Windows Server 2008 Networking und Netz

Transcription

Joseph Davies und Tony Northrup
mit dem Microsoft Networking Team
Microsoft
Windows Server 2008
Networking und Netzwerkzugriffsschutz –
Die technische Referenz
Dieses Buch ist die deutsche Übersetzung von: Joseph Davies and Tony Northrup with the Microsoft Networking Team:
Windows Server 2008 Networking and Network Access Protection (NAP)
Microsoft Press, Redmond, Washington 98052-6399
Copyright 2008 Microsoft Corporation
Das in diesem Buch enthaltene Programmmaterial ist mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor, Übersetzer und der Verlag übernehmen folglich keine Verantwortung und werden keine daraus folgende
oder sonstige Haftung übernehmen, die auf irgendeine Art aus der Benutzung dieses Programmmaterials oder Teilen
davon entsteht.
Das Werk einschließlich aller Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des
Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten,
Ereignissen sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-MailAdressen und Logos ist rein zufällig.
15
10
14 13 12
09 08
11
10
9
8
7
6
5
4 3 2 1
ISBN 978-3-86645-919-9, Teilband von Microsoft Windows Server 2008 – Die technische Referenz
© Microsoft Press Deutschland
(ein Unternehmensbereich der Microsoft Deutschland GmbH)
Konrad-Zuse-Str. 1, D-85716 Unterschleißheim
Alle Rechte vorbehalten
Übersetzung: Detlef Johannis, Kempten, und Michael Ringel, Bonn
Korrektorat: Claudia Mantel-Rehbach, München
Fachlektorat und Satz: Günter Jürgensmeier, München
Umschlaggestaltung: Hommer Design GmbH, Haar (www.HommerDesign.com)
Gesamtherstellung: Kösel, Krugzell (www.KoeselBuch.de)
Für David Wright
Joseph Davies
Für Jenny Lozier
Tony Northrup
V
Inhaltsverzeichnis
Danksagungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
Dokumentkonventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
Begleit-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XX
Systemvoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXI
Support für dieses Buch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXI
Teil I: Adressierungs- und Datenpaketflussinfrastruktur
......................
1
Kapitel 1: IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Netzwerkschichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPv4-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Private IPv4-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Automatische private IP-Adressierung (APIPA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Multicastadressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Netzwerkadressenübersetzung (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schicht-2- und Schicht-3-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schicht-4-Protokolle: UDP und TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Entwerfen der Internetverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erstellen eines IPv4-Adressierungsschemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen der Hostadressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen der Redundanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von mehrfach vernetzten Computern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Konfigurieren von IPv4-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines Clients für den Fall, dass kein DHCP-Server verfügbar ist . . . . . . .
Hinzufügen von Routen zur Routingtabelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PathPing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemmonitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Task-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Windows-Netzwerkdiagnose . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
4
7
7
8
9
11
12
12
12
14
15
15
17
18
19
19
20
20
21
21
21
21
22
24
24
25
26
26
27
27
VI
Inhaltsverzeichnis
Kapitel 2: IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Änderungen in IPv6 gegenüber IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPv6-Adressierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPv6-Autokonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nachbarschaftserkennung (Neighbor Discovery) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPv6-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPv6-Übergangstechnologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Migration auf IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beschaffen von IPv6-Adressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen der Aktualisierung der Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planungen für IPv6-Übergangstechnologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So deaktivieren Sie IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So konfigurieren Sie IPv6 manuell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So konfigurieren Sie IPv6 mit einem Skript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So aktivieren Sie ISATAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So aktivieren Sie 6to4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So aktivieren Sie Teredo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So konfigurieren Sie einen Computer als IPv6-Router . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Netsh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von Teredo-Problemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
30
31
36
38
38
38
39
45
45
46
47
47
48
48
49
50
50
51
52
53
56
56
56
57
58
58
59
59
Kapitel 3: Dynamic Host Configuration Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Der DHCP-Adressenzuweisungsprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Lebenszyklus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Relay-Agenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Leasezeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Festlegen von Adressenbereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Servercluster für DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dynamisches DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Relay-Agenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
62
63
63
64
64
65
66
66
67
67
68
75
77
Inhaltsverzeichnis
VII
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überwachen von DHCP-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Manuelles Sichern und Wiederherstellen eines DHCP-Servers . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen auf DHCP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen auf DHCP-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden des Überwachungsprotokolls zur Analyse des DHCP-Servers . . . . . . . . . . .
77
77
79
80
80
80
81
81
82
Kapitel 4: Windows-Firewall mit erweiterter Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Filtern des Datenverkehrs mit Windows-Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Schützen des Datenverkehrs mit IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Planen der Windows-Firewall-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Schutz der Kommunikation mit IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Firewalleinstellungen mit Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
IPsec-Verbindungssicherheitsregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Windows-Firewall-Protokollierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
Überwachen von IPsec-Sicherheitsassoziationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Verwenden des Network Monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Kapitel 5: QoS auf Richtlinienbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Die Ursachen von Netzwerkleistungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So kann QoS Abhilfe schaffen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS für ausgehende Datenübertragungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS für eingehenden Datenverkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
QoS-Implementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Festlegen der QoS-Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen von DSCP-Werten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen der Drosselung des Datenverkehrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hardware- und Softwarevoraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planen von QoS-Gruppenrichtlinien und Gruppenrichtlinienobjekten . . . . . . . . . . . . . . .
QoS-Richtlinien für Windows Vista-Mobilcomputer . . . . . . . . . . . . . . . . . . . . . . . . . . .
So konfigurieren Sie QoS in den Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . .
So konfigurieren Sie systemweit gültige QoS-Einstellungen . . . . . . . . . . . . . . . . . . . . . .
115
115
117
118
120
120
121
121
121
123
123
124
126
126
126
130
VIII
Inhaltsverzeichnis
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Löschen von QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bearbeiten von QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überwachen von QoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen der QoS-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überprüfen der DSCP-Strapazierfähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Isolieren von Netzwerkleistungsproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
132
132
132
132
134
135
136
137
138
139
Kapitel 6: Skalierbare Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
TCP-Chimney-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Empfangsseitige Skalierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NetDMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPsec-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bewerten der Skalierungstechnologien für Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . .
Belastungstest von Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überwachen der Serverleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der TCP-Chimney-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der empfangsseitigen Skalierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von NetDMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der IPsec-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung bei der TCP-Chimney-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung bei der IPsec-Abladung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
141
142
143
146
146
147
147
148
149
151
151
152
152
152
153
153
153
154
155
156
Teil II: Namensauflösungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Kapitel 7: Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Hierarchie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Einträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dynamische DNS-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anordnung der DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Zonenreplikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Die Zone GlobalNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
159
159
160
160
161
161
163
163
164
166
168
168
Inhaltsverzeichnis
DNS-Serverkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Serverkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DNS-Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren redundanter DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen von Ressourceneinträgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Warten von Zonen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Automatisches Testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Heraufstufen einer sekundären Zone zu einer primären Zone . . . . . . . . . . . . . . . . . . . . .
Ereignisprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Debugprotokollierung auf dem Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von DNSLint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von DCDiag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden des Network Monitors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IX
169
170
179
181
182
182
182
183
183
185
186
187
187
190
191
192
194
194
194
Kapitel 8: Windows Internet Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Die Geschichte von NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NetBIOS-Namen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WINS-Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WINS-Clientregistrierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anordnung der WINS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WINS-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren eines WINS-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der WINS-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
WINS-Clientkonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sichern der WINS-Serverdatenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Komprimieren der WINS-Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Durchführen einer Datenbanküberprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Überwachen eines WINS-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines statischen WINS-Datensatzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Löschen eines WINS-Eintrags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von WINS-Serverproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von WINS-Clientproblemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
195
197
197
198
198
199
199
201
201
201
202
204
204
205
205
206
207
208
209
209
211
214
215
X
Inhaltsverzeichnis
Teil III: Netzwerkzugriffsinfrastruktur
.......................................
217
Kapitel 9: Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Active Directory-Domänendienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Public-Key-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen der Public-Key-Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
RADIUS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende
Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden von RADIUS-Proxys zur Skalierung von Authentifizierungen . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
219
223
228
231
236
236
237
239
240
247
247
248
256
256
263
270
274
274
275
275
275
276
277
277
277
277
279
279
Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Unterstützung der IEEE 802.11-Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Drahtlossicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Komponenten von 802.11-Drahtlosnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Drahtlossicherheitstechnologien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungsmodi im drahtlosen Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intranetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Anordnung der drahtlosen Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Drahtlosclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
802.1X-Erzwingung mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
282
284
288
288
289
291
292
294
298
299
310
313
Inhaltsverzeichnis
Bereitstellen von geschütztem Drahtloszugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von Zertifikaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Active Directory für Konten und Gruppen . . . . . . . . . . . . . . . . . . . .
Konfigurieren der NPS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen drahtloser Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Drahtlosclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der Benutzer- und Computerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der drahtlosen Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren von XML-Drahtlosprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlungstools von Windows für Drahtlosnetzwerke . . . . . . . . . . . . . . . . . . .
Beheben von Problemen mit Drahtlosclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen mit drahtlosen Zugriffspunkten . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen mit der Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . .
XI
314
314
316
316
317
320
326
326
327
327
327
328
335
336
341
347
347
Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung . . . . . . . . . . . . . . . . . . 349
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Komponenten von Kabelnetzwerken mit 802.1X-Authentifizierung . . . . . . . . . . . . . . . .
Authentifizierungsmethoden im Kabelnetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungsmodi im Kabelnetzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kabelclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
802.1X-Erzwingung mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen des Kabelnetzwerkzugriffs mit 802.1X-Authentifizierung . . . . . . . . . . . . . . . .
Konfigurieren von Active Directory für Konten und Gruppen . . . . . . . . . . . . . . . . . . . .
Konfigurieren der NPS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von 802.1X-fähigen Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren verkabelter Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Benutzer- und Computerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten 802.1X-fähiger Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren von XML-Kabelprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlungstools von Windows für Kabelnetzwerke . . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen mit Kabelclients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen mit 802.1X-fähigen Switches . . . . . . . . . . . . . . . . . . . . . . . . .
Beheben von Problemen mit der Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . .
349
350
351
351
353
355
356
361
364
365
365
367
367
369
370
374
374
374
375
375
375
380
381
385
391
391
XII
Inhaltsverzeichnis
Kapitel 12: Remotezugriff-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Komponenten von Windows-Remotezugriff-VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intranetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Gleichzeitiger Intranet- und Internetzugriff für VPN-Clients . . . . . . . . . . . . . . . . . . . . .
VPN-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Erzwingung mit NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zusätzliche Sicherheitsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Starke Verschlüsselung der Verbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Paketfilterung für VPN-Verkehr auf dem VPN-Server . . . . . . . . . . . . . . . . . . . . . . . . . .
Firewallpaketfilterung für VPN-Verkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Server mit mehreren Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verhindern, dass Verkehr von VPN-Clients weitergeleitet wird . . . . . . . . . . . . . . . . . . .
Gleichzeitiger Zugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Unbenutzte VPN-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von VPN-Remotezugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Active Directory-Benutzerkonten und -Gruppen . . . . . . . . . . . . . . . .
Konfigurieren von RADIUS-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von VPN-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Netzwerkinfrastruktur des Intranets . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von VPN-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von VPN-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aktualisieren von Verbindungs-Manager-Profilen . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tools für die Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Durchführen einer Problembehandlung für Remotezugriff-VPNs . . . . . . . . . . . . . . . . . .
393
395
397
397
401
403
406
408
411
413
414
418
421
422
422
423
423
431
432
433
434
434
434
438
439
439
441
445
447
452
453
453
455
455
455
459
465
465
Kapitel 13: Standort-zu-Standort-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Grundlagen von bei Bedarf herzustellenden Routingverbindungen . . . . . . . . . . . . . . . . .
Komponenten von Windows-Standort-zu-Standort-VPNs . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Protokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
467
468
473
474
474
478
Inhaltsverzeichnis
XIII
VPN-Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Standortnetzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von Standort-zu-Standort-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Internetinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Active Directory-Benutzerkonten und -Gruppen . . . . . . . . . . . . . . . .
Konfigurieren von RADIUS-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von antwortenden Routern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von anrufenden Routern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Standortnetzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Infrastruktur für die Standortverbindungen . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von VPN-Routern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Durchführen einer Problembehandlung für Standort-zu-Standort-VPN-Verbindungen . .
479
483
485
487
489
492
492
496
497
497
499
505
510
512
514
514
515
516
517
517
526
526
Teil IV: Netzwerkzugriffsschutz-Infrastruktur
................................
529
Kapitel 14: Grundlagen des Netzwerkzugriffsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Warum ist Netzwerkzugriffsschutz nötig? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Malware und ihre Auswirkungen auf Unternehmensnetzwerke . . . . . . . . . . . . . . . . . . . .
Verhindern von Malware in Unternehmensnetzwerken . . . . . . . . . . . . . . . . . . . . . . . . . .
Die Rolle von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kommerzielle Vorteile von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Komponenten von NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Systemintegritätsagenten und Systemintegritätsprüfung . . . . . . . . . . . . . . . . . . . . . . . . .
Erzwingungsclients und -server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Erzwingungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So funktioniert NAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So funktioniert IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So funktioniert 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So funktioniert VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So funktioniert DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
531
531
533
537
539
540
542
543
544
544
545
545
545
546
546
547
548
549
550
551
552
XIV
Inhaltsverzeichnis
Kapitel 15: Vorbereiten des Netzwerkzugriffsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Auswerten der aktuellen Netzwerkinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Intranetcomputer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Netzwerkunterstützungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAP-Integritätsrichtlinienserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Integritätsanforderungsrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Komponenten einer Integritätsanforderungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . .
So funktioniert die NAP-Integritätsprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planungs- und Entwurfsaspekte für Integritätsanforderungsrichtlinien . . . . . . . . . . . . . .
Wartungsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartungsserver und NAP-Erzwingungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planungs- und Entwurfsaspekte für Wartungsserver . . . . . . . . . . . . . . . . . . . . . . . . . . . .
553
553
556
557
557
559
560
561
561
569
572
574
575
576
577
577
Kapitel 16: IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Grundlagen der IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Logische Netzwerke bei der IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ablauf der Kommunikationseinleitung bei IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . .
Verbindungssicherheitsregeln für IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . .
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
HRAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IPsec-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen der IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von HRAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von NAP-Integritätsrichtlinienservern . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Wartungsservern im Grenznetzwerk . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellung des Berichterstellungsmodus für IPsec-Erzwingung abgeschlossen . . . . .
Konfigurieren und Anwenden von IPsec-Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen eines NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Hinzufügen von neuen SHAs und SHVs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der NAP-Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten von HRAs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung für die IPsec-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
579
580
582
585
586
587
588
593
599
600
601
601
602
605
611
614
615
618
618
624
624
625
625
626
628
628
631
636
636
Inhaltsverzeichnis
XV
Kapitel 17: 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Grundlagen der 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden einer ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden eines VLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sicherheitsgruppe für NAP-Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
802.1X-Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Typ der 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
802.1X-Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen der 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren einer PEAP-Authentifizierungsmethode . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von 802.1X-Zugriffspunkten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Wartungsservern im eingeschränkten Netzwerk . . . . . . . . . . . . . . . .
Bereitstellung des Berichterstellungsmodus für 802.1X-Erzwingung abgeschlossen . . . .
Testen des eingeschränkten Zugriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Netzwerkrichtlinie für inkompatible NAP-Clients bei zurückgestellter
Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren der Netzwerkrichtlinie für den Erzwingungsmodus . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwalten der 802.1X-Zugriffspunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung für die 802.1X-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
639
642
643
644
644
644
644
645
646
647
648
648
649
650
650
658
660
661
662
663
664
664
665
665
665
665
667
670
670
Kapitel 18: VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673
Grundlagen der VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Verwenden der Netzwerkzugriff-Quarantänensteuerung . . . . . . . . . . . . . . . . . . . . . . . . .
Typen der Paketfilterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Authentifizierungsmethoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
VPN-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen der VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von VPN-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren einer PEAP-Authentifizierungsmethode . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Wartungsservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
673
676
676
677
677
678
679
679
681
682
682
682
682
683
689
XVI
Inhaltsverzeichnis
Bereitstellung des Berichterstellungsmodus für VPN-Erzwingung abgeschlossen . . . . . .
Konfigurieren der zurückgestellten Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung für die VPN-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
691
691
693
693
695
695
695
695
696
698
700
701
Kapitel 19: DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
Grundlagen der DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAP-Integritätsrichtlinienserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Integritätsanforderungsrichtlinien für bestimmte DHCP-Bereiche . . . . . . . . . . . . . . . . .
DHCP-Optionen für NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
DHCP-Erzwingungsverhalten, wenn der NAP-Integritätsrichtlinienserver
nicht erreichbar ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
NAP-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen der DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von Wartungsservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Konfigurieren von DHCP-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellung des Berichterstellungsmodus für DHCP-Erzwingung abgeschlossen . . . .
Konfigurieren der zurückgestellten Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung für die DHCP-Erzwingung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
703
705
706
706
707
707
707
708
708
709
710
710
714
716
720
720
721
722
723
723
723
724
724
726
729
729
Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
Die Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
XVII
Danksagungen
Die Autoren Joseph Davies und Tony Northrup möchten sich bei den zahlreichen Mitgliedern des
Windows Server 2008-Produkteams und bei anderen Experten aus dem Hause Microsoft bedanken,
die viele Hundert Stunden ihrer kostbaren Zeit diesem Projekt gewidmet haben, indem sie die Kapitel
sorgfältig auf Korrektheit überprüft, Inhalte beigetragen und uns im Verlauf des Projekts unermüdlich
mit Rat und Tat zur Seite standen.
Insbesondere möchten wir uns bei folgenden Microsoft-Mitarbeitern für die »Direkt von der Quelle«Textblöcke bedanken, in denen sie Informationen liefern, die nur von diesen Experten kommen konnten (in der Reihenfolge der Kapitel):
Dmitry Anipko, Entwickler aus der Windows Core Networking Group
Sean Siler, IPv6-Programmmanager aus der Windows Core Networking Group
Santosh Chandwani, Lead-Programmmanager der Enterprise Networking Group
Ian Hameroff, Senior-Produktmanager im Security and Access Product Marketing
Gabe Frost, Produktmanager von Windows Core Networking
Rade Trimceski, Programmmanager der Windows Networking and Devices Group
Jeff Westhead, Senior-Entwickler aus der Enterprise Networking Group
Anthony Witecki, Senior-Consultant der Microsoft Services, Public Sector
Chris Irwin, Enwickler der Premier Field Engineering Group
Clay Seymour, Supportingenieur vom Enterprise Platform Support
Tim Quinn, Supportingenieur vom Enterprise Platform Support
James McIllece, technischer Autor aus der Windows Server User Assistance Group
Samir Jain, Lead-Programmmanager am India Development Center
Greg Lindsay, technischer Autor aus der Windows Server User Assistance Group
John Morello, Senior-Programmmanager aus der Windows Server Customer Connection Group
Als wir dieses Buch schrieben, befand sich Windows Server 2008 noch in der Entwicklung. Viele der
besten Köpfe von Microsoft haben unsere Kapitel in der Rohfassung gelesen, Korrekturen vorgenommen, uns auf Änderungen im Betriebssystem hingewiesen und Vorschläge gemacht. Wir bedanken uns für die Durchsicht bei (in der Reihenfolge der Kapitel):
Mike Barrett, Dmitri Anipko, Ben Shultz, Thiago Hirai, Mahesh Narayanan, Santosh Chandwani,
Jason Popp, Hermant Banavar, Osama Mazahir, Ian Hameroff, Rade Trimceski, Alireza Dabagh,
Chandra Nukala, Arren Conner, Jeff Westhead, Sudhakar Pasupuleti, Yi Zhao, Subhasish Bhattacharya, Tim Quinn, Clay Seymour, Chris Irwin, Greg Lindsay, James MacIllece, Anthony Leibovitz,
Sreenivas Addagatla, Arvind Jayakar, Brit Weston, Lee Gibson, Drew Baron, Brit Weston, Dhiraj
Gupta, Samir Jain, Puja Pandey, Tushar Gupta, Manu Jeewani, Jim Holtzman, Kevin Rhodes, Steve
Espinosa, Tom Kelnar, Kedar Mohare, Pat Fetty, Gavin Carius, Wai-O Hui, Harini Muralidharan,
Richard Costleigh, Ryan Hurst, Chris Edson, Chandra Nukala, Abhishek Tiwari, Aanand Ramachandran, John Morrello und Barry Mendonca.
Außerdem bedanken wir uns beim Microsoft Security Review Board für die sorgfältige Prüfung des
Buchs.
XVIII
Danksagungen
Falls wir jemanden versehentlich nicht genannt haben, bitten wir hiermit ausdrücklich um Entschuldigung!
Joseph möchte sich außerdem bei Greg Lindsay für die vielen Stunden seiner Zeit bedanken, die er
für Besprechungen, technische Prüfungen und die Erstellung der Textblöcke für die NAP-Kapitel
(Network Access Protection) aufgewendet hat.
Tony möchte sich bei Bob Hogan dafür bedanken, dass er wesentlich mehr geleistet hat, als von ihm
als Fachlektor erwartet wurde, und bei Hayley Bellamy für die Hilfe bei der Beseitigung eines kniffligen Hardwareproblems.
Schließlich möchten wir uns noch beim gesamten Redaktionsteam von Microsoft Press bedanken, das
für dieses Projekt zuständig war. Dazu gehören Martin DelRe, Jenny Moss Benson, Maureen Zimmerman und Maria Gargiulo, sowie Susan McClung, Joel Rosenthal, Bob Hogan, Mary Rosewood
und Seth Maislin von der Interactive Composition Corporation, die mit schier unerschöpflicher Energie und großem Einsatz dazu beigetragen haben, dieses Buch erfolgreich abzuschließen.
Joseph und Tony
XIX
Einführung
Herzlich willkommen bei Microsoft Windows Server 2008 Networking und Netzwerkzugriffsschutz –
Die technische Referenz, einem Teilband von Microsoft Windows Server 2008 – Die technische Referenz.
Mit den Bereitstellungsrichtlinien, die in Teil I dieses Buchs beschrieben werden, können Sie eine geeignete Adressierungs- und Datenpaketflussinfrastruktur aufbauen. Dabei kommen IPv4 (Internetprotokoll Version 4), IPv6 (Internetprotokoll Version 6), DHCP (Dynamic Host Configuration Protocol),
Host-Firewalls, IPsec (Internet Protocol Security), QoS (Quality of Service) auf der Basis von Richtlinien sowie skalierbare Netzwerktechnologien zum Einsatz.
Mit den in Teil II dieses Buchs beschriebenen Bereitstellungsrichtlinien können Sie eine Namensauflösungsinfrastruktur mit DNS (Domain Name System) und WINS (Windows Internet Name Service)
einrichten.
Außerdem können Sie mit den Richtlinien aus Teil III dieses Buchs eine Netzwerkzugriffsinfrastruktur aufbauen, die aus Active Directory-Domänendiensten, einer PKI-Infrastruktur (Public Key Infrastructure), entsprechenden Gruppenrichtlinien und einer zentralen Authentifizierung, Autorisierung
und Kontenführung mit RADIUS (Remote Authentication Dial-In User Service) besteht. Diese Netzwerkzugriffsinfrastruktur bietet eine Reihe von Methoden für den authentifizierten und autorisierten
Zugriff. Dazu gehören zum Beispiel drahtlose Verbindungen nach IEEE 802.11 (Institute of Electrical
and Electronics Engineers), Verbindungen mit einem Authentifizierungsswitch und VPN-Verbindungen (Virtual Private Network).
Nach der Einrichtung der Infrastruktur für die Adressierung, die Datenpaketweiterleitung und den
Netzwerkzugriff können Sie mit den Richtlinien aus Teil IV dieses Buchs das NAP-System (Network
Access Protection) einrichten, um die DHCP-Adressenkonfiguration und die Anforderungen für die
IPsec-geschützte Kommunikation, für VPN-Verbindungen und für Drahtlosverbindungen festzulegen,
die nach IEEE 802.1X geschützt werden.
Dokumentkonventionen
Hinweise auf spezielle Funktionen oder Verwendungszwecke erfolgen in diesem Buch in spezieller
Weise.
Hinweise
Die folgende Tabelle beschreibt, wie in diesem Buch auf nützliche Details hingewiesen wird:
Symbol
Hinweis
Bedeutung
Hinweis
Weist auf die Bedeutung eines betimmten Konzepts oder auf Ausnahmen hin.
Weitere Informationen Weist Sie auf weitergehende Informationen zu dem gerade abgehandelten Thema hin.
Auf der CD
Weist Sie auf Ressourcen auf der Begleit-CD hin, die Sie bei der Durchführung der
beschriebenen Aufgabe unterstützen.
XX
Einführung
Textblöcke
Die folgenden Textblöcke vertiefen bestimmte Aspekte von Netzwerken und NAP (Network Access
Protection) und geben Ihnen zusätzliche Hinweise und Tipps:
Textblock
Bedeutung
Direkt von der Quelle Beiträge, in denen Microsoft-Experten bestimmte Aspekte von Windows Vista vertiefen oder
Hinweise zur Verwaltung von Windows Vista-Clients oder zur Fehlerbehebung geben.
So funktioniert’s
Ausführlichere Beschreibungen von Funktionen und ihrer Arbeitsweise.
Befehlszeilenbeispiele
Die folgenden Konventionen werden in diesem Buch zur Darstellung von Befehlszeilenbeispielen
verwendet:
Darstellungsart
Bedeutung
Fettschrift
Zeichen, die vom Benutzer eingegeben werden (beachten Sie bei Eingaben, in denen zwischen
Groß- und Kleinbuchstaben unterschieden wird, die genaue Schreibweise).
Kursivschrift
Menüs, Meldungen und Variablen, für die ein bestimmter Wert angegeben werden muss. Mit
Dateiname ist zum Beispiel ein beliebiger gültiger Dateiname gemeint.
nichtproportionale
Schrift
Wird für Codebeispiele und Ausgaben verwendet, die auf der Befehlszeile erfolgen.
%SystemRoot%
Für Umgebungsvariablen werden Prozentzeichen verwendet.
Begleit-CD
Die Begleit-CD ist eine wichtige Ergänzung dieses Buchs und enthält Folgendes:
Die englischsprachige E-Book-Version dieses Buchs
Die Adobe PDF-Version (Adobe Portable
Document Format) dieses Buchs. Sie können diese Version am Computer lesen und den Text
durchsuchen.
Eine E-Book-Version des Buchs TCP/IP Fundamentals for Microsoft Windows Die aktuellste Version
von TCP/IP Fundamentals for Microsoft Windows von Joseph Davies ist als Adobe PDF-Version
unter http://technet.microsoft.com/en-us/library/bb726983.aspx verfügbar.
Eine E-Book-Version von Understanding IPv6, Second Edition Die Adobe PDF-Version von Understanding IPv6, Second Edition von Joseph Davies.
Eine Verknüpfung zum Network Monitor 3.1 Der Network Monitor 3.1 ist kostenlos beim MicrosoftDownloadcenter erhältlich. Sie können den Network Monitor 3.1 auch von http://go.microsoft.
com/fwlink/?LinkID=92844 installieren. Die neusten Informationen über den Network Monitor
finden Sie im Network Monitor-Blog unter http://blogs.technet.com/netmon.
Weitere Informationen: Zusätzliche Online-Inhalte Sobald neues oder aktualisiertes Material verfügbar
wird, das dieses Buch ergänzt, wird es auf der Site Microsoft Press Online Windows Server and Client Web
veröffentlicht. Was die endgültige Version von Windows Server 2008 betrifft, kann es sich dabei zum Beispiel um Nachträge zum Buch, Artikel, Verknüpfungen zu Inhalten der Begleit-CD und Fehlerberichtigungen
handeln. Diese Website wird bald unter http://www.microsoft.com/learning/books/online/serverclient verfügbar sein und regelmäßig aktualisiert werden.
Die mitgelieferten E-Books können Sie auf jedem Computer lesen, auf dem Adobe Reader ausgeführt
werden kann. Dieses Programm ist unter http://www.adobe.de erhältlich.
Einführung
XXI
Systemvoraussetzungen
Um die Begleit-CD zu diesem Buch nutzen zu können, brauchen Sie einen Computer, der folgende
Mindestanforderungen erfüllt:
Betriebssystem Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP
1-GHz-Prozessor mit 32-Bit- (x86) oder 64-Bit-Architektur (x64)
1 GByte Arbeitsspeicher
Eine Festplattenpartition mit mindestens 1 GByte freiem Speicherplatz
Unterstützung für DirectX 9-Grafik und 32 MByte Grafikspeicher
Geeigneter Monitor
Tastatur
Maus oder anderes Zeigegerät
CD-ROM-Laufwerk
Um die Onlineversion dieses Buchs lesen zu können, brauchen Sie den Adobe Reader. Unter
http://www.adobe.com finden Sie Informationen über die Systemvoraussetzungen für Adobe Reader.
Microsoft Network Monitor 3.1 können Sie über http://go.microsoft.com/fwlink/?LinkID=92844 installieren. Einen Link finden Sie auch auf der Begleit-CD. Für Microsoft Network Monitor 3.1 gilt
zusätzlich folgende Mindestanforderung: Eine Festplattenpartition mit 25 MByte freiem Speicherplatz.
Support für dieses Buch
Dieses Buch und die Begleit-CD wurde mit großer Sorgfalt erstellt. Korrekturen zum Buch bietet
Microsoft Press unter folgender Webadresse:
http://www.microsoft-press.de/support.asp
Wenn Sie Kommentare, Fragen oder Anregungen zum Buch oder zur Begleit-CD haben, die sich nicht
durch eine Abfrage der Knowledge Base beantworten lassen, wenden Sie sich an Microsoft Press:
Per E-Mail (in englischer Sprache)
[email protected]
Per Post:
Microsoft Press
Betrifft: Microsoft Windows Server 2008 Networking und
Netzwerkzugriffsschutz – Die technische Referenz
Konrad-Zuse-Straße 1
85716 Unterschleißheim
Wenn Sie Ersatz für eine fehlerhafte Begleit-CD erhalten möchten, können Sie eine E-Mail an
[email protected] senden.
Beachten Sie bitte, dass unter den genannten Adressen kein Produktsupport geleistet wird. Informationen über den Produktsupport finden Sie auf der Microsoft-Produktsupportwebsite unter folgender
Adresse:
http://support.microsoft.com.
T E I L
I
Adressierungs- und Datenpaketflussinfrastruktur
In diesem Teil:
Kapitel 1: IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 2: IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 3: Dynamic Host Configuration Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 4: Windows-Firewall mit erweiterter Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 5: QoS auf Richtlinienbasis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 6: Skalierbare Netzwerke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
29
61
83
115
141
3
K A P I T E L
1
IPv4
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planungs- und Entwurfsaspekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellungsschritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Zusammenfassung des Kapitels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Weitere Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
12
19
21
21
27
27
Heutzutage kommuniziert der größte Teil vernetzter Computer mithilfe von IPv4 (Internetprotokoll
Version 4) und der Gruppe von Protokollen, die als TCP/IP (Transmission Control Protocol/Internet
Protocol) bekannt ist. Um ein Microsoft Windows-Netzwerk planen, aufbauen und warten sowie
Netzwerkfehler beheben zu können, müssen Sie die Grundlagen von TCP/IP kennen und verstehen.
Dieses Kapitel bietet Ihnen Informationen über den Entwurf, die Bereitstellung, Wartung und Fehlerbehebung von IPv4-Netzwerken. Die meisten Angaben in diesem Kapitel gelten gleichermaßen für
die Betriebssysteme Windows Server 2008, Windows Vista und Windows Server 2003 und andere
neuere Windows-Versionen. Informationen über IPv6 finden Sie in Kapitel 2, »IPv6«. Dieses Kapitel
setzt Grundkenntnisse über TCP/IP und eine gewisse Erfahrung mit Netzwerken voraus.
Konzepte
Dieser Abschnitt bietet Ihnen einen kurzen Überblick über wichtige TCP/IP-Konzepte wie IPv4Adressierung, Multicasting, UDP (User Datagram Protocol) und TCP.
Netzwerkschichten
Netzwerkprotokolle bestehen aus mehreren Schichten, wobei jede Schicht nur mit der jeweils direkt
darunter oder darüber liegenden Schicht interagiert. Das gebräuchlichste Modell ist das OSI-Modell
(Open Systems Interconnection). Es sieht sieben Schichten vor. Tabelle 1.1 führt die sieben OSISchichten auf und nennt Beispiele für die Protokolle, die den verschiedenen Schichten zugeordnet
werden.
Der Schwerpunkt dieses Kapitels ist IPv4, ein Protokoll der Schicht 3. Außerdem beschreibt das
Kapitel die Interaktion von IPv4 mit den Protokollen der Schichten 2 und 4.
4
Kapitel 1: IPv4
Tabelle 1.1 Die Schichten des OSI-Modells
Schichtnummer
Schichtname
Beispiele
Schicht 1
Physische Schicht
Herkömmliche Kabelverbindungen und drahtlose Netzwerkverbindungen
Schicht 2
Datenübertragungsschicht
Ethernet, Wi-Fi
Schicht 3
Netzwerkschicht
IPv4, IPv6, ICMP (Internet Control Message Protocol)
Schicht 4
Transportschicht
TCP, UDP
Schicht 5
Sitzungsschicht
NetBIOS
Schicht 6
Darstellungsschicht
Wird kaum verwendet
Schicht 7
Anwendungsschicht
Hypertext Transfer Protocol (HTTP), Simple Mail Transfer Protocol (SMTP),
Post Office Protocol (POP), Domain Name System (DNS)
IPv4-Adressierung
IPv4-Adressen bestehen aus 4 Bytes. Da sich jedes Byte aus jeweils 8 Bits zusammensetzt, ist eine
Adresse 32 Bit breit. Jedes Byte, auch Oktett genannt, wird als Dezimalzahl aus dem Wertebereich
geschrieben, wobei die Dezimalzahlen durch Punkte voneinander getrennt werden. Bei den folgenden
Adressen handelt es sich zum Beispiel um gültige IP-Adressen:
192.168.1.32
10.1.1.1
127.0.0.1
Abbildung 1.1 IPv4-Routing
Konzepte
5
Der Anfang einer IP-Adresse wird Netzwerkadresse genannt, und der Rest, die sogenannte Hostadresse, identifiziert einen bestimmten Computer aus dem Subnetz. Router verwenden die Netzwerkadresse, um Pakete in das richtige Zielnetzwerk weiterzuleiten, und Computer verwenden die Hostadresse, um zu erkennen, welche Pakete an sie gerichtet sind. Abbildung 1.1 stellt schematisch dar,
wie Router Pakete durch ein Netzwerk an einen Zielcomputer weiterleiten.
In Abbildung 1.1 gehören die ersten drei Oktette der IP-Adresse zur Netzwerkadresse (wie zum Beispiel 192.168.1 oder 192.168.10), während das letzte Oktett die Hostadresse bildet (beispielsweise
.5 oder .10). Dies ist zwar die gebräuchlichste Art, eine IP-Adress zwischen Host und Netzwerk aufzuteilen, aber Sie können auch:
eine kürzere Netzwerkadresse verwenden (wie 192.168), damit mehr Bits für die Hostadresse zur
Verfügung stehen. Dadurch ergeben sich zwar weniger Netzwerke, die dafür aber jeweils mehr
Hosts aufnehmen können.
eine längere Netzwerkadresse verwenden und die Hostadresse entsprechend kürzen. Dadurch
erhalten Sie eine größere Zahl von Subnetzen, die dafür aber nur jeweils eine geringere Zahl an
Hosts aufnehmen können.
Hosts geben mit Subnetzmasken an, wie viele Bits einer IP-Adresse zur Netzwerkadresse gehören.
Die Subnetzmaske 255.255.255.0 zeigt zum Beispiel an, dass die ersten drei Oktette der IP-Adresse
zur Netzwerkadresse gehören. Das resultierende Netzwerk wird Klasse C-Netzwerk genannt. Die
Subnetzmaske 255.255.0.0 bedeutet, dass die ersten zwei Oktette der IP-Adresse zur Netzwerkadresse
gehören. Daraus ergibt sich ein Netzwerk der Klasse B. Netzwerke der Klasse A werden nur selten
verwendet und haben die Subnetzmaske 255.0.0.0. Sie gibt an, dass nur das erste Oktett der IPAdresse als Netzwerkadresse verwendet wird.
Direkt von der Quelle: Netzwerkklassifizierungen
Die Aufteilung von Netzwerken in die Klassen A, B und C ist veraltet. Das klassenlose domänenübergreifende Routing (Classless Inter-Domain Routing, CIDR), das mit RFC 1519 eingeführt
wurde, regelt nicht nur die Schreibweise, sondern auch die Aufteilung des Adressraums. Einer der
Unterschiede besteht darin, dass in einem herkömmlichen Netzwerk auch ein Router, der sich in
der Mitte des Übertragungswegs befindet, anhand der angegebenen Adresse die Subnetzmaske ermitteln und so überprüfen kann, ob es sich bei einer bestimmten Adresse um einen SubnetzBroadcast handelt. In CIDR können dagegen nur Router, die direkt mit einem Subnet verbunden
sind, die Subnetzmaske ermitteln.
Dmitry Anipko, Entwickler
Windows Core Networking
Die Subnetzmaske 255.255.255.0 zeigt an, dass die ersten 24 der 32 Bits einer IP-Adresse für die
Netzwerkadresse reserviert sind. Statt die gesamte Subnetzmaske anzugeben, können Sie die Zahl der
Bits, die für die Netzwerkadresse vorgesehen sind, auch in der CIDR-Notation (Classless Inter-Domain Routing) angeben. Dazu hängen Sie einen Schrägstrich (/) an die IP-Adresse an, gefolgt von der
Angabe der Anzahl der Bits, die zur Netzwerkadresse gehören. Eine Subnetzmaske für eine 24-BitNetzwerkadresse könnte man zum Beispiel als 192.168.10.0/24 schreiben. Wenn Sie dieses Netzwerk
in vier kleinere Netzwerke aufteilen möchten, können Sie eine 26-Bit-Netzwerkadresse verwenden,
wobei allerdings nur 6 Bits für die Hostadressen verbleiben. Wie man die vier Netzwerke schreiben
könnte, zeigt Tabelle 1.2.
6
Kapitel 1: IPv4
Tabelle 1.2 Unterteilung des Netzwerks 192.168.10.0/24
Netzwerk-ID
IP-Adressbereich
192.168.10.0/26
192.168.10.0–192.168.10.63
192.168.10.64/26
192.168.10.64–192.168.10.127
192.168.10.128/26
192.168.10.128–192.168.10.191
192.168.10.192/26
192.168.10.192–192.168.1.255
So funktioniert’s: Binäre Algebra
IP-Adressen werden zwar mit dezimalen Oktetten angegeben, aber wenn Sie keine 8-Bit-, 16-Bitoder 24-Bit-Subnetzmaske verwenden, müssen Sie auf die binäre Algebra zurückgreifen (auch
Boolesche Algebra) genannt. Betrachten Sie zum Beispiel die IP-Adresse 192.168.14.222, die in
Abbildung 1.2 mit einer 24-Bit-Subnetzmaske dargestellt wird. In diesem Beispiel werden die
Netzwerk-ID und die Host-ID an einer 8-Bit-Grenze getrennt. Dadurch lassen sich diese beiden
Adressen auch in der Dezimalschreibweise leicht voneinander trennen.
Abbildung 1.2 24-Bit-Subnetzmaske
Betrachten Sie nun dieselbe IP-Adresse mit einer 26-Bit-Subnetzmaske, wie in Abbildung 1.3. In
diesem Beispiel gehören auch noch die beiden höchsten Bits des letzten Oktetts zur Netzwerk-ID.
In der Dezimalform ist dies zwar schwerer zu sehen, weil das letzte Oktett teilweise zur NetzwerkID und teilweise zur Host-ID gehört, aber in der Binärform handelt es sich bei der Netzwerk-ID
einfach um eine 26-Bit-Zahl und bei der Host-ID um eine 6-Bit-Zahl.
Abbildung 1.3 26-Bit-Subnetzmaske
Die Netzwerk-ID aus Abbildung 1.3 würde man als 192.168.14.128/26 angeben und die Hostadressen liegen im Bereich von 192.168.14.129 bis 192.168.14.190. Die Zuweisung einer IP-Hostadresse unter 128 oder über 192 würde eine Änderung in einem der beiden höchsten Bits des letzten Oktetts erfordern. Dadurch ändert sich auch die Netzwerk-ID.
Falls Sie dies für etwas verwirrend halten, sind Sie nicht allein. IPv4 wurde für die Verwendung
von 8-Bit-, 16-Bit- oder 24-Bit-Subnetzmasken konzipiert (also für klassenorientierte Subnetzmasken). Subnetzmasken mit variabler Länge wurden mit der Einführung von CIDR im Jahr 1993 erst
Jahrzehnte später hinzugefügt. Der Lösungsansatz von IPv6, das in Kapitel 2 besprochen wird, ist
geradliniger.
Konzepte
7
Tabelle 1.3 zeigt gebräuchliche Subnetzbitmaskenlängen, die entsprechende Anzahl verfügbarer IPHostadressen und die Anzahl der Subnetze, die Sie erstellen können, wenn wie in 192.168.10.0/24 ein
24-Bit-Netzwerkadressraum eingerichtet wurde.
Tabelle 1.3 Subnetzbitmaskenlängen und verfügbare IP-Hostadressen
Subnetzbitmaskenlängen Verfügbare Netzwerkadressen Verfügbare IP-Adressen
24
1
256
25
2
128
26
4
64
27
8
32
Beachten Sie bitte, dass die verfügbare Anzahl von IP-Hostadressen etwas geringer ist, als in Tabelle 1.3 angegeben. Die höchste und die niedrigste IP-Adresse eines Subnetzes (in der Binärform
sind alle Bits gelöscht oder gesetzt) sind für Broadcastnachrichten reserviert. Außerdem beansprucht
der Router mindestens eine IP-Adresse aus dem Subnetz. Daher ist die Zahl der IP-Adressen, die für
Hostcomputer im Netzwerk verfügbar ist, um drei geringer als die in Tabelle 1.3 angegebene theoretische Anzahl von IP-Adressen.
Private IPv4-Adressen
Einige IP-Adressenbereiche wurden für die Verwendung in privaten internen Netzwerken reserviert
(Tabelle 1.4). Adressen aus diesen Bereichen sind nicht über das öffentliche Internet zugänglich, weil
Internetrouter die Adressen nicht in ihre Routingtabellen aufnehmen. Allerdings können private
IP-Adressen in Ihrem internen Netzwerk geroutet werden. Außerdem können Sie eine Netzwerkadressenübersetzung (Network Address Translation, NAT) einsetzen, damit Clients mit einer privaten
IP-Adresse im Internet kommunizieren können. NAT wird im weiteren Verlauf dieses Kapitels ausführlicher besprochen.
Tabelle 1.4 Private IPv4 Address Ranges
Netzwerk
Verfügbare 24-Bit-Netzwerke Verfügbare IP-Adressen
192.168.0.0–192.168.255.255
256
65.536
172.16.0.0–173.1.255.255
4.096
1.048.576
10.0.0.0–10.255.255.255
65.536
16.777.216
Private IP-Adressen werden im RFC 1918 definiert, das unter http://tools.ietf.org/html/rfc1918
verfügbar ist.
Automatische private IP-Adressierung (APIPA)
Wenn ein Computer, auf dem Microsoft Windows 98 oder höher ausgeführt wird, keine statische
IP-Adresse erhalten hat und auch keine IP-Adresse von einem DHCP-Server (Dynamic Host Configuration Protocol) anfordern kann, ermittelt er mit APIPA (Automatic Private IP Addressing) nach
dem Zufallsprinzip eine IP-Adresse aus dem verbindungslokalen Adressbereich 169.254.1.0 bis
169.254.254.255. APIPA, auch IPv4 Link-Local (IPv4LL), Zero Configuration Networking oder Zeroconf genannt, wird in RFC 3330 (erhältlich unter http://tools.ietf.org/html/rfc3330) und RFC 3927
beschrieben (erhältlich unter http://tools.ietf.org/html/rfc3927).
8
Kapitel 1: IPv4
APIPA ermöglicht Computern auch ohne DHCP-Server oder statische IP-Adressen die Kommunikation in einem lokalen Netzwerk (Local Area Network, LAN), beispielsweise in einem drahtlosen
Ad-hoc-Netzwerk. Wenn ein Computer in einem Netzwerk, in dem ein DHCP-Server verfügbar ist,
mit einer APIPA-IP-Adresse arbeitet, bedeutet dies, dass der Computer keinen Kontakt zum DHCPServer herstellen konnte. Entweder ist der Computer nicht korrekt ans Netzwerk angeschlossen oder
der DHCP-Server war offline.
Hinweis APIPA-Adressen sollten nie mit einem Standardgateway konfiguriert werden, weil APIPA nur für
die Verwendung im selben Subnetz konzipiert wurde.
Computer mit APIPA-IP-Adresse versuchen gewöhnlich, Kontakt zum DHCP-Server aufzunehmen
für den Fall, dass nach dem Start des Clientcomputers ein DHCP-Server verfügbar geworden ist.
Multicastadressen
Addressen im Bereich 224.0.0.0 bis 239.255.255.255 sind für die Multicastkommunikation reserviert.
Der überwiegende Teil der IP-Kommunikation erfolgt zwischen zwei bestimmten Endpunkten, beispielsweise zwischen einem Webbrowser und einem Webserver. Ein anderer Teil der IP-Kommunikation ist an alle Teilnehmer des lokalen Netzwerks gerichtet, beispielsweise ARP-Anfragen (Address
Resolution Protocol). Ein weiterer, relativ kleiner Teil der Kommunikation richtet sich an mehrere
ausgewählte Empfänger.
Meistens sind Multicastsendungen nur an andere Hosts aus dem lokalen Netzwerk gerichtet. EIGRP
(Enhanced Interior Gateway Routing Protocol) verwendet zum Beispiel die Multicast-IP-Adresse
224.0.0.10, damit ein Router mit einem einzigen Paket alle benachbarten Router über eine Änderung
in der Routingtabelle informieren kann.
Abbildung 1.4 Übermittlung eines 128-KBit/s-Videostreams per Unicast an zwölf Clients, die über
drei Netzwerke verteilt sind
Konzepte
9
Allerdings können Multicastsendungen auch an andere Netzwerke erfolgen. Im Internet funktionieren
geroutete Multicastsendungen normalerweise nicht. Private Netzwerke lassen sich aber so einrichten,
dass Multicasts möglich sind. Geroutetes Multicasting in privaten Netzwerken eignet sich für die interne Übermittlung von Videodaten, um zum Beispiel eine Ansprache des Firmenchefs an die Computer der Mitarbeiter zu übertragen.
Abbildung 1.4 zeigt, welche Bandbreite beansprucht wird, wenn zwölf Computer per Unicast eine
128-k-Videodatenquelle verwenden. Die relativ geringe Bandbreite, die in diesem Beispiel erforderlich ist, macht zwar in den meisten LANs die Übertragung per Unicast möglich, aber in einem Netzwerk, in dem sich Hunderte oder Tausende von Computern befinden, lassen sich Live-Videodaten nur
per Multicast an die vielen Empfänger übertragen. Abbildung 1.5 zeigt, dass bei der Multicastübertragung der Videodaten eine wesentlich geringere Bandbreite erforderlich ist, insbesondere im Netzwerk
des Servers.
Abbildung 1.5 Übermittlung eines 128-KBit/s-Videostreams per Unicast an zwölf Clients, die über
drei Netzwerke verteilt sind
Netzwerkadressenübersetzung (NAT)
Für die mit dem Internet verbundenen Computer stehen nicht genügend öffentliche IPv4-Adressen zur
Verfügung. Die meisten ISPs weisen einer kommerziell genutzten Internetverbindung nur eine bis vier
öffentliche IP-Adressen zu. Für die Hunderte oder Tausende von Computern, die eine Organisation
vielleicht an einem bestimmten Standort verwendet, reicht dies offensichtlich nicht aus.
NAT ermöglicht Computern, die nur über private IP-Adressen verfügen, trotz des Mangels an verfügbaren öffentlichen IP-Adressen den Zugriff auf das Internet. Mit NAT weisen Sie den Computern
Ihres internen Netzwerks private IP-Adressen zu, beispielsweise 192.168.0.0/16. Ihr NAT-Gateway
erhält eine öffentliche IP-Adresse, fängt alle ausgehenden Verbindungen ab und leitet den Datenverkehr
an das Ziel im Internet weiter. Damit auch die Antworten aus dem Internet Ihr Netzwerk erreichen,
ändert das NAT-Gateway die Quell-IP-Adresse von der privaten IP-Adresse in die eigene öffentliche
IP-Adresse. Wenn das NAT-Gateway die eingehenden Antworten erhält, trägt es als Ziel-IP-Adresse
wieder die private IP-Adresse des Clientcomputers ein.
10
Kapitel 1: IPv4
Mangel an IPv4-Adressen
Theoretisch lassen sich mit 32-Bit IP-Adressen über vier Milliarden Adressen darstellen und neuere Schätzungen ergaben, dass etwas mehr als eine Millliarde Computer mit dem Internet verbunden
sind. Die Anzahl der IP-Adressen, die für Clientcomputer zur Verfügung stehen, liegt aber wegen
der großen Zahl der privaten IP-Adressen, wegen der für Multicastkommunikation reservierten
Adressen und weil die in den meisten Subnetzen verfügbaren IP-Adressen gar nicht verwendet
werden, deutlich unter vier Milliarden.
Abbildung 1.6 stellt die Funktionsweise von NAT schematisch dar. Da NAT private IP-Adressen durch
die eigene öffentliche IP-Adresse ersetzt, bevor die Datenpakete ins Internet übertragen werden, ist
NAT für die meisten Netzwerkanwendungen unsichtbar. Die Konfiguration von Clients erfolgt in
einem NAT-Netzwerk genauso wie in einem anderen IPv4-Netzwerk.
Abbildung 1.6 So funktioniert NAT
Sie können auf dem NAT-Gateway auch eine Portweiterleitung einrichten, damit Clients aus dem Internet eine Verbindung mit einem Server aus Ihrem privaten Netzwerk herstellen können. Bei dieser
Portweiterleitung (port forwarding) leitet das NAT-Gateway alle eingehenden Pakete mit einer bestimmten Zielportnummer an eine IP-Adresse aus Ihrem internen Netzwerk weiter. So können Sie
Konzepte
11
zum Beispiel dafür sorgen, dass alle eingehenden Anfragen, die an den TCP-Zielport 80 gerichtet
sind, an Ihren Webserver weitergeleitet werden, und alle eingehenden Anfragen, die an den TCPZielport 25 gerichtet sind, an Ihren E-Mail-Server.
Schicht-2- und Schicht-3-Adressierung
Computer, die sich im selben LAN befinden, erkennen sich gegenseitig an ihren MAC-Adressen
(Media Access Control). MAC-Adressen sind Schicht-2-Adressen und nicht routbar, wogegen
IP-Adressen zur Schicht 3 gehören und geroutet werden können.
Der ersten Schritt beim Versenden eines IP-Pakets besteht darin herauszufinden, ob sich der Remotehost im selben LAN oder in einem Remotenetzwerk befindet:
Wenn sich das Ziel im selben LAN befindet, muss die MAC-Adresse des Zielhosts als Ziel-MACAdresse verwendet werden.
Liegt das Ziel in einem Remote-LAN, muss die MAC-Adresse des Standardgateways als ZielMAC-Adresse verwendet werden. Das Standardgateway leitet das Paket dann an das nächste
Netzwerk auf dem Weg zum Ziel weiter.
Unabhängig davon, ob es sich bei der Ziel-MAC-Adresse um die des Standardgateways oder des
eigentlichen Zielhosts handelt, handelt es sich bei der Ziel-IP-Adresse immer um die IP-Adresse des
endgültigen Zielhosts. Abbildung 1.7 zeigt, wie sich die Adressierung von Paketen für Ziele im selben
LAN oder in einem Remote-LAN unterscheidet. Die Quell-IP-Adresse und die Quell-MAC-Adresse
sind natürlich die des Quellhosts.
Abbildung 1.7 Adressierung in Schicht 2 und Schicht 3
Hinweis Abbildung 1.7 verwendet als Modell für die Schicht-2-Kommunikation Ethernet. Andere Schicht2-Protokolle verwenden für die MAC-Adresse vielleicht eine andere Struktur.
12
Kapitel 1: IPv4
Hosts verwenden ARP, um die MAC-Adresse eines Computers aus dem lokalen Netzwerk zu ermitteln. ARP funktioniert so:
1. Der Clientcomputer sendet per Broadcast eine ARP-Nachricht ins LAN, mit der er nach der
MAC-Adresse eines Computers mit einer bestimmten IP-Adresse fragt.
2. Alle im LAN vorhandenen Computer erhalten und bearbeiten die ARP-Anfrage.
3. Der Server, der über die in der ARP-Anfrage angegebenen IP-Adresse verfügt, sendet eine Antwort, in der er seine MAC-Adresse angibt.
4. Der Client erhält die ARP-Antwort, fügt die Adresse zu seinem ARP-Cache hinzu und verwendet
in der weiteren Kommunikation die MAC-Adresse des Servers.
Schicht-4-Protokolle: UDP und TCP
Die meisten Netzwerkanwendungen verwenden eines der beiden folgenden Schicht-4-Protokolle:
UDP (User Datagram Protocol) Anwendungen, die keinen großen Aufwand treiben sollen und
weder verlorene Datenpakete noch eine falsche Reihenfolge der Datenpakete erkennen müssen,
verwenden UDP. UDP unterstützt zudem Multicasting, was mit TCP nicht möglich ist. Die meisten DNS-Abfragen und Streamingmedien arbeiten mit UDP. Auch Anwendungen, die UDP verwenden, können verlorene Pakete erneut übertragen oder Pakete sortieren, die in der falschen Reihenfolge eintreffen. Allerdings müssen sie diese Aufgaben selbst übernehmen, was wiederum für
den Entwickler der Anwendungen einen höheren Aufwand bedeutet.
TCP (Transmission Control Protocol) Anwendungen, die beschädigte oder verlorene Pakete erkennen und erneut übertragen müssen, verwenden TCP. Für den Einsatz von TCP ist es erforderlich,
vor der Übertragung von Anwendungsdaten eine Verbindung herzustellen. Dabei sendet der Client
ein SYN-Paket, mit dem er eine Verbindung anfordert. Der Server antwortet mit einem SYN/ACKPaket und der Client bestätigt die Verbindung mit einem ACK-Paket. Da diese Pakete ausgetauscht werden müssen, bevor Anwendungsdaten übertragen werden können, ist TCP bei kleinen
Datenmengen und kurzlebigen Verbindungen etwas langsamer als UDP. Die meisten Anwendungen wie E-Mail-Programme und Webbrowser verwenden TCP.
Auf einem Server werden gewöhnlich mehrere Dienste ausgeführt, die auf eingehende Verbindungen
warten. Damit Windows Verbindungsanfragen an die richtige Anwendung weiterleiten kann, wird in
der Verbindungsanfrage eine Portnummer angegeben. DNS-Anfragen verwenden zum Beispiel standardmäßig Port 53. Wenn Windows ein Paket mit der Portnummer 53 erhält, leitet es das Paket daher
an den DNS-Serverdienst weiter.
Planungs- und Entwurfsaspekte
Ein neues IPv4-Netzwerk sollte sorgfältig geplant werden, denn die Änderung von IP-Adressen nach
der Inbetriebnahme ist zweitaufwendig. Dieser Abschnitt beschreibt die wichtigsten Schritte bei der
Planung eines IPv4-Netzwerks.
Entwerfen der Internetverbindung
Kleine Organisationen oder Zweigstellen, die mit einem einzelnen Subnetz auskommen, können einen
Netzwerkaufbau verwenden, wie in Abbildung 1.8 gezeigt. Bei dieser Architektur wird dem NATGateway eine einzige öffentliche IP-Adresse zugeweisen, während alle Computer des internen Netzwerks private IP-Adressen erhalten. Wenn ein Server über das Internet verfügbar sein muss, kann das
NAT-Gateway mit Portweiterleitung (port forwarding) konfiguriert werden.
Abbildung 1.8 Architektur eines kleinen Netzwerks ohne Grenznetzwerk
Abbildung 1.9 Architektur eines mittleren oder großen Netzwerks mit einem Grenznetzwerk
13
14
Kapitel 1: IPv4
Die meisten mittleren und großen Organisationen verwenden eine Netzwerkarchitektur wie in Abbildung 1.9. Bei diesem Aufbau wird für öffentliche Server ein separates Netzwerk mit öffentlichen
IP-Adressen vorgesehen, das im Folgenden Grenznetzwerk genannt wird (man nennt es auch screened
subnet oder Abschirmungssubnetz). Interne Clients verwenden private, von DHCP zugewiesene
IP-Adressen und greifen über ein NAT-Gateway auf das Internet zu. Im Beispiel aus Abbildung 1.0
kann das private Netzwerk auch aus vielen verschiedenen Subnetzen bestehen, die mit Routern verbunden sind.
Hinweis Das Netzwerkgerät im Zentrum von Abbildung 1.8 und 1.9 stellt Routing-, Firewall- und NATGatewaydienste dar. In kleinen Organisationen können diese Dienste meistens von einem einzigen Gerät
übernommen werden. Große Organisationen setzen für jede Aufgabe häufig separate redundante Geräte ein.
Erstellen eines IPv4-Adressierungsschemas
Legen Sie Ihr IPv4-Adressierungsschema mit folgenden Schritten so aus, dass die IP-Adressenkonfiguration und das Routen in Ihrem internen Netzwerk möglichst einfach wird. Auf längere Sicht erleichtert dies die Routerkonfiguration und die Behebung von Netzwerkproblemen.
1. Wählen Sie für Ihre internen Netzwerke einen der privaten Adressenbereiche aus. Der Adressraum
10.0.0.0/8 bietet die größte Anzahl von Netzwerken.
2. Legen Sie im privaten Adressenbereich einen passenden (beliebigen) Anfangspunkt fest. Wenn
Sie zum Beispiel den Adressraum 10.0.0.0/8 wählen, können Sie für Ihre internen Netzwerke
10.187.0.0/16 verwenden. Ihr privater Adressraum muss zwar im Internet nicht eindeutig sein,
aber wenn Sie nur einen bestimmten Teil des Adressraums verwenden, wird die Wahrscheinlichkeit geringer, dass sich Konflikte mit anderen internen Netzwerken ergeben, die vielleicht in Zukunft im Zuge von Fusionen, Übernahmen oder Partnerschaften eingebunden werden müssen.
Viele Organisationen beginnen ihre Nummerierung am unteren Rand des Adressraums und verwenden zum Beispiel die Netzwerke 10.0.0.0/24 oder 192.168.0.0/24. Dadurch ergeben sich mit
größerer Wahrscheinlichkeit Konflikte mit anderen privaten Netzwerken.
Abbildung 1.10 Hierarchische Adressierung
3. Weisen Sie den verschiedenen Standorten der Organisation verschiedene Teile Ihres Adressraums
zu. Sehen Sie für jeden Standort mindestens die zehnfache Menge der IP-Adressen vor, die in der
nahen Zukunft gebraucht werden, damit die Netzwerkadministratoren auch bei einem weiteren
15
Wachstum die vorgesehene logische Netzwerknummerierung beibehalten können, ohne aus Effizienzgründen zusätzliche Subnetze einführen zu müssen.
4. Erlauben Sie jedem Standort, im vorgesehenen Adressbereich zusätzliche Subnetze im internen
Netzwerk einzurichten. Verwenden Sie in jedem physischen Netzwerksegment 24-Bit-Subnetze,
um die Konfiguration zu vereinfachen. Abbildung 1.10 zeigt, wie eine private Adresse unter verschiedenen Standorten und innerhalb eines Standorts auf verschiedene Netzwerksegmente aufgeteilt werden kann. Diese Netzwerke müssen für verkabelte und für drahtlose Netzwerke Adressenbereiche bereitstellen.
5. Richten Sie einen Netzwerkbereich für Remoteclients ein, beispielsweise für Mitarbeiter, die zu
Hause arbeiten und sich ins Netzwerk einwählen oder ein VPN (virtual private network) verwenden.
Planen der Hostadressen
Um den Aufbau Ihrer Netzwerke zu vereinheitlichen und den Administratoren eine schnellere Behebung von Netzwerkproblemen zu ermöglichen, können Sie einen Hostadressenplan aufstellen, der
in allen Netzwerken verwendet wird. Tabelle 1.5 zeigt einen typischen Hostadressenplan, wobei es
natürlich von Ihren Netzwerken abhängt, welche Server tatsächlich vorhanden sind.
Tabelle 1.5 Beispiel für einen Hostadressenplan
Aufgabe
Standardgateway
Hostadresse
.1
Sekundäres Gateway
.2
DHCP-Server
.3
Primärer DNS-Server
.4
Sekundärer DNS-Server
.5
Primärer WINS-Server (Windows Internet Name Service)
.6
Sekundärer WINS-Server
.7
Clients, die für eine gewisse Zeit eine statische IP-Adresse brauchen
.20–.29
Statische Clients
.30–.99
DHCP-Clients
.100–.250
Verwenden von VPNs
Heutzutage entscheiden sich immer mehr Organisationen für Standort-zu-Standort-VPNs, um räumlich voneinander entfernte Standorte über das öffentliche Internet miteinander zu verbinden. Dabei
wird das Internet verwendet, um eine authentifizierte, verschlüsselte Verbindung zwischen zwei räumlich voneinander getrennten Standorten herzustellen. Der Datenverkehr, der an einem Standort erzeugt
wird, erreicht den anderen Standort so, als seien beide Standorte durch Standardrouter miteinander
verbunden.
Abbildung 1.11 zeigt die herkömmliche Lösung zur Verbindung von zwei räumlich voneinander entfernten Standorten, die auf private Netzwerkverbindungen wie Frame Relay-Netzwerke, ATM-Netzwerke (Asynchronous Transfer Mode) oder private Telco-Verbindungen (wie T-1) angewiesen ist.
Dieser Lösungsansatz bietet eine garantierte Bandbreite zwischen beiden Standorten, die keinen starken Schwankungen unterworfen ist. Allerdings können die Kosten im Vergleich zu einer VPN-Lösung
hoch sein, denn für das private WAN-Netzwerk (private wide area network) und das Internet sind separate Netzwerkverbindungen erforderlich.
16
Kapitel 1: IPv4
Abbildung 1.11 Ein mit speziellen privaten Netzwerkverbindungen erstelltes WAN
Abbildung 1.12 Ein mit VPNs erstelltes WAN
Abbildung 1.12 zeigt ein vergleichbares Netzwerk, das mit VPNs eingerichtet wurde. Gewöhnlich ist
an jedem Standort sowieso eine Internetverbindung erforderlich. Das bedeutet, dass für den Aufbau
des VPNs keine zusätzlichen Netzwerkverbindungen gebraucht werden. Allerdings muss sich das
VPN die verfügbare Bandbreite mit dem anderen Internetdatenverkehr teilen. Außerdem kann die
Übertragungsleistung im Internet stärker schwanken, als dies in privaten Netzwerkverbindungen üblich ist.
17
Hinweis Eine Verschlüsselung bietet zwar einen guten Schutz für die VPN-Daten, aber bei sehr strengen
Sicherheitsbestimmungen ist der Transport von privaten Daten über ein öffentliches Netzwerk vielleicht
nicht zulässig.
Viele Firewalls und Router sind bereits auf die Unterstützung von VPNs ausgelegt. Außerdem können
Sie für VPNs spezielle Netzwerkhardware oder eine der jüngeren Versionen von Windows Server
verwenden, wie Microsoft Windows 2000 Server, Windows Server 2003 und Windows Server 2008.
Daher lassen sich VPNs häufig ohne oder mit geringen zusätzlichen Anschaffungskosten einrichten.
Planen der Redundanz
Ihre Routinginfrastruktur ist der wichtigste Teil des Netzwerks, denn ohne sie sind keine Netzwerkdienste verfügbar. Daher werden viele Umgebungen mit redundanten Routerkonfigurationen eingerichtet. Diese Redundanz wurde bereits bei der Konzeption von IPv4 berücksichtigt.
Router verwenden Routingprotokolle, um eine Übersicht des Netzwerks zu erstellen. Dann verwenden sie diese Übersicht, um ihre eigenen Routingtabellen aufzustellen, mit deren Hilfe sie auch den
Datenverkehr korrekt weiterleiten können, der an andere Netzwerke gerichtet ist, mit denen sie nicht
direkt verbunden sind. Führen mehrere Pfade zum Zielnetzwerk, können Router das Versagen eines
Pfads automatisch erkennen und den Datenverkehr über einen funktionierenden Pfad umleiten.
Betrachten Sie bitte das in Abbildung 1.13 dargestellte Netzwerk. Fällt Router B aus, kann der Client
trotzdem noch mit dem Server kommunizieren, weil Router A den Ausfall von Router B erkennt und
den für das Netzwerk des Servers bestimmten Datenverkehr über Router C weiterleitet.
Abbildung 1.13 Redundanz im Netzwerk
Allerdings gibt es in dem in Abbildung 1.13 dargestellten Netzwerk noch Einzelgeräte, die nicht ausfallen dürfen, nämlich die Router A und D. Fällt einer dieser Router aus, können Computer, die den
18
Kapitel 1: IPv4
ausgefallenen Router als Standardgateway verwenden, nicht mehr mit Hosts aus anderen Netzwerken
kommunizieren.
Abbildung 1.14 demonstriert, dass Sie redundante Standardgateways für Computer bereitstellen können, indem Sie zwei Router zu einem einzelnen Subnetz verbinden. Sind mehrere Standardgateways
konfiguriert, erkennen Windows-Computer automatisch den Ausfall eines Routers und leiten den
Datenverkehr durch das andere Gateway. Auf diese Weise ist der Netzwerkzugriff mit minimalen
Unterbrechungen weiter möglich.
Abbildung 1.14 Redundante Standardgateways
Eine ausführlichere Beschreibung des Einsatzes von Windows mit mehreren Routern finden Sie
in »The Cable Guy – September 2003: Default Gateway Behavior for Windows TCP/IP« unter
http://www.microsoft.com/technet/community/columns/cableguy/cg0903.mspx.
Verwenden von mehrfach vernetzten Computern
Computer können aus mehreren Gründen mehrfach vernetzt sein:
Skalierbarkeit Wenn ein Server einen höheren Datendurchsatz bewältigen muss, als mit einer einzigen Schnittstelle möglich ist, können Sie einen zweiten Netzwerkadapter installieren, sofern die
Serverhardware dies zulässt, um den maximalen Durchsatz zu verdoppeln. Sind Ihre Streamingmedien zum Beispiel mit einem Gigabit-Netzwerk verbunden und müssen 1,2 GBit/s (Gigabit pro
Sekunde) übertragen, könnten Sie zwei Netzwerkadapter installieren und einen maximalen theoretischen Durchsatz von knapp 2 GBit/s erzielen. Weitere Informationen finden Sie in Kapitel 6,
»Skalierbare Netzwerke«.
Redundanz Um beim Ausfall einer Netzwerkkarte den Ausfall des ganzen Servers zu verhindern,
können Sie redundante Netzwerkkarten konfigurieren. Fällt eine Netzwerkkarte aus, erfolgt die
Kommunikation über die andere Netzwerkkarte. Dann können Sie den Austausch der ausgefalle-
Bereitstellungsschritte

19
nen Netzwerkkarte zu einem Zeitpunkt einplanen, an dem die Benutzer möglichst wenig behindert
werden.
Verbindung mit voneinander getrennten Netzwerken Einige Server müssen eine Verbindung mit
mehreren Netzwerken herstellen, die untereinander nicht verbunden sind. Vielleicht muss ein Aktualisierungsserver nicht nur eine Verbindung mit Ihrem internen Netzwerk herstellen, damit Clients
Updates herunterladen können, sondern auch mit einem unabhängigen Testnetzwerk, damit auch
die Testcomputer die erforderlichen Updates herunterladen können. Wenn Sie Verbindungen mit
mehreren nicht miteinander verbundenen Netzwerken herstellen müssen, konfigurieren Sie nur
auf einer Netzwerkkarte ein Standardgateway. Wenn Sie Verbindungen mit mehreren Netzwerken
herstellen müssen, konfigurieren Sie die Routingtabelle des Computers manuell mit dem Befehl
route add.
Hinweis Sie können einer einzelnen Netzwerkkarte mehrere IP-Adressen zuweisen. Das ist zum Beispiel
auf Webservern üblich, auf denen mehrere Websites untergebracht wurden.
Dieser Abschnitt unterstützt Sie bei der Bereitstellung von IPv4-Netzwerken.
Manuelles Konfigurieren von IPv4-Clients
Im Normalfall sollten Sie die IP-Konfiguration von IPv4-Clients DHCP überlassen. Allerdings erfordern DNS-, DHCP- und WINS-Server eine manuelle Konfiguration der IP-Adressen.
So konfigurieren Sie manuell die IP-Adresse eines Computers, auf dem Windows Vista oder
Windows Server 2008 ausgeführt wird
1. Klicken Sie auf Start, klicken Sie dann mit der rechten Maustaste auf Netzwerk und klicken Sie
auf Eigenschaften.
2. Klicken Sie unter Aufgaben auf Netzwerkverbindungen verwalten.
3. Klicken Sie den Netzwerkadapter, den Sie einstellen möchten, mit der rechten Maustaste an und
klicken Sie dann auf Eigenschaften.
4. Wählen Sie Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie dann auf Eigenschaften.
5. Das Dialogfeld Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) öffnet sich.
6. Klicken Sie auf der Registerkarte Allgemein auf Folgende IP-Adresse verwenden und geben Sie in
den entsprechenden Eingabefeldern die IP-Adresse, die Subnetzmaske und das Standardgateway
ein. Klicken Sie auf Folgende DNS-Serveradressen verwenden und geben Sie dann die Adressen
der bevorzugten und alternativen DNS-Server ein.
7. Falls Sie mehr als eine IP-Adresse oder mehr als zwei DNS-Server angeben oder einen WINSServer hinzufügen möchten, klicken Sie auf Erweitert und nehmen dann die entsprechende Einstellung vor. Klicken Sie auf OK.
20
Kapitel 1: IPv4
Konfigurieren eines Clients für den Fall, dass kein
DHCP-Server verfügbar ist
Standardmäßig verwenden Windows-Computer, die ihre IP-Adresse normalerweise von DHCP erhalten, eine nach dem Zufallsprinzip festgelegte APIPA-Adresse, wenn sie keine Verbindung zu einem
DHCP-Server herstellen können. Allerdings können Sie einen Computer auch so einstellen, dass er
entweder eine IP-Adresse vom DHCP-Server anfordert oder im internen Netzwerk eine bestimmte
statische IP-Adresse verwendet, falls kein DHCP-Server verfügbar ist. Diese Einstellung ist für Mobilcomputer ideal, die bestimmte statische IP-Adressen brauchen.
So weisen Sie einem Computer eine statische IP-Adresse zu, wenn kein DHCP-Server verfügbar ist
auf Eigenschaften.
Das Dialogfeld Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) öffnet sich.
5. Wählen Sie auf der Registerkarte Alternative Konfiguration die Option Benutzerdefiniert. Geben
Sie die IP-Adresse, die Subnetzmaske, das Standardgateway, die DNS-Serveradressen und die
WINS-Serveradressen ein.
6. Falls Sie mehr als zwei DNS-Server oder einen WINS-Server angeben müssen, klicken Sie auf
Erweitert und nehmen die erforderlichen Einstellungen vor. Klicken Sie auf OK.
Hinzufügen von Routen zur Routingtabelle
Die meisten Computer verwenden für den Zugriff auf Remotenetzwerke ein oder mehrere Standardgateways. Falls einem Computer im lokalen Netzwerk mehrere Router zur Verfügung stehen und der
Computer Daten, die für verschiedene Netzwerke bestimmt sind, an verschiedene Router senden soll,
müssen Sie die Routen für alle Verbindungen, die nicht über ein Standardgateway erfolgen sollen, mit
dem Befehl route festlegen.
So fügen Sie eine Route zur Routingtabelle hinzu
1. Öffnen Sie eine Eingabeaufforderung als Administrator.
2. Verwenden Sie den Befehl route add Netzwerk/Bits Gateway. Der folgende Befehl konfiguriert den
Computer zum Beispiel so, dass der für das Netzwerk 192.168.2.0/24 bestimmte Datenverkehr
durch das Gateway 192.168.1.1 geleitet wird:
route add 192.168.2.0/24 192.168.1.1 -p
Wenn Sie die aktuelle Routingtabelle eines Computers überprüfen möchten, geben Sie in einer Eingabeaufforderung den Befehl route print ein. Weitere Informationen über die Verwendung des Befehls erhalten Sie durch die Eingabe des Befehls route /?.
Problembehandlung
21
Wartung
Gewöhnlich erfordert eine IPv4-Konfiguration keine weiteren Wartungsarbeiten als die Konfigurationsänderungen, die in diesem Kapitel bereits im Abschnitt »Bereitstellungsschritte« beschrieben
wurden.
Problembehandlung
Dieser Abschnitt gibt Ihnen einen kurzen Überblick über die in Windows Server 2008 integrierten
Problembehandlungstools.
ARP
Computer ermitteln die mit einer IP-Adresse aus dem lokalen Subnetz verknüpfte MAC-Adresse mit
dem Protokoll ARP, das in diesem Kapitel bereits besprochen wurde. Administratoren können sich
den ARP-Cache eines Computers mit dem Befehlszeilenprogramm Arp (Arp.exe) ansehen oder den
Cache löschen.
Probleme mit ARP sind selten. Das häufigste Problem tritt auf, wenn ein Administrator die Netzwerkkarte eines Servers auswechselt oder ein Reserveserver eines Clusters aktiviert wird und die Clients
nur die MAC-Adresse des alten Netzwerkadapters zwischengespeichert haben. In dieser Situation
können diese Clients keine Verbindung mit dem Server herstellen, bis der zwischengespeicherte ARPEintrag abläuft oder der Clientcomputer in einer Broadcastnachricht die aktualisierte MAC-Adresse
vom Server erhält. Unter Windows Vista und Windows Server 2008 laufen zwischengespeicherte
ARP-Einträge 30 Sekunden nach der letzten gültigen Kommunikation ab.
Da der Wechsel eines Netzwerkadapters gewöhnlich länger als 2 Minuten dauert, brauchen Sie den
ARP-Cache wahrscheinlich nie von Hand zu löschen. Bei Bedarf können Sie den ARP-Cache in einer
Eingabeaufforderung mit administrativen Rechten mit folgendem Befehl löschen:
arp -d *
Zur Anzeige des ARP-Caches geben Sie folgenden Befehl:
arp -a
Schnittstelle: 192.168.1.161 --- 0x7
Internetadresse
Physikal. Adresse
192.168.1.1
00-19-5b-0d-ed-fc
192.168.1.124
00-90-4b-6d-6c-7e
192.168.1.126
00-17-08-cf-36-1b
192.168.1.205
00-14-6c-83-38-2f
192.168.1.207
00-13-d3-3b-50-8f
192.168.1.255
ff-ff-ff-ff-ff-ff
224.0.0.22
01-00-5e-00-00-16
Typ
dynamisch
dynamisch
dynamisch
dynamisch
dynamisch
statisch
statisch
Lautet die physische Adresse 00-00-00-00-00-00, weist dies darauf hin, dass die Verbindung zwischen
den beiden Computern nicht richtig funktioniert.
Ipconfig
Mit Ipconfig (Ipconfig.exe) können Sie die IP-Konfiguration eines Computers schnell überprüfen
und von einem DHCP-Server aktuelle Konfigurationsdaten anfordern. Zur ausführlichen Anzeige der
IP-Konfiguration öffnen Sie eine Eingabeaufforderung und geben folgenden Befehl ein:
22
Kapitel 1: IPv4
ipconfig /all
Windows-IP-Configuration
Hostname . . . . . .
Primäres DNS-Suffix .
Knotentyp . . . . . .
IP-Routing aktiviert
WINS-Proxy aktiviert
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
:
Vista1
hq.contoso.com
Hybrid
Nein
Nein
DNS-Suffixsuchliste . . . . . . . : hq.contoso.com
contoso.com
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . :
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . :
Autokonfiguration aktiviert . . . :
Verbindungslokale IPv6-Adresse . :
IPv4-Adresse . . . . . . . . . . :
Subnetzmaske . . . . . . . . . . :
Lease erhalten. . . . . . . . . . :
Lease läuft ab. . . . . . . . . . :
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . :
DNS-Server . . . . . . . . . . . :
NetBIOS über TCP/IP . . . . . . . :
contoso.com
NVIDIA nForce-Netzwerkcontroller
00-13-D3-3B-50-8F
Ja
Ja
fe80::a54b:d9d7:1a10:c1eb%10(Bevorzugt)
192.168.1.132(Bevorzugt)
255.255.255.0
Mittwoch, 27. September 2006 14:08:58
Freitag, 29. September 2006 14:08:56
192.168.1.1
192.168.1.1
234886099
192.168.1.210
Aktiviert
Falls die angezeigte IP-Adresse im Bereich von 169.254.0.0 bis 169.254.255.255 liegt, verwendet
Windows APIPA, weil das Betriebssystem beim Start keine IP-Konfigurationsdaten von einem DHCPServer anfordern konnte und keine alternative Konfiguration vorgenommen wurde. Überprüfen Sie
zur Bestätigung in der Ipconfig-Ausgabe die Einstellung DHCP aktiviert, wenn kein DHCP-Server
verfügbar ist.
Um eine von DHCP zugewiesene IP-Adresse freizugeben oder zu erneuern, öffnen Sie eine Eingabeaufforderung als Administrator und verwenden folgende Befehle:
ipconfig /release
ipconfig /renew
Windows verwendet die aktuelle IPv4-Adresse nicht mehr und versucht, von einem DHCP-Server
eine neue IPv4-Adresse anzufordern. Ist kein DHCP-Server verfügbar, vewendet es die alternative
Konfiguration oder eine APIPA-Adresse aus dem Bereich 169.254.0.0 bis 169.254.255.255.
Netstat
Mit Netstat (Netstat.exe) können Sie überprüfen, auf welchen UDP- oder TCP-Ports ein Server auf
Verbindungsversuche wartet und welche Clients eine Verbindung aufgenommen haben. Zur Anzeige
der geöffneten Ports und der aktiven eingehenden Verbindungen geben Sie in einer Eingabeaufforderung folgenden Befehl:
Problembehandlung
23
netstat -a
Aktive Verbindungen
Proto
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
Lokale Adresse
0.0.0.0:135
0.0.0.0:3389
0.0.0.0:49152
192.168.1.132:139
192.168.1.132:3389
[::]:135
[::]:445
[::]:2869
[::]:3389
Remoteadresse
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
0.0.0.0:0
192.168.1.196:1732
[::]:0
[::]:0
[::]:0
[::]:0
Status
ABHÖREN
ABHÖREN
ABHÖREN
ABHÖREN
HERGESTELLT
ABHÖREN
ABHÖREN
ABHÖREN
ABHÖREN
Wenn Sie bemerken, dass ein Computer an unerwarteten Ports auf eingehende Verbindungen wartet,
können Sie mit dem Parameter -b überprüfen, welche Anwendungen zu den aktiven Verbindungen
gehören:
netstat -a -b
Aktive Verbindungen
Proto Lokale Adresse
TCP
0.0.0.0:135
RpcSs
[svchost.exe]
TCP
0.0.0.0:3389
Dnscache
[svchost.exe]
TCP
0.0.0.0:49152
[wininit.exe]
TCP
0.0.0.0:49153
Eventlog
[svchost.exe]
TCP
0.0.0.0:49154
nsi
[svchost.exe]
TCP
0.0.0.0:49155
Schedule
[svchost.exe]
TCP
0.0.0.0:49156
[lsass.exe]
TCP
0.0.0.0:49157
[services.exe]
TCP
169.254.166.248:139
Network Monitor
Remoteadresse
0.0.0.0:0
Status
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
0.0.0.0:0
ABHÖREN
Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten im Detail untersuchen. Wenn Sie den Network Monitor herunterladen möchten, besuchen Sie http://www.micro
soft.com/downloads/ und suchen nach Network Monitor. Im Hilfesystem des Programms finden Sie
ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann.
24
Kapitel 1: IPv4
PathPing
Mit PathPing können Sie Router zwischen einem Client und einem Server identifizieren, wie das im
folgenden Beispiel zu sehen ist:
pathping www.contoso.com
Routenverfolgung zu contoso.com [10.46.196.103]
über maximal 30 Abschnitte:
0 contoso-test [192.168.1.207]
1 10.211.240.1
2 10.128.191.245
3 10.128.191.73
4 10.125.39.213
5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98]
6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201]
7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106]
8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54]
9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177]
10 10.127.70.6
PathPing kann Routingfehler erkennen, wie zum Beispiel Routingschleifen, wobei Router Datenpakete unter drei oder mehr Routern im Kreis weiterleiten. Wie Ping verwendet auch PathPing zur Identifizierung von Routern ICMP. Daher erscheinen Router, die keine ICMP-Kommunikation durchführen,
nicht in der PathPing-Ausgabe.
Systemmonitor
Mit dem Systemmonitor können Sie Tausende von Echtzeit-Leistungsindikatoren Ihres lokalen Computers oder eines Remotecomputers überwachen. Wenn Sie Leistungsprobleme eines Netzwerks beheben möchten, können Sie die aktuelle Bandbreitenverwendung mit dem Systemmonitor detaillierter
anzeigen als mit dem Task-Manager oder dem Ressourcenmonitor. Außerdem bietet der Systemmonitor den Zugriff auf Indikatoren, mit denen sich Wiederholungen, Fehler und andere Dinge messen lassen.
So überwachen Sie die IP-Aktivität von Windows Server 2008 in Echtzeit
1. Klicken Sie auf Start und dann auf Server-Manager.
2. Erweitern Sie im Server-Manager den Knoten Diagnose\Zuverlässigkeit und Leistung\Überwachungstools und klicken Sie auf Systemmonitor.
3. Klicken Sie auf der Symbolleiste des Systemmonitor-Snap-Ins auf die Schaltfläche Hinzufügen
(das grüne Pluszeichen).
Das Dialogfeld Leistungsindikatoren hinzufügen öffnet sich.
4. Für die Überwachung der IPv4-Verwendung gibt es einige nützliche Indikatoren:
IPv4\Datagramme empfangen/s und IPv4\Datagramme gesendet/s Diese Indikatoren geben die
aktuelle Rate an, mit der IPv4-Pakete empfangen und gesendet werden.
Netzwerkschnittstelle\Empfangene Bytes/s und Netzwerkschnittstelle\Bytes gesendet/s Diese
Indikatoren geben die aktuellen Raten der eingehenden und ausgehenden Netzwerkkommunikation an, einschließlich IPv4, IPv6 und aller anderen Protokolle. Multiplizieren Sie diesen
Wert mit 8, wenn Sie die pro Sekunde übertragenen Bits abschätzen möchten.
Problembehandlung
25
TCPv4\Aktive Verbindungen Die aktuelle Zahl ausgehender TCP-Verbindungen (für Verbindungen, in denen der Computer als Client arbeitet).
TCPv4\Passive Verbindungen Die aktuelle Zahl eingehender TCP-Verbindungen (für Verbindungen, in denen der Computer als Server arbeitet).
UDPv4\Datagramme empfangen/s und UDPv4\Datagramme gesendet/s Die aktuelle Zahl eingehender und ausgehender UDP-Pakete.
ICMP\Meldungen gesendet/s und ICMP\Meldungen empfangen/s Die aktuelle Zahl eingehender
und ausgehender ICMP-Pakete. ICMP wird für Ping und andere Low-Level-Netzwerkkommunikation verwendet.
5. Klicken Sie auf einen Indikator, den Sie überwachen möchten, und dann auf Hinzufügen.
6. Klicken Sie auf OK, um zum Systemmonitor-Snap-In zurückzukehren.

Ping
Ping ist trotz der Tatsache, dass viele Router und Server keine ICMP-Kommunikation durchführen,
immer noch das beste Tool, um ausgehende Netzwerkverbindungen zu überprüfen. Nachdem Sie mit
PathPing herausgefunden haben, welche Netzwerkhosts auf ICMP-Anfragen reagieren, können Sie
Ping verwenden, um regelmäßig Ping-Anfragen durchzuführen und auf diese Weise herauszufinden,
ob eine Verbindung zum Host besteht. Falls zwischenzeitlich Verbindungsprobleme auftreten sollten,
lässt eine Ping-Schleife Rückschlüsse darauf zu, ob die Verbindung zu einem vestimmten Zeitpunkt
aktiv ist oder nicht.
Eine Ping-Schleife starten Sie mit folgendem Befehl:
ping -t hostname
Aus den Ausgaben geht hervor, ob das Paket erfolgreich gesendet werden konnte, während die Meldungen »Zeitüberschreitung der Anforderung« bedeuten, dass keine Antwort vom Remotehost eingetroffen ist oder dass der Remotehost nicht antworten konnte. Das folgende Beispiel zeigt, wie man
eine Verbindung zu einem Host überwacht, dessen IP-Adresse 192.168.1.1 lautet:
ping -t 192.168.1.1
Ping wird ausgeführt für 192.168.1.1 mit 32 Bytes Daten:
Antwort von 192.168.1.1: Bytes=32 Zeit=1ms
Antwort von 192.168.1.1: Bytes=32 Zeit<1ms
Zeitüberschreitung der Anforderung.
TTL=64
TTL=64
TTL=64
TTL=64
TTL=64
TTL=64
Beachten Sie bitte, dass Ping-Schleifen nur eine grobe Abschätzung der Verbindung ermöglichen.
Ping-Pakete können auch verloren gehen, wenn eine Verbindung besteht, weil Router ICMP-Anfragen
vor anderen Paketarten verwerfen. Außerdem sendet Ping die nächste Anfrage schneller, wenn es eine
26
Kapitel 1: IPv4
Antwort erhält, und langsamer, wenn es zu einer Zeitüberschreitung kommt. Daher können Sie das
Verhältnis von Antworten zu Zeitüberschreitungen nicht als Maß für die Zeit verwenden, in der das
Netzwerk funktioniert.
Task-Manager
Auf der Registerkarte Netzwerk des Task-Managers (Taskmgr.exe) können Sie schnell die Auslastung
jeder Netzwerkkarte überprüfen, die im Computer installiert ist. Um den Task-Manager zu starten,
klicken Sie auf Start, geben Taskmgr ein und drücken die EINGABETASTE . Oder klicken Sie die
Taskleiste mit der rechten Maustaste an und klicken Sie dann auf Task-Manager. Oder drücken Sie
die Tastenkombination STRG +UMSCHALT +ESC .
Die Registerkarte Netzwerk des Task-Managers zeigt die Auslastung jeder installierten Netzwerkkarte
(Abbildung 1.15). Die Prozentangabe bezieht sich auf die Übertragungsrate der Netzwerkkarte. In den
meisten Fällen erreichen Netzwerkkarten keine Auslastung von 100 Prozent. Die Spitzenbelastung
liegt gewöhnlich bei ungefähr 60 bis 70 Prozent.
Abbildung 1.15 Die Registerkarte Netzwerk des Task-Managers
Windows-Netzwerkdiagnose
Die Windows-Netzwerkdiagnose kann viele Netzwerkprobleme automatisch erkennen und auf Verbindungsprobleme hinweisen. Wenn Sie auf einem Computer keine Verbindung mit einem Netzwerk
herstellen können, sollte die Windows-Netzwerkdiagnose stets der erste Problembehebungsschritt
sein, weil sie viele Probleme schneller erkennt als selbst ein erfahrender Systemadministrator.
Zum Start der Windows-Netzwerkdiagnose gehen Sie folgendermaßen vor:
auf Eigenschaften.
3. Klicken Sie den Netzwerkadapter, den Sie überprüfen möchten, mit der rechten Maustaste an und
klicken Sie dann auf Diagnose.
Weitere Informationen
27
Die Windows-Netzwerkdiagnose versucht, vorliegende Probleme zu erkennen. Sie weist auf alle
Sachverhalte hin, die bei der Behebung des Problems von Nutzen sein könnten, und bietet Ihnen bei
bestimmten Problemen, die im Bereich der Software liegen, sogar an, die Probleme automatisch zu
beheben.
Zusammenfassung des Kapitels
IPv4 ist heutzutage das gebräuchlichste Netzwerkprotokoll und wird dies vermutlich auch noch viele
Jahre bleiben. Während die Verbindung von Computern mit einem IPv4-Netzwerk relativ einfach ist,
wobei die Konfiguration meistens automatisch erfolgt, ist es beim Entwurf von IPv4-Netzwerken
wichtig, die IP-Adressierungskonzepte zu verstehen und das zukünftige Wachstum zu berücksichtigen. IPv4 zieht zwar kaum Wartungsarbeiten nach sich, aber als Administrator müssen Sie sich mit
den verschiedenen Problembehandlungstools auskennen, um die üblichen Verbindungsprobleme beheben zu können.
Weitere Informationen über private IP-Adressen finden Sie in RFC 1918 unter http://tools.ietf.org/
html/rfc1918.
Weitere Informationen über APIPA finden Sie hier:
RFC 3330 unter http://tools.ietf.org/html/rfc3330
RFC 3927 unter http://tools.ietf.org/html/rfc3927
Weitere Informationen über die Verwendung von mehreren Routern finden Sie in »The Cable Guy –
September 2003: Default Gateway Behavior for Windows TCP/IP« unter http://www.microsoft.com/
technet/community/columns/cableguy/cg0903.mspx.
29
K A P I T E L
2
IPv6
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
45
48
56
56
59
59
IPv4 (Internet Protocol Version 4) wurde im Jahr 1981 mit der Veröffentlichung von RFC 791 standardisiert, also viele Jahre bevor sich das moderne Internet in seiner heutigen Form entwickelte. Die
Internetgemeinschaft hat zwar Mittel und Wege gefunden, viele der Beschränkungen von IPv4 zu
umgehen, aber auf längere Sicht muss eine neue Version der Schicht-3- und Schicht-4-Protokolle eingeführt und verwendet werden, damit das Internet auch in den kommenden Jahrzehnten weiter wachsen kann. Diese neue Protokollversion ist IPv6 (Internet Protocol Version 6).
IPv6 war bereits in Windows XP SP1 und im Betriebssystem Windows Server 2003 als Netzwerkkerntechnologie enthalten, war aber standardmäßig deaktiviert. In den Betriebssystemen Windows
Vista und Windows Server 2008 ist IPv6 standardmäßig aktiviert. Microsoft plant nicht, IPv6 auch für
Microsoft Windows 2000, Windows 98 und ältere Windows-Versionen anzubieten.
Dieses Kapitel bietet Informationen darüber, wie man IPv6-Netzwerke mit Windows Server 2008
entwirft, bereitstellt, Fehler beseitigt und die Netzwerke wartet. Eine umfassende Beschreibung von
IPv6 würde ein ganzes Buch erfordern, wie zum Beispiel Understanding IPv6, Second Edition von
Joseph Davies (Microsoft Press, 2008). Dieses Kapitel beschränkt sich auf das Grundwissen, über das
Windows Server 2008-Systemadministratoren für die Verwaltung von Computern in IPv6-Netzwerken verfügen müssen. Dabei wird das Grundwissen über IPv4 aus Kapitel 1, »IPv4«, vorausgesetzt.
Konzepte
Die wichtigste Verbesserung von IPv6 gegenüber IPv4 ist der größere Adressraum. Der IPv4-Adressraum lässt sich nicht erweitern. Wenn das Internet weiterhin wächst, ist eine Umstellung auf IPv6 also
unvermeidlich. Außerdem unterstützt IPv6 Datenpakete bis zu einer Größe von 4 Gigabyte (GB), was
in Hochleistungsnetzwerken eine bessere Leistung ermöglicht.
IPv6 bietet zudem viele Funktionen, die unter IPv4 noch eine Erweiterung erforderten. Da diese Funktionen aber auch unter IPv4 verfügbar sind, stellen sie nicht die treibende Kraft für die Umstellung auf
IPv6 dar:
Einfachere Konfiguration Die meisten IPv6-Clients konfigurieren ihre IP-Adressen automatisch.
Meistens ist dafür kein DHCP-Server (Dynamic Host Configuration Protocol) erforderlich.
30

Kapitel 2: IPv6
Sicherheit Während die Authentifizierung und Verschlüsselung der IPv4-Kommunikation durch
IPsec-Erweiterungen (Internet Protocol Security) erreicht wird, sind diese Funktionen bereits in
IPv6 integriert.
QoS (Quality of Service) IPv6 verfügt über ein integriertes QoS-System. QoS-Erweiterungen ermöglichen eine Priorisierung von IPv4-Daten.
Effizienteres Routing Das Routing unter IPv6 ist hierarchisch und besser organisiert. Dadurch
können Router effizienter arbeiten und brauchen weniger Speicherplatz für Routingtabellen.
Allerdings hat sich mit den höheren Anforderungen, die an IPv4 gestellt wurden, auch die Routingtechnologie weiterentwickelt. Diese Verbesserung führt daher nicht automatisch zu einer
Leistungssteigerung.
Verbesserte Erweiterbarkeit IPv6-Header (Vorspänne) lassen sich erweitern, um neue Funktionen
zu unterstützen. IPv4 bietet nur 40 Byte für Optionen, von denen die meisten bereits von Erweiterungen wie zum Beispiel QoS beansprucht werden. Ein IPv6-Header ist immer genau 40 Byte
lang. Allerdings steht auch ein Erweiterungsheader zur Verfügung, der eine praktisch unbegrenzte
Erweiterung ermöglicht, wenn sich die Anforderungen ändern, die an Netzwerke gestellt werden.
Änderungen in IPv6 gegenüber IPv4
Abgesehen vom größeren Adressraum betreffen die meisten IPv6-Änderungen die Integration von
optionalen Erweiterungen, die nach dem ursprünglichen Entwurf von IPv4 entwickelt wurden. Tabelle 2.1 zeigt die wichtigsten Unterschiede zwischen IPv4 und IPv6.
Tabelle 2.1 IPv6-Änderungen
IPv4
IPv6
IP-Adressen sind 32 Bit breit.
IP-Adressen sind 128 Bit breit.
QoS-Vorpänne sind optional.
QoS-Unterstützung ist integriert.
IPsec-Unterstützung ist optional.
IPsec-Unterstützung ist für alle Hosts erforderlich.
Der Header enthält eine Prüfsumme.
Der Header enthält keine Prüfsumme.
Der Header enthält Optionen, die ständig Platz
darin beanspruchen.
Ein IPv6-Header ist zwar doppelt so groß wie ein IPv4-Header,
aber optionale Felder werden in Headererweiterungen gespeichert.
Hosts verwenden ARP (Address Resolution Protocol), um sich in lokalen Netzwerken gegenseitig zu identifizieren.
Hosts identifizieren sich in lokalen Netzwerken gegenseitig mit
Nachbaraushandlungsnachrichten (neighbor solicitation messages). Diese Methode ist einfacher zu verwalten.
Hosts verwalten Zugehörigkeiten zu lokalen
Subnetzgruppen für das Multicasting mit IGMP
(Internet Group Management Protocol).
Hosts verwalten Zugehörigkeiten zu Multicastgruppen mit MLD
(Multicast Listener Discovery).
Die meisten Hosts erhalten ihre IP-Adressen von
einem DHCP-Server. Manche Hosts könnten
zwar eine Routererkennung mit ICMP (Internet
Control Message Protocol) einsetzen, aber das ist
kaum gebräuchlich.
Die meisten Hosts bestimmen ihre IP-Adresse mit ICMP-Routeraushandlung (Router Solicitation) und Routerbekanntgabe (Router
Advertisements), wobei zusätzliche Konfigurationseinstellungen
mit einer optionalen DHCPv6-Serverabfrage abgerufen werden.
Hosts wenden sich mit Broadcastnachrichten an
alle anderen Hosts aus dem lokalen Netzerk..
Hosts verwenden statt Broadcastnachrichten verbindungslokale
Multicastnachrichten über alle Knoten (all-nodes multicast).
IPv4 verwendet in DNS-Abfragen A-Ressourceneinträge.
IPv6 verwendet in DNS-Abfragen AAAA-Ressourceneinträge.
Die maximale Paketgröße von IPv4 ist 65.535
Byte.
Ein IPv6-Paket kann 4.294.967.295 Byte groß sein.
Konzepte
31
IPv6-Adressierung
Der wohl größte Nachteil von IPv4 ist der beschränkte Adressraum. IPv4 verwendet einen 32-BitAdressraum mit einem theoretischen Maximum von etwas über vier Milliarden Adressen. Der praktisch verwendbare Anteil ist aber deutlich geringer, wie in Kapitel 1 beschrieben. IPv6 verwendet
einen 128-Bit-Adressraum mit ungefähr 3,4E38 Adressen. Da die tatsächlich vorhandene Anzahl von
IPv6-Hosts beträchtlich geringer ist, gibt es genügend IPv6-Adressen, um jedem Mann, jeder Frau
und jedem Kind Trillionen von routbaren Adressen zur Verfügung zu stellen, ohne auf Hilfskonstruktionen wie NAT (Network Address Translator) zurückgreifen zu müssen.
Aufbau von IPv6-Adressen
Gewöhnlich werden IPv6-Adressen in zwei Teile unterteilt, nämlich in eine 64-Bit-Netzwerkkomponente und eine 64-Bit-Hostkomponente. Die Netzwerkkomponente identifiziert ein bestimmtes
Subnetz. Große Organisationen oder Internetdienstanbieter erhalten die Nummern von der IANA
(Internet Assigned Numbers Authority). Die Hostkomponente wird gewöhnlich nach dem Zufallsprinzip oder auf der Basis der eindeutigen MAC-Adresse (Media Access Control) der Netzwerkkarte
generiert, die 48 Bit breit ist. Allerdings sind auch noch andere Lösungen möglich. So verwendet
ISATAP, das im Verlauf dieses Kapitels noch beschrieben wird, einen anderen Adressenaufbau.
Hinweis Die Ableitung eines Teils der IP-Adresse aus der MAC-Adresse ermöglicht es Websites, die Aktivitäten einzelner Computer zu protokollieren, solange diese Computer immer dieselben Netzwerkkarten
verwenden. Um den Datenschutz für die Benutzer zu verbessern, beschreibt RFC 4941 (erhältlich unter
http://www.ietf.org/rfc/rfc4941) eine Methode, mit der sich IPv6-Adressen im Lauf der Zeit ändern lassen,
damit sich einzelne Computer nicht mehr so leicht nachverfolgen lassen.
IPv6-Adressen werden in acht Gruppen zu jeweils vier Hexadezimalziffern geschrieben, wie das folgende Beispiel zeigt:
2001:0000:0000:0000:085b:3c51:f5ff:ffdb
Sie können IPv6-Adressen abkürzen, indem Sie alle führenden Nullen in den Gruppen weglassen. Die
folgende IP-Adresse stimmt also mit der gerade gezeigten IP-Adresse überein:
2001:0:0:0:85b:3c51:f5ff:ffdb
Um eine IPv6-Adresse noch weiter zu verkürzen, können Sie aufeinanderfolgende Gruppen, die aus
Nullen bestehen, durch zwei Doppelpunkte ersetzen. Allerdings ist dies in jeder IPv6-Adresse nur
einmal zulässig. Da IPv6-Adressen immer aus acht Gruppen mit vier Hexadezimalziffern bestehen,
können Sie leicht herausfinden, wie viele Nullengruppen weggelassen wurden. In der folgenden IPAdresse, die mit den vorigen Beispielen übereinstimmt, wurden zum Beispiel drei Gruppen weggelassen, denn es werden nur noch fünf Gruppen mit Hexadezimalziffern angegeben:
2001::85b:3c51:f5ff:ffdb
Verwenden von IPv6-Adressen in UNC-Pfaden (Universal Naming
Convention) und URLs
Im Normalfall sollten Sie zwar DNS-Namen verwenden, aber Sie können in einem UNC-Pfad oder
einer URL mit geringfügigen Anpassungen auch eine IPv6-Adresse verwenden. Um eine IPv6Adresse in einem UNC-Pfad (wie \\Server\Freigabe) zu verwenden, ändern Sie die Doppelpunkte
in Bindestriche und hängen .ipv6-literal.net an. Für den Zugriff auf die C$-Freigabe eines Computers mit der IPv6-Adresse 2001:db8::85b:3c51:f5ff:ffdb könnten Sie zum Beispiel den UNC-Pfad
32
Kapitel 2: IPv6
\\2001-db8--85b-3c51-f5ff-ffdb.ipv6-literal.net\C$ verwenden. Zur Angabe der Zonenkennung ersetzen Sie das Symbol % durch ein s. In diesem Fall wird aus der IP-Adresse 2001:db8::85b:3c51:
f5ff:ffdb%4 in einem UNC-Pfad also \\2001-db8--85b-3c51-f5ff-ffdbs4.ipv6-literal.net\C$. Wenn
Sie diese Technik für Computer verwenden möchten, auf denen Windows 2000 oder Windows
Server 2003 ausgeführt wird, und sich Schwierigkeiten ergeben, gehen Sie so vor, wie im Microsoft Knowledge Base-Artikel 281308 unter http://support.microsoft.com/kb/281308 beschrieben.
Sie können eine IPv6-Adresse in einer URL verwenden, wenn Sie die Adresse in eckige Klammern
einschließen, wie zum Beispiel in http://[2001:db8::85b:3c51:f5ff:ffdb]/. Die Klammern sind erforderlich, damit in der URL auch eine Portnummer angegeben werden kann. Die folgende URL
stellt zum Beispiel eine Verbindung mit derselben IPv6-Adresse auf Port 81 her: http://[2001:db8::
85b:3c51:f5ff:ffdb]:81/.
So wie IPv4-Netzwerke mit der CIDR-Notation (Classless Inter-Domain Routing) angegeben werden
können, wie zum Beispiel in 192.168.1.0/24, so können auch IPv6-Adressen mit der CIDR-Notation
angegeben werden. Das folgende Beispiel zeigt eine 48-Bit-Netzwerkadresse. Beachten Sie bitte den
doppelten Doppelpunkt, der als Platzhalter für die Nullen dient, die in der Schnittstellenkennung weggelassen wurden:
2001:db8:4136::/48
IPv6-Adresstypen
Es gibt verschiedene Arten von IPv6-Adressen:
Verbindungslokale Adressen IPv6-Adressen, die automatisch für alle physischen und virtuellen
Schnittstellen erstellt werden und nur im lokalen Netzwerksegment zugänglich sind
Eindeutige lokale IPv6-Unicastadressen
IPv6-Adressen, die in Ihrem Intranet routbar sind, aber
nicht vom Internet aus zugänglich sind
Globale Unicastadressen
IPv6-Adressen, die im IPv6-Internet geroutet werden können. Damit ist
der Teil des Internets gemeint, in dem IPv6 verwendet wird.
Multicastadressen
Addressen, die es einem Host ermöglichen, mit mehreren Empfängern zu
kommunizieren
Anycastadressen
Addressen, die mehreren Schnittstellen zugewiesen werden können, um zum
Beispiel allen Schnittstellen eines mehrfach vernetzten Servers dieselbe Adresse zu geben
Spezielle Adressen Eine Reihe verschiedener Adressen, wie zum Beispiel Loopbackadressen
Während die meisten IPv4-Computer pro Schnittstelle gewöhnlich nur eine einzige IP-Adresse verwenden, verfügen IPv6-Computer gewöhnlich über eine verbindungslokale Adresse und eine globale
oder eindeutige lokale Adresse.
Die folgenden Abschnitte beschreiben die Adressenarten ausführlicher.
Verbindungslokale Adressen
Hosts verwenden verbindungslokale Adressen, wenn sie mit anderen Hosts aus demselben Netzwerk
kommunizieren müssen. Alle IPv6-Schnittstellen haben eine verbindungslokale Adresse, selbst wenn
sie bereits über eine globale Unicastadresse verfügen. Weil das Netzwerkpräfix immer gleich ist, lassen sich verbindungslokale Adressen nicht routen.
Konzepte
33
Wie Abbildung 2.1 zeigt, lauten die ersten 10 Bits immer 1111111010 und die restlichen 54 Bits der
Netzwerkadresse sind immer null. Daraus ergibt sich das Netzwerpräfix fe80::/64. Die letzten 64 Bit
bilden wie in den meisten IPv6-Adressen die Schnittstellenkennung.
Abbildung 2.1 Verbindungslokale Adressen
Wenn Sie sich ein Beispiel für eine verbindungslokale Adresse ansehen möchten, starten Sie einen
Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, und geben in
einer Eingabeaufforderung den Befehl ipconfig ein. Ipconfig zeigt für jeden Netzwerkadapter eine
verbindungslokale IPv6-Adresse an, die mit fe80:: beginnt.
Direkt von der Quelle: Zonenkennungen
Verbindungslokale Adressen sollten immer nur mit Zonenkennungen verwendet werden. In Skripts
und Anwendungen werden sie allerdings häufig ohne Zonenkennungen eingesetzt. Das hat zur
Folge, dass die Software versagt, wenn es im System eine zweite Schnittstelle (physisch oder virtuell) gibt.
Dmitry Anipko, Entwickler
Windows Core Networking
Eindeutige lokale Adressen
Eindeutige lokale Adressen (Unique Local Addresses, ULAs) sind zwar zwischen den Subnetzen
eines privaten Netzwerks routbar, aber nicht im öffentlichen Internet. Eindeutige lokale Adressen
ähneln in ihrer Wirkung den privaten IPv4-Netzwerken (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16),
weil sie die Erstellung von komplexen internen Netzwerken ermöglichen, ohne dass dafür der öffentliche Adressraum verwendet werden muss.
Abbildung 2.2 Eindeutige lokale Unicastadressen
Wie Abbildung 2.2 zeigt, sind die ersten 10 Bits immer 11111101. Dadurch ergibt sich das Adressenpräfix fd00::/8. Die nächsten 40 Bits der Netzwerkadresse sind die globale Kennung, die einen Standort in einer Organisation identifiziert. Es ist zwar Sache der betreffenden Organisation, globale Kennungen zuzuweisen, aber die Kennungen sollten nach dem Zufallsprinzip erstellt werden, um bei
34
Kapitel 2: IPv6
zukünftigen Zusammenschlüssen das Risiko von Adressenkonflikten zu verringern. (Ein solcher Konflikt hätte zur Folge, dass einer der Partner neue Adressen erhalten müsste.) Die verbleibenden 16 Bits
der Netzwerkadresse stellen die Subnetzkennnung dar. Damit wird es möglich, an jedem Standort bis
zu 65536 Subnetze zu erstellen. Wie bei den meisten IPv6-Adressen sind die letzten 64 Bits die
Schnittstellenkennung.
Hinweis Standortlokale Adressen im Adresspräfix feco::10 ermöglichten ursprünglich ein privates Routen
in IPv6-Netzwerken. RFC 3879 rät allerdings davon ab.
Globale Adressen
Wie öffentliche IPv4-Adressen sind globale Unicastadressen aus dem Internet zugänglich. Dazu ist es
erforderlich, dass Internetrouter in ihren Routingtabellen für den Netzwerkteil aller gültigen globalen
Unicastadressen über einen Pfad verfügen müssen.
Wie Abbildung 2.3 zeigt, sind die ersten 3 Bits der globalen Unicastadressen 001, woraus sich das
Adressenpräfix 2000::/3 ergibt. Die nächsten 45 Bits stellen das globale Routingpräfix dar, das zur
Identifizierung des Netzwerks im öffentlichen Internet verwendet wird. Die folgenden 16 Bits bilden
die Subnetzkennung, die es einer Organisation ermöglicht, in ihrem privaten Netzwerk bis zu 65.536
verschiedene interne Subnetze einzurichten. Wie bei den meisten IPv6-Adressen sind die letzten
64 Bits die Schnittstellenkennung.
Abbildung 2.3 Der Aufbau globaler Unicastadressen
Multicastadressen
Wie IPv4 reserviert auch IPv6 bestimmte Adressen für Multicasts. Die Multicastkommunikation ermöglicht es einem Host, dasselbe Paket an mehrere Empfänger zu senden. Multicasting wird gewöhnlich zur Übertragung von Mediendaten verwendet, zum Beispiel zur gleichzeitigen Übertragung eines
Livevideos von einer Besprechung an verschiedene Computer. Multicasting wird auch zur Synchronisierung mehrerer Computer verwendet (beispielsweise zur Synchronisation von drei Datenbankservern) oder zur gleichzeitigen Bereitstellung eines Betriebssystems auf mehreren Computern.
Damit eine Multicastkommunikation zwischen verschiedenen Netzwerken funktioniert, muss die
Routinginfrastruktur entsprechend konfiguriert werden. Gewöhnlich funktioniert Multicasting nicht
über das öffentliche Internet hinweg.
Wie Abbildung 2.4 zeigt, sind die ersten 8 Bits einer Multicastadresse alle gesetzt, woraus sich das
Adressenpräfix FF00::/8 ergibt. Bei den nächsten 4 Bits handelt es sich um vier Binärflags (sie geben
an, ob es sich um eine permanente oder um eine temporäre Multicastadresse handelt), an die sich weitere 4 Bits anschließen, die den Gültigkeitsbereich beschreiben (wie verbindungslokal oder standortlokal). Die verbleibenden 112 Bits sind die Gruppenkennung, mit der die Computergruppe angegeben
wird, an die sich die Multicastsendung richtet. Multicastpakete verfügen nicht über eine 64-BitSchnittstellenkennung.
Konzepte
35
Abbildung 2.4 Der Aufbau von Multicastadressen
Anycastadressen
Eine Anycastadresse ist eine spezielle Adresse, die mehreren Schnittstellen zugewiesen werden kann.
Das meistgenannte Beispiel für eine Anycastadresse ist die Anycastadresse des Subnetzrouters, denn
das ist die Netzwerkkennung mit der Schnittstellenkennung null. IPv6-Hosts können die Anycastadresse des Subnetzrouters für Kontaktversuche mit allen Routern des lokalen Netzwerks verwenden.
Spezielle IPv6-Adressen
Die folgenden Adressen und Netzwerke sind für spezielle Zwecke vorgesehen:
::1/128 (oder einfach nur ::1) Die Loopbackadresse. Sie bezieht sich immer auf den lokalen Computer.
ff01::1/128 (oder einfach nur ff01::1) Die schnittstellenlokale All-Nodes-Multicastadresse.
ff02::1/128 (oder einfach nur ff02::1) Die verbindungslokale All-Nodes-Multicastadresse. Sie lässt
sich mit einer IPv4-Broadcastadresse vergleichen.
ff02::2/128 (oder einfach nur ff02::2) Die verbindungslokale All-Routers-Multicastadresse.
ff05::2/128 (oder einfach nur ff05::2) Die standortlokale All-Routers-Multicastadresse.
::ffff:0:0/96 Das Präfix, das für abgebildete IPv4-Adressen verwendet wird.
2002::/16 Das Präfix, das für eine 6to4-Adressierung verwendet wird.
ff00::/8 Wird für Multicastadressen verwendet.
fe80::/64 Eine verbindungslokale Adresse. Dabei handelt es sich um eine automatisch zugewiesene Adresse, die sich mit einer APIPA-Adresse (Automatic Private Internet Protocol Addressing)
von IPv4 vergleichen lässt. Wenn einer Schnittstelle diese Adresse zugewiesen wurde, ist dies ein
Hinweis darauf, dass kein DHCPv6-Server verfügbar war. Weitere Informationen finden Sie im
Abschnitt »Verbindungslokale Adressen« weiter oben in diesem Kapitel.
fc00::/8 oder fd00::/8 Eindeutige lokale Adressen (ULAs), die im Intranet routbar sind, aber nicht
im Internet. Weitere Informationen finden Sie im Abschnitt »Eindeutige lokale Adressen« weiter
oben in diesem Kapitel.
2001:db8::/32 Ein Netzwerk, das für den Einsatz bei der Dokumentation reserviert ist.
Außerdem verwenden Teredo und die 6to4-Übergangsttechnologien, die im Verlauf dieses Kapitels
noch besprochen werden, eigene spezielle Adressen.
36
Kapitel 2: IPv6
Zwischen mehreren Schnittstellen unterscheiden
IPv6-Clients verwenden für Netzwerkadapter, die an Netzwerke ohne IPv6-Router oder einen DHCPv6-Server angeschlossen sind, immer die verbindungslokale Netzwerkadresse fe80::/64 Wenn ein
Windows-Computer mit mehreren Netzwerkkarten ausgerüstet ist, die mit verschiedenen Netzwerksegmenten verbunden sind, unterscheidet der Computer die Netzwerke anhand einer numerischen
Zonenkennung, die in der IP-Adresse auf ein Prozentzeichen folgt, wie es die folgenden Beispiele
demonstrieren:
fe80::d84b:8939:7684:a5a4%7
fe80::462:7ed4:795b:1c9f%8
fe80::2882:29d5:e7a4:b481%9
Aus den jeweils letzten beiden Zeichen geht hervor, dass die obigen Netzwerke mit den Zonenkennungen 7, 8 und 9 verknüpft sind. Bei Verbindungen mit verbindungslokalen Adressen sollten Sie
immer die Zonenkennung angeben. Zonenkennungen sind dasselbe wie der Schnittstellenindex, den
Sie häufig verwenden, wenn Sie IPv6-Einstellungen auf Schnittstellenbasis vornehmen.
Hinweis Zonenkennungen beziehen sich auf den sendenden Host. Daher können unterschiedliche
Hosts, die mit demselben Netzwerk verbunden sind, zur Identifizierung dieses Netzwerks unterschiedliche
Zonenkennungen verwenden.
IPv6-Autokonfiguration
Eine manuelle Konfiguration ist zwar immer noch möglich (und bei Routern erforderlich), aber gewöhnlich wird Computern die IPv6-Konfiguration automatisch zugewiesen. Wenn ein IPv6-Host eine
Verbindung mit einem Netzwerk aufnimmt, fordert er seine Konfigurationsdaten mit einer verbindungslokalen Multicastanfrage an. IPv6-Hosts können ihre IP-Konfiguration auch mit DHCPv6 von
einem DHCPv6-Server anfordern.
Hinweis Alle Hosts weisen sich selbst ohne Kommunikation mit einer Infrastrukturkomponente eine verbindungslokale Adresse zu. Eine zusätzliche Konfiguration ist für eindeutige lokale Adressen, globale Adressen oder andere Adresstypen erforderlich.
Je nach Konfiguration der IPv6-Router kann eine Autokonfiguration auf drei Arten erfolgen:
Statusfrei Im statusfreien Modus konfigurieren IPv6-Clients ihre eigenen IPv6-Adressen automatisch. Dabei verwenden Sie die IPv6-Routerbekanntgabe (Router Advertisements), wie im Abschnitt »IPv6-Autokonfiguration« weiter oben in diesem Kapitel beschrieben. Ist ein DHCPv6Server verfügbar, können statusfreie Clients neben ihren IPv6-Adressen auch andere Konfigurationseinstellungen abrufen, beispielsweise die Adresse des DNS-Servers. Aus technischer Sicht
erfolgt eine statusfreie Konfiguration, wenn Ihre IPv6-Router die Router Advertisement-Nachrichten mit gelöschtem Managed Address Configuration-Flag, gelöschtem Other Stateful Configuration-Flag sowie einer oder mehreren Präfixinformationsoptionen mit gesetztem A-Flag übertragen. Weitere Informationen finden Sie in RFC 4861.
Statusbehaftet Findet statt, wenn ein DHCPv6-Server die IPv6-Konfigurationsdaten liefert. Ein
Host verwendet eine statusbehaftete Adressenkonfiguration, wenn er Router Advertisement-Nachrichten ohne Präfixoptionen erhält und entweder das Flag Managed Address Configuration oder das
Flag Other Stateful Configuration auf 1 gesetzt ist. Statusbehaftete Adressenkonfigurationen finden auch statt, wenn keine IPv6-Router verfügbar sind.
Konzepte

37
Beide Die statusfreien und statusbehafteten Modi können miteinander kombiniert werden. IPv6Clients können zum Beispiel durch eine statusfreie Autokonfiguration eine IPv6-Adresse erhalten
und dann die statusbehaftete Autokonfiguration verwenden, um von einem DHCPv6-Server andere
IPv6-Einstellungen anzufordern, beispielsweise DNS-Serveradressen. Aus technischer Sicht geschieht dies, wenn Ihre IPv6-Router Router Advertisement-Nachrichten mit gesetzten Prefix
Information-Optionen übermitteln, in denen das Flag Managed Address Configuration oder Other
Stateful Configuration auf 1 gesetzt ist.
Hinweis Die IPv6-Implementierungen von Microsoft für Windows XP und Windows Server 2003 unterstützen kein DHCPv6. Windows Vista und Windows Server 2008 unterstützen die statusbehaftete Adressenkonfiguration mit DHCPv6.
Wenn DAD (Duplicate Address Detection) aktiviert ist – eine IPv6-Funktion, die für ISATAP, 6to4
und einige andere spezielle Schnittstellentypen nicht erforderlich ist –, können sich automatisch konfigurierte Adressen in einem oder mehreren der folgende Zustände befinden:
Vorläufig Addressen werden für die kurze Zeitspanne zwischen der ersten Zuweisung der
Adresse und der Überprüfung, ob die Adresse tatsächlich eindeutig ist, als vorläufige Adressen
eingestuft. Computer überprüfen, ob es bereits andere Geräte mit derselben Adresse gibt, indem
sie eine Nachbaraushandlungsnachricht (Neighbor Solicitation) mit der vorläufigen Adresse aussenden. Antwortet ein Computer, wird die Adresse als ungültig angesehen. Wenn kein anderer
Computer antwortet, wird die Adresse als eindeutig und gültig eingestuft.
Gültig
Zugewiesene Adressen, die auf Eindeutigkeit überprüft wurden. Eine gültige Adresse
kann zudem in einem der beiden folgenden Zustände vorliegen:
Bevorzugt. Das bedeutet, dass die Adresse für die Kommunikation verwendet werden kann.
Eine Adresse bleibt für den Zeitraum eine bevorzugte Adresse, der in dem Feld Preferred
Lifetime der Router Advertisement-Nachricht angegeben wird.
Herabgestuft (deprecated). Das bedeutet, dass die Adresse zwar abgelaufen ist, aber noch zur
Kommunikation verwendet werden kann. Eine Adresse bleibt so lange gültig, wie das Feld
Valid Lifetime der Router Advertisement-Nachricht angibt. Die zulässige Verwendbarkeitsdauer (Valid Lifetime) sollte immer mindestens so groß wie die bevorzugte Verwendungsdauer (Preferred Lifetime) gewählt werden, damit Adressen herabgestuft oder als nachrangig
eingestuft werden können, sobald die bevorzugte Lebensdauer (Preferred Lifetime) abgelaufen ist und die gültige Lebensdauer (Valid Lifetime) noch nicht erreicht ist.
Ungültig Eine Adresse, die zwar gültig war, aber nicht mehr verwendet werden kann, weil ihre
Gültigkeitsdauer abgelaufen ist.
Abbildung 2.5 stellt die Beziehungen zwischen den verschiedenen Autokonfigurationszuständen dar:
Abbildung 2.5 Autokonfiguration und Gültigkeit
38
Kapitel 2: IPv6
Wenn ein IPv6-fähiger Computer eingeschaltet wird, geht er bei der automatischen Konfiguration der
IP-Adressen folgendermaßen vor:
1. Der Computer richtet eine verbindungslokale Adresse mit dem Adressenpräfix FE80::/64 ein.
2. Der Computer versucht, eine automatische zustandsfreie Adressenkonfiguration durchzuführen,
indem er bis zu drei Routeraushandlungsnachrichten (Router Solicitation) versendet. Sofern ein
Router antwortet, verwendet der Computer die Antworten zur Einstellung der IP-Adresse und der
anderen IPv6-Konfigurationsdaten, die in der Antwort enthalten sind.
3. Falls kein Router antwortet oder in der Router Advertisement-Nachricht des Routers eines der beiden Flags Managed Address Configuration oder Other Stateful Configuration (oder beide) gesetzt
ist, wird zur Vervollständigung der automatischen Konfiguration DHCPv6 oder eine andere statusbehaftete Konfigurationsmethode verwendet.
Der Computer überprüft jede auf ihm eingestellte Adresse daraufhin, ob sie eindeutig ist, einschließlich der verbindungslokalen Adresse. Antwortet beim Eindeutigkeitstest ein anderer Host, wird die
Adresse als ungültig eingestuft.
DHCPv6
IPv4-Clients suchen beim Start automatisch nach DHCP-Servern. IPv6-Clients fordern die Adressenkonfiguration stattdessen von einem Router an und führen nur dann eine DHCPv6-Abfrage durch,
wenn sie vom Router dazu angewiesen werden, eine statusbehaftete Konfiguration durchzuführen.
Zur Konfiguration von IPv6-Clients reichen Router aus. Allerdings ist die Verwaltung einfacher, wenn
Sie einen DHCPv6-Server verwenden, weil Sie die Clientkonfigurationseinstellungen dann unter
Windows Server 2008 verwalten können und dafür nicht mehr die Router konfigurieren müssen. Weitere Informationen über DHCP finden Sie in Kapitel 3, »Dynamic Host Configuration Protocol«.
Nachbarschaftserkennung (Neighbor Discovery)
Computer verwenden die Nachbarschaftserkennung (Neighbor Discovery, ND) für folgende Aufgaben:
Identifizieren von Routern im lokalen Netzwerk.
Identifizieren der eigenen IP-Adressen, Adressenpräfixe und anderer Netzwerkeinstellungen.
Auflösen von Schicht-2-Adressen, beispielsweise einer MAC-Adresse (Media Access Control),
anhand einer IPv6-Adresse des lokalen Netzwerks, wie es ARP in ähnlicher Form in IPv4 macht.
Weitere Informationen Ausführlichere Informationen über die Nachbarschaftserkennung finden Sie in
RFC 4861 unter http://www.ietf.org/rfc/rfc4861.txt.
IPv6-Sicherheit
IPv6 bietet eine integrierte (und erforderliche) Unterstützung für IPsec-Header. In IPv4 bietet IPsec
vergleichbare Leistungen. Da IPsec für IPv4-Hosts aber nicht bindend vorgeschrieben ist, wird es von
vielen Hosts nicht geboten. Weitere Informationen über die IP-Sicherheit finden Sie in Kapitel 4,
»Windows-Firewall mit erweiterter Sicherheit«.
Konzepte
39
IPv6-Übergangstechnologien
Das Internet stellt eine gigantische Infrastruktur dar, die von Millionen Menschen verwaltet wird und
deren Aufbau Milliarden von Euro für Hard- und Software verschlungen hat. Die Änderung einer so
grundlegenden Sache wie dem Schicht-3-Protokoll zieht einen riesigen Aufwand nach sich und erfordert die Aktualisierung oder sogar den Austausch fast der gesamten Routinginfrastruktur.
Die Kosten und der Zeitaufwand für die Umstellung des Internets auf IPv6 sind kaum vorstellbar.
Diese Umstellung wird daher nicht so bald erfolgen. Allerdings haben viele Organisationen bereits
damit begonnen, IPv6 in internen Netzwerken einzusetzen. Außerdem stehen einige Technologien zur
Verfügung, die eine Kombination von IPv4 und IPv6 erlauben und es IPv6 ermöglichen, über IPv4Netzwerke zu kommunizieren.
Tabelle 2.2 vergleicht die verschiedenen IPv6-Übergangstechnologien.
Tabelle 2.2 IPv6-Übergangstechnologien
Technologie
Zweck
Duale IP-Schichtarchitektur
Ermöglicht Computern die gleichzeitige Kommunikation mit IPv4 und IPv6. Das ist
für ISATAP und Teredo-Hosts und für 6zu4-Router erforderlich. (Diese drei Begriffe
werden an anderer Stelle in dieser Tabelle erläutert und im Verlauf des Kapitels ausführlicher beschrieben.)
IPv6-über-IPv4-Tunneling
Bettet IPv6-Datenverkehr in einem IPv4-Header mit dem IP-Protokollwert 41 ein.
Diese Tunneltechnik wird gewöhnlich bei ISATAP oder 6to4 benutzt.
Intra-Site Automatic Tunnel
Addressing Protocol (ISATAP)
Ermöglicht IPv6-Hosts die Verwendung von IPv6-über-IPv4-Tunneling für die Kommunikation in Intranets. Hosts identifizieren sich gegenseitig durch die Einbettung der
IPv4-Adresse in den Hostteil der IPv6-Adresse.
6to4
Ermöglicht IPv6-Hosts die Kommunikation mit dem IPv6-Internet. Ein 6zu4-Router
mit einer öffentlichen IPv4-Adresse ist erforderlich.
Teredo
Ermöglicht IPv4/IPv6-Hosts die Kommunikation mit dem IPv6-Internet, selbst wenn
sie hinter einem NAT-System (Network Address Translator) verborgen sind.
Die folgenden Abschnitte geben Ihnen einen Überblick über diese IPv6-Übergangstechnologien.
Weitere Informationen Ausführliche Informationen finden Sie in »IPv6 Transition Technologies« unter
http://www.microsoft.com/downloads/details.aspx?FamilyID=afe56282-2903-40f3-a5ba-a87bf92c096d.
Duale IP-Schichtarchitektur
Die wichtigste Technologie für den Übergang ist die duale IP-Schichtarchitektur (Abbildung 2.6), die
in Windows Vista und Windows Server 2008 integriert ist. Mit dieser Technologie können Computer
für die Kommunikation IPv6 verwenden, wenn der Client, der Server und die Netzwerkinfrastruktur
IPv6 unterstützen. Außerdem können sie auch mit Computern oder Netzwerkdiensten kommunizieren, die nur IPv4 unterstützen.
Hinweis IPv6 unter Windows XP und Windows Server 2003 verwenden für IPv6 eine Architektur mit
einem dualen Stapel, wobei für Schicht 3 separate Implementierungen für IPv4 und IPv6 verfügbar sind.
Das Design von Windows XP und Windows Server 2003 unterscheidet sich zwar vom Design von Windows
Vista und Windows Server 2008, aber die Funktionalität ist vergleichbar.
40
Kapitel 2: IPv6
Abbildung 2.6 Die duale IP-Schichtarchitektur
IPv6-über-IPv4-Tunneling (IPv6 over IPv4 tunneling)
Ein Host, der mit einem IPv4-Netzwerk verbunden ist, beispielsweise mit dem IPv4-Internet, kann
per Tunneling eine Verbindung mit einem IPv6-Teil dieses Netzwerks herstellen. Beim Tunneling
werden IPv6-Pakete in IPv4-Paketen gekapselt, wie schematisch in Abbildung 2.7 dargestellt. Sobald
die tunnelnden Pakete den IPv6-Zielhost erreichen, wird der IPv4-Header entfernt und das IPv6-Paket
kommt zum Vorschein.
Abbildung 2.7 Tunnelnde IPv6-Pakete
Auch wenn IPv6-über-IPv4-Tunneling in gewisser Weise an ein herkömmliches VPN erinnert, ist es
beim IPv6-über-IPv4-Tunneling gewöhnlich nicht erforderlich, dass der Tunnel speziell eingerichtet
wird. Außerdem bietet dieses Verfahren im Gegensatz zu den meisten VPNs keine zusätzlichen Authentifizierungs- oder Verschlüsselungsfunktionen.
Hinweis Durch das Hinzufügen des IPv4-Headers zum IPv6-Paket wird die größte Dateneinheit (Maximum Transmission Unit, MTU) um mindestens 20 Byte kleiner. Außerdem sollten die IPv4-Pakete nicht
fragmentiert sein. Darum kümmert sich Windows automatisch.
Was die Architektur betrifft, gibt es drei verschiedene Arten von IPv6-über-IPv4-Tunneln:
Router-zu-Router Ermöglicht zwei IPv6-Netzwerken auch dann die Kommunikation, wenn sie
nur über IPv4-Netzwerke miteinander verbunden sind. Diese Art von Tunnel, die in Abbildung 2.8
dargestellt wird, ist für die Hosts im Netz unsichtbar. Sie müssen manuell einen Router-zu-RouterTunnel einrichten, wie in diesem Kapitel im Abschnitt »So konfigurieren Sie einen Router-zuRouter-Tunnel« beschrieben. 6to4 verwendet Router-zu-Router-Tunnel.
Abbildung 2.8 Router-zu-Router-Tunnel
Konzepte
41

Host-zu-Router und Router-zu-Host Ermöglicht IPv6-Hosts die Kommunikation mit einem
IPv6-Remotenetzwerk, auch wenn das lokale Netzwerk kein IPv6 unterstützt. Abbildung 2.9 stellt
diese Art der Verbindung dar. ISATAP und Teredo können diese Tunnelart verwenden, obwohl sie
unterschiedliche Kapselungsmethoden verwenden.
Abbildung 2.9 Host-zu-Router-Tunnel

Host-zu-Host Ermöglicht zwei IPv6-Hosts die Kommunikation, selbst wenn die Netzwerkinfrastruktur IPv6 nicht unterstützt. Diese Art der Verbindung wird in Abbildung 2.10 dargestellt.
ISATAP und Teredo können diesen Tunneltyp verwenden, obwohl sie unterschiedliche Kapselungsmethoden verwenden.
Abbildung 2.10 Host-zu-Host-Tunnel
Hinweis IPv6-über-IPv4-Tunneling ist eine andere Technologie als das ähnlich benannte 6over4, auch als
IPv4-Multicasttunneling bekannt, verfügbar für Windows XP und Windows Server 2003.
ISATAP
ISATAP ermöglicht IPv6-Hosts und Routern die Kommunikation über IPv4-Netzwerke, wobei IPv4und IPv6-Adressen kombiniert werden. Wie Abbildung 2.11 zeigt, handelt es sich bei einer ISATAPAdresse um eine IPv6-Adresse, deren 64-Bit-Schnittstellenkennung 0:5EFE:w.x.y.z lautet, wenn w.x.y.z
eine private IPv4-Adresse ist, oder 200:5EFE:w.x.y.z, wenn w.x.y.z eine öffentliche IPv4-Adresse ist.
Abbildung 2.11 Aufbau von ISATAP-Adressen
Der Hostteil einer ISATAP-Adresse enthält eine eingebettete IPv4-Adresse, die zur Ermittlung der
IPv4-Zieladresse für den IPv4-Header dient, wenn der IPv6-ISATAP-Datenverkehr durch ein IPv4Netzwerk tunnelt.
ISATAP wird in allen Windows-Versionen, die IPv6 unterstützen, standardmäßig unterstützt. Da IPv6Hosts immer eine verbindungslokale Adresse aus dem Netzwerk fe80::/64 erhalten, erhalten Windows-Computer für jede zugewiesene IPv4-Adresse auch die ISATAP-Adresse fe80::5efe:w.x.y.z oder
fe80:200:5efe:w.x.y.z. Außerdem erhalten sie für jede andere IPv6-Adresse eine ISATAP-Adresse.
Wurde einem ISATAP-Host zum Beispiel die IPv4-Adresse 192.168.1.185 zugewiesen, erhält er auch
die verbindungslokale ISATAP-Adresse fe80::5efe:192.168.1.185.
42
Kapitel 2: IPv6
Mit ISATAP-Adressen lässt sich nur eine Verbindung zu anderen ISATAP-Adressen herstellen. Sie
können eine ISATAP-Adresse nicht für die direkte Kommunikation mit einer IPv4-Adresse oder einer
anderen IPv6-Adresse verwenden, bei der es sich nicht um eine ISATAP-Adresse handelt.
Die Bedeutung von ISATAP liegt in der Fähigkeit, auch über IPv4-Intranets hinweg Verbindungen
herstellen zu können. Wenn zwei ISATAP-Hosts im selben IPv4-Netzwerksegment liegen, verpackt
ISATAP die IPv6-Pakete in IPv4-Paketen und verwendet als IPv4-Zieladresse die letzten 32 Bits der
ISATAP-Zieladresse im verbindungslokalen Netzwerk.
Wenn ein ISATAP-Host mit einem IPv6-Remotenetzwerk kommunizieren muss, wie in Abbildung 2.12 illustriert, ist das IPv4-Ziel die lokale Schnittstelle des ISATAP-Routers. Der ISATAPRouter entfernt den IPv4-Header und überträgt die IPv6-Pakete an den nächsten Router oder an den
Zielhost. Für die Kommunikation über einen Router hinweg ist es natürlich erforderlich, dass der
Host neben der verbindungslokalen Standardadresse über eine eindeutige lokale oder globale IPv6Adresse verfügt.
Abbildung 2.12 ISATAP-Routing
ISATAP-Router geben ihre Anwesenheit bekannt und IPv6-Hosts, die ISATAP unterstützen, konfigurieren den Router automatisch als Standardgateway.
6to4
Wie ISATAP leitet auch 6to4 IPv6-Pakete mit einem Tunnel durch IPv4-Netzwerke. Während ISATAP die IPv4-Adresse in den letzten 32 Bits der IPv6-Adresse speichert, speichert 6to4 die IPv4Adresse des 6zu4-Routers in den Bits 17–48, wie in Abbildung 2.13 dargestellt. 6to4-Adressen werden vollständig hexadezimal geschrieben. Der IPv4-Teil der Adresse lässt sich also nicht so leicht
erkennen wie in einer ISATAP-Adresse. Alle 6to4-Adressen verwenden das Präfix 2002::/16.
Abbildung 2.13 Aufbau einer 6to4-Adresse
Jeder ISATAP-Host erhält eine ISATAP-Adresse mit der kodierten IPv4-Adresse in den letzten 32
Bits. Bei 6to4 haben nur 6to4-Router ihre IPv4-Adressen in der IPv6-Adresse. 6zu4-Hosts erhalten im
Netzwerk des 6zu4-Routers eine IPv6-Adresse mit einer eindeutigen Schnittstellenkennung. Anders
gesagt, in den IPv6-Adressen von 6zu4-Hosts ist die IPv4-Adresse des zuständigen Routers enthalten
und die Hosts brauchen nicht zwangsläufig eine eigene IPv4-Adresse. Abbildung 2.14 zeigt ein 6to4Beispielnetzwerk.
Konzepte
43
Abbildung 2.14 6to4-Beispielnetzwerk
Während ISATAP in erster Linie für Intranets vorgesehen ist, wurde 6to4 für die Verwendung im
Internet entwickelt. Sie können 6to4 selbst dann über ein 6zu4-Relay hinweg für eine Verbindung
mit den IPv6-Teilen des Internets verwenden, wenn Ihr Intranet oder Ihr ISP nur IPv4 unterstützen.
IPv6-Router können Präfixe des Typs 2002:WWXX:YYZZ:Subnetzkennung::/64 bekannt geben, damit
Hosts automatisch ihre 6to4-Adressen erstellen können.
Teredo
Teredo, auch als IPv4-NAT-T für IPv6 bekannt (NAT-T steht für Network Address Translator Traversal), ermöglicht IPv6-Hosts die Kommunikation über IPv4-NATs hinweg. Teredo ähnelt in seiner
Funktion zwar 6to4, aber 6to4 erfordert einen 6zu4-Router mit einer öffentlichen IP-Adresse. Daher
können IPv6-Hosts keine Verbindung mit dem IPv6-Internet herstellen, bis der Internetrouter des
Netzwerks aktualisiert wird. Da Internetzugriffe aus dem Netzwerk über diesen Router laufen, aktualisieren Organisationen diesen Router meistens nur ungern, während die IPv6-Testphase noch läuft.
Teredo bietet mit dem vorhandenen Internetrouter den Zugang zum IPv6-Internet. Allerdings sollte es
nur verwendet werden, wenn das integrierte IPv6, ISATAP oder 6to4 nicht verwendet werden kann.
So funktioniert’s: IPv6-Tunneling
ISATAP und 6to4 verpacken IPv6-Pakete direkt im IPv4-Paket und stellen den Headerwert Protocol auf 41, ohne auf ein Schicht-4-Protokoll wie TCP (Transmission Control Protocol) oder UDP
(User Datagram Protocol) zurückzugreifen. Viele NAT-Geräte beherrschen aber das Protocol-41Tunneling nicht korrekt und verwerfen die entsprechenden Pakete. Teredo verwendet IPv4 mit
UDP und erreicht auf diese Weise eine bessere Kompatibilität zu vorhandenen NAT-Geräten.
Damit sich ein NAT-Gerät für Teredo eignet, muss es die UDP-Portübersetzung beherrschen. Teredo
ist auf allen Windows-Versionen, die IPv6 unterstützen, zu Cone-NATs und eingeschränkten NATs
kompatibel. Unter Windows XP und Windows Server 2003 ist Teredo nicht zu symmetrischen NATs
kompatibel. Unter Windows Vista und Windows Server 2008 kann Teredo zwischen Teredo-Clients
funktionieren, wenn sich höchstens ein Teredo-Client hinter einem symmetrischen NAT befindet.
Zum Beispiel funktioniert Teredo unter Windows Vista und Windows Server 2008, wenn sich einer
der Teilnehmer hinter einem symmetrischen NAT befindet und der andere hinter einem Cone-NAT
oder einem beschränkten NAT.
Damit Teredo NAT-Geräte überwinden kann, werden IPv6-Pakete zur Übertragung zwischen zwei
IPv6-Hosts oder zwischen einem IPv6-Host und einem Teredo-Relay in IPv4-Pakete verpackt. Der
Tunnel besteht also nicht zwischen Routern, wie es bei 6to4 der Fall ist. Wie bei 6to4 dient ein Relay
dazu, den IPv6-über-IPv4-Tunnel zu beenden und den Datenverkehr zwischen dem IPv4-Internet und
44
Kapitel 2: IPv6
dem IPv6-Internet weiterzuleiten (Abbildung 2.15). Ein Teredo-Server unterstützt die Konfiguration
der Teredo-Clients und erleichtert die Kommunikation zwischen zwei Teredo-Clients oder einem
Teredo-Client und einem IPv6-Host. Microsoft bietet öffentlich verfügbare Teredo-Server, die durch
den DNS-Eintrag teredo.ipv6.microsoft.com identifiziert werden. Auch andere Organisationen können
öffentliche Teredo-Server anbieten.
Abbildung 2.15 Teredo-Beispielnetzwerk
Hostspezifische Teredo-Relays, die ebenfalls in Abbildung 2.15 dargestellt werden, sind Computer,
auf denen IPv4 und IPv6 verfügbar ist und die den Datenverkehr zwischen dem IPv4-Internet und
dem IPv6-Internet weiterleiten können. Windows-Computer können als hostspezifische Teredo-Relays
dienen, wenn sie die gewünschten Verbindungen herstellen können. Die IPv6-Verbindungen können
mit dem integrierten IPv6-System oder mit einer 6to4-Verbindung zum IPv6-Internet hergestellt werden.
Abbildung 2.16 zeigt den Aufbau der Teredo-Adressen. Alle Teredo-Clients verwenden das Präfix
2001::/32. Die verbleibenden 32 Bits der Netzwerkkennung sind die 32-Bit IPv4-Adresse des IPv4Servers (sie wird immer hexadezimal geschrieben). Die Hostkennung beginnt mit 16 Bits, die für Teredo-Flags reserviert sind. Bei den nächsten 16 Bits handelt es sich um die externe UDP-Portnummer,
die vom NAT-System verwendet wird, und die letzten 32 Bits sind die IPv4-Adresse des NAT-Systems, ebenfalls in Hexadezimalform. Die NAT-Portnummer und die IPv4-Adresse werden vom Teredo-Server identifiziert, der die Informationen an den Client zurücksendet. Der Teredo-Client verbirgt
die NAT-Portnummer und die IPv4-Adresse, damit sie nicht vom NAT-System übersetzt werden.
Abbildung 2.16 Aufbau von Teredo-Adressen
Hinweis Ursprünglich haben Teredo-Clients unter Windows XP und Windows Server 2003 das Präfix
3FFE:831F::/32 verwendet. Nach dem Microsoft Security Bulletin MS06-064, erhältlich unter http://www.
microsoft.com/technet/security/Bulletin/MS06-064.mspx, werden diese Betriebssysteme besser so konfiguriert, dass sie das Präfix 2001::/32 verwenden.
45
Weitere Informationen Weitere Informationen über Teredo finden Sie in »Teredo Overview« unter
http://www.microsoft.com/technet/network/ipv6/teredo.mspx und RFC 4380 unter http://www.ietf.org/
rfc/rfc4380.txt.
Da die Infrastruktur, die Server und Clients, aus denen sich das moderne Internet zusammensetzt, von
Millionen verschiedener Menschen und Organisationen verwaltet werden, wird es viele Jahre dauern,
bevor die beteiligten Netzwerke auf IPv6 umgestellt sind. In der Zwischenzeit ermöglichen es die
IPv4-zu-IPv6-Übergangstechnologien den Hosts, mit den verschiedenen Teilen des Netzwerks zu
kommunizieren.
Hinweis Die wichtigste Übergangstechnologie ist die, welche die gleichzeitige Verwendung von IPv4 und
IPv6 auf den Hosts ermöglicht. Unter Windows Vista und Windows Server 2008 sind IPv4 und IPv6 standardmäßig für alle Netzwerkadapter aktiviert.
Dieser Abschnitt gibt Ihnen Informationen für die Bewertung von IPv6 und die Planung der Umstellung auf IPv6.
Migration auf IPv6
Die Umstellung eines Netzwerks auf eine reine IPv6-Umgebung ist gewöhnlich ein Ziel, das bei vertretbarem Aufwand nur auf längere Sicht zu erreichen ist. Für die Umstellung auf IPv6 sind folgende
allgemeine Schritte erforderlich, die Sie vor einer praktischen Umsetzung jeweils ausreichend testen
sollten:
1. Wenn Sie neue Betriebssysteme installieren oder neue Computer anschaffen, konfigurieren Sie die
Computer so, dass sie IPv6 und IPv4 unterstützen. Falls Sie vorhaben, auch weiterhin Windows
XP und Windows Server 2003 zu verwenden, stellen Sie Ihre Infrastruktur nach und nach so um,
dass IPv6 für diese Hosts unterstützt wird.
2. Aktualisieren Sie Ihre Routinginfrastruktur, damit sie ohne zusätzliche Hilfsmittel das integrierte
IPv6-Routing unterstützt.
3. Aktualisieren Sie Ihre DNS-Infrastruktur, damit sie für IPv6 AAAA-Einträge und PTR-Einträge
unterstützt (in der Reverse-Domäne IP6.ARPA).
4. Verbinden Sie Ihre Routing- und DNS-Infrastrukturen mit dem IPv6-Internet, bei Bedarf mit
Technologien wie 6to4 oder Teredo.
5. Arbeiten Sie mit internen und externen Entwicklern an der Aktualisierung Ihrer Anwendungen,
damit die Anwendungen unabhängig davon sind, ob IPv6 oder IPv4 verwendet wird.
6. Stellen Sie die IPv4/IPv6-Knoten nach ausführlichen Tests so um, dass nur noch IPv6 verwendet
wird.
Der schwierigste dieser Schritte wird es sein, die Anwendungen auf IPv6 zu aktualisieren. Unternehmen setzen häufig Tausende von Anwendungen ein, die getestet werden müssen. Viele der vorhandenen Anwendungen werden in einer IPv6-Umgebung nicht mehr richtig funktionieren und müssen
entweder aktualisiert oder ersetzt werden, bevor IPv4 endgültig abgeschaltet werden kann.
46
Kapitel 2: IPv6
Direkt von der Quelle: Planen und Durchführen der Umstellung auf IPv6
Denken Sie bitte immer daran, dass die Bereitstellung von IPv6 keine triviale Aufgabe ist. Einfach
nur IPv6 zu aktivieren ist keine große Sache, da die meisten anderen Geräte aus Ihrem Netzwerk
mit wenigen Ausnahmen (beispielsweise Computer, auf denen Windows Vista oder Windows
Server 2008 ausgeführt wird) kein IPv6 verwenden. Wenn Ihr Computer mit einem Drucker oder
einem anderen Gerät kommunizieren muss, verwendet er standardmäßig einfach IPv4. Sobald Sie
aber mit der Umstellung auf IPv6 beginnen, sind eine ganze Reihe von Aspekten zu berücksichtigen. Es gibt viele Variablen, und nicht alles, was für IPv4 gilt, lässt sich auf IPv6 übertragen.
Vor der Umstellung des Netzwerks müssen Sie einen genauen Ablaufplan aufstellen und sich auf
die Behebung der Probleme vorbereiten, die bei der Umstellung auftreten werden. Vielleicht eignen sich einige Ihrer Anwendungen einfach nicht für IPv6 oder Ihre ältere Hardware versteht nicht,
was eine IPv6-Adresse ist. Vielleicht ergeben sich auf einem Host oder Router Konfigurationsfehler. Es können sich eine ganze Reihe von Problemen ergeben. Deshalb empfehle ich Ihnen dringend, eine IPv6-Testumgebung einzurichten – heute noch! – und Ihre Geräte und Anwendungen zu
testen. Bei dieser Gelegenheit entwickeln Sie nicht nur Ihr Wissen über IPv6 weiter, sondern finden
außerdem heraus, wie sich Ihre Geräte und Anwendungen in einem IPv6-Netzwerk verhalten.
Es gibt viele Leute, die IPv6 für ihre Windows-Computer und einen umfangreichen Bestand an Geräten und Software verwenden und alles zum Laufen bringen. Um Sie bei dieser Arbeit zu unterstützen, stellen wir zum Beispiel das Hilfsprogramm checkv4.exe zur Verfügung (erhältlich unter
http://msdn2.microsoft.com/en-us/library/ms740624.aspx), mit dem Sie überprüfen können, ob Ihr
Programmcode fest einkodierte IPv4-Aufrufe enthält. Außerdem bieten wir entsprechende Literatur
an, beispielsweise »Manageable Transition to IPv6 using ISATAP« (erhältlich unter http://www.
microsoft.com/downloads/details.aspx?FamilyId=B8F50E07-17BF-4B5C-A1F9-5A09E2AF698B),
das aus der Zusammenarbeit mit Cisco entstanden ist und beschreibt, wie man die Bereitstellung
von IPv6 erleichtern kann, und »Enabling the Next Generation of Networking with End-to-End
IPv6« (erhältlich unter http://www.microsoft.com/downloads/details.aspx?FamilyID=b361154358b5-4ccc-b6ce-677ebb2a520d), das aus der Zusammenarbeit mit Juniper entstanden ist und die
Bereitstellung und Vorteile von IPv6 beschreibt. Diese und andere Hilfsmittel sind unter http://www.
microsoft.com/ipv6 erhältlich. Kurz gesagt, wir arbeiten mit vielen Partnern aus der Branche an der
Vereinfachung der IPv6-Bereitstellung, damit alle Ihre Kunden den größtmöglichen Nutzen aus
IPv6 ziehen können.
Die Moral von der Geschicht’? Fangen Sie heute noch mit Ihren IPv6-Tests an!
Sean Siler, IPv6 Program Manager
Beschaffen von IPv6-Adressen
Wie IPv4-Adressen werden den meisten Organisationen auch die IPv6-Adressen von ihren Internetanbietern zugewiesen (Internet Service Provider, ISP). Weitere Informationen erhalten Sie von Ihrem
Internetanbieter.
Wenn Sie für einen Internetanbieter arbeiten, können Sie von Ihrer RIR (Regional Internet Registry)
einen IPv6-Adressenblock anfordern. In den meisten Staaten von Nordamerika ist zum Beispiel die
American Registry for Internet Numbers (ARIN) für die Zuweisung von IPv6-Adressen an Organisationen zuständig. Wenn Sie Ihre RIR suchen, besuchen Sie die Number Resource Organization (NRO)
unter http://www.nro.org/about/get_resources.html.
47
Hinweis RIRs erhalten von der Internet Assigned Numbers Authority große IPv6-Netzwerkblöcke
zugewiesen.
Planen der Aktualisierung der Netzwerkinfrastruktur
Aus Leistungsgründen gehen viele Netzwerkkomponenten, die auf Schicht 3 und höher arbeiten (einschließlich Routern, Firewalls und NATs), davon aus, dass sie es stets mit einem IPv4-Header zu tun
haben. In diesem Sinne ist der Aufbau des IPv4-Headers in vielen Geräten »fest verdrahtet«. Da IPv6
einen anderen Header verwendet, können solche Netzwerkkomponenten häufig nicht auf IPv6 umgestellt werden. Genauere Informationen erhalten Sie von den Herstellern der Geräte. Netzwerkkomponenten für Schicht 2, einschließlich Hubs und Switches, unterstützen IPv6 gewöhnlich auch ohne
Aktualisierung.
Da sich die Software oder Firmware in einem großen Teil Ihrer Netzwerkinfrastruktur vermutlich
nicht auf IPv6 aktualisieren lässt, müssen Sie wahrscheinlich die entsprechende Netzwerkausrüstung
durch neue IPv6-fähige Geräte ersetzen. Am besten achten Sie beim Kauf neuer Geräte heute schon
auf die IPv6-Unterstützung, um die zukünftig anfallenden Kosten möglichst gering zu halten, selbst
wenn Sie vorläufig noch keine Umstellung auf IPv6 planen.
Die meisten Organisationen beginnen ihre IPv6-Tests mit einer IPv4-Infrastruktur, ohne Aktualisierungen vorzunehmen. Wie im vorigen Abschnitt beschrieben, ermöglichen ISATAP, 6to4 und Teredo
die IPv6-Kommunikation über IPv4-Netzwerke hinweg. Außerdem können Sie neben Windows
Server 2003, Windows Vista und Windows XP Windows Server 2008 als IPv6-Router verwenden.
Weitere Informationen über die Einrichtung von Windows Server 2008 als IPv6-Router finden Sie
weiter unten in diesem Kapitel im Abschnitt »So konfigurieren Sie einen Computer als IPv6-Router«.
Falls Ihre Organisation über IPv6-Netzwerke verfügt, die nicht direkt miteinander verbunden sind,
sollten Sie die manuelle Konfiguration eines Router-zu-Router-Tunnels (mit IPv6 über IPv4) vorbereiten, um die IPv6-Netzwerke zu verbinden. Falls Sie über IPv6-Hosts verfügen, die mit reinen IPv4Netzwerken verbunden sind, können Sie den IPv6-Hosts mit ISATAP den Zugriff auf reine IPv6Netzwerkressourcen ermöglichen.
Planungen für IPv6-Übergangstechnologien
Im Verlauf der Umstellung auf IPv6 werden Sie eine oder mehrere IPv6-Übergangstechnologien einsetzen müssen. Die folgenden Abschnitte bieten Ihnen Informationen zur Vorbereitung der Verwendung von ISATAP, 6to4 und Teredo.
ISATAP
Standardmäßig erhalten ISATAP-Hosts die IPv4-Adresse des ISATAP-Routers, indem sie mit DNS
oder einer anderen Namensauflösungsmethode die IPv4-Adresse für den Namen ISATAP anfordern.
Sobald der Host die IP-Adresse des ISATAP-Routers kennt, fordert er mit IPv4-Unicastnachrichten
vom Router Daten für seine automatische Konfiguration an. Um sicherzustellen, dass Clients den
ISATAP-Router finden, können Sie eine der folgenden Methoden vorsehen:
Wenn es sich bei dem ISATAP-Router um einen Computer handelt, geben Sie ihm den Namen
ISATAP.
Erstellen Sie für jede DNS-Domäne einen DNS-Eintrag.
Fügen Sie zur Datei Hosts einen Eintrag hinzu.
48
Kapitel 2: IPv6
Erstellen Sie einen statischen WINS-Datensatz.
Führen Sie auf allen ISATAP-Hosts den Befehl netsh aus.
Eine ausführlichere Anleitung erhalten finden Sie im weiteren Verlauf dieses Kapitels im Abschnitt
»So konfigurieren Sie einen Computer als ISATAP-Router«.

