Microsoft Management Console

Transcription

Microsoft Management Console
mcse2000.pdf
30.03.2001
Microsoft Management Console
•
Funktion:
Zentralisierte Verwaltung; Remote-Verwaltung; verschiedene Konsolen
mit unterschiedlicher Funktion lassen sich einrichten.
•
Vordefinierte Konsolen
-Leistungskonsole
-Computerverwaltung
-Ereignisanzeige
Benutzerdefinierte Konsolen
--Start--Ausführen > mmc --Snap-Ins einfügen
Remote-Verwaltung eines Rechners:
--Snap-Ins 'Computer-Verwaltung' und 'Gruppenrichtlinie'
-anderen Computer auswählen / angeben
-Voraussetzung: Administrator-Berechtigung
Konsolenmodi: (--Konsole--Optionen)
Autorenmodus
Benutzermodus -Vollzugriff
-Beschränkter Zugriff (2 Stufen)
Speicherung: als *.msc in \System32
z.B. gpedit.msc (Gruppenrichtlinie)
compmgmt.msc (Computerverwaltung)
Vom Administrator erstellte Konsolen werden standardmäßig unter
\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Verwaltung
gespeichert
•
•
•
•
•
Lösungsweg
•
•
•
•
•
•
•
•
OU 'Finanz' in der Domäne erstellen
in 'Finanz' Benutzer erstellen
Gruppe 'Manager' in 'Finanz' erstellen
Benutzer in Gruppe 'Manager' einfügen
Gruppenrichtlinie 'Finanz' erstellen und bearbeiten
--Benutzerkonfiguration--Administrative Vorlagen
--Desktop
'Symbol Netzwerkumgebung ausblenden' aktivieren
--Systemsteuerung
eine weitere Gruppenrichtlinie ('Mananger') erstellen und bearbeiten
--Benutzerkonfiguration--Administrative Vorlagen
--Desktop
'Symbol Netzwerkumgebung ausblenden' deaktivieren
Gruppenrichtlinie 'Manager' bekommt Priorität --> nach oben setzen
Gruppenrichtlinie 'Manager':
--> Authentifizierte Benutzer entfernen
(oder Berechtigung entziehen)
--> Gruppe 'Manager' hinzufügen und Berechtigung
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
'Lesen' und 'Gruppenichtlinie übernehmen'
zuweisen
Richtlinienvererbung deaktivieren: Gilt nur zwischen verschiedenen Containern, nicht innerhalb eines
Containers.
Lokale Anmeldung am Domänencontroller:
--OU 'Domain Controllers'--Standard-Gruppenrichtlinie
vordefinierte Einstellung: Administratoren; Server-Operatoren; Kontenoperatoren;...
Standard-Gruppenrichtlinie für OU 'Domain Controllers' bearbeiten
--Computerkonfiguration--Windows-Einstellungen--Sicherheitseinstellungen--Lokale Richtlinie-Zuweisen von Benutzerrechten--> lokal Anmelden
Drucken unter Windows 2000
•
Begriffe:
Drucker
Druckgerät
>
Lokales Druckgerät
>
Netzwerkdruckgerät
>
>
logischer Drucker, Softwareschnittstelle
Hardware
Drucker an Druckserver
Druckgerät mit eigener Netzwerkkarte
(kann auch von einem Druckserver
verwaltet werden)
•
Einstellungen (--Fenster 'Drucker')
Drucker--Eigenschaften
zusätzliche Treiber für andere Plattformen
Anschluß
-Druckerpool aktivieren
Erweitert
-Priorität einstellen (niedrigste = 1, Höchste = 99)
Datei-Servereigenschaften
Erweiterte Optionen
-Pfad zum Spoolordner
Druckerpool: 1 logischer Drucker + mehrere Druckgeräte (verwenden den gleichen Treiber)
Prioritäten festlegen:
mehrere logische Drucker + 1 Druckgerät
Netzwerkdruckgerät einrichten: -Lokaler Drucker
-Anschluß: Standard TCP/IP Port
-Port hinzufügen: IP-Adresse
Druckumleitung
- Druckgerät an einem Druckserver fällt aus, identisches Druckgerät an einem anderen Drucker ist
vorhanden;
Neuen Anschluß konfigurieren: --Drucker--Eigenschaften--Anschlüsse--Hinzufügen--Local Port--Anschluß
mit UNC-Pfad angeben
Drucker an Unix-Server
Druckdienste für Unix erforderlich
.
Beispiel: Drucker an Unix-Server.
Win2000-Server installiert Druckdienste für Unix.
Richtet Drucker über LPR-Port und UNC-Pfad ein.
Freigabe für Win2000-Clients.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
DNS
•
Funktion: löst 'FQDNs' (Full Qualified Domain Names) in IP-Adressen auf.
bill.microsoft.com > bill=HOSTNAME, microsoft.com=DOMAIN NAME
DNS kann wahrscheinlich nicht zwischen Host- und Unterdomänennamen
(nachlesen!)
unterscheiden
Struktur des Namensraums
"."
Stammdomäne
-enthalten Rootserver = StammnamensserverS
-Verweise auf Root-Server in der Datei
Cache.dns (\System32\dns)
--Eigenschaften des DNS-Servers--'Hinweise
auf das Stammverzeichnis
.org; .edu; .com; Länder (.de; ...)usw
Top-Level-Domains
wan-schulungscenter
SGB2000
Untergeordnete Domänen
Zonen
-Verwaltungseinheit für DNS (Zonendateien werden in einer Datenbankdatei gespeichert)
-bestehen aus mindestens einer Domäne oder aus Domäne + Unterdomäne(n)
-für jede Zone hat nur ein DNS-Server die Autorität (führt die Master-Zonendatenbank)
-sekundärer DNS-Server möglich, bekommt aber nur eine Kopie
Zonentypen
kann man auch von einem Typ in einen anderen konvertieren.
-Active-Directory-integriert (Datenbankdatei wird in Active Directory gespeichert und auf alle DCs einer
Domäne repliziert, d.h. nicht auf Unterdomänen)
in Prüfungen fast immer die richtige Lösung
-Primär (Standard): Datenbank wird als Textdatei in System32\dns gespeichert (*.dns)
-Sekundär: Replikat einer bereits vorhandenen Zonendatei (i.allg. einer primären Zone)
auch von einer Active-Dirctory-Datenbank möglich
-Forward-Lookupzone: Name > IP-Adresse
-Reverse-Lookup-Zone: IP-Adresse > Name ( z.B. 5.168.192.in-addr.arpa)
(hauptsächlich für Test- und Diagnosezwecke mit Test- und Diagnosezwecke mit NSLOOKUP
notwendig)
•
SOA
Ressourceneinträge
Start auf Authority (kennzeichnet den DNS-Server und verschiedene Parameter
der Zone)
NS
Nameserver
A
Adress, Hosteintrag
CNAME
Canonical Name (Aliasname; Rechner können mehrere Hostnamen haben)
PTR
Eintrag in der Reverse-Lookup-Zone
neu bei Win2000
SRV
identifizieren Netzwerkdienste; entsprechen in der Funktion dem 16. Zeichen
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
eines NetBIOS-Namens > z.B. Dienstekennung
--Servereigenschaften--Überwachen:
•
einfache Abfrage
rekursive Abfrage
Prüf: Rekursive Abfrage ist fehlgeschlagen. Grund: Reverse-Lookup-Zone ist nicht
konfiguriert.
Unter Win2000: DDNS (Dynamical DNS) konfigurierbar
•
Rekursive Abfrage: 'Direktabfrage';
Client stellt eine Namensabfrage an einen DNS-Server
> Antwort oder
>Fehlermeldung
keine Verweise auf andere DNS-Server
•
Iterative Abfrage
>
/
/
lokaler DNS-Server
^
|
Client
Root-Server
|
v
Server für Zone 'com'
|
v
Server für Zone 'microsoft'
bill.microsoft.com
WINS
•
•
•
•
•
•
Auflösung von NetBIOS-Namen in IP-Adressen
NetBIOS-Name: 16-byte-Adresse; 15 Zeichen für den Computernamen + 1 Zeichen (hex) für
Diensteerkennung, Benutzername...
z.B.
Computername [20h] = Serverdienst
Computername [03h] = Nachrichtendienst
früher: Auflösung von NetBIOS-Namen über LMHOSTS-Datei (#PRE #DOM)
immer noch Prüf-Thema
LMHOSTS.SAM ist nur eine Beispieldatei, die richtige hat keine Endung
\system32\drivers\etc
(Auflösungsmethode ist abhängig vom Knotentyp
B-Knoten
Broadcast
P-Knoten
Point-to-Point (NetBIOS-Nameserver, z.B. WINS-Server wird
für die Namensauflösung benutzt)
Mixed
B+P
Hybrid
P + B)
Dynamische Aktualisierung der Datenbank
Für nicht WINS-fähige Clients ist statische Zuordnung möglich
Prüf: Wie erstellen Sie für nicht WINS-fähige Clients (Unix) die Namensauflösung?
Replikation mit anderen WINS-Servern ist möglich > Push-/ Pull-Replikation
Push-Partner : informiert andere WINS-Server über Änderungen in der
Datenbank
Pull-Partner: fordert Replikation der Datenbankeinträge an, kann zeitlich
gesteuert werden (bei NW-Problemen evtl. nachts)
DHCP
•
•
•
Erweiterung des BOOTP-Protokolls (Remote-Boot)
IP-Adressierung und Übergabe weiterer Optionen (z.B. Standard-Gateway, WINS-Server, DNSServer)
Anforderung der Clients erfolgen per Broadcast
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Auch immer noch Prüf.-Thema, z.B. DHCP-Relay-Agent für Subnet nötig
•
Client, der für automatische Zuweisung der IP-Adresse konfiguriert ist:
-1. DHCP-Client versucht, einen DHCP-Server zu ermitteln
-2. Wenn kein Server gefunden wird, erfolgt die Konfiguration automatisch aus einem
reservierten Adressbereich:
169.254.0.0
APIPA Automatic Private IP-Adressing (2^16-2)
255.255.0.0
Ein Client hat folgende Adresse s.o., was für ein Problem liegt vor?
> DHCP nicht gefunden, nicht konfiguriert, nicht verfügbar
Der Client überprüft, ob ein Adressenkonflikt vorliegt. Wenn das der Fall ist, wird eine
Adresse ausgewählt.
