln, oder um die öffentliche Schnittstelle, die mit dem Internet verbunden ist.
585
586
Kapitel 9
Gesamtzusammenfassung
Sämtliche Anmeldeereignisse werden im Systemereignisprotokoll erfasst und können mit der Ereignisanzeige angezeigt werden.
9.8
Zertifikatsdienste: Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung
Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung der Zertifikatsdienste Windows 2000 enthält Zertifikatsdienste zur Sicherung von Intraund Extranets. Digitale Unterschriften gewährleisten, dass die Daten auch von dem Anwender kommen, der er angibt zu sein, und diese Daten nicht verfälscht wurden. Die Public Key Infrastructure (PKI) wurde implementiert, um die Offenheit von TCP/IP zu garantieren. PKI wurde zusammen mit TCP/IP entwickelt. Hiermit soll die Sicherheit von gesendeten Daten zwischen Hosts unter Anwendung von Verschlüsselung gewährleistet werden. Der Schlüssel zu dieser Verschlüsselung ist das Zertifikat. Ein digitales Zertifikat ist die elektronische Version eines Passworts oder einer Angestelltenidentifizierung. Mit digitalen Zertifikaten kann nachgewiesen werden, dass Sie auch wirklich derjenige sind, der Sie angeben zu sein. Digitale Zertifikate werden als Teil der Verschlüsselung, die PKI möglich macht, verwendet. Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt, die überprüft, dass es sich bei dem Besitzer des Zertifikats um den rechtmäßigen Besitzer handelt. CA stellt hauptsächlich sicher, dass die Anwendung der digitalen Identität auch gültig ist, dass es sich um eine reale Person handelt, mit echten Anmeldeinformationen. Inhalte eines digitalen Zertifikats sind: 씰
Anwendername
씰
Öffentlicher Schlüssel des Anwenders
씰
Seriennummer
씰
Ablaufdatum
씰
Informationen über das Zertifikat selbst
씰
Informationen über die CA, die das Zertifikat ausgestellt hat
9.8 Zertifikatsdienste
Eine Windows-2000-Enterprise-CA vergibt Zertifikate für die interne Sicherheit eines ganzen Unternehmens, so genannte Organisationszertifizierungsstellen. Eine externe CA hingegen vergibt Zertifikate für externe Sicherheitsbedürfnisse. Microsoft unterstützt beide und Sie können diese mischen und den Bedürfnissen Ihres Unternehmens anpassen. Anforderungen einer Organisationszertifizierungsstelle: 씰
Der CA-Server kann auf jedem beliebigen Windows-2000-Server laufen. Vorgangsplanung, Netzwerk laden und physische Platzierung des Servers für die beste Implementierung.
씰
Der Name des Servers sollte vor der Implementierung des CA-Dienstes festgelegt werden. Der Grund hierfür ist, dass der CA-Name in den Zertifikaten, die ausgestellt werden, enthalten ist.
씰
Die Organisationszertifizierungsstelle ist im Active Directory integriert.
씰
Wenn Sie eine Organisationszertifizierungsstelle installiert haben, wird ein Richtlinienmodus erstellt. Ein Administrator kann die Richtlinie bearbeiten.
씰
Planen Sie Fehlertoleranz mit ein. Da CA für die erfolgreiche Implementierung einer PKI wichtig ist, sollten Sie ein Fehlertoleranz-Schema planen. Außerdem sollten Sie regelmäßige Sicherungen vornehmen.
Mit Windows 2000 können Sie eine eigenständige CA installieren. Hierfür wird kein Active Directory benötigt. Active Directory kann jedoch, falls vorhanden, verwendet werden. Eine eigenständige CA ist für die Ausstellung von Zertifikaten, digitalen Signaturen, Unterstützung sicherer E-Mails (S/MIME) und SSL (Secure Sockets Layer) oder TLS (Transport Layer Security) sehr nützlich. Typische Attribute einer eigenständigen CA sind: 씰
Active Directory muß nicht eingreifen.
씰
Wird mit Extranets verwendet.
씰
Die eigenständige CA überprüft keine Zertifikatsanfragen. Sämtliche Anfragen werden als noch ausstehend eingestellt, und zwar solange, bis ein Administrator den Anfragen zustimmt.
587
588
Kapitel 9
Gesamtzusammenfassung
씰
Anwender, die ein Zertifikat von einer eigenständigen CA anfordern, müssen dieser die gesamte Anwenderkonto-Information unterbreiten. Innerhalb einer Enterprise-CA werden keine Anwenderkonto-Informationen verlangt, da der Anwender über das Anmeldekonto im Active Directory erkannt wird.
씰
Es werden keine Zertifikatsvorlagen verwendet.
씰
Anmeldungszertifikate von Windows 2000 sind nicht auf Smart Cards gespeichert. Andere Zertifikate können jedoch auf Smart Cards gespeichert sein.
씰
Ein Administrator muss das Zertifikat, das von einer eigenständigen CA ausgestellt wurde, an den vertrauenswürdigen Stammspeicher weiterleiten.
Wenn ein Active Directory existiert und eine eigenständige CA Zugriff darauf hat, sind zusätzliche Optionen verfügbar: 씰
Wenn ein Domänenadministrator mit Schreibzugriff auf das Active Directory eine eigenständige CA installiert, wird sie dem Zertifikatsspeicher der vertrauenswürdigen Stamm-CA hinzugefügt. Sollte der Standardvorgang der noch ausstehenden Anfrage geändert werden, wird die eigenständige CA automatisch sämtlichen Zertifikatsanfragen zustimmen. Mit anderen Worten: Nehmen Sie keine Änderungen bezüglich des Standardvorgangs von noch ausstehenden Zertifikatsanfragen bei einer eigenständigen CA vor.
씰
Sollte ein Domänenadministrator Gruppenmitglied der übergeordneten Domäne (oder ein Administrator mit Schreibzugriff auf ein Active Directory) eine eigenständige CA installieren, wird diese die Zertifikate und die Sperrliste der Zertifikate im Active Directory veröffentlichen.
Windows-2000-PKI berücksichtigt und fördert eine weitverteilte Hierarchie der CAs. Die Erstellung einer CA-Struktur berücksichtigt die Skalierbarkeit mit anderen Organisationen, internen und externen Ressourcen und die Komptabilität mit dritten CA-Implementierungen. Gründe, die für eine CA-Hierarchie sprechen, sind: 씰
Variierende Anwendung. Zertifikate werden aus verschiedenen Gründen ausgestellt. Zu diesen Gründen zählen z.B. die Sicherung von E-Mails, SSL und TSL. CAs sind für verschiedene Bereiche der Sicherheit verantwortlich.
씰
Politics. Es gibt verschiedene Meinungen über die Art und Weise, wie Richtlinien eingeführt werden. Je nachdem, um was für ein Unternehmen es sich handelt, sind unterschiedliche Sicherheitsmaßnahmen erforderlich.
9.8 Zertifikatsdienste
씰
Geografie. Für die Sicherung von Netzwerkressourcen kann es in einer WAN-Umgebung vorkommen, dass für jeden physischen Pfad eine andere CA benötigt wird.
씰
Sicherheit. Die Root Authority sollte in einer sicheren Umgebung mit Fehlertoleranz-Geräten positioniert sein. Für untergeordnete CAs sind nicht dieselben Sicherheitsvorkehrungen wie für den Stamm vonnöten.
씰
Sperren. Die meisten Unternehmen müssen individuelle CAs sperren können. Diese Fähigkeit ist besser, als dazu gezwungen zu sein, ein gesamtes Unternehmen zu sperren.
CA kann auf verschiedene Art und Weise installiert werden: 씰
Nachdem Windows 2000 installiert wurde. Verwenden Sie das PROGRAMME HINZUFÜGEN/ENTFERNEN-Applet der Systemsteuerung, um der aktuellen Installation Dienste hinzuzufügen.
씰
Als Teil der Windows-2000-Installation. Sie können, während Windows 2000 installiert wird, optionale Komponenten auswählen. Nachdem Windows 2000 installiert wurde, müssen Sie die Installation des Dienstes entsprechend Ihrem PKI-Plan vervollständigen.
씰
Vom Zertifikat-Server 1.0 aus aktualisieren. Wenn Sie Windows 2000 auf einem Server installieren, auf dem der Zertifikat-Server 1.0 läuft, wird das Windows-2000-Installierungsprogramm den Dienst automatisch aktualisieren.
씰
Durch eine automatische Installation. Wenn Sie Windows 2000 mittels einer automatischen Installation installieren, können Sie die Installation einer CA mit der Setup-Datei gleichzeitig vornehmen.
Egal, welche Methode Sie für die Installation von Zertifikatsdiensten verwenden, Sie müssen Folgendes vorlegen: 씰
CA-Art. Um welche CA-Art handelt es sich? 씰
Organisation:Stammzertifizierungsstelle. Stamm sämtlicher CAs in Ihrer Hierarchie. Pro Unternehmen gibt es nur eine Enterprise-Root-CA. Active Directory ist erforderlich. Untergeordnete CA-Verzweigungen gehen von diesem Server aus. Enterprise-Root-CA kann nur eine übergeordnete CA sein.
589
590
Kapitel 9
씰
Gesamtzusammenfassung
씰
Organisation:Untergeordnete Zertifizierungsstelle. Eine untergeordnete CA muss ihre Zertifikate von einer in der Hierarchie höheren CA erhalten. Active Directory ist erforderlich. Diese CA ist eine untergeordnete CA, sie kann aber auch wiederum die übergeordnete einer noch weiter unten angesiedelten sein.
씰
Eigenständig:Stammzertifizierungsstelle. Eine eigenständige Stammzertifizierungsstelle ist der Enterprise-Root-CA ähnlich, nur Active Directory wird nicht benötigt.. Es kann aber verwendet werden. Oft ist diese CA offline geschalten, um die Gültigkeit der ursprünglichen Zertifikate und Schlüssel zu schützen.
씰
Eigenständig:Untergeordnete Zertifizierungsstelle. Active Directory wird nicht verlangt, kann aber verwendet werden, falls es zur Verfügung steht. Die untergeordnete CA muss ihre Zertifikate von einer anderen CA ausgestellt bekommen. Sie kann aber auch eine übergeordnete CA sein, wenn sie einer anderen CA ein Zertifikat ausstellt.
Erweiterte Optionen. Sollten Sie die erweiterten Optionen während des Installationsprozesses Ihrer CA aktivieren, müssen Sie Folgendes angeben: 씰
Den kryptografischen Dienstanbieter (Cryptographic Service Provider – CSP). Der CSP erzeugt öffentliche und private Schlüssel.
씰
Schlüssellänge. Je länger der Schlüssel, desto sicherer ist er.
씰
Hash-Algorithmus Eine Berechnung, um einen Hash-Wert von einigen Teilen der Daten zu erzeugen. Die Standardeinstellung ist Secure Hash Algorithm (SHA)-1, was einem Hash-Wert von 160 Bit entspricht.
씰
CA-Name. Der Name der CA. Sie können jedes Zeichen für den CA-Namen verwenden. Der Name, den Sie der CA geben, wird auch der gemeinsame Name (Common Name – CN) der CA im Active Directory sein. Spezielle Zeichen (kein amerikanischer Standardcode für den Informationsaustausch (ASCII) und ASCII Interpunktion) werden herausgenommen und in einen sicheren Namen umgewandelt. Denken Sie auch daran, dass das Active Directory auf 64 Zeichen begrenzt ist. Werden für einen Namen mehr als 64 Zeichen verwendet, wird dieser abgeschnitten.
씰
Organisation. Der Name Ihres Unternehmens, wie er bekannt ist.
씰
Organisationseinheit. Welche Abteilung verwaltet diese CA?
씰
Stadt.
씰
Staat oder Provinz.
9.8 Zertifikatsdienste
씰
Land. X.500-zwei-Zeichen-Code für das Land.
씰
Datenbankpfad. Standardmäßig ist der Datenbankpfad unter \systemroot\system32\certlog gespeichert.
씰
Freigegebene Ordner. Sie können für die CA-Information einen freigegebenen Ordner erstellen, wenn die CA nicht im Active Directory ist (beispielsweise eigenständige Server).
Die Zuordnung von Zertifikaten zu Anwenderkonten kann wie folgt stattfinden: 씰
UPN-Zuordnung. Mit Active Directory wird der Hauptname des Anwenders mit den Zertifikaten der Enterprise-CA verglichen. Als Teil der Erstellung der Zertifizierung in einer Enterprise-CA sind Hauptnamen der Anwender im Zertifikat enthalten.
씰
Eins-zu-Eins-Zuordnung. Eine Eins-zu-Eins-Zuordnung ist ein einziges Zertifikat, das einem einzigen Anwenderkonto zugeordnet wird.
씰
Mehrere-zu-Eins-Zuordnung. Eine Mehrere-zu-Eins-Zuordnung ist etwas seltener. Wie schon der Name sagt, ermöglicht diese Option Ihnen, mehrere Zertifikate von verschiedenen CAs einem einzigen Windows 2000 Konto zuzuordnen.
Nachdem ein Zertifikat ausgestellt wurde, kann es vorkommen, dass es gesperrt werden muss. Die Gründe für die Sperrung eines Zertifikats sind: 씰
Keine Gründe
씰
Schlüsselkompromiss
씰
Zuordnung geändert
씰
Abgelöst
씰
Vorgangsende
Die zwei wichtigen Konzepte der Verwendung von Verschlüsselungsschlüsseln zusammen mit EFS sind: 씰
Entfernen der EFS-Schlüssel. EFS-Schlüssel werden entfernt, um unautorisierten Zugriff auf Daten zu verhindern. Autorisierte Anwender haben Zugriff auf die Daten, wenn der Anwender nicht verfügbar ist.
591
592
Kapitel 9 씰
Gesamtzusammenfassung
Wiederherstellen der EFS-Schlüssel. Sie müssen die EFS-Schlüssel wiederherstellen, wenn Sie Zugriff auf die Daten im System haben müssen. Sie können jedoch nicht auf die Kontoinformationen des Endusers zugreifen.
Für Anwender mit Laptops ist EFS ideal. Indem die Daten im Laptop verschlüsselt werden und dann der öffentliche und private Schlüssel entfernt werden, sind die Daten, selbst wenn das Laptop verloren geht oder gestohlen wird, immer noch sicher. Um Zugriff auf die Daten zu haben, benötigt man den privaten Schlüssel. Dadurch, dass die EFS-Schlüssel vom Laptop entfernt werden, wird es unberechtigten Anwendern unmöglich gemacht, durch einfaches Anmelden Zugriff auf die Daten zu bekommen. Die Schlüssel für die Daten sollten z.B. auf Disketten gespeichert werden.
Tipps zur Prüfungsvorbereitung
10
Dieser Teil des Buches gibt Ihnen einige allgemeine Richtlinien für die Vorbereitung auf ein Zertifizierungsexamen. Er gliedert sich in vier Abschnitte: Der erste behandelt die Lernstile und ihren Einfluss auf die Prüfungsvorbereitung. Im zweiten Abschnitt geht es um Ihre Aktivitäten bei der Prüfungsvorbereitung und um allgemeine Studientipps. Daran schließt sich ein Überblick über die MCP-Examen an, einschließlich einer Reihe spezieller Tipps, die sich auf die verschiedenen Prüfungsformate und Fragetypen von Microsoft beziehen. Der letzte Abschnitt erläutert Änderungen gegenüber den bisherigen Prüfungsrichtlinien von Microsoft und deren Auswirkungen auf Sie.
10.1 Lernstile Damit Sie sich optimal auf die Prüfungen vorbereiten können, müssen Sie das Lernen als Prozess begreifen. Vielleicht wissen Sie bereits, wie Sie sich neues Material am besten erarbeiten. Für den einen sind Gliederungen des Stoffes wichtig, während es für einen »visuellen Typ« besser ist, die Dinge »zu sehen«. Welchen Stil Sie auch bevorzugen, an der Prüfungsvorbereitung führt kein Weg vorbei. Natürlich sollten Sie mit dem Studium für die Prüfungen nicht erst einen Tag vorher beginnen. Lernen ist ein Entwicklungsprozess! Wenn Sie das verstanden haben, können Sie sich darauf konzentrieren, was Sie bereits wissen und was Sie noch lernen müssen. Der Lernprozess beruht unter anderem darauf, neue Informationen mit vorhandenem Wissen zu verknüpfen. Sie verfügen bereits über Erfahrung im Umgang mit Computern und Netzwerken. Nun bereiten Sie sich für das Zertifizierungsexamen vor. Mit diesem Buch, der geeigneten Software und entsprechendem Ergänzungsmaterial erweitern Sie aber Ihr Wissen nicht einfach inkrementell; während des Studiums bauen Sie sich neue gedankliche Strukturen auf. Das führt zu einem umfassenderen Verständnis der Aufgaben und Konzepte, die in den Lernzielen umrissen sind und die für die Computertechnik im Allgemeinen gelten. Auch das ist ein sich wiederholender Prozess und kein Einzelereignis. Behalten Sie dieses Lernmodell im
594
Kapitel 10
Tipps zur Prüfungsvorbereitung
Auge, während Sie sich auf die Prüfungen vorbereiten – Sie können dann besser einschätzen, über welche Kenntnisse Sie bereits verfügen und wie viel Sie noch lernen müssen.
10.2 Studienhinweise Es gibt viele Ansätze zum Studieren und ebenso viele Arten von Studienmaterial. Die folgenden Tipps beziehen sich speziell auf das in den Zertifizierungsexamen behandelte Material.
10.2.1
Lernstrategien
Auch wenn jeder seinen eigenen Lernstil hat, gibt es einige allgemein gültige Lernprinzipien. Deshalb sollten Sie bestimmte Lernstrategien übernehmen, die sich auf diese Prinzipien stützen. Dazu gehört unter anderem, dass sich das Lernen in verschiedene Ebenen gliedern lässt. Die Wiedererkennung (zum Beispiel von Begriffen) veranschaulicht eine oberflächliche Lernebene, bei der Sie auf abrufbereites Wissen zurückgreifen. Das Erkennen bzw. Verstehen (zum Beispiel von Konzepten hinter den Begriffen) stellt eine tieferliegende Lernebene dar. Die Fähigkeit, ein Konzept zu analysieren und die daraus gewonnenen Erkenntnisse in neuer Form anzuwenden, repräsentiert eine noch tiefere Lernebene. Ihre Lernstrategie sollte Sie dahin bringen, dass Sie den Stoff eine oder zwei Ebenen unter der reinen Wiedererkennung beherrschen. Damit können Sie sich optimal auf die Prüfungen vorbereiten; Sie verstehen das Material so umfassend, dass Sie auch mit Fragen vom Typ Multiple Choice problemlos umgehen können. Außerdem sind Sie in der Lage, Ihr Wissen bei der Lösung neuer Probleme anzuwenden. Lernstrategien en gros und en détail Bei einer Strategie für dieses vertiefende Lernen bereiten Sie zunächst eine Gliederung mit allen Lernzielen und Teilzielen für die jeweilige Prüfung vor. Dringen Sie dabei etwas tiefer in den Stoff ein und schließen Sie eine oder zwei Detailebenen unterhalb der für die Prüfung festgelegten Lernziele und Teilziele ein. Dann erweitern Sie die Gliederung, bis Sie bei einer Definition oder Zusammenfassung für jeden Punkt Ihrer Gliederung angelangt sind. Eine Gliederung liefert zwei Ansätze zum Studium. Erstens können Sie sich anhand der Gliederung auf die Organisation des Materials konzentrieren. Arbeiten Sie die Punkte und Unterpunkte Ihrer Gliederung durch und stellen Sie dabei Querverbindungen zwischen den einzelnen Punkten her. Zum Beispiel sollten Sie erkennen, worin sich die Hauptlernziele ähneln bzw. sich unterscheiden. Dann fahren Sie in gleicher Weise mit den Teilzielen fort; beachten Sie dabei, welche Teilziele sich auf welche Lernziele beziehen und wie die Teilziele zueinander in Beziehung stehen.
10.2 Studienhinweise
Als Nächstes arbeiten Sie die Gliederung durch und konzentrieren sich dabei auf die Details. Prägen Sie sich die Begriffe und deren Definitionen, Fakten, Regeln und Strategien, Vorteile und Nachteile usw. ein. Bei diesem Durchgang durch die Gliederung lernen Sie Details und nicht nur die Hauptpunkte – die organisatorischen Informationen, die Sie sich im ersten Durchlauf durch die Gliederung erarbeitet haben. Untersuchungen haben gezeigt, dass es dem Lernprozess als Ganzes nicht zuträglich ist, beide Arten von Informationen gleichzeitig aufzunehmen. Trennen Sie Ihr Studium in die beiden Ansätze – und Sie sind besser auf die Prüfung vorbereitet. Aktive Lernstrategien Wenn Sie sich Ziele, Teilziele, Begriffe, Fakten und Definitionen notieren, beschäftigen Sie sich aktiv mit dem Stoff und nehmen ihn wahrscheinlich besser auf, als wenn Sie ihn lediglich lesen und damit nur passiv verarbeiten. Als Nächstes testen Sie, ob Sie die gelernten Informationen anwenden können. Versuchen Sie deshalb, selbstständig Beispiele und Szenarios zu erzeugen. Denken Sie darüber nach, wie und wo Sie die gelernten Konzepte anwenden können. Schreiben Sie auch hier die gewonnenen Ergebnisse nieder, um die Fakten und Konzepte aktiv zu verarbeiten. Die praxisbezogenen Schritt-für-Schritt-Anleitungen und Übungen am Ende der Kapitel bieten weiter Gelegenheit zum aktiven Lernen, was die Konzepte ebenfalls vertieft. Vernünftige Strategien Schließlich sollten Sie beim Lernen auch den gesunden Menschenverstand einsetzen. Studieren Sie, wenn Sie aufnahmebereit sind, vermeiden Sie Ablenkungen und machen Sie Pausen, wenn Sie abgespannt sind.
10.2.2
Trockentraining
Mit einem Trockentraining können Sie abschätzen, wie weit Sie vorangekommen sind. Einer der wichtigsten Lernaspekte ist das so genannte »Meta-Lernen«. Dabei erkennen Sie, wann Sie ein Thema beherrschen und wo Sie weitere Anstrengungen unternehmen müssen. Mit anderen Worten: Sie erkennen, wie gut oder wie schlecht Sie das Studienmaterial aufgenommen haben. Für viele Leute ist es schwierig, selbstständig objektive Einschätzungen vorzunehmen. Praktische Tests sind nützlich, da sie objektiv aufdecken, was Sie gelernt haben und was noch fehlt. Anhand dieser Informationen legen Sie fest, was Sie wiederholen müssen und wie Sie weiter lernen. In diesem Lernprozess durchlaufen Sie
595
596
Kapitel 10
Tipps zur Prüfungsvorbereitung
mehrere Zyklen, wobei Sie Ihren Kenntnisstand einschätzen, den Stoff wiederholen und eine erneute Einschätzung vornehmen, bis Sie sich schließlich für die Prüfung fit fühlen. Sicherlich haben Sie schon das Praxisexamen in diesem Buch bemerkt. Verwenden Sie es als Teil des Lernprozesses. Die auf der CD enthaltene Software zur Testsimulation ExamGear, Training Guide Edition bietet Ihnen eine hervorragende Gelegenheit, Ihr Wissen zu testen. Für das Trockentraining sollten Sie sich ein Ziel setzen. Dabei ist ein Punktestand sinnvoll, der kontinuierlich bei etwa 90 Prozent liegt. Im Anhang C finden Sie weitere Erläuterungen zur Software für die Testsimulation.
10.3 Tipps zur Prüfungsvorbereitung Wenn Sie Ihr Prüfungsthema beherrschen, müssen Sie schließlich noch verstehen, wie die Prüfung abläuft. Machen Sie keinen Fehler: Ein MCP-Examen fordert sowohl Ihr Wissen als auch Ihre Prüfungsfähigkeiten heraus. Dieser Abschnitt beginnt mit den Grundlagen des Prüfungsaufbaus, bringt einen Überblick über ein neues Examensformat und schließt mit Hinweisen, die sich auf die einzelnen Examensformate beziehen.
10.3.1
Die MCP-Prüfung
Jede MCP-Prüfung wird in einem von drei Basisformaten freigegeben. Unter einem Examensformat ist dabei die Kombination aus Gesamtprüfungsstruktur und Präsentationsmethode für Examensfragen zu verstehen. Die Kenntnis der Examensformate ist ein Schlüssel zur guten Vorbereitung, denn das Format bestimmt die Anzahl der präsentierten Fragen, den Schwierigkeitsgrad dieser Fragen und die Zeit, die Ihnen für das Examen zur Verfügung steht. Die einzelnen Prüfungsformate verwenden viele Fragen des gleichen Typs. Dazu gehören die herkömmlichen Multiple-Choice-Fragen, Multiple-Rating- (oder szenariobasierte) Fragen und simulationsbasierte Fragen. In einigen Prüfungen finden Sie Fragen, bei denen Objekte per Drag&Drop auf dem Bildschirm zu verschieben, Listen neu zu ordnen oder Elemente zu kategorisieren sind. Andere Prüfungen enthalten Fragen, die Sie als Ergebnis einer präsentierten Fallstudie beantworten müssen. Es ist wichtig, die Arten der gestellten Fragen zu verstehen, um sie in der richtigen Weise beantworten zu können.
10.3 Tipps zur Prüfungsvorbereitung
Der Rest dieses Abschnitts erläutert die einzelnen Examensformate und geht dann die Fragetypen durch. Das Verständnis der Formate und Fragetypen hilft Ihnen, sich sicherer zu fühlen, wenn Sie die eigentliche Prüfung absolvieren.