6to4
6to4 ermöglicht Ihnen mit Ihrer vorhandenen IPv4-Internetverbindung den Zugang zum IPv6-Internet. 6to4 setzt voraus, dass Sie über einen 6zu4-Router und eine öffentliche IPv4-Adresse verfügen
(beispielsweise eine Adresse, die Ihnen Ihr Internetanbieter zugewiesen hat). Reine IPv4-Router
können nicht als 6zu4-Router verwendet werden. Wenn Sie für den Internetzugang also einen reinen
IPv4-Router verwenden, müssen Sie diesen Router aktualisieren oder ersetzen.
Bevor Sie in Aktualisierungen investieren, um 6to4 oder Teredo einsetzen zu können, sollten Sie
überprüfen, ob die Vorteile einer Verbindung mit dem IPv6-Internet die Kosten rechtfertigen. Sofern
Sie nicht auf bestimmte Ressourcen im IPv6-Internet zugreifen müssen, die im IPv4-Internet nicht zur
Verfügung stehen, hat eine Verbindung mit dem IPv6-Internet vielleicht keinen praktischen Vorteil.
Gewöhnlich sind IPv6-Ressourcen (wie Websites) auch im IPv4-Internet verfügbar.
Teredo
Um Hosts einen IPv6-Internetzugang zu bieten, wenn Sie nicht über einen 6zu4-Router mit einer öffentlichen IPv4-Adresse verfügen, können Sie Teredo verwenden. Um mit Teredo gute Ergebnisse zu
erzielen, sollten Sie Cone-NATs oder eingeschränkte NATs wählen, die eine UDP-Portübersetzung
unterstützen, und symmetrische NATs vermeiden. Bei der Implementierung von Teredo stellen Sie
vielleicht fest, dass Sie die NAT- oder Firewallkonfiguration ändern müssen. In solchen Fällen müssen Sie Ihre Arbeit mit den Netzwerkadministratoren abstimmen, um die gewünschten Verbindungen
herstellen zu können.
Mit Microsofts Tool Internet Connectivity Evaluation können Sie überprüfen, ob Ihr aktuelles NATSystem Teredo unterstützt. Um dieses Online-Tool zu verwenden, öffnen Sie im Microsoft Windows
Internet Explorer http://www.microsoft.com/windows/using/tools/igd/ und folgen der Anleitung.
Da IPv6 in Windows Vista und Windows Server 2008 standardmäßig aktiviert ist und sich IPv6 durch
die Kommunikation mit IPv6-Routern automatisch selbst konfiguriert, brauchen Sie einen Host normalerweise nicht speziell für IPv6 zu konfigurieren.
Dieser Abschnitt beschreibt, wie man IPv6 manuell konfiguriert oder deaktiviert. Außerdem beschreibt er, wie man ISATAP, 6to4 und Teredo aktiviert und Windows Server 2008 als IPv6-Router
konfiguriert.
So deaktivieren Sie IPv6
Anders als bei Windows XP und Windows Server 2003 lässt sich IPv6 unter Windows Vista oder
Windows Server 2008 nicht deinstallieren. Allerdings können Sie IPv6 unter Windows Vista oder
Windows Server 2008 für einzelne Netzwerkadapter oder den ganzen Computer deaktiveren.
49
Deaktivieren von IPv6 für einen Netzwerkadapter
In einem reinen IPv4-Netzwerk sollten sich zwar keine Probleme dadurch ergeben, dass IPv6 aktiviert
ist, aber zur Vereinfachung der Fehlersuche in einem Netzwerk können Sie IPv6 deaktivieren. Um
IPv6 für einen Netzwerkadapter zu deaktivieren, gehen Sie folgendermaßen vor:
auf Eigenschaften.
3. Klicken Sie die Netzwerkkarte mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
4. Löschen Sie das Kontrollkästchen Internetprotokoll Version 6 und klicken Sie dann auf OK.
Die Deaktivierung von IPv6 könnte zur Folge haben, dass einige Anwendungen und Dienste nicht
mehr funktionieren. So verwenden zum Beispiel einige Funktionen von Windows-Teamarbeit (eine
Funktion von Windows Vista) IPv6 für die Peer-to-Peer-Verbindungen im selben Netzwerksegment.
Deaktivieren von IPv6 für einen Computer
Um IPv6 auf allen Netzwerkadaptern, Verbindungen und Tunnelschnittstellen eines Computers zu
deaktivieren, fügen Sie in die Registrierung den folgenden DWORD-Wert mit dem Wert 0xFF ein:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\DisabledComponents
Sie müssen den Computer neu starten, damit dieser neue Registrierungswert wirksam wird. Die IPv6Loopback-Schnittstelle wird durch diese Methode nicht deaktiviert.
So konfigurieren Sie IPv6 manuell
Um eine IPv6-Adresse in der grafischen Schnittstelle manuell einzustellen, gehen Sie folgendermaßen
vor:
auf Eigenschaften.
Das Netzwerk- und Freigabecenter öffnet sich.
3. Klicken Sie die Netzwerkschnittstelle mit der rechten Maustaste an und klicken Sie dann auf
Eigenschaften.
Das Dialogfeld Eigenschaften von Internetprotokoll Version 6 öffnet sich.
5. Klicken Sie auf Folgende IPv6-Adresse verwenden. Geben Sie die Adresse, die Subnetzpräfixlänge und das Standardgateway ein.
6. Klicken Sie auf Folgende DNS-Serveradressen verwenden und geben Sie dann den bevorzugten
und den alternativen DNS-Server ein.
7. Wenn Sie mehrere IP-Adressen, Standardgateways oder DNS-Server konfigurieren möchten,
klicken Sie auf Erweitert und nehmen in dem Dialogfeld, das sich dann öffnet, die entsprechenden
Einstellungen vor.
8. Schließen Sie die geöffneten Dialogfelder jeweils mit einem Klick auf OK.
Die neuen IP-Einstellungen werden sofort wirksam.
50
Kapitel 2: IPv6
So konfigurieren Sie IPv6 mit einem Skript
Mit dem Tool Netsh können Sie auf einem Computer die IPv6-Einstellungen vornehmen. Der Aufruf
hat folgende Form:
netsh interface ipv6 add address "Schnittstelle" Adresse
Das folgende Beispiel zeigt, wie man die Adresse 2001:db8::1c32:29d5:e7a4:b481 zur Schnittstelle
»LAN-Verbindung« hinzufügt:
netsh interface ipv6 add address "LAN-Verbindung" 2001:db8::1a49:2aa:ff:fe34:ca8f
Auch wenn es nur selten erforderlich ist, können Sie mit demselben Befehl auch die bevorzugte und
die gültige Lebensdauer festlegen. Weitere Informationen über diesen Netsh-Befehl erhalten Sie,
wenn Sie in einer Eingabeaufforderung den Befehl netsh interface ipv6 add address ? eingeben.
Für die Einstellung eines Routers gilt folgende Syntax:
netsh interface ipv6 add potentialrouter "Schnittstelle" Adresse
Für die Einstellung eines DNS-Servers verwenden Sie folgende Syntax:
netsh interface ipv6 add dnsserver "Schnittstelle" Adresse
So aktivieren Sie ISATAP
ISATAP ist unter Windows Vista standardmäßig aktiviert. Außerdem ist es standardmäßig unter Windows XP und Windows Server 2003 aktiviert, sofern auf diesen Betriebssystemen IPv6 installiert ist.
Allerdings wird es unter Windows Server 2008 und Windows Vista mit Service Pack 1 standardmäßig
deaktiviert, sofern nicht der Name ISATAP aufgelöst wird. Den aktuellen Zustand können Sie mit folgendem Befehl überprüfen:
netsh interface isatap show state
Um ISATAP auf einem Computer zu aktivieren, geben Sie folgenden Befehl:
netsh interface isatap set state enabled
Standardmäßig erhalten ISATAP-Hosts die IPv4-Adresse des ISATAP-Routers, indem sie den Namen
ISATAP mit DNS oder anderen IP-Namensauflösungstechniken zu einer IPv4-Adresse auflösen. Nachdem der Host die IP-Adresse des ISATAP-Routers in Erfahrung gebracht hat, fordert er mit IPv4-Unicastnachrichten die Autokonfigurationsdaten vom Router an. Wenn Sie manuell eine Adresse für den
ISATAP-Router einstellen möchten, geben Sie folgenden Befehl:
netsh interface isatap set router IPv4Adresse
Beachten Sie bitte, dass der Router auf die IPv4-gekapselten Unicast-Routeraushandlungsnachrichten
antworten muss, bevor der ISATAP-Host ihn als Standardgateway verwendet.
Mit dem Programm Ping können Sie die Verbindung zwischen zwei ISATAP-Hosts überprüfen. Allerdings müssen Sie in der ISATAP-IPv6-Adresse die Zonenkennung der virtuellen Schnittstelle angeben. Um die Zonenkennung zu ermitteln, geben Sie in einer Eingabeaufforderung den Befehl ipconfig
/all ein. Dann überprüfen Sie die Ausgabe für den Microsoft ISATAP Adapter. Die Zonenkennung steht
am Ende der ISATAP-Adresse. In der folgenden Beispielausgabe ist die Zonenkennung fett gedruckt:
Tunneladapter LAN-Verbindung* 8:
Verbindungsspezifisches DNS-Suffix . :
Beschreibung . . . . . . . . . . . . . : Microsoft ISATAP Adapter
Physikalische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert . . . . . . . . . . . . : Nein
51
Autokonfiguration aktiviert . . . . : Ja
Verbindungslokale IPv6-Adresse : fe80::5efe:192.168.1.185%12(Bevorzugt)
Standardgateway . . . . . . . . . . . :
DNS-Server . . . . . . . . . . . . . . : 127.0.0.1
NetBIOS über TCP/IP. . . . . . . . : Deaktiviert
Ermitteln Sie nun die ISATAP-Adresse eines anderen Hosts im selben Netzwerk und geben Sie unter
Angabe der Zohnenkennung einen entsprechenden Ping-Befehl, wie im folgenden Beispiel:
ping fe80::5efe:192.168.1.186%12
Ping wird ausgeführt für fe80::5efe:192.168.1.186%12 von fe80::5efe:192.168.1.185%12:
Antwort
Antwort
Antwort
Antwort
von
von
von
von
fe80::5efe:192.168.1.186%12:
fe80::5efe:192.168.1.186%12:
fe80::5efe:192.168.1.186%12:
fe80::5efe:192.168.1.186%12:
Zeit=3ms
Zeit=2ms
Zeit=3ms
Zeit=3ms
Ping-Statistik für fe80::5efe:192.168.1.186%12:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 2ms, Maximum = 3ms, Mittelwert = 2ms
Hinweis Um sicherzustellen, dass DNS-Server auf Windows Server 2008-Basis den ISATAP-Namen für
ISATAP-Hosts auflösen können, entfernen Sie den ISATAP-Eintrag vom Registrierungswert HKEY_LOCAL_
MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList.
So aktivieren Sie 6to4
Während zwei Hosts mit ISATAP auch ohne IPv6-Netzwerkinfrastruktur miteinander kommunizieren
können, ist 6to4 auf eine passende Routerkonfiguration angewiesen. Beginnen Sie die Einrichtung
von 6to 4 mit der Konfiguration eines 6zu4-Routers mit einer routbaren IPv4-Adresse für das öffentliche Internet. Konfigurieren Sie dann das 6zu4-Relay. Verwenden Sie dabei die Anycastadresse
2002:c058:6301::, die in RFC 3068 definiert wird (erhältlich unter http://www.ietf.org/rfc/rfc3068.txt).
Das Anycastpräfix für 6zu4-Relayrouter identifiziert das nächste 6zu4-Relay unter Verwendung des
Internetroutingprotokolls Border Gateway Protocol (BGP). Je nach Router wird das Relay vielleicht
auch automatisch konfiguriert.
Konfigurieren Sie dann den IPv6-Router so, dass er sich in Ihrem lokalen IPv6-Netzwerk als 6zu4Router bekannt macht. Diese Bekanntgabe sollte er mit dem Präfix 2002:WWXX:YYZZ:Subnetzkennung::/64 beginnen. Wenn IPv6-Hosts ihre automatische Konfigurierung durchführen, erhalten sie
eine Hostkennung in diesem Subnetz (zusätzlich zur verbindungslokalen Adresse und allen anderen
IPv6-Adressen) und verwenden den 6zu4-Router als Standardgateway.
Sie können einen einzelnen Computer als 6zu4-Host und 6to4-Router einrichten, wobei der Computer
unter Verwendung seiner öffentlichen IPv4-Adresse mit dem IPv6-Internet kommunizieren kann.
Wenn ein IPv6-fähiger Windows-Computer über eine öffentliche IPv4-Adresse verfügt, versucht er
automatisch, sich als 6zu4-Host/Router zu konfigurieren. Dabei führt er folgende Aufgaben aus:
Konfigurieren einer 6to4-Adresse in der Form 2002:WWXX:YYZZ::WWXX:YYZZ. Unter Windows
XP und Windows Server 2003 wird diese Adresse der 6to4-Tunneling-Pseudoschnittstelle zugewiesen. Unter Windows Vista und Windows Server 2008 wird die Adresse dem Tunneladapter mit
der Beschreibung Microsoft-6zu4-Adapter zugewiesen.
52
Kapitel 2: IPv6
Erstellen einer 2002::/16-Route zur Weiterleitung des 6to4-Datenverkehrs in die Tunnelschnittstelle.
Suchen nach einem 6zu4-Relay durch die Abfrage der DNS-Adresse 6to4.ipv6.microsoft.com. Ist
die Abfrage erfolgreich, fügt die 6to4-Komponente eine Standardroute zur 6to4-Tunnelschnittstelle hinzu, über die der 6to4-Datenverkehr an das 6zu4-Relay gesendet werden.
Ist diese automatische Konfiguration erfolgreich, kann der Host/Router auch ohne manuelle Konfiguration mit dem IPv6-Internet kommunizieren.
Wenn Sie überprüfen möchten, ob 6to4 aktiviert wurde, geben Sie folgenden Befehl:

netsh interface 6to4 show state
Es reicht aber nicht aus, wenn 6to4 nur aktiviert ist. Es muss auch eine Schnittstelle eingerichtet werden. Standardmäßig wird auf Windows Server 2008-Computern keine Schnittstelle konfiguriert. Um
zu überprüfen, ob eine Schnittstelle konfiguriert wurde und welches 6zu4-Relay verwendet wird,
verwenden Sie folgende Befehle:
netsh interface 6to4 show interface
netsh interface 6to4 show relay
Zur Aktivierung von 6to4 als Host geben Sie folgenden Befehl, wobei Schnittstelle der Name der
IPv6-Schnittstelle ist:
netsh interface 6to4 set state enabled
netsh interface 6to4 set interface "Schnittstelle" default
Geben Sie mit folgendem Befehl das 6zu4-Relay an, wobei Relay der Hostname oder die IP-Adresse
des 6zu4-Relays ist:
netsh interface 6to4 set relay Relay
Wenn Sie nun den Befehl ipconfig /all eingeben, werden Sie einen Tunneladapter mit der Beschreibung Microsoft-6zu4-Adapter vorfinden.
Hinweis Um die Verbindung mit dem IPv6-Internet zu überprüfen, brauchen Sie eine IPv6-Adresse,
auf die Sie Zugriff erhalten können. Eine Liste der über IPv6 zugänglichen Websites finden Sie unter
http://www.ipv6.org/v6-www.html. Mit Nslookup können Sie die IPv6-Adresse ermitteln, die mit einem
AAAA-Eintrag verknüpft ist. Weitere Informationen über Nslookup finden Sie im Verlauf dieses Kapitels
im Abschnitt »Problembehandlung« unter »Nslookup«.
So aktivieren Sie Teredo
Teredo ist standardmäßig unter Windows XP, Windows Server 2003 und Windows Server 2008 deaktiviert. Obwohl es unter Windows Vista standardmäßig aktiviert wird, ist Teredo je nach der Konfiguration des Clientcomputers meistens inaktiv.
Wird ein Windows-Teredo-Client gestartet, sendet er eine Reihe von Routeraushandlungsnachrichten
an die Microsoft Teredo-Server unter teredo.ipv6.microsoft.com. Damit wird die Art des NAT-Systems
ermittelt, hinter dem sich der Client verbirgt. Die Art des NAT-Systems können Sie mit folgendem
Befehl anzeigen:
netsh interface ipv6 show teredo
In einer Active Directory-Umgebung können Sie Teredo mit folgendem Befehl aktivieren:
netsh interface ipv6 set teredo enterpriseclient
53
Um Teredo in einer Arbeitsgruppenumgebung auf einem Computer zu aktivieren, geben Sie folgenden Befehl:
netsh interface ipv6 set teredo client
Den aktuellen Status können Sie mit folgendem Befehl überprüfen:
netsh interface teredo show state
So konfigurieren Sie einen Computer als IPv6-Router
Gewöhnlich werden Router eingesetzt, um Datenpakete von einem Netzwerksegment zum nächsten
weiterzuleiten. IPv6-Router lassen sich auch für die Weiterleitung von Datenpaketen durch einen
Tunnel verwenden. So kann ein 6zu4-Router zum Beispiel Pakete von einem IPv4-Netzwerk über das
IPv4-Internet zu einem 6zu4-Relay senden, das mit dem IPv6-Internet verbunden ist.
Dedizierte Netzwerkhardware bietet gewöhnlich geringere Kosten, eine höhere Leistung und eine einfachere Verwaltung, aber das Konfigurieren von Computern als IPv6-Router ermöglicht Ihnen, mit
der vorhandenen Computerhardware eine IPv6-Testumgebung einzurichten. Außerdem können Sie in
einer Umgebung wie Microsoft Virtual Server oder Microsoft Virtual PC routbare Netzwerke einrichten, die nur aus virtuellen Computern bestehen.
Computer, auf denen Windows XP, Windows Vista, Windows Server 2003 oder Windows Server 2008
ausgeführt wird, lassen sich als IPv6-Router, 6zu4-Router oder ISATAP-Router konfigurieren. Die
folgenden Abschnitte beschreiben, wie Sie Windows Server 2008-Computer so einrichten, dass sie
wie diese IPv6-Routertypen arbeiten.
So konfigurieren Sie einen Computer als IPv6-Router
Um einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, als IPv6Router zu verwenden, aktivieren Sie mit dem Tool Netsh auf jeder Schnittstelle die IPv6-Weiterleitung. Damit auch die Ankündigungen funktionieren, fügen Sie den Parameter advertise=enabled hinzu. Sie brauchen Ankündigungen aber nur für Schnittstellen zu aktivieren, die mit Netzwerken verbunden sind, in denen es noch keinen ankündigungsfähigen Router gibt.
Die folgenden beiden Befehle demonstrieren, wie man die Weiterleitung und Ankündigungen für die
Schnittstellen LAN-Verbindung und LAN-Verbindung 2 aktiviert:
netsh interface ipv6 set interface "LAN-Verbindung" forwarding=enabled advertise=enabled
netsh interface ipv6 set interface "LAN-Verbindung 2" forwarding=enabled advertise=enabled
Bevor sich Clients auf der Basis der Routerbekanntgabe (Router Advertisements) selbst automatisch
konfigurieren können, müssen Sie mit dem Befehl netsh interface ipv6 add route Routen veröffentlichen. Zuerst konfigurieren Sie mit folgender Syntax für alle direkt angeschlossenen Netzwerke
Routen:
netsh interface ipv6 add route <Netzwerk>::/64 "Schnittstelle" publish=yes
Falls Netsh die Meldung Das Objekt ist bereits vorhanden anzeigt, wurde die Route, die Sie veröffentlichen wollten, vermutlich bereits automatisch hinzugefügt, aber vielleicht noch nicht veröffentlicht. Mit folgendem Befehl können Sie alle Routen anzeigen:
netsh interface ipv6 show route
Sofern die Route, die Sie veröffentlichen wollen, bereits vorhanden ist, aber noch nicht veröffentlicht
wurde, verwenden Sie zur Veröffentlichung der vorhandenen Route folgende Syntax:
netsh interface ipv6 set route <Netzwerk>::/64 "Schnittstelle" publish=yes
54
Kapitel 2: IPv6
Mit folgender Syntax können Sie festlegen, welche Schnittstelle für die automatisch zu konfigurierenden Hosts aus demselben Netzwerk als Standardrouter dienen soll:
netsh interface ipv6 add route ::/0 "Schnittstelle" nexthop=Adresse publish=yes
Nach dem Hinzufügen der Routen können Sie mit dem Befehl netsh interface ipv6 show route alle
Routen anzeigen und bei Bedarf mit dem Befehl netsh interface ipv6 delete route selektiv Routen
löschen.
So konfigurieren Sie einen Router-zu-Router-Tunnel
Mit einem Router-zu-Router-Tunnel können Sie zwei IPv6-Netzwerke verbinden, die nur über ein
IPv4-Netzwerk miteinander verbunden sind. Zur Einrichtung eines Router-zu-Router-Tunnels geben
Sie auf beiden Windows Server 2008-Computern, die als Router dienen, den folgenden Befehl. In diesem Befehl ist SchnittstellenName der lesbare Name für die neue Schnittstelle, die für die Weiterleitung des Datenverkehrs zwischen den beiden Routern eingerichtet wird. LokaleIPv4Adresse ist die
IPv4-Adresse des lokalen Routers und RemoteIPv4Adresse ist die IPv4-Adresse des Remoterouters.
netsh interface ipv6 add v6v4tunnel "SchnittstellenName" LokaleIPv4Adresse RemoteIPv4Adresse
Schließen Sie dann die Einrichtung des Routers mit den Schritten ab, die weiter oben in diesem Kapitel im Abschnitt »So konfigurieren Sie eine Computer als IPv6-Router« beschrieben wurden.
So konfigurieren Sie einen Computer als ISATAP-Router
Um einen Windows Server 2008-Computer als ISATAP-Router einzurichten, gehen Sie folgendermaßen vor:
1. Verbinden Sie den Computer mit einem IPv4-Intranet und einem IPv6-Intranet. Notieren Sie sich
die Schnittstellenindizes jeder Schnittstelle und den Schnittstellenindex der ISATAP-Tunnelschnittstelle (mit der Beschreibung Microsoft ISATAP Adapter). Wenn Microsoft ISATAP Adapter nicht
in der Ausgabe von Ipconfig /all erscheint, befolgen Sie die weiter oben in diesem Kapitel im
Abschnitt »So aktivieren Sie ISATAP« beschriebenen Schritte.
2. Aktivieren Sie mit folgendem Befehl die Weiterleitung und Ankündigungen auf der IPv6-Schnittstelle, wobei Index der Index ist, der Ihrer IPv6-Schnittstelle zugewiesen wurde:
netsh interface ipv6 set interface Index forwarding=enabled
3. Aktivieren Sie mit folgendem Befehl die Weiterleitung und Ankündigungen auf der ISATAPSchnittstelle, wobei Index der Index ist, der Ihrer ISATAP-Schnittstelle zugewiesen wurde:
netsh interface ipv6 set interface Index forwarding=enabled advertise=enabled
4. Fügen Sie mit folgendem Befehl Routen zu Ihrem IPv6-Netzwerk hinzu, wobei Netzwerk/Präfix
das Netzwerk samt Präfix ist (beispielsweise 2001:db8:0:1::/64) und es sich bei Index um den Index handelt, der Ihrer ISATAP-Schnittstelle zugewiesen wurde:
netsh interface ipv6 add route Netzwerk/Präfix Index publish=yes
5. Fügen Sie mit folgendem Befehl eine Standardroute zu Ihrem Ipv6-Netzwerk hinzu, wobei Index
der Index Ihrer Intranetschnittstelle ist und IPv6Adresse die Adresse des Standardgateways:
netsh interface ipv6 add route ::/0 Index nexthop=IPv6Adresse publish=yes
6. Stellen Sie mit einer der folgenden Methoden die Adresse des ISATAP-Routers auf den Clients
ein:
Geben Sie dem Computer den Namen ISATAP und erlauben Sie ihm, sich automatisch bei
DNS zu registrieren, bei Bedarf auch bei WINS.

55
Erstellen Sie in jeder DNS-Domäne, die ISATAP-Hosts enthält, manuell einen A-Eintrag für
den Namen ISATAP. Heißt die Standarddomäne eines ISATAP-Hosts zum Beispiel north.contoso.com, müssen Sie einen A-Eintrag für isatap.north.contoso.com erstellen, um den ISATAP-Router zu identifizieren. Weitere Informationen über DNS finden Sie in Kapitel 7, »DNS«.
Fügen Sie in die Datei %SystemRoot%\system32\drivers\etc\hosts einen Eintrag mit dem Wert
IPv4Adresse ISATAP ein.
Erstellen Sie einen statischen WINS-Datensatz mit dem NETBIOS-Namen ISATAP <00>
(dabei steht <00> für den Hexadezimalwert des sechzehnten Zeichens). Weitere Informationen
über WINS finden Sie in Kapitel 8, Windows Internet Name Service«.
Führen Sie auf dem ISATAP-Router und allen ISATAP-Hosts folgenden Befehl aus, wobei
IPv4Adresse die IPv4-Adresse des ISATAP-Routers ist:
netsh interface ipv6 isatap set router IPv4Adresse
Hinweis ISATAP-Clients, die unter Windows XP ohne Service Pack ausgeführt werden, versuchen den
Namen _ISATAP aufzulösen, also nicht ISATAP (beachten Sie das vorangestellte Unterstreichungszeichen).
So konfigurieren Sie einen Computer als 6zu4-Router
Die einfachste Methode, einen Windows Server 2003- oder Windows Server 2008-Computer als 6zu4Router zu konfigurieren, ist die Aktivierung der gemeinsamen Nutzung von Internetverbindungen
(Internet Connection Sharing, ICS). Die Aktivierung von ICS für eine Schnittstelle, der eine öffentliche IPv4-Adresse zugewiesen wurde,
aktiviert die IPv6-Weiterleitung für die privaten und die 6zu6-Tunnelschnittstellen.
kündigt im privaten Intranet eine 6zu4-Route mit dem Netzwerk 2002:WWXX:YYZZ:Index::/64
an, wobei Index der Schnittstellenindex der privaten Schnittstelle ist.
Zur Aktivierung der gemeinsamen Nutzung von Internetverbindungen gehen Sie folgendermaßen vor:
auf Eigenschaften.
2. Klicken Sie im Bereich Aufgaben auf Netzwerkverbindungen verwalten.
3. Klicken Sie im Fenster Netzwerkverbindungen mit der rechten Maustaste die Schnittstelle an, der
die öffentliche IPv4-Adresse zugewiesen wurde, und klicken Sie dann auf Eigenschaften.
4. Wählen Sie im Eigenschaftendialogfeld der Netzwerkkarte auf der Registerkarte Freigabe das
Kontrollkästchen Anderen Benutzern im Netzwerk gestatten, diese Verbindung des Computers als
Internetverbindung zu verwenden. Klicken Sie auf die Liste Heimnetzwerkverbindung und wählen
Sie die Netzwerkkarte aus, die zum privaten Netzwerk gehört.
5. Klicken Sie auf OK und nach Aufforderung auf Ja.
ICS dient als ankündigungsfähiger 6zu4-Router. IPv6-Hosts im privaten Netzwerk konfigurieren sich
automatisch selbst mit 6zu4-Schnittstellenkennungen und sind in der Lage, auf das IPv6-Internet zuzugreifen. ICS führt für IPv4-Datenverkehr eine NAT-Umsetzung (Network Address Translation)
durch und dient für IPv6-Datenverkehr als 6zu4-Router.
Mit folgenden Schritten können Sie einen Computer auch manuell als 6zu4-Router einrichten:
1. Konfigurieren Sie den Computer mit einer öffentlichen IPv4-Adresse und überprüfen Sie, dass der
Computer keine Routerankündigungsnachrichten (Router Advertisement) von IPv6- oder ISATAPRoutern erhält. Windows Server 2008 erstellt automatisch eine 6zu4-Schnittstelle und fügt eine
Standardroute zu einem 6zu4-Relayrouter im IPv4-Internet hinzu.
56
Kapitel 2: IPv6
2. Aktivieren Sie mit folgendem Befehl die Weiterleitung und Ankündigung für die Schnittstelle, die
mit Ihrem Intranet verbunden ist, wobei Index der Index Ihrer Intranetschnittstelle ist:
netsh interface ipv6 set interface Index forwarding=enabled advertise=enabled
3. Geben Sie folgenden Befehl, um den 6zu4-Dienst zu aktivieren:
netsh interface ipv6 6to4 set state enabled
4. Aktivieren Sie mit folgendem Befehl die Weiterleitung für die 6zu4-Schnittstelle, wobei Index der
Index ist, der Ihrer Internetschnittstelle zugewiesen wurde:
netsh interface ipv6 set interface Index forwarding=enabled
5. Fügen Sie mit folgendem Befehl Routen für die 6zu4-Netzwerke hinzu, wobei WWXX:YYZZ für die
öffentliche IPv4-Adresse (W.X.Y.Z) in Hexadezimalform steht und es sich bei Index um den Index
handelt, der Ihrer Intranetschnittstelle zugewiesen wurde:
netsh interface ipv6 add route 2002:WWXX:YYZZ:Subnetzkennung::/64 Index publish=yes
Falls Ihr Router über mehrere Netzwerkschnittstellen verfügt, die an mehrere Intranetnetzwerke angeschlossen sind, wiederholen Sie die Schritte 2 bis 5 für jede Intranetschnittstelle.
Wartung
IPv6 erfordert keine weitere Wartung, um die Konfiguration aufrechtzuerhalten. Im Lauf der Zeit sollten Sie allerdings den Teil Ihres Netzwerks erweitern, der IPv6 unterstützt, und die Verwendung der
IPv6-Übergangstechnologien nach Bedarf anpassen. Bei Hosts, die derzeit noch mit Teredo arbeiten,
bietet es sich an, sie auf ISATAP und 6zu4 umzustellen. Anschließend stellen Sie die Netzwerke von
ISATAP und 6zu4 auf das reine IPv6 um.
Problembehandlung
Die Behebung von IPv6-Problemen ähnelt der IPv4-Problembehebung. Sie können dieselben Programme verwenden, die bereits im Abschnitt »Problembehandlung« von Kapitel 1 beschrieben wurden. Die folgenden Abschnitte geben Ihnen einige Informationen über die Behebung von IPv6spezifischen Problemen.
Netsh
Der Befehlskontext von netsh interface ipv6 bietet viele Befehle zur Analyse der aktuellen IPv6Konfiguration und zur Behebung von Problemen. Die nützlichsten Befehle sind:
netsh interface ipv6 show global Zeigt globale IPv6-Einstellungen an, darunter auch das Standardabschnittslimit. Diese Einstellungen brauchen Sie zwar nur selten zu ändern, aber sollte es erforderlich werden, können Sie die Änderungen mit dem Befehl netsh interface ipv6 set global vornehmen.
netsh interface ipv6 show addresses Zeigt alle IPv6-Adressen an, und zwar etwas kompakter als
Ipconfig /all.
netsh interface ipv6 show dnsservers Zeigt alle DNS-Server an, die für IPv6 konfiguriert sind.
Dabei werden aber keine DNS-Server angezeigt, die für IPv4-Adressen konfiguriert wurden.
netsh interface ipv6 show potentialrouters Zeigt alle IPv6-Router an, die ihre Anwesenheit im lokalen Netzwerk bekannt gegeben haben.
Problembehandlung
57
netsh interface ipv6 show route Zeigt die automatisch und manuell konfigurierten Routen an, einschließlich Tunnelrouten.
netsh interface ipv6 show tcpstats Zeigt verschiedene Daten über den TCP-Verkehr unter IPv6 an,
beispielsweise die Zahl der aktuellen Verbindungen, die Gesamtzahl der aus- und eingehenden
Verbindungen und die Anzahl der Kommunikationsfehler.
netsh interface ipv6 show udpstats Zeigt verschiedene Daten über den UDP-Verkehr unter IPv6
an, beispielsweise die Zahl der aus- und eingegangenen UDP-Datagramme und die Zahl der fehlerhaften Datagramme.
netsh interface ipv6 show neighbors Zeigt alle zwischengespeicherten IPv6-Nachbarn an. Mit dem
Befehl netsh interface ipv6 delete neighbors können Sie die Nachbarschaftseinträge aus dem
Zwischenspeicher löschen.
netsh interface ipv6 show destinationcache Zeigt alle zwischengespeicherten IPv6-Hosts an, mit
denen der Computer kommuniziert hat. Mit dem Befehl netsh interface ipv6 delete destinationcache können Sie den Zielcache löschen.
Bei der Behebung von Problemen, die im Zusammenhang mit den IPv6-Übergangstechnologien auftreten, können Sie folgende Befehle verwenden:
netsh interface ipv6 show teredo Zeigt die Teredo-Konfiguration an, darunter den Namen des Teredo-Servers und die Clientportnummer. Diese Einstellungen können Sie mit dem Befehl netsh
interface ipv6 set teredo ändern.
netsh interface ipv6 6to4 show Befehl In diesem Kontext können Sie einen der vier Befehle interface, relay, routing oder state verwenden, um die aktuelle 6zu4-Konfiguration genauer zu untersuchen.
netsh interface isatap show Befehl In diesem Kontext können Sie durch die Verwendung eines der
Befehle router oder state die aktuelle ISATAP-Konfiguration untersuchen.

Ipconfig
Mit dem Hilfsprogramm Ipconfig (Ipconfig.exe) können Sie die IPv4- und IPv6-Konfiguration eines
Computers schnell überprüfen. In den Daten, die mit dem Befehl Ipconfig /all für IPv6 angezeigt
werden, können einige virtuelle Netzwerkadapter erscheinen, wie in Tabelle 2.3 beschrieben.
Tabelle 2.3 IPv6-Netzwerkadapterbeschreibungen
Adapterbeschreibung
Zweck
Microsoft ISATAP Adapter oder isatap.{Kennung}
Eine virtuelle Schnittstelle für ISATAP-Tunnel
Teredo Tunneling-Pseudoschnittstelle
Eine virtuelle Schnittstelle für Teredo-Tunnel
6TO4 Adapter
Eine virtuelle Schnittstelle für 6zu4-Tunnel
Wenn in der Ausgabe von Ipconfig /all nicht die Zeile IPv6-Adresse erscheint, die Schnittstelle aber
über eine verbindungslokale IPv6-Adresse verfügt, ist IPv6 für die Schnittstelle zwar aktiviert, aber
bei der Konfiguration der Schnittstelle war kein ankündigungsfähiger Router verfügbar.
Um die IPv6-Autokonfiguration manuell einzuleiten, nachdem zum Beispiel Änderungen in der IPv6Routerkonfiguration vorgenommen wurden, öffnen Sie eine Eingabeaufforderung und geben folgende
Befehle ein:
ipconfig /release6
ipconfig /renew6
58
Kapitel 2: IPv6
Nslookup
Wie Kapitel 7 ausführlicher beschreibt, können Sie DNS-Server mit dem Hilfsprogramm Nslookup
testen. Beim Test der IPv6-Kommunikation geben Sie in einer Eingabeaufforderung den Befehl
nslookup ein, um Nslookup im interaktiven Modus zu starten. Anschließend geben Sie den NslookupBefehl set type=aaaa ein, damit Nslookup die AAAA-DNS-Einträge für IPv6 abruft. Dann können Sie
AAAA-Einträge für IPv6 anzeigen, indem Sie den Namen des Datensatzes als Befehl eingeben. Die
Eingaben des Benutzers sind im folgenden Beispiel fett gedruckt:
nslookup
Standardserver: dns.contoso.com
Adresse: 10.100.100.201:53
set type=aaaa
ipv6.research.microsoft.com
Server: dns.contoso.com
Adresse: 10.100.100.201:53
Nicht-autorisierende Antwort:
Name:
ipv6.research.microsoft.com
Adressen: 2002:836b:4179::836b:4179, ::131.107.65.121
So lange Sie Nslookup geöffnet lassen, werden bei den DNS-Abfragen, die Sie durchführen, nur
AAAA-Einträge abgefragt.
Beheben von Teredo-Problemen
Bestimmen Sie zuerst mit folgendem Befehl die aktuelle Teredo-Konfiguration:
netsh interface teredo show state
Erscheint in der Ausgabe die Meldung »Fehler: Client befindet sich in einem verwalteten Netzwerk«,
wurde Teredo als Standardclient konfiguriert. Das funktioniert nicht, wenn der Computer zu einer
Domäne gehört. Ändern Sie die Konfiguration in diesem Fall mit folgendem Befehl:
netsh interface ipv6 set teredo enterpriseclient
Falls Teredo immer noch nicht funktioniert, blockiert Ihre Netzwerkinfrastruktur vermutlich die IPv4UDP-Nachrichten, die Teredo für die Kommunikation benutzt. Wenden Sie sich an Ihre Netzwerkadministratoren, damit Router und Firewalls eingehenden UDP-Verkehr zulassen.
Komplexeren Problemen können Sie auf die Spur kommen, indem Sie mit folgenden Schritten die
Ablaufverfolgung aktivieren:
1. Stellen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\IpHlpSvc\EnableFileTracing auf 1.
2. Beenden Sie mit dem Befehl net stop iphlpsvc den IP-Hilfsdienst.
3. Löschen Sie den Inhalt des Ordners %SystemRoot%\Tracing.
4. Starten Sie den IP-Hilfsdienst mit dem Befehl net start iphlpsvc.
5. Versuchen Sie, den Fehler zu reproduzieren. Sie können Teredo zum Beispiel mit dem Befehl
netsh interface teredo show state zu einem Verbindungsversuch veranlassen.
Nun können Sie im Ordner %SystemRoot%\Tracing die Protokolldateien der Ablaufverfolgung
überprüfen oder die Dateien an die zuständige Technikabteilung weiterleiten.
59
6. Stellen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Tracing\IpHlpSvc\EnableFileTracing auf 0.
7. Beenden Sie den IP-Hilfsdienst mit dem Befehl net stop iphlpsvc und starten Sie ihn wieder mit
net start iphlpsvc.
Was Netzwerke betrifft, ist Pv6 die Zukunft, weil es einen wesentlich größeren Adressraum als IPv4
bietet. Einige Organisationen sind bereits jetzt auf IPv6 angewiesen und müssen ihre Netzwerke zügig
auf IPv6 umstellen. Die meisten Organisationen können sich mit der Einführung der IPv6-Infrastruktur dagegen noch einige Jahre Zeit lassen. Die Kenntnis der Voraussetzungen für IPv6 ermöglicht es
diesen Organisationen aber, bei der Anschaffung von Hardware und Software bereits heute Produkte
zu wählen, die sich künftig auch in einer IPv6-Netzwerkumgebung verwenden lassen.
Auch in einer Organisation, die sich bereits heute für die Einführung von IPv6 entscheidet, wird die
Umstellung eine gewisse Zeit erfordern. Damit IPv6 in Netzwerken verwendet werden kann, die nur
IPv4 unterstützen, stehen einige wichtige Übergangstechnologien zur Verfügung: ISATAP, 6zu4 und
Teredo. Diese Technologien ermöglichen es IPv6-Hosts in IPv4-Netzwerken, Verbindungen mit IPv6Remotenetzwerken einschließlich des IPv6-Internets herzustellen. Außerdem lassen sich IPv6-Remotenetzwerke verbinden, die nur durch ein IPv4-Netzwerk verbunden sind, und Verbindungen zwischen
IPv6-Hosts, die hinter einem NAT-System verborgen sind, und dem IPv6-Internet herstellen.
Die meisten IPv6-Hosts werden automatisch konfiguriert. Da IPv6 unter Windows Vista und Windows Server 2008 standardmäßig aktiviert ist, brauchen Sie auf den meisten Computern keine entsprechenden Konfigurationsarbeiten durchzuführen. Allerdings muss eine Routinginfrastruktur eingerichtet werden. Da die meisten Organisationen IPv6 in Testumgebungen verwenden, für die keine
zusätzliche IPv6-Netzwerkhardware angeschafft wird, bietet es sich an, Windows Server 2008 als
IPv6-Router zu konfigurieren.
Während IPv6 kaum Wartung erfordert, müssen sich Administratoren häufiger mit der Behebung von
IPv6-Problemen beschäftigen, da es sich um eine relativ neue Netzwerktechnologie handelt. Zu diesem Zweck können Sie dieselben Problembehebungstools verwenden, die Sie bereits von der Suche
nach Fehlern in IPv4-Netzwerken her kennen.
Weitere Informationen über IPv6 finden Sie in folgenden Büchern und Dokumenten:
Understanding, IPv6, Second Edition von Joseph Davies (Microsoft Press, 2008)
Die Microsoft-TechNet-Seite IPv6 (http://www.microsoft.com/Ipv6)
»Introduction to IPv6« (http://technet.microsoft.com/en-us/library/bb726944.aspx)
»IPv6 Transition Technologies« (http://www.microsoft.com/downloads/details.aspx?FamilyID=
afe56282-2903-40f3-a5ba-a87bf92c096d)
»Teredo Overview« (http://www.microsoft.com/technet/network/ipv6/teredo.mspx)
Das Microsoft-TechNet-IPv6-Blog (http://blogs.technet.com/ipv6/)
61
K A P I T E L
3
Dynamic Host Configuration Protocol
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
63
67
77
80
81
82
Die meisten IPv4-Netzwerkgeräte mit Ausnahme einiger Server und Teile der Netzwerkinfrastruktur
erhalten ihre IP-Adressen von einem DHCP-Server (Dynamic Host Configuration Protocol). Hosts,
die mit DHCP automatisch konfiguriert werden, lassen sich viel einfacher verwalten als Hosts, deren
IP-Adressen von Hand eingestellt werden müssen. Das gilt insbesondere dann, wenn Sie Hosts in ein
anderes Subnetz verlegen, die DNS-Server (Domain Name System) oder WINS-Server (Windows
Internet Name Service) ändern oder das Standardgateway aktualisieren müssen.
Auch manche IPv6-Netzwerkgeräte können zur Autokonfiguration DHCP verwenden. Aber viele
IPv6-Netzwerkgeräte verlassen sich darauf, dass Router die Informationen liefern, die sie brauchen,
um eine Verbindung mit dem Netzwerk herzustellen. Egal, ob Sie IPv4, IPv6 oder beides verwenden,
die DHCP-Serverkomponente von Windows Server 2008 gibt Ihnen eine relativ einfache und unternehmensweit wirksame Kontrolle über die Konfiguration der meisten Netzwerkhosts.
Dieses Kapitel beschreibt die Vorplanung für die Verwendung der DHCP-Serverkomponente von
Windows Server 2008, ihre Bereitstellung, ihre Wartung und die Behebung von Fehlern. In diesem
Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol) vorausgesetzt.
Konzepte
DHCP ermöglicht durch den Austausch einiger Nachrichten mit DHCP-Clients eine automatische
Einstellung der IP-Adressen der Clients, wenn die Clients hochgefahren oder ans Netzwerk angeschlossen werden. DHPC-Leases sorgen dafür, dass vergebene IP-Adressen wieder zur Verfügung
stehen, wenn sie nicht mehr von einem Client verwendet werden. Die folgenden Abschnitte geben
Ihnen einen kurzen Überblick über den DHCP-Adressenzuweisungsprozess und den DHCP-Lebenszyklus.
62
Kapitel 3: Dynamic Host Configuration Protocol
Der DHCP-Adressenzuweisungsprozess
Wird ein DHCP-Client gestartet, erhält er nach dem in Abbildung 3.1 dargestellten Prozess von einem
DHCP-Server aus demselben Subnetz seine IP-Adressenkonfiguration.
Abbildung 3.1 Der DHCP-Adressenzuweisungsprozess
Diese vier Schritte sind für eine erfolgreiche DHCP-Adressenzuweisung erforderlich:
1. Broadcast von DHCPDiscover Der Client sendet einen DHCPDiscover-Rundruf ins lokale Netzwerk,
um die verfügbaren DHCP-Server zu ermitteln.
2. Antwort mit DHCPOffer Sofern ein DHCP-Server mit dem lokalen Netzwerk verbunden ist und
den DHCP-Client mit den gewünschten IP-Adressendaten versorgen kann, sendet er dem DHCPClient eine DHCPOffer-Unicastnachricht. Die DHCPOffer-Nachricht enthält eine Liste mit DHCPKonfigurationsparametern und eine verfügbare Adresse aus dem Bereich, für den DHCP zuständig
ist. Liegt dem DHCP-Server eine IP-Adressenreservierung für die MAC-Adresse des DHCPClients vor, bietet er dem DHCP-Client die reservierte IP-Adresse an. Es ist möglich, dass mehrere
DHCP-Server dem DHCP-Client antworten.
Hinweis Die meisten DHCP-Clients, einschließlich Microsoft Windows 2000 und aller späteren Versionen von Windows, führen eine IP-Adressenüberprüfung durch, um zu überprüfen, ob die in einer
DHCPOffer-Nachricht angebotene IP-Adresse bereits verwendet wird. Falls die Adresse bereits verwendet wird, sendet der DHCP-Client eine DHCPDecline-Nachricht.
3. Antwort mit DHCPRequest Der DHCP-Client beantwortet eine der DHCPOffer-Nachrichten und fordert die IP-Adresse an, die ihm in der DHCPOffer-Nachricht angeboten wurde. Er könnte auch die
IP-Adresse anfordern, die ihm zuvor bereits zugewiesen wurde.
4. Bestätigung mit DHCPAck Ist die IP-Adresse noch verfügbar, die der DHCP-Client anfordert, antwortet der DHCP-Server mit einer DHCPAck-Bestätigungsnachricht. Anschließend kann der Client
die IP-Adresse verwenden.
So funktioniert’s: Das DHCP-Protokoll
Für den DHCP-Datenverkehr wird das Schicht-4-Protokoll UDP (User Datagram Protocol) verwendet. Nachrichten vom DHCP-Client an den DHCP-Server verwenden den UDP-Quellport 68
und den UDP-Zielport 67. Nachrichten vom DHCP-Server an den DHCP-Client verwenden den
UDP-Quellport 67 und den UDP-Zielport 68.
IP-Adressenzuweisungen von DHCP umfassen gewöhnlich folgende Grundinformationen über die
IP-Adressenkonfiguration (es gibt noch eine Reihe anderer Optionen):
Länge der DHCP-Lease
IP-Adresse

63
Subnetzmaske
Standardgateway
Bevorzugter und alternativer DNS-Server
Bevorzugter und alternativer WINS-Server
DHCP-Lebenszyklus
Damit keine IP-Adresse von einem Client belegt wird, der keine Verbindung mehr mit dem Netzwerk
hat, läuft die Gültigkeit der Adresszuordnung mit dem Ende einer DHCP-Leaseperiode ab und der
DHCP-Server zieht die Adresse wieder ein. Ist die erste Hälfte einer DHCP-Lease abgelaufen, sendet
der DHCP-Client dem DHCP-Server eine Erneuerungsanforderung. Ist der DHCP-Server zu diesem
Zeitpunkt verfügbar, bewilligt er normalerweise die Erneuerung und es beginnt eine neue Leaseperiode. Ist kein DHCP-Server verfügbar, versucht der DHCP-Client nach Ablauf der Hälfte der verbleibenden Leasezeit, die DHCP-Lease zu erneuern. Ist der DHCP-Server immer noch nicht verfügbar,
wenn 87.5% der Leaseperiode abgelaufen ist, sucht der Client nach einem anderen DHCP-Server und
fordert von ihm eine IP-Adresse an. Dabei kann ihm durchaus eine andere IP-Adresse zugewiesen
werden.
Wird der DHCP-Server normal heruntergefahren oder gibt ein Administrator den Befehl ipconfig
/release ein, sendet der Client dem DHCP-Server, von dem er die Adresse erhalten hat, eine DHCPRelease-Nachricht. Der DHCP-Server kennzeichnet die IP-Adresse dann als verfügbar und kann sie
einem anderen DHCP-Client zuweisen. Falls der DHCP-Client unerwartet vom Netzwerk getrennt
wird und keine Gelegenheit mehr hat, eine DHCPRelease-Nachricht zu senden, weist der DHCP-Server
die IP-Adresse so lange keinem anderen Client zu, bis die DHCP-Lease abgelaufen ist. Daher ist es
wichtig, in Netzwerken mit hohen Fluktuationsraten, wie sie zum Beispiel in drahtlosen Netzwerken
häufiger vorkommen, kürzere DHCP-Leaseperioden zu wählen (zum Beispiel 6 Stunden statt 6 Tage).
Sie müssen das DHCP-System Ihres Netzwerks sorgfältig planen, um zu vermeiden, dass autorisierte
Benutzer nicht auf Netzwerkressourcen zugreifen können. Berücksichtigen Sie insbesondere folgende
Elemente:
DHCP-Server DHCP-Server sollten stets verfügbar sein. Daher sollten Sie erwägen, mehrere
DHCP-Server zu installieren, um für eine hinreichende Redundanz zu sorgen. Sie können zwar
über eine WAN-Verbindung auf einen DHCP-Server zugreifen, müssen aber das Risiko berücksichtigen, dass eine Störung in der WAN-Verbindung dazu führt, dass der DHCP-Server nicht
mehr verfügbar ist.
DHCP-Relay-Agenten Zur Kontaktaufnahme mit einem DHCP-Server senden DHCP-Clients eine
Rundrufnachricht ins lokale Netzwerksegment. Damit DHCP-Clients auch auf DHCP-Server aus
anderen Netzwerksegmenten zugreifen können, richten Sie in jedem Netzwerksegment, das nicht
über einen eigenen DHCP-Server verfügt, DHCP-Relay-Agenten ein. Gewöhnlich dienen Router
als DHCP-Relay-Agenten.
DHCP-Leaseperioden Längere DHCP-Leaseperioden verringern die Belastung des Netzwerks, die
durch DHCP-Leaseerneuerungen hervorgerufen wird. Kürzere DHCP-Leaseperioden verringern
den Zeitraum, in dem IP-Adressen unbenutzt bleiben, wenn ein DHCP-Client aus dem Netzwerk
entfernt wird. Sie müssen für jedes Netzwerk Ihrer Organisation die optimale DHCP-Leaseperiode ermittelt.
64
Bevor Sie Ihren ersten DHCP-Server konfigurieren, sollten Sie Ihre Subnetze, Bereiche und Ausschlüsse planen. Dieser Abschnitt gibt Ihnen die Informationen, die Sie für die Planung brauchen.
Hinweis Network Access Protection (NAP) hindert Clients daran, eine Verbindung mit dem Netzwerk herzustellen, solange sie nicht authentifiziert und autorisiert sind. Weitere Informationen über NAP finden Sie in
Teil IV dieses Buchs, »Netzwerkzugriffsschutz-Infrastruktur«. Ausführliche Informationen über die Planung,
Bereitstellung, Wartung und Konfiguration der DHCP-Erzwingung finden Sie in Kapitel 19, »DHCPErzwingung«.
DHCP-Server
Die Hardwarevoraussetzungen für DHCP-Server sind minimal, und Server, die die Mindestvoraussetzungen erfüllen, die an die Hardware eines Windows Server 2008-Computers gestellt werden, können
für Tausende von Clientcomputern als DHCP-Server dienen. Außerdem können Sie DHCP mit DNS,
WINS oder anderen Infrastrukturdiensten kombinieren. Obwohl DHCP-Server im Normalfall kaum
Probleme mit Leistungsengpässen haben, können sich in Extremsituationen, wenn zum Beispiel nach
einem Stromausfall Tausende von Computern neu hochgefahren werden, Zugriffe auf Festplattenlaufwerke als limitierender Faktor erweisen. Verwenden Sie daher zur Steigerung der Laufwerkszugriffe
RAID-Konfigurationen (Redundant Array of Independent Disks) oder andere Hochleistungsspeicher.
Die Anforderungen eines DHCP-Servers an den Speicherplatz sind minimal. Die DHCP-Datenbank
kann zwar einige Gigabyte groß werden, aber gewöhnlich ist sie kleiner als 100 Megabyte.
Was die Redundanz betrifft, sollten Sie mindestens zwei DHCP-Server einplanen. Ist beim Start eines
DHCP-Clients kein DHCP-Server verfügbar, weist sich der Client gewöhnlich selbst eine APIPAAdresse (Automatic Private IP Addressing) zu, mit der nur Zugriffe auf andere Hosts möglich sind,
die ebenfalls über APIPA-Adressen verfügen. Wenn also kein DHCP-Server verfügbar ist, können
DHCP-Clients nicht auf andere Netzwerkressourcen zugreifen. Weitere Informationen über APIPA
finden Sie in Kapitel 1, »IPv4«.
DHCP-Relay-Agenten
DHCP-Anfragen sind Broadcastnachrichten (»Rundrufe«), die nur Computer aus demselben Netzwerksegment erreichen. Daher müssen Sie entweder jedes Netzwerksegment, in dem DHCP-Clients
vorhanden sind, mit einem DHCP-Server oder mit einem DHCP-Relay-Agent ausstatten.
DHCP-Relay-Agenten warten auf DHCP-Anforderungsbroadcasts und leiten die Anforderung in einer
Unicastnachricht an einen DHCP-Server eines anderen Subnetzes weiter, wie in Abbildung 3.2 dargestellt. Der DHCP-Server überprüft die Quell-IP-Adresse vom DHCP-Relay-Agenten und sucht eine
verfügbare IP-Adresse aus dem Bereich heraus, die zum Subnetz des DHCP-Clients passt. Dann
erfolgt die übliche DHCP-Zuweisung von IP-Adressen, wobei alle Nachrichten vom DHCP-RelayAgent weitergeleitet werden.
Abbildung 3.2 Ein DHCP-Relay-Agent leitet eine DHCPDiscover-Nachricht in ein anderes Subnetz weiter
65
Die meisten Router können auch als DHCP-Relay-Agenten dienen. Sie werden häufig noch als BOOTPRelay-Agenten bezeichnet, wobei mit BOOTP ein inzwischen veralteter Standard gemeint ist, der
durch DHCP ersetzt wurde. Im Normalfall sollten Sie den Router jedes Subnetzes als DHCP-RelayAgent einrichten, sofern es in dem betreffenden Subnetz keinen DHCP-Server gibt. Wie in diesem
Kapitel noch beschrieben wird, können Sie auch Computer als DHCP-Relay-Agenten konfigurieren.
Im Normalfall sollten Sie an jedem Standort mindestens einen DHCP-Server einrichten, oder zwei,
falls Sie Wert auf Redundanz legen. Sie können zwar einen DHCP-Relay-Agenten verwenden, um
Anforderungen über ein WAN (Wide Area Network) weiterzuleiten, aber dann erhalten DHCP-Clients
keine IP-Adressen mehr, wenn die WAN-Verbindung ausfällt.
DHCP-Leasezeiten
Standardmäßig sieht Windows Server 2008 eine Leaseperiode von 8 Tagen für verkabelte Netzwerke
und von 6 Stunden für drahtlose Netzwerke vor. Sie können die Standardeinstellungen in Netzwerken
übernehmen, in denen folgende Bedingungen erfüllt sind:
Zu jedem Zeitpunkt wird weniger als ein Drittel des verfügbaren DHCP-Bereichs verwendet.
Bei den Clientcomputern handelt es sich hauptsächlich um Desktops, die länger als eine Woche
ohne Unterbrechung ans Netzwerk angeschlossen bleiben.
Die IP-Adressen der DNS-Server, WINS-Server und Router werden nicht regelmäßig geändert.
Falls ein Netzwerk nicht alle diese Voraussetzungen erfüllt, müssen Sie vielleicht eine kürzere Leaseperiode wählen. Für Drahtlosnetzwerke wird zum Beispiel eine Leaseperiode von 6 Stunden vorgeschlagen, weil drahtlose Verbindungen gewöhnlich nur relativ kurze Zeit bestehen bleiben. Auch für
herkömmlich verkabelte Netzwerke mit einer großen Anzahl von mobilen Computern und Remotezugriffsverbindungen (beispielsweise ein virtuelles privates Netzwerk) sollten kürzere Leaseperioden
verwenden, weil IP-Adressen gewöhnlich nicht über den Tag hinaus verwendet werden. Wenn in
Spitzenzeiten mehr als die Hälfte Ihres DHCP-Bereichs belegt ist, verringert eine kürzere Leaseperiode das Risiko, dass der DHCP-Server keine freien Adressen mehr zur Verfügung stellen kann.
Kürzere Leaseperioden ermöglichen Ihnen die Änderung von IP-Adresseneinstellungen in einem kürzeren Zeitrahmen. Wenn Sie zum Beispiel Ihren DNS-Server durch einen Server ersetzen, der eine
andere IP-Adresse verwendet, können Sie die Optionen auf dem DHCP-Server sofort aktualisieren.
Allerdings müssen Sie dafür sorgen, dass in der Übergangsphase, in der DHCP-Clients noch mit den
alten IP-Einstellungen arbeiten, der alte und der neue DNS-Server im Netzwerk verfügbar sind. Mit
einer kürzeren DHCP-Leaseperiode von 6 Stunden können Sie davon ausgehen, dass die DHCP-Clients
nach dem Ablauf dieser Zeit über die aktuelle DNS-Serverkonfiguration verfügen. Den alten DNSServer können Sie also am nächsten Tag vom Netz nehmen. Bei einer Leaseperiode von 8 Tagen müssten
Sie den alten DNS-Server noch länger als eine Woche am Netz lassen.
Der Nachteil einer kürzeren DHCP-Leasezeit besteht in einer höheren Netzwerkbelastung durch die
häufiger erforderliche DHCP-Erneuerung. Allerdings ist die Bandbreite, die für die Erneuerung einer
DHCP-Lease erforderlich ist, im Vergleich zur Bandbreite moderner LANs (Local Area Networks)
meistens vernachlässigbar. Bei einer relativ kurzen Leaseperiode von 6 Stunden werden zum Beispiel
alle 3 Stunden für jeden DHCP-Client zwei kleine Pakete übertragen. Die dafür erforderliche Bandbreite ist kaum messbar und wirkt sich nicht negativ auf die Netzwerkleistung aus. Daher können Sie
normalerweise kürzere DHCP-Leasezeiten verwenden, ohne das Netzwerk dadurch spürbar zu belasten.
66
Festlegen von Adressenbereichen
Ein DHCP-Bereich ist der Adressenbereich, aus dem die Clients eines Subnetzes ihre IP-Adressen
erhalten. Damit nicht zwei verschiedene DHCP-Server dieselbe IP-Adresse vergeben, sollte jeweils
nur ein einziger DHCP-Server für einen bestimmten Bereich zuständig sein.
Nach der 80/20-Regel ist es sinnvoll, für jedes Subnetz zwei DHCP-Server vorzusehen und geteilte
DHCP-Bereiche zu verwenden (eine Konfiguration, die auch DHCP split-scope genannt wird). Dabei
richten Sie auf beiden DHCP-Servern denselben Bereich ein, legen aber zusätzlich einen Ausschlussbereich fest, damit der erste DHCP-Server 80 Prozent der Adressen aus dem Gesamtbereich vergibt,
während der zweite DHCP-Server für die restlichen 20 Prozent der IP-Adressen aus dem Bereich
zuständig ist. Ein Ausschlussbereich bewirkt, dass ein DHCP-Server keine Adressen aus einem bestimmten Abschnitt eines Bereichs zuweisen kann.
Wenn der primäre DHCP-Server ausfällt, verfügt der Ersatzserver über genügend IP-Adressen, um
neue Clients mit Adressen zu versorgen, sofern der Hauptserver hinreichend schnell wieder ans Netz
gehen kann (beispielsweise innerhalb von 24 Stunden). Steht der primäre DHCP-Server für einen längeren Zeitraum nicht mehr zur Verfügung, können Sie den Ausschluss vom Ersatzserver entfernen
und dem Server auf diese Weise erlauben, IP-Adressen aus dem ganzen Bereich zuzuweisen.
Direkt von der Quelle: Festlegen des Verhältnisses von geteilten
DHCP-Bereichen
Meistens wird zwar eine 80/20-Aufteilung der verfügbaren Adressen zwischen dem DHCP-Hauptserver und dem Ersatzserver verwendet, aber Sie können selbstverständlich auch ein anderes Verhältnis wählen, das für Ihr Netzwerk angemessen ist.
Zur Bestimmung des Verhältnisses bietet sich die Faustregel (0,5 * Leasezeit im Subnetz) : (Zeit
für die Wiederherstellung eines Servers) an. Beträgt die Adressenleasezeit auf Ihrem DHCP-Server
zum Beispiel 8 Tage, erneuern Clients ihre Lease nach jeweils 0.5 * 8 = 4 Tagen. Nehmen wir an,
Sie brauchen einen Tag, um einen ausgefallenen Server wieder betriebsbereit zu machen. Nach der
Faustregel ergibt sich daraus das Verhältnis 4:1 oder 80:20. Mit dieser Faustregel können Sie das
für Ihr Netzwerk passende Verhältnis abschätzen.
Im Idealfall können Sie die obige Regel vergessen und eine 50/50-Aufteilung verwenden, wenn
zum Beispiel ein hinreichend großer Adressraum zur Verfügung steht (insbesondere dann, wenn
Sie einen der in RFC 1918 festgelegten privaten Adressräume verwenden). Beachten Sie bitte, dass
die maximale Zahl der Clients in diesem Fall ungefähr 50 Prozent des verfügbaren Adressenbereichs betragen sollte. Wenn Sie also ungefähr 250 Clients erwarten, sollten Sie für das Subnetz
einen /23-Adressbereich verwenden.
Auf diese Weise können Sie Ihre DHCP-Systeme genauer an die Erfordernisse anpassen.
Santosh Chandwani, Lead Program Manager
Enterprise Networking Group
Servercluster für DHCP
Falls die Aufteilung der DHCP-Bereiche auf mehrere Server nicht reicht, um Ihre Anforderungen an
die Ausfallsicherheit zu erfüllen, können Sie auch Servercluster verwenden, um den DHCP-Dienst
hochverfügbar zu machen. Der Aufbau eines Serverclusters für den DHCP-Serverdienst erfordert,
67
dass der Servercluster über ein Festplattenlaufwerk, eine IP-Adresse (sie muss statisch sein) und über
Namensressourcentypen verfügt.
Nach der Konfiguration des DHCP-Serverdienstes auf den Knoten des Serverclusters autorisieren Sie
die virtuelle IP-Adresse des Clusters in Active Directory. Dann legen Sie mit der Clusterverwaltung
den Datenbankpfad, den Pfad für die Überwachungsprotokolldatei und den Pfad für die Datenbanksicherung auf dem freigegebenen Festplattenlaufwerk fest. Vergessen Sie bei der Einrichtung der
DHCP-Bereiche nicht, die virtuellen IP-Adressen des Clusters auszuschließen.
Weitere Informationen über DHCP-Cluster finden Sie im Hilfe und Support-System von Windows
Server 2008 unter der Überschrift »Zentralisieren der Verwaltung von zwei oder mehr DHCP-Servern
als ein Einzelsystem durch Clustern von DHCP-Servern«.
Dynamisches DNS
Da DHCP-Clients unterschiedliche IP-Adressen erhalten können, müssen auch die DNS-Einträge
für einen DHCP-Client aktualisiert werden, wenn sich die IP-Adresse des Clients ändert. Das ist mit
dynamischem DNS (Dynamic DNS) möglich, wobei Clients ihrem DNS-Server eine Nachricht schicken, um ihre DNS-Ressourceneinträge zu aktualisieren. Weitere Informationen über DNS erhalten
Sie in Kapitel 7, »DNS«.
Einige Clients wie zum Beispiel Microsoft Windows NT 4.0 und ältere Windows-Versionen können
ihre eigenen DNS-Einträge nicht aktualisieren. Für solche Clients oder für Clients, die so eingestellt
wurden, dass sie ihre eigenen DNS-Einträge nicht aktualisieren, kann der DHCP-Server die DNSEinträge aktualisieren (sowohl A- als auch PTR-Einträge), nachdem er dem DHCP-Client eine
IP-Adresse zugewiesen hat. DHCP-Server können auch DNS-Einträge löschen, wenn eine Lease
gelöscht wird.
Windows Server 2008 wird standardmäßig so konfiguriert, dass es auf Anforderung für Clients DNSAktualisierungen durchführt. Daher brauchen Sie wahrscheinlich keine Änderungen an der Einstellung des DHCP-Servers vorzunehmen, um dynamisches DNS zu unterstützen. Wenn Sie Clients verwenden, die kein dynamisches DNS unterstützen (wie Windows NT 4.0 und ältere Versionen von
Windows), oder wenn Ihre DNS- und DHCP-Server nicht zur selben Active Directory-Domäne gehören, müssen Sie die Konfiguration des DHCP-Servers ändern, wenn dynamisches DNS möglich sein
soll. Weitere Informationen finden Sie im nächsten Abschnitt »Bereitstellungsschritte« dieses Kapitels
unter »Konfigurieren des dynamischen DNS«.
Zur Bereitstellung von DHCP fügen Sie zuerst eine Rolle zum Server hinzu, richten die gewünschten
Bereiche ein, legen Einstellungen und Ausschlüsse fest und autorisieren dann den DHCP-Server.
Dann konfigurieren Sie Ihre Router als DHCP-Relay-Agenten, damit Anfragen aus Subnetzen weitergeleitet werden, in denen es keine DHCP-Server gibt. Gewöhnlich ist für die anderen Computer mit
Ausnahme des DHCP-Servers keine spezielle Konfiguration erforderlich, weil sie standardmäßig als
DHCP-Clients konfiguriert werden.
Die folgenden Abschnitte beschreiben Schritt für Schritt, wie Sie DHCP in Ihrem Netzwerk bereitstellen.
68
DHCP-Server
Wenn Sie einen DHCP-Server einrichten, installieren Sie zuerst die Rolle DHCP-Server. Beim Hinzufügen der Rolle können Sie einen einzelnen Bereich hinzufügen. Weitere Bereiche, Reservierungen
und Ausschlüsse sollten Sie nach der Konfiguration der Rolle hinzufügen. Haben Sie die Konfiguration des DHCP-Servers abgeschlossen und befindet sich der DHCP-Server in einer Active DirectoryDomänenumgebung, autorisieren Sie den Server, um den DHCP-Server zu aktivieren.
Installieren der DHCP-Serverrolle
Sie können Computer, auf denen Windows Server 2008 ausgeführt wird, als DHCP-Server verwenden, indem Sie die DHCP-Serverrolle hinzufügen.
So fügen Sie die DHCP-Serverrolle hinzu
1. Konfigurieren Sie den Server mit einer statischen IP-Adresse. DHCP-Server sollten immer eine
statische IP-Adresse haben, weil die Verwendung einer dynamischen IP-Adresse voraussetzen
würde, dass sich noch ein weiterer DHCP-Server im Netzwerk befindet.
3. Klicken Sie im linken Bereich auf Rollen und anschließend im rechten Bereich auf Rollen hinzufügen.
4. Falls die Seite Vorbereitungsmaßnahmen angezeigt wird, klicken Sie auf Weiter.
5. Wählen Sie auf der Seite Serverrollen auswählen das Kontrollkästchen DHCP-Server und klicken
Sie dann auf Weiter.
Abbildung 3.3 Die Seite Bindungen für Netzwerkverbindung auswählen des Assistenten zum
Hinzufügen von Rollen
69
6. Klicken Sie auf der Seite DHCP-Server auf Weiter.
7. Sofern die Seite Bindungen für Netzwerkverbindung auswählen erscheint (Abbildung 3.3), wählen
Sie die Netzwerkschnittstellen aus, die der DHCP-Server für die Zuweisung von IP-Adressen verwenden soll. Diese Seite wird nur angezeigt, wenn der DHCP-Server über mehrere Netzwerkverbindungen verfügt. Klicken Sie auf Weiter.
8. Geben Sie auf der Seite Festlegen der IPv4-DNS-Servereinstellungen im Feld Übergeordnete
Domäne die übergeordnete Domäne ein, die Clients für die Namensauflösung verwenden sollen.
Wenn Sie zum Beispiel die übergeordnete Domäne contoso.com eingeben und ein Clientbenutzer
in seinem Webbrowser intranet eingibt, versucht der Clientcomputer, den Namen intranet.contoso.com aufzulösen. Die übergeordnete Domäne braucht nicht dieselbe Domäne wie die Active
Directory-Domäne zu sein. Geben Sie dann die IP-Adressen des bevorzugten und des alternativen
DNS-Servers ein. Klicken Sie auf Weiter.
9. Auf der Seite Festlegen der IP4-WINS-Servereinstellungen können Sie festlegen, ob Clients die
IP-Adresse eines WINS-Servers erhalten. Wenn es in Ihrem Netzwerk keinen WINS-Server gibt,
übernehmen Sie die Standardeinstellung WINS ist für Anwendungen in diesem Netzwerk nicht erforderlich. Verwenden Sie einen oder mehrere WINS-Server, wählen Sie WINS ist für Anwendungen in diesem Netzwerk erforderlich und geben Sie dann die IP-Adressen des bevorzugten und des
alternativen WINS-Servers ein. Klicken Sie auf Weiter.
10. Auf der Seite DHCP-Bereiche hinzufügen oder bearbeiten legen Sie den Adressenbereich fest, aus
dem Clients ihre IP-Adressen erhalten. Fügen Sie mit den folgenden Schritten so viele DHCPBereiche hinzu, wie Sie brauchen, und klicken Sie dann auf Weiter:
a. Klicken Sie auf Hinzufügen, um das Dialogfeld Bereich hinzufügen zu öffnen.
b. Geben Sie im Feld Bereichsname einen Namen für den Bereich ein, zum Beispiel Verkabelt192.168.1.0/24.
c. Geben Sie in den Feldern Start-IP-Adresse und End-IP-Adresse die niedrigste und die höchste
IP-Adresse ein, die Sie zuweisen möchten, beispielsweise 192.168.1.100 und 192.168.1.199.
d. Im Feld Subnetzmaske geben Sie die Subnetzmaske ein, zum Beispiel 255.255.255.0.
e. Geben Sie im Feld Standardgateway die IP-Adresse des Netzwerkrouters ein.
f. Wählen Sie in der Dropdownliste Subnetztyp den Typ Verkabelt oder Drahtlos aus, je nach Art
des Netzwerks.
g. Wenn der Bereich sofort aktiv werden soll, wählen Sie das Kontrollkästchen Diesen Bereich
aktivieren.
h. Klicken Sie auf OK und dann auf Weiter.
11. Wenn die Seite Konfigurieren des statusfreien DHCPv6-Modus erscheint, wählen Sie Statusfreien
DHCPv6-Modus für diesen Server deaktivieren, sofern Sie IPv6-Clients mit DHCP konfigurieren
möchten. Die Standardeinstellung Statusfreien DHCPv6-Modus für diesen Server aktivieren bewirkt, dass DHCP für IPv6-Clients deaktiviert wird. Die IPv6-Clients führen dann ausschließlich
mit den Informationen eine Autokonfiguration durch, die sie von Ihren IPv6-Routern erhalten.
Klicken Sie auf Weiter.
12. Wenn die Seite IPv6 DNS-Servereinstellungen angeben erscheint, geben Sie die übergeordnete
Domäne und die IPv6-Adressen des bevorzugten und des alternativen DNS-Servers ein und klicken dann auf Weiter.
13. Wenn die Seite DHCP-Server autorisieren erscheint, haben Sie die Wahl, ob Sie den DHCP-Server
mit Ihren aktuellen Anmeldeinformationen autorisieren, andere Anmeldeinformationen verwenden
70
oder die Autorisierung überspringen. Wenn Sie die Autorisierung überspringen, können Sie den
DHCP-Server später in der DHCP-Konsole autorisieren. Klicken Sie auf Weiter.
14. Auf der Seite Installationsauswahl bestätigen überprüfen Sie Ihre Einstellungen und klicken dann
auf Installieren.
15. Überprüfen Sie auf der Seite Installationsergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.
Autorisieren eines DHCP-Servers
In Active Directory-Domänenumgebungen wird ein DHCP-Server nur dann gestartet, wenn er autorisiert ist. Anders gesagt, ein nichtautorisierter DHCP-Server kann Clients nicht mit DHCP-Adressen
versorgen. Die Bedingung, dass Server autorisiert sein müssen, verringert das Risiko, dass ein Benutzer versehentlich einen DHCP-Server erstellt, der ungültige IP-Adresskonfigurationen an DHCPClients ausgibt und damit bewirken könnte, dass diese Clients keinen Zugriff auf Netzwerkressourcen
erhalten.
Für einen DHCP-Server, der kein Mitglied der Active Directory-Domäne ist, sendet der DHCP-Serverdienst eine DHCPInform-Broadcastnachricht aus, um Informationen über die Active Directory-Stammdomäne anzufordern, in der andere DHCP-Server installiert und konfiguriert wurden. Andere DHCPServer im Netzwerk antworten mit einer DHCPAck-Nachricht, die Informationen enthält, mit denen der
anfragende DHCP-Server die Active Directory-Stammdomäne finden kann. Der anfragende DHCPServer fordert dann von Active Directory eine Liste der autorisierten DHCP-Server an und startet den
DHCP-Serverdienst nur dann, wenn seine eigene Adresse in dieser Liste steht.
Wenn ein Server autorisiert werden muss, wird in der DHCP-Konsole auf den IPv4- und IPv6-Symbolen ein roter Pfeil angezeigt.
Hinweis Nur DHCP-Server auf Basis von Windows erfordern eine Autorisierung. DHCP-Server von anderen Herstellern können ohne Autorisierung gestartet werden und könnten den Clients versehentlich oder
absichtlich ungültige IP-Adressen zuweisen und auf diese Weise bewirken, dass diese Clients keine Verbindung mehr mit dem Netzwerk herstellen können.
So autorisieren Sie einen DHCP-Server
1. Melden Sie sich als Mitglied der Gruppe Domänen-Admins an.
2. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf DHCP.
3. Klicken Sie unter DHCP den Servernamen mit der rechten Maustaste an und klicken Sie dann auf
Autorisieren.
4. Klicken Sie den Servernamen erneut mit der rechten Maustaste an und klicken Sie auf Aktualisieren.
Die roten Pfeile auf den IPv4- und IPv6-Symbolen in der DHCP-Konsole sollten als Hinweis darauf,
dass der Server autorisiert ist, verschwinden. Nun beginnt der Server mit der Ausgabe von DHCPAdressen. Um die Autorisierung eines Servers aufzuheben, klicken Sie ihn mit der rechten Maustaste
an und klicken dann auf Autorisierung aufheben.
So autorisieren Sie eine DHCP-Server mit einem Skript
Um einen DHCP-Server mit einem Skript zu autorisieren, geben Sie mit den Rechten eines Domänenadministrators folgenden Befehl:
netsh dhcp add server ServerName [ServerIPv4Adresse]
Mit folgendem Befehl können Sie alle autorisierten DHCP-Server auflisten:
netsh dhcp show server
71
Hinzufügen eines Bereichs
Ein Bereich (scope) ist der IP-Adressenbereich, aus dem ein DHCP-Server seinen DHCP-Clients IPAdressen zuweisen kann. Für jedes Subnetz, das ein DHCP-Server mit IP-Adressen versorgt, muss
ein DHCP-Bereich konfiguriert werden. Das gilt auch für Subnetze, die einen DHCP-Relay-Agenten
verwenden. Sie können Bereiche hinzufügen, wenn Sie die DHCP-Serverrolle hinzufügen. Falls Sie
zu einem späteren Zeitpunkt einen Bereich hinzufügen möchten, können Sie die DHCP-Konsole verwenden.
So fügen Sie einen IPv4-Bereich hinzu
2. Klicken Sie IPv4 mit der rechten Maustaste an und klicken Sie auf Neuer Bereich.
Der Bereichserstellungs-Assistent öffnet sich.
3. Klicken Sie auf der Seite Willkommen auf Weiter.
4. Geben Sie auf der Seite Bereichsname einen Namen und eine Beschreibung für den Bereich ein
und klicken Sie dann auf Weiter.
5. Geben Sie auf der Seite IP-Adressbereich die niedrigste und die höchste IP-Adresse ein, die Sie
zuweisen möchten, zum Beispiel 192.168.1.100 und 192.168.1.199. Legen Sie dann die Subnetzmaske fest. Dazu geben Sie entweder im Feld Länge die Anzahl der Bits ein oder im Feld Subnetzmaske die Subnetzmaske (beispielsweise 255.255.255.0). Wenn Sie zur Identifikation von
Netzwerken die klassenlose CIDR-Schreibweise (Classless Inter-Domain Routing) verwenden,
wie zum Beispiel 192.168.1.0/24, geben Sie die Zahl hinter dem Schrägstrich »/« im Feld Länge
ein. Klicken Sie auf Weiter.
6. Fügen Sie auf der Seite Ausschlüsse hinzufügen alle gewünschten Ausschlussbereiche hinzu (aus
dem Bereich, den Sie auf der vorigen Seite festgelegt haben), aus denen keine Adressen zugewiesen werden sollen. Wenn Sie zum Beispiel einen Bereich für die Adressen von 192.168.1.100 bis
192.168.1.199 definiert haben, wobei die Adressen von 192.168.1.150 bis 192.168.1.155 aber bereits an Server vergeben wurden, würden Sie diesen Abschnitt als Ausschluss festlegen. Zur Einrichtung eines Ausschlusses gehen Sie folgendermaßen vor und klicken dann auf Weiter:
a. Geben Sie im Feld Start-IP-Adresse die erste IP-Adresse aus dem Abschnitt ein, der aus dem
DHCP-Bereich ausgeschlossen werden soll.
b. Geben Sie im Feld End-IP-Adresse die letzte IP-Adresse aus dem Abschnitt ein, der aus dem
DHCP-Bereich ausgeschlossen werden soll. Falls Sie nur eine einzelne IP-Adresse ausschließen möchten, geben Sie in den Feldern Start-IP-Adresse und End-IP-Adresse jeweils dieselbe
Adresse ein.
c. Klicken Sie auf Hinzufügen.
d. Wiederholen Sie diese Schritte nach Bedarf, um weitere Ausschlüsse hinzuzufügen.
7. Legen Sie auf der Seite Leasedauer die Zeitspanne fest, für die Adressen, die von DHCP zugewiesen werden, gelten soll. In herkömmlich verkabelten Netzwerken werden gewöhnlich 8 Tage gewählt, in drahtlosen Netzwerken dagegen nur 6 Stunden. Klicken Sie auf Weiter.
8. Entscheiden Sie auf der Seite DHCP-Optionen konfigurieren, ob Sie bereits jetzt DHCP-Optionen
festlegen möchten (wie zum Beispiel das Standardgateway und DNS-Serveradressen). Clients
können nicht auf Netzwerkressourcen zugreifen, wenn diese Optionen nicht aktiviert sind. Daher
sollten Sie die Optionen immer aktivieren. Klicken Sie auf Weiter. Falls Sie sich dafür entschei-
72
den, die Optionen noch nicht festzulegen, überspringen Sie die nächsten Schritte bis zum letzten
Schritt dieser Konfiguration.
9. Geben Sie auf der Seite Router (Standardgateway) die IP-Adresse des Standardgateways des Netzwerks ein und klicken Sie dann auf Hinzufügen. Sofern das Netzwerk über mehrere Standardgateways verfügt, fügen Sie alle diese Standardgateways hinzu. Klicken Sie dann auf Weiter.
10. Geben Sie auf der Seite Domänenname und DNS-Server im Feld Übergeordnete Domäne die
übergeordnete Domäne ein, die Clients für die Namensauflösung verwenden. Wenn Sie zum
Beispiel die übergeordnete Domäne contoso.com eintragen und ein Benutzer eines Clients gibt in
seinem Webbrowser den Namen intranet ein, versucht der Clientcomputer, den Namen intranet.
contoso.com aufzulösen. Die übergeordnete Domäne braucht nicht dieselbe Domäne wie die
Active Directory-Domäne zu sein. Geben Sie dann den Hostnamen oder die IP-Adresse jedes
DNS-Servers ein und klicken Sie auf Hinzufügen. Klicken Sie dann auf Weiter.
11. Auf der Seite WINS-Server können Sie entscheiden, ob Clients die IP-Adresse eines WINS-Servers erhalten sollen. Wenn Sie in Ihrem Netzwerk keinen WINS-Server verwenden, nehmen Sie
auf dieser Seite keine Einstellungen vor. Wenn Sie einen oder mehrere WINS-Server einsetzen,
geben Sie deren Hostnamen oder IP-Adressen ein und klicken jeweils auf Hinzufügen. Klicken
Sie auf Weiter.
12. Klicken Sie auf der Seite Bereich aktivieren auf Ja, wenn Sie den Bereich sofort aktivieren möchten. Andernfalls klicken Sie auf Nein. Klicken Sie dann auf Weiter.
13. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
Der neue Bereich wird in der DHCP-Konsole unter dem Knoten IPv4 sichtbar.
So fügen Sie einen IPv6-Bereich hinzu
2. Klicken Sie IPv6 mit der rechten Maustaste an und klicken Sie dann auf Neuer Bereich.
Der Bereichserstellungs-Assistent öffnet sich.
4. Geben Sie auf der Seite Bereichsname einen Namen und eine Beschreibung für den Bereich ein
5. Geben Sie auf der Seite Bereichspräfix das 64-Bit-Netzwerkpräfix ein, wie zum Beispiel
2001:db8::1. Klicken Sie auf Weiter.
6. Fügen Sie auf der Seite Ausschlüsse hinzufügen alle gewünschten Ausschlussbereiche hinzu (aus
dem Bereich, den Sie auf der vorigen Seite festgelegt haben), aus denen keine Adressen zugewiesen werden sollen. Gehen Sie zur Konfiguration eines Ausschlusses folgendermaßen vor und
klicken Sie dann auf Weiter:
a. Geben Sie im Textfeld Start-IPv6-Adresse die erste IP-Adresse ein, die aus dem DHCPBereich ausgeschlossen werden soll. Sie müssen jedes Byte der Hostadresse eingeben, einschließlich der Nullen. Sie können zum Beispiel 0:0:20:20 eingeben, aber nicht 20:20.
b. Geben Sie im Textfeld End-IPv6-Adresse die letzte IP-Adresse ein, die aus dem DHCP-Bereich ausgeschlossen werden soll. Falls Sie nur eine einzige IP-Adresse ausschließen möchten,
lassen Sie das Textfeld End-IPv6-Adresse leer.
c. Klicken Sie auf Hinzufügen.
d. Wiederholen Sie diese Schritte nach Bedarf, um weitere Ausschlüsse hinzuzufügen.
73
7. Legen Sie auf der Seite Bereichslease die bevorzugte Gültigkeitsdauer und die Gültigkeitsdauer
der von DHCP zugewiesenen Adressen fest. Die vorgegebenen Standardeinstellungen reichen gewöhnlich aus. Weitere Informationen über die Lebensdauer von IPv6-Adressen finden Sie in
Kapitel 2, »IPv6«. Klicken Sie auf Weiter.
8. Legen Sie auf der Seite Fertigstellen des Assistenten fest, ob der Bereich sofort aktiviert werden
soll oder nicht, und klicken Sie dann auf Fertig stellen.
Bevor Clients vom DHCPv6-Server IPv6-Adressen erhalten können, müssen Sie zuerst Ihre IPv6Router auf eine zustandsbehaftete Autokonfiguration einstellen. Weitere Informationen zu diesem
Thema finden Sie in Kapitel 2.
Hinzufügen einer Adressreservierung
Router, DNS-Server und WINS-Server müssen statische IP-Adressen erhalten, die bei jedem Start des
Computers gleich bleiben. Sie können die statischen IP-Adressen auf diesen Hosts manuell einstellen
oder eine Reservierung zum DHCP-Server hinzufügen. Wenn Sie eine Reservierung einrichten, weist
der DHCP-Server dem Host immer dieselbe IP-Adresse zu. Der DHCP-Sever erkennt den Host anhand der MAC-Adresse der Netzwerkkarte.
So fügen Sie eine Reservierung hinzu
1. Ermitteln Sie die MAC-Adresse (physische Adresse) der Netzwerkkarte des Computers, für den
Sie eine Reservierung vornehmen. Die MAC-Adresse wird zum Beispiel angezeigt, wenn Sie auf
dem Computer, für den die Reservierung vorgenommen werden soll, in einer Eingabeaufforderung den Befehl ipconfig /all eingeben.
3. Erweitern Sie den Knoten IPv4 oder IPv6 und erweitern Sie dann den Bereich, zu dem Sie eine
Reservierung hinzufügen möchten. Klicken Sie auf Reservierungen.
4. Klicken Sie Reservierungen mit der rechten Maustaste an und klicken Sie dann auf Neue Reservierung.
5. Geben Sie im Dialogfeld Neue Reservierung einen Namen für die Reservierung ein (zum Beispiel
den Namen des Computers, für den Sie die Reservierung vornehmen), die IP-Adresse und die
MAC-Adresse. Klicken Sie auf Hinzufügen.
6. Wiederholen Sie die obigen Schritte für alle erforderlichen Reservierungen. Klicken Sie dann auf
Schließen.
Hinzufügen eines Ausschlusses
Wenn Sie einen Computer manuell mit einer IP-Adresse konfigurieren, die in einem DHCP-Bereich
liegt, sollten Sie auf dem DHCP-Server einen entsprechenden Ausschluss definieren, damit der Server
diese IP-Adresse keinem DHCP-Client zuweist. Außerdem sollten Sie entsprechende Ausschlüsse
definieren, wenn sich die Bereiche von zwei DHCP-Servern überlappen, wie weiter oben in diesem
Kapitel unter »Festlegen von Adressenbereichen« beschrieben.
So fügen Sie einen Ausschluss zu einem IPv4-Bereich hinzu
2. Erweitern Sie den Knoten IPv4, erweitern Sie dann den Bereich, zu dem Sie einen Ausschluss
hinzufügen möchten, und klicken Sie dann auf Adresspool.
3. Klicken Sie Adresspool mit der rechten Maustaste an und klicken Sie dann auf Neuer ausgeschlossener Bereich.
74
4. Geben Sie im Dialogfeld Ausschluss hinzufügen die Start- und Endadressen des IP-Bereichs ein,
den Sie aus dem Adresspool ausschließen möchten, und klicken Sie dann auf Hinzufügen.
5. Wiederholen Sie die obigen Schritte nach Bedarf und klicken Sie dann auf Schließen.
So fügen Sie einen Ausschluss zu einem IPv6-Bereich hinzu
2. Erweitern Sie den Knoten IPv6, erweitern Sie dann den Bereich, zu dem Sie einen Ausschluss
hinzufügen möchten, und klicken Sie dann auf Ausschlüsse.
3. Klicken Sie Ausschlüsse mit der rechten Maustaste an und klicken Sie dann auf Neuer ausgeschlossener Bereich.
4. Geben Sie im Dialogfeld Ausschluss hinzufügen die Start- und Endadressen des IP-Bereichs ein,
den Sie aus dem Adresspool ausschließen möchten, und klicken Sie dann auf Hinzufügen.
5. Wiederholen Sie die obigen Schritte nach Bedarf und klicken Sie dann auf Schließen.
Hinzufügen oder Ändern von DHCP-Optionen
DHCP-Optionen wie zum Beispiel das Standardgateway, der DNS-Server oder der WINS-Server, der
DHCP-Clients zugewiesen wird, müssen geändert werden, wenn sich eine IP-Adresse ändert.
So fügen Sie eine DHCP-Option hinzu oder ändern sie
2. Erweitern Sie den Knoten IPv4 oder IPv6 und erweitern Sie dann den Bereich, den Sie bearbeiten
möchten.
3. Klicken Sie Bereichsoptionen mit der rechten Maustaste an und klicken Sie dann auf Optionen
konfigurieren.
Das Dialogfeld Bereichsoptionen öffnet sich.
Abbildung 3.4 Das Dialogfeld Bereichoptionen
75
4. Wählen Sie auf der Registerkarte Allgemein die Option, die Sie hinzufügen oder bearbeiten möchten. In Abbildung 3.4 ist die Option Router ausgewählt. Sie legt das Standardgateway für Clients
fest. Verwenden Sie die Steuerelemente im Bereich Dateneingabe, um den Wert für diese Option
festzulegen.
5. Klicken Sie auf OK.
Konfigurieren des dynamischen DNS
Für die meisten Organisationen reichen die Standardeinstellungen für das dynamische DNS aus.
Allerdings müssen Sie die Einstellungen des dynamischen DNS ändern, wenn Windows NT 4.0 und
frühere Windows-Versionen verwendet werden sollen oder wenn Sie manuell Anmeldeinformationen
für die Aktualisierung des DNS-Servers eingeben möchten.
So aktualisieren Sie DNS für Windows NT 4.0 und frühere Windows-Versionen
2. Erweitern Sie unter DHCP den Servernamen und klicken Sie dann auf IPv4.
Hinweis Alle IPv6-Clients können ihre eigenen DNS-Einträge dynamisch aktualisieren. Daher ist
diese Option für DHCPv6 nicht erforderlich.
3. Klicken Sie IPv4 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
4. Wählen Sie auf der Registerkarte DNS das Kontrollkästchen DNS-A- und -PTR-Einträge für
DHCP-Clients, die keine Updates anfordern (z.B. Clients, die Windows NT 4.0 ausführen), dynamisch aktualisieren und klicken Sie dann auf OK.
So geben Sie Anmeldeinformationen für dynamische DNS-Updates an
2. Erweitern Sie unter DHCP den Servernamen und klicken Sie dann auf IPv4 oder IPv6.
Hinweis Alle IPv6-Clients können ihre eigenen DNS-Einträge dynamisch aktualisieren. Daher ist
diese Option für DHCPv6 nicht erforderlich.
3. Klicken Sie IPv4 oder IPv6 mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Erweitert auf Anmeldeinformationen.
5. Geben Sie im Dialogfeld Anmeldeinformationen für dynamisches DNS-Update den Benutzernamen, die Domäne und das Kennwort für den Benutzer ein, der über das Recht zur Aktualisierung
des DNS-Servers verfügt, und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit
einem Klick auf OK.
DHCP-Relay-Agenten
DHCP-Relay-Agenten leiten DHCP-Anfragen an einen DHCP-Server weiter, der sich in einem
Remotenetzwerk befindet. Da es sich bei DHCP-Anfragen um Broadcastnachrichten handelt, die nur
andere Computer aus demselben Netzwerksegment erreichen, sind in Subnetzen, die über keinen
eigenen DHCP-Server verfügen, DHCP-Relay-Agenten erforderlich.
Im Normalfall sollten Sie Router als DHCP-Relay-Agenten einrichten. Allerdings können Sie auch
einen Computer, auf dem Windows Server 2008 ausgeführt wird, als DHCP-Relay-Agent konfigurieren, sofern er nicht bereits als DHCP- oder ICS-Server dient (ICS steht für Internet Connection Sha-
76
ring, die gemeinsame Nutzung von Internetverbindungen) und seine NAT-Routingprotokollkomponente (Network Address Translation) nicht für eine automatische Adressenzuweisung aktiviert wurde.
So konfigurieren Sie einen DHCP-Relay-Agenten
2. Klicken Sie im linken Bereich auf Rollen und anschließend im rechten Bereich auf Rollen hinzufügen.
4. Wählen Sie auf der Seite Serverrollen auswählen das Kontrollkästchen Netzwerkrichtlinien- und
Zugriffsdienste und klicken Sie dann auf Weiter.
5. Klicken Sie auf der Seite Netzwerkrichtlinien- und Zugriffsdienste auf Weiter.
6. Wählen Sie auf der Seite Rollendienste auswählen das Kontrollkästchen Routing- und RAS-Dienste.
Der Assistent wählt automatisch die Kontrollkästchen RAS und Routing. Klicken Sie auf Weiter.
7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
8. Nachdem der Assistent zum Hinzufügen von Rollen die Installation abgeschlossen hat, klicken
Sie auf Schließen.
9. Erweitern Sie im Server-Manager den Knoten Rollen, erweitern Sie Netzwerkrichtlinien- und
Zugriffsdienste und klicken Sie dann auf Routing und RAS. Klicken Sie Routing und RAS mit der
rechten Maustaste an und klicken Sie dann auf Routing und RAS konfigurieren und aktivieren.
Der Setup-Assistent für den Routing- und RAS-Server öffnet sich.
10. Klicken Sie auf der Willkommen-Seite auf Weiter.
11. Klicken Sie auf der Seite Konfiguration auf Benutzerdefinierte Konfiguration und klicken Sie
dann auf Weiter.
12. Wählen Sie auf der Seite Benutzerdefinierte Konfiguration das Kontrollkästchen LAN-Routing
14. Wenn Sie dazu aufgefordert werden, klicken Sie auf Dienst starten.
15. Erweitern Sie im Server-Manager den Knoten Routing und RAS. Erweitern Sie dann entweder
IPv4 (um einen IPv4-DHCP-Relay-Agenten hinzuzufügen) oder IPv6 (um einen DHCPv6-RelayAgenten hinzuzufügen). Klicken Sie Allgemein mit der rechten Maustaste an und klicken Sie dann
auf Neues Routingprotokoll.
16. Klicken Sie im Dialogfeld Neues Routingprotokoll auf DHCP-Relay-Agent oder DHCPv6-RelayAgent und klicken Sie dann auf OK.
17. Klicken Sie DHCP-Relay-Agent oder DHCPv6-Relay-Agent mit der rechten Maustaste an und
klicken Sie dann auf Neue Schnittstelle.
18. Klicken Sie die Schnittstelle an, zu der Sie den DHCP-Relay-Agenten hinzufügen möchten, und
klicken Sie dann auf OK.
19. Überprüfen Sie im Dialogfeld Eigenschaften von DHCP-Relay auf der Registerkarte Allgemein,
ob das Kontrollkästchen DHCP-Pakete weiterleiten gewählt ist. Passen Sie die Schwellenwerte
bei Bedarf mit Klicks auf die entsprechenden Pfeile an. Klicken Sie dann auf OK.
Sie können den Knoten DHCP-Relay-Agent oder DHCPv6-Relay-Agent auswählen, um die Zahl der
DHCP-Anforderungen und Antworten zu überprüfen, die der DHCP-Relay-Agent bearbeitet hat.
Wartung
77
DHCP-Clientkonfiguration
Windows-Computer und die meisten anderen IP-Hosts verwenden standardmäßig DHCP. Daher ist es
normalerweise nicht erforderlich, einen Computer speziell als DHCP-Client zu konfigurieren. Verbinden Sie den Computer einfach mit einem Netzwerk und schalten Sie ihn ein.
Falls Sie Computer, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, bereits mit
manuell eingestellten IP-Adressen versehen haben, können Sie leicht die Standardeinstellung wiederherstellen, bei der die Computer ihre IP-Adressen von einem DHCP-Server erhalten.
So konfigurieren Sie einen IPv4-Computer als DHCP-Client
auf Eigenschaften.
4. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4) und dann auf Eigenschaften.
Das Dialogfeld Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) öffnet sich.
5. Klicken Sie auf der Registerkarte Allgemein auf IP-Adresse automatisch beziehen und DNSServeradresse automatisch beziehen und klicken Sie dann auf OK.
Sie können Computer auch so einstellen, dass sie manuell festgelegte IP-Adressen verwenden, wenn
kein DHCP-Server verfügbar ist. Weitere Informationen erhalten Sie in Kapitel 1.
So konfigurieren Sie einen IPv6-Computer als DHCP-Client
auf Eigenschaften.
4. Klicken Sie auf Internetprotokoll Version 6 (TCP/IPv6) und dann auf Eigenschaften.
Das Dialogfeld Eigenschaften von Internetprotokoll Version 6 öffnet sich.
5. Klicken Sie auf der Registerkarte Allgemein auf IPv6-Adresse automatisch beziehen und DNSServeradresse automatisch beziehen und klicken Sie dann auf OK.
Wartung
DHCP-Server sollten überwacht werden, um sicherzustellen, dass der DHCP-Dienst stets verfügbar
ist und immer freie Adressen zur Verfügung stehen. DHCP-Server stellen nur geringe Ansprüche an
die Wartung. Eingriffe sind gewöhnlich nur erforderlich, wenn ein Problem auftritt oder wenn Sie den
DHCP-Serverdienst auf einen anderen Computer übertragen müssen.
Überwachen von DHCP-Servern
Sie können die Aktivität Ihres DHCP-Servers im Systemmonitor überwachen. Um den DHCP-Server
in Echtzeit zu überwachen, gehen Sie folgendermaßen vor:
78
2. Erweitern Sie im Server-Manager den Knoten Diagnose\Zuverlässigkeit und Leistung\Überwachungstools\Systemmonitor.
3. Klicken Sie auf der Symbolleiste des Systemmonitor-Snap-Ins auf die Schaltfläche mit dem grünen Pluszeichen.
4. Erweitern Sie in der Liste der verfügbaren Leistungsindikatoren den Knoten DHCP Server oder
DHCPv6-Server. Klicken Sie auf den Leistungsindikator, den Sie hinzufügen möchten, und dann
auf Hinzufügen.
Sie können folgende DHCP-Leistungsindikatoren überwachen:
Empfangene Pakete/s Die Zahl der pro Sekunde eingehenden Nachrichten. Eine große Zahl weist
auf eine starke Nutzung des DHCP-Servers hin.
Entdeckungen/s Die Zahl der DHCP-Erkennungsnachrichten (DHCPDiscover-Nachrichten), die pro
Sekunde eingehen.
Angebote/s Die Zahl der DHCP-Angebotsnachrichten (DHCPOffer-Nachrichten), die der DHCPServer pro Sekunde an Clients sendet.
Anforderungen/s Die Zahl der DHCP-Anforderungsnachrichten (DHCPRequest-Nachrichten), die
der DHCP-Server pro Sekunde von Clients erhält.
Benachrichtigungen/s Die Zahl der DHCP-Informationsnachrichten (DHCPInform-Nachrichten),
die pro Sekunde eingehen. DHCP-Informationsnachrichten werden verwendet, wenn der DHCPServer die Active Directory-Stammdomäne sucht und wenn der Server dynamische Updates für
Clients durchführt.
Acks/s Die Zahl der DHCP-Bestätigungsnachrichten (DHCPAck-Nachrichten), die der DHCPServer pro Sekunde an Clients sendet.
Nacks/s Die Zahl der DHCP-Ablehnungen (DHCPNak-Nachrichten), die der Server pro Sekunde an
Clients sendet. Eine hohe Zahl kann auf potenzielle Netzwerkprobleme in Form eines falsch konfigurierten Servers oder falsch konfigurierter Clients hinweisen. Eine falsche Konfiguration eines
DHCP-Servers liegt zum Beispiel vor, wenn ein Bereich versehentlich deaktiviert wurde. Was
Clients betrifft, kann eine hohe Zahl von Ablehnungen zum Beispiel durch Computer wie Laptops
oder andere Mobilgeräte verursacht werden, die zwischen Subnetzen wechseln.
Abweisungen/s Die Zahl der DHCP-Abweisungsnachrichten (DHCPDecline-Nachrichten), die der
DHCP-Server pro Sekunde von Clients erhält. Ein hoher Wert deutet darauf hin, dass einer Reihe
von Computern Adressen zugewiesen wurden, die bereits verwendet werden. Das wiederum kann
auf andere Probleme im Netzwerk hinweisen.
Freigaben/s Die Zahl der DHCP-Freigabenachrichten (DHCPRelease-Nachrichten), die der DHCPServer pro Sekunde von Clients erhält. Diese Nachrichten sind ein Hinweis darauf, dass der Client
seine Verbindung mit dem Netzwerk beenden will oder die IP-Adresse aus einem anderen Grund
nicht mehr benötigt.
Duplikate verworfen/s Die Zahl der Kopien von Paketen, die pro Sekunde vom DHCP-Server
verworfen werden. Falls diese Zahl ständig größer als null ist, wird dasselbe Paket vielleicht von
mehreren DHCP-Relay-Agenten oder Netzwerkschnittstellen an den Server weitergeleitet. Eine
große Zahl kann ein Hinweis darauf sein, dass der Server zu langsam antwortet.
Millisekunden/Paket (Durchschnitt) Die durchschnittliche Antwortzeit des DHCP-Servers in Millisekunden.
Wartung
79
Länge der aktiven Warteschlange Die aktuelle Länge der Warteschlange des DHCP-Servers, in der
noch nicht bearbeitete Nachrichten auf ihre Bearbeitung warten.
Pakete abgelaufen/s Die Zahl der Pakete, die pro Sekunde verfallen und vom DHCP-Server verworfen werden, nachdem Sie 30 Sekunden oder länger in der Warteschlange auf ihre Bearbeitung
gewartet haben. Jede Zahl, die größer als null ist, weist darauf hin, dass der Server oder das Netzwerk überlastet ist.
Länge der Warteschlangen-Konflikterkennung
Die aktuelle Länge der Konflikterkennungswarteschlange des DHCP-Servers. In dieser Warteschlange warten Nachrichten, auf die noch keine
Antworten eingetroffen sind, während der DHCP-Server eine Adressenkonflikterkennung durchführt.
Außerdem können Sie DHCP-Server mit dem Microsoft System Center Operations Manager 2007
überwachen.

Weitere Informationen Weitere Informationen über den Microsoft System Center Operations Manager
2007 finden Sie auf http://www.microsoft.com/systemcenter/opsmgr/.
Manuelles Sichern und Wiederherstellen eines DHCP-Servers
Serversicherungssoftware sollte auch die DHCP-Konfiguration automatisch sichern. Allerdings können Sie einen DHCP-Server auch manuell sichern, damit Sie die Konfiguration zum Beispiel auf
einem neuen Server sofort wiederherstellen können.
So sichern Sie einen DHCP-Server
2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Sichern.
3. Wählen Sie im Dialogfeld Ordner suchen den Ordner aus, in dem die Sicherungsdatei gespeichert
werden soll, und klicken Sie dann auf OK.
Damit ist die Datensicherung beendet. Falls Sie planen, den DHCP-Server sofort zu ersetzen, fahren Sie mit den folgenden Schritten fort.
4. Klicken Sie den Servernamen mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und
dann auf Beenden. Wenn Sie den Server beenden, kann er keine neuen Adressen mehr ausgeben,
die nicht mehr in die Sicherung einbezogen werden.
5. Deaktivieren Sie anschließend in der Dienste-Konsole den DHCP-Serverdienst. Andernfalls wird
der Dienst beim nächsten Neustart des Computers wahrscheinlich automatisch gestartet.
So stellen Sie einen DHCP-Server wieder her
2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Wiederherstellen.
3. Wählen Sie im Dialogfeld Ordner suchen den Ordner aus, in dem die Sicherungsdatei gespeichert
wurde, und klicken Sie dann auf OK.
Hinweis Falls Sie einen DHCP-Server wiederherstellen müssen, von dem Sie keine manuelle Sicherung
erstellt haben, suchen Sie im Ordner %SystemRoot%\System32\dhcp\backup\ und dessen Unterordnern
nach einer automatisch erstellten Sicherung.
80
Problembehandlung
In DHCP-Systemen treten nur relativ selten Fehler auf. Wenn sie aber auftreten, hindern sie gewöhnlich einen Benutzer am Zugang zum Netzwerk. Daher müssen DHCP-Probleme relativ rasch behoben
werden. Die technischen Mitarbeiter sollten wissen, wie man DHCP-Probleme schnell erkennt und
behebt.
Die folgenden Abschnitte beschreiben, wie man Fehler auf DHCP-Clients und DHCP-Servern behebt.
Beheben von Problemen auf DHCP-Clients
Nachdem Sie überprüft haben, ob ein Computer als DHCP-Client konfiguriert wurde (wie im Abschnitt »DHCP-Clientkonfiguration« weiter oben in diesem Kapitel beschrieben), können Sie einen
DHCP-Client dazu veranlassen, seine aktuelle IP-Adresse aufzugeben, einen neuen DHCP-Server zu
suchen und eine neue IP-Adresse anzufordern.
So zeigen Sie die DHCP-Konfiguration an
1. Zur Anzeige der aktuellen IP-Konfiguration geben Sie folgenden Befehl ein:
Ipconfig /all
Überprüfen Sie für jeden Netzwerkadapter in der Zeile DHCP aktiviert, ob DHCP für den Netzwerkadapter aktiviert wurde. Außerdem können Sie in der Zeile DHCP-Server der Ipconfig-Ausgabe noch
überprüfen, welcher DHCP-Server die IP-Adresse zugewiesen hat.
Verfügt der DHCP-Client über eine IP-Adresse aus den Bereich 169.254.0.0 bis 169.254.255.255,
dann verwendet der Client eine APIPA-Adresse. APIPA-Adressen werden automatisch zugewiesen,
wenn ein DHCP-Client keinen Kontakt zu einem DHCP-Server herstellen kann. Um das Problem zu
beheben, überprüfen Sie zuerst, ob der Client mit dem Netzwerk verbunden und der DHCP-Server
online ist. Ist der DHCP-Server mit einem anderen Netzwerk als der DHCP-Client verbunden, überprüfen Sie, ob ein DHCP-Relay-Agent an das Netzwerk des DHCP-Clients angeschlossen ist und der
DHCP-Relay-Agent mit der IP-Adresse des DHCP-Servers konfiguriert wurde. Geben Sie dann auf
dem DHCP-Client mit Administratorrechten den Befehl ipconfig /renew ein.
So fordern Sie eine neue DHCP-Adresse an
1. Öffnen Sie eine Eingabeaufforderung und geben Sie folgende Befehle:
ipconfig /release
ipconfig /renew
Beheben von Problemen auf DHCP-Servern
Das häufigste Problem, das im Zusammenhang mit DHCP-Servern auftritt, ist die fehlende Autorisierung des DHCP-Servers. In Active Directory-Domänenumgebungen müssen alle DHCP-Server autorisiert sein. Weitere Informationen finden Sie im Abschnitt »Autorisieren eines DHCP-Servers« weiter oben in diesem Kapitel.
Lässt sich der DHCP-Server immer noch nicht starten, überprüfen Sie das Systemereignisprotokoll
und die Protokolldatei des DHCP-Serverdienstes, wie im nächsten Abschnitt beschrieben.
81
Verwenden des Überwachungsprotokolls zur Analyse
des DHCP-Servers
Der DHCP-Serverdienst speichert im Ordner %SystemRoot%\System32\DHCP ein Überwachungsprotokoll. Der DHCP-Serverdienst wählt für die Protokolldatei einen Namen, der sich nach dem Wochentag richtet, und überprüft zu diesem Zweck das Datum und die Uhrzeit auf dem Server. Wird zum
Beispiel der DHCP-Server gestartet und ist der aktuelle Wochentag Montag, der 8. Oktober 2007,
heißt die IPv4-Protokolldatei DhcpSrvLog-Mon.log und die IPv6-Protokolldatei heißt DhcpV6SrvLogMo.log. Um Mitternacht beginnt der DHCP-Server eine neue Protokolldatei und überschreibt dabei
die entsprechende Protokolldatei aus der Vorwoche.
Hinweis Da die Protokolldateien der Vorwoche automatisch überschrieben werden, bleibt der Platzbedarf
der Protokolldateien relativ gering. Auf stark ausgelasteten DHCP-Servern können Sie für den Ordner
%SystemRoot%\System32\DHCP die NTFS-Dateikomprimierung aktivieren. Dadurch beanspruchen die
Protokolldateien wesentlich weniger Platz.
Standardmäßig beendet der DHCP-Serverdienst die Protokollierung, wenn weniger als 20 MB Platz
auf dem Datenträger frei sind oder wenn die aktuelle Protokolldatei größer wird als ein Siebtel des für
alle auf dem Server gespeicherten DHCP-Protokolldateien vorgesehenen Platzes. Standardmäßig kann
jede Protokolldatei maximal 10 MB groß werden. Diese Obergrenze können Sie ändern, indem Sie
den gewünschten Wert mit sieben multiplizieren (für jeden Wochentag eine Datei) und das Ergebnis
im Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCP
Server\Parameters\DhcpLogFilesMaxSize speichern.
Jede Überwachungsprotokolldatei beginnt mit einer Beschreibung der verschiedenen Ereigniscodes
und der Felder der Protokolldatei. Daher sind Überwachungsprotokolldateien weitgehend selbsterklärend. Standardmäßig ist die Überwachungsprotokollierung aktiviert.
So aktivieren oder deaktivieren Sie die Überwachungsprotokollierung
2. Erweitern Sie den Namen Ihres Servers, klicken Sie entweder IPv4 oder IPv6 mit der rechten
Maustaste an und klicken Sie dann auf Eigenschaften.
3. Markieren Sie auf der Registerkarte Allgemein das Kontrollkästchen DHCP-Überwachungsprotokollierung aktivieren nach Bedarf und klicken Sie dann auf OK.
So ändern Sie den Überwachungsprotokolldateipfad
2. Erweitern Sie den Namen Ihres Servers, klicken Sie entweder IPv4 oder IPv6 mit der rechten
3. Klicken Sie auf der Registerkarte Erweitert auf Durchsuchen. Wählen Sie den gewünschten
Überwachungsprotokolldateipfad aus und klicken Sie dann auf OK.
Praktisch alle IPv4-Netzwerke und viele IPv6-Netzwerke erfordern einen oder mehrere DHCP-Server,
um DHCP-Clients automatisch IP-Adressen zuweisen zu können. Im Idealfall setzen Sie an jedem
Standort zwei DHCP-Server ein, wobei DHCP-Relay-Server Anforderungen aus Subnetzen weiterleiten, in denen kein DHCP-Server vorhanden ist.
82
DHCP-Clients, die eine IP-Adresse anfordern, können keine Verbindung mit Netzwerkressourcen herstellen, wenn kein DHCP-Server verfügbar ist. Daher sollten Sie für redundante DHCP-Server sorgen.
Am einfachsten lässt sich ein redundanter DHCP-Server integrieren, indem man zwei verschiedene
DHCP-Server aufbaut und jeden gewünschten Bereich auf beide Server aufteilt, wobei jeder Server
Adressen aus einem anderen Teil eines Bereichs zuweist.
Damit DHCP-Server IP-Adressen wiederverwenden können, wenn Clients nicht mehr mit dem Netzwerk verbunden sind, beschränkt DHCP die Gültigkeitsdauer von IP-Adressenzuweisungen. In Drahtlosnetzwerken beträgt die Leasezeit gewöhnlich 6 Stunden, um zu verhindern, dass IP-Adressen unbrauchbar werden, weil sie Clients zugewiesen wurden, die schon längst nicht mehr mit dem Netzwerk verbunden sind. In herkömmlich verkabelten Netzwerken wird gewöhnlich eine Leasezeit von
8 Tagen verwendet. Allerdings können Sie auch kürzere Leasezeiten festlegen, wenn die verfügbaren
IP-Adressen aus einem Bereich knapp werden sollten.
Computer, auf denen Windows ausgeführt wird, werden standardmäßig als DHCP-Clients konfiguriert. Daher ist keine spezielle Einstellung als DHCP-Client mehr erforderlich. Windows Server 2008
ermöglicht Ihnen, mit Unterstützung durch einen Assistenten die DHCP-Serverrolle hinzuzufügen.
Zusätzliche Konfigurationen können Sie in der DHCP-Konsole vornehmen. Als DHCP-Relay-Agenten werden gewöhnlich Router eingesetzt.
Der Aufwand für die Wartung und Problembehebung ist sehr gering. Auf Clients sollten Sie das Programm Ipconfig verwenden, wenn eine manuelle Auffrischung der DHCP-Konfiguration erforderlich
wird. Was Server betrifft, überprüfen Sie zuerst, ob der Server autorisiert ist. Überprüfen Sie dann das
Systemereignisprotokoll und die DHCP-Überwachungsprotokolle auf weitere Informationen, die für
die Problembehebung von Nutzen sind.
Weitere Informationen über DHCP finden Sie in folgenden Dokumenten:
Das »Microsoft Windows DHCP Team Blog« (http://blogs.technet.com/teamdhcp/)
»The DHCPv6 Protocol« (http://www.microsoft.com/technet/technetmag/issues/2007/03/
CableGuy/default.aspx)
RFC 2131, »Dynamic Host Configuration Protocol« (www.ietf.org/rfc/rfc2131.txt)
83
K A P I T E L
4
Windows-Firewall mit erweiterter Sicherheit
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
83
89
97
108
108
113
113
In den Betriebssystemen Windows Server 2008 und Windows Vista bietet Windows-Firewall Paketfilterung und IP Security (IPsec). Zusammen können diese Funktionen die Sicherheitsrisiken deutlich
verringern, die mit dem Betrieb eines Netzwerks verbunden sind. Dazu gehört zum Beispiel das Risiko, dass Angreifer, die in böser Absicht eine Verbindung aus dem Internet oder den internen Netzwerken herstellen, die Kontrolle über interne Ressourcen erlangen.
Die Standardsicherheitseinstellungen ermöglichen den meisten Netzwerkanwendungen, alle erforderlichen Verbindungen herzustellen. Durch eine sorgfältige Planung können Sie die Zugriffsrechte
einschränken und die Sicherheit erhöhen, damit nur Computer aus bestimmten Netzwerken, Domänenmitglieder oder Computer, für die Sie ein Zertifikat ausgestellt haben, eine Verbindung mit Netzwerkressourcen herstellen können.
Dieses Kapitel beschreibt, wie Sie die Windows-Firewall-Komponente von Windows Server 2008
einrichten, bereitstellen und warten und wie Sie Probleme beheben. In diesem Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol) vorausgesetzt.
Konzepte
In den späten 1990er Jahren wuchs das Internet (und Netzwerke im Allgemeinen) sehr schnell. Zu der
Zeit stellten Würmer – eine Form von Malware, die sich hauptsächlich durch das Ausnutzen von Angriffspunkten in Netzwerkdiensten verbreitet – das größte Sicherheitsrisiko dar. Wenn man es vereinfacht darstellt, könnte man sagen, dass die Malwaretechnologie schneller Fortschritte machte als die
Betriebssysteme mit ihren Gegenmaßnahmen. Daher waren Millionen von Computern, die mit dem
Internet verbunden waren, von Malware befallen.
Beginnend mit den Betriebssystemen Windows XP SP2 und Windows Server 2003 wurde Windows
mit Windows-Firewall ausgestattet. Windows-Firewall filtert den ein- und ausgehenden Datenverkehr
und blockiert den eingehenden Datenverkehr, der nicht genehmigt wurde. Windows-Firewall konnte
die Zahl der erfolgreichen Angriffe über das Netzwerk sehr stark verringern.
Andere komplexere Netzwerkangriffe setzen voraus, dass die Angreifer die Kommunikation im Netzwerk überwachen oder einen zugelassenen Server imitieren, um die Kommunikation abzufangen. IPSec
kann das Risiko dieser Angriffsarten durch eine Authentifizierung und Verschlüsselung verringern.
84
Kapitel 4: Windows-Firewall mit erweiterter Sicherheit
In den Windows-Versionen Windows Vista und Windows Server 2008 ist die IPsec-Verwaltung nun
ein integrierter Bestandteil von Windows-Firewall.
Dieses Kapitel gibt Ihnen wichtige Hintergrundinformationen über Netzwerksicherheitskonzepte, beschreibt die Planung von Windows-Firewall- und IPsec-Implementierungen, schildert Schritt für Schritt
die Bereitstellung von Windows-Firewall und IPsec und unterstützt Sie bei der Wartung und bei der
Behebung von Problemen mit der Netzwerksicherheit.
Filtern des Datenverkehrs mit Windows-Firewall
Windows-Firewall gibt Administratoren die Kontrolle darüber, welche Dienste eingehende Netzwerkverbindungen annehmen können und welche Netzwerke eine Verbindung mit einem bestimmten
Dienst herstellen dürfen. Standardmäßig lässt Windows-Firewall den gesamten ausgehenden Datenverkehr zu, aber Administratoren können auch festlegen, welche Anwendungen Daten senden können.
Die folgenden Beispiele geben Ihnen einen Eindruck davon, welche Arten von Regeln Sie aufstellen
können:
Erlaube auf einem DNS-Server (Domain Name System) nur DNS-Abfragen aus internen Netzwerken.
Erlaube auf einem E-Mail-Server jedem Host (einschließlich Hosts aus dem Internet), eine Verbindung mit dem SMTP-Server (Simple Mail Transfer Protocol) auf TCP-Port 25 herzustellen,
aber erlaube nur Hosts aus internen Netzwerken, eine Verbindung mit dem POP-Server (Post
Office Protocol) auf TCP-Port 110 herzustellen.
Hindere alle Anwendungen und Dienste daran, eine ausgehende Verbindung aufzubauen, mit Ausnahme von Windows Update.
Erlaube Hosts aus dem internen Netzwerk, Server anzupingen (mit dem Programm Ping Anfragen
zu senden), aber blockiere alle Pings aus externen Netzwerken.
Direkt von der Quelle: Verwenden von IPsec zum Durchtunneln
einer Firewall
Bei einer der letzten internen Diskussionen kam die Frage auf, wie man mit IPsec auf sichere Weise Active Directory-Umgebungen miteinander verbinden kann, die durch Firewalls voneinander
getrennt sind. Für IPsec ist dies ein sehr häufig auftretendes Szenario. Es geht darum, auf sichere
Weise Domänencontroller zu replizieren, die sich auf den entgegengesetzten Seiten einer Firewall
(oder mehrerer Firewalls) befinden.
Bei dieser Anwendung kann IPsec nicht nur seine Eignung zeigen, Verbindungen zwischen Hosts
zu authentifizieren, sondern auch seine Fähigkeit zum Durchtunneln von Netzwerken und zur Verschlüsselung der übertragenen Daten. Dadurch verringert sich auch die Zahl der Ports, die Sie für
die Active Directory-Replikation in den Firewalls der verschiedenen Standorte öffnen müssen, und
der kritische Datenverkehr wird besser geschützt.
Ian Hameroff, Senior Product Manager
Security and Access Product Marketing
Schützen des Datenverkehrs mit IPsec
IPsec ist ein Sicherheitsstandard, der auf der Ebene der Netzwerkschicht als Bestandteil von IPv4
(Internet Protocol Version 4) und IPv6 (Internet Protocol Version 6) für die Authentifizierung und Ver-
Konzepte
85
schlüsselung sorgt. Da IPsec seinen Schutz auf der Ebene der Netzwerkschicht anbietet, kann es für
beliebige Netzwerkanwendungen Authentifizierungen vornehmen und Daten verschlüsseln.
Die IPsec-Verschlüsselung ist wichtig, um Sniffing-Angriffe zu verhindern. Freigegebene Dateien
werden zum Beispiel unverschlüsselt im Netzwerk übertragen. Ein Angreifer, der über direkten physischen Zugang zum Netzwerk verfügt, könnte zum Beispiel den Inhalt einer Datei mitlesen, die im
Netzwerk übertragen wird. Mit IPsec kann die Netzwerkkommunikation verschlüsselt werden, was es
Angreifern nahezu unmöglich macht, den Inhalt einer Datei bei ihrer Übertragung mitzulesen.
Hinweis IPsec war zwar nicht Bestandteil des ursprünglichen IPv4-Standards, aber die meisten neueren
Betriebssysteme, einschließlich Microsoft Windows 2000 und neuere Versionen von Windows, unterstützen
IPsec.
Neben einer Verschlüsselung kann IPsec auch eine Authentifizierung vornehmen. Bei dieser Authentifizierung überprüft IPsec auf einem Server, ob ein Clientcomputer Mitglied einer Domäne ist oder
über ein gültiges Computerzertifikat verfügt, bevor es dem Client erlaubt, die gewünschte Verbindung
herzustellen. Umgekehrt kann der Clientcomputer überprüfen, ob es sich bei dem Server um den richtigen Computer handelt. Die IPsec-Authentifizierung kann komplexe, aber sehr wirkungsvolle Manin-the-middle-Angriffe verhindern, wie sie Abbildung 4.1 schematisch darstellt.
Abbildung 4.1 IPsec verhindert einen Man-in-the-middle-Angriff
Unter dem Strich bietet IPsec einen hohen Schutz vor:
Man-in-the-middle-Angriffen
Sniffing-Angriffen
Replay-Angriffen, bei denen zuvor aufgezeichnete Datenübertragungen wieder abgespielt werden,
um die Authentifizierung zu umgehen
Nichtautorisierten Zugriffen auf Netzwerkanwendungen, die keine Authentifizierung erfordern
Nichtautorisierten Zugriffen auf Netzwerkanwendungen, die eine simple Authentifizierung anhand der Quell-IP-Adresse des Clients vornehmen
86
Da IPsec auf der Ebene der Netzwerkschicht arbeitet, bleibt es für die meisten Anwendungen unsichtbar. Allerdings ist IPsec zu bestimmten Netzwerkinfrastrukturen inkompatibel. Da IPsec den Datenverkehr verschlüsselt, funktionieren Firewalls oder andere Geräte nicht mehr, die die übertragenen
Datenpakete untersuchen. Meistens können Sie solche Geräte so einstellen, dass die IPsec-Kommunikation weitergeleitet wird. Allerdings sind die Geräte nicht in der Lage, den Datenverkehr zu überwachen.
Weitere Informationen Dieses Kapitel gibt Ihnen einen Überblick über die Funktionsweise von IPsec.
Ausführlichere Informationen finden Sie in den RFCs (Requests For Comments) 3457, 3456, 3281, 3193,
2857, 2709, 2451 und in ungefähr 22 weiteren, die Sie bei einer Suche nach IPsec finden. Erhältlich sind
die RFCs von http://www.ietf.org.
Transportmodus und Tunnelmodus
IPsec kann in zwei verschiedenen Modi arbeiten: Transportmodus und Tunnelmodus. Der Transportmodus schützt die Host-zu-Host-Kommunikation. Im Transportmodus baut IPsec einen Übertragungstunnel auf der Ebene der Transportschicht auf, auch als Schicht 4 bekannt. Daher kann IPsec im
Transportmodus zwar den UDP/TCP-Protokollheader (User Datagram Protocol/Transmission Control
Protocol) und die Originaldaten verschlüsseln, aber der IP-Header selbst kann nicht geschützt werden.
Der Tunnelmodus schützt die Host-zu-Netzwerk- und die Netzwerk-zu-Netzwerk-Kommunikation. In
dieser Weise verwenden zum Beispiel VPNs (Virtuelle Private Netzwerke) IPsec. Weitere Informationen über VPNs finden Sie in Kapitel 12, »Remotezugriff-VPN-Verbindungen«.
IPsec kapselt Daten mit einem Header und einem Nachspann. Je nach dem verwendeten IPsec-Protokoll wird der Originalinhalt ausgehender Pakete zudem verschlüsselt. Abbildung 4.2 stellt die IPsecPaketstruktur für den IPv4-Transportmodus dar. Das Diagramm zeigt die Verwendung des ESP-Protokolls (Encapsulating Security Payload) für die Authentifizierung und Verschlüsselung. IPsec ist ein
integraler Bestandteil von IPv6.
Abbildung 4.2 Aufbau von IPsec-Paketen
IPsec NAT-Traversal
Frühe Implementierungen von IPsec in IPv4 konnten kein NAT-Gerät (Network Address Translation) durchqueren, weil NAT-Geräte die Quell- und Ziel-IP-Adressen ändern. IPsec interpretierte
die Änderung der IP-Adressen als unerwünschte Manipulationen und verwarf die Pakete. IPsec
NAT-T (NAT-Traversal) ermöglicht es dem IPsec-Datenverkehr, kompatible NAT-Server zu durchqueren. Allerdings müssen die IPsec-Hosts und der NAT-Server NAT-T unterstützen und der NATServer muss so eingerichtet werden, dass er Datenverkehr auf UDP-Port 4500 durchlässt. Alle Versionen von Windows, die IPsec unterstützen, unterstützen auch NAT-T. Weitere Informationen über
NAT-T finden Sie in RFC 3947.
Konzepte
87
Nicht alle Computer unterstützen IPsec. Außerdem lässt IPsec viele verschiedene Authentifizierungsund Verschlüsselungsstandards zu. Vielleicht unterstützen zwei verschiedene IPsec-fähige Hosts nicht
dieselbe Auswahl der möglichen Standards. Daher muss vor der Einrichtung einer IPsec-Verbindung
eine IPSec-Aushandlung erfolgen, bei der Hosts herauszufinden versuchen, ob sie beide IPsec und
eine gemeinsame Menge an akzeptablen Authentifizierungs- und Verschlüsselungsstandards unterstützen.
Internet Key Exchange (IKE) ist der Algorithmus, mit dem die erste Sicherheitsassoziation (Security
Association, SA) ausgehandelt wird. IKE ist eine Kombination des ISAKMP-Protokolls (Internet
Security Association Key Management Protocol) und des Oakley-Schlüsselbestimmungsprotokolls
(Oakley Key Determination Protocol) und führt eine zwei- oder dreiphasige Aushandlung im Hauptmodus oder im Schnellmodus durch. Insgesamt stehen drei Modi zur Verfügung:
Hauptmodus IKE handelt die Authentifizierungs- und Verschlüsselungsprotokolle aus und
authentifiziert den Computer.
Benutzermodus (optional) Wenn für IPsec der Benutzermodus eingestellt wurde, authentifiziert
IKE den Benutzer.
Schnellmodus IKE schützt die einzelnen Datenübertragungen und ändert regelmäßig die Sicherheitsschlüssel, führt aber in diesem Modus keine Authentifizierung durch.
Weitere Informationen Mehr über die IKE-Aushandlung und ihren Ablauf erfahren Sie in RFC 2409, erhältlich unter http://www.ietf.org/rfc/rfc2409.txt.
Die folgenden Abschnitte beschreiben diese Modi ausführlicher.
Hauptmodus
Der Hauptmodus, auch als Phase 1 bekannt, führt die ursprüngliche lange Form der IKE-Aushandlung
durch, um die Hosts zu authentifizieren und einen Hauptschlüssel zu generieren, damit eine ISAKMPSicherheitsassoziation zwischen den Computern eingerichtet werden kann. Nachdem die ISAKMPSA eingerichtet wurde, bleibt sie auf Windows-Computern standardmäßig für 8 Stunden gültig.
Werden nach Ablauf der 8 Stunden noch aktiv Daten übertragen, wird die Hauptmodus-Sicherheitsassoziation automatisch neu ausgehandelt.
Die HauptmodusAushandlung erfolgt in drei Teilen:
Aushandeln der Schutzkombinationen Teil 1 der Hauptmodusaushandlung erfolgt unverschlüsselt
und dient zur Identifizierung der verfügbaren Schutzkombinationen (einschließlich der Verschlüsselungs- und Hashalgorithmen, der Authentifizierungsmethoden und der Diffie-Hellman OakleyGruppen) und zur Bestimmung der Algorithmen, die während der Sitzung verwendet werden. Der
IPsec-Client sendet dem IPsec-Server eine Liste der Schutzkombinationen, die der Client unterstützt. Der IPsec-Server antwortet dem Client dann mit der bevorzugten Schutzkombination.
So funktioniert’s: Bestimmen der bevorzugten Schutzkombination
Ein Windows-IPsec-Client schlägt Schutzkombinationen in der Reihenfolge vor, in der sie in einer
Filteraktion aufgelistet werden. Ein Windows-IPsec-Server verwendet die erste passende Schutzkombination, die vom Client aufgelistet wird. Daher bestimmt der Windows-Client die Prioritäten
der Schutzkombinationen, nicht der Server. Sie sollten die Liste so sortieren, dass die sicherste
Kombination an erster Stelle steht und dann die jeweils etwas unsichere Kombination folgt.
88

Diffie-Hellman-Schlüsselaustausch Nachdem IPsec eine Schutzkombination ausgehandelt hat,
werden im Teil 2 der Hauptmodusaushandlung auf der Basis der ausgehandelten Diffie-Hellman
Oakley-Gruppe ein öffentlicher und ein geheimer Diffie-Hellman-Schlüssel generiert. Die IPsecHosts tauschen die öffentlichen Schlüssel aus und generieren dann separat den Hauptschlüssel für
den Hauptmodus. Dieser Schlüssel wird zur effizienten Verschlüsselung des Datenverkehrs zwischen den beiden Hosts verwendet.
Authentifizierung Im Teil 3 der Hauptmodusaushandlung erfolgt die Authentifizierung. Die
Authentifizierung in der Hauptmodusaushandlung ist aber eine Computerauthentifizierung, also
keine Benutzerauthentifizierung, wie sie von den meisten Anwendungen erwartet wird. Daher
werden bei der Authentifizierung nur die Computer überprüft und nicht die Benutzer, die an
diesen Computern arbeiten, während die Authentifizierung stattfindet.
Benutzermodus
Der Benutzermodus ist eine optionale zweite Authentifizierungsphase, die sich direkt an den Hauptmodus anschließt, falls eine Benutzerauthentifizierung erforderlich ist. Bei der Benutzermodusauthentifizierung werden Benutzer mit Kerberos V5 von einem Active Directory-Domänencontroller authentifiziert. Die Benutzermodusauthentifizierung wurde mit Windows Vista und Windows Server 2008
neu eingeführt und ist daher in älteren Windows-Versionen nicht verfügbar.
Schnellmodus
Der Schnellmodus, auch als Phase 2 bekannt, richtet einen sicheren Kanal zwischen zwei IPsec-Hosts
ein. Die Sicherheitsassoziationen, die im Schnellmodus angelegt werden, heißen IPsec-SAs. Zwei SAs
werden eingerichtet, jede mit ihrem Sicherheitsparameterindex (Security Parameter Index, SPI). Eine
IPsec-SA wird für den eingehenden Datenverkehr verwendet, die andere für den ausgehenden Datenverkehr. Im Schnellmodus wird das Schlüsselmaterial aktualisiert und bei Bedarf werden neue Schlüssel generiert. Außerdem wird eine Schutzkombination ausgewählt.
Standardmäßig führen Windows-Computer jede Stunde oder nach der Übertragung von 100 MB
Daten eine Schnellmodusaushandlung durch. Die regelmäßige Neuaushandlung der Schlüssel im
Schnellmodus verringert das Risiko, dass ein Angreifer mit leistungsfähigen Computern die Schlüssel
errät oder errechnet, die in der Kommunikation verwendet werden, denn Brute-force-Methoden können um so erfolgreicher sein, je mehr Daten dem Angreifer zur Verfügung stehen.
Weitere Informationen Die Einrichtung einer IPsec-Verbindung ist rechenintensiv, weil eine asymmetrische Verschlüsselung mit einem öffentlichen Schlüssel erfolgt. Die Daten, die nach der Herstellung der Verbindung übertragen werden, werden mit einer symmetrischen Verschlüsselung mit einem gemeinsamen
Schlüssel verschlüsselt. Dafür ist kein großer Anteil der Rechenleistung erforderlich. Allerdings kann sich
auf Servern, auf denen es viele aktive IPsec-Verbindungen gibt, eine hohe Belastung des Prozessors ergeben. Um diese Belastung zu verringern, können Sie eine Netzwerkschnittstelle mit IPsec-Offload-Fähigkeit
wählen. Weitere Informationen finden Sie in Kapitel 6, »Skalierbare Netzwerke«.
Authentifizierungsheader und ESP
IPsec verwendet zwei Protokolle:
Authentifizierungsheader (Authentication Header, AH) Bietet Authentifizierung, Datenintegrität und
Wiederabspielschutz (Antireplay) für das gesamte Paket einschließlich IP-Header, mit Ausnahme
des Streckenzählers (Hop-Count) und anderer Felder, die sich während der Übertragung ändern
können. AH verschlüsselt allerdings die Daten nicht und wird daher nicht so häufig wie ESP benutzt. AH kann keine NAT-Geräte überwinden.
89
ESP Bietet Authentifizierung, Datenintegrität, Wiederabspielschutz und bei Bedarf Verschlüsselung. ESP unterstützt NAT-T und kann NAT-Geräte durchlaufen. Da es die Verschlüsselung unterstützt, ist ESP fast immer die bessere Wahl.
Standardmäßig verwendet Windows ESP und greift auf AH zurück, wenn ESP nicht möglich ist. Der
Rückgriff auf AH dürfte aber eher selten erforderlich werden, denn ESP wird von vielen Computern
geboten.