-3. Nach erfolgreicher Autokonfiguration versucht der Client in 5-Minuten-Abständen,
DHCP-Server zu erreichen
andere
einen
•
DHCP einrichten
-Installieren des DHCP-Dienstes
-Server authorisieren
-Adressbereich erstellen (evtl. Bereiche ausschliessen)
-Optionen konfigurieren
(-Adressen reservieren)
•
DHCP-Relay-Agent
--Snap-in 'Routing und RAS'
'Routing und RAS' aktivieren und konfigurieren
--Option 'Netzwerkrouter'--IP-Routing--Allgemein--Neues Routingprotokoll--DHCP-Relay- Agent
Prüfungsschwerpunkte
Server
•
•
•
•
•
•
•
Datenträgerverwaltung
Berechtigungen
DFÜ-Verbindungen, RAS
Installation, unbeaufsichtigte Installation
Problembehandlung
Terminalserver, IIS
Gruppenrichtlinien, OUs
Professional
•
Hardwaremanagement (Fehlerbehebung)
•
Authentifizierungsprotokolle (z.B. PAP, EAP), Smartcards
•
Remote-Installation
•
Verschlüsselung, Wiederherstellungsagent
•
Softwareinstallation über Gruppenrichtlinie
•
Taskplaner
•
Eingabehilfen
Aktualisierung von NT 4.0 auf Win2000
Win 2000 unterstützt das Aktualisieren von NT 3.51 Server, NT 4.0 Server und Vorgängerversionen von
Win2000.
Aktualisieren von der Server-CD aus:
•
Autostart oder
•
WINNT32.exe
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Wichtige Punkte
•
•
•
•
•
Auf DC -> NTFS
Als erstes den PDC auf Win2000 aktualisieren
Eine Sicherung des Systems is' nich' schlecht
Deaktivieren von DHCP und WINS
Tabelle S.70 oben einfügen
S.73 Nachteile des gemischten Modus
Umwandlung gemischter Modus in einheitlichen Modus ist nicht reversibel.
Unbeaufsichtigte Installation von WIN2000
S. 85
S. 769ff
S. 88 oben
Win2000 benutzt eine Antwortdatei z.B. Unattend.txt.
Es gibt mehrere Antwortdateien für verschiedene Funktionen:
Unattend.txt -- unbeaufsichtigte Installation
winnt.sif -bei Installation von Win2000 über ein startfähiges CD-Rom-LW
sysprep. inf -- bei Verwendung des Tools Sysprep zur Erstellung eines Datenträgerabbildes
Infos zur Unattend.txt: Server-CD \Support\Tools\deploy.cab --> Unattend.doc
Datei anfertigen mit Text-Editor oder mit Setup-Manager
Distributionsordner
min. 313 MB für Server-Installation nötig
Installationsverzeichnis, welches auf einem Server angelegt und freigegeben ist und auf den mehrere
Computer für die Installation Zugriff haben.
können Unterordner enthalten für:
-z.B.: nicht-2000-Treiber
-Hilfedateien usw.
S.98/ 99; S. 771/772
Startfähige CD-Rom:
Die Antwortdatei muß WINNT.sif genannt werden. Startparameter richtet sich nach dem Betriebsmodus
des zu installierenden Rechners:
16-bit --> WINNT.exe
32-bit --> WINNT32.exe
SYSPREP
SYSPREP.exe ist ein tool auf der Server-CD. Damit wird ein Abbild meines Systems vorbereitet (inclusive
Anwendungen). Tool von Fremdanbieter zum Image-anfertigen nötig. Mit dem Abbild können dann
Rechner installiert werden.
-Vorsicht bei großen Hardwareunterschieden, --> Konfiguration von Hand nötig.
S.771ff
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
SYSPART
nur bei 32-bit-Systemen, bei unterschiedlichen
S.100/ 101
Cmdlines.txt
S.113
Enthält Befehle, die während der GUI-Phase ausgeführt werden sollen. Die Datei wird benutzt, um
Anwendungen nach der Installation des BS zu konfigurieren und zu installieren
(Kiste fertig machen und Image ziehen, evtl dann nachbessern.
lokale/ Domänenbenutzerkonten
runas
NT
2000
20 chs=Name
14 chs=Pw
256 chs=Name, nur die ersten 20 werden gelesen
128chs=Pw
Profile: update= in \profiles
Neuinstall. = in Dokumente und Einstellungen
.man = verbindlich
.rup = roaming user profile
Verteilergruppen = Rechte verteilen
Sicherheitsgruppen
Gruppen:
globale = Organisieren
lokale = Zuweisen von Rechten
universelle = Domänenübergreifendes Organisieren, nur im einheitlichen Modus, geht auch mit
Gruppen
Gruppenverschachtelung: Gruppen in andere Gruppen einfügen
Hauptbenutzer nicht auf DCs vorhanden
Gruppenrichtlinien = Nachfolger von poledit
"
-Objekt: .gpo (.gpt = template; Vorlagen; .gpc = group policy container)
kann Verzeichnisstruktur annehmen, kann man so aber nicht ansehen
\system32\GroupPolicy
Übung 6 S.328
Anwendungsserver
IIS
zentraler Speicherort für öffentliche Informationen
Jede WebSite und FTP-Site muß über ein Basisverweichnis verfügen.
Der Basisordner ist der zuentrale Speicherort für die veröffentlichten Seiten.
In diesem Basisverzeichnis steht z.B. die Homepage.
Standardname: index.html; default.html
default.asp
index.htm; default.htm
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
globalen
mcse2000.pdf
30.03.2001
für die Begrüßung und andere Seiten der Website
Anschlußkennung, Hostname, Anschlußnummer
•
IIS 4.0
Website
Ordner, hat eine eigene IP-Adresse und Socket-Number.
Socket ist eine Protokollkennung für einen bestimmten Knoten im Netzwerk.
Webseite
Seite im Ordner
•
IIS 5.0
zuverlässiger als 4.0 und hat eine höhere interne Geschwindigkeit
Mehrere Websites mit verschiedenen IP-Adressen, aber einer Socket-Number machbar.
Jede Site hat dann eine eigene IP-Adresse.
Verschiedene Abteilungen können ihre eigene Site in der Firma haben.
Um Sites zu unterscheiden, wird eine dreiteilige eindeutige Kennung benutzt:
eine Anschlußnummer
eine IP-Adresse
einen Hostheadernamen
Der Installationsvorgang ist in 2000Server integriert.
Verwalten und Konfigurieren mit dem Snap-In Internet-Informationsdienst
Win2000Server ermöglicht Administratoren die Verwendung von Autoren und Verwaltungsfunktionen für
FrontPage.
Frontpage-Servererweiterungen ist ein Snap-In, benötigt z.B. für Abfragen,
Unterverzeichnisse, Counter
S.681
Auf einem Server für Websites und FTP-Sites müssen für jeden Dienst (www + ftp) eigene
Basisverzeichnisse erstellt werden.
Standardname: \InetPub\wwwroot
\InetPub\ftproot
S.693
Anwendungsserver
Ein virtuelles Verzeichnis steht noicht im Basisverzeichnis, wird aber im Client -Browser so angezeigt. Ein
virtuelles Verzeichnis verfügt über einen Aliasnamen, den der Webserver für den Zugriff verwendet.
Dadurch, daß der Admin die Zuweisung von Verzeichnis und Basisordner herstellt, ist ein Alias sicher. Der
User kennt den Speicherort nicht.
Telnet -Dienst / -Server
ausführen
open
192.168.1.134
Telnet ist ein Teil von TCP/ IP.
Mit Telnet kann man eine Verbindung von einem Telnet-Client zu einem Computer mit Telnet-Dienst
herstellen. Es ist möglich, sich an diesem Server anzumelden und auf ihm zu arbeiten (Anwendungen im
Textmodus).
Max. 63 Telnet-Client Verbindungen werden gleichzeitig unterstützt.
Dienst starten -- Ausführen:net start telnet
oder
"Telnet Server Admin"
Ausführen: tlntadmn
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Wenn der Telnet-Admin nicht startet, ist wahrscheinlich das Pack für die Verwaltung (Adminpack.msi)
nicht installiert.
Durch Änderungen mit dem Telnet-Admin werden Teile der Registrierung geändert (nicht sachgemäße
Behandlung kann zu Problemen führen)
Terminaldienste
Sie ermöglichen Client-Rechnern den Zugriff auf Win2000 und die neuesten Windows-basierten
Anwendungen.
Sie erlauben eine ortsunabhänge Remoteverwaltung.
Man bekommt Zugriff auf Desktop und installierte Anwendungen.
Sollte nicht auf einem Anmeldeserver laufen (eher auf einem Rechner, der irgendwo vor sich hindümpelt).
Es werden 2 Modi bereitgestellt
Remoteverwaltung
z.B. Benutzerverwaltung
Freigaben
Drucker
Registrierungsänderungen
Verwalten aus der Ferne,
z.B. über TCP/ IP
Anwendungsserver
Anwendungen- können von einem
zentralen Ort bereitgestellt werden.
Remotezugriff der Clients über WAN oder LAN
Anwendungen werden direkt am Terminalserver installiert oder ein Teil über Remoteverbindung am
Client.
Gruppenrichtlinien oder AD-Dienste können benutzt werden, um Anwendungspakete von WindowsInstaller zu veröffentlichen.
Jeder Computer (Clientcomputer) muß sowohl über die Client-Lizensierung für Terminaldienste als auch
über die Client-Zugriffslizenz für WIN2000 verfügen.
Die Verwaltungstools:
•
Terminal-Clientinstallation
Diskettenerstellung für Terminaldienstsoftware für WfW; Win 9x; NT-Plattformen
•
Terminaldienstverwaltung
Verwaltungstool für alle WIN2000 Server, auf denen Termianldienste laufen
Man bekommt Infos z.B. über:
Benutzer, Server, Prozesse; man kann Nachrichten senden
man kann Prozesse abbrechen über die Funktion Remotesteuerung
•
Terminaldienstkonfiguration
RDP-Einstellungen = Remote Desktop Protokoll
Einstellbar sind z.B.