10.3.2
Prüfungsformat
Wie bereits erwähnt, gibt es drei grundsätzliche Formate für die MCP-Examen: das herkömmliche Examen mit festem Format, die adaptive Testmethode und die Fallstudien. Wie die Bezeichnung vermuten lässt, präsentiert das erste Format einen feststehenden Satz von Fragen während der Examenssitzung. Das adaptive Format verwendet dagegen nur eine Teilmenge der Fragen, die während einer bestimmten Prüfung aus einem größeren Pool herausgezogen werden. Das letzte Format umfasst Fallstudien, die als Grundlage für die Beantwortung der verschiedenen Fragetypen dienen. Festes Format Ein computerunterstütztes Examen mit festem Format basiert auf einem feststehenden Satz von Prüfungsfragen. Die einzelnen Fragen werden während einer Prüfungssitzung in zufälliger Reihenfolge präsentiert. Wenn Sie das gleiche Examen mehrfach absolvieren, erhalten Sie nicht unbedingt jedes Mal dieselben Fragen. Das hängt damit zusammen, dass die Fragen für ein Examen aus zwei oder drei Formularen stammen. Diese Formulare sind gewöhnlich mit den Buchstaben A, B und C bezeichnet. Die endgültigen Formulare einer Prüfung mit festem Format decken zwar den gleichen Inhalt ab, bestehen aus der gleichen Anzahl von Fragen und stellen die gleiche Zeit zur Verfügung; sie unterscheiden sich aber in den Fragen selbst. Allerdings können die gleichen Fragen auch auf verschiedenen endgültigen Formularen auftauchen. Der Anteil der gemeinsam verwendeten Fragen ist im Allgemeinen aber sehr gering. Viele endgültige Formulare haben überhaupt keine Fragen gemeinsam, bei älteren Prüfungen sind auf den endgültigen Formularen etwa 10 bis 15 Prozent gemeinsam verwendete Fragen zu finden. Bei Prüfungen mit festem Format ist auch das Zeitlimit gleich, in dem die Prüfungen zu absolvieren sind. Die Software ExamGear, Training Guide Edition auf der Begleit-CD zum Buch enthält Prüfungen des festen Formats. Schließlich basiert die Punktzahl für eine feste Prüfung auf der Anzahl der richtig beantworteten Fragen. Für MCP-Prüfungen liegt die erreichbare Punktzahl zwischen 0 und 1000. Die Bestehensgrenze ist für alle endgültigen Formulare einer bestimmten festen Prüfung gleich.
597
598
Kapitel 10
Tipps zur Prüfungsvorbereitung
Der typische Aufbau sieht hier folgendermaßen aus: 씰
50 bis 60 Fragen
씰
75 bis 90 Minuten Prüfungszeit
씰
Die Fragen müssen nicht unbedingt der Reihe nach beantwortet werden und man hat auch die Möglichkeit, Antworten zu ändern
Adaptives Format Eine adaptive Prüfung hat die gleiche Erscheinung wie eine feststehende Prüfung, wobei sich aber die Fragen hinsichtlich des Umfangs und des Auswahlverfahrens unterscheiden. Auch wenn die Auswertung eines adaptiven Tests recht kompliziert erscheint – im Verlauf der Prüfung geht es darum, das Niveau der Fertigkeiten und Fähigkeiten im Umgang mit dem Prüfungsthema zu bestimmen. Diese Einschätzung beginnt damit, dass Sie Fragen mit unterschiedlichen Schwierigkeitsgraden erhalten. Aus Ihren Antworten geht dann hervor, auf welcher Schwierigkeitsstufe Sie die Fragen zuverlässig beantworten können. Schließlich bestimmt diese Einschätzung, ob die Fähigkeitsebene über oder unter dem Niveau liegt, das für ein Bestehen der Prüfung erforderlich ist. Prüfungsteilnehmer mit verschiedenen Fähigkeitsebenen erhalten auch unterschiedliche Sätze von Fragen. Teilnehmer, die wenig Fachkenntnis in Bezug auf das jeweilige Prüfungsthema erkennen lassen, setzen die Prüfung mit relativ leichten Fragen fort. Teilnehmer mit einem hohen Wissensstand bekommen zunehmend schwierigere Fragen. Verschiedene Teilnehmer können zwar die gleiche Anzahl von Fragen richtig beantworten, da aber die Teilnehmer mit höheren Fachkenntnissen mehr schwierige Fragen richtig beantworten können, erreichen sie damit einen höheren Punktestand und bestehen die Prüfung mit höherer Wahrscheinlichkeit. Der typische Entwurf für die adaptive Prüfung sieht folgendermaßen aus: 씰
20 bis 25 Fragen
씰
90 Minuten Prüfungszeit (die sich wahrscheinlich in Zukunft auf 45 bis 60 Minuten reduzieren wird)
씰
Die Wiederholung von Fragen ist nicht erlaubt; damit gibt es auch keine Möglichkeit, Antworten zu ändern
10.3 Tipps zur Prüfungsvorbereitung
Der adaptive Prüfungsvorgang Ihre erste adaptive Prüfung unterscheidet sich höchstwahrscheinlich von anderen Prüfungen, die Sie bisher abgelegt haben. In der Tat haben viele Prüfungsteilnehmer Schwierigkeiten mit dem adaptiven Prüfungsverfahren. Sie befürchten, dass sie keine Möglichkeit erhalten, ihre vollen Fachkenntnisse adäquat zu demonstrieren. Sie können beruhigt annehmen, dass adaptive Prüfungen nach umfangreichen Datensammlungen und Analysen sorgfältigst zusammengestellt werden und dass adaptive Prüfungen genauso gültig sind wie Prüfungen im festen Format. Die durch die adaptive Trainingsmethode eingeführte Strenge bedeutet, dass die in einer Prüfung präsentierten Elemente nicht willkürlich erscheinen. Außerdem stellt diese Methode ein effizienteres Testverfahren dar, das weniger Zeit als herkömmliche feste Prüfungen erfordert. Wie Abbildung 11.1 zeigt, wird der Ablauf einer adaptiven Prüfung durch eine Reihe statistischer Maße bestimmt. Für Sie ist vor allem die Fähigkeitsbewertung (Ability) relevant. Zu den statistischen Maßen gehören auch der Standardfehler (Std. Error of Measurement), die charakteristische Elementkurve (Item Characteristic Curve) und die Testinformationskurve (Test Information). Abbildung 10.1 Demoprogramm von Microsoft für einen adaptiven Test
Der Standardfehler ist ein Schlüsselfaktor, der bestimmt, wann das Ende der adaptiven Prüfung erreicht ist. Er gibt die Größe des Fehlers in der Fähigkeitsbewertung an. Die charakteristische Elementkurve spiegelt die Wahrscheinlichkeit einer richtigen Antwort in Bezug zur Fähigkeit des Prüfungsteilnehmers wider. Die Kurve der Testinformationen liefert schließlich ein Maß für den Informationsgehalt des Fragenkomplexes, den der Teilnehmer beantwortet hat. Dieser Wert ist ebenfalls auf das Fähigkeitsniveau des Teilnehmers bezogen. Zu Beginn einer adaptiven Prüfung ist der Standardfehler auf einen Zielwert voreingestellt. Unter diesen Wert muss der Standardfehler im Verlauf der Prüfung fallen, um die Prüfung abzuschließen. Der Zielwert spiegelt ein bestimmtes Konfidenzintervall im Prozess wider. Die Fähigkeit des Prüfungsteilnehmers wird anfangs auf den Mittelwert des möglichen Punktestandes gesetzt (500 bei MCP-Prüfungen).
599
600
Kapitel 10
Tipps zur Prüfungsvorbereitung
Im Verlauf einer adaptiven Prüfung erhält der Teilnehmer Fragen mit unterschiedlichen Schwierigkeitsgraden. Basierend auf dem Muster, das sich aus der Beantwortung der Fragen ergibt, wird die Fähigkeitseinschätzung neu berechnet und gleichzeitig die Standardfehlereinschätzung vom anfänglich festgelegten Wert in Richtung Zielwert angepasst. Wenn der Standardfehler seinen Zielwert erreicht, ist die Prüfung beendet. Je beständiger Sie die Fragen der gleichen Schwierigkeitsstufe beantworten, desto schneller fällt der Standardfehler und desto weniger Fragen müssen Sie letztendlich während der Prüfungssitzung beantworten. Abbildung 11.2 zeigt eine derartige Prüfungssituation. Abbildung 10.2 Die statistischen Werte im Verlauf einer adaptiven Prüfung
Wie Sie aus den bisherigen Erläuterungen ableiten können, sollte man in einer adaptiven Prüfung jede Frage so behandeln, als wäre sie die wichtigste Frage. Der Bewertungsalgorithmus einer adaptiven Prüfung versucht, ein Muster der Antworten zu entdecken, das eine bestimmte Ebene der Sachkenntnis mit dem Prüfungsgegenstand widerspiegelt. Falsche Antworten garantieren fast immer, dass zusätzliche Fragen zu beantworten sind (sofern Sie natürlich nicht jede Frage falsch beantworten). Das hängt damit zusammen, dass sich der Bewertungsalgorithmus an Informationen, die nicht mit dem entstehenden Muster konsistent sind, anpassen muss. Fallstudienformat Das Format der Fallstudien erschien erstmals mit der Prüfung 70-100 (Solution Architectures). Die Fragen bei einer Fallstudie sind keine unabhängigen Einheiten, wie in den festen und adaptiven Formaten. Stattdessen sind die Fragen an die Fallstudie – eine längere szenarioartige Beschreibung einer Informationstechnologiesituation – gebunden. Als Testteilnehmer müssen Sie aus der Fallstudie die Informationen herausziehen, die zum Fragenkomplex der jeweiligen Microsoft-Technologie gehören. Eine Fallstudie beschreibt eine Situation, die mehr praxisorientiert ist, als es die Fragen bei anderen Prüfungsformaten sind. Die Fallstudien werden als »Testlets« präsentiert. Das sind Abschnitte innerhalb der Prüfung, in der Sie die Fallstudie lesen und dann 10 bis 15 Fragen bezüglich der Fallstudie beantworten. Wenn Sie diesen Abschnitt beendet haben, kommen Sie zu einem anderen Testlet mit einer anderen Fallstudie und den damit verbundenen Fragen. Ein Examen kann sich aus bis zu fünf Testlets zusammensetzen. Das Zeitkontingent in derartigen Prüfungen ist größer, weil Sie die Fälle durchlesen und analysieren müssen. Insgesamt stehen Ihnen für die Prüfung drei Stunden zur Verfügung
10.3 Tipps zur Prüfungsvorbereitung
– und Sie werden diese Zeit komplett brauchen. Während Sie in einem Testlet arbeiten, sind die Fallstudien jederzeit über eine Verknüpfung verfügbar. Nachdem Sie jedoch ein Testlet verlassen haben, können Sie nicht mehr zu ihm zurückkehren. Abbildung 11.3 zeigt einen Teil einer Fallstudie. Abbildung 10.3 Beispiel einer Fallstudie
10.3.3
Fragetypen
In MCP-Prüfungen kann eine Vielzahl verschiedener Fragetypen erscheinen. Beispiele für diese Typen finden Sie in diesem Buch und in der Software ExamGear, Training Guide Edition. Wir haben versucht, alle bei Manuskripterstellung verfügbaren Fragetypen abzudecken. Die meisten Fragetypen, die die folgenden Abschnitte behandeln, können in jedem der drei Prüfungsformate erscheinen. Die typische MCP-Prüfungsfrage basiert auf dem Konzept, Fertigkeiten und Fähigkeiten für die Realisierung einer Aufgabe zu messen. Demzufolge präsentieren die meisten Fragen eine Situation, die eine Rolle (beispielsweise ein Systemadministrator oder ein Techniker), eine Technologieumgebung (100 Computer, die unter Windows 98 in einem Windows-2000-Server-Netzwerk laufen) und ein zu lösendes Problem (der Benutzer kann eine Verbindung zu Diensten im LAN, nicht aber zum Intranet herstellen) umfassen. Die Antworten nennen Aktionen, mit denen Sie die Probleme lösen können, oder Sie müssen Setups bzw. Umgebungen erstellen, die von Beginn an korrekt funktionieren. Berücksichtigen Sie diese Hinweise, wenn Sie sich die Prüfungsfragen durchlesen. Gelegentlich treffen Sie auf einige Fragen, die lediglich die Wiedergabe von Fakten verlangen – das ist aber die Ausnahme. Die folgenden Abschnitte zeigen die verschiedenen Fragetypen.
601
602
Kapitel 10
Tipps zur Prüfungsvorbereitung
Multiple-Choice-Fragen Trotz der Verschiedenartigkeit der Fragetypen, die jetzt in verschiedenen MCPExamen erscheinen, bleiben die Multiple-Choice-Fragen die Grundbausteine der Prüfungen. Die Multiple-Choice-Fragen gibt es in drei Varianten: 씰
Reguläre Multiple-Choice-Fragen: Auch als alphabetische Fragen bezeichnet. Hier müssen Sie genau eine Antwort als die Richtige auswählen.
씰
Multiple-Choice-Fragen mit mehreren richtigen Antworten: Auch als multialphabetische Fragen bezeichnet. Bei dieser Variante einer MultipleChoice-Frage müssen Sie zwei oder mehr Antworten als richtig auswählen. Normalerweise ist die Anzahl der als richtig auszuwählenden Antworten in der Fragestellung enthalten.
씰
Erweiterte Multiple-Choice-Fragen: Das ist eine reguläre Frage oder eine Frage mit mehreren Antworten, zu denen eine Grafik oder eine Tabelle gehört. Für die Beantwortung der Frage müssen Sie sich auf die Grafik oder die Tabelle beziehen.
Am Ende dieses Kapitels finden Sie Beispiele für derartige Fragen. Multiple-Rating-Fragen Diese Fragen bezeichnet man auch als Szenariofragen. Ähnlich den MultipleChoice-Fragen bieten sie erweiterte Beschreibungen der Computerumgebung und ein Problem, das zu lösen ist. Es werden erforderliche und optionale Ergebnisse der Problemlösung sowie eine Lösung spezifiziert. Dann sollen Sie beurteilen, ob die in der Lösung genannten Aktionen zum Teil oder insgesamt zu den erforderlichen und optionalen Ergebnissen führen. In der Regel gibt es nur eine korrekte Antwort. Bei Multiple-Rating-Fragen kann die gleiche Frage mehrfach in der Prüfung erscheinen, wobei durch Variationen in den geforderten Ergebnissen, den optionalen Ergebnissen oder der eingeführten Lösung eine »neue« Frage entsteht. Lesen Sie die unterschiedlichen Versionen sehr sorgfältig durch; die Unterschiede sind oft nicht auf den ersten Blick zu erkennen. Beispiele dieser Fragetypen erscheinen am Ende des Kapitels. Simulationsfragen Simulationsbasierte Fragen reproduzieren das Erscheinungsbild wesentlicher Teile von Microsoft-Produkten für einen Test. Die in MCP-Prüfungen verwendete Simulationssoftware ist so konzipiert, dass sie dem tatsächlichen Produkt soweit wie möglich entspricht. Zur Beantwortung von Simulationsfragen in einer MCP-Prü-
10.3 Tipps zur Prüfungsvorbereitung
fung gehört demnach auch, dass Sie eine oder mehrere Aufgaben lösen, die den Abläufen im eigentlichen Produkt entsprechen. Das Format einer typischen Microsoft-Simulationsfrage besteht aus einer kurzen Szenario- oder Problembeschreibung zusammen mit einer oder mehreren Aufgaben, die für die Lösung des Problems vollständig zu realisieren sind. Der folgende Abschnitt zeigt ein Beispiel einer Simulationsfrage für MCP-Prüfungen. Eine typische Simulationsfrage Auch wenn es auf der Hand zu liegen scheint, sei besonders darauf hingewiesen, dass Sie eine Simulationsfrage zuallererst sorgfältig lesen sollten (siehe dazu Abbildung 11.4). Gehen Sie nicht direkt in die Simulationsanwendung! Sie müssen das vorgestellte Problem einschätzen und die Bedingungen identifizieren, aus denen das Problemszenario besteht. Beachten Sie die durchzuführenden Aufgaben oder die Ergebnisse, die zu erreichen sind, um die Frage zu beantworten. Wiederholen Sie dann alle Instruktionen, die Ihnen sagen, wie zu verfahren ist. Abbildung 10.4 Eine typische Simulationsfrage in einer MCP-Prüfung mit Instruktionen
Im nächsten Schritt starten Sie den Simulator über die vorhandene Schaltfläche. Nachdem Sie auf die Schaltfläche SHOW SIMULATION geklickt haben, erscheint ein Merkmal des Produkts, wie es das Dialogfeld in Abbildung 11.5 zeigt. Auf den Computern des Testcenters verdeckt die Simulationsanwendung teilweise den Fragetext. Positionieren Sie ruhig den Simulator neu und wechseln Sie zwischen den Bildschirmen für den Fragetext und dem Simulator mit Tastenkombinationen, mit der Maus oder indem Sie einfach erneut auf die Startschaltfläche des Simulators klicken.
603
604
Kapitel 10
Tipps zur Prüfungsvorbereitung
Abbildung 10.5 Die gestartete Simulationsanwendung
Wichtig ist, dass Ihre Antwort auf die Simulationsfrage erst dann aufgezeichnet wird, wenn Sie zur nächsten Prüfungsfrage übergehen. Damit erhalten Sie die Möglichkeit, die Simulationsanwendung zu schließen und für dieselbe Frage erneut (über die Startschaltfläche) zu öffnen, ohne dass Sie eine Teilantwort verlieren, die Sie bereits gegeben haben. Im dritten Schritt verwenden Sie den Simulator wie das eigentliche Produkt, um das Problem zu lösen oder die definierten Aufgaben durchzuführen. Auch hier ist die Funktionalität der Simulationssoftware – innerhalb eines sinnvollen Bereichs – so ausgelegt wie beim eigentlichen Produkt. Erwarten Sie aber nicht, dass der Simulator ein perfektes Verhalten oder ein identisches Erscheinungsbild des Produkts reproduziert. Abbildung 11.6 zeigt die Lösung zum Beispiel des Simulationsproblems. Zwei abschließende Punkte sollen Ihnen helfen, Simulationsfragen zu lösen. Zuerst beantworten Sie nur das, worauf sich die Frage bezieht; lösen Sie keine Probleme, zu deren Lösung Sie nicht aufgefordert werden! Weiterhin sollten Sie die Frage widerspruchslos akzeptieren. Es kann durchaus sein, dass Sie zu den Bedingungen in der Problembeschreibung, der Qualität der gewünschten Lösung oder der Vollständigkeit der definierten Aufgaben eine andere Ansicht vertreten, um das Problem adäquat zu lösen. Denken Sie aber immer daran, dass sich der Test auf Ihre Fähigkeit bezieht, ob Sie das Problem so lösen können, wie es die Frage vorstellt.
10.3 Tipps zur Prüfungsvorbereitung
Abbildung 10.6 Die Lösung zum Simulationsbeispiel
Die Lösung zum Simulationsproblem, die Abbildung 11.6 zeigt, illustriert perfekt beide Punkte. Wie aus dem Frageszenario (siehe dazu Abbildung 11.4) ersichtlich ist, sollten Sie einem neuen Benutzer, FridaE, passende Berechtigungen zuweisen. Darüber hinaus sollten Sie keine weiteren Änderungen an den Berechtigungen vornehmen. Wenn Sie also die Berechtigungen des Administrators modifizieren oder entfernen, zählt das in einer MCP-Prüfung als falsch. Hot-Area-Fragen Hot-Area-Fragen verlangen, dass Sie auf eine Grafik oder ein Diagramm klicken, um eine bestimmte Aufgabe zu realisieren. Die Fragestellung unterscheidet sich kaum von einer normalen Frage, hier aber klicken Sie kein Optionsfeld oder Kontrollkästchen neben einer Frage an, sondern klicken auf das relevante Element in einem Screenshot oder einer Zeichnung. Abbildung 11.7 zeigt ein Beispiel für ein derartiges Element. Drag&Drop-Fragen Microsoft verwendet in Prüfungen zwei verschiedene Arten von Drag&Drop-Fragen. Die erste ist eine Select & Place-Frage (Auswählen und Platzieren), die andere eine Drop&Connect-Frage (Ablegen und Verbinden). Die folgenden Abschnitte gehen auf beide Typen ein. Select&Place Fragen dieses Typs erfordern in der Regel, dass Sie Beschriftungen auf ein Bild oder eine Zeichnung ziehen und dort ablegen – zum Beispiel, um einen Teil eines Netzwerks zu kennzeichnen. Abbildung 11.8 zeigt den Frageteil eines Select&Place-Elements.
605
606
Kapitel 10
Tipps zur Prüfungsvorbereitung
Abbildung 10.7 Eine typische HotArea-Frage
Abbildung 10.8 Eine Select&PlaceFrage
Nachdem Sie auf SELECT AND PLACE geklickt haben, erscheint das in Abbildung 11.9 gezeigte Fenster. Es enthält die eigentliche Zeichnung, in der Sie die Kästchen mit den verschiedenen Serverrollen auswählen und auf die bezeichneten Felder der betreffenden Computer ziehen. Drop&Connect Eine andere Version der Drag&Drop-Fragen sind die Drop&Connect-Fragen. Hier erstellen Sie Felder mit Beschriftungen und erzeugen verschiedenartige Verbindungslinien, mit denen Sie die Beziehungen zwischen den Feldern herstellen.
10.3 Tipps zur Prüfungsvorbereitung
Abbildung 10.9 Das Fenster mit der Zeichnung
Praktisch erzeugen Sie ein Modell oder ein Diagramm, um die Frage zu beantworten. Beispiele dafür sind ein Netzwerkdiagramm oder ein Datenmodell für ein Datenbanksystem. Abbildung 11.10 zeigt das Konzept einer Drop&Connect-Frage. Abbildung 10.10 Eine Drop&Connect-Frage
607
608
Kapitel 10
Tipps zur Prüfungsvorbereitung
Fragen mit einer geordneten Liste Bei Fragen mit einer geordneten Liste müssen Sie sich lediglich die Liste der Elemente ansehen und die Elemente in der passenden Reihenfolge anordnen. Sie markieren Elemente und verwenden dann eine Schaltfläche, um sie in eine neue Liste in der richtigen Reihenfolge einzutragen. Mit einer anderen Schaltfläche können Sie Elemente aus der neuen Liste entfernen, falls Sie Ihre Meinung geändert haben und die Dinge neu ordnen möchten. Abbildung 11.11 zeigt eine Frage mit einer derartigen Liste. Abbildung 10.11 Eine Frage, die als geordnete Liste zu beantworten ist
Strukturfragen Bei Strukturfragen müssen Sie in Hierarchien und Kategorien denken. Derartige Fragen fordern Sie dazu auf, Elemente aus einer Liste in Kategorien einzuordnen, die als Knoten in einer Baumstruktur erscheinen. Zum Beispiel müssen Sie Beziehungen zwischen übergeordneten und untergeordneten Elementen in Prozessen oder die Struktur der Schlüssel in einer Datenbank identifizieren. Manchmal ist auch die Reihenfolge innerhalb der Kategorien anzugeben – wie bei einer Frage mit geordneter Liste. Abbildung 11.12 zeigt eine typische Strukturfrage. Wie Sie sehen, verwendet Microsoft Fragetypen, die über das einfache Abrufen von gelernten Fakten hinausgehen. Bei diesen Fragen müssen Sie wissen, wie Sie Aufgaben realisieren, und Sie müssen Konzepte und Beziehungen verstehen. Richten Sie Ihre Prüfungsvorbereitungen vor allem auf diese Fragen aus und nicht nur auf die einfachen Fragen, die Fakten abrufen.
10.3 Tipps zur Prüfungsvorbereitung
Abbildung 10.12 Eine Strukturfrage
10.3.4
Zusammenfassung
Die folgenden Abschnitte bieten eine Reihe von Tipps, die Ihnen helfen sollen, die verschiedenen Arten von MCP-Prüfungen zu bestehen. Weitere Tipps zur Prüfungsvorbereitung Einige allgemeine Hinweise zur Prüfungsvorbereitung sind immer nützlich. Zu diesen Tipps gehören: 씰
Machen Sie sich mit dem Produkt vertraut. Praktische Erfahrung ist für jedes MCP-Examen einer der Schlüssel zum Erfolg. Wiederholen Sie die Übungen und schrittweisen Anleitungen im Buch.
씰
Machen Sie sich mit dem aktuellen Führer zur Prüfungsvorbereitung auf der MCP-Website von Microsoft (www.microsoft.com/mcp/examinfo/exams.htm) vertraut. Die Dokumentation, die Microsoft über das Web verfügbar macht, nennt auch die Fähigkeiten, die jede Prüfung testen soll.
씰
Merken Sie sich grundsätzliche technische Details, aber denken Sie daran, dass MCP-Prüfungen im Allgemeinen mehr auf die Problemlösung ausgerichtet sind. Im Vordergrund steht anwendungsbereites Wissen und nicht das Wiedergeben von auswendig gelernten Fakten.
씰
Nutzen Sie alle verfügbaren Praxistests. Absolvieren Sie den zum Buch gehörenden Test und die Tests, die Sie mit dem ExamGear auf der CD-ROM erstellen können. Als Ergänzung zum Material dieses Buches sollten Sie auch versuchen, die frei verfügbaren Praxistests auf der MCP-Website von Microsoft zu praktizieren.
609
610
Kapitel 10
씰
Tipps zur Prüfungsvorbereitung
Sehen Sie sich auf der Website von Microsoft nach Beispielen und Demonstrationselementen um. Diese Beispiele machen Sie mit neuen Testverfahren bekannt, bevor sie Ihnen in MCP-Prüfungen begegnen.
Während der Prüfungssitzung Die folgende Übersicht bringt bewährte Tipps, die Sie während der MCP-Prüfung beherzigen sollten: 씰
Atmen Sie tief durch und entspannen Sie sich, wenn Sie eine Prüfungssitzung beginnen. Es ist sehr wichtig, dass Sie den Druck steuern, den Sie (naturgemäß) fühlen, wenn Sie Prüfungen ablegen.
씰
Sie erhalten Notizzettel. Nehmen Sie sich einen Moment Zeit, um alle sachlichen Informationen und technischen Details zu notieren, die Sie noch in Ihrem Kurzzeitgedächtnis haben.