Da Windows-Firewall-Regeln bewirken können, dass autorisierte Benutzer keine Verbindung mit kritischen Netzwerkressourcen herstellen können, und bei falscher Festlegung Angreifern den missbräuchlichen Zugriff auf Ressourcen erlauben, müssen Sie Windows-Firewall-Regeln sehr sorgfältig
planen. Sie sollten für jede Serveranwendung Paketfilterrichtlinien festlegen, die Datenverkehr nur
aus Netzwerken zulassen, die von autorisierten Benutzern verwendet werden. Wenn Sie IPsec-Richtlinien festlegen, müssen Sie zwischen Hosts unterscheiden, die IPsec unterstützen oder nicht, und eine
Isolierungsstrategie entwickeln, die zwar eine möglichst hohe Sicherheit bietet, aber auch entsprechende Ausnahmen zulässt, damit autorisierte Clients Verbindungen herstellen können.
Hinweis Informationen über die Durchsetzung von IPsec und über NAP (Network Access Protection)
finden Sie in Kapitel 16, »IPsec-Erzwingung«.
Planen der Windows-Firewall-Richtlinien
Die folgenden Abschnitte bieten Informationen über die Planung der Windows-Firewall-Richtlinien.
Zur Optimierung der Sicherheit sollten Sie die Standardfirewallrichtlinien kennen, die Windows Server 2008 automatisch konfiguriert, und die Situationen berücksichtigen, die benutzerdefinierte Windows-Firewall-Richtlinien erfordern könnten. Außerdem sollten Sie überprüfen, ob Sie den Bereich
von Firewallregeln einschränken und ob Sie für verschiedene Windows-Firewall-Profile unterschiedliche Regeln anwenden müssen.
Standardfirewallrichtlinien
Standardmäßig blockiert Windows-Firewall unter Windows Vista und Windows Server 2008 den gesamten eingehenden Datenverkehr und erlaubt sämtlichen ausgehenden Datenverkehr. Dadurch können Clientanwendungen gewöhnlich ohne spezielle Konfiguration der Firewall verwendet werden.
Für Serveranwendungen müssen entsprechende Ausnahmen definiert werden.
Damit die Systemdienste wie vorgesehen arbeiten können, wurde Windows-Firewall mit einem Standardsatz an ein- und ausgehenden Regeln versehen. Diese Regeln werden aber nur aktiviert, wenn
eine Funktion oder Rolle aktiviert wird. So gibt es in Windows-Firewall zum Beispiel die eingehende
Regel WWW-Dienste (Eingehender HTTP-Datenverkehr), aber diese Regel bleibt standardmäßig
deaktiviert. Wenn Sie die Rolle Anwendungsserver oder Webserver hinzufügen, aktiviert Windows
Server 2008 diese Regel automatisch, um eingehende Verbindungen mit dem Webdienst zuzulassen.
Die Standardfirewallrichtlinien genügen den Sicherheitsanforderungen der meisten Organisationen.
Allerdings können Sie die Standardfirewallrichtlinien bei Bedarf ändern und:
nur Verbindungen aus bestimmten Subnetzen zulassen.
nur Verbindungen von bestimmten Benutzern oder Computern zulassen.
90
nur IPsec-geschützte Verbindungen zulassen.
eine Ausnahme nur auf bestimmte Profile anwenden (das ist in erster Linie bei mobilen Computern sinnvoll).

Benutzerdefinierte Windows-Firewall-Regeln
Auch Anwendungen, die nicht von Microsoft entwickelt wurden, können automatisch Windows-Firewall-Regeln definieren. Für Anwendungen, die dies nicht automatisch tun, können Sie die Regeln
manuell festlegen, wobei folgende Regeltypen zur Verfügung stehen:
Programm Eine Regel, die Verbindungen unabhängig von der verwendeten Portnummer für eine
bestimmte ausführbare Datei blockiert oder zulässt.
Port
Eine Regel, die Verbindungen für einen bestimmten TCP- oder UDP-Port unabhängig
davon blockiert oder zulässt, welches Programm den Datenverkehr verursacht.
Vordefiniert Eine Regel, die Verbindungen für eine bestimmte Windows-Komponente kontrolliert, beispielsweise für die Active Directory-Domänendienste, Datei- und Druckerfreigabe oder
Remotedesktop. Gewöhnlich aktiviert Windows diese Regeln automatisch.
Benutzerdefiniert Eine Regel, die Programm- und Portangaben umfassen kann.
Im Normalfall sollten Sie Programmregeln erstellen, weil sie am einfachsten festzulegen sind. Wenn
ein Dienst mehrere Ports überwacht und Sie für diese Ports unterschiedliche Beschränkungen festlegen möchten, erstellen Sie die entsprechenden Portregeln.
Standardmäßig blockiert Windows-Firewall keinen ausgehenden Datenverkehr. Daher brauchen Sie
nur dann ausgehende Regeln zu erstellen, wenn Sie sich dazu entschließen, den ausgehenden Datenverkehr standardmäßig zu sperren. Wenn Sie dafür sorgen, dass der ausgehende Datenverkehr grundsätzlich blockiert wird, sofern er nicht explizit erlaubt wurde, verringern Sie das Risiko, dass Malware
(beispielsweise Spyware) vertrauliche Daten überträgt. Allerdings müssen Sie dann den nicht unbeträchtlichen Aufwand für die Tests einplanen, mit denen Sie überprüfen, ob alle erforderlichen Ausnahmen für die ausgehenden Datenverbindungen der autorisierten Anwendungen definiert wurden,
die in Ihrer Organisation verwendet werden.
Kontrollieren des Bereichs von Firewallrichtlinien
Sie können die Eigenschaften einer Standardregel oder einer benutzerdefinierten Regel bearbeiten,
um den Bereich zu ändern. Mit Bereich ist der IP-Adressenbereich gemeint, aus dem die IP-Adressen
stammen müssen, damit die Windows-Firewallregel die Kommunikation mit dem betreffenden Dienst
zulässt. Sie können zum Beispiel die Regeln für eingehende DNS-Verbindungen so ändern, dass nur
Verbindungen aus den internen Subnetzen zugelassen werden. Dadurch verringern Sie das Risiko,
dass ein Angreifer aus dem Internet Ihren DNS-Server abfragt, um die IP-Adressen von internen Ressourcen in Erfahrung zu bringen.
Die Kontrolle der Bereiche der eingehenden Regeln ist eine der besten Methoden, um das Sicherheitsrisiko durch Netzwerkangriffe zu verringern. Im Idealfall wären alle Regeln mit einem Bereich konfiguriert, der nur Verbindungen aus einer beschränkten Menge an IP-Adressen zulässt, die von autorisierten Clients verwendet werden. Die Kontrolle des Bereichs kann allerdings die laufenden Verwaltungskosten erhöhen, denn Sie müssen den Bereich aktualisieren, sobald sich IP-Adressen ändern
oder ein neues Subnetz hinzugefügt wird. Außerdem kann die Problembehebung durch die Bereichskontrolle komplizierter werden, weil ein Administrator die Eigenschaften einer Regel überprüfen
muss, um herauszufinden, ob eine bestimmte Regel für den Client gilt, auf dem ein Problem auftritt.
91
Windows-Firewall-Profile
Wenn Sie Regeln aufstellen, können Sie die Regeln auf eine beliebige Kombination der folgenden
Profile anwenden (zum Beispiel auf alle):
Domäne Gilt, wenn ein Computer mit seiner Active Directory-Domäne verbunden ist. Immer
dann, wenn der für einen Mitgliedscomputer zuständige Domänencontroller zugänglich ist, wird
dieses Profil benutzt.
Privat Gilt, wenn ein Computer mit einem privaten Netzwerk verbunden ist. Standardmäßig
werden keine Netzwerke als privat eingestuft. Benutzer müssen ein Netzwerk explizit als privat
kennzeichnen, zum Beispiel das Netzwerk in ihrer Privatwohnung.
Öffentlich Das Standardprofil gilt für alle Netzwerke, wenn kein Domänencontroller verfügbar
ist. Das Profil Öffentlich wird zum Beispiel verwendet, wenn Benutzer auf einem Flughafen oder
in einem Café eine Verbindung mit einem Wi-Fi-Hotspot herstellen. Standardmäßig lässt das Profil Öffentlich ausgehende Verbindungen zu, blockiert aber jeden eingehenden Datenverkehr, der
nicht zu einer bestehenden Verbindung gehört.
Profile sind in erster Linie für die Verwendung auf Mobilcomputern vorgesehen. Auf Servern richten
Sie Regeln gewöhnlich so ein, dass sie für alle drei Profile gelten.
Schutz der Kommunikation mit IPsec
Das wahrscheinlich größte Risiko, das mit dem Einsatz von IPsec zum Schutz der Kommunikation
verbunden ist, besteht darin, dass autorisierte Benutzer vielleicht keine Verbindung herstellen können,
weil die Konfiguration noch nicht stimmt. Daher ist es wichtig, einen genauen Plan darüber aufzustellen, welche Benutzer und Computer eine Verbindung mit einem Server aufnehmen dürfen, und die
Implementierung zu testen, bevor die Umstellung auf IPsec erfolgt.
IPsec-Regeltypen
Sie können folgende Arten von Sicherheitsregeln erstellen:
Isolierung
Erlaubt Computern nur dann eine Verbindung, wenn sie die angegebenen Kriterien
erfüllen und zum Beispiel Mitglied Ihrer Active Directory-Domäne sind, oder wenn sie die gewünschten Integritätskriterien erfüllen und zum Beispiel die neusten Windows-Updates installiert
wurden. Weitere Informationen über Integritätskriterien finden Sie in Teil III dieses Buchs, »Netzwerkzugriffsinfrastruktur«.
Authentifizierungsausnahme Ermöglicht bestimmten Computern, die Anforderungen an die
Authentifizierung zu umgehen, die von einer anderen Regel gestellt werden.
Server-zu-Server Erfordert eine Authentifizierung zwischen bestimmten Computern.
Tunnel Einige Organisationen implementieren IPsec-Tunnel, damit der IPsec-Datenverkehr auch
Netzwerke durchlaufen kann, die IPsec nicht unterstützen. Diese Regel gibt die Hosts und die Ziele
an, die diesen Tunnel verwenden, sowie das lokale und das Remotegateway. Weitere Informationen über die Verwendung von Tunneln finden Sie in Kapitel 13, »Standort-zu-Standort-VPNVerbindungen«.
Benutzerdefiniert Ermöglicht Ihnen die Kombination von Kriterien aus den verschiedenen Regeltypen.
Im Normalfall werden Sie Isolationsregeln für Richtlinien erstellen, die für alle Netzwerkverbindungen gelten sollen, Server-zu-Server-Regeln für Richtlinien, die nur für bestimmte Netzwerke gelten
sollen, und Authentifizierungsausnahmeregeln für Computer, die IPsec nicht unterstützen.
92
IPsec-Authentifizierungsmethoden
Für IPsec können Sie folgende Authentifizierungsmethoden wählen:
Standard Verwendet die Standardauthentifizierungsmethode des Profils. Tabelle 4.1 zeigt die
Standardeinstellungen.
Tabelle 4.1 IPsec-Standardeinstellungen in Windows Server 2008
Einstellung
Wert
Authentifizierungsmethode
Computer (Kerberos V5)
Schlüsselaustauschalgorithmus
Diffie-Hellman Group 2
Datenintegritätssicherungsmethode
SHA1
IPsec-Authentifizierungsprotokoll
ESP
Gültigkeitsdauer der Verschlüsselungsschlüssel
60 Minuten oder 100.000 KB
Verschlüsselungsmethode
AES-128 (primär) und 3-DES (sekundär)
Computer (Kerberos V5) Lässt nur Verbindungen von Computern zu, die Mitglieder Ihrer Domäne
sind. Damit IPsec über eine gesamtstrukturübergreifende Vertrauensstellung hinweg IPsec verwendet, müssen Sie die Vertrauensstellungen unter Angabe der vollständigen Domänennamen
(Fully Qualified Domain Names, FQDNs) konfigurieren. Außerdem müssen Sie die IPsec-Clientrichtlinien so konfigurieren, dass die Kommunikation mit jedem Domänencontroller aus der Domänenhierarchie der Gesamtstruktur möglich ist, damit IPsec von jedem Domänencontroller aus
der Domäne des IPsec-Peers ein Kerberos-Ticket anfordern kann.
Computer und Benutzer(Kerberos V5) Lässt nur Verbindungen mit Computern zu, die von autorisierten Benutzern verwendet werden. Diese Benutzer müssen Mitglieder Ihrer Domäne sein. Zuerst findet eine Computerauthentifizierung statt. Anschließend wird als zusätzliche Schutzmaßnahme der Benutzer mit Kerberos V5 authentifiziert.
Computerzertifikat Lässt nur Verbindungen von Computern zu, die über ein Computerzertifikat
von einer bestimmten Zertifizierungsstelle verfügen. Dadurch wird auch die Authentifizierung
von Computern möglich, die nicht Mitglieder derselben Active Directory-Domäne sind. Allerdings müssen vorher Zertifikate für die Computer ausgestellt werden (beispielsweise mit den
Active Directory-Zertifikatdiensten). Bevor Sie eine IPsec-Richtlinie anwenden, die eine Authentifizierung mit Zertifikaten zulässt, sollten Sie dafür sorgen, dass alle Computer neben gültigen
Computerzertifikaten auch über die korrekten Stammzertifizierungsstellenzertifikate und die erforderlichen Kreuzzertifikate verfügen. Um sicherzustellen, dass die Zertifikatauthentifizierung
nach Wunsch funktioniert, sollten Sie Ihre PKI-Infrastruktur vor der Einführung in einer Produktivumgebung mit verschiedenen IPsec-Richtlinienkonfigurationen testen.
Erweitert Ermöglicht die Konfiguration mehrerer Benutzer- oder Computerauthentifizierungsmethoden und die Festlegung der relativen Prioritäten. Sie können die erweiterte Sicherheit auch
so konfigurieren, dass eine Computerauthentifizierung mit vorinstallierten Schlüsseln erfolgt. In
diesem Fall müssen Sie auf jedem Computer einen Schlüssel installieren, der als Kennwort dient.
Allerdings sollten Sie vorinstallierte Schlüssel nur in Testumgebungen verwenden, weil es sich als
sehr schwierig erweisen kann, vorinstallierte Schlüssel in Produktivumgebungen zu ändern. Sie
müssten den Schlüssel ändern, falls der vorinstallierte Schlüssel bekannt wird.
Sie können die Authentifizierungsmethoden nach Bedarf kombinieren. So können Sie zum Beispiel
Ihren öffentlichen Webserver so einrichten, dass er interne Clients mit Kerberos authentifiziert und
externe Clients mit einem Zertifikat mit öffentlichem Schlüssel. Nach der Konfiguration vergleicht

93
IPsec die Quell-IP-Adresse des Remotehosts mit den IPsec-Richtlinienregeln, um die zu verwendende
Authentifizierungsmethode zu ermitteln.
Nach der IPsec-Authentifizierung kann der Client eine Netzwerkverbindung mit dem Server herstellen. Allerdings verlangt dann vielleicht noch die Anwendung nach einer Authentifizierung. Wenn zum
Beispiel ein autorisierter Benutzer eine Verbindung mit einem Dateiserver aufnimmt, der eine IPsecAuthentifizierung verlangt, findet die IPsec-Authentifizierung statt, bevor der Client den Versuch
unternehmen kann, eine Verbindung zu einem freigegebenen Ordner herzustellen. Wurde der Client
erfolgreich mit IPsec authentifiziert und ist er berechtigt, auf Netzwerkebene auf den Dateiserver zuzugreifen, muss der Benutzer trotzdem noch die Anmeldeinformationen eingeben, die für die betreffenden auf dem Dateiserver freigegebenen Ressourcen erforderlich sind.
Abbildung 4.3 zeigt Beispiele für Sicherheitsmaßnahmen auf den verschiedenen Ebenen. Der Einsatz
von Sicherheitsmaßnahmen auf mehreren Ebenen ist eine Strategie, die Defense-in-depth genannt
wird. Sie bietet auch dann noch Schutz, wenn der Schutz auf einer bestimmten Ebene versagt. Zusätzlich zu den in Abbildung 4.3 dargestellten Schichten verwenden viele Organisationen in ihrer Netzwerkinfrastruktur außerdem noch Firewalls.
Abbildung 4.3 IPsec ist Teil eines Sicherheitssystems, das sich über mehrere Netzwerkschichten erstreckt
Server- und Domänenisolation
Der Begriff Isolation bezog sich ursprünglich auf eine Netzwerkarchitektur, bei der Computer zu separaten Netzwerken zusammengefasst wurden, die von außen nicht zu erreichen waren, damit es für
nichtautorisierte Benutzer sehr schwierig war, über das Netzwerk hinweg auf einen Computer zuzugreifen. Aber eine physische Isolation in dieser Form kann die Verwaltung der Computer erschweren und verhindert zudem, dass Mobilcomputer eine Verbindung herstellen können.
IPsec kann durch die Authentifizierung eine logische Isolation auf hoher Ebene bieten, wobei es den
Clients trotzdem möglich ist, aus einer Vielzahl von Netzwerken heraus eine Verbindung herzustellen.
Bei der Server- und Domänenisolation wird nur autorisierten Computern gestattet, Netzwerkverbindungen einzurichten. Die Authentifizierung erfolgt in der Netzwerkschicht unterhalb der Anwendungsschicht und schützt die gesamte Netzwerkkommunikation. Sollte sich also ein Angreifer direkten
physischen Zugang zu Ihrem Netzwerk verschaffen, weisen die geschützten Server Verbindungsversuche ab, weil der Computer des Angreifers nicht über die erforderlichen Anmeldeinformationen verfügen dürfte.
94
Direkt von der Quelle: Einführung der Server- und Domänenisolation
Server- und Domänenisolation ist ein relativ neues Einsatzgebiet für IPsec. Vor einigen Jahren
suchte unsere eigene Microsoft IT-Abteilung (MSIT) nach einer besseren Methode, unser Firmennetzwerk vor Angriffen durch Schadsoftware (wie Viren und Würmer) zu schützen. Wie Sie sich
vorstellen können, haben wir ein ziemlich großes Netzwerk, in dem es zu praktisch allen Herausforderungen kommt, mit denen es auch viele andere Organisationen tagtäglich zu tun haben, wie
Remotezugriffen, Partner und Auftragnehmer »im Netz« und so weiter und so fort.
Um unsere vorhandene Defense-in-depth-Lösung zu erweitern, brauchte die MSIT eine Technologie, die keine vollständige »Neuverdrahtung« des Firmennetzwerks erfordert, sondern eine zusätzliche Schicht auf der Basis des vorhandenen Netzwerks bildet und die Hosts, die wir als unverwaltete Geräte oder vielleicht sogar als schwarze Schafe einstufen, in bestimmten Segmenten unterbringen (und isolieren) kann. Das war wichtig, um die Angriffsfläche unseres Netzwerks weiter zu
verkleinern und sicherzustellen, dass Computer, die sich nicht an unsere Integritätsrichtlinien
halten (das betrifft zum Beispiel die neusten Updates, Antivirussignaturen, Hostfirewalls und so
weiter), keine Sicherheitsrisiken in unser Netzwerk einschleppen können, die sich negativ auf
unsere Arbeit auswirken könnten, und uns dabei unterstützen, Vorschriften wie beispielsweise
Sarbanes-Oxley (SOX) einzuhalten.
Nach der Überprüfung einiger Optionen entwickelte die MSIT-Abteilung eine Lösung mit IPsec,
Active Directory-Gruppenrichtlinien und unserer vorhandenen Kerberos- und PKI-Infrastruktur
(Public Key Infrastructure). Das war die erste praktische Umsetzung des Server- und Domänenisolation-Lösungsansatzes. Allerdings fanden wir natürlich nach und nach heraus, dass auch einige
unserer Kunden in derselben organischen Weise ähnliche Lösungen entwickelt hatten.
Daher würde ich Ihnen empfehlen zu überprüfen, was die Server- und Domänenisolation für Ihre
vorhandene Windows-Infrastruktur bewirken kann. Dazu brauchen Sie weder die vorhandene
Sicherheitstechnologie zu ersetzen noch die Netzwerkhardware auszuwechseln oder Ihre Anwendungen zu überarbeiten.
Ian Hameroff, Senior Product Manager
Security and Access Product Marketing
IPsec verschlüsselt zudem standardmäßig den Datenverkehr, sodass es auch für einen Angreifer, der
direkten physischen Zugang zu Ihrem Netzwerk hat, nahezu unmöglich ist, den Datenverkehr in lesbarer Form abzufangen und auf die unverschlüsselten Netzwerkdaten zuzugreifen.
Auch wenn IPsec sehr flexible Autorisierungsstrategien bietet, wird es gewöhnlich in folgenden Weisen verwendet:
Domänenisolation Nur Domänenmitglieder können untereinander Netzwerkverbindungen herstellen (mit einigen Ausnahmen).
Serverisolation Ein bestimmter Server wird so eingerichtet, dass er Netzwerkverbindungen von
vertrauenswürdigen Domänenmitgliedern oder von bestimmten Gruppen von Domänenmitgliedern akzeptiert. Sie könnten zum Beispiel einen Buchhaltungsserver so konfigurieren, dass er nur
Computer und Benutzer aus der Gruppe Buchhaltung akzeptiert. Eine Serverisolation kann auch
bedeuten, dass auch Verbindungen mit Computern erlaubt werden, die zwar keine Domänenmitglieder sind, aber über ein Computerzertifikat verfügen, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
95
Die Server- und Domänenisolation kann Sie dabei unterstützen, folgende Risiken einzugrenzen:
Angreifer, die eine Verbindung mit einem ungeschützten Drahtlosnetzwerk herstellen und auf
Server zugreifen, die auf der Ebene der Anwendungen keine Authentifizierung erfordern
Server, die Zugriffe von allen Benutzern zulassen, die über direkten physischen Zugang zum
Netzwerk verfügen
Autorisierte Benutzer, die nichtautorisierte Computer verwenden
Allerdings ist die Server- und Domänenisolation nur eine zusätzliche Sicherheitsschicht. Sie bietet
keinen Schutz vor folgenden Risiken:
Autorisierte Benutzer mit autorisierten Computern, die ihre Zugriffsrechte missbrauchen
Angreifer, die sich Zugang zu einem autorisierten Computer und je nach der Konfiguration von
IPsec auch Zugang zu den Anmeldeinformationen eines autorisierten Benutzers verschaffen
Würmer und andere Malware, die autorisierte Computer infizieren und andere Computer über das
Netzwerk hinweg angreifen
Angreifer, die auf Server zugreifen, die nicht durch IPsec geschützt werden
Nichtautorisierte Verbindungen, die durch eine IPsec-Ausnahme möglich werden
IPsec-Ausnahmen
Ausnahmen sind Kriterien, die es ermöglichen, die Sicherheitsanforderungen von IPsec zu umgehen.
Da Windows Server 2008 nicht standardmäßig IPsec verlangt, brauchen Sie nur dann Ausnahmen zu
definieren, wenn Sie für die Kommunikation IPsec einsetzen. Wenn Sie IPsec verwenden, müssen Sie
für autorisierte Verbindungen, die wegen IPsec sonst nicht hergestellt werden können, Ausnahmen
definieren. Es könnte zum Beispiel erforderlich werden, folgende Ausnahmen festzulegen:
Neu bereitgestellte Computer, die nicht für IPsec konfiguriert wurden
Betriebssysteme, die IPsec nicht unterstützen
Computer, die Gästen oder Auftragnehmern gehören
Versuchen Sie, den Gültigkeitsbereich von Ausnahmen möglichst klein zu halten. Richten Sie nur für
solche Ressourcen Ausnahmen ein, die für Computer zugänglich sein müssen, die IPsec nicht unterstützen. Vielleicht müssen Sie zum Beispiel eine Ausnahme für Hosts machen, die über den für Gäste
reservierten drahtlosen Zugriffspunkt eine Verbindung mit Ihrem Proxyserver herstellen und auf das
Internet zugreifen möchten (und zwar nur auf das öffentliche Internet). Die Ausnahme sollte nicht so
weit gehen, dass diese Gäste zum Beispiel eine Verbindung mit einem Intranetwebserver herstellen
können, der die Namen und Telefonnummern von Angestellten auflisten kann. Schränken Sie den
Gültigkeitsbereich der Ausnahme noch weiter ein, indem Sie nur Zugriffe mit bestimmten TCP- oder
UDP-Ports zulassen.
Hinweis Ziehen Sie die Einrichtung einer Ausnahme für ICMP-Datenverkehr (Internet Control Message
Protocol) in Erwägung. Das ermöglicht Administratoren, mit dem Programm Ping zu überprüfen, ob bestimmte Computer verfügbar sind, selbst wenn eine Fehlkonfiguration von IPsec verhindern sollte, dass
diese Computer mit anderen Protokollen eine Verbindung herstellen können.
Viele Infrastrukturserver erfordern IPsec-Ausnahmen:
DHCP-Server DHCP-Server müssen in der Lage sein, DHCP-Aushandlungsdatenverkehr über
UDP-Port 68 anzunehmen, ohne IPsec vorauszusetzen.
DNS-Server Damit Clients Domänencontroller und andere Netzwerkressourcen finden können,
sollten DNS-Server über UPD-Port 53 DNS-Abfragen zulassen, ohne IPsec vorauszusetzen.
96
WINS-Server (Windows Internet Name Service) Wenn Clientcomputer auf WINS-Server angewiesen
sind, sollten Sie eine Ausnahme für WINS-Abfragen über UPD-Port 137 einrichten.
Domänencontroller Domänencontroller müssen in der Lage sein, für verschiedene Kommunikationsprotokolle Verbindungen anzunehmen, die nicht durch IPsec geschützt sind.
Jede Ausnahme, die Sie einrichten, ist ein Sicherheitsrisiko. Daher müssen Sie jede Ausnahme genau
überprüfen und Maßnahmen ergreifen, um das Sicherheitsrisiko möglichst gering zu halten. Überprüfen Sie, ob Angreifer die Ausnahme für den Zugriff auf geschützte Ressourcen oder für Zugriffe mit
erhöhten Rechten missbrauchen könnten. Wenn Sie zum Beispiel einem nichtautorisierten Gast den
Zugriff auf Ihren Proxyserver gewähren, sollten Sie überprüfen, ob der Gast diesen Proxyserver für
den Zugriff auf andere geschützte Ressourcen verwenden könnte. In ähnlicher Weise könnte ein
Angreifer eine Remotedesktopsitzung für den Zugriff auf geschützte Ressourcen verwenden, wenn
eine Ausnahme es einem Computer erlaubt, über Remotedesktop eine Verbindung mit einem IPsecgeschützten Computer herzustellen.
Außerdem sollten Sie den physischen Zugang zum Netzwerk einschränken und NAP (Network Access Protection) verwenden, um Netzwerke zu schützen, auf denen Ausnahmen eingerichtet wurden,
die einen Zugang zu internen Ressourcen ermöglichen. Wenn Sie zum Beispiel für neu angeschaffte
Computer eine Ausnahme einrichten müssen, verwenden Sie physische Sperren, um den Zugang zum
Bereitstellungsnetzwerk zu beschränken. Verhindern Sie nach Möglichkeit, dass IPsec-geschützte
Computer mit Ressourcen arbeiten, die für nicht durch IPsec geschützte Computer zugänglich sind.
Dadurch verringern sich die Risiken, dass vertrauliche Informationen auf nichtautorisierte Computer
durchsickern und dass Malware von nichtautorisierten Computern die internen Computer infiziert.
Wenden Sie außerdem das Defense-in-depth-Sicherheitsprinzip an und verlassen Sie sich keinesfalls
allein auf IPsec, um die Sicherheit zu gewährleisten. Wenn ein Intranetwebserver IPsec verlangt, sollten Sie auch für die Webanwendung die Authentifizierung vorschreiben. Wenn Sie die Kommunikation mit Ihrem E-Mail-Server mit IPsec verschlüsseln, sollten Sie zusätzlich eine Verschlüsselung in
der Anwendungsschicht aktivieren (beispielsweise SSL), um das Risiko zu verringern, falls IPsec
umgangen oder versehentlich deaktiviert wird.
Abbildung 4.4 zeigt, wie IPsec-Richtlinien zur Serverisolation in einem einfachen Netzwerk eingeplant werden könnten. In diesem Beispiel sollte eine Domänenisolation vorgesehen werden, damit
IPsec-Verbindungen auf Domänenmitglieder beschränkt bleiben.

Testen von IPsec
Beginnen Sie den Test von IPsec in einer Testumgebung. Konfigurieren Sie Computer mit den clientund serverseitigen Komponenten Ihrer kritischen Anwendungen und überprüfen Sie, ob die Anwendungen in der Testumgebung funktionieren und sich genau wie in der Produktivumgebung verhalten.
Ihre Testumgebung sollte mit Computern ausgestattet sein, auf denen alle potenziellen IPsec-Clientbetriebssysteme verfügbar sind, weil die verschiedenen Betriebssysteme unterschiedliche IPsec-Funktionen bieten. Testen Sie die Anwendungsleistung mit und ohne IPsec, um zu überprüfen, ob und wie
weit sich IPsec auf die Leistung auswirkt.
Fügen Sie auch Firewalls, Proxyserver und Router, wie sie in der Produktivumgebung eingesetzt werden, zur Testumgebung hinzu, damit Sie abschätzen können, wie sich diese Geräte in der Produktivumgebung auf die IPsec-Kommunikation auswirken. Testen Sie Clients, die IPsec nicht unterstützen,
mit IPsec-fähigen Servern und überprüfen Sie, wie sich die IPsec-Konfiguration darauf auswirkt, ob
Verbindungen erfolgreich aufgebaut werden oder nicht.
97
Abbildung 4.4 Ein Isolationsbeispiel mit Ausnahmen
Beginnen Sie die Praxiseinführung von IPsec mit einer Pilotbereitstellung. In der Pilotphase sollten
Sie auf keinem Computer die IPsec-Kommunikation verlangen. Alle Computer sollten auch die
Kommunikation ohne IPsec zulassen, um die Computer zu unterstützen, die nicht zum Pilotprojekt
gehören. Die IPsec-Kommunikation sollten Sie erst verlangen, nachdem alle Computer auf IPsec umgestellt wurden.
Hinweis Selbst wenn Sie planen, jeden Computer mit IPsec zu schützen, wird es eine Übergangsphase
geben, in der einige Computer noch nicht ihre IPsec-Konfiguration erhalten haben. Daher müssen Sie während der IPsec-Einführung ungeschützte Verbindungen zulassen.
Sie können Windows-Firewall mit der Konsole Windows-Firewall aus dem Ordner Verwaltung lokal
konfigurieren oder die Richtlinien aus dem Knoten Computerkonfiguration\Richtlinien\WindowsEinstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) verwenden. Im Normalfall werden Sie Richtlinien, die für ganze Computergruppen gelten, mit Gruppen-
98
richtlinienobjekten festlegen, wie zum Beispiel die Richtlinien für die IPsec-Verbindungssicherheit.
Serverspezifische Richtlinien wie zum Beispiel die IP-Adressen, von denen DNS-Server Abfragen
akzeptieren, werden Sie dagegen mit lokalen Programmen festlegen.
Die folgenden Abschnitte beschreiben Aufgaben, die gewöhnlich zur Konfiguration von WindowsFirewall durchgeführt werden müssen.
Firewalleinstellungen mit Gruppenrichtlinien
Firewallrichtlinien sind am effizientesten, wenn sie in einer Active Directory-Domäne mit Gruppenrichtlinienobjekten festgelegt werden. Bevor Sie eine Firewallrichtlinie festlegen, überprüfen Sie, wie
die ausführbare Datei der Anwendung heißt, welche TCP- oder UDP-Portnummern verwendet werden
und welche anderen Protokolltypen für die Kriterien wichtig sind, die Sie in der Regel festlegen möchten. Überprüfen Sie auch, ob Sie den Bereich der Kommunikation auf bestimmte Computer oder
Netzwerke einschränken können.
In den Gruppenrichtlinien stehen für die Windows-Firewall-Einstellungen für Computer zwei verschiedene Knoten zur Verfügung:
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall
mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit Die Einstellungen, die in diesem Knoten vorgenommen werden, gelten nur für Computer, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird. Nach Möglichkeit sollten Sie immer diesen Knoten verwenden, weil er eine präzisere Festlegung der Firewallregeln ermöglicht, die Konfiguration neuer
Authentifizierungstypen erlaubt, eine neue Kryptografieoption bietet und weil viele Firewallregeln vorkonfiguriert sind.
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall
Die Einstellungen dieses Knotens gelten für Computer, auf denen Windows XP, Windows Server
2003, Windows Vista oder Windows Server 2008 ausgeführt wird. Dieser Knoten ist zwar nicht so
flexibel wie der zuvor beschriebene Knoten, aber die Einstellungen gelten für alle Windows-Versionen, die Windows-Firewall unterstützen. Wenn Sie die neuen IPsec-Funktionen von Windows
Vista nicht benutzen, können Sie diesen Knoten verwenden, um sämtliche Clients zu konfigurieren.
Um die besten Ergebnisse zu erzielen, erstellen Sie zuerst separate Gruppenrichtlinienobjekte für
Windows Vista/Windows Server 2008 und für Windows XP/Windows Server 2003. Dann verwenden
Sie WMI-Abfragen, um die Gruppenrichtlinienobjekte auf die Computer einzustellen, auf denen die
passende Windows-Version ausgeführt wird.
Weitere Informationen Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 555253,
»HOWTO: Leverage Group Policies with WMI Filters« unter http://support.microsoft.com/kb/555253.
Da der Schwerpunkt dieses Kapitels auf den Firewalleinstellungen für Windows Vista und Windows
Server 2008 liegt, beschränken sich die weiteren Angaben auf die Einstellungen, die sich in der Konsole Windows-Firewall mit erweiterter Sicherheit durchführen lassen.
So nehmen Sie die allgemeinen Firewalleinstellungen vor
1. Öffnen Sie das Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-Editor.
Hinweis Sie können diese Einstellungen auch für einzelne Computer vornehmen, und zwar in der
Konsole Windows-Firewall mit erweiterter Sicherheit, die im Untermenü Verwaltung des Start-Menüs
zur Verfügung steht.
99
2. Wählen Sie Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\
Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit.
3. Klicken Sie Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
4. Nehmen Sie auf den Registerkarten Domänenprofil, Privates Profil und Öffentliches Profil die
erforderlichen Einstellungen in folgenden drei Gruppen vor:
Status Hier legen Sie fest, ob die Firewall standardmäßig aktiviert wird und ob ein- und ausgehende Verbindungen standardmäßig zugelassen oder blockiert werden.
Einstellungen Klicken Sie auf die Schaltfläche Anpassen der Gruppe Einstellungen, um festzulegen, ob Windows-Firewall eine Benachrichtigung anzeigt, wenn eingehende Verbindungen für ein Programm blockiert werden, ob Unicastantworten auf Multicast- oder Broadcastnachrichten zugelassen sind und ob die lokalen Firewall- und IPsec-Verbindungssicherheitsregeln mit den Gruppenrichtlinieneinstellungen zusammengeführt oder von diesen außer Kraft
gesetzt werden.
Protokollierung Klicken Sie auf die Schaltfläche Anpassen der Gruppe Protokollierung, wenn
Sie die Protokollierung von Firewallaktionen protokollieren möchten, zum Beispiel verworfene Pakete oder erfolgreiche Verbindungen. Standardmäßig ist die Protokollierung deaktiviert
und sollte auch deaktiviert bleiben, solange Sie keine Firewallprobleme beheben müssen.
5. Auf der Registerkarte IPsec-Einstellungen nehmen Sie Einstellungen in zwei Gruppen vor:
IPsec-Standardeinstellungen Klicken Sie auf die Schaltfläche Anpassen, um das Dialogfeld
IPsec-Einstellungen anpassen zu öffnen. In diesem Dialogfeld können Sie die Verschlüsselungstechnologie und die Schlüsselgültigkeitsdauer für den Hauptmodus und den Schnellmodus einstellen. Im Normalfall sind aber die Standardeinstellungen bereits optimal. Sie können
auch die Standardauthentifizierungsmethode ändern, wobei die gewählte Authentifizierungsmethode allerdings durch IPsec-Regeln außer Kraft gesetzt werden kann. Klicken Sie auf OK.
IPsec-Ausnahmen Legen Sie fest, ob der ICMP-Datenverkehr, wie er zum Beispiel von Ping
und Tracert generiert wird, für IPsec eine Ausnahme ist. Das kann für Systemadministratoren
von Nutzen sein, die einen Server anpingen möchten, der andernfalls eine IPsec-Authentifizierung verlangt.
Um mit einem Skript allgemeine Firewalleinstellungen vorzunehmen, wechseln Sie zuerst mit folgenden Befehlen in den netsh advfirewall-Kontext:
netsh
advfirewall
Dann legen Sie mit dem Befehl set store fest, ob Sie mit dem lokalen Speicher arbeiten (die Standardvorgabe) oder mit einem Active Directory-Gruppenrichtlinienobjekt. Die folgenden Befehle demonstrieren, wie Sie im netsh advfirewall-Kontext zwei verschiedene Speicher auswählen können:
set store local
set store gpo="contoso.com\IT"
Nach der Auswahl des Speichers stehen Ihnen viele Befehle zur Verfügung, mit denen Sie die allgemeinen Firewalleinstellungen festlegen können. In der folgenden Beschreibung steht Profil für
allprofiles, domainprofile, privateprofile oder publicprofile.
100
Im Kontext netsh advfirewall können Sie mit folgendem Befehl das Standardverhalten der Firewall
festlegen. Das ist nicht nur bei der Behebung von Problemen von Nutzen, sondern auch, wenn aus
bestimmten Gründen für eine bestimmte Zeit schärfere Regeln gelten sollen:
set Profil firewallpolicy eingehend,ausgehend
Beachten Sie bitte, dass auf das Komma kein Leerzeichen folgt. In diesem Befehl hat der Parameter
Profil einen der folgenden Werte:

allprofiles

domainprofile

privateprofile

publicprofile
Der Parameter eingehend hat einen der folgenden Werte:
blockinbound Blockiert alle eingehenden Verbindungen, die nicht zu einer eingehenden Regel
passen (die Standardeinstellung).
blockinboundalways Blockiert alle eingehenden Verbindungen, selbst wenn sie zu einer eingehenden Regel passen. Das kann sinnvoll sein, um für eine gewisse Zeit die Netzwerksicherheit
eines Computers zu erhöhen, wenn ein Computer zum Beispiel mit einem nicht vertrauenswürdigen Netzwerk verbunden wird und das öffentliche Profil Ausnahmen zulässt.
allowinbound Lässt eingehende Verbindungen zu, selbst wenn Sie keine passende Ausnahme
definiert haben. Das kann sinnvoll sein, um für eine gewisse Zeit Verbindungen mit jeder Anwendung zuzulassen und zu überprüfen, ob die Windows-Firewall-Einstellung zu Problemen führt.
notconfigured Versetzt die Windows-Firewall-Richtlinie in ihren Standardzustand, nachdem sie
mit einem der obigen Befehle verändert wurde.
Der Parameter ausgehend erhält einen der folgenden Werte:
allowoutbound Lässt auch ausgehende Verbindungen zu, die zu keiner ausgehenden Regel passen.
blockoutbound Blockiert alle ausgehenden Verbindungen, die nicht zu einer ausgehenden Regel
passen. Das kann sinnvoll sein, um Anwendungen für eine gewisse Zeit an der Kommunikation
im Netzwerk zu hindern.
notconfigured Versetzt die Windows-Firewall-Richtlinie in ihren Standardzustand, nachdem Sie
mit einem der obigen Befehle verändert wurde.
Der folgende Befehl bewirkt zum Beispiel, dass der gesamte ein- und ausgehende Datenverkehr unabhängig davon zugelassen wird, ob er zu einer Regel passt:
set allprofiles firewallpolicy allowinbound,allowoutbound
Und der folgende Befehl verleiht der Firewall wieder ihr Standardverhalten (allerdings gilt dies nur
bei einer Konfiguration im Gruppenrichtlinienobjektspeicher von Active Directory):
set allprofiles firewallpolicy notconfigured,notconfigured
Wenn Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit die Standardeinstellungen
wiederherstellen möchten, klicken Sie Windows-Firewall mit erweiterter Sicherheit mit der rechten
Maustaste an und klicken dann auf Wiederherstellen. Um die Standardeinstellungen mit einem Skript
wiederherzustellen, geben Sie folgenden Befehl:
netsh advfirewall reset
101
Weitere Informationen über die verfügbaren Befehle erhalten Sie, wenn Sie in einer Eingabeaufforderung den Befehl netsh advfirewall ? eingeben.
Festlegen der Standardregeln
Windows-Firewall umfasst ein- und ausgehende Standardregeln für Windows-Dienste und Anwendungen, die auf Netzwerkzugriff angewiesen sind. Wenn Sie zum Beispiel die Active Directory-Rolle
Domänencontroller hinzufügen, fügt Windows Server 2008 13 Regeln hinzu. Zusammen bilden diese
Regeln eine Regelgruppe wie in Abbildung 4.5.
Abbildung 4.5 Die Regelgruppe Active Directory-Domänendienste
So aktivieren und deaktivieren Sie Regeln
1. Wählen Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit den Knoten Eingehende
Regeln oder Ausgehende Regeln.
2. Klicken Sie die gewünschte Regel mit der rechten Maustaste an und klicken Sie dann auf Regel
aktivieren oder Regel deaktivieren.
Wenn Sie eine einzelne Regel mit Netsh aktivieren möchten, verwenden Sie folgende Syntax:
netsh advfirewall firewall set rule name="Regel" new enable=yes
Oder deaktivieren Sie eine Regel mit folgendem Befehl:
netsh advfirewall firewall set rule name="Regel" new enable=no
Der folgende Befehl aktiviert zum Beispiel die Regel BITS-Peercaching (RPC), die standardmäßig
deaktiviert ist:
netsh advfirewall firewall set rule name="BITS-Peercaching (RPC)" new enable=yes
Mit einem einzigen Netsh-Befehl können Sie eine ganze Regelgruppe aktivieren, wobei folgende
Syntax gilt:
netsh advfirewall firewall set rule group="RegelGruppe" new enable=yes
Oder deaktivieren Sie eine Regelgruppe mit folgendem Befehl:
netsh advfirewall firewall set rule group="RegelGruppe" new enable=no
102
Der folgende Befehl aktiviert zum Beispiel alle Regeln in der BITS-Peercaching-Gruppe, die standardmäßig deaktiviert ist:
netsh advfirewall firewall set rule group="BITS-Peercaching" new enable=yes
So ändern Sie die Konfiguration einer Regel
1. Wählen Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit den Knoten Eingehende
Regeln oder Ausgehende Regeln.
2. Klicken Sie die gewünschte Regel mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
3. Bearbeiten Sie die Einstellung der Regel:
So ändern Sie den Bereich Klicken Sie auf die Registerkarte Bereich, klicken Sie auf Diese
IP-Adressen und dann auf Hinzufügen, um Remote-IP-Adressen oder lokale IP-Adressen anzugeben.
So schreiben Sie IPsec vor Klicken Sie auf die Registerkarte Allgemein und dann auf Nur
sichere Verbindungen zulassen.
So lassen Sie nur Verbindungen von bestimmten Benutzern oder Computern zu Klicken Sie auf
die Registerkarte Benutzer und Computer und wählen Sie dann Nur Verbindungen von diesen
Computern zulassen oder klicken Sie auf Nur Verbindungen von diesen Benutzern zulassen.
Klicken Sie auf die Schaltfläche Hinzufügen, um die Benutzer oder Computer hinzuzufügen.
So erreichen Sie, dass die Regel für ein bestimmtes Profil gilt
Klicken Sie auf die Registerkarte
Erweitert, klicken Sie auf Diese Profile und wählen Sie dann die Profile aus, für die die Regel
gelten soll.
Hinzufügen neuer Regeln
Viele Anwendungen und Dienste konfigurieren die Firewallregeln automatisch nach Bedarf. Für andere Anwendungen müssen Sie manuell Ausnahmen festlegen, die eingehende Verbindungen zulassen, beispielsweise für Anwendungen, die für ältere Windows-Versionen entwickelt wurden.
So fügen Sie in den Gruppenrichtlinien eine Firewallausnahme hinzu
zur Verfügung steht. Diese Konsole ersetzt die Konsole IP-Sicherheitsrichtlinienverwaltung von Windows XP und Windows Server 2003.
Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit.
3. Klicken Sie entweder Eingehende Regeln (zur Filterung des von anderen Computern eingehenden
Datenverkehrs) oder Ausgehende Regeln (zur Filterung des ausgehenden Datenverkehrs der Anwendungen des Computers, auf dem das Gruppenrichtlinienobjekt wirkt) mit der rechten Maustaste an und klicken Sie dann auf Neue Regel.
Es öffnet sich der Assistent für neue eingehende Regeln oder der Assistent für neue ausgehende
Regeln.
103
4. Klicken Sie auf der Seite Regeltyp auf den Regeltyp, den Sie erstellen möchten, und dann auf
Weiter. Weitere Informationen über Regeltypen finden Sie im Abschnitt »Benutzerdefinierte Windows-Firewall-Regeln« dieses Kapitels.
5. Wenn die Seite Programm erscheint, klicken Sie auf Dieser Programmpfad und geben den Pfad
der ausführbaren Datei ein, für die die Regel gelten soll. Die Datei muss nicht zwangsläufig auf
dem Computer liegen, auf dem Sie die Gruppenrichtlinie konfigurieren, und die Gruppenrichtlinie
gilt nur, wenn es die Datei auf dem Computer gibt, der das Gruppenrichtlinienobjekt anwendet.
6. Wenn die Seite Protokolle und Ports erscheint, füllen Sie folgende Felder aus und dann auf
Weiter.
Protokolltyp Für die meisten Anwendungen sollten Sie entweder TCP oder UDP wählen. Sie
können auch seltener verwendete Protokolle wählen, falls die Anwendung sie erfordert. Wählen Sie Benutzerdefiniert, um Ihre eigene Protokollnummer einzugeben.
Protokollnummer Wird automatisch ausgefüllt, wenn Sie einen Protokolltyp wählen.
Lokaler Port und Remoteport Gilt nur für die Protokolltypen TCP und UDP. Für Firewallausnahmen, die für einen Server gemacht werden, wählen Sie im Feld Lokaler Port die Einstellung Bestimmte Ports und lassen die Einstellung Alle Ports im Feld Remoteport unverändert.
Für Firewallausnahmen, die nur für einen Client gelten, wählen Sie im Feld Remoteport die
Einstellung Bestimmte Ports und lassen die Einstellung Alle Ports im Feld Lokaler Port unverändert. Nach der Wahl der Einstellung Bestimmte Ports geben Sie die Portnummern ein,
jeweils durch ein Komma voneinander getrennt. Sofern die Anwendung es erfordert, wählen
Sie Dynamisches RPC oder RPC-Endpunktzuordnung (wird nur vom RPCSS-Dienst verwendet).
ICMP-Einstellungen Die Schaltfläche Anpassen wird nur aktiviert, wenn Sie die Protokolltypen ICMPv4 oder ICMPv6 wählen. Klicken Sie auf Anpassen, um bestimmte ICMP-Typen
auszuwählen, oder Sie übernehmen die Voreinstellung Alle ICMP-Typen und klicken dann auf
Weiter.
7. Wenn die Seite Bereich erscheint, übernehmen Sie die Standardeinstellungen, wenn Verbindungen
von und mit jeder IP-Adresse möglich sein sollen. Wenn Sie die Kommunikation auf bestimmte
IP-Adressen oder Netzwerke einschränken möchten, klicken Sie Diese IP-Adressen an, und zwar
unter den lokalen IP-Adressen, um die Computer anzugeben, die diese Regeln anwenden, oder unter den Remote-IP-Adressen, um die Server anzugeben, mit denen Clients kommunizieren. Dann
klicken Sie auf Hinzufügen, geben die IP-Adresse, das Netzwerk oder einen IP-Adressenbereich
ein und klicken dann auf OK. Klicken Sie auf Anpassen, wenn Sie festlegen möchten, ob die
Regel auf LAN-Schnittstellen, Remotezugriffsschnittstellen oder drahtlose Schnittstellen angewendet werden soll. Klicken Sie dann auf OK und anschließend auf Weiter.
8. Klicken Sie auf der Seite Aktion auf Verbindung zulassen, wenn Sie alle Verbindungen zulassen
möchten, die die auf den vorigen Seiten festgelegten Kriterien erfüllen. Wenn Sie nur IPsec-Kommunikation zulassen möchten, klicken Sie auf Verbindungen zulassen, wenn sie sicher ist und
legen fest, ob Verschlüsselung erforderlich ist. Wenn Sie Verbindungen blockieren wollen, die Ihre
Kriterien erfüllen, klicken Sie auf Verbindung blocken. Klicken Sie auf Weiter.
9. Wählen Sie auf der Seite Profil die Profile aus, in denen die Regel gelten soll, und klicken Sie
dann auf Weiter. Weitere Informationen finden Sie im Abschnitt »Windows-Firewall-Profile« dieses Kapitels.
104
10. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für die Regel ein und klicken
Sie dann auf Fertig stellen.
Nach der Definition einer Regel können Sie die Regel im Gruppenrichtlinienverwaltungs-Editor mit
einem Doppelklick anklicken, um ihre Eigenschaften zu bearbeiten. Clients wenden die Firewallregel
nach der nächsten Aktualisierung der Gruppenrichtlinieneinstellungen an.
IPsec-Verbindungssicherheitsregeln
IPsec-Verbindungssicherheitsregeln ermöglichen es Ihnen, für Verbindungen, die die von Ihnen angegebenen Kriterien erfüllen, IPsec vorzuschreiben. Die Kriterien ähneln den Kriterien, die zur Definition von Windows-Firewall-Filtern verwendet werden. Sie können zum Beispiel eine IP-Sicherheitsregel festlegen für:
den gesamten Datenverkehr von und zu IP-Adresse 10.4.22.17
den gesamten ICMP-Datenverkehr, der über das Standardgateway läuft
den Datenverkehr, der an TCP-Port 80 gesendet wird, mit Ausnahme des Datenverkehrs, der aus
dem internen Netzwerk stammt
alle ausgehenden Verbindungen mit Ausnahme von Verbindungen mit bestimmten Servern
Jeder Computer kann nur über eine IPsec-Richtlinie verfügen. Wenn für einen Computer mehrere
Gruppenrichtlinienobjekte gelten und jedes GPO mit anderen IPsec-Richtlinien versehen wurde, wird
nur die IPsec-Richtlinie des GPOs mit der höchsten Priorität angewendet.
Hinzufügen einer IPsec-Verbindungssicherheitsregel
Standardmäßig verfügen Windows Server 2008-Computer über eine einzige lokale IPsec-Richtlinie
namens Request Security. Diese Richtlinie versucht, für die gesamte Kommunikation eine IPsecAuthentifizierung und Verschlüsselung zu verwenden, greift aber auf eine ungeschützte Kommunikation zurück, wenn die IPSec-Aushandlungen fehlschlagen. Um Computer für eine Server- oder
Domänenisolation zu konfigurieren, müssen Sie zusätzliche Regeln erstellen.
So fügen Sie eine IPsec-Sicherheitsregel hinzu
zur Verfügung steht.
Windows-Firewall mit erweiterter Sicherheit\Windows-Firewall mit erweiterter Sicherheit. Dieser
Knoten dient zur Konfiguration von Computern, auf denen Windows Vista und Windows Server
2008 ausgeführt wird. Der Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\
Sicherheitseinstellungen\IP-Sicherheitsrichtlinien auf Active Directory dient zur Konfiguration
von Windows XP und früheren Windows-Versionen.
Hinweis Zur Konfiguration von IPsec auf einem einzelnen Computer öffnen Sie im Untermenü
Verwaltung des Start-Menüs die Konsole Windows-Firewall mit erweiterter Sicherheit.
3. Klicken Sie Verbindungssicherheitsregeln mit der rechten Maustaste an und klicken Sie dann auf
Neue Regel.
Der Assistent für neue Verbindungssicherheitsregel öffnet sich.
105
4. Wählen Sie auf der Seite Regeltyp den Regeltyp, wie im Abschnitt »IPsec-Regeltypen« dieses
Kapitels beschrieben. Klicken Sie auf Weiter.
5. Wenn die Seite Computer ausschließen erscheint, klicken Sie auf die Schaltfläche Hinzufügen.
Geben Sie die IP-Adresse, das Subnetz oder einen IP-Adressenbereich ein oder wählen Sie einen
der vordefinierten Computersätze. Klicken Sie dann auf OK. Sie können so viele Ausnahmen hinzufügen, wie erforderlich sind. Klicken Sie auf Weiter.
6. Wenn die Seite Endpunkte festlegen erscheint, wählen Sie die Computer aus, für die Sie die Server-zu-Server-Verbindung konfigurieren möchten. Damit eine Verbindung die Kriterien erfüllt,
muss der Client in einer Liste erscheinen (entweder Endpunkt 1 oder Endpunkt 2) und der Server
in der anderen Liste. Wenn der Server und der Client beide in der Liste Endpunkt 1 stehen, gilt die
Regel nicht für die Verbindung. Klicken Sie auf Weiter.
7. Wenn die Seite Tunnelendpunkte erscheint, klicken Sie auf die Schaltflächen Hinzufügen, um die
Computer an den beiden Enden des Tunnels festzulegen. Dann geben Sie die IP-Adressen des
lokalen Tunnelcomputers und des Remotetunnelcomputers ein. Ein IPsec-Tunnel muss an beiden
Enden der Verbindung definiert werden. Sie müssen also für jeden der Endpunkte eine Tunnelendpunktregel definieren. Ein Computer, der an einem Endpunkt als lokaler Computer vorgesehen
wird, ist am anderen Endpunkt der Remotecomputer, und umgekehrt. Daher sind am anderen Endpunkt die Einträge für Endpunkt 1 und Endpunkt 2 vertauscht. Klicken Sie auf Weiter. Weitere
Informationen finden Sie im Abschnitt »IPsec-Regeltypen« dieses Kapitels.
8. Wenn die Seite Anforderungen erscheint, wählen Sie, ob Sie für ein- und ausgehende Verbindungen eine Authentifizierung anfordern oder vorschreiben. Die Anforderung einer Authentifizierung
bietet keinen großen Sicherheitsvorteil, denn ein Angreifer könnte sich einfach dazu entschließen,
keine Authentifizierung durchzuführen. Allerdings bietet die Anforderung der Authentifizierung
eine Abwärtskompatibilität zu Clients, die IPsec nicht unterstützen oder nicht über die erforderlichen Anmeldeinformationen verfügen. Vorschreiben sollten Sie die Authentifizierung für eingehende Verbindungen nur dann, wenn alle autorisierten Clients IPsec unterstützen. Für ausgehende
Verbindungen sollten Sie nur dann die Authentifizierung vorschreiben, wenn alle Server, mit denen ein Client eine Verbindung herstellen könnte (in dem Profil, das Sie später im Assistenten
auswählen), IPsec unterstützen. Klicken Sie auf Weiter.
9. Wählen Sie auf der Seite Authentifizierungsmethode, ob die Computer mit einem Computerzertifikat oder mit einem vorinstallierten Schlüssel authentifiziert werden, wobei Sie vorinstallierte
Schlüssel nur in Testumgebungen verwenden sollten. Oder Sie wählen Erweitert und klicken dann
auf Anpassen, um mehrere Authentifizierungsmethoden auszuwählen. Klicken Sie auf Weiter.
10. Wählen Sie auf der Seite Profil die Profile aus, in denen die Regel gelten soll, und klicken Sie
dann auf Weiter. Weitere Informationen finden Sie im Abschnitt »Windows-Firewall-Profile« dieses Kapitels.
11. Geben Sie auf der Seite Name einen Namen und eine Beschreibung für die Regel ein und klicken
Sie dann auf Fertig stellen.
Nach der Definition einer Regel können Sie die Regel im Gruppenrichtlinienverwaltungs-Editor mit
der rechten Maustaste anklicken, um sie zu bearbeiten. Auf diese Weise können Sie auch nachträglich
festlegen, für welche Subnetze die Regel gelten soll, falls der Assistent Sie nicht zur Angabe dieser
Informationen aufgefordert hat.
Wenn Sie IPsec für ein bestimmtes Protokoll vorschreiben möchten, beispielsweise für Verbindungen
mit freigegebenen Dateien oder Druckern, bearbeiten Sie die Eigenschaften der entsprechenden ein-
106
gehenden Regel und legen auf der Seite Allgemein eine Aktion fest, wie unter der Überschrift »So
ändern Sie die Konfiguration einer Regel« in diesem Abschnitt beschrieben.
Konfigurieren der Domänenisolation
Zur Konfiguration einer Domänenisolation gehen Sie in einer Testumgebung so vor, wie in den folgenden Schritten beschrieben. Überprüfen Sie diese Schritte nach erfolgreichem Test mit unkritischen
Servern in einer Produktivumgebung. Wenn Sie IPsec vorschreiben, kann dies dazu führen, dass Computer keine Verbindung mehr herstellen können. IPsec vorzuschreiben kann bei falscher Einstellung
also dazu führen, dass wichtige Netzwerkanwendungen nicht mehr zugänglich sind.
1. Befolgen Sie die unter »So nehmen Sie die allgemeinen Firewalleinstellungen vor« beschriebenen
Schritte, um die IPsec-Standardauthentifizierung und Verschlüsselung zu konfigurieren. Verwenden Sie dazu die Registerkarte IPsec-Einstellungen des Eigenschaftendialogfelds Windows-Firewall mit erweiterter Sicherheit. Standardmäßig wird nur eine Computerauthentifizierung mit Kerberos V5 durchgeführt. In Domänenumgebungen geschieht dies automatisch. Zur Verbesserung
der Sicherheit können Sie eine Computer- und Benutzerauthentifizierung wählen.
2. Befolgen Sie die in diesem Kapitel bereits unter »Hinzufügen einer IPsec-Verbindungssicherheitsregel« beschriebenen Schritte, um eine Verbindungssicherheitsregel zu Ihrem Standard-Domänengruppenrichtlinienobjekt hinzuzufügen, die IPsec anfordert, aber nicht vorschreibt.
3. Überwachen Sie die Computer und überprüfen Sie, ob die Verbindungen mit IPsec erfolgreich
hergestellt werden und dass sowohl die Authentifizierung als auch die Verschlüsselung korrekt erfolgt. Weitere Informationen finden Sie weiter unten im Kapitel im Abschnitt »Wartung«. Notieren Sie sich, welche Computer Zugriff auf Ressourcen brauchen, aber mit IPsec keine Verbindung
herstellen können.
4. Fügen Sie mit den im Abschnitt »Hinzufügen einer IPsec-Verbindungssicherheitsregel« dieses
Kapitels beschriebenen Schritten Verbindungssicherheitsregeln hinzu, die Ausnahmen für die
Computer vorsehen, die IPsec nicht unterstützen. Gehen Sie bei der Festlegung dieser Regeln so
genau wie möglich vor, damit die Ausnahmen nur für eine beschränkte Anzahl von Computern
gelten und ihnen nur den geringstmöglichen Zugriff auf die Ressourcen ermöglichen. Wählen Sie
auf der Seite Regeltyp des Assistenten für neue Verbindungssicherheitsregeln den Typ Authentifizierungsausnahme. Geben Sie auf der Seite Computer ausschließen die IP-Adressen der Computer an, für die eine Ausnahme gemacht werden soll. Bearbeiten Sie nach dem Abschluss des Assistenten die Eigenschaften der Regel und wählen Sie die Registerkarte Computer. Wenn Sie den
Zugriff der Ausnahmecomputer auf bestimmte Ressourcen beschränken können, geben Sie die
IP-Adressen dieser Ressourcen in der Gruppe Endpunkt 1 an. (Die Liste der Computer, für die
Ausnahmen festgelegt werden, erscheint in der Gruppe Endpunkt 2.)
5. Erstellen Sie ein neues Gruppenrichtlinienobjekt, das nur für Computer aus einer Pilotgruppe gilt,
und fügen Sie dann mit den im Abschnitt »Hinzufügen einer IPsec-Verbindungssicherheitsregel«
dieses Kapitels beschriebenen Schritten eine Verbindungssicherheitsregel hinzu, die IPsec vorschreibt. Wählen Sie auf der Seite Regeltyp den Typ Isolierung. Auf der Seite Anforderungen wählen Sie Authentifizierung ist für eingehende und ausgehende Verbindungen erforderlich. Für Server funktionieren die Standardeinstellungen auf den anderen Seiten des Assistenten gewöhnlich
in den meisten Umgebungen. Damit Mobilcomputer Verbindungen zu Ressourcen aus anderen
Netzwerken herstellen können, könnten Sie diese Regel auf das Domänenprofil beschränken.
6. Überwachen Sie die Computer aus der Pilotgruppe und überprüfen Sie, ob die Computer erfolgreich auf Netzwerkressourcen zugreifen können und ob die Verbindungen mit IPsec erfolgen.
107
7. Weiten Sie den Gültigkeitsbereich des IPsec-Pilot-Gruppenrichtlinienobjekts nach und nach aus,
sodass immer mehr Computer IPsec voraussetzen. Zum Schluss sollten alle Computer aus Ihrer
Domäne Verbindungen mit IPsec schützen.
Arbeiten Sie eng mit den zuständigen IT-Gruppen zusammen, damit die Gruppen über die Änderungen informiert sind und wissen, wie man Verbindungssicherheitsregeln testet und ändert, falls Verbindungsprobleme auftreten. Wenn ein Supportmitarbeiter Änderungen vornehmen muss, um Verbindungen zu ermöglichen, überprüfen Sie die Änderungen auf ihre Auswirkungen auf die Sicherheit.
Konfigurieren der Serverisolation
Die Serverisolation erfolgt so ähnlich wie die Domänenisolation. Obwohl aber alle Clientcomputer so
konfiguriert werden sollten, dass sie die Sicherheitsmaßnahmen unterstützen, müssen nur die zu
schützenden Server so eingestellt werden, dass sie für eingehende Verbindungen IPsec vorschreiben.
Wie bei der Domänenisolation können Sie Ausnahmen festlegen, bevor Sie IPsec vorschreiben.
Während bei der Domänenisolation zwangsläufig eine Kerberos V5-Authentifizierung stattfindet,
lässt sich bei der Serverisolation entweder die Authentifizierung mit Kerberos V5 verwenden (falls
alle Computer oder Benutzer Mitglieder derselben Gesamtstruktur sind) oder mit Computerzertifikaten (falls nicht alle Computer Domänenmitglieder sind). Wenn Sie Computerzertifikate verwenden,
müssen Sie entweder:
Zertifikate von einer öffentlichen Zertifizierungsstelle kaufen Zertifikate von einer öffentlichen Zertifizierungsstelle, denen Windows bei einer IPsec-Verbindung standardmäßig vertraut, sind ideal für
die Kommunikation mit Partnern, die nicht zur Organisation gehören. Auch die Clientcomputer
brauchen Zertifikate.
Zertifikate mit einer internen Zertifizierungsstelle erstellen Mit einer internen Zertifizierungsstelle,
wie sie sich zum Beispiel mit den Active Directory-Zertifikatdiensten von Windows Server 2008
einrichten lässt, können Sie Ihre eigenen Zertifikate ausstellen. Sie müssen Server und Clients mit
Computerzertifikaten ausstatten. Alle Computer müssen Ihrer Zertifizierungsstelle vertrauen.
Konfigurieren einer Ausnahme für ICMP
Administratoren verwenden oft ICMP, um Server anzupingen und auf diese Weise herauszufinden, ob
die Server online sind oder nicht. Falls ein Problem mit IPsec verhindert, dass ein Administrator eine
Verbindung mit einem Server herstellen kann, wird auch das Programm Ping keine Verbindung herstellen können. Das wiederum könnte den Administrator zu dem falschen Schluss verleiten, der Server sei offline.
Wie bei allen anderen Ausnahmen ist auch die Definition einer Ausnahme für ICMP mit einem
Sicherheitsrisiko verbunden. Angreifer können ICMP verwenden, um eine Übersichtskarte über Ihr
Netzwerk zu erstellen oder um einen DoS-Angriff (Denial-of-Service) gegen Computer zu starten.
So konfigurieren Sie eine IPsec-Ausnahme für ICMP
1. Klicken Sie in der Konsole Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste auf den Knoten Windows-Firewall mit erweiterter Sicherheit und klicken Sie dann auf
Eigenschaften.
2. Klicken Sie auf die Registerkarte IPsec-Einstellungen.
3. Klicken Sie auf die Dropdownliste ICMP aus IPsec ausschließen, klicken Sie auf Ja und dann auf
OK.
108
Wartung
Folgende Wartungsarbeiten fallen für Windows-Firewall an:
Anpassen eingehender Filterregeln, wenn neue Serveranwendungen installiert werden. Weitere
Informationen finden Sie im Abschnitt »Hinzufügen neuer Regeln« dieses Kapitels.
Hinzufügen von Verbindungssicherheitsregeln, um Ausnahmen für neue Computer und Netzwerke
einzurichten, die Zugang zu Netzwerkressourcen brauchen, aber IPsec nicht unterstützen können.
Weitere Informationen finden Sie im Abschnitt »IPsec-Verbindungssicherheitsregeln« dieses Kapitels.
Aktualisieren von Regeln, wenn sich IP-Adressen ändern. Zu diesem Zweck können in der Konsole Windows-Firewall mit erweiterter Sicherheit die Eigenschaften einer Regel bearbeitet werden.
Entfernen von Ausnahmen (oder Erweitern des Gültigkeitsbereichs von vorhandenen Regeln),
wenn Computer auf ein Betriebssystem umgestellt werden, das IPsec unterstützt.
Da sich Änderungen in Windows-Firewall auf die Sicherheit auswirken können, sollten alle Änderungen nach dem MOF-Standardverwaltungsprozess (MOF steht für Microsoft Operations Framework)
durchgeführt werden, wie folgt:
Anfordern einer Änderung Formale Einleitung einer Änderung durch die Eingabe eines schriftlichen Änderungsvorschlags.
Klassifizieren der Änderung Zuweisen einer Priorität und Kategorie anhand der Dringlichkeit und
Bedeutung der Änderung für die Infrastruktur oder für Benutzer. Diese Klassifizierung wirkt sich
auf die Geschwindigkeit und Durchführung der Umsetzung aus.
Autorisieren der Änderung
Prüfung, ob die Änderung zugelassen werden soll. Dabei werden mögliche negative Auswirkungen berücksichtigt, zum Beispiel auf die Funktionsfähigkeit von Anwendungen, die Netzwerkleistung und auf Sicherheitsrisiken.
Entwickeln der Änderung
Planen der Änderung einschließlich der Testreihen in einer Testumgebung und die Entscheidung, ob die neuen Regeln sofort auf allen Computern wirksam werden
sollen oder zuvor in einer Pilotgruppe überprüft werden.
Freigeben der Änderung Die Freigabe und Bereitstellung der Änderung in der Produktivumgebung.
Prüfen der Änderung Ein Vorgang nach der Implementierung, bei dem überprüft wird, ob die Änderungen zu den gewünschten Ergebnissen geführt haben und ob sie dauerhaft übernommen oder
rückgängig gemacht werden sollen. Insbesondere sollten Sie überprüfen, ob die IPsec-Regeln
immer noch durchgesetzt werden und nicht versehentlich Ausnahmen für IPsec-fähige Computer
eingeführt wurden.
Weitere Informationen über MOF finden Sie in »Microsoft Operations Framework Process Model for
Operations« unter http://www.microsoft.com/downloads/details.aspx?FamilyID=e0807633-268945fa-8d48-1b5b383afc00.
Problembehandlung
Windows-Firewall-Probleme zeigen sich gewöhnlich in der Form, dass bestimmte Verbindungen nicht
zustande kommen. Anders gesagt, ein Benutzer ist vielleicht nicht in der Lage, eine Verbindung mit
einem Server herzustellen. Leider kann es viele Ursachen dafür geben, dass keine Verbindung zustan-
Problembehandlung
109
de kommt. Überprüfen Sie daher bei der Behebung von Verbindungsproblemen zuerst, ob WindowsFirewall die Ursache ist.
Insbesondere bei der ersten Einführung von IPsec nehmen viele Administratoren an, dass die Ursache
für allgemeine Verbindungsprobleme bei IPsec zu suchen ist. Wenn Sie eine ICMP-Ausnahme eingerichtet haben (wie im Abschnitt »Konfigurieren einer Ausnahme für ICMP« dieses Kapitels beschrieben), können Sie den Client und den Server anpingen, um die Verbindung zu überprüfen. Überprüfen
Sie dann mit den Überwachungsfunktionen von Windows-Firewall mit erweiterter Sicherheit, ob zwischen Client und Server eine Sicherheitsassoziation aktiv ist, wie es im weiteren Verlauf dieses Abschnitts unter »Überwachen von IPsec-Sicherheitsassoziationen« beschrieben wird. Um zu überprüfen,
ob es sich um ein anwendungsspezifisches Problem handelt, können Sie vom Client aus mit verschiedenen Protokollen versuchen, Verbindungen mit dem Server herzustellen. Greifen Sie zum Beispiel
auf einen freigegebenen Ordner zu oder versuchen Sie, eine Verbindung zu einem Webserver herzustellen.
Auch eingehende Windows-Firewall-Regeln können zu Verbindungsproblemen führen. Überprüfen
Sie zuerst, ob andere Clients Verbindungen mit dem Server herstellen können. Wenn andere Clients
eine Verbindung herstellen können, hat das Problem meistens eine der folgenden Ursachen:
Es gibt ein allgemeines Verbindungsproblem mit dem Client. Überprüfen Sie, ob der Client eine Verbindung mit anderen Netzwerkressourcen herstellen kann und den Namen des Hostservers korrekt
auflöst. Weitere Informationen über die Behebung von Problemen mit der Namensauflösung erhalten Sie in Kapitel 7, »DNS«.
Für den Client gilt eine ausgehende Regel, die den Datenverkehr blockiert. Windows-Firewall erlaubt
zwar standardmäßig jeden ausgehenden Datenverkehr, aber ausgehende Regeln können den Datenverkehr einer Anwendung blockieren. Überprüfen Sie, ob für die Anwendung, deren Übertragungsprobleme Sie beheben wollen, entsprechende ausgehende Regeln gelten.
Die Anwendung wurde falsch konfiguriert. Auf dem Client wurde vielleicht der falsche Servername
oder die falsche IP-Adresse für den Server eingestellt. Vielleicht wurde für die Clientanwendung
auch eine falsche Portnummer eingestellt. Überprüfen Sie, ob die Anwendung korrekt konfiguriert
wurde.
Wenn keine Clients eine Verbindung mit dem Server herstellen können, beginnen Sie beim Server mit
der Fehlersuche. Häufig liegt eines der folgenden Probleme vor:
Der Server kann gar keine Verbindungen herstellen. Überprüfen Sie, ob der Server Verbindungen
mit anderen Netzwerkressourcen herstellen kann.
DNS ist falsch konfiguriert. Wenn im DNS-System kein Ressourcendatensatz vorhanden ist oder
die IP-Adresse falsch ist, können Clients keine Verbindung mit dem Server aufnehmen. Weitere
Informationen über die Lösung von DNS-Problemen finden Sie in Kapitel 7.
IPsec-Regeln schreiben die Verwendung von IPsec vor. Überprüfen Sie, ob die Clients IPsec unterstützen oder ob für die Clients entsprechende Ausnahmen eingerichtet wurden.
Der Dienst wurde falsch konfiguriert.
Vielleicht wurde eine vom Standard abweichende IP-Adresse
oder ein unüblicher Port für den Dienst eingestellt.
Die Authentifizierung schlägt fehl. Viele Serveranwendungen erfordern eine Clientauthentifizierung. Überprüfen Sie in den Ereignisprotokollen der Anwendung, ob Authentifizierungsversuche
fehlgeschlagen sind.
Es gibt keine passende Windows-Firewall-Ausnahme. Wenn die bisher beschriebenen Probleme
nicht zutreffen, überprüfen Sie, ob es eine Windows-Firewall-Ausnahme gibt, die auf dem Server
eingehenden Datenverkehr zulässt.
110
Die folgenden Abschnitte beschreiben die Verwendung des Network Monitors zur Überprüfung der
Funktion von IPsec und die Protokollierung der Windows-Firewall-Aktivitäten. Damit können Sie
zum Beispiel überprüfen, ob eingehende Verbindungsversuche abgelehnt werden.
Windows-Firewall-Protokollierung
Wenn Sie vermuten, dass Windows-Firewall wichtige Verbindungen blockiert oder andere Verbindungen nicht blockiert, für deren Sperrung Sie Filter konfiguriert haben, können Sie sich auf zwei verschiedene Arten den Datenverkehr genauer ansehen, den Windows-Firewall filtert:
Aktivieren der Protokollierung in der Datei Pfirewall.log. Protokolliert die Windows-Firewall-Aktivitäten in einer Textdatei.
Aktivieren der Überwachung im Sicherheitsereignisprotokoll. Protokolliert die Windows-FirewallAktivitäten im Sicherheitsereignisprotokoll, das in der Ereignisanzeige eingesehen werden kann.
So aktivieren Sie die Windows-Firewall-Protokollierung
1. Öffnen Sie die Konsole Windows-Firewall mit erweiterter Sicherheit, die im Untermenü Verwaltung des Start-Menüs zu finden ist. Sie können die Protokollierung auch im Gruppenrichtlinienverwaltungs-Editor mit einem Gruppenrichtlinienobjekt aktivieren.
2. Klicken Sie den Knoten Windows-Firewall mit erweiterter Sicherheit mit der rechten Maustaste
an und klicken Sie dann auf Eigenschaften.
3. Klicken Sie je nach dem Profil, in dem Sie die Protokollierung aktivieren möchten, auf die Registerkarte Domänenprofil, Privates Profil oder Öffentliches Profil.
4. Klicken Sie in der Gruppe Protokollierung auf die Schaltfläche Anpassen.
Das Dialogfeld Protokollierungseinstellungen für <Profilname> anpassen öffnet sich.
5. Geben Sie einen Namen für die Protokolldatei ein oder übernehmen Sie den Standardpfadnamen
%SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log.
6. Legen Sie die gewünschte Obergrenze für die Größe der Protokolldatei fest. Vorgeschlagen wird
das Standardgrößenlimit 4 MB (4096 KB).
7. Wenn Sie die Pakete protokollieren möchten, die Windows-Firewall verwirft, klicken Sie auf die
Dropdownliste Verworfene Pakete protokollieren und dann auf Ja.
8. Um die Verbindungen zu protokollieren, die Windows-Firewall zulässt, weil eine entsprechende
Ausnahme definiert wurde, klicken Sie auf die Dropdownliste Erfolgreiche Verbindungen protokollieren und dann auf Ja.
9. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK.
Sie können die Protokollierung auch mit folgenden Befehlen aktivieren:
REM Wechsel in den Kontext "netsh firewall".
netsh
advfirewall
REM Die folgenden Befehle werden im Kontext "netsh firewall" ausgeführt.
set logging connections=enable
set logging droppedpackets=enable
set logging filelocation="Pfadname"
Versuchen Sie bei aktivierter Protokollierung, das Problem zu reproduzieren, das Sie beheben möchten. Anschließend wiederholen Sie die Schritte, die zum Aktivieren der Protokollierung erforderlich
waren, wobei Sie diesmal aber die Protokollierung wieder deaktivieren. Lassen Sie die Protokollie-
Problembehandlung
111
rung nicht eingeschaltet, wenn Sie die Daten nicht brauchen, weil sich die Protokollierung negativ auf
die Systemleistung auswirken kann. Mit einem Skript können Sie die Protokollierung folgendermaßen
deaktivieren:
REM Wechsel in den Kontext "netsh firewall".
netsh
advfirewall
REM Die folgenden Befehle werden im Kontext "netsh firewall" ausgeführt.
set logging connections=disable
set logging droppedpackets=disable
Wenn Sie sich die erfassten Daten ansehen möchten, öffnen Sie die Datei %SystemRoot%\System32\
LogFiles\Firewall\Pfirewall.log (oder die Datei, die Sie festgelegt haben) im Editor (notepad.exe)
oder in einem anderen Texteditor. Wie aus Abbildung 4.6 hervorgeht, beginnt die Protokolldatei mit
einer Liste der Felder, die aufgezeichnet werden. Jede Zeile mit der Aktion ALLOW weist auf eine
erfolgreiche Verbindung hin und jede Zeile mit der Aktion DROP auf ein verworfenes Paket.
Abbildung 4.6 Die Protokolldatei Pfirewall.log
So aktivieren Sie die Windows-Firewall-Sicherheitsüberwachung
1. Um die Pakete zu protokollieren, die Windows-Firewall verwirft, geben Sie in einer Eingabeaufforderung folgenden Befehl:
auditpol /set /subcategory:"Filterplattform: Verworfene Pakete" /failure:enable
2. Um die Verbindungen zu protokollieren, die Windows-Firewall zulässt, weil eine entsprechende
Ausnahme definiert wurde, geben Sie in einer Eingabeaufforderung folgenden Befehl:
auditpol /set /subcategory:"Filterplattformverbindung"
3. Versuchen Sie bei aktivierter Protokollierung, das Problem zu reproduzieren, das Sie beheben
möchten.
4. Wenn Sie die Protokollierung von verworfenen Paketen oder erfolgreichen Verbindungen aktiviert
haben, deaktivieren Sie die Protokollierung nun, indem Sie in einer Eingabeaufforderung folgenden Befehl geben:
auditpol /clear
Vermeiden Sie es, die Protokollierung aktiviert zu lassen, weil sich daraus umfangreiche Aktivitäten
ergeben können, die sich negativ auf die Systemleistung auswirken.
112
Sie können die Protokolldatei einsehen, indem Sie im Server-Manager das Protokoll Diagnose\Ereignisanzeige\Windows-Protokolle/Sicherheit öffnen. Firewallereignisse gehören zur Aufgabenkategorie Filterplattform: Verworfene Pakete oder Filterplattformverbindung. Wie Abbildung 4.7 zeigt,
werden unter anderem die Quell- und Ziel-IP-Adressen sowie die Portnummern (Anschlussnummern)
erfasst.
Abbildung 4.7 Ein verworfenes Paket wurde im Sicherheitsereignisprotokoll protokolliert
Überwachen von IPsec-Sicherheitsassoziationen
Mit der Konsole Windows-Firewall mit erweiterter Sicherheit können Sie aktive IPsec-Sitzungen
überwachen. Wählen Sie in der Konsole den Knoten Überwachung\Sicherheitszuordnungen\Hauptmodus oder den Knoten Überwachung\Sicherheitszuordnungen\Schnellmodus. Unter jedem Knoten
werden aktive Sicherheitszuordnungen angezeigt, einschließlich der IP-Adressen, Authentifizierungsmethode und Verschlüsselungsmethode.
Verwenden des Network Monitors
Der Microsoft Network Monitor ist ein Protokollanalysator (solche Programme werden auch Sniffer
genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten aufzeichnen
und untersuchen, einschließlich der IPsec-Kommunikation. Mit dem Network Monitor können Sie
zwar keine von IPsec verschlüsselten Inhalte lesen, aber Sie können überprüfen, ob IPsec verwendet
wird und ob die Daten verschlüsselt werden.
Wenn Sie den Network Monitor herunterladen möchten, besuchen Sie http://www.microsoft.com/
downloads/ und suchen nach »Network Monitor«. Im Hilfesystem des Programms finden Sie ausführ-
113
liche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen
und analysieren kann.
Auf der CD Sie erreichen die Downloadwebsite für den Network Monitor auch über einen Link, den Sie
auf der Begleit-CD dieses Buchs finden.
Windows-Firewall verfügt über zwei Leistungsbereiche, die eng miteinander verknüpft sind:
Paketfilterung Windows-Firewall kann selektiv ein- und ausgehende Netzwerkkommunikation
zulassen oder blockieren. Diese Fähigkeit gibt Administratoren die Kontrolle darüber, mit welchen Diensten auf einem Server welche Netzwerke Verbindungen herstellen können und welche
Anwendungen ausgehende Verbindungen aufnehmen dürfen. Für viele Organisationen reichen die
Standardeinstellungen aus. Organisationen mit strengeren Sicherheitsanforderungen können mit
Windows-Firewall auch sehr genau kontrollieren, welche Netzwerke welche Dienste verwenden
dürfen.
IPsec-Verbindungssicherheit IPsec kann für verschiedene Anwendungen und Netzwerke Authentifizierung und Verschlüsselung anfordern oder vorschreiben. Damit können Sie eine Domänenisolation implementieren, bei der Computer, die Mitglieder einer Domäne sind, nur Verbindungen
von anderen Computern oder Benutzern akzeptieren, die ebenfalls Mitglieder der Domäne sind.
Die Serverisolation bietet eine ähnliche Einschränkung der Zugriffsrechte auf Serverbasis. Natürlich können Sie für Computer, die zwar auf Verbindungen angewiesen sind, aber IPsec nicht unterstützen, auch Ausnahmen definieren.
Bei der Implementierung einer Sicherheitsfunktion sollten Sie die Vorteile und die Kosten gegeneinander abwägen. Eine Änderung der Standardeinstellungen von Windows-Firewall kann das Risiko
deutlich verringern, das durch viele Arten von Netzwerkangriffen besteht. Allerdings können diese
hochgesteckten Sicherheitsanforderungen auch zu unerwarteten Verbindungsproblemen führen und
die Behebung von Fehlern erschweren. Ein gründlicher Test, der vor der Bereitstellung in einer Testumgebung erfolgt, sorgfältige Wartungsprozeduren und effiziente Verfahrensweisen zur Behebung
von Problemen können die Kosten deutlich reduzieren.
In folgenden Dokumenten finden Sie weitere Informationen über die Planung des Einsatzes, die Bereitstellung und Wartung von Windows-Firewall:
»Server and Domain Isolation« (http://www.microsoft.com/sdisolation)
»Server and Domain Isolation Using IPsec and Group Policy« (http://www.microsoft.com/technet/
security/guidance/architectureanddesign/ipsec/)
»HOWTO: Leverage Group Policies with WMI Filters« (http://support.microsoft.com/kb/555253)
»Microsoft Operations Framework Process Model for Operations« (http://www.microsoft.com/
downloads/details.aspx?FamilyID=e0807633-2689-45fa-8d48-1b5b383afc00)
115
K A P I T E L
5
QoS auf Richtlinienbasis
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
115
121
126
132
134
138
139
Dieses Kapitel beschreibt, wie man QoS (Quality of Service) in Windows Server 2008 konzipiert, bereitstellt, wartet und Probleme behebt.
In diesem Kapitel wird vorausgesetzt, dass Sie:
die Bedeutung der Gruppenrichtlinien und von Active Directory für die Verwaltung von Microsoft
Windows-Computern verstehen.
wissen, was Router für Ihre Netzwerkinfrastruktur bedeuten und wie man sie verwaltet.
Konzepte
In einer Zeit, in der mehr und mehr Menschen und Organisationen dazu übergehen, Echtzeitnetzdienste zu verwenden, wie zum Beispiel VoIP (Voice over Internet Protocol), Multimediastreaming
oder Videokonferenzen, werden die Auswirken von Leistungsproblemen im Netzwerk immer deutlicher. Vor zehn Jahren hätte eine schwache Netzwerkleistung nur dazu geführt, dass sich eine Webseite etwas langsamer öffnet. Heutzutage kann sie bedeuten, dass der Telefondienst unbrauchbar ist,
dass wichtige Videokonferenzen unterbrochen oder Finanztransaktionen nicht abgeschlossen werden.
Einfach nur auf schnellere Netzwerkhardware zu wechseln, löst nicht alle Leistungsprobleme. Viele
Netzwerke sind so aufgebaut, dass zum Beispiel die Übertragung einer einzigen großen Datei dazu
führen kann, dass der größte Teil der Bandbreite für diese Datei verwendet wird und alle Echtzeitdienste darunter leiden. QoS (Quality of Service) bedeutet zum Beispiel, dass Server, Clients und die
Netzwerkinfrastruktur zusammenarbeiten, um die Übertragungen nach bestimmten Prioritäten durchzuführen. Mit QoS können zum Beispiel Telefonanrufe und andere Echtzeitkommunikation Vorrang
vor Dateiübertragungen, E-Mail, Webbrowsern und anderen Übertragungen mit nachrangiger Priorität
erhalten.
Die Ursachen von Netzwerkleistungsproblemen
Zu den Eigenschaften und Verhaltensweisen eines Netzwerks, die zu Leistungsproblemen führen
können, gehören Verzögerungszeiten, unregelmäßige Übertragungen (»Jitter«), Zustellung in falscher
116
Kapitel 5: QoS auf Richtlinienbasis
Paketreihenfolge und verlorene Pakete. Die folgenden Abschnitte beschreiben diese Bedingungen
etwas ausführlicher.
Verzögerungszeit
Mit Verzögerung- oder Latenzzeit ist eine Verzögerung bei der Übertragung eines Datenpakets gemeint. Sie gibt an, wie lange es dauert, bis ein Paket sein Ziel erreicht, und wird gewöhnlich in Millisekunden (ms) gemessen. Bei der Planung für QoS ist die Rundwegverzögerungszeit die wichtigste
Maßzahl, weil sie die größte Auswirkung auf Echtzeitkommunikation hat, die in beide Richtungen
erfolgt, wie zum Beispiel VoIP. Mit Rundwegverzögerungszeit (round-trip latency) ist die Zeit gemeint, die für die Übertragung eines Datenpakets an einen Remotehost bis zum Eintreffen der Antwort vom Remotehost erforderlich ist.
Verzögerungszeiten haben verschiedene Ursachen:
Weiterleitungsverzögerung Wenn ein Router ein Paket bearbeitet und von einem Netzwerk ins
nächste überstellt, gibt es gewöhnlich eine unbedeutende Verzögerung von ein bis zwei Millisekunden. Gehen die Daten aber schneller beim Router ein, als er sie ins Zielnetzwerk weiterleiten
kann, weil er zum Beispiel Daten mit 5 MBit/s (Megabit pro Sekunde) erhält und sie an eine
Schnittstelle weiterleiten muss, die nur 1,54 MBit/s unterstützt, muss der Router die Pakete in
eine Warteschlange stellen. Dadurch ergeben sich zusätzliche Verzögerungszeiten.
Ausbreitungsverzögerung Die Übertragung der elektrischen Signale erfolgt zwar sehr schnell,
aber mit endlicher Geschwindigkeit. In den meisten Kupfer- oder Glasfasernetzen breiten sich die
Signale mit ungefähr 2/3 der Lichtgeschwindigkeit aus, also ungefähr mit 200.000 Kilometer pro
Sekunde. In lokalen Netzwerken ist diese Ausbreitungsverzögerung für alle praktischen Zwecke
vernachlässigbar. Geht die Übertragung aber auf die andere Seite der Erde, dauert sie etwa 100 ms
(die Kabel folgen gewöhnlich nicht der kürzesten Verbindung zwischen Absender und Empfänger). Erfolgt die Kommunikation über Satellit, treten Verzögerungszeiten von ungefähr 500 ms
auf, wodurch die Verbindung in den meisten Fällen nicht mehr für VoIP zu gebrauchen ist. Virtuelle private Netzwerke haben häufig die Nebenwirkung, dass die Netzwerkkommunikation auf
einem extrem ineffizienten Pfad zwischen Quelle und Ziel erfolgt, was eine höhere Ausbreitungsverzögerung nach sich zieht.
Hostbearbeitungsverzögerung Gehört ein eintreffendes Datenpaket zu einer VoIP- oder Streamingmedienkommunikation, speichert das Betriebssystem oder die Anwendung das Paket in
einem Jitterpuffer, um die Auswirkungen kurzfristiger Übertragungsschwankungen und falscher
Paketreihenfolgen aufzufangen. Jitterpuffer werden zwar unterschiedlich implementiert, aber gewöhnlich werden die Pakete etwa 20 bis 200 ms zwischengespeichert, wodurch sich die Verzögerungszeit vergrößert. Wenn die Pakete hinreichend lange im Jitterpuffer zwischengespeichert wurden, muss die Anwendung die Daten aus den Paketen verarbeiten. Je nach der Geschwindigkeit
des Computers und des Anteils an der Rechenzeit, den die Netzwerkanwendung erhält, ergeben
sich daraus zusätzliche Bearbeitungsverzögerungen.
Jitter
Mit Jitter sind Schwankungen in den Verzögerungszeiten gemeint. Wenn zum Beispiel ein unidirektionaler Videodatenstrom mit einer Anfangsverzögerung von 10 ms beginnt, können sich die Bedingungen im Netzwerk plötzlich ändern, sodass sich eine Verzögerung von 100 ms ergibt. Um die Auswirkungen solcher Schwankungen aufzufangen, verwenden die entsprechenden Programme Jitterpuffer. Je höher die Schwankungen sind, desto länger müssen die Daten im Jitterpuffer verbleiben.
Dadurch ergibt sich für die gesamte Kommunikation eine höhere Verzögerungszeit.
Konzepte
117
Zustellung in falscher Reihenfolge
In IP-Netzwerken kann es geschehen, dass zwei aufeinanderfolgende Pakete auf zwei verschiedenen
Wegen vom Empfänger zum Ziel geleitet werden. Das kann zur Folge haben, dass die Pakete in der
falschen Reihenfolge am Ziel eintreffen. Das TCP (Transmission Control Protocol) löst dieses Problem automatisch, indem es auf das fehlende Paket wartet und die Pakete in der richtigen Reihenfolge
weitergibt. Bei Dateiübertragungen und vielen anderen Kommunikationsarten ergeben sich durch die
Zustellung von Paketen in der falschen Reihenfolge keine weiteren Probleme. Bei der Echtzeitkommunikation wie VoIP oder bei Streamingmedien (sie verwenden gewöhnlich UDP, User Datagram
Protocol) ist ein Paket, das außer der Reihe und nach Ablauf der Wartezeit im Jitterpuffer eintrifft,
nutzlos und wird vom Clientcomputer verworfen.
Verworfene Pakete
Router verwerfen normalerweise nur dann Datenpakete, wenn die Warteschlange des Routers voll ist
und keine weiteren Pakete mehr aufnehmen kann. Gehen auf diese Weise TCP-Datenpakete verloren,
kann dies die Netzwerkbelastung zusätzlich erhöhen, weil die verworfenen Pakete noch einmal übertragen werden müssen.
So kann QoS Abhilfe schaffen
QoS kann auf verschiedene Weise die Auswirkungen von Netzwerkproblemen auf Übertragungen mit
hoher Priorität verringern:
Verringern der Verzögerungszeiten
Standardmäßig leiten Router den Datenverkehr auf FIFO-Basis
(First-In, First-Out) weiter. Mit QoS können Router einen DSCP-Wert (Differentiated Services
Code Point) verwenden, um Daten hoher Priorität selbst dann vor den Daten niedrigerer Priorität
zu übertragen, wenn die höher priorisierten Daten zuletzt eintreffen. Dadurch vergrößert sich die
Verzögerungszeit für die Daten mit niedrigerer Priorität, aber sie verkleinert sich für die Daten mit
hoher Priorität. Eine Verbesserung der Übertragungsleistung des Routers führt zwar dazu, dass die
Warteschlange schneller leer wird, aber sie macht die Warteschlange nicht überflüssig. Computer,
die Daten übertragen, können ebenfalls Pakete, die von verschiedenen Anwendungen übermittelt
werden, in Warteschlangen stellen und QoS-Prioritäten verwenden, um die Pakete hoher Priorität
zuerst zu übertragen.

Hinweis Selbst mit QoS können sich bei der Übertragung großer Datenmengen am Router kleine
Weiterleitungsverzögerungen ergeben. Stellen Sie sich zum Beispiel einen Benutzer vor, der ein VoIPGespräch führt, während er mit HTTP eine große Datei über eine DSL-Verbindung hochlädt, die 128
KBit/s (Kilobit pro Sekunde) leistet. Nachdem der Router den VoIP-Datenverkehr weitergeleitet hat,
beginnt er mit der Übertragung eines HTTP-Pakets, das häufig etwa 1500 Byte groß ist. Trifft ein weiteres VoIP-Paket ein, nachdem der Router mit der Weiterleitung des HTTP-Pakets begonnen hat, muss
er zuerst dieses Paket vollständig übertragen, bevor er das neue VoIP-Paket weiterleiten kann. Das
würde in diesem Beispiel ungefähr 100 ms dauern. Diese 100 ms Weiterleitungsverzögerung können
dazu führen, dass die Gesamtverzögerungszeit über die für VoIP akzeptable Verzögerungszeit von
150 ms anwächst. Um die Auswirkungen der Übertragung eines einzigen großen Pakets auf die Verzögerungszeiten zu minimieren, lassen sich einige Router so einstellen, dass sie Pakete mit niedrigerer
Priorität in kleinere Pakete aufteilen.
Verringern des Jitters Mit derselben Technik, die zur Verringerung der Verzögerungszeiten eingesetzt wird, kann QoS auch Jitter verringern. Geringere Schwankungen in der Übertragungsgeschwindigkeit machen es möglich, die Zeitspanne zu verkleinern, die Daten im Jitterpuffer zwi-
118

schengespeichert werden, wodurch sich wiederum die Gesamtverzögerungszeit verkleinert. Häufig
wird der Jitterpuffer automatisch angepasst, wenn sich die Netzwerkbedingungen ändern. Je nach
dem Aufbau Ihres Netzwerks können Sie Schwankungen in der Übertragung vielleicht dadurch
verringern, dass Sie wichtige Übertragungen über spezielle Verbindungen leiten, auf denen geringe Verzögerungszeiten auftreten.
Verringern der Zustellung in falscher Reihenfolge Wenn Sie Datenübertragungen mit DSCP-Werten
kennzeichnen, können Sie Router so einstellen, dass für alle Übertragungen desselben Typs dieselbe Route verwendet wird. Auf diese Weise verringern sich Jitter und auch die Zahl der Zustellungen, die in falscher Reihenfolge erfolgen.
Verringern der Anzahl der verworfenen Pakete hoher Priorität Wenn Sie Datenübertragungen mit
DSCP-Werten kennzeichnen, können Sie viele Router so einstellen, dass sie zuerst Datenpakete
mit niedrigerer Priorität verwerfen, bevor sie auch Pakete hoher Priorität verwerfen.
QoS für ausgehende Datenübertragungen
Auf Computern, auf denen die Betriebssysteme Windows Vista oder Windows Server 2008 ausgeführt
werden, können Sie mit zwei Techniken QoS implementieren: DSCP und die Drosselung des Datenverkehrs (traffic throttling). Im Idealfall würden Sie beides kombinieren, um die bestmögliche Leistung zu erreichen.
Abbildung 5.1 DSCP und die Drosselung des Datenverkehrs lassen sich kombinieren
Abbildung 5.1 illustriert, wie DSCP und die Drosselung des Datenverkehrs miteinander kombiniert
werden können. In diesem Beispiel ist ein schnelles 100-MBit/s-LAN mit einer relativ langsamen
1,54-MBit/s-Internetverbindung verbunden. Serveradministratoren haben die Drosselung des Datenverkehrs verwendet, um den Datenverkehr, der vom Webserver und vom E-Mail-Server ins Internet
erfolgt, auf jeweils 512 KBit/s zu begrenzen. Selbst wenn die Website ausgelastet wird und viele Benutzer gleichzeitig ihre E-Mail herunterladen, verbleiben also für den VoIP-Server immer noch 512
Konzepte
119
KBit/s Bandbreite. Um die Verzögerungszeiten zu verringern, die auftreten können, wenn der Router
Datenpakete in die Warteschlange stellt, wird der Datenverkehr jedes Servers mit einer DSCP-Nummer gekennzeichnet. Der Router verwendet diese DSCP-Nummern zur Priorisierung des Datenverkehrs, damit der VoIP-Datenverkehr, der am empfindlichsten auf Verzögerungszeiten reagiert, die
Warteschlange immer zuerst verlassen kann.
Die folgenden Abschnitte beschreiben DSCP und die Drosselung des Datenverkehrs ausführlicher.
DSCP
RFC 2474 definiert DSCP (Differentiated Services Code Point), das zum IP-Header der ausgehenden
Datagramme einen Wert hinzufügt, mit dem Router den Datenverkehr priorisieren können. Sie können Windows Server 2008 zum Beispiel so einstellen, dass es zum FTP-Datenverkehr den DSCPWert 10 hinzufügt und zum Datenverkehr, der von Streamingmedien stammt, den DSCP-Wert 46.
Wenn ein Router diesen Datenverkehr weiterleitet, kann er Datenverkehr mit dem DSCP-Wert 10 zur
Warteschlange niederer Priorität hinzufügen und den Datenverkehr mit dem DSCP-Wert 46 zur Warteschlange hoher Priorität.
Der DSCP-Wert wird im IP-Header als Zahl von 0 bis 63 angegeben, wobei 0 bedeutet, dass kein
DSCP-Wert angegeben wurde. In IPv4 verwendet DSCP das TOS-Oktett (TOS steht für Type Of Service, definiert in RFC 791) im Header, wie in Abbildung 5.2 dargestellt. In IPv6 verwendet DSCP das
Datenverkehrsklassenoktett (traffic class) im Header. Obwohl DSCP in IPC4 und IPv6 jeweils ein
vollständiges Acht-Bit-Oktett belegt, verwendet DSCP nur die ersten 6 Bits. Die verbleibenden beiden
Bits sind ECN-Bits (Explicit Congestion Notification).
Abbildung 5.2 DSCP im IPv4-Header
Weitere Informationen Weitere Informationen über ECN finden Sie in http://www.microsoft.com/technet/
community/columns/cableguy/cg1006.mspx.
120
Die Drosselung des Datenverkehrs
Während DSCP es Ihrer Routinginfrastruktur ermöglicht, den Datenverkehr zu priorisieren, können
Windows Vista und Windows Server 2008 auch die Bandbreite drosseln, die bestimmten Anwendungen und Protokollen zur Verfügung steht. Bei der Drosselung beschränkt eine QoS-Richtlinie den
ausgehenden Netzwerkdatenverkehr, der zum angegebenen Kriterium passt, auf eine bestimmte Rate.
Wenn Sie zum Beispiel über ein 10-MBit/s-LAN verfügen, können Sie Ihre E-Mail-Server davon abhalten, die verfügbare Bandbreite vollständig für sich zu beanspruchen, indem Sie die Server in einer
eigenen Organisationseinheit (Organizational Unit, OU) unterbringen und mit dieser Organisationseinheit ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) verknüpfen. In dem Gruppenrichtlinienobjekt konfigurieren Sie eine QoS-Richtlinie, die den E-Mail-Datenverkehr auf 4 MBit/s drosselt (den E-Mail-Datenverkehr können Sie über TCP-Portnummern einstellen).
QoS für eingehenden Datenverkehr
DSCP-Werte geben Ihnen eine gewisse Kontrolle darüber, wie Ihre Netzwerkinfrastruktur ausgehende
Nachrichten behandelt, wogegen die Drosselung des Datenverkehrs (traffic throttling) direkt die Bandbreite verringert, die von verschiedenen Anwendungen verwendet wird. Sie können die Übertragungsraten des eingehenden Datenverkehrs zwar nicht direkt kontrollieren, aber Windows kann die Größe
des TCP-Empfangsfensters verringern, um die Übertragungsrate des eingehenden Datenverkehrs zu
verkleinern.
Standardmäßig optimiert Windows das TCP-Empfangsfenster auf maximalen Durchsatz. Allerdings
können Sie auf Computern, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, die
systemweit geltenden QoS-Einstellungen verwenden, um die maximale Größe des TCP-Empfangsfensters festzulegen und auf diese Weise den eingehenden Datenverkehr zu drosseln. Die Größe des
TCP-Empfangsfensters ist ein Maß für die Datenmenge, die der Sender an den Empfänger übertragen
darf, bevor er auf eine Bestätigung warten muss. Ein größeres Empfangsfenster bedeutet, dass der
Sender mehr Daten auf einmal übertragen kann, wodurch sich die Netzwerkbelastung und der Durchsatz erhöhen. Durch die Begrenzung der maximalen Größe des TCP-Empfangsfensters kann ein Empfänger indirekt den Durchsatz auf einer eingehenden TCP-Verbindung kontrollieren.
Weitere Informationen über die Einstellung der Maximalgröße des TCP-Empfangsfensters finden Sie
im weiteren Verlauf dieses Kapitels unter der Überschrift »So konfigurieren Sie systemweit gültige
QoS-Einstellungen«.
QoS-Implementierung
Unter Windows Vista und Windows Server 2008 wird QoS im NDIS 6.0-Lightweight-Filtertreiber
implementiert, dessen ausführbare Datei Pacer.sys im Ordner %SystemRoot%\System32\Drivers zu
finden ist. Pacer.sys steuert die QoS-Paketplanung für richtlinienbasiertes QoS und für Anwendungen,
die APIs (Application Programming Interface) aus den Bereichen GQoS (Generic QoS), TC (Traffic
Control) und qWAVE (Quality Windows Audio Video Experience) verwenden. Pacer.sys wird nur
verwendet, wenn die QoS-Paketplaner-Komponente einer Netzwerkverbindung oder eines Netzwerkadapters aktiviert ist (standardmäßig ist sie aktiviert). Pacer.sys ersetzt den Treiber Psched.sys, der in
den Betriebssystemen Windows Server 2003 und Windows XP verwendet wird.
Hinweis Quality Windows Audio Video Experience (qWAVE) ist eine QoS-API, die entwickelt wurde, um
die Leistung des Audio- und Videostreamings in Heimnetzwerken zu verbessern. Auf Windows Server 2008Computern bietet qWAVE nur Übertragungsraten- und Priorisierungsdienste. Da es hauptsächlich für die
Heimanwendung entwickelt wurde, wird es in diesem Kapitel nicht näher besprochen.
121
QoS kann auf Windows-Computern zwar mit wenigen Mausklicks bereitgestellt werden, aber ohne
entsprechende Planung werden Sie die Leistungsvorteile vielleicht nicht umsetzen können. Dieser
Abschnitt beschreibt, wie Sie die Ziele für Ihre QoS-Implementierung festlegen, DSCP-Werte angeben und die Drosselung des Datenverkehrs planen, die Hardware- und Softwarevoraussetzungen
überprüfen und die QoS-Richtlinien festlegen können.
Festlegen der QoS-Ziele
Bei der Planung der QoS-Richtlinien für Ihr Netzwerk bestimmen Sie, welche Anwendungen QoS
erfordern, und legen Ziele für die Verzögerungszeiten und Bandbreiten fest, die von den Anwendungen eingehalten werden sollen:
Planungsziele für Verzögerungszeiten Für VoIP und Videokonferenzen ist eine Minimierung der
Verzögerungszeiten entscheidend. Kleinere Verzögerungszeiten sind zwar immer von Vorteil, aber
die größte Verzögerung, die Menschen bei einer Übertragung vom Sender bis zum Empfänger
hinnehmen, liegt bei etwa 150 bis 200 ms. Oberhalb von 200 ms wirken sich Verzögerungszeiten
zunehmend als Störungen aus. Gespräche mit langen Verzögerungen werden schwierig und es
kommt häufig dazu, dass mehrere Teilnehmer gleichzeitig zu sprechen beginnen.
Planungsziele für Bandbreiten Diese Ziele hängen davon ab, welche Anwendungen Sie einsetzen,
und betreffen zum Beispiel die Anzahl von Medienstreams, die mindestens gleichzeitig übertragen
werden können, oder die maximale Dauer für die Übertragung einer Netzwerkdatensicherung eines
bestimmten Umfangs.
Nachdem Sie QoS implementiert haben, können Sie anhand dieser Ziele überprüfen, ob die Implementierung erfolgreich war oder ob noch weitere Änderungen erforderlich sind.
Planen von DSCP-Werten
Tabelle 5.1 listet nach sinkender Priorität geordnet DSCP-Standardwerte für verschiedene Anwendungen auf. Die Werte aus den fett gedruckten Zeilen werden am häufigsten verwendet.
Tabelle 5.1 DSCP-Standardwerte
Zweck
Übliche Verwendung
IP-Routing
Router-zu-Router-Kommunikation
DSCP-Wert
48
VoIP
VoIP-Datenverkehr einschließlich Anrufanmeldung und Steuerung
46
Interaktives
Video
Bidirektionale Videokonferenzen
34
Streamingvideo
Unidirektionales Videostreaming. Videostreams könnten alternativ auch als
einsatzkritische Daten klassifiziert werden.
32
Einsatzkritische
Daten
Datenbankabfragen, geschäftliche Kommunikation, Videostreaming
26
Transaktionsdaten
Datenbankabfragen und Transaktionen. Transaktionsdaten könnten alternativ auch
als einsatzkritische Daten klassifiziert werden.
28
Anrufanmeldung
VoIP-Steuerungsdaten (sie könnten alternativ als VoIP klassifiziert werden).
24
Netzwerkverwaltung
Netzwerkverwaltungsprotokolle wie SNMP (Simple Network Management Protocol). Netzwerkverwaltungsdaten könnten alternativ auch als einsatzkritische Daten
klassifiziert werden.
16
f
122
Zweck
Übliche Verwendung
Beste
Möglichkeit
Der restliche Datenverkehr einschließlich E-Mail und Browsen im Web
Massendaten
Datensicherungen, Dateiübertragungen, nicht kommerzielle Anwendungen
Aufräumarbeiten
Nachrangiger Datenverkehr. Als Alternative könnte man den nachrangigen Datenverkehr auch als Massendaten deklarieren.
DSCP-Wert
0
10
8
Hinweis Es ist üblich, DSCP-Werte, die aus anderen Netzwerken wie zum Beispiel dem Internet stammen, zu entfernen oder zu ändern, weil diese Werte im anderen Netzwerk eine unterschiedliche Bedeutung
haben könnten oder vielleicht sogar Bestandteile eines DoS-Angriffs sind (Denial-of-Service). Daher können
Sie nicht voraussetzen, dass DSCP-Werte erhalten bleiben, wenn Sie Daten in andere Netzwerke senden,
die Sie nicht verwalten.
WMM und DSCP-Werte
Wireless Multimedia (WMM) umfasst vier Zugriffskategorien für die Priorisierung des Datenverkehrs in einem drahtlosen 802.11-Netzwerk. Zur Festlegung der Prioritäten verwendet WMM
DSCP-Werte. Daher können Sie automatisch die Vorteile von WMM nutzen, indem Sie DSCPWerte angeben. Tabelle 5.2 zeigt, wie die DSCP-Werte in die WMM-Zugriffskategorien passen.
Tabelle 5.2 DSCP-Werte und WMM-Zugriffskategorien
DSCP-Wert
WMM-Zugriffskategorie
48–63
Stimme (Voice, VO)
32–47
Video (VI)
24–31, 0–7
Beste Möglichkeit (Best Effort, BE)
8–23
Hintergrund (Background, BK)
Sie brauchen nicht für jedes Protokoll, das in Ihrem Netzwerk verwendet wird, eine eigene DSCPNummer anzugeben. Geben Sie stattdessen DSCP-Werte für die verschiedenen Datenverkehrsprioritätstypen an. Eine typische DSCP-Strategie umfasst zum Beispiel die folgenden fünf Warteschlangen:
Steuerungsdatenverkehr Damit ist die Kommunikation zwischen Routern gemeint. Gewöhnlich
erfordert diese Kommunikation zwar nur eine sehr geringe Bandbreite, sollte aber trotzdem mit
einer hohen Priorität erfolgen, weil die schnelle Übermittlung der Steuerungsdaten Ausfallzeiten
verringern kann, selbst im Fall von Hardwarefehlern. Außerdem sollten Sie diese Priorität für den
VoIP-Steuerungsdatenverkehr wählen. Verwenden Sie für den Steuerungsdatenverkehr den DSCPWert 26.
Verzögerungssensibler Datenverkehr Datenverkehr, der wie VoIP so schnell wie möglich zugestellt
werden muss. Im Normalfall sollten Sie diesem Datenverkehr den DSCP-Wert 46 zuweisen, auch
Expedited Forwarding (EF) genannt.
Geschäftskritischer Datenverkehr, auch bekannt als Better than Best Effort (BBE) Kommunikation, die
mit höherer Priorität erfolgen sollte, wie zum Beispiel Kundendienstdatenbankabfragen von einer
Branchenanwendung oder Streamingvideo, die aber nicht so empfindlich gegenüber Verzögerungszeiten ist. Verwenden Sie den DSCP-Wert 34.

123
Beste-Möglichkeiten-Datenverkehr Standarddatenverkehr einschließlich des Datenverkehrs, der
nicht mit einer DSCP-Nummer gekennzeichnet ist, sollte nach den obigen beiden Warteschlangen
bearbeitet werden. Diesem Datenverkehr sollte der DSCP-Wert 0 zugewiesen werden. Das ist der
Standardwert dafür, dass kein DSCP-Wert zugewiesen wurde.
Aufräumarbeiten-Datenverkehr Nachrangiger Datenverkehr wie Datensicherungen, das Herunterladen von Updates, unkritische Dateisynchronisationen und Datenverkehr, der nichts mit der Arbeit zu tun hat, aber von den Angestellten und Mitarbeitern generiert wird. Verwenden Sie den
DSCP-Wert 10 oder 8.
Hinweis Wenn Sie dem Datenverkehr von zu vielen Anwendungen eine hohe Priorität zuweisen, kann die
Warteschlange für den Datenverkehr hoher Priorität auf Routern so lang werden, dass sich beträchtliche zusätzliche Wartezeiten ergeben. Das widerspricht dem Sinn von QoS. Daher sollten Sie die höchste DHCPKennzeichnung für Echtzeitkommunikation wie VoIP reservieren.
In vielen Netzwerken ist die Struktur noch einfacher. Dort werden nur zwei Prioritäten verwendet,
nämlich eine für den verzögerungssensiblen Datenverkehr und eine weitere für den Standarddatenverkehr (Beste Möglichkeiten). Wenn Sie aber über Programme verfügen, die die Netzwerkleistung
für verschiedene Datenverkehrstypen anhand der DSCP-Werte differenzieren können, ist es von Vorteil, selbst dann eine größere Anzahl an DSCP-Werten zu definieren, wenn Ihre Netzwerkinfrastruktur
gar nicht dafür ausgerichtet ist, Pakete mit unterschiedlichen DSCP-Werten separat zu bearbeiten.
Planen der Drosselung des Datenverkehrs
Im Idealfall sollten Netzwerke immer voll ausgelastet sein, selbst wenn die übertragenen Daten als
nachrangig eingestuft werden. Die Priorisierung des Datenverkehrs mit DSCP-Werten unterstützt dieses Ziel, weil sie es dem nachrangigen Datenverkehr ermöglicht, die gesamte verfügbare Bandbreite
zu beanspruchen, wenn kein höherrangiger Datenverkehr stattfindet.
Wenn Teile Ihres Netzwerks keine Priorisierung des Datenverkehrs durch DSCP-Werte unterstützen,
können Sie die Datenübertragung von Computern, auf denen Windows Vista oder Windows Server
2008 ausgeführt wird, durch die Drosselung des Datenverkehrs begrenzen. Versuchen Sie aber nicht,
für jede Anwendung und jedes Protokoll durch Drosselung des Datenverkehrs die Bandbreite einzuschränken. Verwenden Sie die Drosselung des Datenverkehrs nur, um die Datenübertragung von niederrangigen Anwendungen zu begrenzen, beispielsweise für die Datensicherung im Netzwerk oder
beim Herunterladen von großen Updates.
Vergessen Sie bitte nicht, dass die Drosselung des Datenverkehrs nur den Datenverkehr auf einzelnen
Computern begrenzt. Sie kann nicht die Bandbreite beschränken, die von mehreren Computern gemeinsam beansprucht wird. Wenn Sie zum Beispiel fünf FTP-Server einrichten und sicherstellen
möchten, dass sie zusammen niemals mehr als die halbe Bandbreite Ihrer 500 KBit/s-Verbindung beanspruchen, müssen Sie auf jedem der fünf Computer eine QoS-Richtlinie konfigurieren, mit der Sie
den Datenverkehr auf jeweils 50 KBit/s beschränken. Insgesamt ergibt sich daraus eine Übertragungsrate von 250 KBit/s, wenn alle fünf Server mit ihrer vorgesehenen Maximalleistung Daten übertragen.
Hardware- und Softwarevoraussetzungen
Die folgenden Abschnitte beschreiben die Unterstützung der QoS-Richtlinien durch Betriebssystem
und Anwendungen, die Abwärtskompatibilität zu QoS-APIs aus älteren Windows-Versionen und die
Anforderungen an die Netzwerkinfrastruktur für die QoS-Unterstützung.
124
Unterstützung der QoS-Richtlinien
QoS-Richtlinien können Sie nur unter Windows Vista und Windows Server 2008 anwenden. Ältere
Windows-Versionen unterstützen QoS-APIs, mit denen einzelne Anwendungen DSCP-Werte festlegen und eine Drosselung des Datenverkehrs vornehmen können. Allerdings unterstützen sie keine
Anwendung von QoS-Richtlinien durch Gruppenrichtlinienobjekte. Wenn Sie QoS-Richtlinien in
einer Domäne verwenden möchten, können Sie Domänencontroller mit Microsoft Windows 2000
Server, Windows Server 2003 oder Windows Server 2008 verwenden.
Anwendungen, die auf Windows Vista und Windows Server 2008 ausgeführt werden, brauchen QoS
nicht zu unterstützen, damit ihr Netzwerkdatenverkehr priorisiert wird. Mit QoS-Richtlinien können
Sie QoS auf jeden Netzwerkdatenverkehr anwenden, auch auf Netzwerkdatenverkehr, der von Diensten des Kernbetriebssystems stammt (beispielsweise vom Serverdienst).
Abwärtskompatibilität für QoS-APIs
Windows 2000, Windows XP und Windows Server 2003 bieten mit speziellen Anwendungsprogrammierschnittstellen (Application Programming Interfaces, APIs) QoS-Fähigkeiten, nämlich mit GQoS
(Generic QoS), TOS (IP Type Of Service) und TC (Traffic Control). Allerdings ist es dafür erforderlich, dass Entwickler in ihren Anwendungen tatsächlich eine dieser APIs verwenden. Die meisten
Entwickler haben dies nicht getan. Daher unterstützen die meisten Anwendungen QoS nicht. Wenn
Sie eine Anwendung verwenden, die eine dieser APIs benutzt, ist dies kein Hinderungsgrund für den
Einsatz dieser Anwendung unter Windows Vista und Windows Server 2008.
Weitere Informationen Weitere Informationen über diese APIs finden Sie in »The MS QoS Components« unter http://technet.microsoft.com/en-us/library/bb742475.aspx.
Hinweis GQoS, IP TOS und TC wurden heruntergestuft und von ihrer Verwendung wird abgeraten.
Unter Windows Vista werden sie zwar immer noch unterstützt, aber in zukünftigen Windows-Versionen
ist dies vielleicht nicht mehr der Fall. Wenn Sie also Anwendungen einsetzen, die GQoS, TOS oder TC
verwenden, sollten Sie die Entwickler dazu auffordern, stattdessen die neue API QOS2 zu verwenden.
In der Headerdatei QOS2.h finden Entwickler weitere Informationen über QOS2.
Anforderungen an die Netzwerkinfrastruktur
Zur vollständigen Unterstützung der QoS-Richtlinien muss Ihre Netzwerkinfrastruktur die Verwendung von mehreren Warteschlangen zur Priorisierung des Datenverkehrs anhand von DSCP-Werten
unterstützen (wie in RFC 2474 definiert). Die Drosselung des Datenverkehrs stellt allerdings keine
Anforderungen an die Netzwerkinfrastruktur.
Planen von QoS-Gruppenrichtlinien und Gruppenrichtlinienobjekten
Unter Windows Vista und Windows Server 2008 können Sie mit lokalen Gruppenrichtlinienobjekten
oder Active Directory-Gruppenrichtlinienobjekten QoS für jede Anwendung im Netzwerk konfigurieren. Dank der Flexibilität der Gruppenrichtlinienobjekte können Sie also Folgendes tun:
Konfigurieren von QoS-Richtlinien für Organisationseinheiten Die meisten Organisationen strukturieren und verwalten ihre Computer und Benutzer mit Active Directory-Organisationseinheiten.
Indem Sie ein Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpfen und in diesem
Gruppenrichtlinienobjekt die QoS-Richtlinien festlegen, können Sie auf den verschiedenen Computern Ihrer Organisation unterschiedliche QoS-Richtlinien anwenden. Wenn Sie zum Beispiel für
E-Mail-Server und Webserver eigene Organisationseinheiten einrichten, können Sie unterschiedliche Gruppenrichtlinienobjekte mit den Organisationseinheiten verknüpfen und zum Beispiel den
125
E-Mail-Datenübertragungen (beispielsweise mit Microsoft Office Outlook Web Access oder OWA)
eine höhere Priorität als dem Standard-Webdatenverkehr geben.
Konfigurieren von QoS-Richtlinien anhand der Gruppenmitgliedschaft von Benutzern Indem Sie GPOs
mit entsprechenden Zugriffskontrolllisten (access control lists, ACLs) versehen, die den Zugriff
auf der Basis der Gruppenmitgliedschaft steuern, können Sie QoS-Benutzerkonfigurationsrichtlinien festlegen, die bestimmten Gruppen eine höhere Priorität als anderen Gruppen geben. Sie
könnten zum Beispiel dem Datenverkehr von der Kundenservicegruppe eine höhere Priorität geben.
Konfigurieren von QoS-Richtlinien für Standorte Wenn die Netzwerkinfrastruktur an verschiedenen
Standorten unterschiedlich eingerichtet wird und zum Beispiel unterschiedliche DSCP-Werte
verwendet werden, können Sie mit den Active Directory-Standorten Gruppenrichtlinienobjekte
verknüpfen, die an den verschiedenen Standorten für die korrekten Einstellungen sorgen.
Konfigurieren von QoS-Richtlinien für eigenständige Computer Windows Vista und Windows Server
2008 unterstützen mehrere lokale Gruppenrichtlinienobjekte (multiple local GPOs, MLGPOs).
Mit MLGPOs können Sie auch auf Computern, die nicht zu Ihrer Active Directory-Domäne gehören, QoS-Richtlinien konfigurieren.
Wenn Sie eine QoS-Richtlinie konfigurieren, weisen Sie einen DHCP-Wert oder eine Drosselungsrate
zu und legen dann die Kriterien fest, anhand derer Windows den Datenverkehr erkennt, für den die
QoS-Richtlinie gilt. Folgende Kriterien können Sie verwenden:
Dateiname der sendenden Anwendung (zum Beispiel Anwendung.exe)
IPv4 oder IPv6-Quell- oder Zielnetzwerk oder Adresse
Quell- oder Ziel-TCP- oder -UDP-Portnummer oder Bereich
So funktioniert’s: QoS-Richtlinienprioritäten
Wenn eine Verbindung die Kriterien von mehreren QoS-Richtlinien erfüllt, wird die präziseste
QoS-Richtlinie angewendet. Wenn Sie zum Beispiel eine Richtlinie für ein ganzes Netzwerk definieren (beispielsweise für 192.168.1.0/24) und eine zweite Richtlinie für eine bestimmte IP-Adresse
(wie 192.168.1.5) festlegen, wird die IP-Adressenrichtlinie verwendet, und nicht die Netzwerkrichtlinie. Bei der Anwendung von QoS-Richtlinien befolgt Windows folgende Regeln.
1. QoS-Richtlinien auf Benutzerebene haben Vorrang vor QoS-Richtlinien, die auf Computerebene festgelegt wurden.
2. QoS-Richtlinien für Anwendungen haben Vorrang vor QoS-Richtlinien für Netzwerke oder
IP-Adressen.
3. QoS-Richtlinien für IP-Adressen und genauer angegebene Netzwerke haben Vorrang vor QoSRichtlinien, die Netzwerke weniger genau angeben.
4. QoS-Richtlinien für Portnummern haben Vorrang vor QoS-Richtlinien für Portbereiche, die
wiederum Vorrang vor QoS-Richtlinien ohne Angabe von Portnummern haben.
5. Stehen immer noch mehrere QoS-Richtlinien im Widerspruch zueinander, haben Richtlinien für
Quell-IP-Adressen Vorrang vor Richtlinien für Ziel-IP-Adressen, und Richtlinien, in denen ein
Quellport angegeben wird, haben Vorrang vor Richtlinien, in denen ein Zielport angegeben wird.
Für eine bestimmte Verbindung kann nur eine QoS-Richtlinie angewendet werden. Gibt es für eine
einzige Verbindung zwei Richtlinien für die Drosselung des Datenverkehrs, legt die präzisere
Richtlinie die Drosselungsrate fest. Die Wirkung der Richtlinien addiert sich nicht.
126
Um die Zahl der Konflikte zu verringern und die QoS-Bereitstellung zu vereinfachen, sollten Sie Ihre
QoS-Richtlinien so präzise wie möglich formulieren. Statt zum Beispiel eine QoS-Richtlinie für den
gesamten ausgehenden Datenverkehr eines Computers zu verwenden, können Sie eine Richtlinie so
formulieren, dass sie für eine bestimmte Portnummer des Computers gilt.
QoS-Richtlinien für Windows Vista-Mobilcomputer
Computer, auf denen Windows Server 2008 ausgeführt wird, wenden auf alle Netzwerkschnittstellen
QoS-Richtlinien an. Windows Vista-Computer arbeiten etwas anders, weil das Betriebssystem für den
mobilen Einsatz konzipiert wurde. Daher können sie auch außerhalb einer Organisation mit anderen
Netzwerken verbunden sein. Andere Organisationen verwenden vielleicht andere DSCP-Nummern.
Vielleicht verwenden sie auch gar keine QoS-Richtlinien. Daher wendet Windows Vista nur dann
QoS-Richtlinien an, wenn der Computer mit Ihrem internen Netzwerk verbunden ist. Genauer gesagt,
Windows Vista wendet QoS-Richtlinien nur in Domänennetzwerken an. Ob ein Netzwerk zu einer
Domäne gehört, erkennt Windows Vista, wenn es über die Schnittstelle Kontakt zu einem Domänencontroller aufnimmt. Daher wendet Windows Vista Ihre QoS-Richtlinien nicht an, wenn ein Benutzer
zum Beispiel in einem Café eine Verbindung mit einem Drahtlosnetzwerk aufnimmt. Stellt der Benutzer dagegen über ein VPN eine Verbindung mit Ihrem internen Netzwerk her, wendet Windows Vista
QoS-Richtlinien auf diese Verbindung an.
Weitere Informationen Weitere Informationen über Netzwerktypen unter Windows Vista finden Sie in
Kapitel 26, »Konfigurieren der Windows-Netzwerkfunktionen« der technischen Referenz von Windows Vista
von Mitch Tulloch, Tony Northrup und Jerry Honeycutt, unter Zusammenarbeit mit dem Microsoft Windows
Vista Team (Microsoft Press, 2007).
Nach der entsprechenden Planung und Vorbereitung erfordert es nur wenige Minuten, mit den Gruppenrichtlinien QoS zu implementieren. Dieser Abschnitt beschreibt, wie sich mit Gruppenrichtlinienobjekten QoS-Richtlinien einrichten lassen, die DSCP-Werte und die Drosselung des Datenverkehrs
definieren. Außerdem beschreibt er die Konfiguration von systemweit gültigen QoS-Einstellungen,
wie zum Beispiel die Durchsatzstufe für eingehende TCP-Verbindungen.
So konfigurieren Sie QoS in den Gruppenrichtlinien
Damit QoS seine Wirkung entfalten kann, sollten Sie so viele Computer wie möglich so einstellen,
dass sie dem Datenverkehr DSCP-Werte zuweisen und den ausgehenden Datenverkehr, sofern die
Priorisierung nicht ausreicht, entsprechend drosseln.
So konfigurieren Sie QoS mit Gruppenrichtlinien
1. Öffnen Sie das Gruppenrichtlinienobjekt, in dem Sie die Richtlinie definieren wollen, im Gruppenrichtlinienverwaltungs-Editor und erweitern Sie in der Strukturdarstellung den Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Richtlinienbasierter QoS oder Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Richtlinienbasierter QoS.
Hinweis QoS-Benutzerrichtlinien gelten nur für Benutzerprozesse, wenn der Benutzer angemeldet
ist. Auf Servern sollten Sie normalerweise QoS-Computerrichtlinien definieren.
127
2. Klicken Sie den Knoten Richtlinienbasierter QoS mit der rechten Maustaste an und klicken Sie
dann auf Neue Richtlinie erstellen.
3. Der Assistent für richtlinienbasiertes QoS öffnet sich. Geben Sie auf der Seite Erstellen einer
QoS-Richtlinie, die in Abbildung 5.3 zu sehen ist, nach Bedarf einen eindeutigen Namen für die
Richtlinie ein. Geben Sie dann einen der DSCP-Werte aus Tabelle 5.1 an, den Ihre Netzwerkinfrastruktur zur Priorisierung des Datenverkehrs verwenden kann, sowie eine Drosselungsrate in
KByte/s oder in MByte/s, die Windows zur Beschränkung der Übertragungsrate des ausgehenden
Datenverkehrs verwendet. Klicken Sie auf Weiter.
Abbildung 5.3 Die Seite Erstellen einer QoS-Richtlinie
Hinweis Beachten Sie bitte, dass die Drosselungsrate in Kilobyte pro Sekunde (KByte/s) oder in
Megabyte pro Sekunde (MByte/s) angegeben werden muss. 8 Bits entsprechen einem Byte. Daher
teilen Sie bei der Ermittlung der Drosselungsraten den in KBit/s oder MBit/s vorliegenden Zahlenwert
durch 8 und geben das Ergebnis im Assistenten für richtlinienbasiertes QoS ein. Wenn Sie den Datenverkehr zum Beispiel auf 128 KBit/s drosseln möchten, geben Sie als Drosselungsrate 16 KByte/s ein.
4. Auf der Seite Diese QoS-Richtlinie wird angewendet auf, die in Abbildung 5.4 zu sehen ist,
wählen Sie entweder Alle Anwendungen oder Nur Anwendungen, bei denen es sich um folgende
ausführbare Datei handelt. Wenn Sie eine Anwendung angeben, wendet Windows Vista den
DSCP-Wert oder die Drosslungsrate auf den Netzwerkdatenverkehr an, der von dieser Anwendung erzeugt wird. Wenn Sie einen Dienst drosseln müssen, überprüfen Sie die Eigenschaften des
Dienstes im Snap-In Dienste. Liegt für den Dienst eine eigene ausführbare Datei vor (eine andere
Datei als svchost.exe), können Sie diese Datei angeben. Andernfalls können Sie auf den nächsten
beiden Seiten des Assistenten festlegen, für welchen Datenverkehr die Richtlinie gilt. Klicken Sie
auf Weiter.
5. Auf der Seite Legen Sie die Quell- und Ziel-IP-Adresse fest (Abbildung 5.5) können Sie festlegen,
ob die Richtlinie für den Datenverkehr von oder an eine bestimmte IP-Adresse oder von oder an
ein bestimmtes Netzwerk gilt. Wenn Sie zum Beispiel eine QoS-Richtlinie festlegen möchten, die
den Datenverkehr in einem VPN beschränkt, würden Sie Nur für die folgende Ziel-IP-Adresse oder
128
-Präfix wählen und dann die Zieladresse für das VPN eingeben. Dabei sind IPv4 und IPv6-Adressen zulässig und Sie können eine Netzwerkpräfixlängendarstellung verwenden, um Netzwerke
anzugeben. Bei der Netzwerkpräfixlängendarstellung würden Sie zum Beispiel 192.168.1.0/24
eingeben, wenn Sie das gesamte Netzwerk 192.168.1.x meinen, oder 192.168.0.0/16 für das
Netzwerk 192.168.x.x. Weitere Informationen finden Sie in »Subnets and Subnet Masks« unter
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnbb_tcp_prux.mspx.
Abbildung 5.4 Die Seite Diese QoS-Richtlinie wird angewendet auf
Abbildung 5.5 Die Seite Legen Sie die Quell- und Ziel-IP-Adresse fest
129
Hinweis QoS-Richtlinien gelten nur für ausgehenden Datenverkehr. Daher wird die Quelladresse
immer dem Computer zugeordnet, auf dem Sie die Richtlinie anwenden, während mit der Zieladresse
immer der Remotecomputer oder das Remotenetzwerk gemeint ist. Geben Sie eine Quelladresse ein,
wenn die Richtlinie auf andere Computer angewendet werden soll, als sich durch den Gültigkeitsbereich eines Gruppenrichtlinienobjekts erfassen lassen.
6. Auf der Seite Legen Sie das Protokoll und die Portnummern fest (Abbildung 5.6) können Sie den
Datenverkehr anhand der TCP- oder UDP-Portnummern beschreiben. Wenn Sie zum Beispiel den
ausgehenden Webdatenverkehr eines Webservers drosseln möchten, würden Sie erst TCP wählen.
Dann würden Sie Von dieser Quellportnummer bzw. diesem -bereich wählen und die Portnummer
80 eingeben (das ist die Nummer des Ports, über den HTTP-Webdatenverkehr erfolgt). Klicken
Sie auf Fertig stellen.
Abbildung 5.6 Die Seite Legen Sie das Protokoll und die Portnummern fest
Hinweis Bei der Konfiguration von QoS-Richtlinien für Server geben Sie die Quellportnummer an und
lassen jeden beliebigen Zielport zu. Bei der Konfiguration von QoS-Richtlinien für Clients geben Sie die
Zielportnummer an und lassen jeden beliebigen Quellport zu.
Nach der Definition können Sie die Richtlinie bearbeiten, indem Sie sie im Detailbereich des
Gruppenrichtlinienverwaltungs-Editors mit der rechten Maustaste anklicken und dann Vorhandene
Richtlinie bearbeiten wählen. Das Dialogfeld Eine vorhandene QoS-Richtlinie bearbeiten weist
Registerkarten auf, die den Seiten des Assistenten für richtlinienbasiertes QoS entsprechen. Weitere
Informationen finden Sie im Verlauf dieses Kapitels unter den Überschriften »Bearbeiten von QoSRichtlinien« und »Löschen von QoS-Richtlinien«.
Hinweis Derzeit ist die Verwendung von Gruppenrichtlinienobjekten die einzige Möglichkeit, QoS-Richtlinien zu konfigurieren. Microsoft bietet keine Tools an, mit denen sich QoS-Richtlinien durch Skripts konfigurieren lassen.
130
So konfigurieren Sie systemweit gültige QoS-Einstellungen
Systemweit gültige QoS-Einstellungen können Sie im Knoten Computerkonfiguration\Administrative
Vorlagen\Netzwerk\QoS-Paketplaner des Gruppenrichtlinienverwaltungs-Editors vornehmen. Sie
brauchen diese Einstellungen nur zu ändern, wenn Sie die ausstehenden Pakete oder die reservierbare
Bandbreite einschränken oder die Zeitgeberauflösung ändern müssen. Im Knoten QoS-Paketplaner
sind folgende Richtlinien verfügbar:
Ausstehende Pakete einschränken
Legt die maximale Anzahl von ausstehenden Paketen fest, die
auf einem Netzwerkadapter zu jedem Zeitpunkt ausgegeben werden können. Wenn dieses Limit
erreicht ist, werden neue Pakete in Pacer.sys zwischengespeichert, bis der Netzwerkadapter ein
Paket abgeschlossen hat. Dann wird ein zuvor zwischengespeichertes Paket aus der Pacer.sysWarteschlange entnommen und an den Netzwerkadapter gesendet. Standardmäßig ist diese Einstellung deaktiviert. Im Normalfall sollte es nicht erforderlich werden, sie zu aktivieren.
Reservierbare Bandbreite beschränken Legt die prozentuale Bandbreite fest, die eine Anwendung
reservieren kann. Standardmäßig wird der Wert auf 20 Prozent festgelegt, wodurch 80 Prozent der
Bandbreite für Prozesse übrig bleiben, die keine Bandbreite reserviert haben.
Zeitgeberauflösung festlegen Dieser Wert wird nicht unterstützt und sollte nicht eingestellt werden.
Der Knoten QoS-Paketplaner enthält zudem drei untergeordnete Knoten, in denen Sie die DSCPStandardwerte manuell einstellen können:
DSCP-Wert von übereinstimmenden Paketen Diese Einstellungen gelten für Pakete, die der Ablaufspezifikation entsprechen.
DSCP-Wert von nicht übereinstimmenden Paketen Diese Einstellungen gelten für Pakete, die der
Ablaufspezifikation nicht entsprechen.
Prioritätswert für Schicht 2 Diese Einstellungen legen in Netzwerken, in denen sie unterstützt werden, die Standardprioritätswerte für die Verbindungsschicht fest.
Sie brauchen die Werte in diesen untergeordneten Knoten nur zu ändern, wenn Sie Ihre Netzwerkinfrastruktur mit DSCP-Werten konfiguriert haben, die nicht dem Standard entsprechen.
In den Gruppenrichtlinien können Sie auch erweiterte QoS-Einstellungen für Computer vornehmen.
Klicken Sie im Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste auf den Knoten
Computerkonfiguration\Richtlinien\Windows-Einstellungen\Richtlinienbasierter QoS und klicken Sie
dann auf Erweiterte QoS-Einstellungen. Im resultierenden Dialogfeld Erweiterte QoS-Einstellungen
können Sie Folgendes tun:
Stufe für eingehenden TCP-Durchsatz festlegen
Die meisten QoS-Richtlinien gelten für den ausgehenden Datenverkehr, den der Clientcomputer sendet. Mit dieser Einstellung auf der Registerkarte
Eingehender TCP-Datenverkehr können Sie Windows so einstellen, dass es versucht, den eingehenden Datenverkehr durch eine Anpassung der Größe des TCP-Empfangsfensters zu drosseln,
wie in diesem Kapitel unter der Überschrift »QoS für eingehenden Datenverkehr« beschrieben.
Tabelle 5.3 listet die maximale Größe des TCP-Empfangsfensters für jede eingehende Durchsatzstufe auf. Standardmäßig verwendet Windows Stufe 3 (maximaler Durchsatz) für die Größe des
TCP-Empfangsfensters. Im Gegensatz zum richtlinienbasierten QoS für den ausgehenden Datenverkehr kann diese Einstellung die Datenrate des eingehenden Datenverkehrs nicht auf der Basis
von Anwendungen, Adressen oder Ports steuern.
131
Tabelle 5.3 Maximale TCP-Empfangsfenstergröße
Eingehende TCP-Durchsatzstufe Maximum
0
64 KB
1
256 KB
2
1 MB
3
16 MB
Hinweis Da UDP-Datenverkehr keine Bestätigungen (acknowledge) vorsieht, können Sie den UDPDatenverkehr nicht auf dem Empfängercomputer drosseln.