Drucker
Zwischenablage
Zeitüberschreitung
LPT
Anfangsprogramme nach erfolgreicher Anmeldung
Verbindungsverschlüsselung
Anmeldungseinstellung
•
Terminaldienstlizensierung (nur wenn der Anwendungsservermodus aktiviert oder
Adminpack.msi installiert ist)
S.728 / 729
Speichern und Überwachen der Clientzugriffslizenzen für den Terminalserver unter 2000
(fast wie DHCP)
Komponenten der Lizensierung:
MS-Clearinghouse: Lizenzserver; Terminalserver; Clientlizenzen
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
-MS-Clearinghouse
Datenbank für Aktivieren von Lizenzservern; speichert alle Clientlizenzen der Terminaldienste.
-Terminalserver
Ein Rechner, auf dem Terminaldienste aktiv sind und laufen. Sollte Power haben und nichts anderes
machen (Member- oder Stand-alone-Server). Auch Lizenzserver sollten auch auf einem anderen Server
installiert werden.
S.730
-Clientlizenzen
Jeder Client und Terminal, die mit einem Terminalserver eine Verbindung eingehen, brauchen Lizenzen.
Lizenzserver ist nur nötig, wenn man den Anwendungsmodus der Terminaldienste benutzt wird.
Er muß mit Microsoft Clearinghouse aktiviert werden, um Lizenzen laden zu können.
Domänenlizenzserver: im gemischter Modus nötig
Unternehmenslizenzserver: für reine 2000-Umgebung
S.730
DFS Verteiltes Dateisystem
Distributed File System
Vereinfacht den Zugang zu freigegebenen Ordnern im Netzwerk.
DFS ist ein logisches Dateisystem und organisiert Freigaben (Ordner) im Netzwerk so zusammen, daß
nur ein einziger Referenzpunkt (Stamm) dargestellt wird. Unter dem Stamm werden DFS-Verknüpfungen
angelegt. Der physikalische Speicherort muß dem Benutzer nicht bekannt sein.
S.176ff
•
Eigenständiger DFS-Stamm
Eine Ebene an DFS-Verknüpfungen. Keine Replikation, keine Sicherung. Verwendet kein AD. Kann auf
FAT installiert werden, besser NTFS.
•
Domänen- DFS-Stamm
AD wird verwendet. Stämme von mehreren Servern können zusammengefügt werden. Replikation wird
durchgeführt. Alternative Verbindungen zu Ressourcen werden gesucht. Ein fehlertolerantes System auf
NTFS 5.0.
FRS File Replication Service
S.188ff
NTFS-Berechtigungen
sh. Kopien
RRAS
Routing > Verbinden von Netzwerken
+ RAS > Remotezugriff auf Netzwerke
MPR = Multiprotokollrouter, 2000 kann IP/ IPX/ Apple Talk gleichzeitig routen
VPN = Virtual Private Network, Computer können sich über eine verschlüsselte Internet-Verbindung so
verhalten wie in einem privaten Netzwerk.
PPTP = Point-to-Point Tunneling Protokoll
Weiterentwicklung von PPP
Sichere Datenverbindung über TCP/ IP
von MS entwickelt für VPNs
L2TP = Layer 2 Tunneling Protocol
wie PPTP, nur keine Händlerspezifische Verschlüsselungstechnik
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
•
RAS-Server
Bereitstellung von RAS-Verbindungen mit DFÜ- oder VPN- RAS-Clients mit den Protokollen IP / IPX /
NetBEUI und AppleTalk.
RRAS wird im deaktivierten Status installiert.
Zur "Aktivierung" und Konfiguration wird ein Snap-In benutzt.
Jeder Intranet-Computer mit einem RAS-Server sollte eine private IP-Adresse haben:
10.0.0.0 - 10.255.255.255
Klasse A
172.16.0.0 - 172.31.255.255
Klasse B
192.168.0.0 - 192.168.255.255 Klasse C
durch IANA vergeben
S.445
Authentifizierung:
das Bestätigen von Anmeldeinformationen, die in Textform oder verschlüsselter Form zwischen Server
und Client ausgetauscht werden.
Autorisierung:
ist die Bestätigung, daß der Verbindungsversuch zugelassen wurde.
-Unicast IP
Adresse die einen bestimmten eindeutigen globalen Host definiert.
Eine bidirektionale Verbindung zwischen zwei Rechnern zum Datenaustausch.
IP-Routing
Ein oder mehrere Rechner leiten die Pakete zwischen einer bidirektionalen PPP-Verbindung
-IP Multicast
Mehrfachvorstellung einer IP-Adresse
-AppleTalk
Win2000 routet AppleTalk-Pakete.
Apple-Netzwerke können mit MS-Netzwerken verbunden werden.
Ein Apple-Client kann über DFÜ-Remoteverbindung zu 2000 herstellen.
-RADIUS-Clientserver
Eingehende Verbindungen werden überprüft und verwaltet.
Gruppen können mit Rechten versehen werden.
Für große Netzwerke zum einfacheren Verwalten.
Protokolle von Drittanbietern können genutzt werden.
VPN-Server: Teil eines RAS-Servers, Protokolle: PPTP, L2TP über IPSec
-Remotezugriff
Zugriff auf Ressourcen eines Rechners oder Netzwerkes über einen RAS-Server.
Zugriff über
DFÜ-Remotezugriff > Telefonnetz
oder
VPN-Remotezugriff > IP-Netzwerk
nötig:
•
Client:
2000, Win9x, WfW, Apple, MS-DOS, NT, Unix, LAN-Manager
nicht: SLIP (Vorgänger von PPP), OS/2
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
•
WAN-Infrastruktur:
PSTN = analoge Telefonleitung
In Zusammenarbeit mit Modems oder Modembänken wird der Zugriff hergestellt mit 33,6 bit/s
V.90 (digital) = T-Carrier oder ISDN, 33,6 kbit/s senden, 56 kbit/s empfangen, Modem über
digitale
Leitung
Zwischen Client und RAS-Server darf keine Datenkonvertierung von digital in analog
stattfinden
ISDN = Digitaler Ersatz für PSTN
mehrere Kanäle mit 64 kbit/s
normale ISDN-Karte: 2 x 64Kbit/s ; max 23 x 64
X.25 = Internationaler Standard zum Senden von Daten über öffentliche Paketvermittlungsnetzwerke.
ATM über ADSL = höhere Bitrate. 64 kbit/s empfangen, 1544 Mbit/s senden
Standardeinsatz im Internet.
Kann als Ethernet oder DFÜ-Schnittstelle zum Einsatz kommen.
S.373
Bei Verwendung von ATM über ADSL werden die LAN-Protokollpakete über (mit) ATM
gesandt.
RRAS -- Routing ist der kleinere Bereich, relativ wenig Aufwand. RAS überwiegt.
Datenverschlüsselung
Verschlüsselung der Daten zwischen Client und Server.
Die Datenbverschlüssselung basiert auf einem geheimen Schlüssel, der bei der Benutzerauthentifizierung
generiert wird.
Man kann die Verschlüsselung zwingend machen.
MPPE -- 40 / 56 / 128 bit
•
Server
VPN
S. 480ff
Eine Erweiterung eines privaten Netzwerks, die eine gekapselte, verschlüsselte und authentifizierte
Verbindung über gemeinsame oder öffentliche Netzwerke herstellen.
Der Benutzer stellt aus seiner Sicht eine Punkt-zu-Punkt-Verbindung her. Das überbrückende
Verbundnetzwerk ist uninteressant! Die Einwahl wird über den lokalen ISP hergestellt und dadurch eine
VPN-Verbindung zwischen DFÜ-Benutzern und dem VPN-Server der Firma geschaffen.
-Es müssen eigene Leitungen zwischen den Firmen und den lokalen ISPs bestehen.
-Der VPN-Server muß täglich 24 Stunden eingehenden VPN-Verkehr abrufen können.
Nur wer über richtige Anmeldeoptionen verfügt, kann auf Ressourcen des Netzes an einem VPN-Server
zugreifen.
|| VPN-Server sind keine Router ||
Das Tunneling bewirkt, daß Datenpakete einen zusätzlichen Header (Kopfteil) bekommen, der Infos über
Routingeigenschaften beinhaltet. Dieser Header wird erst am Ziel vom Datenpaket entbunden. Der
Datenpfad wird "Tunnel" genannt.
Um einen Tunnel aufbauen zu können, müssen die gleichen Tunnelingprotokolle benutzt werden, z.B.
PPTP oder L2TP.
Tunnelarten:
•
Freiwilliger Tunnel
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Der Client erstellt einen Tunnel zum Zielserver und braucht dafür ein Tunnelingprotokoll. Der Client hat die
Möglichkeit direkt eine Verbindung mit Hilfe vom ISP zum Transitverbundnetz (Internet) herzustellen.
•
Erzwungener Tunnel
Hierbei ist der Client kein direkter Endpunkt, sondern es ist ein anderer Rechner der Tunnelclient. Das TProtokoll muß somit nicht auf jedem Client installiert werden. Der Tunnelclient wird auch
Zugriffskonzentrator genannt.
-statisch
-automatisch
alle Einwahlclients werden über einen Tunnel mit einem bestimmten
Tunnelserver verbunden
-bereichsbasierend
Der Tunnelserver wird durch einen Bereich im Benutzernamen z.B.
mr.rick@HIF.de (Bereich = Domänenname) festgelegt.
Anderer Bereich = anderer Tunnel
-dynamisch
Beim Zugriff auf den Zugriffskonzentrator wird die Wahl des Tunnelzielortes für den
Benutzer neu getroffen.
Kerberos
sh. Kopie + S. 540ff
Bei Kerberos wird die Identität des Benutzers durch eine Drittpartei festgestellt (Kerberos).
Kerberos ist der Standardsicherheitsanbieter von Win2000.
Auf jedem Domänencontroller muß der Kerberosdienst laufen. Kerberos muß auch auf allen anderen
Rechnern in einem Netz installiert sein. Unterstützung auch für Win95.
Wenn Kerberos benutzt wird, wird die Identität auf einem Server (KDC) überprüft, der dann eine
Bestätigung (Ticket) ausspricht.
Mit dem Ticket bekommt der Benutzer dann Zugriff z.B. am Zielserver.
In einem Ticket ist folgendes enthalten: z.B.
-Sitzungsschlüssel
-Name des Benutzers
-Ablaufzeit des Tickets
-zusätzliche Einstellungen
Ein Leistungsmerkmal von Kerberos:
Kerberosclients von anderen Plattformen wie UNIX können über 2000 authentifiziert werden.