씰
Lesen Sie sorgfältig alle Informations- und Anweisungsbildschirme. Diese Anzeigen geben Ihnen Informationen, die für die von Ihnen abgelegte Prüfung relevant sind.
씰
Nehmen Sie die Vertraulichkeitsvereinbarung und die Vorprüfung als Teil des Prüfungsprozesses an. Füllen Sie die Formulare genau aus und fahren Sie dann zügig fort.
씰
Lesen Sie die Prüfungsfragen genau. Lesen Sie jede Frage erneut, um alle relevanten Details zu erfassen.
씰
Beantworten Sie die Fragen in der Reihenfolge, in der sie präsentiert werden. Herumspringen stärkt nicht Ihr Selbstvertrauen – die Zeit läuft!
씰
Hetzen Sie nicht, halten Sie sich aber auch nicht zu lange bei schwierigen Fragen auf. Die Fragen variieren im Schwierigkeitsgrad. Lassen Sie sich nicht durch eine besonders schwere oder wortreiche Frage aus der Fassung bringen.
Prüfungen im festen Format Aufbauend auf diesen grundlegenden Vorbereitungen und Teilnahmehinweisen müssen Sie auch die Herausforderungen betrachten, die sich durch die unterschiedliche Prüfungsgestaltung ergeben. Da eine Prüfung mit festem Format aus einer festgelegten und begrenzten Menge von Fragen besteht, sollten Sie die folgenden Tipps in Ihrer Strategie für das Ablegen einer Prüfung mit festem Format berücksichtigen: 씰
Notieren Sie sich die verfügbare Zeit und die Anzahl der Fragen der zu absolvierenden Prüfung. Überschlagen Sie grob, wie viele Minuten Sie mit jeder Frage zubringen können und orientieren Sie daran Ihr Tempo durch die Prüfung.
10.3 Tipps zur Prüfungsvorbereitung
씰
Nutzen Sie die Möglichkeit, dass Sie zu Fragen zurückkehren können, die Sie übersprungen haben oder die Sie noch einmal überprüfen wollen. Notieren Sie sich die Fragen, die Sie nicht schlüssig beantworten können, auf dem Notizzettel und schreiben Sie sich auch den relativen Schwierigkeitsgrad jeder Frage auf. Am Ende der Prüfung können Sie zu den schwierigen Fragen zurückkehren.
씰
Wenn Sie alle Fragen beantwortet haben und Ihnen am Ende der Prüfungssitzung noch Zeit bleibt (und Sie nicht zu abgespannt sind!), überprüfen Sie Ihre Antworten. Achten Sie besonders auf Fragen, die viele Details enthalten oder die Grafiken erfordern.
씰
Hinsichtlich der Änderung von Antworten gilt die Faustregel: besser nicht! Wenn Sie die Frage sorgfältig und vollständig gelesen und die Antwort mit sicherem Gefühl gegeben haben, dann sollten Sie auch bei Ihrer Meinung bleiben. Stellen Sie sich nicht selbst infrage. Wenn sich bei der Überprüfung deutlich zeigt, dass etwas falsch ist, können Sie die Antwort natürlich ändern. Falls Sie aber generell unsicher sind, bleiben Sie bei Ihrer ersten Entscheidung.
Adaptive Prüfungen Wenn Sie an einer adaptiven Prüfung teilnehmen, sollten Sie folgende Zusatztipps beherzigen: 씰
Lesen und beantworten Sie jede Frage mit großer Sorgfalt. Wenn Sie eine Frage lesen, identifizieren Sie jedes relevante Detail, jede Anforderung oder Aufgabe, die Sie durchführen müssen, und prüfen Sie doppelt und dreifach Ihre Antwort, um sicher zu sein, dass Sie sich allen Einzelheiten angenommen haben.
씰
Wenn Sie eine Frage nicht beantworten können, schränken Sie die Anzahl der möglichen Antworten schrittweise ein und nehmen dann Ihre beste Schätzung. Dumme Fehler bedeuten unausweichlich, dass Sie zusätzliche Fragen erhalten.
씰
Zurückliegende Fragen können Sie sich nicht erneut ansehen und die Antworten ändern. Es gibt kein Zurück, sobald Sie eine Frage verlassen haben – ob Sie die Frage nun beantwortet haben oder nicht. Überspringen Sie keine Frage; wenn Sie es dennoch tun, zählt es als Fehler.
Prüfungen mit Fallstudien Dieses neue Prüfungsformat verlangt nach speziellen Studien- und Absolvierungsstrategien. Denken Sie bei derartigen Examen daran, dass Sie mehr Zeit haben als in einer herkömmlichen Prüfung. Nehmen Sie sich die Zeit und lesen Sie die Fallstudie gründlich durch. Verwenden Sie die Notizzettel oder das jeweils bereitgestellte
611
612
Kapitel 10
Tipps zur Prüfungsvorbereitung
Medium, um sich Notizen zu machen, Prozesse zu skizzieren und aktiv die wichtigen Informationen herauszusuchen. Arbeiten Sie jedes Testlet wie eine unabhängige Prüfung durch. Denken Sie daran, dass Sie nicht zurückgehen können, nachdem Sie ein Testlet verlassen haben. Beziehen Sie sich auf die Fallstudie so oft wie nötig, aber missbrauchen Sie diese Möglichkeit nicht als Ersatz dafür, die Fragestellung bereits zu Anfang sorgfältig durchzulesen und sich Notizen zu machen.
10.4 Schlussbemerkungen Schließlich hat eine Reihe von Änderungen im MCP-Programm darauf Einfluss, wie oft man eine Prüfung wiederholen kann und welches Prüfungsformat man in diesen Fällen zu erwarten hat. 씰
Microsoft hat eine neue Wiederaufnahmerichtlinie für Prüfungen herausgegeben. Die neue Regel lautet »zwei und zwei, dann eine und zwei«. Das heißt, man kann jede Prüfung zweimal versuchen, ohne zeitliche Beschränkung zwischen den Versuchen. Nach dem zweiten Versuch muss man jedoch zwei Wochen warten, bevor man an dieser Prüfung erneut teilnehmen kann. Danach muss man zwei Wochen zwischen aufeinander folgenden Versuchen warten. Streben Sie an, die Prüfungen in maximal zwei Anläufen zu bestehen, oder kalkulieren Sie von vornherein mehr Zeit ein, um das MCP-Zertifikat zu erhalten.
씰
In die MCP-Prüfungen fließen ständig neue Fragen ein. Nachdem Leistungsdaten zu den neuen Fragen gesammelt wurden, wird die Prüfungskommission auf allen Prüfungsformularen die älteren Fragen ersetzen. Das bedeutet, dass sich die Fragen in den Prüfungen regelmäßig ändern.
씰
Viele der aktuellen MCP-Prüfungen werden im adaptiven Format erneut veröffentlicht. Bereiten Sie sich auf diese bedeutende Änderung im Testverfahren vor; es ist durchaus möglich, das dies das bevorzugte MCP-Prüfungsformat für die meisten Prüfungen wird. Die Prüfungen mit Fallstudien bilden hierbei die Ausnahme, da die adaptive Lösung nicht mit diesem Format in Einklang zu bringen ist.
Diese Änderungen bedeuten, dass die »gewaltsamen« Strategien für das Absolvieren von MCP-Prüfungen bald ihre Daseinsberechtigung verlieren werden. Wenn Sie also eine Prüfung nicht beim ersten oder zweiten Versuch bestehen, ist es wahrscheinlich, dass sich das Format der Prüfung bis zu Ihrem nächsten Versuch beträchtlich geändert hat. Microsoft könnte die Prüfung von einem festen Format zu einem adaptiven aktualisiert oder eine andere Gruppe von Fragen oder Fragetypen festgelegt haben.
10.4 Schlussbemerkungen
Die Absicht von Microsoft besteht nicht darin, die Prüfungen mit unerwünschten Änderungen schwieriger zu gestalten, sondern einen gültigen Maßstab für das erforderliche Wissen und die technischen Fertigkeiten eines MCP zu schaffen und aufrechtzuerhalten. Die Vorbereitungen für eine MCP-Prüfung betreffen nicht nur den Lerngegenstand an sich, sondern auch die Planung für den Testablauf. Mit den jüngsten Änderungen gilt dies mehr als sonst.
613
Musterprüfung
11
Diese Übungen aus der Praxis umfassen insgesamt 65 Fragen, die sich allesamt auf die vorhergehenden Kapitel beziehen. Inhalt und Schwierigkeitsgrad der Fragen entsprechen denen, die in der Prüfung gestellt werden. Allerdings dürfen Sie nicht erwarten, dass dieselben Fragen in der Prüfung vorkommen. Die Mehrheit der Fragen sind so gestellt, dass sie nicht nur durch einfaches Auswendiglernen zu beantworten sind. Um die bestmögliche Antwort geben zu können, müssen Sie selber Überlegungen anstellen und Schlussfolgerungen ziehen. Oft werden Sie in einer ganz bestimmten Situation einen entsprechenden Vorgangsverlauf festlegen müssen. Lesen Sie sich die Fragen sorgfältig und genau durch, bevor Sie sie beantworten. Beim Beantworten der Fragen legen wir Ihnen nahe, sich so zu verhalten, als würden Sie die Prüfung ablegen. Bemessen Sie Ihre Zeit, lesen Sie sich die Fragen genau durch und beantworten Sie die Fragen so gut wie möglich. Die Antworten zu den Fragen können Sie dann am Ende dieses Kapitels mit Ihren Antworten vergleichen. Lesen Sie anschließend die Erklärungen zu den Antworten. Sollten einige Ihrer Antworten falsch gewesen sein, so empfehlen wir Ihnen, die entsprechenden Kapitel hierzu noch einmal durchzugehen.
1. Sie sind Netzwerkadministrator bei Sunshine Networks. Seit kurzem erhalten Sie eine große Anzahl von Fehlermeldungen, die besagen, dass der Host nicht erreicht werden kann. Sie glauben, dass Ihre Routing-Tabelle nicht ganz fehlerfrei ist. Was sollten Sie Ihrer Meinung nach in Routing und RAS aktivieren, damit Problemen bezüglich der Routing-Schleifen und Count-to-InfinityProblemen vorgebeugt wird? A. Distance-Vector-Routing B. Split Horizon C. Poison Reverse D. Topologische Datenbank
616
Kapitel 11
Musterprüfung
2. Sie haben DNS installiert und Ihren Server als Caching-Only-Server konfiguriert. Wo werden die Zoneninformationen gespeichert? A. In Ihrem %systemroot%\DNS-Verzeichnis B. In Ihrem %systemroot%\system32\DNS-Verzeichnis C. In Active Directory D. Caching-Only-Server haben keine Zoneninformation 3. Sie sind Netzwerkadministrator bei JMS Technologies. Sie haben ein Netzwerk mit 100 Computern, die mit Windows 2000 Professional laufen, 3 Computern, auf denen der Windows 2000 Server mit Active Directory konfiguriert ist, DHCP und DDNS. Wer registriert den Hostnamen des Computers mit dem DNS-Server, wenn Ihr Clientcomputer vom DHCP-Server eine IP-Adresse erhält? A. Der Clientcomputer B. Der DHCP-Server C. Der WINS-Server D. Active Directory 4. Sie sind WAN-Administrator bei IVS Technologies. Sie fragen sich, welche Routing-Technologie Sie für das Unternehmen verwenden sollen. Schließlich entscheiden Sie sich für Distance-Vector Routing. Welcher ist einer der größten Nachteile bei Distance-Vector-Routing? A. Probleme mit langsamer automatischer Router-Adressliste B. Hoher Systemverwaltungsbedarf auf Ihrem Netzwerk C. Count-to-Infinity-Problem D. Verbindung mit maximal 15 Hops 5. Sie sind Netzwerkadministrator bei Long Beach Networks. Ihr Netzwerk umfasst 100 Windows 95 Computer, 125 Windows-98-Computer, 240 Windows-2000-Professional-Computer. Sämtliche Computer sind auf demselben Netzwerksegment lokalisiert. Lynne, Ihre Vorgesetzte, hat Sie beauftragt, den Prozess der IP-Adressvergabe zu automatisieren. Was müssen Sie konfigurieren? A. DHCP installieren und DNS-Integration konfigurieren. B. DHCP installieren und einen Bereich konfigurieren.
617
C. DHCP installieren und eine Bereichsgruppierung konfigurieren. D. DHCP installieren und BOOTP konfigurieren. 6. Sie sind der Administrator einer kleinen Zahnarztklinik und einer Ihrer Verkaufsvertreter hat gerade erst gekündigt. Es soll ihm nun nicht mehr gewährleistet sein, gesicherte Informationen anzufordern. Welches ist die beste Möglichkeit, dies zu ermöglichen? A. Der Zugang zum Zertifikatserver soll ihm versperrt werden. B. Stoppen Sie den Dienst auf Ihrem Zertifikatserver solange, bis sein Konto deaktiviert wird. C. Sperren Sie sein Zertifikat. D. Sie müssen warten, bis sein Zertifikat abläuft. 7. Ein kleines Computertraining-Unternehmen hat sich für die Installierung eines DNS-Dienstes auf seinem Netzwerk entschieden, um den Dienst zu ersetzen, der momentan bei seiner ISP angegeben wird. Zur Zeit umfasst Ihr Netzwerk 300 Windows-2000-Professional-Computer. Sie sind der Installationsberater für dieses Unternehmen und sollen eine Lösung finden. Gefordertes Ergebnis: Einen einfachen Weg finden, Ihre Clientcomputer mit der IP-Adresse auf Ihrem DNS-Server zu konfigurieren. Eine Sicherungsstrategie finden, die gewährleistet, dass der DNS-Server ständig für Ihre Clientcomputer verfügbar ist. Wünschenswerte Ergebnisse: Ihr Netzwerk sollte in der Lage sein, FQDN in IP-Adressen aufzulösen. Ihr Netzwerk sollte in der Lage sein, IP-Adressen in Hostnamen aufzulösen. Die Clientcomputer-Informationen in DNS sollen automatisch aktualisiert werden. Vorgeschlagene Lösung: Windows 2000 Advanced Server installieren und ihn mit DNS und Active Directory konfigurieren. Installieren und konfigurieren Sie einen zweiten DNS-Server. Dieser Server wird in Bezug auf Ihren ersten DNS-Server als sekundärer Master konfiguriert.
618
Kapitel 11
Musterprüfung
Konfigurieren Sie in Ihrem MMC-DNS-Applet eine Forward-Lookupzone. Konfigurieren Sie in Ihrem MMC-DNS-Applet eine Reverse-Lookupzone. Konfigurieren Sie Ihren Clientcomputer so, dass er DHCP verwendet. Ihr DHCP-Server wurde so konfiguriert, dass er eine IP-Adresse mit einer Subnetzmaske, ein Standardgateway und die IPs auf Ihrem DNS-Server zustellt. Welche Ergebnisse werden mit dem Lösungsvorschlag erzielt? A. Der Lösungsvorschlag entspricht allen verlangten und allen optionalen Ergebnissen. B. Der Lösungsvorschlag entspricht einem der verlangten Ergebnisse und allen optionalen Ergebnissen. C. Der Lösungsvorschlag entspricht allen verlangten Ergebnissen und einem der optionalen Ergebnisse. D. Der Lösungsvorschlag entspricht allen verlangten Ergebnissen und zwei der optionalen Ergebnisse. E. Der Lösungsvorschlag entspricht keinem der verlangten Ergebnisse und keinem der optionalen Ergebnisse. 8. Sie gehören zum Netzwerkadministrator-Team bei SunShine Networks. Ihre Aufgabe besteht darin, Ihre C-Klasse-IP-Adressen in drei Teilnetze zu segmentieren. Ihnen wurde die IP-Adresse 210.115.64.0 zugewiesen. Sie müssen mit einer höheren Anzahl an Netzwerken einverstanden sein. Die maximale Anzahl bei Hosts pro Subnetz wird nie 14 Hosts übersteigen. Mit welcher Subnetzmaske können Sie Ihr Netzwerk segmentieren und die Erhöhung der Netzwerkanzahl gewährleisten? A. 255.255.255.224 B. 255.255.255.240 C. 255.255.255.248 D. 255.255.255.255 9. Sie sind der Senior-Netzwerkadministrator bei JMS Technologies. Ihr Kunde beschwert sich, dass das Unternehmen die gesamte Vernetzung verloren hat, nachdem es einige neue Dienste installiert hat. Seiner Meinung nach wurde eine Einstellung falsch konfiguriert. Auf die Frage, welche Dienste denn in-
619
stalliert wurden, antwortet der Kunde, dass er sich nicht sicher sei. Für die Fehlersuche des Servers geben Sie in die Befehlszeilenaufforderung ipconfig /all ein und erhalten Folgendes: IP-Adresse
192.168.0.1
Subnetzmaske
255.255.0.0
Standard-Gateway
192.168.0.1
DNS-Server
192.168.0.1
WINS-Server
192.168.0.1
Was ist das Problem? A. Ihre IP-Adresse ist die gleiche wie das Standard-Gateway. B. ICS wurde fälschlicherweise installiert. C. NAT wurde fälschlicherweise installiert. D. Ihr DNS-Server ist der gleiche wie das Standard-Gateway. 10. Sie sind der Administrator einer sehr großen multinationalen Organisation. Während des Konfigurierens Ihres Netzwerks haben Sie einen Windows2000-Server installiert und NAT konfiguriert, um Ihr Netzwerk zu sichern. Ihre Anwender jedoch beschweren sich, dass sie über den Server keine Spiele mehr spielen können. Was könnte das Problem sein? A. Sie müssen eine Kundenapplikation für eingehende Zugriffe konfigurieren und die entsprechenden Anschlüsse öffnen. B. Sie müssen eine Kundenapplikation für ausgehende Zugriffe konfigurieren und die entsprechenden Anschlüsse öffnen. C. Sie müssen eine Kundenapplikation für eingehende Zugriffe konfigurieren und die entsprechenden IP-Adressen erlauben. D. Sie müssen eine Kundenapplikation für ausgehende Zugriffe konfigurieren und die entsprechenden IP-Adressen erlauben E. NAT unterstützt keine Spiele. 11. Sie sind der Netzwerksupervisor bei CMS Networks. Ihr Netzwerk umfasst 100 Windows-2000-Professional-Computer, 4 Windows-2000-Server-Computer, zwei NetWare-5.1-Server-Computer. Auf Ihrem Server versuchen Sie, ICS zu konfigurieren, aber Sie können keine ICS-Komponenten installieren. Welche Gründe könnte es geben, dass Sie ICS-Komponenten nicht installieren können?
620
Kapitel 11
Musterprüfung
A. Ihre IP-Adresse ist nicht auf 192.168.0.1 eingestellt B. Sie haben Ihren DNS-Server konfiguriert. C. Sie haben Ihren DHCP-Server nicht installiert. D. Sie haben keine DFÜ-Verbindung installiert. 12. Sie sind der Netwerkadministrator bei JMS Technologies. Sie versuchen herauszufinden, welche Einstellungen (zusätzlich zu der IP-Adresse auf Ihrem DHCP-Server) den Clientcomputern, die mit Windows 2000 Professional laufen, zugeordnet werden können. Welche Einstellung ist richtig? A. IP-Adresse des DNS-Servers B. IP-Adresse des DHCP-Servers C. IP-Adresse des Dateiservers D. IP-Adresse des Standard-Gateways E. IP-Adresse des Active-Directory-Servers 13. Nächste Woche bekommen Sie neue Computer. Ihr Vorgesetzter hat Sie bezüglich der Konfigurierung um Rat gefragt. Insgesamt werden Sie 30 neue Compaq-Computer bekommen, die für die Verkaufsabteilung bestimmt sind. Außerdem werden Sie 25 neue IBM-Computer für die Marketingabteilung erhalten. Als Netzwerkadministrator sind Sie sich natürlich darüber im Klaren, dass diese zwei Abteilungen sich zwar auf demselben physischen Netzwerk befinden, aber unterschiedliche TCP/IP-Konfigurationen benötigen werden. Mit welcher Komponente des Windows-2000-Servers könnten Sie die Konfigurierung der unterschiedlichen Einstellungen betätigen? A. DNS-Dienste B. Active Directory C. DHCP D. Active Directory mit Richtlinien 14. Sie sind der Installationstechniker eines nationalen Trainingscenters. Sie erklären gerade einem Mitarbeiter einige Netzwerkkonzepte. Dieser Mitarbeiter hat aber einige Schwierigkeiten, den Unterschied zwischen DNS und WINS zu verstehen. Welche Dateien ersetzt WINS eigentlich? A. LMHOSTS B. HOSTS
621
C. LMHOSTS.SAM D. HOSTS.DNS 15. Sie arbeiten als Lehrer in einem Trainingscenter und versuchen Ihren Studenten einige Konzepte zu erklären. Während des DNS-Moduls erläutern Sie jeden Teil einer FQDN. Was bestimmt den Host in Carolyne.trainig.pbsc.com? A. Carolyne B. Training C. Pbsc D. Com 16. Sie sind Netzwerkadministrator bei IVS Networks. Ihre Kunden beschweren sich, dass sie nicht mit www.newriders.com verbunden werden. Im DNS-Server versuchen Sie die Ursache des Problems festzustellen. Was ist die logische Reihenfolge, die der DNS-Server für die Auflösung von FQDN verwenden wird? A. Root-Server – Caching-Only-Server B. Caching-Only-Server – Zonenserver C. Zonenserver – Caching-Only-Server D. Caching-Only-Server – Root-Server 17. Sie sind Netzwerkadministrator bei Balzac Petroleum. Sie müssen Ihrem DNS-Server manuell einen Eintrag hinzufügen. Welche Art von Eintrag müssen Sie hinzufügen, wenn Sie Ihrem DNS-Server ein Alias hinzufügen möchten? A. A-Eintrag B. MINFO-Eintrag C. CNAME-Eintrag D. PTR-Eintrag 18. Sie sind Lehrer in einem Trainingscenter. Während einer Diskussion über FQDN-Namen mit Ihren Kollegen kam folgende Frage auf: Was ist Ihrer Meinung nach die maximale Anzahl von Zeichen für einen Knoten in einer FQDN?
622
Kapitel 11
Musterprüfung
A. 43 Zeichen B. 63 Zeichen C. 255 Zeichen D. 512 Zeichen 19. Ein kleines Computertrainings-Unternehmen hat sich für die Installierung von DNS-Diensten im Netzwerk entschlossen, um das Netzwerk zu ersetzen, das momentan von ISP versorgt wird. Ihr Netzwerk besteht derzeit aus 300 Windows-98-Computern und 40 Windows-2000-Professional-Computern. Als Installationsberater müssen Sie einen Lösungsansatz für die Installierung erstellen. Gefordertes Ergebnis: Ihren Clientcomputer auf einfache Art und Weise mit der IP-Adresse auf Ihrem DNS-Server konfigurieren. Eine Sicherheitsstrategie aufstellen, um zu gewährleisten, dass Clientcomputer ständig Zugriff auf einen DNS-Server haben. Wünschenswerte Ergebnisse: Ihr Netzwerk muss in der Lage sein, FQDN in IP-Adressen aufzulösen. Ihr Netzwerk muss in der Lage sein, IP-Adressen in Hostnamen aufzulösen. Die Kundeninformationen in DNS müssen automatisch aktualisiert werden. Vorgeschlagene Lösung: Advanced Server von Windows 2000 installieren und ihn mit DNS und Active Directory konfigurieren. Installieren und konfigurieren Sie einen zweiten DNS-Server. Dieser Server wird als sekundärer Master in Bezug auf Ihren ersten DNS-Server konfiguriert werden. Konfigurieren Sie in Ihrem MMC-DNS-Applet eine Forward-Lookupzone. Konfigurieren Sie in Ihrem MMC-DNS-Applet eine Reverse-Lookupzone. Konfigurieren Sie Ihren Clientcomputer mit einer statischen IP, einem Standard-Gateway und einer Subnetzmaske. Welche(s) Ergebnis(se) werden mit dem Lösungsvorschlag erzielt? A. Der Lösungsvorschlag entspricht allen verlangten Ergebnissen und allen optionalen Ergebnissen.
623
B. Der Lösungsvorschlag entspricht einem der verlangten Ergebnisse und allen optionalen Ergebnissen. C. Der Lösungsvorschlag entspricht allen verlangten Ergebnissen und einem der optionalen Ergebnisse. D. Der Lösungsvorschlag entspricht allen verlangten Ergebnissen und keinem der optionalen Ergebnisse. E. Der Lösungsvorschlag entspricht keinem der verlangten Ergebnisse und keinem der optionalen Ergebnisse. 20. Nach welchem der folgenden Ereignisse erhält der Windows-2000-Professional-Clientcomputer vom DHCP-Server eine DHCPNack-Broadcast-Meldung? A. Nachdem vom DHCP-Server erfolgreich eine TCP/IP-Adresse erhalten wurde. B. Nachdem vom DHCP-Server ohne Erfolg eine TCP/IP-Adresse erhalten wurde. C. Nachdem vom DHCP-Server ein TCP/IP-Vertragsangebot erhalten wurde. D. Nachdem vom DHCP-Server ohne Erfolg ein TCP/IP-Vertragsangebot erhalten wurde. 21. Sie sind Netzwerkadministrator bei Balzac Petroleum. Derzeit verfügen Sie über ein supernetted Netzwerk und Sie möchten die Verwaltung Ihres DHCP vereinfachen. Welche Komponente sollten Sie hierfür in DHCP konfigurieren? A. Bereich B. Bereichsgruppierung C. Multicast-Bereich D. BOOTP-Bereich 22. Sie sind Netzwerkadministrator bei Balzac Petroleum. Sie haben gerade erst Ihren DHCP-Server installiert und konfiguriert. Nach der Installierung wurden Sie vom Assistenten aufgefordert, den Bereich zu aktivieren, was Sie auch getan haben. Das Personal der Firma beschwert sich jedoch nun, dass Sie keine IP-Adressen mehr erhalten. Was könnte das Problem hierfür sein?