DSCP-Markierungsanforderungen von Anwendungen steuern Anwendungen können zwar für ausgehende Netzwerkkommunikation ihre eigenen DSCP-Werte anfordern, aber die meisten Anwendungen legen keinen Wert fest. Standardmäßig verwendet Windows den DSCP-Wert, der von der
Anwendung festgelegt wird. Wenn Sie möchten, dass Windows den von der Anwendung angegebenen DSCP-Wert ignoriert und sich bei der Einstellung der DSCP-Werte ausschließlich an die
QoS-Richtlinien hält, wählen Sie das Kontrollkästchen DSCP-Markierungsanforderungen von
Anwendungen steuern und wählen dann Ignoriert, wie in Abbildung 5.7 dargestellt.
Abbildung 5.7 Von Anwendungen angegebene DSCP-Werte werden ignoriert
132
Wartung
Die Wartungsarbeiten für QoS bestehen darin, nach Bedarf QoS-Richtlinien zu aktualisieren oder zu
löschen und die QoS-Richtlinien zu überwachen, um sicherzustellen, dass sie angewendet werden und
wie geplant funktionieren. Die folgenden Abschnitte beschreiben die Wartungsarbeiten ausführlicher.
Löschen von QoS-Richtlinien
Sie können QoS-Richtlinien in der Konsole Gruppenrichtlinienverwaltung löschen.
So entfernen Sie eine Richtlinie
1. Öffnen Sie im Untermenü Verwaltung des Start-Menüs die Konsole Gruppenrichtlinienverwaltung.
2. Klicken Sie das Gruppenrichtlinienobjekt, in dem die Richtlinie definiert ist, mit der rechten
Maustaste an und klicken Sie dann auf Bearbeiten.
3. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Benutzerkonfiguration oder Computerkonfiguration, erweitern Sie Richtlinien, dann Windows-Einstellungen und klicken Sie dann auf
Richtlinienbasierter QoS.
4. Klicken Sie im Detailbereich die Richtlinie mit der rechten Maustaste an, die Sie entfernen möchten, und klicken Sie dann auf Richtlinie löschen.
5. Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Ja.
Bearbeiten von QoS-Richtlinien
Sie können QoS-Richtlinien mit der Konsole Gruppenrichtlinienverwaltung bearbeiten.
So bearbeiten Sie eine QoS-Richtlinie
2. Klicken Sie das Gruppenrichtlinienobjekt, in dem Sie eine Richtlinie bearbeiten möchten, mit der
rechten Maustaste an und klicken Sie dann auf Bearbeiten.
3. Erweitern Sie im Gruppenrichtlinienverwaltungs-Editor Benutzerkonfiguration oder Computerkonfiguration, erweitern Sie Richtlinien, dann Windows-Einstellungen und klicken Sie dann auf
Richtlinienbasierter QoS.
4. Klicken Sie im Detailbereich die Richtlinie mit der rechten Maustaste an, die Sie bearbeiten
möchten, und klicken Sie dann auf Vorhandene Richtlinie bearbeiten.
5. Führen Sie die erforderlichen Änderungen durch und klicken Sie dann auf OK.
Die Änderungen werden bei der nächsten Aktualisierung der Gruppenrichtlinien wirksam. Wenn Sie
die Gruppenrichtlinien auf einem Computer sofort aktualisieren möchten, öffnen Sie eine Eingabeaufforderung als Administrator und geben den Befehl gpupdate /force.
Überwachen von QoS
Sie können QoS mit dem Systemmonitor von Windows überwachen, mit dem Network Monitor, den
Sie kostenlos von Microsoft herunterladen können, oder mit Überwachungsprogrammen anderer Hersteller. Die folgenden Abschnitte beschreiben diese Tools.
Wartung
133
Systemmonitor
Das Systemmonitor-Snap-In, zu finden in der Konsole Computerverwaltung unter Zuverlässigkeit und
Leistung\Überwachungstools), bietet einige nützliche Leistungsindikatoren, von denen Sie Informationen über die Netzwerkleistung erhalten:
Netzwerkschnittstelle\Bytes gesendet/s und Netzwerkschnittstelle\Pakete gesendet/s Geben die gesamte übertragene Datenmenge an, unabhängig davon, ob für die Daten QoS-Richtlinien gelten
oder nicht.
Pacer-Datenstrom\Bytes gesendet und Pacer-Datenstrom\Gesendete Pakete
Relativ zu den Indikatoren der Netzwerkschnittstelle lässt sich mit diesen Indikatoren der Anteil des ausgehenden Datenverkehrs ermitteln, für den QoS-Richtlinien gelten.
Pacer-Pipe\Ungültige geplante Pakete und Pacer-Pipe\Ungültige geplante Pakete/Sekunde Wenn diese
Werte ansteigen, bedeutet dies, dass QoS den Datenverkehr durch eine Verlangsamung der Paketübertragung drosselt.
Network Monitor
genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten im Detail
untersuchen. Wie aus Abbildung 5.8 hervorgeht, können Sie mit dem Network Monitor zum Beispiel
den DSCP-Wert im IP-Header überprüfen. Wie Sie in der Abbildung sehen, gilt für das ausgewählte
IPv4-Paket der DSCP-Wert 10 (Massendatenverkehr). Auf diese Weise können Sie also überprüfen,
ob DSCP-Werte verwendet werden, und etwaige Probleme bei Bedarf beheben.
Abbildung 5.8 Anzeigen des DSCP-Werts im Network Monitor
Sie können den Network Monitor auch zur Überprüfung der Größe des TCP-Empfangsfensters verwenden, das Sie nach der Beschreibung aus dem Abschnitt »So konfigurieren Sie systemweit gültige
QoS-Einstellungen« dieses Kapitels konfigurieren können. Überprüfen Sie nach dem Aufzeichnen des
Datenverkehrs den Wert Window des TCP-Headers, wie in Abbildung 5.9 gezeigt. Windows passt diesen Wert zwar automatisch an, aber er sollte immer unter dem Wert liegen, der in Tabelle 5.3 für die
gewählte Einstellung angegeben wird.
134
Abbildung 5.9 Überprüfen des TCP-Empfangsfensters im Network Monitor
downloads/ und suchen nach Network Monitor. Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen
Überwachungsprogramme anderer Hersteller
Die Überwachung einzelner Computer kann nützliche Informationen darüber liefern, wie QoS-Richtlinien angewendet werden. Allerdings können Sie sich nur durch die Überwachung Ihrer Netzwerkinfrastruktur ein vollständiges Bild von der Netzwerkleistung und den Auswirkungen der QoS-Richtlinien machen. Versuchen Sie, von den Herstellern Ihrer Netzwerkinfrastruktur Informationen über
Überwachungsprogramme zu erhalten, mit denen Sie die QoS-Leistung überprüfen können.
Mit manchen Programmen können Sie auch die Leistung bestimmter Anwendungen überwachen.
Einige Entwickler (wie zum Beispiel Agilent und NetIQ) bieten Software zur Überwachung der VoIPLeistung an. Wenn Sie QoS einsetzen, um VoIP zu ermöglichen, sollten Sie Überwachungsprogramme
wie diese verwenden, um zu überprüfen, ob Ihr Netzwerk die Leistungsanforderungen erfüllt. Ist die
Leistung zu gering, erhöhen Sie die Bandbreite oder verringern die Datenmenge, die durch die QoSRichtlinien eine hohe Priorität erhält, oder beides.
Problembehandlung
QoS-Richtlinien verursachen normalerweise keine ernsthaften Verbindungsprobleme. Erfüllt QoS
aber nicht Ihre Leistungsanforderungen, können Sie die Richtlinien und die Konfiguration Ihrer Netzwerkinfrastruktur überprüfen, um sicherzustellen, dass die Implementierung nach Plan erfolgt ist. Die
folgenden Abschnitte beschreiben Methoden für die Behebung von Problemen, die sich mit QoSRichtlinien und mit der Netzwerkleistung ergeben können.
Problembehandlung
135
Überprüfen der QoS-Richtlinien
Mit den Gruppenrichtlinienergebnis-Assistenten können Sie einen Bericht über die QoS-Richtlinien
erstellen, die für einen Computer oder Benutzer gelten.
So zeigen Sie QoS-Richtlinien an
2. Klicken Sie den Knoten Gruppenrichtlinienergebnisse mit der rechten Maustaste an und klicken
Sie dann auf Gruppenrichtlinienergebnis-Assistent.
3. Klicken Sie auf der Willkommen-Seite des Gruppenrichtlinienergebnis-Assistenten auf Weiter.
4. Übernehmen Sie auf der Seite Computerauswahl die Standardeinstellung, indem Sie auf Weiter
klicken.
5. Übernehmen Sie auf der Seite Benutzerauswahl die Standardeinstellung, indem Sie auf Weiter klicken.
6. Klicken Sie auf der Seite Zusammenfassung der Auswahl auf Weiter.
8. Drücken Sie in der Konsole Gruppenrichtlinienverwaltung auf die EINGABETASTE , um den
Standardnamen für den Bericht zu übernehmen.
9. Klicken Sie bei Bedarf auf der Registerkarte Einstellungen unter Computerkonfiguration und unter Benutzerkonfiguration auf Für richtlinienbasiertes QoS anzeigen. Klicken Sie bei Bedarf dann
auf Für QoS-Richtlinien anzeigen.
10. Die Konsole Gruppenrichtlinienverwaltung zeigt alle QoS-Richtlinien an, die auf den Computer
oder Benutzer angewendet werden.
Die Konsole Gruppenrichtlinienverwaltung zeigt die QoS-Richtlinien mit ihren DSCP-Werten, Drosselungsraten, Richtlinienbedingungen und ausschlaggebenden Gruppenrichtlinienobjekten (das Gruppenrichtlinienobjekt mit der höchsten Priorität). Weitere Informationen über QoS-Richtlinienprioritäten finden Sie in diesem Kapitel unter der Überschrift »Planen von QoS-Gruppenrichtlinien und
Gruppenrichtlinienobjekten«.
Direkt von der Quelle: Aufzeichnen von QoS-Tags mit dem Network Monitor
Stellen Sie sich die Situation vor, dass eine Netzwerkanwendung QoS-APIs von Windows aufruft,
um den ausgehenden Datenverkehr in Schicht 2 mit einem IEEE 802.1Q-Tag UserPriority zu versehen (es wird gewöhnlich 802.1p genannt). Die Überprüfung, ob ein ausgehendes Paket tatsächlich mit diesem Tag versehen wurde, ist wegen des Aufbaus eines Windows-Netzwerkstapels und
der Weise, in der Pakete zusammengestellt werden, nicht so einfach, wie es auf den ersten Blick
vielleicht aussieht. Bei näherer Betrachtung aktualisiert der QoS-Paketplaner (Pacer.sys in Vista/
2008 Server und Psched.sys in XP/2003 Server) im Netzwerkstapel einfach eine Out-of-BandStruktur (nicht das tatsächlich zusammengestellte Paket), zu dem ein 802.1Q-UserPriority-Tag
hinzugefügt werden soll. Bei dieser speziellen NDIS-Struktur handelt es sich um NDIS_NET_BUFFER_
LIST_8021Q_INFO. Sie enthält Membervariablen für VlanID und UserPriority und wird an den NDISMiniporttreiber übergeben, um die Prioritätskennzeichnung (UserPriority) und die VLAN-Kennzeichnung (VlanId) vorzunehmen. Es bleibt dem NDIS-Miniporttreiber überlassen, anhand dieser
Werte das 802.1Q-Tag ins Paket einzufügen, bevor die Übertragung über die Verbindung erfolgt.
136
Ein Miniporttreiber wird dieses Tag nur einfügen, wenn diese Funktion unterstützt wird und in den
erweiterten Eigenschaften des Netzwerkkartentreibers aktiviert ist. Standardmäßig ist die Prioritätskennzeichnung in Schicht 2 deaktiviert.
Unter dem Aspekt des Schichtaufbaus des Netzwerkstapels ist es wichtig, dass es sich bei Pacer.sys
um einen NDIS-Lightweight-Filtertreiber (LWF-Treiber) handelt, der immer oberhalb eines Miniporttreibers eingefügt wird, bei dem es sich immer um die am tiefsten im Stapel liegende Software
handelt, weil er direkt mit der Netzwerkkarten-Hardware kommuniziert. Beachten Sie bitte auch,
dass Netzwerkprotokollanalyseprogramme wie Microsoft Network Monitor ebenfalls Netzwerkstapelfilter sind und immer oberhalb des Miniporttreibers eingefügt werden. Das ist wichtig, weil
daraus deutlich wird, dass bei der Aufzeichnung des Datenverkehrs auf dem sendenden Computer
nie das Tag eines Pakets sichtbar wird (das Tag wird unterhalb der Sniffing-Software eingefügt).
Wie steht es mit dem Versuch, das Netzwerk auf dem empfangenden Computer zu untersuchen?
Das ist zwar keine schlechte Idee, aber das Schicht-2-Tag wird dadurch nicht sichtbar. Wie aus der
NDIS-Entwicklerdokumentation eindeutig hervorgeht, müssen Miniporttreiber das Tag nach Erhalt
entfernen und die Werte in die Felder UserPriority und VlanId der Struktur NDIS_NET_BUFFER_LIST_
8021Q_INFO übertragen. Diese Out-of-Band-Struktur kann dann von den weiter oben im Stapel
liegenden NDIS-Filtertreibern zur Implementierung dieser Funktionen verwendet werden. Das
Schicht-2-Tag wird deswegen entfernt, weil Tcpip.sys alle empfangenen Pakete verwirft, die dieses
Tag enthalten. Wenn sich also ein Miniporttreiber falsch verhält und dieses Tag nicht entfernt, erreicht das Paket die Benutzermodusanwendung nicht, weil es intern verworfen wird.
Kurz gesagt:
Eine Netzwerkprotokollanalyseanwendung auf dem sendenden Computer sieht das Tag nie.
Eine Netzwerkprotokollanalyseanwendung auf dem empfangenden Computer sieht das Tag nie.
Die Überwachung von durch Tags gekennzeichneten Paketen in anderen Netzwerkelementen
(beispielsweise in einem Switch) ist schwierig, sofern sie überhaupt möglich ist.
Gabe Frost, Product Manager
Core Windows Networking
Überprüfen der DSCP-Strapazierfähigkeit
Wenn eine QoS-Richtlinie nicht den Leistungsvorteil bietet, den Sie erwartet haben, überprüfen Sie
zuerst, ob die QoS-Richtlinie richtig angewendet wird. Überprüfen Sie anhand des Abschnitts »Überprüfen der QoS-Richtlinien« dieses Kapitels, ob auf dem Zielcomputer die gewünschten QoS-Richtlinien gelten und zu dem Datenverkehr passen, den Sie priorisieren möchten.
Überprüfen Sie dann mit dem Network Monitor, ob dem ausgehenden Datenverkehr der richtige
DSCP-Wert zugewiesen wird. Weitere Informationen zu diesem Thema finden Sie im Abschnitt
»Network Monitor« dieses Kapitels. Wird der DSCP-Wert nicht zugewiesen, dann werden die QoSRichtlinien nicht richtig angewendet. Überprüfen Sie, ob das vorgesehene Gruppenrichtlinienobjekt
für den Computer gilt und ob die Zuordnung der QoS-Richtlinien zum betreffenden Datenverkehr
über den Namen der Anwendung, über die Portnummer oder die IP-Adresse erfolgen kann.
Da es der Netzwerkinfrastruktur möglich ist, die DSCP-Werte aus Paketen zu entfernen, müssen Sie
auch überprüfen, ob der DSCP-Wert noch vorhanden ist, wenn das Paket den Remotehost erreicht.
Handelt es sich beim Remotehost um einen Computer, auf dem Windows ausgeführt wird, können Sie
mit dem Network Monitor überprüfen, ob die DSCP-Werte beim Eingang auf dem Zielcomputer noch
vorhanden sind. Wird auf dem Remotehost kein Windows ausgeführt, verwenden Sie einen anderen
Problembehandlung
137
passenden Protokollanalysator. Sind die DSCP-Werte beim Eingang auf dem Remotehost nicht mehr
vorhanden, hat die Netzwerkinfrastruktur die DSCP-Werte entfernt. Wenden Sie sich zur Unterstützung bei der Problembehebung an Ihre Netzwerkadministratoren.
Ist der DSCP-Wert beim Eingang des Pakets auf dem Remotehost noch intakt, wurde die Netzwerkinfrastruktur vielleicht nicht korrekt auf die Priorisierung des Datenverkehrs eingestellt oder unterstützt vielleicht QoS nicht. Um die besten Ergebnisse zu erzielen, sollten alle Router zwischen Client
und Server QoS unterstützen und so eingerichtet werden, dass sie Pakete anhand ihrer DSCP-Werte
priorisieren. Auf dem Client können Sie mit dem Programm PathPing überprüfen, welchen Weg die
Pakete zwischen Client und Server vermutlich nehmen werden, wie das folgende Beispiel zeigt (der
fett gedruckte Text wird vom Benutzer eingegeben).
pathping www.contoso.com
Routenverfolgung zu contoso.com [10.46.196.103] über maximal 30 Abschnitte:
0 contoso-test [192.168.1.207]
1 10.211.240.1
2 10.128.191.245
3 10.128.191.73
4 10.125.39.213
5 gbr1-p70.cb1ma.ip.contoso.com [10.123.40.98]
6 tbr2-p013501.cb1ma.ip.contoso.com [10.122.11.201]
7 tbr2-p012101.cgcil.ip.contoso.com [10.122.10.106]
8 gbr4-p50.st6wa.ip.contoso.com [10.122.2.54]
9 gar1-p370.stwwa.ip.contoso.com [10.123.203.177]
10 10.127.70.6
11 10.46.33.225
12 10.46.36.210
13 10.46.155.17
14 10.46.129.51
15 10.46.196.103
Die Leistungsdaten, die PathPing liefert, sind bei der Behebung von QoS-Problemen mit Vorsicht zu
interpretieren, denn PathPing benutzt ICMP-Pakete (Internet Control Message Protocol), denen vielleicht eine niedrigere oder höhere Priorität als dem Datenverkehr zugewiesen wird, den Sie untersuchen. Gelegentlich kann sich der genaue Übertragungsweg je nach den Bedingungen ändern, die
im Netzwerk herrschen, oder die Übermittlung des Datenverkehrs, den Sie untersuchen, erfolgt wegen
der QoS-Einstellungen vielleicht auf einem anderen Weg als die Übermittlung der ICMP-Pakete.
Nachdem Sie mit PathPing eine mögliche Route zwischen Client und Server ermittelt haben, untersuchen Sie jede Routerkonfiguration und überprüfen, ob der Router die DSCP-Werte beibehält und ob
er den Datenverkehr korrekt anhand der DSCP-Werte priorisiert. Wenn möglich, überprüfen Sie auf
jedem Router mit einem Protokollanalysator, ob der DSCP-Wert noch intakt ist.
Isolieren von Netzwerkleistungsproblemen
Bei der Einrichtung von QoS gilt es in erster Linie zu verhindern, dass im vorrangigen Datenverkehr
zu hohe Verzögerungszeiten auftreten oder nicht genügend Bandbreite zur Verfügung steht. Überprüfen Sie zuerst anhand der Angaben in den Abschnitten »Überprüfen der QoS-Richtlinien« und »Überprüfen der DSCP-Strapazierfähigkeit« dieses Kapitels, ob Sie die QoS-Richtlinien und ihre Netzwerkinfrastruktur richtig eingestellt haben. Überprüfen Sie dann, ob folgende häufiger auftretende Probleme vorliegen:
138

Die Verzögerungszeiten erreichen die physikalischen Grenzen. Wie im Abschnitt »Verzögerungszeiten« dieses Kapitels beschrieben, können Verzögerungszeiten mit steigender Entfernung ebenfalls
ansteigen, weil sich das elektrische Signal nur mit endlicher Geschwindigkeit ausbreiten kann.
Um die Auswirkungen dieses Sachverhalts zu minimieren, sollten Sie für ein effizientes Routing
sorgen. Wenn Sie zum Beispiel an der Ostküste der USA zwei Büros haben und an der Westküste
eines, würde es mit einer größeren Verzögerungszeit bestraft, wenn der Datenaustausch zwischen
den beiden Ostküstenbüros über das Westküstenbüro erfolgte. Um das zu verhindern, könnten Sie
eine direkte Verbindung zwischen den Ostküstenbüros einrichten. In ähnlicher Weise führt auch
eine Datenübertragung durch ein VPN dazu, dass eine bestimmte Route weniger effizient wird.
Die Bandbreite erreicht ihre praktische Grenze. Wenn Sie nicht den erwarteten Datendurchsatz erreichen, überprüfen Sie, ob Ihre Erwartungen für die verwendete Netzwerkart realistisch sind.
Verkabelte Ethernetnetzwerke erreichen zum Beispiel nur 65 bis 80 Prozent ihrer theoretischen
Maximalleistung, während es Drahtlosnetzwerke gewöhnlich nur auf 35 bis 50 Prozent der ausgewiesenen Bandbreite bringen. Internetverbindungen einschließlich VPNs, die das Internet benutzen, haben es mit starken Schwankungen in der Übertragungsleistung zu tun, die nicht nur von
Ihrem direkten Internetanbieter abhängen, sondern auch von jedem anderen Internetanbieter, der
den Datenverkehr irgendwo auf dem Weg von der Quelle zum Ziel weiterleitet.
Der Computer ist ausgelastet. Wenn der Prozessor eines Computers stark ausgelastet ist, ist er
vielleicht nicht mehr in der Lage, eingehende Datenpakete zügig und effizient zu bearbeiten. Vielleicht leidet auch die Reaktionsgeschwindigkeit der Client- oder Serveranwendung darunter. Diese mögliche Problemursache können Sie vermeiden, indem Sie während der Tests nicht benötigte
Dienste und Anwendungen beenden.
Die Warteschlangen hoher Priorität sind auf den Routern überlastet. Die meisten Router, die QoS
unterstützen, ermöglichen Ihnen die Überwachung der Datenmengen, die sich in den verschiedenen Prioritätswarteschlangen befinden. Je mehr Pakete in einer Warteschlange vorhanden sind,
desto höher die Verzögerungszeit. Um diese Wirkung abzuschwächen, können Sie entweder die
Bandbreite im Zielnetzwerk erhöhen oder den Umfang des hoch priorisierten Datenverkehrs verringern.
Die Treiber sind zu langsam. Überprüfen Sie, ob die Computer über aktuelle Versionen der Netzwerkkartentreiber verfügen. Überprüfen Sie außerdem, ob die Routerfirmware auf dem neusten
Stand ist.
Bei entsprechender Anwendung kann das richtlinienbasierte QoS von Windows Vista und Windows
Server 2008 die Effizienz Ihres Netzwerks und die Qualität von Netzwerkanwendungen wie VoIP erhöhen. Wenn Sie sich einen Überblick über die häufigsten Ursachen von Leistungsproblemen in Netzwerken verschafft haben, wie zum Beispiel Verzögerungszeiten und Jitter, können Sie den Einsatz von
QoS zur Optimierung der verfügbaren Bandbreiten planen.
Eine QoS-Bereitstellung bedeutet die Konfiguration Ihrer Netzwerkinfrastruktur und der Computer
aus Ihrem Netzwerk. Zur Vereinfachung der Arbeit können Sie QoS für Computer, auf denen Windows Vista und Windows Server 2008 ausgeführt wird, mit Gruppenrichtlinien konfigurieren.
Nach der Bereitstellung können Sie die QoS-Leistung mit dem Systemmonitor, dem Network Monitor
oder mit Überwachungsprogrammen anderer Hersteller überwachen. Bei Bedarf können Sie QoSRichtlinien bearbeiten oder entfernen, um die QoS-Ziele zu erreichen, die Sie bei der Planung festgelegt haben. Wenn Sie die Planvorgaben nicht erreichen, können Sie zur Behebung der Probleme die
139
QoS-Richtlinien analysieren, die DSCP-Strapazierfähigkeit überprüfen und die Netzwerkverbindungen identifizieren, die für die Probleme verantwortlich sind.
In folgenden Dokumenten finden Sie weitere Informationen über die QoS-Unterstützung in Windows:
»Quality of Service« unter http://technet.microsoft.com/en-us/network/bb530836.aspx
RFC 2474, »Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6
Headers« unter http://www.ietf.org/rfc/rfc2474.txt
»The MS QoS Components« unter http://technet.microsoft.com/en-us/library/bb742475.aspx
»Quality of Service in Windows Server 'Longhorn' and Windows Vista« unter http://www.
microsoft.com/downloads/details.aspx?familyid=0230e025-9549-400b-807e-97e8a0cb9703
»Windows Vista Policy-based Quality of Service (QoS)« unter http://www.microsoft.com/
downloads/details.aspx?FamilyID=59030735-8fde-47c7-aa96-d4108f779f20
»Policy-based QoS Architecture in Windows Server 2008 and Windows Vista: The Cable Guy,
March 2006« unter http://www.microsoft.com/technet/community/columns/cableguy/cg0306.mspx
Das MSDN-Forum »Network Quality of Service MSDN« unter http://forums.microsoft.com/
MSDN/ShowForum.aspx?ForumID=825&SiteID=1
Weitere Informationen über die Verwaltung von Gruppenrichtlinien in Windows finden Sie in folgenden Dokumenten:
»Windows Server Group Policy« unter http://www.microsoft.com/grouppolicy
»Enterprise Management with the Group Policy Management Console« unter http://go.microsoft.
com/fwlink/?LinkID=8630
141
K A P I T E L
6
Skalierbare Netzwerke
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
141
147
151
153
153
155
156
Dieses Kapitel beschreibt die Planung, Bereitstellung und Wartung von Netzwerkfunktionen des Betriebssystems Windows Server 2008, die für einen Datendurchsatz von über 1 Gigabit vorgesehen
sind und zudem die Hauptprozessoren eines Computers entlasten sollen, sowie die Problembehebung
bei diesen Funktionen. In diesem Kapitel werden Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol) vorausgesetzt.
Konzepte
Da die Übertragungsleistungen der Netzwerke weiter steigen und Anwendungen beginnen, die höhere
Leistung zu nutzen, muss auch die Effizienz der Client- und Serversoftware steigen. Denken Sie zum
Beispiel an einen Computer, auf dem das Betriebssystem Windows Server 2003 ausgeführt wird und
der die Daten von mehreren stark beanspruchten 1- oder 10-Gigabit-Ethernet-Netzwerkkarten verarbeiten muss:
Die große Zahl an Unterbrechungen (Interrupts), mit denen Netzwerkkarten das Eintreffen neuer
Pakete bekannt geben, kann eine beträchtliche Menge an Rechenzeit beanspruchen.
Die Bearbeitung der Netzwerkdaten bleibt auf einen einzigen CPU-Kern beschränkt, obwohl viele
Server inzwischen über acht oder mehr Kerne verfügen. Dadurch wird die Skalierbarkeit beschränkt.
Die Übertragung der Daten von der Netzwerkkarte in Speicherbereiche des Betriebssystems erfolgt durch den Prozessor, der durch diesen Kopiervorgang zusätzlich belastet wird.
Wird die Kommunikation mit IPsec (Internet Protocol Security) geschützt, ist zusätzliche Rechenzeit für die Authentifizierung und Verschlüsselung erforderlich.
Diese technischen Aspekte ziehen in der Praxis einige Probleme nach sich:
SANs (Storage Area Networks) sind ineffizient, weil TCP/IP einen relativ hohen Verwaltungsaufwand erfordert, der die Speicher- und Abgleichvorgänge verlangsamt.
Anwendungen, die das Netzwerk stark belasten, wie zum Beispiel Sicherungsprogramme, können
ebenfalls einen großen Teil der Rechenzeit beanspruchen und dadurch alle anderen Anwendungen
behindern.
142
Kapitel 6: Skalierbare Netzwerke
Speicher, Rechenleistung und Bandbreite reichen vielleicht für einen Abgleich der Server aus,
aber die wachsende Belastung durch das Netzwerk und der damit verbundene Verwaltungsaufwand müssen von einem einzigen Prozessor getragen werden, der daher irgendwann einen
Engpass darstellen kann.
Für Dateiserver und Webserver, die in der Lage sein sollten, Netzwerke jeder Leistung auszulasten, stellt die Beschränkung auf einen Prozessor einen Engpass dar. Daher müssten mehrere Server eingesetzt werden, um diese Leistungsbeschränkung aufzuheben.
Die folgenden Abschnitte beschreiben Netzwerkkonzepte, die für skalierbare Netzwerke von Bedeutung sind.

Weitere Informationen TCP-Chimney-Abladung, Empfangsseitige Skalierung (Receive-Side Scaling,
RSS) und NetDMA wurden mit dem Windows Server 2003 Scalable Networking Pack eingeführt. Weitere
Informationen finden Sie in dem Artikel »Windows Server 2003 Scalable Networking Pack Overview« unter
http://www.microsoft.com/technet/community/columns/cableguy/cg0606.mspx. Die Betriebssysteme Microsoft Windows 2000, Windows XP und Windows Server 2003 sind in der Lage, IPsec-Abladung zu unterstützen.
TCP-Chimney-Abladung
Der Verwaltungsaufwand bei der Bearbeitung von Netzwerkverbindungen ist für den Prozessor so
groß, weil er zum Beispiel die Daten aus mehreren TCP-Paketen zu einem einzigen Segment zusammenfassen muss. Abbildung 6.1 stellt die TCP-Chimney-Abladung-Architektur dar, die es der
Netzwerkkarte ermöglicht, TCP-Daten für ausgehende Pakete zu segmentieren, die Daten aus den
eingehenden Paketen wieder zu größeren Einheiten zusammenzufassen und die Bestätigungen für
gesendete und empfangene Daten zu senden und zu verarbeiten.
Abbildung 6.1 TCP-Chimney-Abladung-Architektur
Konzepte
143
So funktioniert’s: TCP-Chimney-Abladung
Bei der TCP-Chimney-Abladung übergibt die Netzwerkkarte die Daten direkt an einen Switch aus
einer höheren Schicht und informiert die dazwischen liegenden Schichten nur durch eine Aktualisierung der Zustandsdaten über das Geschehen. Dadurch wird der Prozessor des Computers von
einem großen Teil des TCP-Verwaltungsaufwands entlastet. Die Switchschicht entscheidet, ob der
effizientere Chimney oder der herkömmliche Codepfad gewählt wird, bei dem die Daten durch die
dazwischen liegenden Schichten geleitet werden. Ohne TCP-Chimney-Abladung müssten alle
Datenübertragungen die Protokolle der Schichten 2, 3 und 4 durchlaufen.
Die TCP-Chimney-Abladung ist in den 32-Bit- und 64-Bit-Versionen der Betriebssysteme Windows
Vista und Windows Server 2008 möglich und funktioniert auf 32-Bit- und 64-Bit-E/A-Bussen. Eine
TCP-Chimney-Abladung bleibt für Administratoren und Anwendungsentwickler unsichtbar. Die TCPChimney-Abladung ist nicht zu QoS oder Netzwerkkarten-Teaming-Treibern kompatibel, die für ältere Windows-Versionen entwickelt wurden.
Hinweis Wie der Name andeutet, ändert sich durch TCP-Chimney-Abladung nichts daran, wie Datenpakete von anderen Protokollen wie ARP (Address Resolution Protocol), DHCP (Dynamic Host Configuration
Protocol), ICMP (Internet Control Message Protocol) und UDP (User Datagram Protocol) bearbeitet werden.
Auch mit TCP-Chimney-Abladung muss das Betriebssystem noch alle E/A-Vorgänge der Anwendungen bearbeiten. Daher zeigen sich die Vorteile überwiegend bei der Übertragung großer Datenmengen, während Anwendungen, die gelegentlich kleine Datenmengen übertragen, kaum eine Leistungssteigerung aufweisen dürften. Ein deutlicher Vorteil zeigt sich zum Beispiel auf Streamingmedienservern. Für einen Datenbankserver, der 100 bis 500 Bytes für eine Datenbank empfängt oder versendet, ändert sich dagegen kaum etwas.
Weitere Informationen Wenn Sie sich für die Leistungsdaten von TCP-Chimney-Abladung mit Testdaten interessieren, lesen Sie »Boosting Data Transfer with TCP Offload Engine Technology« unter
http://www.dell.com/downloads/global/power/ps3q06-20060132-broadcom.pdf und »Enabling Greater
Scalability and Improved File Server Performance with the Windows Server 2003 Scalable Networking
Pack and Alacritech Dynamic TCP Offload« unter http://www.alacritech.com/Resources/Files/File_
Serving_White_Paper.pdf. Weitere Informationen über TCP-Chimney-Abladung finden Sie in »Scalable
Networking: Network Protocol Offload – Introducing TCP Chimney« unter http://www.microsoft.com/whdc/
device/network/TCP_Chimney.mspx.
Empfangsseitige Skalierung
Wenn sich LAN-Geschwindigkeiten von 10 Gigabit weiter durchsetzen und in Zukunft mit noch
höheren Geschwindigkeiten zu rechnen ist, darf die Software bei der Bearbeitung des eingehenden
Datenverkehrs nicht zum Engpass werden. Einer der wichtigsten potenziellen Engpässe ist die Zeit,
die für die Bearbeitung eines Pakets erforderlich ist.
Die Rechenleistung der Computer hat sich auch in den letzten Jahren weiter gesteigert. Statt aber die
Taktfrequenzen der Mikroprozessoren immer weiter zu erhöhen, setzen Computerhersteller zunehmend auf die Verwendung mehrerer Prozessoren und auf Prozessoren mit mehreren Kernen. Damit
auch die Netzwerkkomponenten von Windows diese Rechenleistung ausnutzen können, sollte die
Software alle Prozesse vermeiden, die sich auf einen einzigen Ablaufpfad beschränken (die Software
sollte also nicht single-threaded sein).
144
Windows Server 2003 unterstützt NDIS 5.1 (Network Driver Interface Specification), das die Bearbeitung des eingehenden Datenverkehrs auf einen Prozessor beschränkt, wie in Abbildung 6.2 dargestellt (wobei die Wahl des Prozessors allerdings davon abhängt, welcher Prozessor die Unterbrechung
bearbeitet hat).
Abbildung 6.2 NDIS 5.0-Bearbeitung eingehender Datenpakete
Mit NDIS 6.0 und in Windows Vista und Windows Server 2008 kann die für das Netzwerk zuständige
Unterbrechungsroutine (Interrupt Service Routine, ISR) die Bearbeitung parallelisieren, indem sie die
auf einer RSS-fähigen Netzwerkkarte eingehenden Datenpakete auf die Warteschlangen von mehreren
Prozessoren verteilt (Abbildung 6.3).
Abbildung 6.3 NDIS 6.0-Bearbeitung von Datenpaketen, die auf einer RSS-fähigen Netzwerkkarte eingehen
Auf PCI-e- oder PCI-X-Computern, die MSI oder MSI-X unterstützen, können die Verwaltung in
einer Warteschlange und die Unterbrechungen auf mehrere Prozessoren verteilt werden, wie in Abbildung 6.4 dargestellt. Mit RSS erhalten Anwendungen und Dienste die Netzwerkdaten zwar immer
noch in der richtigen Reihenfolge, aber auf Mehrprozessorsystemen werden die Prozessoren effizienter genutzt.
Konzepte
145
Abbildung 6.4 NDIS 6.0 -Bearbeitung eingehender Datenpakete mit einer RSS-fähigen Netzwerkkarte,
die MSI oder MSI-X unterstützt
Direkt von der Quelle: MSI- und MSI-X-Unterbrechungen
Ein PCI-e-/PCI-X-Gerät kann auf zwei Arten eine Unterbrechung (Interrupt) hervorrufen:
Durch Unterbrechungsleitungen
Durch Nachrichten
Die Unterbrechung der laufenden Arbeit eines Prozessors durch eine Signalleitung ist die »alte«
Methode, Unterbrechungen auszulösen. Meistens werden alle Unterbrechungen, die durch Signalleitungen gemeldet werden, durch einen einzigen Prozessor bearbeitet. Moderne Systeme, die MSI
(Message Signaled Interrupts) unterstützen, ermöglichen es den Hardwaregeräten, einen beliebigen
Prozessor ihrer Wahl zu unterbrechen. RSS-fähige Netzwerkkarten, die außerdem Unterbrechungen auf MSI-Basis unterstützen, erreichen daher eine optimale Leistung, indem sie nicht nur die
eingehenden Pakete zur Bearbeitung auf mehrere Prozessoren verteilen, sondern auch die Unterbrechungen. Beachten Sie bitte auch, dass Windows Vista und Windows Server 2008 die ersten
Windows-Betriebssysteme sind, die MSI/MSI-X-Systeme und -Geräte softwaremäßig unterstützen.
Rade Trimceski, Program Manager
Windows Networking & Devices
Windows Server 2008 kann nicht nur für eingehenden Datenverkehr einen Lastausgleich unter allen
Prozessoren durchführen, sondern auch für die Bearbeitungsvorgänge, die durch TCP-Fensteraktualisierungen hervorgerufen werden. Insgesamt steigert RSS auf allen Mehrprozessorsystemen die Zahl
der Transaktionen pro Sekunde, die Zahl der Verbindungen pro Sekunde und den Netzwerkdurchsatz,
insbesondere auf Web-, Datei-, Sicherungs- und Datenbankservern.
Hinweis Die Standardeinstellung für RSS ist, für RSS die ersten vier geeigneten Prozessoren zu verwenden (geeignet sind alle Prozessoren mit Ausnahme von virtuellen Hyperthread-Prozessoren).
Weitere Informationen Ausführliche Informationen über RSS finden Sie in »Scalable Networking:
Eliminating the Receive Processing Bottleneck – Introducing RSS« unter http://download.microsoft.com/
download/5/D/6/5D6EAF2B-7DDF-476B-93DC-7CF0072878E6/NDIS_RSS.doc.
146
NetDMA
NetDMA, das von Intel und Microsoft gemeinsam entwickelt wurde, ist eine weitere Technik zur Verringerung der Prozessorbelastung bei der Bearbeitung des Netzwerkdatenverkehrs und zur Steigerung
des Netzwerkdurchsatzes. NetDMA überträgt Daten von einem Ort im Arbeitsspeicher des Computers
direkt an einen anderen Ort, wobei die Daten nicht den Mikroprozessor durchlaufen müssen.
NetDMA setzt voraus, dass die vorliegende Hardwareplattform eine Technologie wie Intel I/OAT
(Intel I/O Acceleration Technology) unterstützt, eine Funktion, die sich mit Intel Xeon-Prozessoren
und Chipsätzen der Reihe Intel 5000 verwenden lässt. Intels Tests zeigen, dass I/OAT mit NetDMA
die Prozessorauslastung von 36 auf 24 Prozent senken kann, wenn vier reale Gigabit-Ethernet-Netzwerkkarten in beide Richtungen ausgelastet werden, wodurch ein Datenverkehr von nahezu 8 Gigabit
pro Sekunde (GBit/s) entsteht. Mit acht Gigabit-Ethernet-Adaptern (die einen Datenverkehr von
ungefähr 16 GBit/s erzeugten) verbesserten Intel I/OAT und NetDMA den Durchsatz um mehr als
20 Prozent. Mit zwei oder weniger Gigabit-Ethernet-Netzwerkkarten im Computer, die 4 GBit/s oder
weniger an Datenverkehr erzeugten, waren die Verbesserungen dagegen nur gering.
Weitere Informationen Weitere Informationen über Intel I/OAT finden Sie unter http://www.intel.com/
go/ioat.
NetDMA und TCP-Chimney-Abladung sind nicht zueinander kompatibel. Wenn eine Netzwerkkarte
NetDMA und TCP-Chimney-Abladung unterstützt, verwendet Windows Server 2008 TCP-ChimneyAbladung.
Weitere Informationen Weitere Informationen über NetDMA finden Sie in »Introduction to Intel I/O Acceleration Technology and the Windows Server 2003 Scalable Networking Pack« unter http://www.intel.com/
technology/ioacceleration/317106.pdf.
IPsec-Abladung
IPsec kann den Netzwerkdatenverkehr authentifizieren und verschlüsseln, ohne Änderungen in der
Anwendung zu erfordern. Allerdings erfordert die Authentifizierung oder Verschlüsselung der Pakete
zusätzliche Rechenzeit. Auf Servern, die eine große Anzahl von Verbindungen bedienen und die auf
eine möglichst hohe Rechenleistung angewiesen sind, kann der für IPsec zusätzlich erforderliche
Rechenaufwand dazu führen, dass sich der Prozessor zum Leistungsengpass entwickelt.
Hinweis Für die Verschlüsselung der Daten in einer IPsec-Sitzung mit einem geheimen Schlüssel ist eine
gewisse Rechenzeit erforderlich. Allerdings verwendet IPsec bei der Einrichtung der IPsec-Sitzung eine
Verschlüsselung mit einem öffentlichen Schlüssel, um den geheimen Schlüssel übertragen zu können.
Es ist diese Verschlüsselung mit einem öffentlichen Schlüssel, die den größten Teil der Rechenzeit beansprucht.
Die IPsec-Abladung verlagert die IPsec-Bearbeitung auf eine entsprechende IPsec-abladungsfähige
Netzwerkkarte, die gewöhnlich über einen Prozessor verfügt, der für die Authentifizierung und Verschlüsselung optimiert wurde. Indem Sie einen Server mit einer Netzwerkkarte ausrüsten, die zur
IPsec-Abladung fähig ist, können Sie den Verwaltungsaufwand für IPsec wesentlich verringern (ob
dieser Faktor aber eine spürbare Rolle spielt, hängt von der Auslastung und der Rechenleistung des
Servers ab).
Weitere Informationen über IPsec finden Sie in Kapitel 4, »Windows-Firewall mit erweiterter Sicherheit«, und Kapitel 16, »IPsec-Erzwingung«.
147
Skalierbare Netzwerkfunktionen erfordern gewöhnlich die Verwendung der unterstützten Hardware.
Einige Funktionen machen Kompromisse erforderlich, beispielsweise die Deaktivierung von Softwarefirewalls. Wegen dieser Kosten sollten Sie sorgfältig überprüfen, ob die Vorteile der verschiedenen skalierbaren Netzwerkfunktionen die Nachteile überwiegen. Die folgenden Abschnitte beschreiben, wie Sie die skalierbaren Netzwerkfunktionen bewerten können.
Bewerten der Skalierungstechnologien für Netzwerke
Wenn Sie die für Sie geeignete Lösung suchen, berücksichtigen Sie Folgendes:
TCP-Chimney-Abladung funktioniert nur mit NDIS 6.0-Treibern unter
Windows Server 2008, NDIS 5.2-Treibern unter Windows Server 2003 mit SP2 und kompatibler
Hardware. Wenn Sie also einen NDIS 5.1-Treiber oder einen älteren Treiber verwenden oder Ihre
Netzwerkkarte die TCP-Chimney-Abladung nicht unterstützt, funktioniert es nicht. Da die Leistungsvorteile durch die TCP-Chimney-Abladung erst ab einem Durchsatz von 2 GBit/s von
Bedeutung sind, hat es wenig Sinn, in langsameren Netzwerken als Gigabit-Ethernet die TCPChimney-Abladung zu verwenden. Noch deutlicher dürften die Vorteile aber bei 10 GBit/s und
höher werden.
RSS und NetDMA RSS führt zu einer effizienteren Verwendung der Prozessoren, weil die Last auf
mehrere Prozessoren verteilt wird, während NetDMA den Umfang der Bearbeitung des Datenverkehrs durch die Prozessoren verringert. Falls Sie für die Anschaffung von RSS- oder NetDMAfähiger Hardware ein zusätzliches Budget brauchen, sollten Sie vor dem Kauf neuer Hardware
entsprechende Belastungstests durchführen, um zu überprüfen, ob tatsächlich der Prozessor der
limitierende Faktor ist und ob der Server Ihre Skalierungsanforderungen ohne spezielle Hardware
erfüllen kann. Wenn kein Prozessor vollständig ausgelastet wird, bieten RSS und NetDMA keine
nennenswerten Vorteile.
IPsec-Abladung
Wie RSS und NetDMA verbessert auch die IPsec-Abladung nur dann die Leistung, wenn der Prozessor den Engpass darstellt. Die IPsec-Abladungshardware verringert zwar
den Bearbeitungsaufwand für die Kryptografiefunktionen, beschleunigt aber nicht die Bearbeitung
in den Filterfunktionen. Vergessen Sie beim Test der IPsec-Abladungshardware nicht, dass die Abladungshardware gewöhnlich nur eine beschränkte Zahl von Sicherheitszuordnungen unterstützt.
Oberhalb dieser Grenze verwenden die Prozessoren des Computers die Kryptografiefunktionen,
als sei keine IPsec-Abladungshardware vorhanden.
Bei der Planung sollten Sie auch überprüfen, ob diese Skalierbarkeitsfunktionen zu Ihrer Serverkonfiguration kompatibel sind. Die TCP-Chimney-Abladung und NetDMA lassen sich nicht mit folgenden
Funktionen kombinieren:
Windows-Firewall
IPsec
NAT (Network Address Translation)
Firewalls anderer Hersteller
Außerdem ist RSS nicht zu NAT-Treibern kompatibel und wirkt nicht auf IPsec-Datenverkehr, sofern
dieser nicht mit IPsec-Abladung entschlüsselt wurde. Tabelle 6.1 listet die Skalierbarkeitstechnologien auf, die sich je nach der eingesetzten Netzwerktechnologie zur Leistungssteigerung eignen.
148
Tabelle 6.1 Kompatibilität der Netzwerktechnologie zu den Skalierbarkeitstechnologien
Technologie
TCP-Chimney- RSS
Abladung
NetDMA IPsecAbladung
Windows-Firewall
–
X
X
X
Firewalls anderer Hersteller
–
X
X
X
IPsec
–
Nur wenn die IPsec-Abladung verwendet wird
X
X
NAT
–
–
–
X
Wenn Sie also eine dieser Funktionen verwenden und herausfinden, dass die Bearbeitung der Netzwerkkommunikation zu viel Rechenzeit erfordert, werden Sie sich auf RSS stützen müssen und auf
die IPsec-Abladung, sofern Sie IPsec verwenden. Da die Verwendung der TCP-Chimney-Abladung
oder von NetDMA die Deaktivierung von Windows-Firewall und IPsec erfordert, sollten Sie diese
Funktionen nur auf Servern verwenden, die hohe Ansprüche an die Skalierbarkeit stellen und sich,
was die Sicherheit betrifft, auf externe Geräte verlassen können, um den Datenverkehr zu filtern, beispielsweise auf eine Netzwerkfirewall.
Belastungstest von Servern
Jede der in diesem Kapitel besprochenen Netzwerkskalierungstechnologien kann den maximalen
Durchsatz Ihrer Server erhöhen, indem sie die Belastung des Prozessors verringert. Allerdings ist die
Übernahme dieser Technologie den Aufwand vielleicht nicht wert, wenn Netzwerkadapter, die diese
Technologie unterstützen, wesentlich teurer sind als Standardnetzwerkkarten. Bevor Sie also einen
Teil Ihres Hardwarebudgets für diese Funktionen verplanen, sollten Sie überprüfen, ob Sie die zusätzliche Skalierbarkeit brauchen und ob es tatsächlich der Netzwerkdurchsatz oder der Prozessor ist, der
die Leistung Ihres Servers beschränkt.
Hinweis Sofern Sie bereits herausgefunden haben, dass die Leistung eines Servers durch einen zu
schwachen Netzwerkdurchsatz oder durch den Prozessor begrenzt wird, ist ein zusätzlicher Belastungstest
wahrscheinlich den Aufwand nicht wert. Testen Sie stattdessen die neue Hardware auf Kompatibilität, rüsten
Sie den Server mit einer Netzwerkkarte auf, die TCP-Chimney-Abladung, RSS, NetDMA und, sofern Sie
IPsec verwenden, auch die IPsec-Abladung unterstützt, und überwachen Sie anschließend die Leistung,
um zu überprüfen, ob die Verbesserungen spürbar werden.
Sie können mit einer entsprechenden Belastungstestsoftware die Skalierbarkeit von Servern überprüfen, indem Sie eine große Zahl von Clientanfragen simulieren. Damit die Produktivnetzwerke nicht
darunter leiden, sollten Sie diese Tests aber in einer speziellen Testumgebung durchführen.
Microsoft bietet folgende Tools für verschiedene Serverarten an:
Read80Trace und OSTRESS Ermöglicht die Belastung von Datenbankservern. Sie können diese
Tools unter http://www.microsoft.com/downloads/details.aspx?familyid=5691ab53-893a-4aafb4a6-9a8bb9669a8b herunterladen.
Web Capacity Analysis Tool Ermöglicht die Belastung von Webservern durch die Übermittlung
einer großen Zahl von Anfragen. Dieses Tool ist in den Internet Information Services (IIS) 6.0 Resource Kit Tools enthalten und lässt sich auch für andere Webserver verwenden. Sie können das
Tool unter http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a-4c73b628-ade629c89499 herunterladen.
149
Web Application Stress Tool Ein weiteres Tool zur Belastung von Webservern, erhältlich unter
http://www.microsoft.com/downloads/details.aspx?FamilyID=e2c0585a-062a-439e-a67d75a89aa36495.
Windows Media Load Simulator Ermöglicht Ihnen die Belastung von Streamingmedienservern.
Weitere Informationen erhalten Sie unter http://www.microsoft.com/windows/windowsmedia/
howto/articles/loadsim.aspx.
Außerdem bieten auch noch andere Firmen Belastungstestprogramme für verschiedene Serveranwendungen an. Falls Sie Eigenentwicklungen vorziehen, sollten Sie mit Ihrem Anwendungsentwicklungsteam über die Erstellung von Tools reden, die eine große Anzahl von Clientanfragen simulieren. Ausführlichere Informationen über die Erstellung von Belastungstesttools mit Microsoft Visual Studio
finden Sie in »Working with Load Tests« unter http://msdn2.microsoft.com/en-us/library/ms182561
(VS.80).aspx.

Überwachen der Serverleistung
Bei der Verwendung eines Belastungstesttools ist es wichtig, die Serverleistung zu überwachen, um
die Komponente ermitteln zu können, in der der Engpass auftritt. Mit dem Systemmonitor-Snap-In
können Sie zum Beispiel die folgenden Leistungsindikatoren verwenden, um Grenzen in der Netzwerkleistung zu ermitteln:
Prozessor\Prozessorzeit (%) Fügen Sie _Total und, sofern der Computer über mehrere Kerne oder
mehrere Prozessoren verfügt, <Alle Instanzen> hinzu. _Total ist bei der Abschätzung der Vorteile
der TCP-Chimney-Abladung, NetDMA und der IPsec-Abladung von Nutzen. <Alle Instanzen>
zeigt die Auslastung aller Prozessoren. An den Daten können Sie abschätzen, ob ein einzelner
Prozessor einen Leistungsengpass darstellt und ob der Server von RSS profitieren würde.
Prozess\Prozessorzeit (%) Überwachen Sie die Instanz System, die Ihnen unter anderem einen
Hinweis darauf gibt, wie viel Prozessorzeit für die Bearbeitung des Netzwerkdatenverkehrs aufgewendet wird, und alle Instanzen, die Prozessorzeit beanspruchen könnten. Wenn Sie zum Beispiel die Leistung eines Datenbankservers untersuchen, überwachen Sie den Datenbankprozess.
Wenn Sie einen Belastungstest mit Dateiservern durchführen, können Sie davon ausgehen, dass
der größte Teil der Prozessorzeit, die für die Instanz System ausgewiesen wird, der Bearbeitung
des Netzwerkdatenverkehrs zugeschrieben werden kann.
Prozessor\Interrupts/sec Dieser Wert sollte sinken, wenn Sie die TCP-Chimney-Abladung oder
eine andere Form der TCP-Abladung wählen.
Netzwerkschnittstelle\Empfangene Bytes/s und Netzwerkschnittstelle\Bytes gesendet/s Diese Leistungsindikatoren helfen Ihnen, die aktuelle Belastung des Servers einzuschätzen. Wenn Sie die
Belastung so stark erhöhen, dass der Server seine Leistungsgrenze erreicht, sollten diese Werte
nach der Aktivierung der Netzwerkskalierungsfunktionen höher sein.
Netzwerkschnittstelle\Empfangene Pakete/s und Netzwerkschnittstelle\Pakete gesendet/s Zusammen
mit den Leistungsindikatoren Empfangene Bytes/s und Bytes gesendet/s ermöglichen Ihnen diese
Leistungsindikatoren die Berechnung der durchschnittlichen Größe eines Pakets. NetDMA und
TCP-Chimney-Abladung bieten bei größeren Paketen deutlichere Vorteile, während RSS bei beliebigen Paketgrößen wirksam ist.
TCPv4\Aktive Verbindungen und TCPv6\Aktive Verbindungen Diese Werte zeigen Ihnen die aktuelle
Zahl aktiver TCP-Verbindungen und helfen Ihnen, die Belastung des Servers einzuschätzen.
150
So starten Sie den Systemmonitor und erfassen in Echtzeit Daten
1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf Zuverlässigkeits- und Leistungsüberwachung.
2. Wählen Sie den Knoten Zuverlässigkeit und Leistung\Überwachungstools\Systemmonitor.
3. Klicken Sie auf die Schaltfläche Hinzufügen (das grüne Pluszeichen) in der Symbolleiste, um
Leistungsindikatoren hinzuzufügen.
Nachdem Sie Leistungsindikatoren zum Systemmonitor hinzugefügt haben, können Sie einen Sammlungssatz erstellen, um die Daten für eine spätere Analyse in einer Datei zu speichern. Das ermöglicht
Ihnen, die Leistung vor und nach der Implementierung der Skalierbarkeitstechnologie zu vergleichen.
So erstellen Sie einen Sammlungssatz
1. Klicken Sie in der Zuverlässigkeits- und Leistungsüberwachung mit der rechten Maustaste auf
Systemmonitor, klicken Sie auf Neu und dann auf Sammlungssatz.
2. Geben Sie einen Namen für den Sammlungssatz ein, wie in Abbildung 6.5 gezeigt. Klicken Sie
dann auf Weiter.
Abbildung 6.5 Die erste Seite des Assistenten zum Erstellen neuer Sammlungssätze
3. Wählen Sie einen Ordner, in dem die Datendatei gespeichert werden soll, und klicken Sie dann
auf Weiter.
4. Klicken Sie auf der letzten Seite auf Fertig stellen.
Nach der Erstellung ist der Sammlungssatz im Knoten Sammlungssätze\Benutzerdefiniert zu finden.
Bevor Sie mit Ihrem Belastungstest beginnen, klicken Sie den Sammlungssatz mit der rechten Maustaste an und klicken dann auf Starten. Ist der Belastungstest abgeschlossen, klicken Sie den Sammlungssatz wieder mit der rechten Maustaste an und klicken dann auf Anhalten.
Nach der Datenerfassung können Sie die Daten mit folgenden Schritten analysieren:
1. Klicken Sie in der Zuverlässigkeits- und Leistungsüberwachung mit der rechten Maustaste auf
Systemmonitor und klicken Sie dann auf Eigenschaften.
151
2. Wählen Sie auf der Registerkarte Quelle die Option Protokolldateien und klicken Sie dann auf
Hinzufügen. Wählen Sie die Protokolldatei aus, die Sie einsehen möchten, und klicken Sie auf
Öffnen.
3. Klicken Sie auf OK, um zum Systemmonitor zurückzukehren und die Daten zu untersuchen.
Wenn Sie den potenziellen Nutzen der Skalierbarkeitsfunktionen abschätzen möchten, stellen Sie bei
der Untersuchung der Daten folgende Fragen:
Wurde einer der Prozessoren vollständig ausgelastet? Wenn dies der Fall ist und der Server über
mehrere Prozessoren verfügt, können RSS, TCP-Chimney-Abladung, NetDMA oder, sofern Sie
IPsec verwenden, die IPsec-Abladung die Leistung verbessern.
Liegen die Werte für Bytes gesendet/s und Empfangene Bytes/s in der Nähe der praktischen Grenzen, die
für das Medium gelten? In diesem Fall würden die Skalierbarkeitsfunktionen zwar nicht die Netzwerkleistungen verbessern, aber sie können die Auslastung des Prozessors verringern und auf diese
Weise mehr Rechenleistung für Anwendungen verfügbar machen. Lautet die Antwort auf die Frage
»nein« und werden die Prozessoren nicht vollständig ausgelastet, so wird die Leistung durch eine
andere Netzwerkkomponente beschränkt. Vielleicht brauchen Sie für den Belastungstest noch
weitere Clients, um den Server auszulasten. Vielleicht ist Ihre Netzwerkinfrastruktur nicht in der
Lage, die volle Geschwindigkeit zu bewältigen.
Bevor Sie skalierbare Netzwerkfunktionen verwenden, sollten Sie einen Belastungstest der Software
durchführen, wie im vorigen Abschnitt beschrieben, um Referenzwerte für die Einschätzung der Leistung Ihrer Server zu erhalten. Führen Sie den Test nach der Bereitstellung der skalierbaren Netzwerkfunktionen erneut durch und vergleichen Sie die Leistung mit den alten Werten. Dadurch können Sie
überprüfen, ob Sie die gewünschten Leistungsverbesserungen erreicht haben.
Die meisten skalierbaren Netzwerkfunktionen sind standardmäßig aktiviert, wenn auf dem Computer
kompatible Netzwerkkarten installiert sind. Daher ist vielleicht gar keine spezielle Konfiguration
mehr erforderlich. Die folgenden Abschnitte beschreiben, wie Sie die aktuelle Konfiguration überprüfen und die skalierbaren Netzwerkfunktionen aktivieren oder deaktivieren können.
Konfigurieren der TCP-Chimney-Abladung
Standardmäßig ist die TCP-Chimney-Abladung aktiviert. Wenn Sie den Status überprüfen möchten,
geben Sie folgenden Befehl und überprüfen die Zeile Chimney-Abladestatus:
netsh interface tcp show global
Auch wenn die TCP-Chimney-Abladung aktiviert ist, wird sie nur dann aktiv, wenn eine kompatible
Netzwerkkarte verfügbar ist. Um die TCP-Chimney-Abladung explizit zu aktivieren, geben Sie folgenden Befehl:
netsh interface tcp set global chimney=enabled
Zur Deaktivierung der TCP-Chimney-Abladung geben Sie folgenden Befehl:
netsh interface tcp set global chimney=disabled
Die TCP-Chimney-Abladung wird nur aktiviert, wenn alle folgenden Bedingungen erfüllt sind:
Es ist keine Firewall aktiviert, auch nicht Windows-Firewall.
Es werden keine IPsec-Richtlinien angewendet.
NAT ist nicht aktiviert.
152
Konfigurieren der empfangsseitigen Skalierung
Standardmäßig ist die empfangsseitige Skalierung (Receive-Side Scaling, RSS) aktiviert. Den aktuellen Status können Sie mit folgendem Befehl überprüfen:
netsh interface tcp show global
Auch wenn die empfangsseitige Skalierung aktiviert ist, wird sie nur dann aktiv, wenn eine kompatible Netzwerkkarte verfügbar ist. Um die empfangsseitige Skalierung explizit zu aktivieren, geben
Sie folgenden Befehl:
netsh interface tcp set global rss=enabled
Zur Deaktivierung der empfangsseitigen Skalierung geben Sie folgenden Befehl:
netsh interface tcp set global rss=disabled
Konfigurieren von NetDMA
Windows enthält keine Tools zur Konfiguration von NetDMA. Verwenden Sie zur Konfiguration und
Überwachung von NetDMA die entsprechende Software des Herstellers der Hardwareplattform (im
Fall von Intel I/OAT ist das zum Beispiel Intel). Das Intel I/OAT System Check Utility ist bei folgender Adresse erhältlich http://www.intel.com/support/network/adapter/pro100/sb/CS-023725.htm.
NetDMA wird nur aktiviert, wenn die folgenden Bedingungen alle erfüllt sind:
Die Netzwerkkarte ist so eingestellt, dass sie keine TCP-Chimney-Abladung unterstützt. (Diese
beiden Technologien sind inkompatibel. Sind beide verfügbar, ist die TCP-Chimney-Abladung zu
bevorzugen.)
NAT ist nicht aktiviert.
Konfigurieren der IPsec-Abladung
Die IPsec-Abladung ist standardmäßig aktiviert. Wenn Sie überprüfen möchten, ob die IPsec-Abladung und alle TCP/IP-Hardwarebeschleunigungen aktiviert sind, geben Sie in einer Eingabeaufforderung folgende Befehle und überprüfen die Zeile »Taskabladung«:
netsh interface ipv4 show global
netsh interface ipv6 show global
Außerdem können Sie die Abladefähigkeiten mit folgenden Befehlen ausführlicher untersuchen:
netsh interface ipv4 show offload
netsh interface ipv6 show offload
Um die IPsec-Abladung zu aktivieren oder zu deaktivieren, bearbeiten Sie den Registrierungswert
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ipsec\EnableOffload. Stellen Sie den
Wert zur Deaktivierung der IPsec-Abladung auf 0 oder zur Aktivierung der IPsec-Abladung auf 1.
Um die IPsec-Abladung und die TCP/IP-Hardwarebeschleunigungen explizit zu aktivieren, geben Sie
folgende Befehle:
netsh interface ipv4 set global taskoffload=enabled
netsh interface ipv6 set global taskoffload=enabled
Zur Deaktivierung der IPsec-Abladung und der TCP/IP-Hardwarebeschleunigungen geben Sie folgende Befehle:
netsh interface ipv4 set global taskoffload=disabled
netsh interface ipv6 set global taskoffload=disabled
Problembehandlung
153
Wartung
Nachdem Sie die skalierbaren Netzwerkfunktionen bereitgestellt haben, sollten Sie den Netzwerkdurchsatz und die Prozessorauslastung auf den Servern überwachen, um sicherzustellen, dass die
Funktionen aktiviert bleiben und ordnungsgemäß arbeiten. Steigt die Auslastung eines Prozessors
oder fällt der Netzwerkdurchsatz, wurden die skalierbaren Netzwerkfunktionen vielleicht deaktiviert.
Insbesondere die TCP-Chimney-Abladung und NetDMA sind zu vielen gängigen Netzwerkkomponenten inkompatibel und werden vielleicht als unerwünschte Nebenwirkung einer Softwareaktualisierung oder bei Konfigurationsänderungen automatisch deaktiviert.
Nachdem Sie überprüft haben, ob die skalierbaren Netzwerkfunktionen Ihnen Leistungsvorteile bieten
und in Ihrer Umgebung einsetzbar sind, sollten Sie die Belastungen Ihrer Server überwachen, um
andere Server zu identifizieren, die vielleicht von diesen Funktionen profitieren könnten. Wenn Sie
Server mit einer hohen Netzwerk- und Prozessorauslastung finden, beginnen Sie wieder mit der Planungsphase und überprüfen, welche Hardwareaufrüstungen erforderlich sind und ob die Aktivierung
der skalierbaren Netzwerkfunktionen von Vorteil wäre.
Problembehandlung
Wenn Ihr Netzwerk einen schlechten Durchsatz aufweist oder die Netzwerkleistung nach der Aktivierung der TCP-Chimney-Abladung oder der empfangsseitigen Skalierung sinkt, deaktivieren Sie diese
Funktionen und überprüfen, ob das Leistungsproblem damit behoben ist. Anleitungen zur Deaktivierung dieser Funktionen finden Sie im Abschnitt »Bereitstellungsschritte« dieses Kapitels.
Vielleicht ist es auch möglich, die Skalierbarkeitsfunktionen durch eine Änderung der Optionen Ihrer
Netzwerkkarte zu aktivieren, zu deaktivieren oder zu konfigurieren.
So zeigen Sie die Optionen der Netzwerkkarte an und ändern sie nach Bedarf
1. Klicken Sie auf Start, klicken Sie Computer mit der rechten Maustaste an und klicken Sie dann
auf Verwalten.
2. Erweitern Sie in der Konsole Server-Manager den Knoten Diagnose und klicken Sie dann auf
Geräte-Manager.
3. Erweitern Sie im Detailbereich den Knoten Netzwerkadapter.
4. Klicken Sie Ihren Netzwerkadapter mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
5. Das Eigenschaftendialogfeld des Netzwerkadapters öffnet sich. Klicken Sie auf die Registerkarte
Erweitert.
6. Überprüfen Sie die erweiterten Eigenschaften und nehmen Sie die gewünschten Einstellungen vor.
7. Klicken Sie auf OK, um Ihre Einstellungen zu speichern.
Problembehandlung bei der TCP-Chimney-Abladung
Um zu überprüfen, ob aktuelle Verbindungen abgeladen werden, geben Sie in einer Eingabeaufforderung folgenden Befehl:
netstat -t
154
Die Ausgabe wird ungefähr so aussehen:
Aktive Verbindungen
Proto. Lokale Adresse
Abladungsstatus
Remoteadresse
Status
TCP
127.0.0.1:27015
InHost
TCP
127.0.0.1:49166
Abgeladen
TCP
192.168.1.161:49169
InHost
TCP
192.168.1.161:50279
Abgeladen
TCP
192.168.1.161:54109
Abgeladen
TCP
192.168.1.161:54880
InHost
TCP
192.168.1.161:54931
Abgeladen
d820:49166
HERGESTELLT
d820:27015
HERGESTELLT
by1msg3245816:msnp
HERGESTELLT
MCE:5900
HERGESTELLT
beta:5900
HERGESTELLT
od-in-f103:http
WARTEND
76.9.1.18:http
WARTEND
Netstat zeigt eine Liste aller Verbindungen an. Die letzte Spalte zeigt den aktuellen Abladungsstatus.
(Vielleicht müssen Sie das Eingabeaufforderungsfenster verbreitern, damit sich der Text einfacher
lesen lässt). Die Verbindung kann sich in einem der folgenden Abladungszustände befinden:
InHost Die Netzwerkverbindung wurde nicht abgeladen (der Prozessor des Computers ist für die
Bearbeitung zuständig).
Abgeladen
Die Bearbeitung der Netzwerkverbindung erfolgt durch den Netzwerkadapter.
Abladen Die Netzwerkverbindung wird an den Netzwerkadapter übergeben.
Hochladen
Die Netzwerkverbindung wird an den Hostprozessor zurückgegeben.
Wenn Sie überprüfen möchten, welche Anwendungen sich in der TCP-Chimney-Abladungstabelle
befinden, geben Sie in einer Eingabeaufforderung folgenden Befehl:
netsh interface tcp show chimneyapplications
Wenn Sie die Socketinformationen in der TCP-Chimney-Abladungstabelle überprüfen möchten,
geben Sie in einer Eingabeaufforderung folgenden Befehl:
netsh interface tcp show chimneyports
Problembehandlung bei der IPsec-Abladung
Wenn Sie die IPsec-Abladung verwenden, zeigt der Network Monitor die Kommunikation unverschlüsselt an, weil die IPsec-Abladungshardware die Daten entschlüsselt, bevor sie vom Network
Monitor aufgezeichnet werden.
Wenn nach der Aktivierung der IPsec-Abladung Probleme auftreten, gibt es vielleicht Kompatibilitätsprobleme mit der IPsec-Abladungskomponente. Überprüfen Sie zuerst, ob Sie über die neuste
Version des Netzwerkadaptertreibers verfügen. Bleiben die Probleme nach einer Aktualisierung der
Treiber bestehen, deaktivieren Sie die IPsec-Abladung, wie im Abschnitt »Konfigurieren der IPsecAbladung« dieses Kapitels beschrieben. Tritt das Problem bei deaktivierter IPsec-Abladung nicht auf,
haben Sie die Ursache des Problems auf die IPsec-Abladung eingegrenzt.
155
Sobald Sie den IPsec-Abladungsadapter als Problemursache erkannt haben, sammeln Sie auf folgende
Weise weitere Informationen über das Problem:
Durchsuchen Sie das Systemereignisprotokoll nach Einträgen, die für IPsec wichtig sind.
Erstellen Sie eine Network Monitor-Aufzeichnung und analysieren Sie jeden Verbindungsversuch
mit dem IPsec-Monitor (Ipsecmon.exe). Überprüfen Sie den Leistungsindikator Empfangene vertrauliche Bytes des IPsec-Monitors und überprüfen Sie, ob Pakete beim Empfang verloren gehen.
Wenden Sie sich auch an den Verkäufer der IPsec-Abladungshardware. Vielleicht kann er Ihnen weiterhelfen.
Mit steigenden Netzwerkgeschwindigkeiten stellen viele Unternehmen fest, dass der Netzwerkdurchsatz auf einem Server durch die Prozessoren des Servers begrenzt werden kann. Obwohl man von
einem Datenbankserver vermutet, dass er einen großen Teil seiner Rechenleistung im Datenbankdienst erbringt, verwendet der Server in vielen Fällen einen beträchtlichen Teil der Rechenzeit für
die Durchführung der Netzwerkkommunikation. Der daraus entstehende Leistungsnachteil wird auf
Servern deutlich, die kontinuierlich mehr als 4 GBit/s an Daten senden und empfangen. Bei einem
Durchsatz von 8 GBit/s und mehr ist dieser Effekt nicht mehr zu vernachlässigen.
Damit Server auch einen so hohen Datendurchsatz verarbeiten können, unterstützt Windows Server
2008 (sofern der Computer mit kompatiblen Netzwerkadaptern ausgerüstet ist) vier wichtige Skalierungstechnologien für Netzwerke:
TCP-Daten werden direkt an höhere Schichten übergeben. Die Bearbeitung in den Schichten 2, 3 und 4 wird umgangen.
Empfangsseitige Skalierung In einem mit mehreren Prozessoren ausgerüsteten Computer kann die
Netzwerkbearbeitung durch mehrere Prozessoren gleichzeitig erfolgen, wobei die Reihenfolge der
Datenübertragungen erhalten bleibt.
NetDMA Statt die Daten bei Kopiervorgängen durch den Prozessor zu leiten, werden die Daten
direkt vom Netzwerkadapter in den Speicher des Computers übertragen.
IPsec-Abladung
Authentifizierung und Verschlüsselung erfolgen durch einen speziellen Prozessor
auf dem Netzwerkadapter. Dadurch wird der Hauptprozessor des Servers entlastet.
Allerdings weist jede dieser Technologien auch Nachteile auf. Erstens setzt jede einen Netzwerkadapter voraus, der die betreffende Technologie unterstützt. TCP-Chimney-Abladung und NetDMA können nicht zusammen mit Windows-Firewall, IPsec oder NAT verwendet werden. NetDMA erfordert
außer einem unterstützten Netzwerkadapter auch einen speziellen Chipsatz und kann nicht zusammen
mit der TCP-Chimney-Abladung verwendet werden.
Zur Konfiguration dieser Technologien verwenden Sie das Befehlszeilentool Netsh. Der Aufwand für
die Wartung und Problembehandlung sollte relativ gering sein, weil diese Technologien nach ihrer
Konfiguration unsichtbar im Hintergrund arbeiten.
156
Weitere Informationen über die Skalierung von Windows-Netzwerken finden Sie in folgenden Dokumenten:
»Scalable Networking« unter http://www.microsoft.com/snp
»Scalable Networking: Network Protocol Offload – Introducing TCP Chimney« unter
http://www.microsoft.com/whdc/device/network/TCP_Chimney.mspx
»Scalable Networking: Eliminating the Receive Processing Bottleneck – Introducing RSS« unter
http://download.microsoft.com/download/5/D/6/5D6EAF2B-7DDF-476B-93DC-7CF0072878E6/
NDIS_RSS.doc
»Microsoft Windows Scalable Networking Initiative« unter http://download.microsoft.com/
download/5/b/5/5b5bec17-ea71-4653-9539-204a672f11cf/scale.doc
»Introduction to Intel I/O Acceleration Technology and the Windows Server 2003 Scalable Networking Pack« unter http://www.intel.com/technology/ioacceleration/317106.pdf
Wenn Sie sich für Leistungstests der TCP-Chimney-Abladung interessieren, lesen Sie folgende
Dokumente:
»Boosting Data Transfer with TCP Offload Engine Technology« unter http://www.dell.com/
downloads/global/power/ps3q06-20060132-broadcom.pdf
»Enabling Greater Scalability and Improved File Server Performance with the Windows Server
2003 Scalable Networking Pack and Alacritech Dynamic TCP Offload« unter http://www.
alacritech.com/Resources/Files/File_Serving_White_Paper.pdf
Weitere Informationen über Belastungstests finden Sie in folgenden Tools und Dokumenten:
Die Tools Read80Trace und OSTRESS, erhältlich unter http://www.microsoft.com/downloads/
details.aspx?familyid=5691ab53-893a-4aaf-b4a6-9a8bb9669a8b
Das Tool Web Capacity Analysis Tool aus den Internet Information Services (IIS) 6.0 Resource
Kit Tools unter http://www.microsoft.com/downloads/details.aspx?FamilyID=56fc92ee-a71a4c73-b628-ade629c89499
Der Windows Media Load Simulator. Informationen sind erhältlich unter http://www.microsoft.
com/windows/windowsmedia/howto/articles/loadsim.aspx.
»Working with Load Tests« unter http://msdn2.microsoft.com/en-us/library/ms182561
(VS.80).aspx
Das Web Application Stress Tool, erhältlich unter http://www.microsoft.com/downloads/
details.aspx?FamilyID=e2c0585a-062a-439e-a67d-75a89aa36495
T E I L
I I
Namensauflösungsinfrastruktur
In diesem Teil:
Kapitel 7: Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 8: Windows Internet Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
159
195
159
K A P I T E L
7
Domain Name System
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
159
163
169
182
186
194
194
Dieses Kapitel bietet Ihnen Informationen über die Planung, Bereitstellung und Wartung der DNSServerrolle (Domain Name System) des Betriebssystems Windows Server 2008. Außerdem wird die
Problembehandlung besprochen. Das Kapitel setzt voraus, dass Sie über Grundwissen über Active
Directory-Domänen, die Aufgabe der Domänencontroller, DHCP (Dynamic Host Configuration Protocol) und TCP/IP (Transmission Control Protocol/Internet Protocol) verfügen.
Konzepte
Computer identifizieren sich untereinander mit IP-Adressen. Für Menschen sind aber Hostnamen wie
www.microsoft.com leichter zu verstehen und zu merken. DNS ermöglicht es Computern, menschenlesbare Hostnamen in computerfreundliche IP-Adressen zu übersetzen. Damit sich jeder der Millionen Computer im Internet mit einem Hostnamen identifizieren kann, wurde DNS als hierarchisches
verteiltes System konzipiert.
Die folgenden Abschnitte beschreiben die DNS-Hierarchie, die Verwendung von DNS-Zonen zur Verteilung der Verwaltung, die verschiedenen Arten von DNS-Ressourceneinträgen, die Identifizierung
von mobilen Clients mit DNS-Einträgen durch dynamisches DNS und den entscheidenden Vorgang,
nämlich die Auflösung von Hostnamen.
DNS-Hierarchie
Wie das Internet selbst ist DNS ein sehr großes verteiltes öffentliches System. Personen oder Organisationen registrieren den gewünschten Domänennamen bei einer Registrierungsstelle, von der der
Name in den öffentlichen, gemeinsam genutzten DNS-Servern der obersten Ebene registriert wird.
Solche Top-Level-DNS-Server lösen Namen wie microsoft.com zu den offiziellen DNS-Servern von
Microsoft auf. Diese DNS-Server wiederum lösen Namen, die wie zum Beispiel support.microsoft.
com oder windowsupdate.microsoft.com untergeordnete Domänen der registrierten Domäne sind, zu
IP-Adressen auf.
Damit DNS als skalierbares verteiltes System eingesetzt werden kann, ist es hierarchisch aufgebaut,
wie Abbildung 7.1 zeigt. Es gibt sowohl allgemeine Top-Level-Domänen (wie .com, .org und .net) als
160
Kapitel 7: Domain Name System
auch landesspezifische Top-Level-Domänen (wie .us, .uk und .tv). Firmen und Personen verfügen
dann über ihre eigenen Domänen der zweiten Ebene (wie microsoft.com oder contoso.com) und Organisationen können für eigene Zwecke untergeordnete Domänen einrichten (corp.microsoft.com).
Domänen, untergeordnete Domänen und Hostnamen werden durch Punkte (».«) voneinander getrennt,
wobei Hostnamen und untergeordnete Domänen zuerst angegeben werden und Top-Level-Domänen
zuletzt.
Abbildung 7.1 Die DNS-Hierarchie
DNS-Zonen
Jeder Domänenname in der DNS-Hierarchie (wie contoso.com, north.contoso.com und campus.north.
contoso.com) ist eine separate Zone. Jede Zone kann von einem anderen Server verwaltet werden.
Auf diese Weise wird DNS zum verteilten System. Sie können zum Beispiel die Zonen contoso.com
und north.contoso.com auf DNS-Servern verwalten, die in Ihrer Firmenzentrale stehen, und die Zone
west.conotoso.com auf einem DNS-Server, der in einer Zweigstelle steht.
Sie können einen Server auf verschiedene Weisen so einrichten, dass er eine Zone unterstützt:
Primärzone Dadurch wird der DNS-Server konfiguriert, dass er für die Zone autorisiert. Das bedeutet, dass der DNS-Server DNS-Anfragen für die Zone verbindlich beantworten kann und Änderungen und Ergänzungen an der DNS-Datenbank zulässt.
Sekundärzone Der so konfigurierte DNS-Server dient als Reserveserver für die Domäne. Das
bedeutet, dass der DNS-Server von einer primären Serverzone eine Kopie der Zone erhält und
DNS-Anfragen für die Zone beantworten kann. Sekundärzonen lassen keine direkten Änderungen
oder Ergänzungen zu.
Stubzone Ein so eingerichteter DNS-Server leitet Anfragen an einen anderen Namensserver weiter, der für die Zone als primärer oder sekundärer DNS-Server dient. Stubzonen enthalten nur NS-,
SOA- und A-Einträge.
DNS-Einträge
Innerhalb einer Domäne werden Netzwerkressourcen wie Domänencontroller, E-Mail-Server und
Clientcomputer durch Ressourceneinträge identifiziert. Im vollständigen Domänennamen www.contoso.com bezeichnet der Hostname www zum Beispiel einen Server aus der Domäne contoso.com.
DNS-Server unterstützen unterschiedliche Eintragstypen für Standardhostnamen, Mailserver, Aliasnamen, Reverse-IP-Adressen-Lookups und andere Ressourcen. Tabelle 7.1 zeigt die gebräuchlichsten
DNS-Ressourceneinträge.
Konzepte
161
Tabelle 7.1 Gebräuchliche DNS-Ressourceneinträge
Ressourceneintrag
Verwendungszweck
A
Die gebräuchlichste Methode zur Identifizierung eines Computers. Der A-Eintrag verknüpft einen Hostnamen mit einer IPv4-IP-Adresse.
AAAA
Ein A-Eintrag für IPv6. Vier A’s werden verwendet, weil eine IPv6-Adresse 128 Bit breit ist und daher
viermal mehr Platz als eine 32-Bit-IPv4-A-Adresse beansprucht.
CNAME
Ein kanonischer Namenseintrag, der als Alias (Zweitname) für einen vorhandenen A- oder AAAAEintrag dient. Sie können einen CNAME-Eintrag verwenden, wenn eine bestimmte IP-Adresse unter
mehreren verschiedenen Hostnamen zugänglich sein soll.
MX
Ein Mail Exchanger-Eintrag, der den für die Domäne zuständigen Mailserver angibt. Sie können mehrere MX-Einträge verwenden, um auch Reservemailserver anzugeben.
NS
Ein Namensservereintrag, der einen DNS-Server für eine Domäne bezeichnet. Wenn Sie mehrere DNSServer für die Domäne verwenden, sollte für jeden Server ein NS-Eintrag vorgenommen werden.
PTR
Ein Zeigereintrag, der es Clients ermöglicht, den einer IP-Adresse zugeordneten Hostnamen abzufragen.
Dieser Vorgang wird Reverse-DNS-Lookup genannt. Die Top-Level-Domäne für IPv4-PTR-Einträge ist
in-addr.arpa. Die Top-Level-Domäne für IPv6-PTR-Einträge ist ip6.arpa.
SOA
Der Autoritätsursprung-Eintrag (Start of Authority) gibt den autorisierenden DNS-Server an und muss
für alle Forward- und Reverse-Lookup-Zonen als erster Eintrag vorliegen.
SRV
Der SRV-Eintrag dient zur Identifizierung von Active Directory-Domänencontrollern in einer Domäne
und kann zur Identifizierung anderer Dienste verwendet werden.
Dynamische DNS-Updates
Vor Jahren, als den meisten Computern noch statische IP-Adressen zugewiesen wurden, erstellten
Administratoren die DNS-Einträge für jeden Computer im Netzwerk von Hand. Heutzutage werden
die meisten IP-Adressen mit DHCP automatisch zugewiesen. Da sich DHCP-Adressen ändern können, ist es nicht mehr sinnvoll, die Ressourceneinträge für sämtliche Computer von Hand zu aktualisieren.
Das dynamische DNS (Dynamic DNS) ermöglicht es Clients, ihre eigenen DNS-Einträge zu aktualisieren. Computer mit statischen IP-Adressen können zwar auch das dynamische DNS verwenden,
aber besonders sinnvoll ist es für DCHP-Clients, die vielleicht beim Ablauf der DHCP-Lease oder bei
jeder erneuten Verbindung mit einem Netzwerk eine andere IP-Adresse erhalten. Beim dynamischen
DNS übermittelt entweder der DHCP-Server oder der DHCP-Client einen aktualisierten Ressourceneintrag an den DNS-Server, wenn dem Client eine IP-Adresse zugewiesen wird.
Wie im Abschnitt »DNS-Sicherheit« dieses Kapitels beschrieben wird, ist es aber mit einem Sicherheitsrisiko verbunden, DNS-Aktualisierungen zuzulassen. Wenn Sie das Risiko minimieren möchten,
lassen Sie nur sichere DNS-Aktualisierungen zu oder sperren alle dynamischen DNS-Aktualisierungen.
DNS-Namensauflösung
Da DNS über Millionen verschiedener DNS-Server verteilt ist, kann kein einzelner Server Abfragen
nach allen möglichen Hostnamen beantworten. Daher erfolgt die Beantwortung von DNS-Abfragen
häufig rekursiv. Das bedeutet, dass der DNS-Server, der eine Abfrage erhält, die er nicht beantworten
kann, sich mit einer Abfrage an einen anderen DNS-Server wenden muss.
162
Eine typische DNS-Abfrage läuft folgendermaßen ab:
1. Ein Client sendet die DNS-Abfrage an seinen lokalen DNS-Server. Er braucht zum Beispiel die
IP-Adresse von www.microsoft.com.
2. Dieser DNS-Server sendet eine Abfrage an den Stamm-DNS-Server, um herauszufinden, welcher
DNS-Server für die Top-Level-Domäne (wie .com) zuständig ist.
3. Dieser DNS-Server sendet dann eine Abfrage an den Top-Level-DNS-Server der Domäne. In diesem Beispiel würde der lokale DNS-Server einen DNS-Server abfragen, der für .com zuständig
ist.
4. Der für .com zuständige DNS-Server antwortet dem lokalen DNS-Server des Clients und sendet
ihm die IP-Adresse des DNS-Servers der Domäne, wie in den NS-Einträgen der Domäne angegeben. In diesem Beispiel würde der .com-Server mit einer Liste der DNS-Server für die Domäne
microsoft.com antworten.
5. Der lokale DNS-Server sendet dem DNS-Server der Domäne der zweiten Ebene eine Abfrage, um
den Hostnamen aufzulösen. In diesem Beispiel würde der lokale DNS-Server eine Abfrage an
einen der DNS-Server für microsoft.com senden, um den Hostnamen www.microsoft.com aufzulösen.
6. Der DNS-Server der Domäne der zweiten Ebene für microsoft.com antwortet dem lokalen DNSServer mit der IP-Adresse des angegebenen Hostnamens.
7. Der lokale DNS-Server leitet die dem Hostnamen zugeordnete IP-Adresse an den Client weiter.
Damit ist die Abfrage abgeschlossen.
Hinweis Normalerweise speichert jeder Server auf jeder Stufe dieses Prozesses das Ergebnis der Abfrage zwischen, damit er zukünftige Abfragen mit demselben Hostnamen sofort beantworten kann. Außerdem können Clientcomputer Hostnamen lokal zwischenspeichern. Da Hostnamen für einige Stunden im
Zwischenspeicher stehen können, sind Änderungen an den vorhandenen DNS-Einträgen vielleicht einige
Stunden lang nicht für alle Clients sichtbar.
Abbildung 7.2 Ablauf einer DNS-Abfrage
163
Abbildung 7.2 illustriert den Ablauf einer DNS-Abfrage. In dieser Abbildung verfügt der StandardDNS-Server des Clients bereits in seinem Zwischenspeicher über die IP-Adresse des DNS-Servers für
.com. Andernfalls müsste er eine Abfrage an den DNS-Stammserver senden, um die IP-Adresse des
.com-DNS-Servers zu erfahren. Dieses vereinfachte Beispiel umfasst zwar sechs Schritte, aber in der
Praxis können manche Abfragen bereits mit zwei Schritten beantwortet werden, wenn der DNS-Standardserver den Hostnamen in seinem Zwischenspeicher vorfindet, oder sie erfordern vielleicht wesentlich mehr Schritte, wenn der gesuchte Host zu einer untergeordneten Domäne gehört.
DNS-Abfragen können zwar mit TCP oder UDP (User Datagram Protocol) durchgeführt werden, erfolgen aber praktisch immer mit UDP, um den Aufwand für den Aufbau einer TCP-Verbindung zu
vermeiden. TCP und UDP verwenden für den DNS-Datenverkehr Port 53.
Ist die DNS-Infrastruktur erst einmal aufgebaut, können sich nachträgliche Änderungen als sehr
schwierig erweisen. Um zu verhindern, dass in der DNS-Infrastruktur größere Änderungen erforderlich sind, bedarf es einer sorgfältigen Planung. Wenn Sie zum Beispiel einen Intranetserver
server.contoso.com nennen und sich später dazu entschließen, ihn nach server.north.contoso.com zu
verlegen, müssten Sie jede Clientanwendung aktualisieren, auf dem der Originalservername gespeichert ist, bevor die Änderung wirksam wird. Letztlich sparen Sie Zeit, wenn Sie bei der Planung Ihrer
DNS-Struktur bereits die Zukunft Ihrer Organisation berücksichtigen. Es könnte zum Beispiel erforderlich werden, zusätzliche Mitarbeiter einzustellen, Zweigniederlassungen zu gründen oder sich mit
anderen Organisationen zusammenzuschließen. Dieser Abschnitt beschreibt die Planung und Konzeption einer DNS-Infrastruktur.
DNS-Zonen
Jede Zone kann über einen anderen primären DNS-Server verfügen und die Verwaltung einzelner
Zonen lässt sich leicht an andere Gruppen aus Ihrer Organisation delegieren. Wenn Ihre Organisation
an mehreren Standorten über Büros verfügt und sich auch die IT-Abteilung über mehrere Standorte
verteilt, müssen Sie vielleicht für jedes Büro eine separate Zone einrichten. Ist Ihre IT-Verwaltung
dagegen zentral organisiert, wird sich eine geringere Zonenzahl leichter verwalten lassen. Um die
Sicherheitsrisiken zu beschränken, könnte es auch erforderlich sein, für interne und externe Namen
separate Zonen einzurichten. Die folgenden Abschnitte bieten Ihnen weitere Informationen über die
Planung Ihrer DNS-Zonen.
Interne und externe Zonen
Viele Organisationen brauchen interne und externe DNS-Einträge. Microsoft verwendet zum Beispiel
externe DNS-Einträge für öffentliche Server wie www.microsoft.com, connect.microsoft.com und
windowsupdate.microsoft.com. Außerdem verwendet Microsoft DNS-Einträge für jeden der vielen
Tausend Computer des internen Netzwerks.
Um zu verhindern, dass potenzielle Angreifer die Hostnamen und IP-Adressen der Computer Ihres
internen Netzwerks in Erfahrung bringen, sollten Sie für interne und externe DNS-Einträge separate
Zonen einrichten. Zu diesem Zweck können Sie zum Beispiel in Ihrer primären Domäne Unterdomänen einrichten, beispielsweise contoso.com für öffentliche Adressen und corp.contoso.com für nichtöffentliche Adressen. Sie können auch eine nichtöffentliche Domäne aufbauen, deren IP-Adressen
und Hostnamen sich nur in Ihrem internen Netzwerk auflösen lassen, beispielsweise in contoso.pvt.
164
Planen interner Zonen
Für eine kleine Organisation mit einer zentralen IT-Verwaltung reicht es vielleicht schon aus, eine
einzige interne Zone einzurichten. Sie können Ihre Server zum Beispiel file.corp.contoso.com, printer.corp.contoso.com oder mail.corp.contoso.com nennen. Allerdings wird die Verwaltung einer einzelnen Zone schwieriger, wenn die Zahl der Standorte steigt. Stellen Sie sich eine Organisation mit
zwei Büros vor, jedes mit einer eigenen IT-Abteilung. Wenn beide über einen Dateiserver verfügen,
geben beide Büros ihrem Server vielleicht den Namen file.corp.contoso.com und vergeben den
Namen auf diese Weise doppelt. Außerdem könnte ein Administrator in einem Büro eine Änderung
an der Zone durchführen, aus der sich für einen Administrator eines anderen Büros Schwierigkeiten
ergeben.
Mit der Zahl der Büros und DNS-Administratoren steigt auch die Zahl der potenziellen Konflikte.
Viele dieser Konflikte können Sie vermeiden, indem Sie für jedes Büro oder jede IT-Abteilung eine
separate Zone einrichten. Sorgen Sie bei jeder Zone dafür, dass folgende Bedingungen erfüllt sind:
Jede Zone verfügt über einen primären DNS-Server.
Jede Zone verfügt über mindestens einen sekundären DNS-Server, auf dem eine Sicherung der
Zonendatei gespeichert wird. Bei der Verwendung von Zonen, die in Active Directory integriert
sind, können Zonen automatisch die Zonendaten unter Domänencontrollern replizieren.
Jede Zone kann von allen anderen DNS-Servern der Organisation aufgelöst werden. Das kann die
Erstellung von Stubzonen bedeuten (Stubzonen werden im weiteren Verlauf des Kapitels noch besprochen).
Für jede Zone sind Administratoren vorgesehen, die für das Hinzufügen, Entfernen und Aktualisieren von Einträgen verantwortlich sind.
Anordnung der DNS-Server
DNS-Server für externe Domänen müssen mit dem öffentlichen Internet verbunden werden. Um
Angriffsflächen zu verkleinern, sollten Sie interne DNS-Server nur mit Ihrem nichtöffentlichen
Netzwerk verbinden.
Abbildung 7.3 zeigt, wie mit zwei DNS-Servern öffentliche und nichtöffentliche DNS-Dienste bereitgestellt und Risiken minimiert werden. In dieser Beispielkonfiguration wird der externe DNS-Server
zusammen mit öffentlichen Mail- und Webservern ans Grenznetzwerk angeschlossen. Der interne
DNS-Server wird zusammen mit den internen Servern und Clients ans interne Netzwerk angeschlossen. Der externe DNS-Server enthält Datensätze für externe Server. Bei Bedarf kann der interne
DNS-Server so konfiguriert werden, dass er DNS-Abfragen an den externen DNS-Server weiterleitet.
Clients senden bei der Einrichtung nahezu aller ausgehenden Netzwerkverbindungen zuerst eine
DNS-Abfrage. Folglich schwächt eine langsame Bearbeitung von DNS-Abfragen die Anfangsnetzwerkleistung jeder Netzwerkanwendung. Daher sollten Sie an jedem Standort einen DNS-Server einrichten, um die Verzögerungszeiten möglichst gering zu halten, selbst wenn dieser Standort keine
eigene Zone braucht.
Hinweis Ein Microsoft Windows-DNS-Server kann über 10.000 Abfragen pro Sekunde bearbeiten. Große
und wichtige Standorte sollten für die ersten 20.000 Benutzer zwei DNS-Server haben. Geht die Zahl der
Benutzer über 20.000 hinaus, fügen Sie für jeweils 10.000 zusätzliche Benutzer einen weiteren DNS-Server
hinzu. Vermeiden Sie es, auf jedem Domänencontroller einer Gesamtstruktur DNS zu installieren, sofern
Sie nicht an jedem Standort auf Redundanz in der Namensauflösung angewiesen sind.
Abbildung 7.3 Anordnung der externen und internen DNS-Server
Abbildung 7.4 Verwenden regionaler DNS-Server
165
166
Wenn Sie regionale Zonen implementieren (bei der Verwendung von in Active Directory integrierten
Zonen regionale Domänen), konfigurieren Sie einige DNS-Server als Sekundärserver für Server aus
anderen Regionen. Auf diese Weise erreichen Sie eine Art geografischer Redundanz. Dann können
Namen aus einer Zone auch dann aufgelöst werden, wenn das regionale Netzwerk ausfällt oder bei
einer Naturkatastrophe in der Region beschädigt wird. Abbildung 7.4 zeigt, wie regional verteilte
DNS-Server verwendet werden können, um die Ergebnisse von DNS-Abfragen lokal zwischenzuspeichern und die DNS-Datenbanken anderer Server zu sichern.
Selbst wenn für eine Zweigstelle keine eigene Zone vorgesehen ist, sollten Sie an dem Standort einen
DNS-Server zur Zwischenspeicherung einrichten. Zur Einrichtung solch eines DNS-Zwischenspeicherservers installieren Sie einfach die DNS-Serverrolle, ohne irgendwelche Zonen hinzuzufügen. Ein
DNS-Zwischenspeicherserver kann so konfiguriert werden, dass er interne oder externe DNS-Einträge
auflöst. Nach der Auflösung speichert er eine Kopie jedes Eintrags, damit er zukünftige Abfragen beantworten kann, ohne zusätzliche Abfragen im WAN durchzuführen. Informationen über die Netzwerkleistung finden Sie in Kapitel 5, »QoS auf Richtlinienbasis«.
Regionale DNS-Server können auch als primäre DNS-Server für die Zone der Region verwendet werden. In Active Directory-Umgebungen konfigurieren Sie regionale Domänencontroller so, dass sie als
regionale DNS-Server arbeiten, um die verbesserte Sicherheit und die automatische Zonenreplikation
zu nutzen.
DNS-Zonenreplikation
Abgesehen von den Routern ist keine andere Netzwerkkomponente wichtiger als die DNS-Server.
Praktisch jede Netzwerkanwendung ist auf DNS-Server angewiesen. Wenn Ihre DNS-Server nicht
mehr im Netzwerk verfügbar sind, werden praktisch alle Netzwerkaktivitäten aufhören. Damit Netzwerkanwendungen auch dann noch verwendbar sind, wenn ein DNS-Server ausfällt, sollten Sie für
jede Zone mindestens einen DNS-Reserveserver einrichten.
Zonenreplikation bedeutet, dass die Ressourceneinträge vom primären DNS-Server auf den sekundären DNS-Server (also auf den Reserveserver) übertragen werden. Liegt eine große Zahl an Ressourceneinträgen vor, die beispielsweise durch dynamische DNS-Clients häufig aktualisiert werden, sollten Sie prüfen, ob ausreichend Bandbreite für den Datenverkehr verfügbar ist, der durch die Zonenreplikation entsteht.
Um eine optimale Leistung zu erreichen, konfigurieren Sie Ihre DNS-Server als Domänencontroller
und verwenden Active Directory-integrierte Zonen. Active Directory-integrierte Zonen führen eine
automatische authentifizierte Replikation durch und übertragen nur die Änderungen, die in der DNSDatenbank erfolgt sind, an andere Server. Eine Replikation kann sich über folgende Bereiche erstrecken:
Auf allen DNS-Servern in dieser Gesamtstruktur Alle DNS-Server in der Gesamtstruktur, bei denen
es sich um Domänencontroller handelt, auf denen Windows Server 2003 oder Windows Server
2008 ausgeführt wird. Wählen Sie diese Replikationsart, wenn es in Ihrer Gesamtstruktur mehrere
Domänen gibt, in denen DNS-Server vorhanden sind.
Auf allen DNS-Servern in dieser Domäne Alle DNS-Server in der Domäne, bei denen es sich um
Domänencontroller handelt, auf denen Windows Server 2003 oder Windows Server 2008 ausgeführt wird. Dies ist die Standardeinstellung für Active Directory-integrierte Zonen.
Auf allen Domänencontrollern in dieser Domäne Alle Domänencontroller in der Active DirectoryDomäne, einschließlich Computer, auf denen Microsoft Windows 2000 Server ausgeführt wird.
Diese Option brauchen Sie nur zu wählen, wenn Sie immer noch DNS-Server unter Windows
167
2000 Server einsetzen. Dadurch wird aber der Replikationsdatenverkehr umfangreicher, weil
DNS-Einträge auch auf Domänencontroller repliziert werden, auf denen der DNS-Serverdienst
gar nicht installiert ist. Daher sollte diese Einstellung vermieden werden.
Auf allen Domänencontrollern im Bereich dieser Verzeichnispartition
Alle Domänencontroller in der
angegebenen Anwendungsverzeichnispartition, einschließlich der Computer, auf denen Windows
2000 Server ausgeführt wird. Auf diese Weise können Sie DNS-Daten auf DNS-Server replizieren, die unter Windows 2000 Server laufen, und den Bereich der Replikation einschränken. Diese
Option kann zwar den Umfang des Replikationsdatenverkehrs einschränken, erfordert aber zusätzliche Einstellungen. Weitere Informationen finden Sie im Hilfe und Support-System von Windows
Server 2008.
Active Directory-integrierte Zonen können Sie nur auf Domänencontrollern erstellen. Server, die nur
Mitglieder einer Domäne sind, sowie eigenständige Computer unterstützen keine Active Directoryintegrierte Zonen. Wenn Sie keine Active Directory-integrierten Zonen verwenden, erfolgt die Replikation auf sekundäre DNS-Server mit herkömmlichen Zonenübertragungen. Diese Methode zur Aktualisierung von DNS-Server beruht auf Standards, die in RFC 1034 (erhältlich unter http://www.ietf.
org/rfc/rfc1034.txt) und RFC 1035 definiert werden (erhältlich unter http://www.ietf.org/rfc/rfc1035.txt). Der Microsoft-DNS-Server unterstützt auch inkrementelle Zonenübertragungen, wie in
RFC 1995 beschrieben (erhältlich unter http://www.ietf.org/rfc/rfc1995.txt). In vielen gängigen Szenarien lässt sich dadurch der Umfang des Zonenübertragungsdatenverkehrs deutlich verringern.
So funktioniert’s: Zonenübertragungen
Während DNS-Standardabfragen über den UDP-Port 53 erfolgen, wird für Zonenübertragungen
der TCP-Port 53 verwendet. UDP ist für DNS-Abfragen effizienter, weil gewöhnlich nur zwei
Pakete gebraucht werden, nämlich eine Ein-Paket-Abfrage, die an den DNS-Server gesendet wird,
und eine Ein-Paket-Antwort, die zum Client zurückgesendet wird. Zonenübertragungen können
sehr umfangreich werden, insbesondere die erste Zonenübertragung, und erfordern daher die Zuverlässigkeit und Flusskontrolle von TCP.
Zonenübertragungen zuzulassen ist ein beträchtliches Sicherheitsrisiko, weil der Empfänger sofort
jeden Computer in Ihrer Organisation identifizieren kann und sich die erforderliche Bearbeitungszeit eignet, um einen DoS-Angriff (Denial-of-Service) durchzuführen. Daher erlaubt der DNSServer von Windows Server 2008 keine Zonenübertragungen von nichtautorisierten Servern. Verwenden Sie als zusätzliche Schutzmaßnahme Netzwerkfirewalls und Windows-Firewall, um den
TCP-Port 53 zu sperren. Weitere Informationen über Firewalls finden Sie in Kapitel 4, »WindowsFirewall mit erweiterter Sicherheit«.
Wenn der primäre und sekundäre DNS-Server inkrementelle Zonenübertragungen unterstützen (eine
Funktion, die von Windows 2000 Server und höher, BIND-Version 8.2.1 und höher und von vielen
anderen nicht von Microsoft stammenden DNS-Servern unterstützt wird), werden nur die Änderungen
übertragen, die seit der letzten Übertragung an der DNS-Datenbank erfolgt sind. Unterstützen weder
der primäre noch der sekundäre DNS-Server inkrementelle Zonenübertragungen, wird bei einer
Zonenübertragung die gesamte DNS-Datenbank kopiert. Ist eine große Zahl an Ressourceneinträgen
vorhanden, kann eine Zonenübertragung eine beträchtliche Bandbreite beanspruchen.
168
DNS-Sicherheit
Sicherheit ist aus verschiedenen Gründen für DNS-Server von entscheidender Bedeutung. Erstens
verlassen sich DNS-Clients darauf, dass DNS-Server für einen Hostnamen die korrekte IP-Adresse
liefern. Wenn ein Angreifer Hostnamen zu einem DNS-Server hinzufügen oder aktualisieren kann,
kann er den Datenverkehr umleiten und einen Man-in-the-middle-Angriff durchführen. Könnte ein
Angreifer zum Beispiel die IP-Adresse von www.woodgrovebank.com von der gültigen IP-Adresse in
die IP-Adresse eines nicht zugelassenen Servers ändern, könnte dieser Server die von den Benutzern
eingegebenen Informationen abfangen und aufzeichnen, einschließlich der PIN-Nummern, Kennwörter und Kontodaten.
Ein weiterer Grund für die hohe Bedeutung der Sicherheit der DNS-Server liegt darin, dass DNSServer gewöhnlich über die Hostnamen und IP-Adressen sämtlicher Computer aus den lokalen DNSZonen verfügen. Ein Angreifer mit Zugriff auf die Datenbank eines DNS-Servers verfügt daher über
eine Liste aller Computer und IP-Adressen in Ihrer Organisation, einschließlich Ihrer Domänencontroller und deren Standorte, die er für Angriffe verwenden könnte. Manche Anwendungen sind auf
einen Reverse-Lookup angewiesen, um Benutzer zu authentifizieren, beispielsweise Webserver.
Ein Webserver könnte zum Beispiel Anfragen von allen Clients zulassen, deren IP-Adresse sich zu
*.fabrikam.com auflösen lässt. Wenn der Computer des Angreifers also seine IP-Adresse zur ReverseLookup-Tabelle eines DNS-Servers hinzufügen kann, kann er sich als internen Computer ausgeben.
Um diese Sicherheitsrisiken möglichst klein zu halten, sollten Sie sich bei der Planung Ihrer DNSInfrastruktur an folgende Richtlinien halten:
Verwenden Sie Active Directory-integrierte Zonen, damit Sie einen Nutzen von der automatischen
authentifizierten DNS-Datenbankreplikation zwischen DNS-Servern haben.
Aktivieren Sie nur sichere dynamische DNS-Updates. Wenn Sie es nicht vertrauenswürdigen
Clients erlauben, ihre DNS-Einträge zu registrieren, steigt das Risiko sehr stark, dass ein Angreifer den DNS-Eintrag für eine Authentifizierung gegenüber einer Netzwerkanwendung oder für
einen Man-in-the-middle-Angriff verwenden kann.
Installieren Sie wie bei jedem anderen Computer immer die neusten Sicherheitsupdates auf Ihren
DNS-Servern. Außerdem sollten Sie sich über aktuelle Neuentwicklungen im Bereich der Sicherheitsrisiken informieren und entsprechende Maßnahmen ergreifen, um neue Angriffsformen abzuwehren.
Konfigurieren Sie auf internen DNS-Servern Windows-Firewall und Netzwerkfirewalls, um Abfragen von externen IP-Adressen zu blockieren.
Erlauben Sie Zonenübertragungen nur zu autorisierten DNS-Servern aus Ihrem internen Netzwerk. Wenn Sie Active Directory verwenden, können Sie Zonenübertragungen vielleicht auch
vollständig deaktivieren.
Überwachen Sie die Änderungen, die an Ihrer DNS-Datenbank vorgenommen werden, und
schränken Sie die Zahl der Benutzer ein, die das Recht haben, solche Änderungen durchzuführen.
Die Zone GlobalNames
Frühe Windows-Versionen waren auf WINS (Windows Internet Name Service) angewiesen, um in
gerouteten Netzwerken NetBIOS-Computernamen in IP-Adressen aufzulösen. Die WINS-Namensauflösung wird auch von den Betriebssystemen Windows Server 2008 und Windows Vista noch
unterstützt. NetBIOS-Computernamen sind einteilige Hostnamen, die bis zu 15 Zeichen lang sein
können, wie CONTOSOSERVER oder VISTA342.
169
Inzwischen ist DNS die bevorzugte Methode zur Namensauflösung. Wenn Sie derzeit nicht über eine
WINS-Infrastruktur verfügen, brauchen Sie wahrscheinlich auch keine einzurichten. DNS erfüllt alle
Anforderungen, die an eine Namensauflösung gestellt werden. Falls Sie noch mit einer WINS-Infrastruktur arbeiten, sollten Sie prüfen, ob eine Umstellung auf DNS nicht besser wäre. Um die Umstellung in Umgebungen zu erleichtern, in denen es mehrere Active Directory-Umgebungen gibt, unterstützen Windows Server 2008-DNS-Server die Zone GlobalNames.
Hinweis Einer der größten Nachteile von WINS liegt darin, dass es kein Internet Protocol Version 6 (IPv6)
unterstützt. DNS unterstützt IPv6.
Die Zone GlobalNames löst einfache einteilige Namen auf, wie zum Beispiel NetBIOS-Computernamen. Anders gesagt, die Zone GlobalNames könnte den Computernamen CONTOSOSERVER auflösen, ohne ihn in einen vollständigen Domänennamen (FQDN, Fully Qualified Domain Name) wie
contososerver.contoso.com umzuformen. Das ermöglicht es Clients aus unterschiedlichen DNS-Standarddomänen, dieselben Computernamen oder andere einteilige Namen aufzulösen. Anders als WINS
unterstützt die Zone GlobalNames keine dynamisch durchgeführten Einträge und ist daher für die
Ansprüche von Unternehmen nicht ausreichend skalierbar. Allerdings kann die Zone GlobalNames
statisch vorgenommene WINS-Einträge für wohlbekannte Server ersetzen.
Sie sollten nur dann den Ersatz Ihrer WINS-Infrastruktur durch eine GlobalNames-Zone in Erwägung
ziehen, wenn die folgenden Punkte erfüllt sind:
Sie wollen WINS außer Dienst stellen oder planen die Umstellung auf ein IPv6-Netzwerk.
Sie brauchen die Auflösung einteiliger (single-label) Namen nur für statisch eingetragene Namen,
beispielsweise für die Namen von Servern oder Websites.
Sie können sich nicht darauf verlassen, dass Clients Anfragen mit NetBIOS-Computernamen automatisch in vollständige Domänennamen (FQDNs) konvertieren. Normalerweise fügen Clients
zu jedem einteiligen Namen automatisch den Standarddomänennamen hinzu und versuchen, den
Namen mit DNS aufzulösen. Außerdem können Sie für Clients eine Liste mit Domänennamen
aufstellen, mit denen die Clients versuchen sollen, einteilige Namen aufzulösen. Wenn es aber zu
viele Domänennamen gibt, die in Frage kämen, kann die Zone GlobalNames eine sinnvolle Alternative sein.
Weitere Informationen Lesen Sie »Configuring DNS Client Settings« unter http://technet2.microsoft.
com/windowsserver/en/library/5fe46cef-db12-4b78-94d2-2a0b62a282711033.mspx?mfr=true.

Alle ihre autorisierenden DNS-Server werden unter Windows Server 2008 ausgeführt. Ältere
Windows-Versionen unterstützen die Zone GlobalNames nicht.
Weitere Informationen Weitere Informationen über die Zone GlobalNames erhalten Sie in
»DNS Server GlobalNames Zone Deployment« unter http://www.microsoft.com/downloads/
details.aspx?FamilyID=1c6b31cd-3dd9-4c3f-8acd-3201a57194f1. Weitere Informationen über
WINS finden Sie in Kapitel 8, »Windows Internet Name Service«.
Die Bereitstellung von DNS erfordert das Hinzufügen der Rolle DNS-Server, die Konfiguration der
Zonen, für die der DNS-Server zuständig ist, den Eintrag der Adresse des neuen DNS-Servers im
DHCP-Server und die manuelle Konfiguration der DNS-Clients, die mit einer statischen IP-Adresse
170
arbeiten. Diese Schritte sind aber alle relativ einfach und lassen sich gewöhnlich in wenigen Minuten
durchführen. Dieser Abschnitt beschreibt diese Aufgaben ausführlicher.
DNS-Serverkonfiguration
Wenn Sie einen DNS-Server einrichten, überprüfen Sie zuerst, ob der Computer die relativ geringen
Anforderungen erfüllt, die an einen DNS-Server gestellt werden. Installieren Sie dann die Rolle DNSServer. Nach der Konfiguration der Rolle DNS-Server können Sie den DNS-Server testen, bei Bedarf
die DNS-Stammserver konfigurieren und auch eine DNS-Weiterleitung einrichten, sofern erforderlich.
Zum Schluss konfigurieren Sie Zonen, für die Ressourceneinträge auf dem DNS-Server gespeichert
werden.
Die folgenden Abschnitte beschreiben, wie ein Computer als DNS-Server eingerichtet und Zonen
konfiguriert werden.
Voraussetzungen für DNS-Server
Der Bearbeitungsaufwand für die DNS-Serverrolle ist minimal und jeder Computer, der in der Lage
ist, Windows Server 2008 auszuführen, kann auch als DNS-Server dienen. Allerdings kann sich die
Speicherausstattung als Beschränkung erweisen, wenn die Zonen Tausende von Ressourceneinträgen
umfassen. Zusätzlich zu dem Arbeitsspeicher, der vom Betriebssystem (etwa 512 MB) und anderen
installierten Rollen beansprucht wird, erfordert jeder DNS-Eintrag ungefähr 100 Bytes RAM. Enthält
eine Zone also 10.000 Ressourceneinträge, braucht der Server, auf dem die Zone verwaltet wird, dafür
ungefähr 1 MB Speicher. Wenn Sie Reverse-Lookups von IP-Adressen aktivieren, sind für jeden Computer mindestens zwei Ressourceneinträge erforderlich, nämlich ein A-Eintrag und ein PTR-Eintrag.
Installieren der Rolle DNS-Server
Die einfachste Methode, einen Windows Server 2008-Computer zu einem DNS-Server zu machen,
besteht darin, mit dem Server-Manager die Rolle DNS-Server hinzuzufügen.
So konfigurieren Sie einen Server, der kein Domänencontroller ist, als DNS-Server
1. Konfigurieren Sie den Server mit einer statischen IP-Adresse. Da Clients für die Suche nach
einem DNS-Server keinen Hostnamen verwenden können, darf sich die IP-Adresse eines DNSServers nie ändern.
3. Klicken Sie in der Strukturansicht auf Rollen und anschließend im rechten Bereich auf Rollen hinzufügen.
5. Auf der Seite Serverrollen auswählen wählen Sie DNS-Server und klicken dann auf Weiter.
6. Klicken Sie auf der Seite DNS-Server auf Weiter.
8. Klicken Sie auf der Seite Installationsergebnisse auf Schließen.
Windows Server 2008 wird einige Minuten brauchen, um die DNS-Serverrolle zu installieren. Zur
Standardkonfiguration gehört eine Liste mit IP-Adressen von DNS-Stammservern, damit sich der
Server sofort für die Auflösung von öffentlichen Hostnamen verwenden lässt und als zwischenspeichernder DNS-Server dienen kann.
171
Konfigurieren des DNS-Servers
Nach der Installation der DNS-Serverrolle können Sie den Server mit dem Snap-In DNS-Manager
verwalten. Wenn Sie das DNS-Manager-Snap-In im Server-Manager öffnen möchten, erweitern Sie
Rollen und klicken dann auf DNS-Server. Die folgenden Abschnitte beschreiben, wie Sie verschiedene Konfigurationsaufgaben im geöffneten DNS-Manager durchführen können.
Testen des DNS-Servers
Sie können im Server-Manager überprüfen, ob Ihr DNS-Server Namen aus dem Internet korrekt auflöst. Damit wird aber nur überprüft, ob die Stammserver richtig konfiguriert wurden. Es wird also
nicht getestet, ob Ihre internen Zonen eingerichtet sind.
Testen der Konfiguration des DNS-Servers
1. Erweitern Sie im linken Bereich unter Server-Manager den Knoten DNS-Server so weit, dass Sie
den Servernamen sehen.
2. Klicken Sie den Namen Ihres Servers mit der rechten Maustaste an und klicken Sie dann auf
Eigenschaften.
3. Klicken Sie auf die Registerkarte Überwachen.
4. Wählen Sie eines oder mehrere der Kontrollkästchen. Damit legen Sie fest, wie der Test erfolgt.
Folgende Optionen stehen zur Wahl:
Einfache Abfrage auf diesem DNS-Server Fragt den DNS-Server mit einem Eintrag ab, den der
DNS-Server lokal auflösen kann.
Rekursive Abfrage auf andere DNS-Server Fragt den DNS-Server mit einem Eintrag ab, der
eine Rückfrage bei einem Remote-DNS-Server erfordert.
Automatischen Test bei folgendem Intervall durchführen Führt den Test mit regelmäßigen Wiederholungen aus, zwischen denen eine Pause von mindestens 30 Sekunden eingelegt wird.
Dieser Test wird sogar dann fortgesetzt, wenn das Eigenschaftendialogfeld des Servers geschlossen wird.
5. Klicken Sie auf Jetzt testen.
Das Eigenschaftendialogfeld zeigt die Ergebnisse des Tests in der Liste Testergebnisse an. Ist die einfache Abfrage erfolgreich, bedeutet dies, dass der DNS-Server läuft. Ist die rekursive Abfrage erfolgreich, dann läuft der DNS-Server und ist in der Lage, eine Verbindung mit den DNS-Stammservern
herzustellen, um öffentliche DNS-Namen aufzulösen.
Konfigurieren der DNS-Stammserver
Von Zeit zu Zeit, in Abständen von einigen Jahren, aktualisiert die Internet Assigned Numbers Authority (IANA) die IP-Adresse eines DNS-Stammservers oder gibt vielleicht einen neuen DNS-Stammserver bekannt. Die IANA wird aber nie mehr als ein oder zwei IP-Adressen auf einmal ändern, und
solange ein DNS-Stammserver auf Ihrem Server korrekt konfiguriert ist, wird er in der Lage sein, öffentliche Hostnamen aufzulösen. Daher brauchen Sie sich um die Verwaltung der Liste der DNS-Stammserver nicht allzu viele Gedanken zu machen. Die aktuelle Liste der DNS-Stammserver erhalten Sie
von http://www.root-servers.org/.
So ändern Sie einen DNS-Stammserver oder fügen einen DNS-Stammserver hinzu
Eigenschaften.
2. Klicken Sie auf die Registerkarte Stammhinweise.
172
3. Um einen DNS-Stammserver zu ändern, wählen Sie ihn aus und klicken auf Bearbeiten. Wählen
Sie die vorhandene IP-Adresse, geben Sie die neue IP-Adresse ein und klicken Sie dann auf OK.
4. Um einen DNS-Stammserver hinzuzufügen, klicken Sie auf Hinzufügen. Geben Sie den Namen
des DNS-Servers ein (wie m.root-servers.net) und klicken Sie dann auf Auflösen. Nachdem die
IP-Adresse überprüft wurde, klicken Sie auf OK.
5. Klicken Sie auf OK, um zum DNS-Manager zurückzukehren.
Standardmäßig ist ein neuer DNS-Server nur als zwischenspeichernder DNS-Server konfiguriert. Der
DNS-Server kann Namen aus dem öffentlichen Internet auflösen und speichert die Ergebnisse für
nachfolgende Abfragen.
Direkt von der Quelle: Der Unterschied zwischen DNS-Serverweiterleitung
und Stammhinweisen
Ein DNS-Server, der die Weiterleitung einsetzt, wird Abfragen an bestimmte DNS-Server weiterleiten und eine rekursive Bearbeitung anfordern. Ein DNS-Server, der Stammhinweise verwendet,
wird versuchen, Abfragen rekursiv zu bearbeiten, wobei er mit den angegebenen Stammhinweisen
beginnt. Der wichtigste Unterschied liegt darin, dass Stammhinweise nur verwendet werden können, wenn es einen DNS-Stamm gibt, der sich für Ihre Umgebung eignet. Wenn Sie Ihre eigenen
Stammserver betreiben, können Sie die Weiterleitung (Forwarding) oder Stammhinweise verwenden, aber wenn Sie keine eigenen Stammserver betreiben, werden Sie sich vermutlich auf die Weiterleitung beschränken.
Wenn Sie zum Beispiel ein großes Unternehmensnetzwerk aufbauen und Ihren eigenen internen
Stammserver betreiben, können Sie sich für Stammhinweise entscheiden. In diesem Fall ist die Internetnamensauflösung zwar nicht in Ihrem Firmennetzwerk verfügbar, aber diese Aufgabe könnten auch Proxyserver übernehmen. In kleineren Umgebungen und insbesondere dann, wenn die
Computer in der Lage sein sollen, auch Internetnamen aufzulösen, sollten Sie die Weiterleitung
verwenden, weil die DNS-Stammserver des Internet nicht wissen, wie sie Ihre Active DirectoryDomänen finden können.
Jeff Westhead, Senior Software Development Engineer
Konfigurieren der DNS-Weiterleitung
Wie in diesem Kapitel bereits beschrieben, können DNS-Server alle Abfragen, die sich in der lokalen
Zone nicht beantworten lassen, an einen anderen DNS-Server weiterleiten.
So richten Sie die DNS-Weiterleitung ein
1. Öffnen Sie den DNS-Manager.
Eigenschaften.
3. Klicken Sie auf die Registerkarte Weiterleitungen.
4. Klicken Sie auf Bearbeiten.
Das Dialogfeld Weiterleitungen bearbeiten öffnet sich.
173
5. Im Dialogfeld Weiterleitungen bearbeiten geben Sie die IP-Adresse oder den Hostnamen des
DNS-Servers ein, an den alle nicht beantwortbaren DNS-Anfragen weitergeleitet werden sollen,
und drücken dann die EINGABETASTE .
Der angegebene Weiterleitungsserver wird sofort getestet, um zu überprüfen, ob er Hostnamen
auflösen kann.
6. Wiederholen Sie die Schritte 4 und 5 bei Bedarf, um weitere Server hinzuzufügen. Dann bringen
Sie die DNS-Server mit den Schaltflächen Nach oben und Nach unten in die gewünschte Reihenfolge.
7. Klicken Sie auf OK, um zum Eigenschaftendialogfeld des Servers zurückzukehren.
8. Wählen Sie auf der Registerkarte Weiterleitungen das Kontrollkästchen Stammhinweise verwenden, wenn keine Weiterleitungen verfügbar sind, wenn Sie möchten, dass der Server Hostnamen
mit öffentlichen DNS-Servern aufzulösen versucht, falls die Weiterleitungsserver, die sie konfiguriert haben, nicht antworten.
9. Klicken Sie auf OK, um zum DNS-Manager zurückzukehren.
Nach der Einrichtung der Weiterleitungen wird Ihr DNS-Server als zwischenspeichernder DNS-Server
arbeiten.
Direkt von der Quelle: Einrichten der DNS-Weiterleitung
Die DNS-Server in einer untergeordneten Active Directory-Domäne sollten Abfragen an einen oder
mehrere DNS-Server aus der direkt übergeordneten Domäne weiterleiten, damit die Weiterleitung
auf diese Weise bis hinauf zur Stammdomäne erfolgen kann. Die DNS-Server in der Stammdomäne können so eingestellt werden, dass sie Abfragen an die DNS-Server Ihres Internetanbieters weiterleiten, wenn die Computer in Ihrer Active Directory-Umgebung Internetnamen auflösen sollen.
Gehört Ihre Active Directory-Umgebung zu einer umfangreicheren Unternehmensinfrastruktur,
können Sie die DNS-Server Ihrer Stammdomäne auch so einrichten, dass sie Abfragen an geeignete DNS-Server aus Ihrer Unternehmensinfrastruktur weiterleiten.
Es ist sehr wichtig, dass alle DNS-Server aus der Weiterleitungsliste dieselbe Sicht auf den DNSNamespace haben. Sie sollten zum Beispiel keine Weiterleitung an beide DNS-Server Ihres Internetanbieters und an andere DNS-Server aus Ihrer Active Directory-Infrastruktur vornehmen. Es
wird vorausgesetzt, dass alle Weiterleitungen aus der Liste für alle Namen zum selben Ergebnis
kommen. Da die DNS-Server Ihres Internetanbieters keine Namen aus Ihrer Active DirectoryUmgebung auflösen können, dürfen Sie keine DNS-Server Ihres Internetanbieters mit DNS-Servern aus Ihrer Active Directory-Umgebung kombinieren, wenn Sie Weiterleitungen festlegen.
Konfigurieren von Zonen
Die folgenden Abschnitte beschreiben die Einrichtung der verschiedenen Zonenarten. Informationen
über die Planung von Zonen finden Sie in diesem Kapitel unter der Überschrift »DNS-Zonen«.
Konfigurieren einer primären Forward-Lookupzone
Primäre Forward-Lookupzonen speichern die maßgebliche Kopie der DNS Ressourceneinträge. Sie
brauchen aber nur für Zonen, für deren Verwaltung Sie zuständig sind, primäre Forward-Lookupzonen einzurichten.
174
So fügen Sie eine primäre Forward-Lookupzone hinzu
2. Erweitern Sie den Namen Ihres Servers, klicken Sie Forward-Lookupzonen mit der rechten Maustaste an und klicken Sie auf Neue Zone.
Der Assistent zum Erstellen neuer Zonen öffnet sich.
3. Klicken Sie auf der Willkommen-Seite des Assistenten zum Erstellen neuer Zonen auf Weiter.
4. Klicken Sie auf der Seite Zonentyp auf Primäre Zone. Handelt es sich bei dem DNS-Server um
einen Domänencontroller, können Sie auch noch das Kontrollkästchen Zone in Active Directory
speichern wählen. Klicken Sie auf Weiter.
5. Wenn die Seite Active Directory-Zonenreplikationsbereich erscheint, wählen Sie die gewünschte
Replikationsweise und klicken dann auf Weiter. Die Seite Active Directory-Zonenreplikationsbereich erscheint nur bei der Erstellung einer Active Directory-integrierten Zone. Weitere Informationen über die Active Directory-Zonenreplikation finden Sie im Abschnitt »DNS-Zonenreplikation« dieses Kapitels.
6. Geben Sie auf der Seite Zonenname einen Namen für die Zone ein, der der mit dieser Zone verwalteten Domäne entspricht (beispielsweise west.contoso.com), und klicken Sie dann auf Weiter.
7. Wenn die Seite Zonendatei erscheint, wählen Sie, ob Sie eine neue Zonendatei erstellen oder eine
vorhandene verwenden möchten. Klicken Sie auf Weiter. Die Seite Zonendatei wird nur angezeigt, wenn Sie eine Zone erstellen, die nicht in Active Directory integriert ist.
8. Auf der Seite Dynamisches Update wählen Sie eine der drei folgenden Optionen und klicken dann
auf Weiter:
Nur sichere dynamische Updates zulassen Diese Option ist nur für Active Directory-integrierte
Zonen verfügbar und bewirkt, dass nur von Domänenmitgliedern dynamische Aktualisierungen angenommen werden. Während für Server häufig statische DNS-Einträge vorgenommen
werden, ist dies für Clientcomputer eher selten der Fall, insbesondere für Mobilcomputer. Daher kann die Zulassung von dynamischen Aktualisierungen die einzige Möglichkeit für Clients
bedeuten, die Hostnamen anderer Clients aufzulösen.
Nicht sichere und sichere dynamische Updates zulassen Diese Option ist für Standardzonen und
für Active Directory-integrierte Zonen verfügbar und erlaubt es Clients, ihre eigenen DNSEinträge selbst dann zu aktualisieren, wenn sie keine Mitglieder der Active Directory-Domäne
sind. Weitere Informationen über die Sicherheitsrisiken, die mit der Zulassung unsicherer
dynamischer Aktualisierungen verbunden sind, finden Sie in diesem Kapitel unter »DNSSicherheit«.
Dynamische Updates nicht zulassen Verhindert, dass Clients (einschließlich DHCP-Server)
ihre DNS-Einträge in der Zone aktualisieren.
Später können Sie die vorgenommenen Einstellungen ändern, indem Sie die Zone im DNS-Manager
mit der rechten Maustaste anklicken und auf Eigenschaften klicken. Wenn Sie dynamische Updates
zulassen, sollten Sie den Abschnitt »Warten von Zonen« weiter unten im Kapitel lesen.
Konfigurieren einer sekundären Forward-Lookupzone
Eine sekundäre Forward-Lookupzone dient als Reserveserver für eine primäre Lookupzone und kann
DNS-Abfragen für die Zone beantworten. Gewöhnlich werden sekundäre Forward-Lookupzonen eingerichtet, um in Zonen, die nicht in Active Directory integriert sind, für Redundanz zu sorgen.
175
So fügen Sie eine sekundäre Forward-Lookupzone hinzu
2. Erweitern Sie den Namen Ihres Servers, klicken Sie Forward-Lookupzonen mit der rechten Maustaste an und klicken Sie dann auf Neue Zone.
4. Klicken Sie auf der Seite Zonentyp auf Sekundäre Zone und klicken Sie dann auf Weiter.
5. Geben Sie auf der Seite Zonenname einen Namen für die Zone ein, der der mit dieser Zone verwalteten Domäne entspricht (beispielsweise west.contoso.com), und klicken Sie dann auf Weiter.
6. Geben Sie auf der Seite Master-DNS-Server den Hostnamen oder die IP-Adresse des MasterDNS-Servers ein und drücken Sie dann die EINGABETASTE . Der Assistent zum Erstellen neuer
Zonen testet den Master-DNS-Server automatisch.
7. Wenn Sie weitere Master-DNS-Server hinzufügen möchten, wiederholen Sie entsprechend oft die
Schritte 5 und 6. Bringen Sie die Server dann mit den Schaltflächen Nach oben und Nach unten in
die gewünschte Reihenfolge. Klicken Sie auf Weiter.
Diese Einstellungen können Sie später ändern, indem Sie die Zone im DNS-Manager mit der rechten
Maustaste anklicken und auf Eigenschaften klicken.
Konfigurieren eines WINS-Forward-Lookups
Sie können ein WINS-Forward-Lookup erstellen, damit DNS-Abfragen für eine Zone von einem
WINS-Server aufgelöst werden. Wenn ein WINS-Server zum Beispiel über einen Datensatz über einen
Computer namens HOST verfügt und ein Client eine DNS-Abfrage nach host.contoso.com sendet, die
von dem für contoso.com zuständigen DNS-Server nicht aufgelöst werden kann, kann der DNS-Server den WINS-Server nach der IP-Adresse von HOST fragen.
So fügen Sie ein WINS-Forward-Lookup hinzu
2. Erweitern Sie den Knoten mit dem Namen Ihres Servers und anschließend den Knoten ForwardLookupzonen.
3. Klicken Sie die Zone, zu der Sie ein WINS-Forward-Lookup hinzufügen möchten, mit der rechten
4. Klicken Sie auf die Registerkarte WINS und wählen Sie dann das Kontrollkästchen WINS-Forward-Lookup verwenden.
5. Geben Sie die IP-Adresse des WINS-Servers ein und klicken Sie auf Hinzufügen. Wiederholen
Sie diesen Schritt für jeden Ihrer WINS-Server und bringen Sie die Server dann mit den Schaltflächen Nach oben und Nach unten in die gewünschte Reihenfolge. Klicken Sie auf OK.
Sie können auch ein WINS-Reverse-Lookup konfigurieren, indem Sie das Eigenschaftendialogfeld
einer Reverse-Lookupzone öffnen und dann die Registerkarte WINS-R anklicken.
Konfigurieren des Zonenreplikationsbereichs
Wie im Abschnitt »DNS-Zonenreplikation« dieses Kapitels beschrieben, können Sie den Replikationsbereich für Active Directory-integrierte Zonen so einstellen, dass die Replikation auf alle DNSServer der Gesamtstruktur, alle DNS-Server der Domäne, alle Domänencontroller der Domäne oder
alle Domänencontroller im Bereich einer bestimmten Verzeichnispartition erfolgt. Gewöhnlich reicht
die Standardeinstellung aus. Sie sorgt dafür, dass Standarddomänen auf alle DNS-Server der Domäne
176
repliziert werden und die Unterdomäne _msdcs (sie enthält die SRV-Einträge für Domänencontroller
und andere Dienste) auf alle DNS-Server der Gesamtstruktur repliziert wird.
So konfigurieren Sie den Replikationsbereich für eine Active Directory-integrierte Zone
3. Klicken Sie die Zone, für die Sie die Replikation einrichten möchten, mit der rechten Maustaste
an und klicken Sie dann auf Eigenschaften.
4. Klicken Sie auf der Registerkarte Allgemein neben Replikation auf Ändern.
5. Klicken Sie den gewünschten Replikationstyp an und klicken Sie dann auf OK.
6. Klicken Sie noch einmal auf OK, um das Dialogfeld mit den Eigenschaften der Zone zu schließen.
Zulassen von Zonenübertragungen
Sie sollten für Zonen, die nicht in Active Directory integriert sind, Zonenübertragungen zwischen dem
bevorzugten und dem alternativen DNS-Server zulassen. Da ein Angreifer aber eine Zonenübertragung dazu verwenden könnte, die Hosts aus Ihrem nichtöffentlichen Netzwerk zu identifizieren oder
einen DoS-Angriff durchzuführen, sollten Sie keine Zonenübertragungen von anderen Computern zulassen. In vielen Active Directory-Bereitstellungen werden gar keine Zonenübertragungen verwendet,
sie sollten in diesem Fall deaktiviert werden. Die Active Directory-Replikation erfolgt nicht mit
Zonenübertragungen.
So erlauben Sie einem Server die Durchführung von Zonenübertragungen
3. Klicken Sie die Zone, für die Sie eine Zonenübertragung einrichten möchten, mit der rechten
4. Klicken Sie auf die Registerkarte Namenserver. Wenn der DNS-Server, zu dem die Zonenübertragungen erfolgen sollen, nicht in der Liste aufgeführt wird, klicken Sie Hinzufügen und geben den
vollständigen Namen des Servers ein. Dabei wird automatisch ein NS-Eintrag für den Server erstellt.
5. Klicken Sie auf die Registerkarte Zonenübertragungen, wählen Sie das Kontrollkästchen Zonenübertragungen zulassen und dann das Kontrollkästchen Nur an Server, die in der Registerkarte
"Namenserver" aufgeführt sind. Gewöhnlich ist dies zwar die richtige Einstellung, aber es stehen
drei Optionen zur Wahl:
Nur an Server, die in der Registerkarte "Namenserver" aufgeführt sind Erlaubt allen Namenservern für die Zone, die auf der Registerkarte Namenserver aufgeführt werden, eine Zonenübertragung. Das ist die bevorzugte Methode für die Zulassung von Zonenübertragungen.
Hinweis Sie können auf der Registerkarte Zonenübertragungen auf die Schaltfläche Benachrichtigen klicken und Server angeben, die über die Aktualisierung von DNS-Einträgen informiert
werden. Dadurch lässt sich der Zeitaufwand für die Synchronisation aller DNS-Server verringern.
Allerdings wird die Benachrichtigung standardmäßig für alle Server aktiviert, die auf der Registerkarte Namenserver aufgeführt werden. In den meisten Fällen ist also keine manuelle Konfiguration
erforderlich.
177
An jeden Server Vermeiden Sie diese Option, weil sie jedem die Durchführung eines Zonentransfers erlaubt, der Netzwerkzugriff auf Ihren DNS-Server hat.
Nur an folgende Server Wählen Sie diese Option, wenn Sie manuell die IP-Adressen der Server konfigurieren möchten, die Zonenübertragungen durchführen dürfen.

