Microsoft Management Console
Transcription
Microsoft Management Console
mcse2000.pdf 30.03.2001 Microsoft Management Console • Funktion: Zentralisierte Verwaltung; Remote-Verwaltung; verschiedene Konsolen mit unterschiedlicher Funktion lassen sich einrichten. • Vordefinierte Konsolen -Leistungskonsole -Computerverwaltung -Ereignisanzeige Benutzerdefinierte Konsolen --Start--Ausführen > mmc --Snap-Ins einfügen Remote-Verwaltung eines Rechners: --Snap-Ins 'Computer-Verwaltung' und 'Gruppenrichtlinie' -anderen Computer auswählen / angeben -Voraussetzung: Administrator-Berechtigung Konsolenmodi: (--Konsole--Optionen) Autorenmodus Benutzermodus -Vollzugriff -Beschränkter Zugriff (2 Stufen) Speicherung: als *.msc in \System32 z.B. gpedit.msc (Gruppenrichtlinie) compmgmt.msc (Computerverwaltung) Vom Administrator erstellte Konsolen werden standardmäßig unter \Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung gespeichert • • • • • Lösungsweg • • • • • • • • OU 'Finanz' in der Domäne erstellen in 'Finanz' Benutzer erstellen Gruppe 'Manager' in 'Finanz' erstellen Benutzer in Gruppe 'Manager' einfügen Gruppenrichtlinie 'Finanz' erstellen und bearbeiten --Benutzerkonfiguration--Administrative Vorlagen --Desktop 'Symbol Netzwerkumgebung ausblenden' aktivieren --Systemsteuerung eine weitere Gruppenrichtlinie ('Mananger') erstellen und bearbeiten --Benutzerkonfiguration--Administrative Vorlagen --Desktop 'Symbol Netzwerkumgebung ausblenden' deaktivieren Gruppenrichtlinie 'Manager' bekommt Priorität --> nach oben setzen Gruppenrichtlinie 'Manager': --> Authentifizierte Benutzer entfernen (oder Berechtigung entziehen) --> Gruppe 'Manager' hinzufügen und Berechtigung Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 'Lesen' und 'Gruppenichtlinie übernehmen' zuweisen Richtlinienvererbung deaktivieren: Gilt nur zwischen verschiedenen Containern, nicht innerhalb eines Containers. Lokale Anmeldung am Domänencontroller: --OU 'Domain Controllers'--Standard-Gruppenrichtlinie vordefinierte Einstellung: Administratoren; Server-Operatoren; Kontenoperatoren;... Standard-Gruppenrichtlinie für OU 'Domain Controllers' bearbeiten --Computerkonfiguration--Windows-Einstellungen--Sicherheitseinstellungen--Lokale Richtlinie-Zuweisen von Benutzerrechten--> lokal Anmelden Drucken unter Windows 2000 • Begriffe: Drucker Druckgerät > Lokales Druckgerät > Netzwerkdruckgerät > > logischer Drucker, Softwareschnittstelle Hardware Drucker an Druckserver Druckgerät mit eigener Netzwerkkarte (kann auch von einem Druckserver verwaltet werden) • Einstellungen (--Fenster 'Drucker') Drucker--Eigenschaften zusätzliche Treiber für andere Plattformen Anschluß -Druckerpool aktivieren Erweitert -Priorität einstellen (niedrigste = 1, Höchste = 99) Datei-Servereigenschaften Erweiterte Optionen -Pfad zum Spoolordner Druckerpool: 1 logischer Drucker + mehrere Druckgeräte (verwenden den gleichen Treiber) Prioritäten festlegen: mehrere logische Drucker + 1 Druckgerät Netzwerkdruckgerät einrichten: -Lokaler Drucker -Anschluß: Standard TCP/IP Port -Port hinzufügen: IP-Adresse Druckumleitung - Druckgerät an einem Druckserver fällt aus, identisches Druckgerät an einem anderen Drucker ist vorhanden; Neuen Anschluß konfigurieren: --Drucker--Eigenschaften--Anschlüsse--Hinzufügen--Local Port--Anschluß mit UNC-Pfad angeben Drucker an Unix-Server Druckdienste für Unix erforderlich . Beispiel: Drucker an Unix-Server. Win2000-Server installiert Druckdienste für Unix. Richtet Drucker über LPR-Port und UNC-Pfad ein. Freigabe für Win2000-Clients. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 DNS • Funktion: löst 'FQDNs' (Full Qualified Domain Names) in IP-Adressen auf. bill.microsoft.com > bill=HOSTNAME, microsoft.com=DOMAIN NAME DNS kann wahrscheinlich nicht zwischen Host- und Unterdomänennamen (nachlesen!) unterscheiden Struktur des Namensraums "." Stammdomäne -enthalten Rootserver = StammnamensserverS -Verweise auf Root-Server in der Datei Cache.dns (\System32\dns) --Eigenschaften des DNS-Servers--'Hinweise auf das Stammverzeichnis .org; .edu; .com; Länder (.de; ...)usw Top-Level-Domains wan-schulungscenter SGB2000 Untergeordnete Domänen Zonen -Verwaltungseinheit für DNS (Zonendateien werden in einer Datenbankdatei gespeichert) -bestehen aus mindestens einer Domäne oder aus Domäne + Unterdomäne(n) -für jede Zone hat nur ein DNS-Server die Autorität (führt die Master-Zonendatenbank) -sekundärer DNS-Server möglich, bekommt aber nur eine Kopie Zonentypen kann man auch von einem Typ in einen anderen konvertieren. -Active-Directory-integriert (Datenbankdatei wird in Active Directory gespeichert und auf alle DCs einer Domäne repliziert, d.h. nicht auf Unterdomänen) in Prüfungen fast immer die richtige Lösung -Primär (Standard): Datenbank wird als Textdatei in System32\dns gespeichert (*.dns) -Sekundär: Replikat einer bereits vorhandenen Zonendatei (i.allg. einer primären Zone) auch von einer Active-Dirctory-Datenbank möglich -Forward-Lookupzone: Name > IP-Adresse -Reverse-Lookup-Zone: IP-Adresse > Name ( z.B. 5.168.192.in-addr.arpa) (hauptsächlich für Test- und Diagnosezwecke mit Test- und Diagnosezwecke mit NSLOOKUP notwendig) • SOA Ressourceneinträge Start auf Authority (kennzeichnet den DNS-Server und verschiedene Parameter der Zone) NS Nameserver A Adress, Hosteintrag CNAME Canonical Name (Aliasname; Rechner können mehrere Hostnamen haben) PTR Eintrag in der Reverse-Lookup-Zone neu bei Win2000 SRV identifizieren Netzwerkdienste; entsprechen in der Funktion dem 16. Zeichen Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 eines NetBIOS-Namens > z.B. Dienstekennung --Servereigenschaften--Überwachen: • einfache Abfrage rekursive Abfrage Prüf: Rekursive Abfrage ist fehlgeschlagen. Grund: Reverse-Lookup-Zone ist nicht konfiguriert. Unter Win2000: DDNS (Dynamical DNS) konfigurierbar • Rekursive Abfrage: 'Direktabfrage'; Client stellt eine Namensabfrage an einen DNS-Server > Antwort oder >Fehlermeldung keine Verweise auf andere DNS-Server • Iterative Abfrage > / / lokaler DNS-Server ^ | Client Root-Server | v Server für Zone 'com' | v Server für Zone 'microsoft' bill.microsoft.com WINS • • • • • • Auflösung von NetBIOS-Namen in IP-Adressen NetBIOS-Name: 16-byte-Adresse; 15 Zeichen für den Computernamen + 1 Zeichen (hex) für Diensteerkennung, Benutzername... z.B. Computername [20h] = Serverdienst Computername [03h] = Nachrichtendienst früher: Auflösung von NetBIOS-Namen über LMHOSTS-Datei (#PRE #DOM) immer noch Prüf-Thema LMHOSTS.SAM ist nur eine Beispieldatei, die richtige hat keine Endung \system32\drivers\etc (Auflösungsmethode ist abhängig vom Knotentyp B-Knoten Broadcast P-Knoten Point-to-Point (NetBIOS-Nameserver, z.B. WINS-Server wird für die Namensauflösung benutzt) Mixed B+P Hybrid P + B) Dynamische Aktualisierung der Datenbank Für nicht WINS-fähige Clients ist statische Zuordnung möglich Prüf: Wie erstellen Sie für nicht WINS-fähige Clients (Unix) die Namensauflösung? Replikation mit anderen WINS-Servern ist möglich > Push-/ Pull-Replikation Push-Partner : informiert andere WINS-Server über Änderungen in der Datenbank Pull-Partner: fordert Replikation der Datenbankeinträge an, kann zeitlich gesteuert werden (bei NW-Problemen evtl. nachts) DHCP • • • Erweiterung des BOOTP-Protokolls (Remote-Boot) IP-Adressierung und Übergabe weiterer Optionen (z.B. Standard-Gateway, WINS-Server, DNSServer) Anforderung der Clients erfolgen per Broadcast Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Auch immer noch Prüf.