624
Kapitel 11
Musterprüfung
A. Sie haben den Server nicht aktiviert. B. Sie hatten keine Autorisation, den Bereich zu aktivieren; nur ein Administrator kann den Bereich aktivieren. C. Der Server ist nicht autorisiert. D. Ihr Bereich muss falsch konfiguriert sein. 23. Sie sind der Administrator einer großen multinationalen Organisation. Von Ihrem DHCP-Server erhalten Sie einige Fehlermeldungen. Welcher Leistungsindikator in der Leistungskonsole zeigt die Anzahl der DHCPOfferMeldungen an, die ein Clientcomputer pro Sekunde von einem DHCP-Server erhält? A. Angebote/Sek. B. Entdeckungen/Sek. C. Rückmeldungen/Sek. D. DHCP-Rückmeldungen/Sek. 24. Sie sind Netzwerkadministrator bei ShoeBox Shoe Company. Dieses Unternehmen hat ein geroutetes Netzwerk mit einem zentral lokalisierten Windows-2000-DHCP-Server. Der Server kann auf dem lokalen Segment Adressen an Anwender ausstellen. Allerdings kann er keine Adressen an irgendeine der Sites, die sich auf einem Router befinden, ausstellen. Um welches Problem handelt es sich? A. Der DHCP-Forwarder-Dienst wurde auf dem DHCP-Server nicht aktiviert. B. Der BOOTP-Forwarder-Dienst wurde auf dem DHCP-Server nicht aktiviert. C. Der DHCP-Forwarder-Dienst wurde auf den Routern nicht aktiviert. D. Der BOOTP-Forwarder-Dienst wurde auf den Routern nicht aktiviert. 25. Sie sind Netzwerkadministrator bei Youppi Bear Networks. Sie treffen Vorbereitungen, Ihr Netzwerk zu aktualisieren und stellen sich die Frage, ob Sie NAT oder ICS installieren sollen. Ihre Vorgesetzte Isabelle teilt Ihnen mit, dass einige der Features von ICS nicht in NAT enthalten sind. Im Vergleich zu NAT, welche Vorteile hat Ihrer Meinung nach ICS? A. NetMeeting-Anrufe können weitergeleitet werden. B. Directplay-Spiele können gespielt werden.
625
C. Netzwerktreiber können in der Verbindung zugeordnet werden. D. Internet-Locator-Dienst kann registriert werden. E. Es kann auf die andere Netzwerkseite gedruckt werden. 26. Sie sind der Netzwerksupervisor bei Balzac Candies. Sie haben auf Ihrem Windows-2000-Server gerade NAT installiert und konfiguriert und möchten nun die Syntax auf Ihrem Monitor überwachen. In der Ereignisanzeige werden aber keine Statistiken angezeigt. Was könnte das Problem sein? A. Die Leistungsindikatoren wurden nicht in der Routing- und RAS-Konsole aktiviert. B. Die Ereignisanzeige wird nicht für die Überwachung von NAT verwendet. Sie müssen die Leistungsüberwachung verwenden. C. Für NAT steht kein Leistungsindikator zur Verfügung. D. In der Leistungsüberwachung wurden die Leistungsindikatoren nicht aktiviert. 27. Sie sind der Administrator einer sehr großen multinationalen Organisation. Sie informieren sich gerade über die neue Funktionalität von DNS. Nennen Sie die neue Replikationsart, die in Windows 2000 DNS unterstützt wird. A. IXFR B. AXFR C. FRIX D. FRAX 28. Sie sind Netzwerkadministrator bei Balzac Petroleum. Sie müssen Ihren Kollegen erklären, wie digitale Zertifikate funktionieren. Wie sehen Ihre Erklärungen aus? A. Digitale Zertifikate verwenden aus Sicherheitsgründen öffentliche Schlüssel für die Verschlüsselung und Dekodierung. B. Digitale Zertifikate verwenden aus Sicherheitsgründen private Schlüssel für die Verschlüsselung und Dekodierung. C. Digitale Zertifikate verwenden aus Sicherheitsgründen private und öffentliche Schlüssel für die Verschlüsselung und Dekodierung. D. Digitale Zertifikate verwenden aus Sicherheitsgründen EFS.
626
Kapitel 11
Musterprüfung
29. Sie sind Netzwerkadministrator bei JMS Technologies. Nachdem Sie DNS auf Ihrem Windows-2000-Server installiert und konfiguriert haben, richten Sie eine Zone ein, die Active Directory integriert hat. Wo werden die Zoneninformationen gespeichert? A. In Ihrem %systemroot%\DNS-Verzeichnis. B. In Ihrem %systemroot%\system32\DNS-Verzeichnis C. Die Information ist in Active Directory gespeichert. D. Die Information ist in Cache gespeichert. 30. Sie wurden befördert und Ihre Hauptaufgabe besteht nun darin, die Sicherheit von Daten zu garantieren. Zu Ihren Aufgaben gehört es, die Sicherheit von Informationen, die auf Laptops gespeichert sind, unter allen Umständen zu gewährleisten. Wie kann diese Sicherheit am besten gewährleistet werden? A. EFS implementieren und den Wiederherstellungsschlüssel auf einer Smart Card speichern. B. NTFS-Sicherheit für lokale Informationen implementieren. C. EFS auf allen lokalen Dateien implementieren. D. Zertifikatsdienste auf Ihrer Domäne implementieren. 31. Sie sind Netzwerkadministrator bei Savage Plumbing and Heating. Die Angestellten verbringen die meiste Zeit damit, im Internet zu surfen. Um das Surfen zu beschleunigen, konfigurieren Sie einen Caching-Only-Server. Was ist Ihrer Meinung nach die wichtigste Ressource auf diesem Server? A. Die Geschwindigkeit und der Typ der Festplatte. B. Die Geschwindigkeit der Netzwerkadapter-Karte. C. Die Geschwindigkeit des Prozessors. D. RAM 32. Als Junior-Netzwerkadministrator versuchen Sie, bei einem Ihrer Server Troubleshooting vorzunehmen. Es scheint so, als wären Ihre Windows-2000Professional-Computer nicht dynamisch mit Ihrem DNS-Server registriert. Sie wollen nun diese Registrierung mit DNS erzwingen. Was sollten Sie tun? A. Den Anwender dazu bringen, das System neu zu starten. B. In die Befehlszeilenaufforderung ipconfig/renew eingeben.
627
C. In die Befehlszeilenaufforderung ipconfig/registerdns eingeben D. In die Befehlszeilenaufforderung ipconfig/registerdns eingeben. 33. Sie verfügen über ein Netzwerk, das 100 Windows-2000-Professional-Computer und 3 Windows-2000-Server-Computer, die mit Active Directory, DHCP und DDNS konfiguriert sind, umfasst. Wer registriert die A-Einträge mit dem DNS-Server, wenn Ihr Clientcomputer eine IP-Adresse von einem DHCP-Server erhält? A. Der Clientcomputer B. Der DHCP-Server C. Der WINS-Server D. Active Directory 34. Sie sind Netzwerkadministrator bei New Riders Publishing. Sie versuchen Ihren Mitarbeitern DNS und die Reverse-Lookupzone zu erklären. Was würden Sie angeben, wenn Sie erklären müssten, was Anwender mit der ReverseLookupzone auflösen können? A. Eine IP-Adresse in einen Hostnamen. B. Einen Hostnamen in eine IP-Adresse. C. Einen Hostnamen in einen Mac. D. Einen Hostnamen in eine FQDN. 35. Sie sind der LAN-Administrator bei der OUI Find-em Detektivkanzlei. Sie würden gerne einige Eingaben auf Ihrem DNS-Server überprüfen. Welches Dienstprogramm würden Sie hierfür verwenden? A. Das Eigenschaften-Dialogfenster Ihres DNS-Servers in Ihrer MMC. B. NSLOOKUP in einer Befehlszeilenaufforderung C. IPCONFIG in einer Befehlszeilenaufforderung D. Ereignisanzeige 36. Sie sind Netzwerkadministrator für New Riders Publishing. Da auf Ihrem Netzwerk 200 Windows-95-Computer laufen, möchten Sie sichergehen, dass Sie abwärts kompatibel sind. Mit welchem Dienst müssen Sie NetBIOS-Namen in IP-Adressen auflösen? A. WINS B. DNS
628
Kapitel 11
Musterprüfung
C. DHCP D. BOOTP 37. Sie sind Netzwerkadministrator bei New Riders Publishing. Sie versuchen auf Ihrem Netzwerk den Broadcast-Verkehr zu entfernen. Hierfür haben Sie einen WINS-Server installiert und konfiguriert. Dennoch gibt es auf Ihrem Netzwerk immer noch 50 Computer, die keine WINS-Clientcomputer sind. Diese Computer sollen aber auch dazu in der Lage sein, mit WINS einige statische Eingaben in Ihrer WINS-Datenbank aufzulösen. Welche Computer müssen Sie konfigurieren? A. BOOTP-Relay B. WINS-Proxy C. WINS-Eigenschaften, um den Clientcomputern ohne WINS zu ermöglichen, Anfragen an Ihren WINS-Server zu stellen. D. Active Directory E. DNS-Dienste 38. Sie sind Netzwerkadministrator bei RollUp YoYo. Sie verfügen über 200 Computer, die mit Windows 2000 Professional laufen, wovon 30 Laptops sind, die nachts in Ihr Netzwerk einwählen können müssen. Auf einem Ihrer Computer, die mit dem Advanced Server von Windows 2000 Professional laufen, mit Active Directory konfiguriert sind und in dem einheitlichen Modus laufen, konfigurieren und installieren Sie RRAS. Für die Sicherung Ihres Servers, und um den Zugriff zu genehmigen, haben Sie eine Anzahl von Richtlinien konfiguriert. Die Anwender beschweren sich aber immer noch, dass Sie keinen Zugriff auf die Informationen haben. Was könnte hierfür das Problem sein? A. Einwählen wird nicht von RRAS unterstützt. B. Sie haben einige Richtlinienkonflikte und die erste Richtlinie, die angewendet wurde, verweigert den Zugriff. C. MS-CHAP wurde nicht aktiviert. D. Sie haben die Standard-RAS-Richtlinie nicht geändert. 39. Vincent ist Lehrer für Technik in einem Trainingscenter und versucht seinen Schülern zu erklären, wo die RAS-Richtlinien von RRAS auf dem Netzwerk gespeichert sind. Wo sind sie gespeichert?
629
A. RAS-Richtlinien sind im Active Directory unter Anwendereigenschaften gespeichert. B. RAS-Richtlinien sind im Active Directory unter Computereigenschaften gespeichert. C. RAS-Richtlinien sind im Active Directory unter Root-Server gespeichert. D. RAS-Richtlinien sind individuell auf jedem RAS-Server gespeichert. 40. Sie sind Netzwerkadministrator bei JMS Technologies. Sie sind gerade dabei, Ihren DHCP-Server für Ihre Clientcomputer zu konfigurieren. Wo würden Sie die Knotenart auf H-Knoten konfigurieren, wenn Ihre Clientcomputer WINS-Server verwenden? A. Auf Ihrem WINS-Server in EIGENSCHAFTEN. B. Auf Ihrem DHCP-Server in EIGENSCHAFTEN. C. Auf Ihrem DNS-Server in EIGENSCHAFTEN. D. In den RICHTLINIEN-Dateien im Active Directory. E. In den DHCP-Bereichsoptionen. 41. Sie sind Netzwerkadministrator bei ShoeBox Shoe und versuchen, den Broadcast-Verkehr auf Ihrem Netzwerk zu entfernen. Welche Knotenart müssten Sie konfigurieren, damit die Clientcomputer gezwungen werden, den WINS-Server abzufragen, damit die IP in einen NetBIOS-Namen aufgelöst werden kann, bevor der WINS-Server Broadcastsendungen in Ihrem Netzwerk vornimmt? A. Der B-Knoten fragt den WINS-Server zuerst ab. B. Der H-Knoten fragt den WINS-Server zuerst ab. C. Der P-Knoten fragt den WINS-Server zuerst ab. D. Der W-Knoten fragt den WINS-Server zuerst ab. 42. Sie sind Netzwerkadministrator bei ShoeBox Shoe. Während Sie Ihren WINS-Server konfigurieren, möchten Sie einige Informationen auf der WINS-Replikation haben. Mit welcher Einstellung des WINS-Servers kann ein Server Benachrichtigungen an andere WINS-Partner senden, wenn eine bestimmte Anzahl von Änderungen vorliegt? A. Konfigurieren Sie in der Registerkarte ERWEITERT Ihrer WINS-Konsole einen Push-Partner.
630
Kapitel 11
Musterprüfung
B. Konfigurieren Sie in der Registerkarte ERWEITERT Ihrer WINS-Konsole einen Pull-Partner. C. Konfigurieren Sie in der Registerkarte EINSTELLUNGEN Ihrer WINS-Konsole einen Push-Partner. D. Konfigurieren Sie in der Registerkarte EINSTELLUNGEN Ihrer WINSKonsole einen Pull-Partner. 43. Als Administrator einer kleinen Firma möchten Sie einige Statistiken auf Ihrem WINS-Server haben. Sie möchten wissen, wann das letzte Mal repliziert wurde, wann der letzte periodische Aufräumvorgang vorgenommen wurde, und Sie möchten die Anzahl der Anfragen, die der Server aufgelöst hat, kennen. Wie und wo erhalten Sie all diese Informationen? A. Verwenden Sie die Leistungskonsole. B. Im Anwendungsprotokoll der Ereignisanzeige. C. Im Protokoll der Ereignisanzeige. D. Wählen Sie in der MMC-WINS Ihren WINS-Server und klicken im Menü VORGANG auf SERVERSTATISTIKEN. 44. Sie sind Netzwerkadministrator bei Winni House. Ihnen ist aufgefallen, dass Ihre Netzwerkaktivitäten heute angestiegen sind. Mit der Netzwerküberwachung stellen Sie fest, dass alle Ihre Windows-2000-Professional-Computer Broadcast ausstellen. In den Ereignisanzeige-Protokolldateien auf Ihrem WINS-Server finden Sie Fehlermeldungen vor, die anzeigen, dass die WINSDatenbank beschädigt wurde. Sie möchten die WINS.mdb-Datei, welche Ihr WINS-Server automatisch erstellt hat, wiederherstellen. Wo finden Sie diese Datei? A. Im %systemroot%\WINS-Verzeichnis. B. Im %systemroot%\system\WINS-Verzeichnis. C. Im %systemroot%\system32\WINS-Verzeichnis. D. Standardmäßig erstellt das System die Datei solange nicht, bis Sie festlegen, wo die Datei gesichert wird. 45. Sie sind der Administrator einer kleinen Zahnklinik und möchten einige Statistiken in der Leistungskonsole Ihres WINS-Servers angezeigt bekommen. Welche Informationen erhalten Sie, wenn Sie die Informationen im Abfragen/Sek.-Leistungsindikator ansehen?
631
A. Die Rate der aufgelösten Abfragen. B. Die Gesamtanzahl der erhaltenen Abfragen. C. Die Anzahl der erfolgreichen Abfragen pro Sekunde. D. Den durchschnittlichen Zeitaufwand, der für die Auflösung einer Abfrage aufgebracht wurde. 46. Als Administrator einer kleinen Firma sind Sie gerade dabei, einige IPAdressen von Dezimalzahlen in binäre Zahlen zu konvertieren. Was würde der binäre Wert von 209.168.241.158 sein? A. 11010001.10101000.11110001.10011110 B. 11001001.10101000.11110001.10011110 C. 11010001.10101000.11101001.10011110 D. 11010001.10101010.11110001.10011110 47. Als Administrator eines großen Bauunternehmens sind Sie gerade dabei, einige IP-Adressen von binären Zahlen in dezimale Zahlen zu konvertieren. Was würde der dezimale Wert von 11001100.10101110.00011101.11101010 sein? A. 204.176.29.234 B. 198.174.29.234 C. 204.174.29.234 D. 204.174.29.240 48. Sie sind Netzwerkadministrator bei CMS Technologies. Sie sind gerade dabei, die Sicherheit Ihres RRAS-Servers zu konfigurieren. Sie müssen die Protokolle auswählen, die mit PPP die Originaldaten »verpacken«,. Welche der folgenden Antworten sind korrekt? A. PPTP B. L2TP C. IPSEC D. EAP
632
Kapitel 11
Musterprüfung
49. Sie wurden gerade zum Web-Designer befördert. Eine Ihrer ersten Aufgaben besteht darin, Ihren Verkaufsleitern zu gestatten, Dateien auf dem FTP-Server Ihres Netzwerkes anzufordern. Ihr Verkaufsteam beschwert sich, dass es keine Verbindung mit dem FTP-Server herstellen kann. Was könnte hierfür das Problem sein? A. Sie müssen eine Kundenapplikation für eingehenden Zugriff konfigurieren und die entsprechenden Anschlüsse öffnen. B. Sie müssen eine Kundenapplikation für ausgehenden Zugriff konfigurieren und die entsprechenden Anschlüsse öffnen. C. Sie müssen eine Kundenapplikation für eingehenden Zugriff konfigurieren und die entsprechende IP-Adresse genehmigen. D. Sie müssen eine Kundenapplikation für ausgehenden Zugriff konfigurieren und die entsprechende IP-Adresse genehmigen. 50. Sie sind der Administrator einer kleinen Firma und möchten von Ihren Kollegen zusätzliche Informationen über RRAS erhalten. Während eines eintägigen Seminars bekommen Sie von einem Ihrer Kollegen die Smart-CardAuthentifizierung erklärt. Welches Protokoll unterstützt die Smart-Card-Authentifizierung? A. PPTP B. L2TP C. IPSEC D. EAP 51. Sie sind Netzwerkadministrator bei GasUp Petroleum. Alle Ihre Verkaufsleiter müssen in Zugriffsressourcen Ihres Netzwerkes einwählen können. Ihr Problem besteht nun aber darin, dass unterschiedliche Anwender auch unterschiedliche Berechtigungen haben. Was können Sie tun? A. Erstellen Sie unterschiedliche RAS-Richtlinien für die verschiedenen Anwender. B. Sie werden mehrere RRAS-Server mit verschiedenen Richtlinien konfigurieren müssen. Die jeweiligen Anwendergruppen müssen dann in die entsprechenden Server einwählen. C. Erstellen Sie lokale Richtlinien mit dem Richtlinien-Editor. D. Sie können nichts tun, denn sämtliche Einwahlanwender haben dieselben Berechtigungen.
633
52. Sie sind Netzwerkadministrator für IVS Technologies. Sie sind gerade dabei, einige Netzwerkkonzepte mit einem Ihrer Mitarbeiter zu erstellen. Diesem Mitarbeiter sind die Unterschiede zwischen DNS und WINS nicht ganz klar. Sie erklären ihm also DNS. Welche Datei ersetzt DNS? A. LMHOSTS B. HOSTS C. LMHOTS.SAM D. HOSTS.DNS 53. Sie sind Netzwerkadministrator bei RollUp YoYo. Ihr Vorgesetzter will, dass Sie ihm erklären, wie Zertifikatserver funktionieren. Er möchte wissen, was genau eine vorläufige CA ist. Was antworten Sie ihm? A. Eine vorläufige CA ersetzt die Root-CA, falls Fehler vorliegen. B. Eine vorläufige CA stellt untergeordneten CAs Zertifikate aus. C. Eine vorläufige CA stellt Anwendern Ihrer Domäne Zertifikate aus. D. Eine vorläufige CA wird nur für die Sperrung von Anwenderzertifikaten verwendet. 54. Sie sind der Berater bei Champagne Glasses Corporation. Sie wurden damit beauftragt, das Konfigurieren von TCP/IP auf den Clientcomputer zu vereinfachen. Das Netzwerk umfasst 40 Windows-98-Computer und 60 Windows2000-Professional-Computer. Welcher Windows-2000-Dienst unterstützt Sie in Ihrer Aufgabe? A. DHCP installieren und konfigurieren. B. DNS installieren und konfigurieren. C. WINS installieren und konfigurieren. D. BOOTP installieren und konfigurieren. 55. Sie sind der Netzwerk-Supervisor bei Travel Travel. Sie können sich noch nicht hundertprozentig für das Implementieren von Zertifikaten entscheiden. Welche der folgenden Gründe könnten Sie überzeugen? A. Mit Zertifikaten wird Ihnen garantiert, dass ein- und ausgehende Daten nicht gefährdet werden. B. Mit Zertifikaten wird Ihnen gewährleistet, dass die Identität von Anwendern, die auf sichere Informationen zugreifen, auch korrekt ist.
634
Kapitel 11
Musterprüfung
C. Zertifikate können von Zertifikatsdiensten von Microsoft ausgestellt werden. D. Zertifikate können lediglich von einem dritten Hersteller, wie etwa VeriSign erstellt werden. 56. Sie sind Netzwerkadministrator von New Riders Publishing. Da Ihr Netzwerk 125 Windows-95-Computer umfasst, möchten Sie sichergehen, dass Ihr Netzwerk auch abwärtskompatibel ist. Mit welchem Dienst müssen Sie Hostnamen in IP-Adressen auflösen? A. WINS B. DNS C. DHCP D. BOOTP 57. Sie sind der Senior-Berater einer lokalen Firma. Eine große Bank vor Ort möchte von Ihnen Auskünfte über Zertifikate haben. Unter anderem möchte sie wissen, wem sie Zertifikate ausstellen kann. Welche der folgenden Antworten sind richtig? A. Einzelne Personen können Zertifikate erhalten. B. Organisationen können Zertifikate erhalten. C. Routers können Zertifikate erhalten. D. DNS-Eingänge können Zertifikate erhalten. 58. Sie sind Netzwerkadministrator eines lokalen Krankenschwesterdienstes. Ihnen stehen 200 Windows-2000-Professional-Computer zur Verfügung. 30 dieser Computer sind Laptops, die dazu in der Lage sein müssen, nachts in Ihr Netzwerk einzuwählen. Auf einem Ihrer Windows-2000-Advanced-Server, der mit Active Directory konfiguriert ist und auf dem ein einheitlicher Modus läuft, konfigurieren und installieren Sie RRAS. Anwender beschweren sich aber immer noch darüber, dass sie keinen Zugriff zu den Informationen haben. Was könnte das Problem sein? A. Einwählen wird nicht von RRAS unterstützt. B. Sie haben mit einigen Richtlinienkonflikten zu tun und die erste Richtlinie, die angewendet wird, verweigert den Zugriff. C. MS-CHAP wurde nicht aktiviert. D. Die Standard-Einwahlrichtlinie wurde nicht geändert.
635
59. Sie sind der Netzwerksupervisor bei JMS Technologies. Ihr Netzwerk umfasst 80 Windows-2000-Professional-Computer, 8 Windows-2000-Server, 2 NetWare-3.11-Server und 2 NetWare-4.11-Server. Auf sämtlichen Clientcomputern haben Sie NWLink und CSNW installiert. Dennoch können sich die Clientcomputer nicht mit den 3.11-Servern verbinden. Was könnte das Problem sein? A. NWLink wurde nicht mit manueller Rahmenerkennung konfiguriert. B. NWLink wurde nicht mit automatischer Rahmenerkennung konfiguriert. C. Ehe Kunden eine Verbindung zu den 3.11-Servern herstellen können, müssen Sie GSNW auf sämtlichen Servern installieren. D. Ihr NetWare-Server benötigt einen Patch, ehe Windows-2000-Clientcomputer eine Verbindung herstellen können. 60. Sie gehören zum Netwzwerkadministrator-Team bei SunShine Networks. Ihre Aufgabe besteht darin, Ihre Klasse-B-IP-Adresse in 20 verschiedene Subnetze aufzuteilen. Ihre IP-Adresse ist 145.65.0.0. Sie müssen gewährleisten können, dass die Netzwerkanzahl erhöht werden kann. Die maximale Anzahl von Hosts pro Subnetz wird nie über 950 Hosts gehen. Mit welcher Subnetzmaske können Sie Ihr Netzwerk segmentieren und somit die gewünschte Zunahme erreichen? A. 255.255.255.252. B. 255.255.0.0. C. 255.255.240.0 D. 255.255.252.0 61. Sie sind Netzwerkadministrator bei Sunshine Networks. In letzter Zeit haben Sie eine große Anzahl von Fehlermeldungen erhalten, die angeben, dass der Host nicht erreichbar ist. Außerdem hat es den Anschein, dass Ihre Hosts nicht richtig umgeleitet werden. Mit dem Netzwerkmonitor wollen Sie den Netzwerkverkehr aufzeichnen, aber anscheinend können Sie nicht den gesamten Netzwerkverkehr aufzeichnen. Bei genauerer Betrachtung der Aufzeichnungen bemerken Sie, dass nur Pakete angezeigt werden, die von Ihrem eigenen Computer verschickt wurden. Was könnte das Problem sein? A. Die Netzwerk-Komponente wurde nicht auf allen Servern installiert. B. Ihr Netzwerkmonitor läuft nicht im promiskuitiven Modus. C. RIP wurde in Ihrem Netzwerk-Adapter nicht aktiviert.