Delegieren der Autorität für eine Unterdomäne an eine andere Zone
Wenn ein anderer DNS-Server für eine Unterdomäne zuständig sein soll, müssen Sie die Autorität für
diese Unterdomäne vom primären DNS-Server der übergeordneten Domäne delegieren. Diese Delegierung ermöglicht es den DNS-Servern für die übergeordnete Domäne, Anfragen an die Namenserver für die Unterdomäne weiterzuleiten.
Soll zum Beispiel ein neuer DNS-Server für south.contoso.com zuständig sein, können Sie auf dem
primären DNS-Server für contoso.com mit der DNS-Manager-Konsole die Autorität für die Unterdomäne south.contoso.com an den neuen DNS-Server delegieren. Wenn ein für contoso.com vorgesehener DNS-Server Abfragen für die Domäne south.contoso.com erhält, leitet er diese Abfragen an
die DNS-Server weiter, die für south.contoso.com vorgesehen sind.
So delegieren Sie die Autorität für eine Unterdomäne
2. Klicken Sie die übergeordnete Domäne mit der rechten Maustaste an und klicken Sie dann auf
Neue Delegierung.
Der Assistent zum Erstellen neuer Delegierungen öffnet sich.
4. Geben Sie auf der Seite Namen der delegierten Domäne den Namen der neuen Unterdomäne ein
5. Klicken Sie auf der Seite Namenserver auf Hinzufügen, um das Dialogfeld Neuer Namenservereintrag zu öffnen. Geben Sie dann den Hostnamen des DNS-Servers an, der für die Domäne zuständig ist. Klicken Sie auf OK, dann auf Weiter und schließlich auf Fertig stellen.
Folgen Sie nun der Beschreibung »Konfigurieren einer primären Forward-Lookupzone« aus diesem
Abschnitt, um auf dem DNS-Server die Unterdomäne zu konfigurieren.
Konfigurieren einer Stubzone
Stubzonen konfigurieren Ihren DNS-Server so, dass er Anfragen für eine bestimmte Domäne an einen
bestimmten Server weiterleitet. Das ähnelt der Weise, in der eine delegierende Autorität Anfragen für
eine Unterdomäne an einen anderen Namenserver leitet. Allerdings lassen sich Stubzonen für die
Konfiguration von Namenservern für jede Domäne verwenden. Im Normalfall erstellen Sie Stubzonen
für Domänen aus Ihrem internen Netzwerk, die nicht in Ihren DNS-Stammservern geführt werden.
So fügen Sie eine Stubzone hinzu
2. Erweitern Sie den Namen Ihres Servers, klicken Sie Forward-Lookupzonen mit der rechten Maustaste an und klicken Sie dann auf Neue Zone.
178
4. Klicken Sie auf der Seite Zonentyp auf Stubzone. Handelt es sich bei dem DNS-Server um einen
Domänencontroller, können Sie auch noch das Kontrollkästchen Zone in Active Directory speichern wählen. Klicken Sie auf Weiter.
Replikationsweise und klicken dann auf Weiter. Die Seite Active Directory-Zonenreplikationsbereich erscheint nur bei der Erstellung einer Active Directory-integrierten Zone. Weitere Informationen über die Active Directory-Zonenreplikation finden Sie im Abschnitt »DNS-Zonenreplikation« dieses Kapitels.
6. Auf der Seite Zonenname geben Sie einen Namen für die Zone ein, die die Domäne präsentiert,
für die die Stubzone Anfragen bearbeitet. Klicken Sie auf Weiter.
7. Wenn die Seite Zonendatei erscheint, klicken Sie auf Weiter. Die Seite Zonendatei wird nur angezeigt, wenn Sie eine Zone erstellen, die nicht in Active Directory integriert ist.
8. Geben Sie auf der Seite Master-DNS-Server die IP-Adressen der Namensserver ein, die Abfragen
für die Zone bearbeiten. Klicken Sie auf Weiter und dann auf Fertig stellen.
Konfigurieren einer bedingten Weiterleitung
Ähnlich wie eine Stubzone versetzt eine bedingte Weiterleitung Ihre DNS-Server in die Lage, DNSAbfragen an einen bestimmten Server für eine bestimmte Domäne zu senden. Sie können zum Beispiel eine bedingte Weiterleitung einrichten, damit alle Anfragen für fabrikam.com an einen bestimmten Namenserver gesendet werden. Gewöhnlich empfiehlt es sich, eine Stubzone statt einer bedingten
Weiterleitung zu verwenden, weil eine Stubzone automatisch aktualisiert werden kann, wenn sich
einer der DNS-Server für eine Domäne ändert. Vielleicht müssen Sie statt einer Stubzone aber eine
bedingte Weiterleitung verwenden, wenn die DNS-Abfrage eine Firewall durchlaufen muss und nur
einige der Remote-DNS-Server für die Zone verfügbar sind.
So fügen Sie eine bedingte Weiterleitung hinzu
2. Erweitern Sie den Namen Ihres Servers, klicken Sie mit der rechten Maustaste auf Bedingte
Weiterleitungen und klicken Sie dann auf Neue bedingte Weiterleitung.
3. Geben Sie im Dialogfeld Neue bedingte Weiterleitung den Zonennamen ins Textfeld DNSDomäne ein. Geben Sie dann die IP-Adressen der DNS-Server ein, die für die Domäne zuständig
sind, und klicken Sie anschließend auf OK.
Konfigurieren einer Reverse-Lookupzone
Reverse-Lookupzonen ermöglichen es Clients, IP-Adressen in Hostnamen aufzulösen, und werden
häufig von Serveranwendungen wie beispielsweise Microsoft Exchange Server im Rahmen der Überprüfung einer Clientanfrage verwendet.
So fügen Sie eine Reverse-Lookupzone hinzu
2. Erweitern Sie den Namen Ihres Servers, klicken Sie Reverse-Lookupzonen mit der rechten Maustaste an und klicken Sie dann auf Neue Zone.
4. Klicken Sie auf der Seite Zonentyp auf den Zonentyp und klicken Sie dann auf Weiter.
Replikationsweise und klicken dann auf Weiter.
179
6. Wählen Sie auf der ersten Seite mit dem Namen Name der Reverse-Lookupzone entweder IPv4
oder IPv6 und klicken Sie dann auf Weiter.
7. Geben Sie auf der zweiten Seite mit dem Namen Name der Reverse-Lookupzone die Netzwerk-ID
der IP-Adresse ein. Im Fall von IPv4-Adressen entspricht diese gewöhnlich den ersten drei Oktetten der IP-Adresse, wie zum Beispiel 192.168.1. Allerdings ist es auch möglich, nur ein oder zwei
Oktette der IP-Adresse zu verwenden. Für IPv6-Adressen geben Sie das Adresspräfix ein, beispielsweise 2001:DB8::/32, damit der Assistent der Reverse-Lookupzone automatisch einen Namen
gibt. Klicken Sie auf Weiter.
8. Wenn die Seite Zonendatei erscheint, übernehmen Sie die Standardvorgabe, eine neue Datei zu
erstellen, sofern Sie nicht bereits über eine zuvor erstellte Datei verfügen, die Sie verwenden
möchten. Klicken Sie auf Weiter.
9. Auf der Seite Dynamisches Update wählen Sie eine der drei Optionen, die in diesem Kapitel bereits unter der Überschrift »Konfigurieren einer primären Forward-Lookupzone« beschrieben
wurden, und klicken dann auf Weiter.
Verwenden von Dnscmd
Die DNS-Manager-Konsole ist die einfachste Methode zur Konfiguration Ihrer DNS-Server, sofern
eine grafische Benutzeroberfläche verfügbar ist. Falls Sie einen DNS-Server mit einem Skript konfigurieren möchten oder Windows Server 2008 Server Core verwenden, können Sie das Programm
Dnscmd verwenden.
Hinweis In älteren Windows-Versionen war Dnscmd Teil der Windows Support Tools, die eine separate
Installation erforderten. Nun wird Dnscmd automatisch im Ordner %SystemRoot%\System32\ installiert,
wenn Sie die Rolle DNS-Server hinzufügen.
Ausführlichere Informationen erhalten Sie vom Programm selbst, wenn Sie in einer Eingabeaufforderung den Befehl Dnscmd /? eingeben.
DHCP-Serverkonfiguration
Dieser Abschnitt beschreibt, wie Sie Ihren DHCP-Server konfigurieren müssen, damit er Clients mit
den Adressen Ihrer DNS-Server versorgt, und wie Sie den DHCP-Server für dynamische DNS-Updates verwenden. Eine umfassendere Beschreibung von DHCP finden Sie in Kapitel 3, »Dynamic
Host Configuration Protocol«.
Konfigurieren eines DHCP-Servers für die Versorgung mit DNS-Serveradressen
Heutzutage werden Clientcomputer in den meisten Netzwerken mit DHCP konfiguriert. Wenn Sie die
Rolle DHCP-Server zu einem Windows Server 2008-Computer hinzufügen, können Sie die IP-Adressen der DNS-Server auf den Seiten Angeben von IPv4-DNS-Servereinstellungen (Abbildung 7.5) und
IPv6 DNS-Servereinstellungen angeben eingeben.
So konfigurieren Sie die DNS-Serveradressen nach der Konfiguration der DHCP-Serverrolle
1. Erweitern Sie im Server-Manager den Knoten Rollen und erweitern Sie dann DHCP-Server.
2. Erweitern Sie erst den Servernamen und dann IPv4 oder IPv6.
3. Klicken Sie auf Serveroptionen.
180
4. Klicken Sie im rechten Bereich die Option DNS-Server mit einem Doppelklick an. Verwenden Sie
das Dialogfeld Serveroptionen zur Eingabe der IPv4- oder IPv6-IP-Adressen Ihrer DNS-Server.
Klicken Sie auf OK.
Abbildung 7.5 Einstellen der DNS-Server bei der Konfiguration des DHCP-Servers im Assistenten
zum Hinzufügen von Rollen
Konfigurieren eines DHCP-Servers für dynamische DNS-Updates
Standardmäßig aktualisiert ein Windows Server 2008-DHCP-Server die A- und PTR-Einträge für
DHCP-Clients, die eine dynamische DNS-Aktualisierung anfordern, automatisch.
So konfigurieren Sie einen DHCP-Server für dynamische DNS-Updates
1. Erweitern Sie im Server-Manager den Knoten Rollen und erweitern Sie dann DHCP-Server.
2. Erweitern Sie den Servernamen, klicken Sie IPv4 mit der rechten Maustaste an und klicken Sie
dann auf Eigenschaften.
3. Klicken Sie auf die Registerkarte DNS. Wählen Sie Dynamische DNS-Aktualisierungen mit den
unten angegebenen Einstellungen aktivieren.
4. Damit der DHCP-Server nach dem Ablauf einer DHCP-Lease Ressourceneinträge entfernen kann,
wählen Sie das Kontrollkästchen A- und PTR-Einträge beim Löschen der Lease verwerfen.
5. Um für Clientcomputer, die nicht in der Lage sind, ihre eigenen Aktualisierungen durchzuführen,
dynamische DNS-Updates durchzuführen, wählen Sie das Kontrollkästchen DNS-A- und -PTREinträge für DHCP-Clients, die keine Aktualisierung anfordern (z.B. Clients, die Windows NT 4.0
ausführen), dynamisch aktualisieren. Windows 2000 und alle höheren Windows-Versionen können ihre eigenen dynamischen DNS-Updates durchführen. Klicken Sie auf OK.
181
DNS-Clientkonfiguration
Die folgenden Abschnitte beschreiben, wie Sie einen DHCP-Server so konfigurieren, dass er DHCPClients mit den korrekten IP-Adressen Ihrer DNS-Server versorgt, und wie Sie die IP-Adressen von
DNS-Servern auf Computern manuell einstellen, auf denen Windows Vista oder Windows Server
2008 ausgeführt wird.
Direkt von der Quelle: Konfigurieren von DNS-Clients
Alle Computer, auf denen Windows ausgeführt wird, einschließlich DNS-Server und Domänencontroller, sind DNS-Clients und verfügen über eine Liste von DNS-Servern, an die Anfragen gesendet werden. In einer Active Directory-Umgebung sollten Sie Ihre DNS-Clients generell auf
DNS-Server aus der lokalen Domäne einstellen, die in Active Directory integriert sind. Um eine
Namensauflösung außerhalb der Domäne zu ermöglichen, sollten diese DNS-Server Anfragen an
DNS-Server aus der übergeordneten Active Directory-Domäne oder an DNS-Server Ihres Internetanbieters weiterleiten, falls Sie den Clients die Auflösung von Internetnamen ermöglichen möchten. Es wird vorausgesetzt, dass alle DNS-Server aus der DNS-Serverliste alle Namen auf gleiche
Weise auflösen.
Sie sollten keinen Client mit DNS-Servern konfigurieren, die nicht dieselben Namen auflösen können. Da die DNS-Server Ihres Internetanbieters zum Beispiel nicht in der Lage sind, Namen aus
Ihren Active Directory-Domänen aufzulösen, können Sie bei der Konfiguration Ihrer DNS-Clients
nicht die DNS-Server Ihres Internetanbieters und die DNS-Server aus Ihrer Active DirectoryDomäne mischen.
Manuelles Konfigurieren von Windows Vista oder Windows Server 2008
Wenn Computer auf die Verwendung von DHCP eingestellt werden, brauchen Sie nur den DHCPServer mit den IP-Adressen der DNS-Server zu konfigurieren. Wenn Clients eine DHCP-Lease erhalten, erhalten Sie automatisch auch die IP-Adressen Ihrer DNS-Server.
So konfigurieren Sie einen Computer mit einer manuell zugewiesenen IP-Adresse für DHCP
auf Eigenschaften.
klicken Sie dann auf Eigenschaften. Wenn sich die Benutzerkontensteuerung mit einem Dialogfeld meldet, nehmen Sie die erforderliche Eingabe vor.
4. Wählen Sie Internetprotokoll Version 4 (TCP/IPv4) oder Internetprotokoll Version 6 (TCP/IPv6)
und klicken Sie dann auf Eigenschaften.
5. Klicken Sie auf Folgende DNS-Serveradressen verwenden. Dann geben Sie in den Feldern Bevorzugter DNS-Server und Alternativer DNS-Server die IP-Adressen Ihrer DNS-Server ein. Falls Sie
mehr als zwei DNS-Server verwenden, klicken Sie auf Erweitert und fügen die Server auf der
Registerkarte DNS hinzu.
6. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK.
Die neuen DNS-Servereinstellungen werden innerhalb weniger Sekunden wirksam.
182
Konfigurieren von Windows Vista oder Windows Server 2008 mit einem Skript
Mit dem Programm Netsh können Sie einen Computer, auf dem Windows Vista oder Windows Server
2008 ausgeführt wird, mit der IP-Adresse eines DNS-Servers konfigurieren, wie die folgenden Beispiele demonstrieren:
netsh interface ipv4 add dnsserver "LAN-Verbindung" 192.168.1.213
netsh interface ipv6 add dnsserver "LAN-Verbindung" fec0:0:0:ffff::1
Konfigurieren redundanter DNS-Server
Befolgen Sie zur Einrichtung eines redundanten DNS-Servers für eine Zone, die nicht in Active
Directory integriert ist, folgende allgemeine Schritte. Bei einer Active Directory-integrierte Zone
erfolgt die Replikation automatisch und Sie brauchen nur die Clientkonfiguration durchzuführen,
die in Schritt 3 beschrieben wird.
1. Fügen Sie den sekundären Server auf dem primären Server der Zone im Eigenschaftendialogfeld
der Zone auf der Registerkarte Namenserver hinzu. Sorgen Sie dafür, dass Zonenübertragungen
erlaubt sind.
2. Befolgen Sie auf dem neuen redundanten DNS-Server die im Abschnitt »Konfigurieren einer
sekundären Forward-Lookupzone« dieses Kapitels beschriebenen Schritte.
3. Konfigurieren Sie die Clientcomputer mit der IP-Adresse des sekundären Servers als alternativen
DNS-Server, wie im Abschnitt »DNS-Clientkonfiguration« dieses Kapitels beschrieben.
Bei dieser Konfiguration fragen Clients den sekundären DNS-Server ab, wenn der primäre DNSServer nicht erreichbar ist. Um die Belastung gleichmäßiger auf beide DNS-Server zu verteilen, können Sie die Hälfte Ihrer Clientcomputer so einstellen, dass sie den sekundären DNS-Server als primären DNS-Server verwenden.
Wartung
Zur Wartung von DNS-Servern ist es erforderlich, dafür zu sorgen, dass die DNS-Datenbank für alle
Zonen auf dem aktuellen Stand ist. Außerdem müssen Sie gelegentlich einen ausgefallenen DNSServer ersetzen. Die folgenden Abschnitte beschreiben, wie Sie Ressourceneinträge hinzufügen, für
die Genauigkeit einer Zone sorgen und die Überwachung der DNS-Server automatisieren.
Hinzufügen von Ressourceneinträgen
Für neue Computer, die dynamisches DNS nicht unterstützen, werden Sie A- und PTR-Einträge hinzufügen müssen. Außerdem müssen Sie vielleicht CNAME-Einträge erstellen, damit ein einzelner Server
über mehrere Ressourceneinträge erreichbar ist.
Um einen Ressourceneintrag hinzuzufügen, klicken Sie die Zone, zu der Sie ihn hinzufügen möchten,
mit der rechten Maustaste an und klicken dann auf die Art des Eintrags, den Sie vornehmen möchten.
Der DNS-Manager öffnet die Dialogfelder Neuer Host oder Neuen Eintrag erstellen, in denen Sie die
erforderlichen Angaben machen können.
Wartung
183
Hinweis Manche Hostnamen können bei der Auflösung mehrere IP-Adressen ergeben, wie zum Beispiel
www.microsoft.com. Ihr Webbrowser ist intelligent genug, eine Verbindung mit einer anderen Adresse zu
versuchen, wenn die erste Adresse nicht richtig funktioniert. Auf diese Weise können mehrere Webserver
mit unterschiedlichen IP-Adressen auf Anfragen antworten, die an denselben Hostnamen gerichtet sind.
Dadurch ergibt sich eine bessere Skalierbarkeit und Redundanz. Wenn Sie mehrere Server mit identischen
Inhalten unter derselben DNS-Adresse bereitstellen möchten, erstellen Sie einfach mehrere A-Einträge mit
demselben Hostnamen, aber verschiedenen IP-Adressen. Webbrowser verstehen diese Art der RoundRobin-DNS-Adressierung zwar, aber andere Anwendungen kommen damit vielleicht nicht zurecht.
Warten von Zonen
Wenn ein Server mit einem statischen DNS-Eintrag außer Dienst gestellt wird und eine IP-Adresse
ungültig oder neu zugewiesen wird, sollten Sie alle Ressourceneinträge für diesen Server entfernen,
einschließlich der Einträge für Reverse-Lookups. Außerdem sollten Sie regelmäßig überprüfen, beispielsweise alle sechs Monate, ob alle Ressourceneinträge auf dem aktuellen Stand sind.
Wenn Sie DHCP-Clients erlauben, ihre A- und PTR-Ressourceneinträge dynamisch zu aktualisieren,
können Sie die DNS-Server so einstellen, dass sie veraltete Datensätze automatisch entfernen (in der
amerikanischen Fachliteratur werden diese Aufräumarbeiten auch Scavenging genannt). Wenn Ihr
DHCP-Server ein Windows Server 2008-Computer ist, entfernt der DHCP-Server automatisch die
Ressourceneinträge des Clients, sobald die DHCP-Lease abläuft.
So aktivieren Sie die Aufräumarbeiten auf einem DNS-Server
1. Klicken Sie in der DNS-Manager-Konsole die Zone mit der rechten Maustaste an und klicken Sie
2. Klicken Sie auf die Registerkarte Allgemein und dann auf die Schaltfläche Alterung.
3. Wählen Sie im Dialogfeld Zonenalterung/Eigenschaften das Kontrollkästchen Veraltete Ressourceneinträge aufräumen. Geben Sie dann die Intervalle für die Nichtaktualisierung und für die Aktualisierung an. Im Normalfall sollte das Aktualisierungsintervall mindestens so lang sein wie das
Erneuerungsintervall einer DHCP-Lease, das Standardmäßig 4 Tage beträgt. Für die meisten Bereitstellungen werden die Standardvorgaben von 7 Tagen für Aktualisierungs- und Nichtaktualisierungsintervalle empfohlen.
4. Klicken Sie auf OK und dann auf Ja, falls Sie darauf hingewiesen werden, dass das Zonendateiformat nicht zu älteren Windows-Versionen kompatibel ist.
5. Klicken Sie auf OK, um zur DNS-Manager-Konsole zurückzukehren.
6. Klicken Sie in der DNS-Manager-Konsole den Namen Ihres Servers mit der rechten Maustaste an
und klicken Sie dann auf Eigenschaften. Wählen Sie im Eigenschaftendialogfeld des Servers auf
der Registerkarte Erweitert das Kontrollkästchen Aufräumvorgang bei veralteten Einträgen automatisch aktivieren. Für Active Directory-integrierte Zonen kann dies auf allen DNS-Servern erfolgen oder auf eine Teilmenge von zentral erreichbaren DNS-Servern beschränkt bleiben, denn
auch die Löschung alter Datensätze wird automatisch repliziert.
Automatisches Testen
Auf der Registerkarte Überwachen des Eigenschaftendialogfelds Ihres Servers können Sie ein automatisches Testen Ihres DNS-Servers einstellen. Mit den Optionen dieser Registerkarte können Sie den
DNS-Serverdienst aktiv testen, indem Sie DNS-Abfragen übermitteln. Die Ergebnisse werden in der
Liste Testergebnisse angezeigt. Eine ausführlichere Beschreibung, wie die automatischen Tests eingestellt werden, finden Sie im Abschnitt »Testen des DNS-Servers« dieses Kapitels.
184
Außerdem sollten Sie zur Überwachung Ihrer DNS-Server Tools wie den Microsoft System Center
Operations Manager 2007 verwenden.
Weitere Informationen Weitere Informationen über das Microsoft System Center erhalten Sie unter
http://www.microsoft.com/systemcenter/opsmgr/.
Direkt von der Quelle: Überwachen von DNS-Einträgen (oder Löschungen)
Einige Organisationen müssen das Hinzufügen oder Löschen von DNS-Einträgen überwachen.
Wenn Sie die DNS-Server, die DNS-Zonen und Einträge genauer untersuchen, werden Sie feststellen, dass die Objektüberwachung für diese Ressourcen standardmäßig aktiviert ist. Daher sollte
man denken, dass Erstellungen, Löschungen oder Änderungen im Sicherheitsereignisprotokoll
erfasst werden, solange die Objektzugriffsüberwachung für den DNS-Server aktiviert ist.
Wie sich aber herausstellt, entspricht die Aktivierung der Objektzugriffsüberwachung nicht den
DNS-Zoneneinträgen, die in den Sicherheitsprotokollen erfasst werden. Stattdessen müssen Sie auf
den Computern, auf denen DNS-Server ausgeführt werden, die Überwachung des Verzeichnisdienstes aktivieren. Ist das geschehen, werden für die Erstellung eines neuen DNS-Eintrags folgende Ereignisse ins Sicherheitsprotokoll eingetragen:
Ereignistyp: Erfolgsüberwachung
Ereignisquelle: Sicherheit
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 566
Datum: DD.MM.YYYY
Uhrzeit: HH:MMM:SS
Benutzer: [username]
Computer: [dns server]
Beschreibung:
Objektvorgang:
Objektserver: DS
Vorgangstyp: Objektzugriff
Objekttyp: dnsZone
Objektname: DC=[zone].com,CN=MicrosoftDNS,CN=System,DC=[zone],DC=com
Handlekennung: Primärer Benutzername: [machine]$
Primäre Domäne: [domain name]
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: administrator
Clientdomäne: [domain]
Clientanmeldekennung: (0x0,0x706012D)
Zugriffe: Untergeordnetes Objekt erzeugen
Eigenschaften:
Untergeordnetes Objekt erzeugen
dnsNode Weitere Info:
DC=Testing2,DC=[zone].com,cn=MicrosoftDNS,cn=System,DC=[zone],DC=com
Weitere Info2:
DC=Testing2,DC=[zone].com,CN=MicrosoftDNS,CN=System,DC=[zone],DC=com
Zugriffsmaske: 0x1
Wartung
185
Und für das Löschen eines Eintrags:
Ereignistyp: Erfolgsüberwachung
Ereignisquelle: Sicherheit
Ereigniskategorie: Verzeichnisdienstzugriff
Ereigniskennung: 566
Datum: 23.8.2006
Uhrzeit: 19:28:30
Benutzer: [perp]
Computer: [dns server]
Beschreibung:
Objektvorgang:
Objektserver: DS
Vorgangstyp: Objektzugriff
Objekttyp: dnsNode
Objektname: DC=Test,DC=zone.com,CN=MicrosoftDNS,CN=System,DC=zone,DC=com Handlekennung: Primärer Benutzername: [computer name]$
Primäre Domäne: [Domain]
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: administrator
Clientdomäne: [domain]
Clientanmeldekennung: (0x0,0x729EE07)
Zugriffe: Eigenschaft schreiben
Eigenschaften:
Eigenschaft schreiben
Default property set
dnsRecord
dNSTombstoned
dnsNode Weitere Info:
Weitere Info2:
Zugriffsmaske: 0x20
Die Aktivierung der Verzeichniszugriffsüberwachung führt im Sicherheitsprotokoll zu einer großen
Zahl von Einträgen. In den meisten Produktivumgebungen kommen auf jede böswillige DNSLöschung Tausende von völlig korrekten Aktionen. Daher sollte man diese Art der Überwachung
nur selten einsetzen. Sie funktioniert nur für Active Directory-integrierte Zonen.
Anthony Witecki, Senior Consultant
Microsoft Services, Public Sector
Heraufstufen einer sekundären Zone zu einer primären Zone
Herkömmliche Sicherungen sind zwar auch für DNS-Server wichtig, aber Ihre Hauptmethode, für die
Verfügbarkeit von DNS-Daten zu sorgen, sollte für Active Directory-integrierte Zonen die Active
Directory-Replikation und für Zonen, die nicht in Active Directory integriert sind, die Zonenübertragung sein. Replikation und Zonenübertragung bieten eine Kombination von Datensicherung, die
nahezu in Echtzeit erfolgt, und Redundanz.
Wenn der primäre DNS-Server einer Zone ausfällt, kann ein sekundärer DNS-Server Abfragen für die
Domäne bearbeiten. Allerdings akzeptieren sekundäre DNS-Server keine Aktualisierungen. Wenn Sie
den primären DNS-Server nicht zügig wieder einsatzbereit machen können, können Sie einen sekun-
186
dären DNS-Server zu einem primären DNS-Server heraufstufen. Dadurch sind in der Zone wieder
Aktualisierungen möglich.
Um eine Sekundärzone zu einer Primärzone heraufzustufen, gehen Sie folgendermaßen vor:
1. Klicken Sie die Zone in der DNS-Manager-Konsole mit der rechten Maustaste an und klicken Sie
2. Klicken Sie auf die Registerkarte Allgemein. Klicken Sie dann neben Typ auf Ändern.
3. Klicken Sie im Dialogfeld Zonentyp ändern auf Primäre Zone und schließen Sie dann die beiden
geöffneten Dialogfelder jeweils mit einem Klick auf OK.
Falls Sie den ehemaligen primären DNS-Server nicht wieder ans Netzwerk anschließen möchten, entfernen Sie seine NS-Einträge, aktualisieren die Konfiguration der Sekundärzonen und ändern dann die
Konfiguration der Clients, die über die IP-Adresse des Servers verfügen.
Wenn Sie den ehemaligen primären DNS-Server der Zone wieder in Betrieb nehmen möchten, gehen
Sie folgendermaßen vor, um die DNS-Datenbank für die Zone vom temporären primären DNS-Server
zu aktualisieren:
1. Klicken Sie auf dem wiederhergestellten DNS-Server mit der rechten Maustaste auf die Zone und
2. Klicken Sie neben Typ auf Ändern. Klicken Sie im Dialogfeld Zonentyp ändern auf Sekundäre
Zone und dann auf OK.
3. Klicken Sie unter der Masterserver-Liste auf Bearbeiten. Fügen Sie im Dialogfeld Masterserver
bearbeiten die IP-Adresse des temporären primären DNS-Servers hinzu und schließen Sie dann
die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK, um zur DNS-Manager-Konsole zurückzukehren.
4. Klicken Sie die Zone mit der rechten Maustaste an und klicken Sie dann auf Übertragung vom
Master. Dadurch wird die Zonendatenbank mit den Daten vom temporären primären DNS-Server
aktualisiert. Je nach der Zahl der Ressourceneinträge kann dies einige Sekunden oder Minuten
dauern.
5. Stufen Sie nun auf dem wiederhergestellten DNS-Server die sekundäre Zone zur primären Zone
herauf. Führen Sie dann die Schritte 1 bis 4 auf dem temporären primären DNS-Server durch, um
die Zone wieder zur sekundären Zone herabzustufen.
Warnung Wenn Sie keine Active Directory-integrierte Zonen verwenden, lassen Sie es nicht zu, dass es
zwei primäre DNS-Server für eine Zone gibt. Sonst können sich durch die Konflikte zwischen den beiden
primären DNS-Servern ungewöhnliche Probleme ergeben, deren Ursachen nur sehr schwer zu finden sind.
Problembehandlung
Die folgenden Abschnitte beschreiben Tools und Techniken zur Behebung von Problemen, die sich
mit DNS-Servern ergeben können. Liegt das Problem beim Server selbst, weil sich der DNS-Serverdienst zum Beispiel nicht starten lässt oder Zonenübertragungen nicht funktionieren, überprüfen Sie
die Ereignisprotokolle. Zur Behebung von Problemen mit Active Directory-integrierte Zonen verwenden Sie das Programm DCDiag. Wenn Sie die Ursache des Problems immer noch nicht ermitteln können, aktivieren Sie auf dem Server die Debugprotokollierung.
Sind keine Ressourceneinträge verfügbar oder sind sie nicht korrekt, können Sie das Problem gewöhnlich mit Nslookup eingrenzen. Zur Behebung von komplexeren Problemen verwenden Sie DNSLint
oder den Network Monitor.
Problembehandlung
187
Ereignisprotokolle
Standardmäßig protokolliert der DNS-Serverdienst Fehler und Warnungen im Ereignisprotokoll
Anwendungs- und Dienstprotokolle\DNS-Server mit der Quellenangabe DNS-Server-Service. Dieses
Protokoll ist unter Server\Globale Protokolle\DNS-Ereignisse auch in der DNS-Manager-Konsole
verfügbar.
Das Ereignisprotokoll enthält viele Informationen, die bei der Behebung von Problemen von Nutzen
sind, darunter folgende:
Start und Stopp des DNS-Serverdienstes
Aktualisierungen von Zonendateien
Potenzielle Konfigurationsprobleme, wie zum Beispiel fehlende SOA-Einträge
Fehler bei Zonenübertragungen
Fehler bei der dynamischen Registrierung und Deregistrierung
Hinweis Wenn Sie schon mit DNS-Servern gearbeitet haben, die auf älteren Windows-Versionen ausgeführt wurden, achten Sie bitte darauf, dass einige Ereignisse in Windows Vista und Windows Server 2008
neue Ereigniskennungen erhalten haben.
Um den Umfang der Protokollierung zu ändern (was gewöhnlich nicht erforderlich ist), öffnen Sie
den DNS-Manager, zeigen die Servereigenschaften an und klicken dann auf die Registerkarte Ereignisprotokollierung.
Verwenden von Nslookup
Mit Nslookup können Sie manuell Abfragen an DNS-Server übermitteln. Nslookup ermöglicht Ihnen
die Abfrage von bestimmten Eintragstypen, beispielsweise von MX- oder SOA-Einträgen. Außerdem
können Sie mit Nslookup versuchen, Zonenübertragungen durchzuführen.
Durchführen einer einfachen Abfrage
Um eine einfache DNS-Abfrage beim Standardserver durchzuführen, geben Sie einfach an, welchen
Eintrag Sie abfragen möchten, wie im folgenden Beispiel:
nslookup contoso.com.
Server: dns.fabrikam.com
Address: 192.168.1.1:53
Non-authoritative answer:
Name:
contoso.com
Adresses: 207.46.232.182, 207.46.197.32
Direkt von der Quelle: Schließen Sie vollständige Domänennamen
für Nslookup mit einem Punkt ab
Wenn Sie in Nslookup einen vollqualifizierten Domänennamen (Fully Qualified Domain Name,
FQDN) eingeben, sollten Sie ihn mit einem Punkt abschließen. Andernfalls versucht Nslookup
vielleicht, verschiedene Suchsuffixe anzuhängen, was zu verwirrenden Ergebnissen führen kann.
Wenn Nslookup einen unqualifizierten Namen auflösen soll, lassen Sie den abschließenden Punkt
weg.
188
Wenn Ihr Computer zum Beispiel Mitglied der Domäne contoso.com ist, steht in der Liste Ihrer
Suchsuffixe auch contoso.com. Wenn Sie nun versuchen, www.microsoft.com aufzulösen, sendet
Nslookup Abfragen für www.microsoft.com. und www.microsoft.com.contoso.com. In manchen Fällen können die Ergebnisse der Abfragen verwirrend sein, insbesondere dann, wenn Sie viele Suchsuffixe verwenden. Schreiben Sie nslookup www.microsoft.com. daher mit einem expliziten abschließenden Punkt.
Im obigen Beispiel hat der Client Kontakt zum DNS-Standardserver (192.168.1.1) aufgenommen und
erfolgreich eine Antwort erhalten, aus der hervorgeht, dass es für contoso.com zwei IP-Adressen gibt:
207.46.232.182 und 207.46.197.32. Das weist darauf hin, dass der DNS-Server korrekt arbeitet.
Die folgende Antwort auf dieselbe Abfrage würde darauf hinweisen, dass der DNS-Server keine
IP-Adresse für den Hostnamen contoso.com findet:
*** dns.fabrikam.com can't find contoso.com: Non-existent domain
Sofern der Domänenname vorhanden ist, überprüfen Sie, ob die Stammhinweise auf dem DNS-Server
korrekt konfiguriert wurden. Handelt es sich bei der Domäne um eine interne Domäne, überprüfen
Sie, ob Sie für die Domäne eine Stubzone oder eine bedingte Weiterleitung einrichten sollten.
Die folgende Antwort bedeutet, dass kein DNS-Server antwortet:
Server: dns.fabrikam.com
Address: 192.168.1.1:53
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an dns.fabrikam.com
Überprüfen Sie, ob der Clientcomputer über die korrekte IP-Adresse für den DNS-Server verfügt und
ob der DNS-Server betriebsbereit und im Netzwerk verfügbar ist. Überprüfen Sie außerdem, ob Sie
einen zweiten DNS-Server einrichten sollten, um die Ausfallsicherheit zu verbessern.
Abfragen eines bestimmten Eintragstyps
Um einen bestimmten DNS-Eintrag vom DNS-Server abzurufen, beispielsweise einen MX-Eintrag,
verwenden Sie die Option type, wie im folgenden Beispiel gezeigt:
nslookup -type=mx contoso.com
Address: 192.168.1.1:53
contoso.com
MX preference = 10, mail exchanger =
ail.global.frontbridge.com
mail.global.frontbridge.com
internet address = 10.46.163.22
Problembehandlung
189
Abfragen eines anderen als des DNS-Standardservers
Sie sind bei Abfragen nicht auf den DNS-Standardserver des Computers beschränkt, sondern können
auch einen anderen DNS-Server angeben, an den die Abfrage gerichtet werden soll. Das folgende
Beispiel zeigt, wie man den DNS-Server unter der IP-Adresse 192.168.1.213 nach dem Eintrag
east.contoso.com befragt:
nslookup east.contoso.com 192.168.1.213
Address: 192.168.1.213:53
Name:
east.contoso.com
Adresses: 192.168.13.182
Mit dieser Methode lässt sich zum Beispiel überprüfen, ob zwei DNS-Server dieselben Antworten
geben.
Debugprotokollierung auf dem Client
Wenn Sie zur Fehlerbehebung ausführlichere Informationen brauchen, geben Sie die Option debug an.
Das folgende Beispiel zeigt einen Teil der Ausgabe für eine Abfrage des SOA-Eintrags von microsoft.com:
nslookup -debug -type=soa microsoft.com
-----------Got answer:
HEADER:
opcode = QUERY, id = 1, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
1.1.168.192.in-addr.arpa, type = PTR, class = IN
-----------Server: dns.contoso.com
Address: 192.168.1.1:53
-----------Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
microsoft.com, type = SOA, class = IN
ANSWERS:
-> microsoft.com
ttl = 3600 (1 hour)
primary name server = ns1.msft.net
responsible mail addr = msnhst.microsoft.com
190
serial
refresh
retry
expire
default
= 2007090703
= 300 (5 mins)
= 600 (10 mins)
= 2419200 (28 days)
TTL = 3600 (1 hour)
Sollte das noch nicht genügen, können Sie Nslookup auch im interaktiven Modus starten, indem Sie
einfach den Befehl nslookup ohne Parameter geben. In der Eingabeaufforderung von Nslookup geben
Sie dann den Befehl ? ein (also das Fragezeichen), damit Ihnen Nslookup eine Befehlsübersicht anzeigt.
Debugprotokollierung auf dem Server
Wenn sich ein DNS-Serverproblem nicht mit Unterstützung der Ereignisprotokolle beheben lässt,
können Sie die Debugprotokollierung aktivieren, um den eingehenden, ausgehenden oder den gesamten DNS-Server-Datenverkehr zu protokollieren.
So konfigurieren Sie die Debugprotokollierung
1. Öffnen Sie die DNS-Manager-Konsole.
2. Klicken Sie Ihren Server mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
3. Wählen Sie auf der Registerkarte Debugprotokollierung (Abbildung 7.6) das Kontrollkästchen
Pakete zum Debuggen protokollieren und geben Sie im Textfeld Dateipfad und -name einen Pfad
und einen Dateinamen ein.
Abbildung 7.6 Die Registerkarte Debugprotokollierung
4. Falls mit einem bestimmten Client Probleme auftreten, wählen Sie das Kontrollkästchen Pakete
nach IP-Adressen filtern, klicken auf Filtern, geben die IP-Adresse ein und schließen dann die
beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK.
Nachdem Sie nun die Debugprotokollierung aktiviert haben, wiederholen Sie die Schritte, bei denen
sich das Problem gezeigt hat, um es zu reproduzieren. Sie könnten zum Beispiel auf einem Client-
Problembehandlung
191
computer mit dem Programm Nslookup eine Abfrage an den DNS-Server senden, der nicht korrekt
antwortet.
Zur Analyse des Debugprotokolls öffnen Sie die Protokolldatei mit einem Texteditor, beispielsweise
mit dem Editor von Windows. Das Debugprotokoll enthält eine Beschreibung jedes Pakets, das die
Kriterien erfüllt, die Sie auf der Registerkarte Debugprotokollierung festgelegt haben.
Verwenden von DNSLint
DNSLint ist ein Befehlszeilenprogramm von Microsoft, mit dem sich einige häufiger auftretende
DNS-Probleme diagnostizieren lassen. Außerdem kann DNSLint überprüfen, ob bestimmte DNSEinträge intakt sind. Die folgenden Zeilen zeigen einen Teil des Textes, der bei der Untersuchung
einer Domäne ausgegeben wird:
DNSLint Report
System Date: Fri Aug 10 15:48:03 2007
Command run:
dnslint /d contoso.com
Domain name tested:
contoso.com The following 5 DNS servers were identified as authoritative for the domain:
DNS server: ns3.msft.net
IP Address: 213.199.161.77
UDP port 53 responding to queries: YES
TCP port 53 responding to queries: Not tested
Answering authoritatively for domain: YES
SOA record data from server:
Authoritative name server: dns.cp.msft.net
Hostmaster: msnhst.microsoft.com
Zone serial number: 2007062601
Zone expires in: 83.33 day(s)
Refresh period: 1800 seconds
Retry delay: 900 seconds
Default (minimum) TTL: 3600 seconds
Additional authoritative (NS) records from server:
ns4.msft.net Unknown
Host (A) records for domain from server:
207.46.232.182
207.46.197.32
Mail Exchange (MX) records from server (preference/name/IP address):
10 mail.global.contoso.com Unknown
DNSLint führt nicht nur eine ausführliche Untersuchung einer Domäne durch, sondern kann auch
überprüfen, ob ein Active Directory-Domänencontroller auf LDAP (Lightweight Directory Access
192
Protocol) und DNS-Abfragen antwortet und ob die für Active Directory erforderlichen DNS-Einträge
vorhanden sind. Außerdem kann DNSLint die Verbindungen mit den E-Mail-Servern aus einer Domäne
testen. Herunterladen können Sie DNSLint unter http://support.microsoft.com/?kbid=321045.
Verwenden von DCDiag
DCDiag ist ein Befehlszeilenprogramm von Windows Server 2008, mit dem Sie überprüfen können,
ob Active Directory-Domänencontroller über die passende DNS-Konfiguration verfügen (außerdem
werden noch viele andere Aspekte der Active Directory-Konfiguration getestet). Erkennt DCDiag ein
DNS-Konfigurationsproblem, zeigt es ausführliche Informationen an, um Sie bei der Behebung des
Problems zu unterstützen.
Mit DCDiag können Sie den Stammserver oder alle Domänencontroller testen. Gehen Sie folgendermaßen vor:
Um die DNS-Konfiguration des Stammdomänencontrollers zu testen, geben Sie den Befehl
DCDiag /test:DNS.
Um die DNS-Konfiguration aller Domänencontroller zu testen, geben Sie den Befehl
DCDiag /test:DNS /e.
Die folgenden Zeilen zeigen die Ergebnisse eines DNS-Tests mit DCDiag, den das System mit einigen Warnungen bestanden hat:
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = 2008-vm
* Identifizierte AD-Gesamtstruktur.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgeführt
Server wird getestet: Default-First-Site-Name\2008-VM
Testbeginn: Connectivity
Warnmeldung beim Auflösen des Hostnamens 2008-vm.corp.contoso.com
mithilfe des Stapels IPv6
*** Achtung: Die Identität des Servers im Verzeichnis konnte nicht anhand
der von den DNS-Servern zurückgegebenen Namen bestätigt werden. Sollten
Probleme beim Zugreifen auf diesen Verzeichnisserver bestehen, überprüfen Sie,
ob dieser Server ordnungsgemäß mit DNS konfiguriert ist
......................... 2008-VM hat den Test Connectivity bestanden
Primärtests werden ausgeführt
Server wird getestet: Default-First-Site-Name\2008-VM
Testbeginn: DNS
DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
......................... 2008-VM hat den Test DNS bestanden.
Partitionstests werden ausgeführt auf : ForestDnsZones
Problembehandlung
193
Partitionstests werden ausgeführt auf : DomainDnsZones
Partitionstests werden ausgeführt auf : Schema
Partitionstests werden ausgeführt auf : Configuration
Partitionstests werden ausgeführt auf : corp
Unternehmenstests werden ausgeführt auf : corp.contoso.com
Testbeginn: DNS
Testergebnisse für Domänencontroller:
Domänencontroller: 2008-vm.corp.contoso.com
Domäne: corp.contoso.com
TEST: Basic (Basc)
Achtung: Adapter 00:03:FF:3A:50:8F besitzt eine dynamische IP-Adresse
(möglicherweise eine Fehlkonfiguration).
Achtung: Adapter [00000006] Intel 21140-basierter PCI Fast-Ethernet-Adapter
(emuliert) besitzt einen ungültigen DNS-Server: 192.168.1.213
(<Name nicht verfügbar>)
Warnung: Der AAAA-Eintrag für diesen Domänencontroller wurde nicht gefunden
TEST: Records registration (RReg)
Netzwerkkarte
[00000006] Intel 21140-basierter PCI Fast-Ethernet-Adapter (emuliert):
Warnung:
Fehlender AAAA-Eintrag beim DNS-Server ::1:
2008-vm.corp.contoso.com
Warnung:
Fehlender AAAA-Eintrag beim DNS-Server ::1:
gc._msdcs.corp.contoso.com
Achtung: Die Eintragsregistrierungen wurden auf einigen
Netzwerkkarten nicht gefunden.
Zusammenfassung der Testergebnisse für die von den oben aufgeführten
Domänencontrollern verwendeten DNS-Server:
DNS-server: 192.168.1.213 (<"Name nicht verfügbar>)
1 Testfehler auf diesem DNS-Server
Dies ist kein gültiger DNS-Server.
PTR-Eintragsabfrage für 1.0.0.127.in-addr.arpa. schlug fehl auf
DNS-Server 192.168.1.213
Die Namensauflösung funktioniert nicht.
_ldap._tcp.corp.contoso.com. schlug fehl auf DNS-Server 192.168.1.213
2008-vm
PASS WARN PASS PASS PASS WARN n/a
corp.contoso.com hat den Test DNS bestanden
Falls Sie ausführlichere Informationen wünschen, geben Sie beim Aufruf zusätzlich den Parameter /v
an.
194
genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten im Detail
untersuchen, einschließlich der DNS-Abfragen und Antworten. Gewöhnlich reicht die Debugprotokollierung auf dem Client (mit Nslookup) oder dem Server (unter Verwendung der DNS-ManagerKonsole) zwar aus, aber der Network Monitor lässt sich ebenfalls einsetzen, falls Sie die rohen, noch
nicht interpretierten Paketdaten untersuchen möchten.
downloads/ und suchen nach Network Monitor. Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network Monitor die Netzwerkkommunikation aufzeichnen
DNS-Server zählen zu den wichtigsten Komponenten der Netzwerkinfrastruktur. Wenn Ihre DNSServer nicht richtig funktionieren, können Netzwerkanwendungen keine Verbindung mit Servern herstellen. Auch E-Mail, das Internet und andere Dienste sind dann nicht mehr zugänglich.
Zum Lieferumfang von Windows Server 2008 gehört ein zuverlässiger, skalierbarer und leicht konfigurierbarer DNS-Server, der die Namensauflösung für interne Clients und für Clients aus dem öffentlichen Internet vornehmen kann, die auf Ihre Web- oder E-Mail-Server zugreifen müssen. Der größte
Teil der für den DNS-Server erforderlichen Einstellungen lässt sich in der DNS-Manager-Konsole
oder mit dem Befehlszeilenprogramm Dnscmd vornehmen. Damit Sie Probleme, die sich mit DNSServern ergeben, schnell beheben können, hat Microsoft für eine ausführliche Ereignisprotokollierung
gesorgt, das clientseitige Programm Nslookup bereitgestellt und eine serverseitige Debugprotokollierung implementiert.
Weitere Informationen über DNS finden Sie in folgenden Dokumenten.
Eine Liste der von Microsoft zum Thema DNS bereitgestellten Dokumentation finden Sie in
»Domain Name System« unter http://www.microsoft.com/dns.
Eine aktuelle Liste der DNS-Stammserver erhalten Sie von http://www.root-servers.org/.
Informationen über den System Center Operations Manager 2007 erhalten Sie unter
http://www.microsoft.com/systemcenter/opsmgr/.
Um den Network Monitor herunterzuladen, besuchen Sie http://www.microsoft.com/downloads/
search.aspx und suchen nach Network Monitor 3.1.
DNSLint können Sie von http://support.microsoft.com/?kbid=321045 herunterladen.
Weitere Informationen über die Zone GlobalNames finden Sie in »DNS Server GlobalNames
Zone Deployment« unter http://www.microsoft.com/downloads/details.aspx?FamilyID=
1c6b31cd-3dd9-4c3f-8acd-3201a57194f1.
195
K A P I T E L
8
Windows Internet Name Service
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
195
198
201
204
209
214
215
Ein Windows Internet Name Service-Server (WINS-Server) ist ein Dienst, der eine zentralisierte Namensauflösung für NetBIOS-Namen bietet. Obwohl DNS (Domain Name System) inzwischen WINS
als Hauptmethode zur Namensauflösung in Windows-Netzwerken abgelöst hat, verwenden viele
Organisationen aus Gründen der Abwärtskompatibilität immer noch WINS. Dieses Kapitel bietet
Informationen über die Planung, Bereitstellung und Wartung der WINS-Serverfunktion des Betriebssystems Windows Server 2008, sowie über die Behebung von Problemen. In diesem Kapitel werden
Grundkenntnisse über TCP/IP (Transmission Control Protocol/Internet Protocol), DHCP (Dynamic
Host Configuration Protocol) und DNS vorausgesetzt.
Konzepte
Dieser Abschnitt gibt Ihnen einen Überblick über wichtige WINS- und NetBIOS-Namensauflösungskonzepte, wobei folgende Aspekte den Schwerpunkt bilden:
Die Geschichte der NetBIOS-Namensauflösung
Die Struktur der NetBIOS-Namen
Wie Clients WINS-Server verwenden können, um NetBIOS-Namen aufzulösen
Wie Clients ihre eigenen NetBIOS-Namen mit einem WINS-Server registrieren können
Ausführliche Informationen über NetBIOS und NetBIOS-Namenserver (NBNS) finden Sie in
RFC 1001 unter http://www.ietf.org/rfc/rfc1001.txt und in RFC 1002 unter http://www.ietf.org/rfc/
rfc1002.txt. WINS ist die Microsoft-Implementierung von NBNS.
Die Geschichte von NetBIOS
NetBIOS ist eine API (Application Programming Interface), die von IBM entworfen wurde, damit
Computer auf einfache Weise in einem Netzwerk kommunizieren können. Microsoft hat NetBIOS
und ein Schicht-2-Protokoll namens NetBEUI (NetBIOS Extended User Interface) für die ersten Versionen des Windows-Netzwerks übernommen.
196
Kapitel 8: Windows Internet Name Service
Als sich TCP/IP immer mehr durchsetzte, entwickelte Microsoft NetBIOS über TCP/IP, um die Abwärtskompatibilität für Anwendungen zu gewährleisten, die NetBIOS-APIs verwenden. Eine der
größten Herausforderungen war die Erweiterung von NetBIOS. Dabei handelt es sich um ein Protokoll, das für den Einsatz in einem einfachen lokalen Netzwerk (Local Area Network, LAN) entwickelt
wurde und nun auch in gerouteten Netzwerken eingesetzt werden sollte, die keine Broadcastnachrichten unterstützen. Die NetBIOS-Namensauflösung in NetBEUI macht es erforderlich, dass der Server
eine Broadcastnachricht vom Client empfangen kann. Broadcastnachrichten werden in TCP/IP-Netzwerken aber gewöhnlich nicht über Router in andere Netzwerksegmente weitergeleitet.
Microsoft entwickelte WINS, damit die NetBIOS-Namensauflösung auch in gerouteten TCP/IP-Netzwerken funktioniert. Mit WINS verwaltet ein zentraler WINS-Server eine Liste mit NetBIOS-Namen
und IP-Adressen für jeden Computer aus dem Netzwerk. Jeder Client übermittelt beim Hochfahren
eine Liste mit NetBIOS-Namen und gibt sie beim Herunterfahren frei. Clients können den WINSServer abfragen, um die zu einem beliebigen NetBIOS-Namen gehörende IP-Adresse zu erfahren.
NetBIOS-Namen waren unter Microsoft Windows NT 4.0 und älteren Domänen erforderlich, um am
Netzwerk teilnehmen zu können. Seit Microsoft Windows 2000 Server verwenden Active DirectoryDomänen aber DNS für die Namensauflösung und ein WINS-Server ist nicht länger erforderlich. Aus
Gründen der Abwärtskompatibilität zu älteren Windows-Versionen bieten die Betriebssysteme Windows 2000 Server, Windows Server 2003 und Windows Server 2008 alle einen WINS-Serverdienst
an. Alle jüngeren Windows-Clients unterstützen die Verwendung von DNS zur Auflösung von NetBIOS-Namen. Allerdings können Sie die Clients auch so konfigurieren, dass sie einen WINS-Server
abfragen.
Heutzutage werden NetBIOS und WINS praktisch nur noch zur Unterstützung von Windows NT 4.0Domänen sowie von Windows 95 oder älteren Windows-Versionen gebraucht. Außerdem sind Microsoft Exchange 2000 Server und Exchange Server 2003 auf WINS angewiesen, um ihren vollen Funktionsumfang zu erreichen, wie man im Microsoft Knowledge Base-Artikel 837391 nachlesen kann.
Wenn es möglich ist, sollten Sie die Bereitstellung neuer WINS-Server vermeiden.
Tabelle 8.1 Gebräuchliche NetBIOS-Dienstcodes
Name
16. Zeichen (Hex) Typ
Verwendung
ComputerName
00
Eindeutig (Unique)
Arbeitsstationsdienst
ComputerName
01
Eindeutig
Nachrichtendienst
ComputerName
03
Eindeutig
Nachrichtendienst
UserName
03
Eindeutig
Nachrichtendienst
DomainName
1B
Eindeutig
Hauptsuchdienst der Domäne
ComputerName
1D
Eindeutig
Hauptsuchdienst
ComputerName
20
Eindeutig
Dateiserver
DomainName
00
Gruppe (Group)
Domänenname
..__MSBROWSE__.
01
Gruppe
Hauptsuchdienst
DomainName
1C
Gruppe
Domänencontroller
DomainName
1Eh
Gruppe
Wahl des Suchdienstes
Konzepte
197
NetBIOS-Namen
Ein NetBIOS-Name ist ein 16-Byte-Name. NetBIOS-Namen können Folgendes bezeichnen:
Dienste Dienste, die auf einem Computer ausgeführt werden
Benutzer Bestimmte Benutzer auf einem Computer
Gruppen Arbeitsgruppen oder Domänen
Bei den ersten 15 Zeichen eines NetBIOS-Namens handelt es sich gewöhnlich um einen Computer-,
Benutzer-, Arbeitsgruppen- oder Domänennamen. Das sechzehnte Zeichen bezeichnet einen bestimmten Dienst (vergleichbar mit der Weise, in der eine Portnummer in TCP/IP-Netzwerken einen Dienst
bezeichnet). Tabelle 8.1 listet gebräuchliche NetBIOS-Dienste auf und nennt auch das jeweils damit
verknüpfte 16. Byte.
WINS-Namensauflösung
WINS-Abfragen erfolgen mit dem NetBIOS-Datagrammprotokoll, das UDP-Port 137 verwendet
(UDP bedeutet User Datagram Protocol). Wenn der primäre WINS-Server nicht antwortet oder wenn
seine Antwort lautet, dass der Name nicht zu finden ist, sendet der Client eine Abfrage an den sekundären WINS-Server.
Die Betriebssysteme Windows Server 2008, Windows Vista und die meisten neueren Windows-Versionen verwenden standardmäßig folgenden Prozess, um einen einfachen einteiligen Namen wie zum
Beispiel einen Computernamen aufzulösen:
1. Vergleiche den Namen mit den bereits aufgelösten DNS-Namen, die im DNS-Zwischenspeicher
stehen.
2. Überprüfe die lokale Hosts-Datei nach dem Namen. Die Datei Hosts hat keine Erweiterung und
ist im Ordner %SystemRoot%\System32\Drivers\Etc\ zu finden.
3. Füge zum einteiligen Namen die Standarddomäne hinzu und befrage dann DNS.
Muss Windows zum Beispiel COMPUTERNAME auflösen und ist contoso.com der Standarddomänenname, führt es mit computername.contoso.com eine Abfrage durch. Auf Clients können
mehrere Domänennamen konfiguriert sein. Der einteilige Name wird einzeln mit jedem Domänennamen kombiniert. Dann wird die Abfrage wiederholt.
Weitere Informationen Weitere Informationen finden Sie in »Configuring DNS Client
Settings« unter http://technet2.microsoft.com/windowsserver/en/library/5fe46cef-db12-4b78-94d22a0b62a282711033.mspx.
4. Übermittle eine LLMNR-Abfrage (Linklocal Multicast Name Resolution) an das lokale Netzwerk. Verwende dabei Internetprotokoll Version 4 (IPv4) und Internetprotokoll Version 6 (IPv6).
Weitere Informationen Weitere Informationen über LLMNR finden Sie in RFC 4795
unter http://www.ietf.org/rfc/rfc4795.txt und in »The Cable Guy – November 2006, Link Local
Multicast Name Resolution« unter http://www.microsoft.com/technet/community/columns/
cableguy/cg1106.mspx.
5. Überprüfe, ob der Name mit einem bereits aufgelösten NetBIOS-Namen im NetBIOS-Namenscache übereinstimmt, oder mit einem Namen, der aus der Datei Lmhosts geladen wurde. Die
Datei Lmhosts hat keine Namenserweiterung und liegt im Ordner %SystemRoot%\System32\
Drivers\Etc\.
198
6. Übermittle eine NetBIOS-Namensauflösungsabfrage an die WINS-Server. Beginne mit dem primären WINS-Server und fahre fort, bis der Name aufgelöst ist.
7. Sende drei Broadcast-NetBIOS-Namensauflösungsanfragen ins lokale Netzwerk. Warte jeweils
750 ms zwischen den Anfragen.
8. Suche den Namen in der lokalen Datei %SystemRoot%\System32\Drivers\Etc\Lmhosts.
Der Prozess endet, wenn einer dieser Schritte zu einer erfolgreichen Auflösung des Namens führt.
Ist der Name am Schluss dieses Vorgangs immer noch nicht aufgelöst, wird der Vorgang mit einem
Fehler abgeschlossen. Gewöhnlich dauert es 1,5 bis 2,5 Sekunden, bevor das Zeitintervall abläuft.
WINS-Clientregistrierungen
Wie bei dynamischen DNS-Updates (besprochen in Kapitel 7, »DNS«) registrieren sich auch WINSClients beim Hochfahren selbst bei ihrem konfigurierten WINS-Server. Da sich Clients automatisch
selbst registrieren, bleibt die WINS-Datenbank auf dem aktuellen Stand, wenn sich Computer mit
Ihrem Netzwerk verbinden oder IP-Adressen ändern.
So funktioniert’s: Entfernen von WINS-Clientregistrierungen
Damit NetBIOS-Namen nicht veralten, löscht WINS nichtstatische Einträge nach 4 Tagen, wenn
der Client den Eintrag nicht erneuert. Standardmäßig registrieren Clients ihre NetBIOS-Namen
nach Ablauf der halben Gültigkeitsdauer des NetBIOS-Namenseintrags erneut, oder alle 2 Tage.
Wird ein Client normal heruntergefahren, sendet er eine NetBIOS-Namensfreigabenachricht an den
WINS-Server und der WINS-Server löscht den NetBIOS-Namen aus der Datenbank.
Da WINS Replikationen verwendet, um mehrere WINS-Server synchron zu halten, werden Einträge
nicht einfach gelöscht. Stattdessen werden WINS-Einträge, die abgelaufen sind, als veraltet gekennzeichnet. Ist ein Eintrag veraltet, wird dieser Status auf andere WINS-Server repliziert. Irgendwann
löschen alle WINS-Server den veralteten Eintrag. Fragt ein Client nach einem veralteten NetBIOSEintrag, antwortet der WINS-Server, dass dieser NetBIOS-Eintrag nicht existiert. In diesem Sinne
behandeln WINS-Server einen veralteten Eintrag wie einen gelöschten Eintrag.
Durch die WINS-Replikation können WINS-Einträge automatisch auf andere WINS-Server kopiert
und in Ihrer gesamten Organisation verfügbar gemacht werden.
Die meisten großen Organisationen verwenden nicht nur aus Redundanzgründen mehrere WINSServer, sondern richten auch aus Leistungsgründen an jedem Standort WINS-Server ein. Um diese
Server synchron zu halten und sicherzustellen, dass alle Clients jeden NetBIOS-Namen auflösen können, müssen Sie Replikationspartnerschaften zwischen WINS-Servern einrichten. Bei entsprechender
Planung kann eine WINS-Infrastruktur beinahe wartungsfrei sein. Ohne Planung kann eine WINSInfrastruktur unzuverlässig sein, viel Bandbreite beanspruchen und Probleme aufweisen, die nur
schwer zu beheben sind.
Dieser Abschnitt beschreibt die Planung und das Design einer WINS-Infrastruktur.
199
Anordnung der WINS-Server
Ein einzelner WINS-Server kann bis zu 10.000 WINS-Clients bedienen. Daher brauchen die meisten
Organisationen kaum mehr als nur einen WINS-Server, damit ihre Ansprüche an die Skalierbarkeit
erfüllt sind. Um die Verzögerungszeiten bei der Bearbeitung von WINS-Abfragen zu minimieren,
sollten Sie aber an jedem Standort einen WINS-Server einrichten, wie in Abbildung 8.1 dargestellt.
Abbildung 8.1 Aufbau von WINS-Servern an den verschiedenen Standorten
Der Einfachheit halber können Sie WINS auf Ihren Active Directory-Domänencontrollern und auf
DNS-Servern konfigurieren, die unter Windows betrieben werden. Der zusätzliche Leistungsbedarf ist
nur gering.
WINS-Replikation
WINS unterstützt zwei Replikationsarten:
Push Der WINS-Server übermittelt Updates an Replikationspartner, nachdem eine bestimmte
Anzahl lokaler Änderungen aufgetreten sind. Ob eine Aktualisierung erforderlich ist, ermitteln
WINS-Server durch einen Vergleich der Versionsnummern der WINS-Datenbanken, die bei jeder
Änderung eines NetBIOS-Namens ebenfalls aktualisiert werden.
Pull WINS-Server kontaktieren ihre Replikationspartner und bitten sie um die Überprüfung, ob
Aktualisierungen erforderlich sind. Ist dies der Fall, fordert der Pull-Replikationspartner die aktuellen Einträge vom Remote-WINS-Server an.
In Replikationspartnerschaften wird die Push/Pull-Replikation standardmäßig kombiniert, Sie sollten
diese Einstellung normalerweise beibehalten. Sie brauchen nur dann eine dieser Replikationsmethoden zu deaktivieren, wenn Ihnen die verfügbare Bandbreite keine andere Wahl lässt und Sie den
Replikationsdatenverkehr sorgfältig planen müssen.
Eine Replikation ist eine inkrementelle Aktualisierung. Anders gesagt, WINS-Server übertragen nur
Einträge, die seit der letzten Replikation geändert wurden. Administratoren können eine Replikation
200
manuell einleiten, um zum Beispiel sicherzustellen, dass die Datenbanken für die anstehenden Wartungsarbeiten auf dem neusten Stand sind.
Bei der Planung des WINS-Replikationsschemas sollten Sie darauf achten, dass die Konvergenzzeit
möglichst klein ist (mit diesem Begriff ist die Zeit gemeint, die erforderlich ist, bis alle WINS-Server
nach einer Aktualisierung wieder synchron sind). Ist die Konvergenzzeit zu groß, können Clients aus
einem bestimmten Teil des Netzwerks zum Beispiel nicht auf neu angeschlossene Netzwerkressourcen zugreifen, die für andere Clients, die einen anderen WINS-Server verwenden, bereits zugänglich
sind. Dadurch wird auch die Problembehandlung komplizierter.
Wenn Ihr Netzwerk nur über zwei oder drei WINS-Server verfügt, konfigurieren Sie die WINS-Server
so, dass jeder mit jedem als Replikationspartner verbunden ist (Abbildung 8.2).
Abbildung 8.2 Die WINS-Replikation erfolgt in diesem Beispiel mit jedem WINS-Server direkt
Wenn Sie mehr als drei WINS-Server einsetzen, verwenden Sie eine Hub-Architektur. Wie Abbildung 8.3 zeigt, können Sie auch in diesem Fall für Redundanz sorgen, indem Sie zwei WINS-Server
als Hubs einsetzen. Bei der Einrichtung der Replikation konfigurieren Sie jeden WINS-Server einfach
so, dass die Replikation mit einem Hub erfolgt.
Abbildung 8.3 Die WINS-Replikation erfolgt hier über Hubs
201
Die Konfiguration von WINS ist ziemlich einfach und die vorgeschlagenen Standardeinstellungen
sind für die meisten Organisationen die richtige Wahl. Dieser Abschnitt beschreibt folgende Punkte:
Hinzufügen der WINS-Serverfunktion zu einem Computer, auf dem Windows Server 2008 ausgeführt wird
Einrichten der WINS-Replikation
Konfigurieren von WINS-Clients
Konfigurieren eines WINS-Servers
Bevor Sie die WINS-Serverfunktion zu einem Computer hinzufügen, auf dem Windows Server 2008
ausgeführt wird, sollten Sie dem Server eine statische IP-Adresse geben. Da Clients den Namen eines
Namensauflösungsservers nicht nachschlagen können, müssen Sie die Clients mit der IP-Adresse des
Servers konfigurieren. Verfügt der Server nur über eine dynamische IP-Adresse, könnte sich diese
Adresse ändern. Dann müssten alle Clientcomputer neu konfiguriert werden.
So konfigurieren Sie einen WINS-Server
1. Nachdem Sie dem Server eine statische IP-Adresse gegeben haben, klicken Sie auf Start und dann
auf Server-Manager.
2. Klicken Sie mit der rechten Maustaste auf Features und klicken Sie dann auf Features hinzufügen.
Der Assistent zum Hinzufügen von Features öffnet sich.
3. Wählen Sie auf der Seite Features auswählen die Option WINS-Server und klicken Sie dann auf
Weiter.
5. Klicken Sie auf der Seite Installationsergebnisse auf Schließen.
Konfigurieren der WINS-Replikation
Um die WINS-Serverkonfiguration abzuschließen, konfigurieren Sie erst die WINS-Replikation und
konfigurieren anschließend die WINS-Clients (einschließlich des WINS-Servers) mit der IP-Adresse
des WINS-Servers.
So konfigurieren Sie einen WINS-Replikationspartner
1. Klicken Sie auf Start, dann auf Verwaltung und schließlich auf WINS.
Abbildung 8.4 Die WINS-Konsole
202
2. Die WINS-Konsole öffnet sich (Abbildung 8.4).
3. Erweitern Sie den Namen Ihres WINS-Servers. Klicken Sie Replikationspartner mit der rechten
Maustaste an und klicken Sie dann auf Neuer Replikationspartner.
4. Geben Sie im Dialogfeld Neuer Replikationspartner die IP-Adresse des Replikationspartners ein
und klicken Sie dann auf OK.
Wiederholen Sie diese Schritte nun auf dem Replikationspartner, damit beide Partner über eine Push/
Pull-Beziehung zum Remote-WINS-Server verfügen.
WINS-Clientkonfiguration
Um sich registrieren, die Registrierung erneuern und NetBIOS-Namen auflösen zu können, müssen
WINS-Clients die IP-Adresse von mindestens einem WINS-Server kennen. Die folgenden Abschnitte
beschreiben, wie man einen DHCP-Server so einstellt, dass er Clients mit den WINS-Einstellungen
versorgen kann, wie man auf einem Clientcomputer die WINS-Einstellungen manuell vornimmt und
wie sich die WINS-Einstellungen mit einem Skript durchführen lassen.
Hinweis Wenn Sie noch ältere Windows-Clients wie beispielsweise Windows 3.1 einsetzen, die keine
Abfragen an WINS-Server senden können, dann richten Sie in dem betreffenden Subnetz einen WINSProxy ein, der Broadcastabfragen annimmt und als direkte Abfrage an den WINS-Server sendet. Wenn Sie
eine Windows-Version entsprechend konfigurieren möchten, die den Versand von WINS-Abfragen durch
einen WINS-Proxy unterstützt, stellen Sie den Registrierungswert HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\Netbt\Parameters\EnableProxy auf 1.
Einstellen eines DHCP-Servers auf die Zuweisung von WINS-Serverdaten
Heutzutage konfigurieren die meisten Netzwerke Clientcomputer mit DHCP. Wenn Sie die DHCPServerrolle zu einem Computer hinzufügen, auf dem Windows Server 2008 ausgeführt wird, können
Sie die IP-Adresse des WINS-Servers auf der Seite IPv4-WINS-Einstellungen eingeben.
So fügen Sie nachträglich eine WINS-Serveradresse hinzu, nachdem Sie einen DHCP-Server ohne einen
WINS-Server konfiguriert haben
2. Erweitern Sie erst den Servernamen und dann IPv4 oder IPv6.
3. Klicken Sie Serveroptionen mit der rechten Maustaste an und klicken Sie dann auf Optionen konfigurieren.
4. Wählen Sie das Kontrollkästchen 044 WINS/NBNS-Server, geben Sie die IP-Adresse Ihres WINSServers ein und klicken Sie dann auf OK.
So aktualisieren Sie die WINS-Serveradresse nach der Konfiguration der DHCP-Serverrolle
2. Erweitern Sie erst den Servernamen und dann IPv4.
3. Klicken Sie auf Serveroptionen.
4. Klicken Sie im rechten Bereich die Option WINS/NBNS-Server mit einem Doppelklick an. Konfigurieren Sie die IP-Adressen Ihrer WINS-Server im Dialogfeld Serveroptionen (Abbildung 8.5)
und klicken Sie dann auf OK.
203
Abbildung 8.5 Das Dialogfeld Serveroptionen
Manuelles Konfigurieren eines Computers, auf dem Windows Vista
oder Windows Server 2008 ausgeführt wird
Wenn die Computer auf die Verwendung von DHCP eingestellt sind, brauchen Sie nur die DHCPServer mit den IP-Adressen der WINS-Server zu versorgen. Wenn Clients dann eine DHCP-Lease
erhalten, erhalten sie automatisch auch die IP-Adressen Ihrer WINS-Server.
So konfigurieren Sie einen Computer, auf dem Windows Vista oder Windows Server 2008 ausgeführt
wird und dem manuell eine IP-Adresse zugewiesen wurde
auf Eigenschaften.
klicken Sie dann auf Eigenschaften. Wenn sich die Benutzerkontensteuerung meldet, nehmen Sie
die erforderlichen Eingaben vor.
4. Klicken Sie auf Internetprotokoll Version 4 (TCP/IPv4) und klicken Sie dann auf Eigenschaften.
5. Klicken Sie auf Erweitert.
6. Klicken Sie auf die Registerkarte WINS und dann auf Hinzufügen. Geben Sie die IP-Adresse Ihres
WINS-Servers ein und klicken Sie auf Hinzufügen. Wiederholen Sie diese Schritte nach Bedarf,
um mehrere redundante WINS-Server hinzuzufügen.
7. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK und klicken Sie
dann auf Schließen.
Hinweis Konfigurieren Sie WINS-Server als ihre eigenen WINS-Clients.
204
Konfigurieren eines Computers, auf dem Windows Vista oder Windows Server 2008
ausgeführt wird, mit einem Skript
Mit dem Programm Netsh können Sie einen Computer, auf dem Windows Vista oder Windows Server
2008 ausgeführt wird, mit der IP-Adresse eines WINS-Servers versorgen, wie das folgende Beispiel
zeigt:
netsh interface ipv4 add winsserver "LAN-Verbindung" 192.168.1.213
Wartung
WINS-Server erfordern einige Wartungsarbeiten. Insbesondere sollten Sie regelmäßig die WINSServerdatenbank sichern (das geschieht vermutlich im Rahmen der regelmäßigen Sicherung des Servers automatisch). Um die Leistung zu optimieren, sollten Sie regelmäßig die WINS-Datenbank komprimieren und ihren Zustand überprüfen. Zur Überwachung eines WINS-Servers können Sie die WINSKonsole oder die Systemmonitor-Konsole verwenden. Außerdem müssen Sie im Rahmen der Wartung
vielleicht WINS-Einträge hinzufügen oder löschen. Die folgenden Abschnitte beschreiben diese Arbeiten ausführlicher.
Sichern der WINS-Serverdatenbank
Die Standardsicherungsprogramme von Windows Server 2008 sichern die WINS-Serverdatenbank,
die im Ordner %SystemRoot%\System32\Wins\ zu finden ist, bei einer Sicherung automatisch mit. In
der WINS-Konsole können Sie die WINS-Serverdatenbank auch manuell sichern.
So konfigurieren Sie den Sicherungsort für die WINS-Serverdatenbank
2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Allgemein auf Durchsuchen. Wählen Sie einen Ordner aus, in
dem die Sicherung gespeichert werden soll.
4. Wählen Sie bei Bedarf das Kontrollkästchen Datenbank beim Herunterfahren des Servers sichern.
So führen Sie eine Sicherung durch
2. Klicken Sie den Servernamen mit der rechten Maustaste an und klicken Sie dann auf Datenbank
sichern.
3. Wählen Sie den Ordner aus, in dem die Sicherung gespeichert werden soll, und klicken Sie
dann auf OK. Windows erstellt in dem von Ihnen gewählten Ordner einen Unterordner namens
wins_bak. Klicken Sie auf OK, wenn die Sicherung bestätig wird.
Beachten Sie bitte, dass Sie Ihre WINS-Datenbank nicht zwangsläufig sichern oder wiederherstellen
müssen. Wenn Sie WINS-Replikationspartner haben, die im Netzwerk verfügbar sind, können Sie den
Schritten folgen, die in diesem Kapitel unter der Überschrift »Beheben von WINS-Datenbankproblemen« beschrieben werden, um die Datenbank mit den Daten von einem Replikationspartner wiederherzustellen. Gewöhnlich verfügen Replikationspartner über eine aktuellere WINS-Datenbank, als in
einer herkömmlichen Datensicherung verfügbar ist.
Wartung
205
Komprimieren der WINS-Datenbank
In Abständen von 6 bis 12 Monaten sollten Sie die WINS-Datenbank komprimieren, damit sie möglichst wenig Speicherplatz belegt. Geben Sie zur Komprimierung der WINS-Datenbank in einer Eingabeaufforderung folgende Befehle (oder erstellen Sie eine entsprechende Batchdatei, um den Vorgang außerhalb der üblichen Bürozeiten durchzuführen):
net stop wins
compact %systemroot%\system32\wins\wins.mdb
net start wins
Durchführen einer Datenbanküberprüfung
Gelegentlich kann es durch Beschädigungen der WINS-Datenbank zu unterschiedlichen Datenbeständen bei den WINS-Replikationspartnern kommen. Solche Probleme sind zwar eher selten, aber die
Menge der ungültigen Einträge kann mit der Zeit einen beträchtlichen Umfang erreichen. Mit der
WINS-Datenbanküberprüfung können Sie Ihre WINS-Server so einstellen, dass sie in regelmäßigen
Abständen jeden Eintrag bei dem WINS-Server überprüfen, dem der Eintrag gehört. Falls Sie über
eine große Zahl an WINS-Einträgen verfügen, kann die Datenbanküberprüfung eine beträchtliche Belastung für das Netzwerk und die Prozessoren bedeuten. Daher sollten Sie Einstellungen so vornehmen, dass die Datenbanküberprüfung in Zeiten stattfindet, in denen die Server und das Netzwerk
nicht so stark belastet sind.
So stellen Sie Ihre WINS-Server auf eine automatische Datenbanküberprüfung ein
Eigenschaften.
3. Klicken Sie auf Datenbanküberprüfung. Wählen Sie das Kontrollkästchen Datenbankkonsistenz
alle.
Abbildung 8.6 Einstellen der WINS-Datenbanküberprüfung
206
4. Wie Abbildung 8.6 zeigt, können Sie ein Überprüfungsintervall zwischen 6 und 24 Stunden einstellen. Legen Sie dann fest, wie lange das System bis zur ersten Prüfung warten soll. Anders gesagt, wenn die Überprüfung um 2 Uhr nachts stattfinden soll und es ist 17 Uhr, stellen Sie eine
Verzögerung von 9 Stunden ein.
5. Legen Sie fest, wie viele Einträge bei jeder Überprüfung höchstens überprüft werden sollen. Der
vorgegebene Standardwert 30.000 reicht gewöhnlich aus.
6. Legen Sie fest, ob die Einträge mit den Besitzerservern geprüft werden sollen (damit ist jeweils
der Server gemeint, der eine NetBIOS-Namensregistrierung vom Client angenommen hat) oder
ein nach dem Zufallsprinzip ausgewählter Partner. Im Normalfall ist Besitzerserver die beste
Wahl. Ist allerdings ein einzelner WINS-Server Besitzer des Großteils Ihrer WINS-Einträge und
Sie stellen fest, dass die Datenbanküberprüfung diesen Server zu stark belastet, sollten Sie stattdessen Zufällig gewählte Partner wählen.
Überwachen eines WINS-Servers
Windows Server 2008 enthält zwei Tools zur Überwachung eines WINS-Servers in Echtzeit, nämlich
die WINS-Konsole und das Systemmonitor-Snap-In. Außerdem können Sie WINS-Server mit dem
Microsoft System Center Operations Manager 2007 überwachen.
Anzeigen der aktiven Registrierungen
Sie können die WINS-Konsole verwenden, um eine Liste der aktiven Registrierungen einzusehen.
So zeigen Sie in der WINS-Konsole die aktiven WINS-Registrierungen an
2. Erweitern Sie den Namen Ihres WINS-Servers, klicken Sie Aktive Registrierungen mit der rechten
Maustaste an und klicken Sie dann auf Datensätze anzeigen.
3. Im Dialogfeld Einträge anzeigen richten Sie die gewünschten Filteroptionen ein. Falls Sie alle
Datensätze anzeigen möchten, übernehmen Sie einfach die Standardeinstellungen der Filteroptionen. Klicken Sie dann auf Suche starten.
Die WINS-Konsole zeigt die aktiven WINS-Registrierungen an, die den von Ihnen festgelegten
Kriterien entsprechen.
Überwachen der WINS-Serverleistung
Mit der Systemmonitor-Konsole können Sie die Aktivität Ihres WINS-Servers überwachen.
So überwachen Sie die WINS-Serveraktivität in Echtzeit
2. Erweitern Sie im Server-Manager den Knoten Diagnose\Zuverlässigkeit und Leistung\Überwachungstools und klicken Sie dann auf Systemmonitor.
3. Klicken Sie im Systemmonitor-Snap-In auf Hinzufügen (die Schaltfläche mit dem grünen Pluszeichen auf der Symbolleiste).
4. Erweitern Sie in der Liste Verfügbare Leistungsindikatoren den Eintrag WINS-Server. Klicken Sie
jeweils den Leistungsindikator an, den Sie hinzufügen möchten, und klicken Sie dann auf Hinzufügen.
Wartung
207
Folgende Leistungsindikatoren für WINS können Sie überwachen:
Abfragen/s, Erfolgreiche Abfragen/s und Fehlgeschlagene Abfragen/s Diese Leistungsindikatoren
geben die aktuelle Rate der WINS-Abfragen an.
Einzelregistrierungen/s, Gruppenregistrierungen/s und Registrierungen insgesamt/s Diese Leistungsindikatoren geben die aktuelle Rate der WINS-Clientregistrierungen an.
Einzelerneuerungen/s, Gruppenerneuerungen/s und Erneuerungen insgesamt/s Diese Leistungsindikatoren geben die aktuelle Rate der WINS-Clienterneuerungen an. Standardmäßig erfolgen die
Erneuerungen alle 2 Tage.
Einzelkonflikte/s, Gruppenkonflikte/s und Konflikte insgesamt/s Diese Leistungsindikatoren geben
die Rate der Konflikte an, die sich bei den Versuchen von Clients ergeben, ihre WINS-Datensätze
zu registrieren oder zu erneuern.
Freigaben/s, Erfolgreiche Freigaben/s und Fehlgeschlagene Freigaben/s Diese Leistungsindikatoren
geben die aktuelle Löschrate der WINS-Clientdatensätze an (Clients löschen ihre Einträge, wenn
sie ordnungsgemäß heruntergefahren werden).
Hinzufügen eines statischen WINS-Datensatzes
Im Normalfall werden alle WINS-Datensätze, die Sie brauchen, beim Hochfahren der Clientcomputer
automatisch hinzugefügt. Allerdings können Sie für Server, die nicht automatisch registriert werden,
auch statische WINS-Einträge vornehmen.
So fügen Sie für Server, die nicht automatisch registriert werden, statische WINS-Datensätze hinzu
2. Erweitern Sie in der WINS-Konsole den Namen Ihres Servers, klicken Sie mit der rechten Maustaste auf Aktive Registrierungen und klicken Sie dann auf Neue statische Zuordnung.
3. Geben Sie im Dialogfeld Statische Zuordnung den Computernamen und die IP-Adresse ein. Wählen Sie in der Dropdownliste Typ einen der folgenden Typen:
Eindeutig Identifiziert Arbeitsstations-, Nachrichten- und Dateiserverdienst auf einem einzelnen Computer. Verwenden Sie diesen Typ zur Identifizierung eines Client- oder Servercomputers.
Mehrfach vernetzt Dieser Typ bietet dieselbe statische Zuordnung wie Eindeutig, lässt sich
aber auf mehrere IP-Adressen anwenden. Verwenden Sie diesen statischen Zuordnungstyp für
Computer, die mit mehreren Netzwerkkarten ausgerüstet sind. Es ist üblich, in einem Server
mehrere Netzwerkkarten zu verwenden und einen Mehrfach vernetzt-Datensatz zu konfigurieren, damit verschiedene Clients Verbindungen zu unterschiedlichen Netzwerkadaptern herstellen können. Auf diese Weise wird die Last auf die Netzwerkadapter verteilt und die Skalierbarkeit verbessert.
Internetgruppe Identifiziert den Serverdienst auf einem oder mehreren Dateiservern. Sie können diese statische Zuordnung verwenden, um eine DFS-Freigabe (Distributed File System)
zu identifizieren, die zwischen mehreren Dateiservern repliziert wird.
Gruppe Identifiziert eine Arbeitsgruppe
Domänenname Identifiziert einen oder mehrere Domänencontroller
208
Der statische Eintrag wird auf alle Partner repliziert, wie jeder andere WINS-Datensatz.
Sie können einen statischen Eintrag auch mit Netsh zu einem WINS-Server hinzufügen. Verwenden
Sie folgende Syntax:
netsh wins server add name name=NetBIOS_Name ip={IP_Adresse}
Der folgende Befehl fügt zum Beispiel einen WINS-Datensatz mit dem NetBIOS-Namen »SERVER«
und der IP-Adresse 192.168.1.10 hinzu:
netsh wins server add name name=SERVER ip={192.168.1.10}
Wenn Sie einen Dienstcode angeben möchten, wie in Tabelle 8.1 beschrieben, geben Sie den Befehl
mit dem Parameter endchar und geben das sechzehnte Zeichen hexadezimal an. Das folgende Beispiel
zeigt, wie ein NetBIOS-Name für den Hauptsuchdienst der Domäne (er verwendet Code 1B) hinzugefügt wird:
netsh wins server add name name=DOMAIN ip={192.168.1.10} endchar=1B
Wenn Sie den Gruppentyp eines Datensatzes angeben möchten, verwenden Sie den Parameter group
mit einem Wert von 0 bis 4, mit dem der Gruppentyp des Eintrags angegeben wird. Wenn Sie den Parameter group nicht angeben, geht WINS davon aus, dass der Datensatz vom Typ Eindeutig (unique)
ist. Zulässige Werte sind:
0 Eindeutig
1 Gruppe
2 Internetgruppe
3 Mehrfach vernetzt
4 Domänenname
Der folgende Befehl gibt zum Beispiel für den Gruppennamen des Domänencontrollers mehrere
IP-Adressen an (Domänencontroller haben den Dienstcode 1C):
netsh wins server add name name=DC ip={192.168.1.10, 192.168.1.11} endchar=1C group=1
Ausführlichere Hinweise über die verfügbaren Parameter erhalten Sie, wenn Sie in einer Eingabeaufforderung folgenden Befehl geben:
netsh wins server add name ?
Löschen eines WINS-Eintrags
Unter normalen Umständen entfernt WINS veraltete Datensätze automatisch. Wenn Sie einen Datensatz manuell von allen WINS-Servern Ihrer Organisation entfernen müssen, sollten Sie ihn als veraltet
kennzeichnen. Müssen Sie nur von einem einzigen WINS-Server einen Eintrag entfernen, ohne diese
Änderung auf andere WINS-Server zu replizieren, sollten Sie den Eintrag löschen.
So löschen Sie einen WINS-Eintrag oder kennzeichnen ihn als veraltet
2. Erweitern Sie in der WINS-Konsole den Namen Ihres Servers und klicken Sie dann auf Aktive
Registrierungen.
3. Folgen Sie der Beschreibung im Abschnitt »Anzeigen der aktiven Registrierungen« dieses Kapitels, um den Eintrag zu suchen, den Sie löschen oder als veraltet kennzeichnen möchten. Klicken
Sie den Eintrag dann mit der rechten Maustaste an und wählen Sie Löschen.
Problembehandlung
209
4. Wählen Sie im Dialogfeld Löschen des Eintrags auf anderen Servern replizieren (veraltet), um
den Eintrag als veraltet zu kennzeichnen. Wenn Sie den Eintrag einfach von diesem speziellen
Server löschen möchten, wählen Sie Eintrag nur von diesem Server löschen. Wenn Sie den Eintrag einfach löschen, ohne ihn als veraltet zu kennzeichnen, kann es durchaus geschehen, dass es
ihn auf anderen WINS-Servern noch gibt.
5. Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Ja.
Problembehandlung
Die frühen WINS-Implementierungen hatten zwar in gewissem Umfang mit beschädigten Datenbanken und Replikationsproblemen zu kämpfen, aber der WINS-Server von Windows Server 2008 ist
wesentlich zuverlässiger. Trotzdem kann es während der Clientregistrierungen oder WINS-Replikationen zu Problemen kommen. Die folgenden Abschnitte beschreiben, wie Sie Probleme mit WINSServern (beispielsweise nicht korrekt gelöschte Datensätze, Replikationsprobleme und beschädigte
Datenbanken) und mit WINS-Clients (fehlgeschlagene WINS-Abfragen und Registrierungen) beheben können.
Beheben von WINS-Serverproblemen
Die folgenden Abschnitte beschreiben die Behebung von Problemen mit WINS-Servern und WINSServerdatenbanken mit folgenden Mitteln:
Aktivieren einer detaillierten Ereignisprotokollierung
Löschen der WINS-Serverdatenbank
Wiederherstellen der WINS-Serverdatenbank mit Replikationspartnern
Wiederherstellen der WINS-Serverdatenbank aus einer Sicherung
Verwenden von Ereignisprotokollen
Standardmäßig trägt WINS WINS-Server-Ereignisse mit der Quellenangabe WINS ins Systemereignisprotokoll ein. Wenn sich mit einem WINS-Server Probleme ergeben, sollten Sie zuerst auf diesem
WINS-Server das Systemereignisprotokoll überprüfen. Ausführliche Informationen über jedes Ereignis finden Sie unter http://support.microsoft.com.
Wenn der WINS-Server detailliertere Informationen über ein Problem aufzeichnen soll, können Sie
eine ausführliche Ereignisprotokollierung aktivieren.
So aktivieren Sie eine ausführliche Ereignisprotokollierung
2. Klicken Sie den Namen Ihres WINS-Servers mit der rechten Maustaste an und klicken Sie dann
auf Eigenschaften.
3. Klicken Sie auf die Registerkarte Erweitert. Wählen Sie das Kontrollkästchen Detaillierte Ereignisse im Windows-Ereignisprotokoll eintragen und klicken Sie dann auf OK.
WINS-Clients tragen keine Ereignisse ins Ereignisprotokoll ein, wenn sich ein Name nicht auflösen
lässt.
210
Beheben von WINS-Datenbankproblemen
In seltenen Fällen kann eine WINS-Serverdatenbank beschädigt werden. Beschädigte Datenbanken
können veraltete oder ungültige Einträge enthalten, sich nicht korrekt aktualisieren lassen, und es
können Einträge fehlen. Wenn für den WINS-Server keine Replikationspartnerschaften bestehen, sollten Sie die WINS-Serverdatenbank aus einer Sicherung wiederherstellen. Verfügt der WINS-Server
über mindestens einen Replikationspartner, sollten Sie die beschädigte Datenbank des Servers löschen
und die WINS-Datenbank über die Replikationspartnerschaft per Replikation wiederherstellen.
So löschen Sie die WINS-Serverdatenbank und stellen sie mit einem Replikationspartner wieder her
2. Klicken Sie den Namen Ihres WINS-Servers mit der rechten Maustaste an, klicken Sie auf Alle
Aufgaben und dann auf Beenden.
3. Löschen Sie die WINS-Serverdatenbank, indem Sie im Ordner %SystemRoot%\System32\Wins\
alle Dateien löschen.
4. Klicken Sie in der WINS-Konsole den Namen Ihres WINS-Servers mit der rechten Maustaste an,
klicken Sie auf Alle Aufgaben und dann auf Start.
5. Klicken Sie mit der rechten Maustaste auf Replikationspartner und klicken Sie dann auf Jetzt
replizieren.
Innerhalb weniger Minuten erhält der WINS-Server von seinen Replikationspartnern eine Kopie der
WINS-Datenbank. Diese Kopie enthält alle Datensätze, die dem beschädigten WINS-Server gehörten.
Wenn Sie feststellen, dass ein WINS-Server beschädigte Datensätze repliziert, versuchen Sie mit folgenden allgemeinen Schritten, das Problem zu beheben:
1. Beenden Sie den beschädigten WINS-Server.
2. Öffnen Sie auf einem Replikationspartner die WINS-Konsole, klicken Sie Aktive Registrierungen
mit der rechten Maustaste an und klicken Sie dann auf Besitzer löschen (Delete Owner).
3. Im Dialogfeld Besitzer löschen wählen Sie den beschädigten WINS-Server, klicken auf Löschen
auf anderen Servern replizieren (veraltet) und klicken Sie dann auf OK.
4. Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja.
5. Leiten Sie die Replikation ein, indem Sie mit der rechten Maustaste auf Replikationspartner klicken und dann auf Jetzt replizieren klicken. Warten Sie einige Minuten, damit die Replikation abgeschlossen werden kann.
6. Löschen Sie die WINS-Serverdatenbank vom beschädigten WINS-Server. Starten Sie dann den
beschädigten WINS-Server wieder und ermöglichen Sie es ihm, die Daten von seinen Replikationspartnern zu replizieren.
Wiederherstellen der WINS-Serverdatenbank aus einer Sicherung
Wenn möglich, sollten Sie eine WINS-Serverdatenbank mit einem Replikationspartner wiederherstellen. Falls das nicht möglich ist und Sie kürzlich eine Sicherungskopie Ihrer WINS-Serverdatenbank
angefertigt haben, können Sie die Datenbank mit folgenden Schritten wiederherstellen.
So stellen Sie eine WINS-Serverdatenbank aus einer Sicherung wieder her
2. Klicken Sie den Servernamen mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und
dann auf Beenden.
Problembehandlung
211
3. Nach dem Beenden des WINS-Serverdienstes klicken Sie den Servernamen mit der rechten Maustaste an und klicken dann auf Datenbank wiederherstellen.
4. Wählen Sie den Ordner aus, in dem die Sicherung der WINS-Datenbank liegt, und klicken Sie
dann auf OK.
5. Die WINS-Konsole stellt die Datenbank wieder her und startet den WINS-Server automatisch.
6. Klicken Sie auf OK, wenn Sie zur Bestätigung aufgefordert werden.
Beheben von WINS-Clientproblemen
Die folgenden Abschnitte beschreiben die Behebung von Problemen, die sich mit WINS-Clients und
bei WINS-Abfragen ergeben können.
Anzeigen der Konfiguration eines WINS-Clients
Wenn Sie die Konfiguration eines WINS-Clients schnell überprüfen möchten, geben Sie in einer Eingabeaufforderung den Befehl Ipconfig /allein. Überprüfen Sie die Angaben über den primären und
den sekundären WINS-Server, die in der folgenden Beispielausgabe fett gedruckt sind:
Windows-IP-Configuration
Hostname . . . . . .
Primäres DNS-Suffix .
Knotentyp . . . . . .
IP-Routing aktiviert
WINS-Proxy aktiviert
DNS-Suffixsuchliste .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
:
:
:
:
:
:
WS08
Hybrid
Nein
Nein
hsd1.nh.contoso.com.
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . :
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . :
Autokonfiguration aktiviert . . . :
IPv4-Adresse . . . . . . . . . . :
Subnetzmaske . . . . . . . . . . :
Lease erhalten. . . . . . . . . . :
Lease läuft ab. . . . . . . . . . :
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . :
DNS-Server . . . . . . . . . . . :
Primärer WINS-Server. . . . . . . :
Sekundärer WINS-Server. . . . . . :
NetBIOS über TCP/IP . . . . . . . :
hsd1.nh.contoso.com.
Gigabit Controller
00-15-C5-08-82-F3
Ja
Ja
192.168.1.161(Bevorzugt)
255.255.255.0
Mittwoch, 15. August 2007 7:04:56
Donnerstag, 16. August 2007 7:05:01
192.168.1.1
192.168.1.1
192.168.1.2
192.168.1.2
192.168.1.3
Aktiviert
Verwenden von NBTStat
Mit dem Tool NBTStat können Sie bei der Behebung von NetBIOS-Namensauflösungsproblemen
verschiedene Aufgaben ausführen, wie die folgenden Beispiele demonstrieren:
Anzeigen der auf dem aktuellen Computer registrierten NetBIOS-Namen zur Überprüfung der
Registrierungsergebnisse:
212
nbtstat -n
Drahtlosnetzwerkverbindung:
Knoten-IP-Adresse: [192.168.1.142] Bereichskennung: []
Lokale NetBIOS-Namentabelle
Name
Typ
Status
--------------------------------------------WS08
<00> EINDEUTIG
Registriert
MSHOME
<00> GRUPPE
Registriert
MSHOME
<1E> GRUPPE
Registriert
WS08
<20> EINDEUTIG
Registriert
MSHOME
<1D> EINDEUTIG
Registriert
..__MSBROWSE__.<01> GRUPPE
Registriert

Anzeigen kürzlich aufgelöster NetBIOS-Namen zur Überprüfung der Abfrageergebnisse:
nbtstat -r
Statistik zur NetBIOS-Namensauflösung und -Registrierung
---------------------------------------------------Durch Broadcast aufgelöst
= 16
Durch Namenserver aufgelöst = 0
Durch Broadcast registriert = 35
Durch Namenserver registriert = 0
Durch Broadcast aufgelöste NetBIOS-Namen
--------------------------------------------LAPTOP
<00>
2003-SERVER
<00>
LAPTOP
<00>
2003-SERVER
<00>
LAPTOP
<00>
2003-SERVER
<00>
2003-SERVER
<00>
LAPTOP2
<00>

Anzeigen zwischengespeicherter NetBIOS-Namen:
nbtstat -c
Keine Namen im Cache

Löschen des NetBIOS-Namenscaches (der Befehl muss in einer Eingabeaufforderung mit
administrativen Rechten gegeben werden), damit keine veralteten Einträge zwischengespeichert
werden:
nbtstat -R
NBT-Remotecache-Namentabelle wurde erfolgreich geräumt und geladen.

Löschen und erneutes Registrieren lokaler NetBIOS-Namen, falls die NetBIOS-Namen eines
Computers nicht auf einem WINS-Server registriert sind:
nbtstat -RR
Die für diesen Computer registrierten NetBIOS-Namen wurden aktualisiert.
Problembehandlung

213
Auflisten der NetBIOS-Namen eines Remotecomputers unter Angabe des Namens oder der
IP-Adresse des Remotecomputers:
nbtstat -a Computername
NetBIOS-Namentabelle des Remotecomputers
Name
Typ
Status
--------------------------------------------SERVERNAME
<00> EINDEUTIG
Registriert
SERVERNAME
<20> EINDEUTIG
Registriert
WORKGROUP
<00> GRUPPE
Registriert
WORKGROUP
<1E> GRUPPE
Registriert
WORKGROUP
<1D> EINDEUTIG
Registriert
..__MSBROWSE__.<01> GRUPPE
Registriert
MAC-Adresse = 00-13-D3-3B-50-8F
Isolieren fehlgeschlagener WINS-Abfragen
Wenn ein Client einen NetBIOS-Namen nicht auflösen kann, gehen Sie zur Behebung des Problems
folgendermaßen vor:
So ermitteln Sie die Ursache für eine gescheiterte WINS-Abfrage
1. Löschen Sie den NetBIOS-Namenscache, indem Sie in einer Eingabeaufforderung mit administrativen Rechten den Befehl nbtstat -R eingeben.
2. Sorgen Sie dafür, dass auf dem Client der richtige WINS-Server eingestellt ist. Zur Überprüfung,
welcher WINS-Server aktuell eingestellt ist, geben Sie in einer Eingabeaufforderung den Befehl
Ipconfig /all ein.
3. Überprüfen Sie mit dem Programm Ping, ob der WINS-Server im Netzwerk erreichbar ist (rufen
Sie in einer Eingabeaufforderung Ping mit der IP-Adresse des WINS-Servers als Parameter auf).
4. Lassen Sie sich auf dem WINS-Server die aktiven Registrierungen anzeigen und überprüfen Sie,
ob der von Ihnen abgefragte Name registriert ist.
Isolieren falscher Ergebnisse von NetBIOS-Abfragen
Falls ein Client einen NetBIOS-Namen falsch auflöst und z.B. statt der IP-Adresse 192.168.1.10 die
Adresse 192.168.1.11 liefert, gehen Sie zur Behebung des Problems folgendermaßen vor:
So ermitteln Sie die Ursache für eine ungültige Antwort auf eine NetBIOS-Abfrage
1. Sorgen Sie dafür, dass die Datei %SystemRoot%\system32\drivers\etc\lmhosts, sofern Sie vorhanden ist, keinen Eintrag für den fraglichen NetBIOS-Namen enthält.
2. Löschen Sie den NetBIOS-Namenscache auf dem Clientcomputer, indem Sie in einer Eingabeaufforderung mit administrativen Rechten den Befehl nbtstat -R eingeben.
3. Geben Sie in einer Eingabeaufforderung den Befehl nbtstat -a Computername ein. Dieser Befehl
sendet eine WINS-Abfrage, ohne zuerst DNS oder LLMNR abzufragen.
214
4. Geben Sie den Befehl nbtstat -c ein, um den NetBIOS-Namenscache anzuzeigen und das
Ergebnis der Abfrage zu überprüfen, die Sie im vorigen Schritt durchgeführt haben:
Ist die IP-Adresse korrekt, stammen die falschen Ergebnisse bei den bisherigen Abfragen von
DNS- oder LLMNR-Abfragen, und nicht von WINS-Abfragen. Überprüfen Sie mit Nslookup,
ob der fragliche DNS-Eintrag korrekt ist, wie in Kapitel 7 beschrieben.
Ist die IP-Adresse falsch, dann ist entweder der Eintrag im WINS-Server falsch oder ein
Computer aus dem lokalen Netzwerk antwortet falsch auf eine NetBIOS-Namensauflösungsabfrage. Überprüfen Sie die aktiven Registrierungen auf dem WINS-Server und korrigieren
oder löschen Sie alle ungültigen Datensätze.
Falls Sie die Ursache des Namesauflösungsproblems mit den bisher beschriebenen Methoden nicht
ermitteln können, fangen Sie den Namensauflösungsdatenverkehr zur genaueren Untersuchung mit
dem Network Monitor ab.
genannt). Mit dem Network Monitor können Sie die im Netzwerk übertragenen Rohdaten aufzeichnen
und im Detail untersuchen, zum Beispiel auch WINS-Abfragen und die Antwort des WINS-Servers.
Im Hilfesystem des Programms finden Sie ausführliche Angaben darüber, wie man mit dem Network
Monitor die Netzwerkkommunikation aufzeichnen und analysieren kann.
Viele Organisationen würden WINS zwar gerne außer Dienst stellen, müssen es aber derzeit noch für
ältere Windows-Versionen anbieten, die eine zentrale NetBIOS-Namensauflösung erfordern. Um diese Namensauflösung zu ermöglichen, enthält Windows Server 2008 wie die früheren Versionen von
Windows Server einen WINS-Serverdienst.
Halten Sie die Anzahl der WINS-Server bei der Planung einer WINS-Bereitstellung möglichst gering.
Wenn Sie zwei oder drei WINS-Server verwenden, richten Sie die Replikation zwischen ihnen so ein,
dass sie sich gegenseitig und direkt auf den neusten Stand bringen können. Wenn Sie mehr als drei
WINS-Server verwenden, richten Sie zwischen Ihnen eine Push/Pull-Replikation über einen Hub ein.
Zur Bereitstellung von WINS fügen Sie zuerst die WINS-Serverfunktion zu den vorgesehenen Windows Server 2008-Computern hinzu, richten bei Bedarf die Replikationspartnerschaften ein und konfigurieren dann Ihre Clientcomputer.
Für WINS fallen nur geringe Wartungsarbeiten an. Sie können die WINS-Serverdatenbank sichern
und bei Bedarf wiederherstellen, die Datenbank überprüfen und komprimieren, die WINS-Server
überwachen und WINS-Einträge erstellen oder löschen. Sollten Probleme auftreten, zeichnet der WINSServer entsprechende Informationen im Systemereignisprotokoll auf. Außerdem können Sie zur Behebung von NetBIOS-Namensauflösungsproblemen auf Clientcomputern das Programm NBTStat
verwenden.
215
Weitere Informationen über NetBIOS und NBNS (NetBIOS Name Servers) erhalten Sie in folgenden
Dokumenten:
RFC 1001 unter http://www.ietf.org/rfc/rfc1001.txt
Informationen darüber, wie Windows-Clients einteilige Namen mit DNS auflösen, erhalten Sie in
»Configuring DNS Client Settings« unter http://technet2.microsoft.com/windowsserver/en/library/
5fe46cef-db12-4b78-94d2-2a0b62a282711033.mspx.
Informationen über LLMNR erhalten Sie in folgenden Dokumenten und Artikeln:
»The Cable Guy – November 2006, Link Local Multicast Name Resolution« unter
http://www.microsoft.com/technet/community/columns/cableguy/cg1106.mspx.
T E I L
I I I
Netzwerkzugriffsinfrastruktur
In diesem Teil:
Kapitel 9: Authentifizierungsinfrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 12: Remotezugriff-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapitel 13: Standort-zu-Standort-VPN-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
281
349
393
467
219
K A P I T E L
9
Authentifizierungsinfrastruktur
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Problembehandlungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
219
236
247
274
276
279
279
Um Netzwerkzugriffe zu authentifizieren oder zu schützen, müssen Sie zuerst die Elemente einer
Authentifizierungsinfrastruktur auf der Basis von Microsoft Windows bereitstellen. Die wichtigsten
Elemente sind Active Directory, Gruppenrichtlinien, RADIUS (Remote Authentication Dial-In User
Service) und eine Public-Key-Infrastruktur (PKI). Welche Elemente Sie bereitstellen müssen, hängt
von der Art der Netzwerkzugriffe und von den Entscheidungen ab, die Sie beim Entwurf des Netzwerks über Sicherheitsfragen, die zentrale Verwaltung und andere Dinge treffen. Dieses Kapitel bietet
Ihnen Informationen über die Planung und Bereitstellung dieser Elemente einer Authentifizierungsinfrastruktur, die sich für herkömmliche, drahtlose und Standort-zu-Standort-Verbindungen sowie
Remoteverbindungen verwenden lässt. Nach der Bereitstellung lassen sich Elemente dieser Infrastruktur auch für NAP (Network Access Protection) verwenden.
Konzepte
Die folgenden Abschnitte beschreiben den technischen Hintergrund der folgenden Technologien, die
in einer auf der Basis von Windows erstellten Authentifizierungsinfrastruktur verwendet werden:
Active Directory-Domänendienste
Gruppenrichtlinien
PKI
RADIUS
Active Directory-Domänendienste
Die Active Directory-Domänendienste des Betriebssystems Windows Server 2008 speichern Informationen über Objekte des Netzwerks und sorgen dafür, dass diese Informationen für Administratoren
und Benutzer leicht zu finden und zu verwenden sind. Active Directory verwendet als Basis für eine
hierarchische logische Organisation der Verzeichnisinformationen einen strukturierten Datenspeicher.
Die Active Directory-Domänendienste lassen sich auf Servern installieren, auf denen Windows Server
2008 ausgeführt wird.
220
Kapitel 9: Authentifizierungsinfrastruktur
Dieser Datenspeicher, der auch Verzeichnis genannt wird, enthält Active Directory-Objekte. Diese
Objekte beschreiben zum Beispiel die Konten der Netzwerkcomputer und Benutzer und auch gemeinsam verwendete Ressourcen wie Server, Volumes und Drucker.
Sicherheit ist ein wichtiger Aspekt von Active Directory. Daher werden Benutzer zum Beispiel bei der
Anmeldung authentifiziert und der Zugriff auf die Objekte des Verzeichnisses wird kontrolliert. Nach
einer einzigen Netzwerkanmeldung können Administratoren die Verzeichnisdaten in ihrem gesamten
Netzwerk verwalten und organisieren. Autorisierte Benutzer können auf Ressourcen zugreifen, die
irgendwo in ihrem Netzwerk zu finden sind. Richtlinien erleichtern die Verwaltung selbst des kompliziertesten Netzwerks.
Active Directory umfasst auch Folgendes:
Einen Regelsatz (oder Schema), der die Klassen der Objekte und Attribute definiert, die im Verzeichnis enthalten sind, sowie die Beschränkungen und Obergrenzen, die für Instanzen dieser Objekte gelten, und das Format ihrer Namen.
Einen globalen Katalog mit Informationen über jedes Objekt im Verzeichnis. Dieser Katalog ermöglicht es Benutzern und Administratoren, im Verzeichnis enthaltene Informationen schnell zu
finden, und zwar unabhängig davon, welche Domäne aus der Gesamtstruktur die Daten enthält.
Einen Abfrage- und Indizierungsmechanismus, der es ermöglicht, dass Objekte und ihre Eigenschaften veröffentlicht und von Netzwerkbenutzern oder Anwendungen gefunden werden.
Einen Replikationsdienst, der Verzeichnisdaten über das Netzwerk verteilen kann. Alle Domänencontroller aus einer Domäne nehmen an der Replikation teil und enthalten eine vollständige Kopie
aller Verzeichnisinformationen, die es für die Domäne gibt. Jede Änderung an den Verzeichnisdaten wird auf alle Domänencontroller der Domäne repliziert.
Benutzerkonten
Die Benutzer- und Computerkonten von Active Directory stellen real existierende Menschen, Computer und Geräte dar. Benutzerkonten können von einigen Anwendungen auch als Dienstkonten verwendet werden.
Benutzerkonten und Computerkonten (und Gruppen) werden auch Sicherheitsprinzipale genannt.
Sicherheitsprinzipale sind Verzeichnisobjekte, denen automatisch Sicherheitskennungen (Security
Identifiers, SIDs) zugewiesen werden, die für den Zugriff auf Domänenressourcen dienen. Ein Benutzer- und Computerkonto wird zum Beispiel für folgende Aufgaben verwendet:
Authentifizieren der Identität eines Benutzers oder Computers Ein Benutzerkonto von Active Directory ermöglicht es einem Benutzer, sich mit einer Identität auf Computern und bei Domänen anzumelden, die von der Domäne überprüft werden kann. Jeder Benutzer, der sich am Netzwerk
anmeldet, sollte über sein eigenes eindeutiges Benutzerkonto samt Kennwort verfügen. Um eine
möglichst hohe Sicherheit zu gewährleisten, sollten Sie es vermeiden, mehreren Benutzern dasselbe Konto zu geben.
Gestatten oder Verweigern von Zugriffen auf Domänenressourcen Wenn der Benutzer authentifiziert
ist, wird ihm auf der Basis der expliziten Rechte an den Ressourcen, die ihm zugewiesen wurden,
der Zugriff auf eine Domänenressource gestattet oder verweigert.
Verwalten anderer Sicherheitsprinzipale Active Directory erstellt für Sicherheitsprinzipale aus
einer vertrauenswürdigen externen Domäne ein fremdes Sicherheitsprinzipalobjekt.
Überwachen der Aktivitäten, die mit dem Benutzer- oder Computerkonto erfolgen Die Überwachung
kann Ihnen helfen, die Sicherheit der Konten zu verbessern.
Konzepte
221
Mit dem Snap-In Active Directory-Benutzer und -Computer können Sie Benutzer- oder Computerkonten verwalten.
Jeder Computer, auf dem eines der Betriebssysteme Windows Vista, Windows XP, Windows Server
2008 oder Windows Server 2003 ausgeführt wird und der Mitglied einer Domäne ist, verfügt in der
Domäne über ein Computerkonto. Ähnlich den Benutzerkonten ermöglichen Computerkonten die
Authentifizierung und Überwachung von Computerzugriffen auf das Netzwerk und auf Domänenressourcen.
Benutzer- und Computerkonten können im Snap-In Active Directory-Benutzer und -Computer hinzugefügt, deaktiviert, zurückgesetzt und gelöscht werden. Außerdem kann ein Computerkonto erstellt
werden, wenn Sie einen Computer in eine Domäne aufnehmen.
Einwähleigenschaften eines Kontos
Benutzer- und Computerkonten in Active Directory enthalten eine Reihe von Einwähleigenschaften,
die bei der Entscheidung eine Rolle spielen, ob eine Verbindung zugelassen oder verweigert wird. In
einer Active Directory-Domäne können Sie die Einwähleigenschaften im Snap-In Active DirectoryBenutzer und -Computer auf der Registerkarte Einwählen des Eigenschaftendialogfelds eines Benutzer- oder Computerkontos festlegen. Abbildung 9.1 zeigt die Registerkarte Einwählen eines Benutzerkontos aus einer Domäne mit der Domänenfunktionsebene Windows Server 2008.
Abbildung 9.1 Die Registerkarte Einwählen des Eigenschaftendialogfelds eines Benutzerkontos aus einer Domäne
mit der Domänenfunktionsebene Windows Server 2008
Auf der Registerkarte Einwählen können Sie folgende Eigenschaften überprüfen und einstellen:
Netzwerkzugriffsberechtigung Mit dieser Eigenschaft können Sie die Netzwerkzugriffsberechtigung explizit gestatten, verweigern oder angeben, dass die Berechtigungen mit NPS-Netzwerkrichtlinien festgelegt werden (NPS bedeutet Network Policy Server, Netzwerkrichtlinienserver).
NPS-Netzwerkrichtlinien werden auch zur Autorisierung von Verbindungsversuchen verwendet.
222

Auch wenn der Zugriff explizit gestattet wird, können die NPS-Netzwerkrichtlinien und Einstellungen sowie die Kontoeigenschaften immer noch dazu führen, dass der Verbindungsversuch abgelehnt wird. Die Option Zugriff über NPS-Netzwerkrichtlinien steuern ist im Eigenschaftendialogfeld von Benutzer- und Computerkonten einer Domäne auf der Domänenfunktionsebene Windows Server 2008 verfügbar. Die Standardeinstellung für neue Konten, die auf der Domänenfunktionsebene Windows Server 2008 erstellt werden, ist Zugriff über NPS-Netzwerkrichtlinien
steuern.
Anruferkennung verifizieren Wenn diese Eigenschaft aktiviert ist, überprüft der Zugriffsserver die
Telefonnummer des Anrufers. Stimmt die Telefonnummer des Anrufers nicht mit der konfigurierten Telefonnummer überein, wird der Verbindungsversuch abgelehnt. Diese Einstellung ist für
Einwählverbindungen vorgesehen.
Rückrufoptionen Wenn diese Eigenschaft aktiviert ist, ruft der Zugriffsserver den Anrufer beim
Verbindungsvorgang zurück. Entweder der Anrufer oder der Netzwerkadministrator legt die
Telefonnummer fest, die vom Server verwendet wird. Diese Einstellung ist für Einwählverbindungen vorgesehen.
Statische IP-Adressen zuweisen Mit dieser Eigenschaft können Sie einem Benutzer eine bestimmte IP-Adresse zuweisen, wenn eine Verbindung hergestellt wird. Diese Einstellung ist für Einwählverbindungen vorgesehen.
Statische Routen anwenden Mit dieser Eigenschaft können Sie eine Reihe von statischen IP-Routen definieren, die beim Herstellen einer Verbindung zur Routingtabelle des Servers hinzugefügt
werden, auf dem der Routing und RAS-Dienst ausgeführt wird. Diese Einstellung ist für das Routen beim Wählen-bei-Bedarf vorgesehen.
Gruppen
Eine Gruppe ist eine Zusammenstellung von Benutzer- und Computerkonten und anderen Gruppen,
die auf diese Weise eine Einheit bilden und als Einheit verwaltet werden können. Benutzer und Computer, die zu einer bestimmten Gruppe gehören, werden Gruppenmitglieder genannt. Die Verwendung
von Gruppen erleichtert die Verwaltung, weil man nicht mehr jedem einzelnen Konto Berechtigungen
und Rechte zuweisen muss, sondern die gewünschten Berechtigungen und Rechte allen Gruppenmitgliedern auf einmal zuweisen kann.
Gruppen können entweder im Verzeichnis oder lokal auf einem Computer definiert werden. Active
Directory richtet bei der Installation eine Reihe von Standardgruppen ein und ermöglicht auch die
Definition neuer Gruppen.
Mit Gruppen können Sie in Active Directory Folgendes tun:
Vereinfachen der Verwaltung durch die Zuweisung von Berechtigungen für die Verwendung freigegebener Ressourcen an eine Gruppe statt an einzelne Benutzer. Dadurch erhalten alle Mitglieder
dieser Gruppe dieselben Berechtigungen.
Übertragen von Verwaltungsaufgaben durch die einmalige Zuweisung von Benutzerrechten mit
Gruppenrichtlinien an eine Gruppe und das Hinzufügen neuer Mitglieder, die diese Rechte brauchen, zur Gruppe.
Gruppen haben einen Gültigkeitsbereich und einen Typ. Der Gültigkeitsbereich bestimmt, in welchen
Grenzen eine Gruppe in einer Domäne oder einer Gesamtstruktur wirksam wird. Active Directory
definiert für Gruppen die Bereiche universell, global und lokal (in Domäne). Der Typ einer Gruppe
entscheidet darüber, ob sich eine Gruppe zur Zuweisung von Zugriffsrechten an einer freigegebenen
Konzepte
223
Ressource eignet (Sicherheitsgruppen). Er bestimmt auch, ob sich eine Gruppe nur für E-Mail-Verteilerlisten eignet (Verteilergruppen).
Schachtelung bedeutet, eine Gruppe als Mitglied in eine andere Gruppe aufzunehmen. Man schachtelt
Gruppen bei Bedarf, um Mitgliedskonten zusammenzufassen und den Replikationsdatenverkehr zu
verringern. Welche Schachtelungen möglich sind, hängt von der Domänenfunktionsebene ab. Gewöhnlich stehen mehrere Domänenfunktionsebenen zur Verfügung, damit sich eine Umgebung bei
Bedarf in mehreren kleineren Schritten umstellen lässt, wobei auf jeder höheren Stufe zusätzliche
Domänenfunktionen verfügbar werden.
Wenn Sie auf der Basis Ihrer Domänenfunktionsebene überprüft haben, wie Sie bestimmte Gruppen
ineinander schachteln können, fassen Sie die Benutzer- und Computerkonten in geeigneter Weise zu
logischen Gruppen zusammen. In einer Domäne auf der Domänenfunktionsebene Windows Server
2008 können Sie universelle und geschachtelte globale Gruppen verwenden. Sie können beispielsweise eine universelle Gruppe namens DrahtlosBenutzer einrichten, die globale Gruppen mit den
Konten für Benutzer und Computer enthält, die über drahtlosen Intranetzugriff verfügen. Wenn Sie
dann Ihre NPS-Netzwerkrichtlinien für den drahtlosen Zugriff konfigurieren, brauchen Sie nur den
Namen der Gruppe DrahtlosBenutzer anzugeben.
Weitere Informationen Weitere Informationen über Gruppentypen, Gruppenbereiche und Domänenfunktionsebenen finden Sie im Windows Server 2008 Active Directory – Die technische Referenz (Microsoft
Press, 2008), das in der Technischen Referenz zu Windows Server 2008 enthalten ist, sowie im Hilfe und
Support-System von Windows Server 2008 und unter http://www.microsoft.com/ad.
Public-Key-Infrastruktur
Eine Public-Key-Infrastruktur (PKI) ist ein System aus Zertifizierungsstellen (Certification Authorities, CAs) und digitalen Zertifikaten, mit dem sich die Identität oder Echtheit eines Teilnehmers an
einer sicheren Kommunikation überprüfen lässt, beispielsweise also die Identität eines Benutzers,
eines Computers oder eines Windows-Dienstes. Dabei wird eine Verschlüsselungsmethode verwendet,
die mit öffentlichen Schlüsseln arbeitet.
Zertifizierungsstellen
Wenn jemandem mit der Absicht ein Zertifikat vorgelegt wird, den Inhaber des Zertifikats zu identifizieren (den Antragsteller des Zertifikats), ist dies nur sinnvoll, wenn derjenige, dem das Zertifikat
vorgelegt wird, dem Aussteller des Zertifikats vertraut (also der ausstellenden Zertifizierungsstelle).
Sofern Sie einer ausstellenden Zertifizierungsstelle vertrauen, bedeutet dies, dass Sie darauf vertrauen, dass die Zertifizierungsstelle bei der Prüfung des Zertifikatantrags hinreichend sorgfältig vorgeht
und alle Anträge ablehnt, die nicht den vereinbarten Richtlinien entsprechen. Außerdem vertrauen Sie
darauf, dass die ausstellende Zertifizierungsstelle Zertifikate sperrt, die nicht länger als gültig angesehen werden sollten, und eine aktuelle Zertifikatsperrliste (Certificate Revocation List, CRL) veröffentlicht. Weitere Informationen über CRLs finden Sie im Abschnitt »Zertifikatsperrung« dieses
Kapitels.
Für Windows-Benutzer, Computer und Dienste wird das Vertrauen in eine Zertifizierungsstelle dadurch hergestellt, dass man ein selbstsigniertes Zertifikat der Stammzertifizierungsstelle der ausstellenden Zertifizierungsstelle lokal installiert und es einen gültigen Zertifizierungspfad zur ausstellenden Zertifizierungsstelle gibt. Ein Zertifizierungspfad ist nur dann gültig, wenn keine gesperrten oder
abgelaufenen Zertifikate in diesem Pfad liegen. Der Zertifizierungspfad umfasst jedes Zertifikat, das
in der Zertifizierungshierarchie von der untergeordneten Zertifizierungsstelle bis hinauf zur Stamm-
224
zertifizierungsstelle ausgestellt wurde. Für eine Stammzertifizierungsstelle besteht der Zertifizierungspfad zum Beispiel nur aus einem einzigen Zertifikat, nämlich dem selbstsignierten Zertifikat der
Stammzertifizierungsstelle. Für eine untergeordnete Zertifizierungsstelle, die in der Hierarchie direkt
unter der Stammzertifizierungsstelle steht, besteht der Zertifizierungspfad aus zwei Zertifikaten, nämlich dem Zertifikat der ausstellenden Zertifizierungsstelle und dem Stammzertifizierungsstellenzertifikat.
Wenn Ihre Organisation Active Directory verwendet, wird das Vertrauen in die Zertifizierungsstellen
der Organisation gewöhnlich automatisch durch die Entscheidungen und Einstellungen ausgedrückt,
die während der PKI-Bereitstellung vorgenommen werden. Tritt zum Beispiel ein Computer einer
Domäne bei, erhält er über die Gruppenrichtlinieneinstellungen automatisch das Stammzertifizierungsstellenzertifikat der Organisation.
Zertifizierungshierarchien
Eine Zertifizierungshierarchie sorgt für eine gute Skalierbarkeit und eine relativ einfache Verwaltung.
Daher verwenden auch eine wachsende Zahl kommerzieller und anderer Zertifizierungsstellenprodukte Hierarchien. In ihrer einfachsten Form besteht eine Zertifizierungshierarchie aus einer einzigen
Zertifizierungsstelle. Gewöhnlich setzt sich eine Hierarchie aber aus mehreren Zertifizierungsstellen
mit eindeutig definierten Beziehungen zwischen übergeordneten und untergeordneten Zertifizierungsstellen zusammen. In diesem Modell wird eine untergeordnete Zertifizierungsstelle durch Zertifikate
zertifiziert, die von ihrer übergeordneten Zertifizierungsstelle herausgegeben werden. Diese Zertifikate verknüpfen den öffentlichen Schlüssel der Zertifizierungsstelle mit ihrer Identität. Die an der Spitze
der Hierarchie befindliche Zertifizierungsstelle wird Stammzertifizierungsstelle (root authority oder
root CA) genannt. Die untergeordneten Zertifizierungsstellen (subordinate CAs) der Stammzertifizierungsstelle sind eben dies, nämlich untergeordnete Zertifizierungsstellen.
Wenn Sie unter Windows Server 2008 und Windows Vista einer Stammzertifizierungsstelle vertrauen
(anders gesagt, Sie haben das Zertifikat der Stammzertifizierungsstelle im Ihrem Speicher vertrauenswürdiger Stammzertifizierungsstellen gespeichert), vertrauen Sie auch jeder untergeordneten Zertifizierungsstelle aus der Hierarchie, sofern das Zertifikat keiner der untergeordneten Zertifizierungsstellen gesperrt wurde oder abgelaufen ist. Daher ist jede Stammzertifizierungsstelle, was das Vertrauen
betrifft, in jeder Organisation etwas sehr Wichtiges und sollte entsprechend gesichert und gepflegt
werden.
Die Überprüfung von Zertifikaten setzt daher eigentlich nur das Vertrauen in eine relativ kleine Zahl
von Stammzertifizierungsstellen voraus. Gleichzeitig ermöglicht die Hierarchie eine große Flexibilität
in der Anzahl der Zertifikate ausstellenden untergeordneten Zertifizierungsstellen. Es gibt eine Reihe
von praktischen Gründen, die für die Unterstützung mehrerer untergeordneter Zertifizierungsstellen
sprechen, wie zum Beispiel folgende:
Verwendungszweck Zertifikate können für unterschiedliche Zwecke ausgestellt werden, beispielsweise für die Sicherung von E-Mail und zur Netzwerkauthentifizierung. Die Richtlinien für die
Ausstellung solcher Zertifikate können sehr unterschiedlich sein und eine Trennung der Verwendungszwecke ist die Grundlage für die Verwaltung der Richtlinien.
Organisatorische Gründe Vielleicht bestehen viele verschiedene Richtlinien für die Ausstellung
von Zertifikaten, die zum Beispiel von der Aufgabe der betreffenden Person oder des Geräts in der
Organisation abhängen. Sie können untergeordnete Zertifizierungsstellen einrichten, um diese
Richtlinien leichter voneinander zu trennen und separat verwalten zu können.
Geografische Gründe Vielleicht verfügt eine Organisation über mehrere weit voneinander entfernte Standorte. Die (schlechten) Netzwerkverbindungen zwischen diesen Standorten führen viel-
Konzepte
225
leicht dazu, dass mehrere untergeordnete Zertifizierungsstellen eingerichtet werden müssen, um
die Arbeitsfähigkeit der Standorte zu stärken.
Lastausgleich Wenn Ihre PKI eine große Zahl von Zertifikaten ausstellen soll, kann es eine große
Belastung für eine einzelne Zertifizierungsstelle bedeuten, all diese Zertifikate alleine ausstellen
und verwalten zu müssen. Zudem ist damit eine starke lokale Belastung des Netzwerks verbunden.
Die Einrichtung von mehreren untergeordneten Zertifizierungsstellen zur Ausstellung derselben
Zertifikateart bewirkt, dass die Arbeit und die Netzwerkbelastung auf mehrere Zertifizierungsstellen verteilt werden.
Sicherung und Fehlertoleranz Die Einrichtung mehrerer Zertifizierungsstellen erhöht die Wahrscheinlichkeit, dass es in Ihrem Netzwerk immer genügend verfügbare Zertifizierungsstellen für
die Benutzer gibt.
Solch eine Zertifizierungshierarchie bietet auch für die Verwaltung Vorteile, wie folgt:
Flexible Konfiguration der Sicherheitsvorkehrungen, um den besten Kompromiss zwischen
Sicherheit und praktischer Verwendbarkeit zu finden.
Sie können zum Beispiel für die Stammzertifizierungsstelle eine spezielle Kryptografiehardware
vorsehen, die Stammzertifizierungsstelle in einem überwachten Raum betreiben oder sie ganz
vom Netz nehmen. Solche Sicherheitsmaßnahmen können für untergeordnete Zertifizierungsstellen zu teuer sein oder dazu führen, dass die Zertifizierungsstellen nicht mehr im erforderlichen
Umfang verfügbar sind.
Bestimmte Teile der Zertifizierungsstellenhierarchie lassen sich ohne Auswirkungen auf die Vertrauensbeziehungen deaktivieren.
Sie können zum Beispiel ohne Beeinträchtigung anderer Teile der Organisation die Zertifizierungsstelle von einem bestimmten Standort schließen und ihr Zertifikat sperren.
Im Zertifikate-Snap-In können Sie sich auf der Registerkarte Zertifizierungspfad des Eigenschaftendialogfelds eines Zertifikats den Zertifizierungspfad ansehen.
Für eine kleine Firma reicht eine Zertifizierungshierarchie aus, die aus einer Stammzertifizierungsstelle besteht, die gleichzeitig die ausstellende Zertifizierungsstelle ist. Für mittlere Firmen reicht eine
Hierarchie aus, die aus einer Stammzertifizierungsstelle und einer Ebene mit ausstellenden Zertifizierungsstellen besteht. In großen Unternehmen können Sie eine dreischichtige Zertifizierungsstellenhierarchie nach folgendem Muster einrichten:
Eine Stammzertifizierungsstelle, die nicht im Netzwerk verfügbar ist
Eine mittlere Schicht mit Zertifizierungsstellen, die ebenfalls nicht im Netzwerk verfügbar sind
Eine Schicht mit ausstellenden Zertifizierungsstellen, die im Netzwerk verfügbar sind
Diese Zertifizierungsstellenhierarchie weist eine hohe Flexibilität auf und schützt die Stammzertifizierungsstelle vor Netzwerkangriffen durch Benutzer, die den geheimen Schlüssel in Erfahrung bringen
wollen. Die Stammzertifizierungsstelle und die Zertifizierungsstellen der mittleren Schicht, die alle
nicht im Netzwerk verfügbar sind, brauchen nicht zwangsläufig auf Windows Server 2008 oder Windows Server 2003 ausgeführt zu werden. Die ausstellenden Zertifizierungsstellen können untergeordnete Zertifizierungsstellen einer Zertifizierungsstelle sein, deren Software von einem anderen Hersteller stammt. Abbildung 9.2 stellt eine dreischichtige Zertifizierungshierarchie für ein größeres Unternehmen dar.
226
Abbildung 9.2 Eine dreischichtige Zertifizierungshierarchie für Unternehmensnetzwerke
Zertifikatsperrung
Durch eine Sperrung wird ein Zertifikat vor dem Ablauf der vorgesehenen Gültigkeitsdauer ungültig.
Ein Zertifikat kann aus verschiedenen Gründen vorzeitig ungültig werden:
Der geheime Schlüssel des Antragstellers eines Zertifikats wurde geknackt (oder man vermutet,
dass er geknackt wurde).
Der geheime Schlüssel einer Zertifizierungsstelle wurde geknackt (oder man vermutet, dass er
geknackt wurde).
Es wurde entdeckt, dass ein Zertifikat auf betrügerische Weise erlangt wurde.
Änderungen im Status des Antragstellers als vertrauenswürdiger Partner
Änderungen im Namen des Antragstellers
Eine PKI hängt von einer verteilten Überprüfung der Anmeldeinformationen ab, bei der es keinen Bedarf an einer Kommunikation mit der vertrauenswürdigen zentralen Stelle gibt, die für die Anmeldeinformationen bürgt. Dadurch entsteht für Benutzer, Computer und Anwendungen, die versuchen, die
Gültigkeit von Zertifikaten zu überprüfen, der Bedarf an Informationen über Zertifikatsperrungen.
Der Bedarf an Informationen über Zertifikatsperrungen und ihren Bedingungen hängt von den Anwendungen und von der Implementierung der Überprüfung der Zertifikatsperrung ab. Damit eine
Anwendung auf Zertifikatsperrungen reagieren kann, muss sie natürlich überprüfen, ob das Zertifikat
noch gilt oder ob es gesperrt wurde.
Zertifikatsperrlisten sind digital signierte Listen, in denen Zertifikate verzeichnet sind, die zwar noch
nicht abgelaufen sind, aber gesperrt wurden. Clients rufen diese Listen ab und speichern sie (auf der
Basis der angegebenen Gültigkeitsdauer der Zertifikatsperrliste) und verwenden sie dann, um die vorgelegten Zertifikate zu überprüfen. Da Zertifikatsperrlisten umfangreich werden können, werden je
nach der Größe der Zertifizierungsstelle auch Deltasperrlisten veröffentlicht. Deltasperrlisten listen
nur die Zertifikate auf, die seit der letzten Veröffentlichung der Basissperrliste gesperrt wurden. Dadurch wird es Clients möglich, die kleineren Deltasperrlisten abzurufen und schnell eine vollständige
Liste der gesperrten Zertifikate zusammenzustellen. Die Verwendung von Deltasperrlisten ermöglicht
auch eine häufigere Veröffentlichung von Änderungen, weil Deltasperrlisten gewöhnlich kleiner sind
als vollständige Zertifikatsperrlisten.
Konzepte
227
Windows Server 2008 unterstützt die branchenüblichen Methoden der Zertifikatsperrung. Dazu gehört
die Veröffentlichung von Zertifikatsperrlisten und Deltasperrlisten an mehreren Orten in Active Directory, auf Webservern und in freigegebenen Verzeichnissen, damit die Listen für Clients verfügbar
werden. Zertifikatsperrungen können auch mit OCSP (Online Certificate Status Protocol) überprüft
werden, das mit HTTP (Hypertext Transfer Protocol) eine digital signierte Antwort liefert, aus der der
Sperrungsstatus eines Zertifikats hervorgeht.
Zertifikatüberprüfung
Die Zertifikate, die bei der Aushandlung einer sicheren Verbindung vorgelegt werden, müssen überprüft werden, bevor eine sichere Kommunikation beginnen kann. Wenn zum Beispiel eine Authentifizierung mit EAP-TLS erfolgt (Extensible Authentication Protocol-Transport Layer Security), muss
der Authentifizierungsserver (der RADIUS-Server) das Zertifikat überprüfen, das vom IEEE 802.1Xoder PPP-Client (Point-to-Point Protocol) vorgelegt wird. Wenn die Authentifizierung mit EAP-TLS
oder PEAP (Protected EAP) erfolgen soll, kann der 802.1X- oder PPP-Client so konfiguriert werden,
dass er das vom Authentifizierungsserver vorgelegte Zertifikat überprüft.
Zertifikatunterstützung von Windows
Windows unterstützt in folgender Weise die Verwendung von Zertifikaten:
Jeder Computer, auf dem Windows Vista, Windows Server 2008, Windows XP oder Windows
Server 2003 ausgeführt wird, kann je nach den Einstellungen der Windows-Sicherheit und der
Berechtigungen Computer- und Benutzerzertifikate speichern. Mit dem Zertifikate-Snap-In lassen
sich Zertifikate verwalten.
Windows Server 2008 enthält die Active Directory-Zertifikatdienste und Windows Server 2003
enthält die Zertifikatdienste. Beide ermöglichen die Verwendung eines Windows-Servers als Zertifizierungsstelle.
Die Zertifikatdienste lassen sich zur Ausstellung und Verwaltung von Zertifikaten verwenden, wie sie
in Softwaresicherheitssystemen eingesetzt werden, die mit öffentlichen Schlüsseln arbeiten. Sie können die Zertifikatdienste von Windows Server 2008 und Windows Server 2003 verwenden, um eine
Zertifizierungsstelle einzurichten, die Zertifikatanträge erhält, Informationen aus dem Antrag und die
Identität des Antragstellers überprüft, Zertifikate ausstellt, Zertifikate sperrt und Zertifikatsperrlisten
veröffentlicht.
Außerdem können Sie die Zertifikatdienste verwenden, um Folgendes zu tun:
Registrieren von Benutzern für die Ausstellung von Zertifikaten von der Zertifizierungsstelle, und
zwar über eine spezielle Webseite (der Vorgang wird Webregistrierung genannt) oder das Zertifikate-Snap-In oder durch eine automatische Registrierung.
Verwenden von Zertifikatvorlagen, um es dem Antragsteller zu erleichtern, die für den Antrag erforderlichen Angaben zu machen.
Verwenden von Active Directory für die Veröffentlichung von vertrauenswürdigen Stammzertifikaten für Domänenmitgliedscomputer, für die Veröffentlichung von ausgestellten Zertifikaten und
von Zertifikatsperrlisten.
Schaffen der Möglichkeit, sich mit einer Smartcard bei einer Windows-Domäne anzumelden.
Sofern Ihre Organisation die Zertifikatdienste verwendet, gehört die Zertifizierungsstelle zu einem der
beiden folgenden Typen:
Unternehmenszertifizierungsstelle Eine Unternehmenszertifizierungsstelle ist auf Active Directory
angewiesen. Eine Unternehmenszertifizierungsstelle kann einem Antragsteller je nach seinen
228

Sicherheitsberechtigungen und ihrer Konfiguration unterschiedliche Zertifikattypen anbieten. Eine
Unternehmenszertifizierungsstelle verwendet die in Active Directory verfügbaren Informationen,
um die Identität des Antragstellers zu überprüfen. Eine Unternehmenszertifizierungsstelle kann
ihre Zertifikatsperrliste in Active Directory, auf einer Website oder in einem freigegebenen Verzeichnis veröffentlichen. Um von einer Unternehmenszertifizierungsstelle Zertifikate anzufordern, können Sie den Zertifikatanforderungs-Assistenten aus dem Zertifikate-Snap-In, Webseiten
der Zertifizierungsstelle (Webregistrierung) oder eine automatische Registrierung verwenden.
Eigenständige Zertifizierungsstelle Aus der Sicht eines Benutzers ist eine eigenständige Zertifizierungsstelle weniger automatisiert als eine Unternehmenszertifizierungsstelle, da sie kein Active
Directory voraussetzt. Eigenständige Zertifizierungsstellen, die kein Active Directory verwenden,
verlangen vom Antragsteller ausführlichere Identitätsbeweise. Eine eigenständige Zertifizierungsstelle macht ihre Zertifikatsperrliste in einem freigegebenen Ordner verfügbar oder in Active
Directory, sofern im Einsatz.
Weitere Informationen Weitere Informationen über die PKI-Unterstützung unter Windows finden Sie in
dem Buch Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press,
2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki.
Gruppenrichtlinien
Gruppenrichtlinien ermöglichen es Administratoren, Einstellungen für Server und Clients vorzunehmen. Lokale Richtlinieneinstellungen lassen sich auf allen Computern vornehmen, und für Computer,
die Mitglieder einer Domäne sind, kann ein Administrator Richtlinien festlegen, die an einem Standort, in einer Domäne, in einer Organisationseinheit von Active Directory oder für eine Sicherheitsgruppe gelten. Die Gruppenrichtlinienunterstützung ist auf Computern verfügbar, auf denen Windows
Vista, Windows Server 2008, Windows XP oder Windows Server 2003 ausgeführt wird.
Mit einer Active Directory-Infrastruktur und Gruppenrichtlinien stehen Administratoren die Vorteile
einer Systemverwaltung auf Richtlinienbasis zur Verfügung, und sie können Folgendes tun:
Aktivieren einer Eins-zu-viele-Verwaltung von Benutzern und Computern im gesamten Unternehmen
Automatisieren der Durchsetzung von IT-Richtlinien
Vereinfachen von Verwaltungsaufgaben wie Systemaktualisierungen und Anwendungsinstallationen
Konfigurieren von einheitlichen Sicherheitseinstellungen im gesamten Unternehmen
Effizientes Einrichten von Standardcomputerumgebungen für Benutzergruppen
Gruppenrichtlinien eignen sich dafür, benutzerspezifische Richtlinien und Sicherheitseinstellungen
festzulegen. Außerdem stehen Ihnen Netzwerkeinstellungen und andere Richtlinien zur Verfügung,
um zum Beispiel auf der Ebene der Computer Domänencontroller, Mitgliedsserver und Desktopcomputer zu verwalten.
Das Snap-In GPMC bietet eine einheitliche grafische Benutzeroberfläche für die Durchführung und
Verwaltung von Gruppenrichtlinieneinstellungen. Außerdem ist es möglich, Gruppenrichtlinien auf
der Basis von Skripts einzustellen. Sie können auch das Snap-In Gruppenrichtlinienverwaltungs-Editor
verwenden.
Unter Windows Server 2008 müssen Sie die Gruppenrichtlinienverwaltungsfunktion installieren, um
Gruppenrichtlinienverwaltungstools wie das Snap-In GPMC und das Snap-In Gruppenrichtlinienverwaltungs-Editor verwenden zu können.
Konzepte
229
Überblick über Gruppenrichtlinien
Administratoren können Computer mit Active Directory und Gruppenrichtlinien zentral verwalten.
Die Verwendung von Gruppenrichtlinien zur Verwaltung von Netzwerkumgebungen ermöglicht
Administratoren eine effizientere Arbeit, weil die Verwaltung zentral erfolgen kann und eine Einstellung für viele Computer gelten kann. Untersucht man die Gesamtkosten, die mit der Verwaltung
von verteilten nichtöffentlichen Computernetzwerken verbunden sind, stellen sich Produktivitätseinbrüche der Benutzer als ein wesentlicher Kostenfaktor heraus. Häufig wird die verlorene Produktivität
Benutzerfehlern zugeschrieben, weil Benutzer vielleicht Systemkonfigurationsdateien ändern und
ihren Computer auf diese Weise unbrauchbar machen, oder der hohen Komplexität solcher Netzwerke,
in denen es nicht einfach ist, dafür zu sorgen, dass alle Benutzer die erforderlichen Anwendungen und
Funktionen zur Verfügung haben. Da Gruppenrichtlinien die Einstellungen und zulässigen Aktionen
für Benutzer und Computer festlegen, lassen sich mit ihnen maßgeschneiderte Desktops definieren,
die auf die Aufgaben und auf die Erfahrung eines Benutzers mit Computern zugeschnitten sind.
Einstellen von Gruppenrichtlinien
Administratoren verwenden Gruppenrichtlinien zur Verwaltung von Benutzer- und Computergruppen,
indem sie Gruppenrichtlinieneinstellungen vornehmen. Diese Einstellungen erfolgen im Snap-In
GPMC oder im Snap-In Gruppenrichtlinienverwaltungs-Editor und werden an einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) vorgenommen, das wiederum mit einem Active DirectoryContainer verknüpft ist – beispielsweise mit einem Standort, einer Domäne oder einer Organisationseinheit – sowie mit Sicherheitsgruppen.
Auf diese Weise werden Gruppenrichtlinieneinstellungen auf die Benutzer und Computer in diesen
Active Directory-Containern oder Sicherheitsgruppen angewendet. Administratoren können zum Beispiel die Arbeitsumgebung eines Benutzers einmal definieren und es anschließend dem Computer des
Benutzers überlassen, die Richtlinien so umzusetzen, wie sie eingestellt wurden.
Gruppenrichtlinien und ihre Möglichkeiten
Mit den Gruppenrichtlinien können Administratoren die Richtlinien festlegen, nach denen Anwendungen und Betriebssystem konfiguriert werden sollen, damit die Computer der Benutzer funktionsbereit und sicher sind. Gruppenrichtlinien lassen sich auch für Folgendes verwenden:
Richtlinien auf Registrierungsbasis Die gebräuchlichste und einfachste Weise, eine Richtlinie für
eine Anwendung oder eine Betriebssystemkomponente festzulegen, ist die Implementierung einer
Richtlinie auf Registrierungsbasis. Mit dem Snap-In GPMC oder dem Snap-In Gruppenrichtlinienverwaltungs-Editor können Administratoren auf Registrierungsbasis Richtlinien für Anwendungen, das Betriebssystem und seine Komponenten definieren. Ein Administrator kann zum Beispiel eine Richtlinie aktivieren, die dafür sorgt, dass der Befehl Ausführen aus den Start-Menüs
aller betroffenen Computer entfernt wird.
Sicherheitseinstellungen Gruppenrichtlinien geben Administratoren die Möglichkeit, Sicherheitsoptionen für alle Computer und Benutzer einzustellen, die sich im Wirkungsbereich eines Gruppenrichtlinienobjekts befinden. Sicherheitseinstellungen lassen sich für lokale Computer, Domänen und Netzwerke vornehmen. Um die Sicherheit noch zu verbessern, können Sie Richtlinien für
Softwareeinschränkungen anwenden, die Benutzer daran hindern, Dateien aus einem bestimmten
Pfad, einer Netzwerkzone, mit einem bestimmten Hash-Wert oder von einem bestimmten Herausgeber zu starten. Von der allgemeinen Sicherheitseinstellung können Sie Ausnahmen machen, indem Sie für bestimmte Software zusätzliche Regeln erstellen.
230
Verwenden von Gruppenrichtlinien
Administratoren kombinieren Gruppenrichtlinien und Active Directory, um Richtlinien für Domänen,
Standorte und Organisationseinheiten festzulegen. Dabei gilt Folgendes:
Gruppenrichtlinienobjekte werden auf Domänenbasis gespeichert.
Mit einem Standort, einer Domäne oder Organisationseinheit können mehrere Gruppenrichtlinienobjekte verknüpft sein.
Mehrere Standorte, Domänen oder Organisationseinheiten können dasselbe Gruppenrichtlinienobjekt verwenden.
Jeder Standort, jede Domäne und jede Organisationseinheit lässt sich mit jedem Gruppenrichtlinienobjekt verknüpfen, selbst über Domänengrenzen hinweg (allerdings leidet die Geschwindigkeit darunter).
Die Wirkung eines Gruppenrichtlinienobjekts lässt sich auf der Basis der Zugehörigkeit zu einer
Sicherheitsgruppe auf bestimmte Benutzer- oder Computergruppen beschränken.
Computer- und Benutzerkonfiguration
Administratoren können bestimmte Desktopumgebungen konfigurieren und Richtlinieneinstellungen
bei bestimmten Computer- und Benutzergruppen aus dem Netzwerk durchsetzen, wie folgt:
Computerkonfiguration Computerrichtlinien legen das Verhalten des Betriebssystems und des
Desktops fest und enthalten Einstellungen für Anwendungen, Sicherheitseinstellungen, zugewiesene Anwendungsoptionen und Skripts für den Start und das Herunterfahren von Computern.
Computerrichtlinieneinstellungen werden beim Start des Computers und bei der automatischen
Aktualisierung der Gruppenrichtlinien angewendet.
Benutzerkonfiguration Benutzerrichtlinien legen das Verhalten des Betriebssystems fest und umfassen Desktopeinstellungen, Anwendungseinstellungen, Sicherheitseinstellungen, zugewiesene
und veröffentlichte Anwendungsoptionen, Skripts für die An- und Abmeldung von Benutzern und
Optionen zur Ordnerumleitung. Benutzerrichtlinien werden bei der An- und Abmeldung eines
Benutzers und bei der automatischen Aktualisierung der Gruppenrichtlinien angewendet.
Anwenden von Gruppenrichtlinien
Gruppenrichtlinien werden in einer vererbbaren und kumulativen Weise angewendet und wirken sich
auf alle Computer und Benutzer aus einem Active Directory-Container aus. Gruppenrichtlinien werden beim Start eines Computers und bei der Anmeldung eines Benutzers angewendet. Wenn ein Benutzer den Computer einschaltet, wendet das System Computerrichtlinieneinstellungen an. Wenn sich
ein Benutzer interaktiv anmeldet, lädt das Betriebssystem das Benutzerprofil und wendet dann die
Benutzerrichtlinieneinstellungen an. Standardmäßig werden Richtlinieneinstellungen alle 90 Minuten
erneut angewendet. (Sie können einen Zeitraum zwischen 0 und 45 Tagen einstellen). Außerdem können Sie die Richtlinien lokal bei Bedarf erneut anwenden, indem Sie in einer Eingabeaufforderung
von Windows den Befehl gpupdate eingeben.
Zur Anwendung der Richtlinien fordert das Betriebssystem beim Verzeichnisdienst eine Liste der
Gruppenrichtlinienobjekte an, die zu berücksichtigen sind. Active Directory-Ressourcen, die mit
Gruppenrichtlinien gesteuert werden, brauchen Lesezugriff auf die Gruppenrichtlinienobjekte. Hat ein
Computer oder Benutzer nicht die Erlaubnis, auf ein Gruppenrichtlinienobjekt zuzugreifen, wendet
das Betriebssystem die entsprechenden Richtlinieneinstellungen nicht an. Ist der Lesezugriff erlaubt,
wendet das Betriebssystem die Richtlinieneinstellungen an, die im Gruppenrichtlinienobjekt vorgenommen wurden.
Konzepte
231
Der Gültigkeitsbereich von Gruppenrichtlinien reicht von einem einzelnen Computer (das lokale
Gruppenrichtlinienobjekt, das es auf jedem Computer gibt) bis hin zu Active Directory-Standorten,
Domänen und Organisationseinheiten. Ein Gruppenrichtlinienobjekt könnte zum Beispiel mit einem
Active Directory-Standort verknüpft werden, um Richtlinieneinstellungen für Proxys und Netzwerkeinstellungen für den Standort festzulegen. Ein Gruppenrichtlinienobjekt ist erst dann wirksam, wenn
es mit einem Container verknüpft wurde. Dann gelten die Gruppenrichtlinieneinstellungen des Gruppenrichtlinienobjekts für den Bereich dieses Containers.
Gruppenrichtlinienobjekte werden in der Reihenfolge lokal, Standort, Domäne und dann Organisationseinheit ausgewertet. Daher erhält ein Computer oder Benutzer die Richtlinieneinstellungen des
zuletzt bearbeiteten Active Directory-Containers. Später angewendete Richtlinien setzen daher die
zuvor angewendeten Richtlinien außer Kraft.
Weitere Informationen Weitere Informationen über die Gruppenrichtlinien von Windows finden Sie
im Microsoft Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista (Microsoft
Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.microsoft.
com/gp.
RADIUS
Beim Aufbau einer Infrastruktur für die Netzwerkzugriffsauthentifizierung können Sie so vorgehen,
dass jeder Netzwerkzugriffsserver die Konten und Anmeldeinformationen speichert, die für eine
Authentifizierung erforderlich sind, sowie die Netzwerkzugriffsrichtlinien für die Autorisierung von
Verbindungen. Erfolgt ein Verbindungsversuch, kann der Zugriffsserver den Versuch anhand der lokal
gespeicherten Konten und Anmeldeinformationen überprüfen und anhand der lokalen Konteneigenschaften und Netzwerkzugriffsrichtlinien feststellen, ob der Verbindungsversuch autorisiert wurde,
und für eine spätere Analyse Informationen über den Verbindungsversuch speichern. Allerdings ist
diese Methode nur schlecht skalierbar, insbesondere in Unternehmensumgebungen, in denen es
viele Zugriffsserver gibt. Eine besser skalierbare und leichter verwaltbare Lösung besteht darin, die
Authentifizierung und die Überprüfung der Autorisierung sowie die Protokollierung der Verbindungsversuche auf einen zentralen Server auszulagern, der Zugriff auf die vorhandene Kontendatenbank hat.
RADIUS ist ein weit verbreitetes Protokoll, das es ermöglicht, die Authentifizierung, Autorisierung
und Buchhaltung für Netzwerkzugriffe auf zentralen RADIUS-Servern zusammenzufassen. Ursprünglich für den Remotezugriff über Einwählverbindungen entwickelt, wird RADIUS nun von
drahtlosen Zugriffspunkten, authentifizierenden Ethernetswitches, VPN-Servern (Virtual Private Network), DSL-Zugriffsservern (Digital Subscriber Line) und anderen Arten von Netzwerkzugriffsservern unterstützt.
Weitere Informationen RADIUS wird beschrieben im RFC (Request for Comments) 2865, »Remote
Authentication Dial-In User Service (RADIUS)«, und im RFC 2866, »RADIUS Accounting«. Die genannten
RFCs können Sie unter http://www.ietf.org/rfc.html einsehen.
Komponenten einer RADIUS-Infrastruktur
Eine RADIUS-Infrastruktur zur Authentifizierung, Autorisierung und Buchhaltung besteht aus folgenden Komponenten:
Zugriffsclients
Zugriffsserver (RADIUS-Clients)
RADIUS-Server
232
Benutzerkontodatenbanken
RADIUS-Proxys
Abbildung 9.3 zeigt die Komponenten einer RADIUS-Infrastruktur.