Netzwerk-Infrastruktur
NW-Dienste im Überblick
DNS
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
DHCP
WINS
Routing+ RAS
NAT
Zertifizierungsdienste
•
DNS
-Nachfolger von HOSTS und LMHOSTS
-ordnet IP-Adressen Namen zu (Host+Domänen)
-statisches Verfahren
(NetBIOS-Name=16 Zeichen, Hostname=256 Zeichen)
•
DHCP
-dynamische Zuweisung von IP-Adressen (laut MS standardmäßig zu verwenden)
-Übermittlung anderer Informationen (Zuweisung von Multicast-Adressen, statistische Daten usw.)
•
WINS
-dynamisches Verfahren, Vorgänger von DDNS
-macht Sinn bei älteren Clients oder sehr viel Änderungen im Netzwerk
-WINS-Proxy nötig bei verschiedenen Subnetzen
•
RAS
-DFÜ-RAS-Verbindung (Virtual Circuit, VC)
-RAS über VPN
Tunneling
Virtuelle Point-to-Point-Verbindung (im Gegensatz zu PPP und SLIP)
Protokolle:
PPP
SLIP (Legacy RAS)
> nur Clients, nicht Server
MS-RAS Protocol (=ASY BEUI)
•
NAT Network Adress Translation
Von innen nach draußen.
Normalerweise sind Privatadressen des Intranets nicht routbar. Ein NAT-Server kann mehrere IntranetRechner mit dem Internet verbinden. Schreibt eine log-Datei, um Antworten aus dem Internet zuzuordnen
und weiterzuleiten. Dynamische Verwaltung (der IP wird zum Wiederauffinden noch ein Port zugordnet.
Reverse-NAT: von außen nach innen. Ist ähnlich einem internen Port-Mapper, Win2000 muß den internen
Port wissen, z.B. 21 für FTP-Server.
SOHO-NW (Small Office/ Home Office): statt Standleitung für kleine Betriebe oder Privat mit einem NATServer.
•
Zertifizierungsdienste
-betrifft Sicherheit
-vergleichbar mit Ausweispapieren (ID-Dateien), MS spricht von CAs.
Name,
z.B. ATI
Geb.-Datum
Rev.Nr.
Gültigkeit
2005
Verweis auf neue Info CAs
Unterschrift
ID, Signatur der CA
Vorsicht mit manchen Remote-Tools wie PCAnywhere, meist nur Neuinstallation möglich.
Interne und externe Zertifizierungsstellen (Grundpaket ist enthalten)
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Anwendung: sichere e-mail, Sicherheit zwischen Web-Client und Web-Server (e-commerce, Onlinebanking u.ä.)
BS-Überblick Win2000
Professional
Server
Advanced ServerDatacenter Server
min CPU
P 133 MHZ
P 133-166MHZ P 500MHZ
P 500MHZ
RAM
32-64MB
bis 512MB
128MB
256MB
512MB
bis 60GB
HD
2GB
2GB
>2GB
>10GB
SMP: CPUs
1-2
4
8
32
Protokolle unter Win2000
Überlegung: welche LAN-Protokolle muß ich anwenden? Welche WAN-Protokolle?
•
TCP/IP
-Kernprotokolle von Win2000.
-routbar, Sicherheit (IPSec, Filtering)
neue Begriffe:
-Empfangsfenster: es wird nicht jedes Paket einzeln bestätigt, kann auch dynamisch vergrößert oder
verkleinert werden.
-Selektive Bestätigungen: einzelne Pakete können neu angefordert werden, wenn nicht i.O.
-Schätzung der Umlaufzeiten (RTT = Round Trip Time), früheres TTL wurde einfach nur festgelegt.
-IP-Sicherheit (IPSec): Einstellung unter --Eigenschaften von TCP/IP--Erweitert--Optionen--Eigenschaften
von IP-Sicherheit
-in der IP-Schicht ist mit Paket und Datagramm das gleiche gemeint.
-GQoS = Genenric Quality of Service
•
DLC
•
IrDA
Extreme Subnetting
NT 4 wiederholen, um wieder reinzukommen.
Standarddienstprogramme unter Win2000 (TCP/IP)
Telnet: Schnittstelle, hauptsächlich für UNIX-Clients
FTP
HTTP
CIFS: Common Internet File System
L2TP: Kombination aus PPTP (Tunnelprotokoll) und L2F (Protokoll für DFÜ-Zugangsserver).
LPR: auf Windows-Client, will auf Unix-Drucker drucken
LPD: auf Windows-Server, soll Druckserver mächen (Line Printing Daemon)
LPQ: auf Unix-Rechner, zum Anzeigen der Drucker-Warteschlange
Ping, ipconfig, tracert, nslookup, netstat, nbtstat
Multicast-Adresse: IP wird von mehreren Gruppenmitgliedern geteilt.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Unterschied: PPP ist verbindungsorientiert, SLIP nicht.
Legacy-Umgebung bedeutet gemischter Modus (ältere Rechner/ Betriebssysteme)
Bytestromkommunikation: Große Datenmengen wird gesplittet in kleinere Datenmengen (TCP)
WAN-Verbindungen bekommen eine Netzwerk-ID, Routerschnittstellen nicht.
Schnittstellenmetrik: für Diagnose- und Statistikzwecke, Änderung der Metrik-Werte ändert die Ergebnisse
in den .log-Dateien.
APIPA Automatic Private IP-Adressing
169.254.0.1 bis 169.254.255.254 wird einem Client unter Win2000 zugewiesen, wenn keine
Konfiguration verfügbar ist. Subnetmask ist 255.255.0.0
ping-Befehl geht nicht auszuführen -->Neuinstallation des Rechners nötig
Backbone = Aorta des Netzwerkes
IP-Filter
--Eigenschaften von TCP/IP--Erweitert--Optionen--TCP/IP-Filter
Man kann nur einzelne Ports zulassen. Alle anderen Ports sind für das ganze Netzwerk gesperrt.
So kann man beispielsweise die Benutzung des Messengers verhindern. Allerdings kann man die
Benutzung dann auch nicht mehr für einzelne User freigeben.
Routing
Router sind sowohl logische als auch physikalische Gateways.
statisches Routing:
manuelle Leitwegeinträge werden erstellt
Hilfsprogramm route
route add -p
Verkehr immer über diese Route, auch nach Neustart
route print
zeigt die Routing-Tabelle an
route -f
deltree für Routing-Tabelle
S.51 weitere Befehle
dynamisches Routing: Protokolle nötig (RIP, OSPF)
Änderungen werden an andere Router weitergegeben
Backbone = Aorta des Netzwerkes
Router entspricht einem Rechner mit einem Haufen Netzwerkkarten
ABR-Router = Area Border Router, verbindet Backbone mit einem Netzwerk
NWLink
wird als Protokoll betitelt, hat aber die Funktion eines Dienstes.
DSMT Directory Services Migration Tool, Übernehmen von einzelnen oder mehreren Informationen aus
Novell-Rechnern.
•
S.63
Architektur
IPX
verbindungslos
Paket
SPX
verbindungsorientiert
576 byte
SPXII
verbindungsorientiert
1518 byte
Netzwerkmonitor
Systemmonitor
Netzwerkmonitor
lokal
lokal + LANweit
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Echtzeit
Prozessor usw.
überwachen:
Broadcastrahmen
Multicastrahmen
Nw-Auslastung
Gesamtzahl der empfangenen Bytes/s
Gesamtzahl der empfangenen Rahmen/s
Active Directory
Active Directory = (relationale) Datenbank = "Verzeichnis"
X500 + LDAP + DNS = Active Directory
enthält Objekte
Eigenschaften
Werte
Benutzer
mit ACL, siehe unten
Telefonnummer
0471666554456
Schema
enthält Regeln
Replikationsdienst
sorgt für aktuelle Daten
Global Catalog
Alle Informationen zu allen Objekten.Man meldet sich jetzt nicht mehr
an einem Anmeldeserver an, sondern in einer Struktur (über die
Verzeichnisdatenbank).
Sicherheitskonzept
Policies, ACL (Access Control List, Zugriffssteuerungsliste), jedes
Objekt hat eine ACL (wer darf was mit diesem Objekt machen?)
•
Man kann AD über LDAP oder HTTP verwalten.
Der Zugriff auf Ressourcen kann über FQDN oder IP-Adresse erfolgen.
•
Distinguished Name (unterscheidbarer Name)
JMeyer.59.PeterLorenzStrasse.Berlin.de
•
LDAP-DN (Distinguished Name)
CN=JMeyer;OU=59;OU=PeterLorenzStrasse;DC=Berlin;DC=De
CN = Common Name = JMeyer = kleinste Einheit = Leaf Object, man kann kein anderes Objekt darin
anlegen
OU = Organisational Unit = 59 = kann andere OUs oder Leaf-Objekte enthalten
OU = PeterLorenzStrasse
DC = Domain Component = Berlin
DC = de
•
LDAP-RDN (Relative Distinguished Name)
Relativ zum aktuellen Kontext, wie das Arbeiten in reinen DOS-Verzeichnissen. Hängt vom
Ausgangsstandpunkt ab.
Es kann mehrere Objekte mit dem gleichen relativen Namen geben, aber nur einen mit dem gleichen DN.
LDAP-URL (uniform ressource locator)
LDAP://Data.Berlin.de/CN=JMeyer,OU=59,OU=PeterLorenzStrasse,DC=Berlin,DC=de
Data ist hier der LDAP-Server.
UPN (User Principal Name)
JMeyer@Berlin.de
JMeyer= Domänenpräfix, Berlin.de = Domänensuffix
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Voraussetzungen:
LDAP-Client, Win2000, Win9x, AD-Client
dafür benutzen: LDAP, IE oder NN
Domäne
|
Logische Einheit
> AD Administration
|
Verwaltungseinheit
BENUTZER
GRUPPEN
NETZWERKDIENSTE COMPUTER
RESSOURCEN
FREIGEGEBENE
Active Directory ist geeignet für
-Skalierbarkeit
-Sicherheit
-Verwaltung
-Zugang
•
Rollen bei der Replikation innerhalb einer Win2000-Struktur
FSMO (Flexible/ Single/ Master/ Operation)
-Schema-Master
ist für die Regeln zuständig. Hat eine Schablone und verteilt diese. Bei Ausfall können keine Änderungen
an AD vorgenommen werden. Solange läuft alles weiter. Die Rolle kann man auf einen anderen Rechner
verschieben, der alte Schema-Master muss jedoch neu installiert werden.