636
Kapitel 11
Musterprüfung
D. Sie müssen den falschen Netzwerk-Adapter-Treiber auf Ihrer NIC installiert haben. Installieren Sie den Treiber erneut und nehmen Sie die Datenerfassung nochmals vor. 62. Sie sind der WAN-Administrator für CMS Technologies. Ihr Netzwerk umfasst 50 Windows-NT-4-Server und 10 Windows-2000-Advanced-Server. Einige Ihrer NT-4-Server sind als Router konfiguriert. Sie sind gerade dabei, einige Ihrer Windows-2000-Server als Router zu konfigurieren, allerdings tauchen hierbei einige Probleme auf. Ihre neuen Router können nicht mit den alten Routern kommunizieren. Sie überprüfen nochmals, ob beide so konfiguriert sind, dass sie auch RIP verwenden, was auch der Fall ist. Was könnte also das Problem sein? A. Sie müssen RIP so konfiguren, dass es Broadcast und nicht Multicast verwendet. B. Sie müssen OSPF installieren und konfigurieren. C. RIP-Protokolle übertragen nicht mehr als 15 Hops. D. Sie müssen in Ihre Routing-Tabellen einen Eintrag hinzufügen, um auf Ihre älteren Router zu verweisen. 63. Vinni, der Senior-MCSE der Firma, erklärt Ihnen den Unterschied zwischen der Verwendung von PPTP und L2TP, um VPNs in Ihrem Netzwerk zu installieren. Welche der folgenden Angaben über PPTP und L2TP sind richtig? A. L2TP erfordert ein IP-basiertes transitives Internetzwerk. B. L2TP unterstützt Headerkomprimierung. C. PPTP unterstützt Headerkomprimierung. D. L2TP unterstützt Tunnelauthentifizierung. E. L2TP verlangt für die Verschlüsselung nach IPSEC. 64. Sie sind der WAN-Administrator bei JMS Technologies. Sie wissen noch nicht so genau, welche Routing-Technologie Sie für das Unternehmen anwenden sollen. Sie entscheiden sich für Distance-Vector-Routing und sind sich dabei sehr wohl bewusst, dass eines der Hauptprobleme dieser Art Routing das Count-to-Infinity ist. Welche Mechanismen könnten Sie zur Vorbeugung von Problemen implementieren? (Welche der folgenden Antworten sind richtig?) A. Split Horizon B. Split Horizon mit Poison-Reverse
Antworten zu den Prüfungsfragen
C. Getriggerte Updates D. Link-State-Routing 65. Sie sind Netzwerkadministrator bei JMS Technologies. Sie haben gerade erst mit dem HINZUFÜGEN/ENTFERNEN-Programm der SYSTEMSTEUERUNG den DHCP-Dienst installiert. Damit ein Multicast-Bereich auch unterstützt wird, müssen Sie Ihr DHCP konfigurieren. Hierfür klicken Sie in MMC mit der rechten Maustaste das Server-Symbol unterhalb von DHCP an. Mit welcher Option können Sie Ihren Bereich konfigurieren? A. Neuer Bereich B. Neue Bereichsgruppierung C. Neuer IP-Bereich D. Neuer Multicast-Bereich
Antworten zu den Prüfungsfragen 1. B. Split Horizon ist ein Mechanismus, der Routing-Information davor bewahrt, dahin zurückgesendet zu werden, woher sie ursprünglich stammt. Einzelheiten hierzu finden Sie in Kapitel 6 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von IP-Routing in einer Windows-2000-Netzwerk-Infrastruktur«. 2. D. Wenn Sie einen DNS-Server als Caching-Only-Server konfigurieren, so wird er keinerlei Zoneninformation enthalten. Einzelheiten hierzu finden Sie in Kapitel 1 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von DNS in einer Windows-2000-Netzwerk-Infrastruktur«. 3. B. Windows-2000-Clientcomputer stehen mit dem DNS-Server in direkter Interaktion. Der A- Ressourceneintrag wird somit aktualisiert. Der DHCPServer aktualisiert sowohl den PTR-Eintrag für Windows-2000-Clientcomputer als auch den A-Eintrag und den PTR-Eintrag für Computer, die keine Windows-2000-Clientcomputer sind. Einzelheiten hierzu finden Sie in Kapitel 1. 4. C. Die Antworten A und B sind richtig. Die Antwort C ist die beste, die Sie geben können. Eines der Hauptprobleme mit Distance-Vector-Routing ist Count-to-Infinity. Einzelheiten hierzu finden Sie in Kapitel 6.
637
638
Kapitel 11
Musterprüfung
5. C. B könnte die richtige Antwort sein, doch da Sie 465 Computer auf demselben Segment haben, müssen Sie zwei C-Klasse-Adressen haben und eine Bereichsgruppierung konfigurieren. Einzelheiten hierzu finden Sie in Kapitel 2 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von DHCP in einer Windows-2000-Netzwerk-Infrastruktur«. 6. C. Wenn Sie das Zertifikat der Verkaufsleiter sperren, so ist dieser nicht mehr dazu in der Lage, Informationen über Internet zu beziehen. Einzelheiten hierzu finden Sie in Kapitel 8 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung der Zertifikatsdienste«. 7. D. Der Lösungsansatz entspricht den verlangten Ergebnissen, aber nur einem der zwei optionalen Ergebnisse. Die Clientcomputer-Information wird in DNS nicht automatisch aktualisiert. Die dynamische Aktualisierung wurde nicht aktiviert. Einzelheiten hierzu können Sie dem Kapitel 1 entnehmen. 8. B. Es wurde Ihnen angegeben, dass nur 14 Hosts pro Subnetz möglich sind. Ihre korrekte Subnetzmaske sollte deshalb 255.255.255.240 sein. Einzelheiten hierzu finden Sie in Kapitel 5 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von WINS in einer Windows-2000-Netzwerk-Infrastruktur«. 9. B. Während der Installierung bei ICS wurde die IP-Adresse Ihres Servers in 192.168.0.1 geändert. Die standardmäßige Einstellung der IP-Adresse wurde also geändert. Deshalb geht auch jegliche Vernetzung verloren. Einzelheiten hierzu finden Sie in Kapitel 7 »Installieren, Konfigurieren und Fehlerbeseitigung der Netzwerkadressübersetzung (NAT)«. 10. E. NAT unterstützt derzeit keine Spiele. Einzelheiten hierzu finden Sie in Kapitel 7. 11. D. ICS wird solange nicht installiert, bis Sie ein Netzwerk und eine DFÜVerbindung konfiguriert haben. 12. A, D. Die Hauptfunktion bei DHCP-Servern besteht darin, den anfordernden Clientcomputern eine einzige IP-Adresse auszustellen. DHCP-Server können aber auch IP-Adressen des DNS-Servers, des Standardgateways, des WINSServer usw. dem Client mitteilen. Einzelheiten hierzu finden Sie in Kapitel 2. 13. C. Das Konfigurieren von Bereichen im DHCP-Server ermöglicht es Ihnen, unterschiedliche IP-Einstellungen zu konfigurieren. Einzelheiten hierzu finden Sie in Kapitel 2. 14. A. WINS wird verwendet, um LMHOSTS-Dateien zu ersetzen. Einzelheiten hierzu finden Sie in Kapitel 5.
Antworten zu den Prüfungsfragen
15. A. In der FQDN-Carolyne.training.pbsc.com-Datei entspricht Carolyne dem Host-Teil. Training identifiziert die untergeordnete Domäne, pbsc ist der Domänenname und com ist die Root-Domäne. Einzelheiten hierzu finden Sie in Kapitel 1. 16. D. Die logische Vorgangsweise eines DNS-Servers bei der Auflösung von FQDN in IP-Adressen ist, dass er zuerst das lokale Cache überprüfen wird. Kann DNS die FQDN vom Cache nicht auflösen, wird die Anforderung zum Stammserver weitergeleitet. Einzelheiten hierzu finden Sie im Kapitel 1. 17. C. Der korrekte Eintrag, den Sie Ihrem DNS-Server hinzufügen, wenn Sie ein Alias haben möchten, ist CNAME. Einzelheiten hierzu finden Sie in Kapitel 1. 18. B. Die maximale Anzahl von Zeichen, die ein Knoten enthalten kann ist 63. Ihr FQDN-Name kann maximal 255 Zeichen enthalten. Einzelheiten hierzu finden Sie in Kapitel 1. 19. E. Wenn Sie Ihren Clientcomputer manuell mit statischer IP und ohne DNSKonfigurierung konfigurieren, werden Sie weder die verlangten noch die optionalen Ergebnisse erzielen. Einzelheiten hierzu finden Sie in Kapitel 1. 20. B. Der Clientcomputer erhält eine DHCPNack-Nachricht, nachdem es unmöglich war, eine TCP/IP-Adresse vom DHCP-Server zu bekommen. Fordert der Clientcomputer zuerst eine IP-Adresse an, wird er eine DHCPDiscover-Meldung erhalten, in der ihm angezeigt wird, wo er den DHCP-Server finden kann. Danach wird er von allen DHCP-Servern DHCPAngebote bekommen. Einzelheiten hierzu finden Sie in Kapitel 2. 21. B. Sie müssen eine Bereichsgruppierung konfigurieren. Einzelheiten hierzu finden Sie in Kapitel 1. 22. C. Bevor ein Windows-2000-DHCP-Server eine IP-Adresse ausstellt, muss er erst einmal autorisiert werden. Nur Mitglieder der Unternehmensverwaltung sind zur Autorisierung eines DHCP-Servers berechtigt. Einzelheiten hierzu finden Sie in Kapitel 2. 23. A. Der Leistungsindikator, der die Anzahl der DHCPOffer-Meldungen zählt, die pro Sekunde von einem Clientcomputer an einen DHCP-Server verschickt werden, ist Angebote/Sek. Einzelheiten hierzu finden Sie in Kapitel 2. 24. D. Bevor Ihre IP-Adresse über Ihren Router läuft, müssen Sie den BOOTPForwarder aktivieren. Einzelheiten hierzu finden Sie in Kapitel 2. 25. A, B, D. DICS verfügt über einige Funktionen, die nicht von NAT unterstützt werden. Hierzu gehören H.323 Proxy, LDAP Proxy und DirectPlay Proxy. Einzelheiten hierzu finden Sie in Kapitel 7.
639
640
Kapitel 11
Musterprüfung
26. A. Sie müssen die Leistungsindikatoren in Routing und RAS aktivieren. Einzelheiten hierzu finden Sie in Kapitel 7. 27. A. Inkrementeller Zonentransfer (IXFR) ist in Windows 2000 neu. Einzelheiten hierzu finden Sie in Kapitel 1. 28. C. Digitale Zertifikate verwenden eine öffentlich/private Schlüssel-Verschlüsselung und Sicherheitsentschlüsselung. Einzelheiten hierzu finden Sie in Kapitel 8. 29. C. Wenn Sie eine Zone konfigurieren, die Active Directory integriert hat, wird die Information im Active Directory gespeichert. Einzelheiten hierzu finden Sie in Kapitel 1. 30. A. Wenn Sie den lokalen EFS-Schlüssel entfernen und auf einer Smart Card speichern, ist die Sicherheit der Informationen auf Laptops am besten gewährleistet. Einzelheiten hierzu finden Sie in Kapitel 8. 31. D. Bei RAM handelt es sich um die kritischste Ressource auf einem CachingOnly-Server, da sämtliche Cache-Einträge in RAM gespeichert sind. Einzelheiten hierzu finden Sie in Kapitel 1. 32. C. Damit ein Clientcomputer dynamisch mit einem DNS-Server bei der Eingabeaufforderung registriert werden kann, tippen Sie ipconfig / registerdns. Für weitere Informationen werfen Sie einen Blick auf Kapitel 1. 33. A. Windows-2000-Clientcomputer interagieren direkt mit DNS-Servern. Der A-Verzeichniseintrag wird somit aktualisiert. Ein DHCP-Server aktualisiert sowohl den PTR-Eintrag für Windows-2000-Clientcomputer als auch den AEintrag und den PTR-Eintrag für Computer, die keine Windows-2000-Clientcomputer sind. Einzelheiten hierzu finden Sie in Kapitel 1. 34. A. Mit einer Reverse-Lookupzone können Sie IP-Adressen in Hostnamen auflösen. Einzelheiten hierzu finden Sie in Kapitel 1. 35. B. Mit NSLOOKUP können Sie Einträge vom DNS-Server überprüfen lassen. Einzelheiten hierzu finden Sie in Kapitel 1. 36. A. In Windows 2000 ist WINS für die Abwärtskompatibilität von Windows95-Client-Computern erforderlich, um NetBIOS-Namen in IP-Adressen auflösen zu können. Einzelheiten hierzu finden Sie in Kapitel 5. 37. B. Mit WINS Proxy wird es Ihren Computern, die keine WINS-Clientcomputer sind, ermöglicht, Anfragen an die WINS-Datenbank zu stellen. WINS Proxy fängt Broadcast des Nicht-WINS-Clientcomputers ab und sendet es an den WINS-Server zurück. Einzelheiten hierzu finden Sie in Kapitel 5.
Antworten zu den Prüfungsfragen
38. D. Sollten Sie die standardmäßige RAS-Richtlinie nicht geändert haben, so wird kein Anwender dazu in der Lage sein, eine Verbindung zu erstellen. Die standardmäßige Richtlinie besagt, dass die Erlaubnis oder der Zugang allen Benutzern versagt bleibt. Einzelheiten hierzu finden Sie in Kapitel 3 »Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung von RAS in einer Windows-2000-Netzwerk-Infrastruktur«. 39. D. RAS-Richtlinien werden individuell auf einem jeden RAS-Server gespeichert. Einzelheiten hierzu finden Sie in Kapitel 3. 40. E. Sie sollten die Bereichsoptionen in DHCP konfigurieren, wenn Ihr Clientcomputer dazu in der Lage sein soll, Anfragen bezüglich der Auflösung von NetBIOS-Namen in IP-Adressen an den WINS-Server machen zu können. Das Konfigurieren der Bereichsoptionen ermöglicht es Ihnen, Ihre Clientcomputer dynamisch zu konfigurieren. Einzelheiten hierzu finden Sie in Kapitel 5. 41. B. Der H-Knoten wird Clientcomputer dazu zwingen, Anfragen an den WINS-Server zu richten, bevor Sie ein Broadcast senden. Einzelheiten hierzu finden Sie in Kapitel 5. 42. A. Soll Ihr WINS-Server Benachrichtigungen an Replikationspartner versenden können, die beinhalten, dass eine Anzahl von Änderungen bezüglich Ihres WINS-Servers vorliegen, müssen Sie die Push-Option in der Registerkarte ERWEITERT des WINS-Managers auswählen. Einzelheiten hierzu finden Sie in Kapitel 5. 43. D. Wählen Sie in der MMC WINS Ihren WINS-Server und klicken im Menü VORGANG auf SERVERSTATISTIKEN. Dort haben Sie Zugriff auf eine Vielzahl von Server-Statistiken. Einzelheiten hierzu finden Sie in Kapitel 5. 44. D. Sie müssen festlegen, wo Sie die Datei gesichert haben möchten, bevor Sie mit dem Sicherungsprozess beginnen können. Einzelheiten hierzu finden Sie in Kapitel 5. 45. A. Der Anfragen/Sek-Leistungsindikator wird den Satz zurücksenden, mit dem die Anfragen aufgelöst wurden. Einzelheiten hierzu finden Sie in Kapitel 5. 46. A. Wenn Sie von dezimalen Zahlen auf binäre Zahlen konfigurieren, entspricht 209.168.241.148 gleich 11010001.10101000.11110001.10011110. Einzelheiten hierzu finden Sie im Kapitel 4 »Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbeseitigung in einer Windows-2000-Netzwerk-Infrastruktur«. 47. C. Wenn Sie von binären Zahlen auf dezimale Zahlen konvertieren, entspricht 11001100.10101110.00011101.11101010 gleich 204.174.29.234. Einzelheiten hierzu finden Sie in Kapitel 4.
641
642
Kapitel 11
Musterprüfung
48. A, B. Sowohl PPTP, als auch L2TP verwenden PPP für die Originaldaten. Einzelheiten hierzu finden Sie in Kapitel 3. 49. A. Bevor Internetanwender Zugriff auf den FTP-Server Ihres privaten Netzwerks haben können, müssen Sie eine Kundenanwendung für eingehenden Zugriff konfigurieren und die entsprechenden Anschlüsse öffnen. Einzelheiten hierzu finden Sie in Kapitel 7. 50. D. Das extensible Authentifikationsprotokoll oder EAP, unterstützt Smart Card-Authentication. Einzelheiten hierzu finden Sie in Kapitel 3. 51. A. Sie müssen für die verschiedenen Anwender unterschiedliche RAS-Richtlinien erstellen. Einzelheiten hierzu finden Sie in Kapitel 3. 52. B. DNS wird verwendet, um Host-Dateien zu ersetzen. Einzelheiten hierzu finden Sie in Kapitel 3. 53. B. Eine vorläufige CA ist für die Ausstellung von Zertifikaten an untergeordnete CAs zuständig. Einzelheiten hierzu finden Sie in Kapitel 8. 54. A. Windows-2000-DHCP-Dienste sind Dienste, die Clientcomputern automatisch IP-Adressen zuweisen. Einzelheiten hierzu finden Sie in Kapitel 2. 55. A, B, C. Mit Zertifikaten wird sichergestellt, dass eingehende und ausgehende Daten nicht gefährdet werden. Mit Zertifikaten wird außerdem sichergestellt, dass die Identität derjenigen, die auf sichere Information zugreifen, auch die richtige ist. Zertifikate können von Microsoft-Zertifikatsdiensten ausgestellt werden. Die Ausstellung von Zertifikaten begrenzt sich also nicht nur auf VeriSign. Einzelheiten hierzu finden Sie im Kapitel 8. 56. B. Um Hostnamen in IP-Adressen aufzulösen, müssen Sie DNS verwenden. In einer reinen Windows-2000-Umgebung löst DNS Hostnamen und NetBIOS-Namen auf. Einzelheiten hierzu finden Sie in Kapitel 1. 57. A, B, C. Zertifikate werden nicht nur an einzelne Personen ausgestellt, sondern auch an Organisationen, Unternehmen, Router und andere Entitäten. Mit Zertifikaten wird die Kontrolle und die Sicherheit von Daten gewährleistet. Einzelheiten hierzu finden Sie in Kapitel 8. 58. B. Sie verfügen über einige Konflikt-Richtlinien. Die Erste, die angewendet wird, verweigert den Zugriff. Einzelheiten hierzu finden Sie in Kapitel 3. 59. A. Sie haben NWLink nicht mit manueller Rahmenart-Erkennung konfiguriert. NetWare-3.12-Server und frühere Versionen verwenden andere Rahmenarten als NetWare-4-Server und spätere Versionen. Einzelheiten hierzu finden Sie in Kapitel 4.
Antworten zu den Prüfungsfragen
60. D. Indem Sie die ersten 6 Bit Ihres 3-Oktetts verwenden, können sich bis zu 1024 Hosts in einem Netzwerk befinden. Außerdem kann Ihr Netzwerk in bis zu 62 Subnetze unterteilt werden. Einzelheiten hierzu finden Sie in Kapitel 4. 61. B. Bevor der Netzwerkmonitor sämtliche Pakete im Netzwerk überwacht, muss es im promiskuitiven Modus laufen. Einzelheiten hierzu finden Sie in Kapitel 6. 62. A. Um Broadcast und nicht Multicast zu verwenden, müssen Sie RIP konfigurieren. Einzelheiten hierzu finden Sie in Kapitel 6. 63. B, D, E. PPTP verlangt nach einem auf IP-basierenden Transit-Netzwerk. L2TP hingegen erfordert nur, dass die Tunnelmedien paketorientiert arbeiten. Im Gegensatz zu PPTP unterstützt L2TP Headerkomprimierung und TunnelAuthentifikation. Für Verschlüsselungen ist bei L2TP IPSec erforderlich. Einzelheiten hierzu finden Sie in Kapitel 3. 64. A, B, C. Das Count-to-Infinity-Problem kann auf vierlerlei Art und Weise behoben werden: Horizont teilen, Horizont teilen mit Poison Reverse, und ausgelöste Aktualisierung. Verbindungsstatus-Routing stellt eine weitere Routing-Technologie dar. Einzelheiten hierzu finden Sie in Kapitel 6. 65. D. Um einen neuen Multicast-Bereich zu konfigurieren, müssen Sie die Option NEUER MULTICAST-BEREICH wählen. Einzelheiten hierzu finden Sie in Kapitel 2.
643
Anhang Teil A. Überblick über die Zertifizierung B. Die Prüfungssoftware auf der CD-ROM
3
Überblick über die Zertifizierung
A
Um ein Microsoft Certified Professional (MCP) zu werden, müssen Sie strenge Zertifizierungsprüfungen bestehen, die einen zuverlässigen Maßstab für Ihre technische Kompetenz und Ihr Fachwissen liefern. Entwickelt in Zusammenarbeit mit Profis aus der Industrie, die umfangreiche Erfahrungen mit Microsoft-Produkten haben, werden die Prüfungen von zwei unabhängigen Organisationen durchgeführt: Sylvan Prometric bietet die Prüfungen weltweit in mehr als 2000 autorisierten Prometric Testing Centers an und Virtual University Enterprises (VUE) Testcenter sind an mehr als 1400 Standorten mit Examensangeboten vertreten. Für ein Examen können Sie sich telefonisch beim Sylvan Prometric Testing Center oder bei VUE anmelden:
HINWEIS Sylvan Prometric Deutschland: 0130/83 97 08 Österreich: 06 60/85 82 Schweiz: 08 00/55 69 66 VUE Deutschland: 08 00/1 81 06 96 Österreich: 06 60/31 21 50 Schweiz: 08 00/83 75 50
Die Registrierung ist auch online unter http://www.2test.com/register bzw. http:// www.vue.com/ms/msexam.html möglich. Bei Redaktionsschluss hat Microsoft acht Zertifizierungsarten angeboten, die jeweils auf einem bestimmten Spezialgebiet basieren. Aktuelle Informationen erhalten Sie auf der Website für den Microsoft Certified Professional unter www.microsoft.com/mcp/.
648
Anhang A
A.1
Überblick über die Zertifizierung
Zertifizierungsarten
씰
Microsoft Certified Professional (MCP): Personen mit diesem Zertifikat besitzen umfangreiche Kenntnisse in mindestens einem Microsoft-Produkt und können dieses Produkt professionell einsetzen. Kandidaten können Wahlexamen absolvieren, um sich auf bestimmte Bereiche zu spezialisieren. Das MCP-Zertifikat ist der Einstieg in das MCP-Programm.
씰
Microsoft Certified Professional + Internet (MCP + Internet): Personen mit diesem Zertifikat sind qualifiziert, Sicherheit zu planen, Serverprodukte zu installieren und zu konfigurieren, Serverressourcen zu verwalten, CGISkripts oder ISAPI-Skripts auszuführen, Leistung zu überwachen und zu analysieren sowie Fehlersuche durchzuführen. Die Fachkenntnisse sind ähnlich denen eines MCP, wobei aber der Schwerpunkt auf Internetthemen liegt.
씰
Microsoft Certified Professional + Site Building (MCP + Site Building): Personen mit diesem Zertifikat haben die Fähigkeit, Websites mit den Microsoft-Technologien und -Produkten zu planen, zu entwickeln, zu warten und zu unterstützen. Das Zertifikat ist für Personen geeignet, die intelligente, interaktive Websites verwalten, zu denen Datenbankanbindung, Multimedia und suchfähige Inhalte gehören.
씰
Microsoft Certified Database Administratoren (MCDBA): Experten mit dieser Qualifikation können physikalische Datenbankentwürfe ableiten, logische Datenmodelle entwickeln, physikalische Datenbanken anlegen, Datendienste mithilfe von Transact-SQL erstellen, Datenbanken verwalten und warten, Sicherheit konfigurieren und verwalten, Datenbanken überwachen und optimieren sowie Microsoft SQL Server installieren und konfigurieren.
씰
Microsoft Certified Systems Engineer (MCSE): Diese Experten verfügen über die Qualifikation, die Geschäftsanforderungen für eine Systemarchitektur zu analysieren, die Architekturkomponenten zu entwickeln, zu installieren und zu konfigurieren sowie Systemprobleme zu beheben.
씰
Microsoft Certified Systems Engineer + Internet (MCSE + Internet): Personen mit diesem Zertifikat sind für die Kernbereiche eines MCSE qualifiziert und beherrschen darüber hinaus die Erweiterung, Entwicklung und Verwaltung von intelligenten Intranet- und Internetlösungen, die Browser, Proxy-Server, Hostserver, Datenbanken sowie Komponenten der Nachrichtendienste und des Handels umfassen. Ein MCSE + Internet ist in der Lage, Websites zu verwalten und zu analysieren.
A.2 Anforderungen an die Zertifizierung
씰
Microsoft Certified Solution Developer (MCSD): Diese Personen sind in der Lage, mit Microsoft-Entwicklungstools, -Technologien und -Plattformen businessrelevante Lösungen zu entwerfen und zu realisieren. Zum neuen Track gehören Zertifizierungsexamen, die die Fähigkeit des Benutzers testen, um webbasierte, verteilte und Handelsanwendungen mit Microsoft-Produkten wie zum Beispiel Microsoft SQL Server, Microsoft Visual Studio und Microsoft Component Services zu erstellen.
씰
Microsoft Certified Trainer (MCT): Personen mit diesem Zertifikat sind Schulungsprofis und durch Microsoft technisch qualifiziert, um Microsoft Education Courses an Standorte zu überführen, die von Microsoft autorisiert sind. Ein MCT muss bei einem Microsoft Solution Provider Authorized Technical Education Center oder einer Microsoft Authorized Academic Trainig-Site beschäftigt sein.
HINWEIS Neueste Informationen zu den Zertifizierungsarten finden Sie auf der Website für Microsoft Training and Certification unter http://www.microsoft.com/mcp. Microsoft können Sie auch über die folgenden Quellen kontaktieren: 씰
Microsoft Certified Professional Program: 800-636-7544
씰
[email protected]
씰
Microsoft Online Institute (MOLI): 800-449-9333
A.2
Anforderungen an die Zertifizierung
Die folgenden Abschnitte beschreiben die Anforderungen für die verschiedenen Arten der Microsoft-Zertifizierungen.
HINWEIS Mit einem Sternchen gekennzeichnete Prüfungen werden demnächst eingestellt.
A.2.1
Der Weg zum MCP
Um das Zertifikat für einen MCP (Microsoft Certified Professional) zu erhalten, brauchen Sie nur ein beliebiges Microsoft-Examen zu bestehen (mit Ausnahme von Networking Essentials, #70-058* und Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240).