Abbildung 9.3 Die Komponenten einer RADIUS-Infrastruktur
Diese Komponenten werden in den folgenden Abschnitten ausführlicher beschrieben.
Zugriffsclients
Ein Zugriffsclient erwartet den Zugang zu einem Netzwerk oder zu einem anderen Teil des Netzwerks. Beispiele für Zugriffsclients sind RAS-Clients, VPN-Clients, drahtlose Clients oder LANClients, die an einem Authentifizierungsswitch angeschlossen sind. Zugriffsclients sind keine
RADIUS-Clients.
Zugriffsserver (RADIUS-Clients)
Ein Zugriffsserver ermöglicht den Zugang zu einem Netzwerk. Ein Zugriffsserver, der eine RADIUSInfrastruktur verwendet, ist zudem ein RADIUS-Client, der das RADIUS-Protokoll verwendet, um
Verbindungsanforderungen und Buchhaltungsnachrichten an einen RADIUS-Server zu senden. Folgende Beispiele sind Zugriffsserver:
Drahtlose Zugriffspunkte, die auf der physischen Schicht eine Verbindung mit dem Netzwerk
einer Organisation ermöglichen und drahtlose Übertragungs- und Empfangstechnologien verwenden.
Switches, die mit herkömmlichen LAN-Technologien wie Ethernet auf der physischen Schicht
den Zugang zum Netzwerk einer Organisation ermöglichen.
Konzepte

233
Netzwerkzugriffsserver, die eine Remoteverbindung mit dem Netzwerk einer Organisation oder
dem Internet ermöglichen. Denken Sie zum Beispiel an einen Computer, auf dem Windows Server
2008 und Routing und RAS ausgeführt werden und der über eine herkömmliche Einwählverbindung oder eine VPN-Verbindung den Remotezugriff auf das Intranet einer Organisation ermöglicht.
NAP-Erzwingungspunkte (NAP bedeutet Network Access Protection), die Daten über den Zustand eines NAP-Clients sammeln und zur Bewertung an einen RADIUS-Server auf der Basis von
Windows Server 2008 senden. Beispiele wären NAP-fähige DHCP-Server (Dynamic Host Configuration Protocol) und HRAs (Health Registration Authorities). Weitere Informationen über NAPErzwingungspunkte finden Sie in Kapitel 14, »Grundlagen des Netzwerkzugriffsschutzes«.
RADIUS-Server
Ein RADIUS-Server empfängt und bearbeitet Verbindungsanfragen oder Buchhaltungsnachrichten,
die von RADIUS-Clients oder RADIUS-Proxys gesendet werden. Während einer Verbindungsanfrage
bearbeitet der RADIUS-Server die Liste der RADIUS-Attribute, die mit der Verbindungsanfrage
übermittelt wird. Anhand eines Regelsatzes und der Informationen aus der Benutzerkontodatenbank
authentifiziert und autorisiert der RADIUS-Server die Verbindung und sendet eine Nachricht mit seiner Zustimmung oder Ablehnung zurück. Stimmt er zu, kann die Nachricht Verbindungsbeschränkungen enthalten, die vom Zugriffsserver für die Dauer der Verbindung durchgesetzt werden.
Hinweis Die NPS-Komponente von Windows Server 2008 ist ein mit dem Industriestandard konformer
RADIUS-Server.
Benutzerkontodatenbanken
Eine Benutzerkontodatenbank ist eine Liste mit Benutzerkonten und deren Eigenschaften, die von
einem RADIUS-Server verwendet werden kann, um Anmeldeinformationen zu überprüfen und
Informationen über die Autorisierung und Verbindungseinstellungen zu erhalten.
Bei den beiden Benutzerkontodatenbanken, die NPS verwenden kann, handelt es sich um die Sicherheitskontenverwaltung (Security Accounts Manager, SAM) und um Active Directory. Was Active
Directory betrifft, kann NPS die Authentifizierung und Autorisierung mit Benutzer- und Computerkonten aus der Domäne übernehmen, in welcher der NPS-Server Mitglied ist, sowie aus Domänen mit
bidirektionaler Vertrauensstellung und aus vertrauenswürdigen Gesamtstrukturen, auf deren Domänencontrollern Windows Server 2008 oder Windows Server 2003 ausgeführt wird.
Wenn die Benutzerkonten, die für die Authentifizierung verwendet werden, in einer anderen Art von
Datenbank liegen, können Sie einen RADIUS-Proxy einsetzen, um die Authentifizierungsanfrage an
einen anderen RADIUS-Server weiterzuleiten, der Zugriff auf diese Benutzerkontodatenbank hat.
RADIUS-Proxys
Ein RADIUS-Proxy leitet RADIUS-Verbindungsanfragen und Buchhaltungsnachrichten zwischen
RADIUS-Clients und RADIUS-Servern weiter. Der RADIUS-Proxy verwendet Informationen aus der
RADIUS-Nachricht, um die RADIUS-Nachricht an den entsprechenden RADIUS-Client oder Server
weiterzuleiten.
Ein RADIUS-Proxy kann als Weiterleitungspunkt für RADIUS-Nachrichten dienen, wenn die
Authentifizierung, Autorisierung und Buchhaltung auf mehreren RADIUS-Servern innerhalb einer
Organisation oder in anderen Organisationen erfolgen muss.
Sobald ein RADIUS-Proxy eingesetzt wird, lassen sich RADIUS-Clients und RADIUS-Server nicht
mehr so klar voneinander abgrenzen. Ein RADIUS-Client eines RADIUS-Proxys kann zum Beispiel
234
ein Zugriffsserver sein (der die Verbindungsanfragen oder Buchhaltungsnachrichten sendet) oder ein
anderer RADIUS-Proxy (sofern es eine Kette mit RADIUS-Proxys gibt). Zwischen dem ursprünglichen RADIUS-Client und dem gewünschten RADIUS-Server können mehrere RADIUS-Proxys
angeordnet sein, die auf diese Weise eine Kette bilden. Umgekehrt kann es sich bei einem RADIUSServer für einen RADIUS-Proxy um den Ziel-RADIUS-Server handeln (auf dem die RADIUS-Nachricht zur Authentifizierung und Autorisierung ausgewertet wird) oder um einen anderen RADIUSProxy. Bezeichnet man also aus der Perspektive eines RADIUS-Proxys andere Geräte als RADIUSClients oder RADIUS-Server, ist ein RADIUS-Client das Gerät, das RADIUS-Anfragenachrichten
empfängt, und ein RADIUS-Server ist das RADIUS-Gerät, das RADIUS-Anfragenachrichten weiterleitet.
Hinweis Die NPS-Komponente von Windows Server 2008 ist ein mit dem Industriestandard konformer
RADIUS-Proxy.
So funktioniert’s: RADIUS-Nachrichten und die RADIUS-Authentifizierung,
Autorisierung und Buchhaltung
RADIUS-Nachrichten werden als UDP-Nachrichten gesendet (UDP bedeutet User Datagram Protocol). RADIUS-Authentifizierungsnachrichten werden an den UDP-Zielport 1812 gesendet und
RADIUS-Buchhaltungsnachrichten an UDP-Port 1813. Ältere Zugriffsserver verwenden vielleicht
noch UDP-Port 1645 für RADIUS-Authentifizierungsnachrichten und UDP-Port 1646 für RADIUS-Buchhaltungsnachrichten. In den UDP-Nutzdaten eines RADIUS-Pakets ist nur eine RADIUSNachricht enthalten.
Eine RADIUS-Nachricht besteht aus einem RADIUS-Header und RADIUS-Attributen. Jedes
RADIUS-Attribut enthält eine bestimmte Information über die Verbindung. Es gibt zum Beispiel
RADIUS-Attribute für den Benutzernamen, das Kennwort und die Art des Dienstes, die der Benutzer anfordert, die Art des Zugriffsservers und die IP-Adresse des Zugriffsservers.
RADIUS-Attribute werden benutzt, um Informationen zwischen RADIUS-Clients, RADIUSProxys und RADIUS-Servern auszutauschen. Die Attributliste in der RADIUS-Nachricht AccessRequest enthält zum Beispiel Informationen über die Anmeldeinformationen des Benutzers und die
Parameter des Verbindungsversuchs. Im Gegensatz dazu enthält die Attributliste der Access-AcceptNachricht Informationen über die Art der Verbindung, die hergestellt werden kann, Verbindungsbeschränkungen und etwaige herstellerspezifische Attribute (vendor-specific attributes, VSAs).
Weitere Informationen RADIUS-Attribute werden in den RFCs 2548, 2865, 2866, 2867, 2868, 2869,
3162 und 3579 beschrieben. RFCs und Internetentwürfe für VSAs definieren weitere RADIUS-Attribute.
Die genannten RFCs können Sie unter http://www.ietf.org/rfc.html einsehen.
Die RFCs 2865 und 2866 definieren folgende RADIUS-Nachrichtentypen:
Access-Request Wird von einem RADIUS-Client zur Anforderung der Authentifizierung und
Autorisierung für einen Verbindungsversuch mit dem Netzwerk gesendet.
Access-Challenge Wird von einem RADIUS-Server als Antwort auf eine Access-RequestNachricht gesendet. Diese Nachricht ist ein Test für den RADIUS-Client, der einer Antwort
bedarf. Die Access-Challenge-Nachricht wird gewöhnlich für Challenge-Response-Authentifizierungsprotokolle verwendet, um die Identität des Zugriffsclients zu überprüfen.
Konzepte
235
Access-Accept Wird von einem RADIUS-Server als Antwort auf eine Access-Request-Nachricht gesendet. Diese Nachricht informiert den RADIUS-Client darüber, dass der Verbindungsversuch authentifiziert und autorisiert wurde.
Access-Reject Wird von einem RADIUS-Server als Antwort auf eine Access-Request-Nachricht gesendet. Diese Nachricht informiert den RADIUS-Client darüber, dass sein Verbindungsversuch abgelehnt wurde. Ein RADIUS-Server sendet diese Nachricht, wenn die Anmeldeinformationen nicht stimmen oder wenn der Verbindungsversuch nicht autorisiert ist.
Accounting-Request Wird von einem RADIUS-Client gesendet, um Buchhaltungsdaten für
eine Verbindung zu senden, die akzeptiert wurde.
Accounting-Response Wird von einem RADIUS-Server als Antwort auf eine AccountingRequest-Nachricht gesendet. Diese Nachricht bestätigt den Eingang und die Bearbeitung der
Accounting-Request-Nachricht.
Bei PPP-Authentifizierungsprotokollen wie PAP (Password Authentication Protocol), CHAP
(Challenge Handshake Authentication Protocol) und MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) werden die Ergebnisse der Authentifizierungsverhandlungen zwischen Zugriffsserver und Zugriffsclient zur Überprüfung in der Access-Request-Nachricht an den RADIUS-Server weitergeleitet.
Bei einer EAP-Authentifizierung erfolgt die Verhandlung zwischen dem RADIUS-Server und dem
Zugriffsclient. Der RADIUS-Server verwendet Access-Challenge-Nachrichten, um EAP-Nachrichten an den Zugriffsclient zu senden. Der Zugriffsserver leitet EAP-Nachrichten, die der Zugriffsclient gesendet hat, als Access-Request-Nachrichten an den RADIUS-Server. In den AccessChallenge- und Access-Request-Nachrichten werden EAP-Nachrichten in Form des RADIUS EAPMessage-Attributs gespeichert.
Zur Authentifizierung, Autorisierung und Buchführung über Netzwerkzugriffsverbindungen werden RADIUS-Nachrichten gewöhnlich in folgender Weise verwendet (siehe auch Abbildung 9.3):
1. Zugriffsserver wie Einwähl-Netzwerkzugriffsserver, VPN-Server und drahtlose Zugriffspunkte
erhalten von einem Zugriffsclient eine Verbindungsanfrage.
2. Der Zugriffsserver, der als Protokoll für die Authentifizierung, Autorisierung und Buchhaltung
RADIUS nutzt, erstellt eine Access-Request-Nachricht und sendet sie an den RADIUS-Server.
3. Der RADIUS-Server wertet die Access-Request-Nachricht aus.
4. Bei Bedarf (zum Beispiel beim Authentifizierungsprotokoll EAP) sendet der RADIUS-Server
eine Access-Challenge-Nachricht an den Zugriffsserver. Die Antwort auf den Test wird als neue
Access-Request-Nachricht an den RADIUS-Server gesendet. Das kann bei der EAP-Verhandlung einige Male geschehen.
5. Der RADIUS-Server überprüft die Anmeldeinformationen des Benutzers und die Autorisierung
des Verbindungsversuchs.
6. Sobald der Verbindungsversuch authentifiziert und autorisiert ist, sendet der RADIUS-Server
eine Access-Accept-Nachricht an den Zugriffsserver. Wurde der Verbindungsversuch nicht authentifiziert oder autorisiert, sendet der RADIUS-Server eine Access-Reject-Nachricht an den
Zugriffsserver.
7. Nach Erhalt der Access-Accept-Nachricht schließt der Zugriffsserver den Verbindungsaufbau
mit dem Zugriffsclient ab und sendet dem RADIUS-Server eine Accounting-Request-Nachricht.
8. Nach der Bearbeitung der Accounting-Request-Nachricht sendet der RADIUS-Server eine
Accounting-Response-Nachricht.

236
Die folgenden Abschnitte beschreiben wichtige Aspekte, die bei der Planung und dem Entwurf einer
Netzwerkzugriffsauthentifizierungsinfrastruktur auf der Basis von Windows für folgende Technologien berücksichtigt werden sollten:
Active Directory
PKI
Gruppenrichtlinien
RADIUS
Active Directory
Die Planung und den Entwurf einer Active Directory-Umgebung für eine Organisation beliebiger
Größe zu beschreiben, geht über den Rahmen dieses Buchs hinaus. Ausführlichere Informationen finden Sie in dem Buch Windows Server 2008 Active Directory – Die technische Referenz aus der technischen Referenz zu Windows Server 2008, im Hilfe und Support-System von Windows Server 2008
und unter http://www.microsoft.com/ad.
Die folgenden Abschnitte beschreiben die Aspekte der Planung und des Entwurfs einer Active Directory-Umgebung, die Ihnen bei der Erstellung einer leicht handhabbaren Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff von Nutzen sein können.
Konten und Gruppen
Je nach Art der Verbindung können bei der Authentifizierung eines Netzwerkszugriffs die Anmeldeinformationen und Eigenschaften von Benutzer- oder Computerkonten verwendet werden. Für jeden
Typ müssen Sie dafür sorgen, dass die Netzwerkzugriffsberechtigung auf der Registerkarte Einwählen
entweder auf Zugriff gestatten oder Zugriff über NPS-Netzwerkrichtlinien steuern (empfohlen) steht.
Standardmäßig wird die Netzwerkzugriffsberechtigung für neue Computer- und Benutzerkonten auf
Zugriff über NPS-Netzwerkrichtlinien steuern gestellt.
Konten enthalten den Kontonamen und eine verschlüsselte Form des Kontokennworts. Diese Daten
können zur Überprüfung der Anmeldeinformationen des Clients verwendet werden. Zusätzliche Kontoeigenschaften geben an, ob das Konto aktiviert, deaktiviert oder gesperrt wurde und ob Anmeldungen mit dem Konto nur zu bestimmten Zeiten zulässig sind. Wurde ein Konto deaktiviert oder gesperrt oder sind Anmeldungen zu dem Zeitpunkt, an dem der Verbindungsversuch erfolgt, nicht zulässig, wird der Verbindungsversuch abgelehnt.
Wenn Sie Gruppen für die Zugriffsverwaltung verwenden, können Sie Ihre vorhandenen Gruppen
verwenden und in NPS Netzwerkrichtlinien festlegen, die den Zugriff auf der Basis des Gruppennamens entweder gestatten (mit oder ohne Beschränkungen) oder ablehnen. Sie können zum Beispiel
eine NPS-Netzwerkrichtlinie für die Gruppe Angestellte einrichten, die für VPN-Verbindungen keine
Netzwerkbeschränkungen vorsieht. Außerdem können Sie eine andere Netzwerkrichtlinie festlegen,
die besagt, dass Konten aus der Gruppe Auftragnehmer nur während der üblichen Geschäftszeiten
VPN-Verbindungen herstellen können.
NPS kann Benutzerprinzipalnamen und universelle Active Directory-Gruppen verwenden. In einer
großen Domäne mit Tausenden von Benutzern erstellen Sie eine universelle Gruppe für alle Benutzer,
denen Sie Zugang gewähren möchten, und richten dann eine Netzwerkrichtlinie ein, die dieser universellen Gruppe den Zugriff ermöglicht. Um den Aufwand für die Bearbeitung der Gruppenmitgliedschaften von Benutzerkonten möglichst gering zu halten, fügen Sie Ihre Benutzerkonten nicht direkt
237
zur universellen Gruppe hinzu. Das gilt besonders dann, wenn es viele Benutzerkonten gibt. Erstellen
Sie stattdessen separat geeignete globale Gruppen, die Mitglieder der universellen Gruppe sind, und
fügen Sie die Benutzerkonten zu diesen globalen Gruppen hinzu.
Vertrauensstellungen mit Domänen und Gesamtstrukturen
Der NPS-Server ist ein Mitglied einer Active Directory-Domäne und kann Anmeldeinformationen für
Konten aus der Domäne überprüfen, in der er Mitglied ist, sowie aus allen anderen Domänen, die der
Domäne des NPS-Servers vertrauen. Sorgen Sie also dafür, dass alle Domänen in Ihrer Active Directory-Infrastruktur der Domäne des NPS-Servers vertrauen (sofern die Sicherheitsrichtlinien und Beschränkungen Ihrer Organisation das zulassen). Andernfalls müssen Sie den NPS-Server als RADIUSProxy konfigurieren, der Nachrichten mit Verbindungsanfragen an andere NPS-Server weiterleitet, die
das Computer- oder Benutzerkonto, mit dem der Verbindungsversuch gemacht wird, überprüfen können.
Damit der NPS-Server auf die Einwähleigenschaften von Benutzer- und Computerkonten zugreifen
kann, müssen Sie das Computerkonto des NPS-Servers in jeder beteiligten Domäne zur Gruppe
RAS- und IAS-Server hinzufügen, also in der Domäne des NPS-Servers und in allen Domänen, die
der Domäne des NPS-Servers vertrauen.
PKI
Es geht über den Rahmen dieses Buchs hinaus, die Planung und den Entwurf einer PKI für eine Organisation beliebiger Größe im Detail zu beschreiben. Ausführlichere Informationen finden Sie in dem
Buch Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft
Press, 2008), im Hilfe und Support-System von Windows Server 2008 und unter http://www.micro
soft.com/pki.
Eine PKI wird in einer Netzwerkzugriffsinfrastruktur auf Windows-Basis für folgende Aufgaben gebraucht:
Automatisches Registrieren von Computerzertifikaten auf Mitgliedscomputern der Domäne für
den Netzwerkzugriff auf Zertifikatbasis durch Computer
Automatisches Registrieren von Benutzerzertifikaten auf Mitgliedscomputern der Domäne für den
Netzwerkzugriff auf Zertifikatbasis durch Benutzer
Automatisches Bereitstellen von Computerintegritätszertifikaten auf Mitgliedscomputern der
Domäne für die Verwendung von IPsec (Internet Protocol Security) bei der Bereitstellung von
NAP
In späteren Kapiteln dieses Buchs werden weitere Anforderungen beschrieben, die für verschiedene
Netzwerkzugriffsarten und für NAP an die PKI gestellt werden.
Die folgenden Aspekte, die bei der Planung und dem Entwurf einer PKI zu berücksichtigen sind, gelten für eine Authentifizierungsinfrastruktur auf der Basis von Windows für den Netzwerkzugriff:
Wenn Sie für die Authentifizierung von Netzwerkzugriffen auf Computerebene Zertifikate verwenden, konfigurieren Sie die Gruppenrichtlinien für die automatische Registrierung von Computerzertifikaten.
Beispiele sind die Verwendung von EAP-TLS oder Protected EAP-TLS (PEAP-TLS) für die
Authentifizierung auf Computerebene im drahtlosen Netzwerk.
238

Wenn Sie für die Authentifizierung von Netzwerkzugriffen auf Benutzerebene Zertifikate verwenden, konfigurieren Sie eine Zertifikatvorlage für Benutzerzertifikate und konfigurieren die Gruppenrichtlinien für das automatische Registrieren von Benutzerzertifikaten.
Beispiele sind die Verwendung von EAP-TLS oder PEAP-TLS für die Authentifizierung auf
Benutzerebene im drahtlosen Netzwerk.
Wenn Sie für die Netzwerkzugriffsauthentifizierung PEAP-MS-CHAP v2 verwenden, konfigurieren Sie die Gruppenrichtlinien für die automatische Registrierung von Computerzertifikaten, damit auf den NPS-Servern Computerzertifikate installiert werden. Sie können Computerzertifikate
verwenden, wenn NPS nicht auf einem Active Directory-Domänencontroller installiert ist. Als
Alternative können Sie die Zertifikatvorlage RAS und IAS-Server verwenden und für die Mitglieder der Sicherheitsgruppe RAS- und IAS-Server eine automatische Registrierung konfigurieren.
Ein Beispiel ist die Verwendung von PEAP-MS-CHAP v2 für die Authentifizierung auf Benutzerund Computerebene im drahtlosen Netzwerk.
Wenn Sie in NAP die IPsec-Erzwingung verwenden, müssen Sie vielleicht eine Zertifikatvorlage
für Integritätszertifikate konfigurieren.
Wenn Sie für die Netzwerkzugriffsauthentifizierung auf Computer- oder Benutzerebene Zertifikate verwenden, sorgen Sie dafür, dass die Zertifikatsperrlisten am Hauptveröffentlichungsort und
an mindestens einem anderen Ort veröffentlicht werden und dass diese Orte für alle Computer zugänglich sind, insbesondere für die RADIUS-Server. Die RADIUS-Server versuchen zuerst, das
Zertifikat mit OSCP zu überprüfen. Ist die OSCP-Überprüfung nicht erfolgreich, versucht der
RADIUS-Server eine Zertifikatsperrlistenüberprüfung des Benutzer- oder Computerzertifikats.
Standardmäßig weisen NPS-RADIUS-Server alle Verbindungsversuche auf Zertifikatbasis ab,
wenn sie den Sperrstatus des Zertifikats nicht überprüfen können.
Direkt von der Quelle: Ändern der Zertifikatsperrlistenprüfung
Aus Sicherheitsgründen ist die Überprüfung der Zertifikatsperrlisten standardmäßig aktiviert. Es ist
aber möglich, das Verhalten von NPS bei der Prüfung der Zertifikatsperrung zu ändern. Es gibt
spezielle Situationen, in denen Sie vielleicht eine solche Änderung durchführen möchten oder müssen. Drei Beispiele:
Die CRL-Verteilungsinfrastruktur Ihrer PKI-Umgebung ist sehr schlecht oder sehr langsam.
Sie verwenden Zertifikate von anderen Ausstellern, die keine Zertifikatsperrlisten-Verteilungspunkte mit aktuellen Zertifikatsperrlisten bereitstellen oder bereitstellen können.
Sie sind auf einen externen Verteilungspunkt angewiesen und verfügen nicht über redundante
externe Verbindungen.
Jede dieser Bedingungen würde zu Problemen mit der Überprüfung von Zertifikatsperrungen führen und damit zu Verzögerungen oder gelegentlichen Ablehnungen bei zulässigen Verbindungsversuchen. Falls Sie für Ihre Bereitstellung NPS ändern müssen, sollten Sie Änderungen an den Werten unter folgendem Registrierungsschlüssel in Erwägung ziehen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13
Die beiden wichtigsten Werte sind:
IgnoreNoRevocationCheck Standardmäßig ist dieser Wert 0. Wenn Sie ihn auf 1 setzen, erlaubt
NPS den Clients auch dann eine Verbindung, wenn es keine Prüfung des Sperrstatus durchführen oder abschließen kann.
239
NoRevocationCheck Standardmäßig ist dieser Wert 0. Wenn Sie ihn auf 1 setzen, führt NPS
keine Überprüfung des Sperrstatus durch.
Wenn Sie einen oder beide Registrierungsschlüssel auf 1 setzen, lässt sich der Netzwerkzugriff
nicht durch eine einfache Sperrung des Zertifikats beenden.
Chris Irwin, Premier Field Engineer
Premier Field Engineering Group

Gruppenrichtlinien
Es geht über den Rahmen dieses Buchs hinaus, die Planung und Bereitstellung von Gruppenrichtlinien für eine Organisation beliebiger Größe im Detail zu beschreiben. Ausführlichere Informationen
finden Sie im Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im
Hilfe und Support-System von Windows Server 2008 oder unter http://www.microsoft.com/gp.
Gruppenrichtlinien werden in einer Netzwerkzugriffsauthentifizierungsinfrastruktur auf WindowsBasis für folgende Zwecke verwendet:
Um dafür zu sorgen, dass auf den Mitgliedscomputern der Domäne ein Stammzertifikat installiert
wird, damit sich die Computerzertifikate von NPS-Servern überprüfen lassen
Um dafür zu sorgen, dass auf den Mitgliedscomputern der Domäne automatisch Zertifikate für die
Netzwerkzugriffsauthentifizierung auf Computerebene installiert werden
Um dafür zu sorgen, dass auf Mitgliedscomputern der Domäne automatisch Zertifikate für die
Netzwerkzugriffsauthentifizierung auf Benutzerebene installiert werden
Außerdem können Sie mit den Gruppenrichtlinien Konfigurationseinstellungen für folgende Profile,
Software und Geräte vornehmen:
Profile für Drahtlosnetzwerke nach EEE 802.11
Netzwerkprofile für herkömmliche verkabelte Netzwerke ((Ethernet mit 802.1X-Authentifizierung)
Verbindungssicherheitsregeln für Windows-Firewall mit erweiterter Sicherheit zum Schutz des
Datenverkehrs
NAP-Clientkonfiguration
Wenn Sie eine Gruppenrichtlinieninfrastruktur planen, sollten Sie sich an die Empfehlungen für die
Konfiguration Ihrer Active Directory-Infrastruktur mit Gruppenrichtlinien halten, wie sie in Windows
Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und Support-System
von Windows Server 2008 und unter http://www.microsoft.com/gp beschrieben ist. Es gibt keine Besonderheiten bei der Planung und der Konzeption von Gruppenrichtlinienobjekten, die speziell für
eine Authentifizierungsinfrastruktur auf der Basis von Windows für den Netzwerkzugriff und NAP
gelten. Allerdings müssen Sie dafür sorgen, dass die richtigen Gruppenrichtlinienobjekte auf die Container oder Sicherheitsgruppen angewendet werden, die Benutzer- oder Computerkonten für den authentifizierten Zugriff enthalten, oder für die Konfiguration von drahtlosen oder herkömmlich verkabelten Netzwerkprofilen, für Verbindungssicherheitsregeln für Windows-Firewall mit erweiterter
Sicherheit oder NAP-Clienteinstellungen.
240
RADIUS
NPS kann als RADIUS-Server, RADIUS-Proxy oder beides verwendet werden. Die folgenden Abschnitte beschreiben die Planung, den Entwurf und die Sicherheitsüberlegungen bei der Bereitstellung
von NPS als RADIUS-Server oder -Proxy.
Planung und Entwurf von RADIUS-Servern
Wenn Sie auf der Basis von NPS eine RADIUS-Infrastruktur für die Netzwerkzugriffsauthentifizierung oder für NAP planen, berücksichtigen Sie folgende Punkte:
Domänenmitgliedschaft der NPS-Server Sie müssen die Domäne bestimmen, deren Mitglied der
NPS-Server werden soll. In Umgebungen mit mehreren Domänen kann ein NPS-Server die Anmeldeinformationen für Benutzerkonten aus der Domäne überprüfen, deren Mitglied er ist, und
aus allen Domänen, die dieser Domäne vertrauen. Um die Einwähleigenschaften von Benutzerund Computerkonten lesen zu können, müssen Sie das Computerkonto des NPS-Servers allerdings in jeder der beteiligten Domänen zur Gruppe RAS- und IAS-Server hinzufügen.
UDP-Ports für RADIUS-Datenverkehr Bei Bedarf können Sie den NPS-Server so einstellen, dass er
RADIUS-Nachrichten empfängt, die an andere UDP-Ports als die Standardports 1812 und 1645
(für die RADIUS-Authentifizierung) und die Ports 1813 und 1646 (für die RADIUS-Buchhaltung) gesendet werden.
RADIUS-Clients auf dem NPS-Server einstellen Ein RADIUS-Client kann ein Zugriffsserver sein –
ein Netzwerkzugriffsserver (beispielsweise ein VPN-Server oder ein Server für Einwählverbindungen, ein drahtloser Zugriffspunkt oder ein Ethernetswitch) oder ein NAP-Erzwingungspunkt –
oder ein RADIUS-Proxy. NPS unterstützt alle Zugriffsserver und RADIUS-Proxys, die RFC 2865
entsprechen. Konfigurieren Sie jeden Zugriffsserver oder RADIUS-Proxy, der RADIUS-Anforderungsnachrichten an den NPS-Server sendet, auf dem NPS-Server als RADIUS-Client.
Sie können für RADIUS-Clients IP-Adressen oder DNS-Namen angeben. In den meisten Fällen
ist es besser, für RADIUS-Clients IPv4- oder IPv6-Adressen anzugeben. Wenn Sie IP-Adressen
verwenden, muss NPS die Hostnamen beim Start nicht auflösen und der Startvorgang erfolgt
schneller. Das ist besonders dann von Vorteil, wenn Ihr Netzwerk eine große Zahl an RADIUSClients enthält. Verwenden Sie zur Angabe von RADIUS-Clients DNS-Namen, wenn es um etwas
anderes als um administrative Flexibilität geht (zum Beispiel um die Möglichkeit, mehrere
RADIUS-Clientadressen mit demselben DNS-Namen zu verknüpfen).
NPS ermöglicht Ihnen unter Windows Server 2008 die Angabe eines RADIUS-Clients mit einem
Adressenbereich. Der Adressenbereich wird für IPv4-RADIUS-Clients in der Netzwerkpräfixlängennotation w.x.y.z/p angegeben, wobei w.x.y.z die punktierte Dezimalschreibweise des Adressenpräfix ist und p die Präfixlänge (die Zahl der höherwertigen Bits, die das Netzwerkpräfix definieren). Diese Schreibweise wird auch CIDR-Notation (Classless Inter-Domain Routing) genannt.
Ein Beispiel: 192.168.21.0/24. Bei der Konvertierung der Subnetzmaskenschreibweise in die Präfixlängenschreibweise ist p die Zahl der höherwertigen Bits, die in der Subnetzmaske auf 1 gesetzt werden. Auch der Adressenbereich für IPv6-RADIUS-Clients wird in der Präfixlängenschreibweise angegeben, wie zum Beispiel in 2001:db8:27a1:1c5d::/64.
Drahtlose Zugriffspunkte, Switches und Remotezugriffsserver von anderen Herstellern Wenn Sie
überprüfen möchten, ob ein Zugriffsserver von anderen Herstellern als ein RADIUS-Server mit
NPS zusammenarbeiten kann, überprüfen Sie in der Dokumentation des Zugriffsservers, ob er der
RFC 2865 entspricht und wie er die RADIUS-Attribute und die herstellerspezifischen Attribute
verwendet.

241
Konfiguration der Verbindungsanforderungsrichtlinien Verbindungsanforderungsrichtlinien bestimmen, ob der NPS-Server als RADIUS-Server, als RADIUS-Proxy oder beides verwendet wird, je
nach den Informationen aus den eingehenden RADIUS-Anforderungsnachrichten. Die StandardVerbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden wird
für NPS konfiguriert, wenn der Netzwerkrichtlinienserver als RADIUS-Server verwendet wird.
Zusätzliche Verbindungsanforderungsrichtlinien können zur Angabe genauerer Bedingungen, zur
Bearbeitung von Attributen und zur Angabe von erweiterten Attributen verwendet werden. Verbindungsanforderungsrichtlinien werden der Reihe nach ausgewertet. Ordnen Sie also die spezifischeren Richtlinien am Anfang der Liste an. Zur Verwaltung neuer Verbindungsanforderungsrichtlinien können Sie das Netzwerkrichtlinienserver-Snap-In verwenden.
Bereichsersatz zur Konvertierung von Benutzernamensformaten Der Bereichsname (realm name) ist
der Teil des Kontennamens, der den Ort bezeichnet, an dem das Benutzerkonto zu finden ist, beispielsweise der Name einer Active Directory-Domäne. Um die Bereichsnamen aus den Benutzernamen einer Verbindungsanforderung korrekt zu ersetzen oder zu konvertieren, konfigurieren
Sie in der entsprechenden Verbindungsanforderungsrichtlinie Bereichsnamensregeln für das
RADIUS-Attribut Benutzername.
Netzwerkrichtlinienkonfiguration Netzwerkrichtlinien werden verwendet, um den Zugang zum
Netzwerk zu gewähren oder zu verweigern, und um bestimmte Bedingungen für den zulässigen
Netzwerkzugriff festzulegen, beispielsweise Beschränkungen für Einwählverbindungen, zulässige
Authentifizierungsprotokolle und Verschlüsselungsstärken, oder zusätzliche RADIUS-Attribute.
Verwenden Sie zur Verwaltung der Netzwerkrichtlinien das Netzwerkrichtlinienserver-Snap-In.
Netzwerkrichtlinien und Autorisierung auf der Basis von Benutzern oder Gruppen In kleinen Organisationen können Sie die Autorisierung verwalten, indem Sie für jedes einzelne Benutzerkonto die
Netzwerkzugriffsberechtigung festlegen. In einer großen Organisation legen Sie für jedes Benutzerkonto fest, dass die Netzwerkzugriffsberechtigungen durch NPS-Netzwerkrichtlinien kontrolliert werden. Dann richten Sie den Zugriff mit Netzwerkrichtlinien so ein, dass er auf der Basis
von Gruppenmitgliedschaften erfolgt.
Zusätzliche RADIUS-Attribute und herstellerspezifische Attribute Wenn Sie planen, in den Antworten
auf RADIUS-Anfragen zusätzliche RADIUS-Attribute oder herstellerspezifische Attribute (Vendor-Specific Attributes, VSAs) anzugeben, müssen Sie die RADIUS-Attribute oder VSAs zur entsprechenden Netzwerkrichtlinie hinzufügen.
Ereignisprotokollierung Die Protokollierung von Authentifizierungsereignissen, die standardmäßig aktiviert ist, kann Sie bei der Behebung von Verbindungsproblemen unterstützen.
Zugriffsprotokollierung Zur Protokollierung von Zugriffen werden die Authentifizierungs- und
Autorisierungsnachrichten, die von Zugriffsservern eingehen, an einem zentralen Ort gespeichert
und gesammelt. Sie können diese Informationen in lokalen Protokolldateien oder in einer Microsoft SQL Server-Datenbank speichern.
Interimskontoführung Einige Zugriffsserver senden während einer Verbindung regelmäßig zwischenzeitliche Kontoführungsnachrichten (also nicht nur die Kontoführungsnachrichten, die beim
Aufbau einer Verbindung gesendet werden). Um die Interimskontoführung zu verwenden, überprüfen Sie zuerst, ob Ihr Zugriffsserver den Versand von Interimskontoführungsnachrichten unterstützt. Dann fügen Sie auf der Registerkarte Einstellungen der entsprechenden Netzwerkrichtlinie
das RADIUS-Attribut Acct-Interim-Interval RADIUS als Standard-RADIUS-Attribut hinzu.
Stellen Sie dann mit dem Acct-Interim-Interval-Attribut den Abstand ein (in Minuten), in dem
die Interimskontoführungsnachrichten versendet werden sollen.
242
Überlegungen zur Sicherheit der RADIUS-Server
Wenn Sie NPS als RADIUS-Server verwenden, berücksichtigen Sie die folgenden Punkte zum Schutz
der RADIUS-Infrastruktur:
Gemeinsame geheime RADIUS-Schlüssel Mit einem gemeinsamen geheimen RADIUS-Schlüssel
lässt sich überprüfen, ob die RADIUS-Nachrichten (mit Ausnahme der Access-Request-Nachricht)
von einem RADIUS-fähigen Gerät gesendet wurden, das diesen gemeinsamen geheimen Schlüssel kennt. Gemeinsame geheime Schlüssel verbessern auch den Schutz vor einer Änderung der
RADIUS-Nachricht auf dem Übertragungsweg (Nachrichtenintegrität). Außerdem wird der gemeinsame geheime Schlüssel zur Verschlüsselung einiger sensibler RADIUS-Attribute verwendet,
wie zum Beispiel User-Password und Tunnel-Password. Verwenden Sie möglichst sichere gemeinsame geheime Schlüssel und ändern Sie die Schlüssel häufig, um Wörterbuchangriffe (dictionary
attacks) zu erschweren. Sichere gemeinsame geheime Schlüssel sind lange (länger als 22 Zeichen)
Folgen von zufällig gewählten Buchstaben, Ziffern und Satzzeichen. Sie können das Netzwerkrichtlinienserver-Snap-In für sichere gemeinsame geheime RADIUS-Schlüssel verwenden.
Message-Authenticator-Attribut
Um zu überprüfen, ob eine eingehende Access-Request-RADIUSNachricht für Verbindungsanforderungen, die mit den Authentifizierungsprotokollen PAP, CHAP,
MS-CHAP oder MS-CHAP v2 erfolgen, von einem RADIUS-Client stammt, der mit demselben
gemeinsamen geheimen Schlüssel konfiguriert wurde, können Sie das RADIUS-Attribut MessageAuthenticator verwenden, auch bekannt als digitale Signatur oder Signatur-Attribut. Sie müssen
das Message-Authenticator-Attribut auf dem NPS-Server (im Rahmen der Konfiguration des
RADIUS-Clients im Netzwerkrichtlinienserver-Snap-In) und auf dem RADIUS-Client (dem
Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie vor der Aktivierung, ob der
RADIUS-Client das Message-Authenticator-Attribut unterstützt. Das Message-AuthenticatorAttribut wird immer mit Authentifizierungsmethoden auf EAP-Basis verwendet. Informationen
über die Aktivierung des RADIUS-Attributs Message-Authenticator auf Ihrem Zugriffsserver
finden Sie in der Dokumentation des Zugriffsservers.
Firewalleinstellung für RADIUS-Datenverkehr Wenn sich Ihr NPS-Server in einem Grenznetzwerk
befindet, stellen Sie Ihre Internetfirewall (zwischen dem Grenznetzwerk und dem Internet) so ein,
dass RADIUS-Datenverkehr zwischen Ihrem NPS-Server und RADIUS-Clients aus dem Internet
zugelassen wird. Vielleicht müssen Sie zwischen Ihrem Grenznetzwerk und Ihrem Intranet eine
weitere Firewall einrichten und so einstellen, dass ein Datenaustausch zwischen dem NPS-Server
im Grenznetzwerk und den Domänencontrollern des Intranets erfolgen kann.
Direkt von der Quelle: EAP-MD5 entfernt
Mit dem Erscheinen von Windows Vista wurde die Microsoft-Implementierung von EAP-MD5 aus
Windows entfernt. Die Entscheidung, die Microsoft-Implementierung von EAP-MD5 zu entfernen,
wurde zur Verbesserung der Sicherheit in Windows Vista getroffen. Von der Entfernung der Microsoft-Implementierung von EAP-MD5 sind Remotezugriffsdienste, VPN-Dienste und verkabelte
802.1X-Bereitstellungen direkt betroffen. Standardmäßig können diese Komponenten nicht mehr
die Microsoft-Implementierung von EAP-MD5 zur Authentifizierung verwenden. Die Serverimplementierung von EAP-MD5 wird zwar weiterhin mit Windows Server 2008 ausgeliefert, bleibt
aber standardmäßig deaktiviert. Microsoft wird EAP-MD5-Verbindungen für alte Netzwerkgeräte
zwar weiterhin ermöglichen, sie aber auf den Microsoft-Clientbetriebssystemen nicht einleiten.
Tim Quinn, Support Escalation Engineer
Enterprise Platform Support

243
Netzwerkzugriffsauthentifizierungsprotokolle NPS unterstützt verschiedene Authentifizierungsprotokolle. Verfügbar sind, angefangen beim sichersten bis hin zum unsichersten: PEAP-TLS,
EAP-TLS, PEAP-MS-CHAP v2, MS-CHAP v2, CHAP und PAP. Microsoft empfiehlt, das
sicherste Authentifizierungsprotokoll zu verwenden, das Ihre Konfiguration zulässt. Bei Authentifizierungsprotokollen auf Kennwortbasis müssen Richtlinien für sichere Kennwörter festgelegt
werden, um den Schutz vor Wörterbuchangriffen zu erhöhen. Die Verwendung von PAP wird
nicht empfohlen, sofern es nicht erforderlich ist.
RAS-Kontosperrung Um den Schutz vor Online-Wörterbuchangriffen mit bekannten Benutzernamen auf Zugriffsserver zu verbessern, können Sie die RAS-Kontosperrung aktivieren. Dadurch
werden Remotezugriffe mit dem betreffenden Benutzerkonto gesperrt, wenn eine zuvor festgelegte Anzahl von fehlgeschlagenen Verbindungsversuchen erreicht wird. Weitere Informationen
finden Sie in Kapitel 12, »Remotezugriff-VPN-Verbindungen«.
RAS-Kontosperrung kann auch dazu verwendet werden, um Benutzer daran zu hindern, absichtlich die Sperrung eines Domänenkontos herbeizuführen, indem sie mehrere Einwähl- oder VPNVerbindungen mit dem falschen Kennwort herzustellen versuchen. Sie können die Zahl der Fehlversuche für die RAS-Kontosperrung auf eine Zahl einstellen, die kleiner ist als die zulässige Zahl
der Fehlversuche für Domänenanmeldungen. Dann erfolgt die RAS-Kontosperrung vor der Domänenkontosperrung. Auf diese Weise lässt sich verhindern, dass absichtlich über eine Remoteverbindung eine Sperrung eines Domänenkontos herbeigeführt wird.
Installieren von Zertifikaten für die Netzwerkzugriffsauthentifizierung auf den NPS-Servern Wenn Sie
die Authentifizierungsprotokolle EAP-TLS, PEAP-TLS oder PEAP-MS-CHAP v2 verwenden,
müssen Sie auf dem NPS-Server ein Zertifikat mit dem EKU-Feld Serverauthentifizierung installieren (EKU bedeutet Enhanced Key Usage oder erweiterte Schlüsselverwendung). Andere Authentifizierungsprotokolle von anderen Software- oder Hardwareherstellern erfordern vielleicht
auch die Installation spezieller Zertifikate auf den NPS-Servern.
Verwenden der Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit zum
Schutz der NPS-Server Sie können für Windows-Firewall mit erweiterter Sicherheit Verbindungssicherheitsregeln konfigurieren, um den RADIUS-Datenverkehr zwischen RADIUS-Servern und
Zugriffsservern sowie zwischen RADIUS-Servern und RADIUS-Proxys mit IPsec zu schützen.
Diese Regeln können im Rahmen der Gruppenrichtlinieneinstellungen festgelegt und auf Active
Directory-Container angewendet oder für Sicherheitsgruppen gefiltert werden, oder sie werden
auf einzelnen Servern erstellt und angewendet.
Planung und Entwurf von RADIUS-Proxys
Wenn Sie für die Netzwerkzugriffsauthentifizierung oder für NAP eine RADIUS-Infrastruktur bereitstellen möchten, berücksichtigen Sie folgende Aspekte:
Verwenden von NPS als RADIUS-Proxy Die folgenden Anwendungen von NPS als RADIUS-Proxy
werden in diesem Kapitel noch ausführlicher beschrieben:
Es sollen zur Authentifizierung und Autorisierung Benutzerkonten verwendet werden, die
nicht zu der Domäne gehören, deren Mitglied der NPS-Server ist, und auch nicht zu einer
Domäne, die mit der Domäne des NPS-Servers eine bidirektionale Vertrauensbeziehung eingegangen ist. Das betrifft zum Beispiel Konten in Domänen, die nicht als vertrauenswürdig
eingestuft werden, sowie Konten aus Domänen, zu denen nur eine unidirektionale Vertrauensbeziehung besteht, und andere Gesamtstrukturen. Statt Zugriffsserver so einzustellen, dass sie
Verbindungsanfragen an NPS-RADIUS-Server senden, können Sie die Zugriffsserver auch so
einstellen, dass sie Verbindungsanfragen an einen NPS-RADIUS-Proxy senden. Der NPS-
244

RADIUS-Proxy verwendet den Bereichsnamenteil des Benutzernamens, um die Anfrage an
einen NPS-Server in der richtigen Domäne oder Gesamtstruktur weiterzuleiten. Verbindungsversuche mit Benutzerkonten aus einer Domäne oder Gesamtstruktur können durch Netzwerkzugriffsserver authentifiziert werden, die Mitglieder einer anderen Domäne oder Gesamtstruktur sind.
Es soll eine große Zahl von Verbindungsanforderungen bearbeitet werden. In diesem Fall konfigurieren Sie Ihre RADIUS-Clients nicht so, dass sie ihre Verbindungsanfrage- und Kontoführungsnachrichten gleichmäßig unter mehreren RADIUS-Servern aufteilen, sondern so, dass
sie ihre Verbindungsanfrage- und Kontoführungsnachrichten an einen NPS-RADIUS-Proxy
senden. Der NPS-RADIUS-PROXY verteilt die Verbindungsanfrage- und Kontoführungsnachrichten gleichmäßig auf mehrere RADIUS-Server und verbessert somit die Gesamtleistung, wenn viele RADIUS-Clients bedient und viele Authentifizierungen pro Sekunde durchgeführt werden müssen.
Weitere Informationen Weitere Informationen über diese Konfigurationen finden Sie im Verlauf
dieses Kapitels unter den Überschriften »Verwenden von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung« und »Verwenden von RADIUS-Proxys zur Skalierung von Authentifizierungen«.
Konfigurieren von Verbindungsanforderungsrichtlinien Die Standardverbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden verwendet NPS als RADIUS-Server.
Wenn Sie eine Verbindungsanforderungsrichtlinie definieren möchten, die NPS als RADIUS-Proxy
verwendet, müssen Sie zuerst eine RADIUS-Remoteservergruppe einrichten, deren Mitglieder die
RADIUS-Server sind, an die eine RADIUS-Nachricht weitergeleitet werden soll. Dann definieren
Sie eine Verbindungsanforderungsrichtlinie, die Authentifizierungsanfragen an eine RADIUSRemoteservergruppe weiterleitet. Anschließend löschen Sie entweder die Verbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden oder verschieben die neue
Verbindungsanforderungsrichtlinie an eine höhere Position in der Liste, damit sie zuerst ausgewertet wird.
Bereichsersatz und Attributbearbeitung Wenn Sie Bereichsnamen konvertieren und eine Weiterleitung von RADIUS-Nachrichten auf der Basis des Bereichsnamens konfigurieren möchten, müssen Sie in der entsprechenden Verbindungsanforderungsrichtlinie für das User-Name-Attribut (Benutzername) Bereichsregeln verwenden. Wenn Sie das Authentifizierungsprotokoll MS-CHAP v2
verwenden, können Sie das Benutzername-Attribut nicht bearbeiten, wenn die Verbindungsanforderungsrichtlinie für die Weiterleitung der RADIUS-Nachricht verwendet wird. Die einzige Ausnahme gibt es bei der Verwendung eines umgekehrten Schrägstrichs (Backslash, »\«). Die Bearbeitung wirkt dann nur auf die Informationen links neben diesem Zeichen. Ein umgekehrter
Schrägstrich wird gewöhnlich bei der Angabe eines Domänennamens (der Teil links neben dem
umgekehrten Schrägstrich) und des Namens eines Benutzerkontos aus dieser Domäne (der Teil
rechts neben dem umgekehrten Schrägstrich) verwendet. In diesem Fall sind nur Attributbearbeitungsregeln zulässig, die den Domänennamen ändern oder ersetzen.
Verwenden zusätzlicher RADIUS-Attribute und herstellerspezifischer Attribute Falls Sie in RADIUSAnfragen, die weitergeleitet werden, zusätzliche RADIUS-Attribute oder herstellerspezifische
Attribute (Vendor-Specific Attributes, VSAs) verwenden möchten, müssen Sie die RADIUSAttribute und VSAs zur entsprechenden Verbindungsanforderungsrichtlinie hinzufügen.
Konfigurieren einer RADIUS-Remoteservergruppe Eine RADIUS-Remoteservergruppe enthält die
RADIUS-Server, an die RADIUS-Nachrichten weitergeleitet werden, die einer passenden Verbindungsanforderungsrichtlinie entsprechen.

245
Kopieren von Protokollinformationen auf den NPS-Proxy Der NPS-Proxy kann alle RADIUS-Kontoführungsinformationen, die er erhält, in einer lokalen Protokolldatei aufzeichnen. Dadurch entsteht
ein zentraler Ort für die Erfassung aller Authentifizierungs- und Kontoführungsinformationen für
alle Zugriffsserver des NPS-Proxys.
Authentifizierungs- und Kontoführungsports Wenn Sie einen Server aus einer RADIUS-Remoteservergruppe konfigurieren, können Sie benutzerdefinierte UPD-Ports festlegen, an die RADIUSAuthentifizierungs- und -Kontoführungsnachrichten gesendet werden. Der UPD-Standardport für
Authentifizierungsanfragen ist 1812. Der UPD-Standardport für Kontoführungsnachrichten ist
1813.
Lastausgleich und Fehlererkennung Wenn Sie in einer RADIUS-Remoteservergruppe mehrere
Server einrichten, können Sie auch festlegen, wie der NPS-Proxy die Authentifizierungs- und
Autorisierungsnachrichten auf die RADIUS-Server aus der Gruppe aufteilt. Standardmäßig wird
der RADIUS-Datenverkehr gleichmäßig auf die Mitglieder der Gruppe aufgeteilt. Mit weiteren
Einstellungen können Sie NPS so konfigurieren, dass es den Ausfall eines Mitglieds der RADIUSRemoteservergruppe erkennt und entsprechend reagiert.
Direkt von der Quelle: RADIUS-Proxys und Vertrauensstellungen
Es ist am besten, die Einrichtung mehr oder weniger »zufälliger« Vertrauensstellungen für eine
domänenübergreifende Netzwerkauthentifizierung zu vermeiden. Wenn es Ihr Ziel ist, Domänenbenutzern die Möglichkeit zu geben, sich in verschiedenen Domänen an Netzwerke anzumelden,
sollten Sie RADIUS-Proxys verwenden, statt eine transitive Vertrauensstellung einzurichten. Bei
der Einrichtung eines RADIUS-Proxys tauschen die beiden beteiligten NPS-Server nur die Daten
aus, die wichtig sind, um einem Benutzer oder Computer den Zugriff zu ermöglichen. Außerdem
setzt diese Lösung nur voraus, dass zwischen den beiden Domänen zwei UPD-Ports verfügbar sein
müssen. Bei einer Vertrauensstellung ist der Datenverkehr wesentlich umfangreicher, weil zum
Beispiel auch eine Ressourcenzugriffsüberprüfung vorgenommen wird, und es müssen wesentlich
mehr Ports geöffnet werden.
Clay Seymour, Support Escalation Engineer
Überlegungen zur Sicherheit von RADIUS-Proxys
Wenn Sie NPS als RADIUS-Proxy verwenden, berücksichtigen Sie die folgenden Punkte zum Schutz
der RADIUS-Infrastruktur:
Gemeinsame geheime Schlüssel Konfigurieren Sie sichere gemeinsame geheime Schlüssel, um
Wörterbuchangriffe abzuwehren, und ändern Sie die Schlüssel häufig. Sichere gemeinsame geheime Schlüssel sind lange (länger als 22 Zeichen) Folgen von zufällig gewählten Buchstaben,
Ziffern und Satzzeichen.
Firewalleinstellung
Wenn sich Ihr NPS-Proxy in einem Grenznetzwerk befindet, stellen Sie Ihre
Internetfirewall (zwischen dem Grenznetzwerk und dem Internet) so ein, dass RADIUS-Datenverkehr zwischen Ihrem NPS-Proxy und RADIUS-Clients aus dem Internet zugelassen wird. Vielleicht müssen Sie zwischen Ihrem Grenznetzwerk und Ihrem Intranet eine weitere Firewall einrichten und so einstellen, dass ein Datenaustausch zwischen dem NPS-Proxy im Grenznetzwerk
und einem NPS-Server des Intranets erfolgen kann.
246

Message-Authenticator-Attribut Sie können das RADIUS-Attribut Message-Authenticator (auch
bekannt als digitale Signatur oder Signatur-Attribut) für die Überprüfung verwenden, ob eine eingehende Access-Request-RADIUS-Nachricht für Verbindungsanforderungen von einem RADIUSClient stammt, der mit demselben gemeinsamen geheimen Schlüssel konfiguriert wurde. Das Message-Authenticator-Attribut wird immer für EAP verwendet, Sie brauchen es nicht auf dem NPSServer oder Zugriffsserver zu aktivieren. Für die Authentifizierungsprotokolle PAP, CHAP, MSCHAP oder MS-CHAP v2 müssen Sie das Message-Authenticator-Attribut auf dem NPS-Server
aktivieren (im Rahmen der Konfiguration des RADIUS-Clients) und auf dem RADIUS-Client
(dem Zugriffsserver oder RADIUS-Proxy) aktivieren. Überprüfen Sie vor der Aktivierung des
Attributs, ob der RADIUS-Client das Message-Authenticator-Attribut unterstützt.
Verwenden der Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit zum
Schutz der NPS-Proxys Sie können für Windows-Firewall mit erweiterter Sicherheit Verbindungssicherheitsregeln konfigurieren, um den RADIUS-Datenverkehr zwischen RADIUS-Proxys und
Zugriffsservern sowie zwischen RADIUS-Proxys und RADIUS-Servern mit IPsec zu schützen.
PAP (Password Authentication Protocol) Von der Verwendung von PAP wird dringend abgeraten,
insbesondere bei der Verwendung von RADIUS-Proxys.
Hohe Verfügbarkeit der RADIUS-Authentifizierung
Um eine hohe Verfügbarkeit der Authentifizierung und Kontoführung mit RADIUs zu gewährleisten,
sollten Sie immer mindestens zwei NPS-Server verwenden. Ein NPS-Server ist der primäre RADIUSServer und der andere ist das Reservegerät. Zugriffserver und andere RADIUS-Proxys werden auf
beide NPS-Server eingestellt (einen primären und einen sekundären) und wechseln automatisch auf
den sekundären NPS-RADIUS-Server, falls der primäre NPS-RADIUS-Server ausfallen sollte. Wenn
Sie mehrere RADIUS-Server verwenden, geschieht der Wechsel im Falle eines Fehlers (Failover) dadurch, dass sich ein RADIUS-Client an den anderen RADIUS-Server wendet und eine neue Authentifizierungstransaktion durchführt. Ein Wechsel im Falle eines Fehlers, der mitten in einer Transaktion
auftritt, wird nicht unterstützt.
Hohe Skalierbarkeit der RADIUS-Authentifizierung
Berücksichtigen Sie bei der Skalierung der RADIUS-Authentifizierung auf eine große Anzahl von
Konten oder eine hohe Zahl von Verbindungsversuchen folgende Aspekte:
Verwenden Sie universelle Gruppen und Netzwerkrichtlinien auf Gruppenbasis Wenn Sie Netzwerkrichtlinien verwenden, um mit bestimmten Ausnahmen den Netzwerkzugriff für alle Gruppen einzuschränken, erstellen Sie eine universelle Gruppe für alle Benutzer und Computer, denen Sie den
Zugriff gestatten wollen, und richten dann eine Netzwerkrichtlinie ein, die dieser universellen
Gruppe den Zugriff erlaubt. Fügen Sie nicht alle Benutzer- und Computerkonten direkt zu dieser
Gruppe hinzu, insbesondere dann nicht, wenn es sehr viele davon gibt. Erstellen Sie stattdessen
separate Gruppen, die Mitglieder der universellen Gruppe sind, und fügen Sie die Benutzer- und
Computerkonten zu diesen Gruppen hinzu.
Verwenden Sie Benutzerprinzipalnamen
Wenn Sie Benutzer angeben müssen, verwenden Sie nach
Möglichkeit Benutzerprinzipalnamen (User Principal Names, UPNs), wie zum Beispiel [email protected]. Unabhängig von seiner Domänenmitgliedschaft kann ein Benutzer immer denselben Benutzerprinzipalnamen haben. Auf diese Weise verbessern Sie die Skalierbarkeit in einer
Weise, wie sie insbesondere in Organisationen mit einer großen Zahl von Domänen wichtig ist.
Installieren Sie NPS auf Domänencontrollern Installieren Sie NPS nach Möglichkeit auf Domänencontrollern, um die bestmögliche Leistung für die Authentifizierung und Autorisierung zu errei-
247
chen. Wenn NPS auf einem Domänencontroller ausgeführt wird, fallen die Verzögerungen weg,
die sonst auftreten, wenn sich ein NPS-RADIUS-Server über das Netzwerk an einen Domänencontroller wendet, um Anmeldeinformationen zu überprüfen und Konteneigenschaften abzurufen.
Wenn sich der NPS-Server auf einem Computer befindet, der kein Domänencontroller ist, und er
erhält sehr viele Authentifizierungsanfragen pro Sekunde, können Sie die Leistung verbessern, indem Sie die Anzahl der gleichzeitigen Authentifizierungen zwischen dem NPS-Server und dem
Domänencontroller heraufsetzen. Bearbeiten Sie dazu den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters. Fügen
Sie einen neuen Wert vom Typ REG_DWORD namens MaxConcurrentApi hinzu und stellen Sie ihn auf
2 bis 5, auch wenn Werte zwischen 0 und 10 zulässig sind.
Dieser Wert gibt die maximale Anzahl gleichzeitiger Anmeldungen an, die zu jedem Zeitpunkt
über einen sicheren Kanal an den Domänencontroller übertragen und bearbeitet werden können.
Die Standardeinstellung für einen Mitgliedsserver ist 2. Wenn Sie diesen Wert heraufsetzen, steigt
die Zahl der Anmeldungen, die gleichzeitig bearbeitet werden können, und damit auch die Leistung des NPS-Servers. Vermeiden Sie es aber, MaxConcurrentApi auf Werte über 5 einzustellen,
weil die zusätzliche Belastung auf dem Domänencontroller zu Ressourcenmangel führen könnte.
Dieser Abschnitt beschreibt, wie Sie die folgenden Komponenten einer Netzwerkzugriffsauthentifizierungsinfrastruktur auf Windows-Basis bereitstellen können:
Active Directory
PKI
Gruppenrichtlinien
RADIUS
Bereitstellen von Active Directory
Es geht über den Rahmen dieses Buchs hinaus, die Bereitstellung von Active Directory für eine Organisation beliebiger Größe zu beschreiben. Informationen über dieses Thema finden Sie in der technischen Referenz zu Windows Server 2008, im Hilfe und Support-System von Windows Server 2008
und unter http://www.microsoft.com/ad.
Die Arbeitsschritte bei der Konfiguration von Active Directory für die beste Unterstützung einer Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff sind im Prinzip folgende:
Sorgen Sie dafür, dass alle Benutzer, die auf Benutzerebene authentifizierte Verbindungen herstellen sollen, über ein entsprechendes aktiviertes Benutzerkonto verfügen.
Sorgen Sie dafür, dass alle Computer, die auf Computerebene authentifizierte Verbindungen herstellen sollen, über ein entsprechendes aktiviertes Computerkonto verfügen.
Stellen Sie die Netzwerkzugriffsberechtigungen der Benutzer- und Computerkonten entweder auf
Zugriff gestatten oder auf Zugriff über NPS-Netzwerkrichtlinien steuern (empfohlen). Im Snap-In
Active Directory-Benutzer und -Computer finden Sie die Einstellungen für die Netzwerkzugriffsberechtigung im Eigenschaftendialogfeld eines Benutzer- oder Computerkontos auf der Registerkarte Einwählen.
Fassen Sie die Benutzer- und Computerkonten für den Netzwerkzugriff zu passenden Gruppen
zusammen. Verwenden Sie die Domänenfunktionsebene Windows 2000, Windows Server 2003
248
oder Windows Server 2008 und universelle Gruppen, um Ihre Konten für eine bestimmte Zugriffsart
zu einer einzigen Gruppe zusammenzufassen. Erstellen Sie zum Beispiel für den drahtlosen Zugriff eine universelle Gruppe namens DrahtlosBenutzer, die globale Gruppen mit Benutzer- und
Computerkonten enthält, mit denen der drahtlose Zugriff auf das Intranet möglich ist.
Bereitstellen der Public-Key-Infrastruktur
Die Beschreibung einer PKI-Bereitstellung für eine Organisation beliebiger Größe geht über den
Rahmen dieses Buchs hinaus. Weitere Informationen erhalten Sie in dem Buch Microsoft Windows
Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008), im Hilfe und
Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki.
Die wichtigsten Aspekte bei der Konfiguration einer PKI auf Zertifikatbasis zur Unterstützung einer
Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff sind folgende:
Wenn Sie für die Netzwerkzugriffsauthentifizierung auf Benutzerebene Zertifikate verwenden,
richten Sie eine Zertifikatvorlage für Benutzerzertifikate ein. Wenn Sie eine Windows-Unternehmenszertifizierungsstelle betreiben, können Sie von der Standardbenutzervorlage eine Kopie
anfertigen. Eigenständige Zertifizierungsstellen unterstützen keine Zertifikatvorlagen.
Wenn Sie in NAP eine IPsec-Erzwingung verwenden, müssen Sie vielleicht eine Zertifikatvorlage
für Integritätszertifikate konfigurieren.
Hinweis In den Windows-Zertifikatdiensten ist bereits standardmäßig eine Zertifikatvorlage für ein
Computerzertifikat enthalten.
Nach der Bereitstellung Ihrer PKI fallen einige Arbeitsgänge für die Bereitstellung von Zertifikaten
an, die für drahtlose, herkömmlich verkabelte, Remote-VPN- und standortinterne VPN-Verbindungen
gebräuchlich sind. Dazu gehören folgende Aufgaben:
Konfigurieren der automatischen Registrierung von Computerzertifikaten für die Computer einer
Active Directory-Domäne
Anfordern eines Computerzertifikats mit dem Zertifikate-Snap-In
Importieren eines Computerzertifikats mit dem Zertifikate-Snap-In
Ausführen eines CAPICOM-Skripts, das ein Computer- oder Benutzerzertifikat anfordert
Konfigurieren der automatischen Registrierung von Benutzerzertifikaten für Benutzer in einer
Active Directory-Domäne
Anfordern eines Benutzerzertifikats mit dem Zertifikate-Snap-In
Importieren eines Benutzerzertifikats mit dem Zertifikate-Snap-In
Einrichten von Zertifikatketten mit Gruppenrichtlinien
Anfordern eines Zertifikats über das Web
Konfigurieren der automatischen Registrierung von Computerzertifikaten für die Computer
einer Active Directory-Domäne
Wenn Sie eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, kann jeder Computer automatisch von der ausstellenden Zertifizierungsstelle
ein Computerzertifikat anfordern, wenn die Gruppenrichtlinien für die Computerkonfiguration entsprechend eingestellt sind. Diese Methode ermöglicht eine zentrale Konfiguration für die gesamte
Domäne.
249
So konfigurieren Sie eine Active Directory-Domäne für die automatische Registrierung
von Computerzertifikaten
1. Öffnen Sie das Snap-In Gruppenrichtlinienverwaltung.
2. Erweitern Sie in der Strukturansicht Gesamtstruktur, erweitern Sie Domänen und klicken Sie dann
auf den Namen der Domäne, zu der Ihre Zertifizierungsstelle gehört.
3. Klicken Sie auf der Registerkarte Verknüpfte Gruppenrichtlinienobjekte das entsprechende Gruppenrichtlinienobjekt mit der rechten Maustaste an (das Standardobjekt ist Default Domain Policy)
und klicken Sie dann auf Bearbeiten.
4. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, dann Richtlinien, dann Windows-Einstellungen, anschließend Sicherheitseinstellungen und schließlich Richtlinien für öffentliche Schlüssel.
5. Klicken Sie Einstellungen der automatischen Zertifikatanforderung mit der rechten Maustaste an,
zeigen Sie auf Neu und klicken Sie dann auf Automatische Zertifikatanforderung.
6. Der Assistent für automatische Zertifikatanforderung öffnet sich. Klicken Sie auf Weiter.
7. Klicken Sie auf der Seite Zertifikatvorlage auf Computer und klicken Sie dann auf Weiter.
8. Klicken Sie auf Fertig stellen.
Damit die Gruppenrichtlinien für die Computerkonfiguration sofort wirksam werden und für einen
Computer, auf dem Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP
ausgeführt wird, ein Computerzertifikat anfordern, starten Sie den Computer neu oder geben in einer
Eingabeaufforderung den Befehl gpupdate /target:computer ein.
Anfordern eines Computerzertifikats mit dem Zertifikate-Snap-In
Wenn Sie eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, kann jeder Computer mit dem Zertifikate-Snap-In separat ein Computerzertifikat von der ausstellenden Zertifizierungsstelle anfordern.
So fordern Sie mit dem Zertifikate-Snap-In ein Computerzertifikat an
1. Melden Sie sich mit einem Konto, das über Administratorrechte verfügt, auf dem Computer an.
2. Klicken Sie im Start-Menü auf Ausführen, geben Sie mmc ein und drücken Sie die EINGABETASTE .
3. Klicken Sie im Menü der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen.
4. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins mit
einem Doppelklick auf Zertifikate. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und klicken Sie dann auf Weiter.
5. Wählen Sie nun einen der folgenden Punkte:
Zur Verwaltung von Zertifikaten auf dem lokalen Computer klicken Sie auf Lokalen Computer.
Zur Verwaltung von Zertifikaten auf einem Remotecomputer klicken Sie auf Anderen Computer und geben den Namen des Computers ein oder klicken auf Durchsuchen und suchen den
Computernamen heraus. Klicken Sie dann auf OK.
6. Klicken Sie auf Fertig stellen. In der Liste Ausgewählte Snap-Ins erscheint der Eintrag Zertifikate
(Lokaler Computer) oder Zertifikate (Computername) für die neue Konsole. Klicken Sie auf OK.
7. Erweitern Sie in der Strukturansicht den Knoten Zertifikate\Eigene Zertifikate.
250
8. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Neues Zertifikat anfordern.
Der Zertifikatanforderungs-Assistent führt Sie durch die Schritte, die für die Anforderung eines Zertifikats erforderlich sind. Das Zertifikat, das auf einem Windows-Computer in den Speicher Lokaler
Computer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein. Ein Zertifikat, das auf dem VPN-Server oder dem NPS-Server in den Speicher Lokaler
Computer importiert wird, muss für die erweiterte Schlüsselverwendung Serverauthentifizierung vorgesehen sein.
Importieren eines Computerzertifikats mit dem Zertifikate-Snap-In
Wenn Sie über eine Zertifikatdatei verfügen, die ein Computerzertifikat enthält, können Sie dieses
Computerzertifikat mit dem Zertifikate-Snap-In importieren. Das ist zum Beispiel erforderlich, wenn
Sie von einer externen Zertifizierungsstelle für Ihre VPN- oder RADIUS-Server einzelne Computerzertifikate für die PEAP-MS-CHAP v2-Authentifizierung oder für SSTP-Verbindungen (Secure
Socket Tunneling Protocol) kaufen.
So importieren Sie ein Computerzertifikat mit dem Zertifikate-Snap-In
1. Erweitern Sie den Knoten Zertifikate (Lokaler Computer)\Eigene Zertifikate.
2. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Importieren.
Der Zertifikatimport-Assistent leitet Sie durch die Schritte, die zum Import eines Zertifikats aus einer
Zertifikatdatei erforderlich sind. Das Zertifikat, das auf einem Windows-Computer in den Speicher
Lokaler Computer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein. Ein Zertifikat, das auf dem VPN-Server oder dem NPS-Server in den Speicher
Lokaler Computer importiert wird, muss für die erweiterte Schlüsselverwendung Serverauthentifizierung vorgesehen sein.
Hinweis Es ist auch möglich, ein Zertifikat durch einen Doppelklick auf eine Zertifikatdatei zu importieren,
die in einem Ordner gespeichert ist oder in einer E-Mail übermittelt wurde. Das funktioniert zwar für Zertifikate, die mit Windows-Zertifizierungsstellen erstellt wurden, aber vielleicht nicht bei Zertifikaten von anderen
Anbietern. Die empfohlene Methode für den Import von Zertifikaten ist die Verwendung des ZertifikateSnap-Ins.
Ausführen eines CAPICOM-Skripts, das ein Computer- oder Benutzerzertifikat anfordert
Bei dieser Methode muss jeder Computer, der von der ausstellenden Zertifizierungsstelle ein Computer- oder Benutzerzertifikat anfordert, ein CAPICOM-Skript ausführen. CAPICOM ist ein COMClient, der mit Microsoft ActiveX und COM-Objekten kryptografische Funktionen bietet (das CryptoAPI). CAPICOM kann mit Microsoft Visual Basic, Visual Basic Scripting Edition und C++ verwendet werden. Weitere Informationen über CAPICOM finden Sie unter http://msdn2.microsoft.com/
en-us/library/ms995332.aspx.
Um unternehmensweit Benutzer- und Computerzertifikate bereitzustellen, könnte ein CAPICOMProgramm oder Skript per E-Mail verteilt und von den Benutzern ausgeführt werden, oder die Benutzer werden auf eine Website geführt, die eine Verknüpfung mit einem CAPICOM-Programm oder
Skript enthält. Als Alternative bietet es sich an, das CAPICOM-Programm oder Skript im Anmeldeskript des Benutzers zu starten, damit es automatisch ausgeführt wird. Der Speicherort für das Benutzer- oder Computerzertifikat lässt sich mit der CAPICOM-Programmierschnittstelle (Application Programming Interface, API) festlegen.
251
Konfigurieren der automatischen Registrierung von Benutzerzertifikaten für Benutzer
in einer Active Directory-Domäne
Diese Methode ermöglicht eine zentrale Konfiguration der ganzen Domäne. Alle Mitglieder der Domäne fordern wegen der entsprechenden Richtlinieneinstellung zur Benutzerkonfiguration automatisch
ein Benutzerzertifikat an. Wenn Sie als ausstellende Zertifizierungsstelle eine Unternehmenszertifizierungsstelle verwenden, die unter Windows Server 2008, Windows Server 2003 Enterprise Edition
oder Windows Server 2003 Datacenter Edition ausgeführt wird, können Sie Benutzerzertifikate über
eine automatische Registrierung installieren.
So konfigurieren Sie die automatische Benutzerzertifikatregistrierung
für eine Unternehmenszertifizierungsstelle
1. Klicken Sie im Start-Menü auf Ausführen, geben Sie mmc ein und klicken Sie dann auf OK.
2. Klicken Sie im Datei-Menü auf Snap-In hinzufügen/entfernen.
3. Klicken Sie unter Verfügbare Snap-Ins mit einem Doppelklick auf Zertifikatvorlagen und klicken
Sie dann auf OK.
4. Klicken Sie in der Strukturansicht auf Zertifikatvorlagen. Im Detailbereich erscheinen alle Zertifikatvorlagen.
5. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Vorlage Benutzer und klicken Sie
dann auf Doppelte Vorlage. Wenn Sie zur Wahl einer Betriebssystemversion aufgefordert werden,
auf der sich die Zertifikatvorlage verwenden lässt, klicken Sie auf Windows Server 2003 Enterprise Edition und dann auf OK.
6. Geben Sie im Feld Vorlagenanzeigename einen Namen für die neue Benutzerzertifikatvorlage ein
(zum Beispiel VPNZugriff).
Sorgen Sie dafür, dass das Kontrollkästchen Zertifikat in Active Directory veröffentlichen markiert
ist.
7. Klicken Sie auf die Registerkarte Sicherheit.
8. Klicken Sie in der Liste Gruppen- oder Benutzernamen auf Domänen-Benutzer.
9. Wählen Sie in der Liste Berechtigungen für Domänen-Benutzer die Kontrollkästchen Lesen,
Registrieren und Automatisch registrieren und klicken Sie dann auf OK.
10. Öffnen Sie das Snap-In Zertifizierungsstelle.
11. Erweitern Sie in der Strukturansicht den Namen Ihrer Zertifizierungsstelle und klicken Sie dann
auf Zertifikatvorlagen.
12. Zeigen Sie im Menü Aktion auf Neu und klicken Sie dann auf Auszustellende Zertifikatvorlage.
13. Klicken Sie auf den Namen der neu erstellten Benutzerzertifikatvorlage (beispielsweise VPNZugriff) und klicken Sie dann auf OK.
252
17. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, dann Richtlinien, dann Windows-Einstellungen, anschließend Sicherheitseinstellungen und schließlich Richtlinien für öffentliche Schlüssel.
18. Klicken Sie im Detailbereich mit einem Doppelklick auf Zertifikatdiensteclient – automatische
Registrierung.
19. Wählen Sie aus der Dropdownliste Konfigurationsmodell den Eintrag Aktiviert.
20. Wählen Sie das Kontrollkästchen Abgelaufene Zertifikate erneuern, ausstehende Zertifikate
aktualisieren und gesperrte Zertifikate entfernen.
21. Wählen Sie das Kontrollkästchen Zertifikate, die Zertifikatvorlagen verwenden, aktualisieren und
klicken Sie dann auf OK.
Führen Sie die Schritte 15–21 nach Bedarf für jeden Domänencontainer aus. Sorgen Sie dafür, dass
die entsprechenden Domänencontainer auf das automatische Registrieren von Benutzerzertifikaten
eingestellt sind, sei es durch das Erben von Gruppenrichtlinieneinstellungen von einem übergeordneten Container oder durch eine explizite Konfiguration.
Damit die Gruppenrichtlinien für die Benutzerkonfiguration sofort wirksam werden und für einen
Computer, auf dem Windows Server 2008, Windows Vista, Windows Server 2003 oder Windows XP
ausgeführt wird und der Mitglied der Domäne ist, für die eine automatische Registrierung eingestellt
wurde, ein Benutzerzertifikat anfordern, starten Sie den Computer neu oder geben in einer Eingabeaufforderung den Befehl gpupdate /target:user ein.
Anfordern eines Benutzerzertifikats mit dem Zertifikate-Snap-In
Wenn Sie eine Windows Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden, können Sie mit dem Zertifikate-Snap-In auf jedem Computer separat von der
ausstellenden Zertifizierungsstelle ein Benutzerzertifikat anfordern.
So fordern Sie mit dem Zertifikate-Snap-In ein Benutzerzertifikat an
1. Melden Sie sich mit einem Konto, das über Administratorrechte verfügt, auf dem Computer an.
2. Klicken Sie im Start-Menü auf Ausführen, geben Sie mmc ein und drücken Sie die EINGABETASTE .
3. Klicken Sie im Menü der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen.
4. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen unter Verfügbare Snap-Ins mit
einem Doppelklick auf Zertifikate. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Eigenes
Benutzerkonto, klicken Sie auf Fertig stellen und dann auf OK.
5. Erweitern Sie in der Strukturansicht den Knoten Zertifikate\Eigene Zertifikate.
6. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Neues Zertifikat anfordern.
Der Zertifikatanforderungs-Assistent führt Sie durch die Schritte, die für die Anforderung eines Benutzerzertifikats erforderlich sind. Das Zertifikat, das auf einem Windows-Computer importiert wird,
muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein.
Importieren eines Benutzerzertifikats mit dem Zertifikate-Snap-In
Wenn Sie über eine Zertifikatdatei verfügen, die ein Benutzerzertifikat enthält, können Sie das Benutzerzertifikat mit dem Zertifikate-Snap-In importieren.
253
So importieren Sie ein Benutzerzertifikat mit dem Zertifikate-Snap-In
1. Erweitern Sie den Knoten Zertifikate – Aktueller Benutzer\Eigene Zertifikate.
2. Klicken Sie den Knoten Eigene Zertifikate mit der rechten Maustaste an, klicken Sie auf Alle Aufgaben und dann auf Importieren.
Der Zertifikatimport-Assistent leitet Sie durch die Schritte, die zum Import eines Zertifikats aus einer
Zertifikatdatei erforderlich sind. Das Zertifikat, das auf einem Windows-Computer in den Speicher
Aktueller Benutzer importiert wird, muss für die erweiterte Schlüsselverwendung Clientauthentifizierung vorgesehen sein.
Einrichten von Zertifikatketten mit Gruppenrichtlinien
Wenn Sie für die Computerzertifikate, die auf Zugriffsservern oder RADIUS-Servern installiert werden, eine Zertifizierungsstelle von anderen Herstellern verwenden, müssen Sie vielleicht für das auf
dem Zugriffs- oder RADIUS-Server installierte Zertifikat die Zertifikatkette einrichten (vom Stammzertifizierungsstellenzertifikat bis hin zum Zertifikat der ausstellenden Zertifizierungsstelle). Wenn
der Zugriffsclient der Zertifikatkette des Zertifikats nicht vertraut, das ihm vom Zugriffs- oder
RADIUS-Server vorgelegt wird, kann die Zertifikatüberprüfung fehlschlagen.
Eine Zertifikatkette besteht aus dem Stammzertifizierungsstellenzertifikat und dem Zertifikat jeder
Zwischenzertifizierungsstelle einschließlich der ausstellenden Zertifizierungsstelle. Die folgenden
Schritte beschreiben, wie man mit Gruppenrichtlinien ein Stammzertifizierungsstellenzertifikat und
ein Zwischenzertifizierungsstellenzertifikat bereitstellt.
So installieren Sie ein Stammzertifizierungsstellenzertifikat mit Gruppenrichtlinien
1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des Zugriffsoder RADIUS-Servers den Knoten Zertifikate (Lokaler Computer), erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie dann auf Zertifikate.
2. Klicken Sie im Detailbereich das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des Authentifizierungsservers mit der rechten Maustaste
an, zeigen Sie auf Alle Aufgaben und klicken Sie auf Exportieren.
3. Klicken Sie auf der Willkommen-Seite des Zertifikatexport-Assistenten auf Weiter.
4. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Syntaxstandard kryptografischer Meldungen – "PKCS #7"-Zertifikate (.P7B).
5. Klicken Sie auf Weiter. Geben Sie auf der Seite Zu exportierende Datei den Dateinamen für das
exportierte Zertifikat ein oder klicken Sie auf Durchsuchen, um einen Speicherort und einen
Dateinamen anzugeben.
6. Klicken Sie auf Weiter. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
10. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und
dann Richtlinien für öffentliche Schlüssel.
254
11. Klicken Sie Vertrauenswürdige Stammzertifizierungsstellen mit der rechten Maustaste an und
klicken Sie dann auf Importieren.
12. Geben Sie im Zertifikatimport-Assistenten die Datei an, die in Schritt 5 gespeichert wurde.
Wiederholen Sie die Schritte 8 bis 12 für alle entsprechenden Domänencontainer und deren Gruppenrichtlinienobjekte.
Sobald die Zugriffsclientcomputer ihre Computerkonfigurationsgruppenrichtlinien das nächste Mal
aktualisieren, werden die Stammzertifizierungsstellenzertifikate der ausstellenden Zertifizierungsstellen der Computerzertifikate von den Authentifizierungsservern in den lokalen Zertifikatespeichern
installiert.
So installieren Sie ein Zwischenzertifizierungsstellenzertifikat mit Gruppenrichtlinien
1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des Zugriffsoder RADIUS-Servers den Knoten Zertifikate (Lokaler Computer), erweitern Sie Zwischenzertifizierungsstellen und klicken Sie dann auf Zertifikate.
2. Klicken Sie im Detailbereich das Zwischenzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des Authentifizierungsservers mit der rechten Maustaste
an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Exportieren.
3. Klicken Sie auf der Willkommen-Seite des Zertifikatexport-Assistenten auf Weiter.
4. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Syntaxstandard kryptografischer Meldungen – "PKCS #7"-Zertifikate (.P7B).
5. Klicken Sie auf Weiter. Geben Sie auf der Seite Zu exportierende Datei den Dateinamen für das
exportierte Zertifikat ein oder klicken Sie auf Durchsuchen, um einen Speicherort und einen
Dateinamen anzugeben.
6. Klicken Sie auf Weiter. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.
10. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen und
dann Richtlinien für öffentliche Schlüssel.
11. Klicken Sie Zwischenzertifizierungsstellen mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken Sie dann auf Importieren.
12. Geben Sie im Zertifikatimport-Assistenten die Datei an, die in Schritt 5 gespeichert wurde.
Wiederholen Sie die Schritte 8 bis 12 für alle entsprechenden Domänencontainer und deren Gruppenrichtlinienobjekte.
Wenn Sie keine Gruppenrichtlinien verwenden können, installieren Sie die Stamm- und Zwischenzertifizierungsstellenzertifikate manuell auf den einzelnen Zugriffsclientcomputern.
255
So installieren Sie ein Stamm- oder Zwischenzertifizierungsstellenzertifikat manuell auf einem
Zugriffsclient
1. Exportieren Sie das Stammzertifizierungsstellenzertifikat des Computerzertifikats des Zugriffsoder RADIUS-Servers in eine .p7b-Datei.
2. Erweitern Sie auf dem Zugriffsclientcomputer in der Strukturdarstellung des Zertifikate-Snap-Ins
den Knoten Zertifikate (Lokaler Computer), erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen (für ein Stammzertifizierungsstellenzertifikat) oder Zwischenzertifizierungsstellen
(für ein Zwischenzertifizierungsstellenzertifikat) und klicken Sie dann auf Zertifikate.
3. Klicken Sie Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und klicken
Sie dann auf Importieren.
4. Die Willkommen-Seite des Zertifikatimport-Assistenten erscheint. Klicken Sie auf Weiter.
5. Geben Sie auf der Seite Zu importierende Datei im Textfeld Dateiname den Dateinamen der Zertifikatdatei ein, die Sie im Schritt 1 gespeichert haben, oder klicken Sie auf Durchsuchen und suchen Sie die Datei im Dialogfeld Öffnen heraus.
6. Klicken Sie auf Weiter. Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern und geben Sie dann den Zertifikatspeicher an.
7. Klicken Sie auf Weiter. Auf der Seite Fertigstellen des Assistenten klicken Sie auf Fertig stellen.
Anfordern eines Zertifikats über das Web
Die Anforderung eines Zertifikats über das Web, auch Webregistrierung genannt, erfolgt mit dem
Microsoft Windows Internet Explorer. Geben Sie als Adresse http://Servername/certsrv ein, wobei
Servername der Name des Computers ist, auf dem nicht nur die Windows Server 2008- oder Windows
Server 2003-Zertifizierungsstelle ausgeführt wird, sondern auch die Internetinformationsdienste. Ein
Assistent auf Webbasis führt Sie durch die Schritte, die erforderlich sind, um ein Zertifikat anzufordern. An welchem Ort das Zertifikat gespeichert wird (es ist entweder der Speicher Aktueller Benutzer
oder der Speicher Lokaler Computer), entscheidet bei einer erweiterten Zertifikatanforderung das
Kontrollkästchen Lokalen Speicher verwenden. Standardmäßig ist das Kontrollkästchen gelöscht und
Zertifikate werden im Speicher Aktueller Benutzer gespeichert. Sie müssen über die Rechte eines lokalen Administrators verfügen, um ein Zertifikat im Speicher Lokaler Computer speichern zu können.
Eine Webregistrierung können Sie mit einer eigenständigen oder mit einer Unternehmenszertifizierungsstelle vornehmen.
Direkt von der Quelle: Duplizieren von Standardzertifikatvorlagen
Wenn Sie Zertifikatvorlagen verwenden, sollten Sie nach Möglichkeit eine passende Standardvorlage auswählen, diese duplizieren und die erforderlichen Änderungen an der neuen Vorlage durchführen. Wenn Sie zum Beispiel die Sicherheitsgruppen ändern möchten, die automatisch für ein bestimmtes Benutzerzertifikat registriert werden, erstellen Sie ein Duplikat der Benutzerzertifikatvorlage. Dann öffnen Sie das Eigenschaftendialogfeld der neuen Zertifikatvorlage, klicken auf die
Registerkarte Sicherheit und fügen die Gruppen hinzu, die Zugriff auf die Vorlage erhalten sollen.
256
Gruppenrichtlinien
Es geht über den Rahmen dieses Buchs hinaus, die Einstellungen der Gruppenrichtlinien für eine
Organisation beliebiger Größe zu beschreiben. Weitere Informationen finden Sie in Windows Group
Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und Support-System von
Windows Server 2008 und unter http://www.microsoft.com/gp.
Die wichtigsten Aspekte bei der Konfiguration der Gruppenrichtlinien zur Unterstützung einer Windows-basierten Authentifizierungsinfrastruktur für den Netzwerkzugriff sind folgende:
Wenn Sie für die Netzwerkauthentifizierung auf Computerebene Zertifikate verwenden, konfigurieren Sie die Gruppenrichtlinien für das automatische Registrieren von Computerzertifikaten.
Dazu ist die Bereitstellung einer Windows-Unternehmenszertifizierungsstelle erforderlich. Mit
einer eigenständigen Zertifizierungsstelle ist keine automatische Registrierung möglich.
Wenn Sie für die Netzwerkauthentifizierung auf Benutzerebene Zertifikate verwenden, bereiten
Sie eine Zertifikatvorlage für Benutzerzertifikate vor und konfigurieren die Gruppenrichtlinien für
das automatische Registrieren von Benutzerzertifikaten.
Wenn Sie PEAP-MS-CHAP v2 für die Netzwerkzugriffsauthentifizierung verwenden, konfigurieren Sie bei Bedarf die Gruppenrichtlinien für das automatische Registrieren von Computerzertifikaten, um auf den NPS-Servern Computerzertifikate zu installieren.
Wenn Sie PEAP-MS-CHAP v2 für die Netzwerkzugriffsauthentifizierung verwenden und für die
Computerzertifikate, die auf den NPS-RADIUS-Servern installiert werden, eine Zertifizierungsstelle von einem anderen Hersteller einsetzen, überprüfen Sie, ob das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des NPS-RADIUS-Servers auf den Zugriffsclients installiert
ist. Ist dies nicht der Fall, konfigurieren Sie Gruppenrichtlinien für die Installation des entsprechenden Stammzertifizierungsstellenzertifikats auf den Mitgliedscomputern der Domäne.
Informationen über die Konfiguration der Gruppenrichtlinien für die Bereitstellung von Zertifikatkonfigurationen finden Sie im Abschnitt »Bereitstellen der Public-Key-Infrastruktur« dieses Kapitels.
Weitere Informationen über die Konfiguration von Gruppenrichtlinien zur Bereitstellung der Konfiguration für bestimmte Arten des Netzwerkzugriffs finden Sie in folgenden Kapiteln:
Kapitel 10, »Drahtlose Netzwerke nach IEEE 802.11«
Kapitel 11, »Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung«
Kapitel 16, »IPsec-Erzwingung«
Kapitel 17, »802.1X-Erzwingung«
Kapitel 18, »VPN-Erzwingung«
Kapitel 19, »DHCP-Erzwingung«
RADIUS-Server
Die Einrichtung einer fehlertoleranten RADIUS-Infrastruktur erfordert den Aufbau von mindestens
zwei NPS-RADIUS-Servern, von denen einer als primärer NPS-RADIUS-Server dient und der andere
als sekundärer NPS-RADIUS-Server. Gehen Sie folgendermaßen vor:
Konfigurieren Sie den primären NPS-Server.
Kopieren Sie die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server.
Da die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server kopiert wird, sollten
Sie Konfigurationsänderungen immer auf dem primären NPS-Server durchführen.
257
Konfigurieren des primären NPS-Servers
Die Konfiguration des primären NPS-Servers erfolgt in folgenden Schritten, die in den folgenden Abschnitten ausführlicher beschrieben werden:
1. Beschaffen und Installieren eines Computerzertifikats
2. Installieren von NPS und Konfigurieren der NPS-Servereigenschaften
3. Konfigurieren von NPS mit RADIUS-Clients
4. Schützen des RADIUS-Datenverkehrs mit IPsec
5. Konfigurieren der entsprechenden Richtlinien
Beschaffen und Installieren eines Computerzertifikats
Wenn Sie die automatische Registrierung von Computerzertifikaten eingestellt haben, können Sie eine
Aktualisierung der Gruppenrichtlinien mit der Computerkonfiguration einleiten, indem Sie in einer
Eingabeaufforderung den Befehl gpupdate /target:computer eingeben.
Wenn Sie eine Unternehmenszertifizierungsstelle von Windows Server 2008 oder Windows Server
2003 verwenden und keine automatische Registrierung von Computerzertifikaten eingestellt haben,
können Sie auf folgende Weise ein Computerzertifikat anfordern:
So fordern Sie ein Computerzertifikat an
1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie mmc ein und klicken Sie dann auf OK.
2. Klicken Sie im Datei-Menü auf Snap-In hinzufügen/entfernen.
3. Klicken Sie unter Verfügbare Snap-Ins mit einem Doppelklick auf Zertifikate, klicken Sie dann
auf Computerkonto und schließlich auf Weiter.
4. Wählen Sie nun einen der folgenden Punkte:
Zur Verwaltung von Zertifikaten auf dem lokalen Computer klicken Sie auf Lokalen Computer
und dann auf Fertig stellen.
Zur Verwaltung von Zertifikaten auf einem Remotecomputer klicken Sie auf Anderen Computer und geben den Namen des Computers ein oder klicken auf Durchsuchen und suchen den
Computernamen heraus. Klicken Sie auf Fertig stellen.
6. Erweitern Sie in der Strukturansicht Zertifikate (Lokaler Computer oder Computername) und
klicken Sie dann auf Eigene Zertifikate.
7. Zeigen Sie im Menü Aktion auf Alle Aufgaben und klicken Sie dann auf Neues Zertifikat anfordern, um den Zertifikatregistrierungs-Assistenten zu starten.
8. Klicken Sie auf der Seite Vorbereitung auf Weiter.
9. Klicken Sie auf der Seite Zertifikate anfordern auf Computer und dann auf Registrieren.
10. Klicken Sie auf Fertig stellen.
Wenn Ihre PKI die automatische Registrierung von Computerzertifikaten nicht unterstützt, beschaffen
Sie das Computerzertifikat als Datei und importieren das Computerzertifikat dann mit folgenden
Schritten auf dem primären NPS-Server.
Hinweis Um ein Computerzertifikat importieren zu können, müssen Sie auf dem lokalen Computer Mitglied der Gruppe Administratoren sein oder die entsprechenden Rechte zugewiesen bekommen haben.
258
So importieren Sie das Computerzertifikat auf dem primären NPS-Server
1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins den Knoten Zertifikate (Lokaler
Computer oder Computername).
2. Klicken Sie Eigene Zertifikate mit der rechten Maustaste an, zeigen Sie auf Alle Aufgaben und
klicken Sie auf Importieren.
3. Klicken Sie auf der Willkommen-Seite des Zertifikatimport-Assistenten auf Weiter.
4. Geben Sie auf der Seite Zu importierende Datei im Feld Dateiname den Namen der Zertifikatdatei
ein, die Sie von der kommerziellen Zertifizierungsstelle erhalten haben. Sie können auch auf
Durchsuchen klicken und die Datei im Dialogfeld Öffnen heraussuchen.
5. Klicken Sie auf Weiter. Klicken Sie auf der Seite Zertifikatspeicher auf Alle Zertifikate in folgendem Speicher speichern. Standardmäßig sollte der Knoten Eigene Zertifikate als Zertifikatspeicher
erscheinen. Klicken Sie auf Weiter und dann auf Fertig stellen.
Konfigurieren der NPS-Servereigenschaften
NPS lässt sich auf Computern, auf denen Windows Server 2008 ausgeführt wird, im Server-Manager
oder in den Aufgaben der Erstkonfiguration mit der Rolle Netzwerkrichtlinien- und Zugriffsdienste
installieren. Allerdings muss der primäre NPS-Server in der Lage sein, in den Domänen, für die er
zuständig ist, auf die Konteneigenschaften zuzugreifen. Wird NPS auf einem Domänencontroller installiert, ist keine weitere Konfiguration erforderlich, damit der NPS-Server auf die Eigenschaften der
Konten aus der Domäne zugreifen kann, zu der er gehört. Wird NPS nicht auf einem Domänencontroller installiert, müssen Sie den primären NPS-Servercomputer so konfigurieren, dass er die Eigenschaften von Benutzerkonten aus der Domäne lesen kann. Dazu gehen Sie so vor, wie in den folgenden Schritten beschrieben.
So konfigurieren Sie den primären NPS-Servercomputer, damit er die Eigenschaften von Benutzerkonten
aus der Domäne lesen kann
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins mit der rechten Maustaste auf NPS (Lokal) und klicken Sie dann auf Server in Active Directory registrieren.
2. Klicken Sie im Dialogfeld Netzwerkrichtlinienserver einmal auf OK und klicken Sie nach der
Anzeige der Erfolgsmeldung noch einmal auf OK.
Sie können auch eine der folgenden Alternativen wählen:
Verwenden Sie den Befehl netsh nps add registeredserver.
Fügen Sie das Computerkonto des NPS-Servers im Snap-In Active Directory-Benutzer und
-Computer zur Sicherheitsgruppe RAS- und IAS-Server hinzu.
Wenn der NPS-Server Netzwerkzugriffsversuche mit Benutzerkonten aus anderen Domänen authentifiziert und autorisiert, sorgen Sie dafür, dass die anderen Domänen in einer bidirektionalen Vertrauensstellung zu der Domäne stehen, in der der NPS-Servercomputer Mitglied ist. Konfigurieren Sie
den NPS-Servercomputer dann so, dass er die Eigenschaften der Benutzerkonten aus den anderen
Domänen lesen kann. Verwenden Sie dazu den Befehl netsh nps add registeredserver oder das SnapIn Active Directory-Benutzer und -Computer.
Wenn einige Konten in anderen Domänen liegen und keine bidirektionale Vertrauensstellung zu der
Domäne besteht, in der der NPS-Servercomputer Mitglied ist, müssen Sie einen RADIUS-Proxyy
zwischen den beiden Domänen einrichten, die sich gegenseitig nicht als vertrauenswürdig einstufen.
Liegen einige der verwendeten Konten in anderen Active Directory-Gesamtstrukturen, die nicht als
vertrauenswürdig eingestuft werden, müssen Sie einen RADIUS-Proxy zwischen den Gesamtstruktu-
259
ren einrichten. Weitere Informationen finden Sie im Verlauf dieses Kapitels im Abschnitt »Verwenden
von RADIUS-Proxys für eine gesamtstrukturübergreifende Authentifizierung«.
Wenn Sie zur späteren Verbindungsanalyse oder aus Sicherheitsgründen Authentifizierungs- und
Kontoführungsdaten speichern möchten, aktivieren Sie die Protokollierung von Kontoführungs- und
Authentifizierungsereignissen. Windows Server 2008-NPS kann Vorgänge in einer lokalen Datei und
in einer SQL Server-Datenbank protokollieren.
So aktivieren und konfigurieren Sie die Protokollierung von NPS-Vorgängen in einer lokalen Datei
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf Kontoführung.
2. Klicken Sie im Detailbereich auf Protokollierung für lokale Dateien konfigurieren.
3. Wählen Sie auf der Registerkarte Einstellungen ein oder mehrere Kontrollkästchen für die Aufzeichnung von Authentifizierungs- und Kontoführungsanforderungen in den NPS-Protokolldateien:
Um Kontoführungsnachrichten und die Antworten aufzuzeichnen, wählen Sie das Kontrollkästchen Kontoführungsanforderungen.
Um Authentifizierungsanfragen, access-accept-Pakete und access-reject-Pakete aufzuzeichnen, wählen Sie das Kontrollkästchen Authentifizierungsanforderungen.
Um regelmäßige Statusinformationen aufzuzeichnen, beispielsweise Interimsbuchhaltungspakete, wählen Sie die Kontrollkästchen Status der regelmäßigen Kontoführung oder Status
der regelmäßigen Authentifizierung.
Diese Protokolloptionen sind standardmäßig alle aktiviert.
4. Geben Sie auf der Registerkarte Protokolldatei ein Verzeichnis für die Protokolldateien an und
legen Sie dann das Format und die Häufigkeit fest, mit der neue Protokolldateien angelegt werden. Das vorgegebene Standardverzeichnis für die Protokolldateien ist %SystemRoot%\System32\
LogFiles.
So aktivieren und konfigurieren Sie die Protokollierung von NPS-Vorgängen in einer
SQL Server-Datenbank
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf Kontoführung.
2. Klicken Sie im Detailbereich auf Protokollierung für SQL-Server konfigurieren.
3. Wählen Sie auf der Registerkarte Einstellungen ein oder mehrere Kontrollkästchen für die Aufzeichnung von Authentifizierungs- und Kontoführungsanforderungen. Diese Protokolloptionen
sind alle standardmäßig aktiviert.
4. Geben Sie im Eingabefeld Maximale Anzahl von gleichzeitigen Sitzungen die maximale Anzahl
von gleichzeitigen Sitzungen an, die NPS mit SQL Server abhalten kann.
5. Klicken Sie zur Konfiguration einer SQL-Datenquelle auf Konfigurieren.
6. Nehmen Sie im Dialogfeld Datenverknüpfungseigenschaften die erforderlichen Einstellungen für
die gewünschte SQL Server-Datenbank vor.
Stellen Sie bei Bedarf zusätzliche UDP-Ports für die Authentifizierungs- und Kontoführungsnachrichten ein, die von RADIUS-Clients (den Zugriffsservern) gesendet werden. Standardmäßig verwendet
NPS die UPD-Ports 1812 und 1645 für Authentifizierungsnachrichten und die UPD-Ports 1813 und
1646 für Kontoführungsnachrichten.
260
So konfigurieren Sie NPS für andere UDP-Ports
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins mit der rechten Maustaste auf NPS und klicken Sie dann auf Eigenschaften.
2. Klicken Sie auf die Registerkarte Ports und geben Sie im Eingabefeld Authentifizierung die UDPPortnummern für Ihren RADIUS-Authentifizierungsdatenverkehr an. Geben Sie im Eingabefeld
Kontoführung die UPD-Portnummern für Ihren RADIUS-Kontoführungsdatenverkehr an.
Wenn Sie für den Authentifizierungs- oder Kontoführungsdatenverkehr mehrere Ports verwenden
möchten, trennen Sie die Portnummern jeweils durch ein Komma voneinander ab. Sie können auch
eine IP-Adresse angeben, an die RADIUS-Nachrichten gesendet werden sollen, wobei folgende
Syntax gilt: IPAdresse:UDPPort. Wenn Sie zum Beispiel mehrere Netzwerkkarten verwenden und
nur RADIUS-Authentifizierungsnachrichten erhalten möchten, die an die IP-Adresse 10.0.0.99
und UDP-Port 1812 gesendet werden, geben Sie im Feld Authentifizierung 10.0.0.99:1812 ein.
Falls Sie IP-Adressen angeben und die Konfiguration des primären NPS-Servers anschließend auf
den sekundären NPS-Server übertragen, müssen Sie auf dem sekundären NPS-Server die Angaben
anpassen und entweder die IP-Adresse des primären NPS-Servers löschen oder stattdessen die
IP-Adresse des sekundären NPS-Servers verwenden.
Konfigurieren von NPS mit RADIUS-Clients
Auf dem primären NPS-Server geben Sie die Zugriffsserver oder RADIUS-Proxys als RADIUSClients an.
So fügen Sie einen RADIUS-Client für NPS hinzu
1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten RADIUSClients und Server, klicken Sie RADIUS-Clients mit der rechten Maustaste an und klicken Sie
dann auf Neuer RADIUS-Client.
2. Geben Sie im Dialogfeld Neuer RADIUS-Client unter Name und Adresse im Textfeld Anzeigename einen Namen für den RADIUS-Client (der Zugriffsserver oder RADIUS-Proxy) ein. Geben
Sie im Textfeld Adresse (IP oder DNS) die IP-Adresse oder den DNS-Domänennamen des
RADIUS-Clients ein. Wenn Sie einen DNS-Domänennamen eingeben, klicken Sie auf Überprüfen, um den Namen zur IP-Adresse des Zugriffsservers aufzulösen.
3. Geben Sie unter Gemeinsamer geheimer Schlüssel in den Textfeldern Gemeinsamer geheimer
Schlüssel und Bestätigen den gemeinsamen geheimen Schlüssel für diese Kombination von NPSServer und RADIUS-Client ein oder klicken Sie auf Generieren, damit der NPS-Dienst einen
sicheren gemeinsamen geheimen RADIUS-Schlüssel generiert.
4. Geben Sie unter Zusätzliche Optionen an, ob dieser RADIUS-Client in RADIUS-Nachrichten
immer das Message-Authenticator-Attribut verwendet und ob es sich bei dem RADIUS-Client um
einen NAP-Erzwingungspunkt handelt, der unter Windows Server 2008 ausgeführt wird (das
Kontrollkästchen RADIUS-Client ist NAP-fähig). Klicken Sie dann auf OK.
Wenn Sie im selben Subnetz mehrere drahtlose Zugriffspunkte verwenden, können Sie die Verwaltung der RADIUS-Clients vereinfachen, indem Sie statt der Adresse oder des DNS-Namens eines einzelnen RADIUS-Clients einen IPv4- oder IPv6-Adressenbereich angeben. Alle RADIUS-Clients aus
diesem Bereich müssen auf denselben RADIUS-Server und denselben gemeinsamen geheimen Schlüssel eingestellt werden. Wenn Sie keinen Adressenbereich angeben möchten, verwenden Sie für jeden
drahtlosen Zugriffspunkt einen anderen gemeinsamen geheimen Schlüssel.
Verwenden Sie so viele verschiedene gemeinsame geheime Schlüssel, wie Sie können. Jeder gemeinsame geheime Schlüssel sollte eine nach dem Zufallsprinzip zusammengestellte Folge von Groß- und
261
Kleinbuchstaben, Ziffern und Satzzeichen sein und mindestens 22 Zeichen lang sein. Wenn Sie diese
Zeichenfolge nicht selbst zusammenstellen möchten, können Sie bei der Konfiguration des gemeinsamen geheimen Schlüssels im Netzwerkrichtlinienserver-Snap-In die Option Generieren verwenden.
Schützen des RADIUS-Datenverkehrs mit IPsec
Um eine höchstmögliche Sicherheit für RADIUS-Nachrichten zu gewährleisten, empfiehlt es sich,
IPsec und ESP (Encapsulating Security Payload) zu verwenden, um die Vertraulichkeit und Unversehrtheit der Daten zu schützen und die Quellen der Daten in dem RADIUS-Datenverkehr zwischen
den NPS-Servern und den RADIUS-Clients zu authentifizieren. Computer, auf denen Windows Server 2008 oder Windows Server 2003 ausgeführt wird, unterstützen IPsec. Sie konfigurieren den NPSRADIUS-Server für den IPsec-Schutz des RADIUS-Datenverkehrs über die Verbindungsregeln von
Windows-Firewall mit erweiterter Sicherheit. Um den RADIUS-Datenverkehr von Zugriffsservern
von anderen Herstellern schützen zu können, müssen auch diese Zugriffsserver IPsec unterstützen.
Weitere Informationen über Verbindungssicherheitsregeln finden Sie in Kapitel 4, »Windows-Firewall
mit erweiterter Sicherheit«.
Konfigurieren der entsprechenden Richtlinien
Um die Autorisierungs- und Verbindungsbeschränkungen auf eingehende Verbindungsanforderungen
anwenden zu können, müssen Sie die entsprechenden Richtlinien konfigurieren, nämlich Verbindungsanforderungsrichtlinien, Netzwerkrichtlinien und für NAP Integritätsrichtlinien. Das Netzwerkrichtlinienserver-Snap-In verfügt über eine Reihe von Assistenten, die diese Richtlinien für die gebräuchlichen Netzwerkzugriffs- und NAP-Szenarios automatisch konfigurieren. Die folgenden Schritte
beschreiben, wie man die Netzwerkrichtlinienserver-Assistenten verwendet.
So starten Sie die Netzwerkrichtlinienserver-Assistenten
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf NPS (Lokal).
2. Wählen Sie in der Dropdownliste des Detailbereichs einen der folgenden Einträge:
Netzwerkzugriffsschutz (NAP)
RADIUS-Server für DFÜ- oder VPN-Verbindungen
RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen
3. Wenn Sie Netzwerkzugriffsschutz (NAP) gewählt haben, klicken Sie auf NAP konfigurieren und
geben auf den Seiten des Assistenten zum Konfigurieren von NAP die Richtlinien für NAP an.
4. Wenn Sie RADIUS-Server für DFÜ- oder VPN-Verbindungen gewählt haben, klicken Sie auf VPN
oder DFÜ konfigurieren und verwenden die Seiten des Assistenten zum Konfigurieren von VPN
oder DFÜ, um die Richtlinien für den VPN- oder DFÜ-Netzwerkzugriff anzugeben.
5. Wenn Sie RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen gewählt haben,
klicken Sie auf 802.1X konfigurieren und verwenden die Seiten des Assistenten zum Konfigurieren
von 802.1X, um die Richtlinien für drahtlose oder verkabelte 802.1X-Verbindungen festzulegen.
In den folgenden Kapiteln finden Sie Informationen über das Konfigurieren der entsprechenden
Richtlinien mit den Netzwerkrichtlinienserver-Assistenten:
Kapitel 12, »Remotezugriff-VPN-Verbindungen«
Kapitel 13, »Standort-zu-Standort-VPN-Verbindungen«
262
Sofern die Zugriffsserver herstellerspezifische Attribute (vendor-specific attributes, VSAs) erfordern,
müssen Sie diese Attribute zur entsprechenden Netzwerkrichtlinie hinzufügen.

So fügen Sie ein herstellerspezifisches Attribut zu einer Netzwerkrichtlinie hinzu
1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins Richtlinien und
klicken Sie dann auf Netzwerkrichtlinien.
2. Klicken Sie die NPS-Netzwerkrichtlinie, zu der das herstellerspezifische Attribut hinzugefügt
werden soll, mit der rechten Maustaste an und klicken Sie dann auf Eigenschaften.
3. Klicken Sie auf die Registerkarte Einstellungen, dann auf Herstellerspezifisch und schließlich auf
Hinzufügen. Eine Liste der vordefinierten Attribute erscheint im Dialogfeld Herstellerspezifisches
Attribut hinzufügen.
4. Überprüfen Sie, ob das herstellerspezifische Attribut bereits in der Liste der verfügbaren RADIUSAttribute vorhanden ist. Ist dies der Fall, klicken Sie es mit einem Doppelklick an und konfigurieren es, wie in der Dokumentation Ihres Zugriffsservers beschrieben.
5. Ist das herstellerspezifische Attribut nicht in der Liste der verfügbaren RADIUS-Attribute vorhanden, klicken Sie mit einem Doppelklick auf Vendor-Specific (oder wählen Sie dieses Attribut
aus und klicken Sie auf Hinzufügen). Das Dialogfeld Attributinformationen öffnet sich.
6. Klicken Sie auf Hinzufügen. Das Dialogfeld Herstellerspezifische Attributinformationen öffnet
sich.
7. Um den Hersteller des Netzwerkzugriffsservers anzugeben, klicken Sie auf Aus Liste auswählen
und wählen dann den Hersteller des Netzwerkzugriffsservers aus, für den Sie das herstellerspezifische Attribut konfigurieren.
8. Wird der Hersteller nicht in der Liste aufgeführt, klicken Sie auf Herstellercode eingeben und
geben dann den Herstellercode ein.
Weitere Informationen Falls Sie den Herstellercode für den Hersteller Ihres Zugriffsservers nicht
kennen, sehen Sie in RFC 1007 nach. Dort finden Sie eine Liste von SMI Network Management Private
Enterprise Codes. RFC 1007 ist verfügbar unter http://www.ietf.org/rfc.html.
9. Geben Sie an, ob das Attribut zur VSA-Spezifikation in RFC 2865 konform ist. Wenn Sie nicht
sicher sind, sehen Sie in der Dokumentation Ihres Zugriffsservers nach. Sofern das Attribut der
Spezifikation entspricht, klicken Sie auf Ja, konform und dann auf Attribut konfigurieren. Das
Dialogfeld VSA konfigurieren (RFC-konform) öffnet sich.
10. Geben Sie im Drehfeld Vom Hersteller zugewiesene Attributnummer die Nummer ein, die dem
Attribut zugewiesen wurde (die Nummer muss im Bereich von 0 bis 255 liegen). Geben Sie in der
Dropdownliste Attributformat das Format des Attributs an und geben Sie im Textfeld Attributwert
den Wert ein, den Sie dem Attribut zuweisen. Schließen Sie die geöffneten Dialogfelder jeweils
mit einem Klick auf OK.
11. Ist das Attribut nicht konform, klicken Sie auf Nein, nicht konform und dann auf Attribut konfigurieren. Das Dialogfeld VSA konfigurieren (nicht RFC-konform) öffnet sich.
12. Geben Sie im Textfeld Hexadezimaler Attributwert den Wert für das Attribut ein. Schließen Sie
die geöffneten Dialogfelder jeweils mit einem Klick auf OK.
263
Konfigurieren des sekundären NPS-Servers
Um den sekundären NPS-Server auf einem Computer einzurichten, gehen Sie folgendermaßen vor:
1. Beschaffen und installieren Sie ein Computerzertifikat.
2. Konfigurieren Sie den sekundären NPS-Servercomputer so, dass er die Eigenschaften von Benutzerkonten aus der Domäne lesen kann.
3. Kopieren Sie die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server.
Kopieren der Konfiguration des primären NPS-Servers auf den sekundären NPS-Server
Um die Konfiguration des primären NPS-Servers auf den sekundären NPS-Server zu übertragen,
gehen Sie folgendermaßen vor:
1. Geben Sie auf dem primären NPS-Servercomputer in einer Eingabeaufforderung den Befehl netsh
nps export Pfad\Datei exportpsk=yes. Dadurch werden die Konfigurationseinstellungen einschließlich der gemeinsamen geheimen RADIUS-Schlüssel in der Textdatei Pfad\Datei gespeichert. Als Pfad kann ein relativer oder absoluter Pfad oder ein Netzwerkpfad angegeben werden.
2. Kopieren Sie die in Schritt 1 erstellte Datei auf den sekundären NPS-Server.
3. Geben Sie auf dem sekundären NPS-Servercomputer in einer Eingabeaufforderung den Befehl
netsh nps import Pfad\Datei. Dadurch werden alle Einstellungen, die auf dem primären NPSServer vorgenommen wurden, vom sekundären NPS-Server übernommen.
Falls Sie die NPS-Serverkonfiguration anschließend ändern müssen, tun Sie dies im Netzwerkrichtlinienserver-Snap-In auf dem primären Server und synchronisieren den sekundären NPS-Server anschließend mit der obigen Methode.
Verwenden von RADIUS-Proxys für eine
gesamtstrukturübergreifende Authentifizierung
Da NPS zur Überprüfung der Anmeldeinformationen und zur Beschaffung der Benutzer- und Computerkontoeigenschaften Active Directory verwendet, muss zwischen den Zugriffsservern und den NPSServercomputern ein RADIUS-Proxy eingerichtet werden, wenn die Benutzer- und Computerkonten
für Zugriffsclientcomputer und Benutzer in folgenden Authentifizierungsdatenbanken liegen:
Zwei verschiedene Active Directory-Gesamtstrukturen, die sich gegenseitig nicht vertrauen
Zwei verschiedene Domänen, die sich nicht vertrauen
Zwei verschiedene Domänen, zwischen denen nur unidirektional Vertrauen besteht
Direkt von der Quelle: RADIUS-Proxys und EAP-TLS
Die Verwendung eines RADIUS-Proxys ist für EAP-TLS erforderlich, weil bei diesem Vorgang ein
Dienstprinzipalname (Service Principal Name, SPN) in Active Directory gesucht werden muss.
Das funktioniert nicht über Vertrauensstellungen hinweg. Wenn der NPS-Server die Computeridentität erfährt, hat diese Angabe die Form eines SPN (Host/ComputerName.DNSDomänenName).
Der NPS-Server gibt den SPN an den globalen Katalog weiter. Findet der globale Katalog kein
zum SPN passendes lokales Domänenkonto, schlägt die Abfrage mit der Fehlerbedingung Kein
gültiges Konto gefunden fehl. SPN-Abfragen werden nicht an andere Domänen weitergeleitet.
264
Hinweis Sie brauchen keinen RADIUS-Proxy zu verwenden, wenn Sie PEAP-MS-CHAP v2 und Benutzernamen verwenden, wie sie vor Windows 2000 üblich waren (beispielsweise microsoft\benutzer1).
Wenn ein Zugriffsclient die Anmeldeinformationen eines Benutzers übermittelt, ist darunter meistens
ein Benutzername vorhanden, der aus zwei Elementen besteht:
Identifikation des Benutzerkontonamens
Identifikation des Benutzerkonto-Speicherorts
Im Benutzernamen [email protected] ist benutzer1 der Name des Benutzerkontos und contoso.com ist der Ort, an dem das Benutzerkonto gespeichert ist. Die Identifikation des Speicherorts des
Benutzerkontos wird auch Bereich (realm) genannt und kann zwei verschiedene Formen annehmen:
Der Bereichsname kann ein Präfix sein. In contoso\benutzer1 ist contoso der Name einer Domäne.
So wurden Domänen vor Windows 2000 angegeben.
Der Bereichsname kann ein Suffix sein. In [email protected] ist contoso.com entweder ein
DNS-Domänenname oder der Name einer Active Directory-Domäne.
Der Benutzername wird vom Zugriffsclient in der Authentifizierungsphase des Verbindungsversuchs
an den Zugriffsserver übergeben. Der Benutzername wird in der Access-Request-Nachricht, die der
Zugriffsserver an seinen konfigurierten RADIUS-Server sendet, bei dem es sich in dieser Konfiguration um einen RADIUS-Proxy handelt, zum RADIUS-Attribut User-Name. Wenn ein RADIUS-Proxy
die Access-Request-Nachricht erhält, entscheiden Verbindungsanforderungsrichtlinien auf dem
RADIUS-Proxy anhand des Bereichsnamens, an welchen RADIUS-Server die Access-RequestNachricht weitergeleitet wird.
Abbildung 9.4 zeigt NPS-RADIUS-Proxys, die RADIUS-Nachrichten zwischen Zugriffsservern und
mehreren NPS-RADIUS-Servern aus zwei verschiedenen Active Directory-Gesamtstrukturen weiterleiten.
Die folgende Konfiguration ist für eine Organisation vorgesehen, die Folgendes verwendet:
Active Directory-Domänen Active Directory-Domänen enthalten die Benutzerkonten, Kennwörter
und Einwähleigenschaften, die jeder NPS-RADIUS-Server zur Authentifizierung der Anmeldeinformationen eines Benutzers und zur Überprüfung der Autorisierung braucht.
Mindestens zwei NPS-RADIUS-Server in jeder Gesamtstruktur Zwei NPS-RADIUS-Server (ein primärer und ein sekundärer) in jeder Gesamtstruktur bieten eine höhere Fehlertoleranz für eine
Authentifizierung, Autorisierung und Kontoführung auf RADIUS-Basis als ein einzelner NPSRADIUS-Server. Wenn Sie nur einen NPS-RADIUS-Server vorsehen und dieser Server ausfällt,
können für die betreffende Gesamtstruktur keine Zugriffsclients mehr authentifiziert werden. Wenn
Sie mindestens zwei NPS-RADIUS-Server verwenden und die NPS-RADIUS-Proxys auf beide
NPS-RADIUS-Server (auf den primären und auf den sekundären) einstellen, erkennen es die NPSRADIUS-Proxys, wenn der primäre NPS-RADIUS-Server ausfällt, und können dann auf den sekundären NPS-RADIUS-Server wechseln.
Eine Netzwerkrichtlinie für den Netzwerkzugriff Eine Netzwerkrichtlinie wird auf dem NPSRADIUS-Server konfiguriert, um Netzwerkverbindungen auf der Basis der Gruppenmitgliedschaft zu autorisieren.
Mindestens zwei NPS-RADIUS-Proxys Zwei NPS-RADIUS-Proxys können eine höhere Fehlertoleranz als ein einzelner Proxy bieten, was die Bearbeitung der RADIUS-Anfragen von den Zugriffsservern betrifft.
265
Abbildung 9.4 Verwenden von NPS-RADIUS-Proxys zur gesamtstrukturübergreifenden Authentifizierung
Zur Bereitstellung der gerade beschriebenen Konfiguration tun Sie Folgendes:
1. Konfigurieren Sie die Zertifikatinfrastruktur.
2. Konfigurieren Sie die Active Directory-Gesamtstrukturen für Konten und Gruppen.
3. Konfigurieren Sie den primären NPS-RADIUS-Server auf einem Computer in der ersten Gesamtstruktur.
4. Konfigurieren Sie den sekundären NPS-RADIUS-Server auf einem anderen Computer in der
ersten Gesamtstruktur.
5. Konfigurieren Sie den primären NPS-RADIUS-Server auf einem Computer in der zweiten
Gesamtstruktur.
6. Konfigurieren Sie den sekundären NPS-RADIUS-Server auf einem anderen Computer in der
zweiten Gesamtstruktur.
7. Konfigurieren Sie den primären NPS-RADIUS-Proxy.
8. Konfigurieren Sie den sekundären NPS-RADIUS-Proxy.
9. Konfigurieren Sie die RADIUS-Authentifizierung und Kontoführung auf den Zugriffsservern.
266
Konfigurieren der Zertifikatinfrastruktur
Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen der Public-Key-Infrastruktur« des
Abschnitts »Bereitstellungsschritte« dieses Kapitels.
Konfigurieren der Active Directory-Gesamtstrukturen für Konten und Gruppen
Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen von Active Directory« des Abschnitts
»Bereitstellungsschritte« dieses Kapitels.
Konfigurieren des primären NPS-RADIUS-Servers auf einem Computer in der ersten
Gesamtstruktur
Befolgen Sie zur Konfiguration des primären NPS-RADIUS-Servers auf einem Computer in der
ersten Gesamtstruktur die Schritte, die in den folgenden Unterabschnitten des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels beschrieben wurden:
»Beschaffen und Installieren eines Computerzertifikats«
»Konfigurieren der NPS-Servereigenschaften«
»Konfigurieren der entsprechenden Richtlinien«
Konfigurieren Sie dann den primären NPS-RADIUS-Server in der ersten Gesamtstruktur mit den
primären und sekundären NPS-RADIUS-Proxys als RADIUS-Clients. Befolgen Sie dazu die Schritte
aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels. (Statt der Zugriffsserver fügen Sie den primären und
den sekundären NPS-RADIUS-Proxy als RADIUS-Clients hinzu.)
Konfigurieren des sekundären NPS-RADIUS-Servers auf einem anderen Computer
in der ersten Gesamtstruktur
Zur Konfiguration des sekundären NPS-RADIUS-Servers auf einem anderen Computer der ersten
Gesamtstruktur folgen Sie der Anleitung aus dem Abschnitt »Konfigurieren des sekundären NPSServers« dieses Kapitels.
Konfigurieren des primären NPS-RADIUS-Servers auf einem Computer
in der zweiten Gesamtstruktur
Um den primären NPS-RADIUS-Server auf einem Computer aus der zweiten Gesamtstruktur einzurichten, befolgen Sie die Schritte aus den folgenden Unterabschnitten des Abschnitts »Konfigurieren
des primären NPS-Servers« dieses Kapitels und führen die Konfiguration auf einem Computer aus der
zweiten Gesamtstruktur durch:
Dann konfigurieren Sie den primären NPS-RADIUS-Server in der zweiten Gesamtstruktur mit den
primären und sekundären NPS-RADIUS-Proxys als RADIUS-Clients. Befolgen Sie dazu die Schritte
aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels (statt der Zugriffsserver fügen Sie den primären und
den sekundären NPS-RADIUS-Proxy als RADIUS-Clients hinzu).
267
Konfigurieren des sekundären NPS-RADIUS-Servers auf einem anderen Computer
in der zweiten Gesamtstruktur
Zur Konfiguration des sekundären NPS-RADIUS-Servers auf einem anderen Computer der zweiten
Gesamtstruktur folgen Sie der Anleitung aus dem Abschnitt »Konfigurieren des sekundären NPSServers« dieses Kapitels.
Konfigurieren des primären NPS-RADIUS-Proxys
Der Computer, der als primärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf einem
Dateiserver installieren. Da der primäre NPS-RADIUS-Proxycomputer keine Authentifizierung oder
Autorisierung von Netzwerkzugriffsverbindungen durchführt, kann er in einer beliebigen der beiden
Gesamtstrukturen Mitglied einer Domäne sein.
So konfigurieren Sie auf dem primären NPS-RADIUS-Proxy RADIUS-Ports und Clients
1. Konfigurieren Sie im Netzwerkrichtlinienserver-Snap-In für den primären NPS-RADIUS-Proxy
nach Bedarf zusätzliche UDP-Ports für RADIUS-Nachrichten, die von den Zugriffsservern gesendet werden. Standardmäßig verwendet NPS die UDP-Ports 1812 und 1645 zur Authentifizierung
und die UPD-Port 1813 und 1646 zur Kontoführung.
2. Fügen Sie Zugriffsserver als RADIUS-Clients hinzu. Orientieren Sie sich dabei an der Anleitung
aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels.
So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer RADIUS-Remoteservergruppe,
die den NPS-RADIUS-Servern in der ersten Gesamtstruktur entspricht
1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten
RADIUS-Clients und Server.
2. Klicken Sie RADIUS-Remoteservergruppen mit der rechten Maustaste an und klicken Sie auf
Neu.
3. Geben Sie im Textfeld Gruppenname des Dialogfelds Neue RADIUS-Remoteservergruppe den
Gruppennamen für die NPS-RADIUS-Server aus der ersten Gesamtstruktur ein (zum Beispiel
RADIUS-Server in Gesamtstruktur 1). Klicken Sie auf Hinzufügen.
4. Geben Sie auf der Registerkarte Adresse den DNS-Namen, die IPv4-Adresse oder die IPv6-Adresse
des primären NPS-RADIUS-Servers aus der ersten Gesamtstruktur ein. Wenn Sie einen Namen
eingeben, klicken Sie auf Überprüfen, um den Namen in eine IP-Adresse aufzulösen.
5. Geben Sie auf der Registerkarte Authentifizierung/Kontoführung den gemeinsamen geheimen
Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den primären NPS-Server
aus der ersten Gesamtstruktur ein.
6. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen.
7. Klicken Sie im Dialogfeld Neue RADIUS-Remoteservergruppe auf Hinzufügen.
des sekundären NPS-RADIUS-Servers aus der ersten Gesamtstruktur ein.
Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den sekundären NPSServer aus der ersten Gesamtstruktur ein.
268
10. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen, und klicken
Sie dann erneut auf OK.
So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer RADIUS-Remoteservergruppe,
die den NPS-RADIUS-Servern in der zweiten Gesamtstruktur entspricht
1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten
RADIUS-Clients und Server.
Neu.
3. Geben Sie im Textfeld Gruppenname des Dialogfelds Neue RADIUS-Remoteservergruppe den
Gruppennamen für die NPS-RADIUS-Server aus der zweiten Gesamtstruktur ein (zum Beispiel
RADIUS-Server in Gesamtstruktur 2). Klicken Sie auf Hinzufügen.
des primären NPS-RADIUS-Servers aus der zweiten Gesamtstruktur ein. Wenn Sie einen Namen
eingeben, klicken Sie auf Überprüfen, um den Namen in eine IP-Adresse aufzulösen.
Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den primären NPS-Server
aus der zweiten Gesamtstruktur ein.
7. Klicken Sie im Dialogfeld Neue RADIUS-Remoteservergruppe auf Hinzufügen.
des sekundären NPS-RADIUS-Servers aus der zweiten Gesamtstruktur ein.
Schlüssel für die primären und sekundären NPS-RADIUS-Proxys und den sekundären NPSServer aus der zweiten Gesamtstruktur ein.
10. Klicken Sie auf OK, um den Server zur Liste der Server in der Gruppe hinzuzufügen, und klicken
Sie dann erneut auf OK.
So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer Verbindungsanforderungsrichtlinie zur Weiterleitung von RADIUS-Anforderungsnachrichten an die NPS-RADIUS-Server
aus der ersten Gesamtstruktur
1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten Richtlinien, klicken Sie Verbindungsanforderungsrichtlinien mit der rechten Maustaste an und klicken
Sie auf Neu.
2. Geben Sie auf der Seite Namen der Verbindungsanforderungsrichtlinie und Verbindungstyp angeben im Textfeld Richtlinienname einen Namen für die Verbindungsanforderungsrichtlinie ein
(zum Beispiel: Anfragen an die RADIUS-Server aus Gesamtstruktur 1 weiterleiten). Klicken
Sie auf Weiter.
3. Klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen.
4. Klicken Sie im Dialogfeld Bedingung auswählen mit einem Doppelklick auf Benutzername.
5. Geben Sie im Dialogfeld Benutzername den Bereichsnamen für alle Namen aus der ersten Gesamtstruktur ein (zum Beispiel: forest1.example.com), klicken Sie auf OK und dann auf Weiter.
6. Wählen Sie auf der Seite Verbindungsanforderungsweiterleitung angeben die Option Anforderungen an folgende RADIUS-Remoteservergruppe zur Authentifizierung weiterleiten und wählen Sie
dann in der Dropdownliste die RADIUS-Remoteservergruppe mit den NPS-RADIUS-Servern aus
269
der ersten Gesamtstruktur aus (zum Beispiel: RADIUS-Server in Gesamtstruktur 1). Klicken
Sie auf Weiter.
7. Klicken Sie auf der Seite Einstellungen konfigurieren auf Weiter.
8. Klicken Sie auf der Seite Assistent zum Abschließen einer Verbindungsanforderungsrichtlinie auf
Fertig stellen.
So konfigurieren Sie den primären NPS-RADIUS-Proxy mit einer Verbindungsanforderungsrichtlinie zur Weiterleitung von RADIUS-Anforderungsnachrichten an die NPS-RADIUS-Server
aus der zweiten Gesamtstruktur
1. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins Richtlinien, klicken
Sie Verbindungsanforderungsrichtlinien mit der rechten Maustaste an und klicken Sie auf Neu.
(zum Beispiel: Anfragen an die RADIUS-Server aus Gesamtstruktur 2 weiterleiten). Klicken
Sie auf Weiter.
5. Geben Sie im Dialogfeld Benutzername den Bereichsnamen für alle Namen aus der zweiten Gesamtstruktur ein (zum Beispiel: forest2.example.com), klicken Sie auf OK und dann auf Weiter.
dann in der Dropdownliste die RADIUS-Remoteservergruppe mit den NPS-RADIUS-Servern aus
der zweiten Gesamtstruktur aus (zum Beispiel: RADIUS-Server in Gesamtstruktur 2). Klicken
Sie auf Weiter.
Fertig stellen.
Konfigurieren des sekundären NPS-RADIUS-Proxys
Der Computer, der als sekundärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die
Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf
einem Dateiserver installieren. Wie der primäre NPS-RADIUS-Proxy kann auch der sekundäre NPSRADIUS-Proxycomputer in einer der beiden Gesamtstrukturen Mitglied einer Domäne sein, da er
keine Authentifizierung oder Autorisierung von Netzwerkzugriffsverbindungen durchführt.
So konfigurieren Sie den sekundären NPS-RADIUS-Proxy auf einem anderen Computer
1. Geben Sie auf dem primären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den
Befehl netsh nps export Pfad\Datei exportpsk=yes.
Dieser Befehl speichert die Konfigurationseinstellungen einschließlich der gemeinsamen geheimen RADIUS-Schlüssel in einer Textdatei. Als Pfad kann ein relativer oder absoluter Pfad oder
ein Netzwerkpfad angegeben werden.
2. Kopieren Sie die in Schritt 1 erstellte Datei auf den sekundären NPS-RADIUS-Proxy.
3. Geben Sie auf dem sekundären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den
Befehl netsh nps import Pfad\Datei.
270
Dieser Befehl importiert alle Einstellungen, die auf dem primären NPS-RADIUS-Proxy vorgenommen wurden, auf den sekundären NPS-RADIUS-Proxy.
Wegen der Standardeinstellungen für den Lastausgleich unter den RADIUS-Servern aus den beiden
RADIUS-Remoteservergruppen verteilt jeder NPS-RADIUS-Proxy die Authentifizierungsanfragen
gleichmäßig auf die beiden NPS-Server in jeder Gesamtstruktur.
Konfigurieren der RADIUS-Authentifizierung auf den Zugriffsservern
Konfigurieren Sie den RADIUS-Client auf Ihren Zugriffsservern mit folgenden Einstellungen:
Die IP-Adresse oder den Namen eines primären RADIUS-Servers, den gemeinsamen geheimen
Schlüssel, die UDP-Ports für die Authentifizierung und Kontoführung und die Fehlererkennungseinstellungen
Die IP-Adresse oder den Namen eines sekundären RADIUS-Servers, den gemeinsamen geheimen
Um den RADIUS-Datenverkehr gleichmäßig zwischen den primären und sekundären NPS-RADIUSProxys aufzuteilen, konfigurieren Sie die Hälfte der Zugriffsserver mit dem primären NPS-RADIUSProxy als primären RADIUS-Server und mit dem sekundären NPS-RADIUS-Proxy als sekundären
RADIUS-Server. Konfigurieren Sie die andere Hälfte der Zugriffsserver mit dem sekundären NPSRADIUS-Proxy als primären RADIUS-Server und mit dem primären NPS-RADIUS-Proxy als
sekundären RADIUS-Server.
Verwenden von RADIUS-Proxys zur Skalierung
von Authentifizierungen
Wenn Sie für eine große Zahl von Zugriffsservern eine Authentifizierung auf der Basis von Zertifikaten durchführen oder für eine große NAP-Bereitstellung eine Authentifizierung durchführen, kann der
RADIUS-Authentifizierungsdatenverkehr, der erforderlich ist, um den Zugriffsclients die Verbindung
zu ermöglichen, einen beträchtlichen Umfang annehmen. In einer großen Bereitstellung ist es am besten, den Authentifizierungsdatenverkehr auf mehrere NPS-Servercomputer aufzuteilen. Da Sie sich
nicht darauf verlassen können, dass die Zugriffsserver ihren Authentifizierungsdatenverkehr von sich
aus gleichmäßig auf mehrere RADIUS-Server verteilen, können zwischengeschaltete NPS-RADIUSProxys diese Aufgabe übernehmen.
Ohne die RADIUS-Proxys sendet jeder Zugriffsserver seine RADIUS-Anfragen an einen oder mehrere RADIUS-Server und erkennt selbst, welche RADIUS-Server nicht erreichbar sind. Vielleicht verteilt der Zugriffsserver von sich aus den RADIUS-Datenverkehr gleichmäßig auf mehrere RADIUSServer, vielleicht auch nicht. Durch den Einsatz von NPS-RADIUS-Proxys lässt sich erreichen, dass
alle NPS-Server der Organisation gleichmäßig mit dem Datenverkehr für Authentifizierung, Autorisierung und Kontoführung belastet werden. Außerdem gibt es eine einheitliche Methode zur Fehlererkennung und zum Failover und Failback der RADIUS-Server. Mit Failover ist gemeint, dass es
erkannt wird, wenn ein RADIUS-Server nicht erreichbar ist. Seine Verwendung wird anschließend
vermieden. Failback bedeutet, dass ein zuvor nicht erreichbarer RADIUS-Server wieder verfügbar ist
und verwendet wird.
Die folgende Konfiguration ist für eine Organisation vorgesehen, die Folgendes einsetzt:
Active Directory-Domänen Active Directory-Domänen enthalten die Benutzerkonten, Kennwörter
und Einwähleigenschaften, die jeder NPS-RADIUS-Server zur Authentifizierung der Anmeldeinformationen eines Benutzers und zur Überprüfung der Autorisierung braucht.