-Domain-Names-Master
-RID-Poolmaster
Relative IDs werden zugewiesen
-Infrastruktur-Master
Locations verwalten, z.B. Verschieben eines Rechners
-PDC-Emulator
in gemischter Umgebung
OU (Organisational Unit)
ist ein AD-Objekt (Container)
Anzahl der Vertrauensstellungen
n = Anzahl der Domänen
NT:
n * (n - 1)
Win2000:
n-1
bei 5 Domänen: NT = 20; Win2000 = 4 Vertrauensstellungen
Forest
sind mehrere zusammengefasste Bäume mit unterschiedlichen Namensräumen. Der höchste Punkt des
forests gibt den Namen. Dem höchsten Baum müssen alle anderen Bäume vertrauen.
Es gibt nur einen Global Catalog.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Übergeordnete Domäne = Parent, Untergeordnete Domäne = Child
Standort
Subnetze - verbunden über Verbindungen mit hoher Bandbreite
•
X500- Standard
Ziel: schneller Datenzugriff
ist auch hierarchisch aufgebaut, mit anderen Strukturnamen.
Benutzerinformationsmodell
Administratorinformationsmodell
ACL
DSAinformationsmodell
Directory System Agents
DIB Directory Information Base
-Objekte
enthält Attribute und Werte
-Untereinträge
-Alias
DIT Directory Information Tree
-tiefe Struktur für große Datenmengen
Root
|
C ountry
|
O rganisation
|
Computer (Objekt)
•
WINS / DNS / DHCP
Primärer und sekundärer WINS-Server haben die gleiche Funktionalität. (Können gegenseitig als primärer
Server des anderen konfiguriert sein. Ein WINS-Server kann für ein Netz der Primäre sein, für ein anderes
Netz der Sekundäre.)
Nochmal ansehen:
-B-Knoten
-H-Knoten
erst WINS, dann Broadcast: Can We Buy Large Hard Disks
-M-Knoten
erst Broadcast
DNS - Zonen:
-Primäre
-Sekundäre
-Active Directory-basierte Zone
DNS-Server-Typen:
-Primärer DNS-Server
-Sekundärer DNS-Server
-Cache-Only-Server
ist bei den ersten beiden enthalten
-Forwarder
kann bei den ersten beiden auch mit eingerichtet werden
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
In jeder Zone muss standardmässig ein primärer und ein sekundärer DNS-Server vorhanden sein.
(muss laut interNIC beim Beantragen einer öffentlichen IP sogar so eingerichtet sein) Die
Zonendatendatei kann nur auf dem primären Server geändert werden.
Sekundären Server heraufstufen = "Promotion".
Nicht-Forwarder = "Slave"
Namensauflösung:
Resolver: Client-Cashing - Lokaler Cache
DNS
Server-Cashing
Zoneninformationen
Rekursive Ermittlung (anderer DNS-Server)
"Mein" Server fragt der Reihe nach
(von root nach unten) die DNS-ServerKollegen und gibt dem Client das Ergebnis
seiner Rundreise bekannt
oder
iterative Ermittlung (Client fragt
anderen DNS-Server selbst)
Der Client kämpft sich selber durch
(von unten nach root und wieder nach
unten) mit den Verweisen auf andere
DNS-Server
Standardmässig sind alle DNS-Server und Clients für Rekursive Abfrage konfiguriert.
DNS
statisch
Änderungen per Hand
DDNS
dynamisch
Erweiterung des DNS-Dienstes
funktioniert erstmal nur innerhalb Win2000
bei AD: Zone = Container = OU
System > Microsoft.dns
das Objekt heisst immer so, wie die Zone
nur auf DC
•
DHCP
Keine Konfigurationsfehler
030 Router
044 + 046 WINS
usw. wird auch automatisch übermittelt
DHCP-Discover
Client > DHCP-Server > Anforderung IP-LEASE (IP-Leaseerkennung) > (Client brüllt ins Netz, 0.0.0.0
Quelladresse 255.255.255.255 Zieladresse
9, 13, 16 Sekunden, alle 5 Minuten, sonst APIPA (169.254.x.y)
|
Initialisierung IP-Leaseprozess
|
DHCP-Offer
IP-Leaseangebot vom DHCP-Server:
MAC-Adresse des Clients, IP-Adresse, SN-Mask, Gültigkeit der Lease, IP-Adresse des Servers
|
IP-Leaseanforderung (Danke, hab ich)
|
DHCP-Request (Habe Adresse angenommen, könnte alle anderen zurücknehmen)
|
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
DHCP-Pack, IP-Leasebestätigung vom Server (Gut, kannst anfangen)
DHCPNACK vom Server, wenn etwas nicht stimmt
Bei verschiedenen Subnetzen:
Hardwarerouter müssen BOOTP-fähig sein, Computer als Router müssen den DHCP-Relay-Agenten
installiert haben.
IPs sollten nicht doppelt von DHCP-Servern vergeben werden können (Pools 75 / 25% verteilen)
•
AD
Planung
1. Logische und physische Umgebungsstruktur
2. Verwaltung dafür
3. Domänenanforderung
4. Domänenorganisationsbedarf
DNS Namespace, interner wie externer Namespace?
•
Installation von AD
Bei den ersten Releases musste erst DNS installiert werden, bevor man AD installieren konnte.
Kann man jetzt gleichzeitig machen.
dcpromo = Assistent
Schemamaster
Domänennamensmaster
Relative ID-Master (RID-M)
PDC-Emulator
Infrastrukturmaster
beide nur 1x pro Struktur, muss eindeutig festgelegt werden
diese drei dürfen nur 1x pro Domäne vorhanden sein
movetree.exe (supporttools) verschiebt Benutzer.
PDC-Emulator ist auch in reiner 2000-Umgebung vorhanden, macht z.B. Passwortänderungen.
Der erste 2000-DC bekommt automatisch alle fünf Rollen.
Ausgefallener Betriebsmaster: Empfehlung von MS: Formatieren und neu installieren.
-Beim ersten DC darf in der Netzwerkkonfiguration kein anderer DNS-Server eingetragen sein
(automatisch wird dann die Loopback-Adresse eingetragen).
-Durch unterschiedliche Namensauflösung gab es Probleme beim Installieren von AD. Die neu
eingerichteten Domänennamen ("bank3.de") konnten nicht aufgelöst werden. Lösung: Nur "bank3"
eingeben.
-Keine Berechtigung: Zum Installieren von AD ist das Administratorkonto des ersten DCs nötig. Lokaler
Administrator funktioniert nicht.
-Nach Einrichtung von AD kommen die Rechner nicht ins Netz. Lösung: Zumindest beim ersten DC in der
Domäne muss im DNS-Server die root "." gelöscht werden. Dann kann man bei den DNS-ServerEigenschaften die Weiterleitung aktivieren. Und funz.
Eine DNS-Zone muss nicht mit Domänen übereinstimmen.
Bei Eigenschaften einer Zone, z.B. von bank3.de, kann man Zonenübertragung zu einem anderen DNSServer aktivieren. Zonenübertragungen sollen nur zwischen sekundären DNS-Servern erfolgen, um die
Primären zu entlasten. Ein sekundärer DNS-Server, der Zonendaten überträgt, heisst Masterserver.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Jetzt: inkrementale Zonendatenübertragung (nur Änderungen) statt kompletter Übertragung früher.
DNS-Fehlerbehebung: Buch S.180
•
Standorte einrichten
Active Directory-Standorte und -Dienste
Standorte = Sites
Neue Standorte einrichten
Inter-Site Transports = Standortverknüpfung
Standorte verbinden
Sites -- Standardname-des-ersten-Standortes -- License Site Settings = Lizenzserver einrichten
Bridgeheadserver zur Verbindung von Standorten mit langsamen bzw. teueren Verbindungen einrichten.
•
Benutzerkonten
Domänenbenutzer melden sich nicht mehr am Rechner an, sondern an der Struktur (AD).
Lokale Benutzerkonten:
Domänen-Benutzerkonten:
Ressourcen des lokalen PCs
Lokale Sicherheitsdatenbank
Netzwerkressourcen
Zugriffstoken
erstellen auf DC
Integrierte Benutzerkonten: Administrator, Gast, (wenn IIS installiert ist: IUSR_Name, IWAM Name) (für
Terminaldienst: TSInternetUser), krbtgt (Benutzerkonto als Dienst, für Zertifikatsdienste)
20 Zeichen erkennt Win2000 beim Benutzernamen (am besten immer klein schreiben).
Empfehlung bei Passwortlänge 8 Zeichen, max 14 Zeichen.
Verteilergruppen werden verwandt für Angelegenheiten, die nicht mit Sicherheit zusammenhängen, z.B.
e-mail-Verteiler. Die Programme müssen mit Active Directory zusammenarbeiten können.
Sicherheit
Verteilung
globale Gruppen
allgemeine Aufgabenbereiche
(stammen aus einer Domäne)
(haben Zugriff auf Ress. anderer Dom.)
domänenübergreifende lokale Gruppen Freigegebene Ressourcen
(stammen aus mehreren Domänen)
Verwaltung
(hat Zugriff auf Ress. einer Domäne)
(in der Domäne mit den Ress. erstellen)
universelle Gruppen
(stammen aus allen Domänen)
(können Ress. aller Domänen nutzen)
(nur im einheitlichen Modus)
Resourcen in mehr in einer Domäne
Benutzer in globale Gruppen einordnen, die dann in lokale Gruppen eingefügt werden.
Globale in unverselle, Rechte auf universelle Gruppen vergeben.
Verschachtelungen möglichst minimieren.
globale Gruppen (Standard), 4 Stück: Domänen-Admins -Gäste, -Benutzer, Organisations-Admins
Prüf: aus dem Text erlesen, um welche Gruppen es geht
Domänen + lokale Gruppen = Domänenübergreifende lokale Gruppen
Benutzer = gemischter Modus
Benutzerkonten = einheitlicher Modus
Standardgruppen, -konten und deren Beschreibung sollte man wissen. (User und Gruppen in AD
ansehen.
Gruppen erhalten auch eine SID. Gruppe gelöscht und neu erstellt: Berechtigungen werden nicht
erhalten.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Gruppe gelöscht: Benutzer bleiben erhalten.
Die Gruppe "Jeder" gab es nur bei NT 3.51 und 4.0.