649
650
Anhang A
A.2.2
Überblick über die Zertifizierung
Der Weg zum MCP + Internet
Um das Zertifikat für einen MCP mit Spezialisierung auf das Internet zu erhalten, müssen Sie die folgenden Examen bestehen: 씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-059*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Internet Information Server 3.0 and Microsoft Index Server 1.1, #70-077* oder Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
A.2.3
Der Weg zum MCP + Site Building
Um als MCP + Site Building zertifiziert zu werden, müssen Sie zwei der folgenden Prüfungen ablegen: 씰
Designing and Implementing Web Sites with Microsoft FrontPage 98, #70-055
씰
Designing and Implementing Commerce Solutions with Microsoft Site Server 3.0, Commerce Edition, #70-057
씰
Designing and Implementing Web Solutions with Microsoft Visual InterDev 6.0, #70-152
A.2.4
Der Weg zum MCP + Database Administrator
Es gibt zwei MCDBA-Tracks; der eine Track ist an Windows 2000 gebunden, der andere basiert auf Windows NT 4.0. Windows-2000-Track Um ein MCDBA im Windows-2000-Track zu werden, müssen Sie drei Pflichtexamen und ein Wahlexamen ablegen. Pflichtexamen Die erforderlichen Pflichtexamen für einen MCDBA im Windows-2000-Track sind: 씰
Installing, Configuring and Administering Microsoft Windows 2000 Server, #70-215
A.2 Anforderungen an die Zertifizierung
oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen #70-067*, #70-068* und #70-073* bestanden haben) 씰
Administering Microsoft SQL Server 7.0, #70-028
씰
Designing and Implementing Databases with Microsoft SQL Server 7.0, #70-029
Wahlexamen Weiterhin müssen Sie ein Wahlexamen aus der folgenden Liste bestehen: 씰
Implementing and Administering a Microsoft Windows 2000 Network Infrastructure, #70-216 (nur für die Personen, die die Examen #70-067*, #70-068* und #70-073* noch nicht bestanden haben) oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen #70-067*, #70-068* und #70-073* bestanden haben)
씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0 and Microsoft Decision Support Services 1.0, #70-019
씰
Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
씰
Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
Windows-NT-4.0-Track Um ein MCDBA im Windows-NT-4.0-Track zu werden, müssen Sie vier Pflichtexamen und ein Wahlexamen bestehen.
651
652
Anhang A
Überblick über die Zertifizierung
Pflichtexamen Für einen MCDBA im Windows-NT-4.0-Track sind die folgenden Pflichtexamen erforderlich: 씰
Administering Microsoft SQL Server 7.0, #70-028
씰
Designing and Implementing Databases with Microsoft SQL Server 7.0, #70-029
씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0 in the Enterprise, #70-068*
Wahlexamen Das abzulegende Wahlexamen können Sie aus der folgenden Liste wählen: 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0 and Microsoft Decision Support Services 1.0, #70-019
씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70059*
씰
Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
씰
Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
A.2.5
Der Weg zum MCSE
Für die Qualifikation zum MCSE sind Prüfungen zum Betriebssystem und zwei Wahlexamen abzulegen. Der Weg zur MCSE-Zertifizierung gliedert sich in zwei Tracks: Windows 2000 und Windows NT 4.0. Die folgende Liste zeigt die Pflichtexamen für die Windows-2000- und WindowsNT-4.0-Tracks sowie die Wahlexamen.
A.2 Anforderungen an die Zertifizierung
Windows-2000-Track Beim Windows-2000-Track sind fünf Pflichtexamen (oder ein Accelerated Examen und ein weiteres Pflichtexamen) abzulegen. Weiterhin müssen Sie zwei Wahlexamen bestehen. Pflichtexamen Alle Personen, die nicht die Examen #70-067, #70-068 und #70-073 abgelegt haben, müssen die folgenden Pflichtexamen zum Windows-2000-Track für die MCSE-Zertifizierung ablegen: 씰
Installing, Configuring and Administering Microsoft Windows 2000 Professional, #70-210
씰
Installing, Configuring and Administering Microsoft Windows 2000 Server, #70-215
씰
Implementing and Administering a Microsoft Windows 2000 Network Infrastructure, #70-216
씰
Implementing and Administering a Microsoft Windows 2000 Directory Services Infrastructure, #70-217
Für diejenigen, die die Examen #70-067*, #70-068* und #70-073* abgelegt haben, sind folgende Pflichtexamen im Windows-2000-Track erforderlich: 씰
Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Microsoft Windows NT 4.0, #70-240
Alle Kandidaten müssen eines der folgenden drei zusätzlichen Pflichtexamen ablegen: 씰
Designing a Microsoft Windows 2000 Directory Services Infrastructure, #70-219 oder Designing Security for a Microsoft Windows 2000 Network, #70-220 oder Designing a Microsoft Windows 2000 Infrastructure, #70-221
Wahlexamen Alle MCSE-Wahlexamen, die mit der Freigabe der Windows-2000-Pflichtexamen aktuell sind (d.h. nicht zurückgezogen werden), lassen sich verwenden, um die Anforderungen der beiden Wahlexamen zu erfüllen. Darüber hinaus sind die Pflichtexamen #70-219, #70-220 und #70-221 als Wahlexamen geeignet, solange
653
654
Anhang A
Überblick über die Zertifizierung
sie noch nicht abgelegt wurden, um die Anforderungen der oben genannten »zusätzlichen Pflichtexamen« zu erfüllen. Mit dem Examen #70-222 (Aktualisierung von Microsoft Windows NT 4.0 auf Microsoft Windows 2000) kann man ebenfalls diese Anforderung erfüllen. Schließlich zählen auch ausgewählte Zertifizierungen von Drittanbietern, die sich auf Interoperabilität konzentrieren. Weitere Informationen zu derartigen Zertifizierungen entnehmen Sie bitte der Microsoft-MCP-Website (www.microsoft.com/mcp). Windows-NT-4.0-Track Der Windows-NT-4.0-Track ist ebenfalls in Pflicht- und Wahlexamen organisiert. Pflichtexamen Für die MCSE-Zertifizierung sind im Windows-NT-4.0-Track die folgenden vier Pflichtexamen abzulegen: 씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0 in the Enterprise, #70-068*
씰
Microsoft Windows 3.1, #70-030* oder Microsoft Windows for Workgroups 3.11, #70-048* oder Implementing and Supporting Microsoft Windows 95, #70-064* oder Implementing and Supporting Microsoft Windows NT Workstation 4.0, #70-073* oder Implementing and Supporting Microsoft Windows 98, #70-098
씰
Networking Essentials, #70-058*
Wahlexamen Für den Windows-NT-4.0-Track müssen Sie zwei der folgenden Wahlexamen für eine MCSE-Zertifizierung bestehen: 씰
Implementing and Supporting Microsoft SNA Server 3.0, #70-013 oder Implementing and Supporting Microsoft SNA Server 4.0, #70-085
씰
Implementing and Supporting Microsoft Systems Management Server 1.2, #70-018 oder Implementing and Supporting Microsoft Systems Management Server 2.0, #70-086
A.2 Anforderungen an die Zertifizierung
씰
Designing and Implementing Data Warehouse with Microsoft SQL Server 7.0, #70-019
씰
Microsoft SQL Server 4.2 Database Implementation, #70-021* oder Implementing a Database Design on Microsoft SQL Server 6.5, #70-027 oder Implementing a Database Design on Microsoft SQL Server 7.0, #70-029
씰
Microsoft SQL Server 4.2 Database Administration for Microsoft Windows NT, #70-022* oder System Administration for Microsoft SQL Server 6.5 (oder 6.0), #70026 oder System Administration for Microsoft SQL Server 7.0, #70-028
씰
Microsoft Mail for PC Networks 3.2-Enterprise, #70-037*
씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT (3.53.51), #70-053* oder Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-059*
씰
Implementing and Supporting Web Sites Using Microsoft Site Server 3.0, #70-056
씰
Implementing and Supporting Microsoft Exchange Server 4.0, #70-075* oder Implementing and Supporting Microsoft Exchange Server 5.0, #70-076 oder Implementing and Supporting Microsoft Exchange Server 5.5, #70-081
씰
Implementing and Supporting Microsoft Internet Information Server 3.0 and Microsoft Index Server 1.1, #70-077* oder Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Implementing and Supporting Microsoft Proxy Server 1.0, #70-078 oder Implementing and Supporting Microsoft Proxy Server 2.0, #70-088
씰
Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the Internet Explorer Resource Kit, #70-079 oder Implementing and Supporting Microsoft Internet Explorer 5.0 by Using the Internet Explorer Resource Kit, #70-080
씰
Designing a Microsoft Windows 2000 Directory Services Infrastructure, #70-219
655
656
Anhang A
Überblick über die Zertifizierung
씰
Designing Security for a Microsoft Windows 2000 Network, #70-220
씰
Designing a Microsoft Windows 2000 Infrastructure, #70-221
씰
Upgrading from Microsoft Windows NT 4.0 to Microsoft Windows 2000, #70-222
A.2.6
Der Weg zum MCSE + Internet
Für die Zertifizierung zum MCSE, der auf die Internet-Technologie spezialisiert ist, müssen Sie sieben Betriebssystem-Examen und zwei Wahlexamen ablegen. Pflichtexamen Die Zertifizierung zum MCSE + Internet erfordert die folgenden sieben Pflichtexamen: 씰
Networking Essentials, #70-058*
씰
Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-059*
씰
Implementing and Supporting Microsoft Windows 95, #70-064* oder Implementing and Supporting Microsoft Windows NT Workstation 4.0, #70-073* oder Implementing and Supporting Microsoft Windows 98, #70-098
씰
Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰
Implementing and Supporting Microsoft Windows NT Server 4.0 in the Enterprise, #70-068*
씰
Implementing and Supporting Microsoft Internet Information Server 3.0 and Microsoft Index Server 1.1, #70-077* oder Implementing and Supporting Microsoft Internet Information Server 4.0, #70-087*
씰
Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the Internet Explorer Resource Kit, #70-079 oder Implementing and Supporting Microsoft Internet Explorer 5.0 by Using the Internet Explorer Resource Kit, #70-080
A.2 Anforderungen an die Zertifizierung
Wahlexamen Weiterhin müssen Sie zwei der folgenden Wahlexamen für die Zertifizierung zum MCSE + Internet ablegen: 씰
System Administration for Microsoft SQL Server 6.5, #70-026 oder Administering Microsoft SQL Server 7.0, #70-028
씰
Implementing a Database Design on Microsoft SQL Server 6.5, #70-027 oder Designing and Implementing Databases with Microsoft SQL Server 7.0, #70-029
씰
Implementing and Supporting Web Sites Using Microsoft Site Server 3.0, # 70-056
씰
Implementing and Supporting Microsoft Exchange Server 5.0, #70-076 oder Implementing and Supporting Microsoft Exchange Server 5.5, #70-081
씰
Implementing and Supporting Microsoft Proxy Server 1.0, #70-078 oder Implementing and Supporting Microsoft Proxy Server 2.0, #70-088
씰
Implementing and Supporting Microsoft SNA Server 4.0, #70-085
A.2.7
Der Weg zum MCSD
Die Zertifizierung zum MCSD (Microsoft Certified Solution Developer) hat eine grundlegende Revision erfahren. Nachstehend sind die Anforderungen für den neuen Track (seit viertem Quartal 1998) sowie die alten Anforderungen aufgeführt. Neuer Track Für den neuen Track müssen Sie drei Pflichtexamen und ein Wahlexamen ablegen. Pflichtexamen Aus jeder Gruppe der folgenden Pflichtexamen müssen Sie ein Examen ablegen: Desktop Applications Development (1 Examen): 씰
Designing and Implementing Desktop Applications with Microsoft Visual C++ 6.0, #70-016 oder Designing and Implementing Desktop Applications with Microsoft Visual FoxPro 6.0, #70-156 oder Designing and Implementing Desktop Applications with Microsoft Visual Basic 6.0, #70-176
657
658
Anhang A
Überblick über die Zertifizierung
Distributed Applications Development (1 Examen): 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015 oder Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155 oder Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
Solution Architecture (1 Examen): 씰
Analyzing Requirements and Defining Solution Architectures, #70-100
Wahlexamen Von den folgenden Wahlexamen können Sie eines auswählen: 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Desktop Applications with Microsoft Visual C++ 6.0, #70-016
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0, #70-019
씰
Developing Applications with C++ Using the Microsoft Foundation Class Library, #70-024
씰
Implementing OLE in Microsoft Foundation Class Applications, #70-025
씰
Implementing a Database Design on Microsoft SQL Server 6.5, #70-027
씰
Implementing a Database Design on Microsoft SQL Server 7.0, #70-029
씰
Designing and Implementing Web Sites with Microsoft FrontPage 98, #70-055
씰
Designing and Implementing Commerce Solutions with Microsoft Site Server 3.0, Commerce Edition, #70-057
씰
Programming with Microsoft Visual Basic 4.0, #70-065*
A.2 Anforderungen an die Zertifizierung
씰
Application Development with Microsoft Access for Windows 95 and the Microsoft Access Developer's Toolkit, #70-069
씰
Designing and Implementing Solutions with Microsoft Office 2000 and Microsoft Visual Basic for Applications, #70-091
씰
Designing and Implementing Database Applications with Microsoft Access 2000, #70-097
씰
Designing and Implementing Collaborative Solutions with Microsoft Outlook 2000 and Microsoft Exchange Server 5.5, #70-105
씰
Designing and Implementing Web Solutions with Microsoft Visual InterDev 6.0, #70-152
씰
Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
씰
Designing and Implementing Desktop Applications with Microsoft Visual FoxPro 6.0, #70-156
씰
Developing Applications with Microsoft Visual Basic 5.0, #70-165
씰
Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
씰
Designing and Implementing Desktop Applications with Microsoft Visual Basic 6.0, #70-176
Alter Track Zur Zertifizierung als MCSD müssen Sie beim alten Track zwei Kerntechnologieprüfungen und zwei Wahlprüfungen ablegen. Die folgenden Listen zeigen die erforderlichen Technologieexamen und die Wahlexamen für die MCSD-Zertifizierung. Pflichtexamen Um sich für die MCSD-Zertifizierung zu qualifizieren, müssen Sie die folgenden beiden Pflichtprüfungen ablegen: 씰
Microsoft Windows Architecture I, #70-160*
씰
Microsoft Windows Architecture II, #70-161*
659
660
Anhang A
Überblick über die Zertifizierung
Wahlexamen Um MSCD zu werden, müssen Sie zwei der folgenden Wahlexamen ablegen: 씰
Designing and Implementing Distributed Applications with Microsoft Visual C++ 6.0, #70-015
씰
Designing and Implementing Desktop Applications with Microsoft Visual C++ 6.0, #70-016
씰
Designing and Implementing Data Warehouses with Microsoft SQL Server 7.0, #70-019
씰
Microsoft SQL Server 4.2 Database Implementation, #70-021* oder Implementing a Database Design on Microsoft SQL Server 6.5, #70-027 oder Implementing a Database Design on Microsoft SQL Server 7.0, #70-029
씰
Developing Applications with C++ Using the Microsoft Foundation Class Library, #70-024
씰
Implementing OLE in Microsoft Foundation Class Applications, #70-025
씰
Programming with Microsoft Visual Basic 4.0, #70-065 oder Developing Applications with Microsoft Visual Basic 5.0, #70-165 oder Designing and Implementing Distributed Applications with Microsoft Visual Basic 6.0, #70-175
씰
Designing and Implementing Desktop Applications with Microsoft Visual Basic 6.0, #70-176
씰
Microsoft Access 2.0 for Windows-Application Development, #70-051* oder Microsoft Access for Windows 95 and the Microsoft Access Development Toolkit, #70-069 oder Designing and Implementing Database Applications with Microsoft Access 2000, #70-097
씰
Developing Applications with Microsoft Excel 5.0 Using Visual Basic for Applications, #70-052*
씰
Programming in Microsoft Visual FoxPro 3.0 for Windows, #70-054* oder Designing and Implementing Distributed Applications with Microsoft Visual FoxPro 6.0, #70-155
A.2 Anforderungen an die Zertifizierung
oder Designing and Implementing Desktop Applications with Microsoft Visual FoxPro 6.0, #70-156 씰
Designing and Implementing Web Sites with Microsoft FrontPage 98, #70-055
씰
Designing and Implementing Commerce Solutions with Microsoft Site Server 3.0, Commerce Edition, #70-057
씰
Designing and Implementing Solutions with Microsoft Office (code-named Office 9) and Microsoft Visual Basic for Applications, #70-091
씰
Designing and Implementing Collaborative Solutions with Microsoft Outlook 2000 and Microsoft Exchange Server 5.5, #70-105
씰
Designing and Implementing Web Solutions with Microsoft Visual InterDev 6.0, #70-152
A.2.8
Der Weg zum MCT
Damit Sie sich umfassend über die Laufbahn zum MCT (Microsoft Certified Trainer) informieren können, besorgen Sie sich das Dokument Microsoft Certified Trainer Guide von der Website http://www.microsoft.com/mcp/ Auf dieser Site können Sie das Dokument als Webseite lesen oder als Word-Datei herunterladen. Der MCT Guide erläutert die Laufbahn zum MCT. Die allgemeinen Schritte für die MCT-Zertifizierung lauten wie folgt: 1. Füllen Sie die MCT-Bewerbungsunterlagen vollständig aus und senden Sie sie an Microsoft. Weiterhin müssen Sie Ihre didaktischen Fähigkeiten nachweisen. Die Möglichkeiten dafür sind im MCT Guide beschrieben. 2. Beschaffen Sie sich das Microsoft Trainer-Kit zu den MOC-(Microsoft Official Curriculum-) Kursen, für die Sie sich zertifizieren lassen wollen. Im MCT Guide finden Sie Hinweise, wie Sie ein Trainer-Kit bestellen können. 3. Legen Sie alle MCP-Prüfungen entsprechend der Teilnahmevoraussetzungen ab, um Ihr aktuelles technisches Wissen zu bewerten. 4. Bereiten Sie sich auf das Unterrichten eines MOC-Kurses vor. Besuchen Sie zuerst den MOC-Kurs, für den Sie sich zertifizieren lassen wollen. Dadurch verstehen Sie, wie der Kurs strukturiert ist, wie die Unterrichtsräume ausgestattet sind und wie der Kurs abläuft.
661
662
Anhang A
Überblick über die Zertifizierung
5. Absolvieren Sie alle zusätzlichen Prüfungen entsprechend der Teilnahmevoraussetzungen, um zusätzliche Produktkenntnisse zu bewerten, die sich auf den Kurs beziehen. 6. Schicken Sie Ihre Checkliste der Kursvorbereitungen an Microsoft, sodass Ihre zusätzlichen Nachweise bearbeitet werden können und sich in Ihrem Transkript widerspiegeln.
ACHTUNG Die vorstehend genannten Schritte sind als allgemeiner Überblick der MCT-Zertifizierung zu verstehen. Die konkreten Schritte, die Sie unternehmen müssen, sind detailliert auf der weiter vorn erwähnten Website beschrieben. Verstehen Sie die obigen Schritte bitte nicht als dogmatischen Ablauf, dem Sie sich unterziehen müssen.
Wenn Sie ein MCT werden wollen, können Sie sich weitere Informationen beschaffen, indem Sie die Website für Microsoft Certified Training unter http:// www.microsoft.com/train_cert/mct/ besuchen oder unter 08 00/18 25 434 anrufen.
Die Prüfungssoftware auf der CD-ROM B.1
Was ist ExamGear?
B
ExamGear umfasst die folgenden Merkmale und Funktionen: Effektive Prüfungssimulation – eine der Hauptfunktionen von ExamGear ist die Examenssimulation. Um Sie effektiv und erfolgreich auf die Zertifizierungsprüfungen der verschiedenen Examensanbieter vorbereiten zu können, wurde die derzeit effizienteste Simulationstechnologie in ExamGear integriert. Hochwertige Fragen – alle für die Examenssimulationen in ExamGear erstellten Fragen entsprechen den hohen Qualitätsstandards, wie sie heutzutage angelegt werden. Jede Frage bezieht sich auf ein spezifisches Examensthema, wie es vom Examensanbieter definiert wurde. ExamGear testet alle Wissensbereiche, die auch in der realen Prüfung abgefragt werden. Das gesamte Examensmaterial ist direkt auf die Lernziele ausgerichtet. Zeitgemäße Benutzeroberfläche – Aussehen und Bedienung von ExamGear sind den realen Zertifizierungsprüfungen nachempfunden. Dadurch können Sie sich an die Examensumgebung gewöhnen und bereiten sich auf diese Weise effektiv auf das Examen vor. ExamGear verhindert böse Überraschungen bei der realen Prüfung und nimmt Ihnen so die Examensangst. Unterschiedliche Testmodi, darunter auch die adaptive Prüfungsform – Viele der anspruchsvollsten Technikzertifikate verwenden neuerdings die sogenannte »adaptive« (anpassungsfähige) Prüftechnik. Die Fragen beim adaptiven Examen werden dynamisch auf der Grundlage Ihrer bis dahin gegebenen Antworten gestellt. Wenn Sie eine Frage korrekt beantworten, weist die nächste Frage einen höheren Schwierigkeitsgrad auf; beantworten Sie die Frage falsch, wird die nächste Frage weniger schwierig sein. Um das Examen zu bestehen, müssen Sie eine bestimmte Anzahl von Fragen mit einem bestimmten Schwierigkeitsgrad innerhalb einer festgelegten Zeitspanne beantworten.
664
Anhang B
Die Prüfungssoftware auf der CD-ROM
ExamGear bietet Ihnen die Möglichkeit, das adaptive Examen zu üben, um sich mit dieser Prüfmethode vertraut zu machen. So ist sichergestellt, dass Sie umfassend auf die reale Prüfung vorbereitet sind. Effiziente Lernumgebung – ExamGear stellt eine Lernumgebung bereit, die nicht nur die tatsächliche Zertifizierungsprüfung simuliert, sondern in der Sie auch den Prüfungsstoff üben können, den Sie brauchen, um die wirkliche Prüfung zu bestehen. Zu jeder Frage ist eine umfassende Erklärung vorhanden, die nicht nur die richtige Antwort erläutert, sondern auch aufzeigt, warum die anderen Antwortoptionen nicht richtig sind. Dadurch wird nicht nur das bereits vorhandene Wissen vertieft, sondern Sie erhalten auch praktische Informationen, die Sie bei Ihrer normalen Arbeit verwenden können. Automatische Erkennung der Fortschritte – wenn Sie die Fragen beantworten, erkennt ExamGear automatisch Ihre Fortschritte. Für jede Frage wird aufgezeichnet, wie oft Sie sie beantwortet haben und ob die Antwort richtig oder falsch war.
B.2
Prüfungsauswahl
Abbildung B.1 Der Bildschirm Prüfungsauswahl von ExamGear
Die verschiedenen Prüfmodi von ExamGear bereiten Sie optimal auf die richtige Prüfung vor. ExamGear beinhaltet drei Prüfmodi. Es ist wichtig, die Unterschiede zwischen diesen Modi zu kennen.
B.2 Prüfungsauswahl
Der Lernmodus gestattet es Ihnen anzugeben, wie viele Fragen das Programm zufällig aus der Datenbank auswählen soll und wieviel Zeit Sie sich für die Beantwortung der Fragen zugestehen wollen. Darüber hinaus können Sie festlegen, ob Sie Fragen aus allen Gebieten oder nur aus spezifischen Gebieten beantworten wollen. Damit können Sie Ihr Wissen gezielt in den Bereichen auffrischen, in denen Sie Ihre Schwächen vermuten. Während des Examens können Sie sich zu den einzelnen Fragen jederzeit die korrekten Antworten samt Erläuterung anzeigen lassen. Der Lernmodus verfeinert Ihr Wissen und schult Sie im Umgang mit der Prüfungssituation, da die korrekte Antwort über die Option ANTWORTEN ANZEIGEN nur einen Mausklick entfernt ist. Ferner können Sie jeder Zeit zum Bildschirm FRAGENKATALOG wechseln, um auf der Registerkarte AKTUELLE BEWERTUNG Ihren Punktestand einzusehen. Die Musterprüfung ist ein praxisorientierter Prüfungsmodus, der das konkrete Zertifizierungsexamen simuliert. Die Fragen entstammen allen Prüfungsgebieten und die Anzahl der Fragen sowie die Bearbeitungszeit entsprechen der tatsächlichen Prüfungssituation. Die Musterprüfung beinhaltet praktisch die gleichen Optionen wie der Lernmodus, allerdings lassen sich die Antworten nicht anzeigen. Sie entspricht den tatsächlichen Gegebenheiten einer Zertifizierungsprüfung – der Bildschirm FRAGENKATALOG ist erst verfügbar, nachdem alle Fragen angezeigt wurden. Im Lernmodus hingegen kann der Bildschirm FRAGENKATALOG jederzeit aufgerufen werden. Bei der Musterprüfung können Sie Ihren abschließenden Punktestand auf dem Bildschirm ABSCHLUSSERGEBNIS einsehen. Bei der adaptiven Prüfung ist die erste Frage typischerweise recht einfach. Wenn Sie sie richtig beantworten, folgt eine etwas schwierigere Frage. Solange Sie korrekt antworten, werden die Fragen zunehmend schwieriger. Und umgekehrt: Wenn Sie falsche Antworten geben, werden die Fragen zunehmend einfacher. Das Examen passt sich also Ihrem Wissenstand an, indem es den Schwierigkeitsgrad der Fragen geeignet variiert. Damit Sie das Examen allerdings bestehen, müssen Sie eine bestimmte Anzahl von Fragen auf einem gegebenen Schwierigkeitsgrad richtig beantwortet haben. Sobald Sie einen Punkt erreichen, an dem Sie definitiv bestanden oder nicht bestanden haben, endet das Examen und Sie erhalten Ihre Bewertung. Falls Sie also den erforderlichen Schwierigkeitsgrad nicht innerhalb der vorgegebenen Zeit erreichen (typischerweise 30 Minuten), endet das Examen mit der mit der Bewertung durchgefallen. Und wenn Sie schon vor Ablauf dieser Zeit durchgefallen sind, kann der Test auch frühzeitig enden. Wie bei der Musterprüfung erhalten Sie das Ergebnis der adaptiven Prüfung im Fenster ABSCHLUSSERGEBNIS.