271
Mehrere NPS-Server Um eine große Belastung durch den Datenverkehr für die RADIUS-Authentifizierung, Autorisierung und Kontoführung bewältigen zu können, werden mehrere NPS-Server
eingesetzt.
Netzwerkrichtlinien Netzwerkrichtlinien werden verwendet, um den Netzwerkzugriff auf der
Basis von Gruppenmitgliedschaften zu authentifizieren und zu autorisieren.
Zwei NPS-RADIUS-Proxys Zwei NPS-RADIUS-Proxys können eine höhere Fehlertoleranz als
ein einzelner Proxy bieten, was die Bearbeitung der RADIUS-Anfragen von den Zugriffsservern
betrifft.
Abbildung 9.5 zeigt, wie der RADIUS-Datenverkehr von Zugriffsservern mit zwei NPS-RADIUSProxys auf mehrere NPS-Server verteilt wird.
Abbildung 9.5 Verwenden von NPS-RADIUS-Proxys zur gleichmäßigen Verteilung des RADIUS-Datenverkehrs
auf mehrere NPS-RADIUS-Server
Um diese Konfiguration bereitzustellen, gehen Sie folgendermaßen vor:
1. Konfigurieren Sie die Zertifikatinfrastruktur.
2. Konfigurieren Sie Active Directory für Konten und Gruppen.
3. Konfigurieren Sie NPS auf mehreren Computern als RADIUS-Server.
4. Konfigurieren Sie den primären NPS-RADIUS-Proxy.
5. Konfigurieren Sie den sekundären NPS-RADIUS-Proxy.
6. Konfigurieren Sie die RADIUS-Authentifizierung und Kontoführung auf den Zugriffsservern.
Konfigurieren der Zertifikatinfrastruktur
Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen der Public-Key-Infrastruktur« des Abschnitts »Bereitstellungsschritte« dieses Kapitels.
272
Konfigurieren von Active Directory für Konten und Gruppen
Folgen Sie der Beschreibung im Unterabschnitt »Bereitstellen von Active Directory« des Abschnitts
Konfigurieren von NPS auf mehreren Computern als RADIUS-Server
Um auf den vorgesehenen NPS-Servercomputern NPS zu konfigurieren, führen Sie auf jedem NPSServercomputer die Schritte aus, die in folgenden Unterabschnitten des Abschnitts »Konfigurieren des
primären NPS-Servers« dieses Kapitels beschrieben werden:
Konfigurieren Sie dann jeden NPS-Servercomputer mit den primären und sekundären NPS-RADIUSProxys als RADIUS-Clients. Führen Sie dazu die Schritte aus, die im Unterabschnitt »Konfigurieren
von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses
Kapitels beschrieben werden. (Fügen Sie statt der Zugriffsserver den primären und den sekundären
NPS-RADIUS-Proxy als RADIUS-Clients hinzu.)
Hinweis Sie können jeden NPS-RADIUS-Server auch separat konfigurieren, statt einen ersten NPSRADIUS-Server zu konfigurieren und dessen Konfiguration auf die anderen NPS-RADIUS-Server zu kopieren. Auf diese Weise erreichen Sie, dass sich zwischen den NPS-RADIUS-Proxys und NPS-RADIUSServern verschiedene gemeinsame geheime RADIUS-Schlüssel verwenden lassen.
Konfigurieren des primären NPS-RADIUS-Proxys
Der Computer, der als primärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf einem
Dateiserver installieren.
So konfigurieren Sie den primären NPS-RADIUS-Proxy
1. Konfigurieren Sie im Netzwerkrichtlinienserver-Snap-In bei Bedarf zusätzliche UDP-Ports für die
RADIUS-Nachrichten, die von den Zugriffsservern gesendet werden.
Standardmäßig verwendet NPS die UDP-Ports 1812 und 1645 zur Authentifizierung und die UPDPorts 1813 und 1646 zur Kontoführung.
2. Fügen Sie Zugriffsserver als RADIUS-Clients hinzu. Orientieren Sie sich dabei an der Anleitung
aus dem Unterabschnitt »Konfigurieren von NPS mit RADIUS-Clients« des Abschnitts »Konfigurieren des primären NPS-Servers« dieses Kapitels.
3. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins den Knoten RADIUSClients und Server.
Neu.
5. Geben Sie im Dialogfeld Neue RADIUS-Remoteservergruppe den Gruppennamen für alle NPSRADIUS-Server ein (zum Beispiel: RADIUS-Server in der Domäne contoso.com).
6. Klicken Sie auf Hinzufügen.
eines NPS-RADIUS-Servers ein. Wenn Sie einen Namen eingeben, klicken Sie auf Überprüfen,
um den Namen in eine IP-Adresse aufzulösen.
273
Schlüssel für den primären und den sekundären NPS-RADIUS-Proxy und den NPS-RADIUSServer ein.
10. Wiederholen Sie die Schritte 6 bis 9 für jeden NPS-RADIUS-Server und klicken Sie dann auf OK.
11. Erweitern Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins Richtlinien, klicken
Sie Verbindungsanforderungsrichtlinien mit der rechten Maustaste an und klicken Sie dann auf
Neu.
(zum Beispiel: Anfragen an RADIUS-Server der Domäne contoso.com weiterleiten). Klicken
Sie auf Weiter.
15. Geben Sie im Dialogfeld Benutzername den Bereichsnamen für alle Namen aus der zweiten Gesamtstruktur ein (zum Beispiel: forest2.example.com), klicken Sie auf OK und dann auf Weiter.
dann in der Dropdownliste die Remote-RADIUS-Servergruppe für alle NPS-RADIUS-Server in
der Domäne. Klicken Sie auf Weiter.
Fertig stellen.
Konfigurieren des sekundären NPS-RADIUS-Proxys
Der Computer, der als sekundärer NPS-RADIUS-Proxy dient, braucht nicht ausschließlich für die
Weiterleitung von RADIUS-Nachrichten reserviert zu werden. Sie können NPS zum Beispiel auf
einem Dateiserver installieren.
So konfigurieren Sie den sekundären NPS-RADIUS-Proxy auf einem anderen Computer
1. Geben Sie auf dem primären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den
Befehl netsh nps export Pfad\Datei exportpsk=yes.
Dieser Befehl speichert die Konfigurationseinstellungen, einschließlich der gemeinsamen geheimen RADIUS-Schlüssel, in einer Textdatei. Als Pfad kann ein relativer oder absoluter Pfad oder
ein Netzwerkpfad angegeben werden.
2. Kopieren Sie die in Schritt 1 erstellte Datei auf den sekundären NPS-RADIUS-Proxycomputer.
3. Geben Sie auf dem sekundären NPS-RADIUS-Proxycomputer in einer Eingabeaufforderung den
Befehl netsh nps import Pfad\Datei. Dieser Befehl importiert alle Einstellungen, die auf dem
primären NPS-RADIUS-Proxy vorgenommen wurden, auf den sekundären NPS-RADIUS-Proxy.
Wegen der Standardeinstellungen für den Lastausgleich unter den RADIUS-Servern in der RADIUSRemoteservergruppe verteilt jeder NPS-RADIUS-Proxy die Authentifizierungsanfragen gleichmäßig
auf alle NPS-RADIUS-Server.
274
Konfigurieren der RADIUS-Authentifizierung auf den Zugriffsservern
Konfigurieren Sie den RADIUS-Client auf Ihren Zugriffsservern mit folgenden Einstellungen:
Die IP-Adresse oder den Namen eines primären RADIUS-Servers, den gemeinsamen geheimen
Die IP-Adresse oder den Namen eines sekundären RADIUS-Servers, den gemeinsamen geheimen
Um den RADIUS-Datenverkehr gleichmäßig zwischen den primären und sekundären NPS-RADIUSProxys aufzuteilen, konfigurieren Sie die Hälfte der Zugriffsserver mit dem primären NPS-RADIUSProxy als primären RADIUS-Server und mit dem sekundären NPS-RADIUS-Proxy als sekundären
RADIUS-Server. Konfigurieren Sie die andere Hälfte der Zugriffsserver mit dem sekundären NPSRADIUS-Proxy als primären RADIUS-Server und mit dem primären NPS-RADIUS-Proxy als
sekundären RADIUS-Server.
Wartung
Dieser Abschnitt beschreibt die Wartungsarbeiten für die folgenden Komponenten einer WindowsAuthentifizierungsinfrastruktur für den Netzwerkzugriff:
Active Directory
PKI
Gruppenrichtlinien
RADIUS
Active Directory
Es geht über den Rahmen dieses Buchs hinaus, die Wartungsarbeiten für eine Active Directory-Infrastruktur einer Organisation beliebiger Größe zu beschreiben. Ausführliche Informationen finden Sie
in Windows Server 2008 Active Directory – Die technische Referenz aus der technischen Referenz zu
Windows Server 2008, im Hilfe und Support-System von Windows Server 2008 und unter
http://www.microsoft.com/ad.
Die wichtigsten Aspekte bei der Wartung von Active Directory für eine Windows-basierte Authentifizierungsinfrastruktur für Netzwerkzugriffe sind folgende:
Wenn Sie Benutzer- oder Computerkonten hinzufügen, sorgen Sie dafür, dass die neuen Konten
über die entsprechenden Mitgliedschaften in den richtigen Sicherheitsgruppen für Netzwerkzugriffe verfügen. Wird der drahtlose Zugriff zum Beispiel durch eine Mitgliedschaft in der Gruppe
DrahtlosBenutzer möglich, fügen Sie neue Benutzer- oder Computerkonten zu dieser Gruppe oder
zu einer Gruppe hinzu, die Mitglied dieser Gruppe ist.
Wenn Sie neue Domänen oder Gesamtstrukturen hinzufügen, sorgen Sie dafür, dass die Vertrauensstellungen eingerichtet werden, die erforderlich sind, damit NPS-RADIUS-Server Anmeldeinformationen für Konten überprüfen können. Fügen Sie außerdem die Computerkonten der NPSRADIUS-Server in den neuen Domänen zur Sicherheitsgruppe RAS- und IAS-Server hinzu. Wenn
keine Vertrauensstellungen mit den neuen Domänen oder Gesamtstrukturen eingerichtet werden
sollen, verwenden Sie für die domänen- oder gesamtstrukturübergreifende Authentifizierung NPSRADIUS-Proxys. Weitere Informationen finden Sie im Abschnitt »Verwenden von RADIUSProxys für eine gesamtstrukturübergreifende Authentifizierung« dieses Kapitels.
Wartung
275
PKI
Es geht über den Rahmen dieses Buchs hinaus, die Wartungsarbeiten an einem PKI-System für eine
Organisation beliebiger Größe zu beschreiben. Informationen finden Sie im Hilfe und Support-System
von Windows Server 2008 und unter http://www.microsoft.com/pki.
Gruppenrichtlinien
Es geht über den Rahmen dieses Buchs hinaus, die Wartungsarbeiten an den Gruppenrichtlinien für
eine Organisation beliebiger Größe zu beschreiben. Ausführliche Informationen finden Sie in Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista, im Hilfe und SupportSystem von Windows Server 2008 und unter http://www.microsoft.com/gp.
Der wichtigste Aspekt bei der Wartung der Gruppenrichtlinien für eine Windows-basierte Authentifizierungsinfrastruktur für Netzwerkzugriffe ist:
Wenn Sie neue Domänen oder Gesamtstrukturen hinzufügen, sorgen Sie dafür, dass die richtigen
Gruppenrichtlinienobjekte mit den entsprechenden Active Directory-Containern verknüpft werden, damit in diesen Containern die gewünschten Konfigurationseinstellungen und die Richtlinien
für die automatische Registrierung von Zertifikaten wirksam werden.
RADIUS
Die folgenden Abschnitte beschreiben die Wartung der RADIUS-Komponente der Netzwerkzugriffsinfrastruktur.
Hinzufügen eines neuen NPS-RADIUS-Servers zur RADIUS-Infrastruktur
Wenn Sie einen neuen NPS-RADIUS-Server zur RADIUS-Infrastruktur hinzufügen, gehen Sie folgendermaßen vor:
1. Registrieren Sie den neuen NPS-Server in seiner Standarddomäne.
2. Registrieren Sie den neuen NPS-Server nach Bedarf in anderen Domänen.
3. Wenn der neue NPS-Server als sekundärer RADIUS-Server eingesetzt wird, beschaffen und installieren Sie bei Bedarf ein Computerzertifikat und kopieren die Konfiguration des primären
RADIUS-Servers auf den neuen NPS-Server.
4. Handelt es sich bei dem neuen NPS-Server um einen primären RADIUS-Server, gehen Sie folgendermaßen vor:
Beschaffen und installieren Sie ein Computerzertifikat.
Konfigurieren Sie die NPS-Servereigenschaften.
Konfigurieren Sie NPS mit den RADIUS-Clients.
Konfigurieren Sie NPS mit den entsprechenden Netzwerkrichtlinien.
5. Konfigurieren Sie die Zugriffsserver (RADIUS-Clients) so, dass sie den neuen NPS-Server verwenden.
6. Falls der RADIUS-Datenverkehr mit IPsec geschützt wird, aktualisieren Sie die Verbindungssicherheitsregeln für Windows-Firewall mit erweiterter Sicherheit so, dass der RADIUS-Datenverkehr zu und von dem neuen NPS-Server ebenfalls geschützt wird.
Anleitungen für diese Vorgänge finden Sie im Unterabschnitt »RADIUS-Server« des Abschnitts
276
Entfernen eines NPS-RADIUS-Servers aus der RADIUS-Infrastruktur
Zur Entfernung eines NPS-RADIUS-Servers aus der RADIUS-Infrastruktur gehen Sie folgendermaßen vor:
1. Ändern Sie die Konfiguration Ihrer Zugriffsserver so ab, dass die Verweise auf den zu entfernenden NPS-Server entfernt werden.
2. Entfernen Sie das Computerkonto des zu entfernenden NPS-Servers in der Domäne, zu der der
Server gehört, aus der Sicherheitsgruppe RAS- und IAS-Server.
3. Entfernen Sie das Computerkonto des zu entfernenden NPS-Servers in den anderen Domänen aus
der Sicherheitsgruppe RAS- und IAS-Server.
4. Wird für den Schutz des Datenverkehrs mit dem zu entfernenden NPS-Server IPsec verwendet,
akutalisieren Sie die Verbindungssicherheitsregeln von Windows-Firewall mit erweiterter Sicherheit so, dass der Schutz für den NPS-Server aufgehoben wird.
Warten der RADIUS-Clients
Wenn Sie einen neuen Zugriffsserver bereitstellen, beispielsweise einen neuen drahtlosen Zugriffspunkt für Ihr Drahtlosnetzwerk, gehen Sie folgendermaßen vor:
1. Fügen Sie den Zugriffsserver als RADIUS-Client zu Ihren NPS-RADIUS-Servern oder zu Ihren
NPS-RADIUS-Proxys hinzu.
2. Stellen Sie den Zugriffsserver so ein, dass er Ihre NPS-RADIUS-Server oder Ihre NPS-RADIUSProxys verwendet.
3. Wird der Datenverkehr zwischen dem Zugriffsserver und den RADIUS-Servern oder -Proxys mit
IPsec geschützt, aktualisieren Sie die Verbindungssicherheitsregeln von Windows-Firewall mit
erweiterter Sicherheit so, dass der RADIUS-Datenverkehr mit dem neuen Zugriffsserver ebenfalls
geschützt wird.
Wenn Sie einen Zugriffsserver entfernen, gehen Sie folgendermaßen vor:
1. Löschen Sie den Zugriffsserver als RADIUS-Client auf Ihren NPS-RADIUS-Servern oder Ihren
NPS-RADIUS-Proxys.
2. Wird der Datenverkehr zwischen dem Zugriffsserver und den RADIUS-Servern oder -Proxys mit
IPsec geschützt, aktualisieren Sie die Verbindungssicherheitsregeln von Windows-Firewall mit
erweiterter Sicherheit so, dass der Schutz des RADIUS-Datenverkehrs mit dem zu entfernenden
Zugriffsserver aufgehoben wird.
Problembehandlungstools
Dieser Abschnitt beschreibt die Problembehandlungstools für die folgenden Komponenten einer
Windows-Authentifizierungsinfrastruktur für den Netzwerkzugriff oder nennt Informationsquellen,
in denen diese Tools beschrieben werden:
Active Directory
PKI
Gruppenrichtlinien
RADIUS
Problembehandlungstools
277
Active Directory
Es geht über den Rahmen dieses Buchs hinaus, die Problembehandlungstools für Active Directory
ausführlich zu beschreiben. Informationen finden Sie in Windows Server 2008 Active Directory – Die
technische Referenz aus der technischen Referenz zu Windows Server 2008, im Hilfe und SupportSystem von Windows Server 2008 und unter http://www.microsoft.com/ad.
Die Behebung von Active Directory-spezifischen Problemen wird nach Bedarf in den weiteren Kapiteln über die Behebung von Problemen beim Netzwerkzugriff oder mit NAP beschrieben.
PKI
Es geht über den Rahmen dieses Buchs hinaus, die Problembehandlungstools für eine PKI auf Windows-Basis ausführlich zu beschreiben. Informationen finden Sie in dem Buch Microsoft Windows
Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press, 2008), im Hilfe und
Support-System von Windows Server 2008 und unter http://www.microsoft.com/pki.
Die Behebung von Problemen, die sich mit der PKI und digitalen Zertifikaten ergeben können, wird
nach Bedarf in den späteren Kapiteln über die Behebung von Problemen beim Netzwerkzugriff oder
mit NAP beschrieben.
Gruppenrichtlinien
Es geht über den Rahmen dieses Buchs hinaus, die Problembehandlungstools für Gruppenrichtlinien
ausführlich zu beschreiben. Informationen finden Sie in dem Buch Windows Group Policy Resource
Kit: Windows Server 2008 and Windows Vista von Derek Melber, Group Policy MVP un dem Windows Group Policy Team (Microsoft Press, 2008), im Hilfe und Support-System von Windows Server
2008 und unter http://www.microsoft.com/gp.
Die Behebung von gruppenrichtlinienspezifischen Problemen wird nach Bedarf in den späteren Kapiteln über die Behebung von Problemen beim Netzwerkzugriff oder mit NAP beschrieben.
RADIUS
Damit Sie zur Behebung von Problemen mit NPS weitere Informationen sammeln können, stellt
Microsoft folgende Problembehandlungstools zur Verfügung:
NPS-Ereignisprotokollierung und die Windows-Ereignisanzeige
Network Monitor 3.1
Leistungsindikatoren
SNMP-Dienst
NPS-Ereignisprotokollierung und die Windows-Ereignisanzeige
Mit der Ereignisanzeige aus der Programmgruppe Verwaltung können Sie Informationen über Hardware- und Softwareprobleme überprüfen und alle Sicherheitsereignisse überwachen, einschließlich
der Informationsmeldungen, Warnungen und Fehlermeldungen.
Bei der Behebung von Fehlern, die bei NPS-Authentifizierungsversuchen auftreten, erhalten Sie von
den Einträgen über die NPS-Ereignisse unter Windows-Protokolle\Sicherheit nützliche Informationen.
Die Durchsicht der Einträge über Authentifizierungsversuche in diesem Protokoll ist sinnvoll, wenn
es Probleme mit Netzwerkrichtlinien gibt. Wenn Sie mehrere Netzwerkrichtlinien konfiguriert haben,
können Sie das Sicherheitsereignisprotokoll verwenden, um den Namen der Netzwerkrichtlinie zu
278
ermitteln, die den Verbindungsversuch angenommen oder abgewiesen hat. Die Aktivierung der NPSEreignisprotokollierung und die Durchsicht der NPS-Authentifizierungsereigniseinträge im Sicherheitsprotokoll ist das nützlichste Hilfsmittel zur Behebung von Problemen mit fehlgeschlagenen NPSAuthentifizierungen. Zur Anzeige der NPS-Ereignisse stellen Sie einen Filter auf die Ereignisquelle
Microsoft Windows security auditing und auf die Aufgabenkategorie Netzwerkrichtlinienserver ein.
Standardmäßig werden beide Eintragsarten (abgelehnte Authentifizierungsanforderungen und erfolgreiche Authentifizierungsanforderungen) aktiviert.
So konfigurieren Sie NPS für die Ereignisprotokollierung
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins mit der rechten Maustaste auf NPS und klicken Sie dann auf Eigenschaften.
2. Wählen Sie auf der Registerkarte Allgemein jedes gewünschte Kontrollkästchen und klicken Sie
dann auf OK.
Network Monitor 3.1
Sie können den Network Monitor 3.1 (oder höher) oder einen kommerziellen Paketanalysator (solche
Programme werden auch Netzwerk-Sniffer genannt) verwenden, um RADIUS-Authentifizierungsund -Kontoführungsnachrichten aufzufangen und zu untersuchen, die zum NPS-Server gesendet werden oder von ihm stammen. Im Network Monitor 3.1 gibt es einen RADIUS-Parser, mit dessen Hilfe
Sie die Attribute von RADIUS-Nachrichten anzeigen und Probleme mit dem Netzwerkzugriff oder
mit NAP beheben können.
Auf der CD Sie erreichen die Downloadwebsite für den Network Monitor über einen Link, den Sie auf der
Begleit-CD dieses Buchs finden.
Zuverlässigkeits- und Leistungsindikatoren
Sie können das Zuverlässigkeits- und Leistungsüberwachungs-Snap-In verwenden, um die Ressourcenverwendung bestimmter Komponenten und Prozesse zu überprüfen. Im Systemmonitor, der im
Zuverlässigkeits- und Leistungsüberwachungs-Snap-In zu finden ist, können Sie Leistungsdaten als
Diagramme darstellen und Berichte zusammenstellen, mit denen sich überprüfen lässt, wie effizient
Ihre NPS-Server sind. Außerdem lassen sich potenzielle Leistungsprobleme erkennen.
Im Systemmonitor können Sie zum Beispiel folgende NPS-Leistungsobjekte überwachen:
NPS-Kontoführungsclients
NPS-Kontoführungsserver
NPS-Authentifizierungsclients
NPS-Authentifizierungsserver
SNMP-Dienst
Sie können den SNMP-Dienst (Simple Network Management Protocol) verwenden, um den Zustand
Ihrer NPS-Server zu überwachen. NPS unterstützt die RADIUS Authentication Server Management
Information Base (MIB), wie in RFC 2619 beschrieben, und die RADIUS Accounting Server MIB,
wie in RFC 2621 beschrieben.
279
Eine Windows-basierte Netzwerkzugriffsinfrastruktur besteht aus den Komponenten Active Directory,
PKI, Gruppenrichtlinien und RADIUS. Active Directory speichert Benutzer- und Computerkonten mit
ihren Eigenschaften und Anmeldeinformationen und bietet eine Infrastruktur für die zentrale Verwaltung von Gruppenrichtlinien für Computer und Benutzer. Eine Public-Key-Infrastruktur gibt digitale
Zertifikate heraus, die in verschiedenen Netzwerkzugriffsszenarios oder NAP-Erzwingungsmethoden
verwendet werden, und überprüft diese Zertifikate. Gruppenrichtlinieneinstellungen können zum Beispiel Computer anweisen, bestimmte Zertifikate automatisch anzufordern oder Einstellungen für
Netzwerkzugriffe und für den Systemschutz vornehmen. RADIUS bietet ein Standardprotokoll und
eine zentrale Verwaltung für die Authentifizierung und Autorisierung von Netzwerkzugriffen und für
die damit verbundene Buchhaltung.
Die Kombination von Active Directory, PKI, Gruppenrichtlinien und RADIUS führt zu einer Infrastruktur auf Basis von Windows, die eine zentrale Authentifizierung von 802.11-Drahtloszugriffen,
802.1X-Kabelnetzwerkzugriffen, DFÜ- oder VPN-Remotezugriffen sowie von Standort-zu-StandortDFÜ- oder -VPN-Verbindungen ermöglicht. Durch die Kombination von PKI, Gruppenrichtlinien und
RADIUS entsteht eine Infrastruktur auf der Basis von Windows, die eine zentrale Konfiguration und
Integritätsprüfung für NAP ermöglicht.
Weitere Informationen über Active Directory finden Sie hier:
Windows Server 2008 Active Directory – Die technische Referenz in der technischen Referenz zu
Windows Server 2008 (Microsoft Press, 2008)
Windows Server 2008 Technical Library unter http://technet.microsoft.com/windowsserver/2008
Das Hilfe und Support-System von Windows Server 2008
Microsoft Windows Server Active Directory (http://www.microsoft.com/ad)
Weitere Informationen über PKI finden Sie hier:
»Public Key Infrastructure for Windows Server« (http://www.microsoft.com/pki)
Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press,
2008)
Weitere Informationen über Gruppenrichtlinien erhalten Sie hier:
Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista (Microsoft Press,
2008)
Microsoft Windows Server Group Policy (http://www.microsoft.com/gp)
Weitere Informationen über RADIUS und NPS finden Sie hier:
Network Policy Server (http://www.microsoft.com/nps)
280
RFC 2548, »Microsoft Vendor-Specific RADIUS Attributes«
RFC 2619, »RADIUS Authentication Server MIB«
RFC 2621, »RADIUS Accounting Server MIB«
RFC 2865, »Remote Authentication Dial-In User Service (RADIUS)«
RFC 2866, »RADIUS Accounting«
RFC 2867, »RADIUS Accounting Modifications for Tunnel Protocol Support«
RFC 2868, »RADIUS Attributes for Tunnel Protocol Support«
RFC 2869, »RADIUS Extensions«
RFC 3162, »RADIUS and IPv6«
RFC 3579, »RADIUS (Remote Authentication Dial In User Service) Support For Extensible
Authentication Protocol (EAP)«
Weitere Informationen über den Netzwerkzugriff auf Windows-Basis finden Sie hier:
Kapitel 12, »Remotezugriff-VPN-Verbindungen«
Kapitel 13, »Standort-zu-Standort-VPN-Verbindungen«
Weitere Informationen über NAP erhalten Sie hier:
Kapitel 14, »Grundlagen des Netzwerkzugriffsschutzes«
Kapitel 15, »Vorbereiten des Netzwerkzugriffsschutzes«
Microsoft Network Access Protection (http://www.microsoft.com/nap)

281
K A P I T E L
1 0
Drahtlose Netzwerke nach IEEE 802.11
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen von geschütztem Drahtloszugriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281
288
314
326
327
347
347
Dieses Kapitel beschreibt, wie man drahtlose lokale LAN-Netzwerke nach IEEE 802.11 plant, bereitstellt und wartet und wie man auftretende Probleme beheben kann (IEEE steht für das Institute of
Electrical and Electronic Engineers, LAN bedeutet Local Area Network). Nach der Bereitstellung
kann ein geschütztes Drahtlosnetzwerk noch auf die 802.1X-Erzwingungsmethoden für den Netzwerkzugriffsschutz (NAP) umgestellt werden, wie in Kapitel 17, »802.1X-Erzwingung«, beschrieben.
In diesem Kapitel wird vorausgesetzt, dass Sie über ein Grundwissen über die Bedeutung der Komponenten Active Directory, Public-Key-Infrastruktur (PKI), Gruppenrichtlinien und RADIUS (Remote
Authentication Dial-In User Service) in einer Authentifizierungsinfrastruktur auf der Basis von Microsoft Windows für den Netzwerkzugriff verfügen. Weitere Informationen finden Sie in Kapitel 9,
»Authentifizierungsinfrastruktur«.
Konzepte
Drahtlose lokale LAN-Netzwerke nach IEEE 802.11 haben folgende Vorteile:
Drahtlose Netzwerke können ein herkömmlich verkabeltes Netzwerk erweitern oder ersetzen,
wenn es zum Beispiel zu teuer, zu umständlich oder unmöglich ist, Kabel zu verlegen. Dazu können zum Beispiel folgende Anwendungsbereiche gehören:
Zur Verbindung von zwei Netzwerken, die sich in zwei verschiedenen Gebäuden befinden, die
durch räumliche, rechtliche oder finanzielle Hindernisse voneinander getrennt sind, können
Sie entweder eine Leitung von einer Telefongesellschaft mieten (dabei treten nicht nur die
Installationskosten auf, sondern auch laufende Kosten), oder Sie erstellen eine Punkt-zuPunkt-Funkverbindung mit der gebräuchlichen Technologie für drahtlose Netzwerke (auch
dabei ergeben sich Installationskosten, aber keine nennenswerten laufenden Kosten). Die
Kostenersparnis kann erheblich sein.
Mit der Technik für drahtlose Netzwerke lassen sich sehr schnell Netzwerke einrichten, die
nur für relativ kurze Zeit gebraucht werden. Sie können zum Beispiel für eine Konferenz oder
für eine Messe ein drahtloses Netzwerk einrichten, ohne die Kabel verlegen zu müssen, die für
herkömmliche Ethernetnetzwerke erforderlich sind.
282
Kapitel 10: Drahtlose Netzwerke nach IEEE 802.11
Für manche Gebäude gelten vielleicht bestimmte Gesetze oder Vorschriften, die das Verlegen
von Netzwerkkabeln verbieten, beispielsweise in Gebäuden, die unter Denkmalschutz stehen.
Dann ist ein drahtloses Netzwerk eine wichtige Alternative.
Das Verzichten auf Kabel ist auch für Privatleute interessant, die in ihrer Wohnung oder in
ihrem Haus mehrere Computer miteinander vernetzen möchten, ohne Löcher zu bohren und Kabel
durch Wände und Decken zu verlegen.
Höhere Produktivität für den mobilen Mitarbeiter, beispielsweise in folgenden Szenarios:
Der mobile Benutzer, der hauptsächlich mit einem Laptop oder Notebook arbeitet, kann seinen Standort wechseln und trotzdem mit dem Netzwerk verbunden bleiben. Dadurch kann der
mobile Benutzer verschiedene Räume aufsuchen – Konferenzräume, Eingangshallen, Lobbys,
Kantinen, Schulungsräume und so weiter – und weiterhin Zugriff auf Daten aus dem Netzwerk haben. Ohne drahtlosen Zugriff muss der Benutzer ein Kabel hinter sich her ziehen oder
mit sich herumtragen und bleibt damit auf die engere Umgebung einer Netzanschlussdose
beschränkt.
Drahtlose Netzwerke sind für Umgebungen gut geeignet, in denen Bewegung erforderlich ist.
Im Einzelhandel ist es zum Beispiel von Vorteil, wenn ein Mitarbeiter Bestandsdaten direkt im
Verkaufsraum mit einem drahtlos vernetzten Laptop oder Palmtop ins Warenwirtschaftssystem
eingeben kann.
Selbst wenn keine Infrastruktur für Drahtlosnetzwerke vorhanden ist, können Laptops mit entsprechenden Drahtlosnetzwerkadaptern eigene Ad-hoc-Netzwerke bilden, um miteinander zu
kommunizieren und Daten auszutauschen.
Einfacher Zugriff auf das Internet an öffentlichen Plätzen über Hotspots. Außerhalb typischer
Firmengelände ist über öffentlich zugängliche drahtlose Netzwerke ein Zugriff auf das Internet
und sogar auf Firmennetzwerke möglich. Flughäfen, Restaurants, Bahnhöfe und andere öffentlich
zugängliche Bereiche in den Städten können so ausgerüstet werden, dass sie diesen Dienst bieten.
Wenn ein Vertreter sein Ziel erreicht und sich vielleicht im Büro eines Kunden mit dem Kunden
trifft, könnte der Vertreter über ein lokales Drahtlosnetzwerk beschränkten Netzwerkzugriff erhalten. Das Netzwerk kann erkennen, dass der Benutzer ein Besucher ist, der nicht zur Firma gehört,
und eine Verbindung herstellen, die zwar vom lokalen Firmennetzwerk isoliert ist, aber dem Besucher trotzdem den Internetzugang ermöglicht. Die Anbieter der drahtlosen Infrastruktur ermöglichen rund um die Welt drahtlose Verbindungen an öffentlich zugänglichen Orten. Viele Flughäfen, Konferenzzentren und Hotels bieten ihren Besuchern den drahtlosen Zugang zum Internet.

Unterstützung der IEEE 802.11-Standards
Die Betriebssysteme Windows Server 2008, Windows Vista, Windows XP und Windows Server 2003
bieten integrierte Unterstützung für drahtlose 802.11-LAN-Netzwerke. Ein installierter 802.11-Drahtlosnetzwerkadapter erscheint im Ordner Netzwerkverbindungen als eine Drahtlosnetzwerkverbindung.
Auch wenn es eine integrierte Unterstützung für 802.11-Drahtlosnetzwerke gibt, hängen die Komponenten von Windows für Drahtlosnetzwerke von folgenden Aspekten ab:
Die Leistungsfähigkeit des Drahtlosnetzwerkadapters Der installierte Drahtlosnetzwerkadapter muss
die Standards für die drahtlosen Netzwerke oder Drahtlossicherheitsstandards unterstützen, die Sie
brauchen. Windows Vista bietet zum Beispiel Konfigurationsoptionen für den Sicherheitsstandard
Wi-Fi Protected Access (WPA). Unterstützt der Drahtlosnetzwerkadapter jedoch WPA nicht, können Sie WPA weder aktivieren noch die WPA-Sicherheitsoptionen einstellen.
Konzepte
283
Die Leistungsfähigkeit des Drahtlosnetzwerkadaptertreibers Damit Sie Einstellungen für ein Drahtlosnetzwerk vornehmen können, muss der Treiber des Drahtlosnetzwerkadapters in der Lage sein,
Windows über seine Fähigkeiten zu informieren. Überprüfen Sie, ob der Treiber Ihres Drahtlosnetzwerkadapters für die Fähigkeiten von Windows Vista oder Windows XP entwickelt wurde,
und überprüfen Sie mit Microsoft Update oder auf der Website des Herstellers des Drahtlosnetzwerkadapters, ob es sich um die neuste Version handelt.
Tabelle 10.1 listet die IEEE-Standards für drahtlose Netzwerke auf, die von Windows und von Drahtlosnetzwerkadaptern unterstützt werden, und nennt die maximale Bitrate, die Frequenzbereiche und
den typischen Verwendungszweck.

Tabelle 10.1 802.11-Standards
Standard
Maximale
Bitrate
Frequenzbereiche
Verwendung
802.11
2 MBit/s
S-Band ISM (Industrial,
Scientific, and Medical),
2,4 bis 2,5 GHz
Veraltet, nicht weit verbreitet
802.11b
11 MBit/s
S-Band ISM
Weit verbreitet
802.11a
54 MBit/s
C-Band ISM (5,725 bis
5,875 GHz)
Wegen der Kosten und beschränkten Reichweite nicht weit
verbreitet
802.11g
54 MBit/s
S-Band ISM
Weit verbreitet. 802.11g-Geräte sind abwärtskompatibel zu
802.11b-Geräten.
802.11n
(noch in der
Entwicklung)
250 MBit/s
C-Band und S-Band
ISM
Erste Geräte sind seit August 2007 verfügbar (vor Verabschiedung des Standards). 802.11n-Geräte können zu Geräten nach den Standards 802.11a, b und g abwärtskompatibel
sein.
Hinweis Das S-Band ISM liegt in einem Frequenzbereich, in dem auch Mikrowellenherde, schnurlose
Telephone, Babymonitore, drahtlose Videokameras und Bluetooth-Geräte arbeiten. Das C-Band ISM verwendet denselben Frequenzbereich, in dem auch neuere schnurlose Telefone und andere Geräte arbeiten.
Daher kann es zu Störungen kommen, wenn mehrere Geräte innerhalb ihrer Reichweiten gleichzeitig dieselben Frequenzen benutzen.
802.11-Betriebsarten
Für drahtlose LAN-Netzwerke sind nach den IEEE 802.11-Standards zwei Betriebsarten möglich:
Infrastrukturmodus Das drahtlose Netzwerk enthält mindestens einen drahtlosen Zugriffspunkt
(Access Point, AP). Dabei handelt es sich um ein Gerät, das drahtlos vernetzte Computer miteinander und mit einem herkömmlich verkabelten Netzwerk wie dem Internet oder einem Intranet
verbinden kann.
Ad-hoc-Modus Das drahtlose Netzwerk enthält keine drahtlosen Zugriffspunkte. Computer, die
mit Drahtlosnetzwerkadaptern ausgerüstet sind, stellen untereinander direkte Verbindungen her
und kommunizieren direkt miteinander. Drahtlosnetzwerke im Ad-hoc-Modus werden in diesem
Kapitel aber nicht näher besprochen.
Unabhängig von der Betriebsart wird ein drahtloses Netzwerk aber durch eine SSID (Service Set Identifier) identifiziert, auch als Name des Drahtlosnetzwerks bekannt. Sie können die SSID eines drahtlosen Zugriffspunkts für den Infrastrukturmodus oder den noch nicht konfigurierten drahtlosen Client
für den Ad-hoc-Modus konfigurieren. Der drahtlose Zugriffspunkt und der drahtlose Client senden
284
regelmäßig ihre SSID aus, damit andere Geräte das drahtlose Netzwerk entdecken und eine Verbindung herstellen können.
Drahtlossicherheit
Die Technologie für drahtlose Netzwerke nach IEEE 802.11 bietet zwar die beschriebenen Vorteile,
aber sie bringt auch Sicherheitsrisiken mit sich, die es in verkabelten Netzwerken nicht gibt. Im Gegensatz zum geschlossenen Kabelsystem eines Ethernetnetzwerks, das sich physisch sichern lässt,
werden Datenpakete im drahtlosen Netzwerk per Funk versendet und erreichen daher auch Bereiche
außerhalb Ihres Büros. Jeder Computer in Reichweite eines drahtlosen (Funk)-Netzwerks kann die
ausgestrahlten Pakete empfangen und eigene Pakete ausstrahlen. Ohne entsprechende Schutzmaßnahmen können Angreifer Ihr drahtloses Netzwerk verwenden, um sich Zugang zu Ihren vertraulichen
Daten zu verschaffen oder um Angriffe auf Ihre Computer oder via Internet auf andere Computer
durchzuführen.
Zum Schutz Ihres Drahtlosnetzwerks müssen Sie Authentifizierungen durchführen und Daten verschlüsseln:
Zur Authentifizierung ist es erforderlich, dass Computer entweder gültige Anmeldeinformationen
übermitteln (beispielsweise einen Benutzernamen und ein Kennwort) oder dass sie beweisen können, dass sie mit einem bestimmten Authentifizierungsschlüssel konfiguriert wurden. Nur dann
wird ihnen erlaubt, Pakete ins Drahtlosnetzwerk zu übermitteln. Die Authentifizierung erschwert
es also unbefugten Benutzern, sich Zugang zu Ihrem Netzwerk zu verschaffen.
Verschlüsselung bedeutet, dass die Inhalte aller drahtlos übermittelten Pakete verschlüsselt werden, sodass nur der vorgesehene Empfänger den Inhalt der Pakete interpretieren kann. Die Verschlüsselung erschwert es Angreifern, die per Funk übermittelten Pakete zu lesen und zu verstehen. Sie erschwert es Angreifern auch, als gültig eingestufte Pakete zu senden und auf Ihre privaten Ressourcen oder auf das Internet zuzugreifen.
Drahtlose IEEE 802.11-LAN-Netzwerke unterstützen folgende Sicherheitsstandards:
IEEE 802.11
IEEE 802.1X
Wi-Fi Protected Access (WPA)
Wi-Fi Protected Access 2 (WPA2)
IEEE 802.11
Der erste IEEE 802.11-Standard sah die Authentifizierungsmethoden Keine Authentifizierung (offen)
und Gemeinsam verwendet sowie die WEP-Verschlüsselung (Wired Equivalent Privacy) vor. Zur Verschlüsselung verwendet WEP Schlüssel, die entweder 40 oder 104 Bit lang sind. Wie sich aber herausgestellt hat, war der ursprüngliche IEEE 802.11-Sicherheitsstandard relativ schwach. Da auch die
Verwaltung der WEP-Verschlüsselungsschlüssel nicht genau festgelegt wurde, war auch die öffentliche und nichtöffentliche Bereitstellung relativ umständlich. Wegen ihrer Anfälligkeit für Angriffe
und der raschen Verbreitung besserer Sicherheitsstandards wie WPA und WPA2 wird von der Verwendung dieser alten Methoden dringend abgeraten.
IEEE 802.1X
IEEE 802.1X war ein Standard, den es bereits für Ethernetswitches gab. Er wurde auf drahtlose
802.11-LANs angepasst, um eine bessere Authentifizierung zu ermöglichen, als mit den ursprünglichen 802.11-Standard möglich war. Die IEEE 802.1X-Authentifizierung wurde für mittlere und
Konzepte
285
große drahtlose LANs mit einer Authentifizierungsinfrastruktur entwickelt, die aus RADIUS-Servern
(Remote Authentication Dial-In User Service) und Kontendatenbanken bestand, wie sie zum Beispiel
in den Active Directory-Domänendiensten vorhanden sind.
IEEE 802.1X verhindert, dass ein drahtloser Knoten einem drahtlosen Netzwerk beitreten kann, bis
der Knoten erfolgreich authentifiziert und autorisiert wurde. Bei der Authentifizierung wird überprüft,
ob Drahtlosclients über gültige Anmeldeinformationen verfügen. Benutzer ohne Anmeldeinformationen können dem drahtlosen Netzwerk nicht beitreten. Bei der Autorisierung wird überprüft, ob der
Drahtlosclient eine Verbindung mit dem drahtlosen Zugriffspunkt herstellen darf. IEEE 802.1X verwendet für den Austausch von Anmeldeinformationen EAP (Extensible Authentication Protocol).
Die Authentifizierung nach IEEE 802.1X kann mit verschiedenen EAP-Authentifizierungsmethoden
erfolgen, beispielsweise mit Benutzerkonten und Kennwörtern oder mit digitalen Zertifikaten.
Zur Behebung der Schlüsselverwaltungsprobleme des ursprünglichen 802.11-Standards kann die
802.1X-Authentifizierung mit dynamisch erstellten WEP-Schlüsseln erfolgen, die zwischen dem
Drahtlosclient und einem RADIUS-Server ausgehandelt werden. Der RADIUS-Server sendet den
WEP-Schlüssel an den drahtlosen Zugriffspunkt, nachdem die Authentifizierung abgeschlossen ist.
Die Kombination von WEP-Verschlüsselung und dynamischen Schlüsseln, die bei jeder 802.1XAuthentifizierung neu bestimmt werden, wird dynamisches WEP genannt.
WPA
802.1X behebt zwar die Probleme des ursprünglichen 802.11-Standards mit der schwachen Authentifizierung und der fehlenden Schlüsselverwaltung, bietet aber keine Lösung für die Schwächen der
WEP-Verschlüsselungsalgorithmen. Während der Entwicklung des Standards IEEE 802.11i für die
Sicherheit im drahtlosen LAN, der im Abschnitt »WAP2« dieses Kapitels beschrieben wird, fanden
sich Hersteller von Geräten für drahtlose Netzwerke zu einer Organisation namens Wi-Fi Alliance zusammen und entwickelten einen Interimsstandard, der Wi-Fi Protected Access (WPA) genannt wird.
WPA ersetzte WEP mit einer wesentlich besseren Verschlüsselungsmethode namens TKIP (Temporal
Key Integrity Protocol). Außerdem erlaubt WPA optional die Verwendung von AES (Advanced
Encryption Standard) zur Verschlüsselung.
WPA ist in zwei verschiedenen Varianten verfügbar:
WPA-Enterprise Verwendet die 802.1X-Authentifizierung und wurde für mittlere bis große Infrastrukturmodusnetzwerke entwickelt.
WPA-Personal Verwendet zur Authentifizierung einen vorinstallierten Schlüssel (Preshared Key,
PSK) und wurde für Infrastrukturmodusnetzwerke in kleinen Firmen und für Heimnetzwerke
entwickelt.
WPA2
Der IEEE 802.11i-Standard ersetzt formal WEP und die anderen Sicherheitsfunktionen des ursprünglichen IEEE 802.11-Standards. Wi-Fi Protected Access 2 (WPA2) ist eine Zertifizierung, die von der
Wi-Fi Alliance vorgenommen werden kann und die Kompatibilität zum IEEE 802.11i-Standard beschreibt. Das Ziel der WPA2-Zertifizierung ist, zusätzliche Sicherheitsfunktionen des IEEE 802.11iStandards zu unterstützen, die von Produkten, die nur WPA unterstützen, nicht geboten werden. WPA2
erfordert zum Beispiel die Unterstützung der TKIP- und AES-Verschlüsselung. WPA umfasst auch
Methoden für den schnellen Wechsel des Zugriffspunkts (fast roaming), wie zum Beispiel das PMKCaching (Pairwise Master Key) und eine Vorauthentifizierung (pre-authentication).
286
So funktioniert’s: Schneller Wechsel des Zugriffspunkts mit WPA2
Wenn ein Drahtlosclient eine Authentifizierung nach 802.1X durchführt, werden zwischen dem
Drahtlosclient und dem drahtlosen Zugriffspunkt eine Reihe von Nachrichten ausgetauscht, um die
Anmeldeinformationen zu übermitteln (802.1X-Authentifizierung) und um die paarigen transienten
Schlüssel zu bestimmen (der 4-Wege-Handshake). Die paarigen transienten Schlüssel werden zur
Verschlüsselung und zur Sicherung der Datenintegrität der WPA2-geschützten, drahtlos übermittelten Datenrahmen verwendet. Dieser Nachrichtenaustausch bringt aber eine Verzögerung des Verbindungsvorgangs mit sich. Wechselt ein Drahtlosclient von einem drahtlosen Zugriffspunkt zum
nächsten, kann die für die 802.1X-Authentifizierung erforderliche Zeit zu spürbaren Unterbrechungen des Datenflusses führen, insbesondere bei zeitkritischen Übertragungen wie Gesprächen oder
Videokonferenzen. Um die Verzögerungen zu minimieren, die beim Wechsel zu einem anderen
drahtlosen Zugriffspunkt auftreten, können WPA2-fähige Geräte bei Bedarf eine PMK-Zwischenspeicherung und eine Vorauthentifizierung durchführen.
PMK-Caching
Wenn ein Drahtlosclient von einem drahtlosen Zugriffspunkt zum nächsten wechselt, muss er bei
jedem neuen drahtlosen Zugriffspunkt eine vollständige 802.1X-Authentifizierung durchführen.
WPA2 erlaubt dem Drahtlosclient und dem drahtlosen Zugriffspunkt, die Ergebnisse einer vollständigen 802.1X-Authentifizierung zwischenzuspeichern. Kehrt ein Client also zu einem drahtlosen Zugriffspunkt zurück, bei dem er sich zuvor bereits authentifiziert hat, braucht der Drahtlosclient nur das 4-Wege-Handshake durchzuführen und neue paarige transiente Schlüssel zu bestimmen. Im Association Request-Datenpaket gibt der Drahtlosclient eine PMK-Kennung an, die bei
der ursprünglichen Authentifizierung festgelegt wurde und vom Drahtlosclient sowie vom drahtlosen Zugriffspunkt als PMK-Cacheeintrag zwischengespeichert wurde. PMK-Cacheeinträge werden nur für eine gewisse Zeit gespeichert, wobei sich die Speicherdauer auf dem Drahtlosclient
und dem drahtlosen Zugriffspunkt einstellen lässt.
Um Wechsel der Zugangspunkte in Netzwerkinfrastrukturen zu erleichtern, in denen ein Switch als
802.1X-Authentifizierer verwendet wird, berechnen Windows Server 2008 und Windows Vista die
PMK-Kennung so, dass der PMK, der bei der 802.1X-Authentifizierung beim Switch bestimmt
wurde, beim Wechsel auf andere drahtlose Zugriffspunkte, die mit demselben Switch verbunden
sind, weiter verwendet werden kann. Diese Technik wird Opportunistisches PMK-Caching genannt.
Vorauthentifizierung
Bei der Vorauthentifizierung kann ein drahtloser WPA2-Client bei Bedarf eine 802.1X-Authentifizierungen mit anderen drahtlosen Zugriffspunkten innerhalb seiner Reichweite durchführen, wenn
er eine Verbindung mit dem aktuellen drahtlosen Zugriffspunkt herstellt. Der Drahtlosclient sendet
den für die Vorauthentifizierung erforderlichen Datenverkehr über die vorhandene drahtlose Netzwerkverbindung an die weiteren drahtlosen Zugriffspunkte. Nach der Vorauthentifizierung bei
einem drahtlosen Zugriffspunkt und der Speicherung der PMK und der dazugehörigen Daten im
PMK-Zwischenspeicher braucht ein drahtloser Client bei einer Verbindung mit einem drahtlosen
Zugriffspunkt, mit dem er eine Vorauthentifizierung durchgeführt hat, nur das 4-Wege-Handshake
durchzuführen.
WPA2-Clients, die die Vorauthentifizierung unterstützen, können nur mit solchen drahtlosen Zugriffspunkten eine Vorauthentifizierung durchführen, die ihre Fähigkeit zur Vorauthentifizierung in
den Beacon- und Probe Response-Datenpaketen bekannt geben.
Konzepte
287
WPA2 ist in zwei verschiedenen Varianten verfügbar:
WPA2-Enterprise Verwendet die 802.1X-Authentifizierung und wurde für mittlere bis große
Infrastrukturmodusnetzwerke entwickelt.
WPA2-Personal Verwendet zur Authentifizierung einen vorinstallierten Schlüssel (Preshared Key,
PSK) und wurde für Infrastrukturmodusnetzwerke in kleinen Firmen und für Heimnetzwerke
entwickelt.
Tabelle 10.2 fasst die Sicherheitsstandards für drahtlose 802.11-LANs zusammen.
Tabelle 10.2 802.11-LAN-Drahtlossicherheitsstandards
Sicherheitsstandard
Authentifizierungsmethoden
Verschlüsselungsmethoden
Größe des
Schlüssels
Kommentar
IEEE
802.11
Offen und gemeinsame Schlüssel
WEP
40 und
104 Bit
Schwache Authentifizierung und Verschlüsselung. Von der Verwendung wird dringend
abgeraten.
IEEE
802.1X
EAP-Authentifizierungsmethoden
–
–
Sichere EAP-Methoden bieten eine sichere
Authentifizierung.
WPAEnterprise
802.1X
TKIP und AES
(optional)
128 Bit
Sichere Authentifizierung (mit sicherer
EAP-Methode) sowie sichere (TKIP) und
sehr sichere (AES)Verschlüsselung.
WPAPersonal
PSK (Preshared
Key)
TKIP und AES
(optional)
128 Bit
Sichere Authentifizierung (mit sicherem
PSK) sowie sichere (TKIP) und sehr sichere
(AES) Verschlüsselung.
WPA2Enterprise
802.1X
TKIP und AES
128 Bit
Sichere Authentifizierung (mit sicherer
EAP-Methode) sowie sichere (TKIP) und
sehr sichere (AES) Verschlüsselung.
WPA2Personal
PSK
TKIP und AES
128 Bit
Sichere Authentifizierung (mit sicherem
PSK) sowie sichere (TKIP) und sehr sichere
(AES) Verschlüsselung.
Windows Server 2008 und Windows Vista unterstützen die folgenden Sicherheitsstandards für drahtlose 802.11-LANs (außerdem müssen der Drahtlosnetzwerkadapter und sein Treiber den Standard
unterstützen):
802.11 mit WEP
802.1X
WPA-Enterprise
WPA-Personal
WPA2-Enterprise
WPA2-Personal
Hinweis Sofern nicht anders beschrieben, ist im folgenden Text mit WPA2 der Standard WPA2-Enterprise
gemeint und mit WPA WPA-Enterprise.
288
Komponenten von 802.11-Drahtlosnetzwerken
Abbildung 10.1 zeigt die Komponenten von 802.11-Drahtlosnetzwerken auf der Basis von Windows:.
Abbildung 10.1 Komponenten eines nach 802.11 geschützten drahtlosen Netzwerks auf der Basis von Windows
Bei den Komponenten handelt es sich um:
Drahtlosclients Leiten drahtlose Verbindungen mit drahtlosen Zugriffspunkten ein und kommunizieren nach der Herstellung der Verbindung mit Intranetressourcen und anderen Drahtlosclients
Drahtlose Zugriffspunkte Warten auf Verbindungsversuche, führen die Authentifizierung durch,
sorgen für die Einhaltung der Verbindungsanforderungen und leiten Datenpakete zwischen Drahtlosclients und Intranetressourcen weiter
RADIUS-Server Führen die zentrale Authentifizierung, Autorisierung und Kontoführung für Verbindungsversuche von drahtlosen Zugriffspunkten und andere Arten von Zugriffsservern durch
Active Directory-Domänencontroller Überprüfen Anmeldeinformationen von Benutzern für die Authentifizierung und senden Kontendaten für die Überprüfung der Autorisierung an die RADIUSServer
Zertifizierungsstellen Komponenten der Public-Key-Infrastruktur (PKI), die für Drahtlosclients
Computer- und Benutzerzertifikate ausstellen, sowie Computerzertifikate für RADIUS-Server
Bei der Planung und dem Entwurf eines geschützten 802.11-Drahtlosnetzwerks sollten Sie folgende
Aspekte berücksichtigen:
Drahtlossicherheitstechnologien
Authentifizierungsmodi im drahtlosen Netzwerk
Intranetinfrastruktur

289
Anordnung der drahtlosen Zugriffspunkte
Drahtlosclients
PKI
802.1X-Erzwingung mit NAP
Drahtlossicherheitstechnologien
Drahtlossicherheitstechnologien sind eine Kombination von Drahtlossicherheitsstandard (WPA2 oder
WPA) und EAP-Authentifizierungsmethode. Zur Authentifizierung eines Computers oder des Benutzers, der versucht, eine geschützte drahtlose Verbindung herzustellen, unterstützen Windows Server
2008 und Windows Vista folgende EAP-Authentifizierungsmethoden:
EAP-TLS
PEAP-TLS (Protected EAP-TLS)
PEAP-MS-CHAP v2 (PEAP-Microsoft Challenge Handshake Authentication Protocol Version 2)
EAP-TLS und PEAP-TLS werden zusammen mit einer PKI und Computerzertifikaten, Benutzerzertifikaten oder Smartcards verwendet. Bei EAP-TLS sendet der Drahtlosclient sein Computer-, Benutzer- oder Smartcardzertifikat zur Authentifizierung und der RADIUS-Server sendet sein Computerzertifikat zur Authentifizierung. Standardmäßig überprüft der Drahtlosclient das Zertifikat des
RADIUS-Servers. Bei PEAP-TLS beginnen der Drahtlosclient und der RADIUS-Server eine verschlüsselte TLS-Sitzung und dann tauschen der Drahtlosclient und der RADIUS-Server Zertifikate
aus. PEAP-TLS ist die sicherste Authentifizierungsmethode, weil der Zertifikataustausch zwischen
dem Drahtlosclient und dem RADIUS-Server verschlüsselt wird.
Falls keine Computerzertifikate, Benutzerzertifikate oder Smartcards einsetzbar sind, verwenden Sie
PEAP-MS-CHAP v2. PEAP-MS-CHAP v2 ist eine Authentifizierungsmethode auf Kennwortbasis,
bei der der Austausch der Authentifizierungsnachrichten in einer verschlüsselten TLS-Sitzung erfolgt.
Dadurch ist es für einen Angreifer wesentlich schwieriger, das Kennwort des aufgezeichneten Authentifizierungsdatenverkehrs mit einem Offline-Wörterbuchangriff zu bestimmen.
Trotz der verschlüsselten TLS-Sitzung sind EAP-TLS und PEAP-TLS beide wesentlich sicherer als
PEAP-MS-CHAP v2, weil sie nicht auf Kennwörtern basieren.
Auswahl der Drahtlossicherheitstechnologien
Microsoft empfiehlt, eine der folgenden Kombinationen der Drahtlossicherheitstechnologien zu verwenden (sie werden hier in der Reihenfolge von der sichersten zur unsichersten Methode aufgelistet):
WPA2 mit AES-Verschlüsselung, PEAP-TLS- oder EAP-TLS-Authentifizierung, Benutzer- und
Computerzertifikaten
WPA2 mit AES-Verschlüsselung, PEAP-MS-CHAP v2-Authentifizierung und der Anforderung an
die Benutzer, sichere Benutzerkennwörter zu verwenden
WPA mit EAP-TLS- oder PEAP-TLS-Authentifizierung und Benutzer- und Computerzertifikate
WPA mit PEAP-MS-CHAP v2-Authentifizierung und der Anforderung an die Benutzer, sichere
Benutzerkennwörter zu verwenden
290
Voraussetzungen für Drahtlossicherheitstechnologien
Folgende Voraussetzungen gelten für Drahtlossicherheitstechnologien:
Um ein drahtloses Netzwerk zu schützen, müssen Sie entweder WPA oder WPA2 verwenden.
Falls Sie WEP verwenden, ist Ihr Drahtlosnetzwerk nicht sicher. Das gilt auch für dynamisches
WEP. Verwenden Sie also dynamisches WEP nicht, außer vielleicht in der Übergangsphase bei der
Umstellung des Netzwerks auf WPA oder WPA2.
EAP-TLS oder PEAP-TLS erfordert die Installation eines Computerzertifikats auf dem RADIUSServer und eines Computerzertifikats, eines Benutzerzertifikats oder die Verwendung einer Smartcard auf allen drahtlosen Clientcomputern. Damit sich die Computerzertifikate der RADIUSServer überprüfen lassen, muss auf allen Drahtlosclientcomputern das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle der Computerzertifikate der RADIUS-Server
installiert werden. Damit sich die Computer- oder Benutzerzertifikate der Drahtlosclientcomputer
überprüfen lassen, muss auf allen RADIUS-Servern das Stammzertifizierungsstellenzertifikat der
ausstellenden Zertifizierungsstelle der Drahtlosclientzertifikate installiert werden.
PEAP-MS-CHAP v2 erfordert auf jedem RADIUS-Server die Installation eines Computerzertifikats. Außerdem ist es erforderlich, auf den drahtlosen Clientcomputern die Stammzertifizierungsstellenzertifikate der Computerzertifikate der RADIUS-Server zu installieren.
Für WPA2 muss vielleicht ein Teil der Netzwerkausrüstung ersetzt werden. Ältere Geräte für
drahtlose Netzwerke, die nur 802.11 unterstützen, können gewöhnlich auf WPA, nicht aber auf
WPA2 nachgerüstet werden.
Wenn Sie planen, irgendwann die 802.1X-Erzwingung von NAP einzuführen, sollten Sie eine
Authentifizierungsmethode auf der Basis von PEAP verwenden, wie PEAP-MS-CHAP v2 oder
PEAP-TLS.
Empfehlungen für Drahtlossicherheitstechnologien
Für die Drahtlossicherheitstechnologien gelten folgende Empfehlungen:
Stellen Sie die drahtlosen Zugriffspunkte nicht auf SSID-Unterdrückung ein. Die SSID (der Name
des Drahtlosnetzwerks) ist standardmäßig in den Ankündigungsdatenpaketen enthalten, die von
den drahtlosen Zugriffspunkten ausgestrahlt werden. Wenn Sie ihre drahtlosen Zugriffspunkte so
einstellen, dass die Bekanntgabe der SSID in den Ankündigungsdatenpaketen unterdrückt wird,
kann der Gelegenheitsanwender Ihr Netzwerk wahrscheinlich nicht mehr erkennen. Ein Angreifer,
der sich mit der Technik auskennt, wird dadurch aber nicht davon abgehalten, andere Datenpakete
aufzuzeichnen, die von Ihrem drahtlosen Zugriffspunkt zur Verwaltung ausgestrahlt werden, und
Ihre SSID zu bestimmen. Drahtlosnetzwerke mit aktivierter SSID-Unterdrückung werden als versteckte oder Non-broadcast-Netzwerke bezeichnet.
Der Versuch, Drahtlosnetzwerke zu verstecken, bietet nicht nur einen äußerst schwachen Schutz,
sondern stellt auch für autorisierte Drahtlosclients ein Problem dar, die automatisch eine Verbindung mit dem versteckten Drahtlosnetzwerk herstellen sollen. Da der Name des Drahtlosnetzwerks nicht ausgestrahlt wird, muss der Drahtlosclient Probe-Request-Nachrichten aussenden, in
denen der Name des Drahtlosnetzwerks enthalten ist, um einen drahtlosen Zugriffspunkt für das
Netzwerk zu finden. Diese Nachrichten geben also den Namen des Drahtlosnetzwerks bekannt
und schwächen auf diese Weise den angestrebten Schutz.
Verwenden Sie keine MAC-Adressenfilter (Media Access Control). MAC-Adressenfilterung bedeutet, dass Sie Ihre drahtlosen Zugriffspunkte mit den MAC-Adressen der zugelassenen Drahtlosclients konfigurieren können. Allerdings ist mit der MAC-Adressenfilterung auch der Verwal-

291
tungsaufwand verbunden, der erforderlich ist, um die Liste der zulässigen MAC-Adressen auf
dem aktuellen Stand zu halten. Angreifer werden dadurch nicht davon abgehalten, zulässige
MAC-Adressen auszuspionieren.
Falls Sie PEAP-MS-CHAP v2 verwenden müssen, schreiben Sie unbedingt sichere Kennwörter
für Ihr Netzwerk vor. Sichere Kennwörter sind lang (länger als 8 Zeichen) und enthalten eine
Kombination von Groß- und Kleinbuchstaben, Ziffern und Satzzeichen. In einer Active DirectoryUmgebung können Sie mit den Gruppenrichtlinieneinstellungen unter Computerkonfiguration\
Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien
dafür sorgen, dass die Benutzer sichere Kennwörter verwenden müssen.
Authentifizierungsmodi im drahtlosen Netzwerk
Drahtlosclients auf Windows-Basis können in folgenden Modi Authentifizierungen durchführen:
Nur Computer Windows führt mit den Anmeldeinformationen des Computers eine 802.1XAuthentifizierung durch, bevor der Anmeldebildschirm von Windows angezeigt wird. Auf diese
Weise erhält der Drahtlosclient Zugriff auf Netzwerkressourcen, beispielsweise auf Active Directory-Domänencontroller, bevor sich ein Benutzer anmeldet. Windows versucht nach der Anmeldung des Benutzers keine Authentifizierung mit den Anmeldeinformationen des Benutzers.
Nur Benutzer Standardmäßig führt Windows eine 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch, nachdem seine Anmeldung abgeschlossen ist. Windows versucht keine Authentifizierung mit den Anmeldeinformationen des Computers, bevor sich der Benutzer anmeldet.
Computer oder Benutzer Windows führt mit den Anmeldeinformationen des Computers eine
802.1X-Authentifizierung durch, bevor es den Windows-Anmeldebildschirm anzeigt. Windows
führt eine weitere 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch,
nachdem sich der Benutzer angemeldet hat oder wenn der Drahtlosclient zu einem anderen drahtlosen Zugriffspunkt wechselt.
Mit dem Standardverhalten der Nur-Benutzer-Authentifizierung können sich folgende Probleme
ergeben:
Ein Benutzer kann auf dem Computer keine Domänenanmeldung durchführen, weil die lokal
zwischengespeicherten Anmeldeinformationen für das Konto des Benutzers nicht verfügbar sind,
keine Verbindung mit dem Domänencontroller besteht und sich die neuen Anmeldeinformationen
nicht überprüfen lassen.
Anmeldevorgänge bei Domänen sind nicht erfolgreich, weil während der Anmeldung des Benutzers keine Verbindung mit den Domänencontrollern der Active Directory-Domäne besteht. Anmeldeskripts sowie Aktualisierungen der Gruppenrichtlinien und Benutzerprofildaten schlagen
ebenfalls fehl, was zu einer Reihe von Einträgen im Windows-Ereignisprotokoll führt.
Einige Netzwerkinfrastrukturen verwenden verschiedene virtuelle LANs (VLANs), um Drahtlosclients, die sich mit Computeranmeldeinformationen authentifiziert haben, von Drahtlosclients zu
trennen, die sich mit Benutzeranmeldeinformationen authentifiziert haben. Wenn die Benutzerauthentifizierung beim Drahtlosnetzwerk und die Umschaltung auf das benutzerauthentifizierte VLAN nach
der Anmeldung des Benutzers erfolgt, hat ein drahtloser Windows-Client während der Benutzeranmeldung keinen Zugriff auf Ressourcen aus dem benutzerauthentifizierten VLAN, beispielsweise auf
Active Directory-Domänencontroller. Das kann zu erfolglosen Erstanmeldungen und zu erfolglosen
Vorgängen bei Domänenanmeldungen führen, was beispielsweise die Ausführung von Anmeldeskripts
und die Aktualisierungen von Gruppenrichtlinien und Benutzerprofildaten betrifft.
292
Um die Probleme mit der Verfügbarkeit der Netzwerkverbindungen bei Benutzeranmeldungen im
Nur-Benutzer-Authentifizierungsmodus und im Benutzer-oder-Computer-Authentifizierungsmodus
bei der Verwendung separater VLANs zu lösen, unterstützen Drahtlosclients unter Windows Server
2008 und Windows Vista das einmalige Anmelden (Single Sign-On). Beim einmaligen Anmelden
können Sie festlegen, dass die Drahtlosnetzwerkauthentifizierung mit Benutzeranmeldeinformationen
vor der Anmeldung des Benutzers erfolgt. Zur Aktivierung und Einstellung der einmaligen Anmeldung können Sie die Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11) verwenden, um eine Windows Vista-Richtlinie zu konfigurieren, oder Sie geben den Befehl netsh wlan
mit den entsprechenden Parametern ein. Weitere Informationen finden Sie im Verlauf dieses Kapitels
im Abschnitt »Konfigurieren von Drahtlosclients«.
Voraussetzungen für Authentifizierungsmodi im drahtlosen Netzwerk
Nur Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, unterstützen die einmalige Anmeldung (Single Sign-On).
Empfehlungen für die Authentifizierung im drahtlosen Netzwerk
Für die Authentifizierung im drahtlosen Netzwerk wird Folgendes empfohlen:
Verwenden Sie den Modus Benutzer-oder-Computer-Authentifizierung. Die Benutzerauthentifizierung erfolgt nach der Benutzeranmeldung. Das ist der Standardauthentifizierungsmodus.
Wenn Sie den Authentifizierungsmodus Nur-Benutzer verwenden, konfigurieren Sie Ihr Drahtlosprofil so, dass es die einmalige Anmeldung unterstützt und die Drahtlosauthentifizierung mit den
Benutzeranmeldeinformationen vor der Benutzeranmeldung durchführt, um Probleme bei der
ersten Anmeldung und der Domänenanmeldung zu vermeiden.
Wenn Sie für computerauthentifizierte und benutzerauthentifizierte Drahtlosclients verschiedene
VLANs verwenden und den Authentifizierungsmodus Computer oder Benutzer einsetzen, konfigurieren Sie Ihre Drahtlosprofile so, dass sie die einmalige Anmeldung unterstützen und die
Drahtlosauthentifizierung mit den Benutzeranmeldeinformationen vor der Benutzeranmeldung
durchführen, um Probleme bei der ersten Anmeldung und der Domänenanmeldung zu vermeiden.
Intranetinfrastruktur
Drahtlosclients brauchen im Prinzip dieselben TCP/IP-Einstellungen (Transmission Control Protocol/Internet Protocol) wie verkabelte Clients, wobei Sie Drahtlosclients allerdings wegen ihrer Mobilität etwas anders einstellen sollten. Bringen Sie Ihre Drahtlosclients daher in separaten Subnetzen
unter, damit es im selben Subnetz keine Mischung von verkabelten Clients und Drahtlosclients gibt.
Subnetzdesign für Drahtlosclients
Für Drahtlosclients separate Subnetze einzurichten, hat folgende Vorteile:
Verkabelte Netzwerkkomponenten brauchen nicht mit den Drahtlosclients um den Vorrat an IPv4Adressen zu konkurrieren.
Drahtlosclients sind anhand ihrer IPv4- und IPv6-Adresspräfixe leichter zu identifizieren. Das
erleichtert die Verwaltung und die Problembehandlung.
Separate IPv4-Subnetze geben Ihnen eine bessere Kontrolle über DHCP-Leasezeiten.
Sie können jedes physische Subnetz (verkabelt oder drahtlos) in Active Directory mit bestimmten
Standorten verknüpfen. Auf diese Weise können Sie für die Subnetze Gruppenrichtlinieneinstellungen vornehmen.
293
Wenn sich Ihre drahtlosen Zugriffspunkte alle im selben Subnetz befinden, können Ihre Drahtlosclients reibungslos von einem Zugriffspunkt zum nächsten wechseln.
Wenn ein Drahtlosclient zu einem anderen drahtlosen Zugriffspunkt desselben Drahtlosnetzwerks
wechselt, der sich im selben Subnetz befindet, nennt man diesen Vorgang auch Network-layer roaming.
Bei diesem Zugriffspunktwechsel im selben Subnetz erneuert der Drahtlosclient seine aktuelle DHCPKonfiguration. Wechselt ein Drahtlosclient zu einem anderen drahtlosen Zugriffspunkt, der sich in
einem anderen Subnetz befindet, erhält der Drahtlosclient eine neue DHCP-Konfiguration, die im
neuen Subnetz gilt. Allerdings können manche Anwendungen versagen, wenn sich die IPv4- oder
IPv6-Adressen ändern, wie zum Beispiel manche E-Mail-Anwendungen.
Berücksichtigen Sie bei der Bestimmung eines IPv4-Subnetzpräfixes für Ihre Drahtlosclients, dass Sie
für folgende Geräte jeweils mindestens eine IPv4-Adresse brauchen:
Jede LAN-Schnittstelle eines drahtlosen Zugriffspunkts, der mit dem Drahtlossubnetz verbunden ist
Jede Routerschnittstelle, die mit dem Drahtlossubnetz verbunden ist
Jeder andere TCP/IP-fähige Host oder jedes TCP/IP-fähige Gerät, das mit dem Drahtlossubnetz
verbunden ist
Jeder Drahtlosclient, der mit dem Drahtlosnetzwerk verbunden ist. Wenn Sie zu wenige Adressen
einplanen, erhalten alle Windows-Drahtlosclients, die eine Verbindung herzustellen versuchen,
nachdem die verfügbaren IPv4-Adressen alle von DHCP an verbundene Drahtlosclients vergeben
wurden, automatisch eine APIPA-Adresse ohne Standardgateway (APIPA bedeutet Automatic Private IP Addressing). Diese Konfiguration erlaubt keine Verbindung ins Intranet. Drahtlosclients
mit APIPA-Konfigurationen versuchen in regelmäßigen Abständen, eine DHCP-Konfiguration zu
erhalten
Da jedes IPv6-Subnetz eine sehr große Zahl von Hosts enthalten kann, brauchen Sie gewöhnlich nicht
die Zahl der IPv6-Adressen zu berechnen, die für ein IPv6-Subnetzpräfix verfügbar sind.

DHCP-Planung für Drahtlosclients
Wenn Drahtlosclients und verkabelte Clients zu verschiedenen Subnetzen gehören, müssen Sie separate DHCP-Bereiche einrichten. Da Drahtlosclients leicht von einem Drahtlossubnetz zum nächsten
wechseln können, sollten Sie die DHCP-Bereiche so konfigurieren, dass eine Lease in Drahtlossubnetzen nicht so lange gilt wie in verkabelten Subnetzen.
Für einen DHCP-Bereich eines verkabelten Netzwerks beträgt die Leasedauer gewöhnlich einige
Tage. Da Drahtlosclients ihre Adressen nicht an den DHCP-Server zurückgeben, wenn sie in ein
anderes Subnetz wechseln, sollten Sie die Leasedauer für DHCP-Bereiche, die für Drahtlossubnetze
vorgesehen sind, auf einige Stunden beschränken. Wenn Sie die Leasedauer für Drahtlossubnetze
verkürzen, kann sich der DHCP-Server die nicht länger von Drahtlosclients verwendeten, aber nicht
zurückgegebenen IPv4-Adressen bereits im Lauf des Tages zurückholen und neu vergeben. Solche
Adressen bleiben also nicht für Tage blockiert. Vergessen Sie bei der Bestimmung der optimalen
Leasedauer für die Drahtlosclients in Ihrer Umgebung aber nicht, dass kürzere Leasezeiten eine
höhere Belastung für den DHCP-Server bedeuten.
Weitere Informationen über die Konfiguration von DHCP-Bereichen finden Sie in Kapitel 3, »Dynamic Host Configuration Protocol«.
294
Anordnung der drahtlosen Zugriffspunkte
Eine sehr wichtige und zeitaufwendige Aufgabe beim Aufbau eines drahtlosen LANs ist die Bestimmung der Orte, an denen drahtlosen Zugriffspunkte aufgestellt werden müssen. Die drahtlosen Zugriffspunkte müssen so angeordnet werden, dass sie eine Etage, ein Gebäude oder das ganze Firmengelände nahtlos abdecken. Wird diese nahtlose Abdeckung erreicht, können sich Drahtlosbenutzer von
einem Ort zum andern bewegen, ohne dabei eine deutliche Unterbrechung in der Netzwerkverbindung
zu bemerken. Alles, was ihnen bei der Bewegung auffallen sollte, ist ein Wechsel der IPv4- und IPv6Adressen, wenn sie von einem Subnetz ins nächste wechseln. Bei der Bestimmung der Aufstellungsorte der drahtlosen Zugriffspunkte ist es nicht damit getan, die Geräte zu installieren und einzuschalten. Drahtlose LANs sind Funknetze. Sie basieren auf Radiowellen. Radiowellen können gedämpft,
reflektiert, abgeschirmt und gestört werden, beispielsweise durch Interferenzen.
Bei der Planung der Aufstellungsorte der drahtlosen Zugriffspunkte in einer Organisation sollten Sie
folgende Aspekte berücksichtigen, die in den nächsten Abschnitten näher beschrieben werden:
Anforderungen an die drahtlosen Zugriffspunkte
Kanaltrennung
Störungen in der Signalausbreitung
Störungsquellen
Anzahl der drahtlosen Zugriffspunkte
Hinweis Weitere Angaben und Empfehlungen für die Anordnung von drahtlosen Zugriffspunkten finden
Sie in der Dokumentation der drahtlosen Zugriffspunkte und der verwendeten Antennen.
Anforderungen an die drahtlosen Zugriffspunkte
Stellen Sie eine Liste mit den Anforderungen auf, die an die drahtlosen Zugriffspunkts gestellt werden. Dazu gehören zum Beispiel folgende Punkte:
WPA
WPA2
802.1X und RADIUS
802.11a, b, g und n
Je nach Budget und der zu übertragenden Datenmenge brauchen Sie vielleicht drahtlose Zugriffspunkte, die 802.11b, 802.11a, 802.11g, 802.11n oder eine Kombination der Technologien bieten.
Gebäude- und Feuerschutzvorschriften Für die Verwendung des Raums über abgehängten Decken
gibt es Vorschriften. Wenn Sie in diesem Bereich drahtlose Zugriffspunkte aufstellen und verkabeln, müssen Sie darauf achten, dass die verwendeten Zugriffspunkte den Brandschutz- und Gebäudevorschriften entsprechen. Bei der Unterbringung von drahtlosen Zugriffspunkten über der
abgehängten Decke müssen Sie sich zudem überlegen, wie Sie die Geräte am besten mit Strom
versorgen. Erkundigen Sie sich beim Hersteller der Geräte, wie Sie die drahtlosen Zugriffspunkts
am besten mit Strom versorgen können. Manche drahtlose Zugriffspunkte lassen sich über das
Ethernetkabel mit Strom versorgen, mit dem sie ans verkabelte Netzwerk angeschlossen sind.
Vorkonfiguration und Remotekonfiguration Die Vorkonfiguration der drahtlosen Zugriffspunkte vor
der Aufstellung am Einsatzort kann den Aufbau des Netzwerks beschleunigen und die Arbeitskosten verringern, weil die rein mechanische Installation von weniger erfahrenen Mitarbeitern erledigt werden kann. Je nach Bauart können Sie drahtlose Zugriffspunkte über einen Konsolenan-

295
schluss (einen seriellen Anschluss), über Telnet oder über einen Webserver vorkonfigurieren, der
im drahtlosen Zugriffspunkt integriert ist. Unabhängig davon, ob Sie eine Vorkonfigurierung
durchführen oder nicht, sollten Sie darauf achten, dass eine Remoteverwaltung der drahtlosen
Zugriffspunkte möglich ist, beispielsweise durch ein spezielles Konfigurationsprogramm des Herstellers, über einen integrierten Webserver oder mit Skripts.
Antennenarten Überprüfen Sie, ob die drahtlosen Zugriffspunkte mit unterschiedlichen Antennenarten kombiniert werden können. In einem Gebäude mit mehreren Etagen könnte zum Beispiel
eine Ringantenne am besten funktionieren, die das Signal gleichmäßig in alle Richtungen ausstrahlt, mit Ausnahme der vertikalen.
Hinweis Informationen darüber, welche Antennenart sich am besten für Ihr Drahtlosnetzwerk eignet,
finden Sie in der Dokumentation Ihrer drahtlosen Zugriffspunkte.

IPsec-Unterstützung Es ist zwar nicht zwingend erforderlich, aber nach Möglichkeit sollten Sie
drahtlose Zugriffspunkte wählen, die IPsec (Internet Protocol security) und ESP (Encapsulating
Security Payload) mit Verschlüsselung verwenden, damit der RADIUS-Datenverkehr zwischen
den drahtlosen Zugriffspunkten und den RADIUS-Servern vertraulich bleibt. Verwenden Sie die
3DES-Verschlüsselung (Triple Data Encryption Standard) und für die IKE-Hauptmodusauthentifizierung (Internet Key Exchange) nach Möglichkeit Zertifikate.
Kanaltrennung
Die direkte Kommunikation zwischen einem 802.11b- oder 802.11g-Drahtlosnetzwerkadapter und
einem drahtlosen Zugriffspunkt erfolgt über einen gemeinsamen Übertragungskanal, der einem bestimmten Frequenzbereich im S-Band ISM entspricht. Sie können den drahtlosen Zugriffspunkt auf
einen bestimmten Kanal einstellen und der Drahtlosnetzwerkadapter stellt sich automatisch auf den
Kanal des drahtlosen Zugriffspunkts mit dem stärksten Signal ein.
Um gegenseitige Störungen zwischen den 802.11b-Drahtloszugriffspunkten zu verringern, sollten Sie
dafür sorgen, dass drahtlose Zugriffspunkte, deren Sendebereiche sich überschneiden, auf verschiedenen Kanälen senden. Die Standards 802.11b und 802.11g sehen für drahtlose Zugriffspunkte 14 Kanäle vor. In den USA lässt die FCC (Federal Communications Commission) die Kanäle 1 bis 11 zu. Im
größten Teil Europas können Sie die Kanäle 1 bis 13 verwenden. In Japan haben Sie nur eine Wahl:
Kanal 14. Abbildung 10.2 stellt die Kanalüberschneidungen für drahtlose Zugriffspunkte nach 802.11b
und 802.11g in den USA dar.
Abbildung 10.2 Kanalüberschneidungen von drahtlosen Zugriffspunkten nach 802.11b und 802.11g in den USA
296
Damit sich die Funksignale benachbarter Zugriffspunkte nicht gegenseitig stören, sollten Sie die
Übertragungskanäle so einstellen, dass sie mindestens fünf Kanäle voneinander entfernt sind. Um in
den USA die größtmögliche Anzahl verwendbarer Kanäle zu erreichen, können Sie Ihre drahtlosen
Zugriffspunkte auf einen von drei Kanälen einstellen: 1, 6 oder 11. Auch wenn Sie weniger als drei
praktisch verwendbare Kanäle brauchen, sollten Sie darauf achten, dass die von Ihnen gewählten
Kanäle fünf Kanäle auseinander liegen.
Abbildung 10.3 zeigt ein Beispiel für die Anordnung von mehreren drahtlosen Zugriffspunkten auf
verschiedenen Etagen eines Gebäudes. Die Kanäle wurden so gewählt, dass Zugriffspunkte, deren
Sendebereiche sich überschneiden, auf hinreichend weit auseinanderliegenden Kanälen senden.
Abbildung 10.3 Ein Beispiel für die Verteilung von 802.11b-Kanalnummern
Störungen in der Signalausbreitung
Ein drahtloser Zugriffspunkt ist eine Kombination aus Funksender und -empfänger, wobei der Sender
nur eine relativ geringe Reichweite hat. Der Raum um den drahtlosen Zugriffspunkt herum, in dem
Sie Daten in den unterstützten Bitraten senden und empfangen können, wird in der englischsprachigen Dokumentation häufig coverage volume genannt (manchmal auch coverage area, wobei sich
Funkwellen natürlich in drei Dimensionen ausbreiten). Im folgenden Text wird dieser Bereich einfach
Sendebereich genannt. Welche Größe und Form der Bereich hat, in dem die einwandfreie Datenübertragung möglich ist, hängt von der Leistung des Senders, von der Bauweise der Antenne, von etwaigen Störungen in der Signalausbreitung und von anderen Störstrahlungsquellen ab.
Eine ideale Rundstrahlantenne strahlt die Radiowellen gleichmäßig in alle Richtungen ab. Je weiter
der Empfänger vom Sender entfernt ist, desto schwächer ist das eingehende Signal und desto geringer
die unterstützte Übertragungsrate. Abbildung 10.4 zeigt ein Beispiel für den Sendebereich eines drahtlosen Zugriffspunkts nach 802.11b und einer Rundstrahlantenne.
Störungen in der Signalausbreitung ändern die Form des Sendebereichs zum Beispiel durch eine unerwünschte Signalabschwächung, -abschirmung oder -reflektion. Solche Effekte wirken sich auf die
optimale Aufstellung der drahtlosen Zugriffspunkte aus. Metallische Objekte innerhalb eines Gebäudes,
in den Wänden oder Decken können die Ausbreitung der Radiowellen verändern. Einige Beispiele:
Stahlträger
Aufzugschächte
Stahlarmierung im Beton
Rohre von Heizungen und Klimaanlagen
Drahtgitter in den Gipsplatten, die zur Verkleidung verwendet wurden

297
Wände, die Metall, Löschbeton oder Beton enthalten
Schränke, Tische oder andere größere Einrichtungsgegenstände aus Metall
Abbildung 10.4 Ein idealisiertes Beispiel eines Sendebereichs
Störungsquellen
Jedes Gerät, das im selben Frequenzbereich wie Ihre Drahtlosnetzwerkgeräte sendet (im S-Band ISM
mit dem Frequenzbereich von 2,4 GHz bis 2,5 GHz oder im C-Band ISM mit dem Frequenzbereich
von 5,725 GHz bis 5,875 GHz), kann ein drahtloses Netzwerk stören. Solche Störungsquellen ändern
auch die Form des Bereichs, der sich mit einem drahtlosen Zugriffspunkt abdecken lässt.
Zu den Geräten, die im S-Band ISM arbeiten, gehören folgende:
Bluetooth-fähige Geräte
Mikrowellenherde
Schnurlose Telefone im 2,4-GHz-Bereich
Kabellose Videokameras
Medizinische Geräte
Aufzugmotoren
Zu den Geräten, die im C-Band ISM arbeiten, gehören folgende:
Schnurlose Telefone im 5-GHz-Bereich
Kabellose Videokameras
Medizinische Geräte
Anzahl der drahtlosen Zugriffspunkte
Wenn Sie abschätzen möchten, wie viele drahtlose Zugriffspunkte Sie aufstellen müssen, berücksichtigen Sie folgende Aspekte:
Bauen Sie genügend drahtlose Zugriffspunkte auf, damit für alle Benutzer im vorgesehenen Sendebereich eine hinreichende Signalstärke zur Verfügung steht.
Die üblichen drahtlosen Zugriffspunkte verwenden Antennen, die das Signal hauptsächlich horizontal abstrahlen, also auf die anderen Räume derselben Etage zu. Gewöhnlich deckt ein drahtloser Zugriffspunkt innerhalb eines Gebäudes eine kreisförmige Fläche mit einem Radius von
298

etwa 60 Metern ab. Stellen Sie so viele drahtlose Zugriffspunkte auf, dass sich die Sendebereiche
der einzelnen Geräte hinreichend überlappen.
Schätzen Sie ab, wie viele Benutzer höchstens gleichzeitig im Sendebereich eines Zugriffspunkts
arbeiten.
Schätzen Sie die Übertragungsrate ab, die jeder Benutzer im Durchschnitt braucht. Fügen Sie bei
Bedarf weitere drahtlose Zugriffspunkte hinzu. Damit erreichen Sie Folgendes:
Die Bandbreite, die einem einzelnen Client im drahtlosen Netzwerk zur Verfügung steht, steigt.
Im selben Sendebereich können mehr Drahtlosbenutzer bedient werden.
Sie bestimmen auf der Grundlage des erforderlichen Datendurchsatzes, wie viele Benutzer
eine Verbindung mit einem drahtlosen Zugriffspunkt herstellen können. Verschaffen Sie sich
ein klares Bild vom Datendurchsatz, bevor Sie das Netzwerk errichten oder Änderungen vornehmen. Einige Hersteller bieten 802.11-Simulationsprogramme an, mit denen Sie den Datenverkehr im Netzwerk simulieren und den Datendurchsatz unter verschiedenen Bedingungen
überprüfen können.
Es sind Reservegeräte verfügbar, falls ein drahtloser Zugriffspunkt ausfällt.
Wenn Sie die Anordnung der drahtlosen Zugriffspunkte so optimieren möchten, dass Sie eine
möglichst hohe Leistung erhalten, berücksichtigen Sie folgende Aspekte:
Überlasten Sie keinen drahtlosen Zugriffspunkt mit zu vielen Drahtlosclients. Auch wenn die
meisten drahtlosen Zugriffspunkte Hunderte von Verbindungen unterstützen, liegt die praktische Grenze bei etwa 20 bis 25 verbundenen Clients. Eine durchschnittliche Belastung durch
2 bis 4 Benutzer pro drahtlosem Zugriffspunkt ist ein guter Durchschnittswert, um den Benutzern eine möglichst hohe Leistung zu bieten und das Drahtlosnetzwerk effektiv zu nutzen.
Wenn viele Menschen auf relativ engem Raum arbeiten müssen, verringern Sie die Sendeleistung der drahtlosen Zugriffspunkte. Dadurch verkleinert sich der Sendebereich und Sie können auf derselben Fläche mehr drahtlose Zugriffspunkte aufstellen, um einer größeren Zahl
von Drahtlosclients eine höhere Bandbreite zur Verfügung zu stellen.
Die Authentifizierungsinfrastruktur hat folgende Aufgaben:
Authentifizieren der Anmeldeinformationen der Drahtlosclients
Autorisieren der Drahtlosverbindung
Informieren der drahtlosen Zugriffspunkte über Verbindungsbeschränkungen
Erfassen von Beginn und Ende der Drahtlosverbindung zu Buchhaltungszwecken
Die Authentifizierungsinfrastruktur für geschützte Drahtlosverbindungen besteht aus folgenden Komponenten:
Drahtlose Zugriffspunkte
RADIUS-Server
Active Directory-Domänencontroller
Ausstellende Zertifizierungsstellen einer PKI (optional)
Wenn Sie eine Windows-Domäne als Kontodatenbank für die Überprüfung von Benutzer- oder Computeranmeldeinformationen und zum Abrufen der Einwähleigenschaften verwenden, dann verwenden
Sie unter Windows Server 2008 den Netzwerkrichtlinienserver (Network Policy Server, NPS). NPS
ist ein voll funktionsfähiger und in Active Directory integrierter RADIUS-Server und -Proxy. Infor-
299
mationen über Entwurf und Planung eines RADIUS-Servers auf der Basis von NPS erhalten Sie in
Kapitel 9.
NPS kommuniziert bei der Authentifizierung der Drahtlosverbindung über einen geschützten RPCKanal (Remote Procedure Call) mit einem Domänencontroller. Die Autorisierung der Verbindung
führt NPS anhand der Einwähleigenschaften des für den Verbindungsversuch verwendeten Computeroder Benutzerkontos und anhand der Netzwerkrichtlinien durch, die auf dem NPS-Server konfiguriert
wurden.
NPS protokolliert alle RADIUS-Buchhaltungsinformationen in einer lokalen Protokolldatei (standardmäßig im Ordner %SystemRoot%\System32\Logfiles). Diese Einstellung lässt sich im Knoten
Kontoführung des Netzwerkrichtlinienserver-Snap-Ins ändern.
Empfehlungen für die Authentifizierungsinfrastruktur
Für die Authentifizierungsinfrastruktur wird Folgendes empfohlen:
Um Autorisierungen für Drahtlosverbindungen besser verwalten zu können, legen Sie in Active
Directory eine universelle Gruppe für den Drahtloszugriff an, die globale Gruppen mit den Benutzer- und Computerkonten enthält, die Drahtlosverbindungen herstellen dürfen. Legen Sie zum
Beispiel eine universelle Gruppe namens DrahtlosKonten an. Sie nimmt globale Gruppen auf, die
Sie nach den Erfordernissen der Zuständigkeitsbereiche oder Abteilungen Ihrer Organisation erstellen. Jede globale Gruppe enthält Benutzer- und Computerkonten, die für den drahtlosen Zugriff
zugelassen sind. Wenn Sie Ihre NPS-Richtlinien für die Drahtlosverbindungen konfigurieren, geben Sie den Gruppennamen DrahtlosKonten an.
Starten Sie im Knoten NPS des Netzwerkrichtlinienserver-Snap-Ins den 802.1X konfigurierenAssistenten, um Richtlinien für drahtlose, nach 802.1X authentifizierte Verbindungen zu definieren. Erstellen Sie zum Beispiel Richtlinien für Drahtlosclients, die Mitglieder einer bestimmten
Gruppe sind und eine bestimmte Authentifizierungsmethode verwenden sollen.
Drahtlosclients
Ein Windows-basierter Drahtlosclient ist ein Drahtlosclient, auf dem Windows Server 2008, Windows
Vista, Windows XP mit Service Pack 2 oder Windows Server 2003 ausgeführt wird. Auf einem Windows-basierten Drahtlosclient können Sie die drahtlosen Verbindungen in folgender Weise konfigurieren:
Gruppenrichtlinien
Die Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11)
ist Teil des Zweigs Computerkonfiguration eines Gruppenrichtlinienobjekts. Mit ihr können Sie in
einer Active Directory-Umgebung Einstellungen für das drahtlose Netzwerk vornehmen.
Befehlszeile Mit Netsh.exe können Sie die Einstellungen für das drahtlose Netzwerk vornehmen
(geben Sie den Befehl netsh wlan mit den erforderlichen Parametern ein). Allerdings ist diese Art
der Einstellung des Drahtlosnetzwerks nur auf Drahtlosclients möglich, auf denen Windows Vista
oder Windows Server 2008 ausgeführt wird.
Hinweis Um die netsh wlan-Befehle auf einem Windows Server 2008 verwenden zu können, müssen Sie im Server-Manager die Funktion WLAN-Dienst hinzufügen.

XML-Drahtlosprofile XML-Drahtlosprofile (Extensible Markup Language) sind XML-Dateien, die
Einstellungen für ein drahtloses Netzwerk enthalten. XML-Drahtlosprofile können Sie mit dem
Programm Netsh oder mit der Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE
802.11) exportieren oder importieren.
300

Manuell Auf einem Drahtlosclient, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, stellen Sie die Verbindung zum drahtlosen Netzwerk her, sobald Sie dazu aufgefordert
werden, oder Sie verwenden im Netzwerk- und Freigabecenter den Assistenten für Netzwerkverbindungen. Auf einem Drahtlosclient, auf dem Windows XP mit SP2 oder Windows Server 2003
ausgeführt wird, stellen Sie die Verbindung mit dem Drahtlosnetzwerk her, wenn Sie dazu aufgefordert werden, oder Sie verwenden im Ordner Netzwerkverbindungen den Drahtlosnetzwerkinstallations-Assistenten.
Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung
Um die Einstellungen von Windows-Clients für drahtlose Netzwerke automatisch vornehmen zu können, unterstützten Windows Server 2008- und Windows Server 2003-Active Directory-Domänen eine
Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung. Diese Erweiterung ermöglicht es Ihnen, Einstellungen für drahtlose Netzwerke als Teil der Computerkonfiguration eines
Gruppenrichtlinienobjekts durchzuführen. Sie können mit der Drahtlosnetzwerkrichtlinien (IEEE
802.11)-Gruppenrichtlinienerweiterung eine Liste der bevorzugten Netzwerke und deren Einstellungen angeben, um auf Drahtlosclients, auf denen Windows Server 2008, Windows Vista, Windows XP
mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, automatisch die erforderlichen Einstellungen für drahtlose Netzwerke vorzunehmen.
Für jedes bevorzugte Netzwerk können Sie Folgendes angeben:
Verbindungseinstellungen, beispielsweise den Namen des drahtlosen Netzwerks, und ob das Netzwerk eine Kennung aussendet
Sicherheitseinstellungen, beispielsweise die Authentifizierungs- und Verschlüsselungsmethode,
den EAP-Typ und den Authentifizierungsmodus
Erweiterte 802.1X Sicherheitseinstellungen wie das einmalige Anmelden (Single Sign-On, für
Windows Server 2008- und Windows Vista-Drahtlosclients)
Diese Einstellungen werden automatisch auf Drahtlosclients durchgeführt, auf denen Windows Server
2008, Windows Vista, Windows XP mit SP2 oder Windows Server 2003 ausgeführt wird und die Mitglieder einer Windows Server 2008- oder Windows Server 2003-Active Directory-Domäne sind. Sie
können Drahtlosnetzwerkrichtlinien im Snap-In Gruppenrichtlinienverwaltungs-Editor konfigurieren,
und zwar im Knoten Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Drahtlosnetzwerkrichtlinien (IEEE 802.11).
Hinweis Um auf einem Computer, auf dem Windows Server 2008 ausgeführt wird, die Gruppenrichtlinieneinstellungen ändern zu können, müssen Sie eventuell im Server-Manager die Gruppenrichtlinienverwaltungsfunktion installieren.
Standardmäßig gibt es keine Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Richtlinien. Um für eine
Windows Server 2008-Active Directory-Domäne eine neue Richtlinie zu definieren, klicken Sie
Drahtlosnetzwerkrichtlinien (IEEE 802.11) in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste an und klicken dann auf Eine neue Windows VistaRichtlinie erstellen oder auf Eine neue Windows XP-Richtlinie erstellen. Für jede Richtlinienart können Sie nur eine Richtlinie definieren. Eine Windows-XP-Richtlinie kann Profile mit Einstellungen
für mehrere Drahtlosnetzwerke enthalten, von denen jedes Netzwerk über eine eindeutige SSID verfügen muss. Eine Windows Vista-Richtlinie kann auch Profile mit Einstellungen für mehrere Drahtlosnetzwerke enthalten, die über eindeutige SSIDs verfügen. Außerdem können verschiedene Profile
mehrere Instanzen derselben SSID enthalten, jede mit anderen Einstellungen. Dadurch wird es möglich, Profile für gemischte Umgebungen zu erstellen, in denen Clients unterschiedliche Sicherheitstechnologien einsetzen, wie zum Beispiel WPA und WPA2.
301
Die Drahtlosnetzwerkrichtlinie für Windows Vista umfasst spezielle Einstellungen für Windows Server 2008- und Windows Vista-Drahtlosclients. Wenn beide Richtlinienarten konfiguriert werden, verwenden Drahtlosclients, auf denen Windows XP mit SP2 oder Windows Server 2003 ausgeführt wird,
nur die Richtlinieneinstellungen für Windows XP, während Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, nur die Windows Vista-Richtlinieneinstellungen verwenden. Sind keine Windows Vista-Richtlinieneinstellungen verfügbar, verwenden Windows Server
2008- und Windows Vista-Drahtlosclients die Windows XP-Richtlinieneinstellungen.
Windows Vista-Drahtlosnetzwerkrichtlinie
Das Eigenschaftendialogfeld einer Windows Vista-Drahtlosnetzwerkrichtlinie enthält eine Registerkarte Allgemein und eine Registerkarte Netzwerkberechtigungen. Abbildung 10.5 zeigt die Registerkarte Allgemein.
Abbildung 10.5 Die Registerkarte Allgemein einer Windows Vista-Drahtlosnetzwerkrichtlinie
Auf der Registerkarte Allgemein können Sie der Richtlinie einen Namen geben und eine Beschreibung der Richtlinie eingeben. Außerdem können Sie festlegen, ob der automatische WLAN-Konfigurationsdienst aktiviert werden soll, und Sie können eine Liste mit Drahtlosnetzwerken und ihren
Einstellungen (auch Profile genannt) zusammenstellen, in der die Netzwerke in der gewünschten Reihenfolge angegeben werden. Auf der Registerkarte Allgemein können Sie Profile als XML-Dateien
exportieren und importieren. Um ein Profil in eine XML-Datei zu exportieren, wählen Sie das Profil
aus und klicken auf Exportieren. Um eine XML-Datei als Drahtlosprofil zu importieren, klicken Sie
auf Importieren und suchen dann die gewünschte Datei heraus.
Abbildung 10.6 zeigt die Registerkarte Netzwerkberechtigungen für eine Windows Vista-Drahtlosnetzwerkrichtlinie.
Die Registerkarte Netzwerkberechtigungen ist in Windows Server 2008 und Windows Vista neu und
ermöglicht die Festlegung, mit welchen namentlich aufgeführten Netzwerken eine Verbindung hergestellt werden darf und mit welchen nicht. Damit können Sie zum Beispiel eine Zulassungsliste oder
eine Verbotsliste aufstellen.
302
Abbildung 10.6 Die Registerkarte Netzwerkberechtigungen einer Windows Vista-Drahtlosnetzwerkrichtlinie
Um eine Zulassungsliste zu erstellen, geben Sie die Namen der Netzwerke an, mit denen ein Windows
Server 2008- oder Windows Vista-Drahtlosclient eine Verbindung herstellen darf. Das ist zum Beispiel von Nutzen, wenn Netzwerkadministratoren die Laptops einer Organisation so einstellen müssen, dass sie mit bestimmten Netzwerken Verbindungen herstellen. Dabei kann es sich nicht nur um
drahtlose Netzwerke der Organisation handeln, sondern zum Beispiel auch um drahtlose Netzwerke
von Internetanbietern.
Um eine Verbotsliste zu erstellen, geben Sie die Namen der Drahtlosnetzwerke an, zu denen die
Drahtlosclients keine Verbindung aufnehmen dürfen. Damit lässt sich zum Beispiel in einem von
mehreren Organisationen genutzten Bürogebäude verhindern, dass die verwalteten Laptops Verbindungen mit anderen Drahtlosnetzwerken herstellen, die sich zwar in Reichweite des Drahtlosnetzwerks einer Organisation befinden, aber zu anderen Organisationen gehören. Außerdem lässt sich auf
diese Weise verhindern, dass die verwalteten Laptops Verbindungen mit Netzwerken herstellen, die
als unsicher bekannt sind.
Auf der Registerkarte Netzwerkberechtigungen sind auch Optionen verfügbar, mit denen sich Verbindungen mit Ad-hoc-Netzwerken oder mit Infrastrukturnetzwerken verhindern lassen, die es dem Benutzer ermöglichen, auch als abgelehnt eingestufte Netzwerke in der Liste der verfügbaren Netzwerke
zu sehen, und die es jedem Benutzer erlauben, Profile für alle Benutzer zu erstellen. Ein Profil für alle
Benutzer kann von jedem Benutzer, der auf dem Computer über ein Konto verfügt, zur Herstellung
einer Verbindung mit einem bestimmten Drahtlosnetzwerk verwendet werden. Ist diese Option deaktiviert, können nur Mitglieder der Gruppen Domänen-Admins oder Netzwerkkonfigurations-Operatoren Drahtlosprofile für alle Benutzer des Computers erstellen. Außerdem gibt es noch eine Option,
mit der sich festlegen lässt, dass für die Verbindung mit zugelassenen Netzwerken nur Gruppenrichtlinien verwendet werden, also keine gleichnamigen lokalen Profile.
Zur Verwaltung der Drahtlosnetzwerkprofile wählen Sie im Dialogfeld Eigenschaften von Neue VistaDrahtlosrichtlinie auf der Registerkarte Allgemein ein vorhandenes Profil aus und klicken auf Bearbeiten, oder Sie klicken auf Hinzufügen und wählen dann aus, ob das neue Drahtlosprofil für ein
303
Infrastrukturnetzwerk oder für ein Ad-hoc-Netzwerk vorgesehen ist. Das Dialogfeld Eigenschaften
von Neues Profil eines Windows Vista-Drahtlosnetzwerkprofils enthält die beiden Registerkarten Verbindung und Sicherheit. Abbildung 10.7 zeigt die Standardregisterkarte Verbindung für ein Windows
Vista-Drahtlosnetzwerkprofil.
Abbildung 10.7 Die Registerkarte Verbindung eines Windows Vista-Drahtlosnetzwerkprofils
Auf der Registerkarte Verbindung können Sie dem Profil einen Namen geben und eine Liste der Netzwerknamen angeben, für die das Profil gelten soll. Um einen Namen in die Liste einzutragen, geben
Sie den Namen im Textfeld Netzwerkname(n) (SSID) ein und klicken dann auf Hinzufügen. Sie können auch festlegen, ob der Drahtlosclient, der dieses Profil verwendet, automatisch versucht, eine
Verbindung mit einem der genannten Netzwerke herzustellen, sobald es in Reichweite ist. Dabei erfolgen die Verbindungsversuche in der Reihenfolge, in der die Netzwerkprofile auf der Registerkarte
Allgemein der Windows Vista-Drahtlosrichtlinie aufgeführt sind. Außerdem können Sie festlegen, ob
die Verbindung mit dem Drahtlosnetzwerk getrennt werden soll, wenn ein höher priorisiertes Drahtlosnetzwerk verfügbar wird, und ob eine Verbindung auch erfolgen soll, wenn ein Netzwerk keine
Kennung aussendet, wenn es sich also um ein verstecktes Netzwerk handelt.
Abbildung 10.8 zeigt die Registerkarte Sicherheit für ein Windows Vista-Drahtlosnetzwerkprofil.
Auf der Registerkarte Sicherheit können Sie die Authentifizierungs- und Verschlüsselungsmethoden
für das im Profil beschriebene Drahtlosnetzwerk angeben. Unter den Authentifizierungsmethoden
stehen Offen, Gemeinsam verwendet, WPA-Personal (WPA bedeutet Wi-Fi Protected Access), WPAEnterprise, WPA2-Personal, WPA2-Enterprise und Offen bei 802.1X zur Verfügung. Bei den Verschlüsselungsmethoden haben Sie die Wahl unter WEP (Wired Equivalent Privacy), TKIP (Temporal
Key Integrity Protocol) und AES (Advanced Encryption Standard). Welche Verschlüsselungsmethoden auswählbar sind, hängt aber von der gewählten Authentifizierungsmethode ab.
Wenn Sie als Authentifizierungsmethode Offen bei 802.1X, WPA-Enterprise oder WPA2-Enterprise
wählen, können Sie auch die Netzwerkauthentifizierungsmethode (den EAP-Typ), den Authentifizierungsmodus (Wiederholte Benutzerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung), die maximale Anzahl von Authentifizierungsfehlern, bevor die
Authentifizierung abgebrochen wird, und die Zwischenspeicherung der Benutzerinformationen für
304
spätere Verbindungsversuche einstellen. Falls Sie keine Zwischenspeicherung einstellen, werden die
Anmeldeinformationen des Benutzers aus der Registrierung gelöscht, wenn der Benutzer sich abmeldet. Meldet sich der Benutzer das nächste Mal an, wird er dann zur Eingabe der Anmeldeinformationen (wie Benutzername und Kennwort) aufgefordert.
Abbildung 10.8 Die Registerkarte Sicherheit eines Windows Vista-Drahtlosnetzwerkprofils
Direkt von der Quelle: Speicherorte für zwischengespeicherte
Anmeldeinformationen
Auf Drahtlosclients, auf denen Windows Server 2008 oder Windows Vista ausgeführt wird, werden
Anmeldeinformationen an folgendem Ort gespeichert:
HKEY_CURRENT_USER\Software\Microsoft\Wlansvc\UserData\Profiles\ProfilGUID\MSMUserdata
Auf Drahtlosclients, auf denen Windows XP oder Windows Server 2003 ausgeführt wird, werden
Anmeldeinformationen an folgendem Ort gespeichert:
HKEY_CURRENT_USER\Software\Microsoft\Eapol\UserEapInfo
Um für die Authentifizierungsmethoden WPA-Enterprise, WPA2-Enterprise oder Offen bei 802.1X
erweiterte Sicherheitseinstellungen vorzunehmen, klicken Sie im Dialogfeld Eigenschaften von Neues
Profil auf der Registerkarte Sicherheit auf Erweitert. Abbildung 10.9 zeigt das Standarddialogfeld
Erweiterte Sicherheitseinstellungen.
305
Abbildung 10.9 Das Dialogfeld Erweiterte Sicherheitseinstellungen
Im Abschnitt IEEE 802.1X lässt sich festlegen, wie viele EAPOL-Startnachrichten (EAP over LAN)
gesendet werden, wenn auf die erste EAPOL-Startnachricht keine Antwort eintrifft. Außerdem lassen
sich noch einige Zeiträume festlegen, nämlich die Wartezeit bis zur erneuten Übertragung von EAPOL-Startnachrichten, wenn keine Antwort auf die zuvor gesandte EAPOL-Startnachricht eintrifft,
der Zeitraum, in dem der authentifizierende Client keine 802.1X-Authentifizierungsaktivität entwickelt, nachdem er vom Authentifizierer die Meldung über eine fehlerhafte Authentifizierung erhalten
hat, sowie der Zeitraum, den der authentifizierende Client wartet, bevor er eine 802.1X-Anfrage erneut sendet, nachdem eine Endpunkt-zu-Endpunkt-802.1X-Authentifizierung eingeleitet wurde.
Mit den Optionen aus dem Abschnitt Einmaliges Anmelden (Single Sign-On) lässt sich festlegen, ob
die Authentifizierung unmittelbar vor oder nach der Benutzeranmeldung erfolgt, mit wie vielen Sekunden Verzögerung die Benutzeranmeldung beginnen soll (damit die Authentifizierung vorher abgeschlossen werden kann), ob bei der Benutzeranmeldung zusätzliche Dialogfelder angezeigt werden
dürfen und ob die Drahtlosnetzwerke aus dem Profil für die Computer- oder Benutzerauthentifizierung ein anderes virtuelles LAN (VLAN) verwenden und beim Wechsel vom computerauthentifizierten VLAN zum benutzerauthentifizierten VLAN eine DHCP-Erneuerung durchführen. Informationen
über die Verwendung des einmaligen Anmeldens finden Sie im Abschnitt »Authentifizierungsmodi im
drahtlosen Netzwerk« dieses Kapitels.
Im Abschnitt Schnelle Serverspeicherung (Fast Roaming, schneller Wechsel zu einem anderen Zugriffspunkt ) können Sie Einstellungen für die PMK-Zwischenspeicherung (Pairwise Master Key) und
die Vorauthentifizierung vornehmen. Der Abschnitt Schnelle Serverspeicherung wird nur angezeigt,
wenn Sie auf der Registerkarte Sicherheit als Authentifizierungsmethode WPA2-Enterprise wählen.
Bei der PMK-Zwischenspeicherung speichern Drahtlosclients und drahtlose Zugriffspunkte die
Ergebnisse der 802.1X-Authentifizierungen in einem PMK-Cache. Wechselt der Client wieder auf
306
einen Zugriffspunkt, mit dem bereits eine Authentifizierung erfolgt ist, kann der Zugriff also deutlich
schneller erfolgen. Sie können die maximale Speicherdauer und die maximale Anzahl von Einträgen
im PMK-Cache festlegen. Bei einer Vorauthentifizierung kann ein Drahtlosclient mit anderen drahtlosen Zugriffspunkten bereits eine 802.1X-Authentifizierung durchführen, während er noch mit seinem aktuellen Zugriffspunkt verbunden ist. Wechselt der Drahtlosclient anschließend zu einem drahtlosen Zugriffspunkt, mit dem bereits eine Vorauthentifizierung erfolgt ist, ist die Zugriffszeit deutlich
kürzer. Sie können die maximale Anzahl an Vorauthentifizierungsversuchen mit einem drahtlosen
Zugriffspunkt einstellen.
Hinweis Der schnelle Wechsel zu einem anderen Zugriffspunkt (fast roaming) mit WPA2 ist etwas anderes als eine schnelle Wiederherstellung der Verbindung (fast reconnect). Bei der schnellen Wiederherstellung von Verbindungen wird in drahtlosen Umgebungen die Verzögerung minimiert, die entsteht, wenn ein
Drahtlosclient mit PEAP von einem drahtlosen Zugriffspunkt zu einem anderen wechselt. Bei der schnellen
Wiederherstellung von Verbindungen speichert der Netzwerkrichtlinienserver (Network Policy Server, NPS)
Informationen über die PEAP-TLS-Sitzung, damit der Drahtlosclient bei einer Wiederherstellung der Verbindung keine PEAP-Authentifizierung durchzuführen braucht, sondern nur eine MS-CHAP v2-Authentifizierung (für PEAP-MS-CHAP v2) oder eine TLS-Authentifizierung (für PEAP-TLS). Die schnelle Wiederherstellung von Verbindungen ist für Windows-Drahtlosclients und NPS-Netzwerkrichtlinien standardmäßig
aktiviert.
Mit einem letzten Kontrollkästchen können Sie angeben, ob die AES-Verschlüsselung in einem FIPS
104-2-zertifizierten Modus erfolgen soll (FIPS steht für Federal Information Processing Standard).
FIPS 140-2 ist ein Sicherheitsstandard der amerikanischen Regierung für Computer, der bestimmte
Anforderungen an den Entwurf und die Implementierung von Kryptografiemodule stellt. Windows
Server 2008 und Windows Vista sind FIPS 140-2-zertifiziert. Wenn Sie den Modus FIPS 140-2-Zertifizierung aktivieren, führen Windows Server 2008 und Windows Vista die AES-Verschlüsselung mit
Software durch, statt sich auf den Drahtlosnetzwerkadapter zu verlassen. Dieses Kontrollkästchen
wird nur angezeigt, wenn Sie auf der Registerkarte Sicherheit die Authentifizierungsmethode WPA2Enterprise wählen.
Windows XP-Drahtlosnetzwerkrichtlinie
Um eine neue Windows XP-Drahtlosnetzwerkrichtlinie zu erstellen, klicken Sie in der Strukturansicht
des Snap-Ins Gruppenrichtlinienverwaltungs-Editor mit der rechten Maustaste auf Drahtlosnetzwerkrichtlinien (IEEE 802.11) und klicken dann auf Eine neue Windows XP-Richtlinie erstellen. Das
Eigenschaftendialogfeld einer Windows XP-Drahtlosrichtlinie weist die beiden Registerkarten Allgemein und Bevorzugte Netzwerke auf.
Abbildung 10.10 zeigt die Registerkarte Allgemein einer Windows XP-Drahtlosnetzwerkrichtlinie.
Auf der Registerkarte Allgemein können Sie einen Namen und eine Beschreibung für die Richtlinie
eingeben und festlegen, ob der automatische Windows-WLAN-Konfigurationsdienst aktiviert ist,
welche Netzwerkarten gewünscht sind (alle verfügbaren Netzwerke, nur Infrastrukturnetzwerke oder
nur Ad-hoc-Netzwerke) und ob auch zu nicht bevorzugten Netzwerken automatisch eine Verbindung
hergestellt werden soll.
Abbildung 10.11 zeigt die Registerkarte Bevorzugte Netzwerke einer Windows XP-Drahtlosrichtlinie.
Auf der Registerkarte Bevorzugte Netzwerke können Sie eine Liste der bevorzugten Drahtlosnetzwerke verwalten und die einzelnen Netzwerke dabei in der Reihenfolge angeben, in der Verbindungsversuche erfolgen sollen. Um auf der Registerkarte Bevorzugte Netzwerke des Eigenschaftendialogfelds
der Windows XP-Drahtlosrichtlinie Netzwerke zu verwalten, können Sie entweder ein vorhandenes
Profil auswählen und dann auf Bearbeiten klicken, oder Sie klicken auf Hinzufügen und wählen dann,
307
ob das neue Drahtlosprofil für ein Infrastruktur- oder für ein Ad-hoc-Netzwerk vorgesehen ist. Das
Eigenschaftendialogfeld eines bevorzugten Drahtlosnetzwerks weist die beiden Registerkarten Netzwerkeigenschaften und IEEE 802.1X auf.
Abbildung 10.10 Die Registerkarte Allgemein einer Windows XP-Drahtlosnetzwerkrichtlinie
Abbildung 10.11 Die Registerkarte Bevorzugte Netzwerke einer Windows XP-Drahtlosrichtlinie
Abbildung 10.12 zeigt die Registerkarte Netzwerkeigenschaften für ein bevorzugtes Infrastrukturnetzwerk.
Auf der Registerkarte Netzwerkeigenschaften können Sie eine Beschreibung des bevorzugen Netzwerks eingeben und angeben, ob es sich um ein Netzwerk ohne Broadcastausstrahlung (Infrastruktur)
handelt. Außerdem können Sie die Authentifizierungs- und Verschlüsselungsmethoden auswählen und
308
für WPA2 auch die Einstellungen für die schnelle Serverspeicherung (den schnellen Wechsel der
Zugriffspunkte) vornehmen.
Abbildung 10.12 Die Registerkarte Netzwerkeigenschaften für ein bevorzugtes Infrastrukturnetzwerk
Abbildung 10.13 Die Registerkarte IEEE 802.1X für ein bevorzugtes Infrastrukturnetzwerk
Abbildung 10.13 zeigt die Standardregisterkarte IEEE 802.1X für ein bevorzugtes Drahtlosnetzwerk.
Auf der Registerkarte IEEE 802.1X können Sie den EAP-Typ angeben und die entsprechenden Einstellungen vornehmen. Außerdem können Sie festlegen, wann die EAPOL-Startmeldung gesendet
309
werden soll, welcher Authentifizierungsmodus verwendet wird und ob die Anmeldung mit den Anmeldeinformationen des Computers erfolgt oder als Gast. Mit den letzten Optionen auf der Registerkarte nehmen Sie erweiterte 802.1X-Einstellungen vor.
Konfiguration auf der Befehlszeile
Unter Windows Vista können Sie einige der Einstellungen, die in den Eigenschaftendialogfeldern der
drahtlosen Verbindungen aus dem Ordner Netzwerkverbindungen oder in der Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien (IEEE 802.11) erfolgen, auch auf einer Befehlszeile vornehmen. Die Konfiguration der Drahtlosnetzwerke auf der Befehlszeile kann in folgenden Situationen die
Bereitstellung von drahtlosen Netzwerken erleichtern:
Automatisches Einstellen der Drahtlosnetzwerke mit Skripts (ohne Gruppenrichtlinien) Die Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung ist nur in einer Active Directory-Domäne wirksam. In einer Umgebung, in der es keine Gruppenrichtlinieninfrastruktur gibt,
kann ein Skript verwendet werden, das die Konfiguration der Drahtlosverbindungen automatisch
durchführt. Das Skript lässt sich manuell starten oder automatisch, zum Beispiel im Rahmen eines
Skripts bei der Anmeldung.
Hinzufügen eines Drahtlosclients zum geschützten drahtlosen Netzwerks einer Organisation Ein Drahtlosclientcomputer, der nicht Mitglied der Domäne ist, kann keine Verbindung mit dem geschützten Drahtlosnetzwerk der Organisation aufnehmen. Der Computer kann aber erst dann ein
Mitglied der Domäne werden, wenn er erfolgreich eine Verbindung mit dem geschützten Drahtlosnetzwerk der Organisation hergestellt hat. Ein Befehlszeilenskript bietet eine Methode, um eine
Verbindung mit dem geschützten Drahtlosnetzwerk einer Organisation herzustellen und der
Domäne beizutreten.
Um die Konfiguration von Drahtlosclients durchzuführen, auf denen Windows Vista oder Windows
Server 2008 ausgeführt wird, geben Sie den Befehl netsh wlan mit den entsprechenden Parametern ein.
Weitere Informationen Informationen über die Syntax des Befehls netsh wlan finden Sie in »Netsh
Commands for Wireless Local Area Network (WLAN)« unter http://go.microsoft.com/fwlink/?LinkID=81751.
XML-Drahtlosnetzwerkprofile
Um für Drahtlosclients, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird, die
Konfiguration auf der Befehlszeile zu erleichtern, können Sie die Konfiguration eines Drahtlosprofils
in eine XML-Datei exportieren, die sich anschließend auf anderen Drahtlosclients importieren lässt.
Sie können ein Drahtlosprofil auf dem Drahtlosclient mit dem Befehl netsh wlan export profile
exportieren oder auf der Registerkarte Allgemein des Eigenschaftendialogfelds der Windows VistaDrahtlosrichtlinie. Für den Import eines Drahtlosprofils verwenden Sie den Befehl netsh wlan add
profile.
Planungsaspekte für Drahtlosclients
Bei der Planung des drahtlosen Netzwerks sollten Sie für die Clients außerdem folgende Aspekte berücksichtigen:
Wenn Sie verhindern möchten, dass Ihre Windows Vista- oder Windows Server 2008-Drahtlosclients mit bestimmten drahtlosen Netzwerken Verbindungen herstellen, richten Sie auf der Registerkarte Netzwerkberechtigungen des Eigenschaftendialogfelds der Windows Vista-Drahtlosrichtlinie eine Liste der abgelehnten Drahtlosnetzwerke ein oder verwenden den Befehl netsh wlan add
filter.
310

Wenn Sie Ihre Windows Vista- oder Windows Server 2008-Drahtlosclients so konfigurieren
möchten, dass nur zu bestimmten Netzwerken Verbindungen hergestellt werden, stellen Sie auf
der Registerkarte Netzwerkberechtigungen des Eigenschaftendialogfelds der Windows VistaDrahtlosrichtlinie eine Liste der zugelassenen Netzwerke zusammen oder verwenden den Befehl
netsh wlan add filter.
Anforderungen an Drahtlosclients
Drahtlosclients müssen bestimmte Voraussetzungen erfüllen:
Wenn WPA2 verwendet werden soll, muss auf den Drahtlosclients Windows XP mit SP2 und dem
WPA2-Update für Windows XP mit Service Pack 2, Windows Vista oder Windows Server 2008
ausgeführt werden.
Die Konfiguration auf der Befehlszeile mit dem Befehl netsh wlan, der Export und Import von
XML-Drahtlosprofilen und die einmalige Anmeldung (Single Sign-On) werden nur von Drahtlosclients unterstützt, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird.
Um eine 802.1X-Erzwingung mit Netzwerkzugriffsschutz bereitzustellen, müssen Sie Ihre Drahtlosclients auf eine Authentifizierungsmethode auf der Basis von PEAP einstellen.
Empfehlungen für Drahtlosclients
Für Drahtlosclients gelten folgende Empfehlungen:
Wenn nur eine kleine Anzahl von Drahtlosclients eingerichtet werden muss, können Sie die Clients
manuell konfigurieren.
Für eine unternehmensweite Bereitstellung eines Drahtlosnetzwerks in einer Active DirectoryUmgebung verwenden Sie die Gruppenrichtlinienerweiterung Drahtlosnetzwerkrichtlinien
(IEEE 802.11).
Für eine Bereitstellung eines Drahtlosnetzwerks mit Skripts erstellen Sie XML-Drahtlosprofile
und konfigurieren die Drahtlosclients mit einem Skript, das den Befehl netsh wlan add profile
enthält.
PKI
Um drahtlose Verbindungen mit PEAP-TLS oder EAP-TLS authentifizieren zu können, muss eine
PKI (Public Key Infrastructure) vorhanden sein, die für Drahtlosclients Computer- und Benutzerzertifikate ausstellen kann, und für RADIUS-Server Computerzertifikate. Für eine Authentifizierung auf
der Basis von PEAP-MS-CHAP v2 ist keine PKI erforderlich. Es ist auch möglich, von einem anderen Anbieter Zertifikate zu kaufen und auf den NPS-Servern zu installieren. Dann müssen Sie wahrscheinlich auch das Stammzertifizierungsstellenzertifikat der Computerzertifikate dieses Anbieters auf
Ihren Drahtlosclientcomputern installieren.
PKI für Smartcards
Die Verwendung von Smartcards zur Benutzerauthentifizierung stellt unter Windows die sicherste
Form der Benutzerauthentifizierung dar. Für drahtlose Verbindungen können Sie bei den Authentifizierungsmethoden EAP-TLS oder PEAP-TLS Smartcards einsetzen. Die einzelnen Smartcards werden an Benutzer ausgegeben, die über einen Computer mit einem Smartcardleser verfügen. Um sich
am Computer anzumelden, muss der Benutzer die Smartcard in den Smartcardleser einlegen und die
PIN (Personal Identification Number) der Smartcard eingeben. Wenn der Benutzer versucht, eine
311
drahtlose Verbindung herzustellen, wird im Zuge dieses Vorgangs auch das Smartcardzertifikat übermittelt.
PKI für Benutzerzertifikate
Statt Smartcards können zur Benutzerauthentifizierung auch Benutzerzertifikate verwendet werden,
die in der Windows-Registrierung gespeichert wurden. Allerdings ist diese Art der Authentifizierung
nicht so sicher wie eine Smartcard. Wird eine Smartcard verwendet, steht das ausgestellte Benutzerzertifikat nur dann zur Authentifizierung zur Verfügung, wenn der Benutzer im Besitz der Smartcard
ist und die PIN kennt, mit der die Anmeldung am Computer erfolgt. Bei der Verwendung von Benutzerzertifikaten steht das Benutzerzertifikat zur Authentifizierung zur Verfügung, wenn sich der Benutzer mit einem Domänenbenutzernamen und dem dazugehörigen Kennwort am Computer anmeldet.
Wie Smartcards können Benutzerzertifikate bei der Authentifizierung von Drahtlosnetzwerkverbindungen mit EAP-TLS oder PEAP-TLS verwendet werden.
Um Ihre Organisationen mit Benutzerzertifikaten zu versorgen, bauen Sie zuerst eine PKI auf. Dann
müssen Sie für jeden Benutzer ein Benutzerzertifikat installieren. Am einfachsten ist dies, wenn die
Windows-Zertifikatdienste als Unternehmenszertifizierungsstelle installiert werden. Dann konfigurieren Sie mit Gruppenrichtlinien eine automatische Registrierung für die Ausstellung von Benutzerzertifikaten. Weitere Informationen finden Sie im Abschnitt »Bereitstellen von Zertifikaten« dieses Kapitels.
Wenn der Drahtlosclient für eine drahtlose Verbindung eine Benutzerauthentifizierung durchführen
möchte, übermittelt der Drahtlosclient im Rahmen dieses Vorgangs das Benutzerzertifikat.
PKI für Computerzertifikate
Computerzertifikate werden für die Computerauthentifizierung von Drahtloszugriffen mit den
Authentifizierungsmethoden EAP-TLS oder PEAP-TLS in der Windows-Registrierung gespeichert.
Um Ihre Organisationen mit Computerzertifikaten zu versorgen, bauen Sie zuerst eine PKI auf. Dann
müssen Sie auf jedem Computer ein Computerzertifikat installieren. Am einfachsten ist das, wenn die
Windows Active Directory-Zertifikatdienste oder die Zertifikatdienste als Unternehmenszertifizierungsstelle installiert werden. Dann konfigurieren Sie mit Gruppenrichtlinien eine automatische
Registrierung für die Ausstellung von Computerzertifikaten. Weitere Informationen finden Sie im
Abschnitt »Bereitstellen von Zertifikaten« dieses Kapitels.
Wenn der Drahtlosclient für eine drahtlose Verbindung eine Computerauthentifizierung durchführen
möchte, übermittelt der Drahtlosclient im Rahmen dieses Vorgangs das Computerzertifikat.
Anforderungen an eine PKI
Eine PKI für ein geschütztes Drahtlosnetzwerk muss einige Anforderungen erfüllen:
Für eine Computerauthentifizierung mit EAP-TLS oder PEAP-TLS müssen Sie auf jedem Drahtlosclient ein Computerzertifikat installieren (auch Maschinenzertifikat genannt).
Das Computerzertifikat des Drahtlosclients muss gültig sein und sich von NPS-Servern überprüfen lassen. Die NPS-Server müssen über ein Stammzertifizierungsstellenzertifikat für die Zertifizierungsstelle verfügen, die das Computerzertifikat des Drahtlosclients ausgestellt hat.
Für eine Benutzerauthentifizierung mit EAP-TLS oder PEAP-TLS müssen Sie eine Smartcard
verwenden oder auf jedem Drahtlosclient ein Benutzerzertifikat installieren.
Die Smartcard- oder die Benutzerzertifikate der Drahtlosclients müssen gültig sein und sich von
den NPS-Servern überprüfen lassen. Die NPS-Server müssen über ein Stammzertifizierungsstel-
312

lenzertifikat für die Zertifizierungsstellen verfügen, die die Smartcard- oder Benutzerzertifikate
der Drahtlosclients ausgestellt haben.
Sie müssen auf jedem Drahtlosclient das Stammzertifizierungsstellenzertifikat der ausstellenden
Zertifizierungsstelle der Computerzertifikate der NPS-Server installieren.
Die Computerzertifikate der NPS-Server müssen gültig und für jeden Drahtlosclient überprüfbar
sein. Die Drahtlosclients müssen über das Stammzertifizierungsstellenzertifikat der ausstellenden
Zertifizierungsstellen verfügen, die die Computerzertifikate der NPS-Server ausgestellt haben.
Für eine EAP-TLS-Authentifizierung müssen das Benutzer-, Smartcard- oder Computerzertifikat
des Drahtlosclients folgende Bedingungen erfüllen:
Das Zertifikat muss einen geheimen Schlüssel enthalten.
Das Zertifikat muss von einer Unternehmenszertifizierungsstelle ausgestellt oder in Active
Directory mit einem Benutzer- oder Computerkonto verknüpft worden sein.
Für das Zertifikat muss auf dem NPS-Server eine Zertifikatkette zu einer vertrauenswürdigen
Stammzertifizierungsstelle bestehen und es muss alle Prüfungen bestehen, die vom CryptoAPI
durchgeführt und in den Netzwerkrichtlinien für drahtlose Verbindungen angegeben werden.
Das Zertifikat muss für die Clientauthentifizierung vorgesehen sein (es enthält im Feld
Erweiterte Schlüsselverwendung den Eintrag Clientauthentifizierung mit der Objektkennung
1.3.6.1.5.5.7.3.2).
Das Feld Alternativer Antragstellername muss den Benutzerprinzipalnamen (User Principal
Name, UPN) des Benutzer- oder Computerkontos enthalten.
Für eine EAP-TLS-Authentifizierung muss das Computerzertifikat des NPS-Servers folgende
Bedingungen erfüllen:
Das Zertifikat muss einen geheimen Schlüssel enthalten.
Das Feld Antragsteller muss einen Wert enthalten.
Für das Zertifikat muss auf den Drahtlosclients eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle bestehen und es muss alle Prüfungen bestehen, die vom
CryptoAPI durchgeführt und in den Netzwerkrichtlinien für drahtlose Verbindungen angegeben werden.
Das Zertifikat muss für die Serverauthentifizierung vorgesehen sein (es enthält im Feld
Erweiterte Schlüsselverwendung den Eintrag Serverauthentifizierung mit der Objektkennung
1.3.6.1.5.5.7.3.1).
Das Zertifikat muss mit dem erforderlichen CSP-Wert (Cryptographic Service Provider) des
Anbieters Microsoft RSA SChannel Cryptographic Provider konfiguriert sein.
Wird das Feld Alternativer Antragstellername des Zertifikats benutzt, muss es den DNS-Namen
des NPS-Servers enthalten.
Empfehlungen für eine PKI
Für eine PKI, die den geschützten Drahtloszugriff ermöglichen soll, gelten folgende Empfehlungen:
Wenn Sie zur Erstellung von Computerzertifikaten für EAP-TLS oder PEAP-TLS eine Windows
Server 2008-Unternehmenszertifizierungsstelle als ausstellende Zertifizierungsstelle verwenden,
konfigurieren Sie Ihre Active Directory-Domäne mit einer Computerkonfigurationsgruppenrichtlinie für die automatische Registrierung von Computerzertifikaten. Jeder Computer, der Mitglied
der Domäne ist, fordert dann nach der nächsten Aktualisierung der Computerkonfigurationsgruppenrichtlinien automatisch ein Computerzertifikat an.