-Thema, z.B. DHCP-Relay-Agent für Subnet nötig • Client, der für automatische Zuweisung der IP-Adresse konfiguriert ist: -1. DHCP-Client versucht, einen DHCP-Server zu ermitteln -2. Wenn kein Server gefunden wird, erfolgt die Konfiguration automatisch aus einem reservierten Adressbereich: 169.254.0.0 APIPA Automatic Private IP-Adressing (2^16-2) 255.255.0.0 Ein Client hat folgende Adresse s.o., was für ein Problem liegt vor? > DHCP nicht gefunden, nicht konfiguriert, nicht verfügbar Der Client überprüft, ob ein Adressenkonflikt vorliegt. Wenn das der Fall ist, wird eine Adresse ausgewählt. -3. Nach erfolgreicher Autokonfiguration versucht der Client in 5-Minuten-Abständen, DHCP-Server zu erreichen andere einen • DHCP einrichten -Installieren des DHCP-Dienstes -Server authorisieren -Adressbereich erstellen (evtl. Bereiche ausschliessen) -Optionen konfigurieren (-Adressen reservieren) • DHCP-Relay-Agent --Snap-in 'Routing und RAS' 'Routing und RAS' aktivieren und konfigurieren --Option 'Netzwerkrouter'--IP-Routing--Allgemein--Neues Routingprotokoll--DHCP-Relay- Agent Prüfungsschwerpunkte Server • • • • • • • Datenträgerverwaltung Berechtigungen DFÜ-Verbindungen, RAS Installation, unbeaufsichtigte Installation Problembehandlung Terminalserver, IIS Gruppenrichtlinien, OUs Professional • Hardwaremanagement (Fehlerbehebung) • Authentifizierungsprotokolle (z.B. PAP, EAP), Smartcards • Remote-Installation • Verschlüsselung, Wiederherstellungsagent • Softwareinstallation über Gruppenrichtlinie • Taskplaner • Eingabehilfen Aktualisierung von NT 4.0 auf Win2000 Win 2000 unterstützt das Aktualisieren von NT 3.51 Server, NT 4.0 Server und Vorgängerversionen von Win2000. Aktualisieren von der Server-CD aus: • Autostart oder • WINNT32.exe Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Wichtige Punkte • • • • • Auf DC -> NTFS Als erstes den PDC auf Win2000 aktualisieren Eine Sicherung des Systems is' nich' schlecht Deaktivieren von DHCP und WINS Tabelle S.70 oben einfügen S.73 Nachteile des gemischten Modus Umwandlung gemischter Modus in einheitlichen Modus ist nicht reversibel. Unbeaufsichtigte Installation von WIN2000 S. 85 S. 769ff S. 88 oben Win2000 benutzt eine Antwortdatei z.B. Unattend.txt. Es gibt mehrere Antwortdateien für verschiedene Funktionen: Unattend.txt -- unbeaufsichtigte Installation winnt.sif -bei Installation von Win2000 über ein startfähiges CD-Rom-LW sysprep. inf -- bei Verwendung des Tools Sysprep zur Erstellung eines Datenträgerabbildes Infos zur Unattend.txt: Server-CD \Support\Tools\deploy.cab --> Unattend.doc Datei anfertigen mit Text-Editor oder mit Setup-Manager Distributionsordner min. 313 MB für Server-Installation nötig Installationsverzeichnis, welches auf einem Server angelegt und freigegeben ist und auf den mehrere Computer für die Installation Zugriff haben. können Unterordner enthalten für: -z.B.: nicht-2000-Treiber -Hilfedateien usw. S.98/ 99; S. 771/772 Startfähige CD-Rom: Die Antwortdatei muß WINNT.sif genannt werden. Startparameter richtet sich nach dem Betriebsmodus des zu installierenden Rechners: 16-bit --> WINNT.exe 32-bit --> WINNT32.exe SYSPREP SYSPREP.exe ist ein tool auf der Server-CD. Damit wird ein Abbild meines Systems vorbereitet (inclusive Anwendungen). Tool von Fremdanbieter zum Image-anfertigen nötig. Mit dem Abbild können dann Rechner installiert werden. -Vorsicht bei großen Hardwareunterschieden, --> Konfiguration von Hand nötig. S.771ff Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 SYSPART nur bei 32-bit-Systemen, bei unterschiedlichen S.100/ 101 Cmdlines.txt S.113 Enthält Befehle, die während der GUI-Phase ausgeführt werden sollen. Die Datei wird benutzt, um Anwendungen nach der Installation des BS zu konfigurieren und zu installieren (Kiste fertig machen und Image ziehen, evtl dann nachbessern. lokale/ Domänenbenutzerkonten runas NT 2000 20 chs=Name 14 chs=Pw 256 chs=Name, nur die ersten 20 werden gelesen 128chs=Pw Profile: update= in \profiles Neuinstall. = in Dokumente und Einstellungen .man = verbindlich .rup = roaming user profile Verteilergruppen = Rechte verteilen Sicherheitsgruppen Gruppen: globale = Organisieren lokale = Zuweisen von Rechten universelle = Domänenübergreifendes Organisieren, nur im einheitlichen Modus, geht auch mit Gruppen Gruppenverschachtelung: Gruppen in andere Gruppen einfügen Hauptbenutzer nicht auf DCs vorhanden Gruppenrichtlinien = Nachfolger von poledit " -Objekt: .gpo (.gpt = template; Vorlagen; .gpc = group policy container) kann Verzeichnisstruktur annehmen, kann man so aber nicht ansehen \system32\GroupPolicy Übung 6 S.328 Anwendungsserver IIS zentraler Speicherort für öffentliche Informationen Jede WebSite und FTP-Site muß über ein Basisverweichnis verfügen. Der Basisordner ist der zuentrale Speicherort für die veröffentlichten Seiten. In diesem Basisverzeichnis steht z.B. die Homepage. Standardname: index.html; default.html default.asp index.htm; default.htm Thomas Krause – thomas@krause-it.de - http://www.krause-it.de globalen mcse2000.pdf 30.03.2001 für die Begrüßung und andere Seiten der Website Anschlußkennung, Hostname, Anschlußnummer • IIS 4.0 Website Ordner, hat eine eigene IP-Adresse und Socket-Number. Socket ist eine Protokollkennung für einen bestimmten Knoten im Netzwerk. Webseite Seite im Ordner • IIS 5.0 zuverlässiger als 4.0 und hat eine höhere interne Geschwindigkeit Mehrere Websites mit verschiedenen IP-Adressen, aber einer Socket-Number machbar. Jede Site hat dann eine eigene IP-Adresse. Verschiedene Abteilungen können ihre eigene Site in der Firma haben. Um Sites zu unterscheiden, wird eine dreiteilige eindeutige Kennung benutzt: eine Anschlußnummer eine IP-Adresse einen Hostheadernamen Der Installationsvorgang ist in 2000Server integriert. Verwalten und Konfigurieren mit dem Snap-In Internet-Informationsdienst Win2000Server ermöglicht Administratoren die Verwendung von Autoren und Verwaltungsfunktionen für FrontPage. Frontpage-Servererweiterungen ist ein Snap-In, benötigt z.B. für Abfragen, Unterverzeichnisse, Counter S.681 Auf einem Server für Websites und FTP-Sites müssen für jeden Dienst (www + ftp) eigene Basisverzeichnisse erstellt werden. Standardname: \InetPub\wwwroot \InetPub\ftproot S.693 Anwendungsserver Ein virtuelles Verzeichnis steht noicht im Basisverzeichnis, wird aber im Client -Browser so angezeigt. Ein virtuelles Verzeichnis verfügt über einen Aliasnamen, den der Webserver für den Zugriff verwendet. Dadurch, daß der Admin die Zuweisung von Verzeichnis und Basisordner herstellt, ist ein Alias sicher. Der User kennt den Speicherort nicht. Telnet -Dienst / -Server ausführen open 192.168.1.134 Telnet ist ein Teil von TCP/ IP. Mit Telnet kann man eine Verbindung von einem Telnet-Client zu einem Computer mit Telnet-Dienst herstellen. Es ist möglich, sich an diesem Server anzumelden und auf ihm zu arbeiten (Anwendungen im Textmodus). Max. 63 Telnet-Client Verbindungen werden gleichzeitig unterstützt. Dienst starten -- Ausführen:net start telnet oder "Telnet Server Admin" Ausführen: tlntadmn Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Wenn der Telnet-Admin nicht startet, ist wahrscheinlich das Pack für die Verwaltung (Adminpack.msi) nicht installiert. Durch Änderungen mit dem Telnet-Admin werden Teile der Registrierung geändert (nicht sachgemäße Behandlung kann zu Problemen führen) Terminaldienste Sie ermöglichen Client-Rechnern den Zugriff auf Win2000 und die neuesten Windows-basierten Anwendungen. Sie erlauben eine ortsunabhänge Remoteverwaltung. Man bekommt Zugriff auf Desktop und installierte Anwendungen. Sollte nicht auf einem Anmeldeserver laufen (eher auf einem Rechner, der irgendwo vor sich hindümpelt). Es werden 2 Modi bereitgestellt Remoteverwaltung z.B. Benutzerverwaltung Freigaben Drucker Registrierungsänderungen Verwalten aus der Ferne, z.B. über TCP/ IP Anwendungsserver Anwendungen- können von einem zentralen Ort bereitgestellt werden. Remotezugriff der Clients über WAN oder LAN Anwendungen werden direkt am Terminalserver installiert oder ein Teil über Remoteverbindung am Client. Gruppenrichtlinien oder AD-Dienste können benutzt werden, um Anwendungspakete von WindowsInstaller zu veröffentlichen. Jeder Computer (Clientcomputer) muß sowohl über die Client-Lizensierung für Terminaldienste als auch über die Client-Zugriffslizenz für WIN2000 verfügen. Die Verwaltungstools: • Terminal-Clientinstallation Diskettenerstellung für Terminaldienstsoftware für WfW; Win 9x; NT-Plattformen • Terminaldienstverwaltung Verwaltungstool für alle WIN2000 Server, auf denen Termianldienste laufen Man bekommt Infos z.B. über: Benutzer, Server, Prozesse; man kann Nachrichten senden man kann Prozesse abbrechen über die Funktion Remotesteuerung • Terminaldienstkonfiguration RDP-Einstellungen = Remote Desktop Protokoll Einstellbar sind z.B. Drucker Zwischenablage Zeitüberschreitung LPT Anfangsprogramme nach erfolgreicher Anmeldung Verbindungsverschlüsselung Anmeldungseinstellung • Terminaldienstlizensierung (nur wenn der Anwendungsservermodus aktiviert oder Adminpack.msi installiert ist) S.728 / 729 Speichern und Überwachen der Clientzugriffslizenzen für den Terminalserver unter 2000 (fast wie DHCP) Komponenten der Lizensierung: MS-Clearinghouse: Lizenzserver; Terminalserver; Clientlizenzen Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 -MS-Clearinghouse Datenbank für Aktivieren von Lizenzservern; speichert alle Clientlizenzen der Terminaldienste. -Terminalserver Ein Rechner, auf dem Terminaldienste aktiv sind und laufen. Sollte Power haben und nichts anderes machen (Member- oder Stand-alone-Server). Auch Lizenzserver sollten auch auf einem anderen Server installiert werden. S.730 -Clientlizenzen Jeder Client und Terminal, die mit einem Terminalserver eine Verbindung eingehen, brauchen Lizenzen. Lizenzserver ist nur nötig, wenn man den Anwendungsmodus der Terminaldienste benutzt wird. Er muß mit Microsoft Clearinghouse aktiviert werden, um Lizenzen laden zu können. Domänenlizenzserver: im gemischter Modus nötig Unternehmenslizenzserver: für reine 2000-Umgebung S.730 DFS Verteiltes Dateisystem Distributed File System Vereinfacht den Zugang zu freigegebenen Ordnern im Netzwerk. DFS ist ein logisches Dateisystem und organisiert Freigaben (Ordner) im Netzwerk so zusammen, daß nur ein einziger Referenzpunkt (Stamm) dargestellt wird. Unter dem Stamm werden DFS-Verknüpfungen angelegt. Der physikalische Speicherort muß dem Benutzer nicht bekannt sein. S.176ff • Eigenständiger DFS-Stamm Eine Ebene an DFS-Verknüpfungen. Keine Replikation, keine Sicherung. Verwendet kein AD. Kann auf FAT installiert werden, besser NTFS. • Domänen- DFS-Stamm AD wird verwendet. Stämme von mehreren Servern können zusammengefügt werden. Replikation wird durchgeführt. Alternative Verbindungen zu Ressourcen werden gesucht. Ein fehlertolerantes System auf NTFS 5.0. FRS File Replication Service S.188ff NTFS-Berechtigungen sh. Kopien RRAS Routing > Verbinden von Netzwerken + RAS > Remotezugriff auf Netzwerke MPR = Multiprotokollrouter, 2000 kann IP/ IPX/ Apple Talk gleichzeitig routen VPN = Virtual Private Network, Computer können sich über eine verschlüsselte Internet-Verbindung so verhalten wie in einem privaten Netzwerk. PPTP = Point-to-Point Tunneling Protokoll Weiterentwicklung von PPP Sichere Datenverbindung über TCP/ IP von MS entwickelt für VPNs L2TP = Layer 2 Tunneling Protocol wie PPTP, nur keine Händlerspezifische Verschlüsselungstechnik Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 • RAS-Server Bereitstellung von RAS-Verbindungen mit DFÜ- oder VPN- RAS-Clients mit den Protokollen IP / IPX / NetBEUI und AppleTalk. RRAS wird im deaktivierten Status installiert. Zur "Aktivierung" und Konfiguration wird ein Snap-In benutzt. Jeder Intranet-Computer mit einem RAS-Server sollte eine private IP-Adresse haben: 10.0.0.0 - 10.255.255.255 Klasse A 172.16.0.0 - 172.31.255.255 Klasse B 192.168.0.0 - 192.168.255.255 Klasse C durch IANA vergeben S.445 Authentifizierung: das Bestätigen von Anmeldeinformationen, die in Textform oder verschlüsselter Form zwischen Server und Client ausgetauscht werden. Autorisierung: ist die Bestätigung, daß der Verbindungsversuch zugelassen wurde. -Unicast IP Adresse die einen bestimmten eindeutigen globalen Host definiert. Eine bidirektionale Verbindung zwischen zwei Rechnern zum Datenaustausch. IP-Routing Ein oder mehrere Rechner leiten die Pakete zwischen einer bidirektionalen PPP-Verbindung -IP Multicast Mehrfachvorstellung einer IP-Adresse -AppleTalk Win2000 routet AppleTalk-Pakete. Apple-Netzwerke können mit MS-Netzwerken verbunden werden. Ein Apple-Client kann über DFÜ-Remoteverbindung zu 2000 herstellen. -RADIUS-Clientserver Eingehende Verbindungen werden überprüft und verwaltet. Gruppen können mit Rechten versehen werden. Für große Netzwerke zum einfacheren Verwalten. Protokolle von Drittanbietern können genutzt werden. VPN-Server: Teil eines RAS-Servers, Protokolle: PPTP, L2TP über IPSec -Remotezugriff Zugriff auf Ressourcen eines Rechners oder Netzwerkes über einen RAS-Server. Zugriff über DFÜ-Remotezugriff > Telefonnetz oder VPN-Remotezugriff > IP-Netzwerk nötig: • Client: 2000, Win9x, WfW, Apple, MS-DOS, NT, Unix, LAN-Manager nicht: SLIP (Vorgänger von PPP), OS/2 Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 • WAN-Infrastruktur: PSTN = analoge Telefonleitung In Zusammenarbeit mit Modems oder Modembänken wird der Zugriff hergestellt mit 33,6 bit/s V.90 (digital) = T-Carrier oder ISDN, 33,6 kbit/s senden, 56 kbit/s empfangen, Modem über digitale Leitung Zwischen Client und RAS-Server darf keine Datenkonvertierung von digital in analog stattfinden ISDN = Digitaler Ersatz für PSTN mehrere Kanäle mit 64 kbit/s normale ISDN-Karte: 2 x 64Kbit/s ; max 23 x 64 X.25 = Internationaler Standard zum Senden von Daten über öffentliche Paketvermittlungsnetzwerke. ATM über ADSL = höhere Bitrate. 64 kbit/s empfangen, 1544 Mbit/s senden Standardeinsatz im Internet. Kann als Ethernet oder DFÜ-Schnittstelle zum Einsatz kommen. S.373 Bei Verwendung von ATM über ADSL werden die LAN-Protokollpakete über (mit) ATM gesandt. RRAS -- Routing ist der kleinere Bereich, relativ wenig Aufwand. RAS überwiegt. Datenverschlüsselung Verschlüsselung der Daten zwischen Client und Server. Die Datenbverschlüssselung basiert auf einem geheimen Schlüssel, der bei der Benutzerauthentifizierung generiert wird. Man kann die Verschlüsselung zwingend machen. MPPE -- 40 / 56 / 128 bit • Server VPN S. 480ff Eine Erweiterung eines privaten Netzwerks, die eine gekapselte, verschlüsselte und authentifizierte Verbindung über gemeinsame oder öffentliche Netzwerke herstellen. Der Benutzer stellt aus seiner Sicht eine Punkt-zu-Punkt-Verbindung her. Das überbrückende Verbundnetzwerk ist uninteressant! Die Einwahl wird über den lokalen ISP hergestellt und dadurch eine VPN-Verbindung zwischen DFÜ-Benutzern und dem VPN-Server der Firma geschaffen. -Es müssen eigene Leitungen zwischen den Firmen und den lokalen ISPs bestehen. -Der VPN-Server muß täglich 24 Stunden eingehenden VPN-Verkehr abrufen können. Nur wer über richtige Anmeldeoptionen verfügt, kann auf Ressourcen des Netzes an einem VPN-Server zugreifen. || VPN-Server sind keine Router || Das Tunneling bewirkt, daß Datenpakete einen zusätzlichen Header (Kopfteil) bekommen, der Infos über Routingeigenschaften beinhaltet. Dieser Header wird erst am Ziel vom Datenpaket entbunden. Der Datenpfad wird "Tunnel" genannt. Um einen Tunnel aufbauen zu können, müssen die gleichen Tunnelingprotokolle benutzt werden, z.B. PPTP oder L2TP. Tunnelarten: • Freiwilliger Tunnel Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Der Client erstellt einen Tunnel zum Zielserver und braucht dafür ein Tunnelingprotokoll. Der Client hat die Möglichkeit direkt eine Verbindung mit Hilfe vom ISP zum Transitverbundnetz (Internet) herzustellen. • Erzwungener Tunnel Hierbei ist der Client kein direkter Endpunkt, sondern es ist ein anderer Rechner der Tunnelclient. Das TProtokoll muß somit nicht auf jedem Client installiert werden. Der Tunnelclient wird auch Zugriffskonzentrator genannt. -statisch -automatisch alle Einwahlclients werden über einen Tunnel mit einem bestimmten Tunnelserver verbunden -bereichsbasierend Der Tunnelserver wird durch einen Bereich im Benutzernamen z.B. mr.rick@HIF.de (Bereich = Domänenname) festgelegt. Anderer Bereich = anderer Tunnel -dynamisch Beim Zugriff auf den Zugriffskonzentrator wird die Wahl des Tunnelzielortes für den Benutzer neu getroffen. Kerberos sh. Kopie + S. 540ff Bei Kerberos wird die Identität des Benutzers durch eine Drittpartei festgestellt (Kerberos). Kerberos ist der Standardsicherheitsanbieter von Win2000. Auf jedem Domänencontroller muß der Kerberosdienst laufen. Kerberos muß auch auf allen anderen Rechnern in einem Netz installiert sein. Unterstützung auch für Win95. Wenn Kerberos benutzt wird, wird die Identität auf einem Server (KDC) überprüft, der dann eine Bestätigung (Ticket) ausspricht. Mit dem Ticket bekommt der Benutzer dann Zugriff z.B. am Zielserver. In einem Ticket ist folgendes enthalten: z.B. -Sitzungsschlüssel -Name des Benutzers -Ablaufzeit des Tickets -zusätzliche Einstellungen Ein Leistungsmerkmal von Kerberos: Kerberosclients von anderen Plattformen wie UNIX können über 2000 authentifiziert werden. Netzwerk-Infrastruktur NW-Dienste im Überblick DNS Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 DHCP WINS Routing+ RAS NAT Zertifizierungsdienste • DNS -Nachfolger von HOSTS und LMHOSTS -ordnet IP-Adressen Namen zu (Host+Domänen) -statisches Verfahren (NetBIOS-Name=16 Zeichen, Hostname=256 Zeichen) • DHCP -dynamische Zuweisung von IP-Adressen (laut MS standardmäßig zu verwenden) -Übermittlung anderer Informationen (Zuweisung von Multicast-Adressen, statistische Daten usw.) • WINS -dynamisches Verfahren, Vorgänger von DDNS -macht Sinn bei älteren Clients oder sehr viel Änderungen im Netzwerk -WINS-Proxy nötig bei verschiedenen Subnetzen • RAS -DFÜ-RAS-Verbindung (Virtual Circuit, VC) -RAS über VPN Tunneling Virtuelle Point-to-Point-Verbindung (im Gegensatz zu PPP und SLIP) Protokolle: PPP SLIP (Legacy RAS) > nur Clients, nicht Server MS-RAS Protocol (=ASY BEUI) • NAT Network Adress Translation Von innen nach draußen. Normalerweise sind Privatadressen des Intranets nicht routbar. Ein NAT-Server kann mehrere IntranetRechner mit dem Internet verbinden. Schreibt eine log-Datei, um Antworten aus dem Internet zuzuordnen und weiterzuleiten. Dynamische Verwaltung (der IP wird zum Wiederauffinden noch ein Port zugordnet. Reverse-NAT: von außen nach innen. Ist ähnlich einem internen Port-Mapper, Win2000 muß den internen Port wissen, z.B. 21 für FTP-Server. SOHO-NW (Small Office/ Home Office): statt Standleitung für kleine Betriebe oder Privat mit einem NATServer. • Zertifizierungsdienste -betrifft Sicherheit -vergleichbar mit Ausweispapieren (ID-Dateien), MS spricht von CAs. Name, z.B. ATI Geb.-Datum Rev.Nr. Gültigkeit 2005 Verweis auf neue Info CAs Unterschrift ID, Signatur der CA Vorsicht mit manchen Remote-Tools wie PCAnywhere, meist nur Neuinstallation möglich. Interne und externe Zertifizierungsstellen (Grundpaket ist enthalten) Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Anwendung: sichere e-mail, Sicherheit zwischen Web-Client und Web-Server (e-commerce, Onlinebanking u.ä.) BS-Überblick Win2000 Professional Server Advanced ServerDatacenter Server min CPU P 133 MHZ P 133-166MHZ P 500MHZ P 500MHZ RAM 32-64MB bis 512MB 128MB 256MB 512MB bis 60GB HD 2GB 2GB >2GB >10GB SMP: CPUs 1-2 4 8 32 Protokolle unter Win2000 Überlegung: welche LAN-Protokolle muß ich anwenden? Welche WAN-Protokolle? • TCP/IP -Kernprotokolle von Win2000. -routbar, Sicherheit (IPSec, Filtering) neue Begriffe: -Empfangsfenster: es wird nicht jedes Paket einzeln bestätigt, kann auch dynamisch vergrößert oder verkleinert werden. -Selektive Bestätigungen: einzelne Pakete können neu angefordert werden, wenn nicht i.O. -Schätzung der Umlaufzeiten (RTT = Round Trip Time), früheres TTL wurde einfach nur festgelegt. -IP-Sicherheit (IPSec): Einstellung unter --Eigenschaften von TCP/IP--Erweitert--Optionen--Eigenschaften von IP-Sicherheit -in der IP-Schicht ist mit Paket und Datagramm das gleiche gemeint. -GQoS = Genenric Quality of Service • DLC • IrDA Extreme Subnetting NT 4 wiederholen, um wieder reinzukommen. Standarddienstprogramme unter Win2000 (TCP/IP) Telnet: Schnittstelle, hauptsächlich für UNIX-Clients FTP HTTP CIFS: Common Internet File System L2TP: Kombination aus PPTP (Tunnelprotokoll) und L2F (Protokoll für DFÜ-Zugangsserver). LPR: auf Windows-Client, will auf Unix-Drucker drucken LPD: auf Windows-Server, soll Druckserver mächen (Line Printing Daemon) LPQ: auf Unix-Rechner, zum Anzeigen der Drucker-Warteschlange Ping, ipconfig, tracert, nslookup, netstat, nbtstat Multicast-Adresse: IP wird von mehreren Gruppenmitgliedern geteilt. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Unterschied: PPP ist verbindungsorientiert, SLIP nicht. Legacy-Umgebung bedeutet gemischter Modus (ältere Rechner/ Betriebssysteme) Bytestromkommunikation: Große Datenmengen wird gesplittet in kleinere Datenmengen (TCP) WAN-Verbindungen bekommen eine Netzwerk-ID, Routerschnittstellen nicht. Schnittstellenmetrik: für Diagnose- und Statistikzwecke, Änderung der Metrik-Werte ändert die Ergebnisse in den .log-Dateien. APIPA Automatic Private IP-Adressing 169.254.0.1 bis 169.254.255.254 wird einem Client unter Win2000 zugewiesen, wenn keine Konfiguration verfügbar ist. Subnetmask ist 255.255.0.0 ping-Befehl geht nicht auszuführen -->Neuinstallation des Rechners nötig Backbone = Aorta des Netzwerkes IP-Filter --Eigenschaften von TCP/IP--Erweitert--Optionen--TCP/IP-Filter Man kann nur einzelne Ports zulassen. Alle anderen Ports sind für das ganze Netzwerk gesperrt. So kann man beispielsweise die Benutzung des Messengers verhindern. Allerdings kann man die Benutzung dann auch nicht mehr für einzelne User freigeben. Routing Router sind sowohl logische als auch physikalische Gateways. statisches Routing: manuelle Leitwegeinträge werden erstellt Hilfsprogramm route route add -p Verkehr immer über diese Route, auch nach Neustart route print zeigt die Routing-Tabelle an route -f deltree für Routing-Tabelle S.51 weitere Befehle dynamisches Routing: Protokolle nötig (RIP, OSPF) Änderungen werden an andere Router weitergegeben Backbone = Aorta des Netzwerkes Router entspricht einem Rechner mit einem Haufen Netzwerkkarten ABR-Router = Area Border Router, verbindet Backbone mit einem Netzwerk NWLink wird als Protokoll betitelt, hat aber die Funktion eines Dienstes. DSMT Directory Services Migration Tool, Übernehmen von einzelnen oder mehreren Informationen aus Novell-Rechnern. • S.63 Architektur IPX verbindungslos Paket SPX verbindungsorientiert 576 byte SPXII verbindungsorientiert 1518 byte Netzwerkmonitor Systemmonitor Netzwerkmonitor lokal lokal + LANweit Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Echtzeit Prozessor usw. überwachen: Broadcastrahmen Multicastrahmen Nw-Auslastung Gesamtzahl der empfangenen Bytes/s Gesamtzahl der empfangenen Rahmen/s Active Directory Active Directory = (relationale) Datenbank = "Verzeichnis" X500 + LDAP + DNS = Active Directory enthält Objekte Eigenschaften Werte Benutzer mit ACL, siehe unten Telefonnummer 0471666554456 Schema enthält Regeln Replikationsdienst sorgt für aktuelle Daten Global Catalog Alle Informationen zu allen Objekten.Man meldet sich jetzt nicht mehr an einem Anmeldeserver an, sondern in einer Struktur (über die Verzeichnisdatenbank). Sicherheitskonzept Policies, ACL (Access Control List, Zugriffssteuerungsliste), jedes Objekt hat eine ACL (wer darf was mit diesem Objekt machen?) • Man kann AD über LDAP oder HTTP verwalten. Der Zugriff auf Ressourcen kann über FQDN oder IP-Adresse erfolgen. • Distinguished Name (unterscheidbarer Name) JMeyer.59.PeterLorenzStrasse.Berlin.de • LDAP-DN (Distinguished Name) CN=JMeyer;OU=59;OU=PeterLorenzStrasse;DC=Berlin;DC=De CN = Common Name = JMeyer = kleinste Einheit = Leaf Object, man kann kein anderes Objekt darin anlegen OU = Organisational Unit = 59 = kann andere OUs oder Leaf-Objekte enthalten OU = PeterLorenzStrasse DC = Domain Component = Berlin DC = de • LDAP-RDN (Relative Distinguished Name) Relativ zum aktuellen Kontext, wie das Arbeiten in reinen DOS-Verzeichnissen. Hängt vom Ausgangsstandpunkt ab. Es kann mehrere Objekte mit dem gleichen relativen Namen geben, aber nur einen mit dem gleichen DN. LDAP-URL (uniform ressource locator) LDAP://Data.Berlin.de/CN=JMeyer,OU=59,OU=PeterLorenzStrasse,DC=Berlin,DC=de Data ist hier der LDAP-Server. UPN (User Principal Name) JMeyer@Berlin.de JMeyer= Domänenpräfix, Berlin.de = Domänensuffix Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Voraussetzungen: LDAP-Client, Win2000, Win9x, AD-Client dafür benutzen: LDAP, IE oder NN Domäne | Logische Einheit > AD Administration | Verwaltungseinheit BENUTZER GRUPPEN NETZWERKDIENSTE COMPUTER RESSOURCEN FREIGEGEBENE Active Directory ist geeignet für -Skalierbarkeit -Sicherheit -Verwaltung -Zugang • Rollen bei der Replikation innerhalb einer Win2000-Struktur FSMO (Flexible/ Single/ Master/ Operation) -Schema-Master ist für die Regeln zuständig. Hat eine Schablone und verteilt diese. Bei Ausfall können keine Änderungen an AD vorgenommen werden. Solange läuft alles weiter. Die Rolle kann man auf einen anderen Rechner verschieben, der alte Schema-Master muss jedoch neu installiert werden. -Domain-Names-Master -RID-Poolmaster Relative IDs werden zugewiesen -Infrastruktur-Master Locations verwalten, z.B. Verschieben eines Rechners -PDC-Emulator in gemischter Umgebung OU (Organisational Unit) ist ein AD-Objekt (Container) Anzahl der Vertrauensstellungen n = Anzahl der Domänen NT: n * (n - 1) Win2000: n-1 bei 5 Domänen: NT = 20; Win2000 = 4 Vertrauensstellungen Forest sind mehrere zusammengefasste Bäume mit unterschiedlichen Namensräumen. Der höchste Punkt des forests gibt den Namen. Dem höchsten Baum müssen alle anderen Bäume vertrauen. Es gibt nur einen Global Catalog. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Übergeordnete Domäne = Parent, Untergeordnete Domäne = Child Standort Subnetze - verbunden über Verbindungen mit hoher Bandbreite • X500- Standard Ziel: schneller Datenzugriff ist auch hierarchisch aufgebaut, mit anderen Strukturnamen. Benutzerinformationsmodell Administratorinformationsmodell ACL DSAinformationsmodell Directory System Agents DIB Directory Information Base -Objekte enthält Attribute und Werte -Untereinträge -Alias DIT Directory Information Tree -tiefe Struktur für große Datenmengen Root | C ountry | O rganisation | Computer (Objekt) • WINS / DNS / DHCP Primärer und sekundärer WINS-Server haben die gleiche Funktionalität. (Können gegenseitig als primärer Server des anderen konfiguriert sein. Ein WINS-Server kann für ein Netz der Primäre sein, für ein anderes Netz der Sekundäre.) Nochmal ansehen: -B-Knoten -H-Knoten erst WINS, dann Broadcast: Can We Buy Large Hard Disks -M-Knoten erst Broadcast DNS - Zonen: -Primäre -Sekundäre -Active Directory-basierte Zone DNS-Server-Typen: -Primärer DNS-Server -Sekundärer DNS-Server -Cache-Only-Server ist bei den ersten beiden enthalten -Forwarder kann bei den ersten beiden auch mit eingerichtet werden Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 In jeder Zone muss standardmässig ein primärer und ein sekundärer DNS-Server vorhanden sein. (muss laut interNIC beim Beantragen einer öffentlichen IP sogar so eingerichtet sein) Die Zonendatendatei kann nur auf dem primären Server geändert werden. Sekundären Server heraufstufen = "Promotion". Nicht-Forwarder = "Slave" Namensauflösung: Resolver: Client-Cashing - Lokaler Cache DNS Server-Cashing Zoneninformationen Rekursive Ermittlung (anderer DNS-Server) "Mein" Server fragt der Reihe nach (von root nach unten) die DNS-ServerKollegen und gibt dem Client das Ergebnis seiner Rundreise bekannt oder iterative Ermittlung (Client fragt anderen DNS-Server selbst) Der Client kämpft sich selber durch (von unten nach root und wieder nach unten) mit den Verweisen auf andere DNS-Server Standardmässig sind alle DNS-Server und Clients für Rekursive Abfrage konfiguriert. DNS statisch Änderungen per Hand DDNS dynamisch Erweiterung des DNS-Dienstes funktioniert erstmal nur innerhalb Win2000 bei AD: Zone = Container = OU System > Microsoft.dns das Objekt heisst immer so, wie die Zone nur auf DC • DHCP Keine Konfigurationsfehler 030 Router 044 + 046 WINS usw. wird auch automatisch übermittelt DHCP-Discover Client > DHCP-Server > Anforderung IP-LEASE (IP-Leaseerkennung) > (Client brüllt ins Netz, 0.0.0.0 Quelladresse 255.255.255.255 Zieladresse 9, 13, 16 Sekunden, alle 5 Minuten, sonst APIPA (169.254.x.y) | Initialisierung IP-Leaseprozess | DHCP-Offer IP-Leaseangebot vom DHCP-Server: MAC-Adresse des Clients, IP-Adresse, SN-Mask, Gültigkeit der Lease, IP-Adresse des Servers | IP-Leaseanforderung (Danke, hab ich) | DHCP-Request (Habe Adresse angenommen, könnte alle anderen zurücknehmen) | Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 DHCP-Pack, IP-Leasebestätigung vom Server (Gut, kannst anfangen) DHCPNACK vom Server, wenn etwas nicht stimmt Bei verschiedenen Subnetzen: Hardwarerouter müssen BOOTP-fähig sein, Computer als Router müssen den DHCP-Relay-Agenten installiert haben. IPs sollten nicht doppelt von DHCP-Servern vergeben werden können (Pools 75 / 25% verteilen) • AD Planung 1. Logische und physische Umgebungsstruktur 2. Verwaltung dafür 3. Domänenanforderung 4. Domänenorganisationsbedarf DNS Namespace, interner wie externer Namespace? • Installation von AD Bei den ersten Releases musste erst DNS installiert werden, bevor man AD installieren konnte. Kann man jetzt gleichzeitig machen. dcpromo = Assistent Schemamaster Domänennamensmaster Relative ID-Master (RID-M) PDC-Emulator Infrastrukturmaster beide nur 1x pro Struktur, muss eindeutig festgelegt werden diese drei dürfen nur 1x pro Domäne vorhanden sein movetree.exe (supporttools) verschiebt Benutzer. PDC-Emulator ist auch in reiner 2000-Umgebung vorhanden, macht z.B. Passwortänderungen. Der erste 2000-DC bekommt automatisch alle fünf Rollen. Ausgefallener Betriebsmaster: Empfehlung von MS: Formatieren und neu installieren. -Beim ersten DC darf in der Netzwerkkonfiguration kein anderer DNS-Server eingetragen sein (automatisch wird dann die Loopback-Adresse eingetragen). -Durch unterschiedliche Namensauflösung gab es Probleme beim Installieren von AD. Die neu eingerichteten Domänennamen ("bank3.de") konnten nicht aufgelöst werden. Lösung: Nur "bank3" eingeben. -Keine Berechtigung: Zum Installieren von AD ist das Administratorkonto des ersten DCs nötig. Lokaler Administrator funktioniert nicht. -Nach Einrichtung von AD kommen die Rechner nicht ins Netz. Lösung: Zumindest beim ersten DC in der Domäne muss im DNS-Server die root "." gelöscht werden. Dann kann man bei den DNS-ServerEigenschaften die Weiterleitung aktivieren. Und funz. Eine DNS-Zone muss nicht mit Domänen übereinstimmen. Bei Eigenschaften einer Zone, z.B. von bank3.de, kann man Zonenübertragung zu einem anderen DNSServer aktivieren. Zonenübertragungen sollen nur zwischen sekundären DNS-Servern erfolgen, um die Primären zu entlasten. Ein sekundärer DNS-Server, der Zonendaten überträgt, heisst Masterserver. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Jetzt: inkrementale Zonendatenübertragung (nur Änderungen) statt kompletter Übertragung früher. DNS-Fehlerbehebung: Buch S.180 • Standorte einrichten Active Directory-Standorte und -Dienste Standorte = Sites Neue Standorte einrichten Inter-Site Transports = Standortverknüpfung Standorte verbinden Sites -- Standardname-des-ersten-Standortes -- License Site Settings = Lizenzserver einrichten Bridgeheadserver zur Verbindung von Standorten mit langsamen bzw. teueren Verbindungen einrichten. • Benutzerkonten Domänenbenutzer melden sich nicht mehr am Rechner an, sondern an der Struktur (AD). Lokale Benutzerkonten: Domänen-Benutzerkonten: Ressourcen des lokalen PCs Lokale Sicherheitsdatenbank Netzwerkressourcen Zugriffstoken erstellen auf DC Integrierte Benutzerkonten: Administrator, Gast, (wenn IIS installiert ist: IUSR_Name, IWAM Name) (für Terminaldienst: TSInternetUser), krbtgt (Benutzerkonto als Dienst, für Zertifikatsdienste) 20 Zeichen erkennt Win2000 beim Benutzernamen (am besten immer klein schreiben). Empfehlung bei Passwortlänge 8 Zeichen, max 14 Zeichen. Verteilergruppen werden verwandt für Angelegenheiten, die nicht mit Sicherheit zusammenhängen, z.B. e-mail-Verteiler. Die Programme müssen mit Active Directory zusammenarbeiten können. Sicherheit Verteilung globale Gruppen allgemeine Aufgabenbereiche (stammen aus einer Domäne) (haben Zugriff auf Ress. anderer Dom.) domänenübergreifende lokale Gruppen Freigegebene Ressourcen (stammen aus mehreren Domänen) Verwaltung (hat Zugriff auf Ress. einer Domäne) (in der Domäne mit den Ress. erstellen) universelle Gruppen (stammen aus allen Domänen) (können Ress. aller Domänen nutzen) (nur im einheitlichen Modus) Resourcen in mehr in einer Domäne Benutzer in globale Gruppen einordnen, die dann in lokale Gruppen eingefügt werden. Globale in unverselle, Rechte auf universelle Gruppen vergeben. Verschachtelungen möglichst minimieren. globale Gruppen (Standard), 4 Stück: Domänen-Admins -Gäste, -Benutzer, Organisations-Admins Prüf: aus dem Text erlesen, um welche Gruppen es geht Domänen + lokale Gruppen = Domänenübergreifende lokale Gruppen Benutzer = gemischter Modus Benutzerkonten = einheitlicher Modus Standardgruppen, -konten und deren Beschreibung sollte man wissen. (User und Gruppen in AD ansehen. Gruppen erhalten auch eine SID. Gruppe gelöscht und neu erstellt: Berechtigungen werden nicht erhalten. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Gruppe gelöscht: Benutzer bleiben erhalten. Die Gruppe "Jeder" gab es nur bei NT 3.51 und 4.0. Hauptbenutzer gibt es nur als lokale Gruppe. • NTFS, Freigaben, DFS • NTFS ACLs / ACEs Dateiberechtigungen vor Ordnerberechtigungen Verweigerung vor Gewährung Standardmässig Vererbung von Berechtigungen auf Unterordner Novell: erst mal keine Berechtigung, muss man hinzufügen MS: erst mal alle Berechtigungen, muss man einschränken Beim Verschieben einer Datei innerhalb einer Partition bleibt diese physikalisch am selben Ort, nur der Pfad wird geändert. Weil die Datei selber nicht neu geschrieben wird, bleiben nur in diesem Fall die Berechtigungen erhalten. Freigaben: Lw C:\ = C$ Admin$ = %Systemroot% (\WINNT) Print$ = %Systemroot%\System32\Spool\Drivers • Verwalten von AD Verschieben von Objekten innerhalb einer Domäne mit AD-Snap-Ins. movetree zum Verschieben von Objekten zwischen Domänen verwenden (in einer Gesamtstruktur). Syntax: über cmd "movetree" eingeben, zeigt Optionen an. movetree /start /check Test durchführen, Ggs. /startnocheck Beim Verschieben von Gruppen zwischen Domänen müssen die Gruppen leer sein (wegen GUID = Global User ID). Die User kann man anschliessend wieder hineinverschieben. SID-History (nur in reiner 2000-Umgebung) sorgt dafür, dass Eigenschaften und Attribute nicht verlorengehen. Aus SID2 lässt sich auf SID1 schliessen. Verschieben ist fehlschlagen: Grund z.B. Gleicher Name Andere Kennwortbeschränkungen (unterschiedliche Regeln) Globale Gruppen nicht verschiebbarer vordefinierte OU wie "Lost and found" • Backup AD kann mit dem Windows Backup-Programm sichern oder über F8 beim Starten wiederherstellen. Nichtautorisierende Wiederherstellung: Replizierung erfolgt durch andere DCs, um einen aktuellen Status zu erreichen. Autorisierende Wiederherstellung: meine Wiederherstellung überschreibt die anderen DCs. Vor einer Authorisierenden Wiederherstellung muss immer erst eine nichtauthorisiernde Wiederherstellung über Backup vorausgehen. Ausführen: ntdsutil authoritative restore restore database Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 oder restore subtree OU=xxx,OUxxx,DC=xxx,DC=xxx • GPO Group Policies Objects Gruppenrichtlinenobjekte -Konfigurationseinstellungen für Computer Benutzer Standorte Domänen OUs lokale GPOs nicht lokale GPOs (AD), überschreiben lokale GPOs Gruppenrichtlinien für Win95 /98 oder NT müssen jeweils mit den dort enthaltenen Tools erstellt werden, nicht mit Win2000. Bei Win2000 muss man zum Verwalten von Gruppenrichtlinien das adminpack.msi (-Systemsteuerung--Software) installiert haben. Standardmässig wird zuerst die Computerkonfiguration abgearbeitet, dann die Benutzerkonfiguration. Computerpolicy steht in HKEY_LOCAL_MACHINE. Benutzerpolicy steht in HKEY_CURRENT_USER. POST Speicher Bootplatte BS Netzwerk RPC MUP Multiple Universal Naming Convention Provider (Dienstaufrufanbieter) Liste GPOs Computer Standort Änderungen in der Reihenfolge der Abarbeitung? Verarbeitung der Konfigurationseinstellungen lokale für Computer (keine Benutzeroberfläche) Standort Domäne OUs Scripte STRG+ALT+ENTF Login Account / Password Domäne Benutzerprofil, von gültiger GPO gesteuert Liste der GPOs Benutzer Standort Änderungen in der Reihenfolge der Abarbeitung? Verarbeitung der Konfigurationseinstellungen lokale für Computer (keine Benutzeroberfläche) Standort Domäne OUs Scripte asynchrone Abarbeitung (nacheinander) Oberfläche Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Man kann für jede Domäne, OU oder Server bei den Eigenschaften die Richtlinienvererbung deaktivieren, ausser man hat unter --Eigenschaften--Gruppenrichtlinien--Optionen "kein Vorrang" eingestellt. Beim Verändern von Standardrichtlinien sollte man vorher eine Kopie davon anfertigen. --Richtlinien für Computer--Computerkonfiguration--Administrative Vorlagen--System--Gruppenrichtlinien-Loopbackverarbeitungsmodus: Einstellungen für Computer, Benutzer und danach nochmal für Computer werden abgearbeitet. -Richtlinientypen Einzelner Nur ein Typ von Einstellungen ist möglich, z.B. Druckerveröffentlichung zulassen Multipler Mehrer Einstellungen sind möglich. Dedizierter Hä? S.491 -Implementierung von GPOs 1. Möglichkeit: Basisrichtlinie für Domäne, spezielle Richtlinie für OUs usw. 2. Möglichkeit: Keine Basisrichtlinie, alle Richtlinien in OUs usw. Anmeldebeschleunigung: In den Eigenschaften eines Gruppenrichtlinienobjekts entweder für Computer oder Benutzer deaktiviert wählen, wenn nicht benötigt. (--OU wählen--Eigenschaften--Gruppenrichtlinien-"Name des Gruppenrichtlinienobjekts"--Eigenschaften--Allgemein) -Verwalten von Software mit GPO Erstmalig Updates Entfernen Typen: Verbindlich = Zuweisen unverbindlich = Veröffentlicht Installer-Komponenten: -Betriebssystemdienst -Windows-Installer-Paket (*.msi) -Anwendungsprogrammierschnittstelle (API) *.msi-Dateien werden normalerweise vom Hersteller geliefert. Für manche Programme kann man sie selber erstellen (soll z.B. für NT4 Terminalserver-Software gehen). *.msp für patches und Service-Packs *.aas Application Assignment Scripts siehe auch Kopie SDP Softwareverteilungspunkt Ordner einrichten und freigeben und die Ordner mit der Software dort einfügen Anwender = lesen, weitere Rechte nur für Administrator. • DFS Distributed File System Sinn: User müssen den Kram nicht auf verschiedenen Servern zusammensuchen. Sieht aus wie ein Ordner, ist aber im Netz verteilt. Beziehen sich auf freigegebene Ordner, die physisch verteilt sind. Die Replikation erfordert NTFS 5 wegen PKT Partition Knowledge Table Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Partitionsinformationstabelle, enthält die Zuordnungsinformationen (Stamm-/ Replikationsknoten im DFS-Namespace = AD-Standorte / Physische Server). Ähnlich FAT. Informationen erhalten auch ein TTL. Client > PKT > \\Server\Ordner DFS-Stamm (Stammreplikat) | |_________DFS-Verknüpfung1 (SVR1) | |_________DFS-Verknüpfung2 (SVR2) Maximale Pfadlänge = 260 Zeichen Maximal 1 DFS-Stamm pro Server Maximal freigegebene Ordner pro DFS-Verknüpfung = 1000 Ordner Maximale Anzahl von Stämmen pro Domäne = unbegrenzt Maximale Anzahl von Replikaten von einem domänenbasierten Satz = 256 2 Typen: Domäne > AD -fehlertolerant Standalone -natürlich nicht PKT.TAB DFS-Pfad DFS #1 Link(Server/Freigabe) UNC#1 Über cmd: oder NET USE *\\Domänenname\DFSStamm\DFSFreigabe\Ordner NET USE *\\Servername\... TTL 5 min Datei-Replikation ist etwas anderes als die AD-Replikation. FRS File Replikation Service Dateireplikationsdienst verteilt Dateien. DFSGUI.MSC + DFSGUI.DLL werden benötigt für die DFS-Verwaltungskonsole. Weitere Dateien, die auftauchen können: NETDFS.ADD NETDFS.ENUM NETDFS.SETINFO Hinzufügen von Verknüpfungen lies DFS-Infos aus füge DFS-Infos hinzu Auf dem Server, der den DFS-Stamm hält läuft der DFS-Dienst. DFSSVC.EXE > NETAPI32.DLL DFS.SYS > Weiterleitung der DFS-Infos an Clients Auf dem Client MUP.SYS (Mehrfacher UNC-Provider) = Redirector, Unterstützung für DFS-Client RDR.SYS Kommunikation zwischen DFS-Server / WIN-basierter Datei Server über SMB-Protokoll NWRDR.sys wie GSNW für Netware für DFS, über NCP-Protokoll • Verwalten der Sicherheitskonfiguration Snap-In Richtlinien für Default Domain Policy -GPO Sicherheitskonfiguration -Sicherheitseinstellungen -Richtlinie für Konten -lokale Richtlinien -Ereignisprotokoll Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 -Eingeschränkte Gruppen -Systemdienste -Registrierung -Dateisystem -Richtlinien für öffentliche Schlüssel -IP-Sicherheitsrichtlinien • Sicherheitsvorlagen Sicherheitsstufen: Standard Kompatibel Basic*.inf BasicDC.inf BasicSV.inf BasicWK.inf Compat*.inf NT CompatWS.inf DCSecurity.inf NT Sicher Secure*.inf Hohe Sicherheit Hisec*.inf Besonders NT (Win98) Notssid.inf Pfad: %Systemroot%\security\templates Wenn man diese Vorlagen verändern will, vorher eine Kopie vom Original speichern! • Sicherheitskonfiguration und -Analyse kann man als Snap-In hinzufügen. Überprüft den lokalen Computer auf Sicherheit, indem er ihn mit einer Vorlage aus dem Pfad oben vergleicht und Unstimmigkeiten markiert. Sinn: Sicherheitslücken im Vergleich zu einer bestimmten Vorlage herausfinden. Vorgehen: Das Snap-In bauen, Eigenschaften von "Sicherheitskonfiguration und -Analyse"--Datenbank öffnen--neuen Namen eingeben--öffnen--eine Vorlage importieren--ok--Eigenschaften von "Sicherheitskonfiguration und -Analyse"--Computer jetzt analysieren--Ergebnisse in den Symbolen links ansehen oder mit--Eigenschaften von "Sicherheitskonfiguration und -Analyse"-Protokolldatei anzeigen die Textform begutachten. Vorsicht: --Eigenschaften von "Sicherheitskonfiguration und -Analyse"--System jetzt konfigurieren würde die Vergleichs-Vorlage auf den Computer jetzt anwenden! • Verwaltung der Active-Directory-Leistung Überwachungsdaten: S.637ff soll irgendwie wichtig sein. -Snap-Ins: Leistungsprotokolle und Warnungen--Leistungsindikatorenprotokolle--Systemübersicht ist eine Protokollierungseinstellung, die nicht gelöscht oder überschrieben werden kann. Man kann nur neue Protokollierungen einrichten. Warnungen werden auch hier erstellt. System Monitor Control kann man unter Active-X-Steuerelemente finden und nur so als Snap-In hinzufügen. Ereignisanzeige: Möglichkeiten ansehen. AD-Replikationsmonitor (Support Tools müssen installiert sein): Server erst einzeln hinzufügen. Rechtsklick auf die einzelnen Server > gibt viel zu sehen. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 AD-Administration Tool (Support Tools müssen installiert sein): LDAP-Verbindung zum Verwalten > weiss der Geier, wie. Befehlszeilen: repadmin Replikationstopologie anzeigen / konfigurieren dsastat sdcheck nltest acldiag zeigt Berechtigungen für ein Objekt • RIS -Server BINL.SVC Boot Information Negotiation Layer (.SVC = Dienste) | v Verwaltung: TFTPD Trivial File Tranfer Protocol Daemon, verbunden mit CIW Client Installation Wizard SIS Single Instance Store, spart Platz auf dem Datenträger RIS-Datenträger mit RiPrep-Abbild oder nur Installationsdateien -Client PXE > DHCP-basierte Boot-Proms NIC > PCI-Karte erforderlich, kein Legacy. RIS-Startdiskette nötig. BIOS > NetPC / PC98-kompatibel Empfohlen: 100 Mbit-Netzwerk oder schneller. Praxis DHCP- und RIS-Server sollten auf dem gleichen Server laufen (Client darf keinen falschen DHCP-Server erwischen) DOS-Namenskonventionen einhalten! Könnte sonst Probleme beim Client geben. -RIS-Clientinstallationsoptionen Automatisch Benutzerdefiniert Neustart eines vorherigen Setups Wartung / Fehlerbehebung Netzwerkinfrastruktur-Administration (Folge 2) • IPSEC Aktivieren: Netzwerk- und DFÜ-Verbindungen--Eigenschaften einer Verbindung--Eigenschaften von TCP/IP--Erweitert--Karte Optionen IPSec nicht verwenden oder IP-Sicherheitsrichtlinie verwenden: Client (nur Antwort) Server (Sicherheit anfordern) Sicherer Server (Sicherheit erforderlich) Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf IPV4 IPV6 30.03.2001 ist optional Standard wird verwendet von Microsoft, Novell (ab 5.x), Cisco SSL, PGP, SMIME IPSec 3.Schicht, OSI-Referenzmodell NW-Schicht, 1.- ?, setzt früher an, ist deshalb besser Struktur: 2 Kernmechanismen alternativ: AH (Authentification Header), authentifiziert den Sender ESP (Encapsulating Security Payload), authentifiziert den Sender, unterstützt zusätzlich Datenverschlüsselung -Standards sind festgelegt in den RFCs 1825 - 1829, 2085, 2104 (festgelegt von IETF) AH HMAC - MD5 (Hash-Message Authentification Code) - (Message Digest 5) HMAC - SHA ( " ) - (Secure Hash Algorithm) ESP DES - CBC (Data Encryption Standard) - (Cipher-Block-Chaining) Es gibt noch mehr, die aber nicht oder noch nicht standardisiert sind. -Keymanagement - Wie wird dem Empfänger der Schlüssel zugänglich gemacht? SA (Security Association) Sitzungsschlüssel IKMP (Internet Key Management Protocol) IKE (Internet Key Exchange) ISAKMP / Oakley (Internet Security Association Key Management Protokoll) Oakley = Organisation, die seit der Entwicklung von TCP/IP die Finger hier drin hat. Steht hier für einen Mechanismus, der während einer Sitzung den Schlüssel wechselt. L2TP+ IPSec = Secure Tunnel -Einrichten: über IP-Sicherheitsrichtlinie (IKMP) Policy-Agent sorgt für für die Durchsetzung der Richtlinien. Deshalb muß nur einmal die Richtlinie festgelegt werden. 1.Richtlinien implementieren 2. Richtlinien konfigurieren 3. Digitale Zertifikate bereitstellen (nicht bei Kerberos-Authentifizierung im LAN) SA: Sitzungsschlüssel kominiert SPI (Security Parameter Index), für jede Richtung ein SA, d.h. 2 SAs für eine Verbindung. Algorithmus für Authentifizierung Schlüssel für Authentifizierung Verschlüsselungs-Algorithmus Schlüssel für die Verschlüsselung Daten für kryptografische Synchronisation Sensibilität der übertragenen Daten (verschiedene Sicherheitsstufen / Prioritäten) TTL für Schlüssel Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 TTL für SA Bei Authentifizierungen gibt es zwei Modi: 1. Transport-Modus Der physische Empfänger entspricht dem inhaltlichen Adressaten -------------------------------------------------------------------------------------------||| Original-IP-Header || Authentification-Header || TCP || Daten ... -------------------------------------------------------------------------------------------2. Tunnel-Modus Pakete gehen erstmal an den Tunnelpartner, der die Daten dann weiterleitet. Paket wird vom physischen Empfänger an den inhaltliche Adressaten weitergeleitet. ----------------------------------------------------------------------------------------||| New IP-Header || AH || Original-IP-Header || TCP || Daten ... ----------------------------------------------------------------------------------------In AH enthalten: Next Header Payload Length Reserved SPI Sequence Number Authentification Data Info über die nachfolgenden "Köpfe" Länge der zu übertragenden Nutzdaten Identifiziert die verwendete SA Replay, wird nur einmal abgearbeitet ICV, ist Prüfsumme nur für den Header, wie CRC am Ende ESP: Im Tunnel-Mode Verhinderung der Verkehrsanalyse (das nennt sich padding). Dadurch läßt sich nicht feststellen, wieviel Daten enthalten sein müßten. Transport-Modus ----------------------------------------------------------------------------------------------------------------------------------||| Original-IP-Header || ESP-Header || TCP || Daten || ESP-Trailer || ESP-Authentification ... ----------------------------------------------------------------------------------------------------------------------------------| Verschlüsselung | | Authentification | Tunnel-Modus -----------------------------------------------------------------------------------------------------------------------------------------||| New IP-Header || ESP-Header || Original-IP-Header || TCP || Daten || ESP-Trailer || ESP-Auth. ------------------------------------------------------------------------------------------------------------------------------------------ Im ESP-Header enthalten: SPI Sequence Number Initialization Vector Identifiziert die verwendete SA Replay, wird nur einmal abgearbeitet DES-CBC-Infos: Ci = i-ter Block des Kryto-Textes Ek = Verschlüsselung mit Schlüssel "k" Pi = i-ter Block des Klartextes iv = Initialisierungsvektor Berechnung: Ci = Ek (( Ci -1) + Pi) Ci = Ek (iv + Pi) Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf cmd ipsecmon 30.03.2001 zum Überwachen von IPSec IPSec-Konfiguration S. 125ff Übungen S. 135ff • WINS Ne BT = NetBIOS over TCP/IP 1.Rechner fährt hoch Broadcast: IP + Name 2.Andere Rechner antworten IP + Name 3.Daten werden im Cache gespeichert >Mapping Den Cache kann man mit NBTSTAT -C einsehen In WINS kann man statisches Mapping für Clients einrichten, die nicht WINS-fähig sind. B-Knoten P-Knoten M-Knoten H-Knoten NodeType 1 >kein WINS-Server im Netz Node Type 2 (-) >mind. 1 WINS-Server im Netz NodeType 4 >1. Broadcast, 2. WINS NodeType 8 >Default, wenn WINS angegeben wurde WINS-Proxy Ein Proxy kann von allem ein bisschen, speichert, verteilt, gatewayt o.ä.. Ist praktisch ein Broadcast-Router für WINS. WINS-Proxy ist nötig für andere Subnetze. siehe auch Windows2000-Hilfe: WINS-Proxy Zum Aktivieren eines WINS-Proxys: Registrierung öffnen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters EnableProxy von 0 auf 1 setzen. Auf dem Proxy muss die IP des WINS-Servers eingetragen werden. Auf den Clients, soweit möglich, muss die Adresse des WINS-Proxys für das entsprechende Segment eingetragen werden. WINS + DNS Server, auf denen DNS eingesetzt ist, nennt man auch Standard-Server WINS-Lookup: Für nicht Standard- Server: Leere Zone erstellen, Eigenschaften der Zone--Karte WINS--WINS-Lookup verwenden aktivieren. Suffix der Zone muss angehängt werden, damit die Einträge gefunden werden. WINS Datenbank: Wins.mdb Einträge in WINS-Datenbank: Records enthält folgende Tupel Hostname, IP, Status, Eigentümer, Diensttype, Ablaufdatum, inkrementierte Versionsnummer Wenn die Datenbank zu gross wird, wird sie automatisch komprimiert. Manuell komprimieren: JETPACK.exe (WINS-Dienst vorher beenden!) Konsistenzprüfung: Zeitintervalle festlegen unter Eigenschaften von WINS-Server. Nicht zu oft, weil jedesmal auch die Clients überprüft werden. WINS-Backup Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Automatisch Manuell WINS vorher beenden WINS-Anmerkungen tumbstone = marker oder flag = Eintrag wird zum Löschen markiert Zweck: Wenn man einen Eintrag sofort physikalisch löscht, sind sie beim nächsten Abgleich mehrerer Server evtl. wieder da. Minusbites kann man nicht übertragen. Stattdessen wird ein tumbstone übertragen und auf allen Servern auf den Eintrag gesetzt. Zum festgelegten Zeitpunkt wird der Eintrag auf allen Servern gleichzeitig gelöscht. WINS-Server im gleichen Subnetz finden sich automatisch, kann man auch angeben. Parallele Definition: Partner1 Partner2 Pull 13:00 Push Pull Push 13:00 Beim ersten Mal wird alles übertragen, dann nur noch inkrementell. Burst Handling: schnelle Bearbeitung von WINS-Clientanforderungen bei hoher Serverauslastung. Siehe Windows-Hilfe zu Burstverarbeitung. Einstellen: --Verwaltung--WINS--Eigenschaften des Servers--Karte Erweitert • RRAS Routing und RAS RAS RAS im LAN-Bereich = Netzwerkzugriff. Bei der Einwahl beim ISP baut man erstmal eine Point-to-Point-Verbindung auf. PPP ist nur ein Verbindungsaufbau-Protokoll, kein Datenübertragungs-Protokoll. Ports werden wie einständige Netzwerkgeräte behandelt. Zusätzlich zu den physikalischen Ports werden noch mindestens 10 Ports hinzugefügt 1 Modem 2 paralle Schnittstellen 5 PPP 5 PPTP ------------------------= 12 Ports Konfiguration von Einwahlmöglichkeiten: 1. Server ist Mitglied einer Domäne: -RRAS, -VPN, -Modempool 2. Server ist nicht Mitglied einer Domäne oder Workstation -ICW Internet Connection Wizard RRAS + IP-Adressvergabe Remote-Clients brauchen eine IP, um im Netzwerk zu arbeiten. Man könnte jedem Device (Port) eine IP zuweisen, ist aber zu viel Arbeit und wird nicht ständig genutzt. Daher wird ähnlich DHCP z.B. je eine IP durch RRAS aus einem Adresspool für eine Sitzung zugewiesen. Möglichkeiten: 1. IP durch RRAS (statischer Adresspool) Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 2. RRAS + DHCP RAS-Server holt sich 10 Adressen vom DHCP-Server (1 für sich selbst, 9 für Clients) Wenn 9 Stück verbraucht, werden die nächsten 10 angefordert. Wenn DHCP-Server nicht erreichbar, APIPA (169.254.0.1-169.254.255.254) RRAS-Policies 1. Ebene Einstellen: Remote Access Policies (wird lokal auf dem RAS-Server gespeichert, nicht im AD!) RAS-Richtlinie besteht aus 3 Komponenten: -Bedingungen (conditions) -Zeit der Einwahl -feste IP-Adressen möglich -Gruppe, der der Client angehören muss -User-IDs können eingetragen werden -Berechtigungen (permissions) -Art der Einwahlberechtigung z.B. Gruppe der Administratoren = immer z.B. Gruppe Marketing = nur innerhalb der Geschäftszeiten -Profil (profile) -Einstellungen für die Verbindung, z.B.Verschlüsselung, Authentifizierung, Dauer der Verbindung Für eine Einwahl müssen alle drei Komponenten richtig konfiguriert werden. 2. Ebene, userbezogen, gespeichert in AD -Einwahlberechtigung des jeweiligen useraccounts Anwendung von RAS-Policies 1. Prüfung der Routing- und Remote-Zugriffsrichtlinie Auch eine nicht vorhandene Richtlinie unterbindet den Zugriff ! 2. User account-Prüfung Diese Richtlinie gewinnt (default). Darf oder darf nicht oder darf, wenn er Policy erfüllt Authentifizierungsprotokolle PAP Password Authentification Protokoll Name + Passwort-login Passwort = Klartext, gefährdet durch Brute Force Angriff (spielt Dictionary oder alle möglichen Zeichenkombinationen durch). unterste Sicherheitsstufe unter Win2000. SPAP Shiva Password Authentification Protokoll Reversible Verschlüsselung, Brute Force-Angriff würde etwas länger dauern. CHAP Challenge Handshake Authentification Protocol = MD 5 (Message Digest 5), identisch Einwegverschlüsselung 3-Part-Handshake: -Anforderung zur Authentifikation (eindeutiger Schlüssel für diese Sitzung und Challenge-String (willkürlich) -Antwortpaket: Username und mit Einwegschlüssel verschlüsselt: Passwort, Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Sitzungsschlüssel, Challenge-String -Computer1 vergleicht Informationen mit seiner Datenbank. Wenn Infos i.O., hat sich Computer2 identifiziert. MS-CHAP funktioniert nur unter Microsoft-BS, ist default bei Win2000 sonst wie CHAP. MS-CHAP v.2 Wechselseitige Authentifizierung. -Wird standardmässig als Authentifizierungsmethode für VPN benutzt. -Win98 und NT4 können MS-CHAP 2 nutzen, allerdings nur zum Eröffnen einer VPN-Unter 2000-Rechnern kann man MS-CHAP auch für RAS benutzen. Sitzung. EAP Extensible Authentification Protocol API (Programmierschnittstelle) für andere Sicherheitsprotokolle. in diesem Zusammenhang: TLS Transport Layer Security --> Smartcard Hackerkram: "Entführen" von Sitzungen, "Man in the Middle" RAS-Protokolle -SLIP -PPP -Microsoft RAS -ARAP Vorläufer von PPP, wird bei Win2000 nur noch als Client unterstützt Standard Win2000-Client > älteren RAS-Server (z.B. WfW, NT 3.1, DOS, LAN-Manager) Apple > MS-RAS-Server Verschlüsselung -keine Verschlüsselung Gruppe darf unverschlüsselte Verbindung aufbauen -Standardverschlüsselung (Basic) S.423 56-bit DES-Verschlüsselung (IPSec) 40-bit MPPE-Verschlüsselung (Microsoft Point-to-Point Encryption) -Starke Verschlüsselung 56-bit DES-Verschlüsselung (IPSec) 56-bit MPPE-Verschlüsselung -Stärkste Verschlüsselung --Download eines Paketes von microsoft.com (es gibt Exportbeschränkungen für einige Länder) Triple DES-Verschlüsselung (3DES) (IPSec) 128-bit MPPE-Verschlüsselung BAP Bandwith Allocation Protocol Dynamisches Hinzuschalten bzw. Abschalten von Kanälen Radius Protokoll zur Authentifizierung von Benutzern in DFÜ-Netzwerken oder getunnelten Netzwerken, die nicht Microsoft-Remoteserver verwenden (ISP). • DHCP Scope = fortlaufender Bereich von IP-Adressen (nicht fragmentiert) Prüfung: DHCP-Server in Active-Directory muss erst autorisiert werden, damit er funktioniert. Sonst Fehlermeldung: "DHCP unavailable" Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Empfohlene Verteilung der IP-Adressbereiche unter Win2000: DHCP1 DHCP2 Scope1 80% Scope2 80% Scope2 20% Scope1 20% Bei Wechsel der IP-Bereiche im laufenden Betrieb: Superscope muss erstellt werden. Superscope= übergeordnete logische Einheit = mehrere Scopes werden zu einem Bereich zusammengefasst (alter und neuer Bereich). Jeder neue Bereich muss einzeln aktiviert werden. Dann kann man einen fliessenden Übergang von alten auf neue Bereiche erreichen, indem Clients beim nächsten Mal die neuen Adressen zugewiesen werden. Einen Superscope kann man auch für verschiedene Subnetze benutzen. Jedes Subnet bekommt seinen eigenen Adressbereich. Multinet = neuer Begriff, segmentiertes Netzwerk Dynamische Zuweisung von IP zu MAC-Adressen ist unter Win2000 auch möglich. Frag nicht, wie. Ausschlussbereich bei NT = Exclusion-Range bei Win2000 DHCP gibt auch andere Informationen weiter, wie WINS-Server-Adressen, DNS-Server-Adressen. Man kann verschiedenen Benutzern auch bestimmte Server zuordnen: cmd ipconfig /setclassid Sollen für bestimmte User oder Gruppen bestimmte Konfigurationen gelten (z.B. kürzere Leasedauer, anderer DNS-Server), erfolgt dieses durch Definition von User-classes (=Name + ClassID). Die Class-ID wird auf den Clients mit diesen Befehlen zugewiesen. DHCP-Relay-Agent Einrichten über Netzwerkdienste. • Zertifizierung Ist Bestandteil der PKI Public Key Infrastruktur. CA Certification Authority 2 Typen 1. Enterprise CA 2. Stand-Alone CA Enterprise CA Active Directory und DNS erforderlich. Kann demnach nicht in heterogenen Umgebungen genutzt werden. Zertifizierungsstelle (Dienst) für Organisationen (nicht öffentlich! (Internet)) Root CA = Stammzertifizierungsstelle Subordinated CA = untergeordnete Zertifizierungsstelle Zertifikate müssen von der Root CA signiert (beglaubigt) werden. Sollen gewährleisten, dass jemand "echt" ist. Man kann ein Zertifikat z.B. zum Verschlüsseln von e-mail verwenden. Nur derjenige, der als Empfänger das richtige Zertifikat auf dem Rechner gespeichert hat, kann die mail lesen. Weiterhin für Treiber, Software usw. Signiert heisst nicht virenfrei. Es gibt reichlich gefälschte Zertifikate. Thomas Krause – thomas@krause-it.de - http://www.krause-it.de mcse2000.pdf 30.03.2001 Für Implementierung nötig: -Administrator-Berechtigung auf dem CA-Server -genügend DNS-Berechtigungen -genügend AD-Berechtigungen -weitere Vorgaben siehe ab S.383 Stand-Alone CA Kein AD nötig. Kein DNS nötig. Stand-Alone Subordinated CA Signatur durch externe Root-CA (nicht kostenlos) Thomas Krause – thomas@krause-it.de - http://www.krause-it.de