665
666
Anhang B
B.2.1
Die Prüfungssoftware auf der CD-ROM
Der Lernmodus
Je nach Umfang Ihrer Zugriffsrechte können die Optionen variieren. Wenn Sie bei der Prüfungsauswahl die Schaltfläche LERNMODUS wählen, erhalten Sie ein Konfigurationsfenster angezeigt, in dem Sie alle Aspekte des Tests im Lernmodus wie gewünscht einstellen können. (Die tatsächlich angezeigten Optionen können je nach Fragesatz variieren.) In diesem Konfigurationsfenster finden Sie mehr Optionen als bei jedem anderen Test von ExamGear. Aber keine Sorge, Sie werden trotzdem schnell damit klarkommen. Sie können aber auch die Standardeinstellungen verwenden, die so gewählt sind, dass sie in den meisten Fällen eine gute Wahl für Ihre Lernbemühungen darstellen. Der Lernmodus wurde aufgenommen, um Sie mit den Fragen in einer Datenbank vertraut zu machen und Sie zu unterstützen, falls Sie die Antwort auf eine Frage nicht wissen. Wenn Sie im Lernmodus eine hohe Punktzahl erreichen, sind Sie auf die tatsächliche Prüfung gut vorbereitet. Abbildung B.2 Einstellungen für den Lernmodus
Eine Prüfung auswählen Das gleich unter der Menüleiste befindliche Listenfeld PRÜFUNG listet alle Fragesätze auf, die auf Ihrem System für die Verwendung mit ExamGear installiert sind. Für jede Prüfung ist mindestens ein Fragesatz vorhanden. Wählen Sie den Fragensatz für die Prüfung aus, auf die Sie sich vorbereiten wollen.
B.2 Prüfungsauswahl
Kapitel auswählen In dem darunter gelegenen Listenfenster AUF FOLGENDE KAPITEL BESCHRÄNKEN finden Sie eine Auflistung der einzelnen Kapitel (Lerneinheiten) des Fragensatzes. Um den Lernmodus auf bestimmte Kapitel einzuschränken, entfernen Sie für die Kapitel, an denen Sie nicht interessiert sind, die Häkchen aus den Kontrollkästchen. Falls Sie gar kein Kapitel auswählen, erhalten Sie die Fehlermeldung »Keine Fragen gefunden, die den angegebenen Kriterien entsprechen«. Fragen auswählen Neben einer Auswahl der Lerneinheiten können Sie auch festlegen, wie ExamGear mit Fragen umgehen soll, die Sie bereits richtig bzw. falsch beantwortet haben. Das Programm führt darüber Buch, mit welchen Fragen Sie Schwierigkeiten haben und mit welchen nicht. Für die Auswahl der Fragen während des Lernmodus können Sie eine der folgenden Einstellungen treffen: Aus allen verfügbaren Fragen auswählen – Diese Option ist die Voreinstellung. Sie sorgt dafür, dass Ihnen das Programm Fragen aus allen gewählten Kapiteln (Lerneinheiten) mit gleicher Wahrscheinlichkeit präsentiert. Keine Fragen, die mindestens X mal richtig beantwortet wurden – ExamGear ermöglicht es Ihnen, solche Fragen auszuschließen, die Sie bereits korrekt beantwortet haben. Sie können festlegen, wie oft Sie eine Frage richtig beantwortet haben müssen, bevor ExamGear diese als »erledigt« betrachtet. Die Voreinstellung für X ist 2. Nur Fragen, die mindestens X mal falsch beantwortet wurden – wenn Sie diese Option auswählen, drillt Sie ExamGear speziell auf die Fragen, die Sie mindestens X mal falsch beantwortet haben. Die Voreinstellung für X ist 2. Um die für eine Option geltende Voreinstellung wieder herzustellen, klicken Sie auf die Schaltfläche STANDARD. Ein Zeitlimit setzen Unter Ihrer Zugriffseinstellung sehen Sie rechts im Fenster die Punktewertung (oder prozentuale Wertung), die Sie erreichen müssen, damit die gewählte Prüfung als »bestanden« betrachtet wird. Unter dieser Mindestwertung können Sie auswählen, ob der Test zeitlich begrenzt werden soll, und wie viel Zeit ggf. zur Verfügung steht. Markieren Sie das Kontrollkästchen TEST NACH 90 MINUTEN BEENDEN, um
667
668
Anhang B
Die Prüfungssoftware auf der CD-ROM
eine zeitliche Begrenzung einzustellen, und geben Sie dann die Dauer des Tests in Minuten ein. Wenn das Kontrollkästchen deaktiviert ist, wird das Examen ohne zeitliche Begrenzung durchgeführt. Anzahl der Prüfungsfragen Sie können auch die Anzahl der Fragen festlegen, die Bestandteil der Prüfung sein werden. Der hier voreingestellte Wert variiert abhängig davon, welche Prüfung Sie ausgewählt haben. Geben Sie die Anzahl der Fragen im Feld NICHT MEHR ALS N FRAGEN ein. Reihenfolge der Fragen Im Testmodus können Sie zwischen zwei Reihenfolgen wählen, wie Ihnen ExamGear die Fragen präsentiert: Fragen in zufälliger Reihenfolge anzeigen – diese Option ist die Voreinstellung. Sie veranlasst ExamGear, die Abfolge der Fragen zufällig zu wählen. Fragen nach Kapiteln geordnet – wenn Sie diese Option wählen, gruppiert ExamGear die Fragen nach Lerneinheiten, die den Kapiteln in Ihrem Buch entsprechen und arbeitet alle gewählten Lerneinheiten nacheinander ab. Bewertungsoptionen ExamGear lässt Ihnen im Lernmodus die Wahl zwischen zwei unterschiedlichen Feedback-Mechanismen: Bewertung am Ende der Prüfung – diese Option ist die Voreinstellung. Wenn sie gewählt ist, bewertet ExamGear zwar Ihre Antworten, eine Anzeige der Bewertung erfolgt aber erst nach Abschluss des Tests. Fragen, zu denen Sie die Lösung anfordern, zählen nicht. Bewertung direkt nach jeder Frage – wenn Sie diese Option auswählen, müssen Sie später im Test zuerst auf die Schaltfläche BEWERTEN klicken, bevor Sie zur nächsten Frage weiterschalten können. ExamGear zeigt Ihnen dann die korrekte Antwort an bzw. signalisiert Ihnen durch einen Smiley, dass Ihre Antwort korrekt ist. Fragen, zu denen die Lösung angezeigt wird, zählen nicht.
B.2.2
Den Lernmodus starten
Wenn Sie alle Optionen wie gewünscht eingestellt haben, betätigen Sie die Schaltfläche STARTE TEST. ExamGear wechselt nun in den Frage-/Antwort-Modus.
B.3 Die Musterprüfung
Mit den Schaltflächen im unteren Teil des Fensters können Sie das Programm interaktiv bedienen.
B.3
Die Musterprüfung
Im Modus »Musterprüfung« simuliert ExamGear konkrete Zertifizierungsprüfungen. Das Examen umfasst eine feste Anzahl von Fragen und muss in einer festgesetzten Zeit absolviert werden. Als »Prüfling« haben Sie keine Kontrolle über die Bearbeitungszeit und die Anzahl der Fragen. Sie können einzelne Fragen markieren, bei denen Sie sich nicht sicher sind und zu denen Sie später zurückkehren wollen. Nach Bearbeitung der letzten Frage gelangen Sie zum Bildschirm Punktestand, auf dem Sie Ihre Punktzahl einsehen können. Von hier aus können Sie ausgelassene sowie markierte Fragen im Suchmodus erneut bearbeiten. Ihre Punktzahl wird nach Ende der Prüfung im Fenster ABSCHLUSSERGEBNIS angezeigt. Damit das Examen als bestanden betrachtet wird, müssen Sie eine bestimmte Punktzahl erreichen. Die folgenden Optionen stehen während des Tests immer zur Verfügung: Schaltfläche
Beschreibung
PRÜFUNG BEENDEN
Bricht die Prüfung ab und zeigt den Bildschirm Punktestand an. Die Prüfung kann von diesem Bildschirm aus jedoch im Suchmodus wieder aufgenommen werden.
SIMULATION
Diese Schaltfläche startet die Simulation zur aktuellen Frage. Unterstützt die Frage keine Simulation, so ist die Schaltfläche deaktiviert.
STARTEN
ERLÄUTERUNG
Betätigen Sie diese Schaltfläche, um eine Erläuterung zu öffnen. Eine Erläuterung kann eine Grafik- oder Textdatei sein, die ergänzende Informationen zur aktuellen Frage beinhaltet. Sind für die aktuelle Frage mehrere Erläuterungen vorhanden, dann wird das Dialogfeld Erläuterung auswählen aufgerufen, in dem die einzelnen Erläuterungen aufgelistet sind: Wählen Sie einen Eintrag, um die entsprechende Erläuterung zu öffnen, und betätigen Sie nachfolgend die Schaltfläche ÖFFNEN. Die Erläuterungen werden in getrennten Fenstern angezeigt. Gibt es zu einer Frage nur eine einzige Erläuterung, wird diese bei Betätigung der Schaltfläche ERLÄUTERUNG direkt geöffnet. Sind keine Erläuterungen vorhanden, dann ist die Schaltfläche deaktiviert.
ZURÜCKSETZEN
Mit dieser Schaltfläche können Sie die aktuelle Frage auf ihre Standardeinstellung (»nicht beantwortet«) zurücksetzen.
669
670
Anhang B
Die Prüfungssoftware auf der CD-ROM
Schaltfläche
Beschreibung
BEDIENUNG
Nach Betätigung dieser Schaltfläche werden Bedienmöglichkeiten für die aktuelle Frage angezeigt.
<< VORIGE
Wenn Sie die vorhergehende Frage erneut betrachten wollen, klicken Sie auf diese Schaltfläche. Wurde der Suchmodus »markierte Fragen durcharbeiten« aktiviert, ist die Schaltfläche mit <
NÄCHSTE >>
Zeigt die nächste Frage an. Wurde der Suchmodus »Nur markierte« selektiert, so ist die Schaltfläche mit NÄCHSTE MARKIERTE>> beschriftet. Wurde der Suchmodus »Nur unbeantwortete« selektiert, so ist die Schaltfläche mit NÄCHSTE UNVOLLSTÄNIGE >> beschriftet.
B.3.1
Die adaptive Prüfung
Beim adaptiven Examen von ExamGear wird das vorhandene Wissen auf zwei unterschiedliche Arten geprüft, nämlich zum einen Ihr Gesamtwissen und zum anderen das Wissen zu den einzelnen Themenbereichen. Beim adaptiven Examen wird Ihr Wissen sehr sorgfältig überprüft, d.h. Sie müssen nicht nur eine hohe Gesamtpunktzahl erzielen, sondern auch eine Mindestpunktzahl für jede einzelne Lerneinheit. Um die Prüfung zu bestehen, müssen Sie alle Lerneinheiten bestehen und insgesamt 86 % oder mehr erreichen. Sie fallen durch, wenn Sie eine Gesamtpunktuzahl von 85 % oder weniger erreichen oder wenn Sie in einem der Bereiche unter 70 % haben. Sie werden vor Ihrer Prüfung nicht erfahren, welche Examensfragen auf Sie zukommen. Wenn Sie bei einem bestimmten Thema Schwächen aufweisen, sind Sie vielleicht schon durchgefallen, bevor Sie Ihre Stärken auf anderen Gebieten unter Beweis stellen konnten. Das adaptive Examen bereitet Sie auf alle Möglichkeiten vor und sorgt dafür, dass Sie auch die reale Prüfung bestehen. Auf dem Konfigurationsbildschirm für diesen Modus können Sie im Listenfeld PRÜFUNG nichts weiter als den Kurs in Form eines Fragesatzes auswählen. Sie starten das Examen durch Anklicken der Schaltfläche STARTE TEST.
B.4 Die Frageformen in ExamGear
B.4 B.4.1
Die Frageformen in ExamGear Multiple-Choice-Fragen
Abbildung B.3 Eine typische Multiple-Choice-Frage
Viele der Fragen, die Ihnen bei einer Zertifizierungsprüfung gestellt werden, sind Multiple-Choice-Fragen. Um eine solche Frage zu beantworten, wählen Sie einen oder mehrere Einträge aus einer Liste möglicher Antworten aus. Manchmal dürfen Sie nur eine Antwort wählen (dies wird durch einen Satz wie etwa »Wählen Sie die beste Antwort« signalisiert), bei anderen Fragen wiederum müssen Sie mehrere Antworten eintragen; dies wird durch eine entsprechende Aufforderung angezeigt (etwa: »Wählen Sie zwei Antworten!«). Multiple-Choice-Fragen können innerhalb eines Szenarios oder nach einem kurzen Bericht über Gegebenheiten wie Umgebung, Rolle, gewünschte oder benötigte Ergebnisse usw. auftreten. Wenn es auf eine Frage nur eine korrekte Antwort gibt, werden Optionsfelder neben den möglichen Antworten angezeigt; sind mehrere Antworten möglich, so werden Kontrollkästchen verwendet.
671
672
Anhang B
Die Prüfungssoftware auf der CD-ROM
Antwort auswählen Wählen Sie eine der folgenden Möglichkeiten: 씰
Klicken Sie auf das zu der Antwort gehörige Optionsfeld oder Kontrollkästchen. Falls für eine Frage mehr als eine korrekte Antwort zulässig oder erforderlich ist (Sie entnehmen dies der Fragestellung), finden Sie Kontrollkästchen vor den Antworten, ansonsten Optionsfelder.
씰
Klicken Sie auf den Antworttext.
씰
Drücken Sie die Taste für den der Frage zugeordneten Buchstaben (A, B, C, etc.).
Optionsfeld löschen Wählen Sie eine der folgenden Möglichkeiten: 씰
Klicken Sie auf ein anderes Optionsfeld.
씰
Klicken Sie auf den Text einer anderen Antwort.
씰
Drücken Sie die Taste für den Buchstaben einer anderen Frage.
씰
Klicken Sie auf die Schaltfläche Zurücksetzen, um die Frage in den Anfangszustand zurückzuversetzen.
Kontrollkästchen löschen Wählen Sie eine der folgenden Möglichkeiten: 씰
Klicken Sie auf das Kontrollkästchen neben der gewählten Antwort.
씰
Klicken Sie auf den Text der gewählten Antwort.
씰
Drücken Sie die Taste für den der Frage zugeordneten Buchstaben.
Um alle Antworten zu löschen und die Frage in den unbeantworteten Zustand zurückzuversetzen, klicken Sie auf die Schaltfläche Zurücksetzen.
B.4.2
Drop&Connect
Drop&Connect-Fragen beantworten Sie, indem Sie die korrekten Antwortobjekte auswählen und nachfolgend die richtigen Beziehungen zwischen diesen herstellen. Diese Beziehungen werden durch beschriftete Verbindungsobjekte repräsentiert.
B.4 Die Frageformen in ExamGear
Sie können ein und dasselbe Verbindungsobjekt mehrfach verwenden. Das Verschieben verbundener Objekte ändert deren Beziehungen zueinander nicht. Bewertet werden nur Objekte, die mit anderen Objekten verbunden sind. Objekte auswählen Sie wählen ein Objekt aus, indem Sie es an die gewünschte Stelle ziehen. Sie können Objekte frei so anordnen, wie es zur Beantwortung der Frage notwendig erscheint. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte verwendet werden müssen. Objekte verbinden Wenn Sie die gewünschten Antwortobjekte platziert haben, verbinden Sie diese, indem Sie zwei Objekte auswählen und dann das korrekte Verbindungsobjekt aus der Liste selektieren. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte verwendet werden müssen und dass Objekte auch mehrfach gewählt werden können. Verbindungen modifizieren Sie können die Richtung eines Verbindungsobjekts umkehren und Verbindungsobjekte löschen. Um die Richtung umzukehren, klicken Sie mit der rechten Maustaste auf das Verbindungsobjekt und wählen Sie Umkehren aus dem Kontextmenü. Sie löschen ein Verbindungsobjekt, indem Sie mit der rechten Maustaste auf das Objekt klicken und den Eintrag Löschen aus dem Kontextmenü wählen. Antwort zurücksetzen Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um Ihre Antwort zu löschen und die Frage auf den ursprünglichen Status zurückzusetzen. »Drop & Connect«-Fragen beinhalten Antwort- und Verbindungsobjekte. Ihre Aufgabe besteht darin, mit Hilfe der Verbindungsobjekte Beziehungen zwischen den Antwortobjekten darzustellen. Durch Verbindung der Antwortobjekte entsteht ein Prozessdiagramm.
B.4.3
Listen erstellen und ordnen/Zuordnungsaufgaben
Bei Fragen dieser Art müssen Sie zunächst die korrekten Einträge aus einer Auswahlliste selektieren und diese dann in der richtigen Reihenfolge anordnen. Sie erstellen Ihre Antwort in der Liste auf der linken Seite des Bildschirms.
673
674
Anhang B
Die Prüfungssoftware auf der CD-ROM
1. Wählen Sie die Einträge aus, die Sie der Liste hinzufügen wollen. 2. Verschieben Sie die gewählten Einträge, um eine bestimmte Reihenfolge zu erstellen. Einträge hinzufügen Wählen Sie eine der folgenden Vorgehensweisen: 씰
Doppelklicken Sie auf den gewünschten Eintrag aus der Gruppe der verfügbaren Einträge (rechte Liste), um ihn der Antwortliste (links) hinzuzufügen.
씰
Wählen Sie den Eintrag aus der Gruppe der verfügbaren Einträge (rechte Liste), den Sie der Antwortliste hinzufügen wollen, und klicken Sie nachfolgend auf die Schaltfläche VERSCHIEBEN.
Einträge aus der Antwortliste entfernen Wählen Sie eine der folgenden Vorgehensweisen: 씰
Ziehen Sie den zu entfernenden Eintrag aus der Antwortliste zurück in die Auswahlliste auf der rechten Seite.
씰
Doppelklicken Sie den zu entfernenden Eintrag in der Antwortliste auf der linken Seite des Bildschirms.
씰
Wählen Sie den zu entfernenden Eintrag in der Antwortliste aus und klicken Sie nachfolgend auf die Schaltfläche ENTFERNEN.
Antwortliste zurücksetzen Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle Einträge aus der Antwortliste zu entfernen. Reihenfolge der Einträge in der Antwortliste verändern Wählen Sie den zu verschiebenden Eintrag in der Antwortliste aus und verschieben Sie ihn mit den Pfeiltasten links neben der Liste nach oben bzw. unten. Beachten Sie, dass sich Listeneinträge auch mehrfach auswählen lassen. Bei einigen Fragen werden Sie aufgefordert, die Schritte, die zur Lösung einer bestimmten Aufgabe notwendig sind, in der richtigen Reihenfolge anzugeben; einige dieser Schritte können während des Vorgangs auch mehrfach ausgeführt (d.h. mehrfach aus der Auswahlliste gewählt) werden.
B.5 Punktebewertung
B.4.4
Baumstruktur
Fragen vom Typ »Baumstruktur« präsentieren Ihnen eine Anzahl Objekte und fordern Sie auf, aus diesen Objekten eine Baumstruktur zu erstellen. Das Feld links im Fenster beinhaltet bereits übergeordnete Ebenen, zwischen denen sich die Eintragsobjekte einfügen lassen. Ein Eintrag aus der Auswahlliste kann mehrfach zwischen den Einträgen im linken Feld eingefügt werden. Einträge, die eingeblendet werden können, sind mit einem Pluszeichen (+) gekennzeichnet, bei Einträgen mit einem Minuszeichen (-) werden alle untergeordneten Einträge angezeigt. Die Schaltfläche AUSBLENDEN blendet alle untergeordneten Ebenen eines Knotens aus. Einen Eintrag hinzufügen Wählen Sie zunächst einen Eintrag im linken Feld. Wählen Sie dann einen passenden Eintrag im Auswahlfeld (rechts) und klicken Sie auf die Schaltfläche HINZUFÜGEN. Einen Eintrag entfernen Blenden Sie die Ebenen nach Bedarf ein, bis der zu löschende Eintrag angezeigt wird. Klicken Sie auf die Schaltfläche ENTFERNEN. Baumstruktur zurücksetzen Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle dem Baum hinzugefügten Objekte wieder zu entfernen.
B.5
Punktebewertung
Während Sie ein Examen bearbeiten, ermittelt ExamGear kontinuierlich Ihren Punktestand. Im Lernmodus können Sie den Fragenkatalog jederzeit öffnen, um eine grafische Anzeige Ihres Punktestandes zu betrachten. Im Fragenkatalog können Sie zu jeder beliebigen Frage springen, Ihren Punktestand überprüfen oder das Examen beenden. Da Sie den Lernmodus jederzeit beenden können, wird kein abschließender Punktestand angezeigt; überprüfen Sie deswegen Ihren Punktestand im Fragenkatalog, bevor Sie eine Prüfung im Lernmodus beenden.
675
676
Anhang B
Die Prüfungssoftware auf der CD-ROM
Abbildung B.4 So bewertet ExamGear Ihren Lernerfolg
Die Musterprüfung erlaubt den Zugriff auf den Fragenkatalog, allerdings ist dieser erst möglich, wenn alle Fragen, die Bestandteil der Prüfung waren, mindestens einmal angezeigt wurden. Bei der adaptiven Prüfung ist der Zugriff auf den Fragenkatalog nicht möglich, da hier alle Fragen dynamisch ausgewählt werden. Bei der Musterprüfung und beim adaptiven Examen wird am Ende der abschließende Punktestand angezeigt. Das Fenster ABSCHLUSSERGEBNIS beinhaltet ferner eine Funktion namens WAS WAR FALSCH ODER FEHLTE, mit der Sie sich alle Fragen anzeigen lassen können, die Sie falsch beantwortet haben.
B.5.1
Funktionen im Fenster ABSCHLUSSERGEBNIS
Das Fenster ABSCHLUSSERGEBNIS enthält folgende Informationen: 씰
eine Bewertung, ob Ihr Punktestand zum Bestehen der Prüfung ausreicht oder nicht
씰
eine grafische Abbildung Ihrer abschließenden Gesamtpunktzahl
씰
eine grafische Abbildung Ihrer Punktzahl für die einzelnen Kapitel (Lerneinheiten)
Mit der angepassten Sortierung können Sie die Ansicht Ihren Bedürfnissen anpassen.
B.6 Systemanforderungen
Darüber hinaus können Sie über die Schaltfläche WAS WAR FALSCH ODER FEHLTE nachprüfen, welche Fragen falsch beantwortet wurden. In diesem Modus sehen Sie Ihre Antwort, die korrekte Antwort und eine Erklärung der korrekten Antwort.
B.6
Systemanforderungen
Die Minimalanforderungen, die ExamGear an Ihr System stellt, sind die folgenden: 씰
Windows-kompatibler PC (100 MHz oder schneller) mit mind. 32 Mbyte Arbeitsspeicher
씰
CD-ROM-Laufwerk (falls das Programm von CD installiert wird)
씰
20-30 Mbyte freier Festplattenspeicher. Die tatsächlich benötigte Kapazität hängt von der Anzahl der installierten Prüfdatenbanken ab.
씰
Microsoft Windows 95/98 oder Windows NT
씰
Microsoft Internet Explorer 4.01 oder höher. ExamGear verwendet zahlreiche Komponenten des Internet Explorers für kryptografische und HTTP-Aktionen. Ferner ist eine Instanz des Internet Explorers in das Anwendungsfenster von ExamGear integriert, wodurch ExamGear grundlegende Funktionen des Internet Explorers steuern kann. Der eingebaute Browser wird zur Teilnahme an Diskussionsforen und zur Anzeige von Webpages benötigt. Wenn Microsoft Internet Explorer 4.01 oder höher nicht installiert ist, kann ExamGear nicht ordnungsgemäß funktionieren.
677
Stichwortverzeichnis
!