313
Wenn Sie zur Erstellung von Benutzerzertifikaten für EAP-TLS oder PEAP-TLS, die in der Registrierung gespeichert werden, eine Windows Server 2008-Unternehmenszertifizierungsstelle als
ausstellende Zertifizierungsstelle verwenden, konfigurieren Sie Ihre Active Directory-Domäne mit
einer Benutzerkonfigurationsgruppenrichtlinie für die automatische Registrierung von Benutzerzertifikaten. Jeder Benutzer, der sich erfolgreich bei der Domäne anmeldet, fordert dann nach der
nächsten Aktualisierung der Benutzerkonfigurationsgruppenrichtlinien automatisch ein Benutzerzertifikat an.
Wenn Sie für Ihre NPS-Server von einem anderen Anbieter Computerzertifikate für die PEAPMS-CHAP v2-Authentifizierung gekauft haben und die Drahtlosclients nicht über das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des
NPS-Servers verfügen, sorgen Sie mit einer entsprechenden Gruppenrichtlinie dafür, dass das
Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des NPS-Servers auf Ihren Drahtlosclients installiert wird. Jeder Computer, der Mitglied der
Domäne ist, erhält und installiert dann automatisch das Stammzertifizierungsstellenzertifikat,
wenn die Computerkonfigurationsgruppenrichtlinien aktualisiert werden.
Für die EAP-TLS-, PEAP-TLS- und PEAP-MS-CHAP v2-Authentifizierung ist es möglich, Drahtlosclients so einzustellen, dass sie das Zertifikat des NPS-Servers nicht überprüfen. In diesem Fall
ist es nicht erforderlich, auf den NPS-Servern Computerzertifikate und auf den Drahtlosclients die
dazugehörigen Stammzertifizierungsstellenzertifikate zu installieren. Allerdings wird empfohlen,
dass Drahtlosclients die Zertifikate des NPS-Servers überprüfen, damit sich Drahtlosclients und
NPS-Server gegenseitig überprüfen können. Durch eine gegenseitige Authentifizierung können
Sie Ihre Drahtlosclients davor schützen, eine Verbindung mit irgendeinem nichtautorisierten drahtlosen Zugriffspunkt herzustellen, der mit ebenfalls nichtautorisierten Zugriffsservern arbeitet.
NAP für Windows Server 2008, Windows Vista und Windows XP mit Service Pack 3 bietet Komponenten und Programmierschnittstellen (Application Programming Interfaces, APIs), mit denen Sie die
Einhaltung der Integritätsrichtlinien für den Netzwerkzugriff oder die Netzwerkkommunikation erzwingen können. Entwickler und Netzwerkadministratoren können Lösungen für die Überprüfung
von Computern entwickeln, die Verbindungen mit ihren Netzwerken herstellen, erforderliche Updates
oder den Zugriff auf erforderliche Ressourcen zur Verfügung stellen und den Zugriff durch nicht konforme Computer einschränken.
Die 802.1X-Erzwingung ist eine der NAP-Erzwingungsmethoden von Windows Server 2008, Windows Vista und Windows XP. Bei der 802.1X-Erzwingung muss ein mit 802.1X authentifizierter
Drahtlosclient beweisen, dass er die Integritätsanforderungen des Systems erfüllt, bevor er Zugang
zum Intranet erhält. Hält ein Drahtlosclient die Integritätsanforderungen des Systems nicht ein, verschiebt der drahtlose Zugriffspunkt den Drahtlosclient in ein eingeschränktes Netzwerk, in denen die
Server verfügbar sind, die erforderlich sind, um den Drahtlosclient so weit aufzurüsten, dass er die
Integritätsregeln einhält. Der drahtlose Zugriffspunkt erreicht diese Einschränkung des Zugriffs durch
Paketfilter oder durch eine entsprechende VLAN-Kennung, die der Drahtlosverbindung zugewiesen
wird. Nach der Korrektur des Integritätszustands kann der Drahtlosclient seinen Integritätszustand
erneut überprüfen lassen. Sofern er konform ist, werden die Beschränkungen aufgehoben, denen er im
eingeschränkten Teil des Drahtlosnetzwerks unterliegt.
Damit die 802.1X-Erzwingung funktioniert, müssen Sie über ein geschütztes Drahtlosnetzwerk verfügen, das eine Authentifizierungsmethode auf der Basis von PEAP verwendet. Einzelheiten über die
314
Bereitstellung der 802.1X-Erzwingung nach dem erfolgreichen Aufbau eines geschützten Drahtlosnetzwerks finden Sie in Kapitel 17.
Bereitstellen von geschütztem Drahtloszugriff
Um mit Windows Server 2008 und Windows Vista ein geschütztes Drahtlosnetzwerk aufzubauen,
1. Stellen Sie die erforderlichen Zertifikate bereit.
2. Konfigurieren Sie Active Directory für Benutzerkonten und -Gruppen.
3. Konfigurieren Sie NPS-Server.
4. Stellen Sie drahtlose Zugriffspunkte bereit.
5. Konfigurieren Sie die Drahtlosclients.
Bereitstellen von Zertifikaten
In den folgenden Authentifizierungskonfigurationen braucht jeder Drahtlosclient ein Computerzertifikat:
Computerauthentifizierung mit EAP-TLS oder PEAP-TLS und Computerzertifikaten Jeder Drahtlosclient braucht ein Computerzertifikat.
Benutzerauthentifizierung mit EAP-TLS oder PEAP-TLS und mit Smartcard oder registrierungsbasierten
Benutzerzertifikaten Jeder Drahtlosbenutzer braucht eine Smartcard oder jeder Drahtlosclientcomputer braucht ein Benutzerzertifikat.
Benutzer- oder Computerauthentifizierung mit PEAP-MS-CHAP v2 Jeder Drahtlosclient braucht das
Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Computerzertifikats des NPS-Servers.
Bereitstellen von Computerzertifikaten
Zur Installation von Computerzertifikaten für eine EAP-TLS- oder PEAP-TLS-Authentifizierung
muss eine PKI vorhanden sein, die diese Zertifikate ausstellen kann. Sobald diese PKI vorhanden ist,
können Sie auf folgende unterschiedliche Weisen auf Drahtlosclients und NPS-Servern Computerzertifikate installieren:
Durch das Konfigurieren der automatischen Registrierung von Computerzertifikaten auf den
Computern einer Active Directory-Domäne (empfohlen)
Durch die Anforderung eines Computerzertifikats mit dem Zertifikate-Snap-In
Durch den Import eines Computerzertifikats mit dem Zertifikate-Snap-In
Durch die Ausführung eines CAPICOM-Skripts, das ein Computerzertifikat anfordert
Weitere Informationen finden Sie im Abschnitt »Bereitstellen der Public-Key-Infrastruktur« von
Kapitel 9.
Bereitstellen von Benutzerzertifikaten
Auf folgende Arten können Sie auf Drahtlosclients Benutzerzertifikate installieren:
Durch das Konfigurieren der automatischen Registrierung von Benutzerzertifikaten für die Benutzer in einer Active Directory-Domäne (empfohlen)
Durch die Anforderung eines Benutzerzertifikats mit dem Zertifikate-Snap-In
315
Durch den Import eines Benutzerzertifikats mit dem Zertifikate-Snap-In
Durch das Anfordern eines Zertifikats über das Web
Durch die Ausführung eines CAPICOM-Skripts, das ein Benutzerzertifikat anfordert
Weitere Informationen finden Sie im Abschnitt »Bereitstellen der Public-Key-Infrastruktur« von
Kapitel 9.

Bereitstellen von Stammzertifizierungsstellenzertifikaten
Wenn Sie eine PEAP-MS-CHAP v2-Authentifizierung einsetzen, müssen Sie wahrscheinlich auf
Ihren Drahtlosclients die Stammzertifizierungsstellenzertifikate der Computerzertifikate Ihrer NPSServer installieren. Falls das Stammzertifizierungsstellenzertifikat des Ausstellers der Computerzertifikate, die auf den NPS-Servern installiert sind, bereits als Stammzertifizierungsstellenzertifikate auf
Ihren Drahtlosclients installiert ist, ist keine weitere Konfiguration erforderlich. Handelt es sich bei
Ihrer Stammzertifizierungsstelle zum Beispiel um eine Online-Stammzertifizierungsstelle auf der Basis
von Windows Server 2008, wird das Stammzertifizierungsstellenzertifikat über Gruppenrichtlinien
automatisch auf jedem Computer installiert, der Mitglied der Domäne ist.
Bei der Überprüfung, ob auf Ihren Drahtlosclients das korrekte Stammzertifizierungsstellenzertifikat
installiert ist, müssen Sie auf zwei Punkte achten:
Wie heißt die Stammzertifizierungsstelle der Computerzertifikate, die auf den NPS-Servern installiert wurden?
Wurde auf Ihren Drahtlosclients ein Zertifikat der Stammzertifizierungsstelle installiert?
So bestimmen Sie die Stammzertifizierungsstelle der Computerzertifikate der NPS-Server
1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des NPSServers den Knoten Zertifikate (Lokaler Computer oder Computername), erweitern Sie dann den
Knoten Eigene Zertifikate und klicken Sie auf Zertifikate.
2. Klicken Sie im Detailbereich mit einem Doppelklick auf das Computerzertifikat, das vom NPSServer für die PEAP-MS-CHAP v2-Authentifizierung verwendet wird.
3. Achten Sie im Eigenschaftendialogfeld Zertifikate auf der Registerkarte Zertifizierungspfad auf
den Namen am Anfang des Zertifizierungspfads. Das ist der Name der Stammzertifizierungsstelle.
So finden Sie heraus, ob auf Ihrem Drahtlosclient ein Zertifikat von der Stammzertifizierungsstelle
installiert ist
1. Erweitern Sie in der Strukturansicht des Zertifikate-Snap-Ins für das Computerkonto des Drahtlosclients den Knoten Zertifikate (Lokaler Computer oder Computername), erweitern Sie dann
den Knoten Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie auf Zertifikate.
2. Überprüfen Sie im Detailbereich, ob in der Liste der Zertifikate der Name der Stammzertifizierungsstelle der Computerzertifikate zu finden ist, die für den NPS-Server ausgestellt wurden.
Sie müssen die Stammzertifizierungsstellenzertifikate der Herausgeber der Computerzertifikate der
NPS-Server auf jedem Drahtlosclient installieren, auf dem sie noch nicht verfügbar sind. Am einfachsten lassen sich Stammzertifizierungsstellenzertifikate über Gruppenrichtlinien auf allen Drahtlosclients installieren. Weitere Informationen finden Sie im Abschnitt »Bereitstellen der Public-KeyInfrastruktur« von Kapitel 9.
316
Konfigurieren von Active Directory für Konten und Gruppen
Zur Vorbereitung von Active Directory für den Drahtloszugriff konfigurieren Sie die Benutzer- und
Computerkonten, die für die Authentifizierung der drahtlosen Verbindungen verwendet werden, auf
folgende Weise:
Stellen Sie auf der Registerkarte Einwählen die Netzwerkzugriffsberechtigung auf Zugriff gestatten oder Zugriff über NPS-Netzwerkrichtlinien steuern. Bei dieser Einstellung wird der Zugang
zum Netzwerk mit den NPS-Netzwerkrichtlinien gesteuert. Standardmäßig wird die Netzwerkzugriffsberechtigung in neuen Benutzer- und Computerkonten auf Zugriff über NPS-Netzwerkrichtlinien steuern gestellt.
Fassen Sie die Computer- und Benutzerkonten zu geeigneten universellen oder globalen Gruppen
zusammen, um die Verwaltung des Netzwerkzugriffs zu vereinfachen.
Konfigurieren der NPS-Server
Konfigurieren Sie Ihre NPS-Server, wie in Kapitel 9 beschrieben. Gehen Sie dazu folgendermaßen
vor:
1. Installieren Sie auf jedem NPS-Server ein Computerzertifikat.
2. Installieren Sie auf jedem NPS-Server bei Bedarf die Stammzertifizierungsstellenzertifikate der
Computer- oder Benutzerzertifikate der Drahtlosclients.
3. Konfigurieren Sie auf dem primären NPS-Server die Protokollierung.
4. Fügen Sie zum primären NPS-Server die RADIUS-Clients (die drahtlosen Zugriffspunkte) hinzu.
5. Erstellen Sie auf dem primären NPS-Server die Richtlinien, die zusammen mit den Gruppen, zu
denen die für Drahtloszugriffe vorgesehenen Konten gehören, die drahtlosen Zugriffe steuern.
Einzelheiten zu den Schritten 1 bis 4 finden Sie in Kapitel 9.
So erstellen Sie Richtlinien für drahtlose Verbindungen
1. Klicken Sie in der Strukturansicht des Netzwerkrichtlinienserver-Snap-Ins auf NPS.
2. Wählen Sie im Detailbereich aus der Dropdownliste unter Standardkonfiguration die Konfiguration RADIUS-Server für drahtlose oder verkabelte 802.1X-Verbindungen aus und klicken Sie dann
auf 802.1X konfigurieren.
3. Wählen Sie auf der Seite 802.1X-Verbindungstyp auswählen des Assistenten zum Konfigurieren
von 802.1X die Option Sichere Drahtlosverbindungen und geben Sie dann im Textfeld Name
einen Namen für die Richtlinie ein (oder verwenden Sie den Namen, den der Assistent vorgibt).
4. Fügen Sie auf der Seite 802.1X-Switches angeben nach Bedarf die RADIUS-Clients hinzu (in diesem Fall also Ihre drahtlosen Zugriffspunkte). Klicken Sie auf Weiter.
5. Stellen Sie auf der Seite Authentifizierungsmethode konfigurieren den gewünschten EAP-Typ ein,
der für die drahtlosen Verbindungen verwendet werden soll.
Zur Konfiguration von EAP-TLS wählen Sie in der Dropdownliste Typ den Eintrag Microsoft:
Smartcard- oder anderes Zertifikat und klicken dann auf Konfigurieren. Wählen Sie im Dialogfeld
Smartcard- oder andere Zertifikateigenschaften das Computerzertifikat aus, das für drahtlose Verbindungen verwendet werden soll, und klicken Sie dann auf OK. Wenn Sie das Zertifikat nicht
auswählen können, unterstützt der Kryptografiedienstanbieter für das Zertifikat SChannel (Secure
317
Channel) nicht. Die SChannel-Unterstützung ist aber erforderlich, damit NPS das Zertifikat für
die EAP-TLS-Authentifizierung verwenden kann.
Zur Konfiguration von PEAP-MS-CHAP v2 wählen Sie in der Dropdownliste Typ den Eintrag
Microsoft: Geschütztes EAP (PEAP) und klicken dann auf Konfigurieren. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP bearbeiten das Computerzertifikat aus, das für die drahtlosen Verbindungen verwendet werden soll, und klicken Sie dann auf OK. Wenn Sie das Zertifikat
nicht auswählen können, unterstützt der Kryptografiedienstanbieter für das Zertifikat SChannel
(Secure Channel) nicht. Die SChannel-Unterstützung ist aber erforderlich, damit NPS das Zertifikat für die PEAP-Authentifizierung verwenden kann.
Zur Konfiguration von PEAP-TLS wählen Sie in der Dropdownliste Typ den Eintrag Microsoft:
Geschütztes EAP (PEAP) und klicken dann auf Konfigurieren. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP bearbeiten das Computerzertifikat aus, das für die drahtlosen Verbindungen verwendet werden soll. Wenn Sie das Zertifikat nicht auswählen können, unterstützt
der Kryptografiedienstanbieter für das Zertifikat SChannel (Secure Channel) nicht. Klicken Sie
unter EAP-Typen auf Gesichertes Kennwort (EAP-MSCHAP v2) und dann auf Entfernen. Klicken
Sie auf Hinzufügen. Klicken Sie im Dialogfeld EAP hinzufügen auf Smartcard- oder anderes Zertifikat und dann auf OK. Klicken Sie im Dialogfeld Eigenschaften für geschütztes EAP bearbeiten
unter EAP-Typen auf Smartcard- oder anderes Zertifikat und klicken Sie dann auf Bearbeiten.
Wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften das Computerzertifikat
aus, das für die drahtlosen Verbindungen verwendet werden soll, und klicken Sie dann auf OK.
Wenn Sie das Zertifikat nicht auswählen können, unterstützt der Kryptografiedienstanbieter für
das Zertifikat SChannel (Secure Channel) nicht. Schließen Sie die beiden geöffneten Dialogfelder
jeweils mit einem Klick auf OK.
6. Klicken Sie auf Weiter. Fügen Sie auf der Seite Benutzergruppen angeben die Gruppen mit den
Konten für drahtlose Computer und Benutzer hinzu (beispielsweise eine von Ihnen definierte
Gruppe DrahtlosKonten).
7. Klicken Sie auf der Seite VLAN (virtuelles LAN) konfigurieren auf Konfigurieren, falls Sie
RADIUS-Attribute und deren Werte angeben möchten, mit denen Ihre drahtlosen Zugriffspunkte
für das passende VLAN konfiguriert werden. Klicken Sie auf Weiter.
8. Klicken Sie auf der Seite Abschließen neuer sicherer verkabelter und drahtloser IEEE 802.1XVerbindungen und RADIUS-Clients auf Fertig stellen.
Nachdem Sie auf dem primären NPS-Server die gewünschte Protokollierung eingestellt, die RADIUSClients hinzugefügt und die Sicherheitseinstellungen vorgenommen haben, kopieren Sie die Konfiguration auf den sekundären und auf alle weiteren vorgesehenen NPS-Server. Weitere Informationen
finden Sie in Kapitel 9.
Bereitstellen drahtloser Zugriffspunkte
Gehen Sie zur Bereitstellung Ihrer drahtlosen Zugriffspunkte folgendermaßen vor:
1. Suchen Sie anhand von Bauplänen nach geeigneten Orten für die Aufstellung von drahtlosen
Zugriffspunkten.
2. Bauen Sie die drahtlosen Zugriffspunkte für einen Test auf.
3. Führen Sie eine Standortüberprüfung (site survey) durch und messen Sie die Signalstärke in allen
Bereichen.
318
4. Suchen Sie bei Bedarf andere Aufstellungsorte für die drahtlosen Zugriffspunkte oder entfernen
Sie Störquellen.
5. Überprüfen Sie den Sendebereich.
6. Tragen Sie die Zahl und Anordnung der drahtlosen Zugriffspunkte in die Baupläne ein.
7. Konfigurieren Sie TCP/IP, das Sicherheitssystem und die RADIUS-Server.
Diese Schritte werden in den folgenden Abschnitten ausführlicher beschrieben.
Hinweis Eine Alternative zur Standortüberprüfung (site survey) besteht darin, einen einzelnen drahtlosen
Zugriffspunkt nacheinander an verschiedenen Stellen aufzustellen und zu überprüfen, ob sich Störungen
ergeben und welche Aufstellungsorte am besten geeignet sind. Auf diese Weise können Sie auch abschätzen, ob sich der Standort überhaupt für ein drahtloses Netzwerk eignet, bevor Sie zahlreiche drahtlose
Zugriffspunkte installieren.
Ermitteln der geeigneten Aufstellungsorte für drahtlose Zugriffspunkte
Beschaffen oder erstellen Sie Pläne von jedem Gebäude und jeder Etage, auf der ein drahtloses Netzwerk verwendet werden soll. Suchen Sie auf den Plänen die Büros, Konferenzräume, Lobbys und andere Bereiche heraus, in denen ein drahtloser Netzwerkzugriff möglich sein soll.
Es kann sinnvoll sein, mit dem Drahtlosnetzwerk das gesamte Gebäude abzudecken, also nicht nur
bestimmte Bereiche innerhalb des Gebäudes. Dadurch lassen sich Verbindungsprobleme vermeiden,
die sonst zum Beispiel entstehen können, wenn jemand mit einem Laptop sein Büro verlässt und den
Laptop in einem anderen Teil des Gebäudes verwenden möchte.
Zeichnen Sie auf den Plänen die Störquellen ein, die sich auf das Drahtlosnetzwerk auswirken können, und kennzeichnen Sie Baumaterialien oder Objekte, die Funksignale schwächen, reflektieren
oder abschirmen. Verteilen Sie die drahtlosen Zugriffspunkte anschließend so, dass kein drahtloser
Zugriffspunkt weiter als etwa 60 bis 65 Meter vom nächsten drahtlosen Zugriffspunkt entfernt ist.
Nachdem Sie auf diese Weise die Aufstellungsorte der drahtlosen Zugriffspunkte ermittelt haben,
müssen Sie die verwendeten Übertragungskanäle bestimmen und jeden drahtlosen Zugriffspunkt auf
seinen vorgesehenen Kanal einstellen.
So wählen Sie die Kanäle für die drahtlosen Zugriffspunkte
1. Finden Sie heraus, welche Drahtlosnetzwerke von anderen Organisationen im selben Gebäude
betrieben werden. Informieren Sie sich über die Aufstellungsorte der drahtlosen Zugriffspunkte
und über die verwendeten Kanäle.
Funksignale durchdringen Decken und Wände. Daher müssen auch drahtlose Zugriffspunkte, die
im Prinzip dicht beieinander stehen, aber vielleicht nur durch eine Decke oder den Fußboden voneinander getrennt sind, auf Kanäle eingestellt werden, die sich möglichst wenig gegenseitig stören. Wenn eine andere Organisation in der Etage über oder unter Ihnen ein Drahtlosnetzwerk betreibt, können die drahtlosen Zugriffspunkte dieser Organisation durchaus Ihr geplantes Netzwerk
stören, und umgekehrt. Informieren Sie daher die benachbarte Organisation über Ihre Pläne und
informieren Sie sich über die Anordnung und die Kanaleinstellung der drahtlosen Zugriffspunkte
dieser Organisation, damit Sie Ihre eigenen drahtlosen Zugriffspunkte auf eine andere Kanalnummer einstellen können.
2. Finden Sie heraus, wo sich die Funksignale verschiedener drahtloser Netzwerke aus Ihrer eigenen
Organisation überlappen.
319
3. Nachdem Sie die Bereiche ermittelt haben, in denen sich Ihr geplantes Drahtlosnetzwerk mit
einem anderen internen oder externen Drahtlosnetzwerk überlappt, weisen Sie Ihren drahtlosen
Zugriffspunkten geeignete Kanalnummern zu.
So weisen Sie den drahtlosen Zugriffspunkten Kanalnummern zu
1. Weisen Sie dem ersten drahtlosen Zugriffspunkt die Kanalnummer 1 zu.
2. Weisen Sie den drahtlosen Zugriffspunkten, die den Sendebereich des ersten drahtlosen Zugriffspunkts überlappen, die Kanäle 6 und 11 zu, um sicherzustellen, dass diese drahtlosen Zugriffspunkte nicht auch andere drahtlose Zugriffspunkte in ihrer Reichweite stören, die auf demselben
Kanal senden.
3. Weisen Sie auch den restlichen drahtlosen Zugriffspunkten nach diesem Muster Kanalnummern
zu. Achten Sie dabei darauf, dass zwei drahtlose Zugriffspunkte, deren Sendebereiche sich überlappen, mindestens fünf Kanäle voneinander getrennt sind.
Bauen Sie die drahtlosen Zugriffspunkte für einen Test auf
Bauen Sie die drahtlosen Zugriffspunkte für einen ersten Test auf. Orientieren Sie sich dabei an den
Aufstellungsorten und Kanalnummern, die Sie bisher auf der Grundlage der Baupläne ermittelt haben.
Führen Sie eine Standortüberprüfung durch
Führen Sie eine Standortüberprüfung (site survey) durch, indem Sie mit einem Laptop, der mit einem
802.11-Drahtlosadapter und einer geeigneten Site-Survey-Software ausgerüstet ist, durch das Gebäude gehen. (Die meisten Drahtlosadapter und drahtlosen Zugriffspunkte werden mit einer Site-SurveySoftware ausgeliefert). Bestimmen Sie die Signalstärken und Bitraten in den Sendebereichen der
installierten drahtlosen Zugriffspunkte.
Optimieren Sie die drahtlosen Zugriffspunkte und entfernen Sie Störungsquellen
In den Bereichen, in denen das Signal zu schwach ist, können Sie folgende Verbesserungen durchführen, damit den Empfängern ein stärkeres Signal zur Verfügung steht:
Stellen Sie die für den ersten Test aufgestellten drahtlosen Zugriffspunkte so um, dass die Signalstärke in den betreffenden Bereichen verbessert wird.
Entfernen Sie Geräte, die störende Signale aussehenden, oder stellen Sie die Geräte woanders auf
(beispielsweise Bluetooth-Geräte oder Mikrowellenherde).
Stellen Sie metallische Gegenstände, die sich auf die Signalausbreitung auswirken, anders auf
oder entfernen Sie diese Gegenstände (beispielsweise Metallschränke oder andere größere metallische Gegenstände).
Fügen Sie weitere drahtlose Zugriffspunkte hinzu, falls die bisherige Anzahl noch nicht ausreicht,
um die Signalstärke zu verbessern.
Hinweis Wenn Sie weitere drahtlose Zugriffspunkte aufstellen, müssen Sie vielleicht die Kanalnummern benachbarter drahtloser Zugriffspunkte ändern.
Kaufen Sie Antennen, die besser zu den Verhältnissen passen, die im Gebäude herrschen.
Sie können zum Beispiel die Interferenzen zwischen drahtlosen Zugriffspunkten verringern, die auf
verschiedenen Etagen stehen, indem Sie Antennen mit einer flachen Ausstrahlungscharakteristik beschaffen (der Sendebereich hat dann zum Beispiel nicht mehr die Form einer Kugel, sondern eines
Donuts). Dadurch schwächt sich die Ausstrahlung in vertikaler Richtung ab.

320
Überprüfen Sie den Sendebereich
Führen Sie eine weitere Standortüberprüfung durch und achten Sie darauf, ob sich die geänderte Konfiguration oder die Umstellung der drahtlosen Zugriffspunkte in der gewünschten Weise auf die Signalstärke auswirkt. Es sollte also keine Bereiche mit zu schwachen Sendesignalen mehr geben.
Aktualisieren Sie Ihre Pläne
Aktualisieren Sie die Gebäude- und Etagenpläne, damit die richtige Anzahl der drahtlosen Zugriffspunkte und die richtigen Aufstellungsorte erkennbar sind. Zeichnen Sie für jeden Zugriffspunkt den
Sendebereich ein und die Abstände, an denen sich die Übertragungsraten ändern.
Konfigurieren des Sicherheitssystems, der RADIUS-Server und von TCP/IP
Konfigurieren Sie Ihre drahtlosen Zugriffspunkte mit folgenden Werten:
Einen Namen für das Drahtlosnetzwerk und ein sicheres Administratorkennwort
Eine statische IPv4-Adresse, eine Subnetzmaske und ein Standardgateway für das Drahtlossubnetz, zu dem der Zugriffspunkt gehört
WPA2 oder WPA mit 802.1X-Authentifizierung (WPA2-Enterprise oder WPA-Enterprise)
Führen Sie folgende RADIUS-Einstellungen durch:
Die IP-Adresse oder den Namen eines primären RADIUS-Servers, das gemeinsame geheime
RADIUS-Kennwort, die UDP-Ports für die Authentifizierung und Kontoführung, sowie die
Einstellungen für die Fehlererkennung
Die IP-Adresse oder den Namen eines sekundären RADIUS-Servers, das gemeinsame geheime RADIUS-Kennwort, die UDP-Ports für die Authentifizierung und Kontoführung, sowie
die Einstellungen für die Fehlererkennung
Um den RADIUS-Datenverkehr gleichmäßig zwischen den beiden NPS-Servern aufzuteilen, konfigurieren Sie die Hälfte der drahtlosen Zugriffspunkte mit dem primären NPS-Server als primären
RADIUS-Server und mit dem sekundären NPS-Server als sekundären RADIUS-Server. Dann konfigurieren Sie die andere Hälfte der drahtlosen Zugriffspunkte mit dem sekundären NPS-Server als
primären RADIUS-Server und dem primären NPS-Server als sekundären RADIUS-Server.
Falls die drahtlosen Zugriffspunkte herstellerspezifische Attribute (Vendor-Specific Attributes, VSAs)
oder zusätzliche RADIUS-Attribute erfordern, müssen Sie die herstellerspezifischen Attribute oder
RADIUS-Attribute zu den Drahtlosnetzwerkrichtlinien der NPS-Server hinzufügen. Wenn Sie die
herstellerspezifischen Attribute oder RADIUS-Attribute zu den Drahtlosnetzwerkrichtlinien des primären NPS-Servers hinzugefügt haben, können Sie die Konfiguration des primären NPS-Servers auf
den sekundären NPS-Server übertragen.
Konfigurieren von Drahtlosclients
Die Clients eines drahtlosen Netzwerks können Sie auf folgende drei Arten konfigurieren:
Mit Gruppenrichtlinien
Durch die Konfiguration und Bereitstellung von XML-Drahtlosprofilen
Manuell
321
Konfigurieren von Drahtlosclients durch Gruppenrichtlinien
Zur Einstellung der Gruppenrichtlinien für drahtlose Netzwerke nach IEEE 802.11 gehen Sie folgendermaßen vor:
1. Öffnen Sie auf einem Computer, auf dem Windows Server 2008 ausgeführt wird und der Mitglied
Ihrer Active Directory-Domäne ist, das Snap-In Gruppenrichtlinienverwaltung.
2. Erweitern Sie in der Strukturansicht den Knoten Gesamtstruktur, erweitern Sie Domänen und
klicken Sie dann auf den Namen der Domäne, zu der Ihre Drahtlosclients gehören.
4. Erweitern Sie in der Strukturansicht des Snap-Ins Gruppenrichtlinienverwaltungs-Editor den Knoten des Gruppenrichtlinienobjekts, dann Computerkonfiguration, dann Richtlinien, dann WindowsEinstellungen, anschließend Sicherheitseinstellungen und schließlich Drahtlosnetzwerkrichtlinien
(IEEE 802.11).
5. Klicken Sie Drahtlosnetzwerkrichtlinien (IEEE 802.11) mit der rechten Maustaste an und klicken
Sie dann entweder auf Eine neue Windows Vista-Richtlinie erstellen oder auf Eine neue Windows
XP-Richtlinie erstellen.
Bei einer neuen Windows Vista-Drahtlosrichtlinie fahren Sie folgendermaßen fort:
1. Geben Sie auf der Registerkarte Allgemein des Eigenschaftendialogfelds der neu erstellten Windows Vista-Drahtlosnetzwerkrichtlinie einen Namen und eine Beschreibung für die Richtlinie ein.
2. Fügen Sie auf der Registerkarte Netzwerkberechtigungen nach Bedarf die Namen der zugelassenen und der abgelehnten Netzwerke hinzu.
3. Klicken Sie auf der Registerkarte Allgemein auf Hinzufügen, um ein Drahtlosnetzwerkprofil hinzuzufügen, und klicken Sie dann auf Infrastruktur, um ein Infrastruktur-Drahtlosnetzwerk anzugeben.
4. Geben Sie auf der Registerkarte Verbindung den Namen (die SSID) des Drahtlosnetzwerks und
optional eine Beschreibung ein. Nehmen Sie dann nach Bedarf die Verbindungseinstellungen vor.
5. Legen Sie auf der Registerkarte Sicherheit die Authentifizierungs- und Verschlüsselungsmethoden
fest.
Für WPA2 wählen Sie in der Liste Authentifizierung den Eintrag WPA2-Enterprise und in der
Liste Verschlüsselung den Eintrag AES.
Für WPA wählen Sie in der Liste Authentifizierung den Eintrag WPA-Enterprise und als Verschlüsselung entweder TKIP oder AES. Wählen Sie aber nur dann AES, wenn Ihre Drahtlosclients und Ihre drahtlosen Zugriffspunkte WPA mit AES-Verschlüsselung unterstützen.
6. Wählen Sie in der Dropdownliste Netzwerkauthentifizierungsmethode auswählen den EAP-Typ
aus.
Für EAP-TLS:
a. Wählen Sie Smartcard- oder anderes Zertifikat und klicken Sie dann auf Eigenschaften.
b. Nehmen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften nach Bedarf
die EAP-TLS-Einstellungen vor und klicken Sie dann auf OK. Standardmäßig verwendet
EAP-TLS ein Zertifikat auf Registrierungsbasis und überprüft das Serverzertifikat.
Für PEAP-MS-CHAP v2 ist keine zusätzliche Konfiguration erforderlich. PEAP-MS-CHAP
v2 ist die Standardauthentifizierungsmethode.
322
Legen Sie nach Bedarf den Authentifizierungsmodus und die anderen Einstellungen fest.
7. Um die erweiterten Einstellungen für 802.1X vorzunehmen, einschließlich der einmaligen Anmeldung (Single Sign-On) und der Einstellungen für den schnellen Wechsel der Zugriffspunkte
(Fast Roaming), klicken Sie auf Erweitert und nehmen die gewünschten Einstellungen vor.
Klicken Sie auf OK, wenn Sie fertig sind.
8. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK, um die Änderungen zu speichern.
Für eine neue Windows XP-Drahtlosrichtlinie gehen Sie folgendermaßen vor:
1. Nehmen Sie im Eigenschaftendialogfeld der neu erstellten Windows XP-Drahtlosnetzwerkrichtlinie auf der Registerkarte Allgemein die erforderlichen Einstellungen vor.
2. Klicken Sie auf der Registerkarte Bevorzugte Netzwerke auf Hinzufügen, um ein bevorzugtes
Netzwerk hinzuzufügen, und klicken Sie dann auf Infrastruktur, um ein Infrastruktur-Drahtlosnetzwerk anzugeben.
3. Geben Sie auf der Registerkarte Netzwerkeigenschaften den Namen (die SSID) des Drahtlosnetzwerks und optional eine Beschreibung ein. Legen Sie fest, ob das Netzwerk Broadcasts sendet,
und legen Sie dann die Sicherheitsmethoden fest.
Für WPA2 wählen Sie in der Dropdownliste Authentifizierung den Eintrag WPA2 und in der
Dropdownliste Verschlüsselung den Eintrag AES.
Für WPA wählen Sie in der Dropdownliste Authentifizierung den Eintrag WPA und in der
Dropdownliste Verschlüsselung den Eintrag TKIP. Wählen Sie aber nur dann AES, wenn Ihre
Drahtlosclients und Ihre drahtlosen Zugriffspunkte WPA mit AES-Verschlüsselung unterstützen.
4. Geben Sie auf der Registerkarte IEEE 802.1X den EAP-Typ an.
Für EAP-TLS:
a. Wählen Sie in der Dropdownliste EAP-Typ den Eintrag Smartcard- oder anderes Zertifikat
und klicken Sie dann auf Einstellungen.
b. Nehmen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften nach Bedarf
die EAP-TLS-Einstellungen vor und klicken Sie dann auf OK. Standardmäßig verwendet
EAP-TLS ein Zertifikat auf Registrierungsbasis und überprüft das Serverzertifikat.
Für PEAP-MS-CHAP v2 ist keine zusätzliche Konfiguration erforderlich. PEAP-MS-CHAP
v2 ist die Standardauthentifizierungsmethode.
5. Geben Sie auf der Registerkarte IEEE 802.1X auch den Authentifizierungsmodus an und nehmen
Sie nach Bedarf weitere Einstellungen vor.
6. Schließen Sie die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK, um die Änderungen zu speichern.
Hinweis Wenn Sie in den Dialogfeldern der Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Gruppenrichtlinienerweiterung Hilfe brauchen, drücken Sie auf die Taste F1 .
Wenn Ihre Drahtlosclients mit Windows Server 2008, Windows Vista, Windows XP mit SP2, Windows
XP mit SP1 oder Windows Server 2003 das nächste Mal die Computerkonfigurations-Gruppenrichtlinien aktualisieren, werden die Drahtlosnetzwerkeinstellungen aus dem Gruppenrichtlinienobjekt
automatisch angewendet.
323
Konfigurieren und Bereitstellen von Drahtlosprofilen
Sie können Drahtlosclients, auf denen Windows Vista oder Windows Server 2008 ausgeführt wird,
auch für ein Drahtlosnetzwerk konfigurieren, indem Sie mit dem Befehl netsh wlan add profile ein
Drahtlosprofil importieren, das im XML-Format vorliegt. Um die XML-Datei mit dem Drahtlosprofil
zu erstellen, konfigurieren Sie einen Client, auf dem Windows Vista oder Windows Server 2008 ausgeführt wird, mit allen für ein Drahtlosnetzwerk erforderlichen Einstellungen, einschließlich Authentifizierungsmethode, Verschlüsselungsmethoden und EAP-Typ. Dann exportieren Sie diese Konfiguration mit dem Befehl netsh wlan export profile in eine XML-Datei. Sie können ein XML-Profil auch
in einer Windows Vista-Drahtlosrichtlinie erstellen, konfigurieren und exportieren.
Manuelles Konfigurieren von Drahtlosclients
Wenn Sie nur eine kleine Anzahl von Drahtlosclients einrichten müssen, können Sie die Verbindungen
auf jedem Computer manuell konfigurieren. Auf Drahtlosclients, auf denen Windows Server 2008
oder Windows Vista ausgeführt wird, verwenden Sie den Assistenten für drahtlose Netzwerke oder
den Assistenten für Netzwerkverbindungen. Auf Drahtlosclients, auf denen Windows XP mit SP2
ausgeführt wird, verwenden Sie den Assistenten für neue Verbindungen. Die folgenden Abschnitte
beschreiben, wie Sie die Authentifizierungsmethoden EAP-TLS, PEAP-TLS und PEAP-MS-CHAP
v2 auf drahtlosen Windows-Clients konfigurieren können.
EAP-TLS
Um manuell eine EAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem
Windows Server 2008 oder Windows Vista ausgeführt wird, gehen Sie folgendermaßen vor:
1. Klicken Sie im Netzwerk- und Freigabecenter auf die Aufgabe Drahtlosnetzwerke verwalten.
Klicken Sie im Fenster Drahtlosnetzwerke verwalten mit einem Doppelklick auf den Namen Ihres
Drahtlosnetzwerks.
2. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste Sicherheitstyp den Typ WPAEnterprise oder WPA2-Enterprise. Wählen Sie in der Dropdownliste Wählen Sie eine Methode für
die Netzwerkauthentifizierung aus den Eintrag Smartcard- oder anderes Zertifikat und klicken Sie
dann auf Einstellungen.
3. Um ein Benutzerzertifikat zu verwenden, das in die Registrierung eingetragen wurde, wählen Sie
im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem
Computer verwenden. Für ein Benutzerzertifikat, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden.
Wenn Sie das Computerzertifikat des NPS-Servers überprüfen möchten, wählen Sie Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPS-Server
angeben möchten, die die TLS-Authentifizierung durchführen müssen, wählen Sie Verbindung mit
diesen Servern herstellen und geben dann die Namen ein. Schließen Sie die beiden geöffneten
Dialogfelder jeweils mit einem Klick auf OK.
Um manuell eine EAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem
Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, gehen Sie
1. Öffnen Sie im Ordner Netzwerkverbindungen das Eigenschaftendialogfeld der Drahtlosverbindung. Klicken Sie auf der Registerkarte Drahtlosnetzwerke in der Liste Bevorzugte Netzwerke auf
den Namen des gewünschten Netzwerks und klicken Sie dann auf Eigenschaften.
324
2. Wählen Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren und den EAP-Typ Smartcard- oder anderes Zertifikat. Das ist
die Standardeinstellung.
3. Klicken Sie auf Eigenschaften. Wenn Sie ein Benutzerzertifikat verwenden möchten, das in die
Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Falls Sie ein Benutzerzertifikat verwenden, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden.
Wenn Sie das Computerzertifikat des NPS-Servers überprüfen möchten, wählen Sie Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Falls Sie die Namen der Authentifizierungsserver angeben möchten, die die TLS-Authentifizierung durchführen sollen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein.
4. Klicken Sie auf OK, um die Änderungen am EAP-Typ Smartcard- oder anderes Zertifikat zu
speichern.
PEAP-TLS
Um manuell eine PEAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem
Windows Server 2008 oder Windows Vista ausgeführt wird, gehen Sie folgendermaßen vor:
Drahtlosnetzwerks.
2. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste Sicherheitstyp den Typ WPAEnterprise oder WPA2-Enterprise. In Wählen Sie eine Methode für die Netzwerkauthentifizierung
aus wählen Sie Geschütztes EAP (PEAP) und klicken dann auf Einstellungen.
3. Wenn Sie das Computerzertifikat des NPS-Servers für die PEAP-Authentifizierung überprüfen
möchten, wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPSServer angeben möchten, die die PEAP-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben die Namen ein.
4. Klicken Sie in der Dropdownliste Authentifizierungsmethode auswählen auf Smartcard- oder anderes Zertifikat. Klicken Sie auf Konfigurieren. Wenn Sie ein Benutzerzertifikat verwenden möchten, das in die Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Für ein Benutzerzertifikat, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden.
Wenn Sie bei der Benutzerauthentifizierung das Computerzertifikat des NPS-Servers überprüfen
möchten, wählen Sie das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPS-Server angeben möchten, die die TLS-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben
dann die Namen ein.
5. Klicken Sie auf OK, um die Änderungen am PEAP-Typ Smartcard- oder anderes Zertifikat zu
speichern. Klicken Sie auf OK, um die Änderungen am Typ Geschütztes EAP zu speichern.
Klicken Sie auf OK, um die Eigenschaften der Drahtlosnetzwerkkonfiguration zu speichern.
6. Schließen Sie alle drei geöffneten Dialogfelder jeweils mit einem Klick auf OK.
325
Um manuell eine PEAP-TLS-Authentifizierung auf einem Drahtlosclient zu konfigurieren, auf dem
Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird, gehen Sie
den Namen des gewünschten Netzwerks und klicken Sie dann auf Eigenschaften. Das Eigenschaftendialogfeld des eingetragenen Drahtlosnetzwerks öffnet sich.
2. Wählen Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren und den EAP-Typ Geschütztes EAP (PEAP).
3. Klicken Sie auf Eigenschaften. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das
Kontrollkästchen Serverzertifikat überprüfen, um bei der PEAP-Authentifizierung das Computerzertifikat des NPS-Servers zu überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die
Namen der Server angeben möchten, die die PEAP-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben dann die Namen ein. Klicken Sie in
der Dropdownliste Authentifizierungsmethode auswählen auf Smartcard- oder anderes Zertifikat.
4. Klicken Sie auf Konfigurieren. Wenn Sie ein Benutzerzertifikat verwenden möchten, das in die
Registrierung eingetragen wurde, wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die Option Zertifikat auf diesem Computer verwenden. Verwenden Sie dagegen ein
Benutzerzertifikat, das auf der Smartcard gespeichert wurde, wählen Sie Eigene Smartcard verwenden.
Wenn Sie bei der Benutzerauthentifizierung das Computerzertifikat des NPS-Servers überprüfen
möchten, wählen Sie das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPS-Server angeben möchten, die die TLS-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben
dann die Namen ein.
5. Klicken Sie auf OK, um die Änderungen am PEAP-Typ Smartcard- oder anderes Zertifikat zu
speichern. Klicken Sie auf OK, um die Änderungen am Typ Geschütztes EAP zu speichern.
Klicken Sie auf OK, um die Eigenschaften der Drahtlosnetzwerkkonfiguration zu speichern.
6. Schließen Sie alle geöffneten Dialogfelder jeweils mit einem Klick auf OK.
PEAP-MS-CHAP v2
Um manuell eine PEAP-MS-CHAP v2-Authentifizierung auf einem Drahtlosclient zu konfigurieren,
auf dem Windows Server 2008 oder Windows Vista ausgeführt wird, gehen Sie folgendermaßen vor:
Drahtlosnetzwerks.
2. Wählen Sie auf der Registerkarte Sicherheit in der Dropdownliste Sicherheitstyp den Typ WPAEnterprise oder WPA2-Enterprise. Wählen Sie in der Dropdownliste Wählen Sie eine Methode für
die Netzwerkauthentifizierung aus den Eintrag Geschütztes EAP (PEAP) und klicken Sie dann auf
Einstellungen.
3. Wenn Sie das Computerzertifikat des NPS-Servers für die PEAP-Authentifizierung überprüfen
möchten, wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontrollkästchen Serverzertifikat überprüfen (empfohlen und standardmäßig aktiviert). Wenn Sie die Namen der NPSServer angeben möchten, die die PEAP-Authentifizierung durchführen müssen, wählen Sie Verbindung mit diesen Servern herstellen und geben die Namen ein.
326
4. Wählen Sie in Authentifizierungsmethode auswählen den Eintrag Gesichertes Kennwort (EAPMS-CHAP v2) und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick
auf OK.
Um manuell eine PEAP-MS-CHAP v2-Authentifizierung auf einem Drahtlosclient zu konfigurieren,
auf dem Windows XP mit SP2, Windows XP mit SP1 oder Windows Server 2003 ausgeführt wird,
den Namen des gewünschten Netzwerks und klicken Sie dann auf Eigenschaften. Das Eigenschaftendialogfeld des eingetragenen Drahtlosnetzwerks öffnet sich.
2. Wählen Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren und den PEAP-Typ Geschütztes EAP (PEAP).
3. Klicken Sie auf Eigenschaften. Wählen Sie im Dialogfeld Eigenschaften für geschütztes EAP das
(standardmäßig aktivierte) Kontrollkästchen Serverzertifikat überprüfen, damit das Computerzertifikat des NPS-Servers überprüft wird. Wenn Sie die Namen der Authentifizierungsserver angeben möchten, die die Authentifizierung durchführen sollen, wählen Sie Verbindung mit diesen
Servern herstellen und geben die Namen ein. Klicken Sie unter Authentifizierungsmethode wählen
auf Gesichertes Kennwort (EAP-MSCHAP v2) und schließen Sie dann die beiden geöffneten Dialogfelder jeweils mit einem Klick auf OK.
Wartung
Für Drahtlosnetzwerke fallen in folgenden Bereichen Wartungsarbeiten an:
Verwalten von Benutzer- und Computerkonten
Verwalten von drahtlosen Zugriffspunkten
Aktualisieren von Drahtlosprofilen
Verwalten der Benutzer- und Computerkonten
Wenn in Active Directory ein neues Benutzer- oder Computerkonto eingerichtet wird und diesem Benutzer- oder Computerkonto der Drahtloszugriff erlaubt werden soll, fügen Sie das neue Konto zur
entsprechenden, für Drahtlosverbindungen vorgesehenen Gruppe hinzu. Fügen Sie das neue Konto
zum Beispiel zur Sicherheitsgruppe DrahtlosKonten hinzu, die Sie zu diesem Zweck definiert und in
den Netzwerkrichtlinien für Drahtlosverbindungen angegeben haben.
Wenn Benutzer- oder Computerkonten in Active Directory gelöscht werden, sind keine weiteren Maßnahmen mehr erforderlich, um zu verhindern, dass mit diesen Konten Drahtlosverbindungen hergestellt werden können.
Bei Bedarf können Sie zusätzliche universelle Gruppen und Netzwerkrichtlinien erstellen, um Drahtloszugriffe für unterschiedliche Benutzergruppen einzurichten. Sie können zum Beispiel eine globale
Gruppe AuftragnehmerMitDrahtloszugriff einrichten, die den Mitgliedern der Gruppe AuftragnehmerMitDrahtloszugriff nur während der üblichen Bürozeiten oder für spezielle Intranetressourcen den
drahtlosen Zugriff ermöglicht.
Problembehandlung
327
Verwalten der drahtlosen Zugriffspunkte
Nach ihrer Bereitstellung erfordern drahtlose Zugriffspunkte kaum Wartungsarbeiten. Der größte Teil
der Änderungen an der Konfiguration von drahtlosen Zugriffspunkten ist eine Folge von Kapazitätsanpassungen oder Änderungen in der Infrastruktur des Netzwerks.
Hinzufügen eines drahtlosen Zugriffspunkts
Um einen drahtlosen Zugriffspunkt zum Netzwerk hinzuzufügen, gehen Sie folgendermaßen vor:
1. Befolgen Sie die in diesem Kapitel unter »Bereitstellen drahtloser Zugriffspunkte« beschriebenen
Planungs- und Bereitstellungsschritte, um einen neuen drahtlosen Zugriffspunkt zu Ihrem Drahtlosnetzwerk hinzuzufügen.
2. Fügen Sie den drahtlosen Zugriffspunkt als einen RADIUS-Client zu Ihren NPS-Servern hinzu.
Entfernen eines drahtlosen Zugriffspunkts
Wenn Sie einen drahtlosen Zugriffspunkt entfernen, entfernen Sie den drahtlosen Zugriffspunkt auch
als RADIUS-Client aus der Konfiguration Ihres NPS-Servers.
Konfiguration von Änderungen in NPS-Servern
Wenn sich bei den NPS-Servern Änderungen ergeben, weil zum Beispiel ein NPS-Server aus dem
Intranet entfernt oder zum Intranet hinzugefügt wird, tun Sie Folgendes:
1. Sorgen Sie dafür, dass die drahtlosen Zugriffspunkte auf neuen NPS-Servern als RADIUS-Clients
eingetragen sind und dass die entsprechenden Netzwerkrichtlinien für den Drahtloszugriff eingestellt sind.
2. Aktualisieren Sie bei Bedarf die Konfiguration der drahtlosen Zugriffspunkte, damit die neue Serverkonfiguration entsprechend berücksichtigt wird.
Aktualisieren von XML-Drahtlosprofilen
Zur Aktualisierung von XML-Drahtlosprofilen und zur Anwendung der aktualisierten Profile auf Ihre
Windows Vista- oder Windows Server 2008-Drahtlosclients gehen Sie folgendermaßen vor:
1. Wenn Sie einen Windows Vista- oder Windows Server 2008-Drahtlosclient verwenden oder eine
Windows Vista-Drahtlosrichtlinie erstellt haben, erstellen Sie im GruppenrichtlinienverwaltungsEditor oder mit dem Befehl netsh wlan export profile das aktualisierte XML-Drahtlosprofil.
2. Führen Sie auf Ihren Drahtlosclients in einem Skript den Befehl netsh wlan add profile aus, um
das XML-Drahtlosprofil auf Ihren Drahtlosclients zu importieren, oder importieren Sie es mit
einer anderen Methode.
Problembehandlung
Wegen der Vielzahl an Komponenten und Vorgängen kann die Behebung von Problemen mit drahtlosen Verbindungen schwierig werden. Dieser Abschnitt beschreibt folgende Aspekte:
Die Tools, die Windows Server 2008 und Windows Vista zur Behebung von Problemen mit drahtlosen Verbindungen bereitstellen
Die Behebung von Verbindungsproblemen auf Drahtlosclients
Die Behebung von Verbindungsproblemen auf drahtlosen Zugriffspunkten
Die Behebung von Problemen mit Drahtlosverbindungen auf NPS-Servern
328
Direkt von der Quelle: Tipps zur Behebung von Problemen
mit drahtlosen Verbindungen
Einer der schwierigsten Aspekte bei der Behebung von Problemen in drahtlosen Netzwerken ist es,
den richtigen Anfang zu finden. Gewöhnlich zeigen sich die Symptome zwar auf dem Client, aber
er ist nur ein Teil in einer Kette von Geräten und Technologien, die versagen können.
Wenn ein Drahtlosclient das gewünschte Drahtlosnetzwerk nicht sieht oder keine Verbindung
(association oder Zuordnung) mit einem drahtlosen Zugriffspunkt herstellen kann, liegt das Problem irgendwo zwischen Client und Zugriffspunkt. Die meisten dieser Probleme lassen sich durch
eine Aktualisierung der Treiber oder Firmware des Drahtlosnetzwerkadapters und des Zugriffspunkts lösen. Die Installation der aktuellsten Treiber und Firmware ist also der unvermeidliche
erste Schritt zur Problembehebung.
Schlägt die Authentifizierung fehl, liegt dies normalerweise nicht an Hardwareproblemen. Überprüfen Sie zuerst die Systemereignisprotokolle auf der Clientseite. Windows XP und Windows Server
2003 führen zwar keine Protokolle, die speziell für die Diagnose von Problemen vorgesehen sind,
aber Windows Server 2008 und Windows Vista zeichnen einige recht nützliche Daten auf, die Ihnen
Hinweise auf Konfigurationsprobleme geben können, beispielsweise auf ein fehlendes Zertifikat.
Nach der Überprüfung dieser Protokolle sollten Sie auf dem NPS-Server das Protokoll WindowsProtokolle\Sicherheit überprüfen. Wenn eine Authentifizierung fehlgeschlagen ist, wird es einen
NPS-Ereigniseintrag mit dem Schlüsselwort Überwachungsfehler (Audit Failure) geben. Wenn Sie
aber keine Protokolleinträge vorfinden, die im Zusammenhang mit einer versuchten Authentifizierung im Drahtlosnetzwerk stehen, ist dies ein deutlicher Hinweis darauf, dass der NPS-Server keine Authentifizierungsanfrage erhalten hat oder dass der Vorgang die vorgesehenen Zeitgrenzen
überschritten hat. Sehen Sie sich den drahtlosen Zugriffspunkt genau an und überprüfen Sie, ob
seine RADIUS-Einstellungen zum NPS-Server passen.
Problembehandlungstools von Windows für Drahtlosnetzwerke
Microsoft bietet folgende Programme zur Unterstützung der Problembehandlung bei drahtlosen Netzwerken an:
TCP/IP-Problembehandlungstools
Den Ordner Netzwerkverbindungen
Netsh wlan-Befehle
Netzwerkdiagnoseframework-Unterstützung für Drahtlosverbindungen
Drahtlos-Diagnose-Ablaufverfolgung
NPS-Authentifizierungs- und -Kontoführungsprotokolle
NPS-Ereignisprotokollierung
SChannel-Protokollierung
SNMP-Agent
Zuverlässigkeits- und Leistungsüberwachungs-Snap-In
Network Monitor 3.1
Problembehandlung
329
TCP/IP-Problembehandlungstools
Die Programme Ping, Tracert und Pathping verwenden die ICMP-Nachrichten Echo und Echo Reply
sowie die ICMPv6-Nachrichten Echo Request und Echo Reply, um Verbindungen zu überprüfen, den
Pfad zu einem Ziel anzuzeigen und die Pfadintegrität zu überprüfen (ICMP bedeutet Internet Control
Message Protocol). Mit dem Programm Route lassen sich die IPv4- und IPv6-Routingtabellen anzeigen. Das Programm Nslookup kann bei der Behebung von Problemen mit der DNS-Namensauflösung
(Domain Name System) verwendet werden.
Der Ordner Netzwerkverbindungen
Im Ordner Netzwerkverbindungen können Sie das Eigenschaftendialogfeld einer drahtlosen Verbindung öffnen und ihren Status überprüfen, beispielsweise ihre TCP/IP-Konfiguration.
Wurde dem Drahtlosnetzwerkadapter eine APIPA-Adresse (Automatic Private IP Addressing) im Bereich 169.254.0.0/16 oder die konfigurierte alternative Konfiguration zugewiesen, verfügt der Drahtlosclient zwar immer noch über eine Verbindung (eine Zuordnung oder Assoziation) mit dem drahtlosen Zugriffspunkt, aber entweder ist die Authentifizierung fehlgeschlagen oder der DHCP-Server ist
nicht verfügbar. Schlägt die Authentifizierung fehl und ist die Zuordnung noch gültig, dann ist der
drahtlose Zugriffspunkt aktiviert und TCP/IP führt die normale Konfigurierung durch. Ist kein DHCPServer verfügbar (authentifiziert oder nicht), weist Windows Vista automatisch eine APIPA-Adresse
zu, sofern keine alternative Adresse eingestellt wurde.
Direkt von der Quelle: APIPA in Windows Vista
Vielleicht ist Ihnen schon aufgefallen, dass drahtlose Windows Vista-Clients schneller oder häufiger eine automatische APIPA-Adresse zuweisen als ältere Windows-Versionen. Ein Computer, auf
dem Windows Vista ausgeführt wird, wartet nur sechs Sekunden auf die Antwort eines DHCPServers, bevor er eine APIPA-Adresse verwendet, und versucht dann weiterhin, Kontakt zu einem
DHCP-Server aufzunehmen. Im Gegensatz dazu wartet ein Windows-XP-Computer eine volle
Minute, bevor er auf eine APIPA-Adresse zurückgreift. Diese Verhaltensänderung wurde absichtlich eingeführt und soll Ad-hoc-Verbindungen erleichtern, bei denen gewöhnlich keine DHCPServer verfügbar sind.
Tim Quinn, Support Escalation Engineer
Netsh Wlan-Befehle
Um Informationen zur Behebung von Problemen mit Drahtlosverbindungen zu sammeln, können Sie
folgende netsh wlan-Befehle eingeben:
netsh wlan show autoconfig Zeigt an, ob die automatische Konfigurationslogik aktiviert wurde
netsh wlan show blockednetworks Zeigt an, ob in der Liste der verfügbaren Netzwerke auch
blockierte Netzwerke sichtbar sind
netsh wlan show createalluserprofile Zeigt an, ob jeder ein Profil für alle Benutzer erstellen darf
netsh wlan show drivers Zeigt die Eigenschaften der Treiber der installierten Drahtlosnetzwerkadapter an
netsh wlan show filters Zeigt die Listen mit den zugelassenen und abgelehnten (blockierten)
Netzwerken an
330

netsh wlan show interfaces Zeigt die Eigenschaften der installierten Drahtlosnetzwerkadapter an
netsh wlan show networks Zeigt eine Liste mit den Eigenschaften der verfügbaren Drahtlosnetzwerken an
netsh wlan show profiles Zeigt eine Liste der Gruppenrichtlinien und lokalen Drahtlosnetzwerkprofilen an
netsh wlan show settings Zeigt die globalen Drahtlosnetzwerkeinstellungen, beispielsweise den
Status der automatischen WLAN-Konfiguration, und ob jeder Benutzer ein Profil für alle Benutzer erstellen darf
netsh wlan show tracing Zeigt den Status der Drahtlosablaufverfolgung und den Speicherort der
Ablaufverfolgungsprotokolle (standardmäßig %SystemRoot%\Tracing\Wireless)
netsh wlan show all Zeigt alle verfügbaren Informationen über Drahtlosnetzwerkadapter und über
die verfügbaren Drahtlosnetzwerke
Netzwerkdiagnoseframework-Unterstützung für Drahtlosverbindungen
Um dem Benutzer den Umgang mit Verbindungsproblemen zu erleichtern, enthält Windows Vista ein
Netzwerkdiagnoseframework (NDF). Es setzt sich aus verschiedenen Technologien, Richtlinien und
Hilfsklassen zusammen, die den Benutzer bei der Diagnose unterstützen und eine automatische Korrektur des Problems durchführen, sofern dies möglich ist. Wenn ein Benutzer unter Windows Vista
Probleme mit Netzwerkverbindungen hat, bietet das Netzwerkdiagnoseframework ihm die Möglichkeit, das Problem im aktuellen Kontext zu diagnostizieren und zu reparieren. Das bedeutet, dass die
Diagnose- und Lösungsanweisungen dem Benutzer in der Anwendung oder in dem Dialogfeld angezeigt werden, in dem das Problem aufgetreten ist, oder im Zusammenhang mit der fehlgeschlagenen
Netzwerkoperation.
Windows Vista enthält auch eine Hilfsklasse für die Untersuchung von fehlgeschlagenen Verbindungsversuchen in Drahtlosnetzwerken. Wenn eine Drahtlosverbindung fehlschlägt, zeigt Windows
ein Dialogfeld mit Informationen über den Fehler an. Das Dialogfeld weist auch eine DiagnoseSchaltfläche auf, mit der das NDF-Problembehandlungstool für Drahtlosnetzwerke gestartet wird. In
der Diagnosesitzung kann der Benutzer bestimmte Verbindungsprobleme beheben, ohne die IT-Abteilung zu bemühen. Das NDF-Problembehandlungstool kann dem Benutzer bei vielen Problemen
behilflich sein, die sich in Drahtlosnetzwerken ergeben können, wie zum Beispiel:
Das Funksignal des Netzwerkadapters wurde abgeschaltet.
Der drahtlose Zugriffspunkt wird nicht mit Strom versorgt.
Eine fehlende oder abweichende Einstellung der Sicherheitsoptionen, Verschlüsselungstypen oder
Netzwerkschlüssel zwischen dem drahtlosen Zugriffspunkt und den Drahtlosclients
Kabelverbindungen wurden getrennt.
Zertifikate fehlen.
Windows protokolliert alle Verbindungsversuche, die im Drahtlosnetzwerk stattfinden, im Systemereignisprotokoll. Wenn die Windows-Netzwerkdiagnose ausgeführt wird, bewirkt sie im Systemereignisprotokoll zusätzliche Einträge mit folgenden Informationen:
Der Name des Drahtlosnetzwerkadapters und die Eignung des Treibers für Windows Vista
Eine Liste der sichtbaren Drahtlosnetzwerke mit Signalstärken, Kanälen, Protokollen (wie 802.11b
oder 802.11g) und Betriebsmodi (Ad-hoc oder Infrastruktur)
Die Liste der bevorzugten Netzwerke und die Konfiguration jedes Netzwerks
Problembehandlung
331
Die Diagnoseergebnisse, beispielsweise »Die Drahtlosverbindung auf diesem Computer scheint
ordnungsgemäß zu funktionieren«, »Möglicherweise funktioniert die Internetverbindung auf dem
Drahtlosrouter oder dem Zugriffspunkt nicht ordnungsgemäß« oder »Dieser Computer hat eine
niedrige Signalstärke von ContosoWLAN«.
Die Reparaturoption, die dem Benutzer angezeigt wurde, wie zum Beispiel »Bewegen Sie den
Computer an eine andere Position, um mögliche Störquellen auszuschalten. Versuchen Sie dann
erneut, eine Verbindung mit ContosoWLAN herzustellen«.
Die Reparaturoptionen, die der Benutzer gewählt hat, und das Ergebnis des Reparaturversuchs.
Sie können diese Ereignisprotokolleinträge im Ereignisanzeige-Snap-In überprüfen, um sich ein genaueres Bild von der Netzwerkumgebung zu dem Zeitpunkt zu machen, an dem das Problem auftrat,
ohne diese Situation wieder herbeiführen zu müssen. Außerdem sind Sie nicht mehr so stark darauf
angewiesen, aus den Beschreibungen der Benutzer die richtigen Schlüsse zu ziehen.
Um zusätzliche Informationen über den Ablauf der Verbindungsversuche und anderer Netzwerkvorgänge übersichtlicher präsentieren zu können, erstellt Windows ein separates Diagnoseprotokoll.

So greifen Sie auf das Diagnoseprotoll zu
1. Erweitern Sie in der Strukturansicht des Ereignisanzeige-Snap-Ins den Knoten Anwendungs- und
Dienstprotokolle\Microsoft\Windows\Diagnostics-Networking.
2. Klicken Sie auf Operational.
3. Überprüfen Sie im Detailbereich die Ereigniseinträge für die Drahtlosdiagnosesitzung.
Drahtlos-Diagnose-Ablaufverfolgung
Von Zeit zu Zeit müssen Sie sich mit einem Drahtlosnetzwerkproblem vielleicht an Microsoft oder an
Supportspezialisten aus Ihrem Haus wenden. Für eine genaue Analyse brauchen Microsoft oder Ihre
Supportspezialisten ausführliche Informationen über den Zustand des Computers und der Drahtloskomponenten von Windows, sowie über ihre Interaktionen beim Auftreten des Problems. Diese Informationen erhalten Sie unter Windows Vista von der Drahtlos-Diagnose-Ablaufverfolgung. Um die
Drahtlos-Diagnose-Ablaufverfolgung zu verwenden, müssen Sie die Ablaufverfolgung aktivieren, das
Problem reproduzieren, die Ablaufverfolgung beenden und dann den Ablaufbericht speichern.
Die Drahtlos-Diagnose-Ablaufverfolgung können Sie auf eine der folgenden Weisen starten:
Geben Sie in einer Eingabeaufforderung den Befehl netsh wlan set tracing mode=yes.
Erweitern Sie in der Strukturansicht des Snap-Ins Zuverlässigkeits- und Leistungsüberwachung
den Knoten Sammlungssätze\System. Klicken Sie mit der rechten Maustaste auf Wireless Diagnostics (Drahtlos-Diagnose) und klicken dann auf Starten.
Nachdem Sie das Problem reproduziert haben, können Sie die Drahtlos-Diagnose-Ablaufverfolgung
auf eine der folgenden Weisen beenden:
Geben Sie in einer Eingabeaufforderung den Befehl netsh wlan set tracing mode=no ein.
Erweitern Sie in der Strukturansicht des Snap-Ins Zuverlässigkeits- und Leistungsüberwachung
den Knoten Sammlungssätze\System. Klicken Sie mit der rechten Maustaste auf Wireless Diagnostics (Drahtlos-Diagnose) und klicken Sie dann auf Anhalten.
Hinweis Es ist wichtig, dass Sie die Drahtlos-Diagnose-Ablaufverfolgung anhalten, bevor Sie die Ablaufprotokolle überprüfen oder in ein lesbares Format konvertieren.
Wenn Sie den Bericht einsehen möchten, den die Drahtlos-Diagnose-Ablaufverfolgung erstellt hat,
332
erweitern Sie in der Strukturansicht des Snap-Ins Zuverlässigkeits- und Leistungsüberwachung den
Knoten Berichte\System\Wireless Diagnostics.
Der Bericht bietet folgende Informationen:
Drahtlosnetzwerkkonfiguration einschließlich zugelassender und abgelehnter (blockierter) Drahtlosnetzwerke
Die aktuelle TCP/IP-Konfiguration (einschließlich der Informationen, die der Befehl Ipconfig
/all liefert)
Eine Liste mit allen Verbindungsversuchen und ausführliche Informationen über jeden Schritt des
Verbindungsvorgangs
Eine ausführliche Liste aller Windows-Netzwerkdiagnoseereignisse
Die Zertifikatkonfiguration des Drahtlosclients
Drahtlosnetzwerkprofile und ihre Speicherorte
Informationen über die Drahtlosnetzwerkadaptertreiber
Systemdateien für Drahtlosnetzwerke und Versionsangaben
Rohdaten der Netzwerkablaufverfolgung
Computerfabrikat und -modell
Betriebssystemversion
Eine Liste aller Dienste, ihrer aktuellen Zustände und ihrer Prozesskennungen
Dieser Bericht und die dazugehörigen Dateien werden standardmäßig im Ordner %SystemRoot%\
Tracing\Wireless gespeichert.
Zusätzlich zur Ablaufverfolgung in drahtlosen Netzwerken unterstützen Windows Server 2008 und
Windows Vista die Ablaufverfolgung für Komponenten der RAS-Verbindungsverwaltung und der
Routing- und RAS-Dienste, die auch für Drahtlosverbindungen verwendet werden. Wie bei Drahtlosnetzwerken liefert eine Ablaufverfolgung für diese Komponenten Informationen, mit denen Sie komplexe Probleme mit bestimmten Komponenten beheben können. Die Informationen aus diesen zusätzlichen Ablaufverfolgungsdateien sind gewöhnlich nur für Microsoft-Supportmitarbeiter von Nutzen,
von denen Sie bei der Bearbeitung eines Supportproblems vielleicht darum gebeten werden, Ablaufprotokolldateien für einen Verbindungsversuch zu erstellen. Diese zusätzliche Ablaufverfolgung können Sie mit dem Programm Netsh aktivieren.
Der Befehl zur Aktivierung oder Deaktivierung der Ablaufverfolgung für eine bestimmte Komponente der RAS-Verbindungsverwaltung und der Routing- und RAS-Dienste lautet:
netsh ras diagnostics set rastracing Komponente enabled|disabled
Darin ist Komponente eine Komponente aus der Liste, die in der Registrierung unter HKEY_LOCAL_
MACHINE\SOFTWARE\Microsoft\Tracing zu finden ist.
Der Befehl für die Aktivierung der Ablaufverfolgung für alle Komponenten lautet:
netsh ras diagnostics set rastracing * enabled
Mit folgendem Befehl lässt sich die Ablaufverfolgung für alle Komponenten deaktivieren:
netsh ras diagnostics set rastracing * disabled
Die Ablaufprotokolldateien werden im Ordner %SystemRoot%\Tracing gespeichert. Für die Drahtlosauthentifizierung sind folgende Protokolldateien am interessantesten:
Svchost_rastls.log TLS-Authentifizierungsaktivitäten
Svchost_raschap.log
MS-CHAP v2-Authentifizierungsaktivitäten
Problembehandlung
333
NPS-Authentifizierungs- und -Kontoführungsprotokolle
Standardmäßig unterstützt NPS die Protokollierung von Authentifizierungs- und Kontoführungsdaten
für Drahtlosverbindungen in lokalen Protokolldateien. Diese Protokollierung erfolgt getrennt von den
Ereignissen, die unter Windows-Protokolle/Sicherheit aufgezeichnet werden. Sie können die Informationen aus den Protokollen verwenden, um die Benutzung des Drahtlosnetzwerks und die Authentifizierungsversuche zu überwachen. Eine Authentifizierungs- und Kontoführungsprotokollierung ist besonders zur Behebung von Problemen nützlich, die sich durch Netzwerkrichtlinien ergeben können.
Für jeden Authentifizierungsversuch wird der Name der Netzwerkrichtlinie aufgezeichnet, die den
Verbindungsversuch zugelassen oder abgelehnt hat. Die Einstellungen für die Authentifizierungs- und
Kontoführungsprotokollierung können Sie im Knoten Kontoführung des Snap-Ins Netzwerkrichtlinienserver vornehmen.
Die Authentifizierungs- und Kontoführungsdaten werden in einer oder mehreren konfigurierbaren
Protokolldateien im Ordner %SystemRoot%\System32\LogFiles gespeichert. Die Protokolldateien
werden im IAS-Format (Internet Authentication Service) oder in einem datenbankkompatiblen Format gespeichert. Das bedeutet, dass ein Datenbankprogramm die Protokolldateien direkt zur Analyse
einlesen kann. NPS kann die Authentifizierungs- und Kontoführungsinformationen auch an eine SQL
Server-Datenbank senden.
NPS-Ereignisprotokollierung
Überprüfen Sie auf dem NPS-Server das Protokoll Windows-Protokolle\Sicherheit auf abgewiesene
(Ereignis-ID 6273) oder zugelassene (Ereignis-ID 6272) Verbindungsversuche. NPS-Ereignisprotokolleinträge enthalten viele Informationen über den Verbindungsversuch. Darunter sind auch der
Name der Verbindungsanforderungsrichtlinie, die für den Verbindungsversuch verwendet wurde (der
Proxyrichtlinienname in der Beschreibung des Ereignisses), und die Netzwerkrichtlinie, die den Verbindungsversuch zugelassen oder abgelehnt hat (das Feld Netzwerkrichtlinienname in der Beschreibung des Ereignisses). Die NPS-Ereignisprotokollierung für zugelassene oder abgelehnte Verbindungsversuche ist standardmäßig aktiviert. Sie können sie im Netzwerkrichtlinienserver-Snap-In
konfigurieren, und zwar auf der Registerkarte Allgemein des Eigenschaftendialogfelds des NPSServers.
NPS-Ereignisse lassen sich im Ereignisanzeige-Snap-In anzeigen. Die Überprüfung der NPS-Ereigniseinträge im Protokoll Windows-Protokolle\Sicherheit ist eine der wichtigsten Methoden, um Informationen über fehlgeschlagene Authentifizierungen zu erhalten.
SChannel-Protokollierung
Eine SChannel-Protokollierung (Secure Channel) bedeutet die Aufzeichnung von Informationen über
SChannel-Ereignisse im Systemereignisprotokoll. Standardmäßig werden nur SChannel-Fehlermeldungen aufgezeichnet. Um Informationen über Fehler, Warnungen, Informationen und Erfolgsmeldungen zu erhalten, stellen Sie den Registrierungswert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging auf 4 (es ist ein DWORD-Wert).
Wenn die SChannel-Protokollierung alle Ereignisse aufzeichnet, ist es möglich, mehr Informationen
über den Zertifikataustausch und den Überprüfungsvorgang auf dem NPS-Server zu erhalten.
SNMP-Agent
Sie können die SNMP-Agentensoftware (Simple Network Management Protocol) von Windows Server 2008 verwenden, um in einer SNMP-Konsole Statusinformationen über Ihre NPS-Server zu erhalten. NPS unterstützt die RADIUS Authentication Server MIB (RFC 2619, MIB bedeutet Management
334
Information Base) und die RADIUS Accounting Server MIB (RFC 2621). Installieren Sie den optionalen SNMP-Dienst als Feature mit dem Server-Manager.
Der SNMP-Dienst kann in Zusammenarbeit mit Ihrer vorhandenen Netzwerkverwaltungsinfrastruktur
auf SNMP-Basis dazu verwendet werden, NPS-RADIUS-Server oder -Proxys zu überwachen.
Zuverlässigkeits- und Leistungsüberwachungs-Snap-In
Sie können das Zuverlässigkeits- und Leistungsüberwachungs-Snap-In verwenden, um Leistungsindikatoren zu überwachen, Protokolle zu erstellen und für bestimmte NPS-Komponenten und Programmprozesse Schwellenwerte für Warnungen festzulegen. Sie können die Diagramme und Berichte auch
zur Identifizierung von potenziellen Problemen, zur Behebung von vorhandenen Problemen und zur
Effizienzprüfung der NPS-Server verwenden.
Mit dem Zuverlässigkeits- und Leistungsüberwachungs-Snap-In können Sie die Leistungsindikatoren
von folgenden NPS-Leistungsobjekten überwachen:
NPS-Kontoführungsclients
NPS-Kontoführungsproxy
NPS-Kontoführungsserver
NPS-Authentifizierungsclients
NPS-Authentifizierungsproxy
NPS-Authentifizierungsserver
NPS-Richtlinienmodul
NPS-Remotekontoführungsserver
NPS-Remoteauthentifizierungsserver
Weitere Informationen Weitere Informationen über die Verwendung des Zuverlässigkeits- und Leistungsüberwachungs-Snap-Ins finden Sie im Hilfe- und Supportcenter von Windows Server 2008.
Network Monitor 3.1
Sie können den Microsoft Network Monitor 3.1 (oder höher) oder einen kommerziellen Paketanalysator (solche Programme werden auch Netzwerk-Sniffer genannt) verwenden, um die Authentifizierungen und Datenübertragungen zu untersuchen, die im Netzwerk erfolgen. Der Network Monitor 3.1
bietet Parser für RADIUS, 802.1X, EAPOL und EAP. Ein Parser ist eine Komponente des Network
Monitors, die die Felder eines Protokollheaders voneinander trennen sowie den Aufbau des Headers
und die Werte der Felder anzeigen kann. Ohne einen geeigneten Parser zeigt der Network Monitor 3.1
die im Header enthaltenen Bytes in Hexadezimalform an. Die Interpretation dieser Bytes bleibt dann
Ihnen überlassen.
Bei der Untersuchung der Authentifizierung von Drahtlosclients können Sie den Network Monitor 3.1
verwenden, um die Datenpakete aufzuzeichnen, die während der Authentifizierung zwischen dem
Drahtlosclient und dem drahtlosen Zugriffspunkt ausgetauscht werden. Mit dem Network Monitor 3.1
können Sie die einzelnen Datenpakete untersuchen und herauszufinden versuchen, warum die Authentifizierung fehlgeschlagen ist. Der Network Monitor eignet sich auch zur Aufzeichnung der RADIUS-
Problembehandlung
335
Nachrichten, die zwischen einem drahtlosen Zugriffspunkt und seinem RADIUS-Server ausgetauscht
werden, und zur Überprüfung der RADIUS-Attribute jeder Nachricht.
Die korrekte Interpretation der Datenpakete, die mit dem Network Monitor 3.1 aufgezeichnet werden,
setzt eine gründliche Kenntnis von EAPOL, RADIUS und anderen Protokollen voraus. Die mit dem
Network Monitor 3.1 aufgezeichneten Datenpakete können Sie bei Bedarf auch in Dateien speichern
und zur Analyse an den Microsoft-Support senden.
Beheben von Problemen mit Drahtlosclients
Bei der Behebung von Problemen mit drahtlosen Netzwerkverbindungen sollten Sie zuerst überprüfen, ob sich dieselben Probleme auf mehreren oder allen Ihren Drahtlosclients zeigen. Haben alle
Drahtlosclients Schwierigkeiten, könnte die Ursache in Ihrer Authentifizierungsinfrastruktur liegen.
Haben nur einige der Drahtlosclients Probleme, könnte die Ursache bei einem oder mehreren drahtlosen Zugriffspunkten oder bei den einzelnen Clients liegen.
Die folgenden Beschreibungen sind Beispiele für Probleme, die auf drahtlosen Windows-Clients häufiger auftreten:
Das drahtlose Netzwerk ist nicht zu finden. Überprüfen Sie mit den Hilfsprogrammen des Herstellers, ob Sie sich in der Reichweite eines drahtlosen Zugriffspunkts des Netzwerks befinden. Sie
können den drahtlosen Zugriffspunkt oder den Client umstellen, die Sendeleistung des drahtlosen
Zugriffspunkts erhöhen oder Störquellen und Gegenstände entfernen, die sich negativ auf die
Reichweite auswirken.
Fehler bei der Authentifizierung. Einige Drahtlosnetzwerkadapter verfügen über eine Verbindungsanzeige (ein Lämpchen in Form einer LED), die auf gesendete oder empfangene Datenpakete hinweist. Da die IEEE 802.1X-Authentifizierung erfolgt, bevor der Drahtlosnetzwerkadapter tatsächlich Nutzdaten überträgt oder empfängt, lässt sich an der Verbindungsanzeige nicht ablesen, ob
eine 802.1X-Authentifizierung erfolgt. Weist die Anzeige nicht auf Datenverkehr im Funknetz
hin, kann eine fehlgeschlagene 802.1X-Authentifizierung die Ursache sein.
Überprüfen Sie, ob das Benutzer- oder Computerkonto für den Drahtlosclient vorhanden ist, ob
es aktiviert ist, ob es vielleicht gesperrt ist (über Konteneigenschaften oder eine RAS-Kontosperrung) und ob der Verbindungsversuch zu den zugelassenen Anmeldezeiten erfolgt.
Überprüfen Sie, ob es für den Verbindungsversuch mit dem verwendeten Computer- oder Benutzerkonto eine passende Netzwerkrichtlinie gibt. Wenn Sie die Konten zum Beispiel auf Gruppenbasis mit Netzwerkrichtlinien verwalten, überprüfen Sie, ob das Benutzer- oder Computerkonto
Mitglied der Gruppe ist, für die die Netzwerkrichtlinie festgelegt wurde.
Überprüfen Sie, ob das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstellen der NPS-Serverzertifikate auf den Drahtlosclientcomputern im lokalen Computerspeicher für
vertrauenswürdige Stammzertifizierungsstellen vorhanden ist.
Überprüfen Sie bei einem Drahtlosclient mit EAP-TLS- oder PEAP-TLS-Authentifizierung, ob
das Computer- oder Benutzerzertifikat die Bedingungen erfüllt, die im Abschnitt »Überprüfen des
Zertifikats des Drahtlosclients« beschrieben werden.
Überprüfen Sie bei einem Drahtlosclient mit PEAP-MS-CHAP v2-Authentifizierung, ob das Kennwort des Drahtlosclients abgelaufen ist. Sorgen Sie dafür, dass auf den NPS-Servern im Dialogfeld EAP-MSCHAPv2-Eigenschaften das Kontrollkästchen Client kann Kennwort ändern, nachdem es abgelaufen ist aktiviert ist.
336

Es ist keine Authentifizierung mit einem Zertifikat möglich. Die häufigste Ursache für dieses Problem
ist, dass noch kein Benutzer- oder Computerzertifikat installiert wurde. Je nach der eingestellten
Authentifizierungsmethode müssen alle beide installiert sein. Überprüfen Sie im Zertifikate-SnapIn, ob Sie ein Computerzertifikat, ein Benutzerzertifikat oder beide installiert haben.
Eine weitere Ursache für diese Meldung kann darin bestehen, dass sich die installierten Zertifikate
nicht für die Drahtlosauthentifizierung eignen oder nicht von allen NPS-Servern überprüft werden
können. Weitere Informationen finden Sie im Abschnitt »Beheben von Problemen mit der Überprüfung von Zertifikaten« dieses Kapitels.
Beheben von Problemen mit drahtlosen Zugriffspunkten
Wenn Sie mehrere drahtlose Zugriffspunkte einsetzen und über einen dieser Zugriffspunkte keine
Verbindung herstellen und keine Authentifizierung durchführen können, kann das Problem bei diesem
Zugriffspunkt liegen. Dieser Abschnitt beschreibt die gebräuchlichen Hilfsmittel zur Behebung von
Problemen mit drahtlosen Zugriffspunkten und die üblichen Probleme, die bei der Verbindungsherstellung und Authentifizierung auf einem Zugriffspunkt auftreten können.
Hilfsmittel zur Behebung von Problemen mit drahtlosen Zugriffspunkten
Welche Hilfsmittel Ihnen bei der Problembehandlung zur Verfügung stehen, hängt zwar von den Herstellern der Geräte ab, aber die häufiger anzutreffenden sind folgende:
LEDs
Standortüberprüfungssoftware (Site-Survey-Software)
SNMP-Unterstützung
Diagnosetools
Diese Hilfsmittel werden in den folgenden Abschnitten genauer beschrieben. Informieren Sie sich
in der Dokumentation Ihres drahtlosen Zugriffspunkts über die Hilfsmittel, die Ihnen zur Problembehandlung zur Verfügung stehen.
LEDs
Die meisten drahtlosen Zugriffspunkte verfügen über ein oder mehrere kleine Lämpchen (Leuchtdioden, LEDs), die außen am Gehäuse des Geräts angebracht sind und einen schnellen Überblick über
den Betriebszustand des Geräts ermöglichen:
Ein Lämpchen zeigt an, ob das Gerät mit Strom versorgt wird.
Ein Lämpchen zeigt den allgemeinen Betriebszustand an. Dieses Lämpchen könnte zum Beispiel
zeigen, ob eine Assoziation zwischen dem drahtlosen Zugriffspunkt und einem Drahtlosclient besteht.
Ein Lämpchen zeigt die Übertragungsaktivität an. Dieses Lämpchen könnte zum Beispiel bei
jedem eingehenden Datenpaket blinken.
Ein Lämpchen weist auf Datenkollisionen hin. Blinkt es sehr häufig, sollten Sie mit den Methoden, die der Hersteller vorschlägt, die Leistung des Geräts überprüfen.
Ein Lämpchen zeigt den Datenverkehr im Kabelnetzwerk an. Dieses Lämpchen könnte zum Beispiel bei jedem eingehenden Datenpaket blinken.
Vielleicht verfügt der drahtlose Zugriffspunkt statt der Lämpchen über ein LCD (Liquid Crystal Display), auf der verschiedene Symbole den Zustand des Geräts angeben. Informieren Sie sich in der
Dokumentation des Geräts über die Bedeutung der Lämpchen oder der Symbole auf der LCD-Anzeige.
Problembehandlung
337
Standortüberprüfungssoftware (Site-Survey-Software)
Standortüberprüfungssoftware, die Sie bei der Bereitstellung von drahtlosen Zugriffspunkten zur Bestimmung des optimalen Aufstellungsorts verwenden können, wird gewöhnlich von einer CD-ROM
aus dem Lieferumfang des drahtlosen Zugriffspunkts oder des Drahtlosnetzwerkadapters auf einen
drahtlosnetzwerkfähigen Laptop installiert.
Wie in diesem Kapitel bereits unter der Überschrift »Bereitstellen drahtloser Zugriffspunkte« beschrieben, dient die Standortüberprüfungssoftware zur Ermittlung des Sendebereichs (coverage volume) und der Abstände von einem drahtlosen Zugriffspunkt, an denen sich die Datenübertragungsraten ändern. Wenn Drahtlosclients mit einem bestimmten drahtlosen Zugriffspunkt keine Verbindung
herstellen können, überprüfen Sie den Sendebereich dieses drahtlosen Zugriffspunkts mit der Standortüberprüfungssoftware. Vielleicht hat es unter den Geräten eine Änderung gegeben, die zu Interferenzen führt, oder vielleicht wurden seit der letzten Standortüberprüfung neue Objekte aufgestellt,
die die Ausbreitung der Funkwellen stören.
SNMP-Unterstützung
Viele drahtlose Zugriffspunkte sind mit einem SNMP-Agenten (Simple Network Management Protocol) ausgerüstet, der die folgenden SNMP-MIBs (Management Information Bases) unterstützt:
IEEE 802.11 MIB
IEEE 802.1 PAE (Port Access Entity) MIB
SNMP Management MIB (beschrieben in RFC 1157)
SNMP MIB II (beschrieben in RFC 1213)
Bridge MIB (beschrieben in RFC 1286)
Ethernet Interface MIB (beschrieben in RFC 1398)
IETF Bridge MIB (beschrieben in RFC 1493)
Remote Monitoring (RMON) MIB (beschrieben in RFC 1757)
RADIUS Client Authentication MIB (beschrieben in RFC 2618)
Der SNMP-Agent auf dem drahtlosen Zugriffspunkt kann zusammen mit Ihrer vorhandenen SNMPNetzwerkverwaltungsinfrastruktur zur Konfiguration der drahtlosen Zugriffspunkte, zur Festlegung
von Trapbedingungen und zur Überwachung der Belastung der drahtlosen Zugriffspunkte dienen.
Diagnosetools
Diagnosetools für drahtlose Zugriffspunkte können folgende Form haben:
Diagnoseprogramme, die über das Hauptkonfigurationsprogramm eines drahtlosen Zugriffspunkts
gestartet werden, beispielsweise ein Windows-Programm von der Produkt-CD des Herstellers des
drahtlosen Zugriffspunkts oder eine Reihe von Webseiten.
Diagnosetools, die über ein Befehlszeilenprogramm oder auf eine andere Weise zugänglich sind
und zum Beispiel einen Terminalzugriff auf den drahtlosen Zugriffspunkt ermöglichen.
Welche Diagnosetools die Hersteller bereitstellen, hängt vom Hersteller und vom drahtlosen Zugriffspunkt ab. Sinn dieser Diagnosetools ist es aber immer, die aktuelle Konfiguration der drahtlosen Zugriffspunkte überprüfen und die ordnungsgemäße Funktion der Geräte (Hardwareebene) sicherstellen
zu können.
338
Häufiger auftretende Probleme mit drahtlosen Zugriffspunkten
Die folgenden Probleme treten bei drahtlosen Zugriffspunkten häufiger auf:
Der drahtlose Zugriffspunkt ist nicht zu sehen.
Es ist keine Authentifizierung beim drahtlosen Zugriffspunkt möglich.
Über den drahtlosen Zugriffspunkt hinaus ist keine Kommunikation möglich.
Diese Probleme werden in den folgenden Abschnitten näher besprochen.
Der drahtlose Zugriffspunkt ist nicht zu sehen
Wenn Drahtlosclients einen drahtlosen Zugriffspunkt bei der Suche nach Netzwerken nicht sehen,
kann dies eine der folgenden Ursachen haben:
Der drahtlose Zugriffspunkt sendet keine Kennung. Alle drahtlosen Zugriffspunkte sollten regelmäßig Beacon-Nachrichten ausstrahlen, die ihre SSID enthalten (sofern das Gerät nicht auf die Unterdrückung der SSID in Beacon-Nachrichten eingestellt wurde) und die Fähigkeiten der Geräte beschreiben (beispielsweise die unterstützten Übertragungsraten und die Sicherheitsoptionen). Um
zu prüfen, ob ein Zugriffspunkt seine Kennung ausstrahlt, können Sie die Standortüberprüfungssoftware oder einen Paketanalysator verwenden, der die Beacon-Nachrichten aufzeichnet. Vielleicht enthält bereits die Produkt-CD-ROM vom Hersteller des Zugriffspunkts einen einfachen
Paketanalysator, der die Beacon-Nachrichten und andere Verwaltungsnachrichten aufzeichnen kann.
Der drahtlose Zugriffspunkt ist nicht auf den richtigen Kanal eingestellt. Wenn der drahtlose Zugriffspunkt denselben Kanal wie ein benachbarter drahtloser Zugriffspunkt verwendet, können die sich
überlagernden Funksignale dazu führen, dass Drahtlosclients nur schwer stabile Verbindungen
herstellen können. Ändern Sie bei Bedarf die Kanaleinstellung.
Der drahtlose Zugriffspunkt beschreibt seine Fähigkeiten falsch. Überprüfen Sie, ob der drahtlose
Zugriffspunkt so eingestellt ist, dass er mit der gewünschten Technik arbeitet (wie 802.11b, 802.11a
oder 802.11g) und die gewünschten Übertragungsraten und Sicherheitsfunktionen verwendet
(WPA oder WPA2). Wenn Sie das Beacon-Datenpaket mit einem Protokollanalysator auffangen,
können Sie die eingestellten Werte mit den Werten aus dem Beacon-Datenpaket vergleichen.

Der drahtlose Zugriffspunkt sendet im vorgesehenen Sendebereich nicht mit hinreichender Leistung.
Überprüfen Sie mit Ihrer Standortüberprüfungssoftware, ob der tatsächliche Sendebereich des
drahtlosen Zugriffspunkts mit dem geplanten Sendebereich übereinstimmt. Falls es neue Quellen
für Signalabschwächungen, Reflektionen und Interferenzen gibt, ordnen Sie diese neuen Störquellen oder den drahtlosen Zugriffspunkt anders an.
Es ist keine Authentifizierung beim drahtlosen Zugriffspunkt möglich
Falls Sie mehrere drahtlose Zugriffspunkte verwenden und Ihre Drahtlosclients mit keinem dieser
Geräte eine Verbindung herstellen können, gibt es vielleicht ein Problem in Ihrer Authentifizierungsinfrastruktur. Wie man solche Probleme beheben kann, beschreibt der noch folgende Abschnitt »Beheben von Problemen mit der Authentifizierungsinfrastruktur« dieses Kapitels. Falls Sie mehrere
drahtlose Zugriffspunkte verwenden und die Drahtlosclients nur mit der Authentifizierung bei einem
bestimmten Zugriffspunkt Schwierigkeiten haben, müssen Sie die Authentifizierungseinstellung dieses drahtlosen Zugriffspunkts überprüfen. Überprüfen Sie folgende drei Bereiche der Authentifizierungskonfiguration:
802.1X-Konfiguration
RADIUS-Konfiguration
WPA-Konfiguration
Problembehandlung
339
802.1X-Konfiguration
Sorgen Sie dafür, dass die 802.1X-Authentifizierung des drahtlosen Zugriffspunkts aktiviert ist. Bei
einigen Zugriffspunkten wird die 802.1X-Authentifizierung als EAP-Authentifizierung bezeichnet.
RADIUS-Konfiguration
Die RADIUS-Konfiguration umfasst folgende Elemente:
RADIUS-Konfiguration der drahtlosen Zugriffspunkte Sorgen Sie dafür, dass der drahtlose Zugriffspunkt korrekt für RADIUS konfiguriert ist. Der drahtlose Zugriffspunkt sollte folgende Einstellungen aufweisen:
Die IPv4- oder IPv6-Adresse eines primären RADIUS-Servers (einer Ihrer NPS-Server)
Die UDP-Zielports (UDP bedeutet User Datagram Protocol) für den RADIUS-Datenverkehr,
der an den primären RADIUS-Server gesendet wird (UDP-Port 1812 für den RADIUS-Authentifizierungsdatenverkehr und UDP-Port 1813 für den RADIUS-Kontoführungsdatenverkehr)
Den gemeinsamen geheimen RADIUS-Schlüssel für den primären RADIUS-Server
Die IPv4- oder IPv6-Adresse eines sekundären RADIUS-Servers (ein weiterer Ihrer NPSServer)
Die UDP-Zielports für den RADIUS-Datenverkehr, der an den sekundären RADIUS-Server
gesendet wird
Den gemeinsamen geheimen RADIUS-Schlüssel für den sekundären RADIUS-Server
Erreichbarkeit der NPS-Server Überprüfen Sie auf folgende Weise, ob der primäre und der sekundäre NPS-Server für den drahtlosen Zugriffspunkt erreichbar sind:
Wenn der drahtlose Zugriffspunkt über einen »Ping« verfügt – er kann an ein beliebiges IPv4Ziel eine ICMP-Echo-Nachricht (Internet Control Message Protocol) senden –, versuchen Sie,
die IPv4-Adressen des primären und sekundären NPS-Servers mit dem Ping zu erreichen.
Kann der drahtlose Zugriffspunkt keinen Ping aussenden, versuchen Sie, die IPv4-Adressen
des primären und sekundären NPS-Servers von einem anderen Netzwerkknoten aus mit dem
Programm Ping zu erreichen. Dieser Knoten muss sich in dem Subnetz befinden, zu dem auch
der drahtlose Zugriffspunkt gehört.
Ist der Ping vom Netzwerkknoten erfolgreich und der Ping vom drahtlosen Zugriffspunkt
nicht, überprüfen Sie die IPv4-Konfiguration des drahtlosen Zugriffspunkts. Sorgen Sie dafür,
dass er mit der korrekten IPv4-Adresse, der richtigen Subnetzmaske und dem richtigen Standardgateway für das dazugehörige Kabelnetzwerk konfiguriert ist. Funktioniert keiner der
Pings, beheben Sie die Verbindungsprobleme zwischen dem angeschlossenen Subnetz und den
RADIUS-Servern.
Hinweis Ein negatives Ergebnis beim Ping-Test bedeutet nicht zwangsläufig, dass keine Verbindung besteht. Es könnte auf dem Weg zwischen dem drahtlosen Zugriffspunkt und den RADIUSServern ein Router vorhanden sein, der ICMP-Nachrichten herausfiltert. Vielleicht wurden auch die
NPS-Server mit Paketfiltern ausgestattet, die ICMP-Nachrichten verwerfen.
Um sicherzustellen, dass der RADIUS-Datenverkehr den primären und den sekundären NPSServer erreicht, verwenden Sie auf den NPS-Servern einen Netzwerksniffer wie den Network
Monitor 3.1. Damit können Sie den RADIUS-Datenverkehr aufzeichnen und untersuchen, der bei
einem Authentifizierungsversuch zwischen dem drahtlosen Zugriffspunkt und den RADIUSServern ausgetauscht wird.
340

Konfiguration der NPS-Server Wenn der RADIUS-Datenverkehr den primären und den sekundären
NPS-Server erreicht, überprüfen Sie, ob der primäre und sekundäre NPS-Server mit einem
RADIUS-Client konfiguriert sind, der dem drahtlosen Zugriffspunkt entspricht. Dazu gehören
folgende Werte:
Die IPv4-Adresse der Kabelnetzwerkschnittstelle des drahtlosen Zugriffspunkts
Die UDP-Zielports für den RADIUS-Datenverkehr, der vom drahtlosen Zugriffspunkt gesendet wird (UDP-Port 1812 für den RADIUS-Authentifizierungsdatenverkehr und UDP-Port
1813 für den RADIUS-Kontoführungsdatenverkehr)
Das gemeinsame geheime RADIUS-Kennwort, das auf dem drahtlosen Zugriffspunkt konfiguriert wurde
Überprüfen Sie das Protokoll Windows-Protokolle\Sicherheit auf Authentifizierungsfehlereinträge, die den Verbindungsversuchen mit dem drahtlosen Zugriffspunkt entsprechen. Um
die Ereigniseinträge für fehlgeschlagene Authentifizierungen überprüfen zu können, sehen Sie
sich in der Ereignisanzeige die Ereigniseinträge aus dem Sicherheitsereignisprotokoll mit der
Ereignis-ID 6273 an.
IPsec für den RADIUS-Datenverkehr Wenn Sie zur Verschlüsselung des RADIUS-Datenverkehrs
zwischen dem drahtlosen Zugriffspunkt und dem NPS-Server IPsec verwenden, überprüfen Sie
die IPsec-Einstellungen auf dem drahtlosen Zugriffspunkt und auf dem NPS-Server und sorgen
Sie dafür, dass beide erfolgreich Sicherheitszuordnungen aushandeln und sich gegenseitig authentifizieren können.
Hinweis Weitere Informationen über die Einstellung der IPsec-Richtlinien unter Windows Server 2008
zum Schutz des RADIUS-Datenverkehrs finden Sie in Kapitel 4, »Windows-Firewall mit erweiterter Sicherheit«. Informationen über die Konfiguration von IPsec für einen drahtlosen Zugriffspunkt finden Sie in der
Produktdokumentation Ihres drahtlosen Zugriffspunkts.
WPA- oder WPA2-Konfiguration
Sofern Ihr drahtloser Zugriffspunkt WPA- oder WPA2-fähig ist und Sie zum Schutz des Drahtlosnetzwerks WPA oder WPA2 verwenden möchten, sorgen Sie dafür, dass WPA oder WPA2 aktiviert ist.
Über den drahtlosen Zugriffspunkt hinaus ist keine Kommunikation möglich
Der drahtlose Zugriffspunkt ist eine unsichtbare Bridge und ein Schicht-2-Switch, der Datenpakete
zwischen dem Kabelnetzwerk, mit dem er verbunden ist, und den verbundenen Drahtlosclients weiterleitet. Wenn Drahtlosclients zwar eine Verbindung herstellen und sich authentifizieren können, aber
keine Orte jenseits des drahtlosen Zugriffspunkts erreichen, könnte dies einen oder mehrere der folgenden Gründe haben.
Der drahtlose Zugriffspunkt leitet die Datenpakete nicht als Bridge weiter. Alle unsichtbaren Bridges
unterstützen das Spanning-Tree-Protokoll, das eine Schleifenbildung bei der Überbrückung der
Netzwerksegmente verhindern soll. Das Spanning-Tree-Protokoll verwendet eine Reihe von Multicast-Nachrichten, um Informationen über die Brückenkonfiguration zu kommunizieren und die
Brückenschnittstellen automatisch so zu konfigurieren, dass Datenpakete weitergeleitet oder die
Weiterleitung gesperrt wird, um Schleifen zu verhindern. Während der Spanning-Tree-Algorithmus die Weiterleitung oder Sperrung von Schnittstellen überprüft, leitet die Bridge keine Datenpakete weiter. Überprüfen Sie den Weiterleitungsstatus des drahtlosen Zugriffspunkts und die
Bridgekonfiguration.
Problembehandlung

341
Der drahtlose Zugriffspunkt wurde nicht mit den korrekten VLAN-IDs konfiguriert. Viele drahtlose
Zugriffspunkte unterstützen VLANs. Dabei handelt es sich um Switchanschlüsse, die auf der
Verwaltungsebene so zusammengefasst werden, dass sie im selben Subnetz erscheinen. Jede
Gruppe erhält eine separate VLAN-ID. Überprüfen Sie, ob die VLAN-IDs für Ihren Drahtlosclient
und Ihre verkabelten Schnittstellen korrekt konfiguriert sind. Vielleicht verwenden Sie zum Beispiel eine VLAN-ID für authentifizierte Drahtlosclients (die Verbindung erfolgt mit dem Intranet
der Organisation) und eine separate VLAN-ID für Gäste mit drahtlosen Computern (die Verbindung erfolgt mit einem anderen Subnetz oder mit dem Internet).
Beheben von Problemen mit der Authentifizierungsinfrastruktur
Wenn Sie mehrere drahtlose Zugriffspunkte verwenden und mit keinem dieser Zugriffspunkte eine
Authentifizierung durchführen können, liegt vielleicht ein Problem mit der Authentifizierungsinfrastruktur vor, die aus Ihren NPS-Servern, der PKI und den Active Directory-Konten besteht. In diesem
Abschnitt beschreiben wir häufiger auftretende Probleme mit der NPS-Authentifizierung und Autorisierung, sowie mit der Überprüfung von Authentifizierungen auf Zertifikat- oder Kennwortbasis.
Beheben von Problemen mit der NPS-Authentifizierung und Autorisierung
Zur Behebung der häufiger auftretenden Probleme mit der NPS-Authentifizierung und Autorisierung
sorgen Sie für Folgendes:
Dass der drahtlose Zugriffspunkt die NPS-Server erreichen kann
Um dies zu überprüfen, versuchen
Sie, von jedem der NPS-Server aus die IP-Adresse des drahtlosen Zugriffspunkts im Kabelnetzwerk anzupingen. Sorgen Sie außerdem dafür, dass keine IPsec-Richtlinien, IP-Paketfilter oder
anderen Mechanismen, die den Netzwerkzugriff einschränken können, den Austausch von RADIUS-Nachrichten zwischen dem drahtlosen Zugriffspunkt und seinen konfigurierten NPS-Servern verhindern. Für den RADIUS-Datenverkehr mit den NPS-Servern werden eine IPv4- oder
IPv6-Quelladresse des drahtlosen Zugriffspunkts, eine IPv4- oder IPv6-Zieldresse des NPSServers, der UPD-Zielport 1812 für Authentifizierungsnachrichten und der UPD-Zielport 1813
für Kontoführungsnachrichten verwendet. Für den RADIUS-Datenverkehr von den NPS-Servern
werden eine IPv4- oder IPv6-Quelladresse des NPS-Servers, eine IPv4- oder IPv6-Zieldresse des
drahtlosen Zugriffspunkts, der UPD-Quellport 1812 für Authentifizierungsnachrichten und der
UDP-Quellport 1813 für Kontoführungsnachrichten verwendet. Diese Beispiele setzen voraus,
dass Sie die RADIUS UDP-Ports verwenden, die in den RFCs 2865 und 2866 für die RADIUSAuthentifizierung und Autorisierung definiert werden.
Dass jedes NPS-Server/Drahtloszugriffspunkt-Paar mit einem gemeinsamen geheimen RADIUS-Kennwort
konfiguriert ist Es muss zwar nicht jedes NPS-Server/Drahtloszugriffspunkt-Paar über ein eigenes gemeinsames geheimes RADIUS-Kennwort verfügen, aber das verwendete Kennwort muss
auf beiden Partnern eines Paares dasselbe sein. Wenn Sie zum Beispiel die NPS-Konfiguration
von einem NPS-Server auf einen anderen kopieren, überprüfen Sie alle Kennwortpaare zwischen
den NPS-Servern und den drahtlosen Zugriffspunkten.
Dass die NPS-Server einen Active Directory-Domänencontroller und einen globalen Katalogserver erreichen können Der NPS-Server verwendet einen globalen Katalogserver, um die Benutzerprinzipalnamen (User Principal Name, UPN) der Computer- oder Benutzerzertifikate oder den MSCHAP v2-Kontonamen zum definierten Namen des entsprechenden Kontos in Active Directory
aufzulösen. Der NPS-Server verwendet einen Active Directory-Domänencontroller, um die Anmeldeinformationen des Computer- und Benutzerkontos zu überprüfen und um die Konteneigenschaften abzurufen, die für die Bewertung der Autorisierung erforderlich sind.
342

Dass die Computerkonten der NPS-Server in den entsprechenden Domänen Mitglieder der Sicherheitsgruppe RAS- und IAS-Server sind Das Hinzufügen der NPS-Servercomputerkonten zur Sicherheitsgruppe RAS- und IAS-Server der entsprechenden Domäne geschieht normalerweise bei der
Konfiguration der NPS-Server. Um das NPS-Servercomputerkonto zu den entsprechenden Domänen hinzuzufügen, können Sie den Befehl netsh nps add registeredserver verwenden.
Dass keine konfigurierten Beschränkungen ungewollt den Zugriff verhindern Sorgen Sie dafür, dass
das Benutzer- oder Computerkonto nicht gesperrt, abgelaufen oder deaktiviert ist und dass die
Verbindungsversuche innerhalb der vorgesehenen Anmeldezeiten erfolgen.
Dass das Benutzerkonto nicht von der RAS-Kontosperrung gesperrt wurde Die RAS-Kontosperrung
zählt Authentifizierungsversuche und sperrt den Zugang nach der vorgesehenen Anzahl von Fehlversuchen, damit das Kennwort des Benutzers nicht so leicht durch Online-Wörterbuchangriffe
ermittelt werden kann. Wenn die RAS-Kontosperrung aktiviert ist, können Sie den Sperrungszähler eines Kontos zurücksetzen, indem Sie auf dem NPS-Server den Registrierungswert HKEY_
LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\Domänenname:Kontoname löschen.
Dass die Verbindung autorisiert ist Zur Autorisierung müssen die Parameter des Verbindungsversuchs Folgendes erfüllen:
Alle Bedingungen von mindestens einer Netzwerkrichtlinie erfüllen. Wenn es keine passende
Richtlinie gibt, werden alle Drahtlosauthentifizierungsanforderungen abgelehnt.
Durch das Benutzerkonto eine Netzwerkzugriffsberechtigung erhalten (Einstellung auf Zugriff
gestatten). Falls für das Benutzerkonto die Option Zugriff über NPS-Netzwerkrichtlinien
steuern gewählt wurde, muss die Zugriffsberechtigung der ersten passenden Netzwerkrichtlinie Zugriff gewähren lauten.
Mit allen Einstellungen des Profils übereinstimmen. Überprüfen Sie, ob in den Authentifizierungseinstellungen des Profils EAP-TLS oder PEAP-MS-CHAP v2 aktiviert und korrekt eingestellt wurde.
Zu den Einstellungen der Einwähleigenschaften des Benutzer- oder Computerkontos passen.
Wenn Sie den Namen der Netzwerkrichtlinie ermitteln möchten, die zur Ablehnung des Verbindungsversuchs geführt hat, sorgen Sie dafür, dass die NPS-Ereignisprotokollierung für abgelehnte Authentifizierungsversuche aktiviert ist. Suchen Sie dann in der Ereignisanzeige im
Protokoll Windows-Protokolle\Sicherheit nach Ereigniseinträgen mit der Ereignis-ID 6273. Im
Text des Ereigniseintrags für den Verbindungsversuch finden Sie den Netzwerkrichtliniennamen
im Feld Netzwerkrichtlinienname.
Dass Sie den Modus Ihrer Domäne nicht vom gemischten Modus in den einheitlichen Modus geändert
haben Falls Sie Ihre Active Directory-Domäne gerade vom gemischten Modus auf den einheitlichen Modus umgestellt haben, können die NPS-Server nicht länger gültige Verbindungsanforderungen authentifizieren. Sie müssen jeden Domänencontroller der Domäne neu starten, damit die
Änderung durch Replikation wirksam wird.
Beheben von Problemen mit der Überprüfung von Zertifikaten
Die Behebung von Problemen, die bei der Überprüfung von Zertifikaten für die EAP-TLS- oder PEAPTLS-Authentifizierung auftreten, umfasst die Überprüfung der Computer- und Benutzerzertifikate des
Drahtlosclients und der Computerzertifikate der NPS-Server.
Problembehandlung
343
Überprüfen des Zertifikats des Drahtlosclients
Damit ein NPS-Server das Zertifikat eines Drahtlosclients überprüfen kann, müssen für jedes Zertifikat aus der Zertifikatkette des Zertifikats, das der Drahtlosclient gesendet hat, folgende Bedingungen
erfüllt sein:
Das aktuelle Datum liegt im Gültigkeitszeitraum des Zertifikats. Zertifikate werden mit einem Gültigkeitszeitraum ausgestellt, vor dessen Beginn sie noch nicht verwendet werden können. Nach dem
Ablauf des Gültigkeitszeitraums sind auch die Zertifikate abgelaufen und können nicht mehr verwendet werden.
Das Zertifikat wurde nicht gesperrt. Ausgestellte Zertifikate können jederzeit gesperrt werden. Jede
ausstellende Zertifizierungsstelle führt eine Liste der Zertifikate, die nicht mehr als gültig akzeptiert werden sollten, und veröffentlicht diese Liste in Form einer Zertifikatsperrliste (Certificate
Revocation List, CRL). Der Server versucht zuerst, das Zertifikat mit dem OSCP-Protokoll zu
überprüfen (OSCP bedeutet Online Certificate Status Protocol). Ist die OSCP-Überprüfung erfolgreich, so ist auch die Überprüfung des Zertifikats erfolgreich. Andernfalls versucht er, das Benutzer- oder Computerzertifikat anhand der Zertifikatsperrliste zu überprüfen. Standardmäßig überprüft der NPS-Server alle Zertifikate aus der Zertifikatkette des Drahtlosclients (die Reihe der
Zertifikate vom Zertifikat des Drahtlosclients bis hinauf zur Stammzertifizierungsstelle) daraufhin, ob eines dieser Zertifikate gesperrt wurde. Wurde eines dieser Zertifikate gesperrt, schlägt die
Zertifikatüberprüfung fehl. Dieses Verhalten kann in der Registrierung geändert werden, wie im
weiteren Verlauf des Kapitels beschrieben.
Wenn Sie die Zertifikatsperrlisten-Verteilungspunkte für ein Zertifikat anzeigen möchten, klicken
Sie das Zertifikat im Detailbereich des Zertifikate-Snap-Ins mit einem Doppelklick an, klicken auf
die Registerkarte Details und dann auf das Feld Sperrlisten-Verteilungspunkte. Zur Überprüfung,
ob das Zertifikat gesperrt ist, muss der NPS-Server in der Lage sein, die Zertifikatsperrlisten-Verteilungspunkte zu erreichen.
Die Überprüfung der Zertifikatsperrung funktioniert nur so gut wie das System, das die Zertifikatsperrlisten veröffentlicht und verteilt. Wird die Zertifikatsperrliste nicht häufig genug aktualisiert,
kann ein bereits gesperrtes Zertifikat vielleicht noch verwendet und als gültig eingestuft werden,
weil die veröffentlichte Zertifikatsperrliste, die der NPS-Server verwendet, veraltet ist. Überprüfen Sie, ob die den NPS-Servern zugänglichen Zertifikatsperrlisten noch gelten oder bereits veraltet sind. Wenn die den NPS-Servern verfügbaren Zertifikatsperrlisten abgelaufen sind, schlagen
EAP-TLS- und PEAP-TLS-Authentifizierungen fehl.
Das Zertifikat verfügt über eine gültige digitale Signatur. Zertifizierungsstellen signieren die Zertifikate, die sie ausstellen, digital. Der NPS-Server überprüft die digitale Signatur jedes Zertifikats
aus der Kette (mit Ausnahme des Stammzertifizierungsstellenzertifikats) mit dem öffentlichen
Schlüssel der ausstellenden Zertifizierungsstelle.
Das Zertifikat des Drahtlosclients muss zudem für den Verwendungszweck Clientauthentifizierung vorgesehen sein (der Verwendungszweck wird auch Erweiterte Schlüsselverwendung,
Enhanced Key Usage oder EKU genannt) und im Feld Alternativer Antragstellername entweder
den Benutzerprinzipalnamen eines gültigen Benutzerkontos oder den vollständig qualifizierten
Domänennamen (FQDN) eines gültigen Computerkontos aufweisen.
Wenn Sie sich im Zertifikate-Snap-In die erweiterte Schlüsselverwendung (EKU) eines Zertifikats
ansehen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken
auf die Registerkarte Details und dann auf das Feld Erweiterte Schlüsselverwendung.
344

Wenn Sie im Zertifikate-Snap-In das Feld Alternativer Antragstellername anzeigen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken auf die Registerkarte
Details und dann auf das Feld Alternativer Antragstellername.
Auf dem NPS-Server muss das erforderliche Zertifikat korrekt installiert worden sein. Um der Zertifikatkette vertrauen zu können, die der Drahtlosclient vorlegt, muss der NPS-Server im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen des Speichers Lokaler Computer über das
Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des
Drahtlosclients verfügen.
Hinweis Zusätzlich zur normalen Zertifikatüberprüfung überprüft der NPS-Server auch, ob die ursprüngliche EAP-Response/Identity-Nachricht denselben Namen angibt, der im Feld Alternativer
Antragstellername des übermittelten Zertifikats angegeben wird. Das hindert Angreifer daran, sich als
einen anderen Benutzer oder Computer auszugeben als den, der in der EAP-Response/IdentityNachricht genannt wird.
Welche Voraussetzungen das Zertifikat des Drahtlosclients außerdem erfüllen muss, wurde bereits
im Abschnitt »Anforderungen an eine PKI« dieses Kapitels beschrieben.
Standardmäßig prüft NPS, ob die von den Drahtlosclients vorgelegten Zertifikate gesperrt sind. Wie
der NPS-Server die Prüfung durchführt, können Sie auf dem NPS-Server mit den folgenden Registrierungswerten unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\
EAP\13 einstellen:
IgnoreNoRevocationCheck Wird dieser Wert auf 1 gestellt, akzeptiert NPS EAP-TLS-Authentifizierungen, selbst wenn es keine Sperrungsüberprüfung der Zertifikatkette des Clients (ausgenommen des Stammzertifizierungsstellenzertifikats) durchführen oder beenden kann. Gewöhnlich
schlagen Zertifikatsperrungsüberprüfungen deswegen fehl, weil das Zertifikat keine Angaben über
Sperrlisten enthält.
IgnoreNoRevocationCheck wird standardmäßig auf 0 gestellt (deaktiviert). NPS lehnt eine EAPTLS- oder PEAP-TLS-Authentifizierung ab, wenn es die Sperrungsüberprüfung der Zertifikatkette des Clients (einschließlich des Stammzertifizierungsstellenzertifikats) nicht beenden und
dabei feststellen kann, dass keines der Zertifikate gesperrt wurde.
Stellen Sie IgnoreNoRevocationCheck auf 1, um EAP-TLS- oder PEAP-TLS-Authentifizierungen
auch dann zu akzeptieren, wenn das Zertifikat keine Angaben über Zertifikatsperrlisten-Verteilungspunkte enthält, wie manche Zertifikate von anderen Zertifizierungsstellen.
IgnoreRevocationOffline Wird dieser Wert auf 1 gestellt, akzeptiert NPS EAP-TLS- oder PEAPTLS-Authentifizierungen auch dann, wenn ein Server, auf dem die Zertifikatsperrliste gespeichert
ist, nicht im Netzwerk verfügbar ist. IgnoreRevocationOffline wird standardmäßig auf 0 gestellt.
NPS lehnt eine EAP-TLS- oder PEAP-TLS-Authentifizierung ab, wenn es nicht auf die Zertifikatsperrlisten zugreifen und daher die Sperrungsüberprüfung der Zertifikatkette des Clients nicht
beenden und dabei feststellen kann, dass keines der Zertifikate gesperrt wurde. Kann es keine Verbindung mit einem der Zertifikatsperrlisten-Verteilungspunkte aufnehmen, wird das Zertifikat bei
der EAP-TLS- oder PEAP-TLS-Authentifizierung als ungültig angesehen.
Stellen Sie IgnoreRevocationOffline auf 1, damit das Zertifikat bei der Sperrungsüberprüfung
nicht beispielsweise wegen schlechter Verbindungen, die einen erfolgreichen Abschluss der Sperrungsprüfung verhindern, als ungültig eingestuft wird.
NoRevocationCheck Wird dieser Wert auf 1 gestellt, führt NPS keine Sperrungsprüfung mit dem
Zertifikat des Drahtlosclients durch. Bei der Sperrungsprüfung wird überprüft, ob das Zertifikat
Problembehandlung
345
des Drahtlosclients oder eines der Zertifikate aus dessen Zertifikatkette gesperrt wurde. Standardmäßig wird NoRevocationCheck auf 0 gestellt.
NoRootRevocationCheck Wird dieser Wert auf 1 gestellt, führt NPS keine Sperrungsüberprüfung
des Stammzertifizierungsstellenzertifikats des Drahtlosclients durch. Dieser Eintrag deaktiviert
nur die Sperrungsprüfung des Stammzertifizierungsstellenzertifikats des Clients. Mit den restlichen
Zertifikaten aus der Zertifikatkette des Drahtlosclients wird weiterhin eine Sperrungsprüfung
durchgeführt. Standardmäßig wird NoRootRevocationCheck auf 0 gestellt.
Sie können NoRootRevocationCheck verwenden, wenn Clients authentifiziert werden sollen, in
deren Stammzertifizierungsstellenzertifikate keine Zertifikatsperrlisten-Verteilungspunkte angegeben sind, wie in manchen Zertifikaten von anderen Zertifizierungsstellen. Außerdem kann dieser
Wert Verzögerungen verhindern, wie sie zum Beispiel eintreten, wenn die Sperrliste eines Zertifikats nicht zugänglich oder abgelaufen ist.
Diese Registrierungswerte müssen als DWORD-Typen hinzugefügt werden (ein Registrierungsdatentyp, dessen Wert in Hexadezimalform mit maximal 4 Bytes angegeben wird) und auf 0 oder 1 gestellt
werden. Die drahtlosen Windows-Clients verwenden diese Werte nicht.
Überprüfen der Zertifikate der NPS-Server
Damit der Drahtlosclient das Zertifikat des NPS-Servers überprüfen kann, müssen alle Zertifikate aus
der Zertifikatkette des Zertifikats, das vom NPS-Server übermittelt wird, folgende Bedingungen erfüllen:
Das Zertifikat verfügt über eine gültige digitale Signatur. Zertifizierungsstellen signieren die Zertifikate, die sie ausstellen, digital. Der Drahtlosclient überprüft die digitale Signatur jedes Zertifikats
aus der Kette mit Ausnahme des Stammzertifizierungsstellenzertifikats mit dem öffentlichen
Außerdem muss das Zertifikat des NPS-Servers für den Verwendungszweck Serverauthentifizierung
vorgesehen sein. Die Objektkennung (OID) dieses Eintrags in der erweiterten Schlüsselverwendung
ist 1.3.6.1.5.5.7.3.1. Wenn Sie die erweiterte Schlüsselverwendung eines Zertifikats im ZertifikateSnap-In überprüfen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an,
klicken auf die Registerkarte Details und dann auf das Feld Erweiterte Schlüsselverwendung.
Schließlich muss noch das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des NPS-Servers auf dem Drahtlosclient im Zertifikatspeicher Vertrauenswürdige
Stammzertifizierungsstellen des Speichers Lokaler Computer verfügbar sein, damit der Drahtlosclient
der Zertifikatkette vertrauen kann, die der NPS-Server vorgelegt hat.
Welche Voraussetzungen das Computerzertifikat des NPS-Servers außerdem erfüllen muss, wurde
bereits im Abschnitt »Anforderungen an eine PKI« dieses Kapitels beschrieben.
Beachten Sie bitte, dass der Drahtlosclient keine Sperrungsüberprüfung für die Zertifikate aus der
Zertifikatkette des Computerzertifikats des NPS-Servers durchführt. Im Normalfall verfügt der Drahtlosclient noch nicht über eine Verbindung mit dem Netzwerk und kann daher weder auf eine Webseite
noch auf andere Ressourcen zugreifen, die für eine Sperrungsüberprüfung erforderlich wären.
346
Beheben von Problemen bei der Authentifizierung mit Kennwörtern
Die Behebung von Problemen bei der PEAP-MS-CHAP v2-Authentifizierung mit Kennwörtern umfasst die Überprüfung des Namens und des Kennworts des Drahtlosbenutzers und die Überprüfung
des Computerzertifikats des NPS-Servers.
Überprüfen der Anmeldeinformationen des Drahtlosclients
Wenn Sie zur Authentifizierung PEAP-MS-CHAP v2 verwenden, müssen der Name und das Kennwort, das der Drahtlosclient übermittelt, mit den Anmeldeinformationen für ein gültiges Konto übereinstimmen. Eine erfolgreiche Überprüfung der MS-CHAP v2-Anmeldeinformationen durch die
NPS-Server hängt von Folgendem ab:
Der Domänenteil des Namens entspricht dem Namen einer Domäne, bei der es sich entweder um
die Domäne des NPS-Servers oder um eine Domäne handelt, für die eine bidirektionale Vertrauensstellung mit der Domäne des NPS-Servers besteht.
Der Kontoteil des Namens entspricht einem gültigen Konto aus der Domäne.
Das Kennwort ist das richtige Kennwort für das Konto.
Zur Überprüfung der Anmeldeinformationen für das Benutzerkonto veranlassen Sie den Benutzer
dazu, sich auf einem Computer, der bereits über eine herkömmliche (Ethernet-)Kabelverbindung mit
dem Netzwerk verbunden ist, bei seiner Domäne anzumelden. Dabei wird deutlich, ob das Problem
bei den Anmeldeinformationen oder bei der Konfiguration der Authentifizierungsinfrastruktur liegt.
Überprüfen der Zertifikate der NPS-Server
Damit der Drahtlosclient das Zertifikat des NPS-Servers bei einer PEAP-MS-CHAP v2-Authentifizierung überprüfen kann, müssen alle Zertifikate aus der Zertifikatkette des Zertifikats, das vom NPSServer übermittelt wird, folgende Bedingungen erfüllen:
Das Zertifikat verfügt über eine gültige digitale Signatur. Zertifizierungsstellen signieren die Zertifikate, die sie ausstellen, digital. Der Drahtlosclient überprüft die digitale Signatur jedes Zertifikats
aus der Kette mit Ausnahme des Stammzertifizierungsstellenzertifikats mit dem öffentlichen
Außerdem muss das Zertifikat des NPS-Servers für den Verwendungszweck Serverauthentifizierung
vorgesehen sein (Objektkennung 1.3.6.1.5.5.7.3.1). Wenn Sie die erweiterte Schlüsselverwendung
eines Zertifikats im Zertifikate-Snap-In überprüfen möchten, klicken Sie das Zertifikat im Detailbereich mit einem Doppelklick an, klicken auf die Registerkarte Details und dann auf das Feld Erweiterte Schlüsselverwendung.
Schließlich muss noch das Stammzertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Zertifikats des NPS-Servers auf dem Drahtlosclient im Zertifikatspeicher Vertrauenswürdige
Stammzertifizierungsstellen des Speichers Lokaler Computer verfügbar sein, damit der Drahtlosclient
der Zertifikatkette vertrauen kann, die der NPS-Server vorgelegt hat.
Welche Voraussetzungen das Computerzertifikat des NPS-Servers außerdem erfüllen muss, wurde
bereits im Abschnitt »Anforderungen an eine PKI« dieses Kapitels beschrieben.
347
Der Aufbau eines geschützten Drahtlosnetzwerks erfordert die Konfiguration der Active Directory-,
PKI-, Gruppenrichtlinien- und RADIUS-Elemente einer Authentifizierungsinfrastruktur auf Basis von
Windows sowie die Bereitstellung und Konfiguration von drahtlosen Zugriffspunkten und Drahtlosclients. Die Wartungsarbeiten nach dem Aufbau des drahtlosen Netzwerks umfassen die Verwaltung
der drahtlosen Zugriffspunkte, die Änderung ihrer Konfiguration bei Änderungen in der Infrastruktur
sowie die Aktualisierung und Bereitstellung von Drahtlosnetzwerkprofilen. Bei drahtlosen Verbindungen tritt häufiger das Probleme auf, dass wegen Fehlern bei der Authentifizierung oder Autorisierung keine Verbindung aufgebaut werden kann oder dass Ressourcen aus dem Intranet für einen
Drahtlosclient nicht zugänglich sind.
Weitere Informationen über die Unterstützung von Drahtlosnetzwerken unter Windows Server 2008
und Windows Vista finden Sie hier:
Microsoft Wireless Networking (http://www.microsoft.com/wifi)
Weitere Informationen über Active Directory finden Sie hier:
Kapitel 9, »Authentifizierungsinfrastruktur«
Windows Server 2008 Active Directory – Die technische Referenz in der technischen Referenz zu
Windows Server 2008 (Microsoft Press, 2008)
Weitere Informationen über PKI finden Sie hier:
»Public Key Infrastructure for Microsoft Windows Server« (http://www.microsoft.com/pki)
Microsoft Windows Server 2008 – PKI und Zertifikatsicherheit von Brian Komar (Microsoft Press,
2008)
Weitere Informationen über Gruppenrichtlinien finden Sie hier:
Windows Group Policy Resource Kit: Windows Server 2008 and Windows Vista (Microsoft Press,
2008)
Microsoft Windows Server Group Policy (http://www.microsoft.com/gp)
Weitere Informationen über RADIUS and NPS finden Sie hier:
348
Microsoft Network Policy Server (http://www.microsoft.com/nps)
Weitere Informationen über NAP und die 802.1X-Erzwingung finden Sie hier:
Kapitel 14, »Grundlagen des Netzwerkzugriffsschutzes«
Kapitel 15, »Vorbereiten des Netzwerkzugriffsschutzes«
Network Access Protection (http://www.microsoft.com/nap)

349
K A P I T E L
1 1
Verkabelte Netzwerke
mit IEEE 802.1X-Authentifizierung
In diesem Kapitel:
Konzepte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Bereitstellen des Kabelnetzwerkzugriffs mit 802.1X-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . .
Wartung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
349
351
365
374
375
391
391
Dieses Kapitel beschreibt, wie man LAN-Kabelnetzwerke, die die IEEE 802.1X-Authentifizierung
verwenden, plant, bereitstellt und wartet und wie man auftretende Probleme beheben kann (IEEE
steht für das Institute of Electrical and Electronic Engineers, LAN bedeutet Local Area Network).
Nach der Bereitstellung kann ein geschütztes Kabelnetzwerk noch auf die 802.1X-Erzwingungsmethoden für den Netzwerkzugriffsschutz (NAP) umgestellt werden, wie in Kapitel 17, »802.1XErzwingung«, beschrieben.
In diesem Kapitel wird vorausgesetzt, dass Sie über ein Grundwissen über die Bedeutung der Komponenten Active Directory, Public-Key-Infrastruktur (PKI), Gruppenrichtlinien und RADIUS (Remote Authentication Dial-In User Service) in einer Authentifizierungsinfrastruktur auf der Basis von
Windows für den Netzwerkzugriff verfügen. Weitere Informationen finden Sie in Kapitel 9, »Authentifizierungsinfrastruktur«.
Konzepte
Viele moderne Ethernetswitches unterstützen eine Netzwerkzugangskontrolle auf Portbasis. Damit
lässt sich die Kommunikation über einen Switchport verhindern, bis der Computer, der auf den Port
zugreift, authentifiziert und autorisiert wurde. Der Standard, mit dem die Benutzung von Ports authentifiziert wird, ist IEEE 802.1X. Die IEEE 802.1X-Authentifizierung wurde für mittlere bis große verkabelte LANs entwickelt, die über eine Authentifizierungsinfrastruktur mit RADIUS-Servern und
Kontendatenbanken wie beispielsweise Active Directory verfügen. IEEE 802.1X hindert einen verkabelten Netzwerkknoten daran, Datenpakete aus dem Netzwerk anzunehmen oder ins Netzwerk zu
senden, bis er erfolgreich authentifiziert und autorisiert wurde.
Bei der Authentifizierung wird überprüft, ob verkabelte Netzwerkknoten über gültige Anmeldeinformationen verfügen. Benutzer ohne Anmeldeinformationen können Ihrem Kabelnetzwerk nicht beitreten. Bei der Autorisierung wird überprüft, ob der verkabelte Client eine Verbindung mit dem Switch
herstellen darf. IEEE 802.1X verwendet für den Austausch von Anmeldeinformationen EAP (Extensible Authentication Protocol). Eine Authentifizierung nach IEEE 802.1X kann mit verschiedenen
350
Kapitel 11: Verkabelte Netzwerke mit IEEE 802.1X-Authentifizierung
EAP-Authentifizierungsmethoden erfolgen, beispielsweise mit Benutzerkonten und Kennwörtern
oder mit digitalen Zertifikaten.
Komponenten von Kabelnetzwerken mit 802.1X-Authentifizierung
Abbildung 11.1 zeigt die Komponenten eines verkabelten Netzwerks auf Windows-Basis mit 802.1XAuthentifizierung.
Abbildung 11.1 Komponenten von Kabelnetzwerken auf Windows-Basis mit 802.1X-Authentifizierung
Bei den Komponenten handelt es sich um:
Kabelclients Netzwerkknoten, die die 802.1X-Authentifizierung für LAN-Verbindungen unterstützen und eine Verbindung mit 802.1X-fähigen verkabelten Switches herstellen
802.1X-fähige Switches Switches, die an ihren Anschlüssen die 802.1X-Authentifizierung erzwingen, die dazugehörigen Verbindungsvoraussetzungen überprüfen und Datenpakete zwischen
Kabelclients und Intranetressourcen weiterleiten
RADIUS-Server Computer, die für 802.1X-fähige Switches und andere Arten von Zugriffsservern
die zentrale Authentifizierung, Autorisierung und Kontoführung über Netzwerkzugriffsversuche
durchführen
Active Directory-Domänencontroller Computer, die Benutzer- und Computeranmeldeinformationen
zur Authentifizierung überprüfen und Informationen über die dazugehörigen Konten zu Bewertung der Autorisierung an die RADIUS-Server weiterleiten
Zertifizierungsstellen Komponenten der PKI, die Computer- oder Benutzerzertifikate für Kabelclients und Computerzertifikate für RADIUS-Server ausstellen
351
Bei der Planung und dem Entwurf eines geschützten Kabelnetzwerks mit 802.1X-Authentifizierung
sollten Sie folgende Aspekte berücksichtigen:
Authentifizierungsmethoden im Kabelnetzwerk
Authentifizierungsmodi im Kabelnetzwerk
Kabelclients
PKI
Authentifizierungsmethoden im Kabelnetzwerk
Windows Server 2008 und Windows Vista unterstützen die folgenden EAP-Authentifizierungsmethoden für die Authentifizierung im Kabelnetzwerk:
EAP-TLS (Transport Layer Security)
PEAP-MS-CHAP v2 (Protected EAP-Microsoft Challenge Handshake Authentication Protocol
version 2)
PEAP-TLS
EAP-TLS und PEAP-TLS werden zusammen mit einer PKI und Computerzertifikaten, Benutzerzertifikaten oder Smartcards verwendet. Bei EAP-TLS sendet der Kabelclient sein Computer-, Benutzeroder Smartcardzertifikat zur Authentifizierung und der RADIUS-Server sendet ein Computerzertifikat
zur Authentifizierung. Standardmäßig überprüft der Kabelclient das Zertifikat des RADIUS-Servers.
Falls keine Computer-, Benutzer- oder Smartcardzertifikate einsetzbar sind, verwenden Sie PEAPMS-CHAP v2. PEAP-MS-CHAP v2 ist eine Authentifizierungsmethode auf Kennwortbasis, bei der
der Austausch der Authentifizierungsnachrichten in einer verschlüsselten TLS-Sitzung erfolgt. Dadurch wird es für einen Angreifer wesentlich schwieriger, das Kennwort des aufgezeichneten Authentifizierungsdatenverkehrs mit einem Offline-Wörterbuchangriff zu bestimmen.
EAP-TLS und PEAP-TLS sind beide wesentlich sicherer als PEAP-MS-CHAP v2, weil sie nicht auf
Kennwörtern basieren.
So funktioniert’s: PEAP-MS-CHAP v2
MS-CHAP v2 ist ein Challenge-Response-Protokoll zur gegenseitigen Authentifizierung auf Kennwortbasis, das zur Verschlüsselung der Antworten die Standardalgorithmen MD4 (Message Digest)
und DES (Data Encryption Standard) verwendet. Der authentifizierende Server stellt den Zugriffsclient auf die Probe und der Zugriffsclient stellt den authentifizierenden Server auf die Probe. Erfolgt auf eine dieser beiden Proben (challenges) keine korrekte Antwort, wird die Verbindung abgelehnt. Ursprünglich hat Microsoft MS-CHAP v2 als ein PPP-Authentifizierungsprotokoll (Point-toPoint Protocol) entwickelt, um DFÜ- und VPN-Verbindungen (Virtuelles Privates Netzwerk) besser zu schützen.
Obwohl MS-CHAP v2 einen besseren Schutz als andere Challenge-Response-Authentifizierungsprotokolle auf PPP-Basis bietet, ist es trotzdem für Offline-Wörterbuchangriffe anfällig. Ein
Angreifer könnte eine erfolgreiche MS-CHAP v2-Authentifizierung aufzeichnen und systematisch
352
Kennwörter raten, bis das richtige gefunden ist. Kombiniert man PEAP mit MS-CHAP v2, wird der
Datenverkehr bei der MS-CHAP v2-Authentifizierung durch eine relativ sichere TLS-Sitzung geschützt.
Eine PEAP-MS-CHAP v2-Authentifizierung erfolgt in zwei Teilen. Im ersten Teil wird mit PEAP
eine verschlüsselte TLS-Sitzung eingeleitet, im zweiten Teil wird MS-CHAP v2 als EAP-Typ für
den Austausch der Anmeldeinformationen zur Authentifizierung des Netzwerkzugriffs verwendet.
PEAP Teil 1: Erstellen der TLS-Sitzung
1. Der 802.1X-fähige Switch sendet dem verkabelten Client eine EAP-Request/Identity-Nachricht.
2. Der verkabelte Client antwortet mit einer EAP-Response/Identity-Nachricht, in der die Identität des verkabelten Clients angegeben wird (Benutzer- oder Computername).
3. Der Switch sendet dem RADIUS-Server eine EAP-Response/Identity-Nachricht. Von diesem
Punkt an erfolgt die logische Kommunikation zwischen dem RADIUS-Server und dem Kabelclient, wobei der Switch die Nachrichten nur durchreicht.
4. Der RADIUS-Server sendet dem Kabelclient eine EAP-Request/Start PEAP-Nachricht.
5. Der verkabelte Client und der RADIUS-Server tauschen einige TLS-Nachrichten aus, in denen
der RADIUS-Server dem Kabelclient sein Computerzertifikat mit der Zertifikatkette zur Überprüfung sendet und der Kabelclient und der RADIUS-Server die Verschlüsselungsschlüssel und
die Verschlüsselungsmethode für die TLS-Sitzung bestimmen.
Am Ende der PEAP-Verhandlung hat der RADIUS-Server dem Kabelclient seine Identität bewiesen. Beide Knoten haben die gegenseitig verwendeten Verschlüsselungsschlüssel für die TLSSitzung bestimmt, und zwar mit Kryptografiemethoden, die mit öffentlichen Schlüsseln arbeiten,
nicht mit Kennwörtern. Alle nachfolgenden EAP-Nachrichten, die zwischen dem Kabelclient und
dem RADIUS-Server ausgetauscht werden, werden in der PEAP TLS-Sitzung verschlüsselt.
PEAP Teil 2: Authentifizieren mit MS-CHAP v2
1. Der RADIUS-Server sendet eine EAP-Request/Identity-Nachricht.
2. Der Kabelclient antwortet mit einer EAP-Response/Identity-Nachricht, in der die Identität
(Benutzer- oder Computername) des Kabelclients angegeben wird.
3. Der RADIUS-Server sendet eine EAP-Request/EAP-MS-CHAP v2-Challenge-Nachricht, die
eine Testzeichenfolge (challenge string) enthält.
4. Der verkabelte Client antwortet mit einer EAP-Response/EAP-MS-CHAP v2-Response-Nachricht, die nicht nur die Antwort auf die Testzeichenfolge des RADIUS-Servers enthält, sondern
auch eine Testzeichenfolge für den RADIUS-Server.
5. Der RADIUS-Server sendet eine EAP-Request/EAP-MS-CHAP v2-Success-Nachricht, mit der
er angibt, dass die Antwort des Clients korrekt war. Außerdem enthält die Nachricht die Antwort auf die Testzeichenfolge des Kabelclients.
6. Der Kabelclient antwortet mit einer EAP-Response/EAP-MS-CHAP v2-Ack-Nachricht, mit der
er angibt, dass die Antwort des RADIUS-Servers korrekt ist.
7. Der RADIUS-Server sendet eine EAP-Success-Nachricht.
Am Ende dieses Datenaustausches zur gegenseitigen Authentifizierung ist Folgendes geschehen:
Der Kabelclient hat seine Kenntnis des korrekten Kennworts bewiesen (die Antwort auf die
Testzeichenfolge des RADIUS-Servers).
353
Der RADIUS-Server hat seine Kenntnis des korrekten Kennworts bewiesen (die Antwort auf
die Testzeichenfolge des Kabelclients).
Der gesamte Datenverkehr wurde in der TLS-Sitzung verschlüsselt, die im ersten Teil der PEAPAuthentifizierung erstellt wurde. Um nun einen Offline-Wörterbuchangriff durchzuführen, müsste
der Angreifer zuerst die TLS-verschlüsselten Nachrichten entschlüsseln – eine entmutigende Aufgabe der Kryptoanalyse.

Voraussetzungen für die Authentifizierungsmethoden
Für die Authentifizierungsmethoden im Kabelnetzwerk gelten folgende Voraussetzungen:
EAP-TLS erfordert die Installation eines Computerzertifikats auf jedem RADIUS-Server und
eines Computerzertifikats, eines Benutzerzertifikats oder die Verwendung einer Smartcard auf
allen verkabelten Clientcomputern. Damit sich die Computerzertifikate der RADIUS-Server überprüfen lassen, muss auf allen Kabelclientcomputern das Stammzertifizierungsstellenzertifikat der
ausstellenden Zertifizierungsstelle der Computerzertifikate der RADIUS-Server installiert werden.
Damit sich die Computer- oder Benutzerzertifikate der Kabelclients überprüfen lassen, müssen
auf allen RADIUS-Servern die Stammzertifizierungsstellenzertifikate der ausstellenden Zertifizierungsstellen der Kabelclientzertifikate installiert werden.
PEAP-MS-CHAP v2 erfordert auf jedem RADIUS-Server die Installation eines Computerzertifikats. Außerdem ist es erforderlich, auf den verkabelten Clientcomputern die Stammzertifizierungsstellenzertifikate der Computerzertifikate der RADIUS-Server zu installieren, damit sich die
Computerzertifikate der RADIUS-Server überprüfen lassen.
Wenn Sie planen, irgendwann die 802.1X-Erzwingung von NAP einzuführen, sollten Sie eine
Authentifizierungsmethode auf der Basis von PEAP, wie PEAP-MS-CHAP v2 oder PEAP-TLS,
verwenden.
Empfehlungen für die Authentifizierungsmethoden im Kabelnetzwerk
Für Authentifizierungsmethoden im Kabelnetzwerk gilt folgende Empfehlung:
Wenn Sie PEAP-MS-CHAP v2 verwenden müssen, schreiben Sie in Ihrem Netzwerk sichere
Kennwörter vor. Sichere Kennwörter sind lang (länger als acht Zeichen) und enthalten eine
Mischung aus Groß- und Kleinbuchstaben, Ziffern und Satzzeichen. In einer Active DirectoryUmgebung können Sie die Gruppenrichtlinieneinstellungen unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kennwortrichtlinien
einsetzen, um Benutzer dazu zu bringen, sichere Benutzerkennwörter zu verwenden.
Authentifizierungsmodi im Kabelnetzwerk
Verkabelte Clients auf Windows-Basis können in folgenden Modi Authentifizierungen durchführen:
Nur Computer Windows führt mit den Anmeldeinformationen des Computers eine 802.1XAuthentifizierung durch, bevor der Anmeldebildschirm von Windows angezeigt wird. Auf diese
Weise erhält der verkabelte Client Zugriff auf Netzwerkressourcen, beispielsweise auf Active
Directory-Domänencontrollern, bevor sich ein Benutzer anmeldet. Windows versucht nach der
Anmeldung des Benutzers keine Authentifizierung mit den Anmeldeinformationen des Benutzers.
Nur Benutzer Standardmäßig führt Windows eine 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch, nachdem die Anmeldung des Benutzers abgeschlossen wurde.
354
Windows versucht keine Authentifizierung mit den Anmeldeinformationen des Computers, bevor
oder nachdem sich der Benutzer angemeldet hat.
Computer oder Benutzer Windows führt mit den Anmeldeinformationen des Computers eine
802.1X-Authentifizierung durch, bevor es den Windows-Anmeldebildschirm anzeigt. Windows
führt eine weitere 802.1X-Authentifizierung mit den Anmeldeinformationen des Benutzers durch,
nachdem sich der Benutzer angemeldet hat.
Ein zusätzlicher Vorteil der Authentifizierungsarten Nur Computer oder Computer oder Benutzer besteht darin, dass die Ressourcen des authentifizierten Computers, beispielsweise freigegebene Ordner,
anderen Computern zur Verfügung stehen, ohne dass ein Benutzer auf dem Computer angemeldet sein
muss.
Mit dem Verhalten