Hauptbenutzer gibt es nur als lokale Gruppe.
•
NTFS, Freigaben, DFS
•
NTFS
ACLs / ACEs
Dateiberechtigungen vor Ordnerberechtigungen
Verweigerung vor Gewährung
Standardmässig Vererbung von Berechtigungen auf Unterordner
Novell: erst mal keine Berechtigung, muss man hinzufügen
MS: erst mal alle Berechtigungen, muss man einschränken
Beim Verschieben einer Datei innerhalb einer Partition bleibt diese physikalisch am selben Ort, nur der
Pfad wird geändert. Weil die Datei selber nicht neu geschrieben wird, bleiben nur in diesem Fall die
Berechtigungen erhalten.
Freigaben:
Lw C:\ = C$
Admin$ = %Systemroot% (\WINNT)
Print$ = %Systemroot%\System32\Spool\Drivers
•
Verwalten von AD
Verschieben von Objekten innerhalb einer Domäne mit AD-Snap-Ins.
movetree zum Verschieben von Objekten zwischen Domänen verwenden (in einer Gesamtstruktur).
Syntax: über cmd "movetree" eingeben, zeigt Optionen an.
movetree /start
/check Test durchführen, Ggs. /startnocheck
Beim Verschieben von Gruppen zwischen Domänen müssen die Gruppen leer sein (wegen GUID =
Global User ID). Die User kann man anschliessend wieder hineinverschieben.
SID-History (nur in reiner 2000-Umgebung) sorgt dafür, dass Eigenschaften und Attribute nicht
verlorengehen. Aus SID2 lässt sich auf SID1 schliessen.
Verschieben ist fehlschlagen: Grund z.B.
Gleicher Name
Andere Kennwortbeschränkungen (unterschiedliche Regeln)
Globale Gruppen
nicht verschiebbarer vordefinierte OU wie "Lost and found"
•
Backup
AD kann mit dem Windows Backup-Programm sichern oder über F8 beim Starten wiederherstellen.
Nichtautorisierende Wiederherstellung: Replizierung erfolgt durch andere DCs, um einen aktuellen Status
zu erreichen.
Autorisierende Wiederherstellung: meine Wiederherstellung überschreibt die anderen DCs.
Vor einer Authorisierenden Wiederherstellung muss immer erst eine nichtauthorisiernde
Wiederherstellung über Backup vorausgehen.
Ausführen:
ntdsutil
authoritative restore
restore database
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
oder
restore subtree OU=xxx,OUxxx,DC=xxx,DC=xxx
•
GPO Group Policies Objects
Gruppenrichtlinenobjekte
-Konfigurationseinstellungen
für
Computer
Benutzer
Standorte
Domänen
OUs
lokale GPOs
nicht lokale GPOs (AD), überschreiben lokale GPOs
Gruppenrichtlinien für Win95 /98 oder NT müssen jeweils mit den dort enthaltenen Tools erstellt werden,
nicht mit Win2000. Bei Win2000 muss man zum Verwalten von Gruppenrichtlinien das adminpack.msi (-Systemsteuerung--Software) installiert haben.
Standardmässig wird zuerst die Computerkonfiguration abgearbeitet, dann die Benutzerkonfiguration.
Computerpolicy steht in HKEY_LOCAL_MACHINE.
Benutzerpolicy steht in HKEY_CURRENT_USER.
POST
Speicher
Bootplatte
BS
Netzwerk
RPC
MUP Multiple Universal Naming Convention Provider (Dienstaufrufanbieter)
Liste GPOs
Computer
Standort
Änderungen in der Reihenfolge der Abarbeitung?
Verarbeitung der Konfigurationseinstellungen
lokale
für Computer (keine Benutzeroberfläche)
Standort
Domäne
OUs
Scripte
STRG+ALT+ENTF
Login Account / Password
Domäne
Benutzerprofil, von gültiger GPO gesteuert
Liste der GPOs
Benutzer
Standort
Änderungen in der Reihenfolge der Abarbeitung?
Verarbeitung der Konfigurationseinstellungen
lokale
für Computer (keine Benutzeroberfläche)
Standort
Domäne
OUs
Scripte
asynchrone Abarbeitung (nacheinander)
Oberfläche
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Man kann für jede Domäne, OU oder Server bei den Eigenschaften die Richtlinienvererbung deaktivieren,
ausser man hat unter --Eigenschaften--Gruppenrichtlinien--Optionen "kein Vorrang" eingestellt.
Beim Verändern von Standardrichtlinien sollte man vorher eine Kopie davon anfertigen.
--Richtlinien für Computer--Computerkonfiguration--Administrative Vorlagen--System--Gruppenrichtlinien-Loopbackverarbeitungsmodus: Einstellungen für Computer, Benutzer und danach nochmal für Computer
werden abgearbeitet.
-Richtlinientypen
Einzelner
Nur ein Typ von Einstellungen ist möglich, z.B. Druckerveröffentlichung zulassen
Multipler
Mehrer Einstellungen sind möglich.
Dedizierter
Hä? S.491
-Implementierung von GPOs
1. Möglichkeit: Basisrichtlinie für Domäne, spezielle Richtlinie für OUs usw.
2. Möglichkeit: Keine Basisrichtlinie, alle Richtlinien in OUs usw.
Anmeldebeschleunigung: In den Eigenschaften eines Gruppenrichtlinienobjekts entweder für Computer
oder Benutzer deaktiviert wählen, wenn nicht benötigt. (--OU wählen--Eigenschaften--Gruppenrichtlinien-"Name des Gruppenrichtlinienobjekts"--Eigenschaften--Allgemein)
-Verwalten von Software mit GPO
Erstmalig
Updates
Entfernen
Typen: Verbindlich = Zuweisen
unverbindlich = Veröffentlicht
Installer-Komponenten: -Betriebssystemdienst
-Windows-Installer-Paket (*.msi)
-Anwendungsprogrammierschnittstelle (API)
*.msi-Dateien werden normalerweise vom Hersteller geliefert. Für manche Programme kann man sie
selber erstellen (soll z.B. für NT4 Terminalserver-Software gehen).
*.msp für patches und Service-Packs
*.aas Application Assignment Scripts
siehe auch Kopie
SDP Softwareverteilungspunkt
Ordner einrichten und freigeben und die Ordner mit der Software dort einfügen
Anwender = lesen, weitere Rechte nur für Administrator.
•
DFS Distributed File System
Sinn: User müssen den Kram nicht auf verschiedenen Servern zusammensuchen. Sieht aus wie ein
Ordner, ist aber im Netz verteilt.
Beziehen sich auf freigegebene Ordner, die physisch verteilt sind. Die Replikation erfordert NTFS 5
wegen
PKT
Partition Knowledge Table
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Partitionsinformationstabelle,
enthält die Zuordnungsinformationen (Stamm-/ Replikationsknoten im DFS-Namespace = AD-Standorte /
Physische Server). Ähnlich FAT. Informationen erhalten auch ein TTL.
Client > PKT > \\Server\Ordner
DFS-Stamm (Stammreplikat)
|
|_________DFS-Verknüpfung1 (SVR1)
|
|_________DFS-Verknüpfung2 (SVR2)
Maximale Pfadlänge = 260 Zeichen
Maximal 1 DFS-Stamm pro Server
Maximal freigegebene Ordner pro DFS-Verknüpfung = 1000 Ordner
Maximale Anzahl von Stämmen pro Domäne = unbegrenzt
Maximale Anzahl von Replikaten von einem domänenbasierten Satz = 256
2 Typen:
Domäne > AD -fehlertolerant
Standalone
-natürlich nicht
PKT.TAB
DFS-Pfad
DFS #1
Link(Server/Freigabe)
UNC#1
Über cmd:
oder
NET USE *\\Domänenname\DFSStamm\DFSFreigabe\Ordner
NET USE *\\Servername\...
TTL
5 min
Datei-Replikation ist etwas anderes als die AD-Replikation.
FRS File Replikation Service Dateireplikationsdienst verteilt Dateien.
DFSGUI.MSC + DFSGUI.DLL werden benötigt für die DFS-Verwaltungskonsole.
Weitere Dateien, die auftauchen können:
NETDFS.ADD
NETDFS.ENUM
NETDFS.SETINFO
Hinzufügen von Verknüpfungen
lies DFS-Infos aus
füge DFS-Infos hinzu
Auf dem Server, der den DFS-Stamm hält läuft der DFS-Dienst.
DFSSVC.EXE > NETAPI32.DLL
DFS.SYS > Weiterleitung der DFS-Infos an Clients
Auf dem Client
MUP.SYS (Mehrfacher UNC-Provider) = Redirector, Unterstützung für DFS-Client
RDR.SYS Kommunikation zwischen DFS-Server / WIN-basierter Datei Server über
SMB-Protokoll
NWRDR.sys wie GSNW für Netware für DFS, über NCP-Protokoll
•
Verwalten der Sicherheitskonfiguration
Snap-In Richtlinien für Default Domain Policy
-GPO
Sicherheitskonfiguration
-Sicherheitseinstellungen
-Richtlinie für Konten
-lokale Richtlinien
-Ereignisprotokoll
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
-Eingeschränkte Gruppen
-Systemdienste
-Registrierung
-Dateisystem
-Richtlinien für öffentliche Schlüssel
-IP-Sicherheitsrichtlinien
•
Sicherheitsvorlagen
Sicherheitsstufen:
Standard
Kompatibel
Basic*.inf
BasicDC.inf
BasicSV.inf
BasicWK.inf
Compat*.inf
NT
CompatWS.inf
DCSecurity.inf NT
Sicher
Secure*.inf
Hohe Sicherheit Hisec*.inf
Besonders
NT
(Win98)
Notssid.inf
Pfad: %Systemroot%\security\templates
Wenn man diese Vorlagen verändern will, vorher eine Kopie vom Original speichern!
•
Sicherheitskonfiguration und -Analyse
kann man als Snap-In hinzufügen. Überprüft den lokalen Computer auf Sicherheit, indem er ihn mit einer
Vorlage aus dem Pfad oben vergleicht und Unstimmigkeiten markiert. Sinn: Sicherheitslücken im
Vergleich zu einer bestimmten Vorlage herausfinden.