B
3DES 224 – siehe Triple-DES 4096-Bit RSA-Schlüssel 514
BAP 242 Baseline 319, 328 Bereich 127, 412 – erstellen, DHCP 169 Bereichsgruppierung 566 – DHCP 143 – erstellen 143, 170 Bereichs-ID 412 Bereichs-Routing 417 Bewerbungsunterlagen 661 BGP 400 Bindungen 266, 319 – Reihenfolge 322 B-Knoten 354, 376, 578 BOOTP 175 BOOTP-Forwarder 182, 639 BOOTP-Protokoll 120 – IP-Adresse zuweisen 119 Border-Router 419 – autonome Systeme 419 – konfigurieren 448 Border-Routing 381 Broadcast 566 Broadcast-Knoten 354, 376
A Ability (Fähigkeitsbewertung) 599 Adaptives Prüfungsformat 598 Adjacency 422f., 583 Adressanfrage 172 Adresskonfliktmeldung 171 Adresskonservierung 492 Adressübersetzung 472 AH-Header 286 Anschlussnummer bestimmen 470 ARP 458, 574, 578 ARPA 248 ARPANET 248 ARP-Cache 578 ATM 324 Authentifikationsprotokoll 642 Authentifizierung 205, 570 – Kerberos 275 – Routing und RAS 232 – TGT 275 Authentifizierungs-Header 288 Authentifizierungsprotokoll 221, 233, 241, 323 – konfigurieren 223 Authentifizierungsrichtlinie 227 Autonomes System 458 Autorisieren, DHCP 141 Autostatische Aktualisierung 432 A-Verzeichniseintrag 640 AXFR-Leistungsindikatoren 92
C CA 498, 538, 550f., 586 – erstellen 543 – Hierarchie 502, 588 – installieren 504, 547, 589 – Name 506 – Vorbereitungen 501 Caching-Only-Server 63, 98, 637 Caching-Server 110 Certificate Authority 495
680
Stichwortverzeichnis certutil 513 CHAP 222, 238, 241 Chat 488 Chiffrierung 498 Cisco-Router 453 Client-Protokollkonfiguration 212 COM 33 Count-to-Infinity 458 D Data Encryption Standard, Verschlüsselungsprotokolle 224 Datei – HOSTS 333 – LMHOSTS 333 Datenbankpfad, WINS 344 Datenbanküberprüfung, WINS 342 DDNS 72, 616 Delegierte Zone 80, 110 Demand-Dial 581 – Router 429 – Routing 424, 453, 455 – Schnittstelle 447 – Sicherheit 433 DES, Verschlüsselungsprotokolle 224 Designierter Backup-Router 422 Designierter Router 422 DHCP 15, 116, 151, 228, 313, 464, 564, 584, 616, 638 – Adressanfrage 172 – Adresskonfliktmeldung 171 – Anfrage 171, 181 – autorisieren 639 – autorisieren, im Active Directory 141 – Bereich 127 – Bereich erstellen 130, 169 – Bereich konfigurieren 174 – Bereiche abstimmen 181 – Bereichsgruppierung 127, 143 – Bereichsgruppierung erstellen 143, 170 – BOOTP 176 – BOOTP-Dienst 176 – BOOTP-Protokoll 119 – DHCPDiscover 118 – DHCPOffer 118 – DNS 151 – DNS-Konfiguration 149 – dynamische Adresszuweisung 173 – imActiveDirectory, DHCP 141 – installieren 120 – Integration, Active Directory 175
– integrieren in DNS 148 – IP-Adresse zuweisen 118 – konfigurieren 121, 179 – Lease 180 – Leistung überwachen 162, 170 – Leistungsindikatoren 158 – lokales Segment 175 – MADCAP 130 – Multicast-Bereich erstellen 146 – Multicasting 128 – Probleme 140 – Routing und RAS 213f. – SNMP und MIB 165 – Statistiken 155 – verwalten und überwachen 152 – verwenden 320 – Vorteile 258 – WINS 339 DHCPDiscover 565 DHCPOffer 565, 639 DHCP-Server im Active Directory autorisiert 141 Digitale Unterschrift 497 Digitale Zertifikate 498, 586, 640 Directplay 584 Directplay Proxy 465 Distance-Vector-Protokoll 456 Distance-Vector-Routing 394, 580, 616 – Nachteile 394 Distance-Vector-Technologie 394 DNS 15, 27, 151, 557 – Active-Directory-Integration 49, 105 – A-Eintrag 105 – Aktualisierungen 108 – Anfrage 102 – Aufbau 30 – AXFR-Leistungsindikatoren 92 – Caching-Only-Server 63, 98 – Caching-Server 110 – Client konfigurieren 66 – CNAME-Eintrag 105 – COM 33 – Delegierte Zone 80, 110 – DHCP-integrieren 148 – Dienst 617 – Dienst testen 74 – Domäne 33 – dynamisch 72 – dynamische Updates 103 – EDU 34 – Einträge 83, 108 – First-Level-Domäne 33
Stichwortverzeichnis – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
Flatfile 30 FQDN 29 Geschichte 29 GOV 34 Hierarchie 32 HOSTS 30 Inkrementelle Zonen-Transfers 43 installieren 42 Integriertes Active Directory 562 IXFR-Leistungsindikator 92 Leistungsüberwachung 93, 100 Lookups 38 MX-Eintrag 105 Namespace 31 NET 34 NSLOOKUP 76 ORG 33 Primärer (Standard) DNS-Server 97 Proxy 584 PTR-Eintrag 105 Registrieren einer Domäne 36 Request For Comment 30 Reverse-Lookups 38, 98 Reverse-Lookup-Zone 108 RFC 30 Root-Domäne 33 Root-Name-Server 48 Round Robin DNS 88 Second-Level-Domäne 33 Sekundärer Master-Server 97 Sekundärer Server 104 SOA-Eintrag 48 Struktur 32 testen 79 Top-Level-Domäne 32 Überwachen und Verwalten 84 Verzeichnis 98 Verzeichnis manuell erstellen 100 Verzeichniseinträge 40 Zone 32 Zone erstellen 99 Zone konfigurieren 49, 104 Zonen für dynamische Aktualisierungen 71 – Zonenalterung 85 – Zonenarten 562 – Zonen-Datei 110 – Zonentransfers 109 DNS siehe Domain Name System DNS siehe TCP/IP
DNS-Clients konfigurieren 66 DNS-Proxy 464 DOD, TCP/IP 248 Domäne 30, 33 – DNS 31 – Top-Level-Domäne 32 – Verzeichnis 33 Domain Name System 27 Drop & Connect-Fragen 605 Dynamic Host Configuration Protocol 116 Dynamische Protokolle 432 Dynamische Router 391, 579 Dynamische Updates 107 Dynamisches DNS 72 E EAP 221, 238, 642 EAP-MD5 435 EAP-TLS 238, 435 Eavesdropping 384, 579 EDU, ORG 34 EFS 495, 538, 574 – implementieren 541 EFS-Schlüssel 527, 551, 640 – entfernen 591 – exportieren 527 – importieren 531 – wiederherstellen 530, 592 – Wiederherstellung 526 EGP 400 Eigenständige CA 500, 550, 587 – Merkmale 500 – Zertifikat 588 – untergeordnete 505 Eingenständige Stammzertifizierungsstelle 505 Einwahleinschränkungen, Einwahlmedium 204 Einwahlmedium 203 Einwahlprofile 242 Elektronische Siegel 498 Ereignisanzeige 475, 586 Erstellen, RAS-Richtlinien 197 ESP 289 Ethernet 247 Examen, Anmelden 647 Examen Siehe auch Prüfungen ExamGear, Training Guide Edition 596
681
682
Stichwortverzeichnis F FDDI 247 Fiber Distributed Data Interface 247 First-Level-Domäne 33 Flatfile 30 – Einschränkungen 30 Forward-Lookup 566 Forward-Lookupzone 57 FPNW 573 FQDN 29, 100 – Vollqualifizierter Domänenname 32 Fragen mit geordneten Listen 608 G Getriggerte Updates 396 GOV 34 Grußpaketintervalle 421 GSNW 313, 322, 573 H H.323 Proxy 465, 584 Hallo-Pakete 421 Hash-Algorithmus 590 HCAP 434 Hierarchie – DNS 32 – Routing 412 Hierarchische Datenbank, DNS 557 H-Knoten 355, 376, 578 Hops 386, 458 Host 383 Host-Namen 106 – auflösen siehe DNS Host-Routing 383, 578 HOSTS 30, 333, 557 Hot Area-Fragen 605 Hybrid-Knoten 355 I ICMP 270, 579 ICMP siehe PING ICS 464f., 478, 584 – Anschlüsse 470 – ausgehende Verbindung 486 – installieren 466, 484, 585 – konfigurieren 619 – Modifikation 487 – Standards 491 IETF 286
IGMP 270 IGP 400 IMAP3 470 IMAP4 470 Inkrementeller Zonentransfer 640 – installieren 43 Integriertes Active Directory 562 Interior Gateway Protocol 400 Internet 399 Internet Connection Sharing 470 Internet Mail Access Protocol Version 3 470 Internet Mail Access Protocol Version 4 470 Internet Protocol Security 435 Internetadressen 400 Intervalle, WINS 341 Invertierte Struktur 32 IP 249 – Adresskonservierung 472 – Filter einrichten 271 – IPSec 285 – Protokollnummern 270 – RAS 570 – Standard-Gateway 256 – Subnet 253 – Technik 249 IP Security Protocol 209 IP-Adresse 313 – konfigurieren 320 – Oktett 250 IPCONFIG 73, 315, 351, 577 ipconfig, / registerdns 640 IP-Einstellungen siehe TCP/IP IP-Multicast-Pakete 422 IP-Routing 15, 382 – Einführung 383 – überwachen 381 – verwalten und überwachen 436 IP-Routingprotokolle – hinzufügen 449 – installieren, konfigurieren 382 – verwalten und überwachen 440 IPSec 209f., 239, 285, 313, 435, 570 – AH-Header 286 – Architektur 288 – Features 286 – Richtlinie erstellen 292 – Transportmodus 300 – Tunnelmodus 286, 300 – Verbindungen 309 – verwalten 309 IPX 313
Stichwortverzeichnis IPX/SPX 332, 573 ISAKMP/IKE 291 ISAKMP/Oakley siehe ISAKMP/IKE IXFR 640 IXFR-Leistungsindikator 92 K Kerberos 273, 319, 571, 574 Kerberos-V5 275, 314, 323, 327 Kerberos-V5-Authentifizierung 574 Key Distribution Center, Kerberos 275 Klassen, Internetadressen 400 Knotenarten 376, 629 Konfigurieren – NAT-Schnittstelle 478 – NWLink 263 – RAS-Profil 202 – RIP 401 – TCP/IP 258, 260 – virtuelle Routing-Verbindung 414 – VPN 210 – VPN-Tunnelmodus 302 – WINS 331, 339 – WINS-Replikation 345 L L2TP 210, 242, 274, 291, 324, 429, 570, 574 – VPN 276 L2TP-Tunneling 292 LAN 574 LAN-Manager 333 LDAP 465, 584 Lease 565 Leasezeit 565 Leistungsindikatoren – DHCP 158, 639 – RAS 215 – Routing und RAS 640 – WINS 360 Leistungsüberwachung – DNS 93, 100 – Routing und RAS 230 Lernstile 593 Lightweight Directory Access Protocol 465 Link-State-Advertisements 408 Link-State-Routing 397, 580 Link-State-Routingprotokoll 397, 456 – OSPF siehe OSPF Link-State-Technologie 394
LMHOSTS 333, 356, 378, 575, 638 LSA 408, 456 M MAC 249 MADCAP-Protokoll, Bereich 130 Mailserver 326 Management Information Bases 569 MCDBA 648 MCP 648 – Prüfungen 596 MCP + Internet 648 MCP + Site Building 648 MCSD 649, 657 MCSE 648 MCSE + Internet 648 MCT 649, 661 – Guide 661 MDHCP 566 Media Access Control 249 Metrik 407 MIB 182, 569 – DHCP 165 Microsoft Certified Database Administratoren (MCDBA) 648 Microsoft Certified Professional (MCP) 648 Microsoft Certified Professional + Internet (MCP + Internet) 648 Microsoft Certified Professional + Site Building (MCP + Site Building) 648 Microsoft Certified Solution Developer (MCSD) 649, 657 Microsoft Certified Systems Engineer (MCSE) 648 Microsoft Certified Systems Engineer + Internet (MCSE + Internet) 648 Microsoft Certified Trainer (MCT) 649, 661 Microsoft Official Curriculum (MOC) 661 Microsoft Point-to-Point Encryption Protocol 435 M-Knoten 355, 376, 578 MMC 339 MOC 661 MPPE 435 MS-CHAP 222, 239, 241 MS-CHAP v1 435 MS-CHAP v2 222, 435 Multicast 459 – Bereich 129, 566 – Bereich erstellen 146
683
684
Stichwortverzeichnis Multicast-DHCP, Multicasting 129 Multicasting 128, 566 – WINS 350 Multilink 185, 213, 228, 570f. Multilink-Verbindungen 240 Multipath-Routing-Infrastruktur 398 Multiple IP-Adressen 473 Multiple-Choice-Fragen 602 Multiple-Rating-Fragen 602 N Namensauflösung 557, 575 – DNS 27 – WINS 375 Namenserver 557 Namenskonvention, Reverse-Lookups 39 Namespace 31 NAT 15, 463, 471, 478, 584f. – Clientcomputer aktivieren 477 – Eigenschaften 474 – implementieren 489 – installieren 471 – konfigurieren 619 – Protokolle 491 – Schnittstelle konfigurieren 478 – überwachen 487 NAT-Schnittstelle 585 NCP 248 NET 34 NetBEUI 248 – WINS 331 NetBIOS 332, 573, 575 – Namensauflösung 353 NetBIOS-Cache 356 NetBIOS-Knotenarten 356, 371 NetBIOS-Namen 333 NetBT 353 NetWare 319, 327, 573 NetWare-Server 573 Network Address Translation 15 Network Core Protocol siehe NCP Netzwerkadressübersetzung 15, 464, 484 – installieren 473 Netzwerkaktivität, verfolgen 325 Netzwerkbindungen 266 Netzwerkdatensicherheit 273 Netzwerkmonitor 279, 325, 439, 459, 575 – Daten erfassen 282 – Filterprotokolle 284 – installieren 279
Netzwerknummer 573 Netzwerkprotokolle 15, 248, 573 Netzwerkprotokollsicherheit 273 Netzwerksegment 178 Netzwerküberwachung – installieren 279 – konfigurieren 277 Netzwerkverkehr 277 – Bedeutung 278 – erfassen 316 – Netzwerkmonitor siehe Netzwerkmonitor – überwachen 277 Novell 332 Novell NetWare-Server 332 NSLOOKUP 76, 563, 640 NWLink 263, 313, 322, 332, 573 – konfigurieren 263 NWLink-Protokoll 321 O Öffentlicher Schlüssel 586 Open Shortest Path First 579 Open Shortest Path First siehe OSPF ORG 33 Organisation 506 – CA 522 – Stammzertifizierungsstelle 550, 552, 589 installieren 536 – Untergeordnete Zertifizierungsstelle 590 Organisationseinheit 506 Organisationszertifizierungsstelle 538, 587 OSPF 382, 408, 454, 579f. – Backbone 413, 457 – Bereich erzeugen 417 – Fehlerbeseitigung 442 – installieren 409 – Vorgänge 421 OSPF siehe Open Shortest Path First P Paketfilter 268 – TCP/IP 574 PAP 223, 239, 434 Passwort 497 Pflichtexamen 650 PING 74, 315, 351, 563, 577 – WINS 351 PKI 586 – planen 502
Stichwortverzeichnis PKI siehe Public Key Infrastructure P-Knoten 354, 376, 578 POP3 470 Ports – TCP 269 – UDP 270 Post-Office Protocol Version 3 470 PPP 189 PPTP 209, 230, 240, 274, 429, 570 – VPN 210 Primär 562 Primärer (Standard) DNS-Server 97 Principal Name 522 Private IP-Adresse 465 Profil 227 Protokolle – Bindungen 267 – IPSec 285 – NWLink 263, 332 – TCP/IP 248 Provider 574 – Reihenfolge 267 Provider-Bindungsreihenfolge 322 Proxy-Server 274 Prüfung – Fähigkeitsbewertung 599 – Fallstudien 600 – festes Format 597 – Formate 597 – Fragetypen 601 – Punktestand 599 – Studienhinweise 594 – Tipps zur Vorbereitung 593 Prüfungen Siehe auch Examen Public Key Infrastructure 497, 586 Pull-Replikation 368, 577 Push-Replikation 368, 577 R RADIUS, IP 208 Rahmentyp 573 RAS 15, 185, 569 – 3DES 224 – Anschlussstatus prüfen 219 – Authentifizierung 205 – Authentifizierungsprotokolle 221, 230 konfigurieren 223 – Berechtigung 233 – CHAP 222 – DES 224 – DHCP 213, 242
– – – –
DHCP-Integration 185 Dienst installieren 234 EAP 221 Eingehende Verbindungen konfigurieren 190, 192 – Einwahleinschränkungen 204 – Einwahlmedium 203 – Erstellen von RAS-Richtlinien 197 – Gruppenrichtlinien 191 – IP 204 – IP Security Protocol 209 – IPSec 209 – Leerlauf-Zeitüberschreitung konfigurieren 229 – Leistungsindikatoren 215 – Mehrfachverbindung 204 – Mobile Anwender 190 – Modem 236 – MS-CHAP 222 – MS-CHAP v2 222 – Multilink 185 – Multilink-Verbindungen konfigurieren 213 – PAP 223 – Point-to-Point Protocol 189 – Ports 216 – PPP 189 – PPTP 210 – Profil 185 – Profil konfigurieren 202 – Protokollierung aktivieren 310 – Radius 208 – Richtlinien 185, 229, 241 – Richtlinien lokaler InternetAuthentifizierungsdienste 191 – Richtlinien speichern 191, 641 – Richtlinien zentraler InternetAuthentifizierungsdienste 191 – Rückruf 240 – Serial Line Interface Protocol 189 – Sicherheit 220 – Sicherheit konfigurieren 220 – SLIP 189 – SPAP 222 – überwachen 217, 230 – Verschlüsselung 208 – Verschlüsselungsprotokolle 224, 238 – Verwalten und Überwachen von RAS 215 – VPN 185, 209 RAS-Richtlinie 434, 569 Registrieren, DNS-Domäne 36
685
Remote Authentification Dial-In User Service, RADIUS 208 Replaying 290 Replikation 577 – Einstellungen 349 – konfigurieren 346 – WINS 345 Request For Comment 30 Reservierte Adressen 585 Reverse-Lookups 38, 98 – Namenskonvention 39 Reverse-Lookupzone 627, 640 – erstellen 61 RFC 30, 118 RFC 2136, dynamisch 73 Richtlinie erstellen, IPSec siehe auch IPSec Richtlinie, IPSec 292 RIP 270, 401, 459, 579 – Aktualisierungen 407 – Fehlerbeseitigung 441 – hinzufügen 392 – konfigurieren 401, 643 – Metrik 407 – Overhead 407 – Protokoll 451 – Silent 403 – Stabilität 408 – Überwachung aktivieren 385 RIP siehe Routing Information Protocol RIP Version 1 401 RIP Version 2 401, 406, 459 RIP-Router 407 Root-Domäne 33 Root-Name-Server 48 Round Robin DNS 88 ROUTE 433, 458 – Befehl 437, 450 – statische Route einfügen 446 – Syntax 437 Route 453 – Befehl 582 Router 256, 386 – Adjacency 422 – Ausfall 391 – Grußpaketintervalle 421 – hinzufügen 451 – Hops 386 – Informationen austauschen 395 – Routing-Tabelle 386
– statisch 419 – Synchronisierung 422 Router-Routing 385 Routing 383, 445, 578 – Aktualisierung 407 – autonome Systeme 418 – dynamisch 391 – Funktion 383 – Hierarchie 412 – Internet 399 – Netzwerkadresse 383 – Netzwerkmonitor 439 – Prozess 390 – Schleifen 407 – statische Routen 450 Routing Information Protocol siehe RIP Routing und RAS 569 – Authentifizierung 232 – DHCP 213 – DHCP konfigurieren 214 – Fehlerbehebung 232 – konfigurieren 228 – Multilinks 185 – zulassen 387 Routing und RAS-Server 231 Routing-Aktualisierungsmeldungen 407 Routing-Domänen 400 Routing-Netzwerke 398 Routing-Pprotokolle 382 Routing-Protokolle 394 – Distance-Vector-Technologie 394 – Einstellen 401 – Hops 395 – Link-State-Technologie 394 – OSPF 382 Routing-Tabelle 383, 579, 615 – prüfen 451 RRAS 628 RRAS-Server 447 Rückruf 240 Rückrufoptionen 195 S S/MIME 500 Schlüssellänge 506, 590 Schlüsselwiederherstellung 526 Schnittstelle, konfigurieren 448 Second-Level-Domäne 33 Secure Socket Layer 500
Stichwortverzeichnis Security Parameter Index siehe AH Sekundär 562 Sekundärer Master-Server 97 Sicherheit, IPSec 285 Sicherheit aushandeln siehe TCP/IP Sicherheits-Hosts 273f. Sicherungsschema 543 Siegel 498 Silent RIP 403, 579 Simple Mail Transport Protocol 470 Simple Network Management Protocol 569 Simulationsfragen 602 SLIP 189 Smart Cards 499, 540 SMTP 470 SNMP 182, 270, 569 – DHCP 165 SOA-Eintrag 48 SPAP 222, 239, 434 Sperrliste 525 SPI 289 SPI siehe AH Split Horizon 396, 457, 637 – mit Poison Reverse 396 SSL 500 Ständige Verbindungen 432 Stammzertifizierungsstelle 502, 539, 550ff. – des Unternehmens 505 – erneuern 515 – installieren 511 – konfigurieren 511 Standard-Gateway 256, 313, 458 Statische Adresse, Server 258 Statische IP-Adressen 177 Statische Route 438 Statische Router 419 Statisches Routing 459 Statistiken 569 Struktur 32 Strukturfragen 608 Stub 460 Subnetting 409 Subnetze 253, 405 Subnetzmaske 177, 253, 313, 318 Supernetting 409 Sylvan Prometric Testing Center 647 Systemmonitor, WINS 361 T T1 319, 488 T3 452
TCP, Portnummern 269 TCP/IP 247f., 573 – Adressen 250 – Bindungen 266 – DNS 262 – Einstellungen 262 – ICS 465 – installieren 257 – IPSec 285 – konfigurieren 258, 260 – optimieren 324 – Paketfilter 246, 268, 574 – Paketfilter erstellen 315 – Paketfilter konfigurieren 269 – PKI 497 – Router 256 – Standard-Gateway 256 – Subnet 253 – testen 315 – WINS 262, 331 Telnet-Server 470 Testlets 600 TFTP 270 TGT, Kerberos 275 TLS 500 Token Ring 247 Top-Level-Domäne, DNS 32 Topologische Datenbank 412, 456 TRACERT 458 Transcript 662 Transitbereich 449 Transport Layer Security 500 Transportmodus, IPSec 300 Tree 32 Triple DES 224 – siehe 3DES Trockentraining 595 Tunneling 574 Tunnelingprotokoll 291 Tunnelmodus 286 – IPSec 300 – konfigurieren 302 U Überwachung, Netzwerkverkehr 278 UDP 476 UDP-Portnummern 270 Überwachen – IPSec 309 – Routing und RAS 217 Überwachen und Verwalten von DNS 84
687
688
Stichwortverzeichnis Überwachung, WINS 357 Unicast 350 – WINS 350 Untergeordnete CA – eines Unternehmens 505 – installieren 506 – konfigurieren 507 V Verbindungsarten, Demand-Dial 431 VeriSign 498 Verschlüsseltes Dateisystem 495 Verschlüsselung 570 Verschlüsselungsalgorithmen, L2TP 292 Verschlüsselungsprotokoll 238 – konfigurieren 224f. Verwalten und Überwachen – DHCP 152 – von RAS 215 Virtual University Enterprises (VUE) 647 Virtuelle Private Netzwerke 273 Virtuelle Schnittstelle, hinzufügen 448 VLSM 408 Vollqualifizierter Domänenname 32, 106 Vorläufige CA 538, 550, 642 VPN 185, 209, 228, 273, 276, 314, 326, 542, 574 – Dienste 230 – erstellen 324 – konfigurieren 210 – L2TP siehe L2TP – PPTP siehe PPTP – Protokolle 231, 240 VUE (Virtual University Enterprises) 647 W Wählen bei Bedarf 424, 581 – Verbindungsarten 431 Wählen bei Bedarf (Demand-Dial)-Routing 424 Wählen bei Bedarf-Routing zulassen 424 Wahlexamen 651 WAN 574 Windows 2000-Track 650 Windows NT 4.0-Track 654 Windows-Ereignisprotokoll 344 WINS 15, 329, 575, 638, 640 – Alterungsintervall 341 – Alterungszeitüberschreitung 342 – B-Knoten 354 – Burstverarbeitung 344
– Clientcomputer 575 – Datenbank 369, 375 – Datenbank sichern 369 – Datenbankeinträge löschen 369 – Datenbankpfad 344 – Datenbankreplikat 369 – Datenbanküberprüfung 342 – DHCP 339 – Einstellungen 341 – Erneuerungsintervall 341 – Erweiterte Einstellungen 344 – Fehlerbeseitigung 351 – H-Knoten 355 – installieren 331, 334, 367 – Intervalle 341 – IPCONFIG 351 – konfigurieren 331, 339 – Leistungsindikatoren 360 – Leistungsüberwachung 361 – LMHOSTS 333, 373 – M-Knoten 355 – MMC 339 – Multicasting 350 – Namensauflösung 353, 355, 375 – NetBIOS 353 – P-Knoten 354 – primärer Server 377 – Proxy 334, 576 – Pull-Replikation 345, 368 – Push-Replikation 345, 368 – Replikation 345, 375, 577 – Replikation konfigurieren 330, 346 – Replikationspartner 347 – Replikationspartner konfigurieren 367 – Server 333, 575 – Server als Replikationspartner 377 – Systemmonitor 361 – Überprüfungsintervall 342 – überwachen 357 – verwalten 357 – Windows-Ereignisprotokoll 344 WINS siehe TCP/IP WINS-Proxy 640 Wiretapping 384, 579 World Wide Web 116 WWW 470 Z Zertifikat 495, 497, 538, 550 – Ablaufdatum 497, 550 – Anforderungen 538
Stichwortverzeichnis – – – – – – – – – –
Anwendername 497 ausgestellte sperren 524 ausstellen 544 ausstellen und sperren 516 erneuern 503, 514, 538 Gültigkeitsdauer 503 implementieren 540 Konten 521 Merkmale 538 Öffentlicher Schlüssel des Anwenders 497 – Seriennummer 497 – Snap-In 517 – sperren 524, 538, 550, 552 – Sperrliste 525 – Überblick 523 Zertifikatsanforderung 519 Zertifikatsdienste 16, 495, 586, 638 – aktualisieren 512 – VeriSign 499 Zertifikatserver 617 Zertifikatserver 1.0 511 Zertifikatsperrliste 525 Zertifizierung 647 – Anforderungen 649 – MCT 661 – Transcript 662
Zertifizierungsserver erstellen 546 Zertifizierungsstelle 502 – Stamm-, eigenständig 590 – übergeordnet 502 – untergeordnet 502 – untergeordnete 590 Zielhost 384 Zone 32 – Forward 61 – für dynamische Aktualisierungen 71 – konfigurieren 49 – Primär 36 – Reverse 61 – Sekundär 36 Zonenalterung 85 Zonenarten – DNS 562 – Primär 562 – Sekundär 562 Zonendatei 110 Zonentransfer 109 Zuweisung, dynamisch 173
689