Vorgehen: Das Snap-In bauen, Eigenschaften von "Sicherheitskonfiguration und -Analyse"--Datenbank
öffnen--neuen Namen eingeben--öffnen--eine Vorlage importieren--ok--Eigenschaften von
"Sicherheitskonfiguration und -Analyse"--Computer jetzt analysieren--Ergebnisse in den Symbolen links
ansehen oder mit--Eigenschaften von "Sicherheitskonfiguration und -Analyse"-Protokolldatei anzeigen die Textform begutachten.
Vorsicht: --Eigenschaften von "Sicherheitskonfiguration und -Analyse"--System jetzt konfigurieren würde
die Vergleichs-Vorlage auf den Computer jetzt anwenden!
•
Verwaltung der Active-Directory-Leistung
Überwachungsdaten: S.637ff soll irgendwie wichtig sein.
-Snap-Ins:
Leistungsprotokolle und Warnungen--Leistungsindikatorenprotokolle--Systemübersicht ist eine
Protokollierungseinstellung, die nicht gelöscht oder überschrieben werden kann. Man kann nur neue
Protokollierungen einrichten. Warnungen werden auch hier erstellt.
System Monitor Control kann man unter Active-X-Steuerelemente finden und nur so als Snap-In
hinzufügen.
Ereignisanzeige: Möglichkeiten ansehen.
AD-Replikationsmonitor (Support Tools müssen installiert sein): Server erst einzeln hinzufügen.
Rechtsklick auf die einzelnen Server > gibt viel zu sehen.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
AD-Administration Tool (Support Tools müssen installiert sein): LDAP-Verbindung zum Verwalten > weiss
der Geier, wie.
Befehlszeilen:
repadmin
Replikationstopologie anzeigen / konfigurieren
dsastat
sdcheck
nltest
acldiag
zeigt Berechtigungen für ein Objekt
•
RIS
-Server
BINL.SVC Boot Information Negotiation Layer (.SVC = Dienste)
|
v
Verwaltung: TFTPD Trivial File Tranfer Protocol Daemon,
verbunden mit CIW Client Installation Wizard
SIS Single Instance Store, spart Platz auf dem Datenträger
RIS-Datenträger mit RiPrep-Abbild oder nur Installationsdateien
-Client
PXE > DHCP-basierte Boot-Proms
NIC > PCI-Karte erforderlich, kein Legacy. RIS-Startdiskette nötig.
BIOS > NetPC / PC98-kompatibel
Empfohlen: 100 Mbit-Netzwerk oder schneller.
Praxis
DHCP- und RIS-Server sollten auf dem gleichen Server laufen (Client darf keinen falschen DHCP-Server
erwischen)
DOS-Namenskonventionen einhalten! Könnte sonst Probleme beim Client geben.
-RIS-Clientinstallationsoptionen
Automatisch
Benutzerdefiniert
Neustart eines vorherigen Setups
Wartung / Fehlerbehebung
Netzwerkinfrastruktur-Administration (Folge 2)
•
IPSEC
Aktivieren: Netzwerk- und DFÜ-Verbindungen--Eigenschaften einer Verbindung--Eigenschaften von
TCP/IP--Erweitert--Karte Optionen
IPSec nicht verwenden oder
IP-Sicherheitsrichtlinie verwenden:
Client (nur Antwort)
Server (Sicherheit anfordern)
Sicherer Server (Sicherheit erforderlich)
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
IPV4
IPV6
30.03.2001
ist optional
Standard
wird verwendet von Microsoft, Novell (ab 5.x), Cisco
SSL, PGP, SMIME
IPSec
3.Schicht, OSI-Referenzmodell
NW-Schicht, 1.- ?, setzt früher an, ist deshalb besser
Struktur: 2 Kernmechanismen
alternativ:
AH (Authentification Header), authentifiziert den Sender
ESP (Encapsulating Security Payload), authentifiziert den Sender, unterstützt
zusätzlich Datenverschlüsselung
-Standards
sind festgelegt in den RFCs 1825 - 1829, 2085, 2104 (festgelegt von IETF)
AH
HMAC - MD5 (Hash-Message Authentification Code) - (Message Digest 5)
HMAC - SHA (
"
) - (Secure Hash Algorithm)
ESP
DES - CBC (Data Encryption Standard) - (Cipher-Block-Chaining)
Es gibt noch mehr, die aber nicht oder noch nicht standardisiert sind.
-Keymanagement - Wie wird dem Empfänger der Schlüssel zugänglich gemacht?
SA (Security Association) Sitzungsschlüssel
IKMP (Internet Key Management Protocol)
IKE (Internet Key Exchange)
ISAKMP / Oakley (Internet Security Association Key Management Protokoll)
Oakley = Organisation, die seit der Entwicklung von TCP/IP die Finger hier drin
hat. Steht hier für einen Mechanismus, der während einer Sitzung den
Schlüssel wechselt.
L2TP+ IPSec = Secure Tunnel
-Einrichten: über IP-Sicherheitsrichtlinie (IKMP)
Policy-Agent sorgt für für die Durchsetzung der Richtlinien. Deshalb muß nur einmal die Richtlinie
festgelegt werden.
1.Richtlinien implementieren
2. Richtlinien konfigurieren
3. Digitale Zertifikate bereitstellen (nicht bei Kerberos-Authentifizierung im LAN)
SA: Sitzungsschlüssel
kominiert SPI (Security Parameter Index), für jede Richtung ein SA, d.h. 2 SAs für eine Verbindung.
Algorithmus für Authentifizierung
Schlüssel für Authentifizierung
Verschlüsselungs-Algorithmus
Schlüssel für die Verschlüsselung
Daten für kryptografische Synchronisation
Sensibilität der übertragenen Daten (verschiedene Sicherheitsstufen / Prioritäten)
TTL für Schlüssel
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
TTL für SA
Bei Authentifizierungen gibt es zwei Modi:
1. Transport-Modus
Der physische Empfänger entspricht dem inhaltlichen Adressaten
-------------------------------------------------------------------------------------------||| Original-IP-Header || Authentification-Header || TCP || Daten ...
-------------------------------------------------------------------------------------------2. Tunnel-Modus
Pakete gehen erstmal an den Tunnelpartner, der die Daten dann weiterleitet.
Paket wird vom physischen Empfänger an den inhaltliche Adressaten weitergeleitet.
----------------------------------------------------------------------------------------||| New IP-Header || AH || Original-IP-Header || TCP || Daten ...
----------------------------------------------------------------------------------------In AH enthalten:
Next Header
Payload Length
Reserved
SPI
Sequence Number
Authentification Data
Info über die nachfolgenden "Köpfe"
Länge der zu übertragenden Nutzdaten
Identifiziert die verwendete SA
Replay, wird nur einmal abgearbeitet
ICV, ist Prüfsumme nur für den Header, wie CRC am Ende
ESP:
Im Tunnel-Mode Verhinderung der Verkehrsanalyse (das nennt sich padding). Dadurch läßt sich nicht
feststellen, wieviel Daten enthalten sein müßten.
Transport-Modus
----------------------------------------------------------------------------------------------------------------------------------||| Original-IP-Header || ESP-Header || TCP || Daten || ESP-Trailer || ESP-Authentification ...
----------------------------------------------------------------------------------------------------------------------------------|
Verschlüsselung
|
|
Authentification
|
Tunnel-Modus
-----------------------------------------------------------------------------------------------------------------------------------------||| New IP-Header || ESP-Header || Original-IP-Header || TCP || Daten || ESP-Trailer || ESP-Auth.
------------------------------------------------------------------------------------------------------------------------------------------
Im ESP-Header enthalten:
SPI
Sequence Number
Initialization Vector
Identifiziert die verwendete SA
Replay, wird nur einmal abgearbeitet
DES-CBC-Infos:
Ci = i-ter Block des Kryto-Textes
Ek = Verschlüsselung mit Schlüssel "k"
Pi = i-ter Block des Klartextes
iv = Initialisierungsvektor
Berechnung:
Ci = Ek (( Ci -1) + Pi)
Ci = Ek (iv + Pi)
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
cmd
ipsecmon
30.03.2001
zum Überwachen von IPSec
IPSec-Konfiguration S. 125ff
Übungen S. 135ff
•
WINS
Ne BT = NetBIOS over TCP/IP
1.Rechner fährt hoch
Broadcast: IP + Name
2.Andere Rechner antworten
IP + Name
3.Daten werden im Cache gespeichert >Mapping
Den Cache kann man mit NBTSTAT -C einsehen
In WINS kann man statisches Mapping für Clients einrichten, die nicht WINS-fähig sind.
B-Knoten
P-Knoten
M-Knoten
H-Knoten
NodeType 1
>kein WINS-Server im Netz
Node Type 2 (-) >mind. 1 WINS-Server im Netz
NodeType 4
>1. Broadcast, 2. WINS
NodeType 8
>Default, wenn WINS angegeben wurde
WINS-Proxy
Ein Proxy kann von allem ein bisschen, speichert, verteilt, gatewayt o.ä..
Ist praktisch ein Broadcast-Router für WINS.
WINS-Proxy ist nötig für andere Subnetze.
siehe auch Windows2000-Hilfe: WINS-Proxy
Zum Aktivieren eines WINS-Proxys: Registrierung öffnen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
EnableProxy von 0 auf 1 setzen.
Auf dem Proxy muss die IP des WINS-Servers eingetragen werden.
Auf den Clients, soweit möglich, muss die Adresse des WINS-Proxys für das entsprechende Segment
eingetragen werden.
WINS + DNS
Server, auf denen DNS eingesetzt ist, nennt man auch Standard-Server
WINS-Lookup:
Für nicht Standard- Server: Leere Zone erstellen, Eigenschaften der Zone--Karte WINS--WINS-Lookup
verwenden aktivieren. Suffix der Zone muss angehängt werden, damit die Einträge gefunden werden.
WINS Datenbank: Wins.mdb
Einträge in WINS-Datenbank:
Records
enthält folgende Tupel
Hostname, IP, Status, Eigentümer, Diensttype, Ablaufdatum,
inkrementierte Versionsnummer
Wenn die Datenbank zu gross wird, wird sie automatisch komprimiert.
Manuell komprimieren: JETPACK.exe (WINS-Dienst vorher beenden!)
Konsistenzprüfung: Zeitintervalle festlegen unter Eigenschaften von WINS-Server.
Nicht zu oft, weil jedesmal auch die Clients überprüft werden.
WINS-Backup
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Automatisch
Manuell
WINS vorher beenden
WINS-Anmerkungen
tumbstone = marker oder flag = Eintrag wird zum Löschen markiert
Zweck: Wenn man einen Eintrag sofort physikalisch löscht, sind sie beim nächsten Abgleich mehrerer
Server evtl. wieder da. Minusbites kann man nicht übertragen. Stattdessen wird ein tumbstone übertragen
und auf allen Servern auf den Eintrag gesetzt. Zum festgelegten Zeitpunkt wird der Eintrag auf allen
Servern gleichzeitig gelöscht.
WINS-Server im gleichen Subnetz finden sich automatisch, kann man auch angeben.
Parallele Definition:
Partner1
Partner2
Pull 13:00
Push
Pull
Push 13:00
Beim ersten Mal wird alles übertragen, dann nur noch inkrementell.
Burst Handling: schnelle Bearbeitung von WINS-Clientanforderungen bei hoher Serverauslastung. Siehe
Windows-Hilfe zu Burstverarbeitung. Einstellen: --Verwaltung--WINS--Eigenschaften des Servers--Karte
Erweitert
•
RRAS Routing und RAS
RAS
RAS im LAN-Bereich = Netzwerkzugriff.
Bei der Einwahl beim ISP baut man erstmal eine Point-to-Point-Verbindung auf.
PPP ist nur ein Verbindungsaufbau-Protokoll, kein Datenübertragungs-Protokoll.
Ports werden wie einständige Netzwerkgeräte behandelt. Zusätzlich zu den physikalischen Ports werden
noch mindestens 10 Ports hinzugefügt
1 Modem
2 paralle Schnittstellen
5 PPP
5 PPTP
------------------------=
12 Ports
Konfiguration von Einwahlmöglichkeiten:
1. Server ist Mitglied einer Domäne:
-RRAS, -VPN, -Modempool
2. Server ist nicht Mitglied einer Domäne oder Workstation
-ICW Internet Connection Wizard
RRAS + IP-Adressvergabe
Remote-Clients brauchen eine IP, um im Netzwerk zu arbeiten. Man könnte jedem Device (Port) eine IP
zuweisen, ist aber zu viel Arbeit und wird nicht ständig genutzt. Daher wird ähnlich DHCP z.B. je eine IP
durch RRAS aus einem Adresspool für eine Sitzung zugewiesen.
Möglichkeiten:
1. IP durch RRAS (statischer Adresspool)
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
2. RRAS + DHCP
RAS-Server holt sich 10 Adressen vom DHCP-Server (1 für sich selbst, 9 für
Clients)
Wenn 9 Stück verbraucht, werden die nächsten 10 angefordert.
Wenn DHCP-Server nicht erreichbar, APIPA (169.254.0.1-169.254.255.254)
RRAS-Policies
1. Ebene
Einstellen: Remote Access Policies (wird lokal auf dem RAS-Server gespeichert, nicht im AD!)
RAS-Richtlinie besteht aus 3 Komponenten:
-Bedingungen (conditions)
-Zeit der Einwahl
-feste IP-Adressen möglich
-Gruppe, der der Client angehören muss
-User-IDs können eingetragen werden
-Berechtigungen (permissions)
-Art der Einwahlberechtigung
z.B. Gruppe der Administratoren = immer
z.B. Gruppe Marketing = nur innerhalb der Geschäftszeiten
-Profil (profile)
-Einstellungen für die Verbindung, z.B.Verschlüsselung, Authentifizierung,
Dauer der Verbindung
Für eine Einwahl müssen alle drei Komponenten richtig konfiguriert werden.
2. Ebene, userbezogen, gespeichert in AD
-Einwahlberechtigung des jeweiligen useraccounts
Anwendung von RAS-Policies
1. Prüfung der Routing- und Remote-Zugriffsrichtlinie
Auch eine nicht vorhandene Richtlinie unterbindet den Zugriff !
2. User account-Prüfung
Diese Richtlinie gewinnt (default).
Darf oder
darf nicht oder
darf, wenn er Policy erfüllt
Authentifizierungsprotokolle
PAP Password Authentification Protokoll
Name + Passwort-login
Passwort = Klartext, gefährdet durch Brute Force Angriff (spielt Dictionary oder alle
möglichen Zeichenkombinationen durch).
unterste Sicherheitsstufe unter Win2000.
SPAP Shiva Password Authentification Protokoll
Reversible Verschlüsselung, Brute Force-Angriff würde etwas länger dauern.
CHAP Challenge Handshake Authentification Protocol = MD 5 (Message Digest 5), identisch
Einwegverschlüsselung
3-Part-Handshake:
-Anforderung zur Authentifikation (eindeutiger Schlüssel für diese Sitzung und
Challenge-String (willkürlich)
-Antwortpaket: Username und mit Einwegschlüssel verschlüsselt: Passwort,
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Sitzungsschlüssel, Challenge-String
-Computer1 vergleicht Informationen mit seiner Datenbank. Wenn Infos i.O., hat
sich Computer2 identifiziert.
MS-CHAP funktioniert nur unter Microsoft-BS, ist default bei Win2000 sonst wie CHAP.
MS-CHAP v.2 Wechselseitige Authentifizierung.
-Wird standardmässig als Authentifizierungsmethode für VPN benutzt.
-Win98 und NT4 können MS-CHAP 2 nutzen, allerdings nur zum Eröffnen einer VPN-Unter 2000-Rechnern kann man MS-CHAP auch für RAS benutzen.
Sitzung.
EAP Extensible Authentification Protocol
API (Programmierschnittstelle) für andere Sicherheitsprotokolle.
in diesem Zusammenhang: TLS Transport Layer Security --> Smartcard
Hackerkram: "Entführen" von Sitzungen, "Man in the Middle"
RAS-Protokolle
-SLIP
-PPP
-Microsoft RAS
-ARAP
Vorläufer von PPP, wird bei Win2000 nur noch als Client unterstützt
Standard
Win2000-Client > älteren RAS-Server (z.B. WfW, NT 3.1, DOS, LAN-Manager)
Apple > MS-RAS-Server
Verschlüsselung
-keine Verschlüsselung
Gruppe darf unverschlüsselte Verbindung aufbauen
-Standardverschlüsselung (Basic)
S.423
56-bit DES-Verschlüsselung (IPSec)
40-bit MPPE-Verschlüsselung (Microsoft Point-to-Point Encryption)
-Starke Verschlüsselung
56-bit DES-Verschlüsselung (IPSec)
56-bit MPPE-Verschlüsselung
-Stärkste Verschlüsselung --Download eines Paketes von microsoft.com
(es gibt Exportbeschränkungen für einige Länder)
Triple DES-Verschlüsselung (3DES) (IPSec)
128-bit MPPE-Verschlüsselung
BAP Bandwith Allocation Protocol
Dynamisches Hinzuschalten bzw. Abschalten von Kanälen
Radius
Protokoll zur Authentifizierung von Benutzern in DFÜ-Netzwerken oder getunnelten Netzwerken, die nicht
Microsoft-Remoteserver verwenden (ISP).
•
DHCP
Scope = fortlaufender Bereich von IP-Adressen (nicht fragmentiert)
Prüfung:
DHCP-Server in Active-Directory muss erst autorisiert werden, damit er funktioniert.
Sonst Fehlermeldung: "DHCP unavailable"
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Empfohlene Verteilung der IP-Adressbereiche unter Win2000:
DHCP1
DHCP2
Scope1 80%
Scope2 80%
Scope2 20%
Scope1 20%
Bei Wechsel der IP-Bereiche im laufenden Betrieb: Superscope muss erstellt werden.
Superscope= übergeordnete logische Einheit = mehrere Scopes werden zu einem Bereich
zusammengefasst (alter und neuer Bereich). Jeder neue Bereich muss einzeln aktiviert werden. Dann
kann man einen fliessenden Übergang von alten auf neue Bereiche erreichen, indem
Clients beim nächsten Mal die neuen Adressen zugewiesen werden.
Einen Superscope kann man auch für verschiedene Subnetze benutzen. Jedes Subnet bekommt seinen
eigenen Adressbereich.
Multinet = neuer Begriff, segmentiertes Netzwerk
Dynamische Zuweisung von IP zu MAC-Adressen ist unter Win2000 auch möglich. Frag nicht, wie.
Ausschlussbereich bei NT = Exclusion-Range bei Win2000
DHCP gibt auch andere Informationen weiter, wie WINS-Server-Adressen, DNS-Server-Adressen.
Man kann verschiedenen Benutzern auch bestimmte Server zuordnen:
cmd
ipconfig /setclassid
Sollen für bestimmte User oder Gruppen bestimmte Konfigurationen gelten (z.B. kürzere Leasedauer,
anderer DNS-Server), erfolgt dieses durch Definition von User-classes (=Name + ClassID). Die Class-ID
wird auf den Clients mit diesen Befehlen zugewiesen.
DHCP-Relay-Agent
Einrichten über Netzwerkdienste.
•
Zertifizierung
Ist Bestandteil der PKI Public Key Infrastruktur.
CA Certification Authority
2 Typen
1. Enterprise CA
2. Stand-Alone CA
Enterprise CA
Active Directory und DNS erforderlich.
Kann demnach nicht in heterogenen Umgebungen genutzt werden.
Zertifizierungsstelle (Dienst) für Organisationen (nicht öffentlich! (Internet))
Root CA = Stammzertifizierungsstelle
Subordinated CA = untergeordnete Zertifizierungsstelle
Zertifikate müssen von der Root CA signiert (beglaubigt) werden.
Sollen gewährleisten, dass jemand "echt" ist.
Man kann ein Zertifikat z.B. zum Verschlüsseln von e-mail verwenden. Nur derjenige, der als Empfänger
das richtige Zertifikat auf dem Rechner gespeichert hat, kann die mail lesen.
Weiterhin für Treiber, Software usw.
Signiert heisst nicht virenfrei. Es gibt reichlich gefälschte Zertifikate.
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de
mcse2000.pdf
30.03.2001
Für Implementierung nötig:
-Administrator-Berechtigung auf dem CA-Server
-genügend DNS-Berechtigungen
-genügend AD-Berechtigungen
-weitere Vorgaben siehe ab S.383
Stand-Alone CA
Kein AD nötig.
Kein DNS nötig.
Stand-Alone Subordinated CA
Signatur durch externe Root-CA (nicht kostenlos)
Thomas Krause – thomas@krause-it.de - http://www.krause